Desde la entrada en vigor del RGPD, son numerosas las sanciones interpuestas por las diferentes Autoridades de Control europeas y dirigidas a compañías de diversa índole y ámbito de actuación. En la actualidad y derivado de las resoluciones interpuestas por dichas Autoridades, se evidencia que el incumplimiento que se repite con mayor asiduidad en las compañías es el tratamiento de los datos personales sin contar con una base legítima suficiente. No obstante, también se repiten sanciones que versan sobre aplicación de medidas y controles de seguridad insuficientes o relacionadas con la omisión del deber de información al interesado, la falta de consentimiento expreso para el envío de comunicaciones comerciales, entre otros.
Tal como vemos, el foco de las sanciones no se centra en compañías de sectores específicos o áreas concretas, puesto que el manejo de datos de carácter personal está a la orden del día en cualquier actividad o sector de negocio. Por ello, es fundamental que las compañías identifiquen sus tratamientos de datos personales y estén concienciadas en el cumplimiento de la normativa en materia de protección de datos personales, trasladando dicho ejercicio de concienciación a sus empleados. Estos son la primera línea de defensa y como tal deben responsabilizarse de seguir las medidas de control que la compañía adopta.
Ejemplos de las infracciones más representativas de Europa
De cara a comentar las infracciones más representativas a escala europea, las cuales coinciden también con algunas de las sanciones más cuantiosas a nivel económico, éstas van dirigidas a grandes compañías como: WhatsApp Ireland, Google LLC, Facebook Ireland, British Airways o Vodafone España.
Tratamiento de datos personales sin contar con una base legítima suficiente y en relación también con la utilización de consentimientos viciados, Google LLC y Facebook Ireland fueron sancionadas por concluir que, aunque sus sitios web ofrecían botones para aceptar cookies inmediatamente, no había una solución equivalente que permitiera al usuario rechazar las cookies con la misma facilidad. De hecho, se requerían varios clics para rechazar todas las cookies, en contraste con un solo clic para aceptarlas; concluyéndose que los usuarios aceptarían el uso de cookies con mayor frecuencia al resultarles menos enrevesado.
Omisión del deber de información al interesado, WhatsApp Ireland fue sancionada por incumplir el principio de transparencia al no informar al interesado del tratamiento de sus datos «de forma concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo«. Entre otros aspectos, se consideró que la información proporcionada era de carácter muy general y sin sentido. Los usuarios a menudo tenían que superar múltiples enlaces para obtener la información en el sitio web de WhatsApp. En este sentido, se concluyó que no es razonable esperar que los usuarios busquen en el sitio web de WhatsApp, al no encontrar suficiente información en la propia declaración de privacidad de la aplicación.
Infracciones ocasionadas por incidentes de seguridad, cabe destacar la sanción impuesta a British Airways a raíz de un incidente de seguridad que implicó que parte del tráfico de usuarios de su sitio web se desviara a un espacio fraudulento. A través de dicho espacio, los atacantes recopilaron datos personales de sus clientes. En este caso, se concluyó que la información se vio comprometida por arreglos de seguridad deficientes en la compañía.
Finalmente, en el ámbito nacional, la sanción más elevada hasta la fecha continúa siendo la impuesta a Vodafone España por el uso de los datos sin base legítima suficiente, así como por el cumplimiento insuficiente de los derechos de los interesados. En concreto, fue sancionada por realizar acciones comerciales sin consentimiento de los interesados y/o sin atender el ejercicio del derecho a oponerse al envío de nuevas notificaciones. Además, muchos de los interesados contactados se encontraban dados de alta en el Listado Robinson (servicio de exclusión publicitaria, a disposición de los consumidores, que tiene como objetivo disminuir la publicidad que éstos reciben).
Pincha aquí para ver algunas de las compañías sancionadas y sus causas.
¿Cómo podemos ayudarte en GlobalSuite Solutions®?
Contamos con más de 15 años de experiencia en materia de Protección de Datos Personales y Seguridad de la Información. Nuestros equipos de consultoría especializada ofrecen el asesoramiento y el soporte necesarios para ayudar a las empresas a definir correctos protocolos de tratamiento de los datos personales, conservación de los mismos, determinación de bases legales legítimas, entre otros, para poder así dar cumplimiento a los requisitos exigidos por el RGPD y la LOPDGDD.
