Las multas según la nueva ley de protección de datos han comenzado su andadura en toda Europa. En España, parece que las empresas no se han puesto todavía las pilas y, según informes de la Agencia Española de Protección de Datos (AEPD), continúan tropezando en la misma piedra:

  • Utilizan formularios que no son correctos para obtener los datos y el consentimiento de los interesados
  • Realizan comunicaciones electrónicas de índole comercial a personas con un consentimiento anterior no válido, según el Reglamento General de Protección de Datos (RGPD)
  • Carecen de contratos u otros documentos vinculantes con sus encargados de tratamiento.

Multas por la nueva ley de protección de datos en España

La principal tarea desarrollada por parte de la AEPD desde que entró en vigor el RGPD, ha sido la de sensibilizar, orientar y apoyar la implementación del mismo. En cuanto a las infracciones, la AEPD se ha centrado, preferentemente, en su análisis y en enviar apercibimientos a las empresas responsables de las infracciones, pero aún no ha impuesto sanciones específicas.

Tal es el caso de dos colegios a causa de los datos personales de los alumnos y de dos tiendas de Xiaomi en Madrid, que dejaron al descubierto datos de clientes, de empleados y de facturación en los móviles que estaban en la exposición a disposición de los clientes.

En ambos casos, la AEPD valoró los esfuerzos realizados en la adopción de las medidas de protección de datos, tanto antes como después de producirse la infracción, y ha sancionado a las empresas con apercibimientos que no implican multa económica.

¿Qué ocurre en el resto de Europa?

Francia impone una multa de 50 millones de euros a Google

En nuestro país vecino, Francia, la Commission Nationale de l’Informatique et des Libertés (CNIL) -que es la autoridad nacional francesa competente en la materia- impuso a primeros de 2019 una multa de 50 millones de euros a Google por varias infracciones.

Fue la primera decisión de este tipo en aplicación del Reglamento General de Protección de Datos. Se confirmó que Google incumplía obligaciones en materia de transparencia e información, así como por falta de personalización de los anuncios y por no disponer de un consentimiento válido por parte de los interesados.

Google ha recurrido ante el Consejo de Estado francés contra esta decisión por estimar que la CNIL no tiene jurisdicción sobre Google, ya que su sede central radica en Irlanda, y es, por tanto, la Comisión de Protección de Datos de este país quien tiene jurisdicción. El fallo está pendiente.

Alemania lleva ya más de 75 multas

En Alemania, las autoridades se han tomado en serio el asunto. Desde la entrada en vigor del RGPD, han impuesto más de 75 multas relacionadas con el tema, cuyo importe alcanza casi los 500.000 euros. Entre ellas, las más destacadas son:

  • 000 euros por la filtración de datos sanitarios por mecanismos inadecuados de control interno.
  • 000 euros a un banco por tratamiento de datos no autorizados de antiguos clientes.
  • 000 euros a la red social Knuddels.de por almacenar datos de usuarios no encriptados en servidores antiguos.

Las autoridades alemanas advierten de que incrementarán el personal y las inspecciones, sin previo aviso. Por su parte, las pequeñas empresas y asociaciones se quejan de que la Ley les exige un alto nivel de burocracia. Y parece que sus quejas no han caído en saco roto porque el Comisionado Federal está considerando reducir los gastos burocráticos de las pequeñas empresa y asociaciones.

Multas por la nueva ley de protección de datos en Portugal

Nuestro otro vecino, Portugal, impuso tres multas al Hospital do Barreiro, uno de los hospitales públicos más importantes de la comarca lisboeta, por un valor total de 400.000 euros, debido a la incapacidad del hospital, como controlador de datos, para aplicar medidas organizativas y técnicas para asegurar la confidencialidad y la integridad de los datos clínicos de los pacientes.

Polonia multa por publicación de datos personales de árbitros

En Polonia se impuso una multa de un millón de PLN (unos 230.000 euros) a una empresa que utilizaba datos personales de empresarios polacos en su actividad empresarial. También se multó con 55.000 PLN (13.000 euros aproximadamente) a una asociación regional de futbol por publicar datos personales de árbitros autorizados.

Austria sanciona una casa de apuestas

En Austria, la primera sanción por valor de 4.800 euros se la llevó una casa de apuestas por tener una cámara de seguridad que grababa parte de la acera.

Otros países de Europa

En Hungría, se han impuesto pequeñas multas relacionadas, sobre todo, con la violación de determinados requisitos de protección de datos.

En otros países de la UE, como Italia y Grecia, las autoridades han preferido tomarse el asunto con más calma. En Italia, se dio un «periodo de gracia» de dieciocho meses durante el cual no se puso ninguna sanción. Finalizó el pasado 19 de mayo.

En Grecia, por su parte, las autoridades han decidido limitarse a apercibir a los responsables del tratamiento y no sancionar, por el momento.

No cabe duda de que la aplicación del RGPD intensifica la protección de los datos personales, pero cada usuario debe asumir su propia responsabilidad y evitar riesgos innecesarios poniendo en práctica ciertos mecanismos, como la instalación de un buen antivirus.

Recuerda que tu Seguro de Hogar MAPFRE cuenta con un servicio de asistencia informática que te ayuda en estas tareas, así como en situaciones de robo de datos personales o ciberataques.