El GDPR entró en vigor en mayo de 2018. Esta normativa europea revolucionó la protección de los datos personales, y ayudó a aumentar la concienciación acerca de este tema. Esta normativa prevé cuantiosas multas correspondientes al  4% de los ingresos anuales de una empresa, o de hasta 20 millones de euros para aquellas organizaciones que la infrinjan.

Aunque en el mismo 2018 ya empezamos a ver  algunas sanciones  bajo el GDPR , no fue hasta 2019 cuando llegaron las primeras multas millonarias. A continuación, repasamos las seis multas más importantes que se han visto hasta la fecha, y los artículos del GDPR aplicados en cada caso.

British Airways

  • País: Reino Unido
  • Multa: 204.110.000€
  • Artículo incumplido del GDPR: 32

En julio, British Airways fue multada con 183 millones de libras por la Oficina del Comisionado de Información (ICO) de Reino Unido en relación con una brecha de datos que ocurrió en septiembre de 2018. Los atacantes consiguieron robar la información personal  de unos 500.000 clientes de la aerolínea, incluidos sus nombres, números de tarjetas de crédito y sus códigos CVV y direcciones correo electrónico. El artículo 32 del nuevo reglamento requiere que las empresas implementen medidas técnicas y organizacionales para asegurar la seguridad de la información.

Marriott International, Inc

  • País: Reino Unido
  • Multa: 118.714.808€
  • Artículo incumplido del GDPR: 32

A finales de noviembre de 2018, Marriott International protagonizó lo que fue entonces la segunda brecha de datos más grande de la historia. Se descubrió que los datos personales de hasta 339 millones de clientes habían sido sustraídos. Los atacantes habían tenido acceso a los datos del hotel desde 2014.

Según la investigación de la Oficina del Comisionado de Información, los datos robados correspondían a  unos 30 millones de residentes en 31 países del Espacio Económico Europeo. Se cree que empezó la vulnerabilidad cuando Starwood Hotel Group fue comprometido en 2014; Marriott compró Starwood en 2016. La Comisionada de Información Elizabeth Denham explica: “El GDPR deja claro que las organizaciones deben ser responsables de los datos que almacenan. Esto puede incluir llevar a cabo la debida diligencia  al hacer una adquisición corporativa”.

La multa de Marriott International asciende a 99.200.396£.

Google LLC

  • País: Francia
  • Multa: 50.000.000€
  • Artículos incumplidos del GDPR: 5, 6, 13, 14

El CNIL (Comisión Nacional de Informática y Libertades), la agencia de protección de datos francesa, multó a Google LLC 50 millones de euros en enero por incumplimiento de las reglas del GDPR acerca de la transparencia y de la ausencia de una base legal válida de procesamiento de los datos personales destinados a fines publicitarios. Según el CNIL, los usuarios de Google no reciben suficiente información acerca del uso de sus datos. Es más, el consentimiento que pide Google no es ni “específico” ni “inequívoco”.

Österreichische Post AG

  • País: Austria
  • Multa: 18.000.000€
  • Artículos incumplidos del GDPR: 5, 6

En octubre, Österreichische Post AG, una empresa de correos de Austria recibió una multa de 18 millones de euros por crear perfiles acerca de unas 3 millones de personas que incluían sus direcciones, preferencias personales y afiliaciones políticas. Estos perfiles luego se vendían a partidos políticos y otras empresas. Los artículos citados del GDPR tienen que ver con obtener una base legal para el procesamiento de datos.

Deutsche Wohnen

  • País: Alemania
  • Multa: 14.500.000€
  • Artículos vulnerados del GDPR: 5, 25

El día 30 de octubre, el Comisionado de Protección de Datos y Libertad de Información de Berlín multó a la empresa inmobiliaria Deutsche Wohnen con 14.5 millones de euros en relación a la retención de datos personales. La empresa alemana almacenaba los datos personales de sus clientes durante más tiempo de lo necesario, una acción para la que no tenía suficiente base legal. Esto infringe el derecho de supresión de datos del GDPR.

1&1 Telecom

  • País: Alemania
  • Multa: 9.550.000€
  • Artículos incumplidos del GDPR: 32

En diciembre el Comisionado Federal de Protección de Datos y Libertad de Información de Alemania (BfDI) multó a la empresa de telecomunicaciones 1&1 Telecom con 9,5 millones de euros. La empresa no implementó suficientes medidas técnicas y organizacionales para proteger los datos personales dentro de sus call centers: se descubrió que se podía recibir información de clientes solo dando el nombre y fecha de nacimiento del cliente, lo cual, según el BfDI no era un nivel suficiente de autenticación para proteger los datos de los clientes.

Cómo evitar una multa con el GDPR

Para garantizar el cumplimiento del GDPR, cualquier empresa que almacena y procesa los datos personales tiene que asegurarse de que tiene una base legal legítima para hacerlo, y comunicar a los clientes el propósito de tal procesamiento a la hora de obtener los datos personales. Otro aspecto vital para cumplir con el GDPR es saber dónde están los datos personales en todo momento y quién tiene acceso a ellos.

Panda Adaptive Defense cuenta con un módulo adicional, Panda Data Control, que descubre, audita y monitoriza los datos de carácter personal desestructurados en los equipos: desde el dato en reposo (data at rest), hasta las operaciones sobre ellos (data in use) y su tránsito (data in motion). Es más, ayuda a empresas a cumplir con varios artículos específicos del GDPR, incluido el artículo 32, citado en las multas a British Airways, Marriott y 1&1 Telecom.

Con la proliferación del uso de los datos personales, la posibilidad de incumplir alguno de los artículos requeridos para la protección de los usuarios europeos y, por tanto, la correspondiente multa de la Agencia correspondiente, solo es cuestión de tiempo. Evita que la víctima sea tu empresa con Panda Data Control.