Antes y después del GDPR: multas por violar las leyes de privacidad

10 marzo
Sasha Aksenova, Chief Compliance Analyst
Antes y después del GDPR: multas por violar las leyes de privacidad
Cuando se aprobó el Reglamento General de Protección de Datos (GDPR) hubo mucha conmoción, principalmente porque fue la primera ley sobre privacidad con enormes multas establecidas: hasta €20.000.000 o, en el caso de las empresas, hasta el 4% del total anual de su volumen de negocios global, del ejercicio financiero anterior que sea mayor. Aunque por supuesto, existieron multas por violaciones a la privacidad antes del GDPR y por fuera de él. En este artículo, recopilamos algunos casos de grandes y pequeñas empresas, e incluso de individuos.

La mayor filtración de datos registrada

La empresa de servicios de Internet Yahoo! fue objeto de la mayor filtración de datos registrada. En realidad, fueron arias fugas: 3.000 millones de cuentas se vieron comprometidas en 2013 y 2014, pero la empresa no reveló esta información sino hasta 2016, y el primer número fue "más de 500 millones". Este retraso en la divulgación le costó a Yahoo! USD35 millones y se interpusieron más de 20 demandas contra la empresa en Estados Unidos. En 2019 hubo un acuerdo por USD 117,5 millones y la compañía prometió invertir más de USD300 millones en seguridad entre 2019 y 2022.

Además de las multas, Yahoo! perdió dinero en su proceso de adquisición: Verizon Communication planeaba comprar la compañía por USD 4.8 mil millones, pero después de estas infracciones, el precio de cierre se convirtió en USD350 millones.

Las autoridades europeas (Irlanda, Reino Unido, Alemania) también demostraron su preocupación. No encontramos ninguna información sobre las sanciones de Irlanda o Alemania, pero ICO (autoridad de privacidad del Reino Unido) multó a la sucursal local de Yahoo por £ 250 mil.

Facebook, Cambridge Analytica y la multa más alta de la historia

Facebook pagó 5 mil millones a la Comisión Federal de Comercio de EE. UU, la multa más grande registrada por violar las leyes de privacidad. En 2018, se reveló que la empresa británica Cambridge Analytica utilizó su aplicación en la red social para acceder a los datos personales de 87 millones de usuarios en todo el mundo y configurar publicidad política, especialmente durante la campaña presidencial estadounidense de 2016 y el referéndum de adhesión a la Unión Europea del Reino Unido.

En 2020, Facebook prometió reconsiderar su enfoque de privacidad del usuario, incluida la creación de una comisión independiente que examinará cuidadosamente el tema de la protección de datos personales.

€100 millones por cookies

En 2020, la autoridad francesa de protección de datos descubrió que Google.fr colocó varias cookies publicitarias sin el consentimiento de los usuarios en sus computadoras. Se le dio a la compañía 3 meses para realizar cambios en su declaración de cookies y la información que proporciona a los usuarios, de lo contrario, tendría una tarifa diaria adicional de €100 mil. Google no está de acuerdo con la sanción y tiene la intención de presentar una apelación.

Google también recibió la segunda multa más alta por violación del GDPR en Francia: 50 millones de euros en 2019. La compañía no fue lo suficientemente transparente al informar a los usuarios sobre el procesamiento de sus datos personales y, además, esta información era de difícil acceso, dispersa en varios documentos a los que se podía acceder únicamente haciendo clic en distintos enlaces diferentes. Asimismo, se consideró que el texto de aceptación sobre el procesamiento de datos personales era ambiguo e insuficientemente informativo.

Otra sanción a Google fue por la violación de la Ley de Protección de la Privacidad Infantil en Línea (COPPA) en 2019. La empresa realizó un seguimiento del historial de visualización de canales para niños en YouTube y usó esta información para vender tiempo de ads y publicar anuncios. En este caso, la multa fue de USD170 millones.

Principales multas de GDPR

Hasta ahora, Google lidera el número de multas recibidas por violación de la privacidad en Europa, pero hay otras empresas que han tenido que pagar decenas de millones de euros cada una.

En 2020, el Comisionado de Hamburgo para la Protección de Datos y Libertad de Información (HmbBfDI) multó a H&M con €35,3 millones por el procesamiento ilegal de datos personales de varios cientos de empleados. La empresa realizó encuestas y búsquedas utilizando salas de chat informales que recopilaban datos personales confidenciales, tales como diagnósticos médicos, creencias religiosas, información sobre miembros de la familia, etc., para evaluar a sus empleados y tomar decisiones. Esto se conoció debido a un problema técnico: los datos recopilados estuvieron disponibles para todos durante varias horas. H&M aceptó toda la responsabilidad y acordó pagar la multa y una compensación a los empleados.

Ese mismo año, la agencia italiana DPA Garante multó al operador de telecomunicaciones TIM con €27,8 millones por una agresiva estrategia de marketing que afectó a millones de personas. La empresa envió mensajes a clientes que no se habían registrado, proporcionó información poco transparente sobre el procesamiento de datos personales, retuvo datos por más tiempo del necesario e ignoró las negativas legales de los usuarios a recibir mensajes publicitarios.

En 2019, la Oficina del Comisionado de Información (ICO) del Reino Unido multó a British Airways con £183 millones por procesar datos personales sin las medidas de seguridad adecuadas, lo que provocó fugas de información. Los cyberdelincuentes obtuvieron acceso a datos personales de aproximadamente 500 mil clientes de la aerolínea, incluidos números y códigos de tarjetas bancarias. Sin embargo, la multa, que fue anunciada como la más grande de GDPR en el Reino Unido, finalmente se redujo a £20 millones debido a que las aerolíneas se vieron muy afectadas por la pandemia de COVID-19.

En 2018, la cadena Marriott International cometió el mismo error y se vieron comprometidos los datos personales de 339 millones de clientes. En 2019, la ICO expresó su intención de multar a la compañía con alrededor de £99 millones. En 2020, la multa se redujo a £18,4 millones debido a una serie de factores atenuantes y al impacto de la pandemia en la industria hotelera.

El tamaño no importa

Podríamos pensar que las empresas que recopilan y procesan grandes cantidades de datos personales son las más vulnerables, pero no es cierto. En 2019, la autoridad francesa de protección de datos multó a una empresa de traducción por el uso de cámaras de vigilancia en el espacio de trabajo. La empresa no informó a sus 9 empleados sobre la grabación y presencia de cámaras de manera adecuada, y la multa fue de 20 mil euros.

La autoridad de protección de datos (DPA) de Polonia impuso otra "pequeña" multa a la federación deportiva, que publicó los números de identificación personal y domicilios de 585 árbitros. A pesar de que el incumplimiento fue notificado por la propia federación, recibieron una penalidad de 13 mil euros (2019).

El año pasado, en Austria, se registró una sanción privada de €600 por infracción de la ley de privacidad a un médico que, durante varios meses, publicó en su página de Facebook (el recurso oficial no revela el nombre) información detallada de sus pacientes, como nombres, hallazgos, diagnósticos médicos, datos de medicación, datos de admisión y alta de hospitales, números de seguro social y nombres de los médicos tratantes, sin contar con ningún tipo de consentimiento.

Redes sociales, apps y la multa más pequeña de Facebook

En 2019, TikTok fue multado por violar la COPPA: USD5,7 millones por la recopilación ilegal de información personal de niños. Según la ley federal, la red social debió obtener antes la aprobación de los padres de todos sus usuarios menores de 13 años.

En 2021, la DPA noruega notificó a Grindr LLC, su intención de emitir una multa por 100 millones de coronas noruegas (USD11,7 millones) debido a que la aplicación de citas no obtuvo el consentimiento de los usuarios antes de compartir su información personal con terceros, en particular con empresas de publicidad, aunque la empresa objetó esto diciendo que el flujo de consentimiento es transparente.

Finalmente, la primera multa registrada en Rusia (y la más pequeña de Facebook) fue de 3 mil rublos (alrededor de USD40) y se emitió en 2018. La segunda llegó el año pasado: Facebook pagó a las autoridades rusas 4 millones de rublos (alrededor de USD53 mil) por su negativa a cumplir con ciertas leyes de localización de datos.