Desde su fundación en 1993, y hasta marzo de este mismo año, la Agencia de Protección de Datos (AEPD) ha sancionado 7.969 veces a distintas personalidades jurídicas por infringir la legislación en materia de protección de datos. Con estas multas ha recaudado más de 350 millones de euros.
Entre los infractores, se encuentran empresas, asociaciones y partidos políticos, si bien el mayor monto de recaudación se ha centrado en las grandes compañías. La mayor penalización impuesta hasta la fecha en una sola sanción fue de 10 millones de euros a Google en mayo de 2022. Le siguen en este “ranking” las sanciones impuestas a Vodafone, Caixabank y BBVA entre 2020 y 2023, todas por valor igual o superior a los cinco millones de euros.
Y es que cuidar de los datos se ha vuelto en una prioridad para todas las empresas, máxime desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD), una normativa estricta diseñada por la UE para proteger la privacidad y los datos personales de los ciudadanos.
¿Qué es la RGPD y cómo funciona?
El Reglamento General de Protección de Datos (RGPD), que entró en vigor el 25 de mayo de 2018, establece un marco legal uniforme para la protección de datos personales en toda la Unión Europea. Este reglamento impone obligaciones estrictas a las empresas que manejan datos personales de los ciudadanos de la UE, independientemente de si la empresa tiene su sede en Europa o no.
Entre los principios fundamentales de la RGPD se encuentran:
1. Transparencia, lealtad y licitud: Los datos deben ser procesados de manera legal, leal y transparente.
2. Limitación de la finalidad: Los datos deben ser recogidos con fines específicos, explícitos y legítimos.
3. Minimización de datos: Sólo deben recogerse los datos que sean adecuados, pertinentes y limitados a lo necesario.
4. Exactitud: Los datos deben ser exactos y, cuando sea necesario, actualizados.
5. Limitación del plazo de conservación: Los datos no deben conservarse más tiempo del necesario.
6. Integridad y confidencialidad: Los datos deben ser tratados de forma que se garantice su seguridad adecuada.
Las empresas, de todo tipo y tamaño, deben obtener el consentimiento explícito de los individuos antes de procesar sus datos y proporcionarles acceso a sus propios datos, permitiendo su rectificación o eliminación. Además, deben informar a las autoridades y a los afectados en caso de una brecha de seguridad.
Multas por incumplimiento de la RGPD
Las sanciones por incumplimiento de la RGPD son significativas y pueden tener un impacto devastador, especialmente si hablamos de una pyme o una microempresa. Muchas de ellas no pueden frente a la cuantía de una multa generada por una brecha de datos, algo especialmente preocupante si recordamos que este tipo de compañías emplean a más de diez millones de personas en España.
El reglamento establece dos niveles de multas dependiendo de la gravedad de la infracción:
1. Multas de hasta 10 millones de euros o el 2% de la facturación anual global: Estas se aplican a infracciones menos graves, como no notificar una brecha de seguridad en el plazo establecido (72 horas) o no llevar un registro adecuado de las actividades de procesamiento de datos.
2. Multas de hasta 20 millones de euros o el 4% de la facturación anual global: Estas se aplican a infracciones más graves, como no cumplir con los principios básicos del procesamiento de datos, no obtener el consentimiento necesario de los individuos, o transferir datos a organizaciones en países que no proporcionan un nivel adecuado de protección de datos.
Un 2% de tu facturación anual -que no de tus beneficios- puede suponer un agujero significativo para proyectos que, a veces por desconocimiento y a veces por sobrecarga de trabajo, no pueden atender con la seriedad que se merece una cuestión tan seria como el tratamiento de los datos personales. Además, una brecha de datos puede causar daños reputacionales significativos, pérdida de confianza por parte de los clientes y posibles acciones legales adicionales.
Y parece claro que los ciberataques no van a detenerse. Según el Foro Económico Mundial, durante los primeros meses de la pandemia se produjo un aumento del 667% en los ataques de phising. Estos ataques, que se valen de un correo electrónico atractivo para que pinches en un link en el que nunca deberías hacer clic, estan detrás del 32% de todas las brechas de datos exitosas.
¿Opciones para evitar una brecha de datos? Existen desde luego, por más que los ataques aumenten año a año. La primera es inculcar a todos los trabajadores formación en ciberseguridad. La segunda, muy práctica para autónomos y pequeñas empresas, es contratar un ciberseguro que se haga cargo de cualquier incidente que puedas tener derivado de una brecha de datos.
En julio de 2021, la Comisión Nacional de Protección de Datos de Luxemburgo impuso a Amazon una multa de 746 millones de euros por incumplimiento del RGPD. Es la mayor multa impuesta en Europa hasta la fecha. Aunque el gigante de venta online ha recurrido la multa, no es la primera vez que incumple la normativa de protección de datos. La Autoridad Francesa de Protección de Datos (CNIL) multó a la empresa con 35 millones de euros a finales de 2020 por no haber proporcionado el consentimiento de las cookies y la información asociada a los usuarios en su sitio web.
Son cantidades astronómicas, difíciles de imaginar para cualquier autónomo, pero tan solo son las mismas multas, a escala. Una sanción, por pequeña que sea, puede acabar con una pequeña compañía si no ha sido capaz de preverla. En un mundo donde las brechas de datos son una amenaza constante, el cumplimiento de la RGPD y la inversión en un ciberseguro son hoy esenciales para proteger a las empresas de las severas consecuencias financieras y reputacionales.