¿Qué pasa si no cumplo las normas de protección de datos?

Respuesta

El Reglamento general de protección de datos (RGPD) ofrece distintas herramientas a las autoridades de protección de datos (APD) en caso de incumplimiento de las normas de protección de datos, como:

• posible infracción: por ejemplo, se puede lanzar una advertencia,
• infracción: las posibilidades incluyen un apercibimiento, una prohibición temporal o definitiva del tratamiento y una multa de hasta 20 millones de euros o un 4 % del volumen de negocio total anual mundial.

Cabe señalar que, en el caso de una infracción, la APD puede imponer una pena pecuniaria en lugar o además del apercibimiento o prohibición del tratamiento.

La autoridad debe garantizar que las multas impuestas en cada caso particular sean efectivas, proporcionadas y disuasorias, y tendrá en cuenta varios factores, como la naturaleza, la gravedad y la duración de la infracción, su intencionalidad o negligencia, cualquier medida tomada para paliar los daños sufridos por las personas, el nivel de cooperación de la organización, etc.

Ejemplo

Una empresa vende material para el hogar por internet. A través de su sitio web, los consumidores podían comprar electrodomésticos, mesas, sillas y otros artículos para el hogar introduciendo su información bancaria. El sitio web sufrió un ciberataque que puso la información personal a disposición del atacante. En este caso, la ausencia de medidas técnicas adecuadas por parte de la empresa parece haber sido la causa de la pérdida de los datos.

En este ejemplo, se tendrán en cuenta varios factores por parte de la autoridad de control antes de decidir qué instrumento correctivo debe utilizarse. Factores como los siguientes: la gravedad de la deficiencia en el sistema informático; el tiempo que estuvo expuesta a este riesgo la infraestructura informática; las pruebas realizadas en el pasado para evitar este tipo de ataque; el número de clientes de los que se robaron o divulgaron los datos; el tipo de datos personales que se vieron afectados (¿había datos sensibles?). La autoridad de control tendrá en cuenta todas estas consideraciones.

Referencias

• Artículos 58, 60, 83 y 84, y considerandos 129, 148, 150 y 151 del RGPD
• Directrices del CEPD sobre la aplicación y el establecimiento de multas administrativas a efectos del Reglamento (UE) 2016/679, 3 de octubre de 2017

A company sells online household material. Through its website, consumers can buy kitchen appliances, tables, chairs and other domestic goods by entering their bank details. The website suffered a cyber-attack leading to personal details being rendered available to the attacker. In this case, the lack of appropriate technical measures by the company seems to have been the cause of the data loss.

In this instance, various factors will be considered by the supervisory authority before deciding what corrective tool to use. Factors such as: how serious was the deficiency in the IT system? How long had the IT infrastructure been exposed to such a risk? Were tests carried out in the past to prevent such an attack? How many customers had their data stolen/disclosed? What type of personal data was affected – did it include sensitive data? All these and other considerations will be taken into account by the supervisory authority.

• Articles 58, 60, 83 and 84 and Recitals (129), (148), (150) and (151) of the GDPR
• EDPB Guidelines on the application and setting of administrative fines for the purposes of Regulation (EU) 2016/679, 3 October 2017