El 30 de octubre de 2019, la Comisión de Protección de Datos de Berlín (“Berliner Beauftragte für Datenschutz und Informationsfreiheit” o “BfDI Berlinesa”) impuso una multa de 14,5 millones de euros a la inmobiliaria alemana Deutsche Wohnen SE por infracción del RGPD. La resolución aun no es firme.

Deutsche Wohnen es una de las 50 empresas que cotizan en el índice alemán MDAX Index. Según su página web, la empresa cuenta con una cartera de propiedades de aproximadamente 23.500 millones de euros.

Los hechos:

En un comunicado de prensa, la BfDI Berlinesa explica que llevaron a cabo inspecciones in situ en junio de 2017 y marzo de 2019, y descubrieron que Deutsche Wohnen utilizaba una base de datos para archivar los datos personales de los inquilinos que no ofrecía la posibilidad de eliminar datos que ya no eran necesarios.

Según el comunicado, Deutsche Wohnen guardaba los datos personales de los inquilinos sin verificar si su archivo era legal o incluso necesario. En algunos de los casos individuales que se examinaron, fue posible encontrar datos personales de los inquilinos de hace años, aunque dichos datos personales ya no eran necesarios para la finalidad para la que fueron recabados.

Entre los datos personales archivados de los inquilinos, se podían encontrar su salario, contratos de trabajo, declaraciones de impuestos, números de la seguridad social, seguros de salud y extractos bancarios.

Tras la primera inspección en junio de 2017, la BfDI Berlinesa recomendó a Deutsche Wohnen con carácter de urgencia que adaptara su base de datos para cumplir con la normativa vigente de entonces.

Si bien Deutsche Wohnen llevó a cabo ciertas medidas para remediar la situación, en la segunda inspección que la BfDI Berlinesa realizó en marzo de 2019 con el RGPD ya en vigor, la empresa no pudo demostrar que los datos personales que guardaba de forma innecesaria en su base de datos se habían borrado, ni pudo presentar una base legal válida para su procesamiento.

Infracción:

La BfDI Berlinesa concluye que Deutsche Wohnen infringió los artículos 25.1 y 5 del RGPD durante el periodo comprendido entre mayo de 2018 y marzo de 2019.

Como ya hemos visto al inicio del post, la multa asciende a 14.5 millones de euros. En este sentido, la BfDI Berlinesa explica que: “El RGPD requiere que las autoridades de supervisión se aseguren de que las multas en cada caso concreto no son solo efectivas y proporcionales, sino también disuasorias”.

Para graduar la cuantía de la sanción, la BfDI Berlinesa tuvo en consideración los siguientes factores:

Como agravantes: el hecho de que Deutsche Wohnen creara deliberadamente el sistema de archivo objeto de la investigación y que los datos personales archivados en el sistema se hayan procesado de manera ilícita durante un largo período de tiempo.

Como atenuantes: la empresa tomó medidas iniciales para remediar la situación ilegal y cooperó con la autoridad supervisora.

Además de la multa principal, la BfDI Berlinesa ha impuesto a Deutsche Wohnen multas separadas de entre 6.000 y 17.000 euros por el almacenamiento irregular de los datos personales en 15 casos concretos.

Maja Smoltczyk, Comisionada de la BfDI Berlinesa: «Lamentablemente, en el curso de nuestra práctica de supervisión, con frecuencia nos encontramos con cementerios de datos como el que encontramos en Deutsche Wohnen SE. Por desgracia, la importancia de estas infracciones solo sale a la luz cuando esas masas de datos acumulados son robados y abusados, por ejemplo, debido a ciberataques. Pero incluso sin consecuencias tan graves, estamos lidiando con una violación flagrante de los principios de protección de datos, que están destinados a proteger a las personas de esos riesgos. Es gratificante que, con la entrada en vigor del RGPD, el legislador haya introducido la posibilidad de sancionar tales deficiencias estructurales antes de que ocurra lo peor. Recomiendo a todos los controladores de datos que verifiquen la compatibilidad de sus sistemas de archivo con el RGPD».

Conclusión:

Entonces, ¿cuál es periodo legal para conservar datos personales según el RGPD?

El artículo 5.1.e) del RGPD dice: “Los datos personales serán: mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales … («limitación del plazo de conservación»)”.

La Comisión Europea lo resume de una forma aún más sucinta en su página web. A la pregunta “¿Durante cuánto tiempo se pueden conservar los datos personales?” La respuesta es: “Los datos personales deben conservarse durante el menor tiempo posible. Para ello deben tenerse en cuenta las razones por las cuales su empresa necesita procesar dichos datos, así como cualquier otra obligación legal de conservar los datos durante un período de tiempo concreto.”

La Comisión Europea también recomienda a las empresas crear plazos límite para borrar y/o revisar los datos personales guardados.

En nuestro trabajo, estamos en contacto con varios profesionales en materia de protección de datos, y el fenómeno “cementerio de datos” que se ve en este post, no es un caso aislado. Será interesante ver el impacto que tiene esta sanción en la conservación por inercia de datos personales por parte de las empresas.

La multa también penaliza el incumplimiento del principio de protección de datos desde el diseño y por defecto (art. 25 del RGPD). Dicho de otra manera, la base de datos de Deutsche Wohnen no se adaptó a las exigencias del RGPD y por tanto carecía de “medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento…”

La presente multa de 14,5 millones de euros sería la tercera multa más elevada por infracción del RGPD hasta la fecha, solo por detrás de la multa en Francia a Google (50 millones de euros) y la multa en Austria al Post AG (18 millones de euros). No hemos incluido en este cómputo a las empresas British Airways y Marriot International, ya que la agencia británica Information Commissioner Office (ICO) aún no las ha multado formalmente, sino únicamente declarado su intención de multarlas.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en Europa, por favor no dudes en suscribirte.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.