Primera multa en Polonia por infracción del RGPD: 220.000 euros

08/04/2019 Gonzalo Sánchez-Jara No hay comentarios

El 26 de marzo, la Oficina de Protección de Datos Personales de Polonia (“UODO”) impuso su primera multa por infracción del RGPD. La multa asciende a un total aproximado de 220,000 euros (943,000 PLN).

La empresa multada procesaba datos personales obtenidos a través de fuentes públicas como entre otros, el Registro Electrónico Central de Información y Actividad Económica polaco. Los datos personales eran posteriormente procesados para fines comerciales.

La infracción cometida fue el incumplimiento del deber de información por parte de la empresa a los afectados, cuando los datos personales no se han obtenido a través de estos. Concretamente, lo establecido en el artículo 14 (1)-(3) del RGPD .

Según la UODO, la infracción de la empresa dejó a 6 millones de personas sin acceso a su derecho de información.

La empresa, no obstante, sí comunicó el derecho de información a un total de 90,000 personas, de las cuales 12,000 se opusieron al tratamiento de sus datos para fines comerciales. La razón por la que la empresa sí comunicó a esas personas su derecho de información fue porque tenía sus direcciones de correo electrónico.

La empresa argumentó que no comunicó a las restantes personas su derecho de información por no tener sus direcciones de correo electrónico, y que hacerlo por otros medios (correo certificado a la dirección física) habría supuesto un gasto desproporcionado, por lo que se limitó a publicar en su página web una cláusula sobre el derecho de información de los interesados.

Sin embargo, la UODO desmontó la excusa argumentando que, en primer lugar, no era obligatorio notificar el derecho de información por correo certificado, y, en segundo lugar, si bien la empresa no tenía las direcciones de correo electrónico de esos 6 millones de personas, si tenía sus números de teléfono y sus direcciones físicas, lo que sí le hubiera permitido ponerse en contacto con esas personas para comunicarles su derecho de información.

El artículo 83.2 del RGPD recoge los factores a tener presente cuando se calcula una multa por infracción del RGPD. Con esto presente, según la UODO, una de las razones de la cuantía de la multa es que la empresa responsable del tratamiento no tomó acción alguna para remediar la infracción, ni ha declarado su intención de hacerlo. Asimismo, el Presidente de la UODO, Dr. Edyta Bielak-Jomaa, explica que “El responsable del procesamiento era consciente de su deber de informar. Es por ello por lo que se ha decidido imponer una multa de esta cantidad a la empresa”, por lo que habría intencionalidad en el incumplimiento de la obligación de información por parte de la empresa.

Hemos escrito a la UODO para preguntar si la denuncia llegó a través de uno de los afectados, o si fue la UODO de oficio la que inició la investigación, pero no hemos recibido contestación.

Conclusión:

Es común hoy en día, la existencia de diversas empresas que venden acceso a bases de datos personales cuya información ha sido recabada a través del acceso a registros públicos o redes sociales, y cuyos interesados no son conscientes de ello.

Un ejemplo en España es el Registro Mercantil. Las empresas que pagan una cuota pueden acceder a información como los cargos de las personas que aparecen en el registro como consejeros, o administradores de una empresa, información que es posteriormente incorporada a varias de estas bases de datos.

A través de las redes sociales también se puede recabar numerosos datos personales, especialmente en Linkedin, en donde es necesario registrarse con una dirección de e-mail que es accesible al público, y en donde por lo general, se incluyen numerosos datos personales sobre la trayectoria profesional y educativa de sus usuarios.

La multa en Polonia nos parece una excelente noticia y sienta un buen precedente para castigar a las empresas que trafican con datos personales sin el conocimiento de sus titulares, privándoles entre otros, de su derecho de información. Creemos que no será la última vez que oigamos hablar del artículo 14 del RGPD.

No olvidemos que según el artículo 83.5.b) del RGPD, la infracción del artículo 14 puede castigarse con multas administrativas de hasta “20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”.

______

Suscríbete y recibe las últimas noticias de nuestro blog vía email.

Gonzalo Sanchez-Jara Garralda, autor de este post es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), que se dedica a la formación digital de empleados en materia de compliance penal y protección de datos personales a través de su plataforma online.

Para más información sobre abc Compliance, pulse aquí.

Primera multa en Polonia por infracción del RGPD: 220.000 euros

Artículos relacionados

Comentarios

Podría interesarle

Feliz Navidad y próspero 2021

TC: El derecho al olvido como derecho fundamental

1 Multa récord de 1.200 millones de euros a Meta Platforms Ireland Limited por la transferencia de datos personales de los usuarios de Facebook de la Unión Europea a EEUU sin garantías adecuadas

2La Agencia de Protección de Datos Irlandesa tiene hasta el 12 de mayo para emitir su decisión final sobre la legalidad de la transferencia de datos personales de Facebook de la UE a EEUU

3Multa de 170.000 euros a Vodafone por faltas de medidas de seguridad para evitar la suplantación de identidad

4Una startup californiana de telesalud compartió datos personales de más de 3 millones de pacientes con empresas tecnológicas

5Multa de la AEPD a una empresa por almacenar las contraseñas de sus usuarios sin encriptar

6El Garante de Protección de Datos Italiano impone a la empresa creadora del chatbot “Replika” una limitación temporal del tratamiento de datos en Italia por posibles infracciones del RGPD

7La Comisión de Protección de Datos Irlandesa impone a META una multa de 390 millones de euros por infracción del RGPD

8Sylvia Enseñat de Carlos: “Cada vez hay más profesionales que eligen especializarse en Compliance para desarrollar su carrera profesional en este ámbito”

9El RGPD Blog finalista a los Premios ASCOM 2022 en la categoría “Medio de Comunicación”

10Multa récord de 10 millones de euros de la AEPD a Google por infracción del RGPD

11Ranking de las 10 multas más altas en España por infracción del RGPD – 2º Trimestre 2022

12Ranking de las 10 multas más altas en España por infracción del RGPD – 1er Trimestre 2022

13Multa de la AEPD a CaixaBank de 2,1 millones de euros por condicionar la exención de comisiones a clientes al otorgamiento de su consentimiento para fines distintos de los propios del contrato

14La AEPD impone a una empresa del grupo Amazon una multa de 2 millones de euros por solicitar a sus candidatos un certificado de ausencia de antecedentes penales

15La AEPD impone a Vodafone una multa de 3,94 millones de euros por faltas de medidas de seguridad adecuadas en su proceso para expedir duplicados de la tarjeta SIM

16Ranking de las 10 multas más altas en España por infracción del RGPD – 4º Trimestre 2021

17Procedimientos sancionadores de la AEPD por no tener designado a un delegado de protección de datos

18Feliz Navidad y próspero 2022

19Conceptos de responsable del tratamiento y encargado del tratamiento en el RGPD. ¿Qué sucede cuando un contrato identifica a una de las partes como el responsable del tratamiento y en la práctica no es el caso?

20La AEPD impone a CaixaBank una multa de 3 millones de euros por insuficiencias en su proceso de obtención del consentimiento de sus clientes para la elaboración de perfiles

21Consecuencias de imponer solo apercibimientos a las administraciones públicas por la infracción del RGPD

22Ranking de las 10 multas más altas en España por infracción del RGPD – 3er Trimestre 2021

23¿Cómo beneficia al responsable del tratamiento el tomar medidas para paliar los daños y perjuicios sufridos por los interesados cuando se produce una infracción del RGPD?

24Multa de 200.000 euros de la Agencia Española de Protección de Datos (AEPD) a BBVA por falta de medidas de seguridad en el tratamiento de datos

25La AEPD impone a Mercadona una multa de 3,15 millones de euros por varias infracciones del RGPD relacionadas con su sistema de reconocimiento facial (Parte 2/2)

26La AEPD impone a Mercadona una multa de 3,15 millones de euros por varias infracciones del RGPD relacionadas con su sistema de reconocimiento facial (Parte 1/2)

27Multa en Italia de 2,6 millones de euros a Foodinho, filial italiana de Glovo, por infracción del RGPD

28La Comisión Europea aprueba la decisión de adecuación para la libre transmisión de datos entre la Unión Europea y el Reino Unido

29Ranking de las 10 multas más altas en España por infracción del RGPD – 2o Trimestre 2021

30Amazon se enfrenta en Luxemburgo a una posible multa de 350 millones de euros por infracción del RGPD