Malta impone la primera multa a un organismo público por infracción del RGPD

El pasado 18 de febrero, el Comisario de Protección de Datos e Información de Malta impuso a la Autoridad de Tierras de Malta una multa de 5.000 euros por un fallo de seguridad que ocasionó, en noviembre de 2018, la filtración de numerosos datos personales.

La Autoridad de Tierras es un organismo público de Malta creado en virtud del Lands Authority Act CAP 563, de 3 de febrero de 2017. Su finalidad es la gestión de los terrenos y propiedades del estado.

La brecha de seguridad fue publicada por el periódico Times of Malta el 23 de noviembre de 2018. Según el periódico, un fallo de seguridad en el sistema de solicitudes online del portal de la página web de la Autoridad de Tierras, provocó que se hicieran públicos numerosos datos personales de los solicitantes, como carnés de identidad, correspondencia de correos electrónicos y declaraciones juradas, entre otros.

Dicho fallo de seguridad permitió que buscadores de internet como Google indexaran estos datos personales, haciendo posible la búsqueda y descarga de dichos datos en internet. Concretamente, el Times of Malta pudo acceder a 10 gigabytes de estos datos personales a través del conocido buscador.

En otras palabras, la plataforma de solicitudes online de la Autoridad Terrestre no tenía implementada las medidas técnicas necesarias para garantizar la seguridad del tratamiento de datos personales, por lo que incumplía el artículo 32 del RGPD.

Si bien La cuantía de la multa es bastante reducida, este caso es interesante por ser el primer caso de infracción del RGPD por un organismo público.

 

¿Qué dice el RGPD sobre las multas administrativas a los organismos públicos?

El artículo 83.7 del RGPD establece lo siguiente: “Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro”

En virtud de dicho artículo, los Estados Miembros tienen facultades para regular y limitar las multas administrativas del RGPD a los organismos públicos.

 

¿Qué dice la normativa de protección de datos de Malta?

El artículo 21 de la Data Protection Act (CAP. 586) de fecha 28 de mayo de 2018, regula las multas administrativas del Comisario de Protección de Datos e Información a organismos públicos, y dice lo siguiente:

“El Comisario podrá, tras la debida consideración a las circunstancias de cada caso, según lo establecido en el Articulo 83(2) del Reglamento, imponer una multa administrativa a una autoridad u organismo público:

Siempre que dicha multa no exceda de 25.000 euros por cada infracción y, además, el Comisario podrá imponer un pago de multa diaria de 25 euros por cada día que la infracción persista. La infracción será impuesta por el Comisario conforme al procedimiento establecido en el articulo 26 por la infracción del Articulo 83(4) del Reglamento.

Siempre también, que dicha multa no exceda de 50.000 euros por cada infracción y, además, el Comisario podrá imponer un pago de multa diaria de 50 euros por cada día que la infracción persista. La infracción será impuesta por el Comisario conforme al procedimiento establecido en el artículo 26 por la infracción de los Artículos 83(5) o 83(6) del Reglamento.”

Es decir: si un organismo público en Malta comete una infracción del RGPD recogida en el artículo 83.4 del RGPD (como es el presente caso de infracción del artículo 32), se le podrá imponer como máximo una multa administrativa de 25.000 euros más 25 euros al día mientras la infracción persista.

En el caso de las empresas privadas, la misma infracción puede ascender a una multa administrativa de 10 millones de euros o, una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

 

Multa administrativa a la Autoridad de Tierras de Malta

El Comisario de Protección de Datos e Información de Malta impuso el pasado 18 de febrero a la Autoridad de Tierras una multa administrativa de 5.000 euros conforme al artículo 21 del Data Protection Act (CAP. 586) de Malta por la infracción del articulo 32 del RGPD relativo a la seguridad del tratamiento. La multa máxima habría sido 25.000 euros.

Según un comunicado del Comisario, una de las circunstancias que mitigaron la multa conforme a lo establecido en el artículo 83.2 del RGDP, fue la “ilimitada colaboración por parte de la Autoridad de Tierras durante la investigación” que se llevó a cabo a raíz de la brecha de seguridad de los datos personales.

 

Conclusión:

Es cuanto menos llamativo el contraste entre el régimen de multas administrativas aplicable a organismos públicos y el aplicable a las empresas privadas por infracción del RGPD.

Visto lo anterior y analizando los costes que ello conlleva, no sería descabellado pensar que, para los organismos públicos de ciertos Estados Miembros, pueda tener más sentido “pedir perdón” y tomar medidas, una vez cometida una infracción del RGPD, que invertir en la implementación de medios para anticiparse a una posible infracción.

Como dato de interés, en España, el régimen de sanciones y medidas correctivas aplicable a los organismos públicos por la infracción del RGPD, se encuentra recogido en el artículo 77 de la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos Personales y garantía de los derechos digitales.

Por último, indicar que esta es la tercera multa que hemos visto por infracción del articulo 32 de RGPD relativo a la seguridad del tratamiento de datos, siendo la primera multa al hospital portugués Centro Hospitalar do Barreiro Montijo, y la segunda multa a la empresa alemana de redes sociales “Knuddels.de”.

______

Gonzalo Sanchez-Jara Garralda, autor de este post es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), que se dedica a la formación digital de empleados en materia de compliance penal y protección de datos personales a través de su plataforma online.

Para más información sobre abc Compliance, pulse aquí. 

Suscríbase aquí para recibir los últimos post del RGPD Blog en su correo electrónico.

Comentarios

Subscribe
Notify of
guest
0 Comentarios
Inline Feedbacks
View all comments
Ir al TOP
0
Would love your thoughts, please comment.x