El pasado 25 de junio, la Agencia de Protección de Datos de Baden-Württemberg (Alemania) (“LfDI BW”), impuso a la empresa AOK Baden-Württemberg (“AOK”) una multa de 1,24 millones de euros por carecer de medidas técnicas y organizativas adecuadas para cumplir su deber de seguridad del tratamiento de datos personales.

AOK es una empresa de seguros de salud sita en el estado federal de Baden-Württemberg. Conforme a su página web, AOK tiene más de 10.200 empleados, 230 Centros de atención al cliente, 4.5 millones de asegurados y alrededor de 230,000 clientes corporativos, lo que la convierte en la compañía de seguros de salud más grande de Baden-Württemberg.

Hechos:

En un comunicado, la LfDI BW explica que entre el 2015 y el 2019, AOK organizó varias loterías online, a través de las cuales recopiló datos personales de los participantes, como sus datos de contacto y el seguro de salud al que estaban afiliados.

AOK planeaba enviar publicidad únicamente a aquellos participantes con seguro de la competencia que hubieran prestado su consentimiento. A tal fin, AOK elaboró unas directrices y formó a sus empleados para que estos supieran qué datos debían procesar.

No obstante, las medidas de AOK fracasaron, y como resultado se envió publicidad a más de 500 participantes que no habían prestado su consentimiento para tratar sus datos con dicha finalidad.

Infracción:

Según el comunicado de la LfDI BW, la infracción es consecuencia del “incumplimiento del deber de seguridad del tratamiento de datos (Art. 32 del RGPD)” por no contar con medidas técnicas y organizativas adecuadas.

«La seguridad de los datos es una tarea continua», explicar el Dr. Stefan Brink, Director de la LfDI BW. «Las medidas técnicas y organizativas deben adaptarse regularmente a la situación real a fin de garantizar un nivel adecuado de protección a largo plazo».

Remediación del daño:

Tras notificársele la infracción, AOK suspendió de forma inmediata sus ventas, para comprobar todos sus procesos.

AOK también creó un grupo de trabajo para incrementar la protección de datos en el proceso de ventas, y modificó sus procesos internos y controles. Estas extensas revisiones y ajustes internos, así como la amplia cooperación con la LfDI BW son factores que contribuyeron a atenuar la multa.

También se valoró el servicio que presta AOK: “mantener, restaurar o mejorar la salud de las personas aseguradas”, indicando que los desafíos a los que se enfrenta AOK en la actualidad debido a la pandemia del Covid19 se tuvieron especialmente en cuenta.

Conclusión:

El caso ilustra con claridad cómo el identificar correctamente un riesgo no es suficiente, si no se diseña e implementa un correcto control para mitigar de forma efectiva dicho riesgo, y se monitoriza regularmente su efectividad.

El caso resulta también interesante por ser la primera vez que una agencia de protección de datos tiene en consideración el Covid19 a la hora de calibrar la multa.

La presente multa de 1,24 millones de euros es la tercera más alta que hemos visto en Alemania, después de la multa a Deutsche Wohnen (14,5 millones de euros) y a 1 & 1 Telecommunication (9,55 millones de euros).

La infracción de la obligación del artículo 32 del RGPD de contar con medidas de seguridad apropiadas no es nueva. Recordemos que la infracción de este artículo en otros países ya ha dado lugar a numerosas multas, entre las que cabe destacar la multa a la Autoridad de Tierra de Malta, la multa al hospital portugués Centro Hospitalar do Barreiro Montijo, la multa a la empresa alemana de redes sociales “Knuddels.de”, y la posible multa a la que se enfrenta British Airways.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en Europa, por favor no dudes en suscribirte a nuestro blog.