El pasado 10 de septiembre de 2019, la Agencia de Protección de Datos Polaca (UODO) impuso una multa de aproximadamente 645.000 euros a la tienda online Morele.net. por carecer de medidas de seguridad adecuadas para proteger los datos personales de sus clientes.

Como consecuencia de dicha falta de seguridad, en noviembre de 2018, tuvo lugar una quiebra de seguridad de datos personales en la que se sustrajeron los datos de más de 2.2 millones clientes. Los datos personales sustraídos consistían en: nombre, apellidos, número de teléfono, correo electrónico y dirección del domicilio.

Además, 35.000 de las personas afectadas, habían solicitado a Morele.net préstamos a plazos, por lo que sus datos personales eran de naturaleza más sensible, al contener información como el número de DNI, educación primaria, fuentes de ingresos, ingresos mensuales netos, costes del hogar, estado civil, deudas y otras cargas financieras.

La UODO consideró la quiebra de protección de datos como muy grave por el alto número de personas afectadas, así como por el elevado riesgo para los derechos y libertades de los afectados, ya que quedaban expuestos a situaciones vulnerables como por ejemplo la suplantación de identidad.

En este sentido, en el mismo mes de noviembre de 2018, los clientes de Morele.net informaron a dicha empresa que habían recibido SMS fraudulentos informándoles de la necesidad de realizar un abono adicional de 20 céntimos de euro a través del sistema de pago electrónico DotPay para completar su pedido en Morele.net.

Infracción:

Según la resolución de la UODO, Morele.net infringió los siguientes artículos del RGPD:

El artículo 5.1.f) que recoge el principio de integridad y confidencialidad: “Los datos personales serán: … f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”

El articulo 24.1 sobre la responsabilidad del responsable del tratamiento: “Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.”

El articulo 25.1 sobre el principio de protección de datos desde el diseño y por defecto: “Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.”

El articulo 32.1 y .2 sobre la seguridad del tratamiento: “1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros…

2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

Atenuantes:

Al determinar el importe de la multa, la UODO tuvo en consideración los siguientes atenuantes:

a) La actitud proactiva de Morele.net en cuanto a medidas para poner fin al incumplimiento (artículo 83.2.c) del RGPD).

b) La cooperación de Morele.net con la UODO (artículo 83.2.f) del RGPD).

c) La ausencia de antecedentes de Morele.net por infracciones del RGPD(artículo 83.2.e) del RGPD).

Conclusión:

La presente multa de 645.000 euros de la UODO resulta especialmente interesante por ser la segunda mayor multa por infracción del RGPD que hemos visto desde la multa impuesta a Google en Francia en enero de 2019, si excluimos a la agencia británica ICO y su declaración de intenciones de multar a Marriot Hoteles y a British Airways con 99 y 183.39 millones de libras respectivamente.

Frente a las resoluciones que hemos visto de la AEPD que castigan la infracción de un solo artículo del RGPD, en la presente multa, la UODO castiga la infracción de varios artículos del RGPD: artículos 5.1.f), 24.1, 25.1, 31.1 y .2. Dicha infracción múltiple parece lógica, ya que la infracción de la obligación de contar con medidas de seguridad apropiadas del articulo 32 probablemente siempre irá de la mano de la infracción del principio de confidencialidad recogido en el artículo 5.1.f).

Destacar también que es la primera vez que vemos a una agencia de protección de datos utilizar como atenuante la ausencia de antecedentes del infractor recogido en el artículo 83.2.e): “toda infracción anterior cometida por el responsable o el encargado del tratamiento”.

La infracción de la obligación del artículo 32 del RGPD de contar con medidas de seguridad apropiadas no es nueva. Recordemos que la infracción de este artículo en otros países ya ha dado lugar a numerosas multas, entre las que cabe destacar la multa a la Autoridad de Tierra de Malta, la multa al hospital portugués Centro Hospitalar do Barreiro Montijo, la multa a la empresa alemana de redes sociales “Knuddels.de”, y la posible multa a la que se enfrenta British Airways.

Las empresas deben tener presente que la falta de medidas de seguridad no es solo una de las infracciones más comunes del RGPD, sino que, además, puede originar numerosas infracciones y costes adicionales, ya que por lo general la falta de medidas de seguridad tiende a salir a la luz a través de quiebras de seguridad de datos personales.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en Europa, por favor no dudes en suscribirte.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.