Multa récord de 18 millones de euros por infracción del RGPD en Austria

El pasado 23 de octubre de 2019, la Agencia de Protección de Datos Austriaca (“Datenschutzbehörde” o “DSB”) impuso una multa de 18 millones de euros a la empresa austriaca Österreichische Post (“Post AG”) por infracción del RGPD. El Post AG es una empresa cotizada y el principal proveedor de servicios de correo y logística en Austria. El estado austriaco es propietario del 52,8% del Post AG.

“Esta es la multa más alta jamás impuesta en Austria», dice Matthias Schmidl, Jefe Adjunto de la DSB. Si bien la resolución de la DSB aún no es firme, y el Post AG ha prometido apelar.


Hechos:

El Post AG analizó datos personales de 2,2 millones de sus clientes, como su dirección y edad, para predecir a través de cálculos de probabilidad, sus preferencias u opiniones políticas. El Post AG vendió posteriormente dichos resultados.

Para ilustrar lo anterior, transcribimos una traducción del ejemplo que ha usado el periódico Kurier: “Cualquier persona que tenga 50 años y viva en Döbling es más probable que vote al ÖVP (Partido Popular Austriaco). Sin embargo, si vive en Simmering, entonces hay muchas más posibilidades de que vote al partido FPÖ (Partido Austríaco de la Libertad) o al partido SPÖ (Partido Socialdemócrata Austríaco)”.

Utilizando estos cálculos de probabilidad, el Post AG extrapoló las posibles opiniones políticas de 2,2 millones de clientes.

La pregunta legal a la que el DSB ha tenido que enfrentarse es: ¿deben tener la consideración de datos personales estas extrapolaciones estadísticas que calculó el Post AG a raíz de datos personales de sus clientes como la edad o dirección? El DSB sienta un importante precedente al considerar que sí.


Infracción:

La resolución de la DSB sobre esta multa aún no se ha publicado, pero un comunicado del Comité Europeo de Protección de Datos (“CEPD”) dice lo siguiente:

“La DSB ha finalizado su investigación del Post AG y ha emitido una resolución en la que indica que el Post AG infringió varias disposiciones del RGPD.

Específicamente, la DSB opina que el Post AG procesó categorías especiales de datos personales (opiniones políticas) al atribuir preferencias hacia ciertos partidos políticos a los interesados utilizando métodos de cálculo estadísticos. En ausencia de un consentimiento explícito dado por los interesados en cuestión y en ausencia de cualquier otra base legal para procesar estos datos, la DSB consideró que esto era contradictorio a lo dispuesto en el RGPD.

Por lo tanto, según lo expuesto por el CEPD, parece razonable asumir que el Post AG infringió el artículo 6 del RGPD relativo a la licitud del tratamiento, al carecer de base legal para ello, y también el artículo 9 del RGPD al tratar datos sensibles de sus clientes como es su opinión política.

Además de lo anterior, la DBS determinó que el Post AG también infringió el RGPD al procesar datos de sus clientes relacionados con la frecuencia de las entregas de paquetes para fines de marketing.

Sobre la presente multa, un comunicado de la DSB dice «Estas infracciones se cometieron de manera ilegal y deliberada, por lo que la sanción administrativa de la cantidad anterior (18 millones de euros) es adecuada para disuadir de otras infracciones similares».


Conclusión:

El fondo de este asunto nos resulta preocupante: ¿Para qué finalidad busca una empresa (con un 52,8% propiedad del estado austríaco) predecir las opiniones políticas de 2,2 millones de personas? ¿Para hacer microtargetting y mandarles publicidad concreta (verídica o falsa) que pueda servir para manipular su voto? ¿Hemos presenciado el intento de un posible “Cambridge Analytica” vía correos?

Resulta reconfortante que la DSB no solo haya investigado este caso, sino que haya actuado con tal contundencia.

Esperamos desde nuestro Blog que esta multa anime a otros reguladores europeos a investigar las “extrapolaciones estadísticas” que hacen las grandes multinacionales tecnológicas en internet (especialmente Facebook) con nuestros datos personales sin nuestro conocimiento ni consentimiento.

La multa de 18 millones de euros es la segunda multa más elevada impuesta por infracción del RGPD hasta la fecha, solo por detrás de la multa en Francia a Google. No hemos incluido en este cómputo a las empresas British Airways y Marriot, ya que la agencia británica Information Commissioner Office (ICO) aún no las ha multado formalmente, sino únicamente declarado su intención de multarlas.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en Europa, por favor no dudes en suscribirte.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.

Comentarios

Subscribe
Notify of
guest
0 Comentarios
Inline Feedbacks
View all comments
Ir al TOP
0
Would love your thoughts, please comment.x