Primera multa en Irlanda por infracción del RGPD

El pasado 15 de mayo, la Comisión de Protección de Datos irlandesa (la “DPC”) confirmó su primera multa por infracción del RGPD por un importe de 75.000 euros como consecuencia de tres brechas de seguridad en la que se revelaron datos personales de niños a personas no autorizadas.

La entidad sancionada es la agencia gubernamental Tusla, la Agencia de Niños y Familias irlandesa responsable de la protección infantil y servicios de apoyo familiar para el bienestar de los niños. Tusla ha comunicado que no recurrirá la multa.


Hechos:

Entre febrero y mayo de 2019, Tusla notificó a la DPC tres brechas de seguridad relacionadas con la revelación no autorizada de datos personales. Estas fueron incluidas por la DPC en su Informe Anual del Ejercicio 2019 y son las siguientes:

En la primera brecha de seguridad, Tusla reveló por error los datos de contacto y la dirección de una madre y su hijo a su presunto maltratador.

En la segunda brecha de seguridad, Tusla reveló accidentalmente los datos de contacto y la dirección de unos padres adoptivos y sus hijos adoptados al abuelo biológico de estos, lo que hizo que el abuelo contactara con ellos.

En la tercera brecha, Tusla reveló por error a un padre en prisión la dirección del orfanato de sus hijos.

Actualmente, la DPC lleva dos investigaciones más relacionadas con otras brechas de seguridad cometidas por Tusla.


Infracción:

En la fecha de este post, la resolución de la presente sanción aún no se ha publicado. No obstante, nos aventuramos a comentar que lo sucedido parece una infracción del principio de confidencialidad recogido en el 5.1.f) del RGPD:

“Los datos personales serán: tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)”.

Así como una infracción del artículo 32.1 relativo a la seguridad del tratamiento:

“Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo […]”


Conclusión

Tras casi dos años desde la entrada en vigor del RGPD, la DPC ha emitido por fin su primera sanción en base a dicha normativa.

Pese a la aparente falta de actividad sancionadora de la DPC, creemos necesario indicar que la DPC es un caso especial, dado que la amplia mayoría de multinacionales tecnológicas tienen su sede europea en Irlanda. Tal es el caso de Facebook, Apple, Twitter, Whatsapp, Linkedin y Google.

El principio de ventanilla única aplicable en el RGPD establece que los responsables de datos que realicen un tratamiento que afecte a ciudadanos de distintos países miembros de la UE, tendrán que responden únicamente ante la autoridad de protección de datos del país en donde la entidad tenga su sede principal.

Esto ha propiciado que varias autoridades europeas de protección de datos transmitan a la DPC irlandesa información de infracciones sucedidas en su territorio por estas multinacionales tecnológicas, añadiendo a la carga de trabajo a la DPC y retrasado las investigaciones.

Según su Informe Anual del Ejercicio 2019, la DPC dirige actualmente 21 investigaciones relacionadas con multinacionales tecnológicas, entre las cuales, ocho atañen a Facebook, tres a Twitter y dos a Apple.

Asimismo, y según el mismo Informe Anual del Ejercicio 2019, la DCP cuenta con unos recursos altamente limitados en comparación con estas empresas: 140 empleados a finales de 2019, y un presupuesto de 15,2 millones de euros en el ejercicio 2019.

Sin perjuicio de todo lo anterior, y como ya hemos indicado en un post anterior, creemos encarecidamente que, para resolver la lentitud sancionadora del RGPD, los gobiernos europeos en general y el irlandés en particular, deberían invertir significativamente más recursos en las agencias de protección de datos.

Como dijo Max Schrems, Presidente Honorario de la organización sin ánimo de lucro noyb: “El RGPD es tan fuerte como la agencia de protección de datos más débil”.

Desde el RGPD Blog confiamos en que la sanción contra Tusla no sea la última sanción de la DPC en el 2020.


Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.

Comentarios

Subscribe
Notify of
guest
0 Comentarios
Inline Feedbacks
View all comments
Ir al TOP
0
Would love your thoughts, please comment.x