El pasado 11 de noviembre, el Tribunal de Distrito de Bonn (Alemania) (el “Tribunal”) estimó el recurso de la empresa 1&1 Telecommunication (“1&1”) para reducir la multa de 9,55 millones de euros que le fue impuesta el año pasado por la Comisión Federal Alemana de Protección de Datos y Libertad de la Información, por la falta de medidas de seguridad apropiadas en el tratamiento de datos personales.

Tras la estimación del recurso, la multa se ha visto reducida en más de un 90%, pasando de 9,55 millones de euros a 900.000 euros.

Resumen de la infracción de 1&1:

Recordemos que el motivo que dio lugar a la mencionada multa fue la falta de seguridad en el proceso de autentificación de clientes de la línea directa de 1&1. Cualquier persona que llamara a la línea directa solo necesitaba proporcionar el nombre del cliente y su fecha de nacimiento para poder acceder a varios datos personales del mismo. Esta falta de seguridad puso en riesgo los datos personales de los 4,4 millones de clientes de 1&1.

Comunicado de prensa del Tribunal:

Si bien la sentencia del Tribunal estimando el recurso de 1&1 aún no se ha publicado, en un comunicado de prensa del Tribunal, este explica que: “El motivo (de la multa) está justificado, pero es inapropiadamente alto”.

El Tribunal también indica que, pese a que la ausencia de medidas de seguridad apropiadas de 1&1 podía permitir el acceso no autorizado a los datos personales de clientes, los datos de naturaleza más sensibles como los datos bancarios o los datos de tráfico de llamadas del cliente, no podían accederse de esta manera.

El comunicado de prensa finaliza indicando que, a juicio del Tribunal, la infracción cometida por 1&1 es de carácter “leve”. No obstante, el Tribunal confirma que el proceso de seguridad de autentificación de 1&1 era insuficiente y la empresa merecía una multa.

Falta de recursos de las agencias de protección de datos europeas:

La estimación del recurso de 1&1 por el Tribunal supone un duro revés para la Comisión Federal Alemana de Protección de Datos y Libertad de la Información que investigó el caso e impuso la infracción.

La táctica de recurrir sanciones no es nueva. Como ya vimos en un post anterior, debido a la falta de recursos económicos y humanos de las agencias de protección de datos europeas (las “Agencias”), las empresas sancionadas utilizan la táctica de desgastar a las Agencias recurriendo sus sanciones, prolongando los casos durante años de tal forma que estas no puedan permitirse continuar dedicándole recursos. Esto tiene como consecuencia que muchas Agencias sean más cautas y exhaustivas al investigar casos complejos.

Para entender la disparidad de recursos entre las Agencias y las empresas investigadas/sancionadas: según un artículo del New York Times, la Agencia de Protección de Datos de Luxemburgo, en donde Amazon tiene su sede europea, contó en el 2019 con un presupuesto de 5,7 millones de euros, una cantidad que Amazon genera en ventas en aproximadamente 10 minutos.

La Agencia de Protección de Datos Francesa (“CNIL”) contó en el 2019 con un presupuesto de 18,5 millones de euros. En contraste, la multa de 50 millones de euros impuesta por la CNIL a Google en mayo de 2018 representa aproximadamente la décima parte de lo que gana Google en ventas en un día.

Sin perjuicio de lo anterior, aun con la falta de recursos de las Agencias, recurrir no siempre funciona. El recurso de Google contra la multa de 50 millones de euros de la CNIL fue desestimado en junio de 2020 por el máximo órgano contencioso administrativo francés.

Frente a la táctica de las empresas de recurrir las sanciones, si los países europeos realmente desean proteger los datos personales de sus ciudadanos, tendrán que dedicar un mayor número de recursos económicos a sus Agencias. De esta manera, se agilizarán y profundizarán las investigaciones por infracciones del RGPD, y las sanciones de las Agencias podrán defenderse de forma más eficaz ante los tribunales.

En definitiva, se debe evitar que las empresas crean que pueden librarse de una sanción en los tribunales en lugar de implementado medidas preventivas como un adecuado programa de compliance que reduzca efectivamente el riesgo de infracción del RGPD.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.