Multa a una empresa de Viena por tratamiento ilegítimo de datos bajo el RGPD

Una empresa de Viena se enfrenta a una multa de dos millones de euros por recogida y tratamiento ilegítimo de datos bajo el RGPD. 

 

El operador de programas de fidelidad Unser Ö-Bonus Club GmbH deberá hacer frente a una multa de dos millones de euros por tratamiento ilegítimo de datos. La compañía ha sido acusada de recoger datos de los interesados sin informarles de manera debida sobre las finalidades del tratamiento. Conforme al RGPD, los sujetos han de recibir información suficiente y completa sobre los usos que se les va a dar a sus datos y tener el derecho de decidir no proporcionar su información en caso de estar en desacuerdo. Esta decisión de la autoridad de control de Austria demuestra que las empresas que instan a sus consumidores a aceptar la política de privacidad sin ofrecerles una oportunidad real de leer y comprender los términos quedan expuestas a que se les pueda imponer una multa por no cumplir con la normativa. Cabe asimismo destacar que se les debería preguntar a los interesados si han “leído y comprendido” la política de privacidad, en lugar de solicitarles que la “acepten”, pues esto último queda reservado a aquellos casos en los que la base legítima para el tratamiento sea consentimiento.

 

A pesar de que la empresa sí proporcionaba la política de privacidad, ésta no era fácil de localizar y por tanto se consideró que no informaba de manera adecuada a los usuarios. 

 

La investigación reveló que Unser Ö-Bonus Club GmbH había habilitado un formulario de registro mediante el cual se recogían datos personales, los cuales después eran empleados para crear perfiles para los usuarios. Posteriormente esta información se compartía con empresas de publicidad con finalidades de marketing. Si bien la compañía ponía a disposición de los usuarios una política de privacidad, esta se encontraba situada de tal manera que no se localizaba con facilidad, debajo de las opciones “sí” o “no”.  Se consideró por tanto que este formato no permitía informar de forma plena a los sujetos.  

 

Se concluyó que la empresa había infringido varias provisiones del RGPD. 

 

Se determinó que Unser Ö-Bonus Club GmbH había infringido varios artículos del RGPD así como una serie de recomendaciones y orientaciones, en los campos de recogida de información, consentimiento, tratamiento de datos con finalidad de elaboración de perfiles e incumplimiento continuado tras la admisión de los hechos. Estas violaciones están vinculadas con los Artículos 6, 7, 12 y 13 del RGPD. Conforme al RGPD, las empresas podrán únicamente tratar los datos personales cuando cuentan con una finalidad legítima, y deberán ser capaces de demostrar que han recogido el consentimiento debido cuando este es aplicable. También se tendrá que proporcionar una serie de información sobre el tratamiento en el momento en que se recogen los datos y no se podrá ocultar ningún elemento ni detalle al respecto. 

 

La multa impuesta se vio incrementada por las prácticas continuadas de tratamiento de datos recogidos de manera ilegítima tras admitir las infracciones cometidas. 

 

La compañía continuó tratando los datos recogidos de manera ilegítima aun después de admitir las infracciones cometidas al respecto. Aunque el formulario se modificó para cumplir con los requisitos del RGPD, no dejaron de usarse los datos que se habían recogido por medio del anterior formulario, que había sido considerado inapropiado. La compañía acusó a la autoridad de control de Austria por no informarles de que el uso continuado de dichos datos se consideraba ilegítimo y no ético. Sin embargo, la autoridad de control decidió imponer una multa por dicho incumplimiento de manera separada, lo que hizo que la sanción alcanzase un total de dos millones de euros.  

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

Leave a Comment

(0 Comentarios)

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *