La autoridad de control de Grecia ha impuesto una multa a dos compañías de telecomunicaciones por tratamiento ilegítimo de datos y una brecha de seguridad.
Una investigación motivada por una brecha de seguridad ha resultado en una multa de 6 millones de euros y otra de 3.25 millones de euros en dos empresas, respectivamente. COSMOTE y OTE han sido así multadas por varias infracciones del RGPD tras una investigación llevada a cabo por la autoridad de control de Grecia iniciada por una brecha de seguridad que tuvo lugar en septiembre de 2020. Los datos de tráfico de los suscriptores se guardaban durante 90 días desde la fecha de la llamada con la finalidad de solucionar cualquier problema que pudiese surgir. Según informaron las empresas, los datos eran después anonimizados y conservados durante 12 meses con finalidades estadísticas. La autoridad de control examinó la legalidad del almacenamiento de los datos así como las medidas de seguridad aplicadas y concluyó que no cumplían con la normativa, de manera que impuso una sanción económica a las organizaciones y les ordenó que cesasen el tratamiento de datos y procediesen a la eliminación de los mismos.
COSMOTE infringió los principios de legalidad y transparencia y violó el RGPD, y como resultado se le impuso una multa de 6 millones de euros.
La autoridad de control de Grecia concluyó que COSMOTE no proporcionaba información clara ni suficiente a sus suscriptores. Además las técnicas de anonimización no habían sido implementadas de manera óptima y las medidas de seguridad no eran apropiadas para proteger los datos. La autoridad de control identificó también que la compañía había realizado una evaluación de impacto de protección de datos deficiente, lo que habría agravado la situación. En relación al tratamiento en cuestión, existía confusión en cuanto a los roles de las dos compañías involucradas. En consecuencia se determinó que todos estos elementos suponían una infracción de los artículos 5(1)(a), 12, 13, 14, 25, y 35(7) del RGPD.
El artículo 5(1)(a) establece que los datos deberán ser “tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”), lo cual no se cumplía en este caso. COSMOTE también habría violado el Artículo 25 del RGPD por no implementar de manera óptima la anonimización de los datos de los suscriptores, de manera que contaría con datos pseudonimizados en su lugar. Los artículos 12-14 del RGPD regulan los derechos específicos de los interesados, incluidos el derecho de transparencia y el derecho a recibir información específica sobre el tratamiento de los datos personales que debe ser proporcionada cuando se recojan datos de los sujetos y también en determinados casos en los que la información provenga de otras fuentes. En el caso concreto esta información no se ofrecía. Por otro lado, el artículo 35(7) del RGPD subraya la información específica que debe incluirse en la evaluación de impacto de protección de datos para confirmar que sea efectiva y en esta situación la evaluación realizada era deficiente. La combinación de todas estas infracciones condujo a la multa récord impuesta por la autoridad de control de Grecia.
Se determinó que ΟΤΕ S.A. o HELLENIC TELECOMMUNICATIONS ORGANISATION S.A., había infringido el Artículo 32 del RGPD y fue multado con 3.25 millones de euros.
Conforme al artículo 32 del RGPD, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. La autoridad de control dispuso que las medidas de seguridad de OTE eran insuficientes para proteger los datos de los suscriptores de manera óptima en relación con la infraestructura usada en el contexto de la brecha. Dado que no se asignaron de manera debida las funciones de cada empresa en relación al tratamiento de datos en cuestión, ambas habrían incumplido los artículos 5(2), 26 y 28 del RGPD. El Artículo 26 aborda el concepto de corresponsabilidad, mientras que el artículo 28 regula el papel del encargado de tratamiento. Las empresas no habían delimitado las funciones de cada una, bien corresponsabilidad o responsable y encargado. El artículo 5(2) del RGPD estipula que el responsable deberá demostrar cumplimiento con lo dispuesto en el artículo 5(1) (principio de ‘responsabilidad proactiva’), el cual también habrían infringido las dos empresas.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Infórmate aquí.