La autoridad de control holandesa ha impuesto una multa de 525.000 € a la Asociación de Tenis Holandesa por la venta ilegítima de datos personales de sus miembros a dos patrocinadores.
La autoridad de control holandesa ha impuesto recientemente una multa a la Asociación de Tenis Holandesa (KNLTB) bajo el RGPD por la venta ilegítima de datos personales de sus miembros a dos de sus patrocinadores. La información cedida contenía nombres, direcciones y género, lo cual era después utilizado por los patrocinadores con fines de marketing, tanto por teléfono como por correo postal. Uno de los patrocinadores compró la información de 50.000 miembros, y el otro adquirió datos de más de 300.000. Mientras que la KNLTB sostuvo que llevó a cabo dicha venta en su interés legítimo, la autoridad de control holandesa consideró que fue la ganancia económica el móvil que les llevó a infringir el RGPD.
Otras multas impuestas por la autoridad de control holandesa.
La autoridad de control holandesa ha impuesto otras dos multas bajo el RGPD. La primera de ellas fue contra la Dutch UWV (Agencia de Seguridad Social) en 2018, a partir de la cual se solicitó a UWV que mejorase los niveles de seguridad en la entrada, lo cual debería haber realizado para octubre de 2019, pero ha sido pospuesto un año, lo que podría suponer una multa de 150.000 € por mes, hasta un total de 900.000 €. La segunda multa se impuso en el hospital Dutch Haga Hospital, con motivo de una falta de seguridad en el registro de datos de pacientes, lo cual provocó que unos 200 empleados tuviesen acceso a los datos médicos de una celebridad local que después se filtraron a la prensa. La multa fue de 460.000 €.
Por otro lado, la autoridad de control holandesa lanzó una investigación sobre Facebook por no informar de manera adecuada del uso de sus datos para fines de publicidad dirigida. Este hecho no desencadenó una multa, pero inspiró un cambio en la política de privacidad de Facebook.
La política de la autoridad de control holandesa para la imposición de multas.
A fin de mantener una consistencia con la multas impuestas, la autoridad de control holandesa ha desarrollado unas políticas específicas para determinar el nivel de las mismas. Las sanciones están divididas en categorías, determinadas por el artículo del RGPD que corresponda. Como señala el artículo de la INPLP, las multas pueden verse incrementadas o reducidas en función de los siguientes factores:
- La naturaleza, severidad y duración de la infracción, teniendo en cuenta también la naturaleza, ámbito y finalidad del tratamiento en cuestión, el número de personas afectadas y el daño infringido en las mismas.
- La naturaleza deliberada de la infracción.
- Las medidas tomadas por el responsable o el encargado para limitar el daño en los sujetos involucrados.
- La responsabilidad del encargado o responsable de los datos, considerando las medidas técnicas y organizativas que deberían haberse tomado conforme a los artículos 25 y 32 RGPD.
- Infracciones previas.
- Nivel de cooperación con la autoridad de control holandesa para remediar la infracción y reducir las posibles consecuencias negativas.
- Las categorías de datos personales afectadas por la infracción.
- La manera en la que la autoridad de control ha sido notificada de la infracción y si el responsable ha informado de la misma.
- En qué medida el responsable o el encargado ha cumplido con otras medidas previas impuestas por la autoridad de control conforme al artículo 58 (2) del GDPR.
- Cumplimiento con códigos de conducta conforme al artículo 40 del RGPD o con mecanismos de certificación aprobados referidos en el artículo 42 RGPD.
- Cualesquiera otras circunstancias que puedan ser consideradas factores agravantes o atenuantes, como ganancias adquiridas o pérdidas evitadas, independientemente de que se deriven de forma directa o no del incumplimiento.
Su guía general para la imposición de multas se basa en las siguientes categorías, como determina el RGPD:
Categoría | Rango de multas | Multa estándar |
I | €0 to €200,000 | €100,000 |
II | €120,000-€500,000 | €250,000 |
III | €300,000-€750,000 | €525,000 |
IV | €450,000-€1,000,000 | €725,000 |
La multa impuesta a la Asociación de Tenis Holandesa, KNTLB, se basó en una categoría III de incumplimiento y por lo tanto incurrió en la multa base para esta categoría: 525.000€. Hasta ahora este año, hemos informado de dos multas impuestas por el Garante, la autoridad de control italiana: a Tim Spa y a Eni Gas E Luce, por 27,8 y 11,5 millones de euros respectivamente. De forma más reciente, la ICO en Reino Unido ha impuesto una multa de medio millón de libras a CRDNN Ltd.
Con las autoridades tomando medidas contra las empresas que hacen un mal uso de los datos que tratan, es esencial que las organizaciones aseguren cumplimiento con el RGPD, la LSSI y la LOPDGDD. Aunque esta es sólo la tercera multa impuesta por la autoridad de control holandesa bajo el RGPD, se trata de la primera autoridad de control en la UE que define una política para imponer multas, de manera que puede inspirar a otros Estados Miembro a hacer lo mismo.