2023 fue un gran año para las regulaciones de protección de datos, con grandes multas del RGPD que afectaron a algunos de los nombres más importantes de la tecnología.
El Reglamento General de Protección de Datos (GDPR) es un reglamento de la UE introducido en 2018 que redefinió la protección de datos tal como la conocemos.
Cinco años después, el RGPD está sometiendo el campo de la protección de datos a muchas pruebas y tribulaciones a medida que las empresas se enfrentan a definiciones cambiantes y la conciencia pública sobre la privacidad de los datos aumenta con la publicidad dirigida, los algoritmos de comportamiento y la inteligencia artificial que se utilizan en los principales casos judiciales. se adelanta. castigos
A continuación, repasaremos las diez mayores sanciones del RGPD de 2023.
- Metaplataformas: 1.200 millones de libras esterlinas
En mayo, Meta, la empresa matriz de Facebook, Instagram y WhatsApp, recibió una multa récord de 1.200 millones de libras esterlinas por parte de la Comisión Irlandesa de Protección de Datos (DPC).
Esta fue la multa más grande jamás impuesta por violar las regulaciones del RGPD de la UE, y con razón.
Meta fue multada por mal manejo de la forma en que transfirió datos entre la UE y EE. UU.
Esencialmente, Meta se basó en una cláusula de tratado estándar para las transferencias de datos entre la UE y los EE. UU., pero a la UE le preocupaba que Meta no proporcionara salvaguardias adecuadas para proteger los datos de la UE de las leyes de privacidad de datos de los EE. UU.
Las decisiones no solo fueron sonadas porque se trataba de una multa récord, o porque iba contra una de las empresas de tecnología más grandes del mundo, sino por un posible precedente que podría haber relacionado con la transferencia de datos.
Impugnó la cláusula del contrato que vincula a Meta a la transferencia de datos a Estados Unidos, que hasta hace poco era limitada.
Ahora, sin embargo, la UE ha creado un puente de datos con Estados Unidos, simplificando las transferencias de datos entre las dos naciones.
2. Meta: 390 millones de euros
La Comisión Irlandesa de Protección de Datos ha multado a Meta con 344 millones de libras esterlinas por utilizar «consentimiento forzado» para publicidad personalizada.
La sentencia y el fallo se produjeron después de dos largas batallas legales que estallaron en 2018, después de que el RGPD se introdujera por primera vez en la Unión Europea.
Cada caso, uno contra Instagram y otro contra Facebook, abordó cómo Meta obtuvo una base legal para utilizar datos de clientes para crear anuncios personalizados.
En ambos casos, los demandantes afirmaron que el acuerdo de consentimiento, que requería que los usuarios aceptaran que sus datos personales se utilizaran para publicidad personalizada o comportamental, era en realidad un «consentimiento forzado», porque los usuarios sin sus condiciones de consentimiento no pueden utilizar el servicio.
3. TikTok: 345 millones de euros
El DPC de Irlanda ha multado a la empresa de redes sociales TikTok con 345 millones de euros (296,92 millones de libras esterlinas) después de considerar que no cumple con el RGPD con datos de niños.
En este caso, que se presentó originalmente en 2021, los usuarios cuestionaron si TikTok violó el RGPD al tener usuarios menores de 13 años en la plataforma, con lo que se consideran métodos que desafían la edad.
Si bien TikTok tiene una edad mínima de usuario de 13 años, la DPC tenía conocimiento de que niños menores de 13 años usaban la plataforma de redes sociales.
Además, no proteger a estos usuarios menores de edad del ojo público también convierte a TikTok en un acto criminal y punible.
4. Criteo – 40 millones de euros
Criteo, una importante empresa europea de tecnología publicitaria, finalmente recibió una multa de la autoridad francesa de protección de datos por un caso que comenzó en 2018, poco después de la introducción del RGPD.
Privacy International fue el primero en expresar su preocupación de que Criteo estuviera utilizando técnicas manipulativas de procesamiento de datos para publicidad comportamental.
La decisión inicial se tomó en 2022, pero fue apelada. En 2023, la agencia francesa de protección de datos redujo la multa de 60 millones de euros a 40 millones de euros, pero aún así se descubrió que Criteo no había demostrado el consentimiento del usuario, la transparencia y el respeto por el derecho de acceso.
5. TikTok: multa de £12,7 millones
Esto nos lleva de regreso al Reino Unido, donde el RGPD del Reino Unido aún conserva muchas de las leyes y regulaciones de la versión europea, pero cae bajo la jurisdicción de la Oficina del Comisionado de Información (ICO).
La ICO impuso la multa tras una serie de infracciones de la ley de protección de datos, incluida la falta de uso legal de los datos personales de los niños.
John Edwards, Comisionado de Información del Reino Unido, dijo: «Las leyes existen para garantizar que nuestros niños estén tan seguros en el mundo digital como en el mundo físico». «TikTok no cumplió con esas leyes».
Esta decisión dejó atrás muchas de las consecuencias del caso europeo: se descubrió que TikTok había procesado los datos de 1,4 millones de niños menores de 13 años, pero no protegió a estos usuarios ni proporcionó controles adecuados.
Tras la multa, el ICO publicó su Código del Niño para introducir normas más estrictas para proteger los datos de los niños en línea.
6. TIM SpA: 7,6 millones de euros
La DPA de Italia multó a la empresa de telemercadeo por centros de llamadas abusivos e incluso por publicar ilegalmente datos personales en registros telefónicos públicos sin el consentimiento de esos clientes.
Según se informa, la empresa tiene margen de mejora en lo que respecta al protocolo del centro de llamadas y consideraciones de privacidad.
7. WhatsApp: 5,5 millones de euros
Al igual que en el caso contra Facebook e Instagram, Whatsapp, que también es propietaria de Meta, fue multada con £4,8 millones por el regulador de datos irlandés por forzar el consentimiento del usuario para la recopilación de datos personales.
Se descubrió que WhatsApp obligaba a los usuarios a dar su consentimiento para la recopilación de datos personales mediante la colocación de una cláusula en sus términos de servicio.
Como los usuarios no podían acceder al servicio sin dar su consentimiento para que se recopilen y procesen sus datos personales, los denunciantes argumentaron que se trataba de un consentimiento forzado y una violación del RGPD.
El caso llegó a la autoridad de protección de datos de la Unión Europea, el Comité Europeo de Protección de Datos (EDPB), que concluyó que WhatsApp no podía utilizar la base legal del contrato para obtener el consentimiento del usuario sobre los datos personales, multó a WhatsApp y le dio seis meses para obtenerlo. políticas. Cumple con el RGPD.
8. Clearview AI Inc. – 5,2 millones de euros
Clearview AI, la empresa de reconocimiento facial de IA empleada polémicamente por las autoridades encargadas de hacer cumplir la ley, fue multada en 2023 por no cumplir con el RGPD después de que se impusiera la multa inicial en 2022.
Sugerir
La multa comenzó en Francia, donde la autoridad de protección de datos impuso una multa de 20 millones de euros y ordenó a la empresa no recopilar ni procesar datos sobre personas en Francia sin una base legal y eliminar dichos datos después de responder a las solicitudes. para alcanzarlo.
La empresa no presentó ninguna prueba de colusión y, por tanto, recibió una multa.
9. Spotify: 4,9 millones de euros
Spotify ha sido multada en Suecia por no ser transparente sobre cómo utiliza los datos que recopila de sus usuarios.
Si bien Spotify divulgó datos personales cuando se le solicitó, se descubrió que no proporcionaba información suficientemente clara sobre cómo la empresa utilizaba estos datos.
Dado que Spotify tiene usuarios en todo el mundo, la decisión se tomó en colaboración con otras autoridades de protección de datos de la Unión Europea.
La demanda fue presentada originalmente por noyb, un grupo de privacidad y derechos digitales, en 2019, que alegaba que Spotify no proporcionó a los usuarios los datos que solicitaron, ni transferencias internacionales de datos.
10. Trygg-Hansa – 3 millones de euros
Se descubrió que la compañía de seguros sueca Trygg-Hansa no había impedido el acceso no autorizado a los datos de 650.000 interesados.
Los datos incluyen información que va desde nombres y detalles de contacto hasta detalles de salud, números de seguro social, titulares de seguros y detalles financieros.
Los resultados alarmantes mostraron que se podía acceder a estos datos en texto plano en Internet sin necesidad de autenticación.