La semana pasada nos hacíamos eco de una multa histórica impuesta a la aerolínea British Airways en relación con el incidente de seguridad ocurrido en septiembre de 2018 y que provocó que se obtuviesen los datos personales y financieros de alrededor de 500.000 usuarios. La sorpresa fue mayúscula, especialmente para la empresa, pero no ha sido la única sanción que se ha producido en los últimos días ni tampoco la más elevada.
Multa a los hoteles Marriot
El mismo organismo que impuso la sanción a British Airways, la Oficina del Comisionado de la Información del Reino Unido (ICO por sus siglas en inglés) también pretende multar a la cadena de Hoteles Marriot con 99 millones de libras. Esta multa también viene derivada del incumplimiento de la GDPR a la hora de proteger adecuadamente los datos de sus clientes, lo que provocó la exposición de datos personales de alrededor de 339 millones de usuarios de esta conocida cadena hotelera.
A pesar de que el incidente se comunicó en noviembre de 2018, se piensa que realmente comenzó en 2014, cuando algunos sistemas de la cadena hotelera Starwood fueron comprometidos. Al ser adquirida esta cadena por Marriot en 2016 no se adoptaron las medidas necesarias para proteger los sistemas, algo que provocó que durante varios años los datos de los clientes estuvieran expuestos a posibles filtraciones.
En base al Reglamento General de Protección de Datos (GDPR) estás sanciones están más que justificadas, puesto que se aplican a aquellas empresas que incumplen las medidas de seguridad necesarias para proteger los datos de sus usuarios. Recordemos que las sanciones pueden llegar a suponer hasta un 4% de los ingresos globales de la empresa multada, por lo que incluso hay margen para aumentar las que ya se han producido.
Facebook multado con 5.000 millones de dólares
La otra noticia importante relacionada con multas a empresas que no han protegido adecuadamente los datos de sus usuarios tiene como protagonista al gigante tecnológico Facebook. Tras el escándalo provocado por el uso indebido por parte de Cambridge Analytica de los datos de 87 millones de usuarios de Facebook, datos que fueron empleados para influenciar a votantes en las campañas presidenciales de Estados Unidos y en el referéndum sobre el Brexit.
Tras varios meses de negociaciones con la Comisión Federal de Comercio de los Estados Unidos (FTC), Facebook ha aceptado pagar la friolera cantidad de 5.000 millones de dólares como multa por incumplir los acuerdos que la empresa firmo con esa misma organización en 2011 y que les obligaba a obtener el consentimiento explicito de los usuarios antes de compartir sus datos personales con terceros.
A pesar de ser la sanción más elevada impuesta hasta ahora por la FTC, esta multa solo representa un mes de ingresos para Facebook, por lo que algunos senadores no ven con buenos ojos este acuerdo indicando que la empresa no cambiará su forma de actuar con respecto a los datos de sus usuarios por una multa así.
Conclusión
Las elevadas cantidades que acabamos de comentar no son lo habitual cuando hablamos de sanciones por incumplimiento de protección de datos. Ejemplos como la sanción impuesta a LaLiga recientemente en España se quedaron en tan solo 250.000 euros. Eso hace que algunas empresas prefieran pagar estas cantidades antes que mejorar la seguridad de sus sistemas y los datos que en ellos almacenan. Probablemente, estas multas elevadas sirvan para llamar la atención y que las empresas se empiecen a tomar en serio reglamentos como el GDPR pero es posible que para que eso suceda aun tengamos que esperar bastante tiempo.