COVID 19 + medidas mitigación = menor multa RGPD

Una de las principales razones por las cuales el Reglamento General de Protección de Datos de la Unión Europea (RGPD) ha llamado la atención, cuando hace casi más de dos años empezó a regir, era el elevado monto de sanciones previstas para aquellos que vulneran los datos personales de los ciudadanos europeos. Dichas multas podrían llegar a un techo de 20 millones de euros o el 4% de la facturación anual y mundial del infractor, lo que resultase mayor. 

A mediados de 2019, ICO (Information Commissioner Office) la autoridad de aplicación del Reino Unido, había sorprendido estableciendo propuestas de sanción sumamente altas sobre British Airways y Marriott Hotels, con motivo de los quiebres de seguridad padecidos por ambas empresas, que pusieron en vilo gran cantidad de datos personales de sus clientes. En el caso de British Airways se había pensado en una multa de U$S 230 millones y de U$S 123 millones para Marriott, colocando a dichas propuestas de multa como primera y segunda respectivamente en el ranking de sanciones por violación de datos personales bajo el RGPD. 

La semana pasada nos ocupamos de analizar la multa impuesta a British Airways donde remarcamos las razones por las cuales entendíamos que se había reducido significativamente la multa originalmente prevista. Ahora evaluamos los antecedentes que motivaron la sanción y las enseñanzas que nos quedan de las razones argumentadas para reducir la multa originalmente prevista para Marriott. 

En el año 2014 la cadena de hoteles Starwood sufrió un data breach donde se vieron comprometidos datos personales de 30 millones de clientes europeos afectados. Al año siguiente la cadena Starwood es comprada por Marriot, pero recién en 2018 Marriot toma conocimiento del data breach ocurrido en 2014. Lo expuesto denota que el quiebre de información ocurrido no fue detectado hasta cuatro años de ocurrido, y que la auditoría (due diligence) habitualmente realizada en los procesos de M&A tampoco sirvió para detectarla, y originando una importante contingencia a futuro para el comprador. Como primera enseñanza debemos considerar la imperiosidad de que profesionales de informática complementen los equipos de due diligence en M&A, habitualmente integrados por abogados y contadores, y la relevancia de dichas auditorías desde el momento que el comprador debe responder por los incidentes pasados de data breach que pueda presentar la empresa target a ser comprada. 

El monto finalmente impuesto como multa alcanzó los U$S 23,8 millones implicando una reducción de casi U$S 100 millones de la multa originalmente prevista. Las razones que llevaron a la reducción significativa del monto deben encontrarse en: i) la multa involucra solamente el período que comienza a partir del 25 de mayo de 2018 junto con la vigencia del RGPD; ii) el impacto económico de la pandemia del COVID 19 sobre el negocio del sancionado; iii) valoración de las medidas de mitigación adoptadas consistentes en adopción de una página web dedicada a proveer información a los afectados; apertura de una línea de ayuda dedicada; envío de millones de notificaciones por email a los afectados; posibilidad de alistarse en un servicio de monitoreo de la información personal de los afectados. 

Sanciones como las aquí analizadas vienen a confirmar la necesidad de adoptar una visión multidisciplinaria respecto a la gestión de datos personales. 

Crearis Latam ha llevado dicha noción a la práctica a través de su servicio de las 3Ds (Data Due Diligence) desarrollado con éxito en la región y que atiende a las particularidades del cliente y al sector en donde desarrolla su actividad.