Estas son las mayores sanciones impuestas a empresas por brechas de datos
Los robos de datos, propiciados por una seguridad débil, encubrimientos o errores evitables, han costado a estas empresas un total de casi 4.400 millones de dólares.
Las considerables multas impuestas por brechas de datos en los últimos años sugieren que los reguladores se están tomando muy en serio acatar medidas enérgicas contra las organizaciones que no protegen adecuadamente la información de sus consumidores.
Meta, multada con 1.300 millones de dólares por transferir ilegalmente datos personales de la Unión Europea (UE) a Estados Unidos, encabeza la lista. Estas son las sanciones más importantes impuestas por violaciones de datos o incumplimiento de leyes de seguridad y privacidad.
1. Meta (Facebook): 1.300 millones de dólares
En mayo de 2023, la Comisión de Protección de Datos (DPC) de Irlanda concluyó una investigación sobre la compañía que había iniciado en agosto de 2020, facturando al gigante de las redes sociales 1.200 millones de euros por incumplimiento del Reglamento General de Protección de Datos (GDPR, de sus siglas inglesas). Con respecto al artículo 46(1) del RGPD, el organismo irlandés de control de la privacidad culpó a Meta Ireland por la transferencia de datos personales desde la UE o el Espacio Económico Europeo (EEE) a los EE. UU. sin las garantías adecuadas de privacidad de datos en relación con la entrega. de sus servicios de Facebook. El presidente de asuntos globales de Meta, Nick Clegg, dijo: "Tenemos la intención de apelar tanto el fondo de la decisión como sus órdenes, incluida la multa, y buscaremos una suspensión a través de los tribunales para pausar los plazos de implementación".
2. Didi Global: 1.190 millones de dólares
La empresa china de transporte privado Didi Global fue multada con 8.026 millones de yuanes (1.190 millones de dólares) por la Administración del Ciberespacio de China después de que decidió que la empresa violaba la ley de seguridad de redes, la ley de seguridad de datos y la ley de protección de información personal del país. En un comunicado, Didi Global dijo que aceptaba la decisión de los reguladores de ciberseguridad, que se produjo después de una investigación de un año sobre la empresa sobre sus prácticas de seguridad y "sospechas de actividades ilegales".
3. Amazon: 877 millones de dólares
En el verano de 2021, los registros financieros del gigante minorista Amazon revelaron que funcionarios de Luxemburgo impusieron una multa de 746 millones de euros (entonces 877 millones de dólares) por incumplimiento del GDPR. Se esperaba que Amazon apelara la multa, y un portavoz afirmó: "No ha habido ninguna violación de datos y los datos de ningún cliente han sido expuestos a terceros". La Quadrature du Net, la organización francesa de derechos digitales que presentó la denuncia original de protección de datos contra Amazon en nombre de 10.065 denunciantes individuales en mayo de 2018, dijo que no era sorprendente, ya que su denuncia de 19 páginas apuntaba a la operación de Amazon de un sistema de publicidad conductual sin la adecuada consentimiento, y no una filtración intermitente de datos personales.
4. Equifax: (al menos) 575 millones de dólares
En 2017, Equifax perdió la información personal y financiera de casi 150 millones de personas debido a un marco Apache Struts sin parches en una de sus bases de datos. La empresa no logró solucionar una vulnerabilidad crítica meses después de que se publicara un parche y luego no informó al público sobre la infracción durante semanas después de su descubrimiento.
En julio de 2019, la agencia de crédito acordó pagar 575 millones de dólares (que podrían llegar a 700 millones de dólares) en un acuerdo con la Comisión Federal de Comercio, la Oficina de Protección Financiera del Consumidor (CFPB) y los 50 estados y territorios de EE. UU. por “no tomar medidas” por parte de la empresa. medidas razonables para proteger su red”.
$300 millones de esa cantidad se destinarán a un fondo que brindará a los consumidores afectados servicios de monitoreo de crédito (se agregarán otros $125 millones si el pago inicial no es suficiente para compensar a los consumidores), $175 millones se destinarán a 48 estados, el Distrito de Columbia y Puerto Rico. , y 100 millones de dólares irán al CFPB. El acuerdo también exige que la empresa obtenga evaluaciones de terceros de su programa de seguridad de la información cada dos años.
"Las empresas que se benefician de la información personal tienen una responsabilidad adicional de proteger y asegurar esos datos", dijo el presidente de la FTC, Joe Simons. "Equifax no tomó medidas básicas que pudieran haber evitado la infracción que afectó a aproximadamente 147 millones de consumidores".
Equifax ya había recibido una multa de £500 000 [~$625 000] en el Reino Unido por la infracción de 2017, que era la multa máxima permitida según la Ley de Protección de Datos anterior al RGPD de 1998.
En 2020, Equifax tuvo que pagar más acuerdos relacionados con la infracción: 7,75 millones de dólares (más dos millones de dólares en honorarios legales) a instituciones financieras de EE. UU. más 18,2 millones de dólares y 19,5 millones de dólares a los estados de Massachusetts e Indiana, respectivamente.
5. Meta (Facebook, Instagram): 413 millones de dólares
Al concluir dos investigaciones realizadas sobre las operaciones de procesamiento de datos de Meta en las regiones europeas, que comenzaron el día en que entró en funcionamiento el RGPD (25 de mayo de 2018), la Comisión Irlandesa de Protección de Datos (DPC) anunció en enero de 2023 que encontró que las plataformas Meta infringían GDPR "en relación con la prestación de sus servicios de Facebook e Instagram". Meta Ireland recibió una multa de 210 millones de euros (225 millones de dólares) por infracciones en Facebook y 180 millones de euros (193 millones de dólares) por infracciones en Instagram.
Se encontró que las operaciones de procesamiento de datos de Meta con respecto a los servicios de Facebook e Instagram violan varios artículos del GDPR, incluidos 5 (1) a), 6 (1), 12 y 13 (1) c), relacionados con el incumplimiento de obligaciones de transparencia e información.
6. Instagram: 403 millones de dólares
En septiembre de 2022, el Comisionado de Protección de Datos (DPC) de Irlanda multó a Instagram por violar la privacidad de los niños según los términos del RGPD. La queja de larga data se refería a datos pertenecientes a menores, en particular números de teléfono y direcciones de correo electrónico, que se hicieron más públicos cuando algunos usuarios jóvenes actualizaron sus perfiles a cuentas comerciales para acceder a herramientas de análisis, como visitas a perfiles.
El propietario de Instagram, Meta, dijo que planeaba apelar la decisión. "Esta investigación se centró en configuraciones antiguas que actualizamos hace más de un año y desde entonces hemos lanzado muchas funciones nuevas para ayudar a mantener a los adolescentes seguros y su información privada", dijo un funcionario de Meta a BBC News. "Si bien hemos colaborado plenamente con la DPC a lo largo de su investigación, no estamos de acuerdo con cómo se calculó esta multa y tenemos la intención de apelarla".
Andy Burrows, jefe de políticas de seguridad infantil en línea de la Sociedad Nacional para la Prevención de la Crueldad contra los Niños (NSPCC), dijo: “Esta fue una infracción importante que tuvo importantes implicaciones de protección y el potencial de causar un daño real a los niños que usan Instagram. El fallo demuestra cómo una aplicación efectiva de la ley puede proteger a los niños en las redes sociales y subraya cómo la regulación ya está haciendo que los niños estén más seguros en línea”.
7. TikTok: 345 millones de euros (370 millones de dólares)
En septiembre de 2023, TikTok recibió una multa de 345 millones de euros (370 millones de dólares) por parte de la Comisión Irlandesa de Protección de Datos (DPC) por violar la privacidad de los datos de los niños, según la ley GDPR. La DPC descubrió que TikTok no había sido lo suficientemente transparente con los niños sobre su configuración de privacidad y planteó dudas sobre cómo se procesaban sus datos.
La investigación pretendía examinar en qué medida, durante el período comprendido entre el 31 de julio de 2020 y el 31 de diciembre de 2020, TikTok cumplió con sus obligaciones en virtud del RGPD en relación con el procesamiento de datos personales relacionados con los niños usuarios de la plataforma TikTok en el contexto de :
- Ciertas configuraciones de la plataforma TikTok, incluidas las configuraciones públicas predeterminadas, así como las configuraciones asociadas con la función Emparejamiento familiar.
- Verificación de edad como parte del proceso de registro.
"Como parte de la investigación, la DPC también examinó algunas de las obligaciones de transparencia de TTL, incluido el alcance de la información proporcionada a los usuarios infantiles en relación con la configuración predeterminada". La decisión de la DPC, que fue adoptada el 1 de septiembre de 2023, registró conclusiones de infracción de los artículos 5(1)(c), 5(1)(f), 24(1), 25(1), 25(2), 12(1), 13(1)(e) y 5(1)(a) del GDPR, en relación con una variedad de cuestiones que incluyen la seguridad de los datos, la protección de datos desde el diseño y el procesamiento de datos.
Un portavoz de la empresa de redes sociales dijo a los medios de comunicación: "Respetuosamente no estamos de acuerdo con la decisión, en particular con el nivel de la multa impuesta".
8. T-Mobile: 350 millones de dólares
En julio de 2022, el gigante de las comunicaciones móviles T-Mobile anunció los términos de un acuerdo para una demanda colectiva consolidada tras una violación de datos que se produjo a principios de 2021 y que afectó a aproximadamente 77 millones de personas. El incidente se centró en el "acceso no autorizado" a los sistemas de T-Mobile después de que una parte de los datos del cliente apareciera a la venta en un conocido foro de ciberdelincuentes. En una presentación ante la SEC, se reveló que T-Mobile pagaría un total de 350 millones de dólares para financiar las reclamaciones presentadas por los miembros del grupo, los honorarios legales de los abogados de los demandantes y los costos de administración del acuerdo. La compañía también se comprometería a un gasto incremental agregado de 150 millones de dólares para seguridad de datos y tecnología relacionada en 2022 y 2023.
“La compañía anticipa que, tras la aprobación del tribunal, el acuerdo proporcionará una liberación total de todos los reclamos que surjan del ataque cibernético por parte de los miembros del grupo, que no optan por no participar, contra todos los demandados, incluida la compañía, sus subsidiarias y afiliadas, y sus directores y funcionarios”, decía el documento. “El acuerdo no contiene ninguna admisión de responsabilidad, irregularidad o responsabilidad por parte de ninguno de los demandados. Los miembros del grupo están formados por todas las personas cuya información personal se vio comprometida en el incumplimiento, sujeto a ciertas excepciones establecidas en el acuerdo. La compañía cree que los términos del acuerdo propuesto están en línea con otros acuerdos de tipos similares de reclamaciones”, añadió.
9. Meta (Facebook): 277 millones de dólares
En noviembre de 2022, la Comisión de Protección de Datos de Irlanda (DPC) multó a Meta con 277 millones de dólares (265 millones de euros) por comprometer la información personal de 500 millones de usuarios. La DPC inició su investigación el 14 de abril de 2021, luego de informes de un conjunto de datos recopilados de datos personales de Facebook que se habían puesto a disposición en Internet. El alcance de la investigación se refería a un examen y evaluación de las herramientas de búsqueda de Facebook, importador de contactos de Facebook Messenger e importador de contactos de Instagram en relación con el procesamiento realizado por Meta Platforms Ireland Limited ("MPIL") durante el período comprendido entre el 25 de mayo de 2018 y septiembre. 2019. “Las cuestiones materiales de esta investigación se referían a cuestiones de cumplimiento de la obligación del GDPR de protección de datos desde el diseño y por defecto”, escribió la DPC. “La DPC examinó la implementación de medidas técnicas y organizativas de conformidad con el artículo 25 del GDPR (que trata este concepto). Hubo un proceso de investigación integral, que incluyó la cooperación con todas las demás autoridades de supervisión de protección de datos dentro de la UE. Esas autoridades supervisoras estuvieron de acuerdo con la decisión de la DPC”.
La decisión impuso una amonestación y una orden que exigía a MPIL que cumpliera con su procesamiento mediante la adopción de una serie de acciones correctivas específicas dentro de un plazo determinado.
10. WhatsApp: 255 millones de dólares
El servicio de mensajería WhatsApp, propiedad de Facebook, recibió una multa de 225 millones de euros (255 millones de dólares) en agosto de 2021 por una serie de infracciones transfronterizas de protección de datos del RGPD en Irlanda. La multa siguió a un largo proceso de investigación y ejecución que comenzó en 2018 e implicó que la decisión propuesta por la Comisión de Protección de Datos y las sanciones fueran rechazadas por sus homólogos reguladores europeos de protección de datos, lo que resultó en una remisión y un dictamen de la Junta Europea de Protección de Datos. Las acusaciones se centraron en quejas de usuarios y no usuarios de los servicios de WhatsApp, que implicaban supuestas violaciones de las obligaciones de transparencia y de información de los interesados ??en virtud de los artículos 12, 13 y 14 del GDPR.
