Las primeras reclamaciones jurídicas a empresas por incumplimiento del actualizado Reglamento General de Protección de Datos no se hicieron esperar: el mismo día de su entrada en vigor. Las primeras entidades en vulnerar esta normativa fueron las gigantescas de las telecomunicaciones Facebook, Instagram, WhatsApp y Android. Cada queja, por separado, fue emitida por la organización sin ánimo de lucro noyb.eu y la información recogida, de primera mano, por The Guardian. La causa: la obligación de los usuarios a aceptar los nuevos términos del servicio, los cuales violan el principio de libre y voluntario consentimiento por parte de los clientes, que es un requerimiento expreso del GDPR. Si tenemos en cuenta la magnitud de estas corporaciones y su cohorte de asesores no extraña que estos casos, solo, se sigan investigando, muy lentamente, y las implicaciones legales estén suspendidas.
En cuanto a declaraciones solemnes de incumplimiento e imposición de multas, llegaron en otoño, el pasado mes de octubre, en Austria: La cámara de seguridad de una casa de apuestas grababa parte de la acera adyacente al local. El nuevo reglamento europeo de protección de datos prohíbe la toma y almacenamiento de imágenes en grandes espacios públicos con fines de vigilancia y, sin duda, esta acción vulneraba ese mandato.
En el mismo mes, en Portugal, la Comissão Nacional de Protecção de Dados de Portugal sancionó al Hospital do Barreiro con un pago de 400.000 euros divididos en tres multas, dos de 150.000 y una de 100.000. Las tres sanciones tienen en común estar relacionadas con el tratamiento y almacenamiento de datos de carácter personal.
Las dos primeras se atribuyeron a la violación del principio de confidencialidad, a su vez la última se refiere a faltas contra la prevención del acceso indiscriminado a datos vulnerando el principio de minimización. De los 296 médicos con cuentas activas en el sistema y acceso a expedientes clínicos en el momento de la inscripción, la cifra se elevó a 895 sanitarios con dicho poder, cuando no todos cumplen las credenciales.
En Alemania se produjo una filtración colosal de datos sin cifrar que ocasionó el robo de 808.000 direcciones de correo electrónico y más de 1,8 millones de usuarios y contraseñas, un hackeo de estas dimensiones no iba a pasar desapercibido ni iba a quedar impune. La sanción se impuso a la red social germánica Knuddels.de y tuvo que hacer frente a una multa de 20000 euros, pequeña en contraste con el potencial perjuicio económico a los usuarios que ese pirateo desenfrenado puede ocasionar.
Lo que resulta sorprendente es que las compañías sigan presentando alarmantes déficits de adaptación a la nueva ley sobre privacidad en internet, teniendo en cuenta el inasumible – en muchos casos – coste de las penas económicas. Y es que, el porcentaje de las organizaciones que han incorporado con éxito todas las iniciativas necesarias para cumplir con el RGPD, del primer al último punto, no llegan ni al 30%.