27,8 millóns de euros por infraccións repetidas e prolongadas das normas de protección de datos persoais. Esta é a multa de maior contía imposta a unha empresa da UE por incumprir o Regulamento Xeral de Protección de Datos (GDPR, nas siglas en inglés), a normativa comunitaria a respecto da privacidade no Espazo Económico Europeo (EEE, os 27 Estados membros da UE mais Islandia, Liechtenstein e Noruega) e mais Suíza.
A compañía é Telecom Italia, a maior empresa de telecomunicacións do país, por violar a confidencialidade dos datos de millóns de persoas e usalos indebidamente para actividades salvaxes de telemarketing (venda por teléfono).
Italia lidera a lista elaborada pola analista financeira británica Finbold con base na información pública da GDPR a respecto das multas impostas en 2020.
No segundo posto está outra compañía que opera en territorio italiano, Wind Tre, tamén de servizos de telefonía e internet, multada con 16,7 millóns de euros por "enviar comunicacións non solicitadas sen consentimento previo", por non ofrecer aos clientes "o dereito a retirar o consentimento e obxectar do procesamento de datos persoais co obxectivo do márketing directo" e por publicar estes datos persoais "en listaxes telefónicas públicas a pesar da súa obxección".
A continuación aparecen Google, en Suíza, con sete millóns de euros; AOK, compañía de seguros de Alemaña, con 1.240.000 euros; e BKR, a oficina de rexistro de créditos financeiros dos Países Baixos, con 830.000 euros.
Información pouco clara
A maioría das compañías sancionadas son do eido das telecomunicacións, e o motivo principal é por ofrecer "insuficiente base legal para o procesamento de datos persoais". Google, sancionada en varios Estados, é unha das que máis incumpre nesta categoría.
Na práctica significa que a información ofrecida por Google durante a creación dunha conta ou na configuración dun teléfono móbil Android "non é fácil de entender", é pouco clara e comprensíbel en moitos casos ou diluíse ao longo de varios documentos en cuestións como a personalización da publicidade.
O GDPR lexisla en contra da autorización global por parte do usuario a través dos enunciados tipo "Lin e acepto os termos e condicións" ou "Acepto ao procesamento da miña información tal e como se describe arriba e que se explica na Política de Privacidade", que inclúen por defecto a aceptación da personalización de anuncios ou do recoñecemento de voz. Pola contra, a lei exixe que este consentimento se dea de forma específica para cada servizo.
As elevadas sancións a Telecom Italia e Wind Tre fan que Italia lidere con moita diferenza a lista pola cantidade total das multas. Por detrás veñen Suecia (máis de sete millóns de euros), Países Baixos (máis de dous millóns) e España e Alemaña (menos de dous millóns). En total, entre o 1 de xaneiro e o 17 de agosto impuxéronse 156 multas por un valor de máis de 60 millóns de euros.
Vodafone, 14 multas
Por número de multas, España encabeza a lista. O regulador deste Estado é, con moita diferenza, o que máis sancións impuxo no que vai de 2020. En total foron 76 (49% do total), mais con montantes moito menores. Como referencia está Alemaña, que tan só estabeleceu unha multa, a mencionada de 1.240.00 euros á compañía aseguradora, mentres que a suma das 76 españolas foi exactamente de 1.952.810 euros.
Tamén como en Italia, as empresas de telefonía ─especialmente Vodafone, con 14─ son as que máis veces foron multadas en España. O regulador, neste caso a Axencia Española de Protección de Datos, recibiu centos de informes sobre recepción de chamadas promocionais non desexadas, realizadas sen o consentimento para o procesamento de datos.
Ademais, rexistrou numerosas queixas pola falla de control dos centros subcontratados de xestión de chamadas, coñecidos polo nome en inglés de call centers; ou pola non actualización das listas negras onde figuran os contactos das persoas que non queren recibir chamadas publicitarias.
Entre as empresas españolas sancionadas están Telefónica, Xfera Moviles (Yoigo), EDP Energía (Naturgas), HM Hospitales, Iberia ou Iberdrola, con multas que non superan os 80.000 euros.
Programa espía para loitar contra a 'pirataría'
O Regulamento Xeral de Protección de Datos entrou en vigor en 2016, mais as empresas dispuxeron dunha prórroga de dous anos. A normativa europea aprobouse co fin de fortalecer e unificar a privacidade na UE e todo o Espazo Económico Europeo e para o control da transferencia de datos fóra da Unión.
Un dos casos máis significativos de incumprimento chegou en 2019. O organismo regulador en España sancionou con 250.000 euros a Liga de Fútbol Profesional por violar os principios de transparencia na súa aplicación móbil, que na altura tiñan catro millóns de persoas.
Esta app era aproveitada como "dispositivo-espía" para detectar os bares que proxectan partidos de fútbol sen pagar. Tras dar a conformidade inicial na instalación, o programa podía activar o micrófono do móbil e detectar polo son de ambiente se o usuario estaba nun bar con sinal 'pirata'.
