Casi un año después de la aplicación directa del Reglamento General de Protección de Datos (RGPD), las primeras sanciones comienzan a imponerse en Europa.
Por un lado, la autoridad de protección de datos de Dinamarca recomendó hace unas semanas la imposición de una multa de 1,2 millones de coronas (aproximadamente, 160.000 euros) a una compañía de taxis por incumplimiento del RGPD.
La compañía de taxis, si bien eliminaba los nombres y las direcciones de todos sus registros después de dos años, mantenía otros datos de viajeros, como por ejemplo sus números de teléfono, durante un plazo mayor y sin una finalidad concreta. La autoridad considera que este intento de anonimización por parte de la empresa no es adecuado, y que no pueden conservarse datos durante más tiempo del necesario para cumplir con los fines del tratamiento.
Por otro lado, la autoridad de protección de datos de Polonia ha impuesto una multa de 220.000 euros a una empresa de marketing digital por el incumplimiento de deber de información a los usuarios exigido en el RGPD.
En efecto, el artículo 14 del RGPD impone a los responsables del tratamiento la obligación de informar a las personas cuyos datos van a ser tratados cuando esa información no ha sido obtenida directamente de los interesados. En este caso, la empresa obtuvo los datos personales de registros públicos y otras bases de datos públicas y, en lugar de informar del tratamiento de sus datos a los interesados, publicó un aviso en su página web, algo que la autoridad considera insuficiente.
En efecto, la empresa disponía de los datos de contacto de los afectados, pudiendo por lo tanto cumplir con la obligación de información recogida en la normativa de protección de datos aplicable.