Un 337% más recaudado en multas: así ha sido 2021 para Protección de Datos, con brechas como protagonistas

La Agencia Española de Protección de Datos o AEPD ha presentado sus memorias de 2021 haciendo un resumen de las actividades y decisiones más relevantes de este organismo, «sus cifras de gestión, y un análisis de las tendencias y los retos que afronta este derecho fundamental».

Destacan las cifras de las multas, que se han triplicado frente a 2020 y las brechas de seguridad que han marcado muchas de estas multas. Dicen desde la Agencia que uno de sus principales retos en 2021 fue lograr que el Certificado Covid, que tanto ha protagonizado diversos momentos de nuestra vida del pasado año (y este) cumpliera siempre con la regulación de datos.

Concretamente, en cuanto a multas impuestas encontramos que el importe medio de las multas se ha triplicado con respecto al año anterior y, si tenemos en cuenta todas las multas totales, el dinero recaudado en conjunto ha aumentado un 337%. En esto destaca, según palabras de la propia Agencia Española de Protección de Datos, que las brechas de datos protagonizan muchos de los casos de infracciones.

El phishing y el ransomware son clave

Cuando hablamos de multas, hay diversas causas que han llevado a esas sentencias, pero desde la AEPD destacan el protagonismo que las brechas de datos tienen en muchas de las infracciones que las empresas. Y esas brechas de datos pueden desencadenar en futuros ataques de phishing y de ransomware, sobre todo y de acuerdo con las informaciones aportadas por la Agencia.

Se pueden destacar igualmente las investigaciones realizadas a consecuencia de diversos incidentes de seguridad como el ataque de ransomware sufrido por una entidad privada que cifró y dejó indisponibles muchos de los servicios de la misma y acompañado de una exfiltración de datos. También recuerda un ataque de phishing a los empleados de un Ayuntamiento. Otra multa destacada fue por un error humano: una empresa envió por correo electrónico a los aspirantes a una oferta de empleo el listado completo de aspirantes con sus datos personales.

En el año 2021, las brechas de datos personales causadas por ciberincidentes de origen externo han tenido más protagonismo que ninguna otra causa. «Dentro de este tipo de incidentes el ransomware es el más repetido, y siguen en aumento los casos en los que el cifrado de los datos va precedido de una exfiltración de información y su puesta a la venta» en la Dark Web.

Multas récord en 2021

Hay que recordar momentos clave en el año 2021 como la multa a CaixaBank de 6 millones de euros por forzar la cesión de datos personales a sus clientes y clientas. Y, en las memorias de 2021, la Agencia vuelve a hablar de esto recordando que la sanción vino tras considerarse que «los procedimientos mediante los que recaba de sus clientes el consentimiento para elaborar perfiles con finalidades comerciales no se ajustan al RGPD» puesto que los clientes no llegan a conocer el tratamiento que se está consintiendo.

En octubre la AEPD multó a un club deportivo de Córdoba con 4.000 euros por agregar a una antigua socia a un grupo de WhatsApp con fines comerciales sin su permiso, diez años después de que la relación entre ambos hubiese finalizado y sin garantizar la confidencialidad de su información personal, según recoge la sentencia de este caso.

En marzo de 2021 Vodafone protagonizó una nueva «multa récord» de 8,1 millones de euros por saltarse la protección de datos y no frenar acciones comerciales cuando se les pedía.