El proveedor alemán de servicios de Internet 1&1 Telecom se enfrenta a una multa de 9,6 millones de euros ($10,6 millones de libras) tras ser acusado de no llevar a cabo controles de identificación de clientes lo suficientemente estrictos.
El organismo de control de la protección de datos de Alemania dijo que cualquiera que llamara podía obtener amplia información personal sobre otra persona con solo dar su nombre y fecha de nacimiento. Los estafadores pueden obtener fácilmente esos datos en las redes sociales y en otros lugares de la red.
Pero la empresa ha impugnado la sentencia. Dijo que no aceptaba la decisión y que tenía la intención de demandar a la autoridad. La suma representa una de las mayores sanciones impuestas en virtud del Reglamento General de Protección de Datos (RGPD) de la UE.
1&1 Telecom dijo que la multa era "absolutamente desproporcionada" porque el regulador había basado sus cálculos en las ventas de la empresa en general. Sobre esta base, "incluso la más pequeña discrepancia puede dar lugar a enormes multas", se quejó su responsable de seguridad de datos, Julia Zirfas.
La empresa también señaló que estaba poniendo en marcha nuevos protocolos de seguridad que implicarán que los clientes tengan que proporcionar un código Pin cuando llamen.
Llamada de atención
En los casos más graves, las organizaciones pueden ser multadas con hasta 20 millones de euros o 4% de sus ingresos anuales en todo el mundo, lo que sea mayor. Pero los reguladores deben tener en cuenta, entre otros factores, si el organismo infractor cooperó con su investigación, si hubo infracciones anteriores y si la infracción fue deliberada o un error.
En este caso, el BfDI (Comisionado Federal para la Protección de Datos y la Libertad de Información) reconoció que 1&1 Telecom había sido "transparente y muy cooperativo" y también había tomado medidas para mejorar sus prácticas. Pero el organismo de control dijo que la suma estaba justificada por el hecho de que toda su base de clientes había sido puesta en riesgo.
En octubre, el mismo regulador sancionó a una empresa inmobiliaria alemana con una multa mayor, de 14,5 millones de euros, por retener los datos personales de los ciudadanos durante más tiempo del necesario. Y otros organismos europeos han obligado a Google, British Airways y Marriott Hotels a pagar sumas aún mayores por otras infracciones relacionadas con el RGPD.
Un experto en privacidad de datos dijo que la última sentencia seguía siendo significativa. Tim Turner, director de 2040 Training, dijo a la BBC:
Es sólo la segunda vez que se impone una sanción multimillonaria por un simple problema de seguridad, tras un caso búlgaro, ... Los centros de llamadas tienen que equilibrar el fácil acceso de los clientes con medidas de verificación sensatas, y esto será una llamada de atención para todas las organizaciones que intentan averiguar el grado de seguridad con el que deben enfrentarse a los llamantes.
Fuente: BBC News
Consulte nuestros "Premium Privacy Insights" para obtener artículos informativos sobre temas de privacidad de datos globales de amplio alcance - ADEMÁS, descargue nuestro libro electrónico gratuito sobre el cumplimiento de la CCPA titulado "The CCPA Effect".