Una empresa infringió las normas del RGPD al tratar datos personales de menores y, por lo tanto, tuvo que pagar varios cientos de millones de euros en multas. Es una gran empresa internacional que opera una aplicación móvil con muchos niños como usuarios en todo el mundo. Fue la Autoridad Irlandesa de Protección de Datos la que investigó el tratamiento de datos personales relativos a niños de edades comprendidas entre los 13 y los 17 años. La razón por la que fue la Autoridad Irlandesa de Protección de Datos la que investigó a la compañía es porque la compañía tiene su sede en la UE allí.
Los niños son dignos de protección adicional
Es importante que las empresas que procesan datos personales pertenecientes a niños sepan que las normas son más estrictas, ya que los niños son particularmente dignos de protección. Esto se aplica de acuerdo con RGPD y muchas otras leyes. La misma empresa que tuvo que pagar una multa en este caso también tuvo que pagar una multa antes en los Países Bajos. Esto después, entre otras cosas, de informar a los interesados sobre el procesamiento en inglés en lugar de holandés. No estaba de acuerdo con el RGPD, ya que los interesados eran niños, ya que el inglés no es el idioma nacional de los Países Bajos.
La empresa infringió las normas del RGPD al tratar datos personales de menores
- Cuentas públicas: La configuración predeterminada era que las cuentas de usuario de los niños eran públicas, por lo que todos podían ver el perfil. Según la autoridad de protección de datos, dichos ajustes no son conformes con las normas sobre protección de datos desde el diseño y por defecto del artículo 25 del RGPD.
- Inclaramente informado: La empresa no informó a los interesados del tratamiento de manera suficientemente clara cuando los interesados eran niños.
- Entornos familiares: Los denominados entornos familiares de la plataforma conllevaban algunos riesgos para los niños.
Decisiones del Consejo Europeo de Protección de Datos con respecto a la empresa
El Comité Europeo de Protección de Datos (CEPD) es un organismo independiente que proporciona, entre otras cosas, asesoramiento general, como directrices y recomendaciones. Además, pueden tomar decisiones que son vinculantes. El Consejo Europeo de Protección de Datos emitió una decisión contra la empresa en relación con las soluciones de diseño utilizadas por la empresa. Tras esta decisión vinculante, la autoridad irlandesa de protección de datos adoptó su decisión.
El CEPD evaluó que las ventanas emergentes, que surgieron cuando un niño estaba a punto de registrar su cuenta, se moldearon con un diseño que los llevó a elegir ciertos ajustes de privacidad. A petición del Consejo Europeo de Protección de Datos, la Autoridad Irlandesa de Protección de Datos ordenó a la compañía que suspendiera las soluciones de diseño que no cumplen con el RGPD.
El Tribunal de Justicia de la Unión Europea se pronunció sobre la responsabilidad de una empresa en caso de violación de datos personales
Cuando una violación de datos personales puede dar lugar a un temor por parte de un interesado de que puedan producirse futuros daños inmateriales, el interesado puede tener derecho a una indemnización por daños y perjuicios. El Tribunal de Justicia de la Unión Europea se pronunció sobre esta cuestión a raíz de una petición de decisión prejudicial planteada por el Tribunal Supremo de lo Contencioso-Administrativo búlgaro. El caso involucró millones de datos personales que se filtraron después de un ciberataque contra la administración tributaria búlgara. Por lo tanto, los afectados demandaron a la autoridad tributaria. Dijeron que los datos personales que se habían filtrado podrían utilizarse indebidamente en el futuro.
El Tribunal de Justicia de la Unión Europea declaró que las víctimas pueden reclamar una indemnización por daños y perjuicios. Por otra parte, se pide a un tribunal que se pronuncie sobre varios aspectos. Por ejemplo, si la empresa, autoridad u organización en cuestión ha tomado suficientes medidas de protección. El hecho de que haya una violación de datos personales no significa que la empresa no haya hecho lo suficiente para proteger los datos personales.
