Salta el contingut
Ciber_UT3_portada.png

Exercici de Recerca: Casos de Sancions per Incumpliment del RGPD

Mòdul de Normativa de Ciberseguretat - Curs d'Especialització en Ciberseguretat

Objectiu de l'Exercici

Realitzar una anàlisi crítica de 5 casos reals de sancions per incumpliment del RGPD per comprendre l'impacte real de la normativa de protecció de dades en les organitzacions i desenvolupar competències en:

  • Identificar vulnerabilitats i incompliments en la gestió de dades personals
  • Analitzar els requisits del RGPD en contextos reals
  • Relacionar la gestió de riscos amb el compliment normatiu
  • Desenvolupar conciència sobre les conseqüències legals i econòmiques del no-compliment

Context Normatiu

Recordeu que, segons el mòdul de Normativa de Ciberseguretat:

  1. El RGPD (Reglament General de Protecció de Dades) és una normativa de compliment obligatori amb el màxim nivell de risc per a les organitzacions

  2. Els incompliments pot comportar:

    • Sancions administratives d'até 20 milions d'euros o el 4% de la facturació mundial anual
    • Responsabilitat penal dels administradors i responsables de compliment
    • Danys reputacionals i pèrdida de confiança

  3. La gestió de riscos de compliment és essencial per prevenir violacions

Casos d'Estudi: Els 5 Casos

Cas 1: META (Facebook, Instagram, WhatsApp) - 1.200 milions d'euros (maig 2023)

Empresa: Meta Platforms Ireland Limited

Sanció: €1.200.000.000 (la més gran en la història del RGPD)

Autoritat: Autoridad de Control de Dades d'Irlanda (DPC)

Motiu de la sanció: Transferència il·legal de dades personals als Estats Units, violant la decisió Schrems II. La incompatibilitat entre les lleis de vigilància estatunidenques i els estàndards de protecció de l'UE va ocasionar una vulnerabilitat crítica.

Obligacions incumplides:

  • Article 44 RGPD: Transferència de dades a tercers països
  • Article 5: Principis de legalitat i legitimació
  • Manca de mecanismes adequats de seguretat

Cas 2: AMAZON - 746 milions d'euros (juliol 2023)

Empresa: Amazon Europe Core, S.à.r.L

Sanció: €746.000.000

Autoritat: Comissió Nacional de Protecció de Dades de Luxemburg (CNPD)

Motiu de la sanció: Violations en el tractament de dades de usuaris, incloent:

  • Tractament no transparent de dades personals
  • Manca de base legal per al tractament de dades publicitàries
  • Violacions del dret a la informació dels interesats

Obligacions incumplides:

  • Article 6: Legitimació del tractament
  • Article 13-14: Dret a la informació
  • Article 21: Dret d'oposició

Cas 3: GOOGLE - 10 milions d'euros (maig 2022)

Empresa: Google LLC

Sanció: €10.000.000

Autoritat: Comissió Nacional de Protecció de Dades d'Espanya (AEPD)

Motiu de la sanció: Violacions múltiples incloent:

  • Transferència no autoritzada de dades a tercers
  • Obstaculització del dret de supressió (dret a l'oblit)
  • Falta de transparència en la cessió de dades

Obligacions incumplides:

  • Article 17: Dret a l'oblit
  • Article 6: Falta de legitimació
  • Article 21: Obstaculització dels drets

Cas 4: VODAFONE - 8.150.000 euros (2021)

Empresa: Vodafone España

Sanció: €8.150.000

Autoritat: Agencia Espanyola de Protecció de Dades (AEPD)

Motiu de la sanció: Múltiples incompliments incloent:

  • Forat de seguretat sense notificació adequada
  • Negligència en l'aplicació de mesures de seguretat
  • Falta de detecció de l'incident
  • Negligència de tercers contractats

Obligacions incumplides:

  • Article 32: Seguretat del tractament
  • Article 33: Notificació de forats de dades
  • Article 28: Control del contractista

Cas 5: TIKTOK - 510 milions d'euros (juliol 2023)

Empresa: TikTok Technology Limited

Sanció: €510.000.000

Autoritat: Autorità Garante per la Protezione dei Dati Personali d'Itàlia

Motiu de la sanció: Violacions derivades de denúncies de consumidors:

  • Tractament inadequat de dades de menors
  • Manca de consentiment adequat
  • Transferència de dades a tercers países sense garanties
  • Insuficiència de mesures de seguretat per a menors

Obligacions incumplides:

  • Article 8: Consentiment de menors
  • Article 32: Seguretat del tractament
  • Article 44: Transferències internacionals inadequades

Tasques de l'Exercici

Tasca 1: Anàlisi Individual de Cas

Per a cada cas assignat:

  1. Context empresarial:

    • Naturalesa del negoci
    • Volum de dades tractades
    • Jurisdicció principal

  2. Violacions identificades:

    • Llistar Articles del RGPD incumplits
    • Descriure la vulnerabilitat o incompliment específic
    • Analitzar per què va ocórrer (root cause analysis)

  3. Impacte econòmic i reputacional:

    • Quantitat de la sanció i comparació amb el volum de negoci
    • Conseqüències reputacionals
    • Impacte en la base de clients

  4. Mesures de prevenció:

    • Què haurien hagut de fer correctament
    • Polítiques i procediments recomanats
    • Controls i monitoratge necessaris

Tasca 2: Mapa de Riscos de Compliment

Utilitzant la metodologia de gestió de riscos presentada al mòdul (ISO 31000):

  1. Identificar amenaces i vulnerabilitats per a cada cas:

    • Organitzar en taula: Amenaça | Vulnerabilitat | Actius afectats

  2. Avaluar riscos:

    • Qualitativa (Alt/Mitjà/Baix) justificada
    • Quantitativa si és possible (probabilitat × impacte)

  3. Proposar controls mitigants:

    • Mesures tecnològiques
    • Mesures organitzacionals
    • Mesures de govern

Tasca 3: Presentació Comparativa

Crear una taula comparativa que inclogui:

Aspecte Cas 1: Meta Cas 2: Amazon Cas 3: Google Cas 4: Vodafone Cas 5: TikTok
Sanció (milions €)
Tipus Principal d'Incompliment
Articles RGPD més greus
Factor més rellevant
Lliçó per aprendre

Recursos Recomanats

Documents del Mòdul:

  • UT01: Context del compliment normatiu i figures de responsabilitat
  • UT02: Sistema de gestió de compliance, anàlisi de riscos (ISO 31000 i ISO 37301)
  • UT03: Documentació i implementació del sistema

Normativa Primària:

Autoritats de Control (decisions públiques):

Data de Lliurament

Fins a: Sense data

Format: Document PDF + Taula Excel + Presentació (Opcional - 10 diapos màx.)

Preguntes Reflexives Finals

  1. Per què els responsables de compliment no van detectar aquestes vulnerabilitats?
  2. Quina és la diferència entre risc tècnic de seguretat i risc de compliment?
  3. Com hauria d'haver estat el procés de gestió de riscos en cada cas?
  4. Quina és la responsabilitat penal potencial dels administradors?
  5. Com s'integra la protecció de dades en el bon govern corporatiu?

Notas Importants per als Alumnes

  • L'exercici requereix recerca autònoma més allà del material de classe
  • Els casos són reals i publicats per autoritats oficials
  • Es valora la capacitat analítica més que la "resposta perfecta"
  • La normativa RGPD és dinàmica - busqueu informació actualitzada
  • Els casos demonstren que el compliment NO és opcional sinó crític per a la viabilitat del negoci