Salta el contingut
Ciber_UT3_portada.png

Exercici de Recerca 2: Violacions de RGPD en Diferents Sectors

Mòdul de Normativa de Ciberseguretat - Curs d'Especialització en Ciberseguretat

Objectiu de l'Exercici

Realitzar una anàlisi sectorial de violacions del RGPD en empreses espanyoles i europees de diversos sectors econòmics (banca, energia, tecnologia, logística, esports) per comprendre com el incompliment de la normativa afecta de manera diferent segons la natura del negoci i el tipus de dades tractades. Aquest exercici promou:

  • Aplicació de metodologies de compliance en contextos sectorials específics
  • Identificació de patrons d'incompliment segons el tipus d'activitat econòmica
  • Anàlisi de la proporcionalitat de les sancions respecte al sector
  • Disseny de sistemes de gestió de riscos adaptats al sector d'activitat

Context: Els Casos per Analitzar

SECTOR ENERGÈTIC

Cas 1: ENÉRGYA-VM - 5 milions d'euros (2024)

Empresa: Enérgya-VM Soluciones Energéticas S.L.

Sanció: €5.000.000 (una de les majors de la AEPD en 2024)

Autoritat: Agencia Espanyola de Protecció de Dades (AEPD)

Motiu de la sanció: Tractament il·lícit i opac de dades de clientes potencials, així com falta de control adequat sobre tercers contractats per a la captació de clients.

Articles RGPD incumplits:

  • Article 5.1.a: Tractar dades de manera il·lícita i opaca
  • Article 5.2: Accountability (responsabilitat proactiva)
  • Article 28: Insuficiència de control sobre contractistes

Context de l'incompliment:

  • Empresa tercera realitzava pràctiques irregulars per captar clients de Naturgy
  • Priorització dels interessos empresarials sobre la protecció de dades
  • Manca de vigilància i control de tercers

SECTOR FINANCER/BANCA

Cas 2: GENERALI ESPAÑA (Assegurances) - 1.600.000 euros (2025)

Empresa: GENERALI ESPAÑA, S.A. de Seguros y Reaseguros

Sanció: €1.600.000

Autoritat: Agencia Espanyola de Protecció de Dades (AEPD)

Motiu de la sanció: forat de seguretat crítica en el sistema de manteniment de clients causada per ciberatac (detectat 5 d'octubre). Incapacitat de detectar i notificar adequadament la violació, així com violació dels principis de consentiment.

Articles RGPD incumplits:

  • Article 5.1.f: Integritat i confidencialitat (seguretat del tractament)
  • Article 32: Mesures de seguretat inadequades
  • Article 33: Falta de notificació aproppiada del forat
  • Article 6: Consentiment no adequat per al tractament

Context de l'incompliment:

  • Vulnerabilitat en infraestructura de TI del sistema de CRM
  • Detecció tardana del forat
  • No compliment adequat de les obligacions de notificació

SECTOR LOGÍSTICA

Cas 3: GLOVO - 550.000 euros (2024)

Empresa: Glovo Spain, S.L. (Plataforma de repartidors)

Sanció: €550.000

Autoritat: Agencia Espanyola de Protecció de Dades (AEPD)

Motiu de la sanció: Transferència il·legal de dades de repartidors fora de l'Estat Espanyol (geolocalització, valoracions, temps mitjà de lliurament) sense base legal adequada i amb mesures de seguretat insuficients.

Articles RGPD incumplits:

  • Article 32: Seguretat del tractament inadequada
  • Article 25: Falta de protecció des del disseny i per defecte ("privacy by design")
  • Article 44: Transferència internacional sense mecanismes adequats

Context de l'incompliment:

  • Tractament de dades de repartidors (treballadors / autònoms) sense consentiment apropiat
  • Compartiment internacional de geolocalització sense legitimació
  • Manca de mecanismes de criptografia o anonimització

SECTOR TELECOMUNICACIONS/VENDES

Cas 4: VODAFONE ESPAÑA & VIVUS - 8.150.000 + 360.000 euros

Empresa 1: Vodafone España (Telecomunicacions)

Sanció 1: €8.150.000 (2021)

Empresa 2: Vivus (Préstecs en línia)

Sanció 2: €360.000 (voluntària) de €600.000 original

Autoritat: Agencia Espanyola de Protecció de Dades (AEPD)

Motiu de les sancions Vodafone:

  • Forat de seguretat no detectada ni notificada adequadament
  • Negligència en l'aplicació de mesures de seguretat bàsiques
  • Falta de control sobre contractistes (terceres empreses reparadores)
  • Incapacitat per detectar accés no autoritzat

Motiu de les sancions Vivus:

  • Absència de mesures de seguretat per prevenir ciberatacs
  • Nivell de protecció deficient contra riscos de seguretat informàtica

Articles RGPD incumplits:

  • Article 32: Mesures de seguretat inadequades i obsoletes
  • Article 33: Notificació tardana de forats
  • Article 28: Insuficiència de supervisió sobre tercers

Context de l'incompliment:

  • Sistemes tecnològics desactualitzats
  • Manca de monitoratge de seguretat
  • Tercers contractats sense controls adequats

SECTOR ESPORTS

Cas 5: LA LIGA - 1.000.000 euros (2025)

Empresa: Societat Anònima de Gestió Administrativa de Estadios (La Liga)

Sanció: €1.000.000

Autoritat: Agencia Espanyola de Protecció de Dades (AEPD)

Motiu de la sanció: Ús de sistemes biomètrics (reconeixement facial, análisi de retina, dactiloscopia, eina de vigilància anòmala) per a l'accés als estadis espanyols sense base legal adequada i sense consentiment exprés dels aficionats.

Articles RGPD incumplits:

  • Article 9: Tractament de dades biomètriques especials sense legitimació
  • Article 6: Falta de base legal clara
  • Article 13-14: Falta de transparència i informació adequada
  • Article 21: Violació del dret d'oposició

Context de l'incompliment:

  • Implementació de tecnologia de vigilància sense avaluació de risc prèvia (AIPD - Avaluació d'Impacte)
  • Presumpció de consentiment implícit sense informació clara
  • Falta de consideració de proporcionalitat i fins legítims

Estructura de l'Exercici: 3 TASQUES

TASCA 1: Anàlisi Sectorial Comparatiu

1.1. Perfil Sectorial del Cas

Per a cada cas assignat:

  • Naturalesa del sector (ex. energètic, financer, tecnologia)
  • Característiques de tractament de dades en el sector
  • Tipus de dades més sensibles (geolocalització, dades biomètriques, historial de compres, etc.)
  • Principals riscos de ciberseguretat inherents al sector

1.2. Anàlisi de la Violació

  • Articles específicament incumplits (mínim 3)
  • Causa arrel de l'incompliment: Per què va ocórrer en aquest context sectorial?
  • Vulnerabilitats tecnològiques identificables
  • Deficiències organitzacionals que ho van permetre
  • Rol dels tercers (si és aplicable)

1.3. Proporcionalitat de la Sanció

  • Calcular la sanció com a percentatge de la facturació estimada de l'empresa
  • Comparar l'import de la sanció amb els imports típics del sector
  • Analitzar si la multa és proporcional a la gravetat de l'incompliment
  • Contextualitzar la sanció en relació a altres casos del sector

1.4. Comparativa de Sectors

  • Crear una taula que mostri:
    • Quins Articles del RGPD es violen més freqüent en cada sector
    • Quins sectors mostren més vulnerabilitats tecnològiques vs. organitzacionals

TASCA 2: Disseny de Sistema de Gestió de Riscos Sectorial

Aplicar la metodologia ISO 31000 per a prevenir incompliments similars en el sector analitzat.

2.1. Mapa de Riscos de Compliance

Crear una matriu de riscos amb:

Risc Identificat Causa Probabilitat Impacte Risc Residual Control Preventiu Responsable
[Risc sectorial 1] Alt/Mig/Baix Alt/Mig/Baix
[Risc sectorial 2]

Exemples de riscos sectors:

Energia: Falta de control de tercers en captació, tracament no transparent de dades, incapacitat de detectar pràctiques ilegals de venta.

Financer: forats de seguretat no detectades, sistemes CRM vulnerables, resposta inadecuada a incidents.

Logística: Transferències internacionals sense mecanismes adequats, geolocalització constant sense consentiment, falta de cifrat de dades en trànsit.

Telecomunicacions: Monitoratge insuficient de seguretat, sistemes obsolets, tercers sense control, notificació tardana de forats.

Esports: Tecnologies biomètriques sense AIPD prèvia, falta de base legal, falta de consentiment exprés.

2.2. Mesures de Seguretat (Tecnològica + Organitzacional)

Per a cada risc, proposar:

Mesures Tecnològiques:

  • Criptografia
  • Detecció de forats en temps real
  • Segregació de sistemes
  • Sistemes de detecció d'intrusions
  • Anònimització / Pseudonimització

Mesures Organitzacionals:

  • Políticas de control de tercers
  • Auditories internes periòdiques
  • Formació en RGPD
  • Procediments de notificació de forats
  • Designació de Responsable de Protecció de Dades (DPO)

2.3. Plan de Disseny de Compliance

Descriure la governança de compliance necessària:

  • Qui és responsable de cada control?
  • Quina és la frequència de revisió?
  • Quins KPIs (Key Performance Indicators) es monitorejen?
  • Com s'integra el compliance en els processos de negoci?

TASCA 3: Simulació de Resposta a Incident

Imaginar que l'incompliment ocorre en l'actualitat a la vostra organització. Descriure:

3.1. Identificació i Comunicació Interna

  • Com detectem la vulnerabilitat/forat?
  • Qui notifiquem dins de l'organització?
  • Quins són els primers 24 hores d'acció?

3.2. Notificació a Autoritats

Segons l'Article 33 RGPD: - A quina autoritat notifiquem (AEPD, DPC, etc.)? - Quin és el termini obligatori (72 hores)? - Quina informació hem de proporcionar? - Com és el procés en el sector specific?

3.3. Comunicació amb Afectats

Segons l'Article 34 RGPD (si aplicable): - A qui notifiquem (afectats directos)? - Quina és la comunicació? (plantilla) - Quins són els drets dels afectats?

3.4. Cooperació amb Autoritats

  • Documentació a proporcionar
  • Investigacions internes necessàries
  • Forense digital (si pertoca)
  • Cronograma de resposta

Assignació de Casos per Grups

Preferiblement grups de 2-3 alumnes per cas:

Grup Sector Cas Empresa
1 Energètic Cas 1 Enérgya-VM
2 Financer Cas 2 Generali España
3 Logística Cas 3 Glovo
4 Telecomunicacions Cas 4 Vodafone / Vivus
5 Esports Cas 5 La Liga

Recursos i Documentació Necessaris

Normativa Principal:

Metodologies:

  • ISO 31000:2018 - Gestió de Riscos (disponible al mòdul UT02)
  • ISO 37301:2021 - Sistemes de Gestió de Compliance
  • AIPD (Avaluació d'Impacte en Protecció de Dades) - Annex II RGPD

Autoritats de Control:

Casos Publicats:

  • AEPD: Cercador de resolucions sancionadores
  • Jurisprudència: Sentències de l'Audiència Nacional sobre recursos a AEPD

Format de Lliurament

Data límit: [Sense data]

Elements a lliurar:

  1. Informe escrit (Word/PDF) amb les tres tasques desenvolupades: - Mínim 15 pàgines (màxim 25) - Estructurat amb índex, apartats clars - Taules i figures on sigui necessari

  2. Matriu de riscos (Excel): - Taula desplegable amb fórmules per a càlcul de riscos - Colors per a codificació de severitat

  3. Presentació (PowerPoint/Keynote): - Màxim 12 diapos - Enfocada en resultats principals - Una diapo dedicada a "Lliçons Apreses"

  4. Documentació addicional (opcional): - Plantilla de notificació a AEPD - Comunicat de premsa per a afectats - Cronograma Gantt de resposta a incident

Preguntes Reflexives per a Discussió en Classe

  1. Per què els incompliments ocorren més en certs sectors que en altres? Influeix més la tecnologia, la cultura empresarial, o la manca de recursos de compliance?

  2. Són les sancions proporcionals? Una empresa d'energia de 50 empleats (Enérgya-VM) es va endur una multa de 5 milions. Quina seria la viabilitat d'una PIME amb aquesta sanció?

  3. Quina és la diferència entre incompliment "culpable" i incompliment "neglient"? Com ha de variar la sanció?

  4. Com podem incorporar la "cultura de compliance" en una organització? No és suficient amb sistemes; es necessita "compliance by design".

  5. Quines són les "leccions apreses" transferibles entre sectors? Els patrons d'incompliment es repeteixen?

Notes Finals

  1. Actualitat: Els casos són del 2024-2025. Es pot demanar als alumnes que identifiquin nous casos mentre es desenvolupe l'exercici.

  2. Rigor jurídic: Tot incompliment ha de referenciar l'Article específic del RGPD o LOPDGDD.

  3. Professionalisme: Les respostes a incidents han de ser realistes i seguir les bones pràctiques documentades per EDPB.

  4. Integració amb la pràctica: Si és possible, invitar un responsable de compliance o un advocat especialitzat en RGPD per a una sessió de preguntes.