La autoridad de protección de datos de Suecia ha impuesto una multa de más de 3 millones de euros a la empresa minorista sueca de productos farmacéuticos -Apoteket- por no haber adoptado medidas de seguridad adecuadas al riesgo, al transferir datos sensibles de sus clientes a Meta.
Antecedentes
La investigación llevada a cabo por la autoridad de control revela que Apoteket introdujo en su sitio web el píxel de Meta: una herramienta basada en un script que registra datos sobre el comportamiento de los visitantes web transfiriéndolos a Meta - Facebook e Instagram -. Haciendo uso de esta herramienta, Apoteket pretendía rastrear la efectividad de sus anuncios en redes sociales y mejorar la publicidad dirigida.
Entre la información transferida a Meta se encontraban datos sobre los productos adquiridos en la web de Apoteket e información de contacto sobre sus clientes.
La entidad sancionada fue conocedora de la transferencia de datos a Meta en abril de 2022, tras varias informaciones publicadas en medios de comunicación, procediendo, inmediatamente después, a desactivar la herramienta.
Consideraciones de la autoridad de control
Finalizada la investigación, la autoridad sueca llegó a las siguientes conclusiones:
(i) Los datos transferidos a Meta son de naturaleza sensible, ya que pueden revelar información sobre el estado de salud o la vida sexual de la persona.
(ii) Aunque no es posible determinar con exactitud el número de compras realizadas en la web, la autoridad de control concluye que el incidente ha afectado a un gran número de interesados.
(iii) La transferencia de datos se prolongó dos años en el tiempo.
(iv) La naturaleza, el alcance y el contexto del tratamiento implican riesgos elevados que requerían un alto nivel de protección de los datos personales.
(v) Apoteket no aplicó las medidas de seguridad apropiadas a los riesgos del tratamiento.
Imposición de la multa
La autoridad sueca impone una multa de 3.200.000 euros a Apoteket por vulneración del art.32(1) del Reglamento General de Protección de Datos (“RGPD”).
Al determinar la gravedad de la infracción, la autoridad de control tuvo en cuenta que, en el momento de producirse esta, Apoteket adoptó una serie de medidas; entre otras: transferir los datos en formato hash - es decir, de forma ilegible - a Meta - como único destinatario - por lo que no se trata de un caso de divulgación incontrolada en el que los datos se compartieran, por ejemplo, con muchas personas no autorizadas o estuvieran disponibles públicamente en internet.