Las mayores multas, sanciones y acuerdos del mundo por violación de datos

Las considerables multas impuestas por violaciones de datos desde 2019 muestran que los reguladores se están tomando muy en serio a aquellas organizaciones que no protegen adecuadamente los datos de los consumidores. Marriott recibió una multa de 124 millones de dólares, después reducida, mientras que Equifax acordó pagar un mínimo de  575 millones de dólares por su incumplimiento de 2017.

Esto ha ocurrido después de un año, 2018, especialmente activo. El mal manejo de Uber de su incumplimiento de 2016, le costó cerca de  150 millones de dólares. Los datos de salud débilmente protegidos y fuertemente regulados también costaron mucho a las instalaciones médicas ese año, lo que facilitó que el Departamento de Salud y Servicios Humanos de EE.UU, consiguiera recaudar multas cada vez más altas. Estas son algunas de las más significativas:

 

Equifax: (Al menos) 575 millones de dólares

En 2017, Equifax perdió la información personal y financiera de casi 150 millones de personas debido a un marco Apache Struts sin parches en una de sus bases de datos. La empresa no solucionó una vulnerabilidad crítica meses después de que se emitió un parche, y después no informó al público sobre la brecha durante semanas una vez descubierto.

En julio de 2019, la agencia de crédito acordó pagar  575 millones de dólares, que podrían llegar a  700 millones, en un acuerdo con la Comisión Federal de Comercio, la Oficina de Protección Financiera del Consumidor (CFPB) y los 50 estados y territorios de EE. UU.,  debido al "fracaso de la empresa a la hora detomar medidas razonables para proteger su red".

Del ese total de millones, 300 se destinarán a un fondo que brinda a los consumidores afectados servicios de control de crédito (se agregarán otros 125 millones de dólares si el pago inicial no es suficiente para compensar a los consumidores),  175 M se destinarán a 48 estados, el Distrito de Columbia y Puerto Rico, y 100 millones irán al CFPB. El acuerdo también requiere que la empresa obtenga evaluaciones de terceros de su programa de seguridad de la información cada dos años.

“Las empresas que se benefician de la información personal tienen la responsabilidad adicional de proteger y asegurar esos datos”, dijo el presidente de la FTC, Joe Simons. “Equifax no tomó las medidas básicas que pueden haber evitado la violación que afectó a aproximadamente 147 millones de consumidores”.

Equifax ya había recibido una multa de 500.000 libras esterlinas (unos 625,000 $) en el Reino Unido por una infracción similar de 2017, que era entonces la multa máxima permitida bajo la Ley de Protección de Datos anterior a GDPR de 1998.

En 2020, se obligó a Equifax a pagar más acuerdos relacionados con la infracción: 7,75 millones de dólares (más 2 millones de dólares en honorarios legales) a instituciones financieras en los EE. UU., más  otros 18,2 millones y  19,5 millones (en dólares) a los estados de Massachusetts e Indiana, respectivamente.

 

Home Depot: Aproximadamente 200 millones de dólares

En 2014, Home Depot estuvo involucrado en una de las mayores filtraciones de datos hasta la fecha, que involucró un sistema de punto de venta (POS), lo que provocó el pago de una serie de multas y acuerdos. Las credenciales robadas de un tercero permitieron a los atacantes ingresar a la red de Home Depot, elevar los privilegios y, finalmente, comprometer el sistema POS. Se robaron más de 50 millones de números de tarjetas de crédito y 53 millones de direcciones de correo electrónico durante un período de cinco meses entre abril y septiembre de 2014.

Según se ha podido conocer, Home Depot pagó al menos 134,5 millones de dólares a compañías de tarjetas de crédito y bancos como resultado de la filtración. Además, en 2016 Home Depot acordó pagar 19,5 millones a los clientes que se habían visto afectados por la filtración, lo que incluía el costo de los servicios de control de crédito para las víctimas afectadas. En 2017 la firma acordó pagar 25 millones adicionales a las instituciones financieras afectadas por el incumplimiento que podrían reclamar sus víctimas, y cubrir así las pérdidas de los bancos.

Las infracciones pueden tener una larga cola de costos, especialmente cuando se trata de multas y acuerdos. En noviembre de 2020, el minorista pagó un acuerdo adicional de 17,5 millones de dólares a 46 estados de EE. UU., y Washington DC, por la infracción. El acuerdo también obligó a Home Depot a emplear un CISO altamente calificado, brindar capacitación en seguridad para el personal clave, y garantizar controles y políticas de seguridad en áreas como identidad y acceso, monitoreo y respuesta a incidentes.

 

Capital One: 190 millones de dólares

En diciembre de 2021, Capital One acordó pagar 190 millones de dólares para resolver una demanda colectiva, presentada en su contra por clientes estadounidenses, por una  violación de datos de 2019 que afectó a 100 millones de personas. Este acuerdo se produjo más de un año después de que la Oficina del Contralor de la Moneda de EE. UU. multara a Capital One con  80 millones por el mismo incumplimiento.

Un ingeniero de software de AWS estuvo detrás del ataque, que expuso información, incluidos los detalles de la cuenta bancaria. “Si bien Capital One y AWS niegan toda responsabilidad, con el fin de evitar el tiempo, los gastos y la incertidumbre de continuar con el litigio, los demandantes y Capital One han firmado una hoja que contiene los términos esenciales de un acuerdo colectivo que, si es aprobado por este tribunal, resolverá por completo todos los reclamos presentados por los demandantes”, según se extrae de la presentación ante el Tribunal de Distrito de EE. UU. para el Distrito Este de Virginia. En un comunicado enviado por correo electrónico recientemente, Capital One se defendió diciendo  que los hechos clave del caso no habían cambiado desde que anunció el evento en coordinación con las autoridades federales, hace más de dos años, con el hacker arrestado y los datos robados recuperados, antes de que pudieran ser difundidos o utilizados para propósitos fraudulentos.

 

Uber: 148 millones de dólares

En 2016 la aplicación de transporte Uber tuvo 600,000 conductores y 57 millones de cuentas de usuarios violadas. En lugar de denunciar el incidente, la empresa pagó al responsable 100.000 dólares para mantener el hackeo en secreto. Esas acciones, sin embargo, le costaron muy caro a la compañía, porque recibió una multa de 148 millones de dólares en 2018, la mayor multa por violación de datos en la historia en ese momento, por violar las leyes estatales de notificación de violación de datos.

 

Yahoo: 85 millones de dólares

En 2013, Yahoo sufrió una brecha de seguridad masiva que afectó a toda su base de datos, alrededor de 3 mil millones de cuentas, casi toda la población de la web. La compañía, sin embargo, no reveló esta información durante tres años.

En abril de 2018 la Comisión de Bolsa y Valores de EE. UU. (SEC) multó a la empresa con 35 millones de dólares por no revelar la infracción. En septiembre, el nuevo propietario de Yahoo, Altaba, admitió que había resuelto una demanda colectiva resultante del incumplimiento por una suma de 50M$. Una factura total de 85 millones para 3.000 millones de cuentas equivale a alrededor de 36 dólares por registro.

 

Capital One: 80 millones de dólares

Ya en 2019, el banco Capital One había sufrido una brecha de seguridad que afectó a 100 millones de personas en los EE. UU. y 6 millones en Canadá. La compañía dijo que un "individuo externo", más tarde identificada como la ex ingeniera de software de Amazon Web Services Paige Thompson, había obtenido información personal de los clientes de tarjetas de crédito de Capital One y de las personas que habían solicitado productos seimilares, a través de una vulnerabilidad de configuración en el firewall de la aplicación web de la compañía.

La información robada incluyó nombres, direcciones, códigos postales/códigos postales, números de teléfono, direcciones de correo electrónico, fechas de nacimiento, ingresos autoinformados, así como puntajes de crédito, límites de crédito, saldos, historial de pagos, información de contacto, fragmentos de datos de transacciones, algunos Números de Seguro Social y algunos números de cuentas bancarias.

La Oficina del Contralor de la Moneda multó a Capital One con los 80 millones de dólares por "no establecer procesos efectivos de evaluación de riesgos" al migrar operaciones al entorno de nube pública, así como por "no corregir las deficiencias de manera oportuna".

 

Morgan Stanley: 60 millones de dólares

Si bien no sufrió una infracción, el fallo al llevar a cabo procesos sólidos de desmantelamiento de hardware tuvo un costo para Morgan Stanley después de que no cumplió con las expectativas del regulador. En octubre de 2020, la Oficina del Contralor de la Moneda (OCC) de EE. UU. multó al banco con 60 millones de dólares por no desmantelar correctamente el hardware que contenía datos de gestión de patrimonio de dos de sus centros de datos de EE. UU. en el año 2016.

Según la OCC, el banco “no ejerció la supervisión adecuada” del desmantelamiento de los centros. Los problemas enumerados incluyen la incapacidad para evaluar o abordar de manera efectiva los riesgos asociados con el desmantelamiento de su hardware, la falta de evaluación de riesgos y la debida diligencia en torno al uso de proveedores externos o el monitoreo del desempeño del proveedor, y la incapacidad para mantener un inventario adecuado de datos de clientes almacenados en el dispositivos.

La OCC dijo que el banco sufrió deficiencias de control de gestión de proveedores similares en 2019, en torno al desmantelamiento de dispositivos de servicios de aplicaciones de área amplia, pero reconoció que Morgan Stanley ha tomado medidas correctivas desde entonces y estaba "comprometido" a la hora de tomar las medidas necesarias y apropiadas para remediar las deficiencias.

Si bien Morgan Stanley ha hecho una declaración diciendo que no cree que se haya accedido a la información del cliente, o se haya hecho un uso indebido de ella como resultado de sus prácticas anteriores, la compañía también enfrenta una demanda por violación de datos de  5 millones de dólares por estas fallas.

 

British Airways: 26,2 millones de dólares

A pesar de todas las amenazas y el alarmismo sobre el tamaño potencial de las multas, los primeros 12 meses del Reglamento General de Protección de Datos (RGPD) de la UE  tuvieron relativamente pocas acciones punitivas. Las multas emitidas por empresas de protección de datos en toda Europa continental, relacionadas con violaciones de datos, habían sido de decenas o cientos de miles de euros y estaban en línea con los tipos de hallazgos que recibían las empresas según las regulaciones anteriores. Eso cambió rápidamente después de que British Airways (BA) recibiera una multa récord de 183 millones de libras (aproximadamente 230 millones de $) después de que la autoridad de protección de datos del Reino Unido, el ICO, multara a la aerolínea porque el  grupo Magecart usó scripts de robo de tarjetas  para recolectar la información personal y datos de pago de hasta 500,000 clientes durante un período de dos semanas.

El ICO británico dijo que en su investigación encontró que "los arreglos de seguridad deficientes en la empresa" llevaron a la violación. La multa de BA muestra que la regulación tiene fuerza real y que las autoridades de protección de datos no tienen miedo de ejercer sus poderes. Dado que el RGPD ha sido uno de las principales causas y razones para impulsar la seguridad en un lugar más alto en la agenda de las juntas directivas, esto dará a las OSC y a las ofertas de privacidad y cumplimiento un ímpetu renovado para fortalecer aún más sus programas de seguridad.

Sin embargo, la cifra final que BA ha tenido que pagar se redujo significativamente. Después de varios meses de demoras y negociaciones, la ICO redujo la multa a 20 millones de libras esterlinas por “no proteger los datos personales y financieros de más de 400.000 de sus clientes”. La cifra final es menor que la sanción original propuesta, pero aun así sigue siendo la multa más grande jamás emitida por el ICO y destaca los peligros de las malas prácticas de seguridad. Según la regulación de protección de datos anterior del Reino Unido, la multa más alta que se podía imponer era de 500.000 libras esterlinas.

En el aviso de BA para la sanción final, el ICO declaró que reconocería el "impacto económico y la asequibilidad" al considerar la emisión de multas. Eso podría explicar por qué la aerolínea, que tenía dificultades económicas entonces, recibió un descuento tan grande sobre la multa original. Sin embargo, la aerolínea aún podría tener que enfrentarse a grandes demandas colectivas de compensación en el futuro.

Las multas del RGPD son como los autobuses: uno espera años y luego aparecen dos al mismo tiempo. Apenas unos días después de una multa récord para British Airways, la ICO emitió una segunda multa masiva por una violación de datos. Al igual que con BA, la multa final se redujo enormemente después de un largo retraso.

 

Marriot Internacional: 23,7 millones de dólares

La cadena hotelera Marriott International ha declarado que espera una gran reducción de alrededor del 50% en su propia multa retrasada de 99 millones de libras esterlinas, emitida por ICO, pero ha sufrido otra infracción desde que hizo esa declaración. MI recibió inicialmente esa multa de 99 millones (unos 124 millones de dólares) después de que la información de pago, los nombres, las direcciones, los números de teléfono, las direcciones de correo electrónico y los números de pasaporte de hasta 500 millones de clientes se vieran comprometidos. La fuente de la brecha fue la subsidiaria Starwood de Marriott; se pensaba que los atacantes estaban en la red de Starwood hasta durante cuatro años y unos tres después de que Marriott la comprara en 2015.

Según la declaración de la ICO, Marriott "no realizó la debida diligencia suficiente cuando compró Starwood y también debería haber hecho más para proteger sus sistemas". El CEO de Marriott, Arne Sorenson, dijo no obstante que la compañía estaba "decepcionada" con la multa y planea impugnar la sanción. 

Sin embargo, al igual que ocurrió con la multa masiva que el ICO impuso a BA, la sanción final fue mucho menor. En realidad, la cadena hotelera solo pagó 18,4 millones de libras (23,7 millones de dólares) después de un retraso de más de un año. Si bien el regulador dijo que Marriott no había implementado las medidas técnicas u organizativas apropiadas para proteger los datos personales que se procesan en sus sistemas, también reconoció los pasos que tomó la compañía para mitigar los efectos del incidente en sus clientes y el impacto económico de COVID-19 como razones detrás de la reducción. En un comunicado, Marriott asumió la decisión y dijo que no apelaría, pero aunque lamenta profundamente el incidente, no admite responsabilidad alguna.

Al igual que con BA, si bien el impuesto final emitido se redujo enormemente en comparación con lo que se anunció inicialmente, aún era una gran cantidad, mucho más alta de lo que podría haberse emitido en virtud de la Ley de Protección de Datos anterior y es la segunda sanción más alta por violación de datos emitida por el regulador del Reino Unido.

La cadena hotelera también recibió una multa de 1,5 millones de liras (unos 265 000 dólares) por parte de la autoridad de protección de datos de Turquía, (no conforme a la legislación GDPR), lo que destaca cómo una infracción puede dar lugar a múltiples multas a nivel mundial.

 

Banco Tesco: 21 millones de dólares

Tesco Bank, el brazo de banca minorista de la cadena de supermercados del Reino Unido, recibió una multa de  16,4 millones de libras (21,2 millones de dólares) en 2018 por parte de la Autoridad de Conducta Financiera (FCA) del Reino Unido, después de que fueron  robados poco menos de 3 millones de dólares de 9,000 cuentas de clientes en 2016. La FCA acusó a Tesco de “deficiencias” en el diseño de su tarjeta de débito, controles de delitos financieros y en su Equipo de Operaciones de Delitos Financieros.

 

Target: 18,5 millones de dólares

En 2017, el gigante minorista Target acordó un pago de  18,5 millones de dólares con 47 estados y el Distrito de Columbia, en relación con una violación en 2013 en la que se robaron unas 40 millones de cuentas de tarjetas de crédito y débito durante la fiebre de ventas posterior al Black Friday. Investigaciones posteriores también encontraron nombres, direcciones, números de teléfono y direcciones de correo electrónico de hasta 70 millones de personas. Los costos totales asociados con la filtración superan los 200 millones de dólares.

 

Anthem: 16 millones de dólares

La aseguradora de salud estadounidense Anthem sufrió una brecha en 2015 que afectó a 79 millones de personas. La violación incluyó nombres, fechas de nacimiento, números de Seguro Social e identificaciones médicas. En octubre de 2018, el Departamento de Salud y Servicios Humanos de EE. UU. multó a la empresa con 16 millones de dólares por infracciones de la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA). Esa multa se sumó a los 115 millones de dólares, que la empresa tuvo que pagar en 2017 para resolver una demanda colectiva relacionada con la infracción.

En 2020, la compañía acordó pagar a un grupo de estados 39,5 millones de dólares adicionales para resolver las reclamaciones porque la aseguradora de salud no protegió sus datos, pero se negó a aceptar la culpa del incidente. “Anthem no cree que violó la ley en relación con la seguridad de sus datos y no admite tales violaciones en este acuerdo con los fiscales generales del estado”, dijo la compañía en un anuncio.

 

Ticketmaster: 10 millones de dólares

La mayoría de las empresas de esta lista han sido multadas por sufrir una filtración de datos. Ticketmaster tiene el dudoso honor de ser multado por violar a una empresa rival. En enero de 2021, la empresa estadounidense de emisión de entradas acordó pagar una multa penal de 10 millones $, después de que usó contraseñas retenidas ilegalmente por un exempleado de un competidor para obtener acceso a los sistemas de la empresa rival.

El Departamento de Justicia de EE. UU. (DOJ) afirmó que en 2013 un empleado de la empresa víctima, conocido como conspirador 1, se unió a Ticketmaster  y accedió a los sistemas informáticos de su empleador anterior utilizando sus antiguas credenciales de inicio de sesión. El informe también establece que los ejecutivos de Ticketmaster solicitaron información confidencial de propiedad exclusiva sobre la empresa víctima a través del conspirador, con el objetivo de robar clientes importantes.

Además de proporcionar documentos, incluida una calculadora de tarifas de reserva, uno de los sistemas a los que se accedió fue un paquete de análisis de datos basado en la web para la emisión de entradas conocido como Artist Toolbox, que proporcionaba a los clientes datos en tiempo real sobre la venta de entradas vendidas a través de la empresa víctima. El acceso no autorizado a la empresa víctima se prolongó durante más de 12 meses, desde principios de 2014 hasta mediados de 2015.

El informe del Departamento de Justicia establece que en 2015, la empresa víctima cambió la forma en que generaba las URL para sus páginas web de emisión de boletos, específicamente para evitar que los empleados de Ticketmaster las encontraran y accedieran a ellas, y luego presentó una denuncia civil alegando violaciones antimonopolio. La firma no identificada, con sede en el Reino Unido, se fusionó con otra empresa en 2015 y se declaró en bancarrota en 2016. La compañía ha sido reportada por alguna publicación como la firma de venta anticipada de boletos Songkick, que se fusionó con Crowdsurge en 2015 y en el mismo año también demandó a Ticketmaster por comportamiento anticompetitivo. En 2018, Songkick ganó un acuerdo de 110 millones de dólares, aunque como parte del acuerdo, la empresa matriz de Ticketmaster, Live Nation, adquirió los activos tecnológicos restantes de la empresa víctima.

 

Google: 7,5 millones de dólares

Más normalmente asociado con multas en torno a monopolios y antimonopolio, en 2020 Google acordó pagar 7.5 millones de dólares para resolver una demanda colectiva sobre dos incidentes de Google+. El gigante de las búsquedas anunció originalmente que planeaba cerrar su red social Google+ en octubre de 2018, después de revelar un error en una API de Google+ que permitía a los desarrolladores acceder a datos marcados como privados. Aunque Google afirmó que no había evidencia de que se explotara este error, reconoció que más de 400 aplicaciones usaron esta API y potencialmente afectaron a más de 500.000 cuentas.

Dos meses después, Google anunció un segundo incidente que involucró a Google+ y cerró cuatro meses antes de lo establecido originalmente, después de que otro problema con la API les diera a los desarrolladores acceso a la información del perfil privado de 52,5 millones de usuarios. (De nuevo, la compañía dijo que no creía que se hubiera explotado este error).

Se presentaron dos demandas colectivas en 2018, pero luego se consolidaron en una, y en enero de 2020 se llegó a un acuerdo que permitiría a todos los usuarios con cuentas de Google+ entre enero de 2015 y el 2 de abril de 2019, cuya información no pública estuvo expuesta, recibir entre 5 y 12 dólares cada uno.

 

Premera Blue Cross: 6.85 millones de dólares

Aunque los incidentes se han mantenido con regularidad, 2020 ha sido en gran medida tranquilo en términos de multas punitivas. Pero en septiembre, la compañía de seguros de salud Premera Blue Cross , con sede en Washington, fue multada con 6.85 millones de dólares por violaciones de HIPAA.

La Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de EE. UU. (HHS) multó a Premera después de descubrir una infracción que afectaba a más de 10,4 millones de personas. PBC presentó un informe de violación en marzo de 2015, después de que los atacantes cibernéticos obtuvieran acceso no autorizado a sus sistemas. Un ataque de phising de 2014 pasó desapercibido durante casi nueve meses y provocó la divulgación de la información de salud protegida de más de 10.4 millones de personas, incluidos sus nombres, direcciones, fechas de nacimiento, direcciones de correo electrónico, números de seguro social, información de cuentas bancarias y plan de salud, además de información clínica.

La investigación de OCR encontró "incumplimiento sistémico" con los requisitos de HIPAA, incluida la falta de realizar un análisis de riesgo, implementar la gestión de riesgo o implementar controles de auditoría. Estos fallos dieron como resultado que la OCR emitiera la segunda multa más grande de HIPAA registrada.

 

Excellus: 5,1 millones de dólares

La aseguradora de salud con sede en Nueva York Excellus acordó pagar 5, 1 millones de dólares por una violación de las reglas de privacidad y seguridad de HIPAA. Esos fallos salieron a la luz después de que una violación de datos expusiera la información personal de más de 9 millones de personas entre fines de 2013 y mayo de 2015. La multa se pagó a la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de EE. UU.

Los datos violados incluían una amplia gama de información confidencial: nombres, direcciones, fechas de nacimiento, direcciones de correo electrónico, números de seguro social, información de cuentas bancarias, reclamos de planes de salud e información de tratamiento médico. La multa se impuso en base a "la falta de realización de un análisis de riesgos en toda la empresa y la falta de implementación de la gestión de riesgos, la revisión de la actividad del sistema de información y los controles de acceso", según la OCR.

 

El Centro Oncológico MD Anderson de la Universidad de Texas: 4.3 millones de dólares

En junio de 2018, un juez confirmó la decisión de multar al MD Anderson Cancer Center de la Universidad de Texas con  4.3 millones de dólares, por violaciones de HIPAA. El centro oncológico sufrió tres filtraciones de datos entre 2012 y 2013, lo que causó la pérdida de información de salud de más de 33 500 personas. En uno de los casos, una computadora portátil sin cifrar fue robada de la residencia de un empleado. Las otras dos infracciones involucraron la pérdida de USB sin cifrar.

 

Fresenius Medical Care North America: 3,5 millones de dólares

Los fallos de HIPAA es este caso atacan de nuevo. En febrero de 2018, Fresenius Medical Care North America (FMCNA) recibió una factura de 3.5 millones de dólares después de sufrir cinco infracciones separadas en diferentes ubicaciones de la compañía entre febrero y julio de 2012. Una investigación realizada por la Oficina de Derechos Civiles encontró que FMCNA no había "realizado un análisis de riesgo preciso y completo de los riesgos y vulnerabilidades potenciales para la confidencialidad, integridad y disponibilidad de toda la información de salud que estaba almacenando en sus diferentes entidades”.

Estos fallos incluyen no prevenir el acceso no autorizado a las instalaciones y equipos, no cifrar los datos de salud, no regular la eliminación de los medios electrónicos que contienen datos de salud y la falta de procedimientos de incidentes de seguridad.

 

Cottage Health, Touchstone Medical Imaging y University of Rochester Medical Center (URMC): 3 millones de dólares cada uno

En 2019 se produjeron tres grandes violaciones de HIPAA, con 3 millones cada uno para Cottage Health y Touchstone Medical Imaging.

Cottage Health fue multado por dos infracciones, una en 2013 y otra en 2015, lo que resultó en la filtración de información médica protegida electrónica (ePHI) que afecta a más de 62,500 personas. Ambos incidentes involucraron servidores que contenían ePHI accesibles a través de Internet. Touchstone Medical Imaging, con sede en Tennessee, fue multada después de dejar la información de salud protegida (PHI, por sus siglas en inglés) de más de 300.000 pacientes disponible online a través de un servidor FTP expuesto. El FBI notificó a Touchstone sobre esta exposición en 2014, pero afirmó que no se expuso la PHI de ningún paciente.

El Departamento de Salud y Servicios Humanos de EE. UU. (HHS, por sus siglas en inglés) descubrió que Touchstone “no investigó a fondo el incidente de seguridad hasta varios meses después de la notificación de la violación, tanto por parte del FBI como de la OCR”. Además, el HHS dijo que la notificación a las personas afectadas por la filtración fue "inoportuna", que Touchstone "no realizó un análisis de riesgo preciso y completo de los riesgos potenciales" y que la empresa "no logró establecer acuerdos de socios comerciales con sus vendedores".

En noviembre de 2019, el Centro Médico de la Universidad de Rochester (URMC) también recibió una multa de 3 millones de dólares por no cifrar los dispositivos móviles. El centro, que incluye la Facultad de Medicina y Odontología y el Strong Memorial Hospital, perdió una unidad flash sin cifrar en 2013 y le robaron una computadora portátil sin cifrar en 2017. URMC fue multado por no proteger adecuadamente la información de salud personal a pesar de haber informado previamente una violación a través de un disco sin cifrar en 2010.

 

Jackson Health System: 2.15 millones de dólares

Otra gran violación de HIPAA, esta vez para el sistema médico académico sin fines de lucro, Jackson Health System (JHS) de Miami, que administra varios hospitales y centros de atención en Florida. JHS recibió una multa de $2.15 millones por parte del DHS por varios incidentes entre 2013 y 2016.

Aunque JHS informó de la pérdida de registros en papel de 756 pacientes al DHS en 2013, no informó de la pérdida de tres cajas adicionales de registros de pacientes después de una investigación interna. En 2015, JHS descubrió que dos empleados habían accedido al registro médico electrónico de un paciente sin un propósito relacionado con el trabajo. En 2016, JHS informó una infracción después de descubrir que un empleado había estado vendiendo datos de pacientes por un total de 24 000 registros de pacientes desde 2011.

 

Ticketmaster: 1,25 millones de libras esterlinas (1,7 millones de dólares)

La empresa estadounidense de eventos  y venta de entradas Ticketmaster recibió una multa de 1,25 millones de libras esterlinas (1,7 millones de dólares) en virtud del RGPD, después de que un chatbot inseguro en su página de pago expusiera a 9,4 millones de sus clientes en toda Europa.

Un atacante comprometió los servidores del chatbot de Inbenta e insertó un código malicioso en el JavaScript de un chatbot que Ticketmaster estaba usando para el servicio al cliente. El código raspó los datos personales ingresados ??por el usuario, y debido a que Ticketmaster había incluido el chatbot en su página de pago, el bot infectado pudo recopilar datos financieros como nombres, números de tarjetas de pago, fecha de vencimiento y números de CVV.

A la empresa le fue notificada un posible incidente en abril de 2018 por el banco online Monzo después de que notó pagos fraudulentos, pero Ticketmaster informó al banco que una investigación interna no encontró evidencia de una infracción. Después de que más bancos reportaran actividades similares y se comprometieran con varias firmas de respuesta a incidentes, la firma finalmente reportó la infracción a los reguladores en junio de 2018.

El regulador del Reino Unido descubrió que Ticketmaster no evaluó adecuadamente los riesgos de usar un chatbot en su página de pago, ni identificó e implementó las medidas de seguridad adecuadas para negar los riesgos en torno al chatbot o identificó la fuente de la actividad fraudulenta sugerida de manera oportuna. El ICO señala que, aunque la infracción comenzó en febrero de 2018, antes de que el RGPD entrara en vigencia el 25 de mayo, el chatbot infractor solo se eliminó por completo del sitio web de Ticketmaster UK Limited en junio, y la sanción se emitió por el tiempo intermedio.

 

1&1 Telecom: 1 millón de dólares (reducido de 10,6 millones)

No solo el Reino Unido está implantando grandes multas de GDPR solo para reducirlas más tarde. La empresa alemana de alojamiento web 1&1 fue  multada  con 9,55 millones de euros (10,6 millones de dólares) por el Comisionado Federal de Protección de Datos y Libertad de Información (BfDI) de Alemania, por no tomar "medidas técnicas y organizativas suficientes" para evitar que personas no autorizadas utilicen su departamento de servicio al cliente para obtener acceso a los datos del cliente. Sus procesos de autenticación deficientes significaban que las personas que llamaban podían obtener información sobre otros clientes simplemente proporcionando el nombre y la fecha de nacimiento de la persona sobre la que querían información.

Sin embargo, al igual que con las multas del ICO del Reino Unido contra BA y Marriott, la cifra final se redujo considerablemente. Aunque esta vez no fue el regulador el que rebajó la sanción. En noviembre de 2020, el Tribunal Regional (Landgericht) de Bonn redujo la multa a solo 900.000 € (1 millón de dólares) por considerarla desproporcionada. 1&1 impugnó la decisión original en el Tribunal, argumentando que la cifra basada en los ingresos era excesiva. Aunque el Tribunal dictaminó que las medidas de seguridad de 1&1 no eran suficientes, consideró que la multa era desproporcionada por lo que consideraba una infracción menor.

 

Equifax, Facebook, DSG Retail Limited y Cathay Pacific: 650.000 dólares cada uno

Cuatro empresas del Reino Unido pueden considerarse afortunadas. En 2018, la Oficina del Comisionado de Información del Reino Unido multó a Equifax y Facebook por fallos de datos en virtud de la Ley de Protección de Datos anterior al RGPD, en la que la multa más alta posible es de solo  500.000 de libras (650,000 dólars). Bajo el GDPR, las sanciones podrían haber sido mucho más altas. Facebook recibió la factura en octubre por el escándalo de datos de Cambridge Analytica, mientras que Equifax recibió la pena máxima en septiembre por su incumplimiento de 2017.

A principios de 2020, casi dos años después de la introducción de GDPR, el regulador multó a dos empresas más bajo el antiguo DPA. El minorista británico DSG Retail Limited (DSG) recibió la multa después de que se descubriera malware de punto de venta en más de 5.000 máquinas en sus tiendas Currys PC World y Dixons Travel. Sin embargo, dado que el ataque comenzó en julio de 2017, antes de la implementación de GDPR, la empresa recibió una multa máxima anterior de 500.000 libras a pesar de que, según los informes, los atacantes continuaron recopilando información hasta abril de 2018, después de la implementación de las nuevas regulaciones.

El ataque permitió el acceso no autorizado a 5,6 millones de detalles de tarjetas de pago e información personal de aproximadamente 14 millones de personas, incluidos nombres completos, códigos postales, direcciones de correo electrónico y verificaciones de crédito fallidas de servidores internos. La ICO afirmó que la compañía tenía "acuerdos de seguridad deficientes" y no tomó las medidas adecuadas para proteger los datos personales, incluidos parches inadecuados, ausencia de un firewall local, falta de segregación de red y pruebas de seguridad de rutina. El ICO había multado previamente a Carphone Warehouse de DSG con 400.000 libras (520,000 dólares) por fallos similares en enero de 2018.

La aerolínea china Cathay Pacific también fue multada con el máximo DPA en marzo de 2020 por "no proteger la seguridad de los datos personales de sus clientes". La ICO dictaminó que, entre octubre de 2014 y mayo de 2018, los sistemas de Cathay Pacific "carecían de las medidas de seguridad adecuadas", lo que provocó que los datos personales de los clientes quedaran expuestos.