Deutsche Bahn se enfrenta a una multa millonaria

Artículo original de Rik Ferguson (Solutions Architect, Trend Micro)

El operador ferroviario alemán Deutsche Bahn AG tendrá que pagar una multa récord de más de un millón de euros según un informe publicado en el periódico alemán Süddeutsche Zeitung.

Sede de Deutsche Bahn por Honza Soukup

Sede de Deutsche Bahn por Honza Soukup

El Comisionado para la Protección de Datos de Berlín ha revelado que el operador ferroviario Deutsche Bahn ha sido sancionado con exactamente 1.123.503,50 euros para cubrir un número de importantes infracciones de la legislación sobre la protección de datos en los últimos 10 años. Según la nota de prensa oficial de la Agencia para la Protección de Datos de Berlín, se trata de «la mayor multa impuesta por una inspección sobre protección de datos en Alemania«.

La actividad por la que Deutsche Bahn ha sido multada está relacionada con el rastreo masivo de datos de empleados (incluidos nombres, direcciones, números de teléfono y detalles bancarios) en bases de datos de proveedores. Este rastreo fue efectuado al menos en tres ocasiones independientes en 1998, 2002/3 y 2005/6, supuestamente para detectar actividad fraudulenta y empresas fantasma o compañías instrumentales dirigidas por empleados. Deutsche Bahn también contrató los servicios de una agencia de detectives como ayuda para esta actividad de rastreo y la nota de prensa de la Comisión de información declara que la información personal y bancaria se conservó ilegalmente durante «años» incluso después de que las sospechas se hubieran disipado. En la nota de prensa se concedía especial atención a la supervisión de todas las comunicaciones externas por correo electrónico de los empelados durante los años 2006 y 2007, aparentemente para detectar quién estaba filtrando información a periodistas y miembros del parlamento alemán o Bundestag. Todo esto se llevó a cabo sin el conocimiento o el consentimiento de los empleados implicados.

La nota de prensa oficial no menciona otra actividad incluida en el artículo del Süddeutsche Zeitung, que consistía en el espionaje de directivos en dos ocasiones independientes así como la recopilación de historiales médicos de los empleados. El informe del periódico verdaderamente deja entrever la posibilidad de que este no sea el fin de las multas económicas.

Como resultado de este incidente, el presidente y varios ejecutivos de primer nivel se vieron forzados a dimitir. El nuevo consejo ha creado un responsable de posición de nivel C para «Cumplimiento de normativas, Protección de datos y Justicia» y ha prometido trabajar en el desarrollo de nuevas directrices de RRHH para la protección de datos junto con el comité de empresa.

Las torpes tácticas y el elevado importe de la multa final de Deutsche Bahn ilustran perfectamente la necesidad de que las empresas impliquen a sus trabajadores, comités de empresa y sindicatos desde el principio, tanto a la hora de definir las políticas para la protección de datos como al llevar a cabo investigaciones con información confidencial.

Un programa de formación eficaz debe educar a los empleados, pero también comprobar sus conocimientos y conseguir la aceptación de los derechos y las obligaciones tanto de la empresa como de los empleados. Unas políticas y tecnologías de seguridad eficaces deben incluir representantes sindicales en el proceso de diseño y notificarles cuando se lleven a cabo búsquedas confidenciales. Al mismo tiempo, se debe procurar no exponer los resultados de tales búsquedas a los representantes sindicales, puesto que este hecho podría constituir por sí solo una infracción.

Las empresas europeas tienen una motivación real para aprender la lección puesto que los organismos de protección de datos del viejo continente están aumentando rápidamente, tanto en poder como en alcance.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.