Google, Amazon, un proveedor de porno y todas las telecos: las multas por vulnerar el RGPD más grandes que ha propuesto España este 2022

Pruebas de reconocimiento facial a un maniquí con mascarilla durante la crisis del COVID-19 en China.
Pruebas de reconocimiento facial a un maniquí con mascarilla durante la crisis del COVID-19 en China.
  • La cuantía de las multas impuestas en Europa por vulnerar el RGPD cae en 2022 con respecto a 2021, pero se queda muy por encima de las cifras de 2020.
  • En España las sanciones más importantes se han repartido entre todas las telecos, Google, Amazon y una firma española detrás de contenidos pornográficos.

El Reglamento General de Protección de Datos (RGPD) entró en vigor en la Unión Europea en mayo de 2018. Desde entonces, mucho ha cambiado, tanto como para que el Viejo Continente se haya convertido en una referencia para todo el mundo en cuanto a las salvaguardas y garantías que disfrutan aquí los usuarios sobre sus datos personales.

Pero ninguna norma es eficaz si no cuenta con medidas coercitivas. Los encargados de velar por la aplicación del régimen sancionador del Reglamento —que de hecho inspira las nuevas regulaciones tecnológicas que prepara Bruselas— son las autoridades nacionales de protección de datos. La CNIL, francesa, multó con 60 millones a Microsoft hace unos días.

Con todo, el RGPD ha demostrado —en mayo de 2023 se cumplirá el primer lustro desde que el reglamento está en vigor— que también tiene problemas. El principio de ventanilla única, por el cual solo las autoridades de protección de datos del país en el que se investiga a la posible empresa infractora pueden iniciar determinados procedimientos, se ha revelado como un obstáculo.

La mayoría de las grandes tecnológicas mantienen su sede en Irlanda gracias a su ventajoso sistema fiscal, lo que ha hecho que la Comisión de Protección de Datos de ese país se enfrente a un sinfín de casos que ha acabado generando un cuello de botella. Organizaciones de la sociedad civil denunciaron hace meses que el 98% de las denuncias en ese organismo quedaban desatendidas.

Y, sin embargo, el número de sanciones a las tecnológicas y empresas que pueden infringir algún precepto del RGPD crece de forma sostenida. En 2018 se impusieron 436.000 euros en multas. En 2019, algo más de 72 millones. En 2020, 171 millones. Y en 2022 se dio un salto espectacular: más de 1.304 millones en sanciones a compañías infractoras del RGPD.

Hackers en un congreso sobre ciberseguridad, Def Con, en 2017.

Ese espectacular salto del 662% que se registró el año pasado se puede explicar, sobre todo, con que hasta ese momento muchos de los casos abiertos se estaban dirimiendo todavía con la legislación previa al RGPD. No fue hasta 2021 cuando las resoluciones comenzaron a incluir sanciones ya regladas con esta norma europea, y no con la anterior legislación de cada país.

Las cifras de multas con el RGPD en este 2022 que llega a su fin desciende un poco con respecto a los 1.304 millones de euros propuestos para sanción en 2021. Las multas de 2022 se quedan, por el momento, cerca de los 900 millones, lo que refleja cómo a pesar de este retroceso las enormes cifras han llegado para quedarse.

Solo este año, la DPC irlandesa propuso una multa de 400 millones de euros a Meta por una presunta gestión deficiente de los datos personales de usuarios menores de edad. El mismo organismo propuso otra sanción en noviembre de otros 265 millones también contra la propietaria de Facebook, Instagram o WhatsApp.

Clearview AI, una controvertida compañía de reconocimiento facial, ha sido sancionada por las autoridades de varios países. Italia, Grecia y Francia han propuesto multas de 20 millones de euros cada una entre febrero y octubre de este año contra la misma firma.

En España, la Agencia Española de Protección de Datos (AEPD) no se queda atrás, a pesar de su singular situación de interinidad —la actual directora general, Mar España, continúa en el puesto sin ser reemplazada por el primer presidente de la entidad debido a la falta de acuerdo entre PSOE y PP para renovar cargos en el CGPJ, entre otros ámbitos—.

Solo este año, el organismo responsable de velar por la protección de datos en España ha impuesto sanciones multimillonarias a gigantes como Google, con 10 millones en mayo, o Amazon, con otros 2 millones en febrero. Pero si algo marca el listado de las mayores sanciones del año, fue una acción que emprendió la AEPD a principios de año contra las operadoras de telecomunicaciones.

Estas son las principales sanciones que la AEPD ha lanzado este año contra las empresas que vulneraron el RGPD.

 

El asalto a las telecos por no hacer lo suficiente para evitar el 'SIM swapping'

El SIM swapping es una técnica que emplean los ciberdelincuentes para acceder a una copia de la tarjeta SIM de sus víctimas. De esta manera, con la copia de la SIM en su poder, los ciberdelincuentes pueden tratar de iniciar sesión en las plataformas en las que la víctima tenga cuenta, y recuperar la contraseña usando el acceso con la autenticación multifactorial.

Por supuesto, esta técnica solo es posible si los criminales informáticos acceden a un duplicado de la tarjeta telefónica, algo para lo que es imprescindible que las operadoras tengan cierta laxitud a la hora de generar y ofrecer esos duplicados. Por ejemplo: no atestiguar adecuadamente que el solicitante es quien dice ser o viene en representación efectiva del titular.

Por esta razón la AEPD interpuso varias multas a principios de este año contra las telecos, algunas de ellas las más cuantiosas del año. La quinta mayor multa de la AEPD en 2022 fue a Orange, con 700.000 euros de sanción.

La cuarta fue a Movistar —Telefónica— con una sanción de 900.000 euros. Pero el golpe más duro se lo llevó Vodafone, con una multa de 3,94 millones de euros: la Agencia determinó que la teleco había sido negligente ya que solo había emprendido medidas correctoras una vez se inició la investigación por parte de la autoridad: muchas de esas SIM duplicadas fueron fruto de fallos humanos.

Un golpe a uno de los mayores proveedores de páginas porno en España

La cuarta mayor multa de protección de datos del año la recibió TechPump, una firma tecnológica española que quizá no conozcas. Es responsable de varios portales pornográficos e incluso alumbró su propia productora personalizada, según consta tanto en la resolución de la AEPD como en la hemeroteca.

La razón por la que la Agencia Española de Protección de Datos incoó un procedimiento sancionador contra esta compañía no era otro que el deficiente sistema con el que animaba a los usuarios a aceptar o rechazar las cookies que su web instalaría en sus dispositivos. A pesar de lanzar una alarma avisando de la presencia de esas cookies, los usuarios no tenían por qué aceptar.

De hecho, bastaba con pulsar fuera de la ventana emergente para que esta se cerrase, convirtiendo un proceso indiscutible e imprescindible para el RGPD —el consentimiento para que se instalen cookies en tu dispositivo— en papel mojado. Por esa razón, la AEPD propuso una multa de 525.000 euros, algo más de medio millón de euros.

2 millones a Amazon por haberle exigido a transportistas freelance sus certificados de antecedentes penales

En febrero, el organismo de control propuso una sanción de 2 millones de euros contra una filial de Amazon, Amazon Road.

En la resolución, que puedes consultar aquí, la AEPD culminaba un procedimiento que arrancó en 2019 con una reclamación que el sindicato UGT interpuso ante la filial del gigante del comercio electrónico. En la misma se indicaba que "para la contratación de transportistas autónomos", la entidad solicitaba a los candidatos "un certificado de ausencia de antecedentes penales".

Furgonetas de reparto eléctricas de Amazon.

Además, el certificado de antecedentes penales, que puede considerarse como datos personalmente especialmente protegidos, eran remitidos a dos filiales de la multinacional con sede fuera de la Unión Europea.

La AEPD fue tajante. "Son los poderes públicos los encargados de conceder las autorizaciones necesarias para el transporte público de mercancías", recuerda. "A Amazon Road únicamente le compete comprobar que el transportista autónomo que pretende contratar cuenta con esa concesión".

La mayor multa de 2022 por parte de la AEPD: 10 millones de euros a Google

Los resultados de Google no son todo internet: en el buscador más conocido del planeta solo aparece aquello que está indexado. Y hay direcciones que ya no aparecen en sus páginas de resultados porque alguien —una organización o un individuo— han solicitado que se retiren: ya sea porque incluían contenido ilegal o por el derecho al olvido.

El proyecto Lumen es una iniciativa académica que pretende estudiar quiénes impulsan la retirada de muchos enlaces de buscadores como Google y con qué motivo. La multinacional tecnológica colabora con esa iniciativa, y por esa razón trasladaba a la investigación datos sobre los reclamantes. Muchas productoras, por ejemplo, pedían la retirada de enlaces con piratería.

Este año, la Agencia Española de Protección de Datos resolvió que este fenómeno suponía en realidad una cesión de datos a terceros de forma ilegítima, que además obstaculiza el derecho de supresión —la retirada solicitada de los enlaces—. Por esa razón anunció una sanción de 10 millones de euros contra la compañía estadounidense.

La AEPD entendió que Google había cometido "dos infracciones muy graves" del Reglamento General de Protección de Datos al comunicar el contenido de las reclamaciones que recibe al Proyecto Lumen "sin una base legal válida". Google se defendió alegando que querían colaborar con transparencia en la aplicación de esos derechos.

Sin embargo, la Agencia de Protección de Datos consideró que ese sistema implicaba "dejar a criterio de Google la decisión sobre cuándo aplica y cuándo no el RGPD", lo que suponía aceptar que la compañía pudiese "eludir la aplicación de la normativa de protección de datos personales".

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Business Insider.