Las históricas multas a BBVA y CaixaBank retratan la nueva estrategia de la Agencia de Protección de Datos: castigos millonarios para parecernos más a Francia o Alemania

La Agencia Española de Protección de Datos ha interpuesto dos multas millonarias en un solo mes: una el 11 de diciembre a BBVA de 5 millones de euros, y otra a CaixaBank el 13 de enero de 6 millones.

Ambas juntas suman 11 millones de euros, lo que supone el 70% de todas las multas propuestas desde 2018, cuando entró en vigor el nuevo Reglamento de Protección de Datos europeos.

Los datos son públicos y se recopilan en el GDPR Enforcement Tracker, una plataforma de CMS, una de las mayores firmas legales de Europa. Ahora mismo la Agencia Española de Protección de Datos sigue siendo el organismo de control europeo que más procedimientos y causas ha abierto contra empresas, muy por delante de sus homólogas.

Sin embargo, la cuantía de sus sanciones está lejos de ser la misma que la de países como Italia, Alemania o Francia, donde sus sanciones superan los 50 millones de euros.

Eticas, la firma española que audita algoritmos a gobiernos y empresas tecnológicas, publica un 'manual de instrucciones' en el que detalla cómo lo hacen

En España el GDPR Enforcement Tracker registra sanciones por vulnerar el Reglamento de Protección de Datos que ascienden a más de 15.520.000 euros. Estas sanciones se reparten en 173 procedimientos, de los cuales tan solo 2 juntos superan los 11 millones de euros.

Por comparar, y según datos de la propia plataforma, España es el país que más procedimientos ha abierto y sancionado. Sus 173 causas abiertas contra firmas por vulnerar el RGPD superan holgadamente al segundo país en número de procedimientos, que es Rumanía, con solo 47.

Si España ha recaudado más de 15 millones y medio de euros en 173 procedimientos, Rumanía ha multado 47 veces por una cuantía de solo 670.000. En otra órbita sigue Italia, que con solo 40 procedimientos ha interpuesto multas por valor de cerca de 70 millones de euros.

Alemania tiene registrados 28 procedimientos, pero las multas interpuestas superan los 63 millones. Francia, con solo 12 causas, también supera los 54 millones. Un caso paradójico es el del organismo de control británico, que ya queda fuera de la estadística tras haberse ejecutado el Brexit: en Reino Unido, las autoridades de protección de datos han propuesto 4 sanciones por un valor que superan, todas ellas juntas, los 44 millones de euros.

Con las históricas multas a BBVA y CaixaBank, la AEPD supera al organismo de control sueco, que ha abierto 12 procedimientos con propuestas de sanción superiores a los 12 millones de euros.

Pero para llegar a este punto, ha habido que esperar cerca de 3 años, desde que el RGPD entró en vigor, para ver las sanciones millonarias que se han visto contra las entidades bancarias. Hasta que se conocieron las resoluciones contra BBVA y CaixaBank, la mayor propuesta de sanción de la AEPD se registró a mediados de 2019: 250.000 euros en una causa abierta contra la Liga de Fútbol Profesional.

Fuentes de CaixaBank, por su parte, han avanzado a Business Insider España que planean recurrir la resolución de la agencia. La entidad defiende que su actuación en materia de protección de datos personales "es adecuada y conforme a las exigencias de la legislación española".

Los responsables de privacidad de Google, Twitter y Amazon explican cómo ha cambiado su negocio tras la ley de protección de datos y ya plantean una norma análoga para EEUU

Todo esto en un marco que podría empezar a cambiar. España es el país que más procedimientos abre, pero el que hasta ahora tenía las multas menos cuantiosas. La tendencia puede empezar a cambiar con las sanciones de diciembre y enero a BBVA y CaixaBank. Y esta semana se cayó uno de los parapetos legales que usaba Facebook en Irlanda.

El Abogado General de la UE concluyó esta semana que los organismos de control nacionales pueden emprender acciones legales ante compañías tecnológicas por transferencias de datos transfronterizas que afecten a ciudadanos de su territorio nacional.

Para ello, se deben reunir una serie de condiciones, pero abre la puerta a que las agencias de países como España, Francia, Alemania o Italia inicien procedimientos contra grandes plataformas como Facebook. Hasta ahora, la prudencia hacía que muchas agencias evitaran hacerlo, habida cuenta de que Facebook tiene su principal sede europea en Irlanda, y por tanto compete a la "autoridad de protección de datos principal" que le corresponde. En ese caso, la DPC irlandesa.

El juicio en Irlanda por las transferencias de datos de Facebook a EEUU continuará tras un acuerdo con la agencia de protección de datos

Sumado a esto, hay que recordar que la AEPD mantiene causas abiertas contra grandes compañías españolas como Mercadona por la instalación de cámaras de reconocimiento facial en 40 de sus tiendas. Business Insider España adelantó la apertura de esta investigación que, 6 meses después, continúa. Los resultados tendrán que conocerse antes de este verano.

Del mismo modo, la AEPD sigue siendo el organismo de referencia para determinadas cuestiones al que se dirigen los activistas de la privacidad en Europa y en España: Noyb, una asociación de activistas europeos, denunció a más de 100 empresas en todo el continente por seguir transfiriendo datos de los ciudadanos a Estados Unidos, a pesar de la sentencia del TJUE que las invalidaba. En España, esta denuncia afectó a 5 compañías.

También Noyb, de la mano del colectivo español X.net, planteó hace unos meses una denuncia contra Apple en el que será el primer conflicto por la privacidad que el fabricante del iPhone mantiene en Europa.