El RGPD cumple 5 años en vigor con multas históricas y un amplio horizonte de desafíos marcado por el auge de la IA

El Reglamento General de Protección de Datos se aprobó en 2016, pero no entró en vigor hasta un 25 de mayo como hoy de hace 5 años. 

La incertidumbre suscitada en los prolegómenos de su entrada en aplicación, así como el sinfín de correos electrónicos que plataformas y servicios de todo pelaje enviaron a sus suscriptores y usuarios esos días advirtiendo de los cambios no eran en realidad nada en comparación con lo que estaría por llegar.

Lo que más llamó la atención cuando este RGPD entró en vigor hace un lustro fue las significativas cuantías que contempla su régimen sancionador. O 20 millones de euros o el 4% de la facturación global de la compañía infractora. Aunque por el momento no se han visto semejantes montos, no fue hasta hace unos días cuando se impuso la mayor multa de la historia del reglamento.

La propuso Irlanda y se dirige contra Meta, el nombre con el que ahora se conoce a Facebook. Un total de 1.200 millones de euros por haber continuado transfiriendo datos personales de sus usuarios europeos al otro lado del Atlántico, con dirección Silicon Valley, a pesar de que desde verano de 2021 esa práctica no se ampara por una sentencia del Tribunal de Justicia de la Unión Europea.

Lo que se ha visto estos últimos años es que cuando Bruselas propone una regulación a la industria tecnológica, esta, en un principio, la recibe con expectación y agrado: para todas las grandes multinacionales del sector siempre es una buena noticia que la Unión Europea marque el camino y arbitre en el mercado y en la relación que muchas plataformas han originado con sus usuarios.

Se aprecia, por ejemplo, con el desarrollo legislativo que está siguiendo el futuro Reglamento de la Inteligencia Artificial, que podría ver la luz a finales de este año.

Pero cuando esa regulación entra en ejecución y llegan sanciones como la que se vio hace apenas unos días, es cuando el discurso público de muchas marcas se endurece. Meta denunció que la sanción de 1.200 millones que acababa de proponer la Comisión de Protección de Datos irlandesa era un "precedente peligroso" en un momento en el que "internet se rompe por los autoritarismos".

Tardaron en llegar, pero llegaron: esas históricas multas están dando respuesta a ciertas actuaciones que la gran industria ha continuado ejecutando. Una de las mayores multas que se ha amparado en esta regulación fue contra Amazon hace apenas 2 años y la impuso Luxemburgo contra Amazon: fue de 746 millones de euros.

Casi 4.000 millones de euros en multas en 5 años

En estos 5 años de Reglamento General de Protección de Datos se han impuesto un total de 1.642 multas y el cómputo total de sanciones está rozando ya los 4.000 millones de euros. España es el país que más multas ha propuesto —646 de las 1.642 de toda la Unión— pero el protagonismo en la cuantía se lo lleva Irlanda tras el récord sobre Meta de hace unos días.

En ese sentido, Irlanda es el país con las multas más elevadas —2.510 millones de euros en 25 multas— mientras que España es el sexto —59 millones de euros en 646—. 

En España las grandes multas millonarias tardaron en llegar, en parte porque durante los primeros años con el RGPD en vigor la Agencia Española de Protección de Datos todavía estaba resolviendo causas que todavía se amparaban en la anterior legislación.

Eso no ha impedido que el organismo de control nacional haya sancionado a Google con 10 millones, a Vodafone con 2 multas de un total de 12 millones, a Caixabank con otras 2 de un total de 9 millones o al BBVA con 5 millones. 3 millones de euros en 2 multas a la eléctrica EDP, 2 millones a Amazon y 2,5 millones a Mercadona completan la tabla de multas millonarias españolas.

Las transferencias de datos a EEUU, un fleco urgente que atajar

A pesar de algunos desafíos superados, todavía hay flecos pendientes de resolver. Por ejemplo, la multimillonaria multa de Irlanda contra Meta llega después de años de críticas de las agencias de protección de datos nacionales a su análoga irlandesa, al considerar que había originado un cuello de botella por su laxitud de trato con las multinacionales tecnológicas.

De hecho esa supuesta laxitud acabó provocando todo un conflicto cuando fue el propio Comité Europeo de Protección de Datos quien enmendó un borrador de sanción a Irlanda también contra Meta por otra causa: la base de legitimación con la que Facebook continuó recabando datos de sus usuarios cuando precisamente entró en vigor el RGPD en mayo de 2018.

Más allá de ese encontronazo entre la DPC irlandesa y el Comité Europeo de Protección de Datos —el organismo comunitario que aglutina a todas las agencias nacionales, como la española AEPD, la francesa CNIL o la italiana Garante—, la Comisión Europea tiene todavía que anunciar si acepta o no la nueva propuesta estadounidense para un acuerdo de transferencias de datos transatlánticas.

El escenario más optimista deja a EEUU y a la Unión Europea sin acuerdo para transferir datos hasta verano: qué puedes hacer para no vulnerar la ley

El Tribunal de Justicia de la Unión Europea tumbó en 2021 el último acuerdo, razón por la cual Meta fue sancionada hace días con esos 1.200 millones: la justicia europea entendió entonces que Washington no ofrece las mismas garantías tratando en su legislación los datos personales de ciudadanos europeos que en Europa sí se les ofrece a los norteamericanos.

Meta y otras muchas grandes tecnológicas, como Google, continuaron transfiriendo datos amparándose en unas cláusulas tipo —que la justicia ya determinó que no eran válidas—. El temor en Bruselas es que en EEUU, invocando la legislación federal de seguridad nacional, las agencias de inteligencia pudiesen lesionar el derecho a la privacidad de los usuarios europeos.

Washington ya puso sobre la mesa una serie de reformas para ajustarse a las necesidades de Bruselas. La Comisión por el momento continúa sin pronunciarse después de que el Parlamento Europeo y el propio Comité Europeo de Protección de Datos hayan desaconsejado aceptar la propuesta norteamericana.

Los retrasos sistemáticos: "Una demostración de que el RGPD no funciona"

Precisamente la organización que consiguió que el TJUE tumbase el acuerdo entre EEUU y la Unión Europea vigente hasta 2021 es una asociación austríaca en defensa de la privacidad llamada Noyb, presidida por Max Schrems. No en vano, la sentencia europea se conoció como Schrems II, ya que la primera sentencia Schrems derribó... el anterior acuerdo entre Washington y Bruselas.

Noyb es una de las entidades que más causas y procedimientos inicia atendiendo a los preceptos que establece el RGPD. En un reciente comunicado, el colectivo denunciaba que la multa de 1.200 millones de euros a Meta es la demostración palpable de que el cumplimiento de esta norma "no está funcionando".

"El RGPD tiene un trasfondo muy político. En los 5 años desde que el Reglamento entró en vigor hemos visto mucha resistencia por parte de las agencias nacionales y los tribunales para hacer cumplir la ley. El legislador ha hablado, pero los tribunales nacionales y las autoridades siempre encuentran nuevas fórmulas de no escuchar", denuncia Schrems en este comunicado.

La entidad denuncia que el 85% de las denuncias que han presentado al amparo del RGPD todavía siguen sin resolverse y la multa de Irlanda a Meta llega precisamente tras años de causa. "En muchas jurisdicciones tienes una resolución 2 años después en el mejor de los casos", lamenta el propio Schrems. La coordinación entre autoridades nacionales del RGPD sigue siendo un asunto pendiente.

El auge de la IA, el nuevo desafío para la protección de datos

La explosión que ha experimentado el desarrollo de la inteligencia artificial después de que la empresa OpenAI pusiese en el foco su nuevo chatbot, ChatGPT, ha hecho que se tambaleen los cimientos también desde una perspectiva de protección de datos.

En los últimos meses han proliferado herramientas como Stable Diffusion o DALL-E, IA generativas capaces de crear imágenes de todo tipo necesitando para ello tan solo que los usuarios introduzcan prompts. 

Pero, ¿cómo generan estas inteligencias artificiales esas imágenes? Con enormes bases de datos de archivos con los que se han entrenado. Esto no entraña solo un desafío a la legislación sobre propiedad intelectual y derechos de autor, como advertía hace días en una entrevista con este medio Ibán García, eurodiputado español y uno de los ponentes en la sombra del Reglamento de la IA.

También supone un desafío para la protección de datos: muchas de las empresas que han desarrollado estas potentes herramientas de inteligencia artificial han entrenado sus modelos con material recopilado de la red, con lo que en muchos casos han usado fotografías de usuarios y otro tipo de información para la que no se ha ejercido un tratamiento adecuado al RGPD.

El Reglamento de Inteligencia Artificial, tal y como está planteado en su propuesta de la Eurocámara, exigirá transparencia a estos modelos: sus responsables tendrán que desgranar con qué materiales se ha entrenado la máquina para poder operar en el Viejo Continente.

Lo explicaba también hace unos días Blanca González, cosultora de seguridad de Entelgy Innotec Security: "El uso de la IA puede plantear riesgos de privacidad y seguridad". 

Por eso, a juicio de la experta, este será otro de los desafíos que podría tener que responder el RGPD: es importante que las propietarias de estos modelos tengan muy presente el reglamento que hoy cumple 5 años en sus desarrollos.