BBVA, Vodafone, Digi o la organizadora del Mobile World Congress, entre las empresas más multadas en España por incumplir el RGPD en 2023

2023 ha sido el año en el que el Reglamento General de Protección de Datos (RGPD) ha cumplido cinco años en vigor: su aplicación comenzó a ser efectiva en mayo de 2018. También ha sido un año informativamente intenso en este ámbito: se han introducido nuevos debates a raíz de las suscripciones de Meta y se ha firmado un nuevo acuerdo para transferir datos a EEUU.

Sin ir más lejos, ChatGPT, el popular modelo de IA desarrollado por OpenAI que genera textos y responde a sus usuarios, estuvo bloqueado unas semanas en Italia a instancias de su autoridad de protección de datos, al entender que la compañía tenía que subsanar una serie de deficiencias para cumplir adecuadamente con la legislación europea.

Esta intensidad también se ha trasladado al ámbito sancionador. 2023 ha sido un año de récord en Europa en cuanto a multas administrativas por vulnerar el RGPD. 

Meta fue la compañía que recibió la mayor sanción en la historia de la norma, y sucedió el pasado verano: 1.200 millones de euros por haber continuado transfiriendo datos personales de usuarios europeos a EEUU cuando el acuerdo entre Bruselas y Washington llevaba invalidado desde 2021 —y no se firmó el nuevo hasta semanas después—.

La multinacional propietaria de Facebook o Instagram lamentó la sanción y advirtió que sienta un "precedente peligroso" en un momento en el que internet se está "fracturando" por la presión de los "regímenes autoritarios".

Las quejas de Zuckerberg y compañía no respondían en realidad a esa histórica sanción de 1.200 millones: ya en enero, la autoridad de protección de datos irlandesa —con toda la presión del Comité Europeo de Protección de Datos, el organismo que aglutina a todas las agencias nacionales— impuso otra sanción de 390 millones a la multinacional de las redes sociales.

También Irlanda ha impuesto este año una sanción de 345 millones de euros a TikTok. Pocas se escapan. La autoridad francesa acabó anunciando en junio una multa de 40 millones de euros contra Criteo, una de las mayores empresas de perfilado publicitario del continente, tras un proceso que inició la asociación de activistas en defensa de la privacidad Noyb.

Zuckerberg prometió que 2023 sería el "año de la eficiencia" para Meta: ha llegado el momento de comprobar si lo ha logrado

Todas estas sanciones, algunas de las más importantes que las autoridades europeas de protección de datos han dado a conocer durante 2023, han hecho que el año que ahora se despide sea el año en el que se han registrado multas por más de 2.053,6 millones de euros. La cifra dobla holgadamente la registrada en 2022, cuando se impusieron 841,5 millones de euros en multas.

La evolución de las multas por el Reglamento de Protección de Datos desde 2018 siempre ha sido una progresión lineal. En 2020, por ejemplo, se duplicó lo sancionado en 2019 y se impusieron 171,5 millones de euros en multas. En 2021, la cifra se disparó hasta los 1.278 millones —impulsado, sobre todo, por una multa de más de 700 millones que recibió Amazon—.

En 2022 el número se quedó por debajo de los 850 millones de euros. Pero este 2023 ha reventado todos los registros. En buena parte por esa sanción a Meta de 1.200 millones. Es el primer año —y todavía queda por conocer cómo cierra diciembre— en el que se han superado los 2.000 millones de euros en multas por vulnerar el RGPD en la Unión Europea.

¿Y en España? La Agencia Española de Protección de Datos (AEPD) cumplió hace escasos días 30 años. Sanciona desde 2018, pero no ha sido hasta el año pasado cuando la entidad que todavía dirige Mar España comenzó a imponer las sanciones millonarias con las que el RGPD nació bajo el brazo.

En realidad ya se vieron multas de 5 millones de euros en 2020 (BBVA), de 6 millones (CaixaBank) o de más de 8 millones (Vodafone) en 2021, y la mayor sanción de la autoridad española se hizo notar en 2022, contra Google, por 10 millones de euros.

Este 2023 no ha habido cifras astronómicas como esas por parte de la AEPD. Pero sí algunas que se han acercado al millón. La AEPD no empezó a imponer sanciones millonarias atendiendo al RGPD porque hasta bien entrado 2019 y 2020 el organismo seguía resolviendo procedimientos que se dirimían con la legislación previa.

Ahora en 2023 la falta de sanciones multimillonarias se puede explicar con lo que ha sucedido en realidad siempre: España es el país que más multas ha impuesto por el RGPD a nivel europeo, pero su cuantía es menor porque las grandes multinacionales tecnológicas que podrían ser perseguidas con el régimen sancionador del RGPD se afincan en otros países de la Unión.

Es el caso de TikTok o Meta, que se asientan en Irlanda. Solo en casos muy concretos las autoridades de protección de datos pueden imponer una sanción contra una compañía cuando esta está en otro territorio europeo.

De las mayores multas impuestas por la AEPD este 2023 se pueden extraer también varias conclusiones. Una de ellas es que las telecos ya están pagando su responsabilidad cuando sus clientes sufren estafas con técnicas conocidas como el SIM swapping o el duplicado de tarjetas.

Estas son algunas de las empresas más multadas este año en España por la AEPD.

#1 800.000 euros al BBVA

La sanción más elevada de todas las que ha impuesto la AEPD este 2023 la ha recibido el BBVA. La agencia española inició un procedimiento sancionador de oficio después de que una persona sufriera el robo de su bolso cuando recibía tratamiento oncológico en una clínica médica y a pesar de que notificara la sustracción de su tarjeta, la entidad bancaria hiciera caso omiso.

Esto provocó que la persona fuera suplantada por el criminal que accedió a su monedero y a su tarjeta bancaria. Por esta razón, la AEPD inició el procedimiento sancionador en enero de este año con una multa de 1,6 millones de euros al BBVA. La entidad financiera, por su parte, se acogió al pronto pago y acabó asumiendo una sanción de 800.000 euros.

Finalmente, el pasado 20 de octubre la Agencia Española de Protección de Datos dio el caso por cerrado desestimando los recursos que la banca interpuso.

#2 704.000 euros a Vodafone

Vodafone España, recientemente adquirida por Zegona, es una de las telecos que más siguen sufriendo los problemas acaecidos de clientes a los que duplican su tarjeta SIM. Los ciberdelincuentes están al acecho y la falta de atención y formación que puedan tener las plantillas de las operadoras puede ser determinante a la hora de detener estos ilícitos.

Vodafone en realidad no ha recibido una sanción única de 704.000. Ha recibido varias de ellas, oscilando los 136.000 y los 40.000 euros, y todos los procedimientos que han acabado con esas multas —una decena— responden, por lo general, a la misma problemática: el SIM swapping.

#3 700.000 euros a Digi

Lo mismo sucede con Digi. Mientras la operación de fusión entre MásMóvil y Orange recibe —o no— el visto bueno de la Comisión Europea, la rumana Digi, que aspira a convertirse en la cuarta operadora del mercado español, también ha tenido que pasar por caja.

Como a Vodafone, su problema no ha sido recibir una única sanción de 700.000 euros, sino una decena de multas de 70.000 euros y todas por casos similares cuando no idénticos: personas que de la noche a la mañana detectaron que su teléfono dejaba de tener cobertura y acceso a la línea móvil y al cabo de unos días detectaban sustracciones de su entidad financiera.

Casos de SIM swapping de manual.

#4 200.000 euros a la GSMA, la organizadora del Mobile World Congress

La nota de color en este 2023 de sanciones por vulnerar el RGPD lo pone la GSMA. La patronal global del mundo de las telecomunicaciones recibió una sanción este año después de que una ciudadana británica que fue invitada a dar una charla en el Mobile World Congress de Barcelona descubriese que para acceder tenía que ceder información extremadamente sensible.

Efectivamente, ponentes y periodistas, a la hora de registrarse en la web de la GSMA para acudir al Mobile, tenían la opción de subir una fotografía de su rostro para que el acceso a la Fira de Barcelona fuese algo más ágil gracias a un sistema de reconocimiento facial.

Multa de 200.000 euros al Mobile World Congress de Barcelona por instalar accesos con reconocimiento facial sin evaluación previa

El problema es que además el sistema exigía que se subiera una fotocopia del documento de identidad o del pasaporte, algo que a la ciudadana británica que puso el grito en el cielo no terminó de convencer: ni dónde se almacenaría esa información, ni por qué se tenía que recopilar a través de ese método cuando se podía enseñar en la puerta de Fira al guardia de seguridad...

Finalmente, la AEPD intervino y multó a la GSMA por haber instalado ese sistema de reconocimiento facial desde la edición del Mobile World Congress de 2021 sin haber realizado una evaluación previa.

El caso de la GSMA recuerda al de Mercadona, que ya recibió una multa millonaria años atrás por haber instalado cámaras de reconocimiento facial en varios de sus establecimientos. Precisamente esta tecnología será vetada en espacios públicos en cuanto el nuevo Reglamento de la Inteligencia Artificial que acaba de aprobar la Unión Europea entre en vigor, presumiblemente en 2026.