De 3 a 32 millones: Protección de Datos multa un 1.000% más y convierte a España en el sexto país europeo en sanciones por vulnerar el RGPD

Los consejeros delegados de los tres gigantes de la nube, Satya Nadella, de Microsoft, Jeff Bezos, de Amazon, y Sundar Pichai, de Google, han presentado esta semana unos resultados muy satisfactorios impulsados por el impulso de la nube.
Los consejeros delegados de los tres gigantes de la nube, Satya Nadella, de Microsoft, Jeff Bezos, de Amazon, y Sundar Pichai, de Google, han presentado esta semana unos resultados muy satisfactorios impulsados por el impulso de la nube.

Lucas Jackson/Reuters, Charles Krupa/AP Photo, Denis Balibouse/Reuters.

  • Las autoridades de protección de datos en España y en toda Europa han batido récords en 2021 aumentando el número de multas y la cuantía de sanciones.
  • Con todo, el éxito y la eficacia del RGPD siguen en entredicho debido al cuello de botella en Irlanda y a los desafíos presupuestarios de estas agencias.
  • Descubre más historias en Business Insider España.

2021 ha sido un año de récord para la Agencia Española de Protección de Datos (AEPD). El organismo de control español ha propuesto 47% sanciones más que en 2020 (más de 180 frente a unas 120 en el año pasado), lo que se ha traducido en más de 32 millones de euros en sanciones, casi un 1.000% más que los 3 millones de euros que propuso en 2020.

Aunque el Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2018, no ha sido finalmente hasta 2020 y 2021 cuando sus efectos sancionadores se han hecho notar. La razón no es otra que cuando entró en vigor, la AEPD ya tenía varios casos abiertos a los que todavía se les aplicaría la legislación previa a este reglamento.

Con su entrada en vigor, el RGPD elevaba las sanciones hasta los 20 millones de euros (por causas muy graves) o incluso a un 4% de la facturación global de la compañía que haya vulnerado la norma. Así, este 2021 se ha visto por primera vez en la historia una multa de más de 700 millones de euros como la que Luxemburgo ha impuesto a Amazon.

Estas agencias de protección de datos o autoridades de control, como se las conoce en la propia RGPD, publican todas sus resoluciones en sus respectivas páginas web. Un agregador llamado GDPR Enforcement Tracker recopila toda esta información para fines estadísticos.

Los metaversos serán un desafío regulatorio, con las tecnológicas controlando cómo gesticulamos o respiramos, pero estos expertos recuerdan que tenemos herramientas para defendernos

Así, entre diciembre de 2020 y noviembre de 2021 la autoridad española ha propuesto sanciones de récord. Solo las multas que la AEPD ha propuesto en este ejercicio duplican todas las sanciones previas que el organismo había elevado en los dos años anteriores (desde 2018).

Más de 8 millones en una sola multa a Vodafone, otras dos de 6 y de 3 millones a CaixaBank, una de 5 millones al BBVA, dos de 1,5 millones a la portuguesa EDP, una sola multa de 2,5 millones a Mercadona o una sanción a Equifax de un millón de euros son algunos de los hitos que la agencia española ha protagonizado este año.

Un crecimiento similar en toda Europa

Este incremento tanto en número de multas como en cuantía de las mismas no solo se ha dado en España. A nivel europeo se ha registrado un crecimiento superior al 500%. Si en 2020 las autoridades de control europeas propusieron más de 168 millones de euros en multas, en el año 2021 estas cifras se han disparado hasta los 1.073 millones de euros.

En número de multas, la autoridad española sigue incontestable. Es el organismo de control europeo que más sanciones ha propuesto. A mediados de 2021 ya era líder con más de 222 sanciones elevadas. Cuando este año está a punto de terminar, la AEPD ha ampliado su liderazgo con 340 sanciones.

"Sus procedimientos fallan y no funcionan": uno de los principales reguladores europeos de protección de datos urge a renovar el RGPD

Pero en cuantía de sanciones, España ha retrocedido dos puestos. Era la cuarta autoridad de control que más dinero había exigido a las infractoras del RGPD. Ahora es la sexta, aunque la razón es fácil de detectar. El número uno ahora lo ostenta la autoridad de Luxemburgo, por la multa de 740 millones de euros a Amazon.

Le sigue Irlanda, que salta al segundo puesto por una sanción histórica contra WhatsApp de 220 millones de euros. Fuera de España, otras plataformas como Grindr también se han enfrentado a cuantiosas multas. España, por su parte, en el histórico solo ha levantado 36 millones de euros en sanciones, de los cuales 32 se han propuesto este mismo año.

Problemas de presupuesto

A pesar de estos datos, el presupuesto de la AEPD es uno de los que menos crecen si se compara con otros organismos de control de países de su entorno. El dinero asignado a la AEPD lindaba los casi 13,4 millones de euros en 2014. En 2021 esa cantidad ha aumentado solo un 17%, hasta los 15,8 millones, según cifras que refleja la agencia en su propia web.

Para entender este lento crecimiento hay que recordar que el presupuesto asignado a la AEPD en 2018 fue de 14,2 millones, y esta cuantía acabó siendo la misma en 2019 y 2020 a causa de la prórroga de los presupuestos generales del Estado.

Estas cifras hacían peligrar la viabilidad y la eficacia del RGPD en Europa, a pesar de que múltiples voces en Bruselas reivindican cómo la norma se ha convertido en una suerte de estándar global en materia de protección de datos personales. 

Uno de los padres del RGPD advierte que el coronavirus ya ha dejado obsoletas las leyes sobre protección de datos en Europa

Un informe de la ICLL (Consejo Irlandés por las Libertades Civiles) ponía de relieve el "tapón" que ha originado la ineficacia de la autoridad irlandesa de protección de datos. Ese tapón o cuello de botella es el que origina el hecho de que la autoridad en Dublín no haya logrado tramitar en los últimos años el 98% de las demandas por protección de datos contra las grandes tecnológicas.

La AEPD todavía tiene una estructura con una directora general interina, Mar España, que lleva meses en funciones. El nombramiento de la nueva Presidencia del organismo todavía no se ha producido, y a pesar de que las millonarias multas ya han llegado, la inversión no crece.

Una idea: quedarse con el dinero de las multas

Esto llevó a Borja Adsuara, abogado y consultor, a proponer en Business Insider España una idea: la posibilidad de que la AEPD se quedara con el dinero de las multas para financiarse. "La Agencia Tributaria, la Policía Nacional y la Guardia Civil, para perseguirlo, incautan bienes", recordó entonces.

"El principio de independencia de las autoridades de control empieza por la independencia económica", enfatizó entonces. En múltiples ocasiones, la propia Mar España ha reivindicado la necesidad de que la entidad cuente con más presupuesto y más flexibilidad para realizar contrataciones.

"Si las grandes empresas que tienen que vigilar emplean inversiones millonarias para el tratamiento de los datos, también se necesitarán inversiones millonarias para perseguirlas", aseguró Adsuara.

"Sé que pueden destruirme": la denunciante de Facebook pide ayuda para acabar con la 'anarquía digital' y regular a los gigantes tecnológicos

Todavía falta por ver cómo evolucionarán las resoluciones que eleve la AEPD en 2022. Pero en 2023 podría entrar en vigor los nuevos reglamentos que regulen a las grandes tecnológicas, como la Ley de Servicios Digitales y la Ley de Mercado Digital, así como el Reglamento sobre la IA que también se trabaja desde Bruselas.

Algunas voces han reivindicado el papel de las autoridades de control, así como el de la Comisión Nacional del Mercado y la Competencia (que en virtud de la nueva ley audiovisual también vigilará a youtubers o streamers) frente a estas futuras normas. Con todo, la propia CNMC reconocía a principios de este año que también andan escasos de personal para vigilar todos esos contenidos digitales.

Las multas millonarias seguirán llegando, pero el desafío será en 2022 que la autoridad española de protección de datos pueda seguir trabajando sin generar otro cuello de botella como el que se ha producido en Irlanda con el RGPD.

De lo contrario, muchos expertos advierten: tanto las presentes como las futuras normas que regularán a la industria tecnológica nacerán obsoletas.

Otros artículos interesantes:

"Sus procedimientos fallan y no funcionan": uno de los principales reguladores europeos de protección de datos urge a renovar el RGPD

La AEPD impone una multa de 3 millones de euros contra la eléctrica EDP por vulnerar el reglamento de protección de datos

China aprueba una ley de protección de datos pionera que endurece al sector tecnológico y da más poder de decisión al consumidor

Te recomendamos