Los presupuestos de la AEPD y de las autoridades de protección de datos europeas se estancan: "Deberían quedarse con el dinero de las multas"

El presupuesto de la Agencia Española de Protección de Datos es uno de los que menos crecen si se compara con otros organismos de control de países de su entorno. El dinero asignado a la AEPD lindaba los casi 13,4 millones de euros en 2014. En 2021 esa cantidad ha aumentado solo un 17%, hasta los 15,8 millones, según cifras que refleja la agencia en su propia web.

Para entender este lento crecimiento hay que recordar que el presupuesto asignado a la AEPD en 2018 fue de 14,2 millones, y esta cuantía acabó siendo la misma en 2019 y 2020 a causa de la prórroga de los Presupuestos Generales del Estado.

Eso no quita que el presupuesto de la AEPD sea uno de los que menos han crecido entre 2017 y 2021 de entre organismos análogos de países de su entorno. Un informe de la ICLL (Consejo Irlandés por las Libertades Civiles) que se publicó este lunes ponía de relieve el "tapón" que ha originado la ineficacia de la autoridad irlandesa de protección de datos.

Europa estudia blindar sus fronteras con las mismas tecnologías que quiere reguladas en su interior: "Los migrantes merecen el mismo amparo que cualquier otra persona"

Sin embargo, ese mismo informe también desgranaba cómo el presupuesto conjunto de las autoridades de control europeas seguía creciendo, pero a un ritmo mucho más lento. Este crecimiento comenzó a retroceder fundamentalmente en 2018, año en el que entró en vigor el Reglamento General de Protección de Datos (RGPD).

En 2017 el presupuesto de la AEPD ascendía a 14,1 millones de euros, con lo que desde entonces su asignación ha aumentado un 11,7%.

Otras agencias crecen más y tienen más presupuesto

Los presupuestos de las autoridades de protección de datos de países similares a España, como la francesa CNIL, crecieron bastante más. En el caso galo, el presupuesto del CNIL ha aumentado un 26,5% en el mismo período (2017-2021), pasando de 17 a 21,5 millones de euros.

Otras autoridades nacionales, como la de Países Bajos, han registrado un crecimiento en su presupuesto del 150%. Los organismos de control de los ländersalemanes han visto sus presupuestos crecer en un 50,7%, mientras que la agencia federal ha disfrutado de un crecimiento del 104,5%, hasta un total de 31,5 millones.

Uno de los aumentos en la asignación presupuestaria más espectaculares se registran en Italia. Entre 2017 y 2021 la agencia de protección de datos italiana ha visto cómo su presupuesto se disparaba en un 74% hasta los 36,6 millones de euros.

Solo Suecia, Francia, España, Italia, Países Bajos y Alemania tienen presupuestados más de 10 millones de euros anuales a sus autoridades de control. En la zona baja de la tabla, que puedes consultar en la novena diapositiva del informe del ICLL, se aprecia cómo los países que apenas destinan 2 ó 3 millones de euros apenas han registrado un incremento en sus asignaciones.

Portugal, por ejemplo, no solo no ha aumentado el presupuesto de su agencia de protección de datos: ha disminuido su inversión en 400.000 euros.

En conjunto, la inversión se estanca

Así, en su conjunto, los presupuestos de los organismos de control europeos siguen creciendo, pero a menor ritmo. Si en 2017 la media del crecimiento en estos presupuestos era del 15%, en 2018 la misma lo fue del 20%. Todo ello se puede explicar en los preparativos que tuvieron que asumir los diferentes estados miembros para transponer el RGPD a sus respectivas legislaciones.

En 2019 estos presupuestos crecieron de media un 18%, mientras que al año siguiente este crecimiento cayó a un 14%, a pesar de ser el año en el que estalló la pandemia y estos organismos estuvieron sometidos a más consultas que nunca. En 2021, lejos de cambiar la tendencia, el presupuestado conjunto de estos organismos solo crece un 7%.

313 empresas respaldan la apertura de un hub español en GAIA-X, la nube europea para vehicular la digitalización sin ceder en soberanía tecnológica

Además de comprobar el porcentaje de incremento de los presupuestos de cada autoridad de control, es imprescindible detenerse en el punto de partida. La DPC (la agencia de protección de datos irlandesa) está sujeta a una enorme polémica, acusada de no tramitar de forma efectiva numerosas causas que abren sus homólogas contra las grandes tecnológicas.

Esto ocurre porque la mayoría de las empresas tecnológicas estadounidenses se instalan fiscalmente en suelo irlandés. El RGPD cuenta con un mecanismo de ventanilla única que hace que sea cada agencia de protección de datos nacional la competente para iniciar los procedimientos sancionadores oportunos sobre las empresas en su territorio. A Dublín se le acusa de inacción.

El mismo informe del ICLL destaca que a pesar de que Dublín ha registrado un incremento presupuestario del 154,6% hasta sumar en sus cuentas más de 19 millones de euros, la AEPD española, creciendo menos, ha sido capaz de resolver hasta diez veces más causas que la DPC. Una DPC que, sin embargo, por primera vez supera en presupuesto a la agencia española.

Presupuestos escasos y autoridades desbordadas

Con los datos que refleja este informe, Business Insider España ha consultado a dos abogados su opinión. Sergio Carrasco es ingeniero, abogado y consultor en Fase Consulting, y reconoce que el hecho de que las autoridades de control no tuviesen el crecimiento necesario "era de esperar".

"El caso de Irlanda tal vez sea el más llamativo porque allí tienen su sede las grandes tecnológicas, y el mecanismo de ventanilla única refuerzan su actividad", considera. "Todas las autoridades nacionales estaban bastante infradimensionadas", y el hecho de que Irlanda se iba a 'encargar' de las grandes multinacionales ha sido el pretexto perfecto para no invertir más.

Una nueva demanda contra TikTok exige a la red social 6.000 millones de euros en indemnizaciones para sus usuarios en Países Bajos

Carrasco pone en evidencia este retroceso recordando que en España el presupuesto de la AEPD no solo crece a un ritmo más deseable, sino que además se han cerrado otras agencias de protección de datos autonómicas. Alemania, por ejemplo, entre su agencia federal y las agencias de los länders, suman el 35% de la inversión europea en estas autoridades de control.

La Agencia de Protección de Datos de la Comunidad de Madrid cerró sus puertas en 2013, recuerda Carrasco. Y todo en un momento en el que "cada vez hay más denuncias y más riesgos", lamenta. "Eso requiere un trabajo que ahora mismo está desbordando ampliamente a la AEPD".

"Deberían poder quedarse con el dinero de las multas"

Borja Adsuara, abogado y consultor también especialista en temas TIC, comparte la reflexión de su compañero. "El presupuesto de la AEPD y del resto de agencias es muy escaso para el aumento de actividad que ha habido, y eso se ve en las mismas memorias de la Agencia desde que entró en vigor el RGPD".

"El principio de independencia de las autoridades de control empieza por la independencia económica", advierte de forma grave Adsuara, que se reconoce "radical" en este aspecto: "Deberían poder quedarse con el dinero de las multas", zanja.

Ha sido a partir de este 2021 cuando la AEPD ha comenzado a proponer sanciones millonarias contra entidades bancarias y telecos. Adsuara cree que ese dinero serviría de reinversión en la Agencia si esta no tuviera que abonar las multas en el Tesoro público. "Lo que reciben es un presupuesto escaso", recuerda.

La propia directora de la AEPD, Mar España, ha reflejado en alguna ocasión la necesidad de que la entidad cuente con más presupuesto y con más flexibilidad para realizar contrataciones. Adsuara pone de ejemplo cómo es la lucha contra el narcotráfico. "La Agencia Tributaria, la Policía Nacional y la Guardia Civil, para perseguirlo, incautan bienes".

Por esa razón, si las grandes tecnológicas realizan grandes inversiones millonarias para tratar los datos en muchas ocasiones con prácticas abusivas, Adsuara considera que las autoridades de control deberían tener, como mínimo, la misma capacidad inversora. 

"Si las grandes empresas que tienen que vigilar emplean inversiones millonarias para el tratamiento de los datos, también se necesitarán inversiones millonarias para perseguirlas".