Las sanciones por vulnerar el RGPD en toda Europa superaron los 1.100 millones de euros en 2021, hasta siete veces más que el año anterior

España ya registró en 2021 un brutal incremento de las sanciones interpuestas contra compañías que vulneraron el Reglamento General de Protección de Datos. Pasó de 3 millones entre diciembre de 2019 y noviembre de 2020 a 32 millones entre diciembre de 2020 y noviembre de 2021. Un 1.000% más.

Ahora, los datos consolidados de 2021 destacan cómo este crecimiento se ha producido en todos los estados miembros. Según los cálculos del bufete DLA Piper, las agencias de protección de datos europeas elevaron el año pasado más de 1.100 millones de euros en sanciones, al menos desde el 28 de enero del año pasado.

El informe se ha publicado hace unos días y recoge una cuantía superior a los 1.100 millones de euros en multas. El incremento no es casual, ya que en 2021 se han producido también dos de las sanciones más elevadas desde que entró en vigor el Reglamento General de Protección de Datos: una a Amazon de 746 millones y otra a WhatsApp de otros 225 millones.

Aunque el RGPD entró en vigor en mayo de 2018, no ha sido hasta 2020 y 2021 cuando se han revelado algunos de sus efectos. Una de las razones que han esgrimido en algunas ocasiones los expertos es que hasta estos años no se habían terminado de dirimir algunos procesos que en España por lo menos todavía se dirimían bajo la anterior ley nacional de protección de datos.

El informe de DLA Piper, del que se han hecho eco ya algunos medios como la CNBC, destaca también cómo las notificaciones por brechas de datos han aumentado algo más modestamente, en torno a un 8% interanual. Según este bufete, cada día las agencias de protección de datos europeas reciben el aviso de unas 356 de estas brechas.

Vodafone, CaixaBank, BBVA, Mercadona o Telefónica: Protección de Datos ha recaudado más de 31 millones de euros de las 9 empresas que más ha multado en 2021

2021 ha sido un año de récord para los organismos de control (como son la Agencia Española de Protección de Datos, la CNIL francesa o la DPC irlandesa). "Antes del RGPD, si te ponían una multa y eras uno de los procesadores de datos más grandes, era una cuestión de redondeo: la sanción apenas supondría pagar el valor de la fiesta de Navidad".

"Ahora vemos multas que se acercan a los 1.000 millones de euros", recuerda a la CNBC Ross McKean, presidente del grupo DLA Piper en Reino Unido.

Con todo, 2021 también ha sido un año en el que se ha vuelto a poner en discusión algunos de los cuellos de botellas que ciertos mecanismos del RGPD han originado. Uno es el principio de ventanilla única, por el cual solo las agencias nacionales del país en el que se radique una empresa pueden actuar contra la misma.

Siendo las grandes tecnológicas las principales golpeadas por estas sanciones, es necesario recordar que muchas de estas multinacionales de origen estadounidense se ubican en Irlanda. Allí, la DPC no logra resolver la mayoría de los casos y disputas abiertas, superando a menudo los plazos que el Reglamento les marca, como exponen algunos expertos en protección de datos.

Este cuello de botella se discutirá en 2022 en un congreso que las autoridades europeas están preparando. Leonardo Cervera Navas es el director del Supervisor Europeo de Protección de Datos (EDPS), el organismo que vela por el cumplimiento del RGPD en las instituciones europeas. Así lo explicó en una reciente entrevista con Business Insider España.

Las transferencias de datos a EEUU, en el ojo del huracán

El Tribunal de Justicia de la Unión Europea tumbó en verano de 2020 el Privacy Shield, el acuerdo entre EEUU y Bruselas para garantizar la transferencia de datos entre ambos lados del océano. Sin embargo, la sentencia no ha repercutido en demasiado hasta que han llegado a principios de este 2022 las primeras resoluciones de organismos de control europeos al respecto.

Un especialista ha instado a la AEPD española a pronunciarse sobre si las cookies de Google Analytics suponen la transferencia de datos a EEUU, algo que no está tan claro. El Supervisor europeo falló que así sucedía en el caso de un servicio alojado en la web del Parlamento Europeo. Poco después hizo lo propio el organismo austríaco también por la gestión de cookies de Analytics.

El experto que ha instado a la AEPD a pronunciarse explicaba en Business Insider España que hacía ese requerimiento en base a la inseguridad jurídica que ocasionan los fallos de los organismos de control que ya se han pronunciado. En eso está de acuerdo McKean, de DLA Piper, en declaraciones a la CNBC. Va a ser un importante "dolor de cabeza" para las empresas este año.

Los desafíos para el RGPD no quedan ahí, y menos en España. El proceso para elegir la Presidencia de la agencia está abierto y se ha diluido en una guerra política entre candidatos promulgados por Ciudadanos y los nombramientos previos a que se abriese el proceso que acordaron PSOE y PP a finales del año pasado.