Cuatro años del reglamento de protección de datos: más de 55 millones en multas que ponen a bancos y telecos en la diana
Bruselas, 25 de mayo de 2018. Dos meses después del estallido del caso Cambridge Analytica, la comisaria de Justicia de la UE, Věra Jourová, toma la palabra en un acto organizado en pleno corazón comunitario. Y lo hace para hablar de la importancia de los datos. "La privacidad es mucho más que un lujo. Es una necesidad", dice con firmeza. El evento se celebra en un momento muy concreto. Desde ese mismo día, es de aplicación en todos los Estados miembro el nuevo Reglamento General de Protección de Datos. Han pasado ya cuatro años. Y las autoridades españolas se esfuerzan por conseguir que el texto se cumpla de principio a fin. España es, de lejos, uno de los países que más castiga en este sentido. En todo este tiempo se han impuesto más de cuatro centenares de sanciones por más de 55 millones de euros. Las últimas, a dos gigantes de las telecomunicaciones.
El texto no era nuevo. Se había aprobado en 2016. Pero debido a la magnitud de los cambios se dio a los países dos años de transición antes de comenzar a aplicarlo. La nueva normativa trajo consigo un cambio radical de enfoque que ponía a los ciudadanos en el centro. Así, contemplaba la necesidad de un consentimiento expreso por parte de los europeos para que empresas, organismos o instituciones pudieran tener y tratar sus datos. Pero no solo eso. También incluía dos nuevos derechos. Por un lado, el del olvido, que permite al ciudadano solicitar la supresión "sin dilación indebida" de sus datos personales cuando, por ejemplo, "ya no sean necesarios en relación con los fines para los que fueron recogidos". Por otro, el de la portabilidad de datos, que establece que tendrá derecho a recibir los datos personales que le incumban "en un formato estructurado, de uso común y lectura mecánica".
Durante estos cuatro primeros años de vida del reglamento, las autoridades españolas han sido las que han vigilado con mayor intensidad el cumplimiento del mismo por parte de empresas y particulares. Así se desprende del GDPR Enforcement Tracker, una amplísima base de datos elaborada por la firma de abogados internacional CMS, con sede en Fráncfort, que recoge las sanciones propuestas por las diferentes autoridades de protección de datos de los Veintisiete. En relación con el reglamento, la herramienta referencia en suelo español, 415 multas. Y muestra cómo los castigos han ido aumentando con el paso de los años. Así, mientras que en 2019 superaban por poco la treintena, en 2021 –último año completo– la cifra de tirones de orejas se acercó a los dos centenares.
Entre todas ellas suman hasta la fecha al menos 55,47 millones. La base de datos recoge todo tipo de multas, que van desde pocos cientos de euros hasta varios millones y que incluyen desde particulares a pequeñas y grandes empresas. Así, en el rango más bajo, figura una propuesta de sanción de 500 euros por la instalación de una cámara en una vivienda orientada hacia zonas comunes sin la autorización de los vecinos, otra de importe similar abonada por una tienda que no había informado a los clientes mediante un cartel de la existencia y finalidad en el tratamiento de datos de un sistema de videovigilancia o 1.000 euros a una pequeña empresa por no disponer en su página web de una política de privacidad ajustada a lo establecido por la normativa comunitaria.
La firma de abogados, no obstante, avisa de que la lista podría ser todavía más amplia. De hecho, los datos recogidos en las memorias de la AEPD parecen ir en esa misma dirección. Solo en 2019, 2020 y 2021 se recogen más de medio millar de sanciones por un importe total de 49,94 millones de euros, una cifra que escalaría hasta superar los 60 millones de euros si se suman solo los dos mayores castigos impuestos en lo que va de 2022. Y eso dejando fuera el año en el que se comenzó a aplicar el reglamento, puesto que la memoria de 2018 no distingue entre multas por vulnerar la normativa europea y aquellas impuestas antes de que echara a andar.
Bancos, telecos o energéticas
Los castigos más duros los han sufrido las grandes firmas. Son estas las que se reparten las sanciones que superan el millón de euros, que por ley deben ser publicadas en el Boletín Oficial del Estado (BOE). Según la información recopilada por este diario, la Agencia Española de Protección de Datos (AEPD) ha impuesto desde que el reglamento echó a andar al menos una decena de multas de esta envergadura, por un montante total de 43,61 millones de euros, a siete compañías diferentes: Caixabank, BBVA, Vodafone España, EDP, Mercadona, Google y Amazon. Es decir, que han sido bancos, firmas de telecomunicaciones, energéticas, distribuidoras de alimentos o gigantes tecnológicos quienes han sufrido los castigos más severos por incumplimientos de la normativa comunitaria.
De todos, quien ostenta por el momento el récord es la firma del famoso buscador. Esta misma semana, la AEPD impuso una sanción de 10 millones de euros a Google LLC por, entre otras cosas, ceder datos sin legitimación a terceros. Lo ha hecho después de constatar que la empresa envía al Proyecto Lumen información incluida en solicitudes que le realizan los ciudadanos –entre ella, la identificación o el correo electrónico–. Este proyecto tiene como misión la recogida de peticiones de retirada de contenido. El problema es que todo eso se incluye en una base de datos accesible al público, lo que en la práctica supone también, a ojos de la AEPD, "frustrar la finalidad del ejercicio del derecho de supresión". Tras la sanción, la compañía ha asegurado que está reevaluando y rediseñando sus "prácticas" de intercambio de datos con Lumen.
Hasta el varapalo a la compañía estadounidense, la mayor multa había sido impuesta a Vodafone España. La Agencia Española de Protección de Datos sancionó con 8,15 millones de euros a la firma de telecomunicaciones tras recibir decenas de reclamaciones contra la compañía denunciando la práctica de acciones de mercadotecnia en nombre de la entidad a través de llamadas telefónicas y comunicaciones electrónicas –mensajes de móvil o correos–. No es la única sanción millonaria que ha recibido. A comienzos de marzo fue castigada con 3,94 millones de euros por falta de controles de seguridad en los duplicados de tarjetas SIM.
Desde la compañía consideran injustos y desproporcionados ambos castigos. En el caso del primero, entienden que la responsabilidad que se le imputa no le corresponde. "Son las entidades que actúan como responsables del tratamiento de los datos de los afectados las que deben responder", dicen a este diario. En cuanto a la segunda, creen que el caso se valoró "de forma errónea", partiendo de "sólo nueve reclamaciones interpuestas por particulares sobre solicitudes ilegítimas de duplicados SIM", un problema con el que la AEPD también se encontró en el caso de Telefónica, Orange o Xfera. "No ha existido negligencia o intencionalidad alguna por parte de Vodafone", aseveran.
La compañía, que resalta que trata con las "máximas garantías de confidencialidad y privacidad" los datos de los clientes, ha decidido por todo ello recurrir las multas ante la Audiencia Nacional. Por el momento, se encuentran a la espera de resolución.
En relación con los bancos, las tres grandes multas impuestas –6 millones a Caixabank, 5 a BBVA y 3 a Caixabank Payments & Consumer– fueron, entre otras cuestiones, por enviar información comercial sin consentimiento expreso o por no informar "de manera clara y sistemática sobre los tratamientos de datos personales ni las finalidades para las que serán utilizados". De nuevo, desde las compañías señalan a este diario que las diferentes sanciones han sido recurridas y están a la espera de resolución.
Protección de Datos multa a Google con 10 millones por no respetar el derecho al olvido
Ver más
También alrededor de los datos recopilados y el consentimiento giraban las dos resoluciones de sanción emitidas contra la eléctrica EDP por un total de 3 millones. En cuanto al caso contra Amazon Road Transport Spain, que fue castigado con 2 millones, se centró en la exigencia del certificado de ausencia de antecedentes penales como requisito para trabajar en la empresa, mientras que Mercadona pagó 2,5 millones por el sistema de reconocimiento facial que testó en algunas de sus tiendas.
Castigos multimillonarios en Francia, Irlanda o Luxemburgo
Durante los primeros cuatro años de vida del Reglamento Europeo de Protección de Datos, y según los datos recopilados por la citada firma de abogados internacional CMS, las autoridades de los Veintisiete han impuesto poco más de un millar de sanciones por infringir la normativa. Más de la mitad fueron por incumplir los principios generales del tratamiento de datos o por no disponer de una base jurídica suficiente para llevarlo a cabo. En total, las multas han sumado 1.635 millones. Y han afectado, fundamentalmente, a dos sectores. Casi cinco de cada diez euros de sanción se han dirigido a empresas dedicadas a la industria y el comercio, mientras que otros cuatro al sector tecnológico. A gran distancia, el del transporte y la energía, cuya suma de las sanciones es más de siete veces menor.
Esta diferencia se debe a la envergadura de los varapalos dados a grandes multinacionales de los dos sectores. Destaca el caso de Amazon Europe, a la que las autoridades de Luxemburgo impusieron hace algo menos de un año una multa de 746 millones de euros, lo que explica que el Gran Ducado figure como el país que más ha recaudado a pesar de haber impuesto menos de una veintena de sanciones. Lo mismo pasa con Francia e Irlanda. El 96,4% de lo ingresado en materia de protección de datos en el país galo procede de tres castigos a Google –200 millones– y uno a Facebook –60 millones–. Y nueve de cada diez euros de los recogidos en suelo irlandés proceden de la multa de 225 millones de euros a WhatsApp.