Meta, Amazon y Google acumulan casi el 90% de las sanciones europeas por protección de datos
"La privacidad es mucho más que un lujo. Es una necesidad". Bajo esta premisa, verbalizada por la comisaria de Justicia de la Unión Europea apenas dos meses después del estallido de caso Cambridge Analytica, echó a andar hace un lustro en suelo comunitario el Reglamento General de Protección de Datos (RGPD). La norma trajo consigo un cambio radical de enfoque en lo que a derechos digitales se refiere. Y un régimen sancionador severo para todas aquellas empresas que se pasen de la raya. Meta, Amazon y Google se lo conocen a la perfección. Sólo estos tres gigantes tecnológicos acumulan casi el 90% de las multas que se han impuesto en los Estados miembro por incumplimiento del reglamento desde su entrada en vigor. En total, suman más de 3.000 millones de euros.
La normativa puso a los ciudadanos en el centro al contemplar, por ejemplo, la necesidad de un consentimiento expreso por parte de los mismos para que empresas, organismos o instituciones pudieran tener y tratar sus datos. Y cinco años después de que comenzase a funcionar, el balance que hacen los expertos de la misma es positivo. "Ha conseguido concienciar sobre el derecho de los ciudadanos a sus datos personales", apunta Sergio de Juan Creix, abogado de Croma Legal. Coincide Natalia Martos, experta en derecho digital y CEO del bufete Legal Army: "Ha supuesto un cambio radical de paradigma en la regulación de los datos personales. Además, es una norma transnacional que puede afectar a cualquier empresa de cualquier parte del mundo".
Las autoridades de los Estados miembro han vigilado intensamente el cumplimiento de la normativa desde su entrada en vigor. Y han castigado con dureza las violaciones detectadas. Solo durante estos cinco primeros años se han impuesto en todo el Viejo Continente algo más de un millar y medio de sanciones por un montante total de 3.987 millones de euros. Así se desprende del GDPR Enforcement Tracker, una amplísima base de datos elaborada por la firma de abogados internacional CMS, con sede en Fráncfort, que bebe de la información que facilitan las autoridades de protección de datos de los Veintisiete. "El régimen sancionador permite imponer multas que son duras hasta para las grandes empresas", resalta Martos en conversación con infoLibre.
Son tres gigantes, de hecho, los que aglutinan el grueso de castigos. Solo entre Meta, Amazon y Google acumulan multas por al menos 3.531 millones de euros, lo que equivale al 88,5% del total impuesto a nivel comunitario a lo largo de este lustro. Destaca, sobre todo, la primera firma, a la que se han impuesto sanciones por al menos 2.567,5 millones de euros –se tiene en cuenta tanto la matriz como las filiales WhatsApp y Facebook–. La última, este mismo mes: 1.200 millones, el castigo más severo hasta la fecha, impuesto a la tecnológica por la transferencia de datos europeos hacia Estados Unidos sin contar con medidas que mitiguen el bajo nivel de protección de la legislación norteamericana en esta materia.
Este tema, el de la transferencia de datos, es para Martos uno de los "problemas" a solucionar. "Los mecanismos que habilitan la transferencia de datos están ilegalizados", explica la abogada. En octubre de 2015, el Tribunal de Justicia de la Unión Europea (TJUE) invalidó la decisión comunitaria que declaraba que Estados Unidos garantizaba un nivel adecuado de los datos personales transferidos. Entonces, se sustituyó este acuerdo por otro que también acabaría tumbado por la justicia comunitaria. "Para la industria esto es un problema. Por ejemplo, no podemos usar un software si los datos van allí", trata de explicar la abogada. De ahí que Bruselas y Whasington hayan estado negociando un nuevo texto para cubrir este vacío en relación a la transferencia de datos.
Amazon y Google, por su parte, acumulan multas por valor de 748 y 215,6 millones de euros, respectivamente. Dos de ellas, además, fueron fijadas por la Agencia Española de Protección de Datos (AEPD). En el caso del gigante del comercio electrónico, la autoridad nacional castigó con 2 millones de euros a una de sus filiales por, entre otras cuestiones, exigir el certificado de ausencia de antecedentes penales como requisito para trabajar en la empresa. En cuanto a Google, le impuso 10 millones de euros por comunicar a su Proyecto Lumen "sin una base legal válida" información de solicitudes de los usuarios, desde su identificación hasta la dirección de correo electrónico. Una comunicación de datos que, según la AEPD, "se impone" al usuario sin posibilidad de oposición.
Con un ojo en los tribunales
El organismo español es uno de los que más sanciona de todo el Viejo Continente. De hecho, solo en el último año ha impuesto 378 multas por 20,77 millones de euros, según se refleja en su memoria anual. Desde la entrada en vigor del reglamento, ha castigado a entidades financieras, empresas de telecomunicaciones o energéticas. Y también a algún supermercado. Es el caso de Mercadona, que en el verano de 2021 aceptó pagar 2,5 millones de euros para poner fin al procedimiento de la Agencia Española de Protección de Datos sobre el sistema de reconocimiento facial que había estado probando en algunas de sus tiendas para detectar a las personas con sentencia firme y orden de alejamiento de sus instalaciones.
Para el abogado de Croma Legal es evidente que la "interpretación laxa" que hacen los gigantes tecnológicos del reglamento está teniendo como respuesta una "acción sancionadora fuerte". Ahora bien, se pregunta si será "suficiente" como para conseguir que estas multinacionales se "alineen con las exigencias de privacidad" impuestas. Además, está convencido de que estas firmas no dudarán en dar la batalla en los tribunales. Es lo que ya ha anunciado Meta tras su última multa milmillonaria. O lo que hizo Amazon cuando las autoridades de Luxemburgo le impusieron una sanción de 746 millones de euros. De Juan Creix, no obstante, duda que los tribunales acaben por tumbar el criterio de las agencias.
Irlanda multa a Meta con 1.200 millones por vulnerar normas sobre transferencia de datos a EEUU
Ver más
Esto último, sin embargo, ya ha sucedido en suelo español. Hace pocos meses, la Audiencia Nacional anuló una multa de 5 millones que la AEPD había impuesto al BBVA por el envío de información comercial –a través de llamadas o mensajes– a clientes que se opusieron a ceder sus datos para estos fines. Y lo hizo porque el organismo analizó la política de privacidad del banco pero sin conectarla a las reclamaciones concretas recibidas. "Si se hubiera probado la existencia de las infracciones individuales, podría considerarse que la propia política favorece su comisión. Al no ser así, no se puede afirmar la existencia de infracción, para lo que, además, una muestra tan pequeña (5 reclamaciones, sobre una base de unos ocho millones, no sería concluyente", recogió la sentencia.
Nuevos retos de futuro
Cinco años después de la entrada en vigor del reglamento de protección de datos, los expertos señalan nuevos retos a futuro. Así, De Juan Creix pone el foco en la necesidad de aprobar de una vez por todas el reglamento e-Privacy, que afectará sobre todo a la recopilación de información a través de las cookies. "La protección de datos queda coja sin esto", sostiene. "A partir de ahora, al RGPD le tocará convivir con normas que no estaban en el momento de su aprobación y que se integran dentro de ese ecosistema digital. Es el caso de la Ley de Servicios Digitales y la Ley de Mercados Digitales. O el reglamento de Inteligencia Artificial", apunta Eduard Blasi, abogado especializado en derecho digital y profesor de la Universitat Oberta de Catalunya (UOC).
Es en esto último, en la inteligencia artificial, en lo que también pone el foco Martos. Pero no es el único reto con la protección de datos como telón de fondo. "Hay nuevos retos que eran inimaginables cuando se aprobó el reglamento. Hablamos del metaverso, de la expansión del reconocimiento facial, de los neurodatos. La ventaja es que los principios del RGPD fueron pensados para que perduraran en el tiempo. Ahora bien, estos nuevos ámbitos requerirán una regulación específica complementaria al reglamento general de protección de datos".