Radiografía de las multas por privacidad
Desde enero del año pasado, la AEPD ha impuesto sanciones que suman 14 millones de euros
Desde su entrada en vigor en mayo de 2018, el Reglamento General de Protección de Datos (RGPD) se ha convertido en uno de los principales quebraderos de cabeza de las empresas. Debido a las elevadísimas cuantías que prevé su régimen sancionador, la Agencia Española de Protección de Datos (AEPD) dio un pequeño margen a las compañías antes de comenzar a multar, pero parece ser que esta concesión ya ha terminado. Así, desde enero del año pasado hasta hoy, la AEPD ha impuesto multas que suman 14 millones de euros.
De acuerdo con la información recogida por Wolters Kluwer en base a los datos publicados por la AEPD, en ese tiempo, el organismo abrió alrededor de 360 procedimientos por infracciones del RGPD, de los cuales cerca del 41% derivaron en sanción. Poco menos de la mitad (el 44%) se quedaron en un apercibimiento (aviso) y tan solo el 15% fueron archivados.
La sanción más alta ha sido la impuesta a CaixaBank en enero de 2021 y asciende a 6 millones de euros. En un extenso documento de 177 páginas, la agencia consideró que la entidad había infringido tres artículos del reglamento al forzar la recogida de datos personales de sus clientes sin una base legal válida y no informarles de manera adecuada del tratamiento que iba a realizar sobre esa información. Un mes antes, en diciembre de 2020, la AEPD mutó al BBVA con 5 millones de euros por el mismo motivo.
Ambas sanciones son, de lejos, las más cuantiosas desde la entrada en vigor del reglamento. Y es que, durante el último año, al organismo no le ha temblado el pulso a la hora de castigar los incumplimientos. Una tendencia que, de acuerdo con Paula Garralón, asociada en Bird & Bird, va a consolidarse. “La Agencia ha dado un periodo de gracia desde que el RGPD está plenamente en vigor, pero ese tiempo ha terminado”, comenta.
Sectores más multados
El sector que más ha tenido que pagar en concepto de infracciones es, de lejos, el bancario, al superar los 11 millones de euros. Paradójicamente, es uno de los que menos multas acumula (un total de siete). En segundo lugar, se encuentran las empresas telefónicas, que aglutinan un total de 46 multas por un valor que supera los dos millones de euros.
Les siguen, aunque mucho más rezagadas, las compañías dedicadas al suministro de gas, electricidad y agua, las que prestan servicios en internet y el sector de la videovigilancia. Las multas en estas actividades fueron significativamente menores y en ningún caso superaron los seis dígitos. Asimismo, la AEPD también castigó a empresas dedicadas al comercio, el transporte y la hostelería y a federaciones y clubes deportivos.
“Hay sectores, como el financiero, el de las telecomunicaciones o el sanitario, que son más delicados en términos de protección de datos”, explica en este sentido Ceyhun Pehlivan, asociado principal en el área de protección de datos de Linklaters. Esto no se debe, agrega, a que haya una falta de concienciación o de cuidado, “sino a que, por la naturaleza de su actividad, están obligados a manejar un volumen muy grande de información personal”.
Base legítima
¿Qué infracciones cometen las empresas con más frecuencia? En primer lugar, no contar con una base legítima que justifique por qué se recogen y se tratan los datos de los usuarios. Esta obligación viene determinada en el artículo 6 del RGPD, y exige al responsable que, entre otras cosas, cuente con el consentimiento del interesado a la hora de recoger y utilizar su información personal.
“Las compañías tienden a fallar en esto porque es una obligación relativamente nueva que no existía en la legislación española y se introdujo con el reglamento”, explica Garralón. Las multas por este motivo no solo son más numerosas, sino que además son las que conllevan cuantías económicas más elevadas (cuatro millones en el caso de Caixabank). En total, las empresas han pagado casi nueve millones de euros por infringir este precepto.
La segunda causa de incumplimiento más común es no facilitar información suficiente a los usuarios sobre el uso que se va a hacer de los datos personales recolectados (artículo 13 del RGPD). Básicamente, esta obligación consiste en informar al interesado sobre la identidad del responsable del tratamiento, la base jurídica sobre la que se sustenta la recogida de datos, el fin para el que se recopilan y si estos van a ser compartidos con terceros, entre otras cosas.
En este sentido, Pehlivan señala que, en Reino Unido, lo más común es que las sanciones deriven de brechas de seguridad, mientras que en Francia la principal causa es por integrar cookies que no se adaptan a la normativa.
¿En qué aspectos son más cuidadosas las compañías? “En mi experiencia, las entidades dedican muchos esfuerzos en evitar que surjan brechas de seguridad”, relata el abogado. Al fin y al cabo, agrega, el impacto que puede tener una fuga de datos es grande y puede conllevar consecuencias no solo económicas, sino también reputacionales y financieras (por ejemplo, caídas en Bolsa).
La privacidad, un valor añadido
El tiempo de adaptación concedido por la AEPD unido a la severidad de las sanciones han logrado concienciar a las organizaciones de la necesidad de garantizar la privacidad de sus clientes. De hecho, las asesorías jurídicas de empresa identifican esta materia como una de las que más problemas legales causará en los próximos meses, según un informe elaborado por la Association of Corporate Counsel (ACC), la mayor organización mundial de abogados internos.
No obstante, el temor a una posible multa no es el único motivo por el que la privacidad va ganando peso a nivel corporativo. “La sociedad ha cambiado de mentalidad y valora más su privacidad”, revela Garralón. Las compañías, subraya, se han dado cuenta de esta percepción y ven la protección de datos como un valor añadido frente a los competidores. “Además, es un elemento que se tiene muy en cuenta al contratar con la Administración pública”, apostilla.
Prueba de ello es cómo han evolucionado los departamentos de protección de datos de los bufetes a lo largo de los últimos años. Así, han pasado de ser una parte más del asesoramiento al cliente a convertirse en uno de los ejes centrales. “Cada día trabajo con varios departamentos del despacho: mercantil, laboral, regulatorio... es un área transversal imprescindible”, confirma Pehlivan. El letrado la identifica como una de las prácticas que ha tomado más peso a nivel global este año, “y lo mismo ocurre en otras firmas”, concluye.
Francia, Italia y Alemania, las sanciones más altas
Alemania. España es el país que más multas registra en comparación con el resto de los países europeos. Sin embargo, estamos a la cola respecto a la cuantía de las sanciones. Así, la Autoridad de Control alemana impuso tres multas en 2020, frente a las más de 300 de la AEPD. No obstante, mientras que la más alta de ese año en España fue de 5 millones, la de Alemania fue de 35,3 millones de euros, impuesta a H&M por recopilar información de sus trabajadores en bases de datos de forma ilícita.
Francia. La sanción más elevada registrada hasta la fecha la impuso la Autoridad de Control de Francia (CNIL), al condenar a Google a 100 millones de euros por enviar comunicaciones e instalar cookies o tecnologías similares comerciales sin consentimiento. Por el mismo motivo, sancionó a Amazon con 35 millones. La siguiente fue de tres millones contra Carrefour. A lo largo del año pasado, esta autoridad registró un total de ocho multas.
Italia. Por su parte, la Autoridad de Control de Italia impuso una sanción de 27,8 millones de euros y otra de 16 a GooTIM y Wind Tre SPA, respectivamente. El motivo fue el envío de comunicaciones comerciales sin consentimiento de los interesados. Por otro lado, Vodafone fue multada con 12,2 millones por “telemarketing masivo”.
Reino Unido. La autoridad de protección de datos registró únicamente tres multas el año pasado, pero todas fueron millonarias. La más cuantiosa fue la impuesta a British Airways (20 millones de libras), seguida de la cadena de hoteles Marriott (18,9 millones) y, por último, Ticketmaster (1,2). Todas ellas tuvieron su origen en brechas de seguridad y filtración externa de datos.