Ya se han cumplido dos años de la aplicación del Reglamento europeo General de Protección de Datos o el comúnmente conocido RGPD, que marcó un antes y un después para el derecho fundamental a la protección de datos personales en la UE.
Frente al crecimiento exponencial de la tecnología digital, la aparición de los nuevos modelos de negocio y el desarrollo de múltiples aplicaciones tecnológicas en los últimos años, el 25 de mayo de 2018 entró en vigor el RGPD, convirtiéndose en el nuevo marco europeo para el tratamiento y la circulación de datos personales, de obligado cumplimiento para las empresas, autónomos y administraciones públicas europeas, así como aquellas que ofrecen sus productos o servicios a los interesados en la UE.
El RGPD fue complementado en España por la Ley Orgánica 3/2018, que establece, de forma pionera en Europa, un catálogo de nuevos derechos digitales de los ciudadanos.
Las sanciones que finalmente se imponen quedan lejos del máximo que marca la ley
Con el RGPD, las empresas se han enfrentado, y siguen enfrentándose, a nuevos retos y exigencias como, por ejemplo, conseguir un mayor nivel de transparencia en la información sobre el tratamiento de datos personales que se proporciona a los interesados, la supresión de los datos cuando ya no sean necesarios para los fines para los que fueron recogidos, la elaboración de un registro interno de actividades de tratamiento, los nuevos derechos de los afectados como la portabilidad de los datos, o la comunicación de brechas de seguridad a las autoridades y los afectados.
En caso de infracción, si bien teóricamente las multas pueden llegar a ser de hasta 20 millones de euros o el 4% del total del volumen de negocios anual del año anterior para la organización infractora, en la práctica se han puesto multas considerablemente inferiores, tal y como exponemos a continuación.
¿Una aplicación armonizada del RGPD en la UE?
Uno de los principales objetivos del RGPD fue armonizar el marco jurídico europeo en materia de protección de datos personales para garantizar su aplicación y ejecución uniforme en todos los Estados miembros.
Pero, respecto al criterio de aplicación y las sanciones impuestas por las autoridades europeas de conformidad con el Reglamento, ¿de verdad se ha alcanzado este objetivo de armonización?
En 2019, la Agencia Española de Protección de Datos (AEPD) ha impuesto 112 multas, un 70% menos respecto al 2018. El importe total de dichas multas alcanza la cifra de 6,3 millones de euros en 2019, correspondiendo las áreas de mayor de multas a directorios (2,9 millones de euros), telecomunicaciones (641.000), contratación fraudulenta (620.620) y quiebras de seguridad (460.000).
Según un estudio que hemos realizado, hemos observado que en Francia y en Polonia, las autoridades de protección de datos nacionales han impuesto, desde el 25 de mayo de 2019, tan solo seis multas que ascienden a 1,3 millones de euros y cinco multas por un total de 710.000 euros, respectivamente. Cabe destacar que, en Francia, el importe total de las multas impuestas por CNIL, la autoridad supervisora francesa, se ha reducido considerablemente en comparación con su multa de 50 millones de euros que impuso a la gigante tecnológica Google durante el primer año de aplicación del Reglamento.
En otros países como en Alemania o Italia, las multas alcanzan unos importes más elevados. Garante, la autoridad de control italiana, ha impuesto 10 multas que suman 40 millones de euros. En Alemania, donde no todas las multas son públicas, estimamos que las autoridades han impuesto cerca de 13 multas que alcanzan 25 millones de euros, con una media de 1,9 millones.
En el Reino Unido, durante el mismo periodo, el regulador (ICO) ha sancionado exclusivamente a una farmacia londinense por un importe de aproximadamente 306.000 euros por no haber tomado las medidas necesarias para proteger la seguridad y confidencialidad de la información.
Sin embargo, el ICO ha propuesto las sanciones más elevadas hasta la fecha, por importe de aproximadamente 204 millones de euros a British Airways y 110 millones a Marriott Hotels, en ambos casos por una brecha de seguridad. Cabe resaltar que estas multas aún no son definitivas y, teniendo en cuenta el impacto económico del Covid-19 en las compañías aéreas y hoteleras, es posible que el ICO reduzca el importe de dichas sanciones.
En vista de lo anterior, a nuestro juicio, parece existir una diferencia considerable entre las multas impuestas por las distintas autoridades de protección de datos europeas, lejos de la armonización que pretendía el RGPD. En 2019 si bien la AEPD ha sido uno de los reguladores más activos en la UE en términos de número de multas impuestas, no ha sido de los que ha puesto los importes más elevados, con una media de 56.250 euros por multa impuesta.
"Trabajo en proceso"
Además de las multas anteriormente mencionadas, la Comisión Europea destaca en su primer informe sobre la evaluación y revisión del Reglamento desde su aplicación, que la aplicación del RGPD es un "work in progress".
La Comisión asimismo señala que los Estados miembros tienen que seguir trabajando de forma conjunta para que, entre otros, la tramitación de los casos transfronterizos sea más eficiente y armonizada en toda la UE, incluso desde un punto de vista procesal (criterios de admisibilidad de las quejas, duración de los procedimientos, momento procesal en el que se otorga el derecho a ser oído, o información y participación de los denunciantes en el procedimiento).
