✔ Desde que entró en vigor la normativa europea, las sanciones del Reglamento General de Protección de Datos (RGPD) han estado a la orden del día. Si bien el Reglamento General de Protección de Datos es el mismo para toda Europa, la actividad sancionadora no va en la misma línea y a continuación veremos quienes lideran el podio en sanciones.
Francia, Alemania e Italia, son los paíse que han puesto, hasta el momento, las multas más altas por infracciones de protección de datos tras la aplicación efectiva del Reglamento General de protección de Datos (RGPD). Con 50 millones de euros, el récord lo tiene Francia en su sanción a Google por no actuar con transparencia y no cumplir con la exigencia de consentimiento para el envío de publicidad personalizada. En Alemania, la firma H&M fue multada con 35 millones de euros por la Agencia para la Protección de Datos y Libertad de Información de Hamburgo por recopilar información de la vida privada de sus empleados sin consentimiento. Por su parte, la empresa de telecomunicaciones italiana TIM tuvo que hacer frente a una sanción por protección de datos de casi 28 millones de euros impuesta por la Agencia de Protección de Datos de Italia. En este caso, la razón fue que la empresa había estado usando datos personales de clientes sin consentimiento.
De la segunda edición del informe elaborado por CMS Enforcement Tracker Report, España es el país que más multas aprueba, casi un tercio del total se imponen a empresas que operan en el país, aunque los montantes no son tan elevados en comparación con los países antes mencionados.
Las sanciones por no cumplir la ley de protección de datos en España pueden alcanzar hasta los 20 millones de euros o el 4% del volumen de facturación anual. Las infracciones se dividen en leves, graves y muy graves. Vodafone es la empresa que ha sufrido el mayor castigo en el país. La Agencia Española de Protección de Datos (AEPD) sancionó en marzo de 2021 a la empresa de telecomunicaciones con 8,15 millones de euros y es una de las agencias con más actividad en todo Europa.
Del informe antes mencionado, se visualizan dos etapas claramente definidas: hasta noviembre de 2020, en un periodo inicial marcado por la actividad admonitoria del regulador y de aprendizaje de las empresas, la AEPD no impuso multa alguna superior a 120.000 euros; en cambio, en los seis meses transcurridos desde diciembre de 2020 la AEPD ha impuesto multas iguales o superiores a 1 millón de euros a seis empresas, y esto refleja un posible cambio de tendencia y el inicio de una nueva etapa en la que no cabe contar con la tolerancia del regulador. En números, en el primer trimestre del 2021, la actividad sancionadora de la AEPD se ha disparado y en solo tres meses se ha pasado de un total de multas de 1.095.000 euros (3.er trimestre del 2020) a 20.790.000 euros.
Como se ha hecho mención, en los casos más graves, las multas pueden llegar a 20 millones de euros o al 4% del volumen de negocio total anual global del ejercicio anterior (la más alta de las dos opciones) y para fijar la cuantía se tienen en cuenta una serie de criterios de graduación, que van desde la intencionalidad, la reincidencia o los perjuicios causados.
En conclusión, el récord se lo lleva el español, siendo el país con más sanciones por infracciones del RGPD. Luego se encuentran Italia, Rumanía y Hungría, mientras que Reino Unido tuvo la multa media más alta, de 11 millones de euros, basada en cuatro sanciones.
En España, la mayoría de las infracciones más altas que se han impuesto están relacionadas con la falta de licitud del tratamiento de datos personales (Art. 6 del RGPD). Por su parte, las sanciones a los bancos (Caixa Bank y Banco Bilbao) están relacionadas con el incumplimiento del deber de información (Arts. 13 y 14 del RGPD), que da a su vez lugar a la infracción de la licitud del tratamiento (Art. 6 del RGPD) en los casos en los que se utiliza el consentimiento como base legal para el tratamiento, al estar el consentimiento del interesado viciado por la falta de información.
