Índice
Hace unos días, elaboramos un ranking de sanciones de protección de datos 2023, a partir del análisis de la memoria anual de la Agencia Española de Protección de Datos (AEPD). Para completar ese artículo, vamos a ampliar el espectro de análisis al marco de la Unión Europea, elaborando un ranking de sanciones de protección de datos en la UE. Para ello, analizaremos la actividad, en términos de protección de datos, de las diferentes Autoridades intervinientesen la Unión.
En este caso, partimos del GDPR Enforcement Tracker Report, elaborado por CMS, que analiza los datos de actividad de las diferentes Autoridades de la Unión Europea en el año 2023 (e inicio de 2024), teniendo como referencia el período comprendido entre 2018 y 2024.
Para aportar contexto a este ranking de sanciones de protección de datos en la UE, debemos señalar como punto de partida que desde la entrada en juego del Reglamento General de Protección de Datos (RGPD) en el año 2018, la idea inicial de las diferentes Autoridades de protección de datos era la de orientar a los agentes en lo relativo a la aplicación de la nueva regulación.
Más de 4.000 millones de euros en multas
A medida que se consideró adaptados a los diferentes agentes, los datos muestran como en el año 2022 la tendencia confirmaba que ya se firmaron importantes sanciones a las Big Tech. Mientras que el año 2023 (como analizamos en el artículo anterior en términos nacionales) fue el primero en que el total de multas, en el plano de la Unión, superó los 4 mil millones de euros (4 billones para el cómputo en el sistema anglosajón).
A 1 de marzo de 2024 (límite hasta el que se estudian los datos del 2023), el total de multas (en número) asciende a 2.086, siendo el importe total de todas estas de, aproximadamente, 4.480.000.000 euros.
Las 10 mayores multas del ranking de sanciones de protección de datos en la UE
Por lo que respecta al ranking de sanciones de protección de datos en la UE, ordenadas según el importe de las mismas, el cuadro que mostramos a continuación nos revela como motivos más habituales del foco de las infracciones (de entre las 10 más altas):
- La falta de legitimación necesaria para realizar el tratamiento de datos (40%).
- La falta de cumplimiento con los principios del tratamiento de datos del artículo 5 del RGPD (otro 40%).
Como asuntos especialmente relevantes, de los que se muestran en la tabla, señalamos la sanción impuesta por la Autoridad Irlandesa de protección de datos a Meta Platforms Ireland Limited (Instagram, Facebook, etc.) por ser la primera que supera los mil millones de euros con motivo de una falta de legitimación (artículo 6 del RGPD) para los tratamiento de datos realizados. Y, en segundo lugar, la impuesta a TikTok Limited, precisamente por falta de cumplimiento de los principios del tratamiento.
Entre otros, estos dos supuestos colocan a la Autoridad Irlandesa como la más activa en cuanto a importe de las multas.
| Controlador/Procesador de los datos | País | Cuantía de la multa | Tipo de incumplimiento | Fecha |
|---|---|---|---|---|
| Meta Platforms Ireland Limited | Irlanda | 1.200.000.000 € | Base jurídica insuficiente para el tratamiento de datos | 12.05.2023 |
| Amazon Europe Core S.à.r.l. | Luxemburgo | 746.000.000 € | Incumplimiento de los principios generales de tratamiento de datos | 16.07.2021 |
| Meta Platforms, Inc. | Irlanda | 405.000.000 € | Incumplimiento de los principios generales de tratamiento de datos | 05.09.2022 |
| Meta Platforms Ireland Limited | Irlanda | 390.000.000 € | Incumplimiento de los principios generales de tratamiento de datos | 04.01.2023 |
| TikTok Limited | Irlanda | 345.000.000 € | Incumplimiento de los principios generales de tratamiento de datos | 01.09.2023 |
| Meta Platforms Ireland Limited | Irlanda | 265.000.000 € | Medidas técnicas y organizativas insuficientes para garantizar la seguridad de la información | 25.11.2022 |
| WhatsApp Ireland Ltd. | Irlanda | 225.000.000 € | Cumplimiento insuficiente de las obligaciones de información | 02.09.2021 |
| Google LLC | Francia | 90.000.000 € | Base jurídica insuficiente para el tratamiento de datos | 31.12.2021 |
| Facebook Ireland Ltd. | Francia | 60.000.000 € | Base jurídica insuficiente para el tratamiento de datos | 31.12.2021 |
| Google Ireland Ltd. | Francia | 60.000.000 € | Base jurídica insuficiente para el tratamiento de datos | 31.12.2021 |
El ranking de sanciones de protección de datos en la UE por sectores de actividad
En que respecta a los sectores de actividad, en el plano comunitario, debemos destacar que:
- La media más alta de las sanciones afecta a los sectores de «Media, telecomunicaciones y radiodifusión», «Industria y comercio» y «Transporte y energía».
- En cuanto al número de sanciones destacan una vez más «Media, Telecomunicaciones y Radiodifusión» e «Industria y Comercio».
Como bien expone el informe, estos datos del ranking de sanciones de protección de datos en la UE no deben analizarse desde el punto de vista simplista de asociar directa y necesariamente un mayor número e importe de sanciones en estos sectores a un especial incumplimiento del RGPD por parte de los agentes de los mismos, sino que estos datos pueden deberse a diferentes factores. Por ejemplo, podríamos estar hablando de un mayor número de empresas relevantes pertenecientes a estos sectores, de la mayor exposición de estas compañías a los particulares o al público en general, o podría darse algo tan sencillo como que un caso concreto eleve, por ejemplo, el importe total computado durante un período X.
Para ilustrar este razonamiento, ponemos el foco en el sector de «Real Estate», donde el número de multas no supera las 61 (en este período analizado), pero su importe llega a los los 42.653 euros. Mientras que en el sector de «Particulares y asociaciones privadas» los datos nos hablan de 269 sanciones por un importe de 6.873 euros. De tal forma que cuatriplicando el número de sanciones del sector anterior, nos encontramos ante un importe de multas que es inferior a la sexta parte del montante del sector «Real Estate».
El ranking de sanciones de protección de datos en la UE por países
En lo que respecta a los países más activos, confirmamos los datos comentados en el anterior artículo, al comprobar que la AEPD (España) es la Autoridad más activa en cuanto a número de sanciones impuestas (802) a nivel comunitario, seguida de los organismos de Italia y Rumania.
Como hecho relevante, y ejemplo del análisis que estamos haciendo de los números, señalar que la Autoridad Irlandesa que antes indicábamos como la que multas más altas había impuesto, no aparece en la clasificación del top 10 por el volumen de sanciones dictadas. Sin embargo, sí lidera, con mucha diferencia, el ranking de sanciones de protección de datos en la UE en lo que respecta al importe de las multas.
El ranking de sanciones de protección de datos en la UE por tipo de incumplimiento
En las conclusiones del análisis de la actividad de la AEPD hacíamos referencia a la relevancia que tenía la seguridad de los datos personales de los usuarios. Tanto desde la perspectiva de la implantación de sistemas preventivos de protección adecuados desde el diseño, como desde el punto de vista de la correcta reacción en términos de notificación e información suficiente a los usuarios y a la AEPD. Así, pudimos constatar que la principal casuística que sustentaba la actividad sancionatoria de la AEPD se centraba en lo relativo a las brechas de datos personales.
Yéndonos a términos globales, la casuística más habitual versa, como adelantábamos anteriormente, sobre la falta de legitimación para el tratamiento de datos personales. En segundo lugar nos encontraríamos con el incumplimiento de los principios generales del tratamiento de datos. Menos habituales son los supuestos de falta de medidas de seguridad, insuficiente información y falta de atención a los derechos de los usuarios en términos de gestión de sus datos personales.
De los datos analizados en el ranking de sanciones de protección de datos en la UE, concretamos que las multas más cuantiosas se centran efectivamente en las cuestiones relativas a la falta de base de legitimación para el tratamiento de datos personales de los usuarios, debido principalmente a las sanciones impuestas a gigantes como Amazon, Meta y TikTok.
En Vento Abogados & Asesores, ponemos a su disposición un equipo de juristas especializados en prestar servicios de protección de datos para asesorar a las empresas en todo lo relativo al tratamiento de la información personal de sus clientes y empleados de cara a ayudarlas a evitar las cuantiosas multas que se pueden observar en el ranking de sanciones de protección de datos en la UE.
