1.300 millones de euros en multas: la batalla de la UE contra las big tech por la protección de datos

Publicado el 15 noviembre 2021 por Juan Juan Pérez Ventura @ElOrdenMundial

Tres años y medio después de su entrada en vigor, la aplicación del Reglamento General de Protección de Datos europeo (RGPD o GDPR, por sus siglas en inglés) ha empezado a coger carrerilla. El ritmo de multas por su incumplimiento se ha intensificado desde 2020, sobre todo gracias a España, pero dos sanciones históricas impuestas este verano a Amazon y WhatsApp parecen haber desatado la revolución que el reglamento estaba llamado a provocar.

Ambas multas suponen el 75% de todo el importe económico que han acarreado los castigos por violar el derecho fundamental a la protección de datos en la Unión Europea, el Reino Unido, Liechtenstein y Noruega hasta ahora. Un total de 1.300 millones de euros repartidos en 880 sanciones desde mayo de 2018. Y para alegría de las instituciones comunitarias, las autoridades que han enseñado los dientes al big tech han sido las de Luxemburgo e Irlanda. Son dos países clave en la implementación del RGPD al acoger las sedes de las principales empresas tecnológicas en Europa, pero se habían mostrado muy laxos hasta ahora.

Los datos de las multas son de Privacy Affairs, una agrupación de profesionales de la seguridad en internet y periodistas tecnológicos repartidos por todo el mundo que monitorea las sanciones impuestas por el RGPD que hacen públicas los Estados.

Imponer multas no figura entre los objetivos del RGPD, pero indica hasta qué punto está siendo aplicado. El reglamento confirió a las autoridades nacionales el poder de emitir avisos y, en el peor de los casos, multas si se violaba algún artículo del texto. Cada agencia decide el castigo económico final en función de la gravedad, la intencionalidad o la cooperación de la compañía multada, con un importe máximo de veinte millones de euros o el equivalente al 4% de sus ingresos anuales, en función de cuál sea mayor. Por el contrario, la ausencia de infracciones, en lugar del perfecto cumplimiento de la norma, podría dar muestras de su fracaso por escasa aplicación.

España, la gran defensora de los derechos de los usuarios en la red

Hasta la fecha, España es de largo el país que más multas ha comunicado, con un tercio del total (303), seguida de lejos por Italia (91) y Rumanía (91). Para el presidente de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo, Juan Fernando López Aguilar, en España “existe una conciencia muy elevada sobre los derechos digitales” y tanto el Ministerio de Justicia como la Agencia Española de Protección de Datos “estaban especialmente bien preparados” para acoger la norma.

El eurodiputado socialista explica que “hay casos muy señalados de la justicia europea que han sido elevados desde España, como es el caso del derecho al olvido”. La justicia española ya lo reconoció en 2015 en una disputa legal con Google que acabó en el Tribunal de Justicia de la Unión Europea.

Sin embargo, el buen hacer de su agencia de protección de datos no convierte a España en el país que ha castigado con más dinero las irregularidades de las empresas. Ese puesto pertenece a Luxemburgo e Irlanda, países que solo han interpuesto once y nueve multas, respectivamente, pero entre las cuales figuran las más altas de la historia del RGPD.

En concreto, la Comisión Nacional de Protección de Datos de Luxemburgo sancionó a Amazon con 746 millones de euros el pasado mes de julio por un supuesto uso ilegal de los datos de sus clientes para diseñar anuncios personalizados. La Comisión de Protección de Datos de Irlanda hizo lo propio en septiembre con WhatsApp, a la que multó con 226 millones de euros por no informar correctamente a sus usuarios europeos de la forma en la que podía compartir sus datos con Facebook.

Más allá de las cifras récord ―la batalla legal que librarán las empresas multadas probablemente las rebajará―, ambos casos han marcado un antes y un después en la aplicación del RGPD por las partes que los protagonizan. De un lado, las grandes tecnológicas, que hasta ese momento habían esquivado el reglamento; de otro, Luxemburgo e Irlanda, los dos países que zancadilleaban su implementación.

El one-stop shop, un arma de doble filo

A fin de evitar posibles solapamientos, el RGPD estableció que la voz cantante en las investigaciones transfronterizas debía llevarla el país en el que la empresa en cuestión tenía su sede europea. El mecanismo, conocido con el nombre de ventanilla única o one-stop shop, privilegió a Irlanda ―sede de Apple, Facebook, Google, Microsoft o Twitter, entre muchas otras― y Luxemburgo ―Amazon o Paypal―. No en vano, su benévola política tributaria, que ya llevó al Parlamento Europeo a concluir en 2019 que tenían rasgos de paraíso fiscal, los convierte en el centro de operaciones perfecto para las grandes empresas estadounidenses.

Poco a poco las denuncias trasladadas por otros Estados miembros a ambos países fueron apilándose, sobre todo en Irlanda, que recibió el 21% de todas ellas, según datos recopilados por el Irish Council for Civil Liberties. Ante la inacción de las autoridades del país, el Parlamento Europeo llegó a pedir en febrero a la Comisión Europea que iniciara un procedimiento de infracción contra Irlanda por fallar a la hora de aplicar el RGPD.

La Unión Europea sí tiene paraísos fiscales

Por eso en Bruselas se han celebrado las dos sanciones anunciadas por Dublín y Luxemburgo, pues sitúan a ambas capitales en el camino hacia una aplicación transversal y europea de los estándares de protección de datos. Pero es un optimismo contenido, ya que Irlanda aún tiene sin resolver el 98% de los casos transfronterizos que lidera. Preguntadas por esta cuestión, fuentes de la Comisión mencionan las “dos importantes decisiones” de ambos países, pero reconocen que “la colaboración entre las autoridades de protección de datos debe mejorar” y que “es fundamental desarrollar la confianza y el espíritu europeo de cooperación” para que el sistema funcione.

Hacia una cultura de protección de datos común

El despegue del RGPD también guarda una estrecha relación con los recursos que se han destinado a sufragar la labor de las agencias nacionales de supervisión. No en vano, el organismo irlandés estuvo infradotado durante dos décadas, motivo cuyos dirigentes utilizaron para justificar su lentitud.

La realidad, sin embargo, es que las partidas de estos cuerpos no han parado de aumentar: si en 2016 todas las agencias de protección de datos de la Unión Europea sumaban un presupuesto conjunto de 162 millones de euros, en 2021 era ya de 295. Aunque también existe una gran disparidad entre los Estados miembros: Alemania, que cuenta con una agencia federal y dieciséis regionales, concentra el 32% de este gasto europeo, mientras que nueve países cuentan con un presupuesto por debajo de los dos millones de euros anuales.

En este sentido, desde el Comité Europeo de Protección de Datos, el organismo encargado de velar por una aplicación uniforme de las normas al respecto y por la cooperación entre autoridades nacionales, se afirma que “la resolución de casos transfronterizos requiere de mucho tiempo y recursos”. “Es de suma importancia que los Gobiernos nacionales financien adecuadamente a sus reguladores”.

La receta de la agencia europea ha demostrado ser la más eficaz: tiempo y recursos. Si bien la implementación del RGPD todavía es asimétrica, descoordinada y en muchas ocasiones débil, construir los cimientos de una cultura europea de protección de datos conlleva tiempo. Los supervisores armonizan sus criterios poco a poco, creando precedentes sobre los que empieza a asentarse la ley sobre derechos digitales más ambiciosa del mundo y devolviendo el control de sus datos a los ciudadanos.

Este artículo, publicado bajo una licencia CC BY-SA 4.0., forma parte de la European Data Journalism Network (EdjNet), un consorcio periodístico internacional que cubre temas paneuropeos usando periodismo de datos, y el proyecto Panelfit, apoyado por el programa Horizon 2020 de la Comisión Europea (acuerdo de financiación n. 788039). La Comisión no ha participado en la producción del artículo y no es responsable de su contenido.

1.300 millones de euros en multas: la batalla de la UE contra las <em>big tech</em> por la protección de datos fue publicado en El Orden Mundial - EOM.