Los países europeos imponen multas récord de 1.100 millones de euros por incumplir GDPR
Las autoridades de toda Europa impusieron enormes cantidades en multas relacionadas con GDPR durante 2021. Luxemburgo e Irlanda ocuparon los primeros puestos, sustituyendo a Italia y Alemania.
Las autoridades europeas de protección de datos han impuesto multas por valor de 1.100 millones de euros (1.200 millones de dólares) en virtud del Reglamento General de Protección de Datos (GDPR, de sus inglesas) desde el 28 de enero de 2021, según la encuesta anual sobre multas y violaciones de datos en virtud del RGPD realizada por el bufete de abogados internacional DLA Piper.
La encuesta —que abarcó a 27 miembros de la Unión Europea, a Noruega, Islandia y Liechtenstein, miembros de la Asociación Económica Europea, y al Reino Unido, ahora antiguo miembro de la UE— reveló que las multas se multiplicaron por siete en 2021.
Este año se registraron los máximos históricos de multas impuestas por Luxemburgo e Irlanda, que sustituyeron a Italia y Alemania en los dos primeros puestos del recuento total de multas. Luxemburgo e Irlanda impusieron un total de 746 millones de euros (843 millones de dólares) y 226 millones de euros (255 millones de dólares) en multas, respectivamente, desplazando a Italia al tercer puesto con 79 millones de euros (89 millones de dólares) en multas.
Con ello, la Comisión Nacional de Protección de Datos (CNDP) de Luxemburgo se convirtió en el mayor emisor de una sola multa del RGPD hasta la fecha, al imponer una multa de 746 millones de euros al minorista en línea estadounidense Amazon. Esta multa es 14 veces superior a la anterior más alta, de 50 millones de euros (57 millones de dólares), impuesta por Francia a Google en 2019.
La sentencia Schrems II desencadena el aumento de las multas de GDPR
El aumento de casi siete veces en las multas de este año se está atribuyendo ampliamente a las estrictas normas dictadas bajo la sentencia Schrems II del Tribunal de Justicia Europeo. "La sentencia Schrems II y sus profundas implicaciones para las transferencias de datos se han establecido como el principal desafío de cumplimiento de la protección de datos para muchas organizaciones atrapadas por el GDPR (en sus siglas en inglés)", ha asegurado Ross McKean, presidente del Grupo de Protección de Datos y Seguridad del Reino Unido.
La sentencia Schrems II invalidó la Decisión del Escudo de la Privacidad de la Comisión Europea, que afectaba a la transferencia de datos entre empresas de la UE y de Estados Unidos a causa de los programas de vigilancia invasiva de EE.UU. El marco del Escudo de la Privacidad tenía por objeto permitir la transferencia legal de datos personales de la UE a EE.UU. respetando determinadas garantías de protección de datos. La transferencia de datos personales sólo es posible ahora mediante cláusulas contractuales estándar, que estipulan niveles de protección de datos equivalentes a los del RGPD y la Carta de Derechos Fundamentales de la UE.
La sentencia Schrems II ha trasladado efectivamente el problema y la carga de un conflicto fundamental de leyes de los políticos y legisladores a los exportadores e importadores de datos individuales, tal y como ha explicado Ewa Kurowska-Tober, copresidenta mundial del Grupo de Protección de Datos y Seguridad de DLA Piper. "Lo que realmente se necesita es una resolución del conflicto de leyes subyacente, en lugar de imponer una carga de cumplimiento poco realista a las empresas, y es otro viento en contra para el comercio internacional justo cuando salimos de la pandemia mundial", ha explicado.
Aumentan las infracciones notificadas en toda Europa
La encuesta de DLA Piper también ha señalado una tendencia al aumento del número de notificaciones diarias de violaciones de datos en Europa por tercer año consecutivo.
Desde el 28 de enero de 2021 se han notificado más de 130.000 violaciones de datos personales a los reguladores, con una media de 356 notificaciones de violaciones al día. Esto supone un aumento del 8% respecto a las 331 notificaciones diarias de 2020.
Los Países Bajos notificaron una media de 150,7 violaciones al día, el mayor número por cada 100.000 personas entre los países encuestados. Grecia, Chequia y Croacia son los países que menos violaciones per cápita han notificado desde 2018.
Según un informe de la compañía de seguridad informatica ESET, las empresas españolas fueron las que más sanciones han recibido hasta la fecha en virtud del RGPD, con un total de 273. No obstante, y a pesar del volumen, en general el promedio de las multas es bastante bajo.
