2021 ha sido un año de récord para la Agencia Española de Protección de Datos (AEPD). El organismo de control español ha propuesto 47% sanciones más que en 2020 (más de 180 frente a unas 120 en el año pasado), lo que se ha traducido en más de 32 millones de euros en sanciones, casi un 1.000% más que los 3 millones de euros que propuso en 2020.
Aunque el Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2018, no ha sido finalmente hasta 2020 y 2021 cuando sus efectos sancionadores se han hecho notar. La razón no es otra que cuando entró en vigor, la AEPD ya tenía varios casos abiertos a los que todavía se les aplicaría la legislación previa a este reglamento.
Con su entrada en vigor, el RGPD elevaba las sanciones hasta los 20 millones de euros (por causas muy graves) o incluso a un 4% de la facturación global de la compañía que haya vulnerado la norma. Así, este 2021 se ha visto por primera vez en la historia una multa de más de 700 millones de euros como la que Luxemburgo ha impuesto a Amazon.
Estas agencias de protección de datos o autoridades de control, como se las conoce en la propia RGPD, publican todas sus resoluciones en sus respectivas páginas web. Un agregador llamado GDPR Enforcement Tracker recopila toda esta información para fines estadísticos.
Así, entre diciembre de 2020 y noviembre de 2021 la autoridad española ha propuesto sanciones de récord. Solo las multas que la AEPD ha propuesto en este ejercicio duplican todas las sanciones previas que el organismo había elevado en los dos años anteriores (desde 2018).
Más de 8 millones en una sola multa a Vodafone, otras dos de 6 y de 3 millones a CaixaBank, una de 5 millones al BBVA, dos de 1,5 millones a la portuguesa EDP, una sola multa de 2,5 millones a Mercadona o una sanción a Equifax de un millón de euros son algunos de los hitos que la agencia española ha protagonizado este año.
Un crecimiento similar en toda Europa
Este incremento tanto en número de multas como en cuantía de las mismas no solo se ha dado en España. A nivel europeo se ha registrado un crecimiento superior al 500%. Si en 2020 las autoridades de control europeas propusieron más de 168 millones de euros en multas, en el año 2021 estas cifras se han disparado hasta los 1.073 millones de euros.
En número de multas, la autoridad española sigue incontestable. Es el organismo de control europeo que más sanciones ha propuesto. A mediados de 2021 ya era líder con más de 222 sanciones elevadas. Cuando este año está a punto de terminar, la AEPD ha ampliado su liderazgo con 340 sanciones.
Pero en cuantía de sanciones, España ha retrocedido dos puestos. Era la cuarta autoridad de control que más dinero había exigido a las infractoras del RGPD. Ahora es la sexta, aunque la razón es fácil de detectar. El número uno ahora lo ostenta la autoridad de Luxemburgo, por la multa de 740 millones de euros a Amazon.
Le sigue Irlanda, que salta al segundo puesto por una sanción histórica contra WhatsApp de 220 millones de euros. Fuera de España, otras plataformas como Grindr también se han enfrentado a cuantiosas multas. España, por su parte, en el histórico solo ha levantado 36 millones de euros en sanciones, de los cuales 32 se han propuesto este mismo año.
Problemas de presupuesto
A pesar de estos datos, el presupuesto de la AEPD es uno de los que menos crecen si se compara con otros organismos de control de países de su entorno. El dinero asignado a la AEPD lindaba los casi 13,4 millones de euros en 2014. En 2021 esa cantidad ha aumentado solo un 17%, hasta los 15,8 millones, según cifras que refleja la agencia en su propia web.
Para entender este lento crecimiento hay que recordar que el presupuesto asignado a la AEPD en 2018 fue de 14,2 millones, y esta cuantía acabó siendo la misma en 2019 y 2020 a causa de la prórroga de los presupuestos generales del Estado.
Un informe de la ICLL (Consejo Irlandés por las Libertades Civiles) ponía de relieve el «tapón» que ha originado la ineficacia de la autoridad irlandesa de protección de datos. Ese tapón o cuello de botella es el que origina el hecho de que la autoridad en Dublín no haya logrado tramitar en los últimos años el 98% de las demandas por protección de datos contra las grandes tecnológicas.
La AEPD todavía tiene una estructura con una directora general interina, Mar España, que lleva meses en funciones. El nombramiento de la nueva Presidencia del organismo todavía no se ha producido, y a pesar de que las millonarias multas ya han llegado, la inversión no crece.
Una idea: quedarse con el dinero de las multas
Esto llevó a Borja Adsuara, abogado y consultor, a proponer en Business Insider España una idea: la posibilidad de que la AEPD se quedara con el dinero de las multas para financiarse. «La Agencia Tributaria, la Policía Nacional y la Guardia Civil, para perseguirlo, incautan bienes», recordó entonces.
«Si las grandes empresas que tienen que vigilar emplean inversiones millonarias para el tratamiento de los datos, también se necesitarán inversiones millonarias para perseguirlas», aseguró Adsuara.
Todavía falta por ver cómo evolucionarán las resoluciones que eleve la AEPD en 2022. Pero en 2023 podría entrar en vigor los nuevos reglamentos que regulen a las grandes tecnológicas, como la Ley de Servicios Digitales y la Ley de Mercado Digital, así como el Reglamento sobre la IA que también se trabaja desde Bruselas.
Algunas voces han reivindicado el papel de las autoridades de control, así como el de la Comisión Nacional del Mercado y la Competencia (que en virtud de la nueva ley audiovisual también vigilará a youtubers o streamers) frente a estas futuras normas. Con todo, la propia CNMC reconocía a principios de este año que también andan escasos de personal para vigilar todos esos contenidos digitales.
De lo contrario, muchos expertos advierten: tanto las presentes como las futuras normas que regularán a la industria tecnológica nacerán obsoletas.
Fuente: businessinsider.es https://www.businessinsider.es/multas-proteccion-datos-1000-grandes-2021-982521