Cuando el Reglamento General de Protección de Datos (RGPD) entró en vigor en 2018, dio paso a una nueva era de protección de datos en la UE. Al menos sobre el papel. Los consumidores recibieron las herramientas para defender sus derechos fundamentales, mientras que las autoridades recibieron serios poderes de investigación y la capacidad de sancionar las infracciones con fuertes multas. Casi 7 años después, la realidad es mucho más sombría. Con motivo del Día de la Protección de Datos de este año, el 28 de enero, noyb analizó las estadísticas actuales de la OEPD sobre la (in)actividad de las autoridades nacionales de protección de datos (APD). Los datos muestran que, por término medio, sólo el 1,3% de los casos presentados ante las APD acaban en multa. Sin embargo los profesionales de la protección de datos afirman que las multas son la forma más eficaz de garantizar que las empresas cumplan la ley.
La aplicación estricta del GDPR solo sobre el papel. Cuando el Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2018, prometió un cambio hacia un enfoque serio de la protección de datos. A los consumidores europeos afectados por violaciones de la privacidad se les dieron las herramientas necesarias para quejarse ante sus autoridades nacionales de protección de datos (APD) - que fueron equipadas con los poderes necesarios para investigar todo tipo de infracciones y emitir multas administrativas para prevenir infracciones similares en el futuro. Desgraciadamente, los últimos 7 años han demostrado que esto ha sido en su mayor parte una ilusión. Así lo confirma un nuevo noyb análisis de Estadísticas de la EDPB sobre la actividad de las autoridades entre 2018 y 2023: En promedio, apenas el 1,3% de los casos ante las APD realmente resultan en una multa. Esto es coherente con nuestra propia experiencia práctica: La mayoría de los casos se alargan durante varios años, antes de cerrarse con un acuerdo o desestimarse por completo.
Max Schrems: "Las autoridades europeas de protección de datos disponen de todos los medios necesarios para sancionar adecuadamente las infracciones del RGPD y emitir multas que impidan infracciones similares en el futuro. En lugar de ello, con frecuencia alargan las negociaciones durante años, sólo para decidir en contra de los intereses del denunciante con demasiada frecuencia."
Ningún ejemplo positivo real. Aunque algunas autoridades de protección de datos parecen imponer muchas más multas que otras, las cifras se sitúan en porcentajes de un solo dígito, o incluso inferiores. Al haber impuesto multas en el 6,84% de todos los casos (contando tanto las denuncias como las investigaciones de oficio) entre 2018 y 2023, la APD eslovaca lidera las estadísticas. Le siguen Bulgaria (4,19%), Chipre (3,12%), Grecia (2,65%) y Croacia (2,54%). En el otro extremo del espectro, la autoridad neerlandesa ha impuesto multas en el 0,03% (¡!) de todos los casos, seguida de cerca por Francia (0,10%), Polonia (0,18%), Finlandia (0,21%), Suecia (0,25%) y, por supuesto, Irlanda (0,26%). Los demás países se sitúan en un punto intermedio.
Haga clic aquí para ver la versión totalmente interactiva del mapa.
Haga clic aquí para ver la versión totalmente interactiva del mapa anterior.
Un fenómeno específico de la protección de datos. Esta aparente falta de consecuencias graves para las infracciones de la ley parece ser muy específica de la protección de datos. Tomemos España como ejemplo: En 2022, la APD española recibió 15.128 denunciaspero sólo impuso sólo 378 multas. Esto significa que, estadísticamente, solo el 2,5 % de todas las denuncias acabaron en multa. Esto incluye infracciones obvias, como solicitudes de acceso sin respuesta o banners de cookies ilegales, que en teoría podrían tratarse de forma rápida y normalizada. A modo de comparación: 3.en España se pusieron 7 millones de multas por exceso de velocidad en 2022 (excluidos el País Vasco y Cataluña). Se puede hacer una comparación similar para básicamente cualquier otros Estados miembros de la UE.
Max Schrems: "De alguna manera, sólo las autoridades de protección de datos no están motivadas para hacer cumplir la ley que se les ha encomendado. En todos los demás ámbitos, las infracciones de la ley suelen dar lugar a multas y sanciones económicas. En la actualidad, las APD parecen actuar a menudo en interés de las empresas y no de las personas afectadas"
Los datos lo demuestran: más multas = más cumplimiento. Aunque estas cifras no son sorprendentes, no dejan de ser alarmantes. A noyb entre profesionales de la protección de datos muestra que son precisamente las multas monetarias las que motivan a las empresas a cumplir la ley. Cuando se les preguntó por las medidas más eficaces para hacer cumplir la ley, el 67,4% de los encuestados afirmaron que las decisiones de la APD contra su propia empresa que incluyan una multa influirán en los responsables de la toma de decisiones para que opten por un mayor cumplimiento. Curiosamente, el 61,5% de los encuestados afirmó que incluso las multas de la APD contra otras organizaciones influirían en el cumplimiento del RGPD por parte de su propia empresa.
Haga clic aquí para ver el gráfico interactivo.
Las multas impuestas son una broma. Si observamos más de cerca el importe de las multas que las autoridades nacionales imponen cada año, la cuestión queda aún más clara. Irlanda (475 902 000 euros de multa media al año) y Luxemburgo (124 395 729 euros de multa media al año) lideran con diferencia las estadísticas entre 2018 y 2023. A primera vista, puede parecer mucho dinero. Pero en realidad no lo es. Casi todas las grandes empresas tecnológicas como Apple, Google, Meta y Microsoft están ubicadas en Irlanda, lo que convierte al CPD irlandés en la autoridad principal para algunos de los casos más grandes de la historia. Luxemburgo, por su parte, es responsable de empresas como Amazon. En realidad, el CPD tiene que verse obligado a su buena fortuna. noybs two biggest casos contra Meta tuvieron que dar un rodeo hasta la EDPB antes de que el CPD multara finalmente a la empresa con un total de casi 1.600 millones de euros. Si se quita esta suma, no queda mucho.
¿Más presupuesto, más decisiones? Algunas autoridades sostienen repetidamente que sólo necesitarían más presupuesto y recursos para tomar decisiones más oportunas -y de mayor impacto-. Si nos fijamos en las estadísticas de la EDPBel presupuesto de las autoridades aumentó hasta un 130% entre 2020 y 2024. La autoridad neerlandesa, por ejemplo, registró un incremento presupuestario del 62% en cuatro años, sin un aumento significativo de las multas impuestas. Para poner esto en perspectiva: En 2023, la DPA neerlandesa tenía un presupuesto de casi 37 millones de euros, pero solo impuso 1,98 millones de euros en multas. Esto supone una diferencia de casi 35 millones de euros, lo que dejará un enorme agujero en el presupuesto del Estado. Sin embargo, este déficit podría compensarse con una aplicación estricta. Las multas del RGPD van al estado de la autoridad principal.
Haga clic aquí para ver el gráfico interactivo que figura a continuación.
Haga clic aquí para ver el gráfico interactivo.
Casi el 40% de todas las multas gracias a noyb. Este patrón puede observarse en toda la UE: Entre 2018 y 2023, todas las autoridades de protección de datos de la UE impusieron un total combinado de 4.290 millones de euros en multas - de los cuales 1.690 millones de euros fueron resultado de noyb litigios. En otras palabras: Casi el 40 % de todas las multas del GDPR se remontan a noyb. Esto significa que, en realidad, parece más una falta de voluntad política para enfrentarse a los gigantes tecnológicos que una falta de posibilidades para actuar.
