El RGPD faculta a las autoridades de protección de datos (APD) para imponer una multa administrativa de hasta el 4% del volumen de negocios anual de una empresa o 20 millones de euros si infringe el RGPD, según cuál sea la suma más elevada.
El objetivo de estas multas es disuadir de cometer infracciones similares en el futuro. Aunque un estudio de noyb constató que se encuentran entre las herramientas de aplicación más eficaces de que disponen las autoridades, las multas significativas por infracciones del RGPD son extremadamente raras. Las multas van a parar al país en el que tiene lugar el procedimiento, que casi siempre es el país en el que tiene su sede la empresa multada.
Desde 2018, se han impuesto las siguientes multas sobre la base de denuncias noyb:
multa de 1.200 millones de euros para Meta por las transferencias de datos entre la UE y EE.UU
A finales de 2023, Meta fue multada con 1.200 millones de euros y condenada a dejar de transferir datos personales de europeos a Estados Unidos. La empresa está sujeta a leyes de vigilancia estadounidenses como la FISA 702, que permite al gobierno de Estados Unidos espiar a ciudadanos no estadounidenses sin causa probable ni aprobación judicial.
Esto contradice la legislación de la UE, que exige una protección "esencialmente equivalente" para los datos transferidos fuera de la Unión Europea. Las empresas estadounidenses como Meta no pueden cumplir este requisito. Así lo confirmó también la decisión del Tribunal de Justicia de la Unión Europea de anular los acuerdos "Safe Harbor" y "Privacy Shield" en sus sentencias Schrems I y Schrems II de 2015 y 2020, respectivamente.
Meta ha ignorado estas sentencias durante los últimos años, lo que ha dado lugar a la multa de 1 200 millones de euros y a la orden de devolver todos los datos personales a sus centros de datos de la UE.
Multa de 395 millones de euros a Meta y prohibición de utilizar datos personales para anuncios
Tras una decisión vinculante del Consejo Europeo de Protección de Datos, la Autoridad Irlandesa de Protección de Datos (DPC) multó a Meta con un total de 395 millones de euros por infracciones en Facebook, Instagram y WhatsApp en enero de 2023. Además, se prohibió al gigante de las redes sociales utilizar datos personales para publicidad sin pedir el consentimiento a sus usuarios.
La decisión es consecuencia de dos denuncias presentadas por noyb en nombre de un usuario austriaco y otro belga el 25 de mayo de 2018, lo que significa que la autoridad competente (el CPD) ha tardado cuatro años y medio en tomar una decisión después de que el EDPB revocara su primer proyecto de decisión en diciembre de 2022.
Multa de 50 millones de euros a Google por consentimiento forzado
Cuando el GDPR entró en vigor el 25 de julio de 2018, noyb presentó denuncias contra Google, Instagram, WhatsApp y Facebook por obligar a sus usuarios a aceptar políticas de privacidad actualizadas que les permitían eludir la nueva ley de privacidad.
Mientras que tres de estas quejas se embarcaron en un viaje de un año lleno de incumplimientos, el caso contra Google se resolvió en junio de 2019: la autoridad francesa de protección de datos (CNIL) multó a la empresa tecnológica con 50 millones de euros, que en ese momento era la multa más alta jamás impuesta por una violación de la privacidad.
La empresa de publicidad CRITEO, multada con 40 millones de euros
A finales de junio de 2023, la autoridad francesa de protección de datos (CNIL) multó a CRITEO, una de las principales empresas europeas de publicidad y seguimiento en línea, con 40 millones de euros por violar los derechos de los interesados y no demostrar que había obtenido un consentimiento válido.
La decisión siguió a una denuncia presentada por noyb y Privacy International en diciembre de 2018, que apuntaba a la falta de una opción adecuada para retirar el consentimiento. La denuncia desencadenó una extensa investigación de la CNIL, que amplió el alcance a otras áreas y encontró violaciones adicionales del GDPR, incluida la falta de transparencia y el incumplimiento del derecho de borrado y el derecho de acceso.
Multa de 5,8 millones de euros a la aplicación de citas Grindr
En 2020, noyb se asoció con el Consejo Noruego del Consumidor (NCC) para presentar una denuncia contra la aplicación de citas LGBTQ+ Grindr por compartir ilegalmente datos personales de los usuarios con cientos de posibles socios publicitarios. No se informó adecuadamente a los usuarios, y el consentimiento no era suficientemente específico: Los usuarios tenían que dar su consentimiento a toda la política de privacidad y no a una operación de tratamiento específica, como el intercambio de datos con otras empresas. La DPA también hizo hincapié en que los usuarios deben poder denegar su consentimiento sin consecuencias negativas.
La decisión de la autoridad noruega impuso inicialmente a Grindr una multa de casi 10 millones de euros. Tras un recurso, la multa se redujo a un importe final de 5,8 millones de euros en septiembre de 2023.
Multa de 5 millones de euros a Spotify
Tras una denuncia de noyb y un litigio por inacción, la Autoridad Sueca de Protección de Datos (IMY) ha multado a Spotify con 58 millones de coronas suecas (unos 5 millones de euros) en junio de 2023. El servicio de streaming de música no cumplió plenamente con la obligación del GDPR de dar a los usuarios acceso a todos sus datos, así como información sobre cómo se utilizan sus datos. La denuncia ya se presentó en 2019 y no se resolvió hasta pasados más de cuatro años.
Primera multa importante por el uso de Google Analytics
Tras las 101 denuncias de noyb sobre transferencias ilegales de datos entre la UE y Estados Unidos a partir de 2020, la autoridad sueca de protección de datos (IMY) emitió la primera multa importante por usar Google Analytics en julio de 2023. Aunque muchas otras autoridades europeas (como Austria, Francia e Italia) ya han determinado que el uso de Google Analytics infringe el RGPD, esta es la primera multa impuesta a empresas por utilizar Google Analytics, a pesar de las sentencias del TJUE sobre transferencias de datos entre la UE y EE.UU.
El proveedor de telecomunicaciones Tele2 fue condenado a pagar el equivalente a 1 millón de euros (12 millones de coronas suecas), mientras que el minorista en línea CDON tuvo que abonar 300.000 coronas suecas.
Multa de 65.000 euros a una empresa maltesa de TI por una filtración de datos
Tras una filtración masiva de datos de votantes malteses en 2020, noyb cooperó con la Fundación Daphne y Repubblika para presentar denuncias contra el intermediario de datos C-Planet. La información personal filtrada incluía números de teléfono, fechas de nacimiento, intención de voto y tendencias políticas de más de 330.000 personas.
En 2022, el Comisario de Información y Protección de Datos (IDPC) concluyó que C-Planet no había aplicado medidas técnicas y organizativas adecuadas al riesgo y multó a la empresa informática con 65.000 euros. La decisión también confirmó que C-Planet no notificó al IDPC la violación de los datos ni informó oportunamente a las personas afectadas.