PUBLICIDAD
PUBLICIDAD

¿Cómo han evolucionado las sanciones en la UE por el incumplimiento de la normativa europea de protección de datos?

Los reguladores de los diferentes países europeos han tenido una gran actividad sancionadora.
|

Grandes multas de los reguladores británicos, francés y alemán y notable actividad de la Agencia Española de Protección de Datos (AEPD) son algunos de los datos del análisis que puede hacerse de la actividad sancionadora de los distintos reguladores europeos desde la entrada en vigor el pasado 25 de mayo del Reglamento General de Protección de Datos (RGPD).

Este estudio detallado que se irá actualizando periódicamente ha sido elaborado por el despacho de abogados internacional CMS. Su uso permite conocer la totalidad de las sanciones existentes e ir país por país para conocer cómo ha sido la actividad de cada regulador en cada país.

Elena Gil, jurista especializada en protección de datos, miembro del grupo de especialistas en protección de datos Secuoya y dos veces premiada por la AEPD, comenta esta información de interés.

“Hasta el momento se han producido 171 sanciones impuestas por los diferentes reguladores en materia de protección de datos. La AEPD española con 38, es la entidad que más sanciones ha impuesto”.

PUBLICIDAD
PUBLICIDAD

De este total de sanciones “los motivos principales de dichas sanciones tienen que ver por medidas de seguridad insuficientes en las organizaciones, o el uso de bases de legitimación no adecuadas, como, por ejemplo, consentimientos que no cumplen los requisitos legalmente requeridos”.

Elena Gil, abogada experta en privacidad.

Gil nos advierte que, con 38 multas, la AEPD es la autoridad de control que más ha sancionado en este periodo de tiempo, más del doble del siguiente regulador.

“La de mayor cuantía, de 250.000 euros, se impuso contra LaLiga por el funcionamiento de su aplicación móvil”, una noticia de la que Confilegal se hizo eco.

“En estos momentos dicha sanción ha sido recurrida ante la sala contenciosa Audiencia Nacional”. Esta experta también señala que parece que la AEPD vigila de cerca a las empresas de telecomunicación. Vodafone se lleva la palma con diez sanciones.

PUBLICIDAD

Sin embargo, por cuantía, las grandes sanciones que se han impuesto han tenido como escenarios Reino Unido, “un caso curioso, pues recordemos que se encuentra en vísperas de salir de la UE por el Brexit” y Francia.

Se trata de autoridades que han impuesto muy pocas multas, pero de cuantía muy elevada.

En el caso de Reino Unido, el regulador ICO ha anunciado las mayores sanciones, por importe de 204 millones de euros a British Airways y 110 millones a Marriot Hoteles, en ambos casos por medidas de seguridad inadecuadas.

PUBLICIDAD

Gil nos aclara que “debido al funcionamiento interno del regulador se trata de sendas propuestas de sanción. La multa no es final, pues otras autoridades involucradas y las propias compañías deben realizar alegaciones”.

Google la mayor multa en Francia

Nuestra interlocutora nos señala que “la mayor sanción ya definitiva es la impuesta por la CNIL -el regulador francés- de 50 millones contra Google”.

PUBLICIDAD

La multa está fundamentada en “falta de transparencia, información insuficiente y ausencia de consentimiento válido en el proceso de creación de una cuenta de Google en teléfonos móviles”.

La CNIL es la primera instancia europea de regulación que sanciona a una plataforma mundial de Internet sobre la base del nuevo reglamento europeo de protección de datos (RGPD) que entró en vigor el 25 de mayo del 2018.

La decisión de imponer una multa tan alta se debe, explicó la CNIL, a la “gravedad de las violaciones observadas en los principios de la protección de datos: transparencia, información y consentimiento”.

PUBLICIDAD
La CNIL le impuso una multa de 500 millones de euros a Google.

El procedimiento fue iniciado tan solo unos días después de la entrada en aplicación del RGPD y la multa fue anunciada en enero del 2019.

Curiosamente hasta el momento, las sanciones que han ido a parar a estas grandes compañías son escasas, salvo el caso de Google “las multas altas se imponen para generar algún precedente y que genere un efecto disuasorio en otras compañías sobre realización de conductas irregulares en materia de seguridad o privacidad”.

En opinión de Gil “llama mucho la atención que países como Reino Unido que está a punto de salir de la UE por el Brexit estén impulsando este tipo de grandes sanciones”.

Habrá que ver cuál es su funcionamiento una vez se consume la salida real el próximo 31 de enero del 2020 con el consiguiente periodo transitorio hasta el 31 de diciembre de este año.

Para esta jurista las sanciones se pueden organizar en tres grupos de países “hay unos países que imponen pocas multas, pero de importe considerable, es el caso de Inglaterra o Francia que hemos comentando”.

“Francia impuso cinco sanciones e Inglaterra solo 3, pero son sanciones importantes a nivel económico”.

En este grupo, Elena Gil también incluye al regulador holandés “ha interpuesto tres sanciones, pero de cuantía importante. Una de ellas es de un millón de euros a un hospital”.

En el caso de Alemania, dieciocho sanciones, alcanza en una multa los 14.500.000 euros impuesta a Deutsche Wohnen SE por violación de la privacidad por principios de diseño.

Un porcentaje importante de estas sentencias están relacionadas con organismos públicos. “En el caso de Bulgaria interpuso a su Agencia Tributaria una multa de 2,6 millones de euros”.

“Es posible que a la hora de pagar dicha multa se reduzca el presupuesto de dicho organismo púbico”, comenta esta experta.

Un segundo grupo, en el que se encuentran países como Dinamarca o Noruega, se encuentran en una posición intermedia, con sanciones de una cuantía no muy elevada.

Por último, habría un grupo de países que apenas han interpuesto sanciones, como Chipre y Bélgica, y de escasa cuantía, así como otros países que aún no han sancionado. “En este caso aún hay cierta prudencia a la hora de sancionar a empresas y entidades públicas”.

De cara a este año y venideros, la tendencia que se vislumbra para esta jurista “es que se aprecia una diferencia entre aquellos reguladores que van liderando la interpretación de la nueva norma europea y la imposición de sanciones más severas con aquellos otros que se mantienen en la retaguardia”.

Para Gil, uno de los retos pendientes radica en la interpretación uniforme del Reglamento, lo que debería trasladarse en las multas.

“Se observan diferencias de criterios entre estos reguladores en cuanto a la imposición de las multas. Habrá que ver la evolución en los próximos años, sabiendo además que está por implantar el Reglamento e-Privacy”.