Carlos B Fernández. 2023 fue un año récord en materia de sanciones impuestas por infracción del Reglamento General de Protección de Datos (LA LEY 6637/2016), cuyo importe total aumentó más del 14 % con respecto al año anterior, hasta alcanzar los 1.780 millones de euros. Entre estas sanciones destaca la más alta impuesta hasta la fecha en la Unión, de 1.200 millones de euros impuesta a Meta por la autoridad irlandesa.
La edición 2024 de la encuesta anual de DLA Piper sobre sanciones por RGPD y brechas de seguridad (DLA Piper GDPR (LA LEY 6637/2016) fines and data breach survey: January 2024) recoge el total de multas impuestas en el contexto de los 27 Estados miembros de la Unión Europea, además del Reino Unido, Noruega, Islandia y Liechtenstein, por una amplia gama de infracciones del RGPD desde el 28 de enero de 2023. Sin embargo, en el mismo se advierte que no todas las autoridades supervisoras europeas de protección de datos publican los detalles de las multas impuestas, pues algunas las consideran confidenciales. Por lo tanto, el estudio se basa en las multas (y recursos) que han sido comunicadas públicamente o divulgadas por la autoridad de control pertinente. Es posible que otras multas (y recursos) se hayan publicado de forma confidencial. Por ejemplo, el valor total de las multas relacionadas con el RGPD impuestas en Dinamarca y Bélgica se ha reducido con respecto a la cifra anterior comunicada en la encuesta del año pasado.
Con todo, el total de multas notificadas desde la fecha de comienzo de aplicación del RGPD, el 25 de mayo de 2018, asciende ahora a 4.680 millones de euros (5.100 millones de dólares).
Continúan las multas récord
Según el informe, ese aumento del 14,10% en el total de sanciones, frente a los 1.560 millones de euros impuestos entre el 28 de enero de 2022 y la misma fecha de 2023, es muy inferior al aumento del 50% registrado en ese período. Esta disminución se achaca a que se han resuelto a favor de los sancionados varios recursos interpuestos en varias jurisdicciones y que han supuesto la reducción de las sanciones.
Durante 2023 también hubo menos multas impuestas por las autoridades nacionales a raíz de dictámenes y decisiones vinculantes del Comité Europeo de Protección de Datos en virtud del mecanismo de coherencia del RGPD. Como se informó en la encuesta del año pasado, el CEPD ha tenido un impacto altamente inflacionista en el valor de las multas impuestas por las autoridades europeas de supervisión de la protección de datos. Esto se debe en parte al calendario: ha habido un gran número de remisiones al EDPB y de dictámenes de coherencia emitidos por éste durante el año 2023, pero muchos de ellos no se han traducido todavía en multas definitivas por parte de la autoridad competente.
En concreto, las transferencias de datos personales a terceros países fuera del EEE fueron el motivo de esa multa, la más elevada impuesta hasta la fecha (frente a la que Meta IE ha iniciado tanto un recurso y una revisión judicial de la decisión a través de los tribunales irlandeses, como un recurso contra la decisión del EDPB en el caso a través de los tribunales de la UE). Le siguen las multas impuestas a las redes sociales y a las grandes empresas tecnológicas (que constituyen cada una de las diez multas las diez multas más elevadas del RGPD).
Ranking de sanciones por país
El informe destaca que no se han producido cambios en los primeros puestos de la clasificación por países de este año.
Irlanda y Luxemburgo se mantienen en los dos primeros puestos con multas por un total de 2.860 millones de euros (3.120 millones de dólares) y 746 millones de euros (813 millones de dólares), respectivamente.
Este hecho se explica por la importancia de Irlanda como sede europea de relevantes empresas de medios sociales y el hecho de que la Comisión de Protección de Datos de Datos irlandesa es con frecuencia la principal autoridad para todo el tratamiento transfronterizo en toda la UE.
El mecanismo de autoridad de control principal previsto por el RGPD, junto con el papel del Comité Europeo en relación con la coherencia y la resolución de litigios, ha hecho que la autoridad irlandesa desempeñe un papel muy relevante en la interpretación de aspectos clave del RGPD, como lo demuestran las decisiones emitidas durante 2023 sobre cuestiones como la transparencia la transferencia de datos y la privacidad de los niños. Si bien se destaca también que muchas de estas decisiones han sido objeto de recurso, se añade que, tras cinco años de aplicación del RGPD, la seguridad jurídica sobre sobre algunas cuestiones fundamentales del mismo resulta.
Sin cambios en el número de notificaciones de brechas de seguridad
Siguiendo la tendencia de los dos últimos años, entre el 28 de enero de 2023 y el 27 de enero de 2024 se produjeron de media 335 notificaciones de brechas de seguridad al día en el ámbito del EEE, frente a las 328 del mismo periodo del año pasado. Teniendo en cuenta el margen de error, el informe considera que no hay cambios interanuales en el número total de infracciones, aunque sí algunos cambios notables en algunas jurisdicciones.
La ausencia de cambios globales se debe, en parte, a un cambio en la forma en que algunas autoridades europeas de supervisión de la protección de datos han estado comunicando las estadísticas de notificación de brechas de seguridad, con varias autoridades de supervisión revisando a la baja las estadísticas de notificación de violaciones publicadas anteriormente.
La estabilización también es coherente con la experiencia observada en otras jurisdicciones en las que se han introducido leyes de notificación de brechas de seguridad. En virtud del RGPD, es un requisito legal obligatorio notificar las brechas de seguridad que afecten a datos personales a la autoridad de control competente, a menos que sea "improbable que la violación suponga un riesgo para los derechos y libertades de las personas físicas ".
Tendencias observadas
El incumplimiento de los principios básicos del RGPD sigue siendo la causa más citada de multas en todas las jurisdicciones encuestadas y, de todos los principios establecidos en el artículo 5 del RGPD (LA LEY 6637/2016), el incumplimiento de los principios de licitud, lealtad y transparencia (artículo 5, apartado 1, letra a) del RGPD (LA LEY 6637/2016)) sigue siendo el motivo más frecuente.
Por ejemplo, al imponer una multa de 345 millones de euros, en septiembre de 2023 a un proveedor de redes sociales, la autoridad irlandesa concluyó que la organización no había proporcionado información adecuada a los menores usuarios, infringiendo con ello las normas de transparencia e información establecidas en los artículos 12 (LA LEY 6637/2016) y 13 del RGPD (LA LEY 6637/2016); además, se consideró que había utilizado patrones oscuros (dark patterns) para inducir a los menores usuarios a seleccionar opciones muy bajas de privacidad, infringiendo el principio de lealtad establecido en el mencionado artículo 5, apartado 1, letra a), del RGPD).
Del mismo modo, tanto las autoridades de control como los tribunales siguen poniendo el listón muy alto en lo que respecta al cumplimiento del requisito de demostrar una base jurídica para el tratamiento de datos personales (otro elemento del artículo 5, apartado 1, letra a)). El "gran acuerdo" en el que se basa la gratuidad de Internet ha permitido a las redes sociales y a las grandes empresas tecnológicas financiar los servicios prestados a los consumidores mediante la monetización de los datos que recopilan sobre los usuarios de esos servicios. Sin embargo, este gran acuerdo está siendo cuestionado en la actualidad y ya ha sido objeto de las multas más cuantiosas ya en 2023, cuando el TJUE examinó cuestiones similares que afectan al núcleo del gran acuerdo. En concreto, el 4 de julio de 2023 dictó una sentencia en el asunto C-252/21, Meta contra Bundeskartellamt, según la cual impuso limitaciones estrictas al uso de las bases legales de necesidad contractual, interés legítimo y consentimiento.
El TJUE concluyó que la base jurídica de la "necesidad contractual" (artículo 6, apartado 1, letra b) del RGPD (LA LEY 6637/2016)) sólo puede invocarse cuando el tratamiento es "objetivamente indispensable para una finalidad que forma parte integrante de la obligación contractual prevista para el interesado". El Tribunal sostuvo que, si bien proporcionar contenidos personalizados en línea a sus usuarios puede ser útil, "no parece ser necesario", ya que Meta IE (Facebook) podría proporcionar un servicio "alternativo equivalente" a los usuarios que no requiera contenidos personalizados en línea. En el contexto del tratamiento por Facebook de los datos personales de los usuarios con fines de publicidad en línea dirigida, el TJUE concluyó que Facebook sólo podía invocar la base jurídica del interés legítimo (artículo 6, apartado 1, letra f), del RGPD) si los usuarios habían sido informados del interés legítimo, el tratamiento era estrictamente necesario y la ponderación de los intereses en conflicto era favorable al tratamiento. El Tribunal consideró que no se cumplía ninguna de esas condiciones y que el tratamiento iba más allá de las expectativas razonables del usuario, especialmente porque el tratamiento era tan extenso. Además, el TJUE sostuvo que la posición dominante en el mercado de un responsable del tratamiento no impedía que un usuario pudiera consentir válidamente el tratamiento de sus datos, sin embargo, "puede crear un desequilibrio claro" entre el interesado y el responsable del tratamiento.
Por tanto, los usuarios deben poder denegar su consentimiento a cualquier tratamiento que no sea necesario para la ejecución del contrato, "sin verse obligados a abstenerse por completo de utilizar el servicio".