Este nuevo análisis a nivel europeo muestra que las multas del RGPD han llegado para quedarse, pero con grandes diferencias entre países

CMS publica el ‘Enforcement Tracker Report’

Noticia

El importe total de multas por incumplimiento del RGPD alcanzaron los 261,7 millones de euros en Europa según un análisis del despacho internacional de abogados CMS. Además, el análisis revela que la aplicación del RGPD varía mucho de un país a otro, con casi un tercio de todas las multas evaluadas emitidas solo en España.

Protección de datos-RGPD

Según el análisis publicado por CMS este jueves día 27 de mayo en la 2ª edición de su informe anual de seguimiento de aplicación del RGPD (‘CMS Enforcement Tracker Report’), que analiza toda la información disponible en relación con las multas del RGPD en toda Europa, el importe total de las multas por incumplimiento del RGPD alcanzó los 261,7 millones de euros en Europa.

Se observa que la aplicación de la ley varía mucho de un país a otro, con casi un tercio de todas las multas evaluadas emitidas solo en España.

Los medios de comunicación, telecomunicaciones y radiodifusión, así como la industria y el comercio, recibieron el 40% de las multas, lo que resalta la importancia de la gestión de riesgos en los sectores que se dirigen al cliente. Considerando la omnipresencia de la digitalización y los datos personales en todos los sectores, se está llevando a cabo una dura campaña para el cumplimiento de la protección de datos en toda Europa. De este modo, las autoridades de protección de datos parecen atenerse a la promesa de los legisladores de la UE de una mayor protección y seguridad de los datos en el marco del RGPD.

El informe desvela que entre marzo de 2020 y marzo de 2021 se impusieron 287 multas por incumplimiento del RGPD, lo que eleva el total a 526 multas en el período comprendido entre el 25 de mayo de 2018 y el 1 de marzo de 2021 (570, si se cuentan todas las entradas). Con
un valor total de 261,7 millones de euros, las autoridades de protección de datos de toda Europa han actuado con decisión para garantizar el cumplimiento del RGPD por las empresas grandes y pequeñas (y a veces también las autoridades públicas) de la región.

El tratamiento ilegal de datos personales (o, en términos legales, "base legal insuficiente para el tratamiento de datos") fue la infracción más común, representando el 38% de todas las multas y 6 de las 10 multas más elevadas de toda Europa. Esto demuestra que las empresas siguen luchando por gestionar la inseguridad jurídica en la interpretación y aplicación del RGPD. La seguridad de los datos ocupó el segundo lugar, representando el 21% de las multas.

A nivel europeo, casi un tercio de todas las multas emitidas procedían de la Agencia Española de Protección de Datos, seguida de Italia, Rumanía y Hungría. Reino Unido tuvo la multa media más alta, de 11 millones de euros, basada en cuatro sanciones.

El informe también revela que los sectores de cara al público fueron los más controlados, posiblemente debido a la disposición de los clientes finales a presentar reclamaciones: los sectores de la industria y el comercio, el de medios de comunicación, telecomunicaciones y radiodifusión recibieron 110 y 99 multas cada uno, respectivamente, lo que representa el 40% de todas las multas impuestas. Las multas más elevadas y comunes también en estos sectores estaban relacionadas con la base jurídica del tratamiento de datos y la seguridad de los mismos. Mientras tanto, las autoridades de protección de datos también están tomando medidas contundentes contra la videovigilancia ilegal, ya que el 70% de las multas impuestas al sector de la hostelería están relacionadas con este tipo de infracción, así como con la actividad de marketing directo, por ejemplo, los correos spam.

Entre las sanciones más altas, destaca la de 50 millones de euros que recibió Google en Francia por no tener una base jurídica suficiente para el tratamiento de datos debido a la falta de consentimiento para su uso en actividades de marketing. El grupo europeo H&M recibió la segunda sanción más elevada, con 35,3 millones de euros, por actividades ilegales de vigilancia y control de los empleados.

Javier Torre de Silva, socio de CMS Albiñana & Suárez de Lezo y responsable de la práctica de TMC en España, comenta: “Además de datos y cifras, nuestro análisis muestra las principales diferencias en la práctica de multas de las autoridades de protección de datos entre jurisdicciones. Aunque el RGPD es el mismo en toda la Unión Europea, la realidad es que la actividad sancionadora de las distintas Agencias varía mucho de Estado en Estado. Para ofrecer más información, hemos recabado datos de modelos de aplicación de nuestros especialistas en protección de datos en cada país en el que CMS está presente. Aunque esté totalmente armonizado, las diferencias son en la práctica muy notables.

"Desde una perspectiva jurídica básica, también cabe señalar que la opinión de las autoridades (que se plasman en las notificaciones de sanciones o en una notificación inicial de intención) no constituye necesariamente la última palabra. Los tribunales de varios países, incluidos Reino Unido y Alemania, han reducido considerablemente las multas.

“Por lo que respecta a España, el estudio muestra dos etapas claramente definidas: hasta noviembre de 2020, en un periodo inicial marcado por la actividad admonitoria del regulador y de aprendizaje de las empresas, la Agencia no impuso multa alguna superior a 120.000 euros; en cambio, en los seis meses transcurridos desde diciembre de 2020 la Agencia española ha impuesto multas iguales o superiores a 1 millón de euros a seis empresas, en algún caso de un importe tan elevado como 8.500.000 euros. Ello marca un claro cambio de tendencia y el inicio de una nueva etapa en la que no cabe contar con la tolerancia del regulador”.

"En general, ya podemos ver que después de tres años de RGPD, las autoridades de toda Europa tienen mayores expectativas de las empresas y tomarán medidas contundentes contra las que no cumplen en todos los aspectos. Por lo tanto, la inversión continua en la corrección del tratamiento de datos de carácter personal es esencial para todas las empresas”.

Lea el informe completo aquí o un resumen ejecutivo aquí.