El Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE) echó a andar en mayo de 2018. Se trata de uno de los marcos regulatorios más garantistas en materia de privacidad que contempla duras sanciones para quien lo incumpla. Unas sanciones, además, que traspasan las fronteras europeas, porque lo relevante no es dónde se encuentra la empresa, sino el propietario/a de los datos personales vulnerados. Pues bien, 2021 fue un año de sanciones récord y España superó los 36,6 millones de euros.

El RGPD contempla un abanico de sanciones que, en los casos más graves, pueden llegar a suponer 20 millones de euros o el 4% de la facturación del año anterior, dependiendo cuál de las cantidades sea mayor. El punto de partida para medir las cuantías de las sanciones era bajo, claro está, apenas 400 euros en julio de 2018, pero de ahí a haber pasado en 2021 a superar los 1.300 millones de euros de multas hay todo un mundo.

Liderando el ránking, como tristemente era de esperar, grandes tecnológicas como Amazon o WhatsApp. La compañía del magnate Jeff Bezos sumó 746 millones en multas por el modo en que recopila datos no sólo de clientes, sino de los proveedores que comercializan productos en su plataforma electrónica. WhatsApp, por su parte, arrastra una multa de 225 millones de euros, según determinó la Comisión de Protección de Datos de Irlanda, por no informar con un lenguaje claro y sencillo, con transparencia, de la finalidad del tratamiento de los datos personales.

En tercera y cuarta posición se encuentran la alemana Notebooksbilliger (10,4 millones de euros) y Correos de Austria (9,5 millones), que vienen a adelantar ligeramente al primero de los casos españoles: Vodafone, que con 8,15 millones de euros en multas es de largo la empresa que más sanciones acumula en nuestro país. La Agencia Española de Protección de Datos (AEPD) multó a la operadora en marzo de 2021 agrupando diversas infracciones entre, como seguramente habrán adivinado, se encuentra sus prácticas de captación de clientes con teleoperadores, conectando con las personas y procesando sus datos, incluso, pese a no existir consentimiento previo para ello.

Otras de las empresas españolas sancionadas es Caixabank, que vio cómo la AEPD le imponía una multa de 6 millones de euros. Por un lado, la entidad fue castigada con 4 millones por no proporcionar un mecanismo para recopilar el consentimiento de los clientes y no justificar sus actividades de procesamiento de datos personales; por otro, con 2 millones por no ser transparente sobre sus propósitos de dicho procesamiento.

Relacionado con la entidad bancaria catalana, la empresa creada en 2019 Caixabank Payments & Consumer también fue multada con 3 millones de euros por tratar datos personales de manera ilícita. Esta empresa proporciona metodologías de pago y soluciones financieras tanto a negocios como particulares y fue denunciada por una persona que vio cómo después de tener un crédito preconcedido, pero sin ser todavía cliente de Caixabank Payments & Consumer, ésta solicitó un expediente de solvencia a un tercero sin que él hubiera dado su consentimiento a ninguna de las partes.

Los datos que recoge el un informe del bufete DLA Piper revelan un aumento de las multas cercano al 600% respecto al año anterior, lo que es una muy mala noticia y pone en evidencia la vulnerabilidad que sufren las personas en materia de protección de datos personales. El hecho de que la media de notificaciones diarias de infracciones se situó en 356 (una cada cuatro minutos, aproximadamente) da una idea muy clara de cómo las empresas incumplen la ley.

La situación, además, es susceptible de empeorar tras la sentencia Schrems II en julio de 2020, que invalidaba el mecanismo conocido como Privacy Shield, en virtud del cual compañías europeas y estadounidenses podían transferir volúmenes de datos a uno y otro lado del Atlántico para su procesamiento y almacenamiento. Con Schrems II se limita esta capacidad de exportar datos personales, so pena de sanciones, suspensiones e indemnizaciones.