España lidera las multas por vulneración del Reglamento de Protección de Datos
Miguel Ángel Valero
El Reglamento General de Protección de Datos (RGPD) de la Unión Europea está teniendo un impacto en el panorama empresarial desde su entrada en vigor el 25 de mayo de 2018. Diseñado para reforzar la protección de datos y el derecho a la privacidad de las personas en la UE, este marco legal ha cambiado la forma en que las empresas manejan y procesan los datos personales. Un estudio de NordLayer muestra que durante los seis años de vigencia del GDPR, las autoridades de protección de datos (DPA) de los países de la UE han emitido 2.072 sanciones, acumulando 4.500 millones€ en multas. La amenaza de estas multas, que pueden alcanzar hasta el 4% de los ingresos anuales globales de una empresa, está sirviendo de recordatorio para que las compañías se tomen en serio las prácticas de protección de datos.
"Hemos sido testigos de cómo empresas de todos los sectores cambiaban sus prácticas de tratamiento de datos e invertir en medidas de seguridad para cumplir con la normativa", dice Carlos Salas, especialista en ciberseguridad de NordLayer. “Aunque el pleno cumplimiento del marco legal sigue siendo un desafío para muchas empresas, el impacto del RGPD es evidente a la hora de capacitar a las personas y responsabilizar a las organizaciones por la mala gestión de sus datos. Este reglamento ha reconfigurado el panorama digital, forzando una priorización muy necesaria del derecho a la privacidad”.
Los países que más multan a las empresas
Las empresas españolas han vulnerado el GDPR 842 veces y han pagado 80 millones en multas desde 2018. España ya tenía unas leyes estrictas sobre privacidad de datos antes del GDPR, y su normativa actual es incluso más dura que la media europea. Además, se combina con recursos específicos que permiten su aplicación rigurosa. Las empresas de telecomunicaciones, como Vodafone España, se encuentran entre las que cometen más vulneraciones.
Italia ocupa el segundo lugar de esta lista. Las organizaciones italianas han recibido menos de la mitad de sanciones del RGPD que las españolas, pero han pagado casi el triple en multas. En Italia se emitieron 358 multas por valor de casi 229 millones.
Entre los países donde las empresas han pagado más por sus vulneraciones, Irlanda destaca especialmente. Desde 2018, las organizaciones con sede en Irlanda han pagado 2.800 millones de euros en multas. El motivo es que múltiples ‘Big Tech’ como Meta y TikTok han registrado allí sus filiales europeas y han sido sancionadas con multas millonarias.
Precisamente, el mayor infractor del GDPR es Meta, con mucha diferencia. De las 10 multas más importantes, Meta es responsable de seis (cuatro como Meta, una como Facebook, y una como WhatsApp). Su mayor vulneración le costó 1200 millones de euros por una base jurídica insuficiente para el tratamiento de datos en 2023. Y otras dos veces tuvo que pagar unos 400 millones de euros por incumplimiento de los principios generales del tratamiento de datos.
En 2021, Amazon también tuvo que pagar 746 millones a las autoridades de protección de datos de Luxemburgo. Y el año pasado, TikTok pagó 345 millones por vulneraciones del GDPR. Por su parte, Google fue sancionada dos veces en 2021 por una insuficiente base jurídica para el tratamiento de datos, pagando entre 90 y 60 millones en multas.
Las empresas suelen ser multadas por una base jurídica insuficiente para el tratamiento de datos. Ha habido 635 casos de este tipo de vulneraciones desde 2018, costando a las empresas 1.600 millones de euros. Por otro lado, las organizaciones fueron multadas 578 veces y pagaron más de 2.000 millones de euros por el incumplimiento de los principios generales del tratamiento de datos.
"Mantener el cumplimiento del GDPR es un recorrido continuo, no un destino único", dice Salas. "Las normativas de protección de datos evolucionan y las ciberamenazas son cada vez más sofisticadas, así que las empresas deben mantener un enfoque proactivo con respecto a la privacidad y seguridad de sus datos", insiste.