Análisis de las sanciones impuestas en materia de protección de datos durante el 2021

23 de marzo de 2022

Assumpta Zorraquino

Socia responsable de Regulación Digital en el departamento de NewLaw de PwC Tax & Legal

+34 932 532 507

Alejandra Matas

Directora en el área de Regulación Digital de PwC Tax & Legal

+34 932 532 066

En el presente número: repasamos las principales sanciones en materia de protección de datos personales impuestas por las respectivas autoridades de supervisión europeas durante el año 2021, con un importe total de 1.087 millones de euros, lo que supone un aumento de siete veces el importe de las sanciones impuestas en el ejercicio anterior.

Han sido denunciadas más de 130.000 infracciones de la normativa de datos personales ante las autoridades de control, lo que supone un aumento del 8 % con respecto del año anterior.

A continuación, analizamos los siete puntos principales:

1. Las 5 sanciones más elevadas

  • #1 Amazon. Autoridad: Luxemburgo. Importe: €746 millones. Infracción: Incumplimiento de los principios generales relativos al tratamiento de datos personales.
  • #2 Whatsapp. Autoridad: Irlanda. Importe: €225 millones. Infracción: Incumplimiento del principio de transparencia.
  • #3 Notebooksbilliger.de. Autoridad: Alemania. Importe: €10.4 millones. Infracción: Carencia de base legitimadora del tratamiento.
  • #4 Austrian Post. Autoridad: Austria. Importe: €9.5 millones. Infracción: No permitir el ejercicio de derechos por correo electrónico, a pesar de que los interesados podían hacer consultas por carta, en línea y a través del servicio de atención al cliente.
  • #5 Vodafone España. Autoridad: España. Importe: €8.15 millones. Infracción: acciones de mercadotécnica y prospección comercial sin base legitimadora, y sin posibilitar el ejercicio del derecho a oponerse por parte de los usuarios

2. Los países que más número de sanciones han impuesto

El número total de sanciones impuestas en Europa en el año 2021 ha sido de 457. Por país, destacan los siguientes:

  • España (180)
  • Italia (69)
  • Noruega (29)
  • Rumanía (22)
  • Luxemburgo (18)
  • Grecia (17)
  • Polonia (14)
  • Francia (13)
  • Bélgica (8)
  • Irlanda (7)

Análisis sanciones

3. Los países con sanciones más elevadas

Luxemburgo, con la reciente multa al gigante tecnológico Amazon, ocupa el primer puesto en la lista de países con las sanciones más elevadas, habiendo recaudado este pasado año un total de 746.266.200 euros, con únicamente 18 multas.

El segundo país con las sanciones más elevadas en 2021 fue Francia, habiendo recaudado la autoridad francesa competente en materia de privacidad y protección de datos (La Comisión Nacional de la Informática y las Libertades) un total de 269 millones de euros. Seguidamente, con la multa de 225 millones de euros impuesta a la aplicación de mensajería instantánea WhatsApp, Irlanda se colocaría en el tercer puesto.

4. España: La actividad de la AEPD

En 2021 España, por tercer año consecutivo, volvió a encabezar la lista de países con mayor número de sanciones impuestas.

La Agencia Española de Protección de Datos (AEPD) dio curso a las distintas reclamaciones recibidas, en las que analizó el efectivo cumplimiento y adaptación al RGPD, siendo la autoridad de control europea que más habría hecho uso de su protestad sancionadora con un total de 180 sanciones, que se traducen en el 43% del total de las sanciones impuestas en Europa.

La constante atención del supervisor español en materia de privacidad junto con la concienciación e iniciativa ciudadana a la hora de interponer reclamaciones en defensa de sus derechos, constituyen los principales pilares de nuestro dinamismo sancionador. Además, la facilidad y sencillez en la presentación y tramitación de denuncias a través de las sedes electrónicas de la AEPD también favorece la investigación de las infracciones e incumplimientos de la normativa de protección de datos.

Con todo, a pesar de tener el organismo de control más prolífico, España está lejos de ser el país con las sanciones más cuantiosas. El pasado 22 de febrero de 2022, de conformidad con lo establecido en el art. 76.4 LOPDgDD de 3/2018 se publicó en el Boletín Oficial del Estado la información de las sanciones impuestas por la AEPD superiores a un millón de euros y cuyo infractor sea una persona jurídica (no están todas, entendemos que por encontrarse las omitidas en fase de recurso), siendo la sanción más elevada de 8,5 millones de euros, cuantía de menor impacto, comparada en estrictos términos económicos con aquellas impuestas por nuestros vecinos europeos.

5. Infracciones más comunes. Europa y España

A la vista de los datos publicados a nivel europeo, las infracciones más comunes pueden agruparse en 4 grandes causas:

  • La falta o insuficiencia de base legitimadora para el tratamiento de datos personales, ocupa el primer lugar, siendo la infracción que genera el mayor número de sanciones a nivel europeo.
  • El error humano, carencias en los procedimientos de control y gestión del riesgo, así como el incremento de ciberataques hace que las sanciones relacionadas con Brechas so Incidentes de Seguridad, ocupen el segundo lugar en el ránking.
  • En tercer lugar, los incumplimientos de los principios generales en materia de protección de datos.
  • Finalmente, la falta o insuficiente información facilitada a los interesados en el momento de la obtención de sus datos personales, constituye el cuarto motivo de infracción más común entre las organizaciones multadas.

Análisis sanciones

En España, siguiendo la tendencia europea, el mayor número de sanciones impuestas ha sido por no contar el responsable con una base legitimadora para el tratamiento. A continuación,  las infracciones derivadas del incumplimiento de los principios relativos al tratamiento del art. 5 RGPD, y no facilitar la información suficiente del art. 13 RGPD.

En cuanto al sector de actividad que más sanciones ha recibido de las Autoridades de protección de datos europeas ha sido el de Medios de Comunicación, las Telecomunicaciones y la Radiodifusión, mientras que en España el sector Financiero, junto al de Telecomunicaciones y al de Energía, han sido los más afectados.

6. Lista de verificación EIPD de la AEPD

La AEPD con el fin de que las organizaciones pudieran identificar correctamente y anticiparse a los posibles efectos adversos o no previstos que un tratamiento pueda tener para los derechos y libertades de las personas, elaboró en junio de 2021 una Guía para la Gestión del riesgo y evaluación de impacto en tratamiento de datos personales

A modo complementario, recientemente publicó la Lista de verificación que además de ayudar al responsable a realizar el chequeo de control sobre el proceso de gestión del riesgo, la evaluación de impacto en la protección de datos (EIPD) y la integridad de la documentación de la EIPD,  también permite identificar y determinar aquellos elementos que requieren una especial atención por parte de los responsables del tratamiento, y que coincide con los requisitos establecidos en los artículos del RGPD más infringidos y consecuentemente más sancionados.

A modo de resumen, los elementos de la lista de verificación de la AEPD a tener en cuenta tanto para asegurar el cumplimiento del RGPD, así como para la realización de las EIPD serían los siguientes:

  1. Existencia de DPO, intervención, asesoramiento y supervisión.
  2. El tratamiento cumple con los requisitos del RGPD (Descripción de finalidades, análisis de bases jurídicas; requisitos del consentimiento, informe de ponderación si la base es el interés legítimo, norma habilitante si es el interés público o obligación legal. Causas que permiten levantar la prohibición del art. 9 RGPD si se tratan datos de categorías especiales, y su compatibilidad con el 9 LOPDGDD. Descripción del acuerdo entre responsable y encargado, vínculo jurídico, obligaciones, relación de medidas, etc.
  3. Descripción sistemática del tratamiento (ciclo de vida, activos implicados, vulnerabilidades y amenazas).
  4. Análisis de la obligación y necesidad de llevar a cabo una EIDP (lista de tratamientos del art. 35-3 RGPD, Directrices del WP248 y otras Directrices u opiniones).

7. Previsiones para el 2022

Sin duda, las cifras presentadas muestran una clara determinación de las autoridades de supervisión nacionales en hacer cumplir la normativa de protección de datos, garantizando y asegurando que las actividades de tratamiento se ciñan a lo establecido en el RGPD.

La falta de una base legal adecuada y de transparencia en la información proporcionada han sido los incumplimientos sancionados que más han aumentado en los últimos años y es una de las principales preocupaciones de las empresas junto con la adecuación de las transferencias internacionales.

Además, el papel de las tecnologías en desarrollo también afectará al cumplimiento del RGPD, ya que los riesgos para la privacidad que plantean la inteligencia artificial, el aprendizaje automatizado, el reconocimiento facial y la elaboración de perfiles será un factor que favorecerá el aumento de la tendencia sancionadora en 2022.

Análisis sanciones

Alertas Relacionadas