¿Cuál es la autoridad europea de protección de datos con el gatillo más fácil de toda Europa? Con 53 multas acumuladas desde que se empezó a aplicar el RGPD, el título corresponde a la Agencia Española de Protección de Datos (AEPD). Eso sí, sus balas no son las de mayor calibre: las sanciones acumuladas no llegan a 2 millones de euros. En eso la supera el Reino Unido que con solo 3 multas impuestas llega a una cantidad de 315 millones en sanciones (datos de Enforcement Tracker).
En total, las autoridades europeas de protección de datos han impuesto 165 multas hasta la fecha. España está a la cabeza en número sanciones con 53, seguida de Rumania (21) y Alemania (18).
En el apartado de multas más altas destaca el Reino Unido con 315 millones de euros. British Airways es la compañía que tendrá que pagar la mayor parte de esta cantidad: 220 millones por la brecha de seguridad que sufrió en septiembre de 2018 y que afectó a medio millón de clientes. La autoridad francesa -Commission Nationale de l’Informatique et des Libertés (CNIL)- es la segunda por monto de sanciones con 51 millones y la DPA alemana es tercera con 25 millones.
Los motivos más frecuentes de sanción RGPD en Europa
Las multas más cuantiosas han sido impuestas a empresas que no han podido probar la adopción de medidas de seguridad adecuadas para evitar problemas de seguridad (responsabilidad proactiva): un total de 332 millones. Por otro lado, el mayor número de multas ha venido por la ausencia de bases legales para el tratamiento (76 sanciones).
La falta de sistemas con los que atender las peticiones relativas a los derechos ARCO-POL también fueron un motivo frecuente de sanción. Aquellas empresas que no atienden, por ejemplo, una solicitud de acceso o cancelación de datos personales se exponen a importantes sanciones.
Sorprende el hecho de que uno de los aspectos más discutidos del RGPD como es el nombramiento de DPO tan sólo haya llevado a la imposición de una sanción en toda Europa. También destaca el poco impacto de las notificaciones de brechas de seguridad, otro temido elemento del RGPD. Tan solo ha llevado a 5 sanciones por un valor total de menos de 200 000 euros.
Las autoridades europeas de protección de datos no se han enfocado tanto en el proceso de notificación de la brecha de seguridad sino en la valoración de las medidas de seguridad de la empresa. En el caso de que estas medidas fuesen satisfactorias, las sanciones han sido menores o incluso se ha llegado a archivar la causa sin sanción como pasó recientemente en el caso de PromoFarma.
El número de afectados es irrelevante cuando hay una brecha de seguridad
El hecho de que una brecha de seguridad afecte a sólo un cliente no significa que sea menos grave. La AEPD ha multado a dos operadoras de telecomunicaciones por valor de 60 000 y 40 000 euros por dos casos que solo afectaron a una persona. En Alemania, un hospital fue multado con 105 000 euros por la gestión negligente de datos de un solo paciente.