2023 fue un año récord en cuanto a las sanciones de los Garantes europeos para la protección de la privacidad. Las autoridades impusieron sanciones por valor de 1.780 millones de euros en sólo un año, un 14% más que en 2022. Pero lo que impulsó el resultado fue sobre todo la multa máxima impuesta por el garante irlandés a Meta en mayo, por violaciones de la transferencia de datos personales a terceros países (en concreto, Estados Unidos), el más alto jamás asignado hasta el momento para el cumplimiento del reglamento europeo de privacidad, el GDPR, vigente desde mayo de 2018. Para hacer el balance de un año de decisiones de las autoridades nacionales europeas sobre protección de datos es el despacho de abogados internacional Dla Piper, en un informe que analiza la tendencia del año que acaba de terminar, bajo dos perfiles: el de las sanciones, precisamente, y el de las llamadas violaciones de datos, o los “hurtos” y , en general, las violaciones de datos personales comunicadas a los Garantes por empresas, administraciones públicas y profesionales.
El presupuesto de 2023
La máxima multa a Meta del Garante de Privacidad irlandés registró un doble récord: el del importe máximo global de sanciones impuestas en un año por las Autoridades (1.780 millones frente a 1,56 en 2022) y, por otro, precisamente, el de importe único más elevado. jamás impuesto en estos cinco años de vigencia del Reglamento UE. Pero tras una inspección más cercana, según informan los expertos de Dla Piper, 2023 no fue un año tan excepcional en el frente de la privacidad. De hecho, el punto de inflexión sigue siendo 2022, cuando las sanciones aumentaron un 50% en comparación con los 12 meses anteriores. El retroceso real se debe en gran medida a que muchas de las sanciones decididas por los Garantes en 2023 fueron luego reducidas -o incluso anuladas- en los tribunales. También disminuyeron las multas de los Garantes en ejecución de dictámenes y decisiones vinculantes del Garante de la UE (lo Consejo Europeo de Protección de Datos). Con los importes de 2023, el total de multas impuestas como resultado del Reglamento de la UE en toda Europa ha alcanzado los 4.680 millones de euros desde 2018 hasta hoy.
Italia
Italia ocupa el cuarto lugar en el “top ten” de países de la UE con más sanciones, con más de 145 millones de euros solicitados a empresas desde 2018 hasta hoy. Por delante están Irlanda, Luxemburgo y Francia. Este último con un claro desfase: 546 millones en multas impuestas.
El récord de Irlanda
Este ranking especial de los países más “rigurosos” en términos de privacidad está dominado por Irlanda: más de 2.200 millones en multas por violaciones del RGPD solicitadas en estos cinco años, de las cuales, de hecho, sólo la mitad el año pasado con Meta. Naturalmente, los datos están influenciados por el hecho de que el país es el puesto de avanzada europeo de casi todas las grandes empresas tecnológicas. Y estas son las empresas más “sensibles” en materia de protección de datos personales. Además, la cuestión que enfrenta Irlanda con la maxisanción a Meta no es un capítulo cerrado: la empresa propietaria de Facebook e Instagram debe responder por la transferencia ilegal de datos de Europa a Estados Unidos, y junto con la multa también llegó la orden de cesar rápidamente esta transferencia. Pero la cuestión es más amplia y afecta a todas las empresas que procesan datos entre los dos continentes, tras una sentencia del Tribunal de la UE que provocó la caducidad de las normas que regulan este intercambio. Desde entonces, instituciones y autoridades trabajan para encontrar un acuerdo que ponga fin a las incertidumbres jurídicas sobre el tema.
Violaciones de datos
En 2023, se denunciaron una media de 335 filtraciones de datos al día en Europa. Más o menos la misma cifra registrada en 2022, cuando fueron 328. El año pasado, como el anterior, el mayor número de ataques se registró en Alemania: más de 32 mil denuncias. Italia se sitúa aproximadamente en la mitad de la tabla (es el duodécimo) pero con una clara diferencia con respecto al primero: sólo 1.688 casos reportados el año pasado. Como señala el estudio de Dla Piper, detrás de estas grandes diferencias también podría haber diferentes interpretaciones del Reglamento que exige informar de todas las violaciones de datos, excepto aquellas que no constituyen un riesgo para los derechos y libertades del individuo. Una norma que, al no fijar límites ni umbrales concretos, también deja cierta incertidumbre entre quienes deben decidir si denuncian o no la filtración de datos.