Las multas por Protección de Datos crecen un 521%
Las sanciones por fallos de privacidad en los Estados de la UE han superado en 2021 por primera vez los 1.000 millones, con un total de un total de 412 sanciones.
El importe de las multas impuestas por las autoridades de control europeas derivadas del incumplimiento del Reglamento General de Protección de Datos, superó la barrera de los mil millones de Euros en 2021. Esta cantidad de sanciones supone un aumento del 521% en comparación con el volumen de sanciones impuesto en el año 2020. Este pasado año se ha impuesto un total de 412 sanciones, aunque las sanciones más altas han sido las que se impusieron de un lado, por parte de la autoridad luxemburguesa, a Amazon Europe Core, por importe de 746 millones de Euros; y, por otro lado, la que la autoridad irlandesa impuso a Whatsapp, que alcanzó los 225 millones de Euros.
Al hacer un análisis comparativo de la intensidad sancionadora de los organismos de control, en el año 2020, el montante total de las multas superó los 171 millones de Euros, lo que supuso un incremento significativo en comparación con los 72 millones de Euros del año 2019.
Lejos quedan los 436.000 euros en multas del año 2018,ejercicio en cuyo mes de mayo comenzó a aplicarse la citada normativa en todos los estados miembros. Estos datos, sin duda, consolidan al riesgo sancionador como una de las principales preocupaciones de las empresas y de sus órganos de administración, destaca Francisco Pérez Bes, Socio de Derecho Digital en Ecix Group y antiguo Secretario General del Instituto Nacional de Ciberseguridad de España (INCIBE), y requiere mantener, de manera constante, un alto nivel de cumplimiento especializado dentro de las organizaciones, añade.
La exigencia de cumplimiento de una norma tan compleja y exigente como es el RGPD, sin duda ha aumentado el nivel de cumplimiento de las empresas, aunque, a la vista de los datos publicados, parece que las organizaciones todavía están lejos de alcanzar un nivel de cumplimiento adecuado. Ahora bien, no pueden negarse los esfuerzos de las empresas por cumplir con esta normativa, por lo menos en España. Sin embargo, España es uno de los países de la Unión Europea que acumula una mayor cantidad de multas en comparación con el resto de nuestros vecinos. En concreto, la Agencia Española de Protección de Datos ha impuesto, este pasado año, 352 multas, lo que se ha traducido en sanciones por valor de 36,7 millones de Euros. Esto supone una sanción media de 105.000.
A la vista de los datos publicados, las violaciones más comunes pueden estructurarse en cinco grandes grupos. El mayor volumen se centra en incumplimientos de los principios generales de protección de datos, a lo que sigue la falta o insuficiente información facilitada a los titulares de los datos. En tercer lugar, destaca la insuficiente base legitimadora para el tratamiento de los datos personales. Finalmente, encontramos a las sanciones relacionadas con brechas de seguridad y, por consiguiente, con la ausencia de medidas técnicas u organizativas adecuadas en la organización afectada, son el grupo que mayor evolución está teniendo, especialmente a la vista del incremento -tanto en número como en complejidad- de ciberataques a empresas, en particular, ransomware. Y, por último, encontramos la deficiente gestión de los derechos ejercidos por los ciudadanos -comúnmente conocidos como derechos Arco+- en aquellas organizaciones que tratan datos personales de personas físicas.
La gestión de los datos en las empresas es una tarea muy compleja. La información se ha convertido en un activo estratégico, cada vez mas valioso, a la par que la asunción de riesgo por su deficiente protección es cada vez mayor. Además, el riesgo regulatorio y sancionador para 2022 va a ser todavía mayor, año en el que se prevé una mayor intensidad en ciberataques y un mayor impacto reputacional de todo aquello relacionado con la ciberseguridad y la protección de los datos personales. Así las cosas, podemos afirmar que la exigencia del regulador para este año también va a ir en aumento, al igual que ocurrirá con las reclamaciones económicas de los afectados por brechas de datos y violaciones de seguridad y, previsiblemente, contra los órganos de administración de las empresas que hayan sufrido incidentes de seguridad, advierte Pérez Bes.