Tres años y medio después de su entrada en vigor, la aplicación del Reglamento General de Protección de Datos (RGPD) ha empezado por fin a coger carrerilla. El ritmo de multas por su incumplimiento se ha intensificado desde 2020, sobre todo gracias a España, pero han sido dos sanciones históricas impuestas este verano a Amazon y Whatsapp las que parecen haber desatado la revolución que el reglamento estaba llamado a provocar.

Ambas multas suponen el 75% de todo el importe económico que han acarreado los castigos por violar el derecho fundamental a la protección de datos en la Unión Europea, Reino Unido, Liechtenstein y Noruega. Un total de 1.300 millones de euros repartidos en 880 sanciones desde mayo de 2018. Y para alegría de las instituciones comunitarias, han sido las autoridades de Luxemburgo e Irlanda, claves en la implementación del RGPD al acoger las sedes de las principales empresas tecnológicas en Europa y que hasta ahora se habían mostrado muy laxas, las que han enseñado los dientes al big tech.

Los datos son de Privacy Affairs , una agrupación de profesionales de la seguridad en internet y periodistas tecnológicos repartidos por todo el mundo que monitorea las sanciones impuestas por el RGPD que hacen públicas los Estados.

Imponer multas no figura entre los objetivos del Reglamento General de Protección de Datos, pero es un buen indicador de hasta qué punto está siendo aplicado. El RGPD confirió a las autoridades nacionales de protección de datos el poder de emitir avisos y, en el peor de los casos, multas si algún artículo del texto era violado. El castigo económico final es decidido por cada agencia en función de la gravedad, la intencionalidad o la cooperación de la compañía multada, con un importe máximo de veinte millones de euros o el equivalente al 4% de los ingresos anuales de la empresa, en función de cuál sea mayor.

La ausencia de infracciones, en lugar de un perfecto cumplimiento de la norma, podría dar muestras de su escasa aplicación y por tanto de su fracaso.

España, la gran defensora de los derechos de los usuarios en la red

Hasta la fecha, España es de largo el país que más multas ha comunicado, con un tercio del total (303), seguida, de lejos, por Italia (91) y Rumanía (91). Para Juan Fernando López Aguilar, presidente de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo, en España “existe una conciencia muy elevada sobre los derechos digitales” y tanto el Ministerio de Justicia como la Agencia Española de Protección de Datos “estaban especialmente bien preparados” para acoger la norma.

El eurodiputado socialista explica que “hay casos muy señalados de la justicia europea que han sido elevados desde España, como es el caso del derecho al olvido [la justicia española ya lo reconoció en 2015 en una disputa legal con Google que acabó en el Tribunal de Justicia de la Unión Europea]”.

El buen hacer de su agencia de protección de datos no convierte a España, sin embargo, en el país que ha castigado con más dinero las irregularidades de las empresas. Ese puesto pertenece a Luxemburgo e Irlanda, países que paradójicamente solo han interpuesto once y nueve multas pero entre las cuales figuran las más altas de la historia del Reglamento General de Protección de Datos.

En concreto, la Comisión Nacional de Protección de Datos de Luxemburgo sancionó a Amazon con 746 millones de euros el pasado mes de julio por haber hecho un supuesto uso ilegal de los datos de sus clientes para diseñar anuncios personalizados. Por su parte, la Comisión de Protección de Datos de Irlanda hizo lo propio en septiembre con Whatsapp, a la que multó con 226 millones de euros por no informar correctamente a sus usuarios europeos de la forma en la que podía compartir sus datos con Facebook.

Más allá de las cifras récord ―la batalla legal que librarán las empresas multadas, con equipos de abogados muy poderosos, probablemente las rebajará―, ambos casos han marcado un antes y un después en la aplicación del RGPD por las partes que los protagonizan. De un lado, las grandes tecnológicas, que hasta ese momento habían esquivado el RGPD; de otro, Luxemburgo e Irlanda, los dos países que estaban zancadilleando su implementación.

El mecanismo de ventanilla única o one-stop shop, un arma de doble filo

A fin de evitar posibles solapamientos, el reglamento estableció que la voz cantante en las investigaciones transfronterizas debía llevarla el país en el que la empresa en cuestión tenía su sede europea. El mecanismo, conocido con el nombre de ventanilla única o one-stop shop, situó así en una posición privilegiada a Irlanda ―sede de Apple, Facebook, Google, Microsoft o Twitter, entre muchas otras― y Luxemburgo ―Amazon o Paypal―. No en vano, su benévola política fiscal, que ya llevó al Parlamento Europeo a concluir que tenían rasgos de paraíso fiscal en 2019 , los convierte en el centro de operaciones perfecto para las grandes empresas estadounidenses.

Poco a poco las denuncias trasladadas a ambos países por otros Estados miembros fueron apilándose, sobre todo en el caso de Irlanda, que recibió el 21% de todas ellas, según datos recopilados por el Irish Council for Civil Liberties . Ante la inacción y la falta de decisiones de las autoridades del país, el Parlamento Europeo llegó a pedir en febrero a la Comisión Europea que iniciara un procedimiento de infracción contra Irlanda por fallar a la hora de aplicar el RGPD.

Por eso las dos sanciones anunciadas por Dublín y Luxemburgo han sido tan celebradas en Bruselas, porque sitúa a ambas capitales en el camino necesario para avanzar hacia una aplicación transversal y europea de los estándares de protección de datos. Pero es un optimismo contenido, ya que la Comisión de Protección de Datos de Irlanda aún tiene el 98% de los casos transfronterizos que lidera sin resolver.

De hecho, preguntadas por esta cuestión, fuentes de la Comisión hacen mención a las “dos importantes decisiones” adoptadas por ambos países, pero reconocen que “la colaboración entre las autoridades de protección de datos debe mejorar” y que, para que el sistema funcione, “es fundamental desarrollar la confianza y el espíritu europeo de cooperación”.

Hacia una cultura de protección de datos común

El despegue del Reglamento General de Protección de Datos también guarda una estrecha relación con los recursos que se han ido destinando a sufragar la labor de las agencias nacionales de supervisión. No en vano, el organismo irlandés estuvo infradotado durante dos décadas, motivo cuyos dirigentes utilizaron para justificar su lentitud.

Pero la realidad es que las partidas de estos cuerpos no han parado de aumentar en los últimos tiempos: si en 2016 todas las agencias de protección de datos de la UE sumaban un presupuesto conjunto de 162 millones de euros, en 2021 era ya de 295. Aunque también es cierto que existe una gran disparidad entre los Estados miembros: Alemania, que cuenta con una agencia federal y dieciséis regionales, concentra  el 32% del gasto europeo en este ámbito, mientras que nueve países cuentan con un presupuesto por debajo de los dos millones de euros anuales.

En este sentido, el Comité Europeo de Protección de Datos , el organismo encargado de velar por una aplicación uniforme de las normas de protección de datos y la cooperación entre autoridades nacionales, afirma que “la resolución de casos transfronterizos requiere de mucho tiempo y recursos”, por lo que “es de suma importancia que los gobiernos nacionales financien adecuadamente a sus reguladores”.

Ciertamente, la receta de la agencia europea ha demostrado ser la más eficaz: tiempo y recursos. La implementación del RGPD es todavía asimétrica, descoordinada y en muchas ocasiones débil, pero construir los cimientos de una cultura europea de protección de datos conlleva tiempo. Poco a poco los supervisores están armonizando sus criterios, creando precedentes sobre los que empieza a asentarse la ley sobre derechos digitales más ambiciosa del mundo y devolviendo el control de sus datos a los ciudadanos.