Nueve meses con la RGPD en vigor: más de 200.000 casos reportados y la mayor multa, para Google

El nuevo reglamento general de protección de datos a nivel europeo, la RGPD, entró en vigor hace ya casi un año. En mayo hará un año desde que se puso en marcha, y desde entonces hasta ahora, los casos de incumplimiento de sus normas no han parado de salir a la luz. Según un informe de la Junta de Protección de datos de Europa (EDPB), en los primeros nueve meses, les han llegado más de 200.000 casos de incumplimiento de la normativa. En concreto, 206.326 casos.

65.000 de estos casos se abrieron a causa de una brecha de datos de la que tuvo noticia un controlador de datos, y cerca de 95.000 fueron quejas. Hasta la fecha, alrededor del 52% de estos casos ya se han cerrado. Otro 1% se enfrentan a juicios e investigaciones en tribunales nacionales.

El total de las multas impuestas hasta ahora por incumplir la RGPD asciende a 55,96 millones de euros. Pero de esta cantidad, casi todo corresponde a una fortísima multa impuesta a Google por las autoridades francesas responsables de la protección de datos (CNIL): 50 millones de euros.

Estas cifras se ofrecieron en el transcurso de una conferencia que, según The Register, acaba de celebrar en Londres sobre protección de datos, organizada por la Asociación internacional de profesionales de la privacidad. En ella ha participado Mathias Mouline, Director de la junta de protección de derechos y sanciones del CNIL, que ha ofrecido las razones del organismo para imponer una multa tan fuerte a Google.

Según Mouline, la brecha que ha llevado a la imposición de la sanción era «enorme y altamente intrusiva«. Basaron la multa en cinco factores. Entre ellos el tipo de violación, su escala (se trató de una brecha continuada y no de una puntual), el hecho de que afectase a gran cantidad de usuarios y datos, y el tamaño de la compañía.

En la conferencia también se habló sobre la gran variedad de potenciales multas por violar la RGPD, que van desde hasta medio millón de libras en Reino Unido hasta 20 millones de euros o el 4% de los ingresos anuales de la compañía multada, y se trató de la necesidad de armonizarlas. En este sentido, Stephen Eckersley, de la Oficina del Comisionado de Información de Reino Unido, el ICO, desveló que su organización trabajaba ya con las agencias de protección de datos de Holanda y Noruega para desarrollar una matriz para el cálculo de multas. Eso sí, no se hará pública y sólo será una herramienta de trabajo para las entidades reguladoras.

Tanto Eckersley como Moulin, sin embargo, han calificado el tiempo transcurrido desde la entrada en vigor de la RGPD hasta ahora como un periodo de transición, durante el que se han seguido tratando casos que ya habían sido denunciados antes, tal como ha sucedido en Reino Unido. Mientras tanto, los reguladores nacionales se han centrado en terminar de desarrollar sus normas e interpretaciones.

Eso sí, en lo que han coincidido es en que la entrada en vigor de la RGPD ha llevado a un aumento masivo de los informes sobre brechas de datos. Sobre todo en el caso de las empresas que se «denuncian» ellas mismas sobre las brechas de datos sufridas.