Ha pasado algo más de un año desde que el RGPD comenzó a aplicarse, y desde entonces se ha puesto de manifiesto que tratar con brechas de seguridad se ha convertido en un estándar para las autoridades europeas de protección de datos.
Conforme al Comité Europeo de Protección de Datos (EDPB), la mayor parte de casos se iniciaron mediante denuncia o queja, en concreto 94.622, mientras que fueron 64.684 los que se iniciaron tras la comunicación de una brecha de seguridad por parte del responsable de tratamiento.
En la lista proporcionada en la web GDPR Enforcement Tracker, se puede observar que son 16 los países de la UE que han impuesto multas y sanciones, con un total aproximado de 51.980.118 €. Las multas de cuantía más elevada han tenido lugar en Francia, Portugal y España.
Uno de los casos más llamativos es la multa de 50 millones de euros que el CNIL (Francia) impuso a Google en enero de 2019, fundamentada en tres principales áreas de conflicto:
- Falta de transparencia. El CNIL argumentó que los usuarios no pueden acceder con facilidad a información relevante, que se encuentra escondida o mal ubicada.
- Deficiencias en la información. Conforme al CNIL, se dan ciertas vaguedades y ambigüedades respecto de información básica de protección de datos.
- Falta de consentimiento. Se da una falta de base legal en cuanto al tratamiento de datos para fines de información personalizada. Además, las opciones de retirada de consentimiento no estaban claras ni eran fáciles de acceder, sumado a que el consentimiento no era activo pues la casilla aparecía premarcada.
Otro caso notorio es el primero en el que intervino la autoridad portuguesa de protección de datos (CNPD), cuando en julio de 2018 puso una multa de 400.000 € a un hospital porque su personal, psicólogos, dietistas, etc., tenían acceso a los datos de los pacientes mediante perfiles falsos.
Ya en España, destaca la reciente multa impuesta por la AEPD a LaLiga, que ascendió a 250.000 € y se basó en el acceso ilegítimo por parte de la App al micrófono de los usuarios, con una frecuencia de un minuto y a fin de detectar bares y locales donde se estuviesen retransmitiendo los partidos de forma ilegal sin el pago de la correspondiente subscripción. La App no informaba de esta práctica y tampoco ofrecía ninguna opción de retirada de consentimiento para la misma.
Por último, el Reino Unido ha impuesto una multitud de sanciones. La más elevada tuvo lugar en octubre de 2018 cuando el ICO impuso una multa de 500.000 libras por no proteger con diligencia la información personal de sus usuarios y también por su participación en el escándalo de Cambridge Analytica.