ANÁLISIS EN PROFUNDIDAD

Normativa RGDP: escenario sanciones en UE y en España

  • Home
  • Seguridad
  • Data Security

La privacidad y la seguridad de los datos siguen siendo un componente importante de todos los programas de cumplimiento de las organizaciones y se cree que recibirán cada vez más atención en 2023

Publicado el 01 Feb 2023

Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant

Normativa RGDP

La normativa del RGDP cumple más de cuatro años y ha visto las autoridades europeas de protección de datos emitir numerosas multas, lo que demuestra que las organizaciones tienen todavía que ajustar la postura de cumplimiento y tomar conciencia de la relevancia de la protección de datos y privacidad en un escenario cada día más digitalizado.

Escenario de sanciones: ¿dónde estamos a nivel europeo (27 Estados miembros de la Unión Europea más el Reino Unido, Noruega, Islandia y Liechtenstein)?

Cuatro años y medio después de la fecha de entrada en vigor del RGPD, la aplicación de multas se está intensificando.

Las organizaciones se enfrentan con muchos desafíos como el proceso acelerado de digitalización y de evolución de la tecnología. Además, tienen que empezar a convivir y a confluir con otras legislaciones cumbre en materia de servicios digitales o de inteligencia artificial (IA) y muchas son las sanciones y las notificaciones de violación de datos con la cuales pueden enfrentarse.

Según la plataforma alemana Enforcement Tracker – que ofrece una visión general actualizada de las multas y sanciones que las Autoridades Europeas de protección de datos han impuesto en virtud del RDPD – en el periodo 2018 – enero 2023 se han emitido sanciones por un total de 36.355.090,87 euros frente a un numero de 29.337 sanciones.

Como se puede ver en la siguiente tabla, en 2022 se ha registrado casi el doble del número de sanciones en términos de cantidad en comparación con 2021. Tendencia que parece confirmada también en 2023 considerando que, sólo en el mes de enero, se han emitido n. 1446 multas por un total de 2.777.904.610 euros.

Normativa RGDP

Origen de datos: https://www.enforcementtracker.com/?insights

Cabe observar que, desde el 2018 hasta hoy, las multas han registrado un crecimiento constante tanto en términos de importe como de número.

Normativa RGDP

Normativa RGDP

Origen de la imagen: GDPR Enforcement Tracker – list of GDPR fines

El escenario a nivel de Países revela que, entre los TOP 10 Países con mayor suma de multas, resulta España que ocupa respectivamente la sexta posición en términos de importe de sanciones (€ 57,771,970), y la primera posición en número de multas (n. 572).

Normativa RGDP

Origen de la imagen: https://www.enforcementtracker.com/?insights

Normativa RGDP, suma, número y emporte de las multas 

La plataforma ofrece también un interesante ranking en términos de:

Suma total de multas por tipo de infracción del RGPD

  • 1° puesto – “Incumplimiento de los principios generales de tratamiento de datos” – 1.651.446.359 € (vs. a 363 multas)
  • 2° puesto – “Base jurídica insuficiente para el tratamiento de datos – 456.611.917 € (vs. 476 multas)
  • 3°puesto – “Medidas técnicas y organizativas insuficientes para garantizar la seguridad de la información” – 375.585.119 € (vs. 272 multas)
  • 4° puesto – “Insuficiente cumplimiento de los derechos de los interesados” – 50.825.070€ (vs. 138 multas)

Número de multas por tipo de infracción del RGPD

  • 1° puesto – “Base jurídica insuficiente para el tratamiento de datos” – n. 476 multas (con un total de 456.611.917€)
  • 2° puesto – “Incumplimiento de los principios generales de tratamiento de datos” – n. 363 multas (con un total de 1.651.446.359€)
  • 3° puesto – “Medidas técnicas y organizativas insuficientes para garantizar la seguridad de la información” – n. 272 (con un total de 375.585.119 €)
  • 4° puesto – “Insuficiente cumplimiento de los derechos de los interesados – n. 138 multas (con un total de 50.825.070 €)

Normativa RGDP

Normativa RGDP

Origen de la imagen: https://www.enforcementtracker.com/?insights

Importe de multas por sector

  • 1°puesto – Medios, telecomunicaciones y radiodifusión – 1.694.155.541 € (vs. 215 multas)
  • 2° puesto – Industria y Comercio – 854.479.939 € (vs. 336 multas)
  • 3° puesto – Transporte y Energía – 86.485.214 € (vs. 71 multas)
  • 4° puesto – Empleo – 48.140.677 € (a 101 multas)

Número de multas por sector

  • 1° puesto –Industria y Comercio – n. 336 multas (con un total de 854.479.939€)
  • 2° puesto – Medios, telecomunicaciones y radiodifusión. 215 multas (con un total de 1.694.155.541 €)
  • 3° puesto – Sector Público y Educación – n. 172 multas (con un total de 23.798.763 €)
  • 4° puesto – Individuos y Asociaciones Privadas – n. 160 multas (con un total de 1.602.096 €)

Normativa RGDP

Normativa RGDP

Origen de la imagen: https://www.enforcementtracker.com/?insights

Normativa RGDP, España – las multas más importantes y tipologia de violación y trend 2023

En España, en el periodo 2018-enero 2023, las mayores multas (i.e. superiores a 500.000 euros) fueron impuestas sobre todo al sector de Industria y Comercio, Medios, Telecomunicaciones y Radiodifusión, Finanzas y Energía por violación recurrente de: Base jurídica insuficiente para el tratamiento de datos; Incumplimiento de los principios generales de tratamiento de datos; Cumplimiento insuficiente de las obligaciones de información.

Normativa RGDP

Origen de datos: https://www.enforcementtracker.com/?insights

El escenario evidencia que las empresas españolas siguen aprendiendo y adaptando sus procesos a la normativa con mucho esfuerzo ya que se trata de lograr el equilibrio entre el cumplimiento de la norma y el éxito del negocio en una temporada caracterizada también por la recesión económica.

La cuantía de las multas impuestas por la Agencia Española de Protección de Datos (AEPD) confirma la tendencia alcista de la actividad sancionadora de la autoridad de protección de datos de otros Países. Además, como evidenciado en las tablas arribas, la AEPD resulta ser una de las autoridades europeas con una actividad sancionadora más elevada que ha hecho que las empresas, de cualquier sector, consideran en su mapa de ruta el cumplimiento de la protección de datos como uno de los riesgos que hay que enfrentar. En consecuencia, las empresas españolas han iniciado a dedicar más recursos – tanto legales como organizativos y técnicos – para fomentar el cumplimiento normativo en privacidad y tratamiento de datos.

Según  el estudio de Secure&IT entitulado “Estado de la ciberseguridad en España”, más de la mitad de las empresas españolas aumentará su inversión en ciberseguridad en 2023 para evitar encontrarse a gestionar problemas de violación de datos y privacidad.

Normativa RGDP, siempre una cuestión de gestión de riesgos, continuidad del negocio y ciberseguridad

Las estadísticas analizadas muestran que las organizaciones aún no están suficientemente estructuradas para gestionar de manera efectiva y eficiente la gestión del riesgo de datos y privacidad, especialmente teniendo en cuenta que operan en un contexto caracterizado por un proceso de digitalización acelerado y un aumento continuo de los ataques de hackers en curso. Es decir, aún no muestran la proactividad suficiente para explotar los principios de gestión de riesgos junto con los de continuidad de negocio y ciberseguridad para implementar estrategias estructuradas y soluciones preventivas.

Uno de los puntos clave del RGPD está representado por la obligación de cada organización de tener un proceso continuo de análisis y monitoreo estructurado en fases y actividades y destinado a proteger los datos personales de los riesgos de pérdida de confidencialidad, integridad y disponibilidad. Es decir, el análisis está dirigido a identificar el nivel de exposición al riesgo de los datos personales tratados y, en consecuencia, identificar las áreas en las que centrar las intervenciones, optimizando el uso de los recursos disponibles.

Además, después de definir los objetivos de control y los indicadores de rendimiento claros y mensurables, también es necesario garantizar una supervisión en términos de: medidas de seguridad eficaces y eficientes; aplicación efectiva y correcta del marco; el cumplimiento de los requisitos del RGPD, así como la evaluación de su eficacia a lo largo del tiempo.

La Gestión de Riesgos, asistida por la Continuidad de Negocio y la Ciberseguridad, si implementada correctamente, se convierte en una palanca estratégica para la protección de la privacidad, especialmente cuando nos enfrentamos a las llamadas organizaciones “biónicas”, que dependen de la tecnología y de las personas, mejorando así la resiliencia y preparando a la organización para “anticipar lo inesperado”, sin dejar de lado la necesidad de formación y ejercicios específicos para el personal.

Conclusiones

Los últimos cuatro años y medio han demostrado que el RGPD, por sí solo, no cambia los modelos de negocio que se basan en el abuso de los datos personales y una cultura dentro de la profesión de la privacidad que a menudo se centra en encubrir el incumplimiento.

Aparentemente, las empresas siguen aprendiendo y adaptando sus procesos a la normativa sin cambiar realmente sus prácticas. Además, el RGPD ha sido víctima de la falta de aplicación y de tácticas dilatorias por parte de las grandes empresas tecnológicas ya que – incluso cuando las autoridades toman decisiones y multan a las empresas – los casos pueden prolongarse durante años debido a los recursos y obstrucciones de las empresas tecnológicas. Por lo tanto, infringir la ley sale rentable a las “grandes tecnológicas” incluso con alguna sanción elevada.

Las organizaciones necesitan cada vez más garantizar un enfoque basado en el riesgo para determinar su entorno de riesgo frente a la renovada atención a la aplicación de sanciones administrativas y reflexionar sobre la creciente importancia del RGPD a nivel europeo.

Las organizaciones tendrán que demostrar su compromiso con la privacidad y la protección de datos sin olvidar que, para obtener todos los beneficios de la innovación inherente a la economía de datos, también se necesitarán profesionales especializados para estar en primera línea a enfrentar a los nuevos retos de este año, entre los que se encontrarán tecnologías disruptivas como el metaverso o el desarrollo normativo en Europa de la Inteligencia Artificial a través del tan esperado Reglamento.

Cabe recordar que la aplicación del RGPD varía mucho en toda Europa y las autoridades de protección de datos más activas se enfrentan a grandes retos, ya que los casos transfronterizos requieren la cooperación entre las autoridades. Los países de la UE, por lo tanto, deberían dedicar más recursos para formar los perfiles de Analistas de Datos y, paralelamente, reducir con la precaución necesaria y las medidas adecuadas las barreras que aún obstaculizan el flujo de datos entre Países.

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

Federica Maria Rita Livelli
Business Continuity & Risk Management Consultant

En posesión de la certificación de Continuidad de Negocio - AMBCI BCI, UK y CBCP DRI, USA, Risk Management FERMA Rimap, consultor de Business Continuity & Risk Management, realiza actividades de difusión y desarrollo de la cultura de resiliencia en diversas instituciones y universidades

Nota 1 de 5