El RGPD es bien conocido por sus costosas sanciones por violación. Amazon fue famosa multada con más de $880 millones en 2021 por rastrear datos de usuarios sin el consentimiento adecuado, y Google ha pagado varias multas por violación que ascienden a más de $200 millones.

Obtenga más información sobre las multas y sanciones del RGPD a continuación.

Niveles de multas y sanciones del RGPD

Existen dos niveles de sanciones, dependiendo de la gravedad de la violación. Las violaciones menos graves pueden resultar en multas de hasta 10 millones de euros, o el 2 % de los ingresos anuales globales de la empresa del año financiero anterior, lo que sea mayor.

El segundo nivel de sanciones es por violar los principios fundamentales del RGPD, incluyendo el derecho al consentimiento, los derechos de los interesados y los principios del procesamiento de datos. Estas violaciones pueden resultar en multas de hasta 20 millones de euros, o el 4 % de los ingresos anuales globales de la empresa del año financiero anterior, lo que sea mayor. Además, aquellos afectados por la violación tienen derecho a buscar una compensación por daños.

¿Cuánto es una multa del RGPD?

Eso depende. Según el RGPD, las multas son administradas por el regulador de protección de datos en cada estado miembro de la UE. El regulador de protección de datos determinará dos cosas: primero, si ha ocurrido una infracción y segundo, la gravedad de la sanción.

Si una investigación revela múltiples violaciones del RGPD, la organización solo será penalizada por la más grave (siempre que todas las violaciones sean parte de la misma operación de procesamiento).

Para determinar si se emitirá una multa y en qué cantidad, el regulador de protección de datos utiliza los siguientes 10 criterios:

• Gravedad y naturaleza: ¿Qué sucedió? ¿Cómo sucedió y por qué? ¿Cuántas personas se vieron afectadas y cuál fue el daño? ¿Cuánto tiempo llevó resolverlo?
• Intención: ¿Fue la infracción intencional o resultado de negligencia?
• Mitigación: ¿Intentó la organización mitigar el daño sufrido por aquellos afectados por la infracción?
• Medidas de precaución: ¿Cuánta preparación técnica y organizativa implementó la organización para cumplir con el RGPD antes de la infracción?
• Historial: ¿Hubo infracciones previas?
• Cooperación: ¿Cooperó la organización con la autoridad de supervisión para descubrir y remediar la infracción?
• Categoria de datos: ¿Qué tipo de datos personales afectó la infracción?
• Notificación: ¿Informó proactivamente la organización sobre la infracción a la autoridad de supervisión?
• Certificación: ¿Estaba previamente certificada la organización? Si no, ¿siguió los códigos de conducta aprobados?
• Factores agravantes/atenuantes: ¿Hubo algún beneficio económico obtenido o pérdidas evitadas como resultado de la infracción?

Ejemplos de violaciones del GDPR

Desde que el GDPR entró en vigor en 2018, ha habido varios ejemplos notorios de violaciones, sobre todo las multas de GDPR a Amazon y Google.

A continuación se presentan 10 casos de violaciones del GDPR con las multas más grandes impuestas y lo que se puede aprender de cada uno.

1. Amazon - €746M

Año emitido: 2021

Tipo de penalidad: Incumplimiento de los principios generales de procesamiento de datos

En 2021, la Comisión Nacional para la Protección de Datos de Luxemburgo (CNPD) multó a Amazon Europe Core S.a.r.l. con 746 millones de euros por incumplimiento de los principios generales de procesamiento de datos. Sigue siendo la multa más grande impuesta por una autoridad de protección de datos europea desde que el GDPR entró en vigor en 2018.

Aunque hay detalles limitados disponibles para el público, la multa es muy probablemente el resultado de infracciones relacionadas con el sistema de publicidad de Amazon.

Lecciones a aprender:  

• Obtener el consentimiento del consumidor usando un lenguaje claro y simple y explicando cómo se va a utilizar el dato, para qué propósito y por quién.

2. Meta - €405M

Año emitido: 2022

Tipo de penalidad: Incumplimiento de los principios generales de procesamiento de datos

En 2022, la Autoridad de Protección de Datos de Irlanda emitió una multa récord de GDPR de 405 millones de euros a Meta por su tratamiento de los datos de los niños en Instagram. Más específicamente, estableció que las cuentas de niños de 13 a 17 años se configuraban como públicas por defecto y permitía a los adolescentes con cuentas comerciales en Instagram hacer públicas sus direcciones de correo electrónico y números de teléfono.

Lecciones a aprender: 

• La base legal para la recopilación y procesamiento de datos personales debe ser válida — por ejemplo, debe probar que el procesamiento de datos es necesario para la ejecución de un contrato.

3. WhatsApp - €225M

Año emitido: 2021

Tipo de penalidad: Cumplimiento insuficiente de las obligaciones de información

En 2021, la Autoridad de Protección de Datos de Irlanda multó a WhatsApp con 225 millones de euros. En ese momento, era la multa de GDPR más grande impuesta por la DPA irlandesa. En su decisión, el regulador declaró que WhatsApp no había proporcionado suficiente información sobre cómo se recogieron los datos "de una forma concisa, transparente, inteligible y fácilmente accesible, usando un lenguaje claro y simple,”

Lecciones a aprender: 

• Escribir políticas de privacidad claras y completas para que los usuarios comprendan cómo se procesa su información.

4. Google LLC e Irlanda - €150M

Año emitido: 2021

Tipo de penalidad: Base legal insuficiente para el procesamiento de datos

La Autoridad de Protección de Datos de Francia (CNIL) emitió una multa de 150 millones de euros contra Google (90 millones de euros para Google LLC y 60 millones de euros para Google Irlanda) por incumplimiento de las reglas locales (y paneuropeas) de consentimiento de cookies. Más específicamente, no facilita tanto el rechazo de todas las cookies como la aceptación de todas en google.fr y youtube.com. 

Lecciones a aprender:

• Presentar la opción a los usuarios de rechazar cookies no esenciales tan fácilmente como la opción de aceptar todo el rastreo.

5. Facebook - €60M

Año emitido: 2021

Tipo de penalidad: Base legal insuficiente para el procesamiento de datos

En 2021, la CNIL también multó a Facebook con 60 millones de euros por no proporcionar a los usuarios métodos fáciles para rechazar las cookies al usar el sitio web.

Lecciones a aprender:

• Proporcione una forma clara para que los usuarios rechacen las cookies.

6. Google LLC - 50 millones de euros

Año emitido: 2019

Tipo de sanción: Base legal insuficiente para el procesamiento de datos

En 2019, la Autoridad Francesa de Protección de Datos (CNIL) multó a Google con 50 millones de euros por acuerdos de consentimiento de privacidad poco claros que no lograban obtener el consentimiento libremente otorgado de los consumidores para la orientación de anuncios. En su investigación, la CNIL descubrió que Google no había actuado de manera transparente y no proporcionaba información de una manera fácilmente accesible para sus usuarios, y no tenía ninguna base legal para procesar los datos de sus usuarios con el fin de proporcionar anuncios personalizados.

Lecciones a aprender:

• Redacte acuerdos de consentimiento de privacidad que transmitan claramente cómo procesará los datos personales, incluidos los fines de personalización de anuncios.

7. H&M - 35 millones de euros

Año emitido: 2020

Tipo de sanción: Base legal insuficiente para el procesamiento de datos

La Autoridad de Protección de Datos de Hamburgo multó a H&M con 30 millones de euros por delitos relacionados con los empleados. Una de las violaciones más notables fue grabar y almacenar conversaciones individuales grabadas con los empleados y usar los detalles proporcionados en esas conversaciones para tomar decisiones sobre los empleados. Fue la multa más grande impuesta por la DPA de Hamburgo bajo el GDPR.

Lecciones a aprender:

• Recopilar y almacenar extensos datos personales sobre la vida personal de sus empleados es una violación del GDPR y de sus derechos civiles.

8. TIM- 27,8 millones de euros

Año emitido: 2020

Tipo de sanción: Base legal insuficiente para el procesamiento de datos

En 2020, la autoridad italiana de protección de datos multó a la operadora de telecomunicaciones italiana TIM (anteriormente conocida como Telecom Italia) con 27,8 millones de euros por una serie de violaciones de recopilación y procesamiento de datos relacionadas con campañas de marketing. Las violaciones incluyeron el envío de comunicaciones no solicitadas y la realización de llamadas promocionales a millones de individuos, incluidos aquellos en listas de no contacto y exclusión.

Lecciones a aprender:

• Cree opciones específicas de exclusión voluntaria para diferentes actividades de marketing.
• Administre y actualice adecuadamente las listas de bloqueo.

9. Enel Energia- 26,5 millones de euros

Año emitido: 2021

Tipo de sanción: Base legal insuficiente para el procesamiento de datos

La autoridad italiana de protección de datos (Garante) emitió una multa de 26,5 millones de euros a Enel Energia por múltiples violaciones de privacidad de datos, incluyendo llamadas promocionales no solicitadas sin el consentimiento requerido de los usuarios. Enel Energia también fue penalizada por no haber cooperado suficientemente con el Garante durante el curso de la investigación.

Lecciones a aprender:

• Coopere con la autoridad de protección de datos durante cualquier investigación sobre posibles infracciones del GDPR.

10. British Airways - 22 millones de euros

Año emitido: 2020

Tipo de sanción: Medidas técnicas y organizativas insuficientes para garantizar la seguridad de la información

En 2020, British Airways fue multada con 20 millones de euros por la Oficina del Comisionado de Información (ICO) por medidas técnicas y organizativas insuficientes, que llevaron a una violación de datos que afectó a los datos personales y de tarjetas de crédito de más de 400,000 clientes. La multa se redujo significativamente de 204,6 millones de euros, la cantidad que la ICO originalmente dijo que tenía la intención de emitir en 2019.

Lecciones a aprender:

• Implemente medidas de seguridad adecuadas para proteger los datos personales de los clientes.