Durante los últimos años, algunos escándalos sobre la gestión de nuestros datos personales o derivados de malas prácticas empresariales por parte de las empresas tecnológicas han acabado en multa. Sin ir más lejos, recientemente el Tribunal General de Justicia de la Unión Europea ratificó una sanción de 2.424 millones de euros por parte de la Comisión Europea a Google por abuso de posición dominante. También se ha sancionado a Amazon o a WhatsApp con cantidades millonarias por infracciones del Reglamento General de Protección de Datos (RGPD).
¿En qué quedan estas sanciones? ¿Salen siempre adelante? ¿Son efectivas y sirven para evitar futuros malos usos de nuestros datos o se quedan en un titular en los medios?
Empecemos por el principio: ¿cómo se empieza una investigación por casos como estos? En el caso de infracciones del RGPD, Jorge García Herrero, abogado especializado en protección de datos y privacidad y miembro de Secuoya Group, explica a Maldita.es que existen dos vías. La primera, viene de que “la agencia en cuestión (en el caso de España, la Agencia Española de Protección de Datos) reciba una denuncia, que es lo que suele suceder habitualmente”. La segunda, en cambio, “ocurre porque se abre de oficio al conocerse por otros medios una posible infracción, como sucedió con la aplicación de La Liga que activaba los micrófonos de los móviles de los usuarios para saber si los bares y restaurantes estaban emitiendo los partidos con licencia o no”, apunta el experto.
Irlanda y Luxemburgo manejan los procedimientos más complejos y ponen sanciones más elevadas
Uno de los mayores problemas que conciernen a la apertura de investigaciones a las grandes tecnológicas es establecer cuál es la agencia encargada de hacerlo. Para Carmen Villarroel, abogada y consultora especializada en privacidad, “que las ‘Big Tech’ se instalen normalmente en Irlanda por su fiscalidad supone que, habitualmente, sea su autoridad de protección de datos la que asuma muchas de las denuncias interpuestas y pueda convertirse en un cuello de botella”.
Este análisis en El Orden Mundial muestra cómo otros países han puesto más cantidad de multas a diferentes empresas, pero las que recaen sobre países como Irlanda son más complicadas de analizar por el tipo de empresas que están bajo su jurisdicción (Google, Facebook o Twitter). Otro ejemplo es Luxemburgo, donde tributan gigantes tecnológicos como PayPal o Amazon. Por otro lado, son los países que han interpuesto sanciones más elevadas.
El sector de las tecnológicas es el que más gasta en hacer presión en las instituciones europeas
Además, empresas como Google, Facebook o Apple intentan influir en la legislación que se pueda desarrollar sobre su sector. Tal y como refleja de un informe sobre la influencia de empresas privadas en los procesos legislativos europeos, la industria tecnológica es la que más dinero gasta en hacer lobby en las instituciones continentales (unos 97 millones de euros al año), por delante de las clásicas farmacéuticas y las relacionadas con los combustibles fósiles.
“Está claro que les es de utilidad hacer este tipo de movimientos, porque si no, directamente, no se lo gastarían”, prosigue Villarroel, que apunta al caso en el que las multinacionales pidieron “que no se tomaran notas detalladas sobre una discusión acerca de reglas digitales en la UE para que no pudiesen ser accesibles mediante solicitudes de información”.
Otra cuestión importante, como indica García Herrero, es que, “en España, por ejemplo, el sector publicitario participó en la elaboración de la guía de cookies de la AEPD, con IAB Spain a la cabeza (la división española de la organización que engloba a empresas relacionadas con la comunicación y la publicidad digital, como Google), lo que les permite influir en estos documentos”.
De hecho, el abogado señala que “está al caer una sanción a IAB Europe, por entender el regulador que son corresponsables por el marco de transparencia y consentimiento (TCF) en el que se basan todos esos banners de consentimiento de cookies y que utilizan numerosos sitios web y que no encaja en el RGPD”. Este hecho, del que ya existe un borrador de la sentencia la autoridad de protección de datos belga, ya lo vio venir la asociación, que anunció en noviembre de este mismo año que “esperaba encontrarse en una brecha del reglamento de protección de datos”. "Habrá qué ver si habrá sanción económica, pero lo que es seguro es que les obligarán a corregir este marco de consentimiento", apunta el experto.
¿De qué depende que una multa sea realmente efectiva?
La respuesta a esta pregunta no siempre es la misma. “Todo depende de si el núcleo de ganancias de la empresa se sustenta en el tratamiento masivo de datos o no”, apunta García Herrero. Ejemplifica esto con la multa a Mercadona por poner en marcha un sistema de reconocimiento facial en sus tiendas para analizar a los clientes y evitar que accedan al local aquellos con una orden de alejamiento contra el supermercado. “La compañía optó por el pronto pago y asumir la responsabilidad del proyecto, algo que además le supuso una rebaja de la cuantía original, y estoy seguro que esto les servirá como reprimenda para no actuar en esta línea en un futuro”, aclara el abogado.
Otra cuestión son algunas grandes empresas tecnológicas, que sí que dependen de la recopilación de datos sobre sus usuarios para mantener una gran parte de su negocio, como Facebook. En este sentido, el experto apunta a “que existe un incumplimiento generalizado por parte de las plataformas, que a pesar de que las acciones sancionadoras llegan, lo hacen tarde”.
Es algo en lo que coincide Villarroel, que también considera que “aunque últimamente las autoridades de protección de datos se están poniendo más serias con las multas, como la de Luxemburgo a Amazon con 746 millones de euros, la más alta impuesta en esta materia (aunque no es definitiva pues cabe recurso), en muchos otros casos no suelen ser disuasivas para las grandes empresas y tampoco se aumenta exponencialmente la cuantía de la sanción en el caso de reincidencia”.
Cuando incumplir la legislación sale a cuenta (aun pagando una sanción)
Para Alan Dahi, abogado experto en protección de datos de noyb.eu, una organización en defensa de los derechos digitales que ha participado activamente en denuncias contra tecnológicas, “muchas de las multas son insuficientes para cumplir el objetivo del RGPD de ser efectivas, proporcionadas y, sobre todo, disuasivas, porque afectan a un mínimo porcentaje de los beneficios de las empresas y, en muchos casos, los largos procedimientos legales permiten que sigan ganando más dinero que el que van a pagar por la posible sanción, incluso cuando estas ganancias han venido de la propia violación del reglamento”.
Aquí hay que tener en mente una cosa y es que estas multas no se hacen efectivas en el mismo momento en el que las anuncia un organismo oficial: las empresas pueden recurrirlas y así se inicia un proceso legal que puede durar años (durante los cuales las compañías siguen operando con normalidad). Si finalmente la multa sale adelante, puede que lo haga con una cuantía menor que la establecida en un principio, y que suele sonar más espectacular.
Conclusión: en muchas ocasiones a las empresas les sale rentable saltarse el reglamento porque ganan más de lo que pierden con el pago de la multa. “Por ejemplo, la AEPD sanciona a Vodafone prácticamente cada mes, por diferentes infracciones (algunas que repiten) pero con importes pequeños, lo que demuestra la inefectividad de estos procedimientos pues la compañía telefónica no ha cesado estas prácticas”, explica Villarroel, que considera que la “agencia española es muy activa pero la cuantía de las sanciones habitualmente bajas”.
Dahi, además, menciona el paradigmático caso de Facebook: “Cuando se anunció una multa de 5 mil millones de euros por parte de la autoridad de comercio estadounidense, las acciones de la compañía subieron como si no hubiese pasado nada porque la red social ya había previsto este pago y apartó más dinero del que al final tuvieron que pagar y a los inversores no les pilló por sorpresa”.
Las multas no son el único mecanismo a disposición de las autoridades para castigar comportamientos ilícitos
Aumentar la cuantía de las multas para hacerlas proporcionales a los ingresos de las compañías, castigar más severamente a los reincidentes o agilizar los procedimientos sancionadores no son las únicas opciones para prevenir el tratamiento abusivo de los datos personales de los usuarios por parte de las grandes empresas. Hay un mecanismo que ya existe y que, en opinión de los expertos consultados por Maldita.es, se utiliza poco. “Pueden ordenar la eliminación de todos los datos recopilados ilegalmente o prohibir cierto tipo de procesamiento de los datos personales”, apunta el abogado de noyb.eu.
Tanto Villarroel como García Herrero recuerdan que esto se aplicó a Equifax, una empresa que se dedicó a obtener datos publicados en boletines oficiales sobre impagos de personas a la administración pública, para luego ofrecerlos como una base de datos para “comprobar la solvencia de los ciudadanos y prevenir el fraude”. “La AEPD les obligó a subsanar la infracción y borrar la información obtenida a través de ese método declarado ilegal”, comenta la primera. “Eso, por supuesto, además de la multa de un millón de euros”, añade el segundo. No obstante, como señala Dahi, “desgraciadamente, no es algo que veamos hacer habitualmente a las agencias de protección de datos”.
La abogada se pregunta “si el incremento en la cuantía de las multas, como en la reciente de Amazon, que todavía no está ratificada, es suficiente para ser disuasoria o se necesitan más acciones”. “Habrá que comprobarlo”, añade, “pues para ellos los datos personales suponen la base de su negocio”. De la misma manera, García Herrero concluye que “seguramente, lo que termine ocurriendo es que haya que desmembrar las grandes estructuras como Facebook y Google en empresas más pequeñas, y esto pueda ser más útil que grandes sanciones”.