Las multas más interesantes del RGPD

Image of Carlo Cilento

Publicado el 14 oct 2024 y editado el 2 abr 2025 por Carlo Cilento

Aviso: el blog que sigue es bastante polémico.

Cuando se habla de las multas del RGPD, suele ser por las cifras. A estas alturas, la comunidad jurídica en general está familiarizada con los infames máximos del RGPD de 20 millones de euros o del 4 % de la facturación anual.

Pero aunque el dinero es obviamente un aspecto clave de las multas, hay otros aspectos importantes e interesantes que a veces pasan desapercibidos. He aquí una breve lista de multas que destacan de un modo u otro. Algunas fueron muy caras, otras fueron un tirón de orejas, otras fueron una auténtica tontería, y todas contienen una valiosa lección de un modo u otro.

  1. Las mayores multas
  2. La multa más impactante
  3. La multa más decepcionante
  4. La multa más tonta
  5. La amenaza inminente
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Entremos en materia.

Las mayores multas

Empecemos por la más conocida de la lista: La multa de 1.200 millones de euros impuesta a Meta en 2023 por la transferencia de datos.

Esta multa récord se produjo tras la histórica sentencia Schrems II. La decisión fue el resultado de una larguísima saga legal en la que participaron Facebook (ahora Meta), Max Schrems, el organismo irlandés de control de la privacidad, el Consejo Europeo de Protección de Datos e incluso el Tribunal de Justicia de la UE.

Amazon ocupa el segundo lugar de la lista con su multa de 2021 por publicidad selectiva, que asciende a 746 millones de euros.

La motivación aún no es pública debido a algunas peculiaridades de la legislación luxemburguesa. Para cuando se haga pública, podría estar diciendo algo que ya sabemos por decisiones más recientes sobre monetización de datos, ya sean las multas por publicidad de Meta (véase más abajo) o la histórica sentencia del Bundeskartellamt.

La multa más impactante

Meta se comió otras dos multas importantes en 2023 por publicidad personalizada en Facebook e Instagram por un total de *390M€.

Sí, el mismo año que la multa de 1.200 millones de euros. 2023 no fue benévolo con Meta.

Estas multas se referían a las bases legales de la publicidad personalizada de Meta. En otras palabras, los casos giraban en torno a una cuestión fundamental: ¿cómo justifica Meta la recogida y el análisis de datos personales para su publicidad selectiva?

En aquel momento, la respuesta de Meta (según su política de privacidad) fue que el acaparamiento de datos era necesario para cumplir sus condiciones de servicio. Esto es algo a lo que la gente del GDPR se refiere como la "base legal" de la "necesidad contractual".

A los defensores de la privacidad no les gustó esta justificación. La justificación de la "necesidad contractual" permitiría a Meta justificar casi cualquier cosa siempre que se mencionara en las condiciones de servicio de sus plataformas. También llevó a la curiosa conclusión de que Meta tenía derecho a hacernos un perfil porque nosotros, como usuarios de sus plataformas, queremos ver publicidad dirigida.

El CPD y la Junta Europea de Protección de Datos se pusieron del lado de los críticos: consideraron que Meta no necesitaba realmente recopilar los datos para cumplir el contrato y que no era aplicable la justificación de la necesidad contractual.

(Para ser exactos, el CPD no estaba realmente dispuesto a multar a Meta, pero la JEPD la obligó esencialmente a tomar medidas. Hubo bastantes desacuerdos entre los responsables de hacer cumplir la ley en este caso).

Las decisiones son cruciales porque esto de las "bases jurídicas" no es un pequeño detalle de cumplimiento que los equipos jurídicos de Meta puedan limar. La extracción de datos personales para la publicidad dirigida es difícil de justificar en virtud del GDPR, y eso es por diseño. Es una característica, no un error.

Meta tampoco es la única empresa que monetiza los datos personales. Piensa en TikTok,X y las innumerables aplicaciones "gratuitas" de tu teléfono. Por eso las decisiones han afectado a muchas empresas con presencia en la UE.

La batalla legal sobre la monetización de datos aún no ha terminado. Después de las multas, Meta ha ido saltando de una base jurídica a otra tratando de mantener vivo su modelo de negocio bajo el GDPR. Con el tiempo, el Tribunal de Justicia intervendrá y aclarará en qué condiciones (si es que las hay) los modelos de negocio de pago por datos están permitidos por el GDPR.

La multa más decepcionante

Las multas de 390 millones de euros de Meta son también mi elección como la más decepcionante, por dos razones.

En primer lugar, el importe de las multas parece un tirón de orejas por las infracciones cometidas.

La EDPB sostuvo que la publicidad personalizada en la plataforma social de Meta se realizó a través de datos obtenidos ilegalmente. La infracción se prolongó durante años, afectó a cientos de millones de ciudadanos europeos y generó miles de millones de ingresos para Meta. Por si fuera poco, entre las denuncias y la sentencia se produjeron once importantes violaciones de datos.

Así pues: Meta recopiló nuestros datos ilegalmente durante años, ganó miles de millones con ellos y los filtró una docena de veces por el camino. ¿Qué más necesita hacer una empresa para recibir la multa máxima?

En segundo lugar, un punto crucial de los casos no fue investigado por el CPD.

Las denuncias originales alegaban que Meta estaba recopilando ilegalmente datos sensibles. Se trata de tipos especiales de datos que reciben una mayor protección en virtud del RGPD, como las creencias políticas, el estado de salud y la orientación sexual. Recopilar estos datos ilegalmente es una de las peores violaciones que se me ocurren. Y sin embargo, en las decisiones del Comité de Protección de Datos no se menciona esta cuestión.

Esta omisión fue denunciada no sólo por los defensores de la privacidad, sino también por otras autoridades de privacidad de toda la UE. Por muy impactantes que fueran las decisiones, podrían haber sido mucho más impactantes si las denuncias se hubieran investigado integralmente.

A día de hoy, Meta y otras innumerables empresas fingen que los datos que utilizan para la elaboración de perfiles no son sensibles o minimizan sistemáticamente la cantidad de datos que pueden considerarse sensibles. Las decisiones del CPD contra Meta destacan como una oportunidad perdida de abordar un importante problema de privacidad.

La multa más tonta

Al igual que Meta, Uber también se comió una gran multa por la transferencia de datos: la autoridad holandesa de protección de datos multó a la empresa con 290 millones de euros. Pero hay una diferencia clave: La multa de Uber fue increíblemente tonta. No "tonta" en el sentido de "incorrecta". Tonta en el sentido de "evitable".

Las empresas multinacionales se enfrentaban a la incertidumbre jurídica sobre las transferencias de datos entre la UE y EE.UU. entre 2020 (Schrems II) y 2023 (decisión de adecuación de EE.UU.). Se trataba, sin duda, de un problema más amplio.

Pero Uber decidió gestionarlo de la forma más equivocada posible. En lugar de hacer lo que todo el mundo estaba haciendo en ese momento (= implementar Cláusulas Contractuales Estándar para las transferencias de datos), se basaron en una interpretación algo no convencional del GDPR y transfirieron datos a través de un mecanismo diferente.

Sólo hay un problema. La interpretación de Uber del GDPR contradecía lo que todas las DPA europeas habían estado diciendo durante años. Y las APD son las que multan a las empresas por las transferencias de datos.

La verdadera pregunta es por qué. ¿Por qué Uber tuvo que hacer su propia interpretación (previsiblemente errónea) en lugar de atenerse a la norma de facto del sector? ¿Cuáles eran las ventajas de sus estrategias de cumplimiento?

No tengo respuesta. La única ventaja concebible de la estrategia de Uber es que (presumiblemente) ahorró trabajo al personal jurídico. Por otra parte, cabría esperar que un gigante de más de cien mil millones de dólares no escatimara en gastos.

La amenaza inminente

A lo largo de los años, Clearview AI ha sido multada por las autoridades italianas, griegas y holandesas por la recopilación ilegal de datos personales. A día de hoy, las multas ascienden a 110 millones de euros.

ClearviewAI es una empresa que ofrece tecnología de reconocimiento facial a organismos gubernamentales y fuerzas de seguridad fuera de la UE. La empresa basa sus productos principalmente en imágenes extraídas de la Web.

Hasta aquí todo bien. Pero la cuestión es la siguiente: elscraping no consentido y a gran escala de la Web es la forma en que las grandes tecnológicas recopilan datos para entrenar la IA generativa.

No es casualidad que la IA abierta esté siendo investigada en Italia y haya sido objeto de escrutinio en toda la UE. De hecho, todo el asunto atrajo la atención de los medios de comunicación el año pasado cuando la DPA italiana cerró ChatGPT durante un mes.

Los desarrolladores de sistemas de IA generativa siguen en gran medida el mismo manual: acaparan todos los datos que pueden y afirman que pueden sanearlos excluyendo los datos sensibles o peligrosos del conjunto de datos. Por el momento, no hay pruebas convincentes de que tal saneamiento sea posible, y mucho menos en bases de datos tan grandes como Internet.

Es difícil saber cómo se desarrollarán los acontecimientos en relación con el scraping. No cabe duda de que las autoridades de protección de datos están más dispuestas a mantener una conversación constructiva con OpenAI que con los cretinos de la vigilancia como Clearview AI. Pero los acontecimientos más recientes no son prometedores.

Un documento reciente de EDPB sobre el caso OpenAI apunta a una postura algo estricta por parte de las APD. Además, Meta ha dado marcha atrás en algunas de sus políticas de IA tras consultar con la DPA irlandesa y ahora pide el consentimiento expreso de los usuarios de la UE antes de entrenar su IA con sus datos.

Leyendo entre líneas, la APD irlandesa podría considerar el consentimiento expreso como un requisito innegociable para entrenar la IA con datos personales. Pero confiar en el consentimiento es prácticamente imposible para las empresas que no tienen ninguna relación directa con las personas cuyos datos se están recopilando (pensemos en OpenAI o Anthropic). De hecho, confiar en el consentimiento podría ser complicado incluso para Meta, dependiendo de cómo se desarrollen las cosas en lo que respecta a pagar o aceptar.

En resumidas cuentas, el problema del "scraping" de datos sigue sin resolverse y puede poner en peligro el futuro de la IA generativa en el mercado de la UE.

En Simple Analytics creemos en una web abierta y respetuosa con la privacidad. Por eso hemos creado nuestro software de análisis web para que no recopile datos personales y le proporcione toda la información que necesita para hacer crecer su presencia en línea. Nuestro software es respetuoso con la privacidad, fácil de aprender e incluye un innovador asistente de inteligencia artificial.

Si esto le parece bien, no dude en probar Simple Analytics con nuestra versión de prueba gratuita con todas las funciones .

GA4 es complejo. Prueba Simple Analytics

GA4 es como estar sentado en la cabina de un avión sin licencia de piloto

Empezar gratis ahora