Irlanda és el país que ha imposat més multes des de la seva entrada en vigor el 2018, amb un total de 3.500 milions d’euros.

La setena edició anual de l’Enquesta sobre multes i violacions de dades del RGPD de DLA Piper conclou que a tot Europa es van imposar multes per un total de 1.200 milions d’euros per violacions de dades del Reglament general de protecció de dades (RGPD). Tot i això, aquesta xifra suposa una disminució del 33 % en comparació amb el total de multes imposades l’any anterior, amb la qual cosa es frena la tendència en l’augment del nombre de sancions que s’ha produït els últims set anys.

De tota manera, això no suposa un canvi d’enfocament en l’aplicació de la llei en matèria de dades personals; la clara tendència anual continua sent a l’alça. La reducció d’aquest any es deu gairebé íntegrament a la multa rècord de 1.200 milions d’euros imposada a Meta el 2023, que va alterar les xifres del 2023. Valgui com a exemple que el 2024 no es va imposar cap multa rècord.

Desglossades les dades, trobem que Irlanda continua sent el país que imposa més multes en aquest sentit, amb prop de 3.500 milions d’euros des de l’entrada en vigor d’aquest reglament el maig del 2018. Aquesta xifra és quatre vegades més gran que el valor de les multes imposades per l’Autoritat de Protecció de Dades de Luxemburg, que ocupa el segon lloc, i que ha imposat 746,38 milions d’euros a multes durant el mateix període.

Cal indicar que les grans empreses tecnològiques i els gegants de les xarxes socials continuen sent els principals objectius de les multes rècord, i a més són els actors que han rebut gairebé totes les multes més elevades des del 2018. Només aquest any, la Comissió de Protecció de Dades d’Irlanda va imposar multes de 310 milions d’euros a LinkedIn i de 251 milions a Meta. Per posar un exemple referit al 2024, al mes d’agost l’Autoritat de Protecció de Dades dels Països Baixos va imposar una multa de 290 milions d’euros a una coneguda aplicació de transport compartit en relació amb la transferència de dades personals a un tercer país.

Tot i això, l’aplicació de la llei es va ampliar notablement en altres sectors el 2024, com els serveis financers i l’energia. Per exemple, l‟Agència Espanyola de Protecció de Dades va imposar dues multes per un total de 6,2 milions d‟euros a un gran banc per mesures de seguretat inadequades; i l’Autoritat Italiana de Protecció de Dades va multar un proveïdor de serveis públics amb 5 milions d’euros per utilitzar dades obsoletes de clients.

Per sintetitzar, els Països Baixos, Alemanya i Polònia continuen sent els tres països amb més violacions de dades notificades, amb 33.471, 27.829 i 14.286 violacions notificades, respectivament.

John Magee, copresident global de la pràctica de Dades, Privadesa i Ciberseguretat de DLA Piper, ha declarat sobre aquest estudi: «Les xifres principals de l’enquesta d’aquest any no han batut cap rècord per primera vegada a la història, per això que es pot entendre que s’assumeixi una disminució de l’interès i de l’aplicació dels reguladors de dades europees. Això no podria estar més lluny de la realitat. Des del compliment creixent en sectors allunyats de les grans tecnologies i les xarxes socials, fins a l’ús del RGPD com a barrera de contenció per al compliment de la IA a mesura que s’estableix la regulació específica de la IA, passant per multes significatives a països com Alemanya, Itàlia i els Països Baixos, i el canvi del Regne Unit de l’aplicació de multes a l’aplicació del RGPD, continua sent un àmbit dinàmic i en evolució».

Notificacions

El nombre mitjà de notificacions de violacions de dades per dia va augmentar lleugerament de 335 l’any passat a 363, un «estancament» coherent amb anys anteriors, cosa que pot significar que les organitzacions s’estan tornant més cauteloses a l’hora d’informar de violacions de dades atès el risc d’investigacions, sancions, multes i reclamacions d’indemnització que poden seguir a la notificació.

Aplicació de la IA

Aquest any hi ha hagut una sèrie de decisions que indiquen la intenció de les autoritats supervisores de protecció de dades d’examinar de prop el funcionament de les tecnologies d’IA i la seva adequació a les lleis de privadesa i protecció de dades. Per a les empreses, això posa en relleu la necessitat d’integrar el compliment del RGPD en el disseny i la funcionalitat bàsics dels sistemes d’IA.

En comentar els resultats de l’enquesta, Ross McKean, president del departament de Dades, Privadesa i Ciberseguretat del Regne Unit, ha volgut destacar que «els reguladors europeus han assenyalat un enfocament més ferm de l’aplicació durant el 2024 per garantir que la formació, desplegament i l’ús de la IA es mantinguin dins dels límits del RGPD».