La mayoría de las acciones de cumplimiento del RGPD por parte de la Oficina del Comisionado de Información (ICO) del Reino Unido fueron contra organizaciones del sector público en 2024, según ha revelado un análisis de URM Consulting.
Un total de 27 entidades del sector público del Reino Unido se enfrentaron a acciones en virtud del RGPD, en comparación con solo cuatro empresas privadas. Las acciones adoptaron diversas formas, incluidas multas, reprimendas y notificaciones de cumplimiento.
Solo tres de estas acciones resultaron en multas. Esto probablemente se deba a una política de la ICO anunciada en julio de 2022 según la cual el regulador de protección de datos impondrá menos sanciones financieras y sumas más bajas contra el sector público, ya que es probable que dichas multas afecten negativamente a los servicios públicos.
Las tres multas al sector público en virtud del RGPD emitidas por la ICO en 2024 estaban relacionadas con filtraciones accidentales de datos que exponían detalles personales confidenciales de personas. Se descubrió que algunas de estas filtraciones pusieron en riesgo la vida de las víctimas:
El Servicio de Policía de Irlanda del Norte (PSNI) fue multado con £750.000 ($934.102) por una filtración accidental de una hoja de cálculo que contenía el apellido, las iniciales, el rango y el cargo de los 9483 oficiales y personal en servicio del PSNI
El Ministerio de Defensa (MOD) fue multado con £350.000 ($435.925) por exponer accidentalmente las identidades de ciudadanos afganos que trabajaron para o con el gobierno del Reino Unido durante la ocupación aliada del país a través de correo electrónico
La YMCA Central fue multada con £7500 ($9341) por exponer accidentalmente los detalles de identificación personal de personas que viven con VIH a través de correo electrónico
Stuart Skelly, consultor sénior de URM, dijo: «La razón por la que la ICO se desvió de su enfoque normal de evitar multar a las entidades públicas fue probablemente la naturaleza atroz de las infracciones en cada caso: la YMCA “La infracción involucraba datos de salud altamente sensibles, y las infracciones del MOD y PSNI representaban una amenaza real para la vida de las personas”.
En los casos del PSNI y el MOD, los niveles de las multas se redujeron significativamente de lo que se anunció inicialmente. Originalmente, se planeó una multa de £5,6 millones para el PSNI y £1 millón para el MOD).
El resto de las acciones de cumplimiento del RGPD en el sector público se compusieron de reprimendas (18) o notificaciones de cumplimiento (11).
Una reprimenda es una advertencia formal emitida por la ICO que indica el incumplimiento de las leyes de protección de datos, mientras que una notificación de cumplimiento es una acción más grave que requiere que una organización tome medidas específicas para rectificar una violación significativa de la protección de datos.
En 2023, la ICO no emitió notificaciones de cumplimiento a organizaciones del sector público en virtud del RGPD.
El año pasado, el regulador de protección de datos llevó a cabo un total de 62 casos de acciones de cumplimiento contra 47 organizaciones, muchas de ellas en virtud del Reglamento de Privacidad y Comunicaciones Electrónicas (PECR).
En 2024, la ICO impuso un total de 18 multas, 15 de ellas por infracciones del PECR. La proporción de multas atribuibles a infracciones del RGPD del Reino Unido aumentó en 2024 hasta una sexta parte del total.
La multa media de la ICO fue de 153.722 libras esterlinas (191.300 dólares) en 2024, lo que es significativamente inferior a la de 2023, que fue de 816.471 libras esterlinas (1,01 millones de dólares).
Sin embargo, los investigadores señalaron que la cifra de 2023 estaba muy sesgada por la multa de 12,7 millones de libras esterlinas (15,75 millones de dólares) impuesta a TikTok.
En total, las 18 multas de 2024 ascendieron a 2,7 millones de libras esterlinas (3,4 millones de dólares), la más alta de las cuales fue la multa del MOD de 750.000 libras esterlinas.
Las cifras del Reino Unido demuestran una marcada diferencia en el enfoque de las multas entre la ICO y sus homólogos de la UE.
En noviembre de 2024, el Comisionado de Información del Reino Unido, John Edwards, dijo al periódico británico The Times que no creía que la imposición de multas fuera una forma eficaz de mantener a raya a las grandes empresas tecnológicas, ya que solo servía para enredar a la ICO en litigios.
