anonym.legal

By · Last updated 2026-06-05

Volver al BlogGDPR y Cumplimiento

DPC Irlandés: Por qué el 80% de las Multas Más...

€530M TikTok, €310M LinkedIn, €251M Meta — todos del DPC de Irlanda. Aquí está el porqué Irlanda alberga las sedes de Big Tech en la UE y lo que...

June 5, 20268 min de lectura
Irish DPCIreland GDPRTikTok GDPR fineBig Tech enforcementEU data protection

Por qué Irlanda lidera la aplicación del RGPD

La Comisión irlandesa de Protección de Datos (DPC) es la autoridad líder para la mayoría de las grandes empresas tecnológicas de la UE. Esto no es un accidente.

La baja tasa impositiva de Irlanda atrajo a Apple, Google, Meta, LinkedIn y TikTok. Todas establecieron allí sus principales sedes europeas.

El artículo 60 del RGPD convierte a la DPC en la autoridad líder para estas empresas. De esta regla se derivan tres consecuencias.

Primero, una queja en Alemania sobre Facebook va a la DPC irlandesa, no al BfDI alemán. Segundo, la DPC trabaja con otras autoridades europeas en casos transfronterizos. Tercero, una decisión de la DPC contra Meta aplica en toda la UE.

El resultado es claro. La DPC ha impuesto más valor en multas que todas las demás autoridades europeas juntas. Consulte nuestra guía de cumplimiento del RGPD sobre cómo los patrones de aplicación afectan las decisiones de proveedores.

Tres multas que definen 2024–2025

€530M contra TikTok (mayo 2025): Ingenieros chinos accedieron a registros de usuarios europeos. Esto violó los artículos 44–46 del RGPD. Esas reglas restringen las transferencias a países sin decisión de adecuación europea. China no tiene ninguna. TikTok afirmó tener controles adecuados. La DPC no estuvo de acuerdo.

€310M contra LinkedIn (octubre 2024): LinkedIn se basó en el «interés legítimo» para el análisis de comportamiento. La DPC declaró esto inválido. El tratamiento no era necesario para el propósito declarado. La prueba de equilibrio no favoreció a LinkedIn.

€251M contra Meta (noviembre 2024): La violación de Facebook de 2018 no fue reportada a la DPC a tiempo. La DPC también encontró que los malos registros de auditoría hacían imposible medir lo que había sido expuesto.

Estas tres se suman a la multa anterior de €1.200 millones contra Meta de mayo de 2023. Esa multa también provino de la DPC, por transferencias ilegales UE-EE. UU. Sigue siendo la mayor sanción del RGPD jamás impuesta.

La DPC gestionó más de 8.500 casos transfronterizos en 2024. Explore nuestra página de seguridad y cumplimiento para ver cómo el diseño de conocimiento cero aborda cada fallo.

Lo que revela cada multa

Fallos de acceso transfronterizo

Las tres multas comparten un problema central. Los registros personales eran accesibles para empleados en países sin reglas de privacidad a nivel europeo.

La multa de TikTok fue directa. Los archivos de usuarios europeos llegaron a ingenieros chinos a pesar de los controles declarados.

Qué significa para la selección de proveedores: Pregunte si ingenieros no europeos pueden acceder a registros alojados en la UE. Un proveedor puede alojar en Dublín pero exponer archivos europeos mediante soporte técnico en EE. UU. La residencia en la UE por sí sola no es suficiente. Nuestra guía de procesamiento de entidades muestra cómo los controles de acceso se aplican al artículo 46 del RGPD.

Fallos de base jurídica

La multa de LinkedIn no fue sobre una violación. Fue sobre cómo LinkedIn justificó su tratamiento.

El «interés legítimo» no es un derecho general. Los responsables deben documentar una prueba de equilibrio genuina. Esa prueba debe mostrar que su interés supera los derechos del usuario. Nuestra página de cumplimiento explica cómo revisar las bases jurídicas de los proveedores.

Fallos de registro y notificación

La multa de €251M contra Meta incluyó un hallazgo clave. Los malos registros de auditoría hacían imposible medir el alcance de la violación.

El artículo 33 del RGPD exige notificación de violación a la autoridad en 72 horas. Esa notificación debe incluir el alcance de los registros afectados. No puede reportar un alcance que no puede medir.

Pregunte a los posibles proveedores sobre su estructura de registros de auditoría. Si un proveedor no puede responder «¿qué registros fueron expuestos?» después de un incidente, falla el artículo 33(3)(b).

El patrón en los casos DPC

Examinar las cuatro grandes multas DPC revela un patrón. Los reguladores actúan contra diseños donde los ingenieros de proveedores pueden ver el contenido de los usuarios. Cada gran multa involucró acceso mal controlado a registros personales.

El diseño de conocimiento cero aborda la preocupación central en cada caso. El contenido del usuario está cifrado. El proveedor no tiene claves de descifrado.

En los casos de transferencia de TikTok y Meta, los ingenieros no europeos llegan al servidor pero solo ven texto cifrado. No se expone ningún registro legible. En el caso de violación de Meta, un compromiso total del servidor no produce nada útil. El alcance de la violación se reduce. Para LinkedIn, un proveedor que nunca ve texto plano no puede realizar análisis de comportamiento en él.

Esta es la respuesta directa a cada acción de la DPC. Consulte nuestra resumen de seguridad para detalles, o nuestra declaración del fundador sobre por qué anonym.legal fue construido así desde el principio.

Qué significa «establecimiento principal»

Algunas empresas estructuran su presencia en la UE para controlar qué autoridad tiene jurisdicción. La interpretación de la DPC importa aquí.

El «establecimiento principal» no es solo una dirección. Es donde se encuentra la administración central europea. Para los responsables, es donde se toman las decisiones sobre los objetivos del tratamiento.

Una empresa cuyo equipo de privacidad está en Londres puede no tener ningún establecimiento principal en la UE. Cada autoridad nacional podría entonces reclamar jurisdicción para quejas locales.

Preguntas para evaluar proveedores

Use estas preguntas al evaluar proveedores SaaS que manejan registros personales.

Jurisdicción y acceso:

  • ¿Dónde está el establecimiento principal europeo del proveedor?
  • ¿Pueden empleados no europeos acceder a registros de usuarios de la UE en operaciones normales?
  • ¿Está la empresa matriz del proveedor sujeta al CLOUD Act o a las leyes de seguridad chinas?

Diseño técnico:

  • ¿El contenido de usuarios europeos permanece en servidores alojados en la UE?
  • ¿Tiene el proveedor las claves de cifrado, o las tiene el cliente?
  • ¿Son los registros de auditoría lo suficientemente detallados para medir el alcance de una violación?

Documentación de transferencias:

  • ¿Qué mecanismo del artículo 46 del RGPD cubre los flujos UE-EE. UU.?
  • ¿Ha completado el proveedor una Evaluación de Impacto de Transferencia?
  • ¿Qué medidas técnicas adicionales están en vigor?

La aplicación de la DPC es consistente en un punto. Incluso las empresas con equipos de privacidad y DPO reciben grandes multas cuando su diseño técnico no coincide con sus declaraciones. Consulte nuestros casos de estudio y preguntas frecuentes para más información.

anonym.legal usa servidores Hetzner basados en la UE con diseño de conocimiento cero. Los servidores solo contienen texto cifrado AES-256-GCM. Una violación total no expone registros legibles. La aplicación de escritorio procesa todo el contenido en el dispositivo sin conexiones externas.

Fuentes

Artículos Relacionados

GDPR y Cumplimiento

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR y Cumplimiento

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR y Cumplimiento

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

¿Listo para proteger sus datos?

Comience a anonimizar PII con más de 285 tipos de entidades en 48 idiomas.

Iniciar Prueba GratuitaVer Características

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.