Desde la entrada en vigor del RGPD el 25 de mayo de 2018, la Agencia Española de Protección de Datos (“AEPD”) ha dictado más de 650 procedimientos sancionadores basándose en dicha normativa, de los cuales más de 220 han terminado en multa.

En el primer trimestre del 2021 la actividad sancionadora de la AEPD se ha disparado. En solo tres meses han entrado en nuestro ranking siete nuevos procedimientos sancionadores, pasando el total de multas del ranking de 1.095.000 euros (3er trimestre del 2020) a 20.790.000 euros.

El presente ranking no ha tenido en consideración los descuentos aplicados en su caso por el artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas por reconocimiento de responsabilidad y por el pago voluntario de la multa.

En el caso de multas con la misma cuantía, se ha dado preferencia a los procedimientos sancionadores más antiguos.

Multa n.º 1: 8.150.000 euros
Reclamado: Vodafone España, S.A.U.
Procedimiento Sancionador: PS/00059/2020
Infracción: Artículo 28 del RGPD en relación con el artículo 24 del RGPD. Artículo 44 del RGPD. Artículo 21 de la LSSICE. Artículo 48.1.b) de la LGT en relación con el artículo 21 del RGPD y artículo 23 de la LOPDGDD
Fecha de publicación: 11 de Marzo de 2021

Motivo de la reclamación:

Durante meses, el reclamado realizó directa e indirectamente (a través de agentes comerciales) una actividad de mercadotecnia y prospección comercial mediante llamadas telefónicas y envío de e-mails y SMS que infringió distintas normas legales.

Multa n.º 2: 6.000.000 euros
Reclamado: CaixaBank, S.A
Procedimiento Sancionador: PS/00477/2019
Infracción: Artículos 13 y 14 del RGPD. Artículo 6 en relación con el artículo 7 del RGPD y artículo 6 de la LOPDGDD
Fecha de publicación: 13 de Enero de 2021

Motivo de la reclamación:

Los distintos contratos y la política de privacidad utilizados por el reclamado para la recogida y tratamiento de datos personales incumplen el derecho de información de los interesados. Asimismo, las bases jurídicas del consentimiento y el interés legítimo utilizadas por el reclamado para diversos tratamientos de datos no son válidas.

Multa n.º 3: 5.000.000 euros
Reclamado: Banco Bilbao Vizcaya Argentaria, S.A.
Procedimiento Sancionador: PS/00070/2019
Infracción: Artículos 6, 13 y 14 del RGPD
Fecha de publicación: 13 de Enero de 2021

Motivo de la reclamación:

El formulario de recogida de datos personales del reclamado incumplió el derecho de información de los interesados. Asimismo, las bases legales empleadas por el reclamado para el tratamiento de datos (el consentimiento y el legítimo interés), no eran válidas.

Multa n.º 4: 600.000 euros
Reclamado: Air Europa Líneas Aéreas, S.A.
Procedimiento Sancionador: PS/00179/2020
Infracción: Artículos 32.1 y 33 del RGP
Fecha de publicación: 18 de Marzo de 2021

Motivo de la reclamación:

El reclamado tuvo conocimiento de una brecha de seguridad de datos personales el 17 de octubre de 2018. Sin embargo, el reclamado comunicó a la AEPD dicha brecha de seguridad el 28 de noviembre de 2018, infringiendo el plazo de 72 horas establecido por el RGPD para comunicar una brecha de seguridad a la autoridad de control. Asimismo, las medidas de seguridad técnicas y organizativas implantadas por el reclamado no eran apropiadas para garantizar un nivel de seguridad adecuado al riesgo e impedir un acceso no autorizado a los datos de los clientes.

Multa n.º 5: 250.000 euros
Reclamado: Liga Nacional de Fútbol Profesional
Procedimiento Sancionador: PS/00326/2018
Infracción: Artículo 5.1.a) del RGPD
Fecha de publicación: 20 de agosto de 2019

Motivo de la reclamación:

La creación por el reclamado de una aplicación móvil que podía captar de forma indiscriminada sonido ambiente del lugar donde se encontrara el usuario. Esto podía implicar la captación de conversaciones con terceros que podrían desvelar datos personales.

Multa n.º 6: 200.000 euros
Reclamado: Vodafone España, S.A.U.
Procedimiento Sancionador: PS/00430/2020
Infracción: Artículo 6.1 del RGPD
Fecha de publicación: 11 de Febrero de 2021

Motivo de la reclamación:

El reclamante manifiesta que sigue recibiendo correos electrónicos del reclamado a pesar de haber sido sancionado por estos mismos hechos en los procedimientos sancionadores PS/00278/2019 y PS/00186/2020.

Multa n.º 7: 200.000 euros
Reclamado: I-De Redes Eléctricas Inteligentes, S.A.U. (I-De)
Procedimiento Sancionador: PS/00197/2020
Infracción: Artículos 5.1.b) y c) y 6.1.b) del RGPD
Fecha de publicación: 1 de marzo de 2021

Motivo de la reclamación:

El reclamado envió cartas informativas de presuntos incumplimientos contractuales de la empresa comercializadora (la reclamante), a los consumidores finales, rogándoles además que se pusieran en contacto con la entidad comercializadora para que ésta “procediera a la subsanación del problema”. Es decir, el reclamado realizó un tratamiento de datos personales de los clientes del reclamante sin estar legitimado para ello, y para una finalidad distinta de la que tenía autorización.

Multa n.º 8: 150.000 euros
Reclamado: Xfera Móviles, S.A.
Procedimiento Sancionador: PS/00448/2020
Infracción: Artículos 5.1.f), 17 y 32 del RGPD y artículo 21 de la LSSI
Fecha de publicación: 9 de Marzo de 2021

Motivo de la reclamación:

El reclamado continuó enviando SMS publicitarios al teléfono del reclamante (más de 60 SMS en 30 días) sin su consentimiento, y pese a que el reclamante había ejercido el derecho de supresión de sus datos personales. El reclamado también envió al reclamante SMS con información confidencial de terceras personas. Esta información permitió al reclamante acceder a datos personales y facturas de un tercero ajeno a él.

Multa n.º 9: 120.000 euros
Reclamado: Vodafone España, S.A.U.
Procedimiento Sancionador: PS/00144/2019
Infracción: Artículo 6.1 del RGPD
Fecha de publicación: 19 de septiembre de 2019

Motivo de la reclamación:

El reclamado tenía contratado a nombre del reclamante varios servicios los cuales este no había contratado.

Multa n.º 10: 120.000 euros
Reclamado: Vodafone España, S.A.U.
Procedimiento Sancionador: PS/00235/2019
Infracción: Artículos 6.1.a) y 5.1.a) del RGPD
Fecha de publicación: 27 de febrero de 2020

Motivo de la reclamación:

La recepción del hijo menor de edad del reclamante de una carta del reclamado en la que le comunicaba que había contraído con ellos una deuda de 93,77 euros y que en el caso de impago se procedería a su inclusión en una lista de morosos.

Conclusión:

A la vista de los datos, podemos concluir que:

• Seis de las infracciones del ranking están relacionadas con la falta de licitud del tratamiento de datos personales (Art. 6 del RGPD).
• Las sanciones a los dos bancos están relacionadas con el incumplimiento del deber de información (Arts. 13 y 14 del RGPD), que da a su vez lugar a la infracción de la licitud del tratamiento (Art. 6 del RGPD) en los casos en los que se utiliza el consentimiento como base legal para el tratamiento, al estar el consentimiento del interesado viciado por la falta de información.
• Vodafone España S.A.U. acapara el 40% de las multas del ranking, incluido el primer puesto.
• Las empresas del sector de telecomunicaciones representan el 50% de las multas del ranking.
• Según las fechas de publicación de los procedimientos sancionadores, dos de las multas del ranking fueron impuestas en el 2019, una en el 2020, y siete multas en el primer trimestre del 2021
• Las diez multas del actual ranking suman un total de 20.790.000 euros. En nuestro anterior ranking del 3er trimestre del 2020, el total era de 1.095.000 euros.

Desde el RGPD Blog continuaremos actualizando el presente ranking.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.