Tras finalizar este primer trimestre del 2022, la Agencia Española de Protección de Datos (“AEPD”) ha dictado más de 1.090 procedimientos por infracción del RGPD, de los cuales más de 430 han terminado en multa.

En este primer trimestre del 2022 han entrado tres nuevas multas en nuestro ranking, en la cuarta, séptima y octava posición.

Con estas nuevas multas, el importe total de las 10 multas más altas en España por infracción del RGPD pasa de 30.150.000 euros (4º trimestre del 2021) a 36.340.000 euros, incrementándose en un 20,53%.

El presente ranking no ha tenido en consideración los descuentos aplicados en su caso por el artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas por reconocimiento de responsabilidad y por el pago voluntario de la multa.

En el caso de multas con la misma cuantía, se ha dado preferencia a los procedimientos sancionadores más antiguos.

Multa n.º 1: 8.150.000 euros
Reclamado: Vodafone España, S.A.U.
Procedimiento Sancionador: PS/00059/2020
Infracción: Artículo 28 del RGPD en relación con el artículo 24 del RGPD. Artículo 44 del RGPD. Artículo 21 de la LSSICE. Artículo 48.1.b) de la LGT en relación con el artículo 21 del RGPD y artículo 23 de la LOPDGDD
Fecha de publicación: 11 de Marzo de 2021

Motivo de la reclamación:

Durante meses, el reclamado realizó directa e indirectamente (a través de agentes comerciales) una actividad de mercadotecnia y prospección comercial mediante llamadas telefónicas y envío de e-mails y SMS que infringió distintas normas legales.

Multa n.º 2: 6.000.000 euros
Reclamado: CaixaBank, S.A
Procedimiento Sancionador: PS/00477/2019
Infracción: Artículos 13 y 14 del RGPD. Artículo 6 en relación con el artículo 7 del RGPD y artículo 6 de la LOPDGDD
Fecha de publicación: 13 de Enero de 2021

Motivo de la reclamación:

Los distintos contratos y la política de privacidad utilizados por el reclamado para la recogida y tratamiento de datos personales incumplen el derecho de información de los interesados. Asimismo, las bases jurídicas del consentimiento y el interés legítimo utilizadas por el reclamado para diversos tratamientos de datos no son válidas.

Multa n.º 3: 5.000.000 euros
Reclamado: Banco Bilbao Vizcaya Argentaria, S.A.
Procedimiento Sancionador: PS/00070/2019
Infracción: Artículos 6, 13 y 14 del RGPD
Fecha de publicación: 13 de Enero de 2021

Motivo de la reclamación:

El formulario de recogida de datos personales del reclamado incumplió el derecho de información de los interesados. Asimismo, las bases legales empleadas por el reclamado para el tratamiento de datos (el consentimiento y el legítimo interés), no eran válidas.

Multa n.º 4: 3.940.000 euros
Reclamado: Vodafone España, S.A.U.
Procedimiento Sancionador: PS/00001/2021
Infracción: Artículos 5.1.f) y 5.2 del RGPD.
Fecha de publicación: 1 de Febrero de 2022

Motivo de la reclamación:

El reclamado facilitó duplicados de las tarjetas SIM a terceros que no eran los titulares reales de las líneas móviles, tras superar dichos terceros la política de seguridad implementada por Vodafone. Los terceros utilizaron las tarjetas SIM para acceder a información confidencial con fines delictivos.

Multa n.º 5: 3.150.000 euros
Reclamado: Mercadona, S.A.
Procedimiento Sancionador: PS/00120/2021
Infracción: Artículos 5.1.c), 6, 9, 12, 13, 25.1 y 35 del RGPD
Fecha de publicación: 27 de julio de 2021

Motivo de la reclamación:

La instalación de un sistema de reconocimiento facial en varias de las tiendas del reclamado. El sistema de reconocimiento facial capturaba automáticamente los datos biométricos de cualquier persona en la tienda y los contrastaba con una base de datos de muestras biométricas asociadas a las personas que habían sido condenados en sentencia firme con una orden de alejamiento sobre las instalaciones de Mercadona. El sistema fue considerado “altamente intrusivo” por afectar de manera indiscriminada a una cantidad indeterminada de ciudadanos a los que se les imponía de manera indirecta una medida de seguridad de naturaleza penal.

Multa n.º 6: 3.000.000 euros
Reclamado: Caixabank Payments & Consumer EFC, EP, S.A.U.
Procedimiento Sancionador: PS/00500/2020
Infracción: Artículo 6.1 del RGPD
Fecha de publicación: 21 de Octubre de 2021

Motivo de la reclamación:

El reclamado elabora perfiles de los datos personales de sus clientes para el desarrollo de su actividad comercial. Sin embargo, cuando la base jurídica en los procedimientos de perfilado llevados a cabo por el reclamado es el consentimiento, el mecanismo para la obtención de dicho consentimiento incumple la normativa de protección de datos personales.

Multa n.º 7: 2.100.000 euros
Reclamado: CaixaBank, S.A.
Procedimiento Sancionador: PS/00226/2020
Infracción: Artículo 6 del RGPD en relación con el artículo 7.4 del RGPD. Artículo 6.1 del RGPD.
Fecha de publicación: 4 de marzo de 2022

Motivo de la reclamación:

El reclamado imponía comisiones a los clientes de determinadas cuentas si estos no otorgaban su consentimiento para el envío de comunicaciones comerciales y para la cesión de sus datos personales a empresas de su grupo. Asimismo, entre el periodo del 8 de julio de 2018 y el 15 de agosto de 2018, en el proceso online de contratación de la cuenta ON, las casillas para otorgar el consentimiento se encontraban premarcadas en estado de aceptación.

Multa n.º 8: 2.000.000 euros
Reclamado: Amazon Road Transport Spain, S.L.
Procedimiento Sancionador: PS/00267/2020
Infracción: Artículo 6.1 del RGPD en relación con el artículo 10 del RGPD. Artículo 10 de la LOPDGDD.
Fecha de publicación: 11 de Febrero de 2022

Motivo de la reclamación:

El reclamado contrataba a transportistas autónomos como proveedores de servicios. En el proceso de contratación, el reclamado solicitaba a los transportistas un certificado de antecedentes penales sin tener legitimación para ello.

Multa n.º 9: 1.500.000 euros
Reclamado: EDP Energía, S.A.U
Procedimiento Sancionador: PS/00236/2020
Infracción: Artículo 25 y 13 del RGPD
Fecha de publicación: 4 de mayo de 2021

Motivo de la reclamación:

El reclamado carecía de mecanismos para acreditar la representación de quien efectuaba una contratación en nombre de un tercero, o para acreditar la existencia de autorización por parte del representante para prestar consentimientos en nombre del representado para otros tratamientos de datos. Asimismo, la información aportada por el Reclamado tanto telefónicamente como en sus condiciones generales no era suficientemente transparente. En particular, la información sobre el responsable del tratamiento; las finalidades y bases legitimadoras de los tratamientos de datos; los tratamientos basados en el consentimiento del interesado; y el derecho de oposición del interesado.

Multa n.º 10: 1.500.000 euros
Reclamado: EDP Comercializadora, S.A.U.
Procedimiento Sancionador: PS/00037/2020
Infracción: Artículo 25 y 13 del RGPD
Fecha de publicación: 4 de mayo de 2021

Motivo de la reclamación:

El reclamado carecía de mecanismos para acreditar la representación de quien efectuaba una contratación en nombre de un tercero, o para acreditar la existencia de autorización por parte del representante para prestar consentimientos en nombre del representado para otros tratamientos de datos. Asimismo, la información aportada por el Reclamado tanto telefónicamente como en sus condiciones generales no era suficientemente transparente. En particular, la información sobre el responsable del tratamiento; las finalidades y bases legitimadoras de los tratamientos de datos; los tratamientos basados en el consentimiento del interesado; y el derecho de oposición del interesado.

Conclusión:

A la vista de los datos, podemos concluir que:

• Siete de las multas del presente ranking han sido impuestas en el 2021 y tres en el 2022, lo que parece indicar que la AEPD con el tiempo ha ido instruyendo procedimientos mas complejos que han finalizado en multas más elevadas.
• Cinco de las multas del ranking están relacionadas con la falta de información al interesado (Arts. 13 y/o 14 del RGPD).
• Seis de las multas del ranking están relacionadas con la falta de licitud del tratamiento (Art. 6 del RGPD).
• Las entidades financieras siguen acaparando las multas del ranking con un 40% del total de multas, seguidas por las empresas del sector de la energía y empresas del sector de telecomunicaciones que acaparan un 20% de las multas respectivamente.
• Como comentábamos al principio del presente post, las diez multas del actual ranking suman un total de 36.340.000 euros. En nuestro anterior ranking del 4º trimestre del 2021, el total era de 30.150.000 euros.
• Para dar una mejor perspectiva sobre la evolución de la actividad sancionadora de la AEPD: en nuestro ranking del 3er trimestre del 2020, el total de las diez multas ascendía a 1.095.000 euros.

Desde el RGPD Blog continuaremos actualizando el presente ranking.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.