Desde la entrada en vigor del RGPD el 25 de mayo de 2018, la Agencia Española de Protección de Datos (“AEPD”) ha dictado más de 550 procedimientos sancionadores basándose en dicha normativa, de los cuales más de 200 han terminado en multa.

La actividad sancionadora de la AEPD en el último mes ha tenido una trascendencia muy superior a lo normal. Prueba de ello es que desde nuestra última publicación del ranking del tercer trimestre de 2020, hasta la fecha actual, 21 de enero de 2021, han entrado tres nuevas multas en el ranking, dos de las cuales se encuentran en el primer y segundo puesto.

Concretamente, la reciente multa de 6.000.000 euros a Caixabank, S.A. en el procedimiento sancionador PS/00477/2019 se ha situado en el primer puesto del ranking.

En el segundo puesto tenemos también la reciente multa de 5.000.000 euros a Banco Bilbao Vizcaya Argentaria, S.A. en el procedimiento sancionador PS/00070/2019.

En el noveno puesto ha entrado la multa de 90.000 euros a Vodafone España, S.A.U. en el procedimiento sancionador PS/00415/2020.

El presente ranking no ha tenido en consideración los descuentos aplicados en su caso por el artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas por reconocimiento de responsabilidad y por el pago voluntario de la multa.

En el caso de multas con la misma cuantía, se ha dado preferencia a los procedimientos sancionadores más antiguos.

Multa n.º 1: 6.000.000 euros
Reclamado: Caixabank, S.A
Procedimiento Sancionador: PS/00477/2019
Infracción: Artículos 13 y 14 del RGPD. Artículo 6 en relación con el artículo 7 del RGPD y artículo 6 de la LOPDGDD
Fecha de publicación: 13 de Enero de 2021

Motivo de la reclamación:

Los distintos contratos y la política de privacidad utilizados por el reclamado para la recogida y tratamiento de datos personales incumplen el derecho de información de los interesados. Asimismo, las bases jurídicas del consentimiento y el interés legítimo utilizadas por el reclamado para diversos tratamientos de datos no son válidas.

Multa n.º 2: 5.000.000 euros
Reclamado: Banco Bilbao Vizcaya Argentaria, S.A.
Procedimiento Sancionador: PS/00070/2019
Infracción: Artículos 6, 13 y 14 del RGPD
Fecha de publicación: 13 de Enero de 2021

Motivo de la reclamación:

El formulario de recogida de datos personales del reclamado incumplió el derecho de información de los interesados. Asimismo, las bases legales empleadas por el reclamado para el tratamiento de datos (el consentimiento y el legítimo interés), no eran válidas.

Multa n.º 3: 250.000 euros
Reclamado: Liga Nacional de Fútbol Profesional
Procedimiento Sancionador: PS/00326/2018
Infracción: Artículo 5.1.a) del RGPD
Fecha de publicación: 20 de agosto de 2019

Motivo de la reclamación:

La creación por el reclamado de una aplicación móvil que podía captar de forma indiscriminada sonido ambiente del lugar donde se encontrara el usuario. Esto podía implicar la captación de conversaciones con terceros que podrían desvelar datos personales.

Multa n.º 4: 120.000 euros
Reclamado: Vodafone España, S.A.U.
Procedimiento Sancionador: PS/00144/2019
Infracción: Artículo 6.1 del RGPD
Fecha de publicación: 19 de septiembre de 2019

Motivo de la reclamación:

El reclamado tenía contratado a nombre del reclamante varios servicios los cuales este no había contratado.

Multa n.º 5: 120.000 euros
Reclamado: Vodafone España, S.A.U.
Procedimiento Sancionador: PS/00235/2019
Infracción: Artículos 6.1.a) y 5.1.a) del RGPD
Fecha de publicación: 27 de febrero de 2020

Motivo de la reclamación:

La recepción del hijo menor de edad del reclamante de una carta del reclamado en la que le comunicaba que había contraído con ellos una deuda de 93,77 euros y que en el caso de impago se procedería a su inclusión en una lista de morosos.

Multa n.º 6: 100.000 euros
Reclamado: Endesa Energía XXI, S.L.U.
Procedimiento Sancionador: PS/00074/2019
Infracción: Artículo 5.1.f) del RGPD
Fecha de publicación: 22 de mayo de 2019

Motivo de la reclamación:

Un tercero contactó con el reclamado para efectuar un cambio en el contrato de suministro eléctrico en el que la reclamante figuraba como apoderada. Siguiendo las instrucciones del tercero, el reclamado modificó la ficha del contrato de la reclamante eliminando sus datos e incluyendo en su lugar los datos del tercero. Dicho tercero había sido condenado por delito de coacciones en el orden familiar, imponiéndosele orden de alejamiento de la reclamante, su domicilio o trabajo durante dos años.

Multa n.º 7: 100.000 euros
Reclamado: Vodafone España, S.A.U.
Procedimiento Sancionador: PS/00405/2019
Infracción: Artículo 6.1 del RGPD
Fecha de publicación: 3 de febrero 2020

Motivo de la reclamación:

El reclamante recibió un e-mail del reclamado informándole de la facturación de una línea que el reclamante manifiesta no haber contratado.

Multa n.º 8: 100.000 euros
Reclamado: Vodafone España, S.A.U.
Procedimiento Sancionador: PS/00186/2020
Infracción: Artículo 6.1 del RGPD
Fecha de publicación: 1 de septiembre de 2020

Motivo de la reclamación:

El reclamante ha vuelto a recibir en su dirección de correo electrónico un aviso de disponibilidad de factura electrónica procedente del reclamado, lo cual constituye una reincidencia de los hechos sancionados por la AEPD en el procedimiento sancionador PS/00278/2019.

Multa n.º 9: 90.000 euros
Reclamado: Vodafone España, S.A.U.
Procedimiento Sancionador: PS/00415/2020
Infracción: Artículos 5.1.d) y 5.1.f) del RGPD
Fecha de publicación: 4 de enero de 2021

Motivo de la reclamación:

El reclamado ha cambiado la titularidad de los productos contratados con el reclamante, poniéndolos a nombre de un tercero. En consecuencia, el tercero ha tenido acceso a los datos personales del reclamante desde mayo de 2019.

Multa n.º 10: 80.000 euros
Reclamado: Orange Espagne, S.A.U.
Procedimiento Sancionador: PS/00452/2019
Infracción: Artículo 6.1 del RGPD
Fecha de publicación: 20 de julio 2020

Motivo de la reclamación:

Los datos del reclamante han sido utilizados para la contratación fraudulenta de seis líneas telefónicas con el reclamado sin su consentimiento. Asimismo, a consecuencia de las distintas deudas contraídas con el reclamado, sus datos personales han sido incluidos en el fichero de solvencia patrimonial ASNEF.

Conclusión:

A la vista de los datos, podemos concluir que:

• Siete de las infracciones del ranking están relacionadas con la falta de licitud del tratamiento de datos personales (Art. 6 del RGPD).
• Dos de las infracciones del ranking surgen por el incumplimiento del Principio de Confidencialidad (Art. 5.1.f) del RGPD).
• Dos de las infracciones están relacionadas con el incumplimiento del Principio de Licitud, Lealtad y Transparencia (Art. 5.1.a) del RGPD).
• Las sanciones a los dos bancos están relacionadas con el incumplimiento del deber de información (Arts. 13 y 14 del RGPD), que da a su vez lugar a la infracción de la licitud del tratamiento (Art. 6 del RGPD) en los casos en los que se utiliza el consentimiento como base legal para el tratamiento, al estar el consentimiento del interesado viciado por la falta de información.
• Vodafone España S.A.U. continúa acaparando el 50% de las multas del ranking.
• Las empresas del sector de telecomunicaciones representan el 60% de las multas del ranking.
• Los dos únicos bancos en el ranking acaparan las sanciones más altas.
• Según las fechas de publicación de los procedimientos sancionadores, tres de las multas del ranking fueron impuestas en el 2019, cuatro en el 2020, y 3 multas a 21 enero del 2021.
• Las diez multas del actual ranking suman un total de 11.960.000 euros. En nuestro ranking anterior, el total era de 1.095.000 euros.

Desde el RGPD Blog continuaremos actualizando el presente ranking.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.