Tras más de tres años desde la entrada en vigor del RGPD, la Agencia Española de Protección de Datos (“AEPD”) ha dictado más de 760 procedimientos sancionadores basándose en dicha normativa, de los cuales más de 260 han terminado en multa.

En el segundo trimestre del 2021 han entrado tres nuevas multas en los puestos 4, 5 y 6 del ranking, pasando el importe total de multas de 20.790.000 euros (1er trimestre del 2021) a 24.400.000 euros.

Actualmente, 9 de las 10 multas del ranking han sido impuestas en el 2021.

El presente ranking no ha tenido en consideración los descuentos aplicados en su caso por el artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas por reconocimiento de responsabilidad y por el pago voluntario de la multa.

En el caso de multas con la misma cuantía, se ha dado preferencia a los procedimientos sancionadores más antiguos.

Multa n.º 1: 8.150.000 euros
Reclamado: Vodafone España, S.A.U.
Procedimiento Sancionador: PS/00059/2020
Infracción: Artículo 28 del RGPD en relación con el artículo 24 del RGPD. Artículo 44 del RGPD. Artículo 21 de la LSSICE. Artículo 48.1.b) de la LGT en relación con el artículo 21 del RGPD y artículo 23 de la LOPDGDD
Fecha de publicación: 11 de Marzo de 2021

Motivo de la reclamación:

Durante meses, el reclamado realizó directa e indirectamente (a través de agentes comerciales) una actividad de mercadotecnia y prospección comercial mediante llamadas telefónicas y envío de e-mails y SMS que infringió distintas normas legales.

Multa n.º 2: 6.000.000 euros
Reclamado: CaixaBank, S.A
Procedimiento Sancionador: PS/00477/2019
Infracción: Artículos 13 y 14 del RGPD. Artículo 6 en relación con el artículo 7 del RGPD y artículo 6 de la LOPDGDD
Fecha de publicación: 13 de Enero de 2021

Motivo de la reclamación:

Los distintos contratos y la política de privacidad utilizados por el reclamado para la recogida y tratamiento de datos personales incumplen el derecho de información de los interesados. Asimismo, las bases jurídicas del consentimiento y el interés legítimo utilizadas por el reclamado para diversos tratamientos de datos no son válidas.

Multa n.º 3: 5.000.000 euros
Reclamado: Banco Bilbao Vizcaya Argentaria, S.A.
Procedimiento Sancionador: PS/00070/2019
Infracción: Artículos 6, 13 y 14 del RGPD
Fecha de publicación: 13 de Enero de 2021

Motivo de la reclamación:

El formulario de recogida de datos personales del reclamado incumplió el derecho de información de los interesados. Asimismo, las bases legales empleadas por el reclamado para el tratamiento de datos (el consentimiento y el legítimo interés), no eran válidas.

Multa n.º 4: 1.500.000 euros
Reclamado: EDP Energía, S.A.U
Procedimiento Sancionador: PS/00236/2020
Infracción: Artículo 25 y 13 del RGPD
Fecha de publicación: 4 de mayo de 2021

Motivo de la reclamación:

El reclamado carecía de mecanismos para acreditar la representación de quien efectuaba una contratación en nombre de un tercero, o para acreditar la existencia de autorización por parte del representante para prestar consentimientos en nombre del representado para otros tratamientos de datos. Asimismo, la información aportada por el Reclamado tanto telefónicamente como en sus condiciones generales no era suficientemente transparente. En particular, la información sobre el responsable del tratamiento; las finalidades y bases legitimadoras de los tratamientos de datos; los tratamientos basados en el consentimiento del interesado; y el derecho de oposición del interesado.

Multa n.º 5: 1.500.000 euros
Reclamado: EDP Comercializadora, S.A.U.
Procedimiento Sancionador: PS/00037/2020
Infracción: Artículo 25 y 13 del RGPD
Fecha de publicación: 4 de mayo de 2021

Motivo de la reclamación:

El reclamado carecía de mecanismos para acreditar la representación de quien efectuaba una contratación en nombre de un tercero, o para acreditar la existencia de autorización por parte del representante para prestar consentimientos en nombre del representado para otros tratamientos de datos. Asimismo, la información aportada por el Reclamado tanto telefónicamente como en sus condiciones generales no era suficientemente transparente. En particular, la información sobre el responsable del tratamiento; las finalidades y bases legitimadoras de los tratamientos de datos; los tratamientos basados en el consentimiento del interesado; y el derecho de oposición del interesado.

Multa n.º 6: 1.000.000 euros
Reclamado: Equifax Ibérica, S.L.
Procedimiento Sancionador: PS/00240/2019
Infracción: Artículo 5.1.b) del RGPD. Artículo 6.1, en relación con el artículo 5.1.a) del RGPD. Artículos 5.1.c), 5.1.d) y 14 del RGPD.
Fecha de publicación: 26 de Abril de 2021

Motivo de la reclamación:

El reclamado trató datos personales recabados de anuncios publicados por las administraciones públicas para un fin incompatible con el de los anuncios. Concretamente, la finalidad de los anuncios publicados por las administraciones era la de notificar a los interesados de que estos eran parte en un procedimiento con la administración para garantizar su derecho constitucional a la tutela judicial. La finalidad para la cual el reclamado trató estos datos personales fue la de obtener un beneficio económico prestando un servicio a terceros relacionado con la información sobre la solvencia de los afectados.

Multa n.º 7: 600.000 euros
Reclamado: Air Europa Líneas Aéreas, S.A.
Procedimiento Sancionador: PS/00179/2020
Infracción: Artículos 32.1 y 33 del RGPD
Fecha de publicación: 18 de Marzo de 2021

Motivo de la reclamación:

El reclamado tuvo conocimiento de una brecha de seguridad de datos personales el 17 de octubre de 2018. Sin embargo, el reclamado comunicó a la AEPD dicha brecha de seguridad el 28 de noviembre de 2018, infringiendo el plazo de 72 horas establecido por el RGPD para comunicar una brecha de seguridad a la autoridad de control. Asimismo, las medidas de seguridad técnicas y organizativas implantadas por el reclamado no eran apropiadas para garantizar un nivel de seguridad adecuado al riesgo e impedir un acceso no autorizado a los datos de los clientes.

Multa n.º 8: 250.000 euros
Reclamado: Liga Nacional de Fútbol Profesional
Procedimiento Sancionador: PS/00326/2018
Infracción: Artículo 5.1.a) del RGPD
Fecha de publicación: 20 de agosto de 2019

Motivo de la reclamación:

La creación por el reclamado de una aplicación móvil que podía captar de forma indiscriminada sonido ambiente del lugar donde se encontrara el usuario. Esto podía implicar la captación de conversaciones con terceros que podrían desvelar datos personales.

Multa n.º 9: 200.000 euros
Reclamado: Vodafone España, S.A.U.
Procedimiento Sancionador: PS/00430/2020
Infracción: Artículo 6.1 del RGPD
Fecha de publicación: 11 de Febrero de 2021

Motivo de la reclamación:

El reclamante manifiesta que sigue recibiendo correos electrónicos del reclamado a pesar de haber sido sancionado por estos mismos hechos en los procedimientos sancionadores PS/00278/2019 y PS/00186/2020.

Multa n.º 10: 200.000 euros
Reclamado: I-De Redes Eléctricas Inteligentes, S.A.U. (I-De)
Procedimiento Sancionador: PS/00197/2020
Infracción: Artículos 5.1.b) y c) y 6.1.b) del RGPD
Fecha de publicación: 1 de marzo de 2021

Motivo de la reclamación:

El reclamado envió cartas informativas de presuntos incumplimientos contractuales de la empresa comercializadora (la reclamante), a los consumidores finales, rogándoles además que se pusieran en contacto con la entidad comercializadora para que ésta “procediera a la subsanación del problema”. Es decir, el reclamado realizó un tratamiento de datos personales de los clientes del reclamante sin estar legitimado para ello, y para una finalidad distinta de la que tenía autorización.

Conclusión:

A la vista de los datos, podemos concluir que:

• Actualmente, 9 de las 10 multas del presente ranking han sido impuestas en el 2021.
• Cuatro de las infracciones del ranking están relacionadas con la falta de información al interesado (Art. 13 del RGPD).
• Cinco de las infracciones del ranking están relacionadas con la falta de licitud del tratamiento (Art. 6 del RGPD).
• Las empresas sancionadas son de industrias más diversas que en los anteriores rankings: el 30% pertenecen al sector de energía, el 20% son entidades financieras y un 20% pertenecen al sector de telecomunicaciones
• Las diez multas del actual ranking suman un total de 24.400.000 euros. En nuestro anterior ranking del 1er trimestre del 2021, el total era de 20.790.000 euros.

Para la actualización del presente ranking, hemos utilizado la base de datos de procedimientos sancionadores de nuestro patrocinador, abc Compliance.

Desde el RGPD Blog continuaremos actualizando el presente ranking.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.