Ranking de las 10 multas más altas en España por infracción del RGPD – 3er Trimestre 2024
Después de una larga pausa, volvemos con un nuevo post que detalla las diez multas más altas en España por infracciones del RGPD al finalizar el tercer trimestre del 2024.
A 1 de octubre de 2024, la Agencia Española de Protección de Datos (“AEPD”) ha iniciado más de 2.200 procedimientos por posible infracción del RGPD, de los cuales más de 1.200 han terminado en multa (Fuente: Base de Datos RGPD de abc Compliance).
En lo que llevamos de año, la AEPD ha impuesto dos nuevas multas que entran en la séptima y novena posición del ranking: la sanción de 5 millones de euros a Energya VM Gestión De Energía, S.L. y la sanción de 3,5 millones de euros a I-De Redes Eléctricas Inteligentes, S.A.U.
Con estas nuevas multas, el importe total de las 10 multas más altas en España por infracción del RGPD ascendería a 55.840.000 euros.
El presente ranking no ha tenido en consideración los descuentos aplicados en su caso por el artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas por reconocimiento de responsabilidad y por el pago voluntario de la multa.
En el caso de multas con la misma cuantía, se ha dado preferencia a los procedimientos sancionadores más antiguos.
Multa n.º 1: 10.000.000 euros
Reclamado: Google, LLC
Procedimiento Sancionador: PS/00140/2020
Infracción: Artículos 6 y 17 del RGPD
Fecha de publicación: 8 de marzo de 2022
Motivo de la reclamación:
El reclamado comunicaba a un tercero (Proyecto Lumen) todas las solicitudes que recibía de los usuarios para la retirada o eliminación de contenidos en línea que gestionaba, motivadas por infracción de derechos de autor, difamación, fallos judiciales, marcas, y solicitudes basadas en la legislación local. Sin embargo, el reclamado carecía de una base jurídica para realizar dichas comunicaciones. Asimismo, el reclamado adolecía de “graves deficiencias en el proceso diseñado para la formulación, recepción y gestión de estas solicitudes de supresión de datos personales que afecta directamente al ejercicio mismo de este derecho reconocido a los interesados en el RGPD y a su resolución conforme a esta normativa”
Multa n.º 2: 8.150.000 euros
Reclamado: Vodafone España, S.A.U.
Procedimiento Sancionador: PS/00059/2020
Infracción: Artículo 28 del RGPD en relación con el artículo 24 del RGPD. Artículo 44 del RGPD. Artículo 21 de la LSSICE. Artículo 48.1.b) de la LGT en relación con el artículo 21 del RGPD y artículo 23 de la LOPDGDD
Fecha de publicación: 11 de febrero de 2021
Motivo de la reclamación:
Durante meses, el reclamado realizó directa e indirectamente (a través de agentes comerciales) una actividad de mercadotecnia y prospección comercial mediante llamadas telefónicas y envío de e-mails y SMS que infringió distintas normas legales.
Multa n.º 3: 6.100.000 euros
Reclamado: Endesa Energía, S.A.U.
Procedimiento Sancionador: PS/00002/2023
Infracción: Artículos 5.1.f), 32, 33, 34 y 44 del RGPD
Fecha de publicación: 25 de octubre de 2023
Motivo de la reclamación:
El 10 de febrero de 2022 el reclamado notificó a la AEPD una brecha de seguridad de sus datos personales, consistente en un posible acceso no autorizado a ciertos sistemas comerciales de Endesa Energía que podría haber afectado a unos mil clientes. Entre los datos afectados por la brecha de seguridad estarían el nombre, apellidos, fecha de nacimiento, DNI, datos de medios de pago y datos de contacto de los mil afectados. Las personas afectadas no fueron informadas por considerar el reclamado que no existía un riesgo alto para sus derechos y libertades.
Multa n.º 4: 6.000.000 euros
Reclamado: CaixaBank, S.A
Procedimiento Sancionador: PS/00477/2019
Infracción: Artículos 13 y 14 del RGPD. Artículo 6 en relación con el artículo 7 del RGPD y artículo 6 de la LOPDGDD
Fecha de publicación: 5 de Enero de 2021
Motivo de la reclamación:
Los distintos contratos y la política de privacidad utilizados por el reclamado para la recogida y tratamiento de datos personales incumplen el derecho de información de los interesados. Asimismo, las bases jurídicas del consentimiento y el interés legítimo utilizadas por el reclamado para diversos tratamientos de datos no son válidas.
Multa n.º 5: 5.000.000 euros
Reclamado: Banco Bilbao Vizcaya Argentaria, S.A.
Procedimiento Sancionador: PS/00070/2019
Infracción: Artículos 6, 13 y 14 del RGPD
Fecha de publicación: 27 de noviembre de 2020
Motivo de la reclamación:
El formulario de recogida de datos personales del reclamado incumplió el derecho de información de los interesados. Asimismo, las bases legales empleadas por el reclamado para el tratamiento de datos (el consentimiento y el legítimo interés), no eran válidas.
Multa n.º 6: 5.000.000 euros
Reclamado: CaixaBank, S.A
Procedimiento Sancionador: PS/00020/2023
Infracción: Artículos 5.1.f), 25 y 32 del RGPD
Fecha de publicación: 26 de octubre de 2023
Motivo de la reclamación:
Un cliente de CaixaBank encontró en el área personal de su cuenta bancaria online, un documento relativo a una transferencia realizada por un tercero a otra persona desconocida, en el que figuraban numerosos datos personales, tales como nombre, apellidos, DNI, domicilio postal y número de cuenta bancaria. El cliente presentó una reclamación ante la mencionada entidad bancaria, sin haber obtenido respuesta.
Multa n.º 7: 5.000.000 euros
Reclamado: Energya VM Gestión De Energía, S.L.
Procedimiento Sancionador: PS/00216/2023
Infracción: Artículo 5.1.a) y 5.2 del RGPD
Fecha de publicación: 6 de febrero de 2024
Motivo de la reclamación:
El reclamado contrató los servicios de la empresa Nivalco como encargado del tratamiento con el fin de realizar ventas en nombre del reclamado. Los comerciales de Nivalco, en su actividad de captación de clientes, utilizaban argumentos confusos, inexactos y/o irreales. El reclamado tuvo constancia, gracias a una auditoría encargada a un tercero independiente, de que dichas afirmaciones eran ciertas. Sin embargo, pese a la auditoria, el reclamado no realizó un análisis de riesgos, ni tampoco estableció un control continuado y exhaustivo de las grabaciones de llamadas que Nivalco le entregaba. Asimismo, el reclamado no realizó un control adecuado de la procedencia de los datos de carácter personal que utilizaba su encargado del tratamiento Nivalco.
Multa n.º 8: 3.940.000 euros
Reclamado: Vodafone España, S.A.U.
Procedimiento Sancionador: PS/00001/2021
Infracción: Artículos 5.1.f) y 5.2 del RGPD
Fecha de publicación: 5 de noviembre de 2021
Motivo de la reclamación:
El reclamado facilitó duplicados de las tarjetas SIM a terceros que no eran los titulares reales de las líneas móviles, tras superar dichos terceros la política de seguridad implementada por Vodafone. Los terceros utilizaron las tarjetas SIM para acceder a información confidencial con fines delictivos.
Multa n.º 9: 3.500.000 euros
Reclamado: I-De Redes Eléctricas Inteligentes, S.A.U.
Procedimiento Sancionador: PS/00145/2023
Infracción: Artículos 5.1.f) y 32 del RGPD
Fecha de publicación: 5 de febrero de 2024
Motivo de la reclamación:
El reclamado comunicó a la AEPD una brecha de seguridad que afectó a los datos personales de 1.350.000 clientes de la empresa. La brecha de seguridad se produjo debido a un ataque cibernético contra la aplicación web de gestión de expedientes (GEA) del reclamado. Dicho ciberataque permitió la extracción de datos personales de clientes del reclamado, incluyendo nombres, direcciones, números de identificación y otros datos personales. La falta de medidas de seguridad adecuadas fue uno de los puntos clave señalados en la sanción .
Multa n.º 10: 3.150.000 euros
Reclamado: Mercadona, S.A.
Procedimiento Sancionador: PS/00120/2021
Infracción: Artículos 5.1.c), 6, 9, 12, 13, 25.1 y 35 del RGPD
Fecha de publicación: 23 de julio de 2021
Motivo de la reclamación:
La instalación de un sistema de reconocimiento facial en varias de las tiendas del reclamado. El sistema de reconocimiento facial capturaba automáticamente los datos biométricos de cualquier persona en la tienda y los contrastaba con una base de datos de muestras biométricas asociadas a las personas que habían sido condenados en sentencia firme con una orden de alejamiento sobre las instalaciones de Mercadona. El sistema fue considerado “altamente intrusivo” por afectar de manera indiscriminada a una cantidad indeterminada de ciudadanos a los que se les imponía de manera indirecta una medida de seguridad de naturaleza penal.
Conclusión:
A la vista de los datos, podemos concluir que:
- En lo que llevamos de 2024, la AEPD ha impuesto dos de las multas del presente ranking.
- Las diez multas del actual ranking suman un total de 55.840.000 euros. En nuestro anterior ranking del 2o trimestre del 2022, el total era de 44.840.000 euros.
- Para dar una mejor perspectiva sobre la evolución de la actividad sancionadora de la AEPD: en nuestro ranking del 2o trimestre del 2020, el total de las diez multas ascendía a 1.065.000 euros.
- Las sanciones de la AEPD por infracción del principio de responsabilidad proactiva (artículo 5.2 del RGPD) son muy poco frecuentes (solo 2 multas en total según la Base de Datos RGPD de abc Compliance), pero siempre que se da el caso, es algo especial. Ambas sanciones están en el presente ranking, en las posiciones 7 y 8.
- Cuatro de las multas del ranking están relacionadas con la falta de licitud del tratamiento (Art. 6 del RGPD).
- Cuatro de las multas del ranking están relacionadas con el incumplimiento del principio de integridad y confidencialidad de los datos personales del interesado (Art. 5.1.f del RGPD).
- Las entidades financieras están empatadas en el ranking con las entidades del sector de energía, con tres sanciones cada grupo. Estas entidades representan el 60% del ranking.
- Las empresas Vodafone España, S.A.U. y CaixaBank, S.A. tienen dos multas cada una en el presente ranking.
Desde el RGPD Blog continuaremos actualizando el presente ranking.
Para la redacción de este post, hemos utilizado la base de datos RGPD de nuestro patrocinador abc Compliance.
Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro Blog.
Como consecuencia de la falta de actividad del Blog desde el 15 de mayo de 2023 hasta la actual fecha, los datos personales de los suscriptores del Blog desde su inicio hasta mayo de 2024 han sido suprimidos. Si eras suscriptor del Blog y deseas volver a serlo, tendrás que volver a suscribirte.
______
Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.
Comentarios