Ranking de las 10 multas más altas en España por infracción del RGPD – 4º Trimestre 2021

Tras finalizar el 2021, la Agencia Española de Protección de Datos (“AEPD”) ha dictado más de 1.020 procedimientos por infracción del RGPD, de los cuales más de 400 han terminado en multa.

En este cuarto trimestre del 2021, solo ha entrado una nueva multa en nuestro ranking: la sanción de 3.000.000 euros impuesta a Caixabank Payments & Consumer EFC, EP, S.A.U. en el procedimiento PS/00500/2020.

Con dicha multa, el importe total de las 10 multas más altas en España por infracción del RGPD pasa de 27.350.000 euros (3er trimestre del 2021) a 30.150.000 euros.

El presente ranking no ha tenido en consideración los descuentos aplicados en su caso por el artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas por reconocimiento de responsabilidad y por el pago voluntario de la multa.

En el caso de multas con la misma cuantía, se ha dado preferencia a los procedimientos sancionadores más antiguos.


Multa n.º 1: 8.150.000 euros
Reclamado: Vodafone España, S.A.U.
Procedimiento Sancionador: PS/00059/2020
Infracción: Artículo 28 del RGPD en relación con el artículo 24 del RGPD. Artículo 44 del RGPD. Artículo 21 de la LSSICE. Artículo 48.1.b) de la LGT en relación con el artículo 21 del RGPD y artículo 23 de la LOPDGDD
Fecha de publicación: 11 de Marzo de 2021

Motivo de la reclamación:

Durante meses, el reclamado realizó directa e indirectamente (a través de agentes comerciales) una actividad de mercadotecnia y prospección comercial mediante llamadas telefónicas y envío de e-mails y SMS que infringió distintas normas legales.



Multa n.º 2: 6.000.000 euros
Reclamado: CaixaBank, S.A
Procedimiento Sancionador: PS/00477/2019
Infracción: Artículos 13 y 14 del RGPD. Artículo 6 en relación con el artículo 7 del RGPD y artículo 6 de la LOPDGDD
Fecha de publicación: 13 de Enero de 2021

Motivo de la reclamación:

Los distintos contratos y la política de privacidad utilizados por el reclamado para la recogida y tratamiento de datos personales incumplen el derecho de información de los interesados. Asimismo, las bases jurídicas del consentimiento y el interés legítimo utilizadas por el reclamado para diversos tratamientos de datos no son válidas.



Multa n.º 3: 5.000.000 euros
Reclamado: Banco Bilbao Vizcaya Argentaria, S.A.
Procedimiento Sancionador: PS/00070/2019
Infracción: Artículos 6, 13 y 14 del RGPD
Fecha de publicación: 13 de Enero de 2021

Motivo de la reclamación:

El formulario de recogida de datos personales del reclamado incumplió el derecho de información de los interesados. Asimismo, las bases legales empleadas por el reclamado para el tratamiento de datos (el consentimiento y el legítimo interés), no eran válidas.



Multa n.º 4: 3.150.000 euros
Reclamado: Mercadona, S.A.
Procedimiento Sancionador: PS/00120/2021
Infracción: Artículos 5.1.c), 6, 9, 12, 13, 25.1 y 35 del RGPD
Fecha de publicación: 27 de julio de 2021

Motivo de la reclamación:

La instalación de un sistema de reconocimiento facial en varias de las tiendas del reclamado. El sistema de reconocimiento facial capturaba automáticamente los datos biométricos de cualquier persona en la tienda y los contrastaba con una base de datos de muestras biométricas asociadas a las personas que habían sido condenados en sentencia firme con una orden de alejamiento sobre las instalaciones de Mercadona. El sistema fue considerado “altamente intrusivo” por afectar de manera indiscriminada a una cantidad indeterminada de ciudadanos a los que se les imponía de manera indirecta una medida de seguridad de naturaleza penal.



Multa n.º 5: 3.000.000 euros
Reclamado: Caixabank Payments & Consumer EFC, EP, S.A.U.
Procedimiento Sancionador: PS/00500/2020
Infracción: Artículo 6.1 del RGPD
Fecha de publicación: 21 de Octubre de 2021

Motivo de la reclamación:

El reclamado elabora perfiles de los datos personales de sus clientes para el desarrollo de su actividad comercial. Sin embargo, cuando la base jurídica en los procedimientos de perfilado llevados a cabo por el reclamado es el consentimiento, el mecanismo para la obtención de dicho consentimiento incumple la normativa de protección de datos personales.



Multa n.º 6: 1.500.000 euros
Reclamado: EDP Energía, S.A.U
Procedimiento Sancionador: PS/00236/2020
Infracción: Artículo 25 y 13 del RGPD
Fecha de publicación: 4 de mayo de 2021

Motivo de la reclamación:

El reclamado carecía de mecanismos para acreditar la representación de quien efectuaba una contratación en nombre de un tercero, o para acreditar la existencia de autorización por parte del representante para prestar consentimientos en nombre del representado para otros tratamientos de datos. Asimismo, la información aportada por el Reclamado tanto telefónicamente como en sus condiciones generales no era suficientemente transparente. En particular, la información sobre el responsable del tratamiento; las finalidades y bases legitimadoras de los tratamientos de datos; los tratamientos basados en el consentimiento del interesado; y el derecho de oposición del interesado.



Multa n.º 7: 1.500.000 euros
Reclamado: EDP Comercializadora, S.A.U.
Procedimiento Sancionador: PS/00037/2020
Infracción: Artículo 25 y 13 del RGPD
Fecha de publicación: 4 de mayo de 2021

Motivo de la reclamación:

El reclamado carecía de mecanismos para acreditar la representación de quien efectuaba una contratación en nombre de un tercero, o para acreditar la existencia de autorización por parte del representante para prestar consentimientos en nombre del representado para otros tratamientos de datos. Asimismo, la información aportada por el Reclamado tanto telefónicamente como en sus condiciones generales no era suficientemente transparente. En particular, la información sobre el responsable del tratamiento; las finalidades y bases legitimadoras de los tratamientos de datos; los tratamientos basados en el consentimiento del interesado; y el derecho de oposición del interesado.



Multa n.º 8: 1.000.000 euros
Reclamado: Equifax Ibérica, S.L.
Procedimiento Sancionador: PS/00240/2019
Infracción: Artículo 5.1.b) del RGPD. Artículo 6.1, en relación con el artículo 5.1.a) del RGPD. Artículos 5.1.c), 5.1.d) y 14 del RGPD.
Fecha de publicación: 26 de Abril de 2021

Motivo de la reclamación:

El reclamado trató datos personales recabados de anuncios publicados por las administraciones públicas para un fin incompatible con el de los anuncios. Concretamente, la finalidad de los anuncios publicados por las administraciones era la de notificar a los interesados de que estos eran parte en un procedimiento con la administración para garantizar su derecho constitucional a la tutela judicial. La finalidad para la cual el reclamado trató estos datos personales fue la de obtener un beneficio económico prestando un servicio a terceros relacionado con la información sobre la solvencia de los afectados.



Multa n.º 9: 600.000 euros
Reclamado: Air Europa Líneas Aéreas, S.A.
Procedimiento Sancionador: PS/00179/2020
Infracción: Artículos 32.1 y 33 del RGPD
Fecha de publicación: 18 de Marzo de 2021

Motivo de la reclamación:

El reclamado tuvo conocimiento de una brecha de seguridad de datos personales el 17 de octubre de 2018. Sin embargo, el reclamado comunicó a la AEPD dicha brecha de seguridad el 28 de noviembre de 2018, infringiendo el plazo de 72 horas establecido por el RGPD para comunicar una brecha de seguridad a la autoridad de control. Asimismo, las medidas de seguridad técnicas y organizativas implantadas por el reclamado no eran apropiadas para garantizar un nivel de seguridad adecuado al riesgo e impedir un acceso no autorizado a los datos de los clientes.



Multa n.º 10: 250.000 euros
Reclamado: Liga Nacional de Fútbol Profesional
Procedimiento Sancionador: PS/00326/2018
Infracción: Artículo 5.1.a) del RGPD
Fecha de publicación: 20 de agosto de 2019

Motivo de la reclamación:

La creación por el reclamado de una aplicación móvil que podía captar de forma indiscriminada sonido ambiente del lugar donde se encontrara el usuario. Esto podía implicar la captación de conversaciones con terceros que podrían desvelar datos personales.



Conclusión:

A la vista de los datos, podemos concluir que:

  • Las 9 primeras multas del presente ranking han sido impuestas en el 2021.
  • Seis de las multas del ranking están relacionadas con la falta de información al interesado (Arts. 13 y/o 14 del RGPD).
  • Cinco de las multas del ranking están relacionadas con la falta de licitud del tratamiento (Art. 6 del RGPD).
  • Las entidades financieras empiezan a acaparar las multas del ranking con un 40% del total de multas, seguidas por las empresas del sector de la energía, que acaparan un 20% de las multas
  • Las diez multas del actual ranking suman un total de 30.150.000 euros. En nuestro anterior ranking del 3er trimestre del 2021, el total era de 27.350.000 euros.
  • Para entender mejor el incremento en la actividad sancionadora de la AEPD: en nuestro ranking del 3er trimestre del 2020, el total de las diez multas ascendía a 1.095.000 euros.

Para la actualización del presente ranking, hemos utilizado la base de datos de procedimientos sancionadores de nuestro patrocinador, abc Compliance.


Desde el RGPD Blog continuaremos actualizando el presente ranking.


Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.

Comentarios

Subscribe
Notify of
guest
0 Comentarios
Inline Feedbacks
View all comments
Ir al TOP
0
Would love your thoughts, please comment.x