¡Pide presupuesto en 2 min! ✓
Denuncias & Sanciones

¿Cuál fue el importe de la multa a las primeras empresas que incumplieron el RGPD?

4 Mins read

El 2018 podemos definirlo como “el año de la Protección de Datos”.

Por todas vimos noticias sobre filtraciones, abusos y fugas de datos. Y sobre la importancia y necesidad de proteger la información sensible que manejamos.

Además, el 25 de mayo entró en vigor una normativa europea de referencia: el Reglamento europeo de Protección de Datos o RGPD.

Importantes multas

Una de las principales novedades del RGPD es el establecimiento de un severo procedimiento sancionador.

Con importantes multas de hasta 4% de los ingresos anuales de una empresa, o de hasta 20 millones de euros.

A la vista de esto, es normal que las empresas se preocupen de cumplir las obligaciones que establece la normativa y garanticen la protección de los datos personales que tienen en su poder.


“Sin embargo, menos de un 30% de las empresas han aplicado las medidas necesarias para adaptarse al RGPD.”


El mismo día de su entrada en vigor ya se presentaron las primeras reclamaciones por incumplimiento.

La organización sin ánimo de lucro noyb.eu presentó cuatro quejas contra Facebook, Instagram, WhatsApp y Android. La entidad argumentó que estas empresas obligaron a sus usuarios a aceptar los nuevos términos de servicio, algo que viola el requerimiento de otorgar de forma libre el consentimiento explícito, exigido en el RGPD.

El caso aún se está analizando, por lo que seguimos a la espera de conocer las consecuencias.

El Supervisor europeo de Protección de Datos, Giovanni Buttarelli, hace dos meses indicaba que antes de finalizar el año preveía las primeras sanciones.

Y así ha sido.

Primeras sanciones

En estos dos últimos meses hemos conocido las primeras sanciones por incumplimiento de la normativa de Protección de Datos.

Casa de apuestas austriaca

En octubre, una casa de apuestas en Austria fue la agraciada con la primera sanción.

Se le impuso una multa de 4.800 € por tener una cámara de seguridad que grababa parte de la acera. La vigilancia a gran escala de espacios públicos está prohibido por el RGPD.

Y tampoco se informaba adecuadamente de la realización de videovigilancia, lo que significa que las obligaciones de transparencia aplicables no se habían cumplido.

Hospital portugués

A finales de octubre conocimos la más importante de las sanciones relacionada directamente con el tratamiento y almacenamiento de datos personales.

La autoridad de Protección de Datos de Portugal impuso tres multas al Hospital do Barreiro: dos sanciones de 150.000 euros y otra de 100.000 euros. Las primeras dos multas de 150 mil euros fueron por violación del principio de confidencialidad, y la violación del principio de la minimización de los datos, que en teoría previene su acceso indiscriminado.

Había 985 médicos del hospital que tenían cuentas activas en el sistema que les daba acceso a expedientes clínicos, mientras el hospital tenía solo 296 médicos activos en la fecha de la inspección.

Se entendió que el Hospital actuó deliberadamente, sabiendo que era obligatorio aplicar las medidas técnicas y organizativas esenciales para:

  • Identificación y autenticación de los usuarios,
  • Administración y delimitación de su acceso a los perfiles de información
  • Garantía de la seguridad de la información

En total, el Hospital ha tenido que pagar un importe de 400.000 euros.

La multa fue relacionada con la incapacidad del hospital, como controlador de datos, de asegurar la confidencialidad y la integridad de los datos personales de los clientes.

Red social alemana

En noviembre se ha producido la última de las sanciones a una red social alemana, Knuddels.de.

Se impuso a esta red social una multa de 20.000 euros tras un hackeo que causó la filtración de unas 808.000 direcciones de correo y más de 1,8 millones de usuarios y contraseñas. Posteriormente, esta información fue publicada online en formato no cifrado.

La red social se defendió diciendo que una vez que fue descubierta la filtración, mejoró inmediatamente sus medidas de seguridad. Se descubrió después del incidente que la web no aplicaba ningún tipo de protección a la información sensible.

El sitio web actuó de forma transparente y aplicó inmediatamente medidas de seguridad. Por eso la multa no fue muy alta.

¿Y en España?

En nuestro país, de momento no se ha dado a conocer ninguna sanción por incumplimiento de la normativa de Protección de Datos.

Entonces, ¿significa que las empresas españolas ya están adaptadas a lo dispuesto por el nuevo RGPD?

Pues, para ser sinceros, no está la cosa para tirar cohetes.


“Cuanto más pequeña es la empresa, mayor desconocimiento tiene de sus obligaciones en materia de Protección de Datos.”


Según un informe publicado recientemente por la Agencia Española de Protección de Datos (AEPD) existe una cierta resistencia al cambio de modelo.

Las empresas siguen cayendo en los mismos errores de siempre:

  • Uso de formularios incorrectos para recabar datos y consentimiento
  • Comunicaciones electrónicas de carácter comercial a personas con un consentimiento anterior no válido desde la perspectiva del RGPD
  • No disponer de contratos o documentos jurídicamente vinculantes con sus encargados de tratamiento…

Hace unos días, la directora de la AEPD, en una entrevista comentó que en breve se publicaría la primera sanción En España por incumplimiento del RGPD y la nueva LOPDGDD.

Así que, es posible que, al igual que el Gordo de Navidad, caiga antes de fin de año.

E-book

Guía LOPDGDD

ebook guia lopdgdd

Nuevos importes para 2019

Comparadas con los importes máximos previstos por el RGPD, estas sanciones son bastante moderadas.

Pero las últimas filtraciones de datos producidas en British Airways, Marriott o Quora incrementarán previsiblemente esos importes.

¿Qué puedes hacer para evitar una multa del importe que sea?

Lo más importante que debes tener en cuenta es que prevenir es mejor que curar, y solo contando con la protección adecuada sobre los datos personales que maneja tu empresa puedes evitar las sanciones.

Empieza por saber exactamente dónde están estos datos y quién tiene acceso a ellos. Para hacer esto, es necesario tener soluciones de ciberseguridad avanzadas.

Y, sobre todo, no esperes a ser víctima del primer incidente de seguridad para hacerlo.

Entonces será demasiado tarde.

Related posts
Denuncias & Sanciones

¿Es delito falsificar la firma?

10 Mins read
Ya te respondemos de antemano. Sí, falsificar la firma es un delito. En este artículo profundizamos sobre las consecuencias que tiene la…
Denuncias & Sanciones

Denuncia de Protección de Datos a la AEPD

4 Mins read
¿Están usando tus datos de manera fraudulenta? ✅ Te explicamos cómo hacer una denuncia de protección de datos ante la AEPD ¡Entra ahora!
Denuncias & Sanciones

Prácticas agresivas en materia de protección de datos

6 Mins read
En los últimos meses, hemos oído hablar mucho sobre un tema hasta el momento desconocido, y es “ La Protección de Datos”….

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.