Desde la entrada en vigor del RGPD y la LOPDGDD en 2018 en España, la AEPD ha impuesto numerosas sanciones a diferentes empresas, aunque no fue hasta el año 2021 cuando empezaron a imponerse algunas de las sanciones más elevadas por vulneración de la protección de datos. En este artículo recorreremos las empresas sancionadas por la ley de protección de datos, tanto en España como a nivel internacional.
¿Cuáles son las empresas sancionadas por la Ley de Protección de Datos en España?
Aunque España no encabeza la lista de los países que más dinero han abonado en sanciones de la ley de Protección de datos (el montante total asciende a 55.962.650 €, lejos de los 746.273.600 € que suma Luxemburgo), sí que tiene el dudoso honor de ser el país en el que más sanciones se han impuesto desde la entrada en vigor del RGPD (452 resoluciones sancionadoras para ser exactos).
Fuente Enforcementtracker.com
Como repasar la lista completa de empresas sancionadas por la ley de protección de datos en España desde su entrada en vigor en 2018 sería una tarea complicada, nos vamos a centrar en las sanciones de protección de datos de 2021, en concreto en las 9 empresas más sancionadas por la AEPD, algunas de las cuales se han convertido en las multas más elevadas impuestas por la autoridad de control española en los últimos años.
Este particular top 9 de empresas sancionadas por vulnerar la ley de protección de datos está formado principalmente por compañías de telefonía, empresas de suministro de energía y bancos. Y las violaciones de protección de datos cometidas son variadas, desde no cumplir con el deber de informar, pasando por el envío de comunicaciones comerciales sin consentimiento, hasta el tratamiento de datos de categorías especiales sin legitimación.
Encabeza la lista de empresas sancionadas por vulnerar la normativa de protección de datos, Vodafone, con 24 multas en 2021 que suman un total de 9,4 millones de euros. De esas 24 multas, la más elevada ha sido una de 8.150.000 €, impuesta por los centenares de quejas que recibió la AEPD de usuarios que recibieron comunicaciones no solicitadas de la compañía a través de llamadas, SMS y correos electrónicos, con muchos de esos usuarios apuntados en la Lista Robinson.
En el segundo escalafón de este podium de las empresas más sancionadas por la AEPD en 2021, encontramos a CaixaBank, con 3 multas que suman 9,05 millones de euros. La sanción más elevada es una por 6 millones de euros, por obligar a sus clientes a aceptar las nuevas políticas de privacidad de la entidad, que entre otras cosas, les obligaba a aceptar que sus datos personales se compartieran entre todas las empresas del grupo.
Cierra el top 3 de las empresas más multadas BBVA, con 3 multas por 5,15 millones de euros. La sanción más alta de las tres es de 5 millones de euros, impuesta por la AEPD a la entidad financiera por no tener implementados los mecanismos adecuados para recabar el consentimiento expreso de sus clientes para el tratamiento de sus datos. Esta sanción se divide en dos realmente, una de 3 millones por vulnerar el artículo 6 del RGPD y otra de 2 millones por vulneración del artículo 13 del RGPD.
El número cuatro del ránking de sanciones a empresas en España por vulneración de la ley de protección de datos lo ocupa EDP, una empresa energética portuguesa que opera también en España. EDP acumula dos multas por valor de 3 millones de euros (1,5 millones de multa para dos de sus empresas filiales). La causa, no informar debidamente a sus clientes sobre cómo se recopilaban sus datos.
Mercadona, con una sanción de 2,52 millones, ocupa el quinto puesto. El motivo de esta sanción tuvo bastante repercusión mediática, ya que la multa se impuso por el uso de cámaras de reconocimiento facial en varios establecimientos de la cadena de supermercados, para detectar si en dichas tiendas entraban personas con orden de alejamiento del local o de alguno de sus trabajadores. Se trató solo de un proyecto piloto, pero que, según la AEPD e incluso el SEPD, no contaba ni con la justificación y legitimación suficiente, además de las garantías de seguridad necesarias.
En la sexta posición encontramos a Equifax, con dos multas que suman 1,05 millones de euros. La sanción más elevada impuesta a esta empresa, que gestiona uno de los ficheros de morosos más conocidos de España, ascendió al millón de euros. El motivo, muchos de los datos que formaban parte del Fichero de Incidencias Judiciales eran incorrectos y otros figuraban allí sin consentimiento, además, Equifax no informó a los afectados del procesado de sus datos.
En el puesto número siete, encontramos a Air Europa y una multa por 600.000 euros, impuesta por no informar de una brecha de seguridad en plazo. La empresa sufrió un ciberataque que dejó expuestos datos de contacto y cuentas bancarias de 498.000 personas. La sanción tiene dos motivos, el primero, no haber adoptado las medidas técnicas y organizativas adecuadas para evitar o, cuanto menos reducir el impacto, de un incidente de este tipo, y, el segundo, por informar de ello 41 días después (cuando la ley establece un plazo máximo de 72 horas tras tener conocimiento de la brecha).
En la octava posición encontramos a otra energética, Iberdrola, con tres multas que suman 306.000 euros. La más alta fue la sanción de 200.000 euros impuesta a I-DE Redes Eléctricas Inteligentes SAU (que pertenece al grupo), por enviar cartas a clientes de otras dos comercializadoras del grupo.
Finalmente, en noveno lugar tenemos a Telefónica con tres multas por 165.000 euros. Una de las multas de 75.000 euros se debió a una transferencia de datos no ajustada a derecho. Otra multa de 75.000 euros fue por no hacer las comprobaciones necesarias en un caso de suplantación de identidad para traspasar un número de teléfono a otro contrato. Y la multa de 45.000 euros debió a la denuncia de un usuario que había recibido en dos días 250 llamadas de la compañía; su número y perfil de usuario se usó sin su consentimiento para hacer pruebas de llamadas de marketing.
¿Cuáles son las empresas más sancionadas por vulnerar la protección de datos a nivel internacional?
En lo que respecta a empresas más sancionadas por la ley de protección de datos a nivel internacional, desde la entrada en vigor del RGPD, nos encontramos el siguiente top 10, del que no forman parte ninguna de las empresas españolas que hemos visto en el punto anterior (lo que quiere decir que la AEPD no es la autoridad de control que está imponiendo las sanciones con cuantías más elevadas):
| Compañía | Cuantía de la multa | País sancionador | Artículos del RGPD vulnerados |
|---|---|---|---|
| 1. Amazon | 746 millones de euros | Luxemburgo | No se especifican |
| 2. WhatsApp (Meta) | 225 millones de euros | Irlanda | 5.1.a, 12, 13 y 14 |
| 3. Google | 50 millones de euros | Francia | 13, 14, 6 y 5 |
| 4. H&M | 35,25 millones de euros | Alemania | 5 y 6 |
| 5. TIM | 27,8 millones de euros | Italia | 5, 6, 17, 21 y 32 |
| 6. British Airways | 22 millones de euros | Reino Unido | 5.1.f y 32 |
| 7. Marriott International | 20,4 millones de euros | Reino Unido | 322 |
| 8. Wind Tre | 16,7 millones de euros | Italia | 5, 6, 12, 24 y 25 |
| 9. Vodafone Italia | 12,25 millones de euros | Italia | 5.1.2, 6.1, 7, 15.1, 16, 21, 24, 25.1, 32 y 33 |
| 10.Notebooksbilliger.de | 10,4 millones de euros | Alemania | 5 y 6 |
Cabe señalar que algunas de estas sanciones están recurridas, como ocurre con la de Amazon.
Como podéis ver, no tener la protección de datos en empresas puede tener un coste muy alto(recordemos que el RGPD establece un máximo de 20 millones de euros o el 4% del volumen de facturación anual si es superior para las infracciones más graves), incluso para pymes o autónomos, aunque las cuantías no alcancen cifras tan elevadas como las vistas a lo largo de este artículo, sí que pueden suponer una cantidad importante para ellas en proporción a sus ingresos.
Por ese motivo y para evitarlo, adaptarse a la normativa de protección de datos si todavía no lo has hecho, debería ser tu prioridad. En Grupo Atico34 podemos ayudarte a cumplir con la ley y asesorarte ante cualquier duda que tengas en materia de protección de datos.