Infringir el RGPD sale caro: las 5 multas más altas impuestas en España

En 2021, la agencia española suma casi la mitad de la cuantía de las infracciones impuestas en toda Europa.

Desde mayo de 2018, las estrategias de las empresas de la Unión Europea (UE) relativas al tratamiento de datos se han visto truncadas tras la entrada en vigor del Reglamento General de Protección de Datos (RGPD). Este endurece las condiciones anteriores y su vulneración puede conllevar al pago de hasta 50 millones de euros, la multa más alta impuesta en el continente por la agencia francesa a Google.

El número de sanciones impuestas por la Agencia Española de Protección de Datos (AEDP) ascendió a 34 durante el primer trimestre de 2021. Entre todas suman 15,7 millones de euros, lo que supone casi la mitad del total europeo (33,61 millones de euros). Estos datos, que evidentemente han aumentado durante el segundo trimestre del año, sitúan a la autoridad española a la cabeza en el ranking continental.

Dada la relevancia de estos números, te revelamos las cinco multas más cuantiosas, en términos brutos, impuestas en España por infringir el RGPD:

Primera: 8.150.000 euros a Vodafone España, S.A.U.
La más alta de las cuantías por llevar a cabo, durante meses, una actividad de mercadotecnia y prospección comercial mediante llamadas telefónicas y envío de correos electrónicos y SMS infringiendo distintas normas legales.

Procedimiento n.º: PS/00059/2020.
Fecha de publicación: 11 de marzo de 2021.

Segunda: 6.000.000 euros a CaixaBank, S.A.
Por recoger y tratar datos personales incumpliendo el derecho de información de los interesados. Asimismo, el reclamado utilizaba para diversos tratamientos de datos bases jurídicas para el consentimiento y el interés legítimo no válidas.

Procedimiento n.º: PS/00477/2019.
Fecha de publicación: 13 de enero de 2021.

Tercera: 5.000.000 euros a Banco Bilbao Vizcaya Argentaria, S.A.
La reclamación se efectuó por el uso de un formulario de recogida de datos que incumplía con el derecho de información de los interesados. Al igual que en el anterior caso, la entidad utilizaba bases legales para el tratamiento de datos –el consentimiento y el legítimo interés– no válidas.

Procedimiento n.º: PS/00070/2019.
Fecha de publicación: 13 de enero de 2021.

Cuarta: 1.500.000 euros a las empresas EDP Energía, S.A.U. y EDP Comercializadora, S.A.U., ambas del grupo EDP España.
La entidad carecía de mecanismos para acreditar la representación de quien efectuaba una contratación en nombre de un tercero o para acreditar la existencia de autorización por parte del representante para prestar consentimientos en nombre del representado para otros tratamientos de datos. Asimismo, la información aportada por EDP Energía, tanto telefónicamente como en sus condiciones generales, no era suficientemente transparente. En particular, la información sobre el responsable del tratamiento; las finalidades y bases legitimadoras de los tratamientos de datos; los tratamientos basados en el consentimiento del interesado; y el derecho de oposición del interesado.

Procedimientos n.º: PS/00236/2020 y PS/00037/2020.
Fecha de publicación: 4 de mayo de 2021.

Quinta: 1.000.000 euros a Equifax Ibérica, S.L.
El reclamado trató datos personales recabados de anuncios publicados por las administraciones públicas para un fin incompatible con el de los anuncios. Concretamente, la finalidad de los anuncios publicados por las administraciones era la de notificar a los interesados de que estos eran parte en un procedimiento con la administración para garantizar su derecho constitucional a la tutela judicial. La finalidad para la cual el reclamado trató estos datos personales fue la de obtener un beneficio económico prestando un servicio a terceros relacionado con la información sobre la solvencia de los afectados.

Procedimiento n.º: PS/00240/2019.
Fecha de publicación: 26 de abril de 2021.

A la vista de los datos, podemos concluir lo siguiente:

• Las cinco multas más elevadas por infringir el RGPD se han impuesto en este 2021.

• Cuatro de las cinco infracciones tienen relación con la falta de información al interesado (art. 13 del RGPD).

• Las empresas sancionadas son de diferentes sectores: energía, entidades financieras o pertenecientes al sector de las telecomunicaciones.

Si no quieres aparecer en este ranking, ni siquiera en su parte más baja, recuerda que el RGPD es de obligado cumplimiento para todos los autónomos y empresas, independientemente de su actividad y tamaño.

De hecho, también encontramos microempresas en la clasificación por infringir el RGPD, caso de un bazar, un negocio de automoción o un restaurante, que han tenido que pagar 540, 800 y 900 euros, respectivamente, por infringir algunos artículos del RGPD.

En Uning ofrecemos un servicio integral de auditoría y consultoría que abarca todos los aspectos de cumplimiento de la ley para que no te llegue ningún susto en forma de multa.