En lo que llevamos de año, tras haber transcurrido un semestre, la AEPD ha impuesto sanciones que, en su totalidad, han llegado a la cuantía de 20,5 millones de euros aproximadamente, siendo casi dos tercios del total de la cuantía de 2021. De esta forma, se observa una “escalada sancionadora” de la AEPD desde 2018, convirtiéndose en una de las autoridades de protección de datos europeas que más sanciones ha impuesto y de mayor cuantía. El incremento es tal que la variación de la cuantía de las sanciones entre 2020 y 2021 es de un 337%.
¿Tu empresa trata los datos de carácter personal cumpliendo con la normativa vigente? Contrata nuestro servicio de revisión y actualización de Protocolos en Protección de Datos y evita cualquier tipo de infracción.
La mayor sanción va para Google
Por ahora, la sanción más elevada ha sido impuesta a Google al “ceder datos a terceros sin legitimación y obstaculizar el derecho de supresión”, en palabras de la AEPD, imponiendo una multa de 10 millones de euros. Esta sanción se produce en el ámbito de los servicios de Internet, donde se han dado las multas más altas en cuantía (10.1119.200 €), pero no en número (24), siendo el sector donde más sanciones se han impuesto el de la videovigilancia, con 33 resoluciones, aunque de un importe total de 220.000 €; no obstante, en este campo se han estimado por primera vez recursos de reposición, anulando cinco sanciones, pues se cumplía con la normativa (en la que se recomienda, antes de instalar esos sistemas, realizar análisis de riesgo y evaluar las medidas prácticas a cumplir).
El panorama en otros sectores
Respecto al resto de sectores, le siguen la contratación fraudulenta, con 10 sanciones, y una cuantía de 5.879.000 €; las relativas a publicidad enviada por e-mail o móvil, con el mismo número que la anterior, y la cuantía de 340.900 €; y lo relacionado con asuntos laborales, con 7 sanciones y una cuantía de 2.248.300 €. Asimismo, en el sector de las entidades financieras, la cuantía de las sanciones ascendió a 1.208.000 €, siendo una de las últimas a BBVA por producirse una brecha de confidencialidad y no disponer de medidas técnicas u organizativas para prevenir dicha situación.
En cuanto a las disposiciones de la normativa más vulneradas, la primera es el incumplimiento de la regla de minimización, al excederse en los datos solicitados de los interesados (art. 5.1.c RGPD). Le sigue el tratamiento ilícito de los datos personales (art. 13 RGPD), el no facilitar información suficiente al interesado sobre el tratamiento que se va a hacer de sus datos (art. 13 RGPD), la falta de confidencialidad en el tratamiento (art. 5.1.f RGPD), y las brechas de seguridad (art. 32 RGPD).
Cada vez más sujetos infractores
Otro aspecto a destacar del ejercicio sancionador de este año de la AEPD es la variedad de sujetos infractores, pues comprende desde grandes empresas (Google, BBVA, Amazon, Vodafone, etc.); pequeñas (hoteles, asesorías, comercios, etc.); administraciones públicas y órganos constitucionales, en cuyo caso la sanción consiste en una amonestación (el Ayuntamiento de Ourense por publicar datos personales de trabajadores en el tablón de la Jefatura de la Policía Local; la Secretaría de Estado de Digitalización e Inteligencia Artificial por vulneraciones de la privacidad de los usuarios de “Radar COVID”; o el CGPJ por publicar datos personales de los magistrados en su web; etc.), además de a personas físicas (por ejemplo, una mujer que grabó a unos menores en un colegio y difundió posteriormente el video con el fin de humillarlos, con una multa de 10.000 €).
Así pues, la actividad sancionadora de la AEPD, que ha llegado a constituir casi el 50% de las multas impuestas en la Unión Europea (seguida de las autoridades de Italia, Rumanía, Alemania, y Noruega) incentiva a que las empresas y ciudadanos traten de adaptarse a la normativa que entró en vigor hace cuatro años, pues es más que seguro que en el segundo semestre de este año la agencia continúe con esta tendencia, y sirva de ejemplo para hacer ver que cualquiera está sujeto y obligado a cumplir con la normativa de protección de datos.
