Más de 20 millones en multas por privacidad en lo que va del año

Continúa la escalada sancionadora en protección de datos y las empresas se ponen las pilas en esta materia

Multas protección de datos Pulsar sobre el gráfico para ampliar

Las cifras hablan por sí solas. La cuantía de las multas impuestas por la Agencia Española de Protección de Datos (AEPD) en estos primeros seis meses, casi 20,5 millones, está cerca de alcanzar dos tercios del total de las contabilizadas en todo 2021, 35 millones de euros. De acuerdo con la información recogida por La Ley en base a la información publicada por la AEPD, estas cifras parecen confirmar la escalada sancionadora en esta materia desde 2018, año en que entró en vigor el Reglamento General de Protección de Datos (RGPD). Es más, según la última memoria anual de la agencia, el salto de 2020 a 2021 supuso un incremento del 337%.

Unos datos que “impresionan”, afirma Paloma Bru, socia del departamento de TMT de Pinsent en Madrid. Tal y como valora la abogada, “al igual que ha ocurrido en otros países europeos, podemos confirmar una tendencia alcista de la actividad sancionadora de la autoridad de protección de datos”.

Mismo análisis comparte Paula Garralón, asociada del departamento de comercial y privacidad y protección de datos de Bird & Bird: “La AEPD es una de las autoridades europeas con una actividad sancionadora más elevada”. Esta intensa labor, añade Bru, “ha hecho que las empresas, de cualquier sector, coloquen en su mapa de ruta el cumplimiento de la protección de datos como uno de los riesgos que hay que abordar”.

Y es que las multas por privacidad se han convertido en un auténtico quebradero de cabeza para las empresas. El récord hasta la fecha lo ostenta Google, que fue sancionada en mayo de este año con 10 millones de euros por obstaculizar el derecho al olvido de los usuarios. La agencia concluyó que el formulario que el gigante tecnológico utilizaba para las peticiones ciudadanas era confuso y supuso el traslado de sus datos a un banco que recopila violaciones de copyright. “El segundo semestre del año probablemente continúe con esta tendencia, multas ejemplificadoras especialmente a aquellas compañías que concentran altas cuota de negocio en su sector”, vaticina Garralón.

Por áreas

Por otro lado, los ciudadanos también denuncian cada vez más las infracciones de protección de datos. El canal de denuncias de la agencia recibe año a año más comunicaciones, sobre todo en materia de videovigilancia, por instalar cámaras sin permiso o sin contar con las medidas de protección al usuario establecidas en la ley. Se trata del sector más multado del periodo, con 53 resoluciones de las cuales 33 acabaron con sanción. Sin embargo, el importe total de las multas en esta área suma poco más de 220.000 euros, con sanciones que van desde los 180 euros a un locutorio por colocar un sistema de videovigilancia sin cartel informativo, hasta los 170.000 euros a Mercadona por no proporcionar a la víctima de un accidente el vídeo de las cámaras de videovigilancia en el que aparecía el suceso. “Las empresas deben tener en cuenta que la instalación de sistemas de videovigilancia no supone carta blanca para poder grabar cualquier área y utilizar las imágenes captadas con fines diferentes a los de seguridad”, señala Bru. Por ello, agrega la experta, es necesario que, antes de instalar estos sistemas, las organizaciones realicen el correspondiente análisis de riesgos y determinen las medidas prácticas que deben cumplir.

Asimismo, por primera vez en 2022, la AEPD ha estimado los primeros recursos de reposición, anulando así cinco sanciones impuestas precisamente en el sector de la videovigilancia. En estos casos, sí se cumplía con la normativa, ya fuera porque las cámaras estaban bien señalizadas o porque simplemente no estaban funcionando y su instalación solo era disuasoria.

Los servicios de internet se sitúan en segundo lugar en cuanto a número de sanciones impuestas por la AEPD, con 24, aunque ostentan la primera posición en cuanto a cuantía total de las multas debido a los 10 millones de euros impuestos a Google. Las demás sanciones de este sector apenas suman 119.000 euros. Le sigue la contratación fraudulenta, área que cuenta con diez sanciones que suman 5,8 millones de euros. Muy de cerca, también con diez multas, aunque de mucha menor cuantía, algo más de 340.000 euros, se encuentra el sector de la publicidad a través de e-mail o móvil. En el quinto puesto están los asuntos laborales, cuyas siete multas ascienden a 2,2 millones de euros.

Por tipo de infracción

Del informe elaborado por La Ley también se desprende que en estos primeros seis meses de 2022 las obligaciones más vulneradas del RGPD son las relacionadas con la regla de la minimización, es decir, que las empresas se excedan pidiendo al usuario más datos de los necesarios para el fin concreto. El tratamiento ilícito de estos también es una de las infracciones más habituales de las organizaciones, bien por no contar con el consentimiento de la persona para usarlos para un propósito específico, o bien porque se exceden en el tratamiento de los mismos. Otra de las conductas más castigadas en estos meses ha sido no facilitar la información suficiente al interesado sobre el tratamiento que se va a hacer de sus datos.

Esta realidad evidencia, según Garralón, que, pese a que el RGPD es plenamente aplicable desde hace cuatro años, las empresas siguen aprendiendo y adaptando sus procesos a la normativa. “Se trata de una carrera de fondo donde el objetivo es lograr el equilibrio entre el cumplimiento de la norma y el éxito del negocio”, concluye la abogada. Las compañías, según constatan desde el despacho de Bru, se han empezado a poner las pilas: “Hemos observado cómo, a diferencia de lo que ocurría años atrás, las empresas dedican recursos, tanto legales como organizativos y técnicos, para fomentar el cumplimiento normativo en privacidad”.

Amonestaciones

Pese a que la AEPD no puede multar a las Administraciones públicas, el organismo continúa apercibiéndolas por incumplimientos en materia de privacidad. Así, este año la agencia ha amonestado a distintas entidades por exponer datos personales sin consentimiento o por desoír las peticiones de los usuarios de suprimir esta información, entre otros motivos.

En enero, advirtió al Ayuntamiento de Ourense (Galicia) por haber colgado en el tablón de la Jefatura de la Policía Local los datos personales de algunos trabajadores al publicar los periodos vacacionales que se les habían denegado. Ese mismo mes, se amonestó al Ayuntamiento de Sotoserrano (Salamanca) porque uno de sus concejales difundió, al reenviar por WhatsApp, un escrito por el que se solicitaba la retirada de tierra depositada alrededor de la tumba del padre del reclamante. Según alegó el consistorio, se debió a un intento de evitar un conflicto familiar entre la parte reclamante y sus primos. En febrero, el apercibido fue el Ayuntamiento de Villafranca de los Barros (Badajoz), por tirar a los contenedores documentos con datos personales sin haber tenido en cuenta los protocolos para desechar papel establecidos para estas ocasiones.

Tampoco se libró el Consejo General del Poder Judicial (CGPJ). El órgano de gobierno de los jueces fue apercibido por exponer datos personales de los magistrados en su web, como información curricular o de bajas médicas, a través del Portal de Transparencia. La AEPD también tiró de las orejas al CGPJ por no haber verificado que los buscadores ya no recogían la URL.

Top 10 de sanciones en Europa

  • 746 millones. Según recoge el informe ‘Sanciones en RGPD’ elaborado por Ecix Group, Luxemburgo ocupa el primer puesto en el ranking de sanciones por privacidad en Europa. Multó a Amazon con 746 millones de euros en julio de 2021.
  • 225 millones. Irlanda aparece en segunda posición. Sancionó con 225 millones de euros a WhatsApp en septiembre de 2021.
  • 90 millones. El tercer puesto es para Francia, que sancionó con 90 millones de euros a Google por incumplir la normativa de cookies en diciembre de 2021.
  • 60 millones. Francia también multó a Facebook en diciembre de 2021 por no permitir el rechazo de las cookies con 60 millones de euros.
  • 60 millones. Según la agencia francesa, Google vulneró la privacidad de sus usuarios instalando cookies, por lo que recibió una multa de 60 millones de euros en diciembre de 2021.
  • 50 millones. Francia sancionó con 50 millones de euros a Facebook en enero de 2021.
  • 35 millones. Alemania multó en octubre de 2020 a H&M por recopilar información de la vida privada de algunos empleados.
  • 27, 8 millones. Italia sancionó en enero de 2020 a TIM por no solicitar el consentimiento correctamente ni disponer de medidas de seguridad.
  • 26,5 millones. Italia multó en diciembre de 2021 a Enel Energía por realizar llamadas promocionales de manera indiscriminada.
  • 22 millones. Reino Unido sancionó en octubre de 2020 a British Airways debido a una brecha de seguridad en la que se expusieron datos de 500.000 clientes.
Normas
Entra en El País para participar