Las multas por infracciones de privacidad se endurecieron en 2024

En 2024, la Agencia Española de Protección de Datos (AEPD) ha impuesto 242 multas que suman más de 27 millones de euros. Según lo publicado hasta la fecha, la agencia ha tramitado 316 procedimientos sancionadores, de los cuales el 77% ha concluido con la imposición de una sanción económica. Unas cifras que se espera que se incrementen ligeramente cuando la agencia termine de publicar todas sus resoluciones del ejercicio pasado y lance su memoria anual el próximo mes de abril.

Para los expertos consultados por CincoDías, la actividad sancionadora de la AEPD en 2024 ha seguido la tendencia de años anteriores en cuanto a sectores con más multas e infracciones más castigadas. “Después del aumento exponencial de sanciones de la AEPD en los primeros años de entrada en vigor del RGPD [Reglamento General de Protección de Datos], parece que se van estabilizando, aunque sigue siendo la autoridad de control que más multas impone a nivel europeo”, afirma Paloma Arribas, socia de Baylos.

La mayor multa de 2024 se impuso en febrero a la empresa Enérgya-VM, la comercializadora de electricidad y gas de Grupo Villar Mir, que fue castigada con 5 millones de euros. Concretamente, ha sido sancionada por dos infracciones, cada una de ellas penalizada con 2,5 millones de euros, que consistían en irregularidades en el tratamiento de datos personales y por la falta de adopción de medidas adecuadas para prevenir contrataciones fraudulentas. “La empresa no informaba claramente a las personas a las que llamaba con fines comerciales sobre quién estaba detrás de la llamada y qué buscaban; además, no supervisaban de forma adecuada las prácticas de sus colaboradores”, explica Marcos Judel, presidente de la Asociación Profesional Española de Privacidad (APEP) y socio de Audens.

Esto confirma, como señala Leandro Núñez, socio de Audens, que las comercializadoras de energía junto con los operadores de telecomunicaciones vuelven a ser los sectores más expuestos a infringir la normativa de protección de datos. “Los motivos son principalmente dos: las gestiones a distancia en las que es difícil equilibrar procedimientos de atención al cliente y contratación ágiles con unas medidas sólidas de verificación de identidad y la cantidad de comerciales externos y tiendas franquiciadas con las que trabajan, lo cual les obliga a abrir a terceros el acceso a sus bases de datos”, alega el experto.

“Otro de los sectores más sancionados por infracciones de privacidad es el financiero”, añade Paula Garralón, asociada del departamento de commercial y privacidad y protección de datos de Bird & Bird. Y es que, comenta la abogada, al igual que sucede con los operadores de telecomunicaciones, las entidades financieras manejan un alto volumen de datos de clientes y en la prestación de sus servicios intervienen un gran número de proveedores, “lo que exige un alto grado de diligencia tanto durante la fase de selección y contratación como durante la prestación del propio servicio”. En este ámbito destaca, por ejemplo, la multa de 1,2 millones de euros a CaixaBank por imponer a un cliente una cesión de datos con la amenaza de que si no lo hacía le bloqueaban la cuenta bancaria.

Las sanciones de mayor importe han aumentado en 2024. En total, seis han sido las multas superiores al millón de euros, que han sumado 18 millones y han recaído en grandes corporaciones de los sectores financiero, telecomunicaciones y energía. “Las sanciones en estos sectores suelen ser especialmente elevadas porque implican a grandes compañías cuya facturación sirve como base para calcular la cuantía de las multas, tal y como establece el Reglamento General de Protección de Datos”, señala Marcos Judel. El experto advierte de que, aunque las grandes empresas son más visibles y tienden a acumular sanciones de mayor cuantía, las pymes también están bajo el foco de la AEPD y sus multas suelen oscilar entre los 600 y los 40.000 euros.

En cuanto a las causas de las sanciones, las brechas de seguridad lideran por cuantía, siguiendo la tendencia de lo que ya sucedió en 2023, año en el que la multa más elevada (6,5 millones de euros) que impuso la agencia fue por este motivo a The Phone House. En total, en 2024 las 21 multas por quiebras de seguridad han ascendido en total a 12,8 millones de euros.

Por otro lado, las malas prácticas relacionadas con la inscripción de ficheros y gestión de bases de datos de clientes (46 multas), la videovigilancia (41), los servicios de internet (36) o la publicidad a través de email o móvil (21) son las materias en las que la agencia ha impuesto más sanciones. Respecto a este último punto, Bartolomé Martín, socio responsable de protección de datos y ciberseguridad de ­Squire Patton Boggs, indica que, en 2024, la AEPD ha iniciado una nueva línea de acción, centrándose en la gestión de datos en el ámbito de la publicidad digital y el consentimiento para el uso de cookies. “Primero en enero y después en mayo de 2024, la AEPD revisó y actualizó la guía sobre el uso de las cookies que tiene publicada en su página web”, precisa.

Concienciación

El alto número de sanciones que impone la agencia al año está relacionado con la cada vez mayor concienciación de los ciudadanos. Según los datos de la última memoria publicada de la AEPD, en 2023 se presentaron 21.590 reclamaciones, la cifra más alta en la historia del organismo.

El motivo de esta subida exponencial de reclamaciones se debe a que la ciudadanía conoce cada vez más el reglamento y no dudan en reclamar ante violaciones de su privacidad. “El grado de tolerancia a las malas prácticas comerciales como el spam o el uso fraudulento de los datos es muy bajo, los clientes enseguida detectan un incumplimiento y saben dónde denunciarlo”, ejemplifica Paula Garralón.

El continuo crecimiento de las reclamaciones también repercute en un mayor interés de las compañías por cumplir con las normas de privacidad. “El aumento significativo de las sanciones, no solo en número sino también en cuantía, ha supuesto que las empresas inviertan tiempo y recursos en la protección de los datos que manejan, minimizando, en la medida de lo posible, los riesgos de una sanción”, apunta Paloma Arribas.

Sin embargo, a pesar del creciente interés de las compañías por cumplir con el RGPD, aún hay camino por recorrer, especialmente en un entorno como el actual, en el que la tecnología plantea nuevos retos. “La implementación de medidas de protección de datos en el área de ciberseguridad sigue siendo deficiente; particularmente, en lo que a la gestión de brechas de seguridad se refiere”, dice Bartolomé Martín. Las caídas del sistema o los posibles hackeos a la compañía siguen siendo frecuentes, lo que puede comprometer la privacidad de los usuarios y dar pie a nuevas reclamaciones en la agencia.

Multas en los tribunales

El daño económico y reputacional que supone una sanción de la AEPD para una empresa hace que muchas de ellas las recurran ante los tribunales con la intención de que las anulen o las rebajen. “En la mayoría de los casos, los tribunales confirman las resoluciones de la agencia al considerar que están bien fundamentadas y ajustadas a la normativa”, afirma Marcos Judel. Sin embargo, subraya el experto, existen situaciones en las que las empresas multadas “logran demostrar que las decisiones de la AEPD presentan errores de procedimiento, deficiencias en la motivación o falta de proporcionalidad en las sanciones, lo que lleva a los tribunales a anularlas o reducirlas”.

Un ejemplo es la reciente sentencia de la Audiencia Nacional, del pasado 29 de octubre, que ha reducido una multa de 170.000 euros impuesta a Mercadona dejándola en 7.000 euros. La agencia había sancionado a la cadena de supermercados por cometer dos infracciones: primero, por no dar respuesta en plazo a la solicitud de un cliente para ver las cámaras de videovigilancia, y segundo, por borrar antes de tiempo las imágenes que deberían haberse facilitado al consumidor para solicitar una indemnización. El tribunal ha corregido a la AEPD reduciendo el importe de la multa al entender que se había cumplido el plazo legalmente establecido para borrar las imágenes y dar por hecho que la víctima había iniciado un procedimiento judicial para recibir una indemnización, cuando en realidad no había reclamado ninguna compensación.

Otro ejemplo es la resolución dictada por la Audiencia Nacional respecto a una sanción de 8,5 millones de euros que la AEPD impuso a Vodafone en 2021 por hacer transferencias de datos personales a países extranjeros y por enviar información publicitaria y comercial a usuarios que ya habían mostrado su negativa a recibir este tipo de contenido. La Audiencia Nacional en su sentencia ha rebajado la sanción a 4,5 millones de euros porque, según los magistrados, la agencia carecía de la información necesaria para justificar una multa tan abultada.

Tendencias para 2025

Este año, los expertos en privacidad auguran que el foco de la actividad sancionadora de Protección de Datos se centrará en nuevos nichos que han emergido recientemente, como la inteligencia artificial, así como en ciberseguridad o en la protección de los menores en internet. Asimismo, no prevén que haya un aumento significativo del número de sanciones, a menos que el nuevo presidente de la AEPD incremente los recursos y puedan atender más procedimientos.

Además, el registro de viajeros puede convertirse en una fuente de reclamaciones y de sanciones. La nueva normativa exige a las empresas del sector turístico recopilar hasta 42 datos de los usuarios que quieran reservar, por ejemplo, una habitación de hospedaje o un vehículo. Los especialistas dudan hasta qué punto esta medida puede vulnerar el derecho a la privacidad de los ciudadanos. De hecho, Leandro Núñez solicitó al Ministerio del Interior el acceso a la evaluación de impacto para asegurarse de que esta medida es segura y no infringe las normas de privacidad, pero la respuesta que obtuvo es que no la hicieron.

“El registro de viajeros, en los términos en los que se ha implementado, me parece una barbaridad. Que no se haya realizado una evaluación del impacto justifica paralizar este registro; máxime, cuando va a incluir toda la información de nuestras tarjetas de crédito, que puede ser utilizada no solo para ciberestafas, sino también para conocer qué personas se han alojado bajo una misma reserva (con los peligros consecuentes para nuestra intimidad)”, critica Núñez.