Sanciones RGPD recientes: Comentarios y ejemplos

Última modificación el 16 junio, 2023

Sanciones RGPD y LOPDGDD

Desde la entrada en vigor del RGPD, son numerosas las sanciones interpuestas por las diferentes Autoridades de Control europeas y dirigidas a compañías de diversa índole y ámbito de actuación. En la actualidad y derivado de las resoluciones interpuestas por dichas Autoridades, se evidencia que el incumplimiento que se repite con mayor asiduidad en las compañías es el tratamiento de los datos personales sin contar con una base legítima suficiente. No obstante, también se repiten sanciones que versan sobre aplicación de medidas y controles de seguridad insuficientes o relacionadas con la omisión del deber de información al interesado, la falta de consentimiento expreso para el envío de comunicaciones comerciales, entre otros.

Tal como vemos, el foco de las sanciones no se centra en compañías de sectores específicos o áreas concretas, puesto que el manejo de datos de carácter personal está a la orden del día en cualquier actividad o sector de negocio. Por ello, es fundamental que las compañías identifiquen sus tratamientos de datos personales y estén concienciadas en el cumplimiento de la normativa en materia de protección de datos personales, trasladando dicho ejercicio de concienciación a sus empleados. Estos son la primera línea de defensa y como tal deben responsabilizarse de seguir las medidas de control que la compañía adopta.

Ejemplos de las infracciones más representativas de Europa

De cara a comentar las infracciones más representativas a escala europea, las cuales coinciden también con algunas de las sanciones más cuantiosas a nivel económico, éstas van dirigidas a grandes compañías como: WhatsApp Ireland, Google LLC, Facebook Ireland, British Airways o Vodafone España.

Tratamiento de datos personales sin contar con una base legítima suficiente y en relación también con la utilización de consentimientos viciados, Google LLC y Facebook Ireland fueron sancionadas por concluir que, aunque sus sitios web ofrecían botones para aceptar cookies inmediatamente, no había una solución equivalente que permitiera al usuario rechazar las cookies con la misma facilidad. De hecho, se requerían varios clics para rechazar todas las cookies, en contraste con un solo clic para aceptarlas; concluyéndose que los usuarios aceptarían el uso de cookies con mayor frecuencia al resultarles menos enrevesado.
Omisión del deber de información al interesado, WhatsApp Ireland fue sancionada por incumplir el principio de transparencia al no informar al interesado del tratamiento de sus datos «de forma concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo«. Entre otros aspectos, se consideró que la información proporcionada era de carácter muy general y sin sentido. Los usuarios a menudo tenían que superar múltiples enlaces para obtener la información en el sitio web de WhatsApp. En este sentido, se concluyó que no es razonable esperar que los usuarios busquen en el sitio web de WhatsApp, al no encontrar suficiente información en la propia declaración de privacidad de la aplicación.
Infracciones ocasionadas por incidentes de seguridad, cabe destacar la sanción impuesta a British Airways a raíz de un incidente de seguridad que implicó que parte del tráfico de usuarios de su sitio web se desviara a un espacio fraudulento. A través de dicho espacio, los atacantes recopilaron datos personales de sus clientes. En este caso, se concluyó que la información se vio comprometida por arreglos de seguridad deficientes en la compañía.

Finalmente, en el ámbito nacional, la sanción más elevada hasta la fecha continúa siendo la impuesta a Vodafone España por el uso de los datos sin base legítima suficiente, así como por el cumplimiento insuficiente de los derechos de los interesados. En concreto, fue sancionada por realizar acciones comerciales sin consentimiento de los interesados y/o sin atender el ejercicio del derecho a oponerse al envío de nuevas notificaciones. Además, muchos de los interesados contactados se encontraban dados de alta en el Listado Robinson (servicio de exclusión publicitaria, a disposición de los consumidores, que tiene como objetivo disminuir la publicidad que éstos reciben).

Algunas de las compañías sancionadas y sus causas

Sanción Meta – Mayo 2023

La Autoridad de Protección de Datos irlandesa ha multado a Meta Platforms Ireland Limited con 1.200 millones de euros, por la infracción del artículo 46 del RGPD, al seguir transfiriendo datos personales de la UE/EEE a los EE.UU. en relación con la prestación de su servicio de Facebook, después de la sentencia Schrems II del TJUE. Se trata de la multa más elevada impuesta hasta la fecha en virtud del RGPD.

Aunque Meta basaba la transferencia internacional de los datos en las garantías que ofrece la firma de cláusulas contractuales tipo, junto con salvaguardas adicionales, tras la sentencia de Schrems II se declaró que estas medidas son insuficientes frente a la falta de garantías que ofrece la legislación estadounidense.

Dicha investigación tuvo inicio en agosto de 2020 por parte de la Autoridad de Protección de Datos irlandesa, donde se constató en un proyecto de decisión que las transferencias de datos se estaban llevando a cabo infringiendo el art. 46, apartado 1, del RGPD: “A falta de decisión con arreglo al artículo 45, apartado 3, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas”. En este sentido, dichas transferencias de datos debían suspenderse.

Dicho proyecto se presentó a diversos reguladores de la EU/EEE, los que estuvieron de acuerdo con la decisión de la Autoridad de Protección de Datos irlandesa. Además, consideraron que Meta debía ser multada con una sanción administrativa por dicha vulneración. Debiendo también tomar medidas correctoras sobre los datos personales que venían transfiriendo a EE.UU. desde julio de 2020.

No obstante, ante la falta de legitimación de poderes correctivos de la Autoridad de Protección de Datos irlandesa, esta lo derivó al Comité Europeo de Protección de Datos Personales para su pronunciamiento.

En fecha 13 de abril de 2023, el Comité Europeo de Protección de Datos se pronunció al respecto y la Autoridad de Protección de Datos irlandesa, tomando en consideración el pronunciamiento del Comité, en fecha 12 de mayo de 2023 registró el ejercicio de los siguientes poderes correctivos:

Una orden, dictada de conformidad con el artículo 58, apartado 2, letra j), del RGPD, por la que se exige a Meta Ireland que suspenda cualquier transferencia futura de datos personales a los EE.UU. en el plazo de cinco meses a partir de la fecha de notificación de la decisión de la Autoridad de Protección de Datos irlandesa a Meta Ireland;
Una multa administrativa por importe de 1.200 millones de euros (que refleja la conclusión del Comité Europeo de Protección de Datos de que debía imponerse una multa administrativa, para sancionar la infracción que se constató que se había producido. En este punto, la Autoridad de Protección de Datos irlandesa determinó el importe de la multa que debía imponerse por referencia a las evaluaciones y determinaciones que se incluyeron en la decisión del Comité Europeo de Protección de Datos); y
Una orden, dictada de conformidad con el artículo 58, apartado 2, letra d) del RGPD, por la que se exija a Meta Ireland que ajuste sus operaciones de tratamiento a lo dispuesto en el capítulo V del RGPD, debiendo poner fin al tratamiento ilícito, incluido el almacenamiento, en los EE.UU. de datos personales de usuarios de la UE o del EEE transferidos en violación del RGPD, en un plazo de 6 meses a partir de la fecha de notificación de la decisión de la Autoridad de Protección de Datos irlandesa a Meta Ireland.

Sanción Vodafone España, S.A.U. – Mayo 2022

Encabezando el ranking de sanciones, a Vodafone España, S.A.U. se le ha impuesto recientemente una sanción administrativa por valor de 8.150.000,00 € al evidenciar, no sólo el incumplimiento de varias disposiciones normativas, sino por contar con la suma de agravantes que han permitido cuantificar la sanción hasta esa cifra, tales como contar con multas o apercibimientos desde enero de 2018 a febrero de 2020 en más de 50 ocasiones; existencia de 162 reclamaciones en el plazo de algo menos de dos años según consta en la AEPD o que el hecho infractor haya aumentado los beneficios de la entidad, entre otros.

En concreto, Vodafone España, S.A.U. es sancionada por realizar acciones comerciales sin que hayan sido solicitadas o expresamente autorizadas por los interesados y/o sin atender el ejercicio del derecho a oponerse al envío de nuevas notificaciones. Además, muchos de los interesados contactados se encontraban incluso dados de alta en el Listado Robinson (servicio de exclusión publicitaria, a disposición de los consumidores, que tiene como objetivo disminuir la publicidad que éstos reciben). Como conclusión, la AEPD evidencia que la entidad no tiene implantado para las acciones de mercadotecnia métodos ni medios organizativos y técnicos que verifiquen, ni siquiera por procedimientos estadísticos, la licitud de los datos objeto de tratamiento, su origen, su filtrado previo con los listados internos de exclusión publicitaria y generales de exclusión Robinson, ni con los de las entidades a las que le ha encargado los tratamientos (encargadas del tratamiento), ni derechos de oposición ejercidos por los afectados ante una y otras.

Sanción Caixabank S.A. – Marzo 2022

Por otro lado, a Caixabank, S.A. se le ha impuesto una sanción administrativa por valor de 6.000.000,00 € al evidenciar el incumplimiento del principio de trasparencia establecido en los artículos 13 y 14 del RGPD, así como el principio de licitud del tratamiento regulado en el artículo 6 del RGPD, en lo que al Contrato Marco de Caixabank que debían firmar los clientes de la entidad se refiere.

En relación con el principio de transparencia, la AEPD considera que “CAIXABANK no informa de manera clara y sistemática sobre los tratamientos de datos personales ni las finalidades para las que serán utilizados”. Esto se traduce en que los clientes no reciben con claridad las finalidades para las que se van a tratar sus datos, ya que se utilizan expresiones como: “personalizar su experiencia comercial en nuestros canales”, “estudiar productos o servicios que puedan ser ajustados a su perfil y situación comercial o crediticia”, “definir o mejorar las experiencias de los usuarios”… Igualmente, se detecta que para un mismo tratamiento, unas veces se legitima su uso en el interés legítimo y otras veces en el consentimiento expreso, lo que implicaría que un tratamiento no consentido se termine realizando en base al interés legítimo, generando confusión en el interesado.

En relación con el principio de licitud, se evidencia que Caixabank recaba en un único consentimiento el envío de comunicaciones comerciales por parte de Caixabank y de cualquier de las empresas del grupo Caixabank. Por tanto, el consentimiento no cumple con los requisitos de consentimiento efectivo al no ser específico, ya que debe solicitarse un consentimiento por cada finalidad/entidad. Igualmente, se deduce que el consentimiento tampoco es libre porque al ser un contrato de adhesión, el interesado no tiene capacidad para modificarlo y, por tanto, se le impone obligatoriamente la cesión de información personal entre Caixabank y el resto de las entidades que integran el grupo.

Sanción RFEF – Febrero 2022

Hace unos días nos hacíamos eco de la reciente sanción interpuesta por la AEPD a la Real Federación Española de Fútbol (RFEF), por un valor de 200.000 euros por la infracción del artículo 13 y del artículo 6.1 del RGPD.

La resolución del procedimiento sancionador PS/00368/2021, concluye que la RFEF ha vulnerado los preceptos del RGPD, por un lado, por grabar sin consentimiento de sus participantes una reunión que tuvo lugar de forma telemática el día 7 de abril de 2020 a través de la plataforma Zoom y, por otro lado, por difundir extractos de audio de la reunión a dos medios de comunicación sin el consentimiento, ni el conocimiento de dichos participantes.

Según indicaron los reclamantes, muchos de los participantes no formaban parte del organismo que convocó las reuniones, la RFEF, ni estaban sometidos a sus normas internas, por lo que desconocían norma alguna que regulara el funcionamiento y organización de las reuniones.

La RFEF en su defensa alegó, entre otros aspectos, que:

En la primera reunión celebrada el 12 de marzo de 2020 ya se informó de que la reunión iba a ser grabada
Todos los asistentes podían comprobar que la reunión estaba siendo grabada puesto que en todo momento figuraba un piloto rojo situado en la parte superior izquierda de la pantalla junto a una indicación que informaba “grabando”, aspecto sobre el que ningún asistente mostró disconformidad
En cuanto a las cesiones de datos, que la RFEF facilitó los ficheros de audio a los medios de comunicación que así lo solicitaron para corregir unas inexactitudes de un comunicado de presa, habida cuenta del interés público y transcendencia social de los temas tratados en la reunión del 7 de abril, relativos al impacto del Covid-19 en el mundo del fútbol

Vulneración del artículo 13 del RGPD

Respecto a la sanción por vulneración del art. 13 del RGPD, la AEPD desmonta los argumentos de la RFEF alegando que, ningún momento, la RFEF aporta prueba que evidencie la informados de todos los aspectos indicados en dicho precepto. Cabe matizar, que la única referencia que existe a que las reuniones iban a ser grabadas fue: “(…) Estamos grabando la reunión para que quede constancia de todo, ¿vale?”, es decir, sin ofrecer ningún tipo de información adicional. Además, teniendo en cuenta que a la segunda reunión acudieron más asistentes que a la primera, los cuales no conocían lo que se dijo en la primera reunión. Adicionalmente, tampoco se informó a los asistentes de la segunda reunión de que la grabación iba a ser cedida a los medios de comunicación.

La AEPD, para terminar con este punto, cierra alegando que «la propia RFEF confirma que, después de haber tenido la segunda reunión se elaboró una cláusula informativa en la que se detallan los extremos recogidos en el artículo 13 del RGPD, de lo cual, se desprende que, antes de las reuniones del 12/03/20 y del 07/04/20, no existía ningún tipo de documento en la RFEF que informase sobre estos extremos a los asistentes a las reuniones”.

Respecto a la sanción por vulneración del art. 6.1 del RGPD, aunque la RFEF se acogió al derecho a la libertad de información y expresión reconocido en el art. 20 de la CE, la AEPD recuerda que la RFEH ya ejerció dicho derecho cuando emitió la nota de prensa para la corrección de las inexactitudes y divergencias del comunicado de prensa. De ello se desprende que no era necesario facilitar los ficheros de audio para llevar a cabo tales correcciones y, más aún, cuando la cesión de la grabación y su posterior divulgación puso también en conocimiento de la opinión pública, opiniones personales de los asistentes que no tenían nada que ver con el tema que se trataba en la reunión.

Banco Bilbao Vizcaya Argentaria – Diciembre 2020

Finalmente, debemos destacar la sanción impuesta a Banco Bilbao Vizcaya Argentaria, S.A. por valor de 5.000.000,00 € al evidenciar, al igual que en el caso anterior, el incumplimiento de la obligación de información al interesado y la recogida ilegítima de consentimientos.

En relación con el deber de información, no incidiremos en exceso, ya que el incumplimiento detectado sigue la línea del caso de Caixabank, es decir, la AEPD estima que el BBVA no es claro en la terminología empleada en sus condiciones legales al emplear terminología imprecisa y formulaciones vagas – “… para que desde BBVA podamos atender mejor tus expectativas y podamos incrementar tu grado de satisfacción”. Asimismo, también existe incongruencia respecto de las bases legitimadoras utilizadas, ya que una misma finalidad se encuentra legitimada en el interés legítimo y en el consentimiento.

Cabe destacar en el caso de BBVA, la deficiencia en la recogida del consentimiento de los interesados, ya que el BBVA legitima el consentimiento con la aceptación y firma de la política de privacidad y la no marcación de las casillas de oposición habilitadas. Como ejemplo, si el interesado no quería recibir comunicaciones comerciales, debía marcar la casilla “NO quiero que BBVA trate mis datos para ofrecerme productos y servicios de BBVA, del Grupo BBVA y de otros personalizados para mí”. De lo contrario, se entendía que el interesado sí estaba interesado en recibir dichas comunicaciones. Bajo el RGPD, esta recabación de consentimientos no constituye un acto positivo puesto que se da por hecho que el interesado consiente por defecto los tratamientos indicados al respecto.

En la actualidad, los datos personales son un bien muy preciado y su utilización por parte de las empresas debe regirse por la transparencia, legitimación y buen uso de estos. El RGPD y la LOPDD no buscan limitar el uso de los datos personales, sino que su tratamiento vaya de la mano de las garantías adecuadas para su protección.

Google España, LLC. – Octubre 2018

Con fechas 13 y 29 de septiembre de 2018 y 15 de octubre de 2018, se interpusieron sendas denuncias ante la Agencia Española de Protección de Datos contra Google LLC, que han resultado en una sanción por un valor de 10.000.000 € por la infracción de los artículos 6 y 17 del RGPD.

Antes de entrar en el análisis, es necesario aclarar que Google cuenta con un procedimiento para que los interesados soliciten, “por motivos de privacidad”, la retirada de resultados obtenidos en búsquedas con el nombre de la persona como criterio. Dicha solicitud incluye: URL del contenido, información personal que desea que se retire y los motivos de la retirada.

A posteriori, en el marco del “Proyecto Lumen”, Google comunica a la entidad Berkman Klein Center for Internet & Society las solicitudes de retirada o eliminación de contenidos en línea, relacionadas a infracción de derechos de autor, difamación, fallos judiciales, etc.; con la finalidad de que realicen estudios de tipos de solicitudes, sus solicitantes y receptores, potenciando la transparencia acerca de internet. Esta base de datos, puede ser consultada por el público en general.

En este sentido, el procedimiento sancionador PS/00140/202 trata sobre la ilicitud de la comunicación de datos personales en el “Proyecto Lumen”; así como una posible infracción del derecho de supresión de datos personales.

En relación con la base legítima, la licitud del tratamiento debería basarse en:

La existencia de consentimiento del interesado.
El interés legítimo de la entidad.

Google acude al interés legítimo para fundamentar la comunicación de datos personales. No obstante, se evidencia que la única información ofrecida por Google a los usuarios sobre la comunicación al “Proyecto Lumen” está contenido en un aviso de texto insertado en los propios formularios de solicitud de retirada de contenidos y se limita a advertir sobre la posibilidad de enviar al “Proyecto Lumen” una copia de las notificaciones, sin ninguna mención a la base jurídica que legitima el tratamiento de datos personales ni a los intereses legítimos que alega Google, ni tampoco se referencia nada en la Política de Privacidad. Por lo tanto, no puede entenderse que el usuario haya sido correctamente informado.

La AEPD concluye que:

“Teniendo en cuenta la deficiente información ofrecida acerca de la finalidad y base legitimadora de la comunicación de datos, no es posible evaluar la ponderación de intereses y concluir la prevalencia del interés legítimo del responsable o de terceros. El interesado, por su parte, al faltar la información relativa a la prueba de ponderación, se ve privado de su derecho a conocer la base jurídica del tratamiento alegada por el responsable, y en concreto, al referirse al interés legítimo, se ve privado de su derecho a conocer cuáles son dichos intereses legítimos alegados por el responsable o de un tercero que justificarían el tratamiento”.

Por otro lado, y en relación con el derecho de supresión, se evidencia que el interesado que rellena el formulario no tiene una opción real para no otorgar el consentimiento de comunicación de sus datos al “Proyecto Lumen”, sin que ello suponga un obstáculo para la retirada del contenido. Precisamente, en los formularios, se observa que la cesión de datos viene incluida por defecto en la propia solicitud de retirada, y no mediante consentimiento diferenciado y específico.

Finalmente, en palabras de la AEPD, “es necesario garantizar que el consentimiento de comunicación de datos al “Proyecto Lumen” se presta de manera independiente y desvinculado de la solicitud de retirada de contenido o denuncia de infracción”. Por lo tanto, no es posible concluir que Google ofrezca una declaración clara y no ambigua por medio de la cual el interesado tenga la posibilidad de elegir si ceder o no sus datos, así como que sea informado de forma transparente de todo el proceso y sus implicaciones.

En GlobalSuite Solutions, contamos con más de 15 años de experiencia en materia de Protección de Datos Personales y Seguridad de la Información. Nuestros equipos de consultoría especializada ofrecen el asesoramiento y el soporte necesarios para ayudar a las empresas a definir correctos protocolos de tratamiento de los datos personales, conservación de los mismos, determinación de bases legales legítimas, entre otros, para poder así dar cumplimiento a los requisitos exigidos por el RGPD y la LOPDGDD.

Protección de Datos, RGPD

Cookie	Duración	Descripción
_GRECAPTCHA		Esta cookie es establecida por Google. Además de ciertas cookies estándar de Google, reCAPTCHA establece una cookie necesaria (_GRECAPTCHA) cuando se ejecuta con el fin de proporcionar su análisis de riesgos.
viewed_cookie_policy		La cookie es establecida por el complemento GDPR Cookie Consent para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Duración	Descripción
_dc_gtm_UA-965325-8	1 minute	No description
afl_wc_utm_cookie_expiry	3 months	No description available.
afl_wc_utm_sess_landing	3 months	No description available.
afl_wc_utm_sess_visit	3 months	No description available.
AnalyticsSyncHistory	1 month	No description
bridge_sid_Xy0yMDM3OTQ4Nzkz	2 hours	No description
bridge_uid_Xy0yMDM3OTQ4Nzkz	1 year	No description
li_gc	2 years	No description
oribi_cookie_test	session	No description
oribi_session	2 hours	No description available.
oribi_user_guid	1 year	No description available.
prism_224354013	1 month	No description
TS01ad8345	session	No description
UserMatchHistory		Linkedin - Se utiliza para rastrear a los visitantes en múltiples sitios web, con el fin de presentar publicidad relevante basada en las preferencias del visitante.

Cookie	Duración	Descripción
_ga		La cookie _ga, instalada por Google Analytics, calcula los datos de visitantes, sesiones y campañas y también realiza un seguimiento del uso del sitio para el informe analítico del sitio. La cookie almacena información de forma anónima y asigna un número generado aleatoriamente para reconocer a los visitantes únicos.
_ga_XWPV7VHQKR		Esta cookie es instalada por Google Analytics.
_gcl_au		Proporcionado por Google Tag Manager para experimentar la eficiencia publicitaria de los sitios web que utilizan sus servicios.
_gid		Instalada por Google Analytics, _gid cookie almacena información sobre cómo los visitantes utilizan un sitio web, al tiempo que crea un informe analítico del rendimiento del sitio web. Algunos de los datos que se recopilan incluyen el número de visitantes, su fuente y las páginas que visitan de forma anónima.
_hjAbsoluteSessionInProgress	30 minutes	No description available.
_hjFirstSeen		Esto es establecido por Hotjar para identificar la primera sesión de un nuevo usuario. Almacena un valor verdadero/falso, indicando si esta fue la primera vez que Hotjar vio a este usuario. Es utilizado por los filtros de grabación para identificar nuevas sesiones de usuario.
_hjid		Esta es una cookie de Hotjar que se establece cuando el cliente aterriza por primera vez en una página utilizando el script de Hotjar.
_hjIncludedInPageviewSample	2 minutes	No description available.
_hjTLDTest		No hay descripción disponible.
CONSENTIMIENTO		Estas cookies se establecen a través de videos incrustados de youtube. Registran datos estadísticos anónimos sobre, por ejemplo, cuántas veces se muestra el video y qué configuraciones se utilizan para la reproducción. No se recopilan datos confidenciales a menos que inicie sesión en su cuenta de Google, en ese caso sus opciones están vinculadas con su cuenta, por ejemplo, si hace clic en "me gusta" en un video.

Cookie	Duración	Descripción
bcookie		LinkedIn establece esta cookie desde los botones de compartir de LinkedIn y las etiquetas de anuncios para reconocer el ID del navegador.
Lang		Esta cookie se utiliza para almacenar las preferencias de idioma de un usuario para servir contenido en ese idioma almacenado la próxima vez que el usuario visite el sitio web.
lidc		LinkedIn establece la cookie lidc para facilitar la selección del centro de datos.

Sanciones RGPD recientes: Comentarios y ejemplos

Sanciones RGPD y LOPDGDD

Ejemplos de las infracciones más representativas de Europa

Algunas de las compañías sancionadas y sus causas

Sanción Meta – Mayo 2023

Sanción Vodafone España, S.A.U. – Mayo 2022

Sanción Caixabank S.A. – Marzo 2022

Sanción RFEF – Febrero 2022

Vulneración del artículo 13 del RGPD

Banco Bilbao Vizcaya Argentaria – Diciembre 2020

Google España, LLC. – Octubre 2018

Security

Risk management

Business continuity

Compliance management

Privacy Data Protection

Audit Management

Más artículos

Nueva LOPD – Art. 32. Bloqueo de datos

RGPD – GDPR: En inglés o castellano, la Normativa de Protección de Datos ha llegado

El Análisis de Riesgos en la Ley de Protección de Datos Personales en Perú