Ya adelantábamos en nuestro artículo sobre los beneficios de realizar auditorías de protección de datos periódicas la importancia de que las empresas cumplan con sus obligaciones en materia de protección de datos y veíamos como, entre otros, la evitación de sanciones era uno de los motivos para mantenerse actualizado y adaptado a la normativa de protección de datos.
Dicho de otro modo, las empresas en España están obligadas a cumplir con el Reglamento General de Protección de Datos (“RGPD”) y con la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (“LOPDGDD”). El incumplimiento de estas normativas puede derivar en sanciones económicas por parte de la Agencia Española de Protección de Datos (“AEPD”) que pueden alcanzar hasta los 20 millones de euros o el 4% de la facturación anual global.
La AEPD es el organismo público encargado de garantizar el cumplimiento de la normativa de protección de datos personales en España y, entre sus funciones, está la facultad de imponer multas económicas y otras medidas correctivas en caso de infracciones.
Cada año, la AEPD suele publicar sus Memorias Anuales de la Agencia Española de Protección de Datos (AEPD), que son informes oficiales que recogen un resumen detallado de la actividad de la agencia a lo largo del año, y que incluyen información sobre su actividad sancionadora que nos permite conocer cuáles son las infracciones que suelen ser objeto, más habitualmente, de sanciones en España.
¿A cuánto ascienden las sanciones impuestas por la AEPD?
En atención a la última memoria anual publicada, que es la relativa al año 2023, las sanciones impuestas por la AEPD ascendieron a 29.817.410 euros en dicho año, siendo las áreas con mayor número de procedimientos sancionadores los siguientes:
- Videovigilancia: 33% de los casos.
- Servicios de internet: 14% de los casos.
En cuanto al importe global de las multas, las áreas más afectadas en 2023 fueron:
- Brechas de datos personales: 12.907.000 euros.
- Entidades financieras/acreedoras: 5.321.000 euros.
- Derechos de protección de datos: 2.633.400 euros.
- Contratación fraudulenta: 2.571.500 euros.
- Telecomunicaciones: 1.942.000 euros.
- Servicios de internet: 1.058.700 euros.
Principales motivos de sanciones
En cuanto a los motivos de reclamación por parte de interesados, las más frecuentes en 2023 fueron:
- La recepción de publicidad no deseada.
- Servicios de internet.
- Videovigilancia.
- Comercio, transporte y hostelería.
- Entidades financieras/acreedoras.
Ejemplos de sanciones en materia de protección de datos
Fuera de la memoria anual de la AEPD y traduciendo esto a la realidad, podemos ver algunos ejemplos de empresas sancionadas por los motivos anteriores:
Sanción de 1,3 millones de euros por una brecha de seguridad
La brecha de seguridad afectó a más de 1,4 millones de clientes en España y se debió a un acceso no autorizado a una aplicación interna mediante credenciales obtenidas de forma fraudulenta. La AEPD sancionó a la entidad por considerar que hubo fallos en la gestión preventiva y reactiva de la brecha de seguridad.
Sanción de 50.000 € a una empresa por instalar cámaras de videovigilancia en el comedor del personal
Se trata de una práctica contraria al artículo 89.2 de la LOPDGDD, que establece que “en ningún caso se admitirá la instalación de sistemas de grabación de sonidos ni de videovigilancia en lugares destinados al descanso o esparcimiento de los trabajadores o los empleados públicos, tales como vestuarios, aseos, comedores y análogos”.
Sanción de 10.000 € por el envío de publicidad a un cliente, a pesar del ejercicio del derecho de oposición por parte de este
En este caso, hubo una infracción del artículo 21 de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, que establece la prohibición de llevar a cabo comunicaciones comerciales por medios electrónicos sin contar con el consentimiento previo del interesado y sin que concurra un interés legítimo válido por parte de la entidad. En este caso, no solo no se contaba con el consentimiento, sino que también había existido una oposición por parte del interesado.
Visto todo lo anterior, lo que es claro es que no cumplir con la normativa de protección de datos puede salir muy caro a las empresas. Para evitarlo, un buen plan de adecuación y auditorías continuas en la materia es una buena solución.
Si quieres información sobre nuestros servicios de adecuación y auditoría de protección de datos, puedes enviarnos un mensaje a contacto@metricson.com o través de nuestro formulario de contacto en nuestra página web.
Artículo escrito por:
Abogada especialista en privacidad y contratación tecnológica
Sobre Metricson
Con sedes en Barcelona, Madrid, Valencia y Sevilla, y una destacada proyección internacional, Metricson es una firma líder en servicios legales orientados a empresas innovadoras y tecnológicas, con una sólida especialización en privacidad y seguridad. Desde su fundación en 2009, hemos brindado asesoramiento a más de 1.400 clientes de 15 países diferentes, entre los que se encuentran startups, inversores, grandes empresas, universidades, instituciones y gobiernos. Además, en Metricson somos expertos en identificar y gestionar brechas de seguridad en las empresas, ayudándolas a protegerse frente a riesgos y amenazas.
Si quieres contactar con nosotros, no dudes en escribirnos a contacto@metricson.com. ¡Estamos deseando hablar contigo!
