Estas son las 11 sanciones más altas establecidas por protección de datos en un año de récord

0
257

A lo largo de 2021 han ocurrido muchas cosas en las empresas y en muchos aspectos hay cuestiones que se han dejado en segundo plano. La protección de datos podríamos decir que ha sido una de ellas si tenemos en cuenta la cantidad de cambios de muchas organizaciones con el teletrabajo, por ejemplo. Por eso 2021 ha sido un año de récord en multas y vamos a ver las 11 sanciones más altas establecidas por protección de datos en el año pasado.

Es interesante no repetir errores y aprender de algunos de los cometidos por empresas de mayor tamaño, que en el caso de la pyme puede que no se necesiten tantas obligaciones por el hecho de no tener un nivel de riesgo tan elevado.

Teletrabajo en España: todo lo que hay que saber para controlar la seguridad y la protección de datos

1. Vodafone España, 8.150.000 euros de sanción

Esta es una de las sanciones más elevadas impuestas por la Agencia Española de Protección de Datos (AEPD), donde a los hechos sancionados de se le suman la reiteración y falta de colaboración de la compañía.

El uso del tratamiento de datos para acciones comerciales sin el consentimiento de los clientes y la no eliminación de sus datos pese a ejercer su derecho de oposición y desestimiento han llevado a este punto. Tal y como dice la sentencia:

El hecho de existir 162 reclamaciones en el plazo de algo menos de dos años según consta en la AEPD y la gran cantidad de acciones de mercadotecnia mediante llamadas telefónicas (unos doscientos millones de acciones de mercadotecnia) permite que quede acreditada la fuerte repercusión social de los tratamientos ahora analizados.

justifica una sanción de este calibre.

2. Caixabank, 6 millones de sanción

En este caso por un cambio en las condiciones y la obligación de aceptar las nuevas condiciones en materia de protección de datos personales, en concreto la relativa a la cesión de sus datos personales a todas las empresas del grupo, según consta en el apartado II de las “nuevas condiciones LOPD” establecidas por la entidad. Para cancelar dicha cesión el cliente debe dirigir un escrito a cada una de las empresas.

En este caso la sanción  es tan elevada porque los los defectos apreciados afectan a todos los clientes personas físicas de la entidad, que en este caso realiza tratamiento masivo de datos.

3. Banco Bilbao Vizcaya Argentaria sancionada con 5 millones

En el caso del BBVA la sanción impuesta tiene que ver con los artículos 6 y 13 del GDPR, con el envío de publicidad no autorizada o cesión de datos a terceros cuando ya viene activada por defecto al tener que aceptar las condiciones de una página o aplicación móvil. Y esta si es una de las cuestiones que tienen que cuidar las pymes.

4. CAIXABANK PAYMENTS sanción de 3 millones

En este caso se trata de una reclamación por la utilización de datos por parte de un consumidor que no era cliente de la entidad. Se utilizaron los ficheros de solvencia patrimonial con la finalidad de elaborar un perfil y ofrecerle un servicio financiero, sin solicitar su consentimiento, motivo por el cual se le impone una sanción muy grave por una infracción del Artículo 6.1 del RGPD.

Voy a llevar los datos de mi empresa a la nube, ¿qué debo tener en cuenta para cumplir con el RGPD?

5. Mercadona sanción de 2.520.000 euros

Esta quizás ha sido una de las sanciones más mediáticas impuestas, de gran repercusión y que tiene que ver con la implantación en sus supermercados de sistemas de reconocimiento facial. La videovigilancia tradicionalmente es uno de los mayores focos de sanciones para las empresas.

6. EDP Energía un millón y medio

En este caso la sanción se impone debido a un tratamiento de datos personales sin consentimiento del interesado. Dichos tratamientos se producen en el marco de la contratación de servicios de electricidad efectuadas supuestamente por un representante del cliente, sin que dicha entidad pueda acreditar la existencia de tal representación. En este caso la cuantía se eleva debido al gran volumen de datos y tratamientos que constituye el objeto del expediente.

7. EDP Comercializadora, un millón y medio

En este caso mismo tipo de sanción pero por el tratamiento de datos personales sin consentimiento del interesado. Dichos tratamientos se producen en el marco de la contratación de servicios de gas efectuadas supuestamente por un representante del cliente.

8. Equifax Iberica S.L. un millón

En este caso se trata de una inclusión en ficheros de morosos de datos de personas sin su consentimiento obtenidos de boletines oficiales. Según la AEPD 

No estamos ante una conducta infractora aislada o fruto de una irregularidad puntual. Se trata de un modus operandi articulado perfectamente al margen de la ley que aprovechando las publicaciones oficiales que contienen datos personales busca obtener un beneficio económico prestando un servicio a terceros relacionado con la información sobre la solvencia de los afectados

9. Air Europa Lineas Aereas, SA. 600.000 euros

En el caso de Air Europa los hechos ocurrieron en 2018 pero finalmente fue sancionada en 2021 con 600.000 euros. El problema es que no protegió debidamente los datos bancarios de casi medio millón de clientes y un ciberdelincuente pudo acceder a ellos. La sentencia estima como agravante el alto volumen de datos a los que se pudieron acceder.

He sufrido un ataque de ransomware y así he tenido que notificar a mis clientes que sus datos han estado expuestos

10. Laiga, 250.000 euros

En el caso de  LaLiga,  se le sanciona por utilizar el micrófono de los móviles de los clientes que habían descargado su aplicación móvil sin su consentimiento, activando el micrófono cada minuto cuando hay retransmisiones.

11. I-DE Redes Eléctricas Inteligentes 200.000 euros

Este último caso es interesante ya que los reclamantes son otras dos empresas que cedieron datos de sus clientes y vieron como esta entidad se ponían en contacto con ellos con fines comerciales para los cuales dichos datos no habían sido cedidos. Por ello recibió una sanción de 200.000 euros por parte de la AEPD por incumplimiento de los artículos 5 y 6 del RGPD.

Imagen | viarami en Pixabay