Hemos hablado en muchas ocasiones de las normas de obligado cumplimiento que establece la AEPD (Agencia Española de Protección de Datos) en materia de privacidad. Y también de las cuantiosas sanciones que impone a las empresas e instituciones que desoyen sus indicaciones.
Pues bien, hoy queremos hacer un repaso por algunas de esas multas, las más cuantiosas, para ayudarte a comprender la importancia de cumplir siempre los requerimientos en esta materia. Sobre todo, porque durante este año 2021 la agencia ha batido su propio récord en lo que ha multas se refiere. ¿Tienes curiosidad por conocerlas? ¡Vamos allá!
Vodafone, 8 150 000 euros
Comenzamos por el récord más importante de todos, es decir, la multa más alta jamás interpuesta por la AEPD por infringir el RGPD (Reglamento General de Protección de Datos). La multa de 8 150 000 euros se interpuso el pasado mes de marzo por la actividad comercial ejercida por la compañía telefónica. En concreto, se castigan las acciones de marketing que realizaba Vodafone a través de llamadas, emails y SMS. Aquí, son varias las infracciones que se han cometido:
- Realizar comunicaciones comerciales sin expresa autorización.
- Reincidir en las acciones comerciales, a pesar de la negativa de los interesados.
- No disponer de la capacidad organizativa y técnica necesarias para proteger adecuadamente los derechos de los implicados.
CaixaBank, 6 000 000 euros
Son también varias las irregularidades en las que ha incurrido CaixaBank, principalmente relacionadas con estos dos aspectos:
- El principio de licitud: en su análisis, la AEPD considera que el consentimiento que se recaba de los implicados no cumple con los requisitos de ser informado, libre, específico e inequívoco.
- El deber de información: la agencia estima que la información proporcionada por CaixaBank en sus contratos no es ni uniforme, ni clara, ni precisa, ni suficiente.
Mercadona, 3 150 000 euros
En este caso, las sanciones se corresponden con varios incumplimientos por parte de la empresa relacionados con su sistema de reconocimiento facial. Es un sistema que la cadena de supermercados ha implementado en varias de sus tiendas desde el mes de julio de 2020. La tecnología funciona capturando datos biométricos de forma automática y el objetivo de su instalación es contrastar los datos obtenidos con una base de datos conformada por personas con órdenes de alejamiento.
Mercadona trató de justificar esta técnica para la obtención de información personal amparándose en dichas órdenes de alejamiento. Pero lo cierto es que los datos biométricos se encuentran dentro de la conocida como categoría especial. Por ello, deben acogerse a la norma que prohíbe el tratamiento de aquellos datos personales que identifiquen de forma unívoca a las personas, justo lo que Mercadona pretendía hacer.
EDP Energía, 1 500 000 euros
En este ejemplo, lo que sucedía es que la empresa de producción energética no disponía de los mecanismos exigidos para la identificación personal en los casos de contratación en nombre de terceros. Además, se determinó que la información que se proporcionaba, tanto por teléfono como con el resto de comunicaciones, no era lo suficiente que debe ser.
Air Europa, 600 000 euros
Lo que se sancionó en esta ocasión fue la no comunicación a tiempo de una brecha de seguridad que afectaba a datos personales de clientes. Desde el momento en que se tiene conocimiento de tal fallo, las empresas tienen la obligación de comunicarlo a la AEPD en un plazo máximo de 72 horas. De hecho, Air Europa tardó nada más y nada menos que mes y medio en hacerlo.
Liga Nacional de Fútbol Profesional, 250 000 euros
La Liga Nacional de Fútbol Profesional puso en funcionamiento una aplicación móvil que, entre otras cosas, captaba de manera indiscriminada el sonido ambiente del sitio en el que el usuario se encontraba. Y, por supuesto, también registraba todas las conversaciones con terceros, en las que se podrían revelar diferentes tipos de datos personales. Esto, a pesar de ser una práctica más o menos común entre las empresas, constituye una vulneración de los derechos de los usuarios. De ahí que la asociación haya sido sancionada de esta forma.
Esperamos que estos ejemplos sirvan para hacerte una idea de lo importante que es seguir a rajatabla lo establecido en el RGPD y todo lo que indique la AEPD. Sabemos que estos son casos extraordinarios, en los que hay mucho dinero en juego y las empresas sancionadas tienen una envergadura considerable. Sin embargo, te aseguramos que también las pymes se enfrentan a la vigilancia y a la capacidad sancionadora de la agencia. Por eso, nos ponemos a tu disposición para ayudarte en todo lo que necesites en esta materia, en la que en APDTIC somos expertos acreditados.