Volver a la vista general

Multas por incumplimiento en España según el RGPD

Descubra la importancia de cumplir con el Reglamento General de Protección de Datos para evitar multas por incumplimiento

by Editorial Team 7 min

    La protección de datos dentro de las empresas es un elemento de gran relevancia a la hora de crear confianza y buena reputación entre los empleados y de cara a acuerdos comerciales con terceros, como proveedores y clientes. Sin embargo, mantener el cumplimiento y la seguridad de los datos genera dificultades a veces en las organizaciones, ya que, o bien se desconocen las normas sobre protección de datos, o no son tenidas en cuenta de forma adecuada, lo que repercute a la larga en cuantiosas multas.


    El Reglamento General de Protección de Datos Europeo (RGPD), consta de cientos de requisitos y se considera una de las leyes de privacidad y seguridad más estrictas a nivel mundial. En vigor desde el 25 de mayo de 2018, el reglamento impone obligaciones a las organizaciones de cualquier parte del mundo siempre que se dirijan o recojan datos relacionados con personas de la UE. En España, la Agencia de Protección de Datos (AEPD), es una de las más activas a la hora de imponer sanciones de toda la Unión Europea.

    Adaptación de las empresas españolas al marco legal del RGPD

    El registro general de protección de datos marcó un hito en la concepción de protección de datos personales con un objetivo básico, proteger la privacidad. Antes del 25 de mayo de 2018, ya existían otras normativas como la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), aprobada en 1999. Sin embargo, no fue hasta la entrada del RGPD cuando se impuso un verdadero cambio en los modelos de cumplimiento.

    Ante el crecimiento exponencial de la cantidad de multas en el ejercicio de 2022, se podría prever que las empresas españolas necesitan una mayor orientación en materia de normas de cumplimiento. En general, se debe analizar la diferencia entre las grandes compañías y las pymes. La cultura sobre protección de datos, así como los recursos para protegerlos es mayor en las grandes compañías que en las de menor tamaño. Además, depende mucho del sector de la actividad, siendo el sector financiero y el de telecomunicaciones el que presenta una mayor progresión, al estar directamente relacionados con la protección de datos.

    Por otro lado, el continuo desarrollo y actualización de políticas e instrucciones de gestión sobre protección de datos hacen que las empresas presenten problemas a la hora de coordinarse internamente y más aún; si operan internacionalmente, ya que cada estado tiene su propia regulación. Muchas organizaciones no tienen en cuenta las ventajas de contar con herramientas tecnológicas y protocolos para proteger sus datos, y de este modo, consideran que es más un coste de tiempo y dinero, por lo que al final, no invierten en los recursos necesarios. En este sentido, la comunicación sobre las normativas de protección de datos es crucial para asegurar el correcto funcionamiento de las normas, y el asesoramiento legal y técnico se vuelve necesario.

    Multas impuestas por la Agencia de Protección de datos en 2022

    Según datos oficiales de la AEPD, en los primeros seis meses de 2022, la cuantía por multas en España alcanzaba los 20,5 millones de euros. Desde el año 2018, la agencia ha impuesto multas por un total de 55 millones de euros y el incremento anual de 2020 a 2021 asciende a 337%.

    A nivel internacional, ante los 35 millones de euros impuestos en multas en el ejercicio de 2021, España no ocupa el peor puesto en el ranking, situándose otros países como Francia, Irlanda o Alemania con multas de mayores cuantías. Luxemburgo se sitúa a la cabeza del ranking de sanciones por privacidad con una multa a Amazon de 746 millones de euros en julio de 2021.

    De acuerdo con la información recopilada de la Ley por Wolterskluwer, este es el rango de las multas que derivaron en sanción e importe y las multas más altas por sectores:

    Rango de las multas por sanción en España

    • De 0 a 5.000 euros: 71 multas con un total de 127.340 euros
    • De 5.000 a 25.000 euros: 15 multas con un total de 169.600 euros
    • De 25.000 a 50.0000 euros: 7 multas con un total de 272.001 euros
    • De 50.000 a 100.000 euros: 4 multas con un total de 242.000 euros
    • De 100.000 a 1 millón de euros: 7 multas con un total de 2.620.000 euros
    • Más de 1 millón de euros: 4 multas con un total de 17.040.000 euros

    Multas más altas por sectores en España

    1. Servicios e internet
    2. Contratación fraudulenta
    3. Asuntos laborales
    4. Entidades financieras
    5. Publicidad a través de email o móvil
    6. Videovigilancia
    7. Suministro de gas, electricidad y agua
    8. Telecomunicaciones
    9. Inscripción de ficheros/información
    10. Reclamaciones de deudas
    11. Sindicatos
    12. Sanidad
    13. Comunidad de propietarios
    14. Asociaciones, federaciones y clubes
    15. Quiebras de seguridad
    16. Comercios, transporte y hostelería

    Causas de las infracciones más comunes en España

    • No se cumple con la regla de la minimización de datos adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados – Artículo 5.1c RGPD
    • Tratamiento ilícito de los datos del interesado – Artículo 6 RGPD
    • No facilitar información suficiente al interesado sobre el tratamiento que se va a hacer de sus datos – Artículo 13 RGPD
    • Falta de integridad y confidencialidad en el tratamiento – Artículo 5.1.f RGPD
    • Brechas de seguridad en el tratamiento de los datos del interesado – Artículo 32 RGPD

    Ejemplos de grandes multas por incumplimiento del RGPD en España

    A continuación, repasamos algunos ejemplos de multas impuestas entre 2021 y 2022.

    1. Google – 10 millones de euros

    La multa más alta impuesta desde la entrada en vigor del RGPD corresponde a Google, que fue sancionada en mayo de 2022 por ceder datos a terceros sin legitimación y obstaculizar el derecho de supresión con una sanción de 10 millones de euros. Todo empezó en septiembre de 2018, cuando un particular denunció el uso que hacía Google de sus datos personales en relación con el Proyecto Lumen. Este proyecto tiene por objeto la recogida y puesta a disposición de solicitudes de retirada de contenido a los ciudadanos. Google envía al Proyecto Lumen información de solicitudes rellenadas por los ciudadanos, que incluyen información como su identificación, dirección de correo electrónico, los motivos alegados y la URL reclamada.

    2. Vodafone España – 8,1 millones de euros

    La Agencia Española de Protección de Datos (AEPD), impuso a Vodafone España una sanción de 8,1 millones de euros el 11 de marzo de 2021, la mayor multa del país por protección de datos hasta la fecha. La suma es en realidad una amalgama de cuatro multas distintas por diversas actividades de marketing y prospección telefónica e infracciones de las comunicaciones electrónicas. Por ejemplo, algunas de las medidas empleadas no contaban con una autorización previa por escrito, una transferencia internacional de datos no tomaba las medidas suficientes exigidas por el RGPD, mientras que se contactó con personas y se trataron sus datos a pesar de que se opusieron. La compañía telefónica recibió otra cuantiosa multa de 3,9 millones de euros al realizar un duplicado de tarjeta SIM y su entrada a terceras personas sin autorización.

    3. CaixaBank – 6 millones de euros

    En este caso, se debió a una falta legitimadora para el tratamiento de los datos del usuario, al carecer de una base sólida a la hora de ceder sus datos a otras entidades del grupo. Además, la compañía también tuvo que hacer frente a una multa de 2,1 millones de euros, al ser heredera de la actividad absorbida por Bankia, por un asunto de comisiones bancarias de productos que precisaban de consentimiento y que fue usado con fines ajenos a los del contrato firmado.

    4. BBVA – 5 millones de euros

    El banco recibió una sanción por el envío a su línea de telefonía móvil de un SMS promocional, en fecha del 10 de octubre de 2018, sin contar con la autorización de los destinatarios. A su vez, fue multada por no cumplir con los requisitos de consentimiento libre e informado, ya que la entidad, solicitaba la prestación de consentimiento a través de un enlace a otra página en la que aparecía por defecto la opción de cesión de datos a terceros.

    Ejemplos de grandes multas por incumplimiento del RGPD en Europa

    1. Amazon – 746 millones de euros

    En julio de 2021, la Comisión Nacional de Protección de Datos de Luxemburgo impuso a Amazon una multa de 746 millones de euros en virtud del RGPD, lo que supera a todas las infracciones anteriores. El gigante de venta online tiene su sede en Luxemburgo y ha sido objeto de escrutinio en los últimos años por recopilar datos de sus clientes y socios. Amazon ha recurrido la multa, declarando que está “firmemente” en desacuerdo con las conclusiones de la Comisión. No es la primera vez que Amazon incumple la normativa de protección de datos. La Autoridad Francesa de Protección de Datos (CNIL) multó a la empresa con 35 millones de euros a finales de 2020 por no haber proporcionado el consentimiento de las cookies y la información asociada a los usuarios en su sitio web.

    2. WhatsApp – 225 millones de euros

    El año 2021 no solo se caracterizó por ser el peor en cuánto a multas registradas por el RGPD, también se produjo la segunda sanción económica más alta, cuando la Comisión de Protección de Datos de Irlanda impuso a WhatsApp una enorme multa de 225 millones de euros en agosto. Esto fue el resultado de las infracciones de las obligaciones de transparencia e información del sujeto de los datos en virtud de los artículos 12, 13 y 14 del RGPD. En concreto, WhatsApp no proporcionó información a los interesados “de forma concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo” y “los fines del tratamiento a los que se destinan los datos personales, así como la base jurídica del tratamiento”. Como en el caso de Amazon, WhatsApp también decidió recurrir esta decisión.

    3. Notebooksbilliger.de – 10,4 millones de euros

    El año 2021 comenzó con una importante multa para el minorista alemán de electrónica Notebooksbillger.de. El 8 de enero, el comisionado de protección de datos del estado alemán de Baja Sajonia anunció que la empresa estaría sujeta a una multa de 10,4 millones de euros por violar las normas de protección de datos del RGPD. Durante más de dos años, Notebooksbillger.de había estado vigilando a sus empleados y clientes con cámaras de videovigilancia y las grabaciones se almacenaban hasta 60 días. Aunque el RGPD no prohíbe el uso de CCTV, la vigilancia debe ser una respuesta legítima y realizarse con una base legal adecuada.

    4. Austrian Post – 9,5 millones de euros

    En septiembre de 2021 se produjo la mayor multa por el RGPD en la historia de Austria, cuando el servicio nacional de correos del país recibió una multa de 9,5 millones de euros. La empresa fue sancionada por no permitir a los ciudadanos realizar consultas sobre los datos personales almacenados a través del correo electrónico. Todo ello a pesar de que Correos de Austria ya lo había hecho posible a través de varios medios, como la carta, los formularios online y el servicio de atención al cliente. Sin embargo, la Autoridad Austriaca de Protección de Datos dijo que el servicio de correos debería haber permitido que las solicitudes de derechos se enviaran por cualquier medio deseado, incluido el correo electrónico.

    Como conclusión

    Tanto el aumento de las infracciones, las multas récord impuestas en 2021 y el alto número de multas en el ejercicio de 2022, ponen de manifiesto una creciente falta de consentimiento y transparencia. A pesar de esta preocupante tendencia, ha sido reconfortante ver cómo los agentes reguladores europeos aplican activamente la ley e imponen multas a un ritmo nunca visto. Antes de 2021, la mayor multa de la que se tiene constancia se impuso en 2019, cuando se sancionó a Google con 50 millones de euros por la forma en que comunicaba la privacidad a sus usuarios, así como por varios delitos de tratamiento de datos. El RGPD no nació con la misión de “castigar” a las empresas, sino de establecer un marco regulador y una protección adecuada de los datos, la fuente de valor para los negocios y el crecimiento empresarial.

    Cómo crear un programa eficaz contra el soborno y la corrupción

    Las claves principales para establecer un programa ABC

    Descargar ahora
     EQS Editorial Team
    EQS Editorial Team

    ¿Elogios, críticas o peticiones de temas? El equipo editorial de EQS Group está deseando recibir su mensaje.

    Contacto