Índice
Banca, eléctricas, aseguradoras… las grandes multas de protección de datos en España en 2024 afectan a múltiples sectores económicos
Protección de datos, RGPD, LOPD, tratamiento de datos… Hoy en día, la gran mayoría de las empresas y los profesionales están familiarizados con estos conceptos. En los últimos años, se ha creado un marco normativo a nivel europeo y español muy exigente para garantizar que los negocios protegen los datos privados y personales de sus clientes y trabajadores.
Como consecuencia de este marco normativo, la Agencia Española de Protección de Datos (AEPD) tiene la potestad de imponer sanciones a las entidades incumplidoras. Dichas sanciones pueden llegar a ser extraordinariamente elevadas. Basta con echar un ojo a las mayores multas de protección de datos en España en 2024.
Para ilustrar las sanciones a las que se exponen las empresas que no se tomen en serio la protección de datos, hemos elaborado un top 10 de las multas de protección de datos en España en 2024.
A continuación, explicamos cómo son las sanciones que contemplan el RGPD y la LOPDGDD, cuáles son las mayores multas de protección de datos en España en 2024 y qué pueden hacer los negocios para evitar multas que se lleven por delante su margen de beneficio operativo.
¿A cuánto pueden ascender las multas de protección de datos en España en 2024?
Para responder a esta pregunta debemos acudir a la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), conocida popularmente como LOPD.
Esta norma establece que las infracciones en materia de protección de datos pueden ser leves, graves o muy graves en función de la gravedad del incumplimiento.
Dichas infracciones pueden sancionarse con tres rangos de multas diferentes:
- Leves: Hasta 40.000 euros.
- Graves: De 40.001 euros a 300.000 euros.
- Muy graves: Más de 300.000 euros.
Como veremos al desgranar las multas de protección de datos en España en 2024, la AEPD ha sancionado varias infracciones muy graves en lo que va de año.
Es importante tener en cuenta que las organizaciones a las que la AEPD les imponga sanciones tienen derecho a recurrirlas. El plazo de prescripción para hacerlo es:
- Para las sanciones leves, 1 año.
- Para las graves, 2 años.
- Para las multas de más de 300.000 euros, 3 años.
El ranking de las multas de protección de datos en España en 2024
En 2023, la AEPD impuso multas por un valor total de 16,3 millones de euros. El ranking de multas de protección de datos en España en 2024 nos permite observar que este año la cuantía será notablemente superior. Esto se debe a que:
- La AEPD está recibiendo cada vez más reclamaciones por parte de ciudadanos que consideran que una organización ha incumplido la normativa de protección de datos.
- La agencia está siendo especialmente severa a la hora de investigar las reclamaciones e imponer sanciones.
- Las empresas presentan carencias en sus políticas de tratamiento y protección de los datos de sus clientes y trabajadores.
- Los ciberataques más importantes en España en 2024 evidencian que los datos de los ciudadanos son un objetivo prioritario de los delincuentes.
Además, debemos tener en cuenta que el top 10 de las multas de protección de datos en España en 2024 refleja que las sanciones afectan a múltiples sectores: finanzas, energía, retail, servicios de externalización, envío de pedidos a domicilio… Todas las empresas deben situar la protección de datos dentro del centro de su estrategia, sin importar su actividad económica.
1. Caixabank: 7 millones de euros
La AEPD ha impuesto hasta cuatro infracciones a Caixabank, una de las principales entidades financieras de nuestro país, en lo que va de año.
En un primer procedimiento sancionador, la AEPD estudió la reclamación de un cliente del banco que denunciaba que en su área personal dentro de la web corporativa podía ver un documento que atestiguaba una transferencia realizada por otra persona. La AEPD observó tres infracciones en este caso que sancionó con las siguientes multas:
- 2 millones de euros por no haber garantizado una seguridad adecuada de los datos personales (RGPD 5.1.f).
- 1,5 millones de euros por infringir su deber de asegurar la protección de datos desde el diseño y por defecto, empleando todas las medidas técnicas y organizativas necesarias (por ejemplo, anonimizar los datos especialmente sensibles) (RGPD 25).
- 1,5 millones de euros por no haber garantizado la seguridad del tratamiento de los datos personales (RGPD 32).
Poco después de que se publicase en el BOE estas sanciones, la AEPD impuso una nueva multa a Caixabank. En esta ocasión, otro cliente denunció que en un formulario de la entidad se marcaba de manera prestablecida el consentimiento de los consumidores a que el banco solicitase sus datos a la TGSS.
Dado que este consentimiento prestablecido afectaba a todos los clientes, la AEPD consideró que era una infracción muy grave e impuso una multa de:
- 2 millones de euros por no llevar a cabo un tratamiento lícito de los datos (RGPD 6.1.).
Como Caixabank decidió pagar de manera voluntaria, la multa se redujo a 1,2 millones de euros.
2. Endesa: 6,1 millones de euros
Endesa, una de las energéticas más importantes de nuestro país, también ha sido objeto de algunas de las multas de protección de datos en España en 2024. Así, la AEPD le impuso 6,1 millones de euros en total por cinco incumplimientos graves del RGPD.
El caso analizado por la AEPD consistió en que a través de anuncios en Facebook se ofrecían accesos ilegítimos a bases de datos de clientes de la compañía. Tras investigarlo, la AEPD decidió imponerle a la energética algunas de las multas de protección de datos en España en 2024 más severas:
- 2,5 millones de euros por no haber tratado los datos personales de una manera segura, protegiéndolos contra un tratamiento no autorizado o ilícito. (RGPD 5.1.f).
- 1,5 millones de euros por no haber medidas técnicas y organizativas que permitan garantizar la seguridad del tratamiento de la información (RGPD 32).
- 800.000 euros por no haber notificado de manera debida a la AEPD sobre una violación de la seguridad de los datos personales (RGPD 33).
- 800.000 euros por no haber comunicado correctamente una violación de seguridad que podría afectar a los datos personales de sus clientes (RGPD 34).
- 500.000 euros por incumplir la normativa sobre las transferencias de datos personales (RGPD 44).
3. Enérgya-VM: 5 millones de euros
Enérgya-VM, la comercializadora de gas y electricidad del grupo empresarial Villar Mir, también figura en el listado de las multas de protección de datos en España en 2024 más importantes. ¿Por qué?
La AEPD ha estimado que Enérgya-VM no controló adecuadamente su captación de clientes, realizada por una tercera empresa. Esto derivó en que se realizaron prácticas irregulares para captar clientes de Naturgy, compañía con la que esta tercera empresa había trabajado anteriormente. Según la AEPD, Enérgya-VM no puso en marcha las medidas de control necesarias para evitar que se produjeran esta clase de prácticas ilegales. De tal forma que se primaron los intereses empresariales a la protección de la información de los clientes potenciales. Esto llevó a la AEPD a imponer dos sanciones:
- 2,5 millones de euros por tratar datos personales de manera ilícita y opaca con respecto a los clientes (RGPD 5.1.a).
- 2,5 millones de euros por no ejercer una responsabilidad proactiva a la hora de garantizar un tratamiento adecuado y seguro de los datos (RGPD 5.2).
4. i-DE Redes Eléctricas Inteligentes: 3,5 millones de euros
Si antes hicimos mención a Endesa, ahora es el turno de una filial de Iberdrola. i-DE Redes Eléctricas Inteligentes sufrió una brecha de datos de clientes en el transcurso de un ciberataque que afectó también a la compañía matriz. Algunos de los datos que se exfiltraron fueron nombres completos de los clientes, emails, teléfonos e, incluso, números de DNI.
La AEPD ha sancionado a esta empresa por considerar que incumplió dos artículos del RGPD:
- 2,5 millones de euros por no disponer de las medidas necesarias para garantizar una seguridad adecuada de los datos personales y para evitar que se produzca un acceso ilegítimo a ellos (RGPD 5.1.f).
- 1 millón de euros porque las medidas técnicas y organizativas de la empresa no garantizaban la seguridad del tratamiento de los datos personales (RGPD 32).
5. Iberdrola: 3 millones de euros
Como apuntamos antes, Iberdrola sufrió un ciberataque que provocó el acceso a datos personales de sus clientes. En este caso, la AEPD estimó que se habían producido las mismas infracciones, si bien el importe varió, ya que impuso una multa de 1 millón de euros análoga a la recibida por su filial, pero también una sanción de 2 millones por incumplir el artículo 5.1.f del RGPD que es medio millón inferior a la que se le impuso a i-DE Redes Eléctricas Inteligentes.
6. Telefónica: 1,3 millones de euros
Una de las multas de protección de datos en España en 2024 más cuantiosas se hizo pública a menos de un mes para que terminara el año. La empresa a la que se le impuso fue Telefónica, una multinacional de las telecomunicaciones originaria de España pero presente en múltiples países.
Según la AEPD, una brecha de seguridad que afectó a datos personales sufrida por Telefónica en 2022 conllevó el incumplimiento de dos artículos del RGPD:
- No poner en marcha las medidas necesarias para tratar los datos personales de manera segura y protegerlos frente a accesos no autorizados (artículo 5.1.f).
- No contar con las medidas técnicas y organizativas necesarias para asegurar la información tratada (artículo 32).
Por el primer motivo, se impuso una multa de 800.000 euros y, por el segundo, una sanción de 500.000 euros.
Al igual que en otros casos sobre las multas de protección de datos en España en 2024, Telefónica anunció que recurriría la decisión de la AEPD.
7. Vivus: 600.000 euros
Tras las multas de protección de datos en España en 2024 protagonizadas por compañías del sector energético, debemos volver al ámbito de las finanzas.
Vivus, una empresa especializada en la comercialización de préstamos rápidos online, fue sancionada por la AEPD tras un ciberataque en el que los delincuentes fueron capaces de:
- Acceder al área personal de algunos clientes.
- Solicitar créditos en su nombre que fueron aceptados automáticamente por Vivus.
- Ponerse a posteriori en contacto con los clientes para pedirles la devolución de los préstamos a cuentas bancarias controladas por los criminales.
Después de estudiar el caso, la AEPD consideró que Vivus había infringido doblemente el RGPD y le impuso dos multas:
- 200.000 euros por contar con medidas técnicas y organizativas que impidan el acceso no autorizado a datos personales y su tratamiento pernicioso (RGPD 5.1.f).
- 400.000 euros por no disponer de los mecanismos de seguridad adecuados para garantizar un nivel de protección óptimo de los datos frente al riesgo de sufrir, por ejemplo, un ciberataque (RGPD 32).
Vivus optó por pagar voluntariamente las multas, de tal forma que el importe final que tuvo que asumir fue de 360.000 euros.
8. Glovo: 550.000 euros
Glovo, una de las compañías líderes en el sector de envíos a casa en nuestro país, también está incluida en este top 10 de las multas de protección de datos en España en 2024.
Este caso resulta muy interesante porque, a diferencia de la mayoría de multas de protección de datos en España en 2024, las infracciones detectadas por la AEPD no afectaron a la información de sus clientes, sino de sus trabajadores: los repartidores que llevan comida y otra clase de productos a los domicilios.
Según la AEPD, Glovo vulneró el RGPD al transferir datos de sus repartidores fuera de España: geolocalización, valoraciones, tiempo promedio de entrega…
Así, la agencia impuso una multa de 550.000 euros a la compañía por considerar que incumplió dos artículos del RGPD:
- Artículo 32: seguridad del tratamiento de los datos personales.
- Artículo 25: protección de los datos desde el diseño y por defecto.
9. UNIQLO: 450.000 euros
Un trabajador del departamento de Recursos Humanos de UNIQLO, una multinacional del retail, envió por error las nóminas de 447 empleados a un profesional de la empresa. Este accidente se ha saldado con una sanción de la AEPD por incumplir la normativa y es uno de los casos más curiosos de este listado de las mayores multas de protección de datos en España en 2024.
Tras estudiar el caso, la AEPD ha considerado que UNIQLO cometió dos infracciones que deben ser sancionadas de con:
- 300.000 euros por no cumplir el artículo 5.1.f del RGPD.
- 150.000 euros por infringir el artículo 32 del RGPD.
Al pagar de manera voluntaria, UNQLO vio reducido el importe de la multa a 270.000 euros.
10. CTC: 365.000 euros
CTC, una empresa especializada en la externalización de servicios, también ocupa un hueco en este top 10 de multas de protección de datos en España en 2024. ¿Por qué?
La compañía pedía a los trabajadores su huella dactilar para fichar. Sin embargo:
- No les había informado de manera idónea sobre los datos biométricos que estaba recopilando.
- No disponía de medidas de seguridad adecuadas para protegerlos.
- No había realizado un análisis de riesgos acorde con el nivel de criticidad de la información biométrica.
Por todo ello, la AEPD ha dictaminado que CTC cometió tres infracciones del RGPD que dan lugar a tres multas:
- 200.000 euros por no facilitar toda la información debida a los trabajadores sobre los datos que se estaba obteniendo (RGPD 13).
- 100.000 euros por no realizar una evaluación del impacto de la medida sobre los datos personales de sus trabajadores (RGPD 35).
- 65.000 euros por no garantizar la seguridad del tratamiento de los datos (RGPD 32).
A la vista de estas infracciones podemos señalar que se trata de un caso muy interesante ya que incorpora incumplimientos nuevos del RGPD que no habíamos tratado aún en este listado de las mayores multas de protección de datos en España en 2024.
11. Mapfre Inversiones: 300.000 euros
Llegamos al final de este top 10 de multas de protección de datos en España en 2024 con un caso que afectó a Mapfre, una empresa de referencia en el sector financiero español.
Mapfre Inversiones realizó gestiones en nombre de algunos clientes sin haber recabado antes su firma. Lo que implica que la compañía no disponía de la legitimación necesaria para tratar datos personales de estos clientes como sus DNI o números de cuenta.
Por ello, la AEPD le impuso una multa de 300.000 euros por incumplir el artículo 6.1 del RGPD, que regula las condiciones que deben cumplirse para que el tratamiento de datos sea lícito.
Al optar por el pago voluntario, Mapfre Inversiones solo tuvo que abonar 180.000 euros.
¿Cómo se pueden evitar multas de protección de datos en España en 2024?
Las multas de protección de datos en España en 2024 que hemos ido desgranando nos permiten observar que las consecuencias económicas de incumplir el RGPD pueden ser muy graves.
Además, debemos tener en cuenta que, aunque el top 10 de multas de protección de datos en España está protagonizado por grandes empresas, las pymes también son objeto de reclamaciones ante la AEPD y pueden ser multadas con cuantiosas sanciones administrativas. Por ejemplo, una clínica dental fue sancionada con 30.000 euros por haberle pedido a un cliente una copia de su DNI para realizarle un reembolso. Aunque las mayores multas de protección de datos en España en 2024 son muy llamativas, lo cierto es que la AEPD también impone sanciones menos cuantiosas, pero que pueden resultar de enorme gravedad para las empresas que las reciben.
Sin contar, claro está, que figurar entre las empresas que han recibido multas de protección de datos en España en 2024 supone un daño reputacional que mina la relación con clientes y profesionales.
¿Qué puede hacer una empresa para no ser sancionada por la AEPD?
- Disponer de mecanismos de seguridad eficaces frente a los ciberataques: firewalls, EDRs… Además, en caso de que se produzca un incidente debe contarse con los servicios de expertos en ciberseguridad.
- Usar software de gestión y otras soluciones empresariales seguros desde el diseño y que se actualicen de manera periódica para parchear vulnerabilidades antes de que sean explotadas por los delincuentes. Además, estos programas deben estar certificados según los principales estándares de seguridad y permitir implementar medidas de seguridad y protección de datos básicas como:
- Un sistema de permisos de seguridad para limitar quién puede acceder a los datos.
- Copias de seguridad periódicas y almacenadas de manera segura para evitar la pérdida de datos.
- Una auditoría de logs para saber con precisión cómo ha interactuado cada usuario con la información.
- Acudir a asesores legales especializados en protección de datos para asegurarse de que se cumple escrupulosamente con el RGPD.
- Disponer de una política de tratamiento de datos bien diseñada y accesible.
- Recabar el consentimiento de todos los clientes y trabajadores a la política de tratamiento de datos.
En definitiva, las mayores multas de protección de datos en España en 2024 nos permiten observar que garantizar una correcta protección de la información personal es una cuestión crítica para todas las empresas.