Sanciones RGPD y LOPDGDD
Desde la entrada en vigor del RGPD, son numerosas las sanciones interpuestas por las diferentes Autoridades de Control europeas y dirigidas a compañías de diversa índole y ámbito de actuación. En la actualidad y derivado de las resoluciones interpuestas por dichas Autoridades, se evidencia que el incumplimiento que se repite con mayor asiduidad en las compañías es el tratamiento de los datos personales sin contar con una base legítima suficiente. No obstante, también se repiten sanciones que versan sobre aplicación de medidas y controles de seguridad insuficientes o relacionadas con la omisión del deber de información al interesado, la falta de consentimiento expreso para el envío de comunicaciones comerciales, entre otros.
Tal como vemos, el foco de las sanciones no se centra en compañías de sectores específicos o áreas concretas, puesto que el manejo de datos de carácter personal está a la orden del día en cualquier actividad o sector de negocio. Por ello, es fundamental que las compañías identifiquen sus tratamientos de datos personales y estén concienciadas en el cumplimiento de la normativa en materia de protección de datos personales, trasladando dicho ejercicio de concienciación a sus empleados. Estos son la primera línea de defensa y como tal deben responsabilizarse de seguir las medidas de control que la compañía adopta.
Ejemplos de las infracciones más representativas de Europa
De cara a comentar las infracciones más representativas a escala europea, las cuales coinciden también con algunas de las sanciones más cuantiosas a nivel económico, éstas van dirigidas a grandes compañías como: WhatsApp Ireland, Google LLC, Facebook Ireland, British Airways o Vodafone España.
- Tratamiento de datos personales sin contar con una base legítima suficiente y en relación también con la utilización de consentimientos viciados, Google LLC y Facebook Ireland fueron sancionadas por concluir que, aunque sus sitios web ofrecían botones para aceptar cookies inmediatamente, no había una solución equivalente que permitiera al usuario rechazar las cookies con la misma facilidad. De hecho, se requerían varios clics para rechazar todas las cookies, en contraste con un solo clic para aceptarlas; concluyéndose que los usuarios aceptarían el uso de cookies con mayor frecuencia al resultarles menos enrevesado.
- Omisión del deber de información al interesado, WhatsApp Ireland fue sancionada por incumplir el principio de transparencia al no informar al interesado del tratamiento de sus datos «de forma concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo«. Entre otros aspectos, se consideró que la información proporcionada era de carácter muy general y sin sentido. Los usuarios a menudo tenían que superar múltiples enlaces para obtener la información en el sitio web de WhatsApp. En este sentido, se concluyó que no es razonable esperar que los usuarios busquen en el sitio web de WhatsApp, al no encontrar suficiente información en la propia declaración de privacidad de la aplicación.
- Infracciones ocasionadas por incidentes de seguridad, cabe destacar la sanción impuesta a British Airways a raíz de un incidente de seguridad que implicó que parte del tráfico de usuarios de su sitio web se desviara a un espacio fraudulento. A través de dicho espacio, los atacantes recopilaron datos personales de sus clientes. En este caso, se concluyó que la información se vio comprometida por arreglos de seguridad deficientes en la compañía.
Finalmente, en el ámbito nacional, la sanción más elevada hasta la fecha continúa siendo la impuesta a Vodafone España por el uso de los datos sin base legítima suficiente, así como por el cumplimiento insuficiente de los derechos de los interesados. En concreto, fue sancionada por realizar acciones comerciales sin consentimiento de los interesados y/o sin atender el ejercicio del derecho a oponerse al envío de nuevas notificaciones. Además, muchos de los interesados contactados se encontraban dados de alta en el Listado Robinson (servicio de exclusión publicitaria, a disposición de los consumidores, que tiene como objetivo disminuir la publicidad que éstos reciben).
Algunas de las compañías sancionadas y sus causas
Sanción Endesa, S.A. – Diciembre 2023
Este mes de diciembre de 2023, la AEPD ha impuesto una multa de 6,1 millones de euros a ENDESA por una brecha de seguridad que resultó en la venta de datos personales de clientes a través de anuncios en Facebook. ENDESA detectó en agosto de 2021 anuncios que ofrecían credenciales de acceso a su plataforma y, posteriormente, en enero de 2022, encontró anuncios similares que informaban sobre la venta de bases de datos de sus clientes de energía y gas. Se calcula que la brecha afectó a datos de hasta mil personas, viéndose comprometidos los datos personales relativos a nombres, DNIs, direcciones y números de teléfono. ENDESA atribuye el incidente a un empleado que abusó de privilegios para acceder y compartir datos. Aunque ENDESA procedió al reseteo de las contraseñas y deshabilitó las sesiones simultáneas a la plataforma para evitar el acceso de dos o más personas, la AEPD critica su falta de diligencia, señalando que tardó meses en eliminar usuarios comprometidos, permitiendo el acceso no autorizado a datos personales. La multa se basa en diversas infracciones del RGPD, en concreto, de los artículos 5, 32, 33, 34 y 44.
Sanción Digi Spain Telecom, S.L. – Noviembre 2023
El pasado mes de noviembre se sancionó a DIGI SPAIN TELECOM, S.L. con la cantidad de 200.000 euros por una infracción del artículo 6.1 del RGPD al expedir una tarjeta SIM a un tercero que no era el titular de la línea. Durante la investigación, la AEPD descubrió en el establecimiento en que se expidió el duplicado de la tarjeta SIM no sé comprobó el original del documento identificativo, siendo así que, de haberse efectuado correctamente esta operación, el duplicado hubiera sido denegado. Por tanto, no se verificó la identidad del tercero ni obtuvo el consentimiento del titular de la línea para compartir sus datos. Siendo números los procedimientos sancionadores tramitados por la AEPD en los que DIGI ha sido sancionada por la misma infracción, el Tribunal Supremo viene entendiendo que existe imprudencia cuando el infractor no se comporta con la diligencia exigible. En el caso examinado, cuando la actividad de DIGI es de constante y abundante manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto.
Sanción Banco Bilbao Vizcaya Argentaria, S.A. – Octubre 2023
La AEPD ha multado al BANCO BILBAO VIZCAYA ARGENTARIA, S.A. con 800.000 euros por vulneración de los art. 25 (principio de protección de datos desde el diseño) y 32 (medidas técnicas y organizativas insuficientes para garantizar la seguridad de la información) del RGPD. En concreto, una clienta que había perdido su tarjeta bancaria solicitó el bloqueo de todos los productos bancarios. Sin embargo, el BBVA no cumplió diligentemente con el procedimiento de bloqueo, por lo que terceros pudieron acceder a los productos bancarios de la cliente y transferir dinero con identidades falsas. Durante su investigación, la AEPD constató que el BBVA no había aplicado las medidas técnicas y organizativas apropiadas para evitar este caso y proteger los datos personales. Por tanto, la conducta que constituye la infracción son unas medidas de gestión de incidentes de fraude insuficientes, pues una vez que un cliente de BBVA comunica la sustracción de sus documentos, de su teléfono móvil o de su clave de autenticación, esta comunicación no evita que se produzcan tratamientos ilegales de sus datos.
Sanción Meta – Mayo 2023
La Autoridad de Protección de Datos irlandesa ha multado a Meta Platforms Ireland Limited con 1.200 millones de euros, por la infracción del artículo 46 del RGPD, al seguir transfiriendo datos personales de la UE/EEE a los EE.UU. en relación con la prestación de su servicio de Facebook, después de la sentencia Schrems II del TJUE. Se trata de la multa más elevada impuesta hasta la fecha en virtud del RGPD.
Aunque Meta basaba la transferencia internacional de los datos en las garantías que ofrece la firma de cláusulas contractuales tipo, junto con salvaguardas adicionales, tras la sentencia de Schrems II se declaró que estas medidas son insuficientes frente a la falta de garantías que ofrece la legislación estadounidense.
Dicha investigación tuvo inicio en agosto de 2020 por parte de la Autoridad de Protección de Datos irlandesa, donde se constató en un proyecto de decisión que las transferencias de datos se estaban llevando a cabo infringiendo el art. 46, apartado 1, del RGPD: “A falta de decisión con arreglo al artículo 45, apartado 3, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas”. En este sentido, dichas transferencias de datos debían suspenderse.
Dicho proyecto se presentó a diversos reguladores de la EU/EEE, los que estuvieron de acuerdo con la decisión de la Autoridad de Protección de Datos irlandesa. Además, consideraron que Meta debía ser multada con una sanción administrativa por dicha vulneración. Debiendo también tomar medidas correctoras sobre los datos personales que venían transfiriendo a EE.UU. desde julio de 2020.
No obstante, ante la falta de legitimación de poderes correctivos de la Autoridad de Protección de Datos irlandesa, esta lo derivó al Comité Europeo de Protección de Datos Personales para su pronunciamiento.
En fecha 13 de abril de 2023, el Comité Europeo de Protección de Datos se pronunció al respecto y la Autoridad de Protección de Datos irlandesa, tomando en consideración el pronunciamiento del Comité, en fecha 12 de mayo de 2023 registró el ejercicio de los siguientes poderes correctivos:
- Una orden, dictada de conformidad con el artículo 58, apartado 2, letra j), del RGPD, por la que se exige a Meta Ireland que suspenda cualquier transferencia futura de datos personales a los EE.UU. en el plazo de cinco meses a partir de la fecha de notificación de la decisión de la Autoridad de Protección de Datos irlandesa a Meta Ireland;
- Una multa administrativa por importe de 1.200 millones de euros (que refleja la conclusión del Comité Europeo de Protección de Datos de que debía imponerse una multa administrativa, para sancionar la infracción que se constató que se había producido. En este punto, la Autoridad de Protección de Datos irlandesa determinó el importe de la multa que debía imponerse por referencia a las evaluaciones y determinaciones que se incluyeron en la decisión del Comité Europeo de Protección de Datos); y
- Una orden, dictada de conformidad con el artículo 58, apartado 2, letra d) del RGPD, por la que se exija a Meta Ireland que ajuste sus operaciones de tratamiento a lo dispuesto en el capítulo V del RGPD, debiendo poner fin al tratamiento ilícito, incluido el almacenamiento, en los EE.UU. de datos personales de usuarios de la UE o del EEE transferidos en violación del RGPD, en un plazo de 6 meses a partir de la fecha de notificación de la decisión de la Autoridad de Protección de Datos irlandesa a Meta Ireland.
Sanción Vodafone España, S.A.U. – Mayo 2022
Encabezando el ranking de sanciones, a Vodafone España, S.A.U. se le ha impuesto recientemente una sanción administrativa por valor de 8.150.000,00 € al evidenciar, no sólo el incumplimiento de varias disposiciones normativas, sino por contar con la suma de agravantes que han permitido cuantificar la sanción hasta esa cifra, tales como contar con multas o apercibimientos desde enero de 2018 a febrero de 2020 en más de 50 ocasiones; existencia de 162 reclamaciones en el plazo de algo menos de dos años según consta en la AEPD o que el hecho infractor haya aumentado los beneficios de la entidad, entre otros.
En concreto, Vodafone España, S.A.U. es sancionada por realizar acciones comerciales sin que hayan sido solicitadas o expresamente autorizadas por los interesados y/o sin atender el ejercicio del derecho a oponerse al envío de nuevas notificaciones. Además, muchos de los interesados contactados se encontraban incluso dados de alta en el Listado Robinson (servicio de exclusión publicitaria, a disposición de los consumidores, que tiene como objetivo disminuir la publicidad que éstos reciben). Como conclusión, la AEPD evidencia que la entidad no tiene implantado para las acciones de mercadotecnia métodos ni medios organizativos y técnicos que verifiquen, ni siquiera por procedimientos estadísticos, la licitud de los datos objeto de tratamiento, su origen, su filtrado previo con los listados internos de exclusión publicitaria y generales de exclusión Robinson, ni con los de las entidades a las que le ha encargado los tratamientos (encargadas del tratamiento), ni derechos de oposición ejercidos por los afectados ante una y otras.
Sanción Caixabank S.A. – Marzo 2022
Por otro lado, a Caixabank, S.A. se le ha impuesto una sanción administrativa por valor de 6.000.000,00 € al evidenciar el incumplimiento del principio de trasparencia establecido en los artículos 13 y 14 del RGPD, así como el principio de licitud del tratamiento regulado en el artículo 6 del RGPD, en lo que al Contrato Marco de Caixabank que debían firmar los clientes de la entidad se refiere.
En relación con el principio de transparencia, la AEPD considera que “CAIXABANK no informa de manera clara y sistemática sobre los tratamientos de datos personales ni las finalidades para las que serán utilizados”. Esto se traduce en que los clientes no reciben con claridad las finalidades para las que se van a tratar sus datos, ya que se utilizan expresiones como: “personalizar su experiencia comercial en nuestros canales”, “estudiar productos o servicios que puedan ser ajustados a su perfil y situación comercial o crediticia”, “definir o mejorar las experiencias de los usuarios”… Igualmente, se detecta que para un mismo tratamiento, unas veces se legitima su uso en el interés legítimo y otras veces en el consentimiento expreso, lo que implicaría que un tratamiento no consentido se termine realizando en base al interés legítimo, generando confusión en el interesado.
En relación con el principio de licitud, se evidencia que Caixabank recaba en un único consentimiento el envío de comunicaciones comerciales por parte de Caixabank y de cualquier de las empresas del grupo Caixabank. Por tanto, el consentimiento no cumple con los requisitos de consentimiento efectivo al no ser específico, ya que debe solicitarse un consentimiento por cada finalidad/entidad. Igualmente, se deduce que el consentimiento tampoco es libre porque al ser un contrato de adhesión, el interesado no tiene capacidad para modificarlo y, por tanto, se le impone obligatoriamente la cesión de información personal entre Caixabank y el resto de las entidades que integran el grupo.
Sanción RFEF – Febrero 2022
Hace unos días nos hacíamos eco de la reciente sanción interpuesta por la AEPD a la Real Federación Española de Fútbol (RFEF), por un valor de 200.000 euros por la infracción del artículo 13 y del artículo 6.1 del RGPD.
La resolución del procedimiento sancionador PS/00368/2021, concluye que la RFEF ha vulnerado los preceptos del RGPD, por un lado, por grabar sin consentimiento de sus participantes una reunión que tuvo lugar de forma telemática el día 7 de abril de 2020 a través de la plataforma Zoom y, por otro lado, por difundir extractos de audio de la reunión a dos medios de comunicación sin el consentimiento, ni el conocimiento de dichos participantes.
Según indicaron los reclamantes, muchos de los participantes no formaban parte del organismo que convocó las reuniones, la RFEF, ni estaban sometidos a sus normas internas, por lo que desconocían norma alguna que regulara el funcionamiento y organización de las reuniones.
La RFEF en su defensa alegó, entre otros aspectos, que:
- En la primera reunión celebrada el 12 de marzo de 2020 ya se informó de que la reunión iba a ser grabada
- Todos los asistentes podían comprobar que la reunión estaba siendo grabada puesto que en todo momento figuraba un piloto rojo situado en la parte superior izquierda de la pantalla junto a una indicación que informaba “grabando”, aspecto sobre el que ningún asistente mostró disconformidad
- En cuanto a las cesiones de datos, que la RFEF facilitó los ficheros de audio a los medios de comunicación que así lo solicitaron para corregir unas inexactitudes de un comunicado de presa, habida cuenta del interés público y transcendencia social de los temas tratados en la reunión del 7 de abril, relativos al impacto del Covid-19 en el mundo del fútbol
Vulneración del artículo 13 del RGPD
Respecto a la sanción por vulneración del art. 13 del RGPD, la AEPD desmonta los argumentos de la RFEF alegando que, ningún momento, la RFEF aporta prueba que evidencie la informados de todos los aspectos indicados en dicho precepto. Cabe matizar, que la única referencia que existe a que las reuniones iban a ser grabadas fue: “(…) Estamos grabando la reunión para que quede constancia de todo, ¿vale?”, es decir, sin ofrecer ningún tipo de información adicional. Además, teniendo en cuenta que a la segunda reunión acudieron más asistentes que a la primera, los cuales no conocían lo que se dijo en la primera reunión. Adicionalmente, tampoco se informó a los asistentes de la segunda reunión de que la grabación iba a ser cedida a los medios de comunicación.
La AEPD, para terminar con este punto, cierra alegando que «la propia RFEF confirma que, después de haber tenido la segunda reunión se elaboró una cláusula informativa en la que se detallan los extremos recogidos en el artículo 13 del RGPD, de lo cual, se desprende que, antes de las reuniones del 12/03/20 y del 07/04/20, no existía ningún tipo de documento en la RFEF que informase sobre estos extremos a los asistentes a las reuniones”.
Respecto a la sanción por vulneración del art. 6.1 del RGPD, aunque la RFEF se acogió al derecho a la libertad de información y expresión reconocido en el art. 20 de la CE, la AEPD recuerda que la RFEH ya ejerció dicho derecho cuando emitió la nota de prensa para la corrección de las inexactitudes y divergencias del comunicado de prensa. De ello se desprende que no era necesario facilitar los ficheros de audio para llevar a cabo tales correcciones y, más aún, cuando la cesión de la grabación y su posterior divulgación puso también en conocimiento de la opinión pública, opiniones personales de los asistentes que no tenían nada que ver con el tema que se trataba en la reunión.
Banco Bilbao Vizcaya Argentaria – Diciembre 2020
Finalmente, debemos destacar la sanción impuesta a Banco Bilbao Vizcaya Argentaria, S.A. por valor de 5.000.000,00 € al evidenciar, al igual que en el caso anterior, el incumplimiento de la obligación de información al interesado y la recogida ilegítima de consentimientos.
En relación con el deber de información, no incidiremos en exceso, ya que el incumplimiento detectado sigue la línea del caso de Caixabank, es decir, la AEPD estima que el BBVA no es claro en la terminología empleada en sus condiciones legales al emplear terminología imprecisa y formulaciones vagas – “… para que desde BBVA podamos atender mejor tus expectativas y podamos incrementar tu grado de satisfacción”. Asimismo, también existe incongruencia respecto de las bases legitimadoras utilizadas, ya que una misma finalidad se encuentra legitimada en el interés legítimo y en el consentimiento.
Cabe destacar en el caso de BBVA, la deficiencia en la recogida del consentimiento de los interesados, ya que el BBVA legitima el consentimiento con la aceptación y firma de la política de privacidad y la no marcación de las casillas de oposición habilitadas. Como ejemplo, si el interesado no quería recibir comunicaciones comerciales, debía marcar la casilla “NO quiero que BBVA trate mis datos para ofrecerme productos y servicios de BBVA, del Grupo BBVA y de otros personalizados para mí”. De lo contrario, se entendía que el interesado sí estaba interesado en recibir dichas comunicaciones. Bajo el RGPD, esta recabación de consentimientos no constituye un acto positivo puesto que se da por hecho que el interesado consiente por defecto los tratamientos indicados al respecto.
En la actualidad, los datos personales son un bien muy preciado y su utilización por parte de las empresas debe regirse por la transparencia, legitimación y buen uso de estos. El RGPD y la LOPDD no buscan limitar el uso de los datos personales, sino que su tratamiento vaya de la mano de las garantías adecuadas para su protección.
Google España, LLC. – Octubre 2018
Con fechas 13 y 29 de septiembre de 2018 y 15 de octubre de 2018, se interpusieron sendas denuncias ante la Agencia Española de Protección de Datos contra Google LLC, que han resultado en una sanción por un valor de 10.000.000 € por la infracción de los artículos 6 y 17 del RGPD.
Antes de entrar en el análisis, es necesario aclarar que Google cuenta con un procedimiento para que los interesados soliciten, “por motivos de privacidad”, la retirada de resultados obtenidos en búsquedas con el nombre de la persona como criterio. Dicha solicitud incluye: URL del contenido, información personal que desea que se retire y los motivos de la retirada.
A posteriori, en el marco del “Proyecto Lumen”, Google comunica a la entidad Berkman Klein Center for Internet & Society las solicitudes de retirada o eliminación de contenidos en línea, relacionadas a infracción de derechos de autor, difamación, fallos judiciales, etc.; con la finalidad de que realicen estudios de tipos de solicitudes, sus solicitantes y receptores, potenciando la transparencia acerca de internet. Esta base de datos, puede ser consultada por el público en general.
En este sentido, el procedimiento sancionador PS/00140/202 trata sobre la ilicitud de la comunicación de datos personales en el “Proyecto Lumen”; así como una posible infracción del derecho de supresión de datos personales.
En relación con la base legítima, la licitud del tratamiento debería basarse en:
- La existencia de consentimiento del interesado.
- El interés legítimo de la entidad.
Google acude al interés legítimo para fundamentar la comunicación de datos personales. No obstante, se evidencia que la única información ofrecida por Google a los usuarios sobre la comunicación al “Proyecto Lumen” está contenido en un aviso de texto insertado en los propios formularios de solicitud de retirada de contenidos y se limita a advertir sobre la posibilidad de enviar al “Proyecto Lumen” una copia de las notificaciones, sin ninguna mención a la base jurídica que legitima el tratamiento de datos personales ni a los intereses legítimos que alega Google, ni tampoco se referencia nada en la Política de Privacidad. Por lo tanto, no puede entenderse que el usuario haya sido correctamente informado.
La AEPD concluye que:
“Teniendo en cuenta la deficiente información ofrecida acerca de la finalidad y base legitimadora de la comunicación de datos, no es posible evaluar la ponderación de intereses y concluir la prevalencia del interés legítimo del responsable o de terceros. El interesado, por su parte, al faltar la información relativa a la prueba de ponderación, se ve privado de su derecho a conocer la base jurídica del tratamiento alegada por el responsable, y en concreto, al referirse al interés legítimo, se ve privado de su derecho a conocer cuáles son dichos intereses legítimos alegados por el responsable o de un tercero que justificarían el tratamiento”.
Por otro lado, y en relación con el derecho de supresión, se evidencia que el interesado que rellena el formulario no tiene una opción real para no otorgar el consentimiento de comunicación de sus datos al “Proyecto Lumen”, sin que ello suponga un obstáculo para la retirada del contenido. Precisamente, en los formularios, se observa que la cesión de datos viene incluida por defecto en la propia solicitud de retirada, y no mediante consentimiento diferenciado y específico.
Finalmente, en palabras de la AEPD, “es necesario garantizar que el consentimiento de comunicación de datos al “Proyecto Lumen” se presta de manera independiente y desvinculado de la solicitud de retirada de contenido o denuncia de infracción”. Por lo tanto, no es posible concluir que Google ofrezca una declaración clara y no ambigua por medio de la cual el interesado tenga la posibilidad de elegir si ceder o no sus datos, así como que sea informado de forma transparente de todo el proceso y sus implicaciones.
En GlobalSuite Solutions, contamos con más de 15 años de experiencia en materia de Protección de Datos Personales y Seguridad de la Información. Nuestros equipos de consultoría especializada ofrecen el asesoramiento y el soporte necesarios para ayudar a las empresas a definir correctos protocolos de tratamiento de los datos personales, conservación de los mismos, determinación de bases legales legítimas, entre otros, para poder así dar cumplimiento a los requisitos exigidos por el RGPD y la LOPDGDD.