Cuando, en 2018, se aprobó la 'Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales', su artículo 76.4 establecía la obligatoriedad de recopilar y publicar en el BOE todas aquellas sanciones impuestas por la AEPD (Agencia Española de Protección de Datos) cuando éstas superen la cuantía del millón de euros y el receptor de las mismas sea una 'persona jurídica' (empresas, asociaciones, partidos políticos, etc.).
De modo que, a instancias de dicha ley, el BOE de ayer se hace eco de todas aquellas sanciones impuestas por la AEPD a lo largo del pasado año, identificando infractor, infracción y cuantía. Aparecen en el listado un total de cinco grandes empresas: Vodafone, BBVA, Mercadona, y las dos filiales españolas de EDP (Energías de Portugal)
Vodafone: 8,15 millones
La AEPD multó a Vodafone España, en marzo de 2021, con 8,15 millones de euros por incumplir no sólo el RGPD, sino también la LSSICE (Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico), así como la Ley General de Telecomunicaciones.
En gran parte, la sanción se debió a las acciones comerciales de mercadotecnia llevadas a cabo por la operadora telefónica: la AEPD estimó que la empresa no había logrado explicar la razón por la que suceden y continúan sucediendo los hechos reclamados, ni "el motivo por el cual ciertos usuarios han solicitado no recibir acciones de mercadotecnia y, sin embargo, siguen recibiendo acciones comerciales".
Eso, la reincidencia en dichas prácticas por parte de Vodafone (constaban un total de 162 reclamaciones en un plazo de menos de dos años, y la compañía había continuado sus acciones de mercadotecnia tras resoluciones en tutela instando a que las cancelaran) y el hecho de que se viera económicamente favorecida por las mismas, determinó la enorme cuantía de la multa impuesta.
BBVA: 5 millones
A mediados de diciembre de 2020 (aunque no fue firme hasta 2021), la AEPD impuso una sanción de 5 millones de euros contra el Banco Bilbao Vizcaya Argentaria (BBVA), a raíz de cinco reclamaciones de distintos usuarios que recibieron llamadas telefónicas por parte del BBVA, pese a que habían denegado la cesión de sus datos con fines publicitarios.
Se acusaba al BBVA de no dejar suficientemente clara su política de privacidad, al dar por hecho que al no marcar una casilla, se ofrecía consentimiento para gestionar algunos datos personales. Algo que va contra lo establecido por el Reglamento General de Protección de Datos.
La AEPD consideró que la entidad bancaria no sólo ignoraba la necesidad de consentimiento por parte del usuario (artículo 13), sino que tampoco informaba al usuario correctamente de cómo se recogerían sus datos (artículo 14).
Mercadona: 2,5 millones
Aunque de menor cuantía que las anteriores, la sanción de 2.520.000 euros a Mercadona destaca por ser la que más artículos del RGPD violó: un total de siete.
La sanción le fue impuesta el pasado julio, un año después de que Mercadona anunciase que comenzaría a utilizar un sistema de reconocimiento facial en sus supermercados para detectar a las personas con sentencia firme y medida cautelar de orden de alejamiento a los establecimientos.
Tras la polémica desatada, la AEPD inició una investigación que finalizó resolviendo que dichas medidas suponen, a efectos prácticos, "que todos los ciudadanos sean tratados como condenados" por estar siendo "sometidos al mismo tratamiento que aquel sujeto al que se le impuso la medida de seguridad".
Previamente, la empresa había intentado que el expediente sancionador se archivase esgrimiendo un argumento chocante: que no necesitaba "base legal" para realizar el tratamiento de datos, porque "el patrón [facial] de una persona no constituye un dato de carácter personal".
EDP: 1,5 + 1,5 millones
El pasado mes de junio la AEPD ya había impuesto una sanción contra EDP Energía y contra su empresa comercializadora, por una suma total de 3 millones de euros. Los procedimientos sancionadores habían comenzado dos años antes, a raíz de reiteradas denuncias realizadas por los usuarios.
La AEPD encontró culpable a EDP Energía/Comercializadora de vulnerar el principio de privacidad desde el diseño (su web permitía contratar sus servicios a través de un representante… sin compronar la existencia previa de autorización por parte del representado) y el principio de información (pues no se informaba al usuario de la posibilidad ni del canal para ejercer sus derechos).
