AEPD : Infracciones, Multas y Procedimiento
Las sanciones que impone la Agencia Española de Protección de Datos (AEPD) pueden tener un impacto significativo en cualquier empresa u organización que no cumpla con la normativa de protección de datos. En este artículo, vamos a desglosar de manera sencilla y comprensible los tipos de infracciones más comunes, las multas asociadas y el procedimiento sancionador que sigue la AEPD. Además, hablaremos de cómo se calculan estas sanciones de acuerdo con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), y analizaremos las tendencias más recientes en este ámbito. Nuestro objetivo es que cualquier empresa pueda comprender de manera clara el impacto que estas sanciones pueden tener y cómo evitarlas.
Informes y Resoluciones de la AEPD
La AEPD publica regularmente informes y resoluciones que detallan las infracciones sancionadas y los procedimientos sancionadores llevados a cabo. En esta sección, revisaremos el acceso a las resoluciones más recientes, los tipos de infracciones más comunes y los procedimientos que sigue la AEPD para imponer sancione
Acceso a las resoluciones más recientes
La AEPD pone a disposición del público resoluciones recientes, que son esenciales para comprender cómo se aplican las normativas de protección de datos en casos específicos. Estas resoluciones ofrecen ejemplos prácticos que ayudan a las empresas a entender qué tipos de incumplimientos son sancionados y cómo se interpretan las normativas vigentes.
Tipos de infracciones sancionadas
Las infracciones sancionadas por la AEPD pueden variar desde faltas leves hasta violaciones graves de la normativa de protección de datos. Esta variedad refleja la naturaleza y el alcance de las obligaciones impuestas por el RGPD y la LOPDGDD, y la importancia de que las empresas cumplan con las disposiciones legales para evitar sanciones.
Procedimientos sancionadores
La AEPD sigue un procedimiento sancionador establecido para investigar y sancionar las infracciones. Este proceso incluye fases de investigación, alegaciones y posibles recursos, permitiendo a las empresas defenderse antes de que se emita una resolución definitiva.
Infracciones y Sanciones según la LOPDGDD y el RGPD
El marco legal en España, compuesto por el RGPD y la LOPDGDD, define claramente las infracciones relacionadas con la protección de datos. En esta sección, analizaremos las diferencias entre infracciones leves, graves y muy graves, las sanciones económicas asociadas, el proceso de denuncia y los derechos y obligaciones de las partes implicadas.
Entender el marco legal del RGPD y la LOPDGDD puede ser complejo, pero no tienes que hacerlo solo. Nuestra Consultoría de protección de datos está aquí para guiarte en cada paso, desde la prevención de infracciones hasta la gestión de sanciones.
Definición de infracciones leves, graves y muy graves
Las infracciones leves suelen estar relacionadas con incumplimientos menores de la normativa, mientras que las graves y muy graves implican violaciones que afectan de manera significativa los derechos de los afectados. Cada categoría lleva aparejadas diferentes sanciones económicas, en función de la gravedad y el impacto del incumplimiento.
Existen tres grados de incumplimiento de Ley de Protección de Datos y el año pasado,
Según el grado de incumplimiento, se impone una sanción económica de mayor o menor valor.
- Las infracciones leves: entre 900 y 40.000 euros.
- Las infracciones graves: entre 40.001 y 300.000 euros.
- Las infracciones muy graves: entre 300.001 y 600.000 euros.
Y encontramos ejemplos en todos los sectores de actividad:
Multas económicas y otras sanciones posibles
Como hemos visto, las multas impuestas por la AEPD pueden ser considerables y variar dependiendo de la infracción cometida. Por eso, es importante entender los riesgos que muchas empresas asumen cuando no disponen de políticas adecuadas en cuanto a la protección de datos.
Además de las sanciones económicas, la AEPD puede imponer medidas adicionales como restricciones al tratamiento de datos o la obligación de implementar mejoras en las medidas de seguridad.
Por tanto, la AEPD ejecuta sanciones dirigidas a empresas con la intención de que tengan un impacto de tal forma que “salga a cuenta” disponer de políticas de Protección de Datos sólidas y eficaces.
Procedimiento de denuncia y reclamación
Los afectados por una infracción en el tratamiento de sus datos pueden presentar una denuncia ante la AEPD. El proceso de reclamación incluye la presentación de pruebas por parte del afectado y una investigación exhaustiva por parte de la AEPD antes de emitir una resolución final.
Pero, es importante tener en cuenta que las sanciones realizadas por la AEPD no siempre son el fruto de una denuncia de alguien afectado. Disponen de inspectores que revisan la implementación de políticas de protección de datos efectivas
Derechos de los afectados y obligaciones de las empresas
Los afectados tienen derechos específicos bajo el RGPD, como el derecho de acceso, rectificación, oposición, supresión (“derecho al olvido”), limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas.
Los derechos de protección de datos se caracterizan por ser gratuitos para los interesados. Sin embargo, si las solicitudes son infundadas o repetitivas, el responsable puede cobrar un canon o negarse a actuar.
La AEPD tiene la obligación de responder en un plazo de un mes, aunque este plazo puede extenderse dos meses más en casos complejos.
Las empresas, por su parte, deben cumplir con obligaciones como garantizar la seguridad de los datos, respetar los plazos de retención y facilitar el ejercicio de los derechos de los interesados.
El responsable está obligado a ofrecer medios accesibles para ejercer estos derechos, sin denegarlos por elegir un medio diferente. Y si no atiende la solicitud, debe informar al interesado dentro del mismo plazo sobre las razones y el derecho a reclamar ante una Autoridad de Control.
Los derechos pueden ejercerse directamente o a través de un representante, y en algunos casos, el encargado del tratamiento puede gestionar la solicitud en nombre del responsable, si así lo han acordado.
Directrices para el Cálculo de Multas según el RGPD
Evidentemente, cuando se implementan este tipo de normativas, la prioridad en implementarlas está directamente relacionada con los riesgos que está asumiendo la empresa hasta que finalmente puede implementarla. En este caso, los riesgos son económicos, puesto que las empresas que incumplen se enfrentan a multas económicas muy importantes. En este apartado os explicamos cómo se realiza el cálculo y las cuantías máximas a las que puede llegar una multa.
Factores que influyen en la cuantía de las multas
El Comité Europeo de Protección de Datos (CEPD) estableció directrices con el fin de unificar la metodología que emplean las autoridades de control al calcular las sanciones por incumplimientos de la normativa de protección de datos.
Aunque el cálculo final de la multa queda a criterio de la autoridad de control, este se realiza conforme a las directrices del CEPD y el Reglamento General de Protección de Datos (RGPD), que estipula que las sanciones deben ser efectivas, proporcionales y disuasorias.
En cualquier caso, la determinación del importe se basa en un análisis específico de cada situación particular con el objetivo que las sanciones sean proporcionales al daño causado.
La metodología adoptada por el Comité se puede consultar aquí
A nivel de cuantía, las infracciones graves, según el artículo 83(5) del RGPD, pueden conllevar multas de hasta 20 millones de euros o el 4% de la facturación global de la empresa. Las infracciones menos graves, según el artículo 83(4), pueden ser sancionadas con hasta 10 millones de euros o el 2% de la facturación.
Cifras que son muy elevadas y que pueden comprometer enormemente el resultado financiero de una empresa que incumpla el RGPD
Estadísticas y Tendencias en Reclamaciones a la AEPD
La AEPD publica regularmente estadísticas sobre las reclamaciones recibidas y las sanciones impuestas. A partir de este análisis, en esta sección, revisaremos la evolución de estas reclamaciones en los últimos años, los tipos de reclamación más comunes y los sectores más afectados por sanciones.
Número de reclamaciones recibidas anualmente
En 2023, la AEPD recibió por tercer año consecutivo el mayor número de reclamaciones de su historia. En 2023 hubo un incremento de un 43% de reclamaciones respecto 2022 y de un 55% si lo comparamos con 2021.
Este aumento refleja una mayor concienciación sobre los derechos de los ciudadanos en materia de protección de datos.
Tipos más comunes de reclamaciones
Las reclamaciones más frecuentes están relacionadas con la publicidad, servicios de internet y la videovigilancia. Pero vemos que las 10 primeras tienen un importante número de reclamaciones y que hay una tendencia alcista. Entender estos tipos de reclamaciones puede ayudar a las empresas a evitar caer en incumplimientos similares y a reflexionar de cómo están gestionando este tipo de acciones.
Sectores más afectados por sanciones
Algunos sectores, como el financiero, tecnológico y el de telecomunicaciones, son más propensos a recibir sanciones por el tratamiento de grandes volúmenes de datos sensibles.
A modo de ejemplo, en 2023 hubo 3 multas de más de 1 millón de euros y las 3 fueron para empresas del sector financiero.
Por otro lado, también vemos que la AEPD ha sido parte interesada en los procesos que se han realizado con empresas tecnológicas, más concretamente con Social Media, en las que las cifras de las sanciones son realmente muy elevadas a pesar del volumen de negocio que generan.
Evolución histórica y tendencias
El entorno normativo en torno a la protección de datos sigue evolucionando, y la AEPD ajusta constantemente sus directrices y procedimientos.
Todos los datos que hemos mostrado muestran claramente una mayor concienciación de las personas que generan un mayor volumen de reclamaciones.
Pero hemos encontrado un dato que resulta sorprendente que se muestra en la siguiente tabla:
Por un lado, el número de multas en 2023 es inferior a 2022 a pesar de haber un 43% más de reclamaciones. Podemos entender que las empresas están más preparadas y por tanto dichas reclamaciones no se convierten en multas.
Por otro lado, vemos que el importe de las multas, a pesar de haberse reducido el número de multas, se ha incrementado en un 44%. Es probable que este crecimiento se deba a la aplicación de un criterio único para calcular la cuantía de las multas.
En definitiva, podemos entender que el RGPD y las acciones de la AEPD para garantizar el cumplimiento del reglamento son un factor que las empresas deben tener en cuenta para no asumir riesgos que impacten en la sostenibilidad de sus negocios.
7 casos reales de empresas multadas por sanciones RGPD
Nuestros expertos en LOPD han recopilado una serie de sanciones RGPD reales e impuestas a diversas empresas y sectores.
Evitas riesgos e infracciones por incumplimiento de la Ley de Protección de Datos si estamos informados.
Enfatizamos, en este artículo, los tres niveles de infracciones de la Ley de Protección de Datos y cómo encarar una estrategia de Legal Compliance para no ser multado.
Sector agro-alimentación
Importante cadena de alimentación y productos domésticos
🡪 2,5 millones €: sistema de reconocimiento facial que no cumplía con la licitud (art. 6 RGPD) ni el adecuado tratamiento de categorías especiales de datos (art. 9 RGPD) con una incorrecta Evaluación de Impacto.
Sector químico-farma / industrial
Empresa de servicios de impresión
🡪 3.000 €: por infringir la normativa LSSICE respecto a la Política de Cookies y la gestión de las mismas en su página web. Además, se le ha sancionado con “apercibimientos” por infracción del RGPD en la recogida del consentimiento y la inexistencia de Política de Privacidad.
Sector retail-distribución
Distribuidora de mobiliario
🡪 3.000 €: por incumplir la LSSICE sobre cookies al no informar correctamente, faltar consentimiento y sin opción a rechazar cookies.
Banner en su web con el siguiente mensaje:
“Nuestra tienda usa cookies para mejorar la experiencia de usuario. Si continúas utilizando este sitio, aceptas el uso de las cookies”. <<aceptar >> – <<más información>>
Servicios financieros
Importantes entidades bancarias
🡪 6 millones €: por falta de información sobre la base jurídica que habilite las cesiones de datos a las empresas del grupo.
🡪 5 millones €: por tratar datos de clientes sin consentimiento inequívoco y sin dar información suficiente y clara.
Servicios profesionales
Proveedora de servicios a cadena hotelera
🡪 100.000 €: por negar a cadena de hoteles el derecho de acceso a sus datos, tras extinción de contrato de provisión de servicios, incumpliendo el RGPD en calidad de “encargado de tratamiento”.
Empresa de marketing digital y publicidad
🡪 15.000 €: por incumplir el derecho de supresión del reclamante y por el envío de comunicaciones comerciales sin consentimiento expreso, al ser responsable de ficheros automatizados de datos.
Otros sectores
Empresa comercializadora de energía
🡪 3 millones de € en total: dos sanciones por vulnerar el RGPD, ya que solicitaba a los representantes de sus clientes el consentimiento para enviar comunicaciones comerciales a estos últimos, sin haber sido acreditados debidamente para aceptar dichas comunicaciones.
