Vodafone, CaixaBank, BBVA, Mercadona o Telefónica: Protección de Datos ha recaudado más de 31 millones de euros de las 9 empresas que más ha multado en 2021

Fuente: Business Insider (https://www.businessinsider.es/9-empresas-espanolas-multadas-proteccion-datos-2021-981745)
Alberto R. Aguiar
Publicado el 30 dic. 2021

 

• En la lista aparecen entidades financieras, compañías eléctricas y operadoras de telecomunicaciones.
  

 El Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2018, pero han tenido que pasar algo más de dos años para empezar a ver las cuantiosas sanciones que las autoridades de control de los distintos países europeos impondrían a las empresas que lo vulnerasen.

La llegada de este RGPD contemplaba ya en su régimen sancionador multas de hasta 20 millones de euros o del 4% de la facturación global de una firma, lo que en términos contables puede arrojar cifras desorbitadas. El récord lo ostenta ahora mismo Amazon, que fue sancionada en el verano de este 2021 por la autoridad de protección de datos de Luxemburgo en más de 740 millones de euros.

Expertos juristas ya avanzaron en Confilegal los motivos por los que las grandes sanciones han tardado en hacerse ver. Cuando el RGPD entra en vigor en 2018, la Agencia Española de Protección de Datos (AEPD) todavía mantenía varios procedimientos abiertos que se aplicarían en función de la anterior ley de protección de datos española, y no la nueva que transpuso el reglamento europeo.

Las cosas han cambiado y solo en la mitad de 2021 la AEPD ya había propuesto más de 23 millones de euros en multas, lo que suponía un crecimiento de más del 500% con respecto a todo lo que propuso en el año de la pandemia, 2020. Ahora que 2021 llega a su fin, también ha llegado el momento de comprobar cuáles de las firmas sancionadas forman parte de este peculiar ranking.

Operadoras de telecomunicaciones, entidades bancarias y energéticas forman parte de este listado que encabeza Vodafone, que ya en marzo de este año protagonizó una resolución de la AEPD por la que se le imponía una sanción de 8.150.000 euros. Sumado a 23 multas que la teleco ha ido acumulando a lo largo del mismo año, la compañía se enfrenta a sanciones de más de 9,4 millones.

Un total de 31 millones de euros que la AEPD habría recaudado de tan solo 9 firmas. Estas son.

Telefónica: 165.000 euros en 3 multas

Tanto Telefónica de España SAU como Telefónica Móviles de España SAU han sido objeto de resoluciones de la AEPD este año. La primera recibió una de 75.000 euros en julio, cuando un usuario elevó una queja ante la AEPD, después de que la teleco adjudicase un servicio a un usuario que no lo había solicitado.

Debido a que el usuario rechazó pagar el servicio, la compañía consideró que el cliente había contraído deudas con ella, deudas que acabó externalizando. La AEPD dictaminó que esa transferencia de datos (consecuencia de la transferencia de la deuda) no se ajustó a derecho. La multa en realidad era de 75.000 euros, pero se rebajó a 45.000 por pronto pago.
La multinacional española recibió otra sanción de 75.000 euros después de que un cliente con cinco líneas de teléfono detectara que un tercero le había intentado suplantar para trasladar uno de sus cinco números de teléfono a otro contrato. Como consecuencia de este intento, que se ejecutó sin que la compañía hiciese las comprobaciones necesarias, la tarjeta SIM de esa línea se bloqueó.

La otra sanción de 45.000 euros a Telefónica Móviles España es la más singular. Un usuario denunció que había recibido hasta 250 llamadas de la compañía en dos días, porque empleados de la firma habían usado su número y su perfil de usuario para hacer pruebas de llamadas de marketing sin su consentimiento.

Fruto de ese apercibimiento, Telefónica anunció que revisaría sus bases de datos cada dos semanas para evitar más errores en sus campañas.

Iberdrola: 306.000 euros en 3 multas

Ha protagonizado una de las mayores multas de la AEPD impuestas este año. Se trata de una sanción de 200.000 euros que en realidad recayó sobre I-DE Redes Eléctricas Inteligentes SAU, del grupo. La razón: I-DE envió cartas a clientes de dos comercializadoras eléctricas que trabajaban con el Grupo Iberdrola.

En las cartas, I-DE detallaba a los clientes de estas dos comercializadoras que las mismas estaban manteniendo impagos con la eléctrica. Aunque I-DE tenía acceso a los datos personales de los usuarios de ambas comercializadoras por un acuerdo de transferencia de datos, el contenido de las cartas violó los principios de minimización.

En este caso fue el derecho a la protección de datos de las dos comercializadoras el que se vio vulnerado. La AEPD estimó que la información (supuestas vulneraciones del contrato que ataba a las dos comercializadoras con I-DE) era demasiada, innecesaria y por tanto sancionable.

Otra multa de 100.000 euros se elevó contra Iberdrola Clientes SAU después de que un usuario de la compañía solicitara que se eliminaran sus datos personales de su base de datos. Iberdrola siempre atendió las reclamaciones respondiendo por carta a una dirección postal antigua que el cliente ya había instado a eliminar, y al que se le hizo caso omiso.

La tercera sanción, de 6.000 euros, fue porque Iberdrola realizó llamadas promocionales a un cliente a pesar de que el usuario en cuestión tenía sus datos en la lista Robinson. La compañía alegó que se había tratado de un error humano, ya que los números de teléfono desde los que se hicieron esas llamadas promocionales no tenían en realidad fines de marketing.

Air Europa: 600.000 euros en una multa

Sufrir un ciberataque puede salir muy caro. No solo por ser víctima del chantaje de los criminales informáticos o por ver cómo la operativa del negocio se detiene hasta que se resuelve el incidente: si no se responde adecuadamente a un incidente tan crítico como este, las autoridades de protección de datos europeas también pueden tomar cartas en el asunto.

Es lo que hizo en este caso la AEPD con una sanción que propuso contra la aerolínea Air Europa en marzo de este año. Aunque la aerolínea notificó a la agencia que sufrió una importante brecha de seguridad que dejó expuestos los datos de contacto y cuentas bancarias de hasta 498.000 personas, a la autoridad española no le quedó más remedio que proponer una sanción.

Según resolvía la AEPD, Air Europa no había adoptado las medidas técnicas y organizacionales adecuadas para evitar que un incidente como ese fuese de la criticidad que resultó ser. Además, aunque la compañía notificó el ataque, lo hizo casi un mes y medio tarde, 41 días después.

La sanción se elevó a 600.000 euros por un claro agravante: los usuarios afectados no solo se redujeron a usuarios españoles, sino a viajeros de todo el mundo que sufrieron problemas al ver cómo sus cuentas bancarias se veían expuestas en manos de ciberdelincuentes.

Equifax: 1,05 millones en 2 multas

Equifax gestiona uno de los ficheros de morosos más reputados y conocidos en España. Sin embargo, estos ficheros también deben cumplir con el Reglamento General de Protección de Datos. De lo contrario, la AEPD actúa: algo que hizo en abril de este año imponiéndole una sanción de un millón de euros.

La razón: la autoridad había recibido ya hasta 96 quejas al ver que sus datos formaban parte del Fichero de Incidencias Judiciales (FIJ) sin su consentimiento. La AEPD desgrana que incluso en muchos casos esos datos ni siquiera eran correctos. La resolución también zanjaba que el procesado de esos datos en el FIJ había sido ilegal y violaba principios del RGPD.

Principios como la transparencia, límites a su propósito, minimización de datos, etc. Equifax ni siquiera informó adecuadamente a los usuarios del procesado de sus datos, lo que es obligatorio.

La otra sanción de 50.000 euros, que llegó antes, en marzo de este año, respondía al caso según el cual Equifax incluyó los datos de un ciudadano en un fichero de morosos ya que este no pagó el alquiler a su casero. Sin embargo, y según constató la AEPD, aunque tanto casero como Equifax remitió avisos de pago al inquilino, en estos avisos jamás se detalló que entraría en el fichero de no pagar.

Mercadona: 2,52 millones en una multa

Mercadona envió una nota de prensa a los medios de comunicación en julio de 2020 en la que anunciaba el despliegue de un proyecto piloto por el cual se instalarían cámaras de reconocimiento facial en docenas de sus establecimientos. El propósito: detectar si en alguna de sus tiendas entraba una persona con orden de alejamiento del local o de alguno de sus trabajadores.

La compañía de Juan Roig alegó en todo momento que el proyecto era seguro, que recababa esos datos biométricos de los ciudadanos que entrasen en la tienda en menos de un pestañeo (0,3 segundos). Sin embargo, nunca explicó cómo gestionaba la base de datos de caras con las que el sistema compararía los rasgos detectados.

Business Insider España adelantó que la AEPD investigaba a Mercadona por este sistema, que había implementado con una firma tecnológica con la que Microsoft había dejado de trabajar por una polémica con sus usos y sistemas implementados en Cisjordania. El anuncio también consternó a clientes de los supermercados, que mostraron su malestar en las redes sociales.

Incluso el responsable del Supervisor Europeo de Protección de Datos se pronunció ante esta noticia, al considerar que este sistema era "difícil de justificar". Luego llegó la Justicia, después de que la Audiencia Provincial de Barcelona paralizara el proyecto en junio de 2021.

Un mes después trascendió la sanción de 2.520.000 euros a la cadena de supermercados. Cuando se publicó la resolución se conocieron incluso los argumentos de Mercadona para defender su modelo, y también que mantuvo el sistema de cámaras de reconocimiento facial hasta mayo de este año a pesar de que las críticas llegaron desde el primer momento.

La sanción fue de apenas 2,5 millones porque Mercadona pagó voluntariamente en plazo, y la Agencia Española de Protección de Datos detectó deficiencias tanto en la información que trasladó a usuarios y trabajadores de este sistema como vulneraciones de los principios de minimización de riesgos y tratamiento de datos que exige el RGPD.

EDP 3 millones en 2 multas

EDP, la eléctrica portuguesa que también trabaja en España, conoció el mismo día que la AEPD le imponía dos sanciones de 1,5 millones de euros cada una. En total, 3 millones.

En realidad las sanciones propuestas se elevaban a dos compañías distintas del grupo EDP: una a EDP Energía SAU y otra a EDP Comercializadora SAU. Las razones, no obstante, eran las mismas. La AEPD detectó que EDP Energía no estaba informando adecuadamente a los usuarios sobre cómo se recopilaban sus datos personales.

De hecho, la AEPD detectó que la eléctrica no estaba aportando los mecanismos de garantías suficientes como para que un tercero pudiese obrar en nombre de uno de sus usuarios. Aunque un intermediario sí puede actuar en nombre del cliente final para dar de alta un contrato con la compañía, no tenía la misma potestad como para aceptar el recibir comunicaciones comerciales.

Es más, el propio organismo de control detallaba en sus resoluciones que ya habían recibido diversas denuncias y reclamaciones contra EDP por un "tratamiento de datos personales sin consentimiento del interesado". Tratamientos que se producían cuando el representante de un cliente va a contratar, sin que EDP "pueda acreditar la existencia de tal representación".

Por vulnerar el artículo 13 del RGPD la sanción propuesta por la AEPD es de un millón de euros, mientras que por vulnerar el artículo 25, de 500.000 euros. 1,5 millones que, multiplicado por dos (una multa a EDP Energía y otra a EDP Comercializadora) elevan la propuesta a esos 3 millones de euros.

BBVA: 5,15 millones en 3 multas

Hasta que la AEPD propuso una sanción de 5 millones de euros al BBVA a finales de 2020, las sanciones más altas que la agencia había impuesto en toda su historia no superaban los 250.000 euros. Hasta la fecha, la multa más alta que la Agencia había propuesto era a La Liga por valor de ese cuarto de millón de euros.

Por eso, la sanción al BBVA supuso un antes y un después. Y no fue la única. La entidad Banco Bilbao Vizcaya Argentaria SA ha visto cómo desde diciembre de 2020 hasta finales de noviembre de 2021 ha recibido propuestas de sanción de la autoridad española por valor de 5.156.000 euros. La de 5 millones, otra de 36.000 euros, y una tercera en agosto de 120.000.
La razón por la que la AEPD propuso una sanción de 5 millones es que la entidad financiera no implementó los mecanismos adecuados para obtener el consentimiento de sus usuarios para el tratamiento de sus datos. En concreto, por vulnerar el artículo 6 del RGPD se le sancionó con 3 millones, y por vulnerar el artículo 13, con otros 2 millones.

Además de no implementar adecuadamente esos mecanismos, la AEPD también reprochó en su resolución que el BBVA empleaba términos imprecisos en su política de privacidad, además de que no proveyó de la información adecuada sobre qué tipos de datos personales se iban a tratar. De hecho, la autoridad española resume que la base legal del tratamiento de datos no se identifica bien.

No fue el único problema al que se enfrentó la entidad: la sanción de 120.000 euros en realidad era de 200.000, pero se redujo por el pronto pago voluntario de la compañía. La resolución que propuso esta multa consideraba que el BBVA no estaba empleando los mecanismos de garantías suficientes para proteger la información de sus usuarios.

Eso lo demostró uno de los clientes del BBVA, al detectar que cuando llamaba al servicio de atención al cliente de la compañía bastaba con dar un número de DNI para que la entidad le trasladara información sobre sus datos y cuenta, sin que el servicio hiciese las comprobaciones necesarias para comprobar que el que llamaba era quien decía ser.

CaixaBank: 9,05 millones en 3 multas

Año difícil para CaixaBank en materia de protección de datos. La entidad financiera ha protagonizado varios titulares a raíz de su fusión con Bankia. Pero también por al menos hasta tres sanciones que la Agencia Española de Protección de Datos ha propuesto por vulneraciones al Reglamento General de Protección de Datos.

En concreto, las multas que la entidad financiera ha percibido por no tratar adecuadamente los datos de sus usuarios son tres, espaciadas a lo largo del año, y superan los 9,05 millones de euros. Más concretamente, 9.050.000 euros. La primera sanción fue de 6 millones, la segunda de 50.000 euros, y la tercera, de 3 millones.

La primera, de seis millones de euros, trascendió en enero de 2021. Un movimiento de CaixaBank vulneraba varios de los artículos del RGPD: cuando los usuarios se vieron obligados a aceptar las nuevas políticas de privacidad, se vieron forzados a aceptar que sus datos personales se compartieran con todas las empresas del grupo.

Sin embargo, CaixaBank no brindó a los mismos usuarios la oportunidad de seleccionar con qué empresas del grupo CaixaBank compartir esos datos.

La sanción de tres millones llegó en octubre de este año, después de que un usuario recibiese una notificación del banco en el que se reclamaba información sobre él mismo y su compañía, aunque esta última no había sido cliente de la entidad financiera desde el año 2014. En resumidas cuentas, el banco había creado perfiles financieros muy específicos de sus clientes sin advertirlo.

La suma de las tres sanciones (la de 50.000 euros llegó porque un usuario recibió información comercial de CaixaBank aunque rechazó que se le remitiera la misma) hace que la entidad financiera haya sido la segunda empresa más sancionada por la AEPD este 2021. Las multas se propusieron concretamente sobre CaixaBank y CaixaBank Payments & Consumer.

Vodafone: 9,4 millones en 24 multas

Las grandes operadoras de telecomunicaciones se enfrentan a una delicada situación. Por un lado, las tradicionales ven cómo muchos de sus clientes migran a operadoras de bajo coste. Por el otro, las grandes tecnológicas son las que obtienen beneficios a costa de usar su red. Quizá por eso, la propia Vodafone anunció hace unas semanas el lanzamiento de su singular metaverso.

Tal vez esta sea una de las vías con las que las telecos tratarán de hacer frente a las tecnológicas. Sin embargo, hay algo claro: aunque el actual RGPD nació pensado para tratar de regular el tratamiento de los datos por parte de las grandes tecnológicas, han sido las filiales de la operadora británica (Vodafone Servicios SLU, Vodafone España SAU) las más sancionadas. Al menos en 2021.

Ha percibido la multa más grande de la historia de la AEPD: más de 8 millones de euros. Por otro lado, entre el 1 de diciembre de 2020 hasta el 1 de diciembre de 2021, la operadora ha visto cómo la autoridad de control española ha propuesto hasta 23 sanciones por cuantías de 40.000, 56.000 o 90.000 euros, que suman 1,27 millones. Un total de 9,4 millones de euros.

Fue en marzo cuando la multinacional percibió una de las sanciones históricas de la AEPD. Hasta aquel momento, las mayores multas que la Agencia había impuesto estaban centradas en entidades bancarias, tras una sanción de 5 millones de euros al BBVA a finales de 2020 y otra de 6 millones a CaixaBank a principios de enero.

La multa que recurrió Vodafone ascendió a 8.150.000 euros, más de 8 millones. La AEPD señaló que ya había recibido quejas de centenares de usuarios debido a comunicaciones no solicitadas que la teleco hacía mediante llamadas y mensajes (tanto por correo electrónico como por SMS), con el agravante de que muchos de los usuarios ya formaban parte de la popular lista Robinson.

Otra razón que la AEPD también consideró agravante es el hecho de que entre enero de 2018 y febrero de 2020 Vodafone ya tenía más de 50 casos abiertos y la autoridad de control ya había recibido más de 162 quejas sobre la misma compañía. Vodafone recurrió, Protección de Datos se ratificó, y el caso se elevó a la Audiencia Nacional, según Vozpópuli.