Ranking de sanciones de protección de datos 2023

Aprovechando que estamos ya en mitad de año, hacemos un repaso de la actividad de la Agencia Española de Protección de Datos (AEPD) a lo largo del año 2023, que la propia AEPD analiza y desglosa en su memoria anual, publicada el pasado mes de abril.

Además, gracias a la información de la AEPD podemos elaborar un ranking de sanciones de protección de datos del año pasado en nuestro país, como forma de ilustrar lo cuantiosas que pueden llegar a ser las multas por incumplir la normativa en materia de protección de datos.

Aumento de las reclamaciones

Como introducción a este ranking de sanciones de protección de datos 2023, la primera cuestión relevante que podemos reseñar es el aumento de la actividad general de la AEPD en todos los sentidos, principalmente en cuanto al número de reclamaciones recibidas, que aumentó en un 43% respecto del año 2022, hasta llegar a las 21.590 reclamaciones, de las cuales solo el 8% concluyen en una resolución de procedimiento sancionador.

Por lo que respecta a las materias, las reclamaciones planteadas con mayor frecuencia por los ciudadanos son las relacionadas con:

• Publicidad no deseada (las que mayor incremento presentan respecto del año anterior, con un aumento del 114%).
• Servicios de internet.
• Videovigilancia.
• Comercio.
• Transporte.
• Hostelería.
• Entidades financieras.

Casi 30 millones de euros en multas

Mientras que las áreas donde se concentran los mayores importes de multas están relacionadas con las brechas de datos personales, actividades de las entidades financieras, derechos de protección de datos, contratación fraudulenta, telecomunicaciones y servicios de internet.

Respecto de esta última cuestión, en el año 2023, la AEPD dictó 367 resoluciones que incluían la imposición de multa, repartidas de la siguiente manera por área de actividad e importe:

• Relacionadas con brechas de datos personales: 12.970.000 euros.
• Entidades financieras/acreedoras: 5.321.000 euros.
• Derechos de protección de datos: 2.633.400 euros.
• Contratación fraudulenta: 2.571.500 euros.
• Telecomunicaciones: 1.942.000 euros.
• Servicios de internet: 1.058.700 euros.

En las áreas señaladas se concentra el 89% del importe global de las multas impuestas por la Agencia Española de Protección de Datos en el año 2023, que ascendió a un importe total de 29.817.410 euros.

Las 4 multas más cuantiosas del ranking de sanciones de protección de datos

A continuación, hacemos un pequeño ranking de sanciones de protección de datos 2023, en el que figuran las cuatro multas de mayor cuantía impuestas por la AEPD en el ejercicio pasado.

5 millones de euros a Caixabank

El primer caso del ranking de sanciones de protección de datos 2023, versa sobre un procedimiento seguido contra Caixabank que ha finalizado con una multa de 5.000.000 euros por las infracciones relacionadas con los principios del tratamiento de datos, la protección desde el diseño y la seguridad del tratamiento (art. 5.1.f, 25 y 32 del RGPD, respectivamente).

Este procedimiento se inició a raíz de una situación que volveremos a ver en este ranking de sanciones de protección de datos 2023. Se produjo una brecha en la que un cliente tuvo acceso a datos personales de otro cliente de la entidad, la Agencia detecta errores en el diseño del sistema informático interno de la compañía, así como errores en las medidas de seguridad implantadas.

1,6 millones de euros a BBVA

En este ranking de sanciones de protección de datos impuestas por la AEPD también resulta interesante resaltar el supuesto de contratación fraudulenta por el que fue sancionado el BBVA. Tras la denuncia de un usuario al que le fue sustraído su bolso (con los correspondientes efectos y datos personales), este pone la situación en conocimiento del banco, y posteriormente se encuentra con la suplantación de su identidad y la contratación de diversos productos financieros, así como su inclusión en un fichero de morosos.

En este supuesto del ranking de sanciones de protección de datos 2023, el montante total de la multa es de 1.640.000 euros, desglosados de la siguiente manera:

• 70.000 euros en relación con la contratación no autorizada de productos.
• 500.000 euros por la infracción correspondiente con la falta de medidas de seguridad en relación con los procedimientos internos del banco.
• 70.000 euros por la incorporación de datos personales en los sistemas de información crediticia.
• 500.000 euros de acuerdo con las carencias que mostraban los protocolos establecidos para la detección del fraude.
• 500.000 euros por la falta de medidas de seguridad en relación con los procedimientos de contratación de productos financieros.

6,1 millones de euros a Endesa

El tercer caso que incluimos en este ranking de sanciones de protección de datos 2023 también está relacionado con una brecha de datos personales. Endesa Energía tuvo conocimiento de la brecha con motivo de la publicación de anuncios en el Marketplace de Facebook en que se ofertaban las credenciales de acceso a la plataforma de Endesa.

De esta situación deriva una sanción por importe de 6.100.000 euros a Endesa, por las siguientes infracciones:

• 2.500.000 euros por el acceso a datos de clientes y no clientes derivados de la brecha, así como por no garantizar la integridad de datos de 760 afectados.
• 1.500.000 euros por no contar con medidas apropiadas de prevención de brecha, así como por no adoptar las medidas apropiadas en cuanto a la reacción una vez confirmada la brecha de datos.
• 800.000 euros por la notificación tardía de la brecha de datos a la Autoridad (meses después de la confirmación).
• 800.000 euros por no cumplir las indicaciones de la Autoridad, informando insuficientemente a los afectados en el momento en que se les comunicó la brecha.
• 500.000 euros por realizar transferencias internacionales a proveedores en Colombia y Perú.

2,5 millones de euros a Openbank

El último caso del ranking de sanciones de protección de datos 2023 gira en torno a una sanción de 2.500.000 euros impuesta a Openbank por no cumplir con la obligación de aplicar la privacidad desde el diseño.

Se inicia el procedimiento con la reclamación de un usuario al que la entidad financiera no facilitó un medio apropiado para aportar documentación (que contenía datos personales), por lo que el usuario tuvo que valerse de medios sin medidas de seguridad suficientes.

Se vislumbró, durante la labor de la Autoridad, que Openbank no tenía prevista en su Registro de Actividades de Tratamiento (RAT) la actividad de tratamiento consistente en la recogida de datos financieros de los clientes para la prevención del blanqueo de capitales, por lo que no se identificaron y evaluaron los riesgos de ese tratamiento. Como consecuencia de todo ello, no se aplicaron medidas técnicas y organizativas apropiadas para la aplicación efectiva de los principios de protección de datos.

Seguridad desde el diseño y reacción ante las brechas de datos

En términos generales, con los supuestos descritos en el ranking de sanciones de protección de datos 2023 podemos confirmar la relevancia que tiene la seguridad de los datos personales de los usuarios en lo relativo a:

• La implantación de sistemas preventivos de protección adecuados desde el diseño.
• La correcta reacción en términos de notificación e información suficiente a los usuarios y a la Autoridad competente en la materia, para los casos en que se produzca cualquier tipo de brecha de datos personales.

Sobre todo, si tenemos en cuenta el innumerable abanico de supuestos ilícitos que se pueden generar tras una filtración de datos personales.

En Vento Abogados & Asesores, ponemos a su disposición un equipo de juristas especializados en prestar servicios de protección de datos para asesorar a las empresas en todo lo relativo al tratamiento de la información personal de sus clientes y empleados.