Las 15 multas más cuantiosas que se han puesto por GDPR hasta ahora

Las 15 multas más cuantiosas que se han puesto por GDPR hasta ahora
3 comentarios

La última empresa en ser sancionada por el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) de la Unión Europea ha sido la aplicación de mensajería instantánea WhatsApp, a la que las autoridades irlandesas han condenado a pagar 225 millones de euros por violar la privacidad de los usuarios. Una abultada cifra que se convierte así en la segunda multa más alta de todas las que se han impuesto desde que la norma europea empezó a aplicarse, en mayo de 2018.

Según el portal Enforcement Tracker, una plataforma que rastrea las sanciones impuestas en Europa al amparo del GDPR, la multa más alta hasta la fecha es la que fue impuesta a Amazon por las autoridades de Luxemburgo el pasado mes de julio de 2021. El CNPD, la autoridad de protección de Datos de Luxemburgo, donde el gigante del comercio electrónico tiene la sede en Europa, lo condenó a pagar una sanción de 746 millones de euros. Récord absoluto.

Los motivos en los que se amparó la autoridad luxemburguesa para imponer esta multa no han quedado todavía del todo claros. El Wall Street Journal apuntaba que la decisión estaba relacionada con prácticas de recopilación de datos de Amazon, pero que no incluían los Amazon Web Services.

En tercer lugar se encuentra Google, que en 2019 recibió una multa de la Comisión Nacional de la Informática y las Libertades de Francia por valor de 50 millones de euros por falta de transparencia y consentimiento para personalizar la publicidad.

Algo más de 35 millones de euros tuvo que desembolsar la cuarta compañía de la lista, la firma de moda H&M, el pasado octubre de 2020, cuando la Agencia para la Protección de Datos y Libertad de Información de Hamburgo la sancionó por recopilar datos la vida privada de sus empleados de forma ilícita. La sigue la empresa de telecomunicaciones italiana TIM, a la que la Agencia de Protección de Datos de Italia impuso una multa de 27,8 millones de euros por el uso de datos personales de sus clientes sin su consentimiento.

En sexta posición se encuentra la compañía aérea British Ariways, a la que las autoridades británicas condenaron a pagar 22 millones de euros por no prever medidas técnicas y organizativas para garantizar la seguridad de la información personal que manejaban. Este caso fue muy sonado porque, en un primer momento, se propuso una sanción que superaba los 200 millones de euros y que habría sido, de largo, la mayor de Europa hasta ese momento. Sin embargo, una serie de circunstancias atenuantes redujeron el importe de la multa.

A British Airways le siguen la cadena de hoteles británica Marriot International (20 millones de euros), la compañía de telecomunicaciones italiana Wind (16,7 millones de euros), la telefónica Vodafone Italia (12,2 millones de euros), el minorista de productos electrónicos alemán notebooksbilliger.de (10,4 millones) y la eléctrica italiana Eni Gas e Luce (8,5 millones de euros).

Empresas

Multas

País sancionador

1. Amazon

746 millones de euros

Luxemburgo

2. WhatsApp (Facebook)

225 millones de euros

Irlanda

3. Google

50 millones de euros

Francia

4. H&M

35,25 millones de euros

Alemania

5. TIM

27,8 millones de euros

Italia

6. British Airways

22 millones de euros

Reino Unido

7. Marriott International

20,4 millones de euros

Reino Unido

8. Wind Tre

16,7 millones de euros

Italia

9. Vodafone Italia

12,25 millones de euros

Italia

10. notebooksbilliger.de

10,4 millones de euros

Alemania

11. Eni Gas e Luce

8,5 millones de euros

Italia

12. Vodafone España

8,5 millones de euros

España

13. Caixabank

6 millones de euros

España

14. BBVA

5 millones de euros

España

15. Google

5 millones de euros

Suecia

Vodafone, CaixaBank y BBVA, las españolas con multas más altas

La primera empresa española que aparece en la lista de sancionadas por el GDPR es Vodafone España. La telco fue multada en marzo de 2021 con un total 8,5 millones de euros por cuatro causas diferentes. La primera, por cuantía de cuatro millones de euros, por una infracción del Reglamento General de Protección de Datos. La segunda, de dos millones de euros, por otra infracción del RGPD. Una multa de 150.000 euros por una infracción grave de la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSICE) y una cuarta multa grave de dos millones de euros por infringir la La Ley General de Telecomunicaciones.

En resumen, Vodafone fue sancionada por saltarse la protección de datos y no frenar acciones comerciales cuando se les pedía. La sentencia subrayaba, además, que se tuvo en cuenta como agravante que la compañía había sido sancionada desde enero de 2018 en más de 50 ocasiones. No es algo puntual, pues constan un total de 162 reclamaciones en un plazo de menos de dos años debido a la "gran cantidad de acciones de mercadotecnia mediante llamadas telefónicas". Un total de 200 millones de acciones comerciales, según la AEPD.

CaixaBank es la segunda compañía española que mayor multa ha recibido por inclumplir el Reglamento General de Protección de Datos. La entidad bancaria catalana ocupa el decimotercer lugar por la multa de 6 millones de euros que le impuso la Agencia Española de Protección de Datos por usar de forma ilícita los datos personales de sus clientes.

A CaixaBak la siguen, inmediatamente después, otro banco español, el BBVA. La entidad vasca fue sancionada a finales de 2020 con 5 millones de euros por usar la información personal de sus clientes sin su consentimiento.

Y en la decimoquinta posición, para cerrar esta lista de multas más cuantiosas por incumplimiento del GDPR, repite Google. En esta ocasión fueron las autoridades suecas las que impusieron una multa de 5 millones de euros al gigante tecnológico por vulnerar artículos de la norma relacionados con el derecho al olvido.

Duras sanciones

Desde la aprobación del GDPR en abril de 2016, y muy especialmente desde su aplicación a partir de mayo de 2018, muchos expertos venían advirtiendo de la dureza de las sanciones que preveía la nueva norma europea.

El texto legal recoge que las infracciones más graves en materia de protección de datos podrían ser sancionadas con multas de hasta el 4% de facturación anual de la empresa en todo el mundo o un máximo de 20 millones de euros, la cifra que fuese más alta. Para las transgresiones más leves, el desembolso podría ser de hasta el 2% de la facturación anual de la compañía.

Temas
Comentarios cerrados
Inicio