Multas y estadísticas del RGPD – GDPR : 50 multas en España
Desde que entro en vigor la normativa europea sobre protección de datos personales (RGPD- GDPR) en mayo de 2018, han sido propuestas multitud de sanciones y multas económicas.
En Europa estas son las 5 MULTAS MÁS ELEVADAS
FRANCIA |
Corporación Google. |
€ 50.000.000 |
ITALIA |
TIMProveedor de telecomunicaciones |
€ 27.802.946 |
AUSTRIA |
Correo austriaco |
€ 18.000.000 |
ALEMANIA |
Deutsche Wohnen SE |
€ 14.500.000 |
ALEMANIA |
1 & 1 Telecom GmbH |
€ 9.550.000 |
Todos los datos provienen de fuentes oficiales del gobierno, como los informes oficiales de las autoridades nacionales de protección de datos.
Nuestro objetivo es ofrecer la lista más completa de multas GDPR disponible. Última actualización: 31 de marzo de 2020.
¿Y, en España que ha hecho la Autoridad de Control?
La Agencia de Protección de Datos ha intervenido en decenas de miles de procedimientos y entre tantos hemos seleccionado las 50 multas más importantes.
Cómo se observará claramente en el listado, hay un patrón que se repite en este segmento de las 50 multas del RGPD.
Este viene a decir que se observan criterios y conductas ilícitas y punibles que se repiten. Siendo estas conductas básicas para el cumplimiento, y son realmente claras en su significado. Entendemos que hay mucho camino por recorrer para que la Privacidad y la Protección de datos, fundamentalmente la protección de los principios generales se observen.
Por otro lado y como consecuencia de lo apuntado, indicamos los artículos del RGPD: por orden de importancia y repetición en las sanciones que se vulneran y que listamos a continuación.
1º Incumplimiento de la base legal para el procesamiento de datos – Arts.) 5 y 6
2º Incumplimiento de la obligación de información: Arts.) 5 y 7
3º No implementar medidas suficientes para garantizar la seguridad de la información. Arts) 32 y también 5 ( 1) , f.
4º Incumplimiento de los principios de los procesamientos de datos. Art. 5 (1) f.
5º Incumplimiento de las garantía de protección de los derechos de los sujetos.
6º No cooperar con la autoridad de control, o supervisora Arts) 38 y 51
Lista de las 50 multas por el RGPD en ESPAÑA
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 06/11/2019
Multa: € 250.000
Organización multada: Liga de fútbol profesional (La Liga)
Artículo violado: art. 5 (1) a), art. 7 (3) GDPR
Tipo: incumplimiento de la obligación de información
Resumen:
Fuente: Enlace
Se emitió una multa a la Liga Nacional de Fútbol (La Liga) porque no había informado a los usuarios de las implicaciones contenidas en la aplicación que ofrecía. Esta aplicación accedía de forma remota a los micrófonos de los usuarios una vez por minuto para revisar los pubs que proyectan partidos de fútbol. La AEPD cree que los usuarios no estaban suficientemente informados de esto. Además, los usuarios no tenían la posibilidad adecuada de retirar su consentimiento, una vez dado.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD
Fecha: 27/02/2020
Multa: € 120.000
Organización multada: Vodafone España
Artículo violado: art. 5 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
La compañía no pudo probar que una persona les había dado su consentimiento para acceder y procesar sus datos personales con el objetivo de abrir un contrato telefónico. El AEPD explicó además que la compañía divulgó ilegalmente los datos personales de la persona afectada a agencias de crédito de terceros.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD
Fecha: 02/03/2020
Multa: € 75.000
Organización multada: Vodafone España, SAU
Artículo violado: art. 5 GDPR, art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Un antiguo cliente de la compañía continuó recibiendo avisos de factura incluso después de que la obligación contractual entre las dos partes haya finalizado. La compañía indicó un error técnico para la emisión de avisos no solicitados.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 02/03/2020
Multa: € 75.000
Organización multada: Vodafone España, SAU
Artículo violado: art. 5 GDPR, art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Vodafone España ha firmado un contrato sobre la transferencia de una suscripción telefónica con un tercero sin el conocimiento o permiso del titular de la cuenta. El titular de la cuenta recibió un correo electrónico del tercero con respecto a la compra que se realizó a su nombre.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 01/07/2020
Multa: € 75.000
Organización Finada: EDP Comercializadora, SAU
Artículo violado: art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
La empresa fue multada porque procesó datos personales en relación con un contrato de gas sin el consentimiento de los solicitantes. La investigación reveló que el solicitante recibió una factura por el suministro de gas natural, un contrato que no firmó. EDP Comercializadora argumentó que, dado que el solicitante tenía un contrato con otra compañía de gas con el cual EDP Comercializadora tenía un acuerdo de colaboración, estaba justificado procesar los datos personales de las personas respectivas. Sin embargo, la AEPD dictaminó que la empresa debía recibir permiso directamente de las personas afectadas para procesar los datos personales.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 01/07/2020
Multa: € 75.000
Organización multada: EDP España SAU
Artículo violado: art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
La empresa fue multada porque procesó datos personales como nombre, número de identificación fiscal, dirección y número de teléfono sin el consentimiento de las personas afectadas.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 28/11/2019
Multa: € 75.000
Organización Finada: Curenergía Comercializador de último recurso
Artículo violado: art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Un particular se quejó de que la compañía había utilizado sus datos personales que incluían su nombre y apellido, dirección y número de IVA para abrir un contrato de suministro de electricidad. El individuo era un antiguo cliente de la empresa y, como tal, a la empresa ya no se le permitía reutilizar los datos del antiguo cliente sin su permiso.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 02/03/2020
Multa: € 60.000
Organización multada: Vodafone España, SAU
Artículo violado: art. 5 GDPR, art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Un cliente se quejó de que la compañía había procesado sus datos personales sin su consentimiento porque se les envió un correo electrónico en nombre de una compañía con respecto a la compra de un servicio que en realidad no fue comprado por la persona respectiva. Los datos personales de las personas se incorporaron a los sistemas de Vodafone España sin el consentimiento de esa persona. Inicialmente, se determinó que la multa era de € 100,000 pero se redujo a € 60,000.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 02/03/2020
Multa: € 60.000
Organización multada: Xfera Moviles SA
Artículo violado: art. 5 GDPR, art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
La Autoridad Española de Protección de Datos reveló que Xfera Moviles SA ha procesado ilegalmente datos que incluyen datos bancarios, dirección del cliente y el nombre de varias personas.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 21/11/2019
Multa: € 60.000
Organización multada: Viaqua Xestión SA
Artículo violado: art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Un tercero tuvo acceso y modificó los datos personales de un cliente que estaba incluido en un contrato. El tercero no tenía base legal para acceder a los datos.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 19/11/2019
Multa: € 60.000
Organización multada: Xfera Moviles SA
Artículo violado: art. 32 GDPR
Tipo: no implementar medidas suficientes para garantizar la seguridad de la información
Fuente: Enlace
Resumen:
Una persona privada recibió un SMS de Xfera Móviles que en realidad estaba dirigido a una persona diferente y que incluía detalles personales de ese tercero. La información incluía detalles personales, así como detalles de inicio de sesión en el sitio web de Xfera Móviles para la tercera persona.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 19/11/2019
Multa: € 60.000
Organización multada: Corporación RTVE
Artículo violado: art. 32 GDPR
Tipo: no implementar medidas suficientes para garantizar la seguridad de la información
Fuente: Enlace
Resumen:
La Corporación de Radio y Televisión Española perdió 6 memorias USB con información y datos personales sin cifrar.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 11/06/2019
Multa: € 60.000
Organización Multada: Vodafone España
Artículo violado: art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Vodafone envió a los clientes los detalles de facturación a un tercero después de una queja de facturación del cliente. La multa se determinó originalmente en € 75,000, pero luego se redujo a € 60,000 después de la rápida cooperación de la compañía.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 23/10/2019
Multa: € 60.000
Organización Multada: Vodafone España
Artículo violado: art. 5 (1) f) GDPR
Tipo: no implementar medidas suficientes para garantizar la seguridad de la información
Fuente: Enlace
Resumen:
Los detalles de facturación de un cliente se enviaron a un tercero durante una queja de facturación.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 16/10/2019
Multa: € 60.000
Organización Multada: Xfera Moviles SA
Artículo violado: art. 5 GDPR, art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
La compañía había procesado ilegalmente los datos personales a pesar de la solicitud del sujeto de dejar de hacerlo.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 16/08/2019
Multa: € 60.000
Organización multada: Avon Cosmetics
Artículo violado: art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Un cliente se había quejado de que AVOND COSMETICS no había observado la ley cuando procesaba sus datos personales por error. Su identidad no se verificó adecuadamente, lo que llevó a la correspondencia errónea de ese cliente con un registro de reclamos. Como resultado, el cliente no pudo trabajar con su banco. Además, un tercero utilizó los datos personales del cliente de forma ilegal.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: Desconocida
Multa: € 60.000
Organización multada: ENDESA
Artículo violado: art. 5 (1) f) GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
ENDESA cobró erróneamente la cuenta bancaria del reclamante, ya que el beneficiario de los servicios de la compañía de suministro de energía era un tercero. A solicitud del reclamante de que se eliminen sus datos, ENDESA manejó los datos incorrectamente y se los envió por error a un tercero. Por lo tanto, la AEPD consideró que ENDESA había violado el principio de confidencialidad. Vale la pena señalar que el tercero recibió una orden de restricción de 2 años con respecto al interesado.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: Desconocida
Multa: € 60.000
Organización multada: Gestión De Cobros Yo Cobro SL
Artículo violado: art. 5 (1) f) GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Una agencia de crédito en línea transfirió un reclamo de crédito indebido a una agencia de cobro de deudas, proporcionando a la agencia la dirección de correo electrónico del sujeto. Sin embargo, la agencia de cobro de deudas envió correos electrónicos a la compañía donde trabajaba el tema. Este correo electrónico institucional fue accesible para todos los empleados de esa empresa. La agencia de crédito en línea no había proporcionado estos correos electrónicos.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 14/02/2020
Multa: € 50.000
Organización Finada: Iberdrola Clientes
Artículo violado: art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
La compañía eléctrica Iberdrola Clientes cerró el contrato de un cliente sin su consentimiento y abrió tres nuevos contratos a su nombre también sin su consentimiento. La compañía también transfirió los datos personales del cliente a entidades de terceros sin una base legal.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 02/03/2020
Multa: € 50.000
Organización multada: Vodafone España, SAU
Artículo violado: art. 5 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Vodafone España envió facturas de un cliente que contenía datos personales como nombre, número de tarjeta de identificación y dirección a su vecino.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 28/02/2020
Multa: € 48.000
Organización multada: Vodafone ONO
Artículo violado: art. 32 GDPR
Tipo: no implementar medidas suficientes para garantizar la seguridad de la información
Fuente: Enlace
Resumen:
La empresa fue multada debido a varias deficiencias en la seguridad de la información. Dos clientes de la compañía habían recibido la misma clave de acceso de seguridad, lo que les permitía ver los datos personales de los demás.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 25/02/2020
Multa: € 48.000
Organización multada: HM Hospitales
Artículo violado: art. 5 GDPR, art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Una persona informó que al momento de su ingreso al hospital tenían que completar un formulario que tenía una casilla de verificación que indicaba que si la casilla de verificación no está marcada, el hospital puede transferir los datos privados de la persona a terceros. La autoridad de protección de datos argumentó que este formulario no estaba de acuerdo con el RGPD porque se debía obtener el consentimiento de la inactividad de la persona afectada.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 24/06/2019
Multa: € 48.000
Organización multada: Vodafone ONO
Artículo violado: art. 32 GDPR
Tipo: no implementar medidas suficientes para garantizar la seguridad de la información
Fuente: Enlace
Resumen:
Un error técnico permitió a los clientes ver los datos personales de otros clientes en el área de clientes del sitio web de la compañía. La multa original de € 60,000 se redujo a € 48,000.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 05/06/2019
Multa: € 48.000
Organización multada: Telefónica SA
Artículo violado: art. 5 (1) a) GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Un cliente se quejó de que a su cuenta bancaria se le cobraron dos facturas por los servicios que el cliente compró, pero en las facturas, se mostraron los datos personales de un tercero. Inicialmente, se determinó que la multa era de € 60,000 pero se redujo a € 48,000.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 01/07/2020
Multa: € 44.000
Organización Multada: Vodafone España
Artículo violado: art. 5 (1) f) GDPR
Tipo: incumplimiento de los principios de procesamiento de datos
Fuente: Enlace
Resumen:
La compañía fue multada porque envió un contrato que incluía el nombre, la dirección y los datos de contacto de un cliente a un tercero por accidente.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 03/03/2020
Multa: € 42.000
Organización multada: Vodafone España
Artículo violado: art. 32 GDPR
Tipo: no implementar medidas suficientes para garantizar la seguridad de la información
Fuente: Enlace
Resumen:
Se accedió a los datos personales de un cliente sin autorización. La AEPD explicó que esto sucedió debido a la falta de medidas técnicas y organizativas adoptadas por la empresa para garantizar la seguridad de la información.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 14/02/2020
Multa: € 42.000
Organización multada: Vodafone España
Artículo violado: art. 32 GDPR
Tipo: no implementar medidas suficientes para garantizar la seguridad de la información
Fuente: Enlace
Resumen:
Una persona informó haber tenido acceso a los datos personales a terceros en su perfil personal de Vodafone.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 03/03/2020
Multa: € 40.000
Organización multada: Vodafone España
Artículo violado: art. 5 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
La compañía envió un mensaje de texto al número de teléfono de una persona informándoles que su contrato fue modificado. La persona afectada, sin embargo, no era realmente un cliente de Vodafone. La AEPD determinó que Vodafone había procesado los datos personales de la persona afectada sin su consentimiento.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 22/03/2019
Multa: € 40.000
Organización Finada: Vodafone España
Artículo violado: art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Al reclamante se le cobró una suscripción a Netflix que no había solicitado. El reclamante demostró que la suscripción a Netflix fue creada por una persona diferente que obtuvo los datos personales del reclamante de Vodafone. La AEPD argumentó que el reclamante no consintió en que se le cobrara la suscripción a Netflix y, como tal, había multado a Vodafone con € 40,000.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 25/10/2019
Multa: € 36.000
Organización Finada: Vodafone España
Artículo violado: art. 5 GDPR, art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Vodafone España llamó al demandante para ofrecer sus servicios, pero el interesado se negó. Sus datos personales habían sido adquiridos por la empresa a través de su hija. A pesar de su negativa, Vodafone España proporcionó los servicios y exigió el pago por ellos. Por lo tanto, la compañía había procesado ilegalmente los datos personales del demandante sin consentimiento expreso.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 01/04/2019
Multa: € 36.000
Organización Finada: Vodafone España
Artículo violado: art. 5 (1) f) GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
La compañía había enviado varios correos electrónicos a un número significativo de destinatarios sin usar la función BCC que habría ocultado las direcciones de correo electrónico de todos los destinatarios entre sí. La multa original se fijó en € 60,000 pero se redujo a € 36,000.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 14/02/2020
Multa: € 30.000
Organización Finada: Xfera Moviles SA
Artículo violado: art. 32 GDPR
Tipo: no implementar medidas suficientes para garantizar la seguridad de la información
Fuente: Enlace
Resumen:
La Autoridad Española de Protección de Datos determinó que un cliente de la empresa tenía acceso a los datos personales de otros clientes.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 14/11/2019
Multa: € 30.000
Organización multada: Telefónica SA
Artículo violado: art. 5 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
El operador telefónico Telefónica cobró a una persona por un servicio telefónico que nunca solicitó y que poseía. Esto sucedió porque la cuenta bancaria de la persona afectada estaba vinculada al perfil de Telefónica de otra persona y, como tal, los honorarios por el servicio se dedujeron de la cuenta de la persona afectada. La AEDP dictaminó que esto iba en contra de los principios descritos en el artículo 5 del GDPR.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 10/01/2019
Multa: € 30.000
Organización multada: Vueling Airlines
Artículo violado: art. 5 GDPR, art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Vueling Airlines hizo imposible que los usuarios accedan a su sitio web sin aceptar las cookies. Por lo tanto, no se puede navegar por el sitio web a menos que acepten las cookies. La AEPD sancionó a la empresa con 30.000 euros.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 24/06/2019
Multa: € 30.000
Organización Finada: Vodafone España
Artículo violado: art. 5 (1) f) GDPR, art. 32 GDPR
Tipo: no implementar medidas suficientes para garantizar la seguridad de la información
Fuente: Enlace
Resumen:
Los datos personales de un cliente se divulgaron a un cliente diferente a través de SMS. La multa original de € 50,000 se redujo a € 20,000.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: Desconocida
Multa: € 27.000
Organización Finada: Vodafone España
Artículo violado: art. 5 (1) d) GDPR
Tipo: incumplimiento de las garantías de protección de los derechos de los sujetos
Fuente: Enlace
Resumen:
El interesado había exigido que sus datos fueran eliminados de los registros de Vodafone en 2015, lo que la compañía acordó y confirmó. Sin embargo, recibió más de 200 mensajes SMS en 2018, que Vodafone admitió que fue un error técnico de su parte. Habían realizado pruebas y el número de teléfono del interesado apareció por error en varios archivos de clientes. La multa se fijó en 27.000 euros desde que Vodafone admitió su error.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 03/03/2020
Multa: € 24.000
Organización multada: Vodafone España
Artículo violado: art. 5 GDPR, art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
La compañía envió dos mensajes SMS a una persona informándoles sobre el cambio de tarifa de un contrato, así como la compra de un teléfono móvil. El cliente no consintió el procesamiento de sus datos personales y Vodafone envió los mensajes de texto sin el consentimiento previo por escrito del cliente.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 19/10/2019
Multa: € 21.000
Organización Finada: Vodafone España
Artículo violado: art. 6 (1) GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Vodafone había procesado los datos personales del reclamante (datos bancarios, nombre, apellido y número de identificación nacional) años después de que finalizara la relación contractual. La multa de 35 000 euros se redujo a 21 000 euros.
Vodafone procesó los datos personales de un antiguo cliente, detalles que incluían nombre, apellido y número de identificación nacional, varios años después de que su relación contractual hubiera finalizado. La multa inicial se fijó en € 35,000 pero se redujo a € 21,000 debido a la cooperación en nombre de Vodafone España.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 02/03/2020
Multa: € 20.000
Organización Finada: Iberia Líneas Aéreas
Artículo violado: art. 5 GDPR, art. 6 GDPR, art. 21 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
La compañía continuó enviando correos electrónicos a las personas incluso después de que las personas afectadas hayan solicitado ser eliminadas de la base de datos de la compañía o agregadas a una lista de “no contacto”.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 04/08/2019
Multa: € 20.000
Organización multada: particular
Artículo violado: art. 5 (1) c) GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Se usó video vigilancia para monitorear a los empleados.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 03/09/2020
Multa: € 15.000
Organización multada: Gesthotel Activos Balagares
Artículo violado: art. 5 (1) f) GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
El demandante explicó que habían enviado una carta a la gerencia del hotel y delegados sindicales que contenía información relacionada con un episodio de presunto acoso en relación con una condición médica. Luego, la gerencia del hotel leyó el contenido de la carta en una reunión con otros empleados. Esto constituyó una violación del principio de integridad y confidencialidad.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 21/01/2019
Multa: € 12.000
Organización Finada: Madrileña Red de Gas
Artículo violado: art. 32 GDPR
Tipo: no implementar medidas suficientes para garantizar la seguridad de la información
Fuente: Enlace
Resumen:
La compañía de gas no tenía las medidas técnicas necesarias para verificar la identidad de los datos de los sujetos. Un tercero alegó que la empresa envió su información por correo electrónico a un tercero en relación con una solicitud.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: Desconocida
Multa: € 12.000
Organización Finada: Restaurante
Artículo violado: art. 5 (1) a) GDPR, art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
El restaurante quería sancionar a un empleado usando imágenes tomadas por otro empleado en el restaurante, para usarlas como evidencia.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 01/07/2020
Multa: 10.000 €
Organización multada: Asociación de Médicos Demócratas
Artículo violado: art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
La organización procesó los datos personales de sus miembros incluso después de que la AEPD le advirtió que el procesamiento era ilegal sin el consentimiento de las personas afectadas.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 02/12/2019
Multa: 10.000 €
Organización multada: Ikea Ibérica
Artículo violado: art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Se descubrió que Ikea Ibérica instaló cookies en el dispositivo de un cliente sin pedir permiso.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 08/05/2019
Multa: € 9000
Organización multada: particular
Artículo violado: art. 5 (1) c) GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Se usó video vigilancia para monitorear a los empleados.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 16/10/2019
Multa: € 8000
Organización Finada: Iberdrola Clientes
Artículo violado: art. 31 GDPR
Tipo: no cooperar con la autoridad supervisora
Fuente: Enlace
Resumen:
Iberdrola Clientes violó el Artículo 13 del GDPR cuando mostró una falta total de cooperación con la AEPD. Este último había pedido a Iberdrola Clientes que proporcionara la información necesaria para agregar una persona a la lista de solvencia.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 02/03/2020
Multa: 6670 €
Organización multada: Banco Bilbao
Artículo violado: art. 5 GDPR, art. 6 GDPR, art. 21 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
La compañía ha enviado varios mensajes publicitarios a una persona, incluso después de que la persona afectada dejó en claro que no da su consentimiento para que se procesen sus datos personales.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 19/11/2019
Multa: 6000 €
Organización Finada: Sports Bar
Artículo violado: art. 5 (1) c) GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Un bar deportivo operaba un sistema de videovigilancia CCTV que tenía un ángulo que se extendía a un área pública que no debería haber sido vigilado.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 31/10/2019
Multa: 6000 €
Organización multada: Jocker Premium Invex
Artículo violado: art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Jocker Premium Invex envió anuncios postales y ofertas comerciales a un solicitante de registro en un censo local, a pesar de que el solicitante de registro no dio su consentimiento para recibir dichos anuncios y ofertas.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 02/03/2020
Multa: 5000 €
Organización Finada: Quesería Artesanal Ameco SL
Artículo violado: art. 5 GDPR, art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
La empresa fue multada porque procesó datos personales sin el consentimiento de las partes afectadas.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 10/12/2019
Multa: 5000 €
Organización Finada: Shop Macoyn, SL
Artículo violado: art. 32 GDPR
Tipo: no implementar medidas suficientes para garantizar la seguridad de la información
Fuente: Enlace
Resumen:
La compañía envió correos electrónicos publicitarios a múltiples destinatarios donde cada uno de los destinatarios pudo ver la dirección de correo electrónico de todos los demás destinatarios. Esto se debió a que el remitente envió todas las direcciones de correo electrónico como CC en lugar de BCC.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 12/03/2019
Multa: 5000 €
Organización multada: Línea Directa Aseguradora
Artículo violado: art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Una compañía de seguros envió correos electrónicos publicitarios a los clientes sin el consentimiento necesario.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: Desconocida
Multa: 5000 €
Organización Finada: Vodafone España
Artículo violado: art. 5 (1) d) GDPR
Tipo: incumplimiento de los principios de procesamiento
Fuente: Enlace
Resumen:
Vodafone cobró por error a un cliente cuya información divulgó a BADEXCUG, un registro de solvencia. SETSTI, la agencia española de telecomunicaciones e información exigió que Vodafone reembolse al cliente. La AEPD decidió que Vodafone había actuado erróneamente y que había violado el principio de precisión.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 06/03/2020
Multa: 4000 €
Organización multada: persona privada
Artículo violado: art. 5 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Una persona privada usó ilegalmente cámaras CCTV. La AEPD reveló que el sistema de cámara CCTC utilizado por el individuo para la protección del hogar también filmó parte de un espacio público.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 14/01/2020
Multa: € 3600
Organización multada: Zhang Bordeta 2006, SL
Artículo violado: art. 5 GDPR, art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
La tienda fue multada porque instaló videovigilancia que también tomó imágenes de la acera frente a ella e invadió la privacidad de los peatones.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 15/04/2019
Multa: € 3600
Organización Finada: AMADOR RECREATIVOS, SL
Artículo violado: art. 5 (1) c) GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
La sala de juegos fue multada porque usaba y procesaba incorrectamente datos de imágenes de vigilancia.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 14/02/2020
Multa: 3000 €
Organización multada: Colegio Arenales Carabanchel
Artículo violado: art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
La Autoridad Española de Protección de Datos explicó que la escuela había transferido fotos de estudiantes a terceros que luego publicaron esas fotos en línea.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 01/09/2020
Multa: 3000 €
Organización Finada: Vodafone España
Artículo violado: art. 58 GDPR
Tipo: No cooperación con la Autoridad de Protección de Datos
Fuente: Enlace
Resumen:
La compañía no proporcionó información a la AEPD en relación con una investigación.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 13/11/2019
Multa: 3000 €
Organización multada: Confederación General del Trabajo
Artículo violado: art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
La Confederación General del Trabajo envió por correo electrónico datos personales de un demandante con el objetivo de organizar una reunión. Esto incluyó el nombre, domicilio, estado civil, estado de embarazo y la fecha de un caso de acoso en curso. El correo electrónico se envió a alrededor de 400 miembros de la organización con el consentimiento del individuo afectado.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 14/02/2020
Multa: € 2500
Organización multada: Grupo Valsor Y Losan
Artículo violado: art. 5 (1) f) GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
La compañía había revelado los datos de terceros de un cliente durante un acuerdo de compra de propiedad.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 03/03/2020
Multa: 1800 €
Organización Finada: Solo Embrague
Artículo violado: art. 13 GDPR
Tipo: cumplimiento insuficiente de las obligaciones de información
Fuente: Enlace
Resumen:
El sitio web de la empresa no contenía una política de privacidad o un banner de cookies.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 10/12/2019
Multa: € 1600
Organización multada: Megastar SL
Artículo violado: art. 5 (1) c) GDPR, art. 13 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
La compañía fue multada porque operaba un sistema de videovigilancia que tenía un ángulo de observación que se extendía demasiado hacia el área de tráfico público. El sistema de videovigilancia tampoco estuvo acompañado de avisos de protección de datos.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 18/02/2020
Multa: € 1500
Organización multada: Mymoviles Europa 2000
Artículo violado: art. 13 GDPR
Tipo: cumplimiento insuficiente de las obligaciones de información
Fuente: Enlace
Resumen:
La Autoridad Española de Protección de Datos determinó que la empresa no publicó una declaración de privacidad en su sitio web y que el breve aviso legal publicado no fue suficiente para identificar adecuadamente a la empresa y explicar sus políticas de procesamiento de datos.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 02/04/2020
Multa: € 1500
Organización Finada: Cafetería Nagasaki
Artículo violado: art. 5 GDPR, art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Según la AEPD, la Cafetería Nagasaki no cumplió con sus obligaciones bajo el GDPR porque instaló cámaras de vigilancia de tal manera que también monitoreó el espacio público fuera del restaurante que también capturó a los peatones en la calle.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 12/03/2019
Multa: € 1500
Organización multada: Cerrajería Verin SL
Artículo violado: art. 13 GDPR
Tipo: incumplimiento de la obligación de información
Fuente: Enlace
Resumen:
La empresa fue multada porque recopiló datos personales sin proporcionar información precisa sobre sus actividades de procesamiento de datos en su página de política de privacidad en su sitio web.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 11/06/2019
Multa: € 1500
Organización multada: Cerrajero Online
Artículo violado: art. 13 GDPR
Tipo: incumplimiento de la obligación de información
Fuente: Enlace
Resumen:
La empresa recopiló datos personales sin información precisa sobre la recopilación de estos datos.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 11/07/2019
Multa: 900 €
Organización multada: TODOTECNICOS24H SL
Artículo violado: art. 13 GDPR
Tipo: incumplimiento de la obligación de información
Fuente: Enlace
Resumen:
La empresa TODOTECNICOS24H recopiló datos personales sin información precisa sobre la recopilación de estos datos.
País: España
Autoridad: Autoridad Española de Protección de Datos (AEPD)
Fecha: 02/03/2020
Multa: 800 €
Organización multada: persona privada
Artículo violado: art. 5 GDPR, art. 6 GDPR
Tipo: incumplimiento de la base legal para el procesamiento de datos
Fuente: Enlace
Resumen:
Una persona privada creó un perfil falso de una colega en un sitio web erótico. El perfil contenía los detalles de contacto y las imágenes de la persona afectada, así como información de naturaleza sexual. La persona afectada recibió varias llamadas telefónicas de varias personas que estaban preguntando sobre el perfil falso. Se descubrió que la persona que creó el perfil falso tenía un trastorno de personalidad y, como tal, la multa se redujo de € 1,000 a € 800
Cómo se observa claramente hay un patrón que se repite en este segmento de las 50 multas en el RGPD
Este viene a decir que hay criterios y conductas observadas y punibles que se repiten. Siendo básicas de cumplimiento son realmente claras en el significado. Por otro lado y como consecuencia, artículos del RGPD: por orden de importancia y repetición en las sanciones que se vulneran:
1º Incumplimiento de la base legal para el procesamiento de datos – Arts.) 5 y 6
2º Incumplimiento de la obligación de información: Arts.) 5 y 7
3º No implementar medidas suficientes para garantizar la seguridad de la información. Arts) 32 y también 5 ( 1) , f.
4º Incumplimiento de los principios de los procesamientos de datos. Art. 5 (1) f.
5º Incumplimiento de las garantía de protección de los derechos de los sujetos.
6º No cooperar con la autoridad de control, o supervisora Arts) 38 y 51
Hola mundo