En aquesta entrada podràs consultar quines són les 13 multes més elevades imposades a Europa per infringir el RGPD. En el nostre rànquing de multes per infringir el RGPD (disponible més a baix) podràs veure quals han estat les empreses sancionades, els imports de les sancions, els òrgans sancionadors, els motius de les sancions i els enllaços a les resolucions o notes de premsa oficials.

Just abans de finalitzar el 2020 vàrem dedicar una entrada en el nostre blog a la sanció de 5 milions d’euros que l’AEPD va imposar a l’entitat BBVA per infringir el RGPD. Aquesta sanció va ser, durant un breu període de temps, la sanció més elevada imposada a Espanya per infringir el RGPD. I és que, l’arribada del nou any va portar amb si una nova sanció rècord per infracció del RGPD, la multa de 6 milions d’euros imposada per l’AEPD a l’entitat CaixaBank.

Encara que aquestes dues sancions hagin estat sancions rècord a Espanya, volem remarcar que a escala europea no ho són, perquè com podreu observar ostenten la dotzena i tretzena posició en el rànquing europeu de sancions per infringir el RGPD que avui us portem.

 

Recordem que el RGPD estableix que l’import màxim de les sancions serà:

Per a les infraccions relacionades amb l’incompliment dels actors implicats (responsable i encarregat del tractament, organismes de certificació o autoritat de control), la major de les següents quantitats:

– 10 milions d’euros; o
– 2% del volum de negoci total anual global de l’exercici financer anterior.

Per a les infraccions relacionades amb la vulneració de principis bàsics del tractament, dels drets dels interessats, transferències transfrontereres il·legals o incompliment de limitacions al tractament, la major de les següents quantitats:

– 20 milions d’euros; o
– 4% del volum de negoci total anual global de l’exercici financer anterior.

A continuació, el rànquing de multes per infringir el RGPD:

EMPRESA SANCIÓ ÒRGAN SANCIONADOR MOTIU DE LA SANCIÓ MÉS INFO
1º Google LLC 50 milions d’euros

FRANÇA,

Comissió Nacional d’Informàtica i Llibertats (CNIL)

Ø  Infracció de les obligacions de transparència i informació (Informació inadequada).

Ø  Falta de consentiment vàlid quant a la personalització d’anuncis.

Ø  Falta de legitimació per al tractament de dades amb finalitats de personalització d’anuncis

https://n9.cl/xb82m

 

2º  H&M –  Hennes & Mauritz Online Shop A.B. & Co KG. 35,2 milions d’euros

ALEMANYA,

Comissionat d’Hamburg per a la Protecció de Dades i Llibertat d’Informació (HmbBfDI)

 Ø  Gravar i recopilar excessiva informació personal dels seus empleats per a generar perfils sobre aquests que facilitessin la presa de decisions dels supervisors.

Ø  Un error de configuració va provocar que aquesta informació fos accessible per a tota l’empresa.

https://n9.cl/qualgest

 

3º TIM SpA

27,8 milions d’euros

 

ITALIA,

Garant per la Protecció de Dades Personals (GPDP)

Ø  Realitzar crides promocionals sense el consentiment dels destinataris.

Ø  Dolenta gestió de les llistes d’exclusió.

Ø  Tractament il·lícit de dades personals per a fins comercials.

Ø  Gestió inadequada de les bretxes de seguretat

https://n9.cl/51j1m

 

4º British Airways 22 milions d’euros

REINO UNIDO,

Oficina del Comissionat d’Informació (ICO)

Ø  Una brecha de seguridad expuso los datos personales de más de 400 mil clientes

Ø  Mesures de seguretat inadequades.

Ø  Gestió inadequada de les bretxes de seguretat.

Ø  Una bretxa de seguretat va exposar les dades personals de més de 400 mil clients.

https://n9.cl/own7e
5º Marriot International 20,4 milions d’euros

REINO UNIDO,

Oficina del Comissionat d’Informació (ICO)

Ø  Incompliment del principi de protecció de dades des del disseny i per defecte.

Ø  Mesures de seguretat inadequades.

Ø  Gestió inadequada de les bretxes de seguretat.

Ø  Marriot no va detectar una bretxa de seguretat que feia temps afectava els registres d’hostes de tot el món.

https://n9.cl/6rquv
6º Wind Tre SpA 16,7 milions d’euros

ITALIA,

Garant per la Protecció de Dades Personals (GPDP)

Ø  Realitzar activitats promocionals sense el consentiment dels destinataris.

Ø  Procés inadequat per a l’exercici de drets per part dels interessats.

Ø  Infracció de les obligacions d’informació.

Ø  Realitzar cessions il·legals de dades personals

https://n9.cl/78dg
7º Deutsche Wohnen SE 14,5 milions d’euros

ALEMANYA,

Comissionat de Berlín per  la Protecció de Dades i Llibertat d’Informació (Berliner-BfDI)

Ø  Inexistència d’una política de terminis de conservació.

Ø  Base de dades que no que no permet eliminar dades que ja no siguin necessaris.

Ø  Incompliment del principi de protecció de dades des del disseny i per defecte

https://n9.cl/nhcgn

 

8º Vodafone Italia SpA 12,2 milions d’euros

ITALIA,

Garant per la Protecció de Dades Personals (GPDP)

Ø  Realitzar activitats promocionals sense el consentiment dels destinataris.

Ø  Adquisició de bases de dades sense el consentiment dels interessats.

Ø  Tractament il·lícit de dades personals per a fins comercials.

Ø  Incompliment del principi de protecció de dades des del disseny i per defecte.

Ø  Gestió inadequada de les bretxes de seguretat.

Ø  No atendre les sol·licituds d’exercici de drets dels interessats

https://n9.cl/254fb
9º notebooks-billinger.de 10,4 milions d’euros

ALEMANYA,

Comissionat de Baixa Saxònia per  la Protecció de Dades i Llibertat d’Informació (Niedersachsen -BfDI)

Ø  Tractament de dades il·lícit.

Ø  Utilitzar sistemes de vídeo vigilància per a monitorar als empleats sense justificació legal i de manera desproporcionada

https://n9.cl/23x0m
10º Grindr 9,6 milions d’euros

NORUEGA,

Autoritat Noruega de Protecció de Dades (Datatilsynet o NDPA)

Ø  Infracció de les obligacions de transparència i informació.

Ø  Tractament de dades il·lícit per falta de consentiment vàlid dels interessats.

Ø  Realitzar cessions il·legals de dades personals a tercer

https://n9.cl/1jud2
11º Eni Gas e Luce SpA 8,5 milions d’euros

ITALIA,

Garant per la Protecció de Dades Personals (GPDP)

Ø  Realitzar activitats promocionals sense el consentiment dels destinataris.

Ø  Incompliment del principi de protecció de dades des del disseny i per defecte.

Ø  Política de terminis de conservació inadequada

https://n9.cl/aq75l
12º CaixaBank 6 milions d’euros

ESPANYA

Agencia Española de Protecció de Dades (AEPD)

Ø  Infracció de les obligacions de transparència i informació.

Ø  Tractament de dades il·lícit per falta de consentiment vàlid dels interessats.

Ø  Procés inadequat per a l’exercici de drets per part dels interessats.

Ø  Realitzar cessions il·legals de dades personals a tercer

PS: 00477-2019

 

13º BBVA 5 milions d’euros

ESPANYA

Agencia Española de Protecció de Dades (AEPD)

Ø  Infracció de les obligacions de transparència i informació.

Ø  Tractament de dades il·lícit per falta de consentiment vàlid dels interessats. 

PS: 0070-2019

 

Si t’ha agradat aquesta entrada, pots consultar entrades anteriors en el nostre Blog o seguir-nos a LinkedIn,  Facebook oTwitter per estar sempre assabentat de les últimes novetats en matèria de protecció de dades personals.

Si necessites assessorament en matèria de protecció de dades contacta amb nosaltres i t’oferirem una solució a mesura perquè compleixis amb totes les obligacions exigides en la normativa de protecció de dades.

Entradas relacionades: