En esta entrada podrás consultar cuáles son las 13 multas más elevadas impuestas en Europa por infringir el RGPD. En nuestro ranking de multas por infringir el RGPD (disponible más abajo) podrás ver cuales han sido las empresas sancionadas, los importes de las sanciones, los órganos sancionadores, los motivos de las sanciones y los enlaces a las resoluciones o notas de prensa oficiales.
Justo antes de finalizar el 2020 dedicamos una entrada en nuestro blog a la sanción de 5 millones de euros que la AEPD impuso a la entidad BBVA por infringir el RGPD. Dicha sanción fue, durante un breve periodo de tiempo, la sanción más elevada impuesta en España por infringir el RGPD. Y es que, la llegada del nuevo año trajo consigo una nueva sanción récord por infracción del RGPD, la multa de 6 millones de euros impuesta por la AEPD a la entidad CaixaBank.
Aunque estas dos sanciones hayan sido sanciones récord en España, queremos remarcar que a nivel europeo no lo son, pues como podréis observar ostentan la duodécima y decimotercera posición en el ranking europeo de sanciones por infringir el RGPD que hoy os traemos.
Recordemos que el RGPD establece que el importe máximo de las sanciones será:
Para las infracciones relacionadas con el incumplimiento de los actores implicados (responsable y encargado del tratamiento, organismos de certificación o autoridad de control), la mayor de las siguientes cantidades:
– 10 millones de euros; o
– 2% del volumen de negocio total anual global del ejercicio financiero anterior de la empresa.
Para las infracciones relacionadas con la vulneración de principios básicos del tratamiento, de los derechos de los interesados, transferencias transfronterizas ilegales o incumplimiento de limitaciones al tratamiento, la mayor de las siguientes cantidades:
– 20 millones de euros; o
– 4% del volumen de negocio total anual global del ejercicio financiero anterior de la empresa.
A continuación, el ranking de multas por infringir el RGPD:
| EMPRESA | SANCIÓN | ÓRGANO SANCIONADOR | MOTIVO DE LA SANCIÓN | MAS INFO |
| 1º Google LLC | 50 millones de euros | FRANCIA, Comisión Nacional de Informática y Libertades -(CNIL) | Ø Infracción de las obligaciones de transparencia e información (Información inadecuada) Ø Falta de consentimiento válido en cuanto a la personalización de anuncios. Ø Falta de legitimación para el tratamiento de datos con fines de personalización de anuncios |
|
| 2º H&M – Hennes & Mauritz Online Shop A.B. & Co KG. | 35,2 millones de euros | ALEMANIA, Comisionado de Hamburgo para la Protección de Datos y Libertad de Información –(HmbBfDI) | Ø Grabar y recopilar excesiva información personal de sus empleados para generar perfiles sobre estos que facilitasen la toma de decisiones de los supervisores. Ø Un error de configuración provocó que dicha información fuese accesible para toda la empresa |
|
| 3º TIM SpA | 27,8 millones de euros | ITALIA, Garante para la protección de datos personales – (GPDP) | Ø Realizar llamadas promocionales sin el consentimiento de los destinatarios Ø Mala gestión de las listas de exclusión Ø Tratamiento ilícito de datos personales para fines comerciales Ø Gestión inadecuada de las brechas de seguridad |
|
| 4º British Airways | 22 millones de euros | REINO UNIDO, Oficina del Comisionado de Información – (ICO) | Ø Medidas de seguridad inadecuadas Ø Gestión inadecuada de las brechas de seguridad Ø Una brecha de seguridad expuso los datos personales de más de 400 mil clientes | https://n9.cl/own7e |
| 5º Marriot International | 20,4 millones de euros | REINO UNIDO, Oficina del Comisionado de Información – (ICO) | Ø Incumplimiento del principio de protección de datos desde el diseño y por defecto Ø Medidas de seguridad inadecuadas Ø Gestión inadecuada de las brechas de seguridad Ø Marriot no detectó una brecha de seguridad que hacía tiempo afectaba a los registros de huéspedes de todo el mundo. | https://n9.cl/6rquv |
| 6º Wind Tre SpA | 16,7 millones de euros | ITALIA, Garante para la protección de datos personales – (GPDP) | Ø Realizar actividades promocionales sin el consentimiento de los destinatarios Ø Proceso inadecuado para el ejercicio de derechos por parte de los interesados Ø Infracción de las obligaciones de información Ø Realizar cesiones ilegales de datos personales | https://n9.cl/78dg |
| 7º Deutsche Wohnen SE | 14,5 millones de euros | ALEMANIA, Comisionado de Berlín para la Protección de Datos y Libertad de Información (Berliner-BfDI) | Ø Inexistencia de una política de plazos de conservación Ø Base de datos que no que no permite eliminar datos que ya no sean necesarios. Ø Incumplimiento del principio de protección de datos desde el diseño y por defecto |
|
| 8º Vodafone Italia SpA | 12,2 millones de euros | ITALIA, Garante para la protección de datos personales- (GPDP) | Ø Realizar actividades promocionales sin el consentimiento de los destinatarios Ø Adquisición de bases de datos sin el consentimiento de los interesados Ø Tratamiento ilícito de datos personales para fines comerciales Ø Incumplimiento del principio de protección de datos desde el diseño y por defecto Ø Gestión inadecuada de las brechas de seguridad Ø No atender las solicitudes de ejercicio de derechos de los interesados | https://n9.cl/254fb |
| 9º notebooks-billinger.de | 10,4 millones de euros | ALEMANIA, Comisionado de Baja Sajonia para la Protección de Datos y Libertad de Información (Niedersachsen -BfDI) | Ø Tratamiento de datos ilícito Ø Utilizar sistemas de video vigilancia para monitorear a los empleados sin justificación legal y de forma desproporcionada | https://n9.cl/23x0m |
| 10º Grindr | 9,6 millones de euros | NORUEGA, Autoridad Noruega de Protección de Datos (Datatilsynet o NDPA) | Ø Infracción de las obligaciones de transparencia e información Ø Tratamiento de datos ilícito por falta de consentimiento válido de los interesados Ø Realizar cesiones ilegales de datos personales a terceros | https://n9.cl/1jud2 |
| 11º Eni Gas e Luce SpA | 8,5 millones de euros | ITALIA, Garante para la protección de datos personales – (GPDP) | Ø Realizar actividades promocionales sin el consentimiento de los destinatarios Ø Incumplimiento del principio de protección de datos desde el diseño y por defecto Ø Política de plazos de conservación inadecuada | https://n9.cl/aq75l |
| 12º CaixaBank | 6 millones de euros | ESPAÑA Agencia Española de Protección de Datos (AEPD) | Ø Infracción de las obligaciones de transparencia e información Ø Tratamiento de datos ilícito por falta de consentimiento válido de los interesados Ø Proceso inadecuado para el ejercicio de derechos por parte de los interesados Ø Realizar cesiones ilegales de datos personales a tercero | PS: 00477-2019
|
| 13º BBVA | 5 millones de euros | ESPAÑA Agencia Española de Protección de Datos (AEPD) | Ø Infracción de las obligaciones de transparencia e información Ø Tratamiento de datos ilícito por falta de consentimiento válido de los interesados | PS: 0070-2019 |
Si te ha gustado esta entrada, puedes consultar entradas anteriores en nuestro Blog o seguirnos en LinkedIn, Facebook o Twitter para estar siempre enterado de las novedades en materia de protección de datos personales.
Si necesitas es asesoramiento en materia de protección de datos contacta con nosotros y te ofreceremos una solución a medida para que cumplas con todas las obligaciones exigidas en la normativa de protección de datos.
Deja una respuesta