En esta entrada podrás consultar cuáles son las 13 multas más elevadas impuestas en Europa por infringir el RGPD. En nuestro ranking de multas por infringir el RGPD (disponible más abajo) podrás ver cuales han sido las empresas sancionadas, los importes de las sanciones, los órganos sancionadores, los motivos de las sanciones y los enlaces a las resoluciones o notas de prensa oficiales.

Justo antes de finalizar el 2020 dedicamos una entrada en nuestro blog a la sanción de 5 millones de euros que la AEPD impuso a la entidad BBVA por infringir el RGPD. Dicha sanción fue, durante un breve periodo de tiempo, la sanción más elevada impuesta en España por infringir el RGPD. Y es que, la llegada del nuevo año trajo consigo una nueva sanción récord por infracción del RGPD, la multa de 6 millones de euros impuesta por la AEPD a la entidad CaixaBank.  

Aunque estas dos sanciones hayan sido sanciones récord en España, queremos remarcar que a nivel europeo no lo son, pues como podréis observar ostentan la duodécima y decimotercera posición en el ranking europeo de sanciones por infringir el RGPD que hoy os traemos.

 

Recordemos que el RGPD establece que el importe máximo de las sanciones será:

Para las infracciones relacionadas con el incumplimiento de los actores implicados (responsable y encargado del tratamiento, organismos de certificación o autoridad de control), la mayor de las siguientes cantidades:

– 10 millones de euros; o

– 2% del volumen de negocio total anual global del ejercicio financiero anterior de la empresa.

Para las infracciones relacionadas con la vulneración de principios básicos del tratamiento, de los derechos de los interesados, transferencias transfronterizas ilegales o incumplimiento de limitaciones al tratamiento, la mayor de las siguientes cantidades:

– 20 millones de euros; o

– 4% del volumen de negocio total anual global del ejercicio financiero anterior de la empresa.

 

A continuación, el ranking de multas por infringir el RGPD:

EMPRESA SANCIÓN ÓRGANO SANCIONADOR MOTIVO DE LA SANCIÓN MAS INFO
1º Google LLC 50 millones de euros

FRANCIA,

Comisión Nacional de Informática y Libertades -(CNIL)

Ø  Infracción de las obligaciones de transparencia e información (Información inadecuada)

Ø  Falta de consentimiento válido en cuanto a la personalización de anuncios.

Ø  Falta de legitimación para el tratamiento de datos con fines de personalización de anuncios

https://n9.cl/xb82m

 

2º  H&M –  Hennes & Mauritz Online Shop A.B. & Co KG. 35,2 millones de euros

ALEMANIA,

Comisionado de Hamburgo para la Protección de Datos y Libertad de Información –(HmbBfDI)

Ø  Grabar y recopilar excesiva información personal de sus empleados para generar perfiles sobre estos que facilitasen la toma de decisiones de los supervisores.

Ø  Un error de configuración provocó que dicha información fuese accesible para toda la empresa

https://n9.cl/qualgest

 

3º TIM SpA

27,8 millones de euros

ITALIA,

Garante para la protección de datos personales – (GPDP)

Ø  Realizar llamadas promocionales sin el consentimiento de los destinatarios

Ø  Mala gestión de las listas de exclusión

Ø  Tratamiento ilícito de datos personales para fines comerciales

Ø  Gestión inadecuada de las brechas de seguridad

https://n9.cl/51j1m

 

4º British Airways 22 millones de euros

REINO UNIDO,

Oficina del Comisionado de Información – (ICO)

Ø  Medidas de seguridad inadecuadas

Ø  Gestión inadecuada de las brechas de seguridad

Ø  Una brecha de seguridad expuso los datos personales de más de 400 mil clientes

https://n9.cl/own7e
5º Marriot International 20,4 millones de euros

REINO UNIDO,

Oficina del Comisionado de Información – (ICO)

Ø  Incumplimiento del principio de protección de datos desde el diseño y por defecto

Ø  Medidas de seguridad inadecuadas

Ø  Gestión inadecuada de las brechas de seguridad

Ø  Marriot no detectó una brecha de seguridad que hacía tiempo afectaba a los registros de huéspedes de todo el mundo.

https://n9.cl/6rquv
6º Wind Tre SpA 16,7 millones de euros

ITALIA,

Garante para la protección de datos personales –  (GPDP)

Ø  Realizar actividades promocionales sin el consentimiento de los destinatarios

Ø  Proceso inadecuado para el ejercicio de derechos por parte de los interesados

Ø  Infracción de las obligaciones de información

Ø  Realizar cesiones ilegales de datos personales

https://n9.cl/78dg
7º Deutsche Wohnen SE 14,5 millones de euros

ALEMANIA,

Comisionado de Berlín para la Protección de Datos y Libertad de Información (Berliner-BfDI)

Ø  Inexistencia de una política de plazos de conservación

Ø  Base de datos que no que no permite eliminar datos que ya no sean necesarios.

Ø  Incumplimiento del principio de protección de datos desde el diseño y por defecto

https://n9.cl/nhcgn

 

8º Vodafone Italia SpA 12,2 millones de euros

ITALIA,

Garante para la protección de datos personales-  (GPDP)

Ø  Realizar actividades promocionales sin el consentimiento de los destinatarios

Ø  Adquisición de bases de datos sin el consentimiento de los interesados

Ø  Tratamiento ilícito de datos personales para fines comerciales

Ø  Incumplimiento del principio de protección de datos desde el diseño y por defecto

Ø  Gestión inadecuada de las brechas de seguridad

Ø  No atender las solicitudes de ejercicio de derechos de los interesados

https://n9.cl/254fb
9º notebooks-billinger.de 10,4 millones de euros

ALEMANIA,

Comisionado de Baja Sajonia para la Protección de Datos y Libertad de Información (Niedersachsen -BfDI)

Ø  Tratamiento de datos ilícito

Ø  Utilizar sistemas de video vigilancia para monitorear a los empleados sin justificación legal y de forma desproporcionada

https://n9.cl/23x0m
10º Grindr 9,6 millones de euros

NORUEGA,

Autoridad Noruega de Protección de Datos (Datatilsynet o NDPA)

 Ø  Infracción de las obligaciones de transparencia e información

Ø  Tratamiento de datos ilícito por falta de consentimiento válido de los interesados

Ø  Realizar cesiones ilegales de datos personales a terceros

https://n9.cl/1jud2
11º Eni Gas e Luce SpA 8,5 millones de euros

ITALIA,

Garante para la protección de datos personales – (GPDP)

Ø  Realizar actividades promocionales sin el consentimiento de los destinatarios

Ø  Incumplimiento del principio de protección de datos desde el diseño y por defecto

Ø  Política de plazos de conservación inadecuada

https://n9.cl/aq75l
12º CaixaBank 6 millones de euros

ESPAÑA

Agencia Española de Protección de Datos (AEPD)

Ø  Infracción de las obligaciones de transparencia e información

Ø  Tratamiento de datos ilícito por falta de consentimiento válido de los interesados

Ø  Proceso inadecuado para el ejercicio de derechos por parte de los interesados

Ø  Realizar cesiones ilegales de datos personales a tercero

PS: 00477-2019

 

13º BBVA 5 millones de euros

ESPAÑA

Agencia Española de Protección de Datos (AEPD) 

 Ø  Infracción de las obligaciones de transparencia e información

Ø  Tratamiento de datos ilícito por falta de consentimiento válido de los interesados

PS: 0070-2019

Si te ha gustado esta entrada, puedes consultar entradas anteriores en nuestro Blog o seguirnos en LinkedIn, Facebook o Twitter para estar siempre enterado de las novedades en materia de protección de datos personales.

Si necesitas es asesoramiento en materia de protección de datos contacta con nosotros y te ofreceremos una solución a medida para que cumplas con todas las obligaciones exigidas en la normativa de protección de datos.

 

Entradas relacionadas: