Multas de la AEPD: casos reales y qué puedes aprender de ellos

Maria

hace 1 año

Una infografía isométrica detallada en español que ilustra el proceso y las lecciones de las multas de la AEPD. Muestra tres "ZONA DE INCIDENTES" (brecha de seguridad, videovigilancia invasiva y email sin consentimiento) que conducen a un edificio central de la "AEPD" (OFICINA DE PROTECCIÓN DE DATOS), donde se emite una "RESOLUCIÓN DE SANCIÓN: MULTA (ejemplo: 50.000€)". La infografía concluye con cuatro plataformas de "LECCIONES APRENDIDAS Y MEJORES PRÁCTICAS": medidas de seguridad reforzadas, uso de cámaras con privacidad, consentimiento explícito y gestión, y formación continua. El flujo termina en una nube de datos segura etiquetada "CUMPLIMIENTO Y PROTECCIÓN DE DATOS" con un escudo verde.

La Agencia Española de Protección de Datos publicó varias resoluciones sancionadoras que son un manual práctico de lo que no hay que hacer. Repasamos algunos de los casos más ilustrativos, con el importe de la sanción y la lección que se puede extraer de cada uno.

Caso 1: Videovigilancia sin informar a los empleados

Una empresa instaló cámaras de seguridad en sus instalaciones sin informar correctamente a los trabajadores de su existencia ni de la finalidad del tratamiento. La cámara captaba el puesto de trabajo de varios empleados de forma continua.

La AEPD consideró que se había vulnerado el deber de información del artículo 13 del RGPD y el artículo 89 de la LOPDGDD, que regula específicamente el tratamiento de datos en el ámbito laboral a través de sistemas de videovigilancia.

Sanción: 50.000 euros.

Lección: Si tienes cámaras en tu negocio, debes informar con un cartel visible en la entrada y entregar a los empleados una cláusula informativa específica. No basta con que "sepan" que hay cámaras.

Caso 2: Envío masivo de email con destinatarios en copia visible

Una asociación envió un comunicado a todos sus socios incluyendo las direcciones de correo de los destinatarios en el campo CC en lugar de en CCO. Varios socios reclamaron ante la AEPD al ver expuestos sus datos a terceros sin su consentimiento.

Este es uno de los errores más comunes y uno de los que más denuncias genera. Una dirección de correo electrónico es un dato personal. Exponerla sin autorización a terceros es una brecha de seguridad.

Sanción: 2.000 euros (con posibilidad de reducción por reconocimiento de responsabilidad).

Lección: Cuando envíes comunicaciones a múltiples destinatarios que no se conocen entre sí, usa siempre el campo CCO (con copia oculta). Es un error fácil de cometer y fácil de evitar.

Caso 3: Web sin política de privacidad ni aviso legal

Una empresa de servicios profesionales fue denunciada por un usuario que no encontró en su web ninguna información sobre cómo se trataban sus datos al usar el formulario de contacto. La empresa tampoco tenía aviso legal.

La AEPD verificó que efectivamente la web recababa datos (nombre, email, teléfono) sin proporcionar ningún tipo de información al usuario sobre el tratamiento.

Sanción: 3.000 euros.

Lección: Tener web y recoger datos sin informar es una infracción directa. No hace falta que alguien resulte perjudicado; basta con que no se cumpla la obligación de información.

Caso 4: Datos de clientes cedidos a terceros sin base jurídica

Una empresa de servicios compartió la base de datos de sus clientes con una empresa colaboradora para que esta realizara acciones de marketing directo. Los clientes no habían sido informados de esta posibilidad ni habían dado su consentimiento.

La AEPD consideró que no existía base jurídica válida para la cesión y que los clientes tenían derecho a no recibir comunicaciones comerciales de una empresa con la que no habían tenido ningún contacto.

Sanción: 40.000 euros.

Lección: No puedes ceder datos de clientes a terceros para que les hagan marketing sin el consentimiento explícito de esos clientes. Ni siquiera si es una empresa del mismo grupo o un colaborador habitual.

Caso 5: Conservación de datos más allá del plazo necesario

Una empresa conservaba datos de clientes que habían solicitado la baja y la supresión de sus datos años atrás. Cuando uno de esos clientes ejerció nuevamente su derecho de supresión, la empresa no pudo justificar por qué seguía teniendo sus datos.

El RGPD establece el principio de limitación del plazo de conservación: los datos solo pueden guardarse durante el tiempo necesario para la finalidad para la que se recabaron.

Sanción: 15.000 euros.

Lección: Define desde el principio cuánto tiempo vas a conservar cada tipo de dato y aplica ese plazo de forma efectiva. Cuando un cliente causa baja, debes eliminar sus datos salvo los que estés obligado a conservar por ley (facturas, por ejemplo).

Caso 6: Falta de contrato con encargado de tratamiento

Una pyme usaba un software de gestión en la nube que procesaba datos de sus clientes. Nunca había firmado ningún contrato de encargado de tratamiento con el proveedor del software. Cuando la AEPD inspeccionó la empresa, no pudo acreditar que el proveedor ofrecía garantías suficientes.

Sanción: 8.000 euros.

Lección: Cuando un proveedor externo accede a datos de tus clientes (aunque sea tu gestor, tu plataforma de facturación o tu herramienta de email marketing), necesitas tener firmado un contrato de encargado de tratamiento. Sin ese contrato, la responsabilidad recae enteramente sobre ti.

Lo que tienen en común todos estos casos

Ninguna de estas infracciones requirió un hacker ni un fallo técnico sofisticado. Todas son errores de gestión: no informar, no documentar, no tener contratos en regla, no aplicar plazos de conservación.

La AEPD tiene potestad para reducir las sanciones hasta en un 40% si el infractor reconoce su responsabilidad y la paga voluntariamente. Aun así, incluso con reducción, una multa de 50.000 euros baja a 30.000. Para una pyme o autónomo, eso puede ser devastador.

La inversión en tener la documentación en orden es marginal comparada con el riesgo.

Maria

También te podría interesar

Subir