Han pasado más de tres años desde que entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 y, a lo largo de ese tiempo, hemos experimentado aciertos y desaciertos durante nuestros respectivos procesos de adaptación a una regulación más tuitiva y personalizada.
En relación con los desaciertos, es interesante profundizar en las sanciones económicas más significativas que pueden afectar a cualquier organización para conocer el criterio de la autoridad administrativa, los errores más comunes de los responsables de tratamiento y, en consecuencia, evitar las circunstancias que llevaron a la imposición de dichas sanciones. Así, entre las sanciones impuestas, destacan:
| Empresa | Infracción | Sanción económica | País sancionador |
| Amazon Europe Core S.à.r.l. | Incumplimiento de los principios generales de tratamiento de datos | 746,000,000 € | Luxemburgo |
| WhatsApp Ireland Ltd. | Cumplimiento insuficiente de las obligaciones de información (Arts. 5 1.a, 12, 13, 14 RGPD) | 225,000,000 € | Irlanda |
| Google LLC | Base legal insuficiente para el tratamiento de datos personales (Arts. 5, 6, 13 y 14 RGPD) | 50,000,000 € | Francia |
| H&M Hennes & Mauritz Online Shop A.B. & Co. KG | Base legal insuficiente para el tratamiento de datos personales (Arts. 5 y 6 RGPD). | 35,258,708 € | Alemania |
| TIM (Operador de telecomunicaciones) | Base legal insuficiente para el tratamiento de datos personales (Arts. 5, 6, 17, 21, y 32 RGPD). | 27,800,000 € | Italia |
Sanciones económicas más importantes en materia de protección de datos en la UE 2019-2021
Como se observa, las infracciones más significativas en protección de datos se dan por un uso indebido de la información de los usuarios. Algunos responsables de tratamiento hacen un uso abusivo de sus respectivas posiciones de dominio para realizar tratamientos no autorizados de la información de sus clientes, e inclusive, de sus trabajadores. Esta finalidad transgrede el principio de transparencia, información y minimización de datos que recoge el RGPD.
En relación con el caso español, las sanciones económicas más importantes impuestas por la Agencia Española de Protección de Datos son las siguientes:
| Empresa | Infracción | Sanción económica | Detalles |
| Vodafone España, S.A.U. | Cumplimiento insuficiente de los derechos de los interesados (Art. 21, 24, 28 y 44 RGPD, art. 21 LSSI, Art. 48 (1) b) LGT, Art. 23 LOPDGDD). | 8,150,000 € | Existencia de precedentes (191 reclamaciones en los últimos dos años) y multas o apercibimientos por parte de la AEPD entre enero de 2018 a febrero de 2020 en más de 50 ocasiones. Contacto y oferta a clientes inscritos previamente en la Lista Robinson. Vulneración de los derechos de los consumidores. |
| Caixabank S.A. | Base legal insuficiente para el tratamiento de datos personales (Art. 6, 13 y 14 RGPD). | 6,000,000 € | Falta de adecuación de la política de tratamiento de datos personales del negocio al RGPD, sobre todo en cuanto a la información ofrecida a los clientes y el procedimiento de recogida de consentimiento. |
| Banco Bilbao Vizcaya Argentaria, S.A. | Cumplimiento insuficiente del deber de informar (Art. 6 y 13 RGPD) | 5,000,000 € | Envío de publicidad a clientes inscritos previamente en la Lista Robinson. Casilla premarcada sobre cesión de datos a terceros a través de la app. |
| Caixabank Payments & Consumer EFC, EP, S.A.U. | Base legal insuficiente para el tratamiento de datos personales (Art. 6 (1) RGPD). | 3,000,000 € | Uso indebido de datos personales para la creación de un perfil de solvencia patrimonial. |
| Mercadona S.A. | Base legal insuficiente para el tratamiento de datos personales (Art. 5 (1) c), 6, 12, 13, 25 (1) y 35 RGPD) | 2,520,000 € | Uso de tecnología de reconocimiento facial en tiendas para la detección de sujetos que han cometido ilícitos contra la empresa, sus trabajadores o clientes. |
Sanciones económicas más importantes en materia de protección de datos en España 2020-2021
La tendencia nacional, en relación con las sanciones económicas impuestas en materia de protección de datos, está encabezada por el desarrollo o gestión de publicidad no deseada, concretamente, en el establecimiento de tácticas comerciales agresivas que no cesan aun cuando los clientes, bajo el ejercicio debido de sus derechos, lo solicitasen. Como se observa en el supuesto que encabeza esta lista, existe una vulneración al derecho de oposición del usuario quien se encuentra desatendido pese a existir una manifestación de voluntad expresa y contraria con la política de mercadotecnia de la empresa de telecomunicaciones.
Otro rasgo que llama esencialmente la atención está relacionado con el uso ilícito de los datos de clientes, o incluso de personas trabajadoras, por parte de las empresas sancionadas infringiendo el deber de informar y haciendo un uso poco transparente y leal de estos. Además, como se observa en el listado, entidades bancarias en su proceso de implementación de la normativa en vigor han cometido transgresiones importantes, tales como hacer caso omiso de los clientes inscritos previamente en la Lista Robinson.
