En los últimos años, las sanciones por parte de la AEPD por incumplimiento del RGPD se han incrementado notablemente. Aunque los medios de comunicación se hacen eco de las sanciones impuestas a las grandes empresas por su elevada cuantía y por afectar a un gran número de personas, cada vez son más las pequeñas y medianas empresas investigadas por no cumplir con la normativa en materia de protección de datos. Los motivos en los que se fundamentan dichas sanciones son muy variados, a continuación veremos una serie de resoluciones que respaldan lo anteriormente manifestado:
- Sanción de 2.000 € a un bar por incumplir el principio de minimización de datos (recabar los datos estrictamente necesarios para el fin perseguido con la operación de tratamiento) al considerar que la solicitud del número de teléfono a un cliente era excesivo, ya que el objetivo de recabar dicho dato personal no era otro que el abono de las consumiciones.
- Sanción de 1.500 € por el envío de un correo electrónico a múltiples destinatarios sin utilizar la funcionalidad de copia oculta, considerando que esto supone la existencia de una brecha de seguridad que afecta a la confidencialidad de los datos personales de los titulares, al producirse una comunicación no autorizada de dichos datos, tal y como dispone el apartado 4 del artículo 12 del Reglamente General de Protección de datos.
- Sanción de 20.000 € a una empresa de logística al implementar para el control de la jornada de los trabajadores un sistema biométrico por huella dactilar sin haber realizado una Evaluación de Impacto previa a su instalación, obligación impuesta por la normativa aplicable en materia de protección de datos, y que busca analizar y mitigar los riesgos que conllevan la utilización de este tipo de sistemas así como la búsqueda de alternativas que resultaren menos intrusivas para la privacidad de los titulares de los datos.
- Sanción de 600 € al propietario de una cafetería por la instalación de unas cámaras de videovigilancia que captan video y audio, y no cuentan con los carteles informativos exigidos por la legislación aplicable, y además graba espacios públicos sin causa justificada incumplimiedo así el principio de minimización de datos establecido en el artículo 5.1.c) del Reglamento General de Protección de datos por el cual, “1. Los datos personales serán: c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.
Como podemos observar la casuística por la que la AEPD procede a la apertura de expedientes sancionadores por incumplimiento de lo dispuesto en la normativa de protección de datos, tras la reclamación o denuncia de los afectados, y que terminan en la imposición de una sanción, es muy diversa, por esta razón, consideramos recomendable que toda empresa independientemente de su tamaño y del volumen de datos tratados cuenten con un asesoramiento especializado en la materia, para garantizar que se cumple con las obligaciones impuestas por la legislación aplicable.
1 AEPD Procedimiento sancionador nº: EXP 202102522
2 AEPD Procedimiento sancionador nº EX PS/00135/2022
3 AEPD Procedimiento sancionador nº EX PS/00050/2021
4 AEPD Procedimiento sancionador nº EXP 202102762