En los últimos meses estamos asistiendo a una serie de sanciones históricas que están siendo impuestas por parte de las autoridades europeas en materia de protección de datos. Hablamos de sanciones históricas, no sólo por lo elevado de las cuantías con las que se ha venido sancionando a grandes empresas y multinacionales, sino también porque derivan precisamente de las sanciones que se prevén en materia de protección de datos al hilo de la nueva regulación aplicable en este ámbito desde que se produjo la aplicación efectiva del Reglamento General de Protección de Datos el 25 de mayo de 2018.

Este fenómeno está teniendo un fuerte impacto no sólo fuera de nuestras fronteras, en países como Reino Unido, Italia, Francia y Alemania, sino también a nivel interno.

Concretamente, la Agencia Española de Protección de Datos ha ido aplicando sanciones multimillonarias que han afectado a diversas entidades bancarias.

En este sentido, bancos como Caixabank o Banco Bilbao Vizcaya Argentaria fueron sancionadas recientemente con multas de 6 y 5 millones de Euros respectivamente.

Ahora le ha tocado el turno a la multinacional del sector de las telecomunicaciones, Vodafone que ha sido sancionada con la sanción más alta de las impuestas en nuestro país por parte de la Agencia Española de Protección de Datos hasta la fecha: Vodafone ha sido sancionada por un total de 8 millones de Euros.

Y es que, desde la aplicación del Reglamento General de Protección de Datos, las empresas europeas pueden ser sancionadas por importes de elevadísima cuantía. De hecho, el Reglamento General de Protección de Datos establece la posibilidad de establecer sanciones de 20 millones de Euros o sanciones equivalentes al 4 por ciento de la facturación anual de un grupo de empresas durante el ejercicio económico anterior.

Así las cosas, pasamos a detallar a continuación los detalles de las últimas sanciones impuestas para poder valorar la proporcionalidad de estas cuantías tan elevadas, en base a la actividad ilícita que se hubiera estado realizando por estas empresas.

¿Por qué motivos se ha sancionado a Caixabank y BBVA?

El caso de Caixabank provenía de una denuncia interpuesta por una usuaria en el año 2018. Es decir, el año en que empezó a aplicarse de forma efectiva el Reglamento General de Protección de Datos y, concretamente, la Agencia Española de Protección de Datos pudo advertir a través de las investigaciones practicadas en el correspondiente procedimiento administrativo que las cláusulas utilizadas por la entidad bancaria para recabar el consentimiento de los usuarios para proceder al tratamiento de sus datos eran insuficientes en relación con las distintas actividades de tratamiento realizadas por Caixabank, de forma que no podían ampararse en el interés legítimo aducido por la banca.

Además, Caixabank permitía la cesión intragrupo de los datos personales captados de los usuarios entre distintas entidades de esta banca. Por otro lado, el proceso de captación dejaba entrever ciertas deficiencias que convertían el procedimiento en ilícito.

La misma suerte corrió BBVA por un caso de similares características: a esta entidad bancaria le fueron aplicadas dos infracciones, una muy grave que se fijó en una cuantía de 3 millones de euros, también a propósito de la fórmula utilizada para la captación del consentimiento, y otra leve que finalmente se fijó en 2 millones de Euros.

¿Es proporcionada la sanción aplicada frente a Vodafone?

Pese a lo elevado de la cuantía, lo cierto es que para graduar la infracción cometida y poder aplicar una u otra cuantía, la Agencia Española de Protección de Datos aplica distintos baremos para poder determinar una cuantía en concreto, y ello gracias a los reglamentos de sanciones aprobados en España pocos meses más tarde de al entrada en vigor del RGPD.

Por lo que respecta al procedimiento sancionador de Vodafone, las infracciones perpetradas por la teleco se habrían llevado a cabo en el ámbito de las llamadas y comunicaciones comerciales realizadas por esta compañía, acumulando un total de 4 sanciones.

En este contexto de las sanciones que viene imponiendo la AEPD, deberemos de estar muy atentos en los próximos meses por los recursos administrativos que estas compañías han anunciado que interpondrán. De esta forma podremos conocer las sentencias definitivas que puedan llegar a aplicarse desde el ámbito contencioso administrativo.

Letslaw es un despacho de abogados especializado en privacidad y marketing digital.