Iberdrola, con sus dos sociedades diferenciadas, Iberdrola, S.A. y I-Redes eléctricas Inteligentes, S.A.U, la también energética Energya VM, la aseguradora Generali España, Caixabank y Telefónica, son las cinco compañías más multadas y con cantidades más importantes, que superan el millón de euros, por la Agencia española de Protección de datos (AEPD), según figura en la memoria de la institución reguladora del pasado año, 2024, recientemente publicada.
Según el informe, las 5 áreas con mayor importe global de multas fueron las del sector de la energía o el agua, que sumó 11.680.600 euros en sanciones, las entidades financieras o acreedoras, con unas multas que alcanzaron 5.356.900 euros, los servicios de internet, con sanciones de 4.547.380 euros, y las telecomunicaciones, que sumó multas de hasta 3.330.000 euros. A todas ellas les sigue el área de negocio de las contratación fraudulenta, con multas de un total de 2.538.200 euros.
la compañía que acumula las multas más cuantiosas es Energya VM, la comercializadora de luz y gas nacida en 2002 perteneciente al grupo Villar Mir, dueño de OHL
Así, según el listado publicado en el documento de la AEPD, la compañía que acumula las multas más cuantiosas es Energya VM, la comercializadora de luz y gas nacida en 2002 perteneciente al grupo Villar Mir, dueño de OHL. El total de multas que ha tenido que afrontar esta compañía suma un montante de 5 millones de euros por vulnerar el art. 5.1 y 5.2 del Reglamento General de Protección de Datos de la UE (RGPD).
El artículo 5.1 del reglamento establece los principios relativos al tratamiento de datos personales, que son: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad. Por su parte, el artículo 5.2 deja muy claro que «el responsable del tratamiento será responsable del cumplimiento de los dispuesto en el apartado 1 y capaz de demostrarlo», es decir, que debe ejercer la responsabilidad proactiva. la compañía de energía de Villar Mir ha incumplido ambos puntos.
GERERALI, CAIXABANK, IBERDROLA Y TELEFÓNICA
El listado de las más multadas continúa con el segundo lugar para la división española de la aseguradora italiana Generali, que suma unas multas por un importe de 4 millones de euros, por haber incumplido también el artículo 5.1 del RGPD en su punto f. en el que se indica que «el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño».
También ha incumplido, según el regulador, el artículo 32, que establece que «el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo», el 35, que marca claramente que los responsables del tratamiento (la empresa en este caso) «realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales, así como el artículo 25 del reglamento, que establece que las organizaciones «deben aplicar medidas técnicas y organizativas adecuadas para garantizar que los principios de protección de datos se tengan en cuenta y se integren en el diseño y el funcionamiento de sus sistemas, productos y servicios».
la división española de la aseguradora italiana Generali, que suma unas multas por un importe de 4 millones de euros, por haber incumplido también el artículo 5.1 del RGPD en su punto f. en el que se indica que «el tratamiento es necesario para la satisfacción de intereses legítimos»
Caixabank es la la tercera en el listado de multas más importantes, con una cantidad a pagar de 3.500.000 euros, por vulnerar el conocido punto f. del artículo 5.1 y también el artículo 32, por el que no habría aplicado las medidas técnicas y organizativas necesarias para evitar fugas de datos.
Le sigue la energética Iberdrola, con sus dos sociedades diferenciadas, I-Redes eléctricas Inteligentes, S.A.U, que fue multada por un total de 3.500.00 euros por vulnerar los artículos 25, 32 y el 5.1 en su punto f. también, e Iberdrola, S.A. que ha tenido que abonar un montante de 3 millones de euros por no atender debidamente el artículo 32 y de nuevo el 5.1 en su apartado f. Así, el grupo que preside Ignacio Sánchez Galán, suma un total de seis millones y medios en multas por vulnerar la legislación europea en materia de protección de datos.
La quinta compañía infractora es Telefónica, cuya multa asciende a un total de 1.300.000 euros y de nuevo la vulneración del RGPD se ha producido en lo establecido por el artículo 32 y el 5.1 f que es, claramente, el que mayores incumplimientos registra.
A Telefónica en el listado le siguen Orange España, el BBVA, y LaLiga con 1.200.000, 1.184.000 y 1.000.000 de euros respectivamente. Lo que sin duda sorprende es que las multadas con mayores cantidades sean precisamente grandes compañías con grandes presupuestos en materia de Gestión de Riesgo y Cumplimiento (GRC), medios y personal especializado suficiente para no vulnerar en absoluto el reglamente europeo.
«no son solo sanciones, son indicadores de exposición sistémica al riesgo en sectores donde el tratamiento de datos es intensivo, sensible y a menudo automatizado»
Así, expertos como Alicia Damon Estrella, directora de la consultora especializada en ciberseguridad y protección de datos Safe, indica a través de LinkedIn que estas cifras de la Memoria 2024 de la AEPD «no son solo sanciones, son indicadores de exposición sistémica al riesgo en sectores donde el tratamiento de datos es intensivo, sensible y a menudo automatizado».
En su opinión, que sectores tan potentes como la energía, la banca, las telecos e internet, concentren «gran parte del impacto económico» de las sanciones es indicativo de «la urgencia de implementar marcos de gobernanza sólidos, con auditoría continua, trazabilidad algorítmica y evaluaciones de impacto reales (no solo documentales)».
En opinión de otros expertos, está claro que la privacidad y la protección de datos ya no pueden limitarse solo al cumplimiento formal, se necesita marcos de gobernanza sólidos, evaluaciones de impacto continuas y una cultura de responsabilidad transversal en las organizaciones
