El BOE de hoy recoge una resolución de la Agencia Española de Protección de Datos (AEDP) que hace pública la lista de empresas que, durante 2021, recibieron multas que suman más de un millón de euros. Son Vodafone (8.150.000 euros), BBVA (cinco millones), EDP (tres millones) y Mercadona (2.520.000 euros). La mayoría de las sanciones son por incumplimiento del Reglamento general de protección de datos (RGPD).

La cifra más alta, los más de ocho millones a Vodafone, corresponde al envío de emails publicitarios no solicitados, la transferencia de datos a países de fuera de la UE sin cumplir los requisitos legales y el incumplimiento de la obligación de contar con un encargado de tratamiento que tome medidas para proteger los datos personales.

No es la primera vez que la compañía telefónica es sancionada por incumplir la protección de datos. De hecho, según una investigación de Civio, esta firma, junto con Telefónica y Orange, acumularon casi cuatro de cada diez euros en sanciones dictadas por la AEPD de 2015 a 2018.

Le sigue el BBVA, con cinco millones, por recopilar datos personales sin consentimiento o para fines no establecidos en la norma; y por no informar a los afectados de qué datos se estaban recopilando, para qué y quién era su responsable.

Esta última infracción también la cometió la empresa eléctrica EDP, que además no diseñó sus bases de datos personales para que, por defecto, solo se trate la parte imprescindible. En total, por ambas cosas, suma tres millones.

Mercadona recibió varias multas vinculadas a su proyecto piloto de cámaras de vigilancia facial para detectar a personas con órdenes de alejamiento de sus tiendas. En total, suman 2.520.000 euros.

La AEPD considera que ese proyecto incumplió seis artículos del reglamento europeo: no realizaron una evaluación de impacto como establece la norma cuando se usan nuevas tecnologías para saber cómo iba a afectar el tratamiento de esos datos, recopilaron más datos de los necesarios para el fin propuesto, no se diseñó para tratar solo lo mínimo imprescindible, no informaron a los afectados de qué datos se estaban guardando y para qué, no hubo consentimiento ni fines reglados, no informaron de cómo se podía reclamar para eliminar los datos y, todo esto, teniendo en cuenta que se trata de categorías especiales de datos personales, en este caso las biométricas, que están especialmente protegidas.

Buenos días.