Afloran las multas millonarias de Protección de Datos en lo que va de año: CaixaBank e Iberdrola, sancionadas con más de 11 millones

La Agencia Española de Protección de Datos (AEPD) es la autoridad nacional competente para velar por el cumplimiento del Reglamento General de Protección de Datos (RGPD) en el país, y su acción sancionadora llama la atención en toda la Unión Europea.

No en balde, la AEPD es una de las autoridades nacionales de los Veintisiete que más procedimientos termina con multas. Aunque en su cómputo total las multas no son las más cuantiosas de los Estados miembros, lidera desde hace años las tablas en número de sanciones.

En las últimas semanas buena parte de la acción sancionadora de la AEPD se está centrando en el uso de sistemas de identificación biométrica para acceder a los centros de trabajo —por ejemplo, mediante el uso de huellas dactilares—. Pero solo las grandes multas acaban publicándose en el Boletín Oficial del Estado (BOE).

Es el caso de este jueves. El BOE ha publicado una disposición recogiendo las multas millonarias que la AEPD ha impuesto en las últimas semanas. La AEPD está obligada a ello por un artículo de la ley española de protección de datos de 2018, que incide en la necesidad de esta publicación cuando la sanción "fuese superior a un millón de euros y el infractor sea una persona jurídica".

La disposición, que firma la directora de la propia AEPD, Mar España, recoge las multas millonarias que han recibido dos compañías en los últimos meses. En concreto, se enumeran las sanciones que han recibido Iberdrola —6,5 millones de euros en multas— y CaixaBank —5 millones— por haber infringido algunos aspectos del RGPD.

La pesadilla de Meta continúa: qué opciones tienen Facebook o Instagram ante el último mazazo europeo sobre protección de datos

Iberdrola, por ejemplo, ha sido sancionada por no haber revisado la seguridad de sus sistemas informáticos desde 2019, lo que desembocó en un ciberataque en 2022 que sustrajo la información personal de muchos de sus clientes provocando que posteriormente se diesen llamadas comerciales animando a formalizar nuevos contratos de suministros.

Esas llamadas comerciales de terceros habrían hecho uso de la información robada a Iberdrola, razón por la que la AEPD sancionó este año a la empresa de distribución del grupo, i-DE, con 3,5 millones. También impuso otra multa de 3 millones de euros a la matriz, Iberdrola S.A.

La multa a CaixaBank, por su parte, tiene más enjundia. Se conoció hace semanas tras un proceso que se ha dilatado durante años. Un cliente de CaixaBank recibió una notificación a través de la cual pudo tener conocimiento de una transferencia realizada por un tercer cliente completamente ajeno a él.

CaixaBank ha defendido en todo momento que fue un fallo puntual aunque la AEPD determine que el fallo es extensible a todos los clientes de la entidad financiera. El organismo que representa Mar España también concluye que la entidad financiera no reaccionó adecuadamente al fallo, presentando un "mero parche" para atajar el problema.

El banco ha considerado esta sanción "desproporcionada". En total, son otros cinco millones de euros que la AEPD impone como multa, sumando en esta nueva tanda de sanciones el total de 11 millones de euros.