La Agencia Española de Protección de Datos publica todas sus resoluciones sancionadoras. Aquí tienes cuatro reales y verificables, con número de expediente, que tocan de lleno el día a día de asesorías y gestorías. No hace falta exagerar nada: los casos reales ya asustan lo suficiente.
1. PS/00483/2020 — Una asesoría envía por email documentación de un tercero
Una asesoría fiscal, laboral y contable de Barcelona envió por correo electrónico a un cliente documentación que pertenecía a otro cliente. Un despiste de adjunto: el error más humano que existe, y uno de los más frecuentes en las resoluciones de la AEPD.
Sanción: 3.000 € (2.000 € por el Art. 5.1.f RGPD —confidencialidad— y 1.000 € por el Art. 32 —medidas de seguridad—).
La lección: el riesgo no era el email; era que el archivo viajara con datos reales. Un documento pseudonimizado enviado a la persona equivocada es un susto. Uno con DNIs e IBANs reales es una resolución con tu nombre.
2. PS/00116/2021 — Una gestoría comparte datos de un cliente con otra gestoría
Una gestoría comunicó datos de un cliente a otra gestoría sin su consentimiento. El afectado se enteró al recibir una factura de un despacho con el que jamás había trabajado. La AEPD apreció además un agravante: la gestoría no cooperó durante la investigación.
Sanción: 4.000 € (Art. 6 RGPD — licitud del tratamiento).
La lección: "se lo pasé a un compañero para que me ayudara" es una cesión de datos. Si necesitas una segunda opinión sobre un expediente, lo que compartes no debería permitir identificar al cliente.
3. PS/00376/2020 — Documento a la persona incorrecta
Otra asesoría, otro envío equivocado: documentación de un cliente entregada a la persona incorrecta.
Sanción: 2.000 €.
La lección: fíjate en el patrón. Las multas a despachos pequeños no llegan por ataques de hackers rusos: llegan por errores administrativos con datos reales en circulación. La forma más barata de reducir ese riesgo es que los archivos que circulan no lleven los datos reales encima.
4. PS/00238/2024 — El PDF de UNIQLO: 447 nóminas a un empleado
Un trabajador de UNIQLO pidió su nómina a recursos humanos. Le contestaron con un archivo que contenía las nóminas de 447 empleados: nombre, DNI, número de afiliación a la Seguridad Social y cuenta bancaria.
Sanción: 450.000 €, reducida a 270.000 € por reconocimiento de responsabilidad y pago voluntario (Arts. 5.1.f y 32 RGPD).
La lección: las nóminas son de los documentos más densos en datos personales que maneja cualquier despacho. Si trabajas con ficheros de nóminas y los mueves por email, carpetas compartidas o herramientas de IA, este caso es tu espejo. Tenemos una guía específica para anonimizar nóminas en Excel.
¿Y las multas por usar ChatGPT?
Seamos honestos, porque este blog no vende miedo: a fecha de hoy no hay una resolución pública de la AEPD que sancione específicamente "subir datos de clientes a ChatGPT". Lo que sí hay son los artículos de siempre — 5.1.f (confidencialidad), 6 (licitud) y 32 (seguridad) — que aplican exactamente igual si el destinatario del dato es otra gestoría, un email equivocado… o un proveedor de IA sin las garantías del Art. 28. El mecanismo legal ya existe; que todavía no haya resolución con ese titular no significa que no pueda haberla.
El patrón común
En los cuatro casos el problema de fondo es el mismo: datos reales circulando cuando no hacía falta que fueran reales. El destinatario equivocado, la otra gestoría o el archivo de 447 nóminas habrían sido incidentes menores si los documentos hubieran viajado pseudonimizados y el mapa de equivalencias se hubiera quedado en casa, cifrado.
Ese es exactamente el flujo de Anoply: detecta DNIs, IBANs, nombres y razones sociales en tu Excel, los sustituye por etiquetas reversibles sin que el archivo salga de tu navegador, y solo tú puedes revertirlo. Puedes probarlo con un archivo de ejemplo, sin registrarte.
Disclaimer
Este artículo informa, no constituye asesoramiento legal. Las resoluciones citadas son públicas y pueden consultarse en el buscador de la AEPD por su número de expediente. Para casos concretos consulta con tu delegado de protección de datos.