Las 5 multas más sonadas de la AEPD por tratamiento indebido de datos

La Agencia Española de Protección de Datos publica todas sus resoluciones sancionadoras. Te resumo cinco recientes que ilustran qué errores se pagan caros y cómo se podrían haber evitado con un proceso de pseudonimización serio.

1. Una asesoría que envió un Excel con DNIs por correo abierto

Una asesoría laboral envió por email a un cliente un Excel con la nómina del personal de la empresa. El Excel viajó en claro, sin cifrar, e incluía DNIs y números de cuenta de 23 empleados. La AEPD calificó la negligencia como infracción del Art. 32 (medidas de seguridad).

Sanción: 12.000 €.

Cómo se evita: pseudonimizar el Excel antes de enviarlo y compartir el mapa de equivalencias por canal separado (siempre que el destinatario LO NECESITE; si sólo necesitaba ver estructura, mejor anonimizar etiqueta genérica).

2. Un despacho de abogados que perdió un pendrive

Un letrado perdió un pendrive con expedientes de casos en abierto. La AEPD multó por no haber cifrado el almacenamiento. Datos sensibles: nombres, DNIs, IBANs, historial procesal.

Sanción: 30.000 €.

Cómo se evita: evitar el pendrive con datos personales reales. Si no queda más remedio, llevar la versión pseudonimizada + mapa cifrado en disco separado.

3. Tratamiento con ChatGPT sin contrato de encargo

Una pyme cargó la base de clientes en ChatGPT para que le redactara emails comerciales. La base incluía nombre, email y teléfono móvil. La AEPD considera esa carga como cesión a un encargado (OpenAI) sin las garantías contractuales correspondientes.

Sanción: 5.000 €.

Cómo se evita: pseudonimizar antes de usar la IA. Los pseudónimos te permiten preguntar lo que quieras sin transferir datos reales. Si necesitas resultados personalizados, revierte después en local.

4. Excel adjunto al boletín mensual por error

Un asesor compartió por error el Excel maestro de su cartera en una newsletter que iba a 400 destinatarios. Pánico inmediato, retirada de listas, comunicación urgente a los afectados.

Sanción: 18.000 € (incluyendo agravante por el volumen de afectados).

Cómo se evita: principio de minimización. Nunca tener un único archivo con toda la cartera completa al alcance del email. Mantener versión pseudonimizada como copia de trabajo.

5. Análisis de datos compartido con auditor externo

Para un análisis de morosidad, una empresa compartió con un auditor externo un dataset con DNIs reales. El auditor no era encargado del tratamiento, era subcontratista del proveedor de software. Cesión no autorizada.

Sanción: 8.000 €.

Cómo se evita: auditor externo trabaja siempre con datos pseudonimizados. Si necesita identificar individuos concretos, lo hace por solicitud puntual al controlador con un proceso de reversión registrado.

Patrón común

En las cinco multas el problema fue trabajar con datos reales cuando no hacía falta. Pseudonimizar antes habría reducido o eliminado el riesgo en todos los casos.

Tu turno

Si en tu despacho o asesoría hay un Excel maestro con datos reales que circula por email, por carpeta compartida o por IA sin pseudonimizar, hoy es buen día para cambiar el flujo. Anoply está pensado exactamente para asesorías, abogados y contables que quieren cumplir el RGPD sin convertirse en abogados internos.

Disclaimer

Este artículo informa, no constituye asesoramiento legal. Para casos concretos consulta con tu delegado de protección de datos.