El Boletín Oficial del Estado (BOE) del 19 de octubre, publica la Resolución de 11 de octubre de 2023, de la Agencia Española de Protección de Datos, por la que se publican las sanciones superiores a un millón€.

El apartado 4 del artículo 76 de la Ley Orgánica 3/2018, de 5 de diciembre, de
Protección de Datos y garantía de los derechos digitales establece: «Será objeto de publicación en el Boletín Oficial del Estado la información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta cuando la autoridad competente sea la Agencia Española de Protección de Datos, la sanción fuese superior a un millón de euros y el infractor sea una persona jurídica».

La directora de la Agencia Española de Protección de Datos, Mar España Martí, explica que la sanción de 1,184 millones€ se debe a:

• una infracción del artículo 25 del RGPD, tipificada en el artículo 83.4 del RGPD
• una infracción del artículo 32 del RGPD, tipificada en el artículo 83.4 del RGPD
• la infracción del artículo 6.1 del RGPD tipificada en el artículo 83.5 del RGPD
• la infracción del artículo 32 del RGPD tipificada en el artículo 83.4 del mismo Reglamento
• la infracción del artículo 6.1 del RGPD tipificada en el artículo 83.5 del mismo Reglamento

El artículo 25 del Reglamento General de Protección de Datos establece que los principios, derechos y obligaciones relativos a la protección de datos han de tenerse en cuenta «desde el diseño y por defecto».

El artículo 32 impone a los responsables del tratamiento de datos personales la obligación de determinar y establecer las medidas de seguridad técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo en función del estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas.

El artículo 6.1 fija las condiciones por las que se considerará lícito el tratamiento de datos, entre ellas el haber recibido el consentimiento del interesado.

El artículo 83.4 establece multas administrativas de hasta 10 millones€ o una cuantía equivalente de hasta el 2% del volumen de negocio total anual global del ejercicio financiero anterior si el infractor es una empresa.

El artículo 83.5 fija sanciones de hasta 20 millones€ o, en el caso de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

El BBVA recurrirá estas sanciones en los tribunales.