Multas de la AEPD por no anonimizar documentos: importes, casos reales y cómo evitarlas

La Agencia Española de Protección de Datos es, por volumen de sanciones impuestas, una de las autoridades más activas de Europa. Y una parte creciente de esas sanciones tiene un denominador común: la publicación, cesión o tratamiento de documentos que contenían datos personales que debían haberse anonimizado y no se hicieron, o se hicieron mal. Esta guía explica qué importes maneja la AEPD, qué casos suelen acabar en sanción y qué puedes hacer para que tu empresa no esté entre ellos.

Qué conductas suele sancionar la AEPD en materia de anonimización

Tras revisar la casuística reciente, las infracciones relacionadas con anonimización deficiente encajan en cinco patrones repetitivos:

1. Publicación de documentos en webs o portales sin borrar datos personales — boletines oficiales, actas de pleno, listas de admitidos en procesos selectivos, resoluciones judiciales subidas a repositorios.
2. Envío por email o WeTransfer de documentos laborales con datos de terceros — nóminas enteras al auditor, listas de bajas a un proveedor, expedientes disciplinarios compartidos en cadena.
3. Cesión a colaboradores sin encargo de tratamiento ni anonimización — un despacho envía documentos al perito, un centro médico cede historiales a una empresa de transcripción, una gestoría entrega el fichero de clientes a un informático externo.
4. Fugas de documentos con datos supuestamente “anonimizados” — un fichero Word donde se borró el nombre pero el control de cambios seguía conservándolo, un PDF con tachaduras que resultaron ser reversibles.
5. Tratamiento para fines distintos del original sin base legal — usar datos recogidos para gestión de clientes en campañas de marketing, o ceder datos entre empresas del mismo grupo sin acreditar la compatibilidad de finalidades.

Tramos de sanción y cuantías reales

El RGPD establece dos niveles de infracción:

• Infracciones graves (art. 83.4 RGPD): hasta 10 millones de euros o el 2% del volumen de negocio global, lo que sea mayor. Incluyen fallos en la designación del DPO, incumplimientos formales del encargado de tratamiento o falta de registro de actividades.
• Infracciones muy graves (art. 83.5 RGPD): hasta 20 millones de euros o el 4% del volumen de negocio global, lo que sea mayor. Incluyen violaciones de los principios básicos del tratamiento, derechos de los interesados, y transferencias internacionales sin garantías.

La publicación o cesión indebida de datos sin anonimización cae habitualmente en el tramo muy grave por afectar a los principios de licitud, minimización y confidencialidad.

La LOPDGDD introduce adicionalmente criterios de graduación (art. 76) que la AEPD aplica en cada expediente:

• Naturaleza, gravedad y duración de la infracción
• Intencionalidad o negligencia
• Medidas adoptadas para paliar daños
• Grado de cooperación con la autoridad
• Categorías de datos afectados (datos de salud, menores, etc.)
• Número de afectados

En la práctica, la mayoría de sanciones por anonimización deficiente se han movido en rangos de 10.000 € a 200.000 €, con picos notablemente superiores cuando hay categorías especiales de datos o gran volumen de afectados.

Casos de referencia recientes

Ayuntamientos que publicaron listados sin depurar

La AEPD ha sancionado repetidamente a administraciones locales que publicaron en sus sedes electrónicas listados de admitidos, sorteos de vivienda pública o resoluciones sancionadoras con nombre, DNI y domicilio completos. Los importes en estos casos se han situado habitualmente entre 2.000 € y 15.000 € por la naturaleza pública del responsable, pero acompañados de requerimientos de rectificación y publicación de la resolución sancionadora.

Bancos que enviaron documentos a destinatarios erróneos

Cuando una entidad financiera envía por error a un cliente el extracto de cuenta de otro, la sanción no se limita a la fuga puntual: la AEPD analiza si los procesos de envío tenían mecanismos suficientes para prevenirlo. Las sanciones en estos casos han superado los 100.000 € en entidades con volúmenes masivos.

Despachos profesionales con fuga de expedientes

Un error frecuente son los emails con listas de destinatarios en copia abierta (en lugar de copia oculta) cuando se comunica una información sensible. Si la información comunicada permite identificar a los destinatarios entre sí, y el contenido revela, por ejemplo, que todos son pacientes de una clínica o clientes de un abogado especializado, la sanción puede moverse entre los 30.000 € y los 70.000 €.

Empresas que compartieron informes internos sin anonimizar

Los informes de siniestralidad, evaluaciones de desempeño o listados de bajas compartidos con consultoras externas sin contrato de encargo o sin anonimizar han derivado en sanciones de entre 25.000 € y 60.000 €, agravadas cuando los datos eran categorías especiales (salud, afiliación sindical).

Factores que multiplican el importe

Los expedientes con mayor sanción suelen concentrar varios de estos factores:

• Datos de salud o categorías especiales afectados (art. 9 RGPD)
• Menores de edad entre los afectados
• Gran volumen (más de 1.000 personas)
• Difusión pública del documento con datos (web, redes sociales, prensa)
• Reincidencia de la organización
• Ausencia de medidas técnicas previas que pudieran haber prevenido la fuga
• Falta de cooperación con la AEPD durante la investigación

Por contra, actúan como atenuantes:

• Detectar y notificar la fuga al DPO y a la AEPD en menos de 72 horas
• Notificar a los afectados y ofrecer medidas de mitigación
• Demostrar que existía un procedimiento documentado de anonimización
• Acreditar formación específica del personal
• Implementar medidas correctoras durante la instrucción del expediente

Qué medidas técnicas esperan la AEPD y los tribunales

En sus resoluciones recientes, la AEPD viene exigiendo —de facto, aunque no siempre de forma explícita— que las organizaciones que manejan documentos con datos personales:

1. Tengan un procedimiento escrito de anonimización aprobado por el DPO.
2. Apliquen técnicas de anonimización real, no tachado reversible.
3. Conserven un log de auditoría de cada documento anonimizado (fecha, operario, técnica aplicada).
4. Formen al personal que maneja los documentos.
5. Evalúen periódicamente el riesgo de reidentificación sobre los documentos ya anonimizados, especialmente si se acumulan con otras fuentes.

No cumplir estos cinco puntos no es en sí una infracción autónoma, pero su ausencia pesa decisivamente en la graduación de la sanción cuando se produce un incidente.

Cómo reducir el riesgo de sanción

• Automatiza la anonimización de flujos documentales recurrentes (nóminas que van a auditoría, informes que van al gestor, expedientes que se archivan).
• Centraliza la salida de documentos en un único punto con control y trazabilidad.
• Exige encargo de tratamiento escrito a cualquier proveedor que reciba documentos con datos personales.
• Revisa metadatos antes de publicar o enviar: control de cambios, autor, fecha de creación, historiales de edición.
• Forma al personal de primera línea: secretariado, becarios, administrativos — son quienes más frecuentemente causan fugas involuntarias.

Preguntas frecuentes

Si el documento se publicó por error y se retiró en pocas horas, ¿se evita la sanción?

La retirada rápida atenúa pero no elimina la sanción. La AEPD valora el tiempo de exposición, pero la infracción se consuma desde la publicación. Sí reduce significativamente el importe, sobre todo si se combina con notificación diligente.

¿Puede sancionarme la AEPD si el error lo cometió un proveedor?

Sí. Como responsable del tratamiento, respondes por las actuaciones de tus encargados si no acreditas haber diligenciado un contrato de encargo y haber supervisado su cumplimiento. El encargado también puede ser sancionado, pero eso no te libera.

¿Existen mínimos por debajo de los cuales la AEPD no sanciona?

No hay mínimos formales. La AEPD puede archivar actuaciones cuando considera que la infracción es muy leve o hay atenuantes suficientes, pero el criterio es discrecional. En la práctica, las sanciones más bajas documentadas por anonimización han sido del orden de 600-1.200 €, con apercibimiento en casos de primera infracción de entidades pequeñas.

¿Cuánto tarda un expediente sancionador desde la denuncia?

Entre 6 y 18 meses. La AEPD comunica el inicio del expediente, da trámite de alegaciones, puede solicitar información adicional y finalmente dicta resolución. La resolución es recurrible ante la Audiencia Nacional.

Conclusión

Las multas de la AEPD por no anonimizar correctamente no son casos aislados ni teóricos: son la consecuencia habitual de procesos documentales que, por comodidad o desconocimiento, comparten información que debería haberse depurado. Anonimizar bien no es solo cumplir la norma; es la medida técnica más eficaz para que tu empresa nunca sea una de las noticias del resumen anual de la AEPD.

Si quieres evitarlas, automatiza la anonimización de tus documentos con anonimiza.do: detecta datos personales españoles, aplica eliminación irreversible y genera logs auditables para demostrar cumplimiento ante cualquier inspección.