Multes de l'AEPD per no anonimitzar documents: imports, casos reals i com evitar-les

L’Agència Espanyola de Protecció de Dades és, per volum de sancions imposades, una de les autoritats més actives d’Europa. I una part creixent d’aquestes sancions té un denominador comú: la publicació, cessió o tractament de documents que contenien dades personals que s’havien d’haver anonimitzat i no es van fer, o es van fer malament. Aquesta guia explica quins imports maneja l’AEPD, quins casos solen acabar en sanció i què pots fer perquè la teva empresa no estigui entre ells.

Quines conductes sol sancionar l’AEPD en matèria d’anonimització

Després de revisar la casuística recent, les infraccions relacionades amb anonimització deficient encaixen en cinc patrons repetitius:

1. Publicació de documents en webs o portals sense esborrar dades personals — butlletins oficials, actes de ple, llistes d’admesos en processos selectius, resolucions judicials pujades a repositoris.
2. Enviament per email o WeTransfer de documents laborals amb dades de tercers — nòmines senceres a l’auditor, llistes de baixes a un proveïdor, expedients disciplinaris compartits en cadena.
3. Cessió a col·laboradors sense encàrrec de tractament ni anonimització — un despatx envia documents al pèrit, un centre mèdic cedeix històries clíniques a una empresa de transcripció, una gestoria lliura el fitxer de clients a un informàtic extern.
4. Fuites de documents amb dades suposadament “anonimitzades” — un fitxer Word on es va esborrar el nom però el control de canvis el continuava conservant, un PDF amb ratllades que van resultar ser reversibles.
5. Tractament per a fins diferents de l’original sense base legal — fer servir dades recollides per a gestió de clients en campanyes de màrqueting, o cedir dades entre empreses del mateix grup sense acreditar la compatibilitat de finalitats.

Trams de sanció i quanties reals

El RGPD estableix dos nivells d’infracció:

• Infraccions greus (art. 83.4 RGPD): fins a 10 milions d’euros o el 2% del volum de negoci global, el que sigui major. Inclouen errors en la designació del DPO, incompliments formals de l’encarregat de tractament o falta de registre d’activitats.
• Infraccions molt greus (art. 83.5 RGPD): fins a 20 milions d’euros o el 4% del volum de negoci global, el que sigui major. Inclouen violacions dels principis bàsics del tractament, drets dels interessats, i transferències internacionals sense garanties.

La publicació o cessió indeguda de dades sense anonimització cau habitualment en el tram molt greu per afectar els principis de licitud, minimització i confidencialitat.

La LOPDGDD introdueix addicionalment criteris de graduació (art. 76) que l’AEPD aplica en cada expedient:

• Naturalesa, gravetat i durada de la infracció
• Intencionalitat o negligència
• Mesures adoptades per pal·liar danys
• Grau de cooperació amb l’autoritat
• Categories de dades afectades (dades de salut, menors, etc.)
• Nombre d’afectats

A la pràctica, la majoria de sancions per anonimització deficient s’han mogut en rangs de 10.000 € a 200.000 €, amb pics notablement superiors quan hi ha categories especials de dades o gran volum d’afectats.

Casos de referència recents

Ajuntaments que van publicar llistats sense depurar

L’AEPD ha sancionat repetidament administracions locals que van publicar a les seves seus electròniques llistats d’admesos, sortejos d’habitatge públic o resolucions sancionadores amb nom, DNI i domicili complets. Els imports en aquests casos s’han situat habitualment entre 2.000 € i 15.000 € per la naturalesa pública del responsable, però acompanyats de requeriments de rectificació i publicació de la resolució sancionadora.

Bancs que van enviar documents a destinataris erronis

Quan una entitat financera envia per error a un client l’extracte de compte d’un altre, la sanció no es limita a la fuita puntual: l’AEPD analitza si els processos d’enviament tenien mecanismes suficients per prevenir-ho. Les sancions en aquests casos han superat els 100.000 € en entitats amb volums massius.

Despatxos professionals amb fuita d’expedients

Un error freqüent són els emails amb llistes de destinataris en còpia oberta (en lloc de còpia oculta) quan es comunica una informació sensible. Si la informació comunicada permet identificar els destinataris entre si, i el contingut revela, per exemple, que tots són pacients d’una clínica o clients d’un advocat especialitzat, la sanció pot moure’s entre els 30.000 € i els 70.000 €.

Empreses que van compartir informes interns sense anonimitzar

Els informes de sinistralitat, avaluacions de l’acompliment o llistats de baixes compartits amb consultores externes sense contracte d’encàrrec o sense anonimitzar han derivat en sancions d’entre 25.000 € i 60.000 €, agreujades quan les dades eren categories especials (salut, afiliació sindical).

Factors que multipliquen l’import

Els expedients amb major sanció solen concentrar diversos d’aquests factors:

• Dades de salut o categories especials afectades (art. 9 RGPD)
• Menors d’edat entre els afectats
• Gran volum (més de 1.000 persones)
• Difusió pública del document amb dades (web, xarxes socials, premsa)
• Reincidència de l’organització
• Absència de mesures tècniques prèvies que haguessin pogut prevenir la fuita
• Falta de cooperació amb l’AEPD durant la investigació

Per contra, actuen com a atenuants:

• Detectar i notificar la fuita al DPO i a l’AEPD en menys de 72 hores
• Notificar als afectats i oferir mesures de mitigació
• Demostrar que existia un procediment documentat d’anonimització
• Acreditar formació específica del personal
• Implementar mesures correctores durant la instrucció de l’expedient

Quines mesures tècniques esperen l’AEPD i els tribunals

En les seves resolucions recents, l’AEPD ve exigint —de facto, encara que no sempre de forma explícita— que les organitzacions que manegen documents amb dades personals:

1. Tinguin un procediment escrit d’anonimització aprovat pel DPO.
2. Apliquin tècniques d’anonimització real, no ratllat reversible.
3. Conservin un log d’auditoria de cada document anonimitzat (data, operari, tècnica aplicada).
4. Formin el personal que maneja els documents.
5. Avaluïn periòdicament el risc de reidentificació sobre els documents ja anonimitzats, especialment si s’acumulen amb altres fonts.

No complir aquests cinc punts no és en si una infracció autònoma, però la seva absència pesa decisivament en la graduació de la sanció quan es produeix un incident.

Com reduir el risc de sanció

• Automatitza l’anonimització de fluxos documentals recurrents (nòmines que van a auditoria, informes que van al gestor, expedients que s’arxiven).
• Centralitza la sortida de documents en un únic punt amb control i traçabilitat.
• Exigeix encàrrec de tractament escrit a qualsevol proveïdor que rebi documents amb dades personals.
• Revisa metadades abans de publicar o enviar: control de canvis, autor, data de creació, historials d’edició.
• Forma el personal de primera línia: secretariat, becaris, administratius — són els qui més freqüentment causen fuites involuntàries.

Preguntes freqüents

Si el document es va publicar per error i es va retirar en poques hores, s’evita la sanció?

La retirada ràpida atenua però no elimina la sanció. L’AEPD valora el temps d’exposició, però la infracció es consuma des de la publicació. Sí que redueix significativament l’import, sobretot si es combina amb notificació diligent.

Pot sancionar-me l’AEPD si l’error el va cometre un proveïdor?

Sí. Com a responsable del tractament, respons per les actuacions dels teus encarregats si no acredites haver diligenciat un contracte d’encàrrec i haver supervisat el seu compliment. L’encarregat també pot ser sancionat, però això no t’allibera.

Existeixen mínims per sota dels quals l’AEPD no sanciona?

No hi ha mínims formals. L’AEPD pot arxivar actuacions quan considera que la infracció és molt lleu o hi ha atenuants suficients, però el criteri és discrecional. A la pràctica, les sancions més baixes documentades per anonimització han estat de l’ordre de 600-1.200 €, amb advertiment en casos de primera infracció d’entitats petites.

Quant triga un expedient sancionador des de la denúncia?

Entre 6 i 18 mesos. L’AEPD comunica l’inici de l’expedient, dóna tràmit d’al·legacions, pot sol·licitar informació addicional i finalment dicta resolució. La resolució és recurrible davant l’Audiència Nacional.

Conclusió

Les multes de l’AEPD per no anonimitzar correctament no són casos aïllats ni teòrics: són la conseqüència habitual de processos documentals que, per comoditat o desconeixement, comparteixen informació que s’hauria d’haver depurat. Anonimitzar bé no és només complir la norma; és la mesura tècnica més eficaç perquè la teva empresa mai sigui una de les notícies del resum anual de l’AEPD.

Si vols evitar-les, automatitza l’anonimització dels teus documents amb anonimiza.do: detecta dades personals espanyoles, aplica eliminació irreversible i genera logs auditables per demostrar compliment davant qualsevol inspecció.