Dades clau
| Normativa | Resolució de 17 de juny de 2026, AEPD — Publicació de sancions superiors a 1.000.000€ (art. 76.4 LOPDGDD) |
|---|---|
| Publicació BOE | 27 de juny de 2026 |
| Entrada en vigor | 27 de juny de 2026 |
| Empreses sancionades | Vodafone España i Amadeus IT Group |
| Import total | 15.450.000€ |
| Categoria | Protecció de Dades |
| Base legal publicació | Article 76.4 de la LOPDGDD |
Vodafone España i Amadeus IT Group acumulen juntes 15.450.000€ en multes imposades per l'Agència Espanyola de Protecció de Dades (AEPD) i publicades en el BOE el 27 de juny de 2026, conforme a l'article 76.4 de la LOPDGDD. Les infraccions detectades apunten a dos fallos recurrents en qualsevol organització que tracti dades: absència de base legal i mesures de seguretat insuficients.
Aquestes resolucions no són un avís aïllat. Són el senyal més clar fins a la data que l'AEPD aplica el règim sancionador del RGPD amb tota la seva contundència, fins i tot davant de grans corporacions amb departaments legals propis.
Què estableix aquesta normativa?
La resolució publica, amb noms i quanties, les sancions superiors a un milió d'euros imposades a persones jurídiques, tal com obliga l'article 76.4 de la LOPDGDD. El desglossament d'infraccions és el següent:
| Empresa | Article RGPD vulnerat | Descripció de la infracció | Import |
|---|---|---|---|
| Vodafone España | Art. 6.1 RGPD | Falta de base legal per al tractament de dades (infracció 1) | 150.000€ |
| Vodafone España | Art. 6.1 RGPD | Falta de base legal per al tractament de dades (infracció 2) | 150.000€ |
| Vodafone España | Art. 32 RGPD | Mesures de seguretat tècniques i organitzatives inadequades | 750.000€ |
| Amadeus IT Group | Arts. 6 i 14 RGPD | Falta de base legitimadora del tractament i incompliment del deure d'informació | 14.400.000€ |
L'article 6 RGPD exigeix que tot tractament de dades personals tingui una base legal vàlida: consentiment, contracte, obligació legal, interès vital, missió d'interès públic o interès legítim. Tractar dades sense encaixar en cap d'aquestes categories és una infracció greu. L'article 14 RGPD obliga a informar als interessats quan les dades no s'obtenen directament d'ells. L'article 32 RGPD exigeix implementar mesures tècniques i organitzatives proporcionals al risc per garantir la seguretat de les dades.
Impacte econòmic i operatiu
La multa a Amadeus (14,4M€) és especialment rellevant perquè combina dues infraccions que solen anar de la mà en empreses tecnològiques que agreguen dades de tercers: tractar dades sense base legal i no informar adequadament als afectats. Aquest tipus de sanció doble pot multiplicar l'import final.
En el cas de Vodafone, el major pes recau sobre la infracció de seguretat (750.000€, el 71% de la seva multa total), la qual cosa evidencia que l'AEPD penalitza amb especial duresa els fallos en la protecció tècnica de les dades, no només els incompliments documentals.
Des d'una perspectiva operativa, aquestes sancions impliquen que les empreses han de tractar el compliment del RGPD com un cost de negoci recurrent, no com un projecte puntual. La inversió en auditories de base legal, registres d'activitats de tractament i mesures de seguretat és significativament inferior al cost d'una sola sanció d'aquest calibre.
A qui afecta?
- Grans corporacions tecnològiques i de telecomunicacions que tracten volums massius de dades de clients o usuaris.
- Empreses que agreguen o reutilitzen dades de terceres fonts sense verificar la base legal ni informar als interessats (risc art. 14 RGPD).
- Qualsevol organització amb sistemes d'informació que no hagi revisat les seves mesures de seguretat tècniques i organitzatives conforme a l'article 32 RGPD.
- Responsables i encarregats del tractament que no tinguin documentada la base legal de cada activitat de tractament en el seu Registre d'Activitats.
- Departaments de compliance, legal i tecnologia que han de coordinar la revisió conjunta de legitimació i seguretat.
- Assessors i consultors de protecció de dades que gestionen el compliment normatiu dels seus clients.
Exemple pràctic
Imagina una empresa de software de gestió hotelera que, per millorar el seu servei de recomanacions, incorpora dades de hostes obtingudes de plataformes de reserves de tercers. Si no verifica que aquestes dades tenen una base legal vàlida per al nou ús que els dona (art. 6 RGPD) i no informa als hostes que les seves dades estan sent tractades per una empresa distinta a la que se les va facilitar (art. 14 RGPD), està replicant exactament el patró d'infracció pel qual Amadeus IT Group ha estat sancionada amb 14.400.000€.
La mida de l'empresa influeix en la quantia, però no en la tipificació de la infracció. Una pime en la mateixa situació pot rebre una sanció proporcional a la seva facturació que, en termes relatius, resulti igual de devastadora.
Què han de fer les empreses ara?
- Auditar el Registre d'Activitats de Tractament: Revisa cada activitat i verifica que té assignada una base legal vàlida de l'article 6 RGPD. Si alguna activitat careix d'ella, detén el tractament o documenta la legitimació abans de continuar.
- Revisar els tractaments amb dades obtingudes de tercers: Si la teva empresa rep dades d'altres fonts (socis, proveïdors, plataformes), comprova que compleix amb el deure d'informació de l'article 14 RGPD i que existeix una base legal per a l'ús que fas d'aquestes dades.
- Avaluar les mesures de seguretat tècniques i organitzatives: Realitza o actualitza la teva anàlisi de riscos conforme a l'article 32 RGPD. Documenta les mesures implementades. La falta de documentació és tan sancionable com la falta de mesures.
- Revisar contractes amb encarregats del tractament: Assegura't que els acords d'encàrrec inclouen les clàusules de seguretat i responsabilitat exigides pel RGPD.
- Formar l'equip: Els fallos de base legal i seguretat solen originar-se en decisions operatives del dia a dia. La formació periòdica en protecció de dades redueix el risc d'infraccions involuntàries.
Preguntes freqüents
Per què la multa a Amadeus és tan superior a la de Vodafone?
Amadeus IT Group va ser sancionada amb 14.400.000€ per vulnerar simultàniament els articles 6 i 14 del RGPD: falta de base legitimadora del tractament i incompliment del deure d'informació. Vodafone va rebre 1.050.000€ per tres infraccions separades (dues de l'art. 6.1 i una de l'art. 32). La diferència de quantia reflecteix tant la gravetat de les infraccions d'Amadeus com el volum i abast del tractament de dades en cada cas.
Què és l'article 32 RGPD i per què Vodafone va ser multada per ell?
L'article 32 RGPD obliga als responsables del tractament a implementar mesures tècniques i organitzatives adequades per garantir un nivell de seguretat proporcional al risc. Vodafone va ser sancionada amb 750.000€ per tenir mesures de seguretat inadequades, la qual cosa representa el 71% de la seva multa total. Això inclou aspectes com xifrat, control d'accés, gestió d'incidents i avaluacions de risc.
Per què l'AEPD publica aquestes sancions en el BOE?
L'article 76.4 de la LOPDGDD obliga l'AEPD a publicar en el BOE les sancions superiors a un milió d'euros imposades a persones jurídiques. Aquesta publicació té efecte dissuasori i de transparència: qualsevol empresa o ciutadà pot consultar quines organitzacions han estat sancionades i per quin import.
Què passa si la meva empresa tracta dades sense base legal documentada?
Tractar dades sense una base legal vàlida de l'article 6 RGPD és una infracció greu que pot comportar multes de fins a 20.000.000€ o el 4% de la facturació global anual (la xifra que sigui major). Vodafone va ser sancionada amb 150.000€ per cadascuna de les seves dues infraccions de l'article 6.1. La quantia varia segons el volum de dades, el nombre d'afectats i la intencionalitat.
Quan entra en vigor aquesta resolució i què implica per a altres empreses?
La resolució va ser publicada i va entrar en vigor el 27 de juny de 2026. No imposa noves obligacions directes a terceres empreses, però reforça la interpretació de l'AEPD sobre els articles 6, 14 i 32 del RGPD. Qualsevol empresa que tracti dades personals ha de revisar el seu compliment a la llum d'aquests criteris per evitar sancions equivalents.
Font oficial
Consulta la normativa completa en font oficial
Avís: Aquest article té caràcter merament informatiu i no constitueix assessorament legal. Per a decisions específiques, consulta a un professional qualificat. Font: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2026-14010