Protecció de Dades

Multes AEPD 2026: Vodafone paga 1,05M€ i Amadeus 14,4M€ per violar el RGPD

E
Equipo Editorial CambiosLegales
27 Jun 2026 7 min 382 visites

Dades clau

NormativaResolució de 17 de juny de 2026, AEPD — Publicació de sancions superiors a 1.000.000€ (art. 76.4 LOPDGDD)
Publicació BOE27 de juny de 2026
Entrada en vigor27 de juny de 2026
Empreses sancionadesVodafone España i Amadeus IT Group
Import total15.450.000€
CategoriaProtecció de Dades
Base legal publicacióArticle 76.4 de la LOPDGDD
Anàlisi d'impacte reservada per a PRO
L'anàlisi detallada de l'impacte d'aquesta normativa està disponible per a usuaris amb pla PRO o superior. Accedeix al contingut complet i rep alertes personalitzades.
Des de 9,99 €/mes · Cancel·la quan vulguis

Vodafone España i Amadeus IT Group acumulen juntes 15.450.000€ en multes imposades per l'Agència Espanyola de Protecció de Dades (AEPD) i publicades en el BOE el 27 de juny de 2026, conforme a l'article 76.4 de la LOPDGDD. Les infraccions detectades apunten a dos fallos recurrents en qualsevol organització que tracti dades: absència de base legal i mesures de seguretat insuficients.

Aquestes resolucions no són un avís aïllat. Són el senyal més clar fins a la data que l'AEPD aplica el règim sancionador del RGPD amb tota la seva contundència, fins i tot davant de grans corporacions amb departaments legals propis.

14.400.000€
Multa a Amadeus IT Group (arts. 6 i 14 RGPD)
1.050.000€
Multa a Vodafone España (arts. 6.1 i 32 RGPD)
15.450.000€
Total sancions publicades en aquesta resolució

Què estableix aquesta normativa?

La resolució publica, amb noms i quanties, les sancions superiors a un milió d'euros imposades a persones jurídiques, tal com obliga l'article 76.4 de la LOPDGDD. El desglossament d'infraccions és el següent:

EmpresaArticle RGPD vulneratDescripció de la infraccióImport
Vodafone EspañaArt. 6.1 RGPDFalta de base legal per al tractament de dades (infracció 1)150.000€
Vodafone EspañaArt. 6.1 RGPDFalta de base legal per al tractament de dades (infracció 2)150.000€
Vodafone EspañaArt. 32 RGPDMesures de seguretat tècniques i organitzatives inadequades750.000€
Amadeus IT GroupArts. 6 i 14 RGPDFalta de base legitimadora del tractament i incompliment del deure d'informació14.400.000€

L'article 6 RGPD exigeix que tot tractament de dades personals tingui una base legal vàlida: consentiment, contracte, obligació legal, interès vital, missió d'interès públic o interès legítim. Tractar dades sense encaixar en cap d'aquestes categories és una infracció greu. L'article 14 RGPD obliga a informar als interessats quan les dades no s'obtenen directament d'ells. L'article 32 RGPD exigeix implementar mesures tècniques i organitzatives proporcionals al risc per garantir la seguretat de les dades.

Impacte econòmic i operatiu

La multa a Amadeus (14,4M€) és especialment rellevant perquè combina dues infraccions que solen anar de la mà en empreses tecnològiques que agreguen dades de tercers: tractar dades sense base legal i no informar adequadament als afectats. Aquest tipus de sanció doble pot multiplicar l'import final.

En el cas de Vodafone, el major pes recau sobre la infracció de seguretat (750.000€, el 71% de la seva multa total), la qual cosa evidencia que l'AEPD penalitza amb especial duresa els fallos en la protecció tècnica de les dades, no només els incompliments documentals.

Des d'una perspectiva operativa, aquestes sancions impliquen que les empreses han de tractar el compliment del RGPD com un cost de negoci recurrent, no com un projecte puntual. La inversió en auditories de base legal, registres d'activitats de tractament i mesures de seguretat és significativament inferior al cost d'una sola sanció d'aquest calibre.

A qui afecta?

  • Grans corporacions tecnològiques i de telecomunicacions que tracten volums massius de dades de clients o usuaris.
  • Empreses que agreguen o reutilitzen dades de terceres fonts sense verificar la base legal ni informar als interessats (risc art. 14 RGPD).
  • Qualsevol organització amb sistemes d'informació que no hagi revisat les seves mesures de seguretat tècniques i organitzatives conforme a l'article 32 RGPD.
  • Responsables i encarregats del tractament que no tinguin documentada la base legal de cada activitat de tractament en el seu Registre d'Activitats.
  • Departaments de compliance, legal i tecnologia que han de coordinar la revisió conjunta de legitimació i seguretat.
  • Assessors i consultors de protecció de dades que gestionen el compliment normatiu dels seus clients.

Exemple pràctic

Imagina una empresa de software de gestió hotelera que, per millorar el seu servei de recomanacions, incorpora dades de hostes obtingudes de plataformes de reserves de tercers. Si no verifica que aquestes dades tenen una base legal vàlida per al nou ús que els dona (art. 6 RGPD) i no informa als hostes que les seves dades estan sent tractades per una empresa distinta a la que se les va facilitar (art. 14 RGPD), està replicant exactament el patró d'infracció pel qual Amadeus IT Group ha estat sancionada amb 14.400.000€.

La mida de l'empresa influeix en la quantia, però no en la tipificació de la infracció. Una pime en la mateixa situació pot rebre una sanció proporcional a la seva facturació que, en termes relatius, resulti igual de devastadora.

Necessites fer seguiment d'aquesta i altres normatives?

Consulta el detall complet en CambiosLegales

Què han de fer les empreses ara?

  1. Auditar el Registre d'Activitats de Tractament: Revisa cada activitat i verifica que té assignada una base legal vàlida de l'article 6 RGPD. Si alguna activitat careix d'ella, detén el tractament o documenta la legitimació abans de continuar.
  2. Revisar els tractaments amb dades obtingudes de tercers: Si la teva empresa rep dades d'altres fonts (socis, proveïdors, plataformes), comprova que compleix amb el deure d'informació de l'article 14 RGPD i que existeix una base legal per a l'ús que fas d'aquestes dades.
  3. Avaluar les mesures de seguretat tècniques i organitzatives: Realitza o actualitza la teva anàlisi de riscos conforme a l'article 32 RGPD. Documenta les mesures implementades. La falta de documentació és tan sancionable com la falta de mesures.
  4. Revisar contractes amb encarregats del tractament: Assegura't que els acords d'encàrrec inclouen les clàusules de seguretat i responsabilitat exigides pel RGPD.
  5. Formar l'equip: Els fallos de base legal i seguretat solen originar-se en decisions operatives del dia a dia. La formació periòdica en protecció de dades redueix el risc d'infraccions involuntàries.

Preguntes freqüents

Per què la multa a Amadeus és tan superior a la de Vodafone?

Amadeus IT Group va ser sancionada amb 14.400.000€ per vulnerar simultàniament els articles 6 i 14 del RGPD: falta de base legitimadora del tractament i incompliment del deure d'informació. Vodafone va rebre 1.050.000€ per tres infraccions separades (dues de l'art. 6.1 i una de l'art. 32). La diferència de quantia reflecteix tant la gravetat de les infraccions d'Amadeus com el volum i abast del tractament de dades en cada cas.

Què és l'article 32 RGPD i per què Vodafone va ser multada per ell?

L'article 32 RGPD obliga als responsables del tractament a implementar mesures tècniques i organitzatives adequades per garantir un nivell de seguretat proporcional al risc. Vodafone va ser sancionada amb 750.000€ per tenir mesures de seguretat inadequades, la qual cosa representa el 71% de la seva multa total. Això inclou aspectes com xifrat, control d'accés, gestió d'incidents i avaluacions de risc.

Per què l'AEPD publica aquestes sancions en el BOE?

L'article 76.4 de la LOPDGDD obliga l'AEPD a publicar en el BOE les sancions superiors a un milió d'euros imposades a persones jurídiques. Aquesta publicació té efecte dissuasori i de transparència: qualsevol empresa o ciutadà pot consultar quines organitzacions han estat sancionades i per quin import.

Què passa si la meva empresa tracta dades sense base legal documentada?

Tractar dades sense una base legal vàlida de l'article 6 RGPD és una infracció greu que pot comportar multes de fins a 20.000.000€ o el 4% de la facturació global anual (la xifra que sigui major). Vodafone va ser sancionada amb 150.000€ per cadascuna de les seves dues infraccions de l'article 6.1. La quantia varia segons el volum de dades, el nombre d'afectats i la intencionalitat.

Quan entra en vigor aquesta resolució i què implica per a altres empreses?

La resolució va ser publicada i va entrar en vigor el 27 de juny de 2026. No imposa noves obligacions directes a terceres empreses, però reforça la interpretació de l'AEPD sobre els articles 6, 14 i 32 del RGPD. Qualsevol empresa que tracti dades personals ha de revisar el seu compliment a la llum d'aquests criteris per evitar sancions equivalents.

Font oficial

Consulta la normativa completa en font oficial

Avís: Aquest article té caràcter merament informatiu i no constitueix assessorament legal. Per a decisions específiques, consulta a un professional qualificat. Font: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2026-14010



Compartir:
E
Equipo Editorial CambiosLegales

El equipo editorial de CambiosLegales analiza diariamente los cambios normativos que afectan a empresas y autónomos en España, ofreciendo análisis pro...

Comentaris

No hi ha comentaris encara. Sigues el primer a comentar!

Deixa un comentari
Crear alerta gratuïta