Multa de 50 millones a Google LLC por vulneración del Reglamento de Protección de Datos

La primera gran multa del RGPD: 50 millones de euros contra Google LLC

El 21 de enero de 2019, la Commission Nationale de l'Informatique et des Libertés (CNIL), la autoridad francesa de protección de datos, impuso a Google LLC una sanción de 50 millones de euros por vulneración del Reglamento General de Protección de Datos (RGPD). Fue la primera multa verdaderamente significativa desde la entrada en vigor del reglamento europeo el 25 de mayo de 2018, y marcó un antes y un después en la aplicación efectiva de la normativa de protección de datos en Europa.

La sanción no fue una sorpresa aislada. Dos organizaciones — None Of Your Business (NOYB), fundada por el activista austriaco Max Schrems, y La Quadrature du Net — habían presentado quejas formales ante la CNIL apenas unas horas después de la entrada en vigor del RGPD. Las denuncias señalaban que Google no cumplía con los principios fundamentales del reglamento en lo relativo a la transparencia informativa y la obtención de consentimiento válido para la personalización de anuncios.

Este caso no solo fue relevante por la cuantía de la multa — que en aquel momento era la más alta jamás impuesta bajo el RGPD —, sino porque sentó las bases interpretativas sobre cómo deben las grandes tecnológicas cumplir con la normativa europea de protección de datos. Para cualquier empresa que opere en el Espacio Económico Europeo (EEE), las conclusiones de esta resolución siguen siendo una referencia obligada. Si necesita asesoramiento sobre cumplimiento normativo, puede consultar nuestros artículos especializados o contactar con nuestro equipo.

Contexto: el RGPD y su impacto en las grandes tecnológicas

El Reglamento (UE) 2016/679, conocido como RGPD (o GDPR en inglés), sustituyó a la Directiva 95/46/CE y supuso un cambio de paradigma en la protección de datos personales. A diferencia de la directiva anterior, el RGPD es de aplicación directa en todos los Estados miembros, lo que significa que no necesita transposición nacional y establece un marco normativo uniforme en toda la Unión Europea.

Entre sus novedades más relevantes se encuentran:

• Principio de responsabilidad proactiva (accountability): Las empresas deben demostrar activamente que cumplen con la normativa, no basta con declarar que lo hacen.
• Consentimiento reforzado: El consentimiento debe ser libre, específico, informado e inequívoco. Las casillas premarcadas o el consentimiento implícito dejan de ser válidos.
• Derecho a la portabilidad de datos: Los usuarios pueden solicitar una copia de sus datos en formato estructurado y trasladarlos a otro proveedor.
• Sanciones disuasorias: Las multas pueden alcanzar los 20 millones de euros o el 4% de la facturación anual global, la cantidad que sea mayor.
• Ámbito territorial ampliado: El RGPD se aplica a cualquier organización que trate datos de residentes en la UE, independientemente de dónde tenga su sede.

Para las grandes tecnológicas estadounidenses — Google, Facebook (ahora Meta), Amazon, Apple, Microsoft —, el RGPD representaba un desafío sin precedentes. Sus modelos de negocio, basados en gran medida en la recopilación masiva de datos personales para publicidad segmentada, entraban en tensión directa con los principios del reglamento europeo.

¿Qué hizo Google mal? Desglose de las infracciones detectadas por la CNIL

La resolución de la CNIL (Deliberación SAN-2019-001 de 21 de enero de 2019) identificó dos grandes bloques de infracciones que detallamos a continuación.

1. Falta de transparencia e información insuficiente (artículos 12 y 13 del RGPD)

El artículo 12 del RGPD establece que el responsable del tratamiento debe proporcionar la información sobre el tratamiento de datos de forma concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo. El artículo 13 detalla la información específica que debe facilitarse cuando los datos se obtienen directamente del interesado: la identidad del responsable, la finalidad del tratamiento, la base jurídica, los destinatarios, los plazos de conservación y los derechos del usuario.

La CNIL constató que Google incumplía estos artículos de varias formas:

• Información dispersa y de difícil acceso: Para obtener una visión completa del tratamiento de sus datos, un usuario de Android debía navegar a través de múltiples documentos enlazados entre sí. La CNIL documentó que la información relevante estaba repartida en cinco o seis pasos de navegación, obligando al usuario a hacer clic en botones como «Más opciones», luego «Más información», y así sucesivamente. Esta estructura hacía prácticamente imposible que un usuario medio comprendiera qué datos se recogían y para qué.
• Información genérica e insuficiente: Las descripciones sobre los fines del tratamiento eran vagas. Google utilizaba fórmulas como «mejorar nuestros servicios» o «ofrecerle contenido personalizado» sin especificar concretamente qué operaciones de tratamiento se realizaban, qué datos se combinaban entre servicios (Search, YouTube, Gmail, Maps, Google Play) ni durante cuánto tiempo se conservaban.
• Ausencia de plazos de conservación concretos: El artículo 13.2.a) del RGPD exige informar sobre los plazos de conservación de los datos o, al menos, los criterios utilizados para determinarlos. Google se limitaba a indicar que los datos se conservaban «mientras sea necesario», una fórmula que la CNIL consideró inaceptable por su imprecisión.
• Falta de claridad sobre la base jurídica: Google no identificaba con claridad la base jurídica del tratamiento para cada finalidad específica, tal como exige el artículo 13.1.c) del RGPD. Esto impedía a los usuarios comprender bajo qué fundamento legal se procesaban sus datos.

La CNIL señaló que «la arquitectura general de la información elegida por Google no cumple con el Reglamento» y que las deficiencias informativas afectaban a un volumen masivo de usuarios dado el carácter ubicuo de los servicios de Google.

2. Consentimiento inválido para la personalización de anuncios (artículos 6 y 7 del RGPD)

El segundo bloque de infracciones se refería al consentimiento como base jurídica para el tratamiento de datos con fines de publicidad personalizada. Los artículos 6 y 7 del RGPD establecen requisitos estrictos para que el consentimiento sea válido:

• Artículo 6.1.a): El tratamiento solo es lícito si el interesado ha dado su consentimiento para uno o varios fines específicos.
• Artículo 7: El responsable debe poder demostrar que el interesado consintió, el consentimiento debe presentarse de forma claramente distinguible, y el interesado tiene derecho a retirarlo en cualquier momento con la misma facilidad con que lo otorgó.

La CNIL encontró tres problemas fundamentales con el consentimiento de Google:

• Consentimiento no específico: Durante la configuración de una cuenta de Google en un dispositivo Android, el usuario debía aceptar la política de privacidad y las condiciones de uso de forma global. No existía un consentimiento separado y específico para la personalización de anuncios. El usuario aceptaba «en bloque» múltiples finalidades de tratamiento, incluyendo la publicidad personalizada, sin poder consentir o rechazar cada una de forma independiente.
• Consentimiento no inequívoco: La opción de personalización de anuncios aparecía premarcada por defecto (opt-out en lugar de opt-in). El usuario tenía que realizar acciones adicionales — hacer clic en «Más opciones» y luego desactivar manualmente la casilla — para rechazar la publicidad personalizada. Esto contradice frontalmente el considerando 32 del RGPD, que establece que «el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento».
• Consentimiento no informado: Dado que la información sobre el tratamiento era insuficiente (como se detalló anteriormente), el consentimiento no podía considerarse informado. Un usuario que no comprende qué datos se recogen, cómo se combinan y para qué se utilizan, no puede prestar un consentimiento válido según el RGPD.

La cuestión jurisdiccional: ¿por qué la CNIL y no Irlanda?

Un aspecto jurídicamente relevante de este caso fue la cuestión de la competencia territorial. El RGPD establece un mecanismo de ventanilla única (one-stop-shop) en su artículo 56: cuando una empresa tiene un establecimiento principal en un Estado miembro, la autoridad de protección de datos de ese país actúa como autoridad de control principal para los tratamientos transfronterizos.

Google argumentó que su sede europea estaba en Irlanda (Google Ireland Limited) y que, por tanto, la CNIL no era competente. Sin embargo, la CNIL rechazó esta argumentación basándose en que, en el momento de los hechos, Google Ireland Limited no tenía poder de decisión efectivo sobre los tratamientos de datos de los usuarios europeos de Android. La sede irlandesa no participaba en las decisiones sobre los fines y medios del tratamiento vinculado a la creación de cuentas de Google en dispositivos Android, que era la operación de tratamiento en cuestión.

El Conseil d'État (el tribunal supremo administrativo francés) confirmó la competencia de la CNIL en junio de 2020, ratificando que Google LLC (la entidad estadounidense) era el verdadero responsable del tratamiento y que, al no tener un establecimiento principal en la UE con capacidad decisoria real, cualquier autoridad de protección de datos de un Estado miembro podía actuar.

Esta cuestión es especialmente relevante porque muchas multinacionales tecnológicas han establecido sus sedes europeas en Irlanda precisamente por la percepción de que la Data Protection Commission (DPC) irlandesa aplica criterios más laxos. El caso Google-CNIL demostró que esta estrategia tiene límites.

¿Por qué 50 millones de euros? Criterios de graduación de la sanción

La CNIL aplicó los criterios de graduación del artículo 83 del RGPD para determinar la cuantía de la sanción. Los factores que justificaron la multa de 50 millones de euros fueron:

• Gravedad de las infracciones: La CNIL consideró que las vulneraciones afectaban a los principios esenciales del RGPD (transparencia y consentimiento), no a aspectos secundarios o procedimentales.
• Número de afectados: Los servicios de Google tienen un alcance masivo. En Francia, Android es el sistema operativo móvil más utilizado, lo que implica que millones de usuarios se vieron afectados por las prácticas infractoras.
• Modelo de negocio: El tratamiento de datos para publicidad personalizada es central al modelo de negocio de Google, no una actividad accesoria. Google obtiene la mayor parte de sus ingresos de la publicidad, y la personalización basada en datos es lo que permite cobrar tarifas premium a los anunciantes.
• Carácter continuado: Las infracciones no eran puntuales sino estructurales y permanentes. Cada vez que un usuario configuraba un dispositivo Android, se reproducían las mismas prácticas infractoras.
• Intencionalidad: La CNIL señaló que la arquitectura de la información no era fruto de un descuido, sino de una decisión deliberada de diseño orientada a maximizar la obtención de datos y consentimientos.

Aunque 50 millones de euros pueda parecer una cifra elevada para la mayoría de las empresas, representaba menos del 0,04% de la facturación anual de Alphabet (la empresa matriz de Google), que en 2018 fue de aproximadamente 136.000 millones de dólares. Esto puso de manifiesto una de las limitaciones prácticas del régimen sancionador del RGPD: incluso la multa más alta impuesta hasta ese momento era una cantidad insignificante para las mayores tecnológicas del mundo.

Comparativa: las mayores multas del RGPD después de Google

La sanción a Google de 50 millones de euros fue solo el principio. En los años siguientes, las autoridades europeas de protección de datos han impuesto multas cada vez más elevadas, demostrando una tendencia hacia una aplicación más estricta del reglamento.

Como muestra la tabla, la multa a Google de 2019 ha sido ampliamente superada. La sanción récord la ostenta Meta Platforms con 1.200 millones de euros (mayo de 2023) por transferir datos de usuarios europeos a Estados Unidos sin garantías adecuadas tras la invalidación del Privacy Shield por el Tribunal de Justicia de la Unión Europea en la sentencia Schrems II (asunto C-311/18).

La multa de Amazon de 746 millones de euros (julio de 2021) merece mención especial por sus paralelismos con el caso Google: también se refería al tratamiento de datos personales para publicidad sin un consentimiento válido. Esto demuestra que el problema del consentimiento para publicidad personalizada es sistémico en la industria tecnológica, no un fallo aislado de Google.

¿Qué cambió después de la multa? El impacto en la industria

La sanción a Google tuvo un efecto dominó en toda la industria tecnológica y más allá. Estas fueron las principales consecuencias:

Cambios en Google

Google realizó modificaciones significativas en su proceso de creación de cuentas y en sus políticas de privacidad:

• Rediseño del flujo de consentimiento: Google introdujo pantallas de consentimiento separadas y más claras durante la configuración de dispositivos Android, permitiendo a los usuarios elegir de forma granular si desean o no la personalización de anuncios.
• Mayor accesibilidad de la información: La información sobre el tratamiento de datos se reestructuró para ser accesible desde un panel de control centralizado (Privacy Dashboard), reduciendo el número de clics necesarios.
• Plazos de conservación explícitos: Google comenzó a ofrecer opciones de eliminación automática de datos (3 meses, 18 meses, 36 meses) para el historial de actividad, ubicaciones y datos de YouTube.
• Opciones de opt-in: La personalización de anuncios dejó de estar activada por defecto en muchos contextos, requiriendo una acción afirmativa del usuario.

Impacto en otras empresas

La multa a Google envió un mensaje claro al resto de la industria:

• Revisión masiva de políticas de privacidad: Empresas de todos los tamaños revisaron y actualizaron sus políticas de privacidad para hacerlas más transparentes y accesibles.
• Inversión en compliance: Se produjo un aumento significativo en la contratación de Delegados de Protección de Datos (DPO) y equipos de cumplimiento normativo.
• Plataformas de gestión de consentimiento (CMP): La industria de las Consent Management Platforms experimentó un crecimiento exponencial. Herramientas como OneTrust, Cookiebot y TrustArc se convirtieron en estándar para gestionar el consentimiento de los usuarios.
• Diseño centrado en la privacidad (Privacy by Design): Las empresas empezaron a integrar la privacidad desde las fases de diseño de sus productos y servicios, tal como exige el artículo 25 del RGPD.
• Endurecimiento de la aplicación: Las autoridades de protección de datos de toda Europa se vieron legitimadas para imponer sanciones ambiciosas a grandes empresas, rompiendo la percepción de que el RGPD era «papel mojado».

El efecto en la publicidad digital

El sector de la publicidad programática fue uno de los más afectados. La multa aceleró varios cambios estructurales:

• El marco Transparency and Consent Framework (TCF) de IAB Europe se actualizó para mejorar la gestión del consentimiento.
• Google anunció en 2020 la eliminación progresiva de las cookies de terceros en Chrome (inicialmente prevista para 2022, pospuesta varias veces).
• Se aceleró la transición hacia modelos de publicidad basados en datos de primera parte (first-party data) y cohortes anónimas.
• La industria comenzó a explorar alternativas como el Privacy Sandbox de Google y los identificadores universales como Unified ID 2.0.

¿Puede mi empresa recibir una multa del RGPD?

Sí, cualquier empresa que trate datos personales de residentes en la UE puede ser sancionada por incumplir el RGPD, independientemente de su tamaño o ubicación geográfica. Aunque las multas multimillonarias acaparan los titulares, las autoridades de protección de datos también sancionan regularmente a pymes, autónomos, administraciones públicas e incluso comunidades de propietarios.

En España, la Agencia Española de Protección de Datos (AEPD) impone cientos de sanciones cada año. Algunos ejemplos de multas a empresas españolas incluyen:

• CaixaBank: 6 millones de euros (2021) por tratar datos sin consentimiento válido y deficiencias en la información al cliente.
• Vodafone España: 8,15 millones de euros (2021) por realizar llamadas comerciales sin consentimiento.
• EDP Energía: 1,5 millones de euros por dar de alta contratos sin consentimiento del titular.
• Glovo: 550.000 euros (2022) por deficiencias en la protección de datos de sus repartidores.

Las infracciones más comunes en pymes y autónomos

No hace falta ser una multinacional tecnológica para incumplir el RGPD. Las infracciones más habituales en empresas de menor tamaño son:

• Envío de comunicaciones comerciales sin consentimiento: Enviar newsletters, ofertas o promociones por email o SMS sin el consentimiento previo del destinatario.
• Cámaras de videovigilancia sin señalización: Instalar cámaras de seguridad sin los carteles informativos exigidos o grabando espacios públicos sin justificación.
• Ausencia de política de privacidad en la web: No incluir una política de privacidad completa o un aviso legal en el sitio web de la empresa.
• No atender derechos ARCO+: No responder o responder fuera de plazo a las solicitudes de acceso, rectificación, cancelación, oposición, portabilidad o limitación del tratamiento.
• Falta de contrato con encargados del tratamiento: No formalizar contratos con los proveedores que acceden a datos personales (gestorías, proveedores de hosting, herramientas de email marketing, etc.).
• No designar un DPO cuando es obligatorio: Determinadas organizaciones están obligadas a designar un Delegado de Protección de Datos y no hacerlo constituye una infracción.

Consejos prácticos para cumplir con el RGPD

Basándose en las lecciones del caso Google y en la práctica sancionadora de la AEPD, estas son las medidas esenciales que toda empresa debería implementar:

• Realizar un registro de actividades de tratamiento (artículo 30 del RGPD) que documente todos los tratamientos de datos personales que realiza su organización.
• Revisar las bases jurídicas de cada tratamiento y asegurarse de que dispone de consentimiento válido cuando sea necesario, o de otra base jurídica aplicable (interés legítimo, ejecución de contrato, obligación legal).
• Redactar políticas de privacidad claras y accesibles, evitando el lenguaje jurídico excesivamente técnico y asegurándose de que la información esté disponible en un número reducido de clics.
• Implementar mecanismos de consentimiento granular, permitiendo a los usuarios elegir para qué finalidades consienten el tratamiento de sus datos.
• Establecer procedimientos internos para atender las solicitudes de ejercicio de derechos dentro del plazo de un mes establecido por el RGPD.
• Firmar contratos de encargado del tratamiento con todos los proveedores que accedan a datos personales.
• Realizar evaluaciones de impacto (EIPD) cuando el tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas.
• Formar al personal en protección de datos, ya que la mayoría de las brechas de seguridad tienen un componente humano.

Si tiene dudas sobre el cumplimiento normativo de su empresa, le recomendamos consultar nuestros artículos sobre protección de datos o contactar con nuestro equipo de asesores para una evaluación personalizada.

Lecciones jurídicas del caso Google-CNIL

El caso Google-CNIL dejó varias enseñanzas fundamentales para la interpretación y aplicación del RGPD:

• La transparencia no es solo tener una política de privacidad: No basta con publicar un documento legal extenso. La información debe ser realmente accesible y comprensible para el usuario medio. Una política de privacidad que requiere cinco clics y la lectura de múltiples documentos interconectados no cumple el estándar de transparencia del RGPD.
• El consentimiento debe ser granular: No es válido obtener un consentimiento genérico que cubra múltiples finalidades de tratamiento. El usuario debe poder elegir individualmente para qué fines consiente el uso de sus datos.
• Las casillas premarcadas invalidan el consentimiento: Este principio, que ya había sido establecido por el Tribunal de Justicia de la UE en el asunto Planet49 (C-673/17), fue aplicado con contundencia por la CNIL. El consentimiento requiere una acción afirmativa clara.
• El establecimiento principal debe tener poder decisorio real: Establecer una sede en un país miembro de la UE no garantiza que esa sea la autoridad competente si la entidad no tiene poder de decisión efectivo sobre el tratamiento de datos.
• El tamaño de la empresa es un factor agravante: Las grandes empresas tecnológicas tienen más responsabilidad precisamente porque sus decisiones afectan a un número mayor de personas y porque disponen de más recursos para cumplir con la normativa.

El recurso de Google ante el Conseil d'État

Google no aceptó la sanción sin luchar. La compañía interpuso un recurso ante el Conseil d'État, el máximo tribunal administrativo francés, alegando principalmente dos cuestiones:

• Incompetencia de la CNIL: Google sostenía que la CNIL no era la autoridad competente, ya que Google Ireland Limited debería haber sido considerada como el establecimiento principal en la UE.
• Desproporcionalidad de la sanción: La compañía argumentaba que la multa era excesiva en relación con las infracciones cometidas.

En su sentencia de 19 de junio de 2020, el Conseil d'État desestimó el recurso y confirmó íntegramente la sanción de la CNIL. El tribunal ratificó que la CNIL era competente porque Google LLC (no Google Ireland) era el responsable del tratamiento de los datos vinculados a la creación de cuentas de Android, y que la cuantía de la multa era proporcionada dada la gravedad y la amplitud de las infracciones.

Preguntas frecuentes sobre la multa del RGPD a Google

¿Por qué la CNIL multó a Google con 50 millones de euros?

La CNIL multó a Google LLC con 50 millones de euros en enero de 2019 por dos infracciones principales del RGPD: falta de transparencia en la información proporcionada a los usuarios sobre el tratamiento de sus datos personales (artículos 12 y 13) y obtención de un consentimiento inválido para la personalización de anuncios publicitarios (artículos 6 y 7). La información estaba dispersa en múltiples documentos, era vaga e insuficiente, y el consentimiento para publicidad personalizada venía premarcado por defecto.

¿Es la multa de 50 millones a Google la más alta del RGPD?

No. Aunque fue la primera multa significativa bajo el RGPD y la más alta en el momento de su imposición (enero de 2019), ha sido ampliamente superada. La multa más elevada hasta la fecha es la de 1.200 millones de euros impuesta a Meta Platforms por la DPC irlandesa en mayo de 2023 por transferencias ilegales de datos a Estados Unidos. Amazon también recibió una multa de 746 millones de euros en 2021.

¿Qué artículos del RGPD infringió Google?

Google infringió los siguientes artículos del RGPD:

• Artículo 6: Licitud del tratamiento — el tratamiento de datos para publicidad personalizada carecía de una base jurídica válida.
• Artículo 7: Condiciones para el consentimiento — el consentimiento no cumplía los requisitos de ser libre, específico, informado e inequívoco.
• Artículo 12: Transparencia de la información — la información no se proporcionaba de forma concisa, transparente e inteligible.
• Artículo 13: Información que debe facilitarse cuando los datos se obtienen del interesado — faltaba información sobre plazos de conservación, base jurídica y finalidades específicas.

¿Se puede evitar una multa del RGPD?

Sí. La mejor forma de evitar una sanción es cumplir proactivamente con el RGPD. Esto implica mantener un registro de actividades de tratamiento actualizado, obtener consentimientos válidos, proporcionar información transparente, atender los derechos de los interesados en plazo, firmar contratos con encargados del tratamiento y realizar evaluaciones de impacto cuando sea necesario. Además, las autoridades de protección de datos suelen tener en cuenta la cooperación del infractor y las medidas correctivas adoptadas como atenuantes a la hora de fijar la sanción.

¿El RGPD se aplica a empresas fuera de la Unión Europea?

Sí. El RGPD tiene un ámbito de aplicación extraterritorial (artículo 3). Se aplica a cualquier organización, tenga o no su sede en la UE, que trate datos personales de personas que se encuentren en la Unión Europea cuando dicho tratamiento esté relacionado con la oferta de bienes o servicios a dichas personas o con el control de su comportamiento dentro de la UE. Precisamente por ello, la CNIL pudo sancionar a Google LLC, una empresa con sede en Estados Unidos.

¿Quién puede denunciar a una empresa ante la AEPD?

Cualquier persona física puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) si considera que una empresa ha vulnerado sus derechos de protección de datos. La reclamación puede presentarse por vía electrónica a través de la sede electrónica de la AEPD. También pueden denunciar las asociaciones de consumidores y las organizaciones sin ánimo de lucro que tengan entre sus fines la protección de datos personales, como fue el caso de NOYB y La Quadrature du Net en la denuncia contra Google.

¿Cuánto tarda la AEPD en resolver una reclamación?

Los procedimientos sancionadores de la AEPD suelen tener una duración de entre 6 y 18 meses, dependiendo de la complejidad del caso. El procedimiento incluye una fase de admisión, actuaciones previas de investigación, apertura del procedimiento sancionador, propuesta de resolución y resolución definitiva. En casos especialmente complejos o que requieran cooperación con otras autoridades europeas, el plazo puede ser mayor.

Conclusión: la multa a Google como punto de inflexión

La sanción de 50 millones de euros a Google LLC por la CNIL francesa no fue solo una multa: fue una declaración de intenciones. Demostró que las autoridades europeas de protección de datos estaban dispuestas a utilizar los mecanismos sancionadores del RGPD contra las mayores empresas tecnológicas del mundo, y que los principios de transparencia y consentimiento no eran meras formalidades.

Desde enero de 2019, las sanciones han escalado hasta cifras que habrían parecido inimaginables antes del RGPD. La multa de 1.200 millones de euros a Meta en 2023 multiplicó por veinticuatro la sanción a Google. Las autoridades de protección de datos han pasado de la cautela inicial a una aplicación cada vez más decidida del reglamento.

Para las empresas, la lección es clara: el cumplimiento del RGPD no es opcional ni puede limitarse a una declaración formal. Requiere una revisión continua de los procesos de tratamiento de datos, una información genuinamente transparente y un consentimiento que respete la autonomía del usuario. Las organizaciones que inviertan en cumplimiento normativo no solo evitarán sanciones, sino que construirán una relación de confianza con sus clientes basada en el respeto a sus derechos fundamentales.

En nuestro blog publicamos regularmente análisis sobre resoluciones de la AEPD y novedades en protección de datos. Si necesita asesoramiento personalizado, no dude en contactar con nosotros.