En España, las sanciones por incumplimiento de las normas de protección de datos están reguladas por el Reglamento General de Protección de Datos (RGPD) y la Ley de Protección de Datos española (LOPDGDD). La multa máxima que puede imponerse es de hasta el 4 % de los ingresos anuales globales de una empresa o 20 millones de euros, la cantidad que sea mayor. El importe concreto de la sanción dependerá de la gravedad de la infracción, del tipo de datos de que se trate y de si la empresa tomó medidas para mitigar el daño causado por la brecha. A la hora de determinar la sanción también se tendrán en cuenta factores como el tamaño de la empresa, el número de personas afectadas por la violación y el tiempo durante el cual no se detectó la violación.
En 2020, la Agencia Española de Protección de Datos multó con 30.000 euros a la filial española de una de las mayores empresas de clasificados online, por infringir la normativa sobre consentimiento de cookies. La Agencia descubrió que el banner de cookies de esta compañía no informó adecuadamente a los usuarios sobre el uso de cookies en su sitio web, y que no proporcionaba a los usuarios las herramientas necesarias para controlar el uso de cookies. Se descubrió que la empresa no había obtenido el consentimiento válido de sus usuarios para el uso de cookies, lo que constituye una vulneración de las leyes de protección de datos. Esta sanción sirve de recordatorio de que las empresas deben ser transparentes sobre su uso de cookies y deben obtener el consentimiento válido de sus usuarios de conformidad con la normativa de protección de datos.
Otro ejemplo de sanción por un banner de cookies no conforme es la sanción impuesta a una de las mayores empresas de telecomunicaciones de España, por la Agencia Española de Protección de Datos en 2019. La Agencia Española de Protección de Datos multó a esta compañía con 600.000 euros por no tener un banner de cookies que funcionara correctamente y por no obtener el consentimiento claro e informado de los usuarios para el uso de cookies. La Agencia Española de Protección de Datos determinó que el banner de cookies de esta compañía no informó adecuadamente a los usuarios sobre el tipo de cookies que se utilizaban, su finalidad y el hecho de que los usuarios podían revocar su consentimiento en cualquier momento.
Las pequeñas empresas también pueden ser sancionadas por banners de cookies no conformes, ya que la normativa de privacidad se aplica a todas las empresas independientemente de su tamaño. Un ejemplo de sanción a una pequeña empresa por un banner de cookies no conforme es la sanción de 30.000 euros impuesta en 2021 por la Agencia Española de Protección de Datos a un pequeño minorista español de moda en línea. La AEPD determinó que el banner de cookies de la empresa no proporcionaba a los usuarios información suficiente sobre el uso de cookies y no solicitaba un consentimiento claro e informado. La AEPD concluyó que la empresa no había cumplido sus obligaciones en virtud del Reglamento General de Protección de Datos e impuso la sanción. Esto sirve como recordatorio de que todas las compañías, independientemente de su tamaño, deben tomarse en serio la privacidad y la protección de datos y asegurarse de que cumplen con la normativa que les es aplicable.