Guía práctica · RGPD
Sanciones por no anonimizar documentos: 4 casos reales de la AEPD
Publicar un documento sin anonimizar correctamente puede provocar la retirada inmediata de la información, la apertura de un procedimiento ante la Agencia Española de Protección de Datos (AEPD), la imposición de medidas correctoras y, en determinados casos, una multa económica.
El riesgo no aparece únicamente al subir archivos a una página web. También puede producirse al colocar documentación en un tablón de anuncios, enviar un archivo adjunto por correo electrónico, responder a una solicitud de acceso a la información o reutilizar una sentencia sin revisar todos sus identificadores.
Los siguientes casos son reales y permiten entender por qué la anonimización debe formar parte del proceso habitual de publicación y comunicación de documentos.
¿Todas las sanciones por no anonimizar terminan en una multa?
No. Las consecuencias dependen del tipo de entidad, la naturaleza de los datos, el número de personas afectadas, el alcance de la difusión y las medidas adoptadas después del incidente.
Una empresa privada puede recibir una multa económica. En el caso de las Administraciones públicas comprendidas en el artículo 77 de la Ley Orgánica 3/2018, la autoridad de protección de datos declara la infracción y puede imponer medidas para que cese la conducta o se corrijan sus efectos. La resolución puede hacerse pública y generar obligaciones internas, organizativas y disciplinarias.
Caso 1: multa de 15.000 euros por publicar datos de trabajadores
La empresa Dimagaza publicó en un tablón de anuncios el acta final de un procedimiento de despido colectivo y su anexo. La documentación mostraba datos como nombres y apellidos, DNI, fechas de nacimiento, números de afiliación a la Seguridad Social, puestos, antigüedad y centros de trabajo.
La AEPD consideró que no se habían aplicado medidas técnicas y organizativas adecuadas para proteger la confidencialidad de la información. La resolución impuso una multa de 15.000 euros por vulnerar el artículo 32 del RGPD. La memoria anual de la Agencia identifica a 43 trabajadores afectados.
Fuente oficial: Resolución PS/00447/2023 de la AEPD.
Fuente oficial: Memoria de la AEPD 2024.
Caso 2: un ayuntamiento publicó las deudas tributarias de un vecino
El Ayuntamiento de Los Alcázares publicó en abierto un acta de Pleno que incluía el nombre y los apellidos de un vecino, su solicitud de fraccionamiento de impuestos impagados y las cantidades adeudadas.
La AEPD concluyó que esos datos eran excesivos para la finalidad de informar sobre la actividad municipal. El Ayuntamiento tuvo que retirar el acta íntegra, publicar un extracto y establecer como criterio general la anonimización de los datos personales incluidos en actas, acuerdos y resoluciones.
Fuente oficial: Expediente E/01062/2016 de la AEPD.
Caso 3: una sentencia publicada con el DNI visible
Una revista jurídica digital publicó una sentencia en Internet sin anonimizar el DNI de una de las personas mencionadas. El identificador podía localizarse mediante una búsqueda en Google.
La AEPD apreció una infracción de la normativa entonces vigente y dirigió un apercibimiento a la empresa. La entidad había sustituido el dato, solicitado su retirada de los buscadores y adoptado medidas correctoras, pero esas actuaciones posteriores no hicieron desaparecer el incumplimiento ya producido.
Fuente oficial: Resolución A/00040/2011 de la AEPD.
Caso 4: datos de salud enviados por correo electrónico sin anonimizar
Un delegado de la Unión Sindical Obrera de la Comunidad Valenciana remitió por correo electrónico documentación utilizada en el Comité de Seguridad y Salud Laboral de la Diputación de Castellón. El archivo contenía datos personales de trabajadores e información relacionada con exámenes y protocolos de salud, sin anonimizar.
La AEPD consideró que la difusión afectaba a categorías especiales de datos y dirigió un apercibimiento al sindicato por vulnerar el artículo 9 del RGPD.
Fuente oficial: Resolución PA/00041/2025 de la AEPD.
Qué enseñan estos cuatro casos
Los documentos respondían a finalidades legítimas: informar sobre un procedimiento laboral, publicar la actividad de un Pleno, divulgar una resolución jurídica o comunicar documentación a trabajadores. El problema fue utilizar una versión que contenía más datos personales de los necesarios o que se puso a disposición de destinatarios no autorizados.
- La versión íntegra de un expediente no debe convertirse automáticamente en la versión pública.
- Los anexos, tablas y archivos adjuntos requieren la misma revisión que el documento principal.
- Eliminar únicamente el nombre puede ser insuficiente si el resto de los datos permite identificar a la persona.
- La retirada posterior reduce el impacto, pero no borra necesariamente la infracción.
- La organización debe poder acreditar quién revisó el documento y qué versión fue finalmente publicada.
Cómo reducir el riesgo antes de publicar
- Definir la finalidad de la publicación y sus destinatarios.
- Detectar identificadores directos e indirectos en todo el archivo.
- Generar una copia específica para publicación o entrega.
- Revisar el resultado final, incluidos anexos, firmas, códigos QR y metadatos visibles.
- Registrar la validación y conservar trazabilidad del proceso.
Preguntas frecuentes
¿Cuál es la multa por publicar un documento sin anonimizar?
Depende del caso. Las sanciones del RGPD pueden alcanzar cuantías muy elevadas, pero en la práctica dependen del tipo de datos, el número de afectados y las medidas adoptadas por la organización. En Administraciones públicas no hay multa económica, pero sí declaración de infracción y medidas correctoras.
¿Solo hay que anonimizar documentos publicados en Internet?
No. También debe revisarse la documentación enviada por correo, expuesta en tablones, compartida con terceros o entregada al responder solicitudes de acceso.
Cómo ayuda anonimIA
anonimIA detecta y oculta datos personales en documentos antes de su publicación o entrega, con trazabilidad completa del proceso. Solicita una demostración y comprueba cómo incorporar la anonimización al flujo habitual de tu organización.
¿Anonimizas documentos a diario?
Deja de tachar a mano. Automatízalo con anonimIA.
Sube tus PDFs y obtén documentos anonimizados conforme al RGPD en segundos.
Probar gratis