La DPA espagnole (AEPD) a infligé une amende à une agence. Le responsable du traitement avait jeté à la poubelle des documents contenant des données personnelles de ses clients. L'AEPD a considéré qu'il s'agissait d'un manque de mesures de sécurité et de protection des données au sens de l'art. 32 GDPR, qui stipule que "le responsable du traitement et le sous-traitant doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adéquat". L'amende initiale de 3 000 euros a été ramenée à 1 800 euros en raison d'un paiement volontaire et d'une reconnaissance de culpabilité.