El pasado viernes 12 de marzo se ha impuesto a VODAFONE una exorbitante multa de más de 8 MILLONES DE EUROS por la Agencia Española de Protección de Datos (AEPD).
Se trata de la sanción más alta hasta ahora impuesta por la AEPD a una empresa de telecomunicaciones, con una resolución extensísima de casi 100 páginas.
La AEPD ha confirmado haber recibido un total de 191 de reclamaciones desde el segundo trimestre de 2018, todas ellas dirigidas contra VODAFONE y sus entidades colaboradoras o asociadas.
Las reclamaciones están basadas en la práctica de comunicaciones electrónicas con fines de mercadotecnia, a usuarios a los que bien, no se les había atendido su derecho de oposición en la forma en que se desprende de la normativa de protección de datos. O bien, habían ejercido su derecho a oponerse a ser impactados publicitariamente a través de cauces como, por ejemplo, la inclusión en Listas Robinson (tanto internas de la compañía, como externas).
Asimismo, la AEPD alega haber solucionado varias de estas reclamaciones en el transcurso de los últimos años, con la esperanza de que VODAFONE abandonase su conducta infractora. Sin embargo, dada su persistencia, la AEPD decidió tomar cartas en el asunto a través de una profunda investigación cuyo fallo nos ha llegado el pasado viernes.
Las pesquisas de la AEPD le han llevado a la conclusión de que VODAFONE ha infringido varios preceptos de la Ley General de Telecomunicaciones (LGT), la Ley de Servicios de la Sociedad de la Información (LSSI) y especialmente la normativa de protección de datos, Reglamento Europeo y Ley Orgánica española inclusive.
VODAFONE ha sido condenada por la infracción de los siguientes preceptos:
- Multa de 4 millones: por la infracción del artículo 28, relativo al Encargado de Tratamiento, en relación con el 24 del RGPD, relativo al principio de responsabilidad Activa. Se considera a VODAFONE como responsable del tratamiento y no a sus colaboradores, puesto que VODAFONE es quién decide sobre los fines y medios del tratamiento, no perdiendo tal condición por el hecho de dejarles a éstos últimos cierto margen de actuación o por no tener acceso a las bases de datos del encargado. VODAFONE se encuentra por tanto obligada al control efectivo y continuado de medidas técnicas y organizativas apropiadas en sus encargados de tratamiento, a fin de garantizar y poder demostrar que el tratamiento es conforme al RGPD. Destaca no sólo la obligación de seleccionar y contratar a un encargado que ofrezca garantías suficientes de cumplimiento RGPD, si no que es necesario que dicha obligación no se agote en el momento de la selección y contratación, debiendo evaluar en todo momento durante la ejecución del contrato si las garantías (técnicas y organizativas) ofrecidas por el encargado son suficientes. Entre otras cuestiones el responsable del tratamiento debe tener en cuenta si el encargado del tratamiento aporta documentación adecuada que demuestre el cumplimiento del RGPD con políticas de protección de datos, las políticas de gestión de archivos, las políticas de seguridad de la información, informes de auditoría externa, las certificaciones, gestión de los ejercicios de derechos etc..
- Multa de 2 millones: por la infracción del artículo 44 del RGPD relativo a transferencias internacionales, por la transferencia de datos a Perú sin las medidas adecuadas exigidas por el RGPD.
- Multa de 150.000 euros: por la infracción del artículo 21 de la LSSI relativo a la prohibición del envío de comunicaciones comerciales electrónicas, por el envío de SMS y correos electrónicos sin la autorización expresa de los destinatarios, y sin que existiera la posibilidad de oposición. Dichas comunicaciones comerciales no garantizaron el cumplimiento del mencionado artículo 21 de la LSSI, al realizarse a numeraciones y direcciones generadas aleatoriamente, lo que impide verificar la existencia de autorización previa y expresa o, en su defecto, la existencia de una relación comercial previa de servicios similares.
- Multa de 2 millones de euros: por la omisión de los artículos 21 del RGPD relativo al derecho de oposición y al artículo 23 de la LOPDGDD relativo a la exclusión publicitaria, por no permitir el ejercicio de derecho de oposición y pasar el filtrado de listados de exclusión publicitaria.
La suma de las sanciones resulta en un total exacto de 8.150.000 euros.
Se trata de una cifra que ha batido récords en el ámbito de las sanciones a las compañías del sector, lo que demuestra la rigidez de la AEPD a la hora de sancionar cuando se incumple de forma reiterada la normativa de protección de datos.
Sanción que debe servir como ejemplo para que el resto de empresas del sector, tengan mucho más en cuenta la protección y privacidad de los datos de los consumidores y usuarios, debiendo recabar en todo caso los respectivos consentimientos para el envío de comunicación comercial electrónica y garantizar los filtrados de exclusión publicitaria. Además, deviene fundamental implantar procesos de evaluación continuada sobre los Encargados de tratamiento, no sirviendo realizar dicho proceso en la selección y evaluación de los mismos, siendo necesario exigir a los mismos que garanticen el cumplimiento con documentación adicional como Auditorías Externas de verificación del cumplimiento RGPD y documentación relativa a la implantación de Políticas de Protección de datos.
Víctor León de Prada