La Agencia Española de Protección de Datos, tras un periodo de transición, está adoptando un enfoque regulatorio mucho más estricto respecto al cumplimiento de la normativa de protección de datos. Siguiendo la senda de anteriores multas millonarias -con los 6 millones de euros a Caixabank o los 5 millones a BBVA-, esta vez la sanción ha recaído en Vodafone.
El pasado 11 de marzo, la Agencia Española de Protección de Datos (AEPD) hizo pública la multa de 8,15 millones de euros impuesta a Vodafone España por la comisión de varias infracciones en materia de protección de datos, lo que supone la sanción más elevada impuesta por el organismo hasta la fecha.
Si en las sanciones anteriores la AEPD hizo hincapié en la necesidad de transparencia y claridad en las políticas de privacidad, en este caso se centra en los derechos de los interesados y la utilización de encargados del tratamiento en las acciones de marketing directo mediante llamadas, mensajes SMS y correos electrónicos.
En concreto, la AEPD sanciona a Vodafone por incumplir lo establecido en el Reglamento General de Protección de Datos; la Ley de Protección de Datos Personales y garantía de los derechos digitales; la ley General de Telecomunicaciones; y la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico.
Protección de datos en las acciones de marketing
El procedimiento sancionador se inició a raíz de la recepción en la AEPD de múltiples reclamaciones frente a Vodafone. En concreto, desde 2018, la AEPD recibió un total de 191 reclamaciones por diferentes incumplimientos de la normativa de protección de datos, en su mayoría relacionados con acciones de marketing y prospección comercial realizadas en nombre y por cuenta de Vodafone. Este dato, como veremos después, tiene su relevancia.
Las sanciones impuestas por la AEPD, hasta alcanzar la citada cifra de 8.150.000 euros, se fundamentan en las siguientes infracciones:
- Una multa de 4 millones de euros por falta de control real, continuo, permanente y auditado de los encargados del tratamiento (infracción del artículo 28 del RGPD en relación con el artículo 24 del RGPD).
En este sentido, se establece que Vodafone, como responsable del tratamiento, no cumplió con la obligación de exigir a aquellas entidades con las que contrataba la realización de llamadas comerciales (y que actuaban, así, como encargados del tratamiento), las garantías técnicas y organizativas necesarias para el cumplimiento de las obligaciones establecidas por la normativa.
Se considera que no hay un control real, sino meramente formal, basado en obligaciones contractuales y simples comunicaciones informativas. Igualmente, se sanciona que no haya autorizaciones específicas y controles sobre las entidades subcontratadas.
En este punto, además, hay una novedad importante. Con la normativa anterior, los anunciantes se liberaban de exigencias en tanto que no establecieran criterios para identificar a los destinatarios de las acciones comerciales. Así, si la agencia o call center usaba bases de datos propias, esa actuación podía estar fuera del ámbito de responsabilidad del anunciante.
Ahora, incluso en esos casos, el hecho de que la agencia o call center esté sujeta a las instrucciones y que las campañas sean realizadas en nombre del anunciante hace que este sea considerado el responsable del tratamiento y aquellos los encargados del tratamiento.
La AEPD entiende que, en esos casos, las agencias y call centers no tienen un interés propio, más allá de la compensación económica por el servicio prestado, y que actúan por cuenta del anunciante. Por tanto, incluso cuando usen bases de datos propias, el anunciante debe asumir obligaciones de control y auditoría de los tratamientos que realicen las agencias y call centers.
La conclusión que se deriva de esta sanción es la necesidad de efectuar un procedimiento de selección y control continuo del cumplimiento de la normativa por parte de estos proveedores. No es suficiente un mero test antes de la contratación con respuestas sí/no: se deben realizar también auditorías continuas durante la vigencia del contrato para asegurar que se mantienen las garantías y requisitos exigidos por la normativa.
- Una multa de 2 millones de euros por incumplimientos en las transferencias internacionales de datos (infracción del artículo 44 del RGPD).
En este caso, la AEPD establece que Vodafone conocía que se realizaban transferencias internacionales de datos a un tercer país (Perú), sin cumplir con las garantías exigidas en el RGPD.
- Una multa de 150.000 euros por realizar comunicaciones comerciales sin consentimiento de los destinatarios y sin ofrecer a estos la posibilidad de oponerse a dicho tratamiento (infracción del artículo 21 de la LSSI).
- Una multa de 2 millones de euros por no atender el ejercicio de derechos (infracción del artículo 48.1.b) de la LGT, en relación con el artículo 21 del RGPD y el artículo 23 LOPDGDD).
Se sanciona que tanto la compañía como sus encargados de tratamiento realizaban una atención insuficiente y extemporánea de las solicitudes de oposición recibidas de los interesados y no excluían de sus llamadas comerciales aquellos números que estaban incluidos en sistemas de exclusión publicitaria (en concreto, en la Lista Robinson).
Circunstancias tomadas en cuenta para la sanción
A la hora de graduar la sanción, la AEPD ha tenido en cuenta una serie de circunstancias. Por un lado, la gran cantidad de acciones de marketing realizadas por Vodafone mediante llamadas telefónicas (unos 200 millones de acciones comerciales, según recoge la AEPD en su resolución), lo cual ha supuesto para Vodafone un gran aumento del número de sus usuarios con el consiguiente beneficio económico.
Asimismo, el elevado número de reclamaciones recibidas en la AEPD frente a la compañía desde 2018 (un total de 191 reclamaciones).
La AEPD también ha considerado el volumen de sanciones previas impuestas a Vodafone por las mismas actuaciones en los meses anteriores. Todas estas circunstancias han sido tenidas en cuenta como agravantes por la AEPD a la hora de graduar el importe de la multa.
Además de la sanción económica, y como ocurrió en los casos antes mencionados, la AEPD ha otorgado a Vodafone un plazo de seis meses, desde la notificación de la resolución, para regularizar estos incumplimientos y acreditar ante dicho organismo que la compañía ha ajustado a lo dispuesto en la normativa en materia de protección de datos todas las operaciones de tratamiento de datos que lleve a cabo.
Vodafone se ha mostrado disconforme con el contenido de dicha resolución, ya que considera que la cuantía de la sanción impuesta por la AEPD es desproporcionada, y ya ha anunciado su intención de recurrirla.
Diego Gutiérrez | Socio
María Vicedo | Abogada
Comentarios recientes