Aquesta setmana us portem una nova multa rècord per infringir el RGPD. L’Agència Espanyola de Protecció de Dades (AEPD) ha sancionat a l’entitat Vodafone Espanya SAU amb 8,1 milions d’euros per infringir, amb les seves accions de màrqueting, el que s’estableix en el Reglament General de Protecció de Dades (RGPD), la Llei orgànica de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD), la Llei de Serveis de la Societat de la Informació i de Comerç Electrònic (LSSICE) i la Llei General de Telecomunicacions (LGT).

Recordem que, fins al moment, la multa més elevada imposada a Espanya per infringir el RGPD era la multa de 6M d’euros imposada a CaixaBank, sobre la que parlàvem en una de les nostres entrades del passat mes de gener.

Origen de la sanció i actuacions de recerca

Entre el segon trimestre del 2018 i el mes de febrer de 2020 l’AEPD va rebre fins a 191 reclamacions contra l’entitat Vodafone Espanya SAU (d’ara endavant, Vodafone).  En aquestes reclamacions es denunciava que les accions de màrqueting i prospecció comercial dutes a terme per Vodafone s’estaven realitzant:

– Sense haver estat sol·licitades o expressament autoritzades per l’interessat.

– Sense facilitar la possibilitat d’exercir el dret d’oposició.

– Sense respectar el dret d’oposició exercit pels interessats inclosos en el llistat Robinson.

– En alguns casos, mitjançant tercers i sense oferir als interessats els mitjans necessaris, suficients i apropiats que li garanteixin la protecció dels seus drets i llibertats.

El 26 de febrer de 2019 l’AEPD va iniciar les actuacions de recerca amb l’objectiu de determinar si les accions de màrqueting que estava duent a terme Vodafone podien ser contràries al que s’estableix en la normativa de protecció de dades (RGPD, LOPDGGD), la LGT i la LSSICE. Per a això, es van centrar en donar resposta a les següents qüestions:

– Quin és l’origen de les dades tractades?

– Quin és el tractament posterior d’aquestes dades i quina és la relació amb els encarregats del tractament?

– Es realitza una comprovació prèvia de les llistes d’exclusió publicitàries internes o generals (llistat Robinson intern i Genera de Adigital)?

– Com es gestionen els drets d’oposició i supressió dels interessats?

– Quines són les mesures tècniques i organitzatives implementades? Quin és el seu grau de compliment?

Inici del procediment sancionador

Una vegada finalitzades les actuacions de recerca, en data 26 de febrer de 2020, la Directora de l’Agència Espanyola de Protecció de Dades va acordar iniciar procediment sancionador contra Vodafone per la presumpta infracció de l’article 28 del RGPD en relació amb l’article 24 del mateix text legal, per la presumpta infracció de l’article 21 de la LSSSICE i per la presumpta infracció de l’article 48.1.b) de la LGT. Això és:

  • Per no complir amb les obligacions que li són exigibles per la seva condició de responsable dels tractaments duts a terme en el seu nom (Art. 24 i 28 del RGPD).
  • Per enviar comunicacions publicitàries o promocionals per correu electrònic, SMS o altres mitjans electrònics equivalents, sense haver estat sol·licitades o expressament autoritzades pels destinataris (Art. 21 de la LSSICE).
  • Per no respectar el dret d’oposició, de les persones amb les quals contacta mitjançant flama telefònica, a rebre anomenades no desitjades amb finalitats comercials (Art 48.1.b. de la LGT).

Després d’haver donat cabuda a tots els tràmits oportuns, en data 22 de desembre de 2020, la Directora de l’Agència Espanyola de Protecció de Dades va formular proposta de resolució sancionadora contra Vodafone per:

  • Infracció de l’article 28 del RGPD en relació amb l’article 24 del RGPD tipificada conforme l’article 83.4 del RGPD amb sanció administrativa de quantia quatre milions d’euros (4.000.000 €).
  • Infracció de l’article 44 del RGPD tipificada conforme l’article 83.5.c) del RGPD, amb sanció administrativa de quantia dos milions d’euros (2.000.000 €).
  • Infracció de l’article 21 de la LSSICE, tipificada com a greu en l’article 38.3.d) i c) d’aquesta norma amb sanció de quantia cent cinquanta mil euros (150.000 €).
  • Infracció de l’article 48.1.b) de la LGT, en relació amb l’article 21 del RGPD, tipificada com a greu en l’article 77.37 de la LGT i per infracció de l’article 48.1.b) de la LGT, en relació amb l’article 23 de la LOPDGDD, tipificada com a greu en l’article 77.37 de la LGT, amb sanció de dos milions d’euros (2.000.000€).

Podem veure que la proposta de resolució afegeix una infracció més a les previstes inicialment en l’acord d’inici del procediment sancionador. Concretament, la infracció de l’article 44 del RGPD per haver realitzat transferències internacionals de dades personals sense les garanties exigides en el RGPD.

Resolució del procediment sancionador i motiu de la sanció

Finalment, la resolució del procediment sancionador (PS-00059/2020) imposa a l’entitat Vodafone les següents sancions administratives;

1. IMPOSAR a VODAFONE ESPAÑA, S.A.O., amb NIF A80907397, per una infracció de l’Article 28 del RGPDen relació amb l’article 24 del RGPD, tipificada conforme l’article 83.4.a) del RGPDamb sanció administrativa de quantia quatre milions d’euros (4.000.000 €).

Motiu de la sanció: No complir amb les obligacions que li són exigibles per la seva condició de responsable dels tractaments duts a terme en el seu nom (Art. 24 i 28 del RGPD). Al no haver actuat de manera clara, activa i eficaç a estipular i fer efectives les especificacions oportunes per a dur a terme adequadament en el temps el tractament encomanat en el seu nom i al no haver realitzat un seguiment continu dels tractaments encarregats i subencargados per altres entitats en el seu nom. Tot això, malgrat les nombroses reclamacions i recerques dutes a terme per l’AEPD de les quals Vodafone tenia coneixement i malgrat tractar-se d’una conducta sancionada prèviament en el PS/00290/2018.

2. IMPOSAR a VODAFONE ESPAÑA, S.A.O., amb NIF A80907397, per infracció de l’article 44 del RGPD tipificada conforme l’article 83.5.c) del RGPD, amb sanció administrativa de quantia dos milions d’euros (2.000.000 €).

Motiu de la sanció: Realitzar una transferència internacional de dades a un tercer país (el Perú) sense aplicar les mesures o garanties adequades que exigeix el RGPD.

3. IMPOSAR a VODAFONE ESPAÑA, S.A.O., amb NIF A80907397, per infracció de l’article 21 de la LSSICE, tipificada com a greu en l’article 38.3.d) i c) d’aquesta norma amb sanció de quantia cent cinquanta mil euros (150.000 €).

Motiu de la sanció: Realitzar comunicacions comercials a través de SMS o email sense l’autorització expressa dels destinataris o sense que aquests les hagin sol·licitat, i sense oferir als destinataris la possibilitat eficaç i comprovada d’oposar-se al tractament. Asismismo, l’AEPD remarca que l’enviament d’accions comercials a numeracions i adreces generades aleatòriament impedeix verificar l’existència d’autorització prèvia i expressa o, en defecte d’això, l’existència d’una relació comercial prèvia de serveis similars.

4. IMPOSAR a VODAFONE ESPAÑA, S.A.O., amb NIF A80907397, per infracció de l’article 48.1.b) de la LGT, en relació amb l’article 21 del RGPDi article 23 de la LOPDGDD, tipificada com a greu en l’article 77.37 de la LGTamb sanció de quantia dos milions d’euros (2.000.000 €).

Motiu de la sanció: No garantir el compliment del dret d’oposició a no rebre anomenades comercials dels usuaris finals amb els quals contacta. Fet que constitueix una vulneració greu dels drets dels consumidors i usuaris finals.

5. ORDENAR a VODAFONE ESPAÑA, S.A.O., amb NIF A80907397, perquè, en el termini de sis mesos a comptar des de la notificació de la present Resolució, acrediti davant aquesta AEPD que ha ajustat al que es disposa en el RGPDi LOPDGDDtotes les operacions de tractament analitzats en el present procediment referits els articles 17, 21, 24, 28 i 44 a 49 del RGPD i 12, 15, 18, 23, 40 a 43 de la LOPDGDD.

La suma de les anteriors sancions administratives ascendeix fins als 8,1 milions d’euros batent així el rècord de multa més elevada imposada a Espanya per infringir el RGPD. No obstant això, a nivell europeu, aquesta multa perd la condició de rècord i se situa en la dotzena posició del rànquing de multes mes elevades per infringir el RGPD.

Per  saber més sobre com has de sol·licitar el consentiment dels teus usuaris per al tractament de les seves dades personals, et recomanem que llegeixis la nostra entrada sobre Com haig de configurar les cookies del meu web per evitar ser sancionat? en la qual expliquem com ha de sol·licitar-se el consentiment perquè l’interessat pugui prestar-lo de manera lliure i informada i com exposar la informació per capes.

Si t’ha agradat aquesta entrada, pots consultar entrades anteriors en nostre el nostre Blog o seguir-nos  LinkedInFacebook Twitter.per estar sempre assabentat de les novetats en matèria de protecció de dades personals.

Si necessites assessorament en matèria de protecció de dades, des de Qualgest podem ajudar-te. Contacta amb nosaltres i t’oferirem una solució a mesura perquè compleixis amb totes les obligacions exigides en la normativa de protecció de dades.