Esta semana os traemos una nueva multa récord por infringir el RGPD. La Agencia Española de Protección de Datos (AEPD) ha sancionado a la entidad Vodafone España SAU con 8,1 millones de euros por infringir con sus acciones de mercadotecnia lo establecido en el Reglamento General de Protección de Datos (RGPD), la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE) y la Ley General de Telecomunicaciones (LGT).

Recordemos que, hasta el momento, la multa más elevada impuesta en España por infringir el RGPD era la multa de 6M de euros impuesta a Caixabank, sobre la que hablábamos el pasado mes de enero en otra de nuestras entradas.

Origen de la sanción y actuaciones de investigación

Entre el segundo trimestre del 2018 y el mes de febrero de 2020 la AEPD recibió hasta 191 reclamaciones contra la entidad Vodafone España SAU (en adelante, Vodafone).  En estas reclamaciones se denunciaba que las acciones de mercadotecnia y prospección comercial llevadas a cabo por Vodafone se estaban realizando:

– Sin haber sido solicitadas o expresamente autorizadas por el interesado.

– Sin facilitar la posibilidad de ejercer el derecho de oposición.

– Sin respetar el derecho de oposición ejercido por los interesados incluidos en el listado Robinson.

– En algunos casos, mediante terceros y sin ofrecer a los interesados los medios necesarios, suficientes y apropiados que le garanticen la protección de sus derechos y libertades.

El 26 de febrero de 2019 la AEPD inició las actuaciones de investigación con el objetivo de determinar si las acciones de mercadotecnia que estaba llevando a cabo Vodafone podían ser contrarias a lo establecido en la normativa de protección de datos (RGPD, LOPDGGD), la LGT y la LSSICE. Para ello, se centraron en dar respuesta a las siguientes cuestiones:

– ¿Cuál es el origen de los datos tratados?

– ¿Cuál es el tratamiento posterior de estos datos y cuál es la relación con los encargados del tratamiento?

– ¿Se realiza una comprobación previa de las listas de exclusión publicitarias internas o generales (listado Robinson interno y Genera de Adigital)?

– ¿Cómo se gestionan los derechos de oposición y supresión de los interesados?

– ¿Cuáles son las medidas técnicas y organizativas implementadas? ¿Cuál es su grado de cumplimiento?

Inicio del procedimiento sancionador

Una vez finalizadas las actuaciones de investigación, en fecha 26 de febrero de 2020, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador contra Vodafone por la presunta infracción del artículo 28 del RGPD en relación con el artículo 24 del mismo texto legal, por la presunta infracción del artículo 21 de la LSSSICE y por la presunta infracción del artículo 48.1.b) de la LGT. Esto es:

  • Por no cumplir con las obligaciones que le son exigibles por su condición de responsable de los tratamientos llevados a cabo en su nombre (Art. 24 y 28 del RGPD).
  • Por enviar comunicaciones publicitarias o promocionales por correo electrónico, SMS u otros medios electrónicos equivalentes, sin haber sido solicitadas o expresamente autorizadas por los destinatarios (Art. 21 de la LSSICE).
  • Por no respetar el derecho de oposición, de las personas con las que contacta mediante llama telefónica, a recibir llamadas no deseadas con fines comerciales (Art 48.1.b. de la LGT).

Tras haber dado cauce a todos los trámites oportunos, en fecha 22 de diciembre de 2020, la Directora de la Agencia Española de Protección de Datos formuló propuesta de resolución sancionadora contra Vodafone por:

  • Infracción del artículo 28 del RGPD en relación con el artículo 24 del RGPD tipificada conforme el artículo 83.4 del RGPD con sanción administrativa de cuantía cuatro millones de euros (4.000.000 €).
  • Infracción del artículo 44 del RGPD tipificada conforme el artículo 83.5.c) del RGPD, con sanción administrativa de cuantía dos millones de euros (2.000.000 €).
  • Infracción del artículo 21 de la LSSICE, tipificada como grave en el artículo 38.3.d) y c) de dicha norma con sanción de cuantía ciento cincuenta mil euros (150.000 €)
  • Infracción del artículo 48.1.b) de la LGT, en relación con el artículo 21 del RGPD, tipificada como grave en el artículo 77.37 de la LGT y por infracción del artículo 48.1.b) de la LGT, en relación con el artículo 23 de la LOPDGDD, tipificada como grave en el artículo 77.37 de la LGT, con sanción de dos millones de euros (2.000.000€).

Podemos ver que la propuesta de resolución añade una infracción más a las previstas inicialmente en el acuerdo de inicio del procedimiento sancionador. Concretamente, la infracción del artículo 44 del RGPD por haber realizado transferencias internacionales de datos personales sin las garantías exigidas en el RGPD.

Resolución del procedimiento sancionador y motivo de la sanción

Finalmente, la resolución del procedimiento sancionador (PS-00059/2020) impone a la entidad Vodafone las siguientes sanciones administrativas:

1. IMPONER a VODAFONE ESPAÑA, S.A.U., con NIF A80907397, por una infracción del Artículo 28 del RGPD en relación con el artículo 24 del RGPD, tipificada conforme el artículo 83.4.a) del RGPD con sanción administrativa de cuantía cuatro millones de euros (4.000.000 €).

Motivo de la sanción: No cumplir con las obligaciones que le son exigibles por su condición de responsable de los tratamientos llevados a cabo en su nombre (Art. 24 y 28 del RGPD). Al no haber actuado de forma clara, activa y eficaz en estipular y hacer efectivas las especificaciones oportunas para llevar a cabo adecuadamente en el tiempo el tratamiento encomendado en su nombre y al no haber realizado un seguimiento continuo de los tratamientos encargados y subencargados por otras entidades en su nombre. Todo ello, pese a las numerosas reclamaciones e investigaciones llevadas a cabo por la AEPD de las que Vodafone tenía conocimiento y pese a tratarse de una conducta sancionada previamente en el PS/00290/2018.

2. IMPONER a VODAFONE ESPAÑA, S.A.U., con NIF A80907397, por infracción del artículo 44 del RGPD tipificada conforme el artículo 83.5.c) del RGPD, con sanción administrativa de cuantía dos millones de euros (2.000.000 €).

Motivo de la sanción: Realizar una transferencia internacional de datos a un tercer país (Perú) sin aplicar las medidas o garantías adecuadas que exige el RGPD.

3. IMPONER a VODAFONE ESPAÑA, S.A.U., con NIF A80907397, por infracción del artículo 21 de la LSSICE, tipificada como grave en el artículo 38.3.d) y c) de dicha norma con sanción de cuantía ciento cincuenta mil euros (150.000 €).

Motivo de la sanción: Realizar comunicaciones comerciales a través de SMS o email sin la autorización expresa de los destinatarios o sin que estos las hayan solicitado, y sin ofrecer a los destinatarios la posibilidad eficaz y comprobada de oponerse al tratamiento. Asismismo, la AEPD remarca que el envío de acciones comerciales a numeraciones y direcciones generadas aleatoriamente impide verificar la existencia de autorización previa y expresa o, en su defecto, la existencia de una relación comercial previa de servicios similares.

4. IMPONER a VODAFONE ESPAÑA, S.A.U., con NIF A80907397, por infracción del artículo 48.1.b) de la LGT, en relación con el artículo 21 del RGPD y artículo 23 de la LOPDGDD, tipificada como grave en el artículo 77.37 de la LGT con sanción de cuantía dos millones de euros (2.000.000 €).

Motivo de la sanción: No garantizar el cumplimiento del derecho de oposición a no recibir llamadas comerciales de los usuarios finales con los que contacta. Hecho que constituye una vulneración grave de los derechos de los consumidores y usuarios finales.

5. ORDENAR a VODAFONE ESPAÑA, S.A.U., con NIF A80907397, para que, en el plazo de seis meses a contar desde la notificación de la presente Resolución, acredite ante esta AEPD que ha ajustado a lo dispuesto en el RGPD y LOPDGDD todas las operaciones de tratamiento analizados en el presente procedimiento referidos los artículos 17, 21, 24, 28 y 44 a 49 del RGPD y 12, 15, 18, 23, 40 a 43 de la LOPDGDD.

La suma de las anteriores sanciones administrativas asciende hasta los 8,1 millones de euros batiendo así el récord de multa más elevada impuesta en España por infringir el RGPD. No obstante, a nivel europeo, esta multa pierde la condición de récord y se sitúa en la duodécima posición del ranking de multas mas elevadas impuestas por infringir el RGPD.

Si te ha gustado esta entrada, puedes consultar entradas anteriores en nuestro nuestro Blog o seguirnos en LinkedIn, Facebook o Twitter para estar siempre enterado de las novedades en materia de protección de datos personales.

Para saber mas sobre cómo debes solicitar el consentimiento de tus usuarios para el tratamiento de sus datos personales, te recomendamos que leas nuestra entrada sobre ¿Cómo debo configurar las cookies de mi web para no ser sancionado? en la que explicamos como debe solicitarse el consentimiento para que el interesado pueda prestarlo de forma libre e informada y como exponer la información por capas.

Si necesitas asesoramiento en materia de protección de datos, desde Qualgest podemos ayudarte. Contacta con nosotros y te ofreceremos una solución a medida para que cumplas con todas las obligaciones exigidas en la normativa de protección de datos.