Consultores RGPD
Vaya al Contenido

Sanción de la AEPD a Vodafone: más de 8 millones de euros

Cumplimiento normativo online
Publicado de AmyPc en Noticias · 5 Abril 2021
SANCIÓN DE LA AEPD A VODAFONE: MÁS DE 8 MILLONES DE EUROS
Infracción RGPD VodafoneEl pasado 11/03/2021, la Agencia Española de Protección de Datos impuso a Vodafone España SAU la multa más alta registrada en España hasta la fecha por incumplimiento del RGPD y otras normativas: 8.150.000 euros, como puede comprobarse en el procedimiento sancionador de la AEPD (PS/00059/2020).

La sanción corresponde al volumen de la actividad comercial de mercadotecnia y prospección comercial realizada por Vodafone entre mayo de 2018 y marzo de 2019, habiendo registrado 200.000.000 llamadas, e-mails y SMS, que habrían generado hasta 162 reclamaciones presentadas y admitidas ante la AEPD.

La actividad comercial era llevada a cabo tanto por Vodafone de forma directa, como a través de una serie de agentes comerciales que la misma tenía contratados y que actuaban por cuenta y en nombre de Vodafone. Se da la circunstancia, además, de que varios de los agentes comerciales contratados por Vodafone, habían subcontratado a su vez su actividad comercial con otros agentes, algunos realizando transferencia de datos internacional.

INFRACCIONES
Según el Procedimiento de la AEPD, la actividad comercial de Vodafone vulneró las siguientes normativas:
 
  • Ley 34/2002 (ES) de servicios de la sociedad de la información y de comercio electrónico (LSSICE).
    • Infracción Artículo 21.1: por realizar comunicaciones comerciales a potenciales clientes sin autorización expresa para ello, utilizando números de teléfono y direcciones de correo electrónico aleatorios.
      • Sanción: 150.000 €.
  • Ley 9/2014 (ES) General de Telecomunicaciones (LGT).
    • Infracción Artículo 48.1b): por realizar acciones publicitarias de forma reiterada pese a que el interesado se había opuesto a dichas acciones y estaba registrado en distintos ficheros de exclusión publicitaria (Listados Robinson).
    • En la medida en que la actividad comercial incumplió el derecho de oposición del interesado, la AEPD relaciona la infracción del artículo 48.1.b) de la LGT con los artículos 21 del RGPD y 23 de la LOPDGDD.
      • Sanción: 2.000.000 €.
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (RGPD).
    • Infracción Artículo 28: por contratar Vodafone, en su condición de responsable del tratamiento, con encargados del tratamiento (los agentes comerciales) sin capacidad técnica y organizativa apropiada para llevar a cabo el encargo garantizando la protección de los derechos del interesado.
    • La AEPD también señala a Vodafone por incumplir el artículo 28 del RGPD por no “verificar las garantías del encargado” durante el transcurso del encargo “a través de auditorías e inspecciones cuando corresponda”, al interpretar la AEPD que el artículo 28 establece una obligación continua que no termina al firmar el contrato con el encargado del tratamiento.
      • Sanción: 4.000.000 €.
    • Infracción Artículo 44: pues al contratar con el agente comercial “Casmar”, este a su vez subcontrató el tratamiento de datos con otra entidad ubicada en Perú (siempre en nombre y por cuenta de Vodafone), sin que Vodafone cumpliera con las garantías exigidas por el RGPD para la transferencia internacional de datos personales.
      • Sanción: 2.000.000 €.

En la propia resolución, la AEPD informa a Vodafone de que dispone de un plazo de 6 meses para acreditar ante la Agencia que ha ajustado sus tratamientos a lo dispuesto en las normativas de protección de datos vigentes (RGPD y LOPDGDD) todas las operaciones de tratamiento de datos analizadas.
 
Sanción VodafoneRESPONSABILIDAD DEL TRATAMIENTO
Entre los argumentos presentados por Vodafone con respecto a la infracción del art. 28 del RGPD, aducían que sus agentes comerciales no eran encargados del tratamiento (ET) sino que actuaban como responsables del tratamiento (RT) dado que utilizaban sus propias bases de datos y a ellas, supuestamente Vodafone no tenía acceso.
 
La AEPD descarta estos argumentos en base a lo establecido en las Directrices 07/2020 del Comité Europeo de Protección de Datos que clarifican los conceptos y responsabilidades de cada una de estas figuras en el RGPD:
Un responsable del tratamiento es quien determina los propósitos y los medios del tratamiento, es decir, el porqué y el cómo del tratamiento.
El responsable del tratamiento debe decidir sobre ambos propósitos y medios. Sin embargo, algunos aspectos más prácticos de la implementación (“medios no esenciales”) se pueden dejar en manos del encargado del tratamiento.
No es necesario que el responsable tenga realmente acceso a los datos que se están tratando para calificarse como responsable.

QUÉ DEBEMOS TENER EN CUENTA
Esta sanción también nos obliga a revisar el contenido del art. 28 del RGPD:
“1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.
2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
h) pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.”
 
Igualmente debemos tener presente qué nos dice el artículo 73 de la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), ya que nos encontraríamos también ante un grave incumplimiento:
j) La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el Capítulo IV del Reglamento (UE) 2016/679.
k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido por el artículo 28.3 del Reglamento (UE) 2016/679.
p) El tratamiento de datos personales sin llevar a cabo una previa valoración de los elementos mencionados en el artículo 28 de esta ley orgánica (Obligaciones generales del responsable y encargado del tratamiento).
 
En este caso la AEPD deja claro que también se incumple este artículo de la LOPDGDD ya que Vodafone habría incumplido las obligaciones relacionadas con la diligencia debida a la hora de contratar a terceras empresas como encargadas del tratamiento y que no hubo ningún control sobre las subcontrataciones realizadas por los encargados, ninguno ofrece garantías suficientes ni se revisan y monitorizan los tratamientos una vez que se firman los contratos.

La obligación de que existiera un contrato entre RT y ET ya estaban contempladas en la anterior normativa (art. 20.2 y 20.3 del Reglamento LOPD 1720/2007 y art. 12 LOPD 15/1999), al igual que también lo estaba el derecho del RT a solicitar del ET garantías de cumplimiento permitiéndole realizar auditorías si lo consideraba necesario, pero, tal como ocurre en la actualidad, como mucho, existe un contrato firmado entre responsable y encargado y en la mayor parte de los casos no existe un control posterior que verifique el cumplimiento por parte del encargado ni se le exigen más responsabilidades.

Esto nos debe llevar a hacer una revisión más profunda de los contratos de encargo del tratamiento que tenemos firmados con nuestros proveedores exigiéndoles garantías o certificaciones de cumplimiento y, al mismo tiempo, presentar estas garantías a nuestros clientes si somos sus encargados ya que esto puede diferenciarnos de nuestra competencia hasta tanto lleguen los sellos y marcas de protección de datos (art. 42 RGPD) ya que no todas las entidades pueden permitirse un proceso de certificación (ISO).


Regreso al contenido