La AEPD hace unas semanas, superó su record en sanciones impuestas en en un mismo procedimiento. En este caso, ha sido la compañía de telecomunicaciones Vodafone, con 4 sanciones que suman un total de 8 millones y 150.000 euros.
A diferencia de los casos anteriores de multas millonarias [BBVA (5 millones) y Caixabank (6 millones)], esta resolución no se centra en una enmienda a la totalidad de las políticas informativas y de licitud del tratamiento de Vodafone, sino en el control operativo de sus proveedores y de sus campañas publicitarias y comerciales (llamadas, emails y SMS), principalmente a potenciales clientes de los que no tenía consentimiento, se habían opuesto al uso comercial de sus datos y/o estaban inscritos en la Lista Robinson de Adigital (que constituye una oposición universal al uso comercial de nuestros datos, salvo para aquellos que tienen nuestro consentimiento).
A continuación, os resumimos muy brevemente los aspectos más relevantes de cada una de estas 4 sanciones:
- Falta de vigilancia y control de los encargados del tratamiento involucrados en la realización de llamadas comerciales.
Artículo infringido: 28 del RGPD.
Importe: 4 millones de euros.
Explicación: Algunos proveedores de Vodafone carecían de contrato de encargo de tratamiento; otros realizaban llamadas en nombre de Vodafone sin comprobar previamente la Lista Robinson de Adigital, o no realizaban una correcta gestión de los derechos de oposición/supresión de los destinatarios de las llamadas.
Vodafone disponía de un checklist declarativo en el proceso de contratación, pero la AEPD considera que Vodafone debería haber verificado y supervisado el tratamiento realizado por sus proveedores.
Además, Vodafone ya había sido sancionada con anterioridad por motivos similares.
- Transferencia internacional ilícita.
Artículo infringido: 44 del RGPD.
Importe: 2 millones de euros.
Explicación: Uno de los proveedores de Vodafone subcontrató servicios de callcenter con una empresa peruana con consentimiento de Vodafone, pero sin que se acreditase ningún mecanismo para garantizar el nivel adecuado de protección de datos por parte del subcontratista.
- Envío de emails y SMS sin consentimiento y/o sin mecanismo de oposición.
Artículo infringido: 21 de la LSSI.
Importe: 150.000 euros.
Explicación: Vodafone realizaba envíos comerciales por email y SMS (a numeraciones aleatorias) sin poder acreditar el consentimiento ni relación contractual previa. Además, los envíos por SMS no ofrecían un mecanismo de oposición y cuando lo ofrecían, no se gestionaban.
- Envío de emails y SMS sin consentimiento y/o sin mecanismo de oposición.
Artículo infringido: 48.1.b) de la LGTel.
Importe: 2 millones de euros.
Explicación: Los proveedores de Vodafone realizaban llamadas comerciales a usuarios que se habían opuesto expresamente o que estaban inscritos en la Lista Robinson.
Adicionalmente, se plantea una discusión interesante sobre la Responsabilidad de Vodafone sobre las bases de datos propias de sus proveedores. La AEPD entiende que Vodafone sí era responsable de estos tratamientos porque los contratos con estos proveedores incluían menciones específicas sobre el uso y filtrado de las mismas en nombre de Vodafone.
Por todo ello, queremos recordamos la importancia de controlar y verificar el tratamiento de datos personales realizados con fines comerciales, especialmente por parte de vuestros proveedores (más aún en caso de subcontratistas fuera de la UE).
Equipo Privacidad