Vodafone España es un infractor recurrente de las normativas de protección de datos. De ahí el monto de la multa.
Tal como comentamos en un artículo anterior sobre los millones en multas impuestos en 2020, las autoridades de control están cada vez más activas en la protección de la privacidad. Un ejemplo de esto es la sanción que la Agencia Española de Protección de Datos ha impuesto a Vodafone España por 8,15 millones de euros. Una cifra récord en la materia desde que entrara en vigor el Reglamento General de Protección de Datos.
La causa ha sido el incumplimiento repetitivo de diversos preceptos, no solamente de dicho reglamento, sino también de la Ley General de Telecomunicaciones. Asimismo, de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales y la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico.
El hecho de que sea tan alta la sanción se deriva de que Vodafone acumula una gran cantidad de circunstancias agravantes. Así, la AEPD señala que, solo desde la entrada en vigor del RGPD, la compañía ya ha sido multada 50 veces y ha recibido más de 100 reclamaciones en esta materia.
En este sentido, las multas más altas se producen por aplicación del RGPD y LOPDGDD. Pero hay que destacar que, en relación con la Ley de Servicios de la Sociedad de la Información, la sanción impuesta es la más alta que se permite hoy. Aunque, si esta norma hubiera sido actualizada al estándar actual probablemente la cantidad hubiera sido todavía más elevada.
Vodafone España: 4 millones por infracción de los artículos 24 y 28 del RGPD
Y el conjunto de acciones por las que se le sanciona son, en realidad, cuatro grupos distintos. El primero de ellos es por incumplimiento del artículo 28, en relación con el artículo 24 de la RGPD. Este último se refiere al deber de supervisión y control respecto de los encargados por parte del responsable. Teniendo en cuenta que el primero de estos artículos exige una serie de requisitos mínimos en los acuerdos con los encargados de tratamiento. Vodafone no habría cumplido su deber de supervisión y control respecto de encargados que se dedicarían, entre otras cuestiones, a la mercadotecnia.
Además, se destaca que Vodafone España no tiene acuerdo de encargo con su proveedor MEYDIS SL, por considerar que no lo requiere. Al respecto, la AEPD refuta tal supuesto, porque efectivamente sí existe un tratamiento de datos. Y, considera que el sistema de “checks” establecido para la evaluación de los encargados por parte de Vodafone no cumplía con los estándares mínimos para garantizar que se cumpliera con la normativa de protección de datos.
2 millones por infracción del artículo 44 RGPD
El segundo grupo de sanciones es por incumplimiento del artículo 44 del RGPD. Este se refiere a las garantías requeridas para la transferencias de datos internacionales para el cumplimiento del RGPD. Esta es una de las causas de incumplimiento más frecuentes en la gestión de proveedores, especialmente porque no todos los responsables se están adaptando al escenario post-Schrems II como deberían.
Pues bien, lo exigido para la validez de las transferencias internacionales de datos debe cumplirse tanto por el responsable como por el encargado y cualquier otro subencargado que participe en el tratamiento. Así, se habría producido el incumplimiento en un contrato celebrado con un proveedor en Perú, realizándose las transferencias sin cumplir con todas las garantías exigidas. Al parecer, se permitía subcontratar al encargado, sin que estos subencargados tuvieran que cumplir con las obligaciones del RGPD. Es decir, la AEPD impone el mismo deber para con la privacidad al subencargado que para al encargado, entre otras circunstancias.
150 mil euros por incumplimiento del artículo 21 de la LSSI
El tercero de los motivos de sanción, es el haber incumplido el artículo 21 de la Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico. Este establece que es necesario el consentimiento del usuario para las comunicaciones comerciales por medios electrónicos, o bien, que exista una relación contractual previa al respecto y se comunique información sobre un servicio análogo al que ya se está prestando.
Hay que considerar en este punto que el número total de acciones comerciales realizado por Vodafone según la AEPD -200 millones-. Constituye una carga sancionadora de, posiblemente, menos de dos céntimos por acción.
2 millones por incumplimiento del artículo 48.1 de la LGT
Finalmente, se sancionó a Vodafone España por haber incumplido el artículo 48.1 de la LGT en relación con los ficheros de exclusión publicitaria –las llamadas “Listas Robinson”-. Materia que se regula en distintos preceptos, pero, particularmente, en el artículo 23 de la LOPDGDD, que se habría incumplido.
Porque si una persona está registrada en este listado público, no se le puede comunicar aquello para lo que hubiera manifestado su negativa. Al parecer, los encargados de Vodafone no habrían cumplido con esta normativa, al realizar comunicaciones a quienes se habrían opuesto a ellas.
Para concluir Vodafone ya ha anunciado que va a proceder a ejercer acciones legales, es decir, a recurrir la sanción. Si bien hay que destacar que, por la cuantía de las pruebas y las circunstancias, parece difícil que pueda conseguir revocar esta sanción. Quizá pueda reducirse, puesto que como decimos, es la más elevada impuesta jamás por la AEPD. Pero las circunstancias agravantes que concurren, lo dificultan.