La AEPD multa a Vodafone con 8 millones de euros

La AEPD o Agencia Española de Protección de Datos es la autoridad pública independiente encargada de velar por la privacidad y la protección de datos de los ciudadanos. Este organismo tiene potestad para sancionar a las empresas u organismos que no cumplan con la legislación vigente en esta materia. En una resolución publicada esta misma semana, la AEPD multa a Vodafone con 8 millones de euros por la infracción de varios artículos del RGPD, LOPDGDD y la LSSICE.

Según expone la resolución de procedimiento sancionador PS/00059/2020 instruido por la Agencia Española de Protección de Datos, Vodafone ha sido sancionado con 8,15 millones por el uso de las bases de datos personales para acciones comerciales entre el año 2018 y 2020. Según algunas fuentes consultadas, se trata de una multa récord por saltarse hasta tres normas relativas a la protección y uso de los datos personales.

vodafone

Las 4 multas a Vodafone que superan los 8 millones

En el documento de sanción tenemos cuatro multas por vulnerar sendos artículos varios artículos del RGPD, LOPDGDD y la LSSICE.

  • 4 millones de euros por una infracción del Artículo 28 del RGPD en relación con el artículo 24 del RGPD.
  • 2 millones de euros por una infracción del artículo 44 del RGPD.
  • 000 euros por una infracción del artículo 21 de la LSSICE.
  • 2 millones de euros por una infracción del artículo 48.1.b) de la LGT, en relación con el artículo 21 del RGPD y artículo 23 de la LOPDGDD.

Además, ordenan a Vodafone que en un plazo de seis meses acrediten ante la APED que han ajustado su funcionamiento a lo dispuesto en el RGPD y LOPDGDD. Contra esta resolución, que pone fin a la vía administrativa, Vodafone podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional.

Respuesta oficial de Vodafone

La resolución emitida por la Agencia Española de Protección de Datos (AEPD) es recurrible.

  • Hoy vamos a presentar recurso de reposición ante la AEPD y, en función de lo que finalmente decida, dejamos abierta la posibilidad de interponer recurso contencioso-administrativo ante la Audiencia Nacional, dado que entendemos que la responsabilidad que se imputa a Vodafone no nos corresponde. Son las entidades que actúan como responsables del tratamiento de los datos de los afectados las que deben responder de las imputaciones de la AEPD.
  • En consecuencia, no estamos de acuerdo con los incumplimientos que nos imputa la AEPD en su resolución y en cualquier caso consideramos que la cuantía de la sanción propuesta es desproporcionada.
  • Además, queremos subrayar que Vodafone trata con las máximas garantías de confidencialidad y privacidad los datos de sus clientes.

Artículos incluidos en la resolución

Artículo 28 RGPD

  1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.
  2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.
  3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.
  4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.
  5. La adhesión del encargado del tratamiento a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá utilizarse como elemento para demostrar la existencia de las garantías suficientes a que se refieren los apartados 1 y 4 del presente artículo.
  6. Sin perjuicio de que el responsable y el encargado del tratamiento celebren un contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4 del presente artículo podrá basarse, total o parcialmente, en las cláusulas contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclusive cuando formen parte de una certificación concedida al responsable o encargado de conformidad con los artículos 42 y 43.
  7. La Comisión podrá fijar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el procedimiento de examen a que se refiere el artículo 93, apartado 2.
  8. Una autoridad de control podrá adoptar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el mecanismo de coherencia a que se refiere el artículo 63.
  9. El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico.
  10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.

Artículo 44 RGPD

Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.

Artículo 21 LSSICE

Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.

  1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
  2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.