La AEPD impone una multa de 8 millones de euros a Vodafone España
12-03-2021 — AR/2021/034
La Agencia Española de Protección de Datos impone una multa de 8 millones de euros a Vodafone España, tras una revisión exhaustiva del procedimiento general de gestión del tratamiento de datos relativo a las acciones de mercadotecnia directa a través de llamadas telefónicas, SMS y correos electrónicos.
- Compartir
- Correo electrónico
En su resolución, identificada como PS/00059/2020, la AEPD impone a Vodafone las sanciones que se describen a continuación, con los argumentos que también se señalan:
Sanciones
- Una sanción de 4 millones de euros por infracción grave del artículo 28, en relación con el artículo 24 del RGPD,1 por no adecuar los procedimientos y garantías establecidas para la ejecución de acciones de mercadotecnia en el contenido de los contratos con los encargados de los tratamientos que actúan en nombre y por cuenta del responsable (Vodafone), y no ofrecer al interesado los medios necesarios, suficientes y apropiados que garanticen la protección de sus derechos y libertades.
- En este punto, la AEPD subraya que la obligación del artículo 28.1 del RGPD de seleccionar un encargado de tratamiento que ofrezca garantías suficientes para aplicar el reglamento y los derechos y libertades del interesado no se agota en la actuación previa de su selección y contratación, sino que obliga al responsable del tratamiento a evaluar en todo momento de la ejecución del contrato si las garantías (técnicas u organizativas) ofrecidas por el encargado son suficientes.
- Una sanción de 2 millones de euros, por infracción muy grave del artículo 44 del RGPD, debido a que la compañía realiza transferencias internacionales de datos a tercer país (Perú) sin las medidas adecuadas exigidas en el RGPD.
- A tal efecto, Vodafone, en calidad de responsable del tratamiento, ha incumplido las condiciones del capítulo V del RGPD.
- Una sanción de 150.000 euros, por infracción grave del artículo 21 de la LSSI,2 por iniciar comunicaciones por SMS sin ofrecer al destinatario la posibilidad eficaz y comprobada de oponerse al tratamiento, y por realizar comunicaciones comerciales por medios electrónicos a destinatarios que no las habían autorizado expresamente y que no tenían relación comercial con la compañía.
- Una sanción de 2 millones de euros, por infracción grave del artículo 48.1.b) de la LGT,3 en relación con el artículo 23 de la LOPDyGDD4 (sobre la necesidad de filtrado con listas de exclusión publicitaria), debido a que el procedimiento de Vodafone para la realización de acciones de mercadotecnia directa con llamadas telefónicas no garantiza el cumplimiento del derecho de oposición de los usuarios finales con los que contacta a no recibir llamadas comerciales, ni en el caso de campañas gestionadas directamente por la compañía, ni en campañas gestionadas por encargados y subencargados.
Razones que aporta la AEPD
Según la AEPD, el importe de las sanciones impuestas se justifica por la gravedad de las infracciones y por circunstancias agravantes como las siguientes:
- la repercusión social de las infracciones,
- los beneficios obtenidos como consecuencia de la comisión de la infracción,
- la alta vinculación de la actividad del infractor con la realización de tratamientos de datos personales, y
- el daño causado a los interesados y su reparación.
La AEPD hace hincapié en que se han presentado 162 reclamaciones en el plazo de algo menos de dos años y en la gran cantidad de acciones de mercadotecnia realizadas con llamadas telefónicas (más de 12 millones de acciones comerciales de mercadotecnia y más de 200 millones de acciones comerciales totales).
Finalmente, en la propia resolución, la AEPD informa a Vodafone que dispone de un plazo de 6 meses para acreditar ante la Agencia que ha ajustado a lo dispuesto en el RGPD y la LOPDyGDD todas las operaciones de tratamiento analizadas.