El art. 19 de la LOPDGDD no avala el SPAM

La AEPD ha estimado una reclamación presentada por una persona que, tras recibir varios correos electrónicos publicitarios de la entidad EUROEMPRESAS.ES sobre el llamado “Kit Digital”, decidió ejercer su derecho de acceso para saber algo muy básico: de dónde había salido su dirección de correo electrónico y con qué base se estaba utilizando. Según recoge la resolución, la persona afectada afirmó que no tenía constancia de haber facilitado ese dato a la entidad remitente y que, pese a pedir explicaciones por correo electrónico, no obtuvo respuesta en plazo. Además, aportó varios mensajes publicitarios recibidos en distintas fechas, lo que reflejaba una utilización continuada de su dirección electrónica. La AEPD también incorporó al expediente la política de privacidad de la entidad, en la que se indicaba que los derechos podían ejercerse por correo electrónico o por escrito y que el envío de comunicaciones comerciales electrónicas requería consentimiento expreso, previo, libre e informado.

Durante el procedimiento, la entidad defendió que ese correo era un dato de contacto profesional y que su uso podía ampararse en el artículo 19 de la LOPDGDD. También sostuvo que había implantado medidas organizativas y técnicas para reforzar el cumplimiento normativo y que el envío publicitario había sido un hecho aislado. Sin embargo, la persona reclamante negó que ese correo tuviera carácter profesional, insistió en que nunca se le explicó el origen concreto del dato y aportó una relación de múltiples envíos publicitarios recibidos entre marzo y abril de 2025.

A partir de ahí, la AEPD centra su análisis en una idea esencial: el derecho de acceso del artículo 15 del RGPD no se satisface con una contestación vaga o genérica. Cuando los datos no se han obtenido directamente de la persona interesada, esta tiene derecho a conocer la información disponible sobre su origen. Y, además, conforme al artículo 12 del RGPD, el responsable debe responder en el plazo de un mes, de forma clara, transparente y completa. En este caso, la AEPD considera que la respuesta fue extemporánea y, sobre todo, insuficiente, porque la entidad se limitó a decir que el correo constaba en sus sistemas como dato profesional, sin identificar la fuente concreta, la fecha o el modo en que lo obtuvo. También rechaza que el artículo 19 de la LOPDGDD sirva para justificar envíos publicitarios, recordando que esa previsión no ampara comunicaciones comerciales.

Por todo ello, la AEPD estima íntegramente la reclamación por vulneración del artículo 15 del RGPD y ordena a la entidad que, en diez días hábiles desde que la resolución sea firme, atienda debidamente el derecho de acceso o lo deniegue de forma motivada. No hay sanción económica en esta resolución, ya que se trata de un procedimiento de tutela de derechos y no de un procedimiento sancionador.

Una lástima que la AEPD sabiendo que esta empresa envíaba SPAM no la sancionara por ella: una vez más la AEPD no parece tomarse en serio los graves perjuicios que genera el SPAM.

/por
, ,

AD735 DATA MEDIA ADVERTISING sancionada por SPAM

Recientemente, la Agencia Española de Protección de Datos (AEPD) ha emitido una Resolución sobre un recurso de reposición presentado por la entidad AD735 DATA MEDIA ADVERTISING S.L. contra una resolución anterior de la AEPD en la que fue sancionada por envío de SPAM.

La reclamación original fue presentada por una persona que recibió una comunicación comercial no solicitada por SMS de MASMOVIL, alegando la reclamada que los datos personales del reclamante fueron obtenidos a través de un sorteo en el sitio web www.premium-sales.es, lo cual negó este.

La AEPD, tras revisar las alegaciones y pruebas presentadas, concluyó que la entidad AD735 no pudo corroborar que la persona que introdujo los datos personales en el formulario de su página web fue precisamente el reclamante o fue realizado con su consentimiento. La entidad AD735 reconoció que no tenía los medios técnicos necesarios para poder corroborarlo, al igual que el resto de empresas del sector.

La AEPD decidió desestimar el recurso de reposición interpuesto por la entidad AD735, manteniendo la resolución original. La entidad AD735 fue advertida de que la sanción impuesta deberá hacerse efectiva una vez sea ejecutiva la presente resolución.

/por
, ,

70.000 € de sanción por enviar SPAM a través de una empresa subcontratada

A continuación, presentamos un resumen de la Resolución del Procedimiento Sancionador número PS/00142/2021 de la Agencia Española de Protección de Datos (AEPD) contra Vodafone. La compañía fue sancionada por infringir el Reglamento General de Protección de Datos (RGPD) y la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) al enviar comunicaciones comerciales sin el consentimiento del destinatario, pese a haber solicitado no recibirlos previamente. Todo ello, a pesar de que fue una empresa subcontratada por otra empresa subcontratada la que hizo el envío.

Vodafone argumentó que la dirección de correo electrónico utilizada no debía ser considerada un dato personal por ser del tipo «dpd@…». Sin embargo, la AEPD determinó que, según el artículo 4 del RGPD, la dirección de correo electrónico sí es un dato personal, ya que puede identificar directa o indirectamente a una persona física.

En cuanto a la relación entre Vodafone y Cablanol, S.L., la AEPD analizó la imputación de la infracción del artículo 21 del LSSI. Cablanol fue subcontratada por Vesaleads, S.L., empresa del Grupo Solivesa, que tenía un contrato con Vodafone para promocionar sus servicios. Aunque Vodafone argumentó que Cablanol actuó fuera de su relación, la AEPD estableció que, según el artículo 4 del RGPD, Vodafone sigue siendo responsable del tratamiento de datos personales y que Cablanol es el encargado del tratamiento.

La AEPD también determinó que el responsable del tratamiento debe garantizar el cumplimiento de los derechos de las personas respecto a sus datos personales y que el encargado del tratamiento será considerado responsable si infringe el RGPD al determinar los fines y medios del tratamiento.

Como resultado, Vodafone fue sancionada con una multa de 20.000 euros por la infracción del artículo 21 de la LSSI y con una multa de 50.000 euros por la infracción del artículo 21 del RGPD. La AEPD consideró criterios agravantes como la intencionalidad, la duración de la infracción, la negligencia en la gestión del derecho de oposición y el carácter continuado de la infracción, así como la vinculación de la actividad de Vodafone con el tratamiento de datos personales.

/por
, ,

Vodafone multada con más de 12 millones de euros por telemarketing ilegal

La autoridad italiana de control de la protección de datos (Garante per la protezione dei dati personali) ordenó a Vodafone pagar una multa de más de 12.250.000 euros por haber tratado ilegalmente los datos personales de millones de usuarios con fines de telemarketing. Además de tener que pagar la multa, la empresa debe implementar varias medidas establecidas por el Garante para cumplir con la legislación de protección de datos nacional y de la UE.

Esta decisión marca el paso final de un complejo proceso que el Garante había iniciado tras cientos de denuncias y alertas enviadas por los usuarios contra llamadas telefónicas no solicitadas realizadas por Vodafone y / o la red comercial de la empresa para promover los servicios de telefonía e Internet.

Las investigaciones llevadas a cabo por el Garante sacaron a la luz importantes aspectos críticos de naturaleza «estructural» que tienen que ver con la violación no solo de los requisitos de consentimiento, sino también de principios clave como la responsabilidad y la protección de datos desde el diseño según lo establecido en el RGPD de la UE. Estos aspectos críticos podrían atribuirse a las actividades de procesamiento realizadas tanto con respecto a la base de datos de clientes de Vodafone como, en términos más generales, con respecto a los posibles usuarios de los servicios de comunicaciones electrónicas.

Más específicamente, uno de los hallazgos más preocupantes de las investigaciones fue el uso de números de teléfono falsos para realizar las llamadas de marketing. Esta práctica está bajo el foco de Vodafone y aparentemente está relacionada con un conjunto turbio de centros de llamadas no autorizados que realizan actividades de telemercadeo sin tener en cuenta la legislación de protección de datos personales.

Podrían establecerse violaciones adicionales en cuanto al manejo de listas de contactos compradas a proveedores externos. Los socios comerciales de Vodafone habían obtenido esas listas de otras empresas y se habían transferido a Vodafone sin el consentimiento libre, informado y específico requerido por los usuarios.

También se encontró que las medidas de seguridad de la gestión de recursos del cliente eran inadecuadas. A este respecto, los clientes que habían sido contactados por operadores que supuestamente actuaban en nombre de Vodafone habían enviado varias quejas y alertas al Garante y solicitaban que se les enviaran identificaciones a través de WhatsApp, muy probablemente para fines relacionados con spam, phishing o otras actividades fraudulentas.

Teniendo en cuenta las infracciones constatadas en el curso del procedimiento, el Garante italiano impuso una multa de 12.251.601,00 euros.

Además, Garante ordenó a Vodafone que implementara sistemas para demostrar que el procesamiento con fines de telemercadeo cumple con los requisitos de consentimiento. Además, se requerirá que Vodafone proporcione pruebas de que los acuerdos contractuales se activan solo después de las llamadas de telemercadeo realizadas por su propia red de ventas a través de números registrados con la República de China. La empresa deberá implementar medidas de seguridad más estrictas para evitar accesos no autorizados a la base de datos de clientes, y también se le ordenó a la empresa que responda por completo a ciertas solicitudes de derechos de los interesados.

Por último, Garante prohibió a Vodafone seguir procesando datos con fines comerciales o de marketing cuando dichos datos se adquieran de terceros que no hayan obtenido el consentimiento libre, específico e informado de los usuarios para la divulgación de datos.

Ver resolución sancionadora: https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9485681

/por