STAROFSERVICE SAS sancionada por SPAM

Una persona presentó una reclamación ante la AEPD manifestando haber recibido correos electrónicos publicitarios sin su consentimiento por parte de la entidad STAROFSERVICE SAS. Según indicó, los correos electrónicos fueron enviados los días 19, 21 y 22 de enero desde la dirección de correo electrónico de dicha entidad a su propia dirección, sin haber autorizado el tratamiento de sus datos con fines comerciales.

La AEPD verificó la recepción de los mensajes, que contenían promociones sobre servicios ofrecidos por la entidad. Tras ello, envió un requerimiento a la empresa, que respondió alegando que el primer correo fue una campaña de prospección comercial dirigida a profesionales, amparada en el interés legítimo según el artículo 6.1 f) del RGPD. Añadió que el segundo correo fue respuesta directa a una consulta del propio destinatario y que el tercero se debió a un desfase temporal en la gestión de la solicitud de baja, realizada un viernes por la noche, fuera del horario de atención al cliente.

El reclamado defendió que todos los correos contenían enlaces válidos para darse de baja y que el reclamante no los utilizó. Subrayó además que, como empresa francesa, su conducta seguía el criterio de la autoridad francesa de protección de datos, que permite la prospección comercial por medios electrónicos cuando se dirige exclusivamente a profesionales y no a consumidores. Según la entidad, esta excepción justifica el envío, ya que el reclamante se habría identificado inicialmente como profesional al interactuar con los correos.

La AEPD inició procedimiento sancionador proponiendo una sanción de 3.000 euros por infracción del artículo 21 de la LSSI, por el envío de comunicaciones publicitarias sin consentimiento previo. La empresa formuló alegaciones reiterando que actuó conforme al RGPD y al principio de primacía del derecho europeo sobre el nacional, argumentando que el artículo 6.1 f) del RGPD no admite restricciones adicionales por parte de los Estados miembros. También subrayó que existía un interés legítimo en enviar la comunicación inicial y que la posterior interacción del destinatario legitimaba los correos siguientes.

La AEPD consideró que no existía ninguna relación contractual previa entre las partes que legitimara el envío de correos electrónicos con fines publicitarios. Además, el mero hecho de que un destinatario solicite información tras un primer mensaje no habilita, por sí solo, una cadena de comunicaciones posteriores, menos aún si en medio de la secuencia el destinatario pide expresamente el cese de los envíos. El correo publicitario del día 24 de enero, tras la solicitud de baja, reforzó la convicción de que no se habían respetado los derechos del afectado.

La AEPD expuso en su análisis jurídico que, si bien el artículo 6.1 f) del RGPD establece que el tratamiento de datos personales puede basarse en el interés legítimo del responsable, dicha base legal requiere una evaluación específica y meticulosa para asegurar que los derechos del interesado no se vean comprometidos. En este sentido, citó el considerando 47 del RGPD, que si bien admite la mercadotecnia directa como posible interés legítimo, también condiciona su legitimidad a que no prevalezcan los intereses o derechos del interesado, y a que este pueda prever razonablemente dicho tratamiento de sus datos.

Además, la AEPD recordó que, tratándose del envío de comunicaciones comerciales por medios electrónicos, resulta de aplicación directa el artículo 21 de la LSSI. Dicho artículo establece con claridad que queda prohibido el envío de comunicaciones publicitarias por correo electrónico que no hayan sido previamente solicitadas o expresamente autorizadas por los destinatarios. Solo se admite una excepción: que haya una relación contractual previa, que permita considerar legítimo el uso de los datos de contacto para enviar publicidad de productos o servicios similares. En este caso, no se acreditó la existencia de esa relación contractual previa, lo que impedía invocar dicha excepción.

Sobre la defensa del reclamado respecto al interés legítimo y a la interpretación de la normativa conforme a la autoridad francesa, la AEPD sostuvo que, aunque el RGPD es de aplicación directa y uniforme, en materias específicas como las comunicaciones electrónicas, deben respetarse las normas nacionales, especialmente cuando son más garantistas respecto a los derechos del usuario. En este caso, el envío de correos sin consentimiento vulneró la LSSI, sin que el interés legítimo pudiera prevalecer.

La AEPD consideró insuficiente el argumento de que el reclamante actuó como profesional, ya que esa condición no se acreditó formalmente. Aun si lo hubiera sido, seguiría siendo necesario aplicar la LSSI, que no distingue entre profesionales y consumidores a efectos del consentimiento previo.

El hecho de que todos los correos incluyeran enlaces de baja tampoco exime del cumplimiento del deber de obtener consentimiento expreso con anterioridad. La solicitud de baja del destinatario, enviada el 22 de enero, no fue atendida de forma inmediata, ya que se envió un nuevo correo el día 24, domingo, lo que evidenció una deficiente gestión del ejercicio del derecho de oposición.

La AEPD reiteró que el consentimiento no se puede presumir por el mero hecho de haber interactuado con un mensaje publicitario. La protección de datos personales exige que el consentimiento sea libre, específico, informado e inequívoco, lo que no se cumplió en este caso. Además, el hecho de invocar el cumplimiento de la regulación francesa no habilita para eludir la normativa española cuando se afecta a usuarios en España.

La AEPD impuso al reclamado una sanción económica de 3.000 euros por infringir el artículo 21 de la LSSI, al haber enviado comunicaciones comerciales electrónicas sin el consentimiento del destinatario ni contar con otra base jurídica válida para ello.

/por
, ,

70.000 € de sanción por enviar SPAM a través de una empresa subcontratada

A continuación, presentamos un resumen de la Resolución del Procedimiento Sancionador número PS/00142/2021 de la Agencia Española de Protección de Datos (AEPD) contra Vodafone. La compañía fue sancionada por infringir el Reglamento General de Protección de Datos (RGPD) y la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) al enviar comunicaciones comerciales sin el consentimiento del destinatario, pese a haber solicitado no recibirlos previamente. Todo ello, a pesar de que fue una empresa subcontratada por otra empresa subcontratada la que hizo el envío.

Vodafone argumentó que la dirección de correo electrónico utilizada no debía ser considerada un dato personal por ser del tipo «dpd@…». Sin embargo, la AEPD determinó que, según el artículo 4 del RGPD, la dirección de correo electrónico sí es un dato personal, ya que puede identificar directa o indirectamente a una persona física.

En cuanto a la relación entre Vodafone y Cablanol, S.L., la AEPD analizó la imputación de la infracción del artículo 21 del LSSI. Cablanol fue subcontratada por Vesaleads, S.L., empresa del Grupo Solivesa, que tenía un contrato con Vodafone para promocionar sus servicios. Aunque Vodafone argumentó que Cablanol actuó fuera de su relación, la AEPD estableció que, según el artículo 4 del RGPD, Vodafone sigue siendo responsable del tratamiento de datos personales y que Cablanol es el encargado del tratamiento.

La AEPD también determinó que el responsable del tratamiento debe garantizar el cumplimiento de los derechos de las personas respecto a sus datos personales y que el encargado del tratamiento será considerado responsable si infringe el RGPD al determinar los fines y medios del tratamiento.

Como resultado, Vodafone fue sancionada con una multa de 20.000 euros por la infracción del artículo 21 de la LSSI y con una multa de 50.000 euros por la infracción del artículo 21 del RGPD. La AEPD consideró criterios agravantes como la intencionalidad, la duración de la infracción, la negligencia en la gestión del derecho de oposición y el carácter continuado de la infracción, así como la vinculación de la actividad de Vodafone con el tratamiento de datos personales.

/por
, ,

Vodafone multada con más de 12 millones de euros por telemarketing ilegal

La autoridad italiana de control de la protección de datos (Garante per la protezione dei dati personali) ordenó a Vodafone pagar una multa de más de 12.250.000 euros por haber tratado ilegalmente los datos personales de millones de usuarios con fines de telemarketing. Además de tener que pagar la multa, la empresa debe implementar varias medidas establecidas por el Garante para cumplir con la legislación de protección de datos nacional y de la UE.

Esta decisión marca el paso final de un complejo proceso que el Garante había iniciado tras cientos de denuncias y alertas enviadas por los usuarios contra llamadas telefónicas no solicitadas realizadas por Vodafone y / o la red comercial de la empresa para promover los servicios de telefonía e Internet.

Las investigaciones llevadas a cabo por el Garante sacaron a la luz importantes aspectos críticos de naturaleza «estructural» que tienen que ver con la violación no solo de los requisitos de consentimiento, sino también de principios clave como la responsabilidad y la protección de datos desde el diseño según lo establecido en el RGPD de la UE. Estos aspectos críticos podrían atribuirse a las actividades de procesamiento realizadas tanto con respecto a la base de datos de clientes de Vodafone como, en términos más generales, con respecto a los posibles usuarios de los servicios de comunicaciones electrónicas.

Más específicamente, uno de los hallazgos más preocupantes de las investigaciones fue el uso de números de teléfono falsos para realizar las llamadas de marketing. Esta práctica está bajo el foco de Vodafone y aparentemente está relacionada con un conjunto turbio de centros de llamadas no autorizados que realizan actividades de telemercadeo sin tener en cuenta la legislación de protección de datos personales.

Podrían establecerse violaciones adicionales en cuanto al manejo de listas de contactos compradas a proveedores externos. Los socios comerciales de Vodafone habían obtenido esas listas de otras empresas y se habían transferido a Vodafone sin el consentimiento libre, informado y específico requerido por los usuarios.

También se encontró que las medidas de seguridad de la gestión de recursos del cliente eran inadecuadas. A este respecto, los clientes que habían sido contactados por operadores que supuestamente actuaban en nombre de Vodafone habían enviado varias quejas y alertas al Garante y solicitaban que se les enviaran identificaciones a través de WhatsApp, muy probablemente para fines relacionados con spam, phishing o otras actividades fraudulentas.

Teniendo en cuenta las infracciones constatadas en el curso del procedimiento, el Garante italiano impuso una multa de 12.251.601,00 euros.

Además, Garante ordenó a Vodafone que implementara sistemas para demostrar que el procesamiento con fines de telemercadeo cumple con los requisitos de consentimiento. Además, se requerirá que Vodafone proporcione pruebas de que los acuerdos contractuales se activan solo después de las llamadas de telemercadeo realizadas por su propia red de ventas a través de números registrados con la República de China. La empresa deberá implementar medidas de seguridad más estrictas para evitar accesos no autorizados a la base de datos de clientes, y también se le ordenó a la empresa que responda por completo a ciertas solicitudes de derechos de los interesados.

Por último, Garante prohibió a Vodafone seguir procesando datos con fines comerciales o de marketing cuando dichos datos se adquieran de terceros que no hayan obtenido el consentimiento libre, específico e informado de los usuarios para la divulgación de datos.

Ver resolución sancionadora: https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9485681

/por