A continuación, presentamos un resumen de la Resolución del Procedimiento Sancionador número PS/00142/2021 de la Agencia Española de Protección de Datos (AEPD) contra Vodafone. La compañía fue sancionada por infringir el Reglamento General de Protección de Datos (RGPD) y la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) al enviar comunicaciones comerciales sin el consentimiento del destinatario, pese a haber solicitado no recibirlos previamente. Todo ello, a pesar de que fue una empresa subcontratada por otra empresa subcontratada la que hizo el envío.

Vodafone argumentó que la dirección de correo electrónico utilizada no debía ser considerada un dato personal por ser del tipo «dpd@…». Sin embargo, la AEPD determinó que, según el artículo 4 del RGPD, la dirección de correo electrónico sí es un dato personal, ya que puede identificar directa o indirectamente a una persona física.

En cuanto a la relación entre Vodafone y Cablanol, S.L., la AEPD analizó la imputación de la infracción del artículo 21 del LSSI. Cablanol fue subcontratada por Vesaleads, S.L., empresa del Grupo Solivesa, que tenía un contrato con Vodafone para promocionar sus servicios. Aunque Vodafone argumentó que Cablanol actuó fuera de su relación, la AEPD estableció que, según el artículo 4 del RGPD, Vodafone sigue siendo responsable del tratamiento de datos personales y que Cablanol es el encargado del tratamiento.

La AEPD también determinó que el responsable del tratamiento debe garantizar el cumplimiento de los derechos de las personas respecto a sus datos personales y que el encargado del tratamiento será considerado responsable si infringe el RGPD al determinar los fines y medios del tratamiento.

Como resultado, Vodafone fue sancionada con una multa de 20.000 euros por la infracción del artículo 21 de la LSSI y con una multa de 50.000 euros por la infracción del artículo 21 del RGPD. La AEPD consideró criterios agravantes como la intencionalidad, la duración de la infracción, la negligencia en la gestión del derecho de oposición y el carácter continuado de la infracción, así como la vinculación de la actividad de Vodafone con el tratamiento de datos personales.

La autoridad italiana de control de la protección de datos (Garante per la protezione dei dati personali) ordenó a Vodafone pagar una multa de más de 12.250.000 euros por haber tratado ilegalmente los datos personales de millones de usuarios con fines de telemarketing. Además de tener que pagar la multa, la empresa debe implementar varias medidas establecidas por el Garante para cumplir con la legislación de protección de datos nacional y de la UE.

Esta decisión marca el paso final de un complejo proceso que el Garante había iniciado tras cientos de denuncias y alertas enviadas por los usuarios contra llamadas telefónicas no solicitadas realizadas por Vodafone y / o la red comercial de la empresa para promover los servicios de telefonía e Internet.

Las investigaciones llevadas a cabo por el Garante sacaron a la luz importantes aspectos críticos de naturaleza «estructural» que tienen que ver con la violación no solo de los requisitos de consentimiento, sino también de principios clave como la responsabilidad y la protección de datos desde el diseño según lo establecido en el RGPD de la UE. Estos aspectos críticos podrían atribuirse a las actividades de procesamiento realizadas tanto con respecto a la base de datos de clientes de Vodafone como, en términos más generales, con respecto a los posibles usuarios de los servicios de comunicaciones electrónicas.

Más específicamente, uno de los hallazgos más preocupantes de las investigaciones fue el uso de números de teléfono falsos para realizar las llamadas de marketing. Esta práctica está bajo el foco de Vodafone y aparentemente está relacionada con un conjunto turbio de centros de llamadas no autorizados que realizan actividades de telemercadeo sin tener en cuenta la legislación de protección de datos personales.

Podrían establecerse violaciones adicionales en cuanto al manejo de listas de contactos compradas a proveedores externos. Los socios comerciales de Vodafone habían obtenido esas listas de otras empresas y se habían transferido a Vodafone sin el consentimiento libre, informado y específico requerido por los usuarios.

También se encontró que las medidas de seguridad de la gestión de recursos del cliente eran inadecuadas. A este respecto, los clientes que habían sido contactados por operadores que supuestamente actuaban en nombre de Vodafone habían enviado varias quejas y alertas al Garante y solicitaban que se les enviaran identificaciones a través de WhatsApp, muy probablemente para fines relacionados con spam, phishing o otras actividades fraudulentas.

Teniendo en cuenta las infracciones constatadas en el curso del procedimiento, el Garante italiano impuso una multa de 12.251.601,00 euros.

Además, Garante ordenó a Vodafone que implementara sistemas para demostrar que el procesamiento con fines de telemercadeo cumple con los requisitos de consentimiento. Además, se requerirá que Vodafone proporcione pruebas de que los acuerdos contractuales se activan solo después de las llamadas de telemercadeo realizadas por su propia red de ventas a través de números registrados con la República de China. La empresa deberá implementar medidas de seguridad más estrictas para evitar accesos no autorizados a la base de datos de clientes, y también se le ordenó a la empresa que responda por completo a ciertas solicitudes de derechos de los interesados.

Por último, Garante prohibió a Vodafone seguir procesando datos con fines comerciales o de marketing cuando dichos datos se adquieran de terceros que no hayan obtenido el consentimiento libre, específico e informado de los usuarios para la divulgación de datos.

Ver resolución sancionadora: https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9485681