La autoridad italiana de control de la protección de datos (Garante per la protezione dei dati personali) ordenó a Vodafone pagar una multa de más de 12.250.000 euros por haber tratado ilegalmente los datos personales de millones de usuarios con fines de telemarketing. Además de tener que pagar la multa, la empresa debe implementar varias medidas establecidas por el Garante para cumplir con la legislación de protección de datos nacional y de la UE.

Esta decisión marca el paso final de un complejo proceso que el Garante había iniciado tras cientos de denuncias y alertas enviadas por los usuarios contra llamadas telefónicas no solicitadas realizadas por Vodafone y / o la red comercial de la empresa para promover los servicios de telefonía e Internet.

Las investigaciones llevadas a cabo por el Garante sacaron a la luz importantes aspectos críticos de naturaleza “estructural” que tienen que ver con la violación no solo de los requisitos de consentimiento, sino también de principios clave como la responsabilidad y la protección de datos desde el diseño según lo establecido en el RGPD de la UE. Estos aspectos críticos podrían atribuirse a las actividades de procesamiento realizadas tanto con respecto a la base de datos de clientes de Vodafone como, en términos más generales, con respecto a los posibles usuarios de los servicios de comunicaciones electrónicas.

Más específicamente, uno de los hallazgos más preocupantes de las investigaciones fue el uso de números de teléfono falsos para realizar las llamadas de marketing. Esta práctica está bajo el foco de Vodafone y aparentemente está relacionada con un conjunto turbio de centros de llamadas no autorizados que realizan actividades de telemercadeo sin tener en cuenta la legislación de protección de datos personales.

Podrían establecerse violaciones adicionales en cuanto al manejo de listas de contactos compradas a proveedores externos. Los socios comerciales de Vodafone habían obtenido esas listas de otras empresas y se habían transferido a Vodafone sin el consentimiento libre, informado y específico requerido por los usuarios.

También se encontró que las medidas de seguridad de la gestión de recursos del cliente eran inadecuadas. A este respecto, los clientes que habían sido contactados por operadores que supuestamente actuaban en nombre de Vodafone habían enviado varias quejas y alertas al Garante y solicitaban que se les enviaran identificaciones a través de WhatsApp, muy probablemente para fines relacionados con spam, phishing o otras actividades fraudulentas.

Teniendo en cuenta las infracciones constatadas en el curso del procedimiento, el Garante italiano impuso una multa de 12.251.601,00 euros.

Además, Garante ordenó a Vodafone que implementara sistemas para demostrar que el procesamiento con fines de telemercadeo cumple con los requisitos de consentimiento. Además, se requerirá que Vodafone proporcione pruebas de que los acuerdos contractuales se activan solo después de las llamadas de telemercadeo realizadas por su propia red de ventas a través de números registrados con la República de China. La empresa deberá implementar medidas de seguridad más estrictas para evitar accesos no autorizados a la base de datos de clientes, y también se le ordenó a la empresa que responda por completo a ciertas solicitudes de derechos de los interesados.

Por último, Garante prohibió a Vodafone seguir procesando datos con fines comerciales o de marketing cuando dichos datos se adquieran de terceros que no hayan obtenido el consentimiento libre, específico e informado de los usuarios para la divulgación de datos.

Ver resolución sancionadora: https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9485681