El 15 de enero de 2020, la Agencia de Protección de Datos Italiana (el “Garante per la protezione dei dati personali” o el “Garante”), impuso en su resolución 9256486 una multa de 27.802.946 euros a la empresa de telecomunicaciones italiana TIM SpA (“TIM”) por varias infracciones del RGPD.

TIM es un proveedor de servicios de telefonía, móvil y DSL, que cotiza en la Bolsa Italiana y en el NYSE, y que según su informe de sostenibilidad consolidado, obtuvo en el 2018 unos ingresos de más de 18.000 millones de euros.

Hechos e infracciones:

Desde el 1 de enero de 2017 hasta comienzos del 2019, el Garante recibió cientos de reclamaciones contra TIM debido a miles de llamadas promocionales realizadas por esta empresa y por sus agentes comerciales sin el consentimiento de los destinatarios, o pese al registro de estos en una lista Robinson, o incluso tras el ejercicio de estos de su derecho de oposición.

En consecuencia, el Garante llevó a cabo, con el apoyo de la Unidad Especial de Protección contra la Privacidad y Fraudes Tecnológicos de la Guardia di Finanza, una investigación de TIM entre noviembre de 2018 y febrero de 2019, a través de varios requerimientos de información, e inspecciones de sus oficinas.

Durante la investigación, se descubrieron entre otras, las siguientes infracciones:

En el periodo de julio 2018 a febrero 2019, TIM y sus agentes comerciales llevaron a cabo 166 campañas comerciales de telemarketing a 13 millones de números de teléfono de potenciales clientes sin su consentimiento. Asimismo, TIM tenía poco o ningún control sobre la actividad desempeñada por sus agentes comerciales, dando lugar a situaciones como el caso de una persona que llegó a recibir 155 llamadas en un mes. Según la resolución, esta conducta infringió los artículos 5.1.a), y 5.2, 6, 7, 24 y 28 del RGPD.

Mala gestión por parte de TIM de sus listas de exclusión. Una lista de exclusión es una lista negra gestionada por la empresa en donde se agregan a las personas que han expresado su derecho de oposición a continuar recibiendo llamadas comerciales. Para ilustrar dicha mala gestión: uno de los agentes comerciales de TIM, durante las 166 campañas comerciales realizadas, tenía una lista de exclusión con 3.442 contactos comerciales. No obstante, de los 3.442 contactos mencionados anteriormente, solo 1.026 estaban incluidos en la lista de exclusión de TIM. Es decir, existían numerosas discrepancias entre las listas de exclusión de TIM y las de sus agentes comerciales, lo que propiciaba que personas que habían expresado su derecho de oposición continuaran recibiendo llamadas comerciales. Dicha conducta supuso la infracción de los artículos 12.1, .2 y .3, 7.3, 21.2 y .3 del RGPD.

Retención en su sistema de los datos personales de clientes de otros operadores a quienes TIM proporcionaba un servicio de red e infraestructura, por un tiempo superior al establecido por ley, tratando ilícitamente dichos datos para fines comerciales. El Garante concluyó que dicha conducta infringió los artículos 5.1.a), b) y e), 5.2. y 24 del RGPD.

El uso por parte de TIM de formularios para la recopilación de datos personales con una única solicitud de consentimiento para diferentes finalidades (estadísticas, publicidad, perfil), cuando el RGPD establece que el consentimiento debe ser libre y específico para cada finalidad. Según la resolución, esta conducta infringió los artículos 4.11, 7.1 y .2 del RGPD.

El uso de aplicaciones como “My TIM», «TIM Personal» y «TIM Smart Kid», en las cuales, a la hora de solicitar el consentimiento de los clientes, la información ofrecida por TIM sobre el tratamiento real de los datos era insuficiente en cuanto a contenido y claridad de la redacción. Además, dichas aplicaciones también supeditaban las distintas finalidades de tratamiento de datos a un único consentimiento. Según la resolución, esta conducta infringió los artículos 4.11, 5.1.a), 7.4 y 12.1 del RGPD.

Los sistemas de TIM que procesan los datos personales de sus clientes dan lugar a frecuentes errores de asociación incorrecta. Es decir, el sistema asocia los datos de contacto de una persona a la persona equivocada. O atribuye cuentas telefónicas a los titulares equivocados, lo que ha causado por ejemplo que se manden facturas con datos personales a las personas equivocadas. Según el Garante, esta conducta infringió los artículos 5.1.d) y f) y 32.1 del RGPD.

Gestión inadecuada de las brechas de seguridad de datos personales, tanto en lo que respecta a la puntualidad de la notificación a la Autoridad como a las medidas adoptadas para reducir los riesgos para los derechos y libertades de los interesados. Según la resolución, esta conducta infringió el artículo 33.1 del RGPD.

A modo ilustrativo del alcance de los problemas encontrados: tras finalizar la investigación de TIM, el Garante ha continuado recibiendo reclamaciones contra ésta por sus llamadas de telemarketing hasta la fecha de la presente sanción. Asimismo, en el 2016 y 2017 (antes del RGPD), TIM ya fue sancionado en repetidas ocasiones por el Garante por el mismo de tipo de infracciones.

Conclusión:

Nos encontramos ante la segunda multa millonaria impuesta por el Garante en poco más de un mes (la primera multa se encuentra en este post), cuya investigación se originó por lo mismo: llamadas de telemarketing a personas que no habían prestado su consentimiento para ello.

El Garante explica en su resolución que: “Las infracciones antes mencionadas contra TIM, representan prueba, por un lado, de una política implementada por la Compañía que es seriamente inconsistente con las regulaciones actuales. Por otro lado, el contexto alarmante en el que se debe enmarcar el fenómeno de las llamadas promocionales no deseadas. Durante más de quince años, este fenómeno ha sido objeto de alarma social por parte de los ciudadanos y de atención por parte del legislador y el Garante”.

El presente caso ilustra perfectamente cómo las mismas infracciones, cometidas de forma continuada, y por una misma empresa, son síntomas de un problema subyacente grave: la falta de una debida implementación del RGPD.

Resulta reconfortante que el Garante, además de sancionar los síntomas (llamadas de telemarketing no consentidas), lanzara una investigación a fondo de una empresa que infringe el RGPD de forma sistemática, para encontrar y sancionar todas las deficiencias subyacentes.

La presente multa supone la segunda multa más elevada por infracción del RGPD impuesta hasta la fecha en Europa, solo por detrás de la multa en Francia a Google (50 millones de euros). No hemos incluido en este cómputo a las empresas British Airways y Marriot International, ya que la agencia británica Information Commissioner Office (ICO) aún no las ha multado formalmente, sino únicamente declarado su intención de multarlas.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en Europa, por favor no dudes en suscribirte.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.