La Agencia Española de Protección de Datos (AEPD) impone a Vodafone las primeras dos multas por infracción del RGPD

Tras casi un año desde la entrada en vigor del RGPD, en abril de 2019, la AEPD ha publicado dos resoluciones con las primeras multas por infracción del RGPD, ambas a Vodafone España S.A.U. (“Vodafone”)

 

Primera resolución:

La resolución Nº: PS/00411/2018 impone una multa administrativa de 45.000 euros, si bien la cuantía de la multa se ha reducido a 27.000 euros con el pago voluntario y el reconocimiento de su responsabilidad por parte de Vodafone, conforme al artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

 

Motivo de la denuncia:

En el 2015, el reclamante, antiguo cliente de Vodafone, ejercitó ante esta empresa su derecho de cancelación de sus datos personales. En respuesta a dicha solicitud, Vodafone remitió una carta al reclamante indicándole que procedía “de inmediato a la cancelación de todos los datos relativos a su persona que tenga en sus ficheros”.

No obstante, desde enero de 2018, el reclamante recibió más de doscientos SMS de Vodafone, lo que le llevó a presentar una denuncia ante la AEPD el 23 de abril de 2018 contra la empresa.

Tras la denuncia, Vodafone remitió al reclamante una carta de fecha 17 de julio de 2018 informándole que la empresa había adoptado diversas medidas para poner fin a los hechos denunciados. Sin embargo, el reclamante remitió a la AEPD un nuevo escrito el 25 de septiembre de 2018 en donde explicaba que, pese a la carta de Vodafone, todavía continuaba recibiendo SMS de la empresa.

 

Raíz del problema:

Según las averiguaciones de Vodafone, el número de móvil del reclamante, por equivocación, había “sido utilizado para la realización de pruebas en el envío de mensajes.

Asimismo, el número de móvil del denunciante había aparecido por error en distintas fichas de clientes como uno de los teléfonos de contacto.

Por último, Vodafone descubrió que, también por error, que como parte de “los procesos de alta de servicios desde la Tienda Online se ha incluido dicho número para la realización de pruebas de distinta naturaleza”.

Tras el descubrimiento de estos errores, Vodafone afirmó haber tomado medidas para solucionar la situación.

 

La infracción:

A la vista de lo anterior, la AEPD considera que Vodafone vulneró el principio de exactitud de los datos, que establece el artículo 5.1.d) del RGPD:

“Los datos personales serán: … d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»); …»

 

Atenuantes del artículo 83.2 del RGPD que la APED considera en este caso concreto:

Apartado a): “la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;

En este caso concreto, sirven como atenuantes los siguientes puntos:

(1) Que el dato personal utilizado ha sido, exclusivamente, el número de teléfono del afectado;

(2) Que la utilización del número de teléfono del afectado no ha tenido más alcance que el envío a éste de mensajes de texto SMS;

(3) Que el envío de estos SMS no se ha traducido en un daño o perjuicio grave para el afectado.

La AEPD da especial importancia a este apartado, estimándolo como una atenuante muy cualificada o especialmente significativa.

 

El apartado b): “la intencionalidad o negligencia en la infracción;

En la conducta de la reclamada no ha intervenido dolo o intencionalidad de Vodafone sino exclusivamente falta de diligencia.

 

El apartado d): “el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;

La AEPD considera que, si los empleados de Vodafone hubieran seguido sus directrices, al menos en lo que respecta a la Tienda Online, podría haberse evitado la infracción del principio de exactitud de los datos. En este caso, la falta de diligencia de la reclamada se concreta en la omisión de los necesarios controles sobre sus empleados para garantizar el cumplimiento de sus protocolos internos.

 

El apartado f): “el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;

Vodafone cooperó con la AEPD y tomó diversas medidas para resolver el problema.

 

Agravantes según el artículo 83.2 del RGPD y el artículo 76.2 de la LOPDGDD

Apartado e): “toda infracción anterior cometida por el responsable o el encargado del tratamiento;

Antes de la entrada en vigor del RDPG, Vodafone ya había sido sancionada por infracciones de la misma naturaleza.

 

Apartado k), en relación con el artículo 76.2 de la LOPDGDD, en el que se encuadra como agravante el carácter continuado de la infracción atribuida a VODAFONE.

El principio de exactitud de los datos se infringía ya en la fecha de la denuncia (23 de abril de 2018) y la vulneración se mantuvo, al menos, hasta el 24 de septiembre de 2018, esto es, durante al menos cinco meses.

 

Segunda resolución:

La resolución Nº: PS/00331/2018 Impone una multa de 5.000 euros a Vodafone.

 

Motivo de la denuncia:

El reclamante considera que Vodafone vulneró el principio de exactitud de datos, al incluir sus datos personales en el fichero de solvencia patrimonial BADEXCUG el 8 de abril de 2018 por una deuda de 193,33 euros, pese a la reclamación interpuesta por el reclamante el 22 de noviembre de 2017 ante la Secretaria de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI) por discrepancias en la aplicación de un descuento de llamadas contratado con Vodafone.

El 11 de abril de 2018, la SETSI resolvió que Vodafone debía rectificar la facturación emitida y reintegrar al reclamante los importes facturados en exceso, así como restablecer el servicio sin coste para el reclamante.

Sin embargo, tres días antes de la resolución de la SETSI, Vodafone incluyó los datos personales del reclamante en el fichero de solvencia patrimonial BADEXCUG.

Vodafone, en respuesta al requerimiento de la AEPD, aportó documentación acreditativa del abono realizado al reclamante en la factura de fecha 22 de abril de 2018 por importe de 1.662,55€ como rectificación de las facturas, de conformidad con la resolución de la SETSI.

 

La infracción:

El 19 de noviembre de 2018, la AEPD decide iniciar procedimiento sancionador contra Vodafone, al considerar la AEPD que Vodafone vulneró el principio de exactitud de los datos, que establece el artículo 5.1.d) del RGPD.

Vodafone no efectuó alegación alguna sobre el procedimiento sancionador en el plazo establecido.

 

Atenuantes del artículo 83.2 del RGPD que la APED considera en este caso concreto:

Apartado a): “la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;

La APED considera el atenuante de que Vodafone incluyó los datos del reclamante en el fichero de solvencia patrimonial por la deuda restante, el 8 de abril de 2018, es decir, sólo tres días antes de que la SETSI dictara la resolución indicando si existía o no deuda pendiente, así como su importe.

 

Apartado c): “cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados

Vodafone rectifica las facturas, reintegrando los importes indebidamente facturados.

 

El apartado f): “el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;

Vodafone cooperó con la AEPD para remediar la infracción y mitigar sus posibles efectos.

 

Conclusión:

La infracción del principio de exactitud de datos del artículo 5.1.d) del RGPD ha llevado a la AEPD ha imponer sus dos primeras multas en España por incumplimiento del RGPD.

Las resoluciones arrojan luz a como la AEPD interpreta los distintos atenuantes y agravantes del artículo 83.2 del RGPD para modular el importe de la multa, siendo la naturaleza, gravedad y duración de la infracción el principal atenuante. Es por estos atenuantes, que las multas de las dos resoluciones han sido de un importe bastante moderado: 45.000 y 5.000 euros.

En el peor escenario, la infracción del artículo 5.1.d) del RGPD puede sancionarse con multas administrativas de hasta un máximo de 20 millones de euros o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Además, como ya venía sucediendo antes de la entrada en vigor del RGPD, las multas pueden reducirse hasta en un 40% del importe inicial con el pago voluntario y el reconocimiento de responsabilidad por parte del infractor, conforme al artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

Continuaremos prestando atención a la evolución del panorama sancionador del RGPD en España, y en concreto para ver si la AEPD adquiere impulso en su actividad sancionadora de infracciones del RGPD.

______

Suscríbete y recibe las últimas noticias de nuestro blog vía email.

Gonzalo Sanchez-Jara Garralda, autor de este post es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), que se dedica a la formación digital de empleados en materia de compliance penal y protección de datos personales a través de su plataforma online.

Para más información sobre abc Compliance, pulse aquí.

Comentarios

Subscribe
Notify of
guest
0 Comentarios
Inline Feedbacks
View all comments
Ir al TOP
0
Would love your thoughts, please comment.x