La AEPD ha impuesto a VODAFONE ESPAÑA SAU “Vodafone” en su resolución Nº: PS/00144/2019 la segunda multa más elevada en España desde la entrada en vigor del RPGD: 120.000 euros. En esta ocasión, por el tratamiento irregular de datos personales, motivado por un caso de suplantación de identidad.

Motivo de la denuncia:

Entre el 8 de mayo de 2018 y el 21 de octubre de 2018, Vodafone emitió 7 facturas a nombre de la reclamante por un total de 657,36 euros. Asimismo, la reclamante también comenzó a recibir constantes llamadas telefónicas de una asesoría jurídica reclamando el pago de una deuda por impago de los servicios de unas líneas telefónicas.

Como consecuencia de las llamadas reclamando el pago de la deuda, la reclamante contactó con la compañía Vodafone, donde le confirmaron que tenía contratado a su nombre varios servicios con la entidad. Servicios los cuales la reclamante nunca contrató.

La reclamante presentó una denuncia ante la Guardia Civil el 22 de agosto de 2018. El 14 de septiembre de 2018, la reclamante también interpuso una denuncia ante la Consejería de Sanidad de la Comunidad Autónoma de Castilla la Mancha (CCM), por usurpación de su identidad, al haberse usado su nombre y DNI para la contratación fraudulenta de unas líneas telefónicas en Vodafone.

El 5 de noviembre de 2018, la Consejería de Sanidad de la CCM envió la denuncia a Vodafone, la cual contestó el 9 de noviembre indicando que: “con fecha 08/11/18 se ha procedido a la desactivación de los servicios contratados con la compañía; no obstante, el proceso de facturación es un proceso que detecta los consumos realizados y ofrece garantías de que los consumos que aparecen han sido efectuados desde la tarjeta SIM, por ello, se confirma que la facturación hecha por la reclamante es correcta y aún tiene una deuda de 583,99 € pendiente de pago”.

En la misma respuesta a la Consejería de Sanidad de la CMM, Vodafone aportó copias de los contratos con la reclamante, en donde se observaba que, si bien el nombre y DNI de la reclamante sí aparecían en los documentos, todos estaban sin firmar.

Debido a la negativa de Vodafone de anular la deuda de la reclamante, el 5 de diciembre de 2018 la Consejería de Sanidad de la CCM envió la denuncia a la AEPD, la cual el 8 de enero de 2019 mandó un requerimiento a Vodafone pidiendo explicaciones.

Tras no recibir una contestación de Vodafone a su requerimiento, el 9 de abril de 2019, la AEPD inició un procedimiento sancionador contra Vodafone.

Infracción:

La infracción que la AEPD esgrime en su resolución es la del artículo 6.1 del RGPD tipificada en el artículo 83.5. del RGPD y considerada muy grave en el 72.1.b) de la LOPDGDD.

Es decir, Vodafone no tenía una base legal que legitimara el tratamiento de datos personales de la reclamante, por lo que su tratamiento era irregular.

Sin embargo, la multa de la AEPD no es por el tratamiento de datos personales antes de que Vodafone conociera la existencia de la suplantación de identidad, sino por el tratamiento de datos posterior a su conocimiento.

En este sentido, la AEPD puntualiza: “en tanto que la entidad reclamada no ha demostrado la diligencia debida a la hora de regularizar la situación fraudulenta existente, según exige el artículo 6 del RGPD, se puede declarar la existencia de una infracción al RGPD, en dicho artículo, lo que motiva suficientemente el presente procedimiento sancionador”.

Transcripción literal de la argumentación entre Vodafone y la AEPD:

No es frecuente encontrar en las resoluciones de la AEPD un intercambio literal tan extenso entre la AEPD y el reclamado, por lo que hemos querido transcribir aquí varios segmentos. Vodafone contesta a la AEPD el 30 de abril de 2019 con las siguientes alegaciones (el subrayado y la negrita son nuestros):

“Vodafone quiere manifestar que, tras la recepción de este Acuerdo de Inicio comprobó que las alegaciones que fueron preparadas en contestación del requerimiento de información E/0001/2019 fueron presentadas a la Agencia el mismo día 8 de abril de 2019, en el Registro. Se adjunta copia de las mismas como Doc. 1.

Vodafone es consciente de que estas alegaciones y la explicación de lo ocurrido se presentaron pasado el plazo concedido. Esto ocurrió así, como consecuencia del gran número de requerimientos que viene recibiendo desde la entrada en vigor del RGPD.

Tras la recepción de dicho requerimiento, Vodafone volvió a analizar la reclamación y, en primer lugar, confirmó que los servicios se encontraban dados de baja desde el mes de noviembre de 2018 (tal y como ya se había informado a la Consejería de Sanidad de la Comunidad Autónoma de Castilla La Mancha), y asimismo, solicitó la anulación de la deuda que se había dejado pendiente. Esta resolución le fue comunicada a la Sra. A.A.A. mediante carta que se adjunta como Doc. 2, de fecha 4 de abril de 2019.

…

La AEPD justifica su multa así: “En primer lugar, esta Agencia requirió a la entidad reclamada informe sobre los hechos denunciados, el 08/01/19, concediéndole un plazo de un mes para ello, pero no es hasta el 08/04/19 (3 meses después), cuando entidad envía la información requerida, por lo que, no ha sido posible tomar en consideración dicha información al haberla remitido fuera de plazo.

No obstante, se ha podido constatar que, la reclamante no era cliente de la compañía y que, según denuncias interpuestas ante la Guardia Civil y la Consejería de Sanidad de la CCM, en abril de 2018 fue objeto de un fraude en la usurpación de sus datos personales al utilizarlos para dar de alta 4 líneas de teléfono y la compra de 2 terminales móviles en la compañía VODAFONE.

VODAFONE tuvo conocimiento oficial de la denuncia por fraude el 05/11/18 a través de la Consejería de Sanidad de la CCM, aunque la reclamante indica que meses antes ya se había puesto en contacto con la compañía para denunciar los hechos. Pues bien, VODAFONE en su respuesta de fecha 09/11/18, a la Consejería de Sanidad de la CCM, reconoce el fraude, al indicar que cancela las líneas dadas de alta a nombre de la reclamante, pero sigue realizando un tratamiento irregular de los datos personales al mantener viva la deuda de 583,99 euros a su nombre, pues se lo sigue reclamando.

VODAFONE sigue realizando un tratamiento irregular de los datos personales de la reclamante, al menos hasta el 04/04/19 (5 meses después), cuando, como consecuencia de recibir el requerimiento de esta Agencia, procede a enviar escrito de reconocimiento de fraude y cancelación de deuda a la reclamante.

No obstante, no ha quedado acreditado que la compañía haya cancelado y borrado los datos personales de sus bases de datos aún. Por lo que se refiere a las grabaciones presentadas por la compañía en las alegaciones, indicar que dichas grabaciones NO son grabaciones de contratación y/o portabilidad de servicios o de verificación de datos, que deberían haberse realizado en el mes de abril/mayo de 2018, sino que son las grabaciones de la compra de los terminales móviles, realizadas, según se aprecia en ellas, en julio de 2018. Indicar además que, en dichas grabaciones existen errores en los dígitos indicados del DNI y del número de teléfono, que no son tenidos en cuenta por el representante de la compañía.

En definitiva, en tanto que la entidad reclamada no ha demostrado la diligencia debida a la hora de regularizar la situación fraudulenta existente, según exige el artículo 6 del RGPD, se puede declarar la existencia de una infracción al RGPD, en dicho artículo, lo que motiva suficientemente el presente procedimiento sancionador”.

Conclusión:

Pese a que la suplantación de identidad es un delito castigado por nuestro Código Penal en su artículo 401, es interesante ver el impacto que tiene dicho delito en relación con el RGPD, dado que la suplantación de identidad siempre irá de la mano del tratamiento irregular de datos personales por parte de la empresa que haya sido engañada.

La presente resolución pone de relieve la necesidad de que las empresas que gestionan inmensas cantidades de datos personales tengan presente el escenario de suplantación de identidad, y creen protocolos de seguridad, tanto para prevenir estas situaciones (como por ejemplo cerciorarse que los contratos están debidamente firmados), como para regularizarlas en cuanto salgan a la luz. En este sentido, formar a los empleados en cómo actuar ante dichos escenarios podría ayudar a prevenir multas innecesarias.

En la presente resolución, la AEPD no ha hecho mención de ningún agravante ni atenuante, lo cual llama la atención, dado que, con 120.000 euros, esta es la segunda multa más elevada que la AEPD ha impuesto por infracción del RGPD hasta la fecha , solo por detrás de la multa a la Liga (250.000 euros).

Por nuestra parte, seguiremos prestando atención a la evolución del panorama sancionador del RGPD en España y publicando en este blog las multas más interesantes que encontremos. Si desea estar al tanto, por favor no dude en suscribirse a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), la cual ofrece una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí

———

Fe de erratas: El presente post publicado el 8 de octubre de 2019 contenía una inexactitud que ya se ha modificado: que se trataba de la tercera multa más alta por infracción del RGPD, solo por detrás de las multas a la Liga (250.000 euros) y a Eroski (150.000 euros). La realidad es que se trata de la segunda multa más alta, ya que la multa a Eroski fue por infracción de la anterior normativa de protección de datos, no del RGPD y la LOPDGDD.