Actividades promocionales a clientes y potenciales clientes con un consentimiento defectuoso o inexistente

Durante el Periodo de Investigación, el Garante recibió numerosas reclamaciones contra WindTre relacionadas con la recepción de contactos promocionales no deseados realizados por teléfono, sms, correo electrónico y fax.

En muchos casos las actividades promocionales continuaron incluso después de que los interesados solicitaran la oposición a dicho tratamiento.

Contactos realizados a través de un consentimiento defectuoso:

A lo largo de la investigación, el Garante comprobó que los métodos generales de recopilación del consentimiento al firmar un contrato no cumplían los requisitos para un consentimiento valido.

Concretamente, el contrato de servicios utilizado por WindTre se imprimía con todas las casillas relativas al consentimiento ya preseleccionadas.

Asimismo, el tamaño de la letra del texto relativo a la manifestación del consentimiento en el contrato era “considerablemente más reducido” que la letra del resto del contrato, por lo que resultaba difícil leer dicho texto, así como detectar que las casillas para otorgar el consentimiento ya estaban preseleccionadas.

Durante la investigación se descubrió un informe enviado por WindTre a uno de los operadores de ventas en el que se explicaban los indicadores utilizados para valorar su rendimiento. Uno de estos factores era en “atención a los datos de calidad ingresados, en particular las casillas marcadas deben estar al 100% en todo”. Es decir, la obtención del consentimiento del cliente era un indicador que WindTre utilizaba para valorar el rendimiento del operador de ventas.

También se unificaron dos consentimientos que antes estaban separados, en una sola manifestación de voluntad, presentado al cliente el siguiente texto: «Acepto el procesamiento de mis datos personales para recibir comunicaciones sobre ofertas especiales, descuentos y promociones relacionadas con los productos y servicios de Wind y de socios seleccionados por Wind». Es decir, se solicitaba un único consentimiento para recibir comunicaciones promocionales tanto de WindTre como de terceros, algo contrario al RGPD que establece que para cada finalidad debe de haber un consentimiento especifico.

En tres contratos, el consentimiento otorgado data de los años 1998/99 y no estaban actualizados a la normativa vigente, dado que se requería del cliente un único consentimiento para diferentes fines de tratamiento.

Por último, el Garante descubrió la existencia en Roma de un centro de llamadas que habría realizado actividades comerciales dirigidas a potenciales clientes en nombre de WindTre. Dicho centro de llamadas utilizó datos de clientes de otro operador telefónico con métodos ilícitos y, en todo caso, fuera del marco normativo previsto por el RGPD.

Contactos realizados sin consentimiento:

En numerosos casos, WindTre manifestó que la comunicación comercial se realizó por error.

En otros casos, la comunicación se realizó porque aún no se había tramitado la solicitud de oposición del interesado, debido a problemas de gestión de la correspondencia o de identificación del interesado.

Por último, en varios casos más, WindTre no pudo documentar la obtención del consentimiento.

Infracciones:

WindTre trató los datos personales de los reclamantes sin el correspondiente consentimiento, infringiendo los artículos 6.1.a) y 7 del RGPD. El Garante explica además que “Estos tratamientos, sistemáticos y no ocasionales, deben considerarse también potencialmente llevado a cabo sobre un gran número de partes interesadas (clientes y no clientes)”.

Asimismo, los métodos de recogida del consentimiento en el momento de la firma del contrato constituyen una evidente ausencia de lealtad y transparencia hacia los interesados, infringiendo el artículo 5.1.a) del RGPD. El Garante indica que se trata de “una conducta que no solo es negligente, sino que está deliberadamente diseñada para eludir las reglas establecidas para proteger la libertad de expresión de la voluntad de los interesados”.

WindTre también infringió el artículo 5.2 del RGPD relativo al principio de responsabilidad proactiva al no ser capaz de demostrar el consentimiento de varios de los interesados cuyos datos trató.

Por último, el Garante estima que WindTre infringió el artículo 25.1 del RGPD al imponer a sus operadores de ventas mecanismos altamente incentivadores para la adquisición de consentimientos, por considerar estos incentivos una medida organizativa inadecuada para velar por los derechos y libertades de los interesados.

Vuelve al post principal aquí.

Actividades promocionales a clientes y potenciales clientes con un consentimiento defectuoso o inexistente

1 Multa récord de 1.200 millones de euros a Meta Platforms Ireland Limited por la transferencia de datos personales de los usuarios de Facebook de la Unión Europea a EEUU sin garantías adecuadas

2La Agencia de Protección de Datos Irlandesa tiene hasta el 12 de mayo para emitir su decisión final sobre la legalidad de la transferencia de datos personales de Facebook de la UE a EEUU

3Multa de 170.000 euros a Vodafone por faltas de medidas de seguridad para evitar la suplantación de identidad

4Una startup californiana de telesalud compartió datos personales de más de 3 millones de pacientes con empresas tecnológicas

5Multa de la AEPD a una empresa por almacenar las contraseñas de sus usuarios sin encriptar

6El Garante de Protección de Datos Italiano impone a la empresa creadora del chatbot “Replika” una limitación temporal del tratamiento de datos en Italia por posibles infracciones del RGPD

7La Comisión de Protección de Datos Irlandesa impone a META una multa de 390 millones de euros por infracción del RGPD

8Sylvia Enseñat de Carlos: “Cada vez hay más profesionales que eligen especializarse en Compliance para desarrollar su carrera profesional en este ámbito”

9El RGPD Blog finalista a los Premios ASCOM 2022 en la categoría “Medio de Comunicación”

10Multa récord de 10 millones de euros de la AEPD a Google por infracción del RGPD

11Ranking de las 10 multas más altas en España por infracción del RGPD – 2º Trimestre 2022

12Ranking de las 10 multas más altas en España por infracción del RGPD – 1er Trimestre 2022

13Multa de la AEPD a CaixaBank de 2,1 millones de euros por condicionar la exención de comisiones a clientes al otorgamiento de su consentimiento para fines distintos de los propios del contrato

14La AEPD impone a una empresa del grupo Amazon una multa de 2 millones de euros por solicitar a sus candidatos un certificado de ausencia de antecedentes penales

15La AEPD impone a Vodafone una multa de 3,94 millones de euros por faltas de medidas de seguridad adecuadas en su proceso para expedir duplicados de la tarjeta SIM

16Ranking de las 10 multas más altas en España por infracción del RGPD – 4º Trimestre 2021

17Procedimientos sancionadores de la AEPD por no tener designado a un delegado de protección de datos

18Feliz Navidad y próspero 2022

19Conceptos de responsable del tratamiento y encargado del tratamiento en el RGPD. ¿Qué sucede cuando un contrato identifica a una de las partes como el responsable del tratamiento y en la práctica no es el caso?

20La AEPD impone a CaixaBank una multa de 3 millones de euros por insuficiencias en su proceso de obtención del consentimiento de sus clientes para la elaboración de perfiles

21Consecuencias de imponer solo apercibimientos a las administraciones públicas por la infracción del RGPD

22Ranking de las 10 multas más altas en España por infracción del RGPD – 3er Trimestre 2021

23¿Cómo beneficia al responsable del tratamiento el tomar medidas para paliar los daños y perjuicios sufridos por los interesados cuando se produce una infracción del RGPD?

24Multa de 200.000 euros de la Agencia Española de Protección de Datos (AEPD) a BBVA por falta de medidas de seguridad en el tratamiento de datos

25La AEPD impone a Mercadona una multa de 3,15 millones de euros por varias infracciones del RGPD relacionadas con su sistema de reconocimiento facial (Parte 2/2)

26La AEPD impone a Mercadona una multa de 3,15 millones de euros por varias infracciones del RGPD relacionadas con su sistema de reconocimiento facial (Parte 1/2)

27Multa en Italia de 2,6 millones de euros a Foodinho, filial italiana de Glovo, por infracción del RGPD

28La Comisión Europea aprueba la decisión de adecuación para la libre transmisión de datos entre la Unión Europea y el Reino Unido

29Ranking de las 10 multas más altas en España por infracción del RGPD – 2o Trimestre 2021

30Amazon se enfrenta en Luxemburgo a una posible multa de 350 millones de euros por infracción del RGPD