El pasado 14 de septiembre de 2021, la AEPD publicó cinco procedimientos sancionadores contra Vodafone España, S.A.U. (“Vodafone”) por infracción del RGPD.

Los procedimientos en concreto son: PS/00193/2021, PS/00192/2021, PS/00191/2021, PS/00190/2021, y PS/00189/2021.

En cada procedimiento, un tercero suplantó la identidad del reclamante con el fin de contratar distintos servicios con Vodafone.

Puesto que el consentimiento otorgado para el tratamiento de los datos no provenía realmente de los reclamantes, sino de terceros que habían suplantado su identidad, el consentimiento otorgado carecía de validez. Esto dio lugar a que Vodafone tratara los datos personales de los reclamantes sin una base legítima para ello.

Sin perjuicio de lo anterior, en el presente post no buscamos explicar lo sucedido en cada procedimiento. La finalidad de este post es analizar el beneficio para el responsable o encargado del tratamiento de tomar medidas para paliar los daños y perjuicios sufridos por los interesados cuando se produce una infracción del RGPD.

En este sentido, en la siguiente imagen se pueden apreciar los detalles de los 5 procedimientos:

Imagen de la Base de Datos RGPD de abc Compliance

En la imagen hay un punto que resulta destacable: si en todos los procedimientos se infringe el mismo artículo del RGPD, el reclamado es la misma entidad, los casos son de naturaleza similar, y en cada procedimiento solo se ha visto afectado un único reclamante, ¿por qué razón, en el procedimiento PS/00193/2021 se ha impuesto una multa de 50.000 euros mientras que en los otros cuatro procedimientos se han impuesto multas de 70.000 euros?

Se trata de una diferencia de aproximadamente 28,6%.

Tras examinar los distintos procedimientos, el procedimiento PS/00193/2021 es el único procedimiento de entre los cinco que cuenta con un atenuante:

Según la AEPD, en relación con los servicios contratados por el tercero que había suplantado la identidad del reclamante, Vodafone “De forma inmediata procedió a gestionar la baja de los servicios y el abono de las cantidades facturadas (artículo 83.2.c, RGPD)”.

Recordemos que el artículo 83.2.c) del RGPD recoge este atenuante de la siguiente forma: “cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados”.

Con el fin de entender mejor las medidas tomadas por Vodafone en el procedimiento PS/00193/2021, para paliar los daños y perjuicios sufridos por el reclamante, a continuación incluimos un breve resumen:

Medidas tomadas por Vodafone en el procedimiento PS/00193/2021 para paliar los daños y perjuicios sufridos por el reclamante

El 4 de enero de 2021 el reclamante interpuso una reclamación ante la Agencia Española de Protección de Datos.

En primer lugar, Vodafone procedió a “dar de baja temporal las líneas asociadas al ID de cliente denunciado en fecha 11 de enero de 2021 tras comprobar los indicios de fraude, y comunicaron formalmente las gestiones realizadas al reclamante en fechas 11 de enero y 18 de febrero de 2021 […]”.

“Finalmente, con fecha 18 de marzo de 2021, procedieron a realizar la desactivación de los servicios objeto de alta fraudulenta tras confirmar que la incidencia se había debido a una contratación de servicios de suplantación de identidad del reclamante. Asimismo, una vez declaradas las altas como fraudulentas, procedieron a cancelar la deuda existente en sus sistemas. […] así como el abono correspondiente para cancelar la deuda”.

En resumen, en un plazo aproximado de dos meses y medio desde la reclamación presentada ante la AEPD, Vodafone dio de baja temporal las líneas contratadas por el tercero, confirmó la concurrencia de fraude, canceló definitivamente las líneas contratadas por el tercero, anuló las facturas emitidas al reclamante y reembolsó al reclamante por los cargos realizados por Vodafone en su cuenta bancaria hasta la fecha.

Conclusión

A la pregunta de cómo beneficia al responsable del tratamiento tomar medidas para paliar los daños y perjuicios sufridos por los interesados cuando se produce una infracción del RGPD, en base al caso analizado, cuando todas las variables son las mismas (mismo artículo del RGPD infringido, mismo reclamado, similar naturaleza de la infracción, un único reclamante, misma fecha de publicación) este atenuante puede llegar a suponer una reducción de hasta el 28,6% de la cuantía final de la multa.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.