La AEPD impone a Vodafone por su actividad comercial la multa más alta por infracción del RGPD en España: 8,15 millones de euros
El pasado 11 de marzo de 2021, la APED impuso a Vodafone España, S.A.U. (“Vodafone”) en su procedimiento sancionador PS/00059/2020 (el “Procedimiento”) una multa 8,15 millones de euros. La multa es consecuencia de la actividad de mercadotecnia y prospección comercial realizada en nombre y por cuenta de Vodafone mediante llamadas telefónicas y envío de e-mails y SMS (“Actividad Comercial”).
Según el Procedimiento, el volumen de la Actividad Comercial realizada desde mayo de 2018 a marzo de 2019 ascendió a 200.000.000 de llamadas, e-mails y SMS, generando hasta 162 reclamaciones válidas ante la AEPD.
La Actividad Comercial la realizaba tanto Vodafone de forma directa, como a través de sus agentes comerciales por cuenta y nombre de Vodafone. Varios de los agentes comerciales a su vez subcontrataron su actividad comercial con otros agentes.
Infracciones
Según el Procedimiento, la Actividad Comercial vulneró las siguientes normas:
La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (“LSSI”). Concretamente su artículo 21.1 por realizar comunicaciones comerciales a potenciales clientes sin expresa autorización para ello, utilizando números de teléfono y direcciones de correo electrónico aleatorios. Esta infracción fue sancionada con 150.000 euros.
La Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (“LGT”). Concretamente su artículo 48.1b), por realizar acciones publicitarias de forma reiterada pese a que el interesado se había opuesto a dichas acciones y estaba registrado en distintos ficheros de exclusión publicitaria (Listados Robinson).
En la medida en que la Actividad Comercial incumplió el derecho de oposición del interesado, la AEPD relaciona la infracción del artículo 48.1.b) de la LGT con los artículos 21 del RGPD y 23 de la LOPDGDD. Esta infracción fue sancionada con 2.000.000 de euros.
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (“RGPD”). Concretamente, el artículo 28 del RGPD por contratar Vodafone, en su condición de responsable del tratamiento, con encargados del tratamiento (los agentes comerciales) sin capacidad técnica y organizativa apropiada para llevar a cabo el encargo garantizando la protección de los derechos del interesado.
La AEPD también acusa a Vodafone de incumplir el artículo 28 del RGPD por no “verificar las garantías del encargado” durante el transcurso del encargo “a través de auditorías e inspecciones cuando corresponda”, al interpretar la AEPD que el artículo 28 establece una obligación continua que no termina al firmar el contrato con el encargado del tratamiento. Esta infracción fue sancionada con 4.000.000 de euros.
La AEPD estima que Vodafone también infringió el artículo 44 del RGPD, pues al contratar con el agente comercial “Casmar”, este a su vez subcontrató el tratamiento de datos con otra entidad ubicada en Perú (siempre en nombre y por cuenta de Vodafone), sin que Vodafone cumpliera con las garantías exigidas por el RGPD para la transferencia internacional de datos personales. Esta infracción fue sancionada con 2.000.000 de euros.
Responsable del tratamiento vs. Encargado del tratamiento
Uno de los argumentos empleados por Vodafone para defenderse de la infracción del artículo 28 del RGPD es que sus agentes comerciales no tenían la condición de encargados del tratamiento, sino que actuaban como responsables del tratamiento en la medida en que utilizaban sus propias bases de datos a las que supuestamente Vodafone no tenía acceso.
Sin embargo, la AEPD deshecha este argumento haciendo referencia a lo establecido en las Directrices 07/2020 del Comité Europeo de Protección de Datos (CEPD) sobre los conceptos de responsable del tratamiento y encargado en el RGPD:
“Un responsable del tratamiento es quien determina los propósitos y los medios del tratamiento, es decir, el porqué y el cómo del tratamiento. El responsable del tratamiento debe decidir sobre ambos propósitos y medios. Sin embargo, algunos aspectos más prácticos de la implementación («medios no esenciales») se pueden dejar en manos del encargado del tratamiento. No es necesario que el responsable tenga realmente acceso a los datos que se están tratando para calificarse como responsable”.
Conclusión
La multa impuesta a Vodafone en el Procedimiento por sus actividades comerciales no es nueva. Como vimos en un post anterior, Italia ya impuso a Vodafone Italia S.p.A. el pasado 12 de noviembre de 2020 una multa de 12,25 millones de euros por numerosas infracciones del RGPD relacionadas con su actividad de telemarketing.
De todos los aspectos analizados por la AEPD en el Procedimiento, nos resultan especialmente destacables los siguientes dos puntos:
En primer lugar, la mención que hace la AEPD en relación con el artículo 28 del RGPD: “La obligación de utilizar únicamente los encargados de tratamiento «que proporcionan garantías suficientes» contenidas en el artículo 28, apartado 1, del RGPD es una obligación continua. No termina en el momento en que el responsable y el encargado del tratamiento celebran un contrato u otro acto legal. En su lugar, el responsable debe, a intervalos apropiados, verificar las garantías del encargado, incluso a través de auditorías e inspecciones cuando corresponda”.
En segundo lugar, las matizaciones que hace la AEPD respecto a la definición del concepto del responsable del tratamiento: “Los conceptos de responsable y encargado de tratamiento no son formales, sino funcionales y deben atender al caso concreto” y “Un responsable del tratamiento es quien determina los propósitos y los medios del tratamiento, es decir, el porqué y el cómo del tratamiento”.
En base a estas matizaciones, podría interpretarse que un responsable del tratamiento no adquiere esa condición solo porque exista un contrato que así lo estipule. Un responsable del tratamiento tendrá esta condición cuando este en posición de determinar los propósitos y los medios del tratamiento.
La presente multa de 8,15 millones de euros a Vodafone es la mayor multa impuesta hasta la fecha por la AEPD por infracción del RGPD.
Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.
______
Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.
Comentarios