La Agencia Española de Protección de Datos (AEPD) impone a Vodafone la tercera mayor multa en España por infracción del RGPD por no poder acreditar el consentimiento de un cliente

12/03/2020 Gonzalo Sánchez-Jara No hay comentarios

El pasado 27 de febrero, la AEPD impuso en su resolución PS/00235/2019 a VODAFONE ESPAÑA SAU. (“Vodafone”) una multa de 120.000 euros, por no poder acreditar el consentimiento de un cliente de 14 años de edad (el “Reclamante”) para el tratamiento de sus datos personales, y por incluir dichos datos en los ficheros de solvencia patrimonial, ASNEF y BADEXCUG.

Los hechos:

El 27 de enero de 2018, el padre del Reclamante dio de alta a su hijo en un contrato de telefonía de Vodafone a través de la tienda online de esta. Sin embargo, 16 días después, el 12 de febrero, el padre llamó a Vodafone para comunicarles que había dado de alta a su hijo por error, y solicitó su baja.

En dicha conversación, Vodafone ofreció en su lugar cambiar el contrato de línea de postpago a otro de prepago, a lo que, según Vodafone, el Reclamante consintió.

Con fecha 17 de octubre de 2018, el Reclamante recibió una carta reclamándole una deuda con Vodafone por un importe de 93,77 euros (la “Carta”), otorgándole 10 días naturales para su pago, o de lo contrario incluiría sus datos en un fichero de solvencia patrimonial y crédito.

Ese mismo día, el padre del Reclamante presentó un escrito ante la Secretaría de Estado para el Avance Digital (SEPAD) explicando que “VODAFONE ha procedido a dar de alta unos servicios a nombre de su hijo sin su consentimiento y los ha cedido a una empresa de gestión de cobro que le requiere el pago de 93,77 euros”.

Pese a que el plazo otorgado para el pago de la deuda era de 10 días naturales, Vodafone solicitó el alta de los datos personales del Reclamado en el fichero ASNEF solo un día después de que el Reclamado recibiera la Carta.

Asimismo, Vodafone también solicito el alta de los datos personales del Reclamado en el fichero BADEXCUG solo 4 días después de que el Reclamado recibiera la Carta.

El 8 de febrero de 2019, la SEPAD resolvió que “Vodafone no ha acreditado en ningún momento, que el reclamante hubiera prestado su consentimiento para el tratamiento de sus datos personales durante los 13 meses que estuvo activa la línea móvil” Asimismo, “Se estima la reclamación en cuanto a la activación de los servicios por parte de VODAFONE ESPAÑA, S.A.U., a nombre del reclamante, en cuanto al alta no solicitada, reconociendo el derecho del reclamante a obtener la baja inmediata en el servicio no solicitado, así como a no abonar las facturas que pueda haber emitido VODAFONE ESPAÑA, S.A.U., debiendo este proceder a su devolución en el supuesto de que el abonado las haya pagado ya”.

Ese mismo día, el padre del Reclamante llamó a Vodafone para comunicar la resolución de la SEPAD y solicitar la baja de la línea. Sin embargo, Vodafone mantuvo la línea activa y facturándola, 7 días más, hasta regularizar la facturación y darla de baja.

Por todo lo anterior, el 9 de marzo de 2019, el padre del Reclamante, presentó en la AEPD una reclamación en representación de su hijo.

Infracción:

La AEPD concluye que Vodafone infringió los artículos 5.1.a) y 6.1.a) del RGPD. La infracción del artículo 6.1.a) del RGPD por tratar los datos personales del Reclamante durante 13 meses, sin poder acreditar su consentimiento.

La infracción del artículo 5.1.a) del RGPD por tratar los datos personales del Reclamante de forma ilícita y desleal al incluirlos en los ficheros de solvencia ASNEF y BADEXCUG sin además cumplir el plazo concedido para el pago de la deuda.

Conclusión:

La presente multa es una de las tres multas más altas impuestas por la AEPD en España por infracción del RGPD hasta la fecha actual. El primer puesto pertenece a la Liga Nacional de Futbol Profesional (resolución PS/00326/2018), con una multa de 250.000 euros. El segundo y tercer puesto pertenecen a Vodafone España SAU (resolución PS/00144/2019 y la resolución del presente post) con una multa de 120.000 euros en cada caso.

Una de las lecciones que se debería recordar con este caso, es el principio de responsabilidad proactiva del artículo 5.2 del RGPD. Dicho artículo establece que: “El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).”. Es decir: la carga de la prueba de si hubo o no consentimiento, recae sobre el responsable del tratamiento de datos, no sobre el reclamante.

Asimismo, si bien el artículo 7 de la LOPDGDD permite que el consentimiento de un menor de edad con 14 años sea válido para el procesamiento de sus datos, las empresas deberían extremar la atención al recabar el consentimiento de menores de edad en particular, y al tratar sus datos personales en general.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en Europa, por favor no dudes en suscribirte.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.

La Agencia Española de Protección de Datos (AEPD) impone a Vodafone la tercera mayor multa en España por infracción del RGPD por no poder acreditar el consentimiento de un cliente

Artículos relacionados

Comentarios

Podría interesarle

El Parlamento de la Unión Europea aprueba la propuesta de Directiva de protección de los denunciantes

Primera multa en el Reino Unido por infracción del RGPD: 275.000 libras

1 Multa récord de 1.200 millones de euros a Meta Platforms Ireland Limited por la transferencia de datos personales de los usuarios de Facebook de la Unión Europea a EEUU sin garantías adecuadas

2La Agencia de Protección de Datos Irlandesa tiene hasta el 12 de mayo para emitir su decisión final sobre la legalidad de la transferencia de datos personales de Facebook de la UE a EEUU

3Multa de 170.000 euros a Vodafone por faltas de medidas de seguridad para evitar la suplantación de identidad

4Una startup californiana de telesalud compartió datos personales de más de 3 millones de pacientes con empresas tecnológicas

5Multa de la AEPD a una empresa por almacenar las contraseñas de sus usuarios sin encriptar

6El Garante de Protección de Datos Italiano impone a la empresa creadora del chatbot “Replika” una limitación temporal del tratamiento de datos en Italia por posibles infracciones del RGPD

7La Comisión de Protección de Datos Irlandesa impone a META una multa de 390 millones de euros por infracción del RGPD

8Sylvia Enseñat de Carlos: “Cada vez hay más profesionales que eligen especializarse en Compliance para desarrollar su carrera profesional en este ámbito”

9El RGPD Blog finalista a los Premios ASCOM 2022 en la categoría “Medio de Comunicación”

10Multa récord de 10 millones de euros de la AEPD a Google por infracción del RGPD

11Ranking de las 10 multas más altas en España por infracción del RGPD – 2º Trimestre 2022

12Ranking de las 10 multas más altas en España por infracción del RGPD – 1er Trimestre 2022

13Multa de la AEPD a CaixaBank de 2,1 millones de euros por condicionar la exención de comisiones a clientes al otorgamiento de su consentimiento para fines distintos de los propios del contrato

14La AEPD impone a una empresa del grupo Amazon una multa de 2 millones de euros por solicitar a sus candidatos un certificado de ausencia de antecedentes penales

15La AEPD impone a Vodafone una multa de 3,94 millones de euros por faltas de medidas de seguridad adecuadas en su proceso para expedir duplicados de la tarjeta SIM

16Ranking de las 10 multas más altas en España por infracción del RGPD – 4º Trimestre 2021

17Procedimientos sancionadores de la AEPD por no tener designado a un delegado de protección de datos

18Feliz Navidad y próspero 2022

19Conceptos de responsable del tratamiento y encargado del tratamiento en el RGPD. ¿Qué sucede cuando un contrato identifica a una de las partes como el responsable del tratamiento y en la práctica no es el caso?

20La AEPD impone a CaixaBank una multa de 3 millones de euros por insuficiencias en su proceso de obtención del consentimiento de sus clientes para la elaboración de perfiles

21Consecuencias de imponer solo apercibimientos a las administraciones públicas por la infracción del RGPD

22Ranking de las 10 multas más altas en España por infracción del RGPD – 3er Trimestre 2021

23¿Cómo beneficia al responsable del tratamiento el tomar medidas para paliar los daños y perjuicios sufridos por los interesados cuando se produce una infracción del RGPD?

24Multa de 200.000 euros de la Agencia Española de Protección de Datos (AEPD) a BBVA por falta de medidas de seguridad en el tratamiento de datos

25La AEPD impone a Mercadona una multa de 3,15 millones de euros por varias infracciones del RGPD relacionadas con su sistema de reconocimiento facial (Parte 2/2)

26La AEPD impone a Mercadona una multa de 3,15 millones de euros por varias infracciones del RGPD relacionadas con su sistema de reconocimiento facial (Parte 1/2)

27Multa en Italia de 2,6 millones de euros a Foodinho, filial italiana de Glovo, por infracción del RGPD

28La Comisión Europea aprueba la decisión de adecuación para la libre transmisión de datos entre la Unión Europea y el Reino Unido

29Ranking de las 10 multas más altas en España por infracción del RGPD – 2o Trimestre 2021

30Amazon se enfrenta en Luxemburgo a una posible multa de 350 millones de euros por infracción del RGPD