La Agencia Española de Protección de Datos (AEPD) impone a Vodafone la tercera mayor multa en España por infracción del RGPD por no poder acreditar el consentimiento de un cliente

El pasado 27 de febrero, la AEPD impuso en su resolución PS/00235/2019 a VODAFONE ESPAÑA SAU. (“Vodafone”) una multa de 120.000 euros, por no poder acreditar el consentimiento de un cliente de 14 años de edad (el “Reclamante”) para el tratamiento de sus datos personales, y por incluir dichos datos en los ficheros de solvencia patrimonial, ASNEF y BADEXCUG.


Los hechos:

El 27 de enero de 2018, el padre del Reclamante dio de alta a su hijo en un contrato de telefonía de Vodafone a través de la tienda online de esta. Sin embargo, 16 días después, el 12 de febrero, el padre llamó a Vodafone para comunicarles que había dado de alta a su hijo por error, y solicitó su baja.

En dicha conversación, Vodafone ofreció en su lugar cambiar el contrato de línea de postpago a otro de prepago, a lo que, según Vodafone, el Reclamante consintió.

Con fecha 17 de octubre de 2018, el Reclamante recibió una carta reclamándole una deuda con Vodafone por un importe de 93,77 euros (la “Carta”), otorgándole 10 días naturales para su pago, o de lo contrario incluiría sus datos en un fichero de solvencia patrimonial y crédito.

Ese mismo día, el padre del Reclamante presentó un escrito ante la Secretaría de Estado para el Avance Digital (SEPAD) explicando que “VODAFONE ha procedido a dar de alta unos servicios a nombre de su hijo sin su consentimiento y los ha cedido a una empresa de gestión de cobro que le requiere el pago de 93,77 euros”.

Pese a que el plazo otorgado para el pago de la deuda era de 10 días naturales, Vodafone solicitó el alta de los datos personales del Reclamado en el fichero ASNEF solo un día después de que el Reclamado recibiera la Carta.

Asimismo, Vodafone también solicito el alta de los datos personales del Reclamado en el fichero BADEXCUG solo 4 días después de que el Reclamado recibiera la Carta.

El 8 de febrero de 2019, la SEPAD resolvió que “Vodafone no ha acreditado en ningún momento, que el reclamante hubiera prestado su consentimiento para el tratamiento de sus datos personales durante los 13 meses que estuvo activa la línea móvil” Asimismo, “Se estima la reclamación en cuanto a la activación de los servicios por parte de VODAFONE ESPAÑA, S.A.U., a nombre del reclamante, en cuanto al alta no solicitada, reconociendo el derecho del reclamante a obtener la baja inmediata en el servicio no solicitado, así como a no abonar las facturas que pueda haber emitido VODAFONE ESPAÑA, S.A.U., debiendo este proceder a su devolución en el supuesto de que el abonado las haya pagado ya”.

Ese mismo día, el padre del Reclamante llamó a Vodafone para comunicar la resolución de la SEPAD y solicitar la baja de la línea. Sin embargo, Vodafone mantuvo la línea activa y facturándola, 7 días más, hasta regularizar la facturación y darla de baja.

Por todo lo anterior, el 9 de marzo de 2019, el padre del Reclamante, presentó en la AEPD una reclamación en representación de su hijo.


Infracción:

La AEPD concluye que Vodafone infringió los artículos 5.1.a) y 6.1.a) del RGPD. La infracción del artículo 6.1.a) del RGPD por tratar los datos personales del Reclamante durante 13 meses, sin poder acreditar su consentimiento.

La infracción del artículo 5.1.a) del RGPD por tratar los datos personales del Reclamante de forma ilícita y desleal al incluirlos en los ficheros de solvencia ASNEF y BADEXCUG sin además cumplir el plazo concedido para el pago de la deuda.


Conclusión:

La presente multa es una de las tres multas más altas impuestas por la AEPD en España por infracción del RGPD hasta la fecha actual. El primer puesto pertenece a la Liga Nacional de Futbol Profesional (resolución PS/00326/2018), con una multa de 250.000 euros. El segundo y tercer puesto pertenecen a Vodafone España SAU (resolución PS/00144/2019 y la resolución del presente post) con una multa de 120.000 euros en cada caso.

Una de las lecciones que se debería recordar con este caso, es el principio de responsabilidad proactiva del artículo 5.2 del RGPD. Dicho artículo establece que: “El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).”. Es decir: la carga de la prueba de si hubo o no consentimiento, recae sobre el responsable del tratamiento de datos, no sobre el reclamante.

Asimismo, si bien el artículo 7 de la LOPDGDD permite que el consentimiento de un menor de edad con 14 años sea válido para el procesamiento de sus datos, las empresas deberían extremar la atención al recabar el consentimiento de menores de edad en particular, y al tratar sus datos personales en general.


Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en Europa, por favor no dudes en suscribirte.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.

Comentarios

Deja una respuesta

avatar
  Subscribe  
Notify of
Ir al TOP

Esta página web utiliza cookies de Google para prestar sus servicios y para analizar su tráfico. Su dirección IP se comparte con Google, junto con las métricas de rendimiento y de seguridad, para garantizar la calidad del servicio, generar estadísticas de uso y detectar y solucionar abusos. En caso de que se suscriba al blog, también usaremos cookies de Mailchimp con el fin de poder recopilar los datos necesarios para el envío de newsletters. más información

Los ajustes de cookies de esta web están configurados para "permitir cookies" y así ofrecerte la mejor experiencia de navegación posible. Si sigues utilizando esta web sin cambiar tus ajustes de cookies o haces clic en "Aceptar" estarás dando tu consentimiento a esto.

Cerrar