El pasado 1 de septiembre la AEPD impuso en su procedimiento sancionador PS/00186/2020 a Vodafone España S.A.U. (“Vodafone”) una multa de 100.000 euros por volver a enviar al reclamante un correo electrónico de aviso de facturación.

Antecedentes del caso:

Recordemos que el 3 de febrero de 2020, la AEPD ya se pronunció sobre este mismo caso en su proceso sancionador PS/00278/2019, fallando a favor del reclamante, y sancionando a Vodafone con una multa de 75.000 euros.

En dicho caso, el reclamante, excliente de Vodafone desde el 2017, solicitó a la entidad la supresión de sus datos personales. La respuesta de Vodafone fue: “una vez analizados los hechos descritos por el reclamante no mantiene servicio alguno activo en Vodafone, ni importes pendientes de pago”. Sin embargo, en los últimos meses de 2018 y en el 2019, el reclamante siguió recibiendo correos electrónicos con avisos de facturas.

La explicación de Vodafone a la AEPD fue que: “debido a un error informático en sus sistemas, el correo electrónico del reclamante se quedó “enganchado” y continuó constando en la ficha de envío de comunicaciones informativas relativas a las facturas electrónicas emitidas por Vodafone, siendo ese el motivo por el que ha recibido dichas comunicaciones”.

Asimismo, Vodafone indicó a la AEPD que: “dicho error fue solucionado, por lo que el reclamante no volverá a recibir ninguna comunicación relativa a la facturación electrónica de Vodafone ni ninguna otra que no haya consentido previamente”.

En la actualidad:

El 11 de marzo de 2020, el reclamante presentó una nueva reclamación ante la AEPD al haber vuelto a recibir un correo electrónico de aviso de facturación por parte de Vodafone con fecha de 28 de febrero de 2020. Es decir: Veinticinco días después de la publicación del procedimiento sancionador PS/00278/2019, Vodafone reincidió en los mismos hechos, pese a haber declarado a la AEPD que el incidente había sido solucionado.

Infracción:

Ambos procedimientos sancionadores de la AEPD concluyeron que Vodafone había infringido el artículo 6.1. del RGPD al haber tratado los datos personales del reclamante sin poder acreditar una base legal para ello.

La AEPD no sancionó a Vodafone por infringir el artículo 17 del RGPD relativo al derecho de supresión.

La multa de la AEPD por la reincidencia de Vodafone ascendió a 100.000 euros. No obstante, la entidad terminó pagando 60.000 euros al utilizar las dos reducciones previstas por la ley (20% cada una) por pago voluntario y reconocimiento de su responsabilidad.

Conclusión:

El presente caso sienta un precedente en relación con el coste de repetir los hechos que motivaron un primer procedimiento sancionador de la AEPD: un incremento del 33,3% respecto a la multa inicial (75.000 euros en el primer procedimiento frente a 100.000 euros del segundo procedimiento).

La presente multa de 100.000 euros se sitúa además en el puesto número 6 del ranking de las multas más altas en España de la AEPD por infracción del RGPD.

Volvemos a plantear la cuestión que ya mencionamos en un post anterior sobre Vodafone: ¿Estamos ante una situación en donde el pago de repetidas multas a la AEPD resulta más económico que invertir en la creación de un programa de Compliance efectivo con procedimientos y controles que velen por el cumplimiento del RGPD?

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.

Desde el Blog creemos que la AEPD ha desaprovechado una buena oportunidad para imponer un castigo ejemplar y así asegurarse que otras empresas objeto de un procedimiento sancionador entiendan que la reincidencia no es una opción económicamente viable.