La AEPD ha publicado en mayo dos nuevas resoluciones con multas por infracción del RGPD, una a ENDESA ENERGÍA XXI, S.L.U. (“Endesa”) y la otra a VODAFONE ONO, S.A.U (“Vodafone”).

Ambas resoluciones son por la infracción del principio de confidencialidad que establece el RGPD en su artículo 5.1.f).

Primera resolución:

La AEPD en su resolución Nº: PS/00074/2019 ha impuesto a ENDESA ENERGÍA XXI, S.L.U. (“Endesa”) una multa administrativa de 100.000 euros, si bien la cuantía de la multa se ha reducido a 60.000 euros con el pago voluntario y el reconocimiento de su responsabilidad por parte de Endesa, conforme al artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

Motivo de la denuncia:

La reclamante tiene un contrato de suministro entre su empresa Ergosistemas y Endesa en donde figura como apoderada.

Existe un individuo que ha sido condenado por delito de coacciones en el orden familiar imponiéndosele orden de alejamiento de la reclamante, su domicilio o trabajo durante dos años (el “Individuo”).

El Individuo llamó el 7 de mayo de 2018 al servicio de atención al cliente de Endesa con el fin de solicitar que se diera de alta un contrato de electricidad en punto X a nombre de la empresa Ergosistemas.

El agente-teleoperador de Endesa informó al Individuo que la reclamante figuraba como persona de contacto de la citada empresa, a lo que el Individuo replicó que dicha persona ya no mantenía relación laboral con la empresa.

El agente-teleoperador, sin comprobar la veracidad de la información aportada por el Individuo, suprimió los datos de la reclamante que figuraban en su contrato de suministro con Endesa poniendo en su lugar los datos personales del Individuo.

El 4 de julio de 2018, la reclamante recibió en su cuenta bancaria un cargo cuyo beneficiario era el Individuo.

La reclamante solicitó que se le aportara la dirección de correo electrónico asociada a su contrato de suministro, confirmándose que la misma correspondía al Individuo y que por tanto la última factura relativa al contrato de su punto de suministro fue enviada al correo electrónico de dicho Individuo.

En síntesis, por un error humano, Endesa sustituyó en el contrato de suministro de la reclamante sus datos personales por los datos del Individuo, lo que propició que se mandara una factura del contrato de suministro al Individuo, revelándole los datos incluidos en la misma.

La infracción:

A la vista de lo anterior, la AEPD considera que Endesa vulneró el principio de confidencialidad de los datos, que establece el artículo 5.1.f) del RGPD al “revelar a un tercero, condenado por delito de coacciones en el ámbito familiar y al que se le había impuesto entre otras medidas orden de alejamiento durante dos años, los datos incluidos en la factura del contrato de suministro”.

La finalidad de dicho principio es la de evitar que se den filtraciones de datos personales no autorizadas por los titulares de los mismos.

Asimismo, la AEPD entiende que “ese deber de confidencialidad es una obligación que incumbe no sólo al responsable y encargado del tratamiento sino a todo aquel que intervenga en cualquier fase del tratamiento y complementaria del deber de secreto profesional”, como es en este caso el agente-teleoperador que cometió el error.

La infracción del principio de confidencialidad es calificada de infracción muy grave en el artículo 72.1.a) de la LOPDPGDD.

Atenuantes y agravantes de los artículos 83.2 del RGPD y 76.2 de la LOPDGDD que la APED considera en este caso concreto:

A diferencia de las resoluciones que vimos en su día en nuestro post “La Agencia Española de Protección de Datos (AEPD) impone a Vodafone las primeras dos multas por infracción del RGPD” los factores que ha esgrimido la AEPD en esta resolución como atenuantes y agravantes no están en nuestra opinión debidamente desarrollados. No se indica a qué puntos concretos del artículo 83.2 del RGPD o del artículo 76.2 de la LOPDGDD pertenecen, ni si la AEPD los entiende como agravantes o atenuantes.

Desde el RGPD Blog hemos procurado interpretar cada factor, determinando si se trata de un atenuante o agravante y a qué puntos concretos del artículo 83.2 del RGPD o del artículo 76.2 de la LOPDGDD pertenecen.

Los factores que la AEPD ha tenido en cuenta son los siguientes:

1. “El alcance meramente local del tratamiento llevado a cabo por la entidad reclamada”. Un atenuante un tanto opaco, que se correspondería con lo dispuesto en el artículo 83.2.a) del RGPD “la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;”. En nuestra opinión, el factor mas confuso de las dos resoluciones que hemos visto.


2. “Solo se ha visto afectada una persona por la conducta infractora”. – claramente un atenuante, que se correspondería con lo dispuesto en el artículo 83.2.a) del RGPD.


3. “El perjuicio causado a la reclamante, debiendo tener en consideración la situación con respecto a la persona que efectuó el cambio, de la cual tuvo orden de alejamiento”. – Un agravante que también se correspondería con lo dispuesto en el artículo 83.2.a) del RGPD.


4. “No se tiene constancia de que la entidad hubiera obrado dolosamente, aunque la actuación revela falta de diligencia grave”. – Al no existir dolo, entendemos que se trata de un atenuante que se correspondería con lo dispuesto en el artículo 83.2.b) del RPGD: “la intencionalidad o negligencia en la infracción;”


5. “La entidad reclamada ha adoptado medidas para evitar que se produzcan incidencias similares”. – Un atenuante que se correspondería con lo dispuesto en el artículo 83.2.f) del RPGD: “el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;”


6. “La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal”. – Un agravante, puesto que la actividad de Endesa está estrechamente relacionada con el tratamiento de datos personales de sus clientes y por lo tanto deberían haber tomado medidas adicionales para prevenir este error. Este factor se correspondería con lo dispuesto en el artículo 76.2.b) de la LOPDGDD.


7. “La entidad reclamada tiene la consideración de una gran empresa”. – Un agravante, que no aparecía en las resoluciones de la AEPD que examinamos en nuestro antiguo post (multas a Vodafone). Este factor creemos que se correspondería con el artículo 83.2.k) del RGPD.

Segunda resolución:

En este caso, la AEPD en su resolución Nº: PS/00092/2019 ha impuesto a VODAFONE ONO, S.A.U (“Vodafone”) una multa administrativa de 60.000 euros, si bien la cuantía de la multa se ha reducido a 36.000 euros con el pago voluntario y el reconocimiento de su responsabilidad por parte de Vodafone, conforme al artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

Motivo de la denuncia:

El reclamante contrata los servicios de Vodafone en abril de 2018. Posteriormente, el reclamante recibe un email el 10 de agosto de 2018 de Vodafone con ofertas de la empresa. En dicho e-mail, por un error humano, no se ocultan los datos de los destinatarios, por lo que cualquiera de estos puede identificar por nombres y apellidos y/o direcciones de e-mail a los más de 80 destinatarios del e-mail.

El 8 de octubre de 2018 el reclamante presenta una denuncia ante la AEPD.

La infracción:

Al igual que en la primera resolución de este post, la AEPD considera que Vodafone vulneró el principio de confidencialidad de los datos, que establece el artículo 5.1.f) del RGPD:

5.1. Los datos personales serán: (…) f) Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”.

Atenuantes y agravantes de los artículos 83.2 del RGPD y 76.2 de la LOPDGDD que la APED considera en este caso concreto:

Como ya hemos mencionado en la primera resolución de este post, los factores que ha esgrimido la AEPD en esta resolución como atenuantes y agravantes no están en nuestra opinión debidamente desarrollados. No se indica a qué puntos concretos del artículo 83.2 del RGPD o del artículo 76.2 de la LOPDGDD pertenecen, ni si la AEPD los entiende como agravantes o atenuantes.

Al igual que en la anterior resolución, desde el RGPD Blog hemos procurado interpretar cada factor determinando si se trata de un atenuante o agravante y a que puntos concretos del artículo 83.2 del RGPD o del artículo 76.2 de la LOPDGDD pertenecen.

La AEPD estima que concurren los siguientes factores:

1. “Las personas cuyos derechos se han visto afectados por la conducta de VODAFONE han sido más de ochenta”.- Un agravante, que se corresponde con lo dispuesto en el artículo 83.2.a) del RGPD “la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;”


2. “El daño causado a los afectados por vulneración de la confidencialidad de sus datos no puede considerarse significativo”. – Un atenuante, que se corresponde con lo dispuesto en el antes mencionado artículo 83.2.a) del RGPD.


3. “La falta de diligencia demostrada por VODAFONE puede calificarse de significativa”. – Hemos dudado con este factor, entendemos que, al no haber dolo, sería un atenuante, y se correspondería con lo dispuesto en el artículo 83.2.b) del RPGD: “la intencionalidad o negligencia en la infracción;”


4. “Tras recibir el escrito de la Agencia dándole traslado de la reclamación, VODAFONE envió al reclamante, con fecha 31/01/2019, una carta en la que le pide disculpas por las molestias ocasionadas y le informa de que la práctica que denuncia no está admitida por la compañía y que ha enviado a la plantilla comercial un comunicado recordándoles cómo llevar a cabo las comunicaciones comerciales”. – Un atenuante, que se correspondería con lo dispuesto en articulo 83.2.c) del RGPD: “cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;”


5. “Existe una evidente vinculación entre el tratamiento de datos de carácter personal y la actividad que desarrolla la entidad VODAFONE”. – Un agravante, que se correspondería con lo dispuesto en el artículo 76.2.b) de la LOPDGDD.


6. “La reclamada tiene la consideración de gran empresa”. – Un agravante, que no aparecía en las resoluciones de la AEPD que examinamos en nuestro antiguo post (multas a Vodafone). Este factor creemos que se correspondería con el artículo 83.2.k) del RGPD.

Conclusión:

Tras un mes desde la publicación de las dos primeras resoluciones con multas administrativas, la AEPD ha publicado dos nuevas resoluciones, esta vez con multas más elevadas: 100.000 y 60.000 euros, ambas por infracción del principio de confidencialidad que establece el RGPD en su artículo 5.1.f) del RGPD.

Pese al incremento en la cantidad de las multas, recordemos que la infracción del artículo 5.1.f) del RGPD puede sancionarse con multas administrativas de hasta un máximo de 20 millones de euros o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Resulta llamativo en nuestra opinión, que en su tercera y cuarta resoluciones con multas administrativas por infracción del RGPD, en donde todavía estamos aprendiendo el funcionamiento práctico del RGPD, la AEPD haya decidido únicamente nombrar los factores que ha tenido en cuenta para determinar el importe de la sanción sin desarrollar cuáles de estos factores son agravantes y cuales atenuantes, y a qué punto concreto del artículo 83.2 del RGPD o del artículo 76.2 de la LOPDGDD pertenecen. Algo que la AEPD sí hizo en sus dos primeras resoluciones con multas por infracción del RGPD.

Un aspecto que resulta interesante considerar es la estrecha vinculación entre la infracción del deber de confidencialidad y una posible brecha de seguridad de datos personales con el consiguiente deber de comunicar dicha brecha de seguridad a la AEPD y en algunos casos a los interesados. Si bien, no ha sido el caso en las presentes resoluciones, principalmente porque las empresas reclamadas aparentemente no tenían constancia de la infracción del principio de confidencialidad, ni por tanto de la resultante brecha de seguridad.

En ambas resoluciones la infracción del principio de confidencialidad es consecuencia de un error humano que deriva muy probablemente de la falta de una debida formación del empleado. Algo que a día de hoy sorprende, dado las numerosas empresas que se dedican a la formación de empleados, como es el caso de nuestro patrocinador, abc Compliance.

Seguiremos prestando atención a la evolución del panorama sancionador del RGPD en España y publicando en este blog las multas que encontremos. Si desea estar al tanto, por favor no dude en suscribirse a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), que se dedica a la formación digital de empleados en materia de compliance penal y protección de datos personales a través de su plataforma online.

______

Para más información sobre abc Compliance, pulse aquí.