Multa de la Agencia Española de Protección de Datos (AEPD) por enviar documentos con datos personales a la persona equivocada

La AEPD ha publicado este noviembre la resolución PS/00249/2019 en la que sanciona a VODAFONE ESPAÑA SAU (“Vodafone”) con una multa de 60.000 euros por infringir el principio de confidencialidad recogido en el artículo 5.1.f) del RGPD y el artículo 5 de la LOPDGDD.


Motivo de la denuncia:

Según la denuncia presentada ante la AEPD el 12 de febrero de 2019, Vodafone remitió al reclamante junto a sus facturas, las facturas de otra persona. Dichas facturas incluían datos personales como el nombre del titular de la cuenta con Vodafone, así como su número de teléfono y dirección.

En los hechos de la resolución no se indica si el reclamante se puso en contacto con Vodafone para informarles del presente error antes de presentar la denuncia ante la AEPD.

Tras recibir la denuncia del reclamante, la AEPD envió el 10 de abril de 2019 un requerimiento a Vodafone para que explicara su versión de los hechos. No obstante, Vodafone no contestó al requerimiento.


Infracción:

Al revelar al reclamante los datos personales de un tercero, la AEPD estima que Vodafone infringió el principio de confidencialidad recogido en los artículos 5.1.f) del RGPD y 5 de la LOPDGDD:

El artículo 5.1.f) del RGPD: “los datos personales serán tratados tal manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)”.

El artículo 5.1. de la LOPDGDD: “Los responsables y encargados del tratamiento de datos, así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679”.

La finalidad de dicho principio es la de evitar que se den filtraciones de datos personales no autorizadas por los titulares de los mismos.


Agravantes y atenuantes artículo 83.2 del RGPD:

En la presente resolución, la AEPD ha indicado los apartados del RGPD y de la LOPDGDD que ha utilizado para graduar la sanción, si bien no ha clarificado cuales considera agravantes y cuales atenuantes. La siguiente clasificación de agravantes y atenuantes es una interpretación nuestra.


Atenuantes:

Artículo 83.2.b) del RGPD: “la intencionalidad o negligencia en la infracción”. En el presente caso, el envío por parte de Vodafone al reclamante de las facturas de un tercero ajeno, se considera que fue una negligencia, no hubo intencionalidad.

Artículo 83.2.g) del RGPD: “las categorías de los datos de carácter personal afectados por la infracción”. Este es el apartado de la resolución que más dudas nos ha generado. Entendemos que se trata de un atenuante, dado que los datos personales en este caso concreto no son de naturaleza sensible según lo dispuesto en el artículo 9 del RGPD y por lo tanto su pérdida de confidencialidad genera menos riesgo a los derechos y libertados del afectado.


Agravantes:

Artículo 83.2.c) del RGPD: “cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados”. Dado que Vodafone no contestó al requerimiento de Vodafone, la AEPD asume en la resolución que no se han tomado medidas para mitigar los daños sufridos por el interesado.

Artículo 83.2.f) del RGPD: “el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción”. La AEPD estima que no ha habido ninguna cooperación hasta el momento, ya que Vodafone ni siquiera ha contestado al requerimiento de la AEPD.

Artículo 83.2.h) del RGPD: “la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida”. Este punto es un agravante dado que la presente infracción fue denunciada por el afectado y no por el responsable o el encargado del procesamiento de datos. No obstante indicar que en la resolución no queda claro si el reclamante puso en conocimiento de Vodafone esta infracción antes de presentar su denuncia ante la AEPD.

Artículo 83.2.k) del RGPD en relación con el artículo 76.2.b) de la LOPDGDD: “La vinculación de la actividad del infractor con la realización de tratamientos de datos”. Puesto que la actividad de Vodafone está estrechamente relacionada con el tratamiento de datos personales de sus clientes, deberían haber tomado medidas adicionales para prevenir este error.


Conclusión:

Las multas por infracción del principio de confidencialidad son recurrentes, como hemos visto en posts anteriores ejemplos como la multa a Correos, o las multas a Endesa Energía XXI y a Vodafone Ono.

Si bien en las multas antes mencionadas, las sanciones no son especialmente elevadas para una gran empresa (van de 40.000 a 100.000 euros), recordemos que la infracción del artículo 5.1.f) del RGPD puede llegar a sancionarse con multas administrativas de hasta un máximo de 20 millones de euros o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.


En nuestra opinión, en la presente resolución hay dos puntos que merecen destacarse:

El primer punto: la falta de prevención. Los errores humanos suceden, por lo que resulta fundamental contar con más formación y/o protocolos de control para prevenir dichos errores. Especialmente para una gran empresa como Vodafone que cuenta en España (según su Informe Integrado Vodafone en España 2018-19) con 5.153 empleados y cientos de miles de clientes.

El segundo punto: la falta de respuesta. No responder cuando se comunica el error vía requerimiento de la AEPD. En este sentido sorprende que Vodafone, la cual tiene cierta experiencia con la AEPD, no conteste todos los requerimientos de la AEPD de forma inmediata. De haberlo hecho, quizás habría podido transformar los agravantes 83.2c) y 83.2.f) antes mencionados, en atenuantes.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en Europa, por favor no dudes en suscribirte.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.

Comentarios

Subscribe
Notify of
guest
0 Comentarios
Inline Feedbacks
View all comments
Ir al TOP
0
Would love your thoughts, please comment.x