El pasado 12 de noviembre, la Agencia de Protección de Datos Italiana (el “Garante per la protezione dei dati personali” o el “Garante”) impuso a la empresa de telecomunicaciones Vodafone Italia S.p.A. (“Vodafone”) una multa de 12,25 millones de euros por numerosas infracciones del RGPD.

La investigación de este caso surgió tras la recepción por el Garante de cientos de reclamaciones y quejas de afectados por las continuas llamadas telefónicas no deseadas realizadas por Vodafone y su red comercial para promover sus servicios de telefonía e internet. Desde diciembre de 2018 hasta el 17 de junio de 2020, el Garante había abierto 438 expedientes contra Vodafone.

Hechos e infracciones:

Tras su investigación, el Garante determinó que Vodafone no fue capaz de demostrar la existencia de un sistema de control en el proceso de recogida de datos personales desde el primer contacto con un posible cliente.

Es decir, Vodafone carecía de un sistema de control que le permitiera filtrar los datos personales de aquellas personas que no habían prestado su consentimiento a recibir comunicaciones promocionales.

En consecuencia, ante la ausencia de dicho sistema de control, Vodafone se limitaba a añadir los datos personales de todos sus contactos a la base de datos que posteriormente se utilizaba para sus actividades promocionales, todo ello sin tener presente si existía un consentimiento para tal fin. Según el Garante, esta conducta infringió los artículos 5.1, 5.2 y 25.1 del RGPD.

Durante la investigación, también se comprobó que Vodafone compraba a otras empresas listas de contactos para utilizarlas en sus actividades de telemarketing y mensajes promocionales. La adquisición y posterior procesamiento de los datos personales de estas listas por Vodafone se producía sin el consentimiento requerido por los afectados. Esta infracción afectó a aproximadamente 4,5 millones de personas en el 2019. Según la resolución, esta conducta infringió los artículos 5.1, 5.2, 6.1 y 7 del RGPD.

El Garante también descubrió que, en varios casos, Vodafone llamó y envió SMS promocionales no deseados a personas incluso después de haber ejercido estas su derecho de oposición al procesamiento de sus datos. Según el Garante, esta conducta infringió los artículos 5, 6, 7 y 21 del RGPD.

La investigación del Garante también arrojó luz sobre las deficiencias de seguridad en la base de datos de Vodafone. Según la resolución, varios clientes de Vodafone que habían tenido problemas técnicos con su servicio fueron contactados vía WhatsApp por individuos haciéndose pasar por empleados de Vodafone, solicitando imágenes del DNI del cliente.

El Garante explica que esto fue posible como consecuencia de la falta de medidas de seguridad apropiadas en las bases de datos de Vodafone, que permitió el acceso no autorizado de estos individuos a los datos personales de los clientes para posteriormente utilizar sus datos con fines fraudulentos. Según la resolución, esta conducta infringió los artículos 24 y 32 del RGPD.

Asimismo, Vodafone no comunicó la anterior brecha de seguridad de datos personales al Garante, lo que supuso la infracción del artículo 33.1 del RGPD.

Por último, el Garante también explica que Vodafone incumplió las solicitudes de varios clientes que buscaban ejercer sus derechos de acceso y de rectificación. Según la resolución, esta conducta infringió los artículos 15.1 y 16 del RGPD.

Números fantasma:

Durante la investigación, el Garante también comprobó que multitud de llamadas telefónicas promocionales de Vodafone se realizaron a través de números de teléfono que en teoría no pertenecían a la red de ventas de Vodafone.

Es decir, números de teléfono que no estaban registrados en el Registro de Operadores de Comunicaciones Italiano (“ROC”). Números de teléfono con un prefijo extranjero y que no pertenecían a contratistas identificados de Vodafone (“Números Fantasma”).

Las reclamaciones recibidas por el Garante como consecuencia de llamadas promocionales realizadas a través de los Números Fantasma superaron sobradamente las reclamaciones recibidas por las llamadas promocionales realizadas a través de la red comercial oficial de Vodafone.

El Garante concluyó que la finalidad del uso de Números Fantasma era la de evitar las obligaciones establecidas por el RGPD para poder así practicar un telemarketing “salvaje” con absoluta impunidad.

Medidas impuestas por el Garante:

Además de la multa de 12,25 millones de euros, el Garante impuso a Vodafone las siguientes exigencias:

Modificar los procesos y controles de telemarketing de Vodafone con el fin de poder acreditar que la captación de clientes a través de llamadas promocionales se realiza exclusivamente mediante el uso de números de teléfono registrados en el ROC. Es decir, sin utilizar Números Fantasma.

Obligar a Vodafone a cumplir las solicitudes de derecho de acceso y derecho de rectificación de los reclamantes.

Obligar a Vodafone a adecuar las medidas de seguridad de sus bases de datos con el fin de eliminar o en todo caso reducir significativamente el riesgo de acceso no autorizado.

Prohibir a Vodafone el procesamiento de datos personales con fines promocionales y comerciales de las personas que no hayan otorgado un consentimiento libre, especifico e informado para tal fin.

Conclusión:

La táctica del uso de Números Fantasma por Vodafone en Italia para presuntamente evadir las obligaciones del RGPD es preocupante, no solo por las molestias ocasionadas a los afectados, sino por lo que puede evidenciar sobre la cultura corporativa ética de la empresa.

En las multas millonarias por sobornos a funcionarios extranjeros (normalmente impuestas por el Department of Justice o la Securities Exchange Commission de EEUU por infringir la Foreign Corrupt Practices Act), no es inusual que, tras la multa a la empresa culpable, surjan nuevas investigaciones en otros países donde también opera la empresa infractora.

Esto es consecuencia de una cooperación cada vez más estrecha entre las agencias gubernamentales de los distintos países mediante el intercambio de información. En una ponencia sobre Compliance hace años escuché una frase que resume este tema: “Lo que sucede en las Vegas, ya no se queda en las Vegas”.

Vodafone España es la empresa con mayor número de multas de la AEPD por infracción del RGPD. Será interesante comprobar si la presente multa millonaria en Italia a Vodafone tiene algún tipo de impacto en las actuales o futuras investigaciones de la AEPD sobre dicha empresa.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.