El pasado 31 de julio, la AEPD impuso en su resolución PS/00168/2020 (la “Resolución”) una multa de 75.000 euros a Vodafone España, S.A.U. (“Vodafone”) por tratar los datos de la reclamante sin estar legitimado para ello.

Hechos:

La reclamante, excliente de Vodafone, solicitó a la entidad la supresión de sus datos personales en el año 2015. No obstante, la reclamante continuó recibiendo mensajes SMS publicitarios de Vodafone en su móvil.

Según Vodafone, la razón principal por la que la reclamante continuó recibiendo SMS fue que “dicho número se ha estado utilizando tanto por agentes colaboradores como por empleados de Vodafone al tratarse de un número sencillo de recordar y rápido de escribir, por tanto, un número “dummy”, cómodo de utilizar en determinadas actividades y procesos”.

Es decir, Vodafone y sus agentes colaboradores utilizaron para pruebas un número de teléfono sin cerciorarse de que dicho número en efecto existía y pertenecía a una excliente que había ejercido su derecho de supresión en el pasado.

Vodafone declara haber implementado medidas para evitar que el número de la reclamante vuelva a utilizarse para pruebas. No obstante, no se menciona la creación de ningún control para que el mismo problema no vuelva a producirse con el número de teléfono de otras personas que tengan un número “sencillo de recordar”.

Infracción:

La AEPD concluye que Vodafone vulneró el artículo 6.1 del RGPD al tratar los datos personales de la reclamada sin estar legitimado para ello.

La AEPD no estima que se produjera una infracción del artículo 17 del RGPD relativa al derecho de supresión, pese a que Vodafone continuó enviando publicidad a la reclamante.

Entre los agravantes que menciona la AEPD estarían el carácter continuado de la infracción, las infracciones del RGPD cometidas por Vodafone en el pasado, y el hecho de que la presente infracción atañe a datos personales básicos (nombre, número de identificación y número de teléfono) de la reclamante.

Conclusión:

Vodafone tiene el dudoso honor de ocupar el 50% del ranking de las multas más altas en España por infracción del RGPD: cinco de las diez multas más altas recaen sobre esta entidad. Recordemos además que Vodafone fue la primera entidad en ser sancionada por la AEPD por infracción del RGPD tras la entrada en vigor de dicha normativa.

A la vista de los datos, podría interpretarse que todas estas sanciones a Vodafone son síntomas de un problema subyacente más grave por parte de la entidad: una inadecuada adaptación de sus procedimientos y controles internos a la normativa del RGPD.

¿Estamos ante una situación en donde el pago de varias multas resulta más barato que la implementación de un programa de compliance efectivo y de medidas técnicas que velen por el cumplimiento del RGPD? Una táctica peligrosa, ya que el RGPD contempla multas de hasta el 4% del volumen de negocio total anual global del ejercicio financiero anterior.

Quizás en el futuro, cuando la AEPD obtenga más recursos técnicos y financieros, y pueda investigar debidamente a Vodafone, la tolerancia de esta entidad a las multas desaparezca.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en Europa, por favor no dudes en suscribirte a nuestro blog.

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.