El pasado 27 de octubre, la AEPD impuso en su procedimiento sancionador PS/00303/2020, una nueva multa a Vodafone España S.A.U. (“Vodafone”) de 60.000 euros por no poder acreditar la contratación online de un supuesto cliente.

Hechos:

El 21 de agosto de 2019 el reclamante recibió un correo electrónico de Vodafone indicándole que se había realizado con éxito la compra de un terminal móvil. Sin embargo, el reclamante negó haber realizado dicha compra, al ser cliente de otra operadora; por lo que presentó una reclamación ante la AEPD.

Durante su investigación, la AEPD solicitó a Vodafone el contrato de la compra del terminal móvil con la firma del reclamante. En el contrato facilitado por Vodafone a la AEPD, se encontraban los datos personales del reclamante, sus datos bancarios y una dirección de correo electrónico perteneciente a su hija. Sin embargo, Vodafone alegó que debido a que la contratación se realizó online, el contrato no tenía la firma del reclamante.

Tras la investigación, la AEPD determinó que Vodafone no pudo aportar evidencia que demostrara que la contratación de la compra del terminal móvil, y la aceptación del tratamiento de datos, fue realizada por el reclamante.

Concretamente, Vodafone no envió al reclamante ningún tipo de comunicación previa a la contratación del terminal móvil solicitando su confirmación: ni por SMS, correo electrónico, o llamada telefónica. Tampoco se utilizó ningún sistema de firma electrónica de contratación para verificar la identidad del reclamante.

Vodafone tampoco pudo aportar evidencia de la procedencia de la contratación (IP de sesión), por lo que no fue posible establecer el origen de los datos del reclamante.

Infracción:

La AEPD concluye que Vodafone no fue capaz de acreditar la legitimación para el tratamiento de los datos del reclamante, en la medida en la que no se verificó la identidad de la persona que realizó la contratación online y dio su consentimiento para el tratamiento de los datos del reclamante. Según el procedimiento sancionador, se infringió el artículo 6.1 del RGPD relativo a la licitud del tratamiento.

La AEPD explica que: “[…] la reclamada (Vodafone) no ha aportado documento o elemento probatorio alguno que evidencie que la entidad, ante tal situación, hubiera desplegado la diligencia mínima exigible para verificar que efectivamente su interlocutora era la que afirmaba ostentar”.

Conclusión:

En la era tecnológica en la que nos encontramos, el presente caso ilustra la importancia en la contratación online de tener implementadas medidas automáticas de verificación de la identidad del usuario, con el fin de mitigar el riesgo de fraude por robo de identidad. Ya sea mediante el uso de firma electrónica, o el envío de SMS, correos electrónicos o la realización de llamadas telefónicas.

Estas medidas deben servir también para poder demostrar que el usuario que ha dado su consentimiento para el tratamiento de sus datos es en efecto el usuario correcto, dando así legitimidad al tratamiento de sus datos. Todo ello en consonancia con el principio de responsabilidad proactiva del RGPD.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.