En su reciente resolución PS/00212/2019, la AEPD ha impuesto a VODAFONE ONO, S.A.U. (“Vodafone”) la primera multa por infracción del artículo 32 del RGPD. Esto es, por la falta de “medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado” respecto a los datos personales.

Dicha multa asciende a 60.000 euros, si bien la cuantía de la multa se ha reducido a 48.000 euros con el pago voluntario por parte de Vodafone.

Motivo de la denuncia:

El 15 de enero de 2019, la reclamante, al intentar acceder al área de cliente de su madre con el usuario y contraseña correspondientes, se dio cuenta que el sistema informático de Vodafone le daba acceso a los datos de otra persona, no a los de su madre.

Ese mismo día, la reclamante comunicó por teléfono a Vodafone el problema, sin que esta le ofreciera ninguna solución al respecto. También en el mismo día, la reclamante interpuso una reclamación ante la AEPD.

El 21 de febrero de 2019, la AEPD mandó un requerimiento a Vodafone para que en el plazo de un mes les remita cierta información, sin que Vodafone diera respuesta a dicho requerimiento. El 24 de junio de 2019, la AEPD inició en consecuencia un procedimiento sancionador contra Vodafone.

El 15 de julio de 2019, Vodafone alegó que el problema informático se debía a un error humano: “las dos personas implicadas realizaron una llamada al departamento de atención al cliente de VODAFONE, y que, como resultado de dicha llamada, se les remitió a cada uno de ellos un código para que pudieran visualizar sus facturas. Es probable que el agente, por error, facilitara el mismo código, lo que pudo motivar el acceso a la información equivocada.”

Infracción:

Como comentábamos al inicio del post, la AEPD observa una infracción del artículo 32 del RGPD por parte de Vodafone, el cual transcribimos a continuación:

“1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:”

a) la seudonimización y el cifrado de datos personales;

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento”

Agravantes y atenuantes:

El artículo 83.2 del RGPD permite a la AEPD graduar el importe de la sanción en función de una serie de factores. Sin embargo, debemos indicar que en esta resolución concreta hemos tenido dificultades al analizar los factores que esgrime la AEPD.

La AEPD utiliza los siguientes dos factores como agravantes (el subrayado es nuestro):

1. “En el presente caso estamos ante acción negligente no intencional, pero sobre datos significativos que permiten la identificación de una persona (artículo 83.2b))”

2. “Se encuentran afectados identificadores personales básicos (nombre, un número de identificación, el identificador de línea), según el artículo 83.2 g)”

No acabamos de entender porque el primer punto es un agravante, dado que el artículo 83.2.b) valora únicamente si se trata de una infracción negligente o intencionada, no la categoría de los datos, y en este caso, al tratarse de una negligencia, estaríamos en nuestra opinión ante un atenuante.

El segundo agravante, trata de la categoría de los datos, y entendemos que, al tratarse de datos personales básicos, no relacionados con las categorías de datos sensibles recogidos en el artículo 9 del RGPD, este segundo factor debería en nuestra opinión tratarse también como un atenuante, más que como un agravante.

Por último, indicar también que, nos llama la atención que la AEPD no haya utilizado los siguientes dos agravantes en la presente resolución:

i) “El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción», en la medida en la que Vodafone “no ha dado respuesta a ninguno de los requerimientos formulados por la Agencia Española de Protección de Datos.”

ii) “La entidad reclamada tiene la consideración de una gran empresa”. Factor que sí se ha utilizado como agravante en el pasado contra Vodafone (resolución PS/00092/2019).

Conclusión:

La presente resolución es especialmente interesante por ser la primera multa por infracción del artículo 32 del RGPD en España. Recordemos que la infracción de este artículo en otros países ya ha dado lugar a numerosas multas, entre las que cabe destacar la multa a la Autoridad de Tierra de Malta, la multa al hospital portugués Centro Hospitalar do Barreiro Montijo, la multa a la empresa alemana de redes sociales “Knuddels.de”, y la posible multa a la que se enfrenta British Airways.

Como sabemos, la infracción del artículo 32 del RGPD puede sancionarse con multas administrativas de hasta un máximo de 10 millones de euros o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Sin perjuicio de lo anterior y a la luz de anteriores multas de la AEPD, la cuantía impuesta con más frecuencia en sus multas tiende a ser de 60.000 euros.

La interpretación por parte de la AEPD de los factores agravantes y atenuantes del artículo 83.2 del RGPD sigue en nuestra opinión generando cierta confusión, como es el caso de esgrimir factores agravantes que fácilmente podrían interpretarse como atenuantes.

En este sentido, resulta llamativa en nuestra opinión la existencia de una ligera arbitrariedad por parte de la AEPD a la hora de determinar los factores agravantes y atenuantes en los casos. El ejemplo más evidente, es la utilización del factor agravante “La entidad reclamada tiene la consideración de una gran empresa” contra Vodafone en una resolución anterior (resolución PS/00092/2019), y no en la actual.

Por nuestra parte, seguiremos prestando atención a la evolución del panorama sancionador del RGPD en España y publicando en este blog las multas que encontremos. Si desea estar al tanto, por favor no dude en suscribirse a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), que se dedica a la formación digital de empleados en materia de compliance penal y protección de datos personales a través de su plataforma online.

______

Para más información sobre abc Compliance, pulse aquí.