¿Han sido ajustadas a derecho las 4 multas a Vodafone por 8,15 millones de euros impuestas por la AEPD?
Tres reconocidos expertos del sector analizan las razones de la AEPD para imponer sanciones tan duras a Vodafone.

¿Han sido ajustadas a derecho las 4 multas a Vodafone por 8,15 millones de euros impuestas por la AEPD?

|
15/3/2021 02:00
|
Actualizado: 15/3/2021 09:57
|

La Agencia Española de Protección de Datos (AEPD) ha multado con 8,15 millones de euros a Vodafone España por incumplir el Reglamento General de Protección de Datos (RGPD) y no frenar las comunicaciones comerciales llamadas telefónicas y envío de mensajes SMS y correos electrónicos cuando se le pidió.

La propia operadora de telecomunicación ya anunciaba que recurrirá el fallo porque cree que la resolución es desproporcionada, ejemplarizante e injusta.

Primero en recurso de reposición ante la propia AEPD y, posteriormente, en vía contencioso-administrativa ante la Audiencia Nacional.

En total, las multas ascienden a 8.150.000 euros, dividido en cuatro sanciones.

Una primera multa por cuantía de cuatro millones de euros por una infracción del Reglamento General de Protección de Datos.

Una segunda multa de dos millones de euros por otra infracción al RGPD.

Una multa de 150.000 euros por una infracción grave de la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSICE) y una cuarta multa, grave, de dos millones de euros por infringir la La Ley General de Telecomunicaciones.

Finalmente, en la propia resolución, la PS/00059/2020, la AEPD informa a Vodafone que dispone de un plazo de 6 meses para acreditar ante la Agencia que ha ajustado a lo dispuesto en el RGPD y la Ley Orgánica del Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) todas las operaciones de tratamiento analizadas.

Expertos como Carlos Alberto Saiz, socio de Ecix Group y presidente de ENATIC, Francisco Javier Sempere, abogado experto en protección de datos y Francisco González-Calero, abogado experto en privacidad y Lead Advisor Internacional de la consultora Govertis, analizan para Confilegal dicha sanción y sus repercusiones.

Carácter continuado de infracciones

Carlos Alberto Saiz explica que “gran parte de la resolución se centra en todos los requisitos que tienen que ver con las acciones comerciales de la compañía: recogida de consentimientos, bases legitimadoras para los envíos, facilitar el ejercicio de los derechos de oposición de clientes, promociones realizadas por terceros, uso de las listas Robinson, falta de control en los tratamientos, etc.”.

“En este sentido, han tenido mucho peso en la fijación de la sanción el carácter continuado de las infracciones (desde 2018), el volumen de usuarios, el volumen de expedientes (162), el número de tratamientos comerciales (200 millones), etcétera». 

Este experto revela que “uno de los aspectos sancionados es relativo al incumplimiento de los requisitos para realizar una Transferencia Internacional de Datos, en concreto a una empresa de Perú que actuaba como encargado de tratamiento”.

Asimismo, este jurista destaca “la comisión de una infracción grave del artículo 73 LOPDGDD j), k) y p), por incumplimiento de las obligaciones relacionadas con la diligencia debida a la hora de contratar a terceras compañías como encargadas de tratamiento (y subencargados) que no ofrecen garantías suficientes ni son monitorizados tras su contratación”.

“Sin duda este es uno de los aspectos en los que muchas compañías están poniendo el acento para realizar estudios de confiabilidad en privacidad TPC (‘Third Party Compliance’ o cumplimiento de terceros), antes de contratarlos dentro de sus procesos de homologación y en dedicar los recursos adecuados a realizar un seguimiento posterior del cumplimiento de tales requisitos”.

Carlos Alberto Saiz es socio de Ecix Group y presidente de ENATIC.

Sobre esta sanción este jurista extrae varias conclusiones: “Con esta sanción se comprueba cómo la Autoridad Española se va alineando a la tendencia europea en el sentido de elevar las cuantías de las sanciones, en casos que afectan especialmente a colectivos muy grandes de usuarios/clientes”.

Al mismo tiempo señala que “las sanciones millonarias no solo van a recaer en entidades financieras, sino que pueden recaer en entidades de otros sectores como es el de telecomunicaciones, u otros”.

Cree “fundamental que todas las organizaciones lleven a cabo un ejercicio de revisión de sus políticas de protección de datos, realizando un diagnóstico que refleje las posibles desviaciones entre los procedimientos que ya se han implantado y los criterios que la AEPD va fijando a través de estas recientes resoluciones”.

Y subraya que “aunque habrá que estar a las sentencias derivadas de los correspondientes recursos, considero fundamental revisar los modelos de privacidad de todo tipo de entidades, en particular en lo relativo a las bases legitimadoras, la custodia de consentimientos, las políticas de envíos comerciales y las cesiones de datos entre empresas del Grupo”.

Saiz recuerda que “la protección de datos es una materia que requiere de una enorme tecnificación y de profesionales muy especializados como estamos viendo, para velar por el impacto reputacional y económico y trabajar en un correcto Gobierno de los Datos y su debida protección son elementos nucleares para conseguir los objetivos que se persiguen”.

Un expediente que acumula 161 reclamaciones

Por su parte, Francisco Javier Sempere, abogado experto en protección de datos, señala que “con las últimas resoluciones sancionadoras adoptadas por la autoridad de control que van apareciendo lo que denomino ‘infracciones RGPD’, como pueden ser las impuestas por no haber designado delegado de protección de datos (Glovo), políticas de privacidad (los bancos), o brechas de seguridad (Saunvier Duval)”.

“Sobre el caso que nos ocupa, no se ha abierto un expediente por cada una de las reclamaciones recibidas, que son un total de 191, aunque finalmente, se descartan unas cuantas, y quedan en 161, sino que se han acumulado todas en un único expediente”, subraya.

Sempere indica que “además, pudiera ser que al tratarse de la empresa que más sanciones ha recibido por nuestra autoridad de control desde que se aplica el RGPD, esto haya motivado probablemente, que en este supuesto se hiciera una inspección presencial, aunque la misma se circunscribió a realizar comprobaciones en relación con los hechos denunciados”.

Este experto revela que “ha sido la empresa respecta de la que durante lo que podemos llamar ‘el período de gracia’, ya que hubo numerosos archivos y apercibimientos en los primeros meses de aplicación del RGPD, se archivase una de las resoluciones más curiosas: la comunicación con un cliente usando ‘WhatsApp’ que se consideró legitimado al amparo de la existencia de una relación contractual conforme al art.6.1.b del RGPD”.

Francisco Javier Sempere, abogado experto en protección de datos.

Sobre otras resoluciones sancionadoras de otras autoridades de control, destaca que “la Autoridad de Protección de Datos de Italia (Garante) ha impuesto varias multas a empresas de telecomunicaciones con hechos similares al presente caso, en los que se recibieron numerosas reclamaciones”.

Y señala los “casi 28 millones a TIM por recepción de comunicaciones comerciales sin consentimiento, así como otras infracciones como vulnerar el plazo de conservación de datos y falta de medidas de seguridad; Win Tre S.p.A con casi 17 y Vodafone Italia con más de 12 millones, por hechos similares a la anterior”.

Respecto a esta resolución recalca dos cuestiones también que ve importantes: “En primer lugar, en relación a la no aplicación del artículo 46 del Reglamento de desarrollo de la LOPD del año 1999, precepto que la AEPD considera derogado, urge por razones de seguridad jurídica, determinar si esta norma reglamentaria se encuentra derogada, o si, en caso de aplicarse, qué artículos siguen vigentes”.

“En segundo lugar, y que parece que ha pasado desapercibido, la interpretación sobre la Disposición Transitoria Quinta de la LOPDGDD, relativa a la vigencia de los contratos de encargado de tratamiento suscritos antes de la aplicación del RGPD, se señala que mantienen su vigencia siempre que su contenido se ajuste a los principios contemplados tanto en el RGPD como la LOPDGDD”, señala este jurista.

Varios incumplimientos graves

Francisco González-Calero, abogado experto en privacidad y Lead Advisor Internacional de la consultora Govertis, destaca “una vez analizada la sanción a Vodafone se constata a raíz de la información obrante en el procedimiento que la entidad sancionada carece de protocolos, políticas, normativas y procedimientos efectivos para cumplir con las obligaciones del RGPD, LSSI y LGT”.

Para este jurista “no es que se ponga en duda que existían, sino que no han resultado efectivos los controles implementados para logar el cumplimiento normativo de estas normas”.

Gonzalez-Calero subraya que “el principal argumento de Vodafone que no todos los proveedores que realizaban llamadas son encargados de tratamiento porque unos utilizaban bases de Vodafone y otros bases propios no ha lugar en nuestra opinión en este procedimiento puesto que, aunque algunos proveedores utilizaran bases propias llamaban en nombre de Vodafone”.

También recuerda que “todos hemos recibido en más de una ocasión llamadas comerciales de este tipo y no se presentan como una subcontrata, sino que literalmente indican que son de la compañía XX”.

“Por lo tanto, según la resolución “Vodafone determina los fines y medios del tratamiento por lo que es responsable de tratamiento en todos los casos”.

Al mismo tiempo “resulta también muy interesante que la AEPD entienda tácitamente derogado el art 46.2 del RD 1720/2007 al verse superado por la nueva definición de responsables y encargados de la nueva regulación”.

En su opinión, “si todas las contratas son encargados de tratamiento, la labor de verificación de proveedores debería no haberse quedado en un simple Checklist, sino que deberían haberse solicitado evidencias documentales de las respuestas afirmativas, contractualmente se debería haber impuesto obligaciones reforzadas en lo que respecta al deber de información y derecho de oposición y su posterior comunicación a Vodafone”.

“Y las verificaciones de proveedores no deberían haberse quedado en un momento inicial, sino que deberían haber seguido una política de revisiones periódicas derivado de un sistema de gestión de riesgos como es el RGPD que bajo el principio de mejora continua obliga a realizar comprobaciones, revisiones y auditorias periódicas y solventar las deficiencias y no conformidades detectadas”, señala este jurista.

“De haberse tenido implantado un sistema eficaz en esta línea no se hubiera impuesto una primera sanción de 4 millones de euros”, aclara

Además, este experto cree que “con este sistema debería haber contado desde inicio con una base de datos centralizada en el que los proveedores antes de realizar campañas comerciales en nombre de Vodafone pudieran haber comprobado de inicio las personas que habían ejercitado previamente su derecho de oposición”, incide.

No se puede olvidar que “muchas llamadas se hacían bajo el sistema de marcación aleatoria de números de teléfono, habiéndose evitado de esta manera una sanción de 2 millones por incumplimiento de la Ley General de Telecomunicaciones (LGT)”.

Francisco González es Legal and Privacy Advisory Leader de la consultora Govertis.

También revela que “si se hubiera controlado a los proveedores en calidad de encargados de tratamiento durante todo el ciclo de vida del contrato principal, se hubiera evitado la sanción de 2 millones de euros por incumplimiento de la normativa de transferencias internacionales en el RGPD”.

Esta normativa “obliga a legalizar las mismas en base a las garantías previstas en el art 46 del RGPD como pueden ser la firma de cláusulas contractuales tipo al existir una subcontrata o subencargado de tratamiento ubicado en Perú”. Indica este jurista.

González-Calero cree que “si se hubiera controlado a los proveedores y subcontratas como obliga el artículo 28 del RGPD, se hubiera detectado la transferencia internacional y se habría legalizado”.

“Cabe recordar que el artículo 28 del RGPD obliga al encargado de tratamiento a comunicar los nuevos Subencargados de tratamiento o a solicitar autorización de los nuevos Subencargados, según la opción que se haya pactado contractualmente entre las partes”, advierte este jurista

Finalmente, los 150.000 euros por sanción de la Ley de Servicios de la Sociedad de la Información (LSSI) “no tienen mucho que comentar al tratarse de un incumplimiento flagrante de esta normativa”.

“En este caso no cabe aplicar el interés legítimo del responsable previsto en el RGPD porque por ley especial prima la LSSI que establece que es necesario obtener el consentimiento expreso previo para remitir comunicaciones comerciales por vía electrónica salvo que se realicen a clientes sobre productos o servicios similares a los contratados, concluye González-Calero.

Noticias Relacionadas:
Lo último en Áreas y sectores