Vodafone salva, a medias, una multa histórica. La operadora ha visto recortada la cuantía de la que era, hasta ahora, la mayor sanción impuesta en España por infracciones de protección de datos. La Audiencia Nacional ha reducido a 4,5 millones de euros la multa inicial de 8,15 millones que le había impuesto la Agencia Española de Protección de Datos (AEPD) en 2021. Sin embargo, la AN no ha eximido de responsabilidad a Vodafone, destacando que cometió infracciones graves relacionadas con el Reglamento General de Protección de Datos (RGPD), especialmente en la gestión de campañas de mercadotecnia y transferencias internacionales de datos personales.
La AN señala que la operadora no cumplió con su obligación de supervisar a los encargados y subencargados de tratamiento. "El responsable del tratamiento tiene la obligación de controlar el tratamiento de sus colaboradores, implantando todo tipo de sistemas y medidas de seguridad y monitoreo que verifiquen el cumplimiento de sus instrucciones y el cumplimiento de la normativa de protección de datos, y en virtud del principio de responsabilidad proactiva ser capaz de demostrarlo, lo que no efectuó pues la problemática seguía produciéndose, sin solución de continuidad", asegura el fallo.
Transferencias internacionales sin garantías
Uno de los aspectos más controvertidos del caso es la transferencia de datos personales a Perú, gestionada a través de la subcontrata A-Nexo. Según la AN, Vodafone permitió estas transferencias sin cumplir con los requisitos establecidos por el RGPD. "No consta autorización previa y por escrito de Vodafone, toda vez que, como manifestó TQF en vía administrativa, solo se informa a Vodafone del subencargado en el momento en el que se le solicita su acceso a la plataforma de contratación de Vodafone. Es decir, Vodafone, como responsable del tratamiento, desconoce con antelación a quién y en qué condiciones se contrata a un encargado/subencargado, para actuar por su cuenta y nombre, y acepta sin reparos esta conducta de forma continuada y reiterada".
El fallo también señala que Vodafone no implementó cláusulas contractuales tipo para garantizar la protección de los datos personales transferidos a Perú, como exige la normativa europea. "Queda acreditado que la infracción del artículo 44 del RGPD, tipificada en el artículo 83.5.c) del RGPD, se ha cometido", concluye la sentencia.
Comunicaciones comerciales no autorizadas
Otro de los puntos clave de la resolución se centra en el envío de SMS y correos electrónicos publicitarios sin el consentimiento de los destinatarios. Según la Audiencia Nacional, "los tratamientos realizados de envío de comunicaciones electrónicas (SMS, email) a través de los diferentes canales carecen de autorización expresa de los destinatarios". Además, en muchos casos no se ofrecía al receptor la posibilidad de oponerse al tratamiento, y esta situación no se corrigió hasta finales de 2018, cuando Vodafone implementó un enlace web para este propósito, aunque sin efectividad total.
La AEPD también constató que se realizaron llamadas a usuarios inscritos en la lista Robinson o que habían ejercido su derecho de oposición a recibir comunicaciones comerciales. La sentencia recoge que "de las actuaciones practicadas en el procedimiento resulta acreditada la realización de llamadas a numeraciones 'Robinson' o habiendo ejercitado el reclamante el derecho de oposición y/o cancelación".
Aunque la Audiencia Nacional confirmó las infracciones, consideró que la sanción inicial de 8,15 millones era excesiva. Según el tribunal, la resolución de la AEPD carecía de un análisis suficientemente detallado para justificar una multa de tal magnitud.
La sentencia deja claro que el incumplimiento reiterado de las obligaciones del RGPD puede tener consecuencias severas para las empresas. "La adopción de las medidas o cautelas necesarias para asegurar la efectividad del derecho de oposición al tratamiento de sus datos por parte de (…) como responsable del fichero, subsisten aunque las campañas publicitarias no se realicen a partir de los datos de sus propios ficheros, sino con bases de datos de otras compañías contratadas", enfatiza el texto.
Un caso precedente
La reducción de la multa a Vodafone derivada de una sanción impuesta por la AEPD no es nueva. El pasado verano, la Audiencia Nacional ya rebajó los 3,4 millones con los que fue penalizada la operadora a 1,9 millones.
En este caso, este tribunal también concluyó que, si bien Vodafone era responsable de la infracción, la multa de 3,94 millones de euros era excesiva. Teniendo en cuenta las medidas de seguridad implementadas y otros factores atenuantes, el tribunal decidió reducir la sanción a 1,9 millones de euros. Este fallo destaca la importancia del principio de responsabilidad proactiva en la gestión de la protección de datos personales.
La multa venía derivada de 2021 cuando la AEPD impuso una multa de 3,94 millones de euros a la operadora por no implementar medidas de seguridad adecuadas en el proceso de expedición de duplicados de tarjetas SIM, una infracción calificada como muy grave.
Vodafone salva, a medias, una multa histórica. La operadora ha visto recortada la cuantía de la que era, hasta ahora, la mayor sanción impuesta en España por infracciones de protección de datos. La Audiencia Nacional ha reducido a 4,5 millones de euros la multa inicial de 8,15 millones que le había impuesto la Agencia Española de Protección de Datos (AEPD) en 2021. Sin embargo, la AN no ha eximido de responsabilidad a Vodafone, destacando que cometió infracciones graves relacionadas con el Reglamento General de Protección de Datos (RGPD), especialmente en la gestión de campañas de mercadotecnia y transferencias internacionales de datos personales.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fbc5%2F367%2Fa4a%2Fbc5367a4a1fa5ad5c53de2b99fad53c3.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fc06%2Fbf1%2F579%2Fc06bf157958d33a3c61eac4764c8df3c.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F691%2Fb81%2F842%2F691b818421e21dcc537e8a2a7f95d9fa.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F67e%2F3e1%2F734%2F67e3e173410ecb1ad323e9cde21a6a48.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F004%2F608%2F0c0%2F0046080c07e1c2d0d7fc4f2bc45746b8.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fc22%2F557%2Fcce%2Fc22557cce3c5b7bde6a5f0f44a730781.jpg)