La operadora recibe la mayor sanción impuesta por la Agencia Española de Protección de Datos

Este mes conocíamos la noticia. La Agencia Española de Protección de Datos (AEPD) impuso la multa más elevada hasta la fecha a Vodafone España con más de ocho millones de euros por haber vulnerado tres normativas: la Ley General de Telecomunicaciones (LGT), la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE) y el Reglamento General de Protección de Datos (RGPD).

Tal y como detalla en su extensa resolución, la Agencia inicia el proceso de investigación en 2019 tras haber recibido cerca de 200 reclamaciones en cuestión de dos años (2018-2020) en donde se denunciaban las prácticas comerciales realizadas por la compañía a través de llamadas telefónicas y el envío de comunicaciones comerciales por vía electrónica (mensajes SMS y correos electrónicos).

Las denuncias evidenciaban que dichas comunicaciones se habían producido sin haber sido solicitadas o expresamente autorizadas por los afectados, sin haber atendido al derecho de oposición a recibir nuevas comunicaciones o sin haber tenido en cuenta a aquellas personas que se hubieran opuesto a cualquier comunicación a través de ficheros de exclusión publicitaria como las conocidas «Lista Robinson».

Con motivo de acreditar una posible vulneración regular y continuada de las distintas normativas supervisadas por la Agencia (LOPDGDD /RGPD, LSSICE y LGT), se inicia una investigación en donde se analiza el protocolo de tratamiento de datos de Vodafone con respecto a las acciones de mercadotecnia que llevan a cabo.

Para ello, las campañas fueron clasificadas en función de si eran gestionadas por la teleoperadora directamente o, en cambio, eran gestionadas por otras entidades por cuenta y en nombre de Vodafone.

Campañas gestionadas directamente

Las bases de datos de las acciones comerciales son proporcionadas por Vodafone y las campañas las realizan el departamento interno de marketing o bien el departamento interno de televenta. Estas últimas a través de entidades contratadas por la operadora.

Campañas gestionadas por otras entidades por cuenta y en nombre de Vodafone

Serían aquellas que son realizadas por los denominados «Distribuidores / Colaboradores / Agentes». Este grupo haría uso de bases de datos proporcionadas directamente por la operadora o bien bases de datos propias.

En este grupo encontraríamos varios canales: Door to Door (agentes que realizan captación «a puerta fría»), online, córneres físicos en centros comerciales y establecimientos, y agentes exclusivos.

Estos «Distribuidores / Colaboradores / Agentes» pueden llegar, a su vez, a acuerdos con otras agencias de televenta y comerciales que operarían como lo que se denomina como subencargados del tratamiento por cuenta de Vodafone. Así, la operadora podría contratar a un distribuidor, que a su vez subcontrate a otras entidades para encomendarle ciertas tareas como, por ejemplo, la gestión de llamadas telefónicas a través de un call center.

¿De dónde provienen los datos utilizados por Vodafone para estas campañas?

Atendiendo a la investigación realizada, la Agencia identificó cinco grandes grupos: bases de datos alquiladas a terceros que dieron su consentimiento, registros generados a través del canal online (sitios web), generación de numeraciones aleatorias a partir de diferentes rangos, bases de datos propias de «Distribuidores / Colaboradores / Agentes» y bases de datos de Vodafone utilizadas por estos últimos.

Con estos datos, Vodafone realizó 200 millones de acciones comerciales entre mayo de 2018 y marzo de 2019.

Ahora bien, teniendo en cuenta los sujetos que intervenían en las campañas y las bases de datos gestionadas, ¿podríamos decir que se han gestionado de manera correcta? Claramente no. Y así lo determina la Agencia:

Extracto AEPD. Procedimiento sancionador PS-00059-2020

Infracciones de Vodafone en las campañas comerciales realizadas

A raíz de ese patrón de conducta que detalla la AEPD, se sanciona a Vodafone con 8.150.000 euros por comisión de cuatro infracciones:

  1. Por la infracción del artículo 28 del RGPD relativo a los encargados de tratamiento: 4.000.000 euros.

Como hemos visto, Vodafone hace uso de un gran número de empresas para gestionar sus campañas. Para ello, delega a otras entidades campañas para que actúen por cuenta y en nombre de la operadora.

Dado que es la compañía quien determina los fines y los medios del tratamiento, la Agencia estima que en estos casos Vodafone actúa como responsable mientras que las empresas a las que delega las campañas actuarían como encargados de tratamiento y, en caso de que estas subcontraten a otras empresas, operarían como subencargados.

Como responsable del tratamiento, en el momento que encomienda un encargo, la ley establece que tiene la obligación de seleccionar a encargados que ofrezcan garantías suficientes para garantizar la aplicación de la normativa y los derechos y libertades de los interesados. Una obligación que «no termina en el momento en que el responsable y el encargado del tratamiento celebran un contrato u otro acto legal. En su lugar, el responsable debe, a intervalos apropiados, verificar las garantías del encargado, incluso a través de auditorías e inspecciones cuando corresponda».

Extracto AEPD. Procedimiento sancionador PS-00059-2020

Una supervisión que a juicio de la Agencia no se ha realizado dado que la operadora desconocía las entidades subcontratadas, su cualificación técnica y organizativa, su capacidad para cumplir con la legislación, la identidad de las empresas a las que se daba acceso a sus bases de datos, si realizaban o no la comprobación preceptiva con las listas de exclusión publicitaria internas de la compañía y/o con el sistema general común de exclusión publicitaria (Lista Robinson), las bases de datos utilizadas y si estas estaban legitimadas, etc.

El hecho de no controlar y auditar a los encargados y subencargados que actuaban en nombre de la operadora ni establecer un mecanismo que ofreciese una base de datos centralizada donde contrastar aquellas personas que pudieran haber ejercitado su derecho de oposición derivó, entre otros, en la realización de llamadas comerciales continuadas a personas que ya se habían opuesto (a través de la Lista Robinson o directamente a Vodafone a través de sus distintos intervinientes). 

  1. Por la infracción del artículo 44 del RGPD relativo a las transferencias de datos a terceros países u organizaciones internacionales: 2.000.000 euros.

La normativa establece que se realizarán transferencias de datos personales a terceros países siempre y cuando se cumplan una serie de garantías que aseguren el tratamiento de dichos datos. Para ello, sería necesario legalizar la transferencia de datos a través, por ejemplo, de la firma de cláusulas contractuales tipo.

Siguiendo con las figuras de «Distribuidores / Colaboradores / Agentes» decíamos anteriormente que la operadora contrataba empresas (encargados) que a su vez subcontrataban a otras entidades (subencargados). Es el caso A-Nexo, subencargado contratado por Casmar (encargado de Vodafone).

A-Nexo es una subcontrata de Casmar, que a su vez subcontrataba a otras personas o empresas para llevar a cabo materialmente las llamadas comerciales. Esta entidad en particular formaba parte de la lista de subencargados aprobados por Vodafone cuyo contrato especificaba que la ubicación del tratamiento se realizaba en Perú. Una transferencia internacional que aparentemente no fue identificada ni, por tanto, legalizada.

  1. Por la infracción del artículo 48.1.b) de la LGT relativo al derecho de oponerse a recibir llamadas no deseadas con fines de comunicación comercial: 2.000.000 euros.

Continuando con la resolución, la Agencia estimó que el procedimiento de Vodafone para la realización de estas campañas comerciales no garantizaba el cumplimiento del derecho de oposición de los usuarios a no recibir llamadas comerciales ni en las campañas gestionadas directamente por la operadora ni en aquellas gestionadas por terceros.

Extracto AEPD. Procedimiento sancionador PS-00059-2020
  1. Por la infracción del artículo 21 de la LSSI-CE: 150.000 euros.

La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico exige que para poder realizar cualquier comunicación publicitaria por correo electrónico u otro medio equivalente (SMS, fax, llamadas automáticas sin intervención humana, etc.) se debe contar con  la autorización expresa de sus destinatarios o existir una relación contractual previa.

De las 162 reclamaciones que finalmente se tienen en cuenta en esta resolución, 24 de ellas hacen referencia al envío por parte de Vodafone de emails comerciales y SMS no autorizados. Los destinatarios no habían autorizado, por tanto, estos envíos ni tenían relación comercial con la compañía.

Extracto AEPD. Procedimiento sancionador PS-00059-2020

«Vodafone no tiene implantado para las acciones de mercadotecnia métodos ni medios organizativos y técnicos que verifiquen, ni siquiera por procedimientos estadísticos, la licitud de los datos objeto de tratamiento, su origen, su filtrado previo con los listados internos de exclusión publicitaria y general de exclusión Robinson, ni con los de las entidades a las que le ha encargado los tratamientos (encargadas del tratamiento) ni derechos de oposición ejercidos por los afectados ante una y otras».

explica la AEPD en su resolución.

Se acredita un claro incumplimiento de las distintas normativas en materia de protección de datos agravado en gran medida por la reincidencia y el carácter continuado de las infracciones, la existencia de intencionalidad y la obtención de beneficios.

¿Es proporcional la sanción?

En definitiva, podríamos decir que la Agencia Española de Protección de Datos ha comenzado a endurecer las sanciones para aquellas organizaciones que tratan un mayor volumen de datos y en donde han podido evidenciar un incumplimiento relevante y, en ocasiones, reiterado de la normativa. Casos recientes como los de Caixabank y BBVA sancionadas con de 6 y 5 millones de euros respectivamente demuestran un notable incremento en la horquilla de las multas impuestas. Sin embargo, la Agencia, atendiendo a las alegaciones presentadas por Vodafone, ha querido aprovechar para recordar que el RGPD permite imponer sanciones con cuantías máximas de hasta 20 millones de euros o del equivalente al 4% del volumen de negocio total anual global de la compañía. Volumen que en el caso de la operadora ascendía a 1.600 millones de euros, los cuales permitirían a la Agencia, así, imponerle una multa que hubiese resultado más onerosa, ya que acabó derivando en la quinta parte (o décima parte en la infracción del art 44 del RGPD) sobre la cuantía máxima que hubiese podido ser aplicable.

Imagen de Kārlis Dambrāns en Flickr.


Sigue esta y otras noticias a través de nuestro canal de Telegram