La AEPD sanciona con 3 millones de euros a la eléctrica EDP Energía y su comercializadora

Las compañías trataban datos personales sin consentimiento de sus titulares

Más de 20 millones de euros ha recaudado la Agencia Española de Protección de Datos (AEPD) en multas en lo que llevamos de año.

Una factura más que onerosa para empresas como Caixabank, Equifax o Vodafone que este año han batido récords reuniendo entre ellas 15 millones del total de las multas impuestas. Sanciones millonarias a las que ahora se suman la compañía EDP Energía y su comercializadora (EDP COMERCIALIZADORA, S.A.U.) a las que la AEPD ha impuesto este mes sendas multas de 1,5 millones de euros por incumplir la normativa de protección de datos.

La investigación de la Agencia comenzó en junio de 2019 tras haber recibido diversas reclamaciones contra la eléctrica en donde se denunciaba principalmente el tratamiento de datos personales sin consentimiento. Dichos tratamientos se llevaban a cabo durante el proceso de contratación cuando se formalizaban a través de un supuesto representante.

Dado que la compañía ya había sido sancionada con anterioridad, la Agencia estimó necesario comprobar una posible conducta regular que vulnerase la normativa de protección de datos.

Con motivo de identificar la raíz de las reclamaciones, la AEPD analizó todos los posibles canales de contratación utilizados por la compañía donde diferencian:

  • Telefónico: que incluye una serie de subcanales (CAC Inbound, Telemarketing y Leads).
  • Canal web.
  • Distribuidores: que incluye las oficinas comerciales propias de la compañía y otras tiendas ajenas.
  • Fuerzas de venta externas: stands en ferias, centros comerciales, etc. o visitas a domicilio bajo previa solicitud.

Exceptuando el canal web y el subcanal de tiendas ajenas, todos los canales permitían la contratación del servicio a través de un representante del cliente.

Sin embargo, tras analizar el protocolo utilizado la Agencia identificó importantes deficiencias en el proceso, ya que cuando un cliente seleccionaba esta modalidad de contratación la compañía no requería que se acreditase la representación que se decía ostentar. Al no estar en capacidad de acreditar la representación de quien contrata en nombre de un tercero se da lugar a una posible suplantación de identidad y, en definitiva, al tratamiento de datos personales sin legitimación.

Extracto AEPD. Procedimiento sancionador PS-00236-2020

Partimos, por tanto, de que EDP Energía no dispuso de los mecanismos o protocolos necesarios para acreditar de manera fehaciente la representación en la contratación de sus servicios.

Un incumplimiento del artículo 25 del Reglamento General de Protección Datos (RGPD) en tanto en cuanto no implantó las medidas necesarias para aplicar los principios de protección de datos e integrar las garantías necesarias para asegurar los derechos y libertades de los usuarios.

Por otra parte, durante el proceso de investigación la Agencia observó también que, en el canal de contratación telefónica, junto a la contratación del servicio se solicitaba el consentimiento para llevar a cabo otros tratamientos accesorios:

  • Permiso para completar el perfil comercial del representado con información de bases de terceros.
  • Envío de ofertas relacionadas con la energía adaptadas al perfil del cliente una vez que hubiese finalizado el contrato.
  • Remisión de publicidad de productos o servicios diferentes de entidades colaboradoras o de la propia EDP.

En estos casos, la compañía tampoco acreditaba (dentro del proceso de contratación) que el supuesto representante estuviese autorizado para consentir dichos tratamientos.

Extracto AEPD. Procedimiento sancionador PS-00236-2020

El consentimiento se otorgaba tanto a EDP COMERCIALIZADORA, S.A.U. como a EDP ENERGÍA, S.A.U. sin haber sido identificados claramente como responsables del tratamiento.

Atendiendo a lo establecido en el artículo 13 del RGPD, para que el consentimiento sea informado es necesario comunicar al interesado ciertos elementos o aspectos que son cruciales. Información que no se facilita al usuario en el momento de la contratación no estableciendo la identidad del responsable del tratamiento, ni cuáles son las bases de datos de terceros de las que van a obtenerse datos.

Tanto es así que en función del canal de contratación utilizado, la compañía tampoco ofrecía la misma información. En muchas ocasiones era incompleta al no identificar debidamente al responsable del tratamiento, ni detallar cuáles eran las bases de datos de terceros a consultar para obtener datos adicionales o no informaba de la posibilidad de ejercer los derechos recogidos en la normativa. Por todo ello, la Agencia estimó sancionar a ambas compañías con 500.000 euros respectivamente por la infracción del artículo 25 del RGPD y con 1.000.000 de euros respectivamente por la infracción del artículo 13 del RGPD.


Sigue esta y otras noticias a través de nuestro canal de Telegram

Imagen de Free Photos en Pixabay

La AEPD multa con un millón de euros a EQUIFAX por gestionar un fichero de morosos ilegal

La compañía recopilaba datos personales de supuestos deudores a través de boletines y diarios oficiales incumpliendo la normativa

Un millón de euros de multa. Ese es el importe que la Agencia Española de Protección de Datos (AEPD) ha impuesto como sanción a la compañía EQUIFAX por incumplir la normativa en materia de protección de datos.

La multinacional con filial en España (EQUIFAX IBÉRICA, S.L.) se encarga de la elaboración de informes de solvencia e historial crediticio de personas. Informes que son puestos a disposición de empresas (sus socios) y que la compañía explota comercialmente alcanzando una cifra de negocio, a fecha 31/12/2019, que ascendió a 42.259.655 €.

Las fuentes accesibles al público vs. protección de datos

Debido al funcionamiento de uno de sus registros, la Agencia recibió cerca de un centenar de reclamaciones informando de diversas situaciones: inclusión de datos personales sin consentimiento, imposibilidad en la contratación de créditos o préstamos debido a la inclusión en ficheros de morosidad por deudas inciertas, etc.

A raíz de la investigación realizada por la AEPD, se constató que la información afectada provenía del denominado Fichero de Reclamaciones Judiciales y Organismos Públicos (FIJ) propiedad de EQUIFAX. Un sistema de información crediticia que se nutría principalmente del Tablón Edictal Único del BOE (TEU-BOE), de los diarios oficiales de las Comunidades Autónomas, de los Boletines Provinciales (BOP) y a través de la sede electrónica o física de organismos o entidades de Derecho Público. En otras palabras, y según la denunciada, los datos eran obtenidos «de registros y fuentes accesibles al público» y se incluían en el FIJ para su consulta.

Las fuentes accesibles al público es un concepto que existía en la anterior Ley Orgánica de Protección de Datos (LOPD 15/1999), pero que ya no se aplica con el Reglamento General de Protección de Datos (RGPD). Tanto es así, que la Agencia insiste en este aspecto aludiendo a varios informes:

“[…] ya en la 10ª sesión anual se expuso que con el RGPD no puede hablarse de un concepto legal de fuente de acceso público como la existente con la anterior LOPD. El artículo 14.1 f) del RGPD tan sólo menciona dicho concepto para establecer la obligación del responsable del tratamiento de facilitar al interesado la información de si sus datos personales proceden de fuentes de acceso público, pero sin definir estas”.

Informe 136/2018 – Agencia Española de Protección de Datos

Es necesario tener en cuenta que las publicaciones de datos personales a través de boletines oficiales asociados a una supuesta deuda responden a la finalidad de hacer efectiva la notificación de una resolución administrativa o judicial. Estos datos, por tanto, no podrían ser utilizados por terceros para otra finalidad tal y como detalla la Agencia Estatal Boletín Oficial del Estado atendiendo a las consultas realizadas por parte de varios afectados:

«De conformidad con lo anterior, esta Agencia Estatal considera que la reutilización de datos de tipo personal como nombres, apellidos, DNI asociados a deudas, publicados en el BOE, que vd. solicita, no sería un tratamiento lícito de datos de carácter personal de los previstos en el art. 6 de RGPD y, por lo tanto, de acuerdo con lo regulado tanto en el Reglamento (UE) 2016/679 como en el Ley orgánica 3/2018, de 5 de diciembre, no deben ser objeto de reutilización por terceros.»

¿Qué ha incumplido EQUIFAX con este fichero de morosos?

Principio de limitación de la finalidad

Este principio establece que «los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados […] de manera incompatible con dichos fines.»

En este caso, el origen de los datos, como ya hemos visto, proviene principalmente de diarios y boletines oficiales. Datos que han sido publicados para una finalidad concreta (interés público) y amparada por una norma con rango de ley.

Sin embargo, la finalidad que EQUIFAX persigue es otra finalidad distinta al interés público: la evaluación de la solvencia de los afectados y a la prevención del fraude.

Principio de licitud

El artículo 5.1.a) del RGPD requiere que los datos personales sean tratados de manera lícita, leal y transparente.

Entenderemos que un tratamiento es lícito cuando «el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.»

El interés perseguido por el responsable deberá ser, por tanto, legítimo para ser lícito. Dentro de esa licitud, durante el procedimiento llevado a cabo por la Agencia, EQUIFAX alegaba que el interés jurídico perseguido a través de su registro era conocer las deudas y reclamaciones de las personas físicas para dar «seguridad al tráfico mercantil», «prevenir la morosidad» y «valorar la solvencia patrimonial» de esas personas. Intereses incompatibles con respecto a la finalidad a través de la cual los datos fueron comunicados.

Principio de exactitud

El artículo 5.1.d) exige que los datos personales deben ser «exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.»

Ha quedado acreditado que la información recabada por EQUIFAX a través de su FIJ se ha mantenido a lo largo del tiempo sin actualizar durante un plazo máximo de seis años. Duración que la información se mantenía en el fichero desde que esta era publicada en algún diario o boletín oficial, salvo que el afectado hubiese ejercitado el derecho de supresión o rectificación.

Extracto AEPD. Procedimiento sancionador PS-00240-2019

Aparte de que la información pudiese no ser exacta porque no estaba actualizada o contrastada se le suma otro inconveniente: la identidad de los presuntos deudores. Las publicaciones de las que el fichero recaba la información no siempre permitían identificar de manera exacta al supuesto titular de la deuda. Frecuentemente estaban identificados no por el NIF, sino por nombre y dos apellidos combinados con un domicilio.

De esta manera, un asociado de EQUIFAX que quisiera realizar una comprobación de insolvencia a través de este fichero podía encontrarse con una o varias personas con el mismo nombre y apellido posibilitando una identificación errónea del supuesto deudor. Un motivo más que evidencia, en palabras de la Agencia, un incumplimiento del principio de exactitud que difícilmente podría responder al interés legítimo vinculado a «la prevención del fraude».

Extracto AEPD. Procedimiento sancionador PS-00240-2019

Principio de minimización

El RGPD establece en su artículo 5.1.c) que los datos personales serán «adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (minimización de datos)».

En este sentido, la Agencia estima que al igual que sucede con el resto de principios ya tratados (el de licitud o el de exactitud), el de minimización está condicionado por la infracción del principio de limitación de la finalidad evidenciando su incumplimiento.

Deber de informar

El artículo 14 del RGPD detalla la información que deberá facilitarse al titular cuando los datos personales no se hayan obtenido del interesado.

Una obligación que EQUIFAX no cumplió. En 2018 los datos que constaban en el fichero ascendían a más de cuatro millones. Sin embargo, el número de notificaciones realizadas ese año no alcanzaban a las trescientas cuarenta mil.

Queda acreditado que la compañía no notificó a los interesados el tratamiento de sus datos a través del fichero. Una necesidad que es consecuencia del principio de transparencia, el cual también se vería incumplido según la resolución emitida por la Agencia.

Sanción millonaria y cese del tratamiento

Atendiendo a lo anterior, la Agencia Española de Protección de Datos resolvió la resolución con una sanción de 1.000.000 € por la infracción del artículo 5.1.b), en concurso medial con las infracciones de los artículos 6.1, en relación con el artículo 5.1.a), 5.1.d), 5.1.c) y 14 del Reglamento General de Protección de Datos.

Extracto AEPD. Procedimiento sancionador PS-00240-2019

Atendiendo a un incumplimiento que ha perdurado en el tiempo a través del uso de un fichero incompatible con respecto a lo establecido en la normativa de protección de datos, la Agencia también ha exigido a EQUIFAX que proceda a la supresión de todos los datos personales tratados a través del mencionado Fichero de Reclamaciones Judiciales y organismos Públicos (FIJ) prohibiéndole continuar haciendo uso del mismo.


Sigue esta y otras noticias a través de nuestro canal de Telegram

¿Por qué Vodafone ha sido multada con 8,15 millones?

La operadora recibe la mayor sanción impuesta por la Agencia Española de Protección de Datos

Este mes conocíamos la noticia. La Agencia Española de Protección de Datos (AEPD) impuso la multa más elevada hasta la fecha a Vodafone España con más de ocho millones de euros por haber vulnerado tres normativas: la Ley General de Telecomunicaciones (LGT), la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE) y el Reglamento General de Protección de Datos (RGPD).

Comunicaciones no consentidas

Tal y como detalla en su extensa resolución, la Agencia inicia el proceso de investigación en 2019 tras haber recibido cerca de 200 reclamaciones en cuestión de dos años (2018-2020) en donde se denunciaban las prácticas comerciales realizadas por la compañía a través de llamadas telefónicas y el envío de comunicaciones comerciales por vía electrónica (mensajes SMS y correos electrónicos).

Las denuncias evidenciaban que dichas comunicaciones se habían producido sin haber sido solicitadas o expresamente autorizadas por los afectados, sin haber atendido al derecho de oposición a recibir nuevas comunicaciones o sin haber tenido en cuenta a aquellas personas que se hubieran opuesto a cualquier comunicación a través de ficheros de exclusión publicitaria como las conocidas «Lista Robinson».

Con motivo de acreditar una posible vulneración regular y continuada de las distintas normativas supervisadas por la Agencia (LOPDGDD /RGPD, LSSICE y LGT), se inicia una investigación en donde se analiza el protocolo de tratamiento de datos de Vodafone con respecto a las acciones de mercadotecnia que llevan a cabo.

Para ello, las campañas fueron clasificadas en función de si eran gestionadas por la teleoperadora directamente o, en cambio, eran gestionadas por otras entidades por cuenta y en nombre de Vodafone.

Campañas gestionadas directamente

Las bases de datos de las acciones comerciales son proporcionadas por Vodafone y las campañas las realizan el departamento interno de marketing o bien el departamento interno de televenta. Estas últimas a través de entidades contratadas por la operadora.

Campañas gestionadas por otras entidades por cuenta y en nombre de Vodafone

Serían aquellas que son realizadas por los denominados «Distribuidores / Colaboradores / Agentes». Este grupo haría uso de bases de datos proporcionadas directamente por la operadora o bien bases de datos propias.

En este grupo encontraríamos varios canales: Door to Door (agentes que realizan captación «a puerta fría»), online, córneres físicos en centros comerciales y establecimientos, y agentes exclusivos.

Estos «Distribuidores / Colaboradores / Agentes» pueden llegar, a su vez, a acuerdos con otras agencias de televenta y comerciales que operarían como lo que se denomina como subencargados del tratamiento por cuenta de Vodafone. Así, la operadora podría contratar a un distribuidor, que a su vez subcontrate a otras entidades para encomendarle ciertas tareas como, por ejemplo, la gestión de llamadas telefónicas a través de un call center.

¿De dónde provienen los datos utilizados por Vodafone para estas campañas?

Atendiendo a la investigación realizada, la Agencia identificó cinco grandes grupos: bases de datos alquiladas a terceros que dieron su consentimiento, registros generados a través del canal online (sitios web), generación de numeraciones aleatorias a partir de diferentes rangos, bases de datos propias de «Distribuidores / Colaboradores / Agentes» y bases de datos de Vodafone utilizadas por estos últimos.

Con estos datos, Vodafone realizó 200 millones de acciones comerciales entre mayo de 2018 y marzo de 2019.

Ahora bien, teniendo en cuenta los sujetos que intervenían en las campañas y las bases de datos gestionadas, ¿podríamos decir que se han gestionado de manera correcta? Claramente no. Y así lo determina la Agencia:

Extracto AEPD. Procedimiento sancionador PS-00059-2020

Infracciones de Vodafone en las campañas comerciales realizadas

A raíz de ese patrón de conducta que detalla la AEPD, se sanciona a Vodafone con 8.150.000 euros por comisión de cuatro infracciones:

1. Por la infracción del artículo 28 del RGPD relativo a los encargados de tratamiento: 4.000.000 euros.

Como hemos visto, Vodafone hace uso de un gran número de empresas para gestionar sus campañas. Para ello, delega a otras entidades campañas para que actúen por cuenta y en nombre de la operadora.

Dado que es la compañía quien determina los fines y los medios del tratamiento, la Agencia estima que en estos casos Vodafone actúa como responsable mientras que las empresas a las que delega las campañas actuarían como encargados de tratamiento y, en caso de que estas subcontraten a otras empresas, operarían como subencargados.

Como responsable del tratamiento, en el momento que encomienda un encargo, la ley establece que tiene la obligación de seleccionar a encargados que ofrezcan garantías suficientes para garantizar la aplicación de la normativa y los derechos y libertades de los interesados. Una obligación que «no termina en el momento en que el responsable y el encargado del tratamiento celebran un contrato u otro acto legal. En su lugar, el responsable debe, a intervalos apropiados, verificar las garantías del encargado, incluso a través de auditorías e inspecciones cuando corresponda».

Extracto AEPD. Procedimiento sancionador PS-00059-2020

Una supervisión que a juicio de la Agencia no se ha realizado dado que la operadora desconocía las entidades subcontratadas, su cualificación técnica y organizativa, su capacidad para cumplir con la legislación, la identidad de las empresas a las que se daba acceso a sus bases de datos, si realizaban o no la comprobación preceptiva con las listas de exclusión publicitaria internas de la compañía y/o con el sistema general común de exclusión publicitaria (Lista Robinson), las bases de datos utilizadas y si estas estaban legitimadas, etc.

El hecho de no controlar y auditar a los encargados y subencargados que actuaban en nombre de la operadora ni establecer un mecanismo que ofreciese una base de datos centralizada donde contrastar aquellas personas que pudieran haber ejercitado su derecho de oposición derivó, entre otros, en la realización de llamadas comerciales continuadas a personas que ya se habían opuesto (a través de la Lista Robinson o directamente a Vodafone a través de sus distintos intervinientes). 

2. Por la infracción del artículo 44 del RGPD relativo a las transferencias de datos a terceros países u organizaciones internacionales: 2.000.000 euros.

La normativa establece que se realizarán transferencias de datos personales a terceros países siempre y cuando se cumplan una serie de garantías que aseguren el tratamiento de dichos datos. Para ello, sería necesario legalizar la transferencia de datos a través, por ejemplo, de la firma de cláusulas contractuales tipo.

Siguiendo con las figuras de «Distribuidores / Colaboradores / Agentes» decíamos anteriormente que la operadora contrataba empresas (encargados) que a su vez subcontrataban a otras entidades (subencargados). Es el caso A-Nexo, subencargado contratado por Casmar (encargado de Vodafone).

A-Nexo es una subcontrata de Casmar, que a su vez subcontrataba a otras personas o empresas para llevar a cabo materialmente las llamadas comerciales. Esta entidad en particular formaba parte de la lista de subencargados aprobados por Vodafone cuyo contrato especificaba que la ubicación del tratamiento se realizaba en Perú. Una transferencia internacional que aparentemente no fue identificada ni, por tanto, legalizada.

3. Por la infracción del artículo 48.1.b) de la LGT relativo al derecho de oponerse a recibir llamadas no deseadas con fines de comunicación comercial: 2.000.000 euros.

Continuando con la resolución, la Agencia estimó que el procedimiento de Vodafone para la realización de estas campañas comerciales no garantizaba el cumplimiento del derecho de oposición de los usuarios a no recibir llamadas comerciales ni en las campañas gestionadas directamente por la operadora ni en aquellas gestionadas por terceros.

Extracto AEPD. Procedimiento sancionador PS-00059-2020

4. Por la infracción del artículo 21 de la LSSI-CE: 150.000 euros.

La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico exige que para poder realizar cualquier comunicación publicitaria por correo electrónico u otro medio equivalente (SMS, fax, llamadas automáticas sin intervención humana, etc.) se debe contar con  la autorización expresa de sus destinatarios o existir una relación contractual previa.

De las 162 reclamaciones que finalmente se tienen en cuenta en esta resolución, 24 de ellas hacen referencia al envío por parte de Vodafone de emails comerciales y SMS no autorizados. Los destinatarios no habían autorizado, por tanto, estos envíos ni tenían relación comercial con la compañía.

Extracto AEPD. Procedimiento sancionador PS-00059-2020

«Vodafone no tiene implantado para las acciones de mercadotecnia métodos ni medios organizativos y técnicos que verifiquen, ni siquiera por procedimientos estadísticos, la licitud de los datos objeto de tratamiento, su origen, su filtrado previo con los listados internos de exclusión publicitaria y general de exclusión Robinson, ni con los de las entidades a las que le ha encargado los tratamientos (encargadas del tratamiento) ni derechos de oposición ejercidos por los afectados ante una y otras».

explica la AEPD en su resolución.

Se acredita un claro incumplimiento de las distintas normativas en materia de protección de datos agravado en gran medida por la reincidencia y el carácter continuado de las infracciones, la existencia de intencionalidad y la obtención de beneficios.

¿Es proporcional la sanción?

En definitiva, podríamos decir que la Agencia Española de Protección de Datos ha comenzado a endurecer las sanciones para aquellas organizaciones que tratan un mayor volumen de datos y en donde han podido evidenciar un incumplimiento relevante y, en ocasiones, reiterado de la normativa. Casos recientes como los de Caixabank y BBVA sancionadas con de 6 y 5 millones de euros respectivamente demuestran un notable incremento en la horquilla de las multas impuestas. Sin embargo, la Agencia, atendiendo a las alegaciones presentadas por Vodafone, ha querido aprovechar para recordar que el RGPD permite imponer sanciones con cuantías máximas de hasta 20 millones de euros o del equivalente al 4% del volumen de negocio total anual global de la compañía. Volumen que en el caso de la operadora ascendía a 1.600 millones de euros, los cuales permitirían a la Agencia, así, imponerle una multa que hubiese resultado más onerosa, ya que acabó derivando en la quinta parte (o décima parte en la infracción del art 44 del RGPD) sobre la cuantía máxima que hubiese podido ser aplicable.

Imagen de Kārlis Dambrāns en Flickr.


Sigue esta y otras noticias a través de nuestro canal de Telegram