Volver

Continúa la racha sancionadora de la AEPD

Publicaciones
18-mar-21

La Agencia Española de Protección de Datos (“AEPD”) continúa con su racha de sanciones. En esta ocasión, la empresa de telecomunicaciones Vodafone, tendrá que afrontar el pago de una sanción de más de 8 millones euros. A pesar del importe relativamente pequeño de la sanción en comparación con el volumen de negocio de Vodafone, lo que esta sanción verdaderamente pone de manifiesto es que estamos ante un crecimiento exponencial del importe sancionador. No hay que olvidar que recientemente, hasta 2019, la sanción más alta impuesta por AEPD era de 250.000€ (sanción impuesta a la Liga de Fútbol Profesional).

Este impulso sancionador que tiene la AEPD responde, en realidad, a la tendencia de endurecimiento de sanciones seguida por las autoridades de toda la Unión Europea, ya que era la autoridad de control que sancionaba con menor importe a los infractores.  

La sanción impuesta a Vodafone, al margen de lo llamativo de su importe (8.150.000 €), no es en realidad resultado de un incumplimiento particularmente grave de la normativa vigente. Lo que, en apariencia, debería ser un incumplimiento sustancial y consciente del Reglamento General de Protección de Datos (“RPGD”); se convierte en la negligente falta de vigilancia, por parte de Vodafone, de las garantías de cumplimiento normativo ofrecidas por sus subcontratistas. Lo excesivo del importe responde fundamentalmente al volumen de la actividad infractora. En cifras de la AEPD, la conducta infractora afecta a unos 200 millones de datos, la cifra de negocio de Vodafone es de 1600 millones de euros, la continuidad en la conducta negligente se prolonga desde el segundo semestre de 2018 y, por último, hay un gran número de afectados tras numerosas reclamaciones (al menos, 162 reclamantes).

La problemática jurídica de la resolución gira en torno a las circunstancias en las que se remiten las comunicaciones comerciales de Vodafone a potenciales clientes (proceso conocido en materia de protección de datos como “mercadotecnia directa”). La AEPD distingue fundamentalmente dos tipos de comunicaciones comerciales: las acciones ejecutadas directamente por Vodafone (con un control técnico y organizativo sobre las mismas) y aquellas comunicaciones gestionadas por terceros contratados por Vodafone sobre las que, según afirma la AEPD, solo tenían un control formal ejercido mediante medidas estrictamente contractuales.  

Pues bien, parece ser que en desarrollo de la mercadotecnia directa ejecutada por los colaboradores de Vodafone, en determinadas ocasiones (tales como en el procedimiento denominado “Door to Door”), éstos no solo no recababan el consentimiento del usuario para recibir las comunicaciones (lo que sólo sería lícito si se remitiesen comunicaciones de productos o servicios propios) sino que, además, no se contrastaba la posible inclusión de los terceros en la Lista Robinson de exclusión de actividad publicitaria. Siendo este sistema de exclusión publicitaria una modalidad expresamente tipificada, tanto en la en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”) como en la Ley General de Telecomunicaciones, del ejercicio del derecho de oposición por parte de los interesados; la falta de cumplimiento de esta obligación supone una vulneración grave de la normativa.

Ahora bien, dado que se trata de una actividad que, en principio, estaría dentro del ámbito de responsabilidad de los subcontratistas (los colaboradores de Vodafone); la AEPD ha de justificar el motivo por el que la sanción se impone a Vodafone.

Con carácter previo, dado que Vodafone alegaba que los subcontratistas eran responsables y, por tanto, su actividad era ajena a Vodafone, la AEPD recuerda la interpretación (ya reiterada) del Comité Europeo de Protección de Datos (“EDPB”, por sus siglas en inglés) que señala que la determinación de roles en materia de protección de datos, no viene marcada por su definición contractual sino por el carácter material de la influencia que cada una de las partes tiene en la toma de decisiones que determinan las condiciones esenciales del tratamiento.

Así, la AEPD determina que los colaboradores (subcontratistas) reciben instrucciones de Vodafone en cuanto a los medios y fines del tratamiento y que carecen de interés propio en efectuar el tratamiento (más allá del precio que reciben como contraprestación a los servicios prestados). Por ello, el hecho de que los colaboradores tengan cierto margen de decisión sobre las actividades de tratamiento no les priva del carácter de encargado del tratamiento.

Asumiendo que se trata de una relación entre responsable y encargado del tratamiento, Vodafone (como responsable) está incumpliendo la obligación de control efectivo y continuado, a través de medidas técnicas y organizativas apropiadas, destinado a garantizar y demostrar que el tratamiento es conforme con el RGPD (artículo 24.1 RGPD). 

La AEPD analiza la obligación, recogida en el artículo 28.1 RGPD, de garantizar que el encargado del tratamiento cuenta con medidas técnicas y organizativas para garantizar, por un lado, el cumplimiento del RGPD y, por otro lado, la salvaguarda de los derechos y libertades de los interesados. Subraya que "esto obliga al responsable del tratamiento a evaluar en todo momento durante la ejecución del contrato si las garantías (técnicas u organizativas) ofrecidas por el encargado del tratamiento son suficientes". La AEPD extrae esta idea de las Directrices 7/2020 del EDPB que señalan (apartado 97) "La obligación de utilizar únicamente los encargados de tratamiento "que proporcionan garantías suficientes" contenidas en el artículo 28, apartado 1, del RGPD es una obligación continua. No termina en el momento en que el responsable y el encargado del tratamiento celebran un contrato u otro acto legal. En su lugar, el responsable debe, a intervalos apropiados, verificar las garantías del encargado, incluso a través de auditorías e inspecciones cuando corresponda ".  

Por último, no hay que olvidar que, a efectos de cumplimiento normativo y sin perjuicio de la delimitación de responsabilidad que hayan determinado contractualmente las partes, el encargado del tratamiento tan sólo responderá de aquella parte del tratamiento que haya llevado a cabo

Paralelamente, dentro el descontrol organizativo de la subcontratación de mercadotecnia por parte de Vodafone, se producían transferencias de datos desprovistas de garantías a Perú. No consta que Vodafone haya cumplido con los requisitos normativos para garantizar que los datos personales serán provistos de un nivel equivalente de protección al ofrecido en la Unión Europea antes de efectuar dichas transferencias internacionales. Por ello se considera que, aunque tan sólo sea por infracción del principio de responsabilidad proactiva consagrado en el RGPD, estos tratamientos suponen otra infracción, indirecta, del RGPD por parte de Vodafone.

En conclusión, si bien es cierto que esta sanción responde, en esencia, a la falta de control de subcontratación con la que Vodafone promocionaba sus productos; esta sanción sirve como ejemplo al resto de operadores del mercado. Éstos deberán extremar las cautelas, pues queda de manifiesto que la AEPD continúa con su proceso de endurecimiento de las sanciones con cierta finalidad disuasoria o ejemplarizante. Puesto que el importe de las sanciones continuará en previsible ascenso, ahora más que nunca, la necesidad de los operadores salvaguardar y asegurar el cumplimiento normativo en materia de protección de datos adquiere una importancia primordial.

Luis Rojas, Legal Team, Legal Army

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias
25-04-24
TikTok, o cambia de dueño o tendrá que abandonar Estados Unidos
This is some text inside of a div block.
Leer más
25-04-24
Responsables de la toma de decisiones sobre IA están temerosos por la privacidad y ciberseguridad
This is some text inside of a div block.
Leer más
25-04-24
TikTok cuestionada por la UE
This is some text inside of a div block.
Leer más