Blog

Protección de Datos

Evaluaciones de impacto de protección de datos

Vulneración del principio de licitud

27 agosto, 2020

El pasado 31 de julio la Agencia Española de Protección de Datos (AEPD) impuso una multa de 75.000€ en su resolución PS/00168/2020 a Vodafone por el tratamiento de datos del reclamante sin ninguna base legal, considerando que violaba el artículo 6.1) del Reglamento General de Protección de Datos (RGPD).

Según la normativa vigente en materia de protección de datos, los datos personales deben tratarse de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”), es decir, que siempre que se traten datos de carácter personal ha de existir algún tipo de habilitación y debe tenerse en cuenta, entre otras cosas, cualquier relación entre los fines que justificaron la recogida de los datos y los fines del tratamiento previsto posteriormente. Para ello, habrá de considerarse el contexto en el que fueron recogidos los datos y la información que se facilitó al usuario.

En la citada resolución se detallan los siguientes hechos:

  • Con fecha 29/12/2019 el reclamante interpuso una reclamación ante la AEPD contra Vodafone puesto que, tras ejercer el derecho de supresión de sus datos personales en 2015, seguía recibiendo SMS publicitarios en su línea móvil.
  • Con fecha 15/04/2020 Vodafone, tras realizar las investigaciones oportunas sobre lo ocurrido, procedió a enviar una carta al reclamante informándole de las gestiones llevadas a cabo en atención a su reclamación. Según la reclamada, los datos se encontraban correctamente suprimidos en sus sistemas informáticos relacionados con la gestión de datos de clientes, en virtud de la petición de ejercicio de derecho de cancelación de los mismos efectuada por él en mayo de 2015. Vodafone señala que la razón principal por la que el reclamante seguía recibiendo SMS es que dicho número se venía utilizando tanto por agentes colaboradores como por empleados de Vodafone al tratarse de un número sencillo de recordar y rápido de escribir, por tanto, un número “dummy”, cómodo de utilizar en determinadas actividades y procesos. Por último, señala que ha implementado una serie de acciones con el fin de evitar el uso indebido del citado número.

El hecho que llama la atención aquí es que Vodafone utilizase un número de teléfono para realizar pruebas sin comprobar que el mismo existía y/o que pertenecía a un excliente que había ejercido el derecho de supresión en el año 2015.

También es dudosa la actuación de la reclamada en cuanto que no estableció otras medidas y/o controles para que esa misma situación no volviese a repetirse con el número de teléfono de otros usuarios con teléfonos sencillos de recordar.

La Autoridad de Control Española en materia de protección de datos, es decir, la AEPD imputa a Vodafone la comisión de una infracción por vulneración del artículo 6 del RGPD, “Licitud del tratamiento”, que señala en su apartado 1 los supuestos en los que el tratamiento de datos de terceros es considerado lícito.

Por todo ello y conforme a lo establecido en el artículo 83.5.a) del RGPD la AEPD considera procedente graduar la sanción a imponer y fijarla en la cuantía de 75.000€.

En el momento de fijar la sanción, la Autoridad de Control tuvo en cuenta los siguientes agravantes:

  • Las infracciones anteriormente cometidas por Vodafone;
  • El carácter continuado de la infracción atribuida a Vodafone;
  • Que se encontrasen afectados identificadores personales básicos (nombre, número de identificación, identificador de línea); y,
  • La intencionalidad o negligencia en la infracción.

No es la primera vez que la AEPD sanciona a Vodafone como consecuencia de la falta de licitud del tratamiento de datos personales, así como a otras organizaciones, como por ejemplo EDP Energía, S.A.U. (PS/00109/2019), Asociación de Madres y Padres del Colegio María Blanchard (PD/00089/2019), Curenergia Comercializadora de Último Recurso, S.A.U. (PS/00140/2019), etc.

En DATAX somos especialistas en la adecuación e implementación de la normativa vigente en Protección de Datos y Seguridad de la Información. Con una larga trayectoria profesional que nos acredita, nuestros clientes reciben el asesoramiento necesario para continuar con su actividad profesional con la garantía de presentar al público sitios web seguros y que vayan en línea con la normativa vigente en protección de datos, privacidad y seguridad de la información, actuando con confianza y profesionalidad en el mercado, eliminando los riesgos de sanción o reclamaciones potenciales de terceros, así como optimizando sus beneficios y recursos.

Silvia Guix

Consultora Legal en materia de protección de datos y seguridad de la información

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *