Sanciones Astronómicas en Protección de Datos – Vodafone 8 Millones, La Caixa 6 Millones, BBVA 5 millones…El Papel no lo aguanta todo

El pasado 12 de marzo la Agencia Española de Protección de datos ha impuesto a VODAFONE  una exorbitante multa de más de 8 MILLONES DE EUROS.

En los procesos de captación de clientes las Operadoras de Telecomunicaciones suelen utilizar a terceras empresas colaboradoras o asociadas, que a través de distintas técnicas de mercadotecnia, como las llamadas telefónicas desde Call Centers ubicados en el extranjero, o el envío de comunicaciones electrónicas vía correo electrónico o vía SMS, consiguen captar al cliente y vender los productos y servicios de las empresas a las que representan.

Tras numerosas reclamaciones de particulares a la AEPD (191 en total desde segundo trimestre del 2018) por el tratamiento de datos personales sin legitimación realizado por dichas Agencias colaboradoras o asociadas en nombre de VODAFONE, la AEPD ha instruido un procedimiento sancionador de más de 100 páginas por el que sanciona a VODAFONE con una multa de mas de 8 millones de euros. Según la AEPD VODAFONE ha infringido varios preceptos de la Ley General de Telecomunicaciones (LGT), la Ley de Servicios de la Sociedad de la Información (LSSI) y especialmente la normativa de protección de datos, el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Gestión de los Derechos Digitales (LOPDGDD)

VODAFONE ha sido condenada por la infracción de los siguientes preceptos de protección de datos:

  • Principio de Responsabilidad Activa: Se considera a VODAFONE como responsable del tratamiento y no a las Agencias colaboradoras, puesto que VODAFONE es quién decide sobre los fines y medios del tratamiento, no perdiendo tal condición por el hecho de dejarles a éstas últimas cierto margen de actuación, o por no tener acceso a las bases de datos del encargado. Según la sanción de la AEPD, VODAFONE se encuentra por tanto obligada al control efectivo y continuado de medidas técnicas y organizativas apropiadas en sus encargados de tratamiento, a fin de garantizar y poder demostrar que el tratamiento es conforme al RGPD. Destaca no sólo la obligación de seleccionar y contratar a un encargado que ofrezca garantías suficientes de cumplimiento RGPD, si no que es necesario que dicha obligación no se agote en el momento de la selección y contratación, debiendo evaluar en todo momento durante la ejecución del contrato si las garantías (técnicas y organizativas) ofrecidas por el encargado son suficientes. Entre otras cuestiones, el responsable del tratamiento debe tener en cuenta si el encargado del tratamiento aporta documentación adecuada que demuestre el cumplimiento del RGPD con políticas de protección de datos, las políticas de gestión de archivos, las políticas de seguridad de la información, informes de auditoría externa, las certificaciones, gestión de los ejercicios de derechos etc..
  • Transferencia Internacional de Datos: se considera responsable a VODAFONE por la transferencia de datos a Perú sin las medidas adecuadas exigidas por el RGPD.
  • Falta de Consentimiento en el envío de comunicaciones electrónicas : Se considera también responsable por el envío de SMS y correos electrónicos sin la autorización expresa de los destinatarios, y sin que existiera la posibilidad de oposición. Dichas comunicaciones comerciales no garantizaron el cumplimiento del artículo 21 de la LSSI, al realizarse a numeraciones y direcciones generadas aleatoriamente, lo que impide verificar la existencia de autorización previa y expresa o, en su defecto, la existencia de una relación comercial previa de servicios similares.
  • Listados de exclusión publicitaria: Se considera finalmente responsable a VODAFONE por la omisión del derecho de oposición y exclusión publicitaria, por no permitir el ejercicio de derecho de oposición y pasar el filtrado de listados de exclusión publicitaria.

La sanción que debe servir como ejemplo para medir muy bien la actividad comercial de captación de clientes y fuerza de ventas de las empresas, ya que existen ciertos derechos de los consumidores relacionados con la protección de datos y privacidad que si no son respetados pueden acabar con la instrucción de un procedimiento sancionador en la AEPD con multas astronómicas como la recibida por Vodafone, o las recibidas recientemente por el sector bancario (BBVA 5 millones, La Caixa 6 millones).

El tratamiento de datos de potenciales clientes debe siempre contar una base jurídica o legitimación legal para su tratamiento. La falta de dicho consentimiento informado o legitimación del tratamiento supone una infracción del RGPD, y de la LSSI en el caso de envíos de comunicaciones comerciales electrónicas sin consentimiento. Además dichos incumplimientos no pueden ser trasladados a las agencias de marketing colaboradoras o asociadas, que ayudan en la captación de clientes con campañas de marketing en nombre y por cuenta del Prestador del Servicio o Responsable de tratamiento.

De ahí la importancia del Principio de Responsabilidad Activa en materia de Compliance o protección de datos dentro de las empresas, ya que No todo lo soporta el papel. Es necesario verificar el cumplimiento y probar que se están realizando los tratamientos de datos conforme a la norma. Por tanto, no basta con tener grandes políticas RGPD, y grandes contratos con los Encargados de Tratamiento, que al peso parecen el cumplimiento perfecto. Es necesario verificar, auditar, y comprobar los procesos internos y externos de las empresas, y en la medida de lo posible obtener evidencias de dichos cumplimientos. Para ello es necesario contar con herramientas informáticas de Compliance o Cumplimento, y un buen equipo interno o externo, que permitan el seguimiento continuado de los procesos de tratamiento y la configuración de procedimientos de mejora que ayuden a la elaboración un Plan de adecuación que resuelva las incidencias o anomalías detectadas.

A través de estas sanciones astronómicas, se ha puesto de relieve algo verdaderamente importante en el Sector Compliance, que no es otra cuestión que el cumplimento del Principio de Responsabilidad Activa. Para un correcto cumplimiento de la normativa, es necesario realizar procesos de verificación internos o externos de forma periódica o incluso continuada, y lo más importante, no sólo internamente sino también fuera de la empresa, es decir ,en los terceros intervinientes como los Encargados  de Tratamiento, que subcontratan parte de los servicios del Responsable de Tratamiento. Además es necesario que dicha obligación no se agote en el momento de la selección y contratación, debiendo evaluar en todo momento durante la ejecución del contrato si las garantías (técnicas  organizativas) ofrecidas por el encargado son suficientes.

Con las sanciones de la AEPD a VODAFONE, BBVA y La Caixa se pone de relieve en el sector Compliance la importancia de la Verificación y Cumplimiento de la norma, que a nuestro juicio no termina con el proceso de adecuación y entrega de las Políticas de Cumplimiento legal o Protección de Datos, ni tampoco con la Auditoría Bienal de las mismas, sino que se trata de un proceso continuado de cumplimiento que debe llevar a cabo el Responsable de tratamiento debiendo contar para ello con los suficientes recursos económicos, de personal y de herramientas de apoyo, que le permitan llevar un cumplimiento activo de la normativa en el seno de la empresa.

Fdo.

Fernando Mª Ramos Suárez

Abogado Experto en Protección de datos y Derecho Digital
Socio Director DPO&itlaw S.L.
Mail: [email protected]

Visitas: 0