Protección de datos: Vodafone y su enésima sanción por infringir el RGPD

• Con fecha 16 de junio de 2020, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador (PS/00139/2020) a VODAFONE ESPAÑA, S.A.U. a razón de los siguientes hechos:

La usuaria (o reclamante) manifiesta que fue titular de un contrato de telefonía fija + fibra línea móvil con Movistar, realizando la portabilidad con Vodafone (o reclamado) en diversas fechas. Posteriormente, en febrero del año 2018 se trasladó de domicilio, y al efectuar una consulta, le manifiestan que en sus sistemas los servicios dados de alta figura como titular su excónyuge. De igual modo, añade la usuaria que en las facturas emitidas por Vodafone aparecen sus datos, pero dirigidas a nombre de su excónyuge.

A razón de tales hechos denunciados, la Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en virtud de los poderes de investigación otorgados a las autoridades de control en el art 57.1 del Reglamento (UE) 2016/679 (RGPD), y de conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Fruto de tales actuaciones de investigación practicadas, Vodafone confirmó conocer los hechos referentes a la portabilidad y al cambio de domicilio, así como, “que los servicios dados de alta por la reclamante estaban asociados, en sus sistemas, a su excónyuge, pues como ella misma manifiesta en su reclamación, era el antiguo domicilio conyugal, por lo que su excónyuge aparecía como titular de los servicios contratados”.

En la misma línea, verificaron que, aunque anteriormente aparecían dos titulares vinculados con el ID, con posterioridad se realizó una corrección en los datos de sus sistemas, “desconectándose” del mismo a su excónyuge, el cual aparece como “Antiguo Titular”, y provocando que la única titular con acceso fuese la reclamante. Tal es así, y admitiendo tales circunstancias, Vodafone envió una carta dirigida a la reclamante, en la cual manifiestan “que procedieron a desvincular los datos del otro titular que constaba asociados a los servicios contratados, por lo que actualmente aparece desvinculado de manera que ya no puede tener acceso a la información asociada a los servicios contratados por la reclamante”.

Por su parte, la Directora de la Agencia Española de Protección de Datos, autoridad competente para resolver este procedimiento, alude al contenido del art. 5 del RGPD, el cual establece que los datos personales serán tratados según las premisas de licitud, lealtad y transparencia; imitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad; y responsabilidad proactiva.

Así, “se considera probado que en los sistemas del reclamado figuraba como titular de los servicios contratados otro titular”. Por ello, y reconociendo el reclamado dicho error al realizar una corrección de los datos de sus sistemas, se evidencia que “un tercero podía acceder a los datos de la reclamante, es decir tenía acceso a la información asociada a los servicios contratados por la reclamante lo cual supone la vulneración del art. 5.1 d) del RGPD, en relación con el art. 4.1 de la LOPDGDD, que rige el principio de exactitud de los datos personales”.

Considerándose tal infracción como “muy grave” por lo previsto en el art. 72.1.a) de la LOPDGDD, la Directora de la AEPD considera que procede “graduar la sanción a imponer”, de acuerdo con los agravantes de los apartados b) y g) del art. 83.2 del RGPD, es decir, que estamos ante acción negligente no intencional, pero significativa; y que se encuentran afectados identificadores personales básicos.

De tal modo, y a los efectos del art. 64.2 b) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, “la sanción que pudiera corresponder sería de 15.000 euros (quince mil euros), sin perjuicio de lo que resulte de la instrucción”.

En fecha de 30 de junio de 2020, notificado de tal sanción, Vodafone España, S.A.U. reconoció su responsabilidad y procedió al pago de la sanción en la cuantía de 9.000 euros, haciendo uso de las dos reducciones previstas en el Acuerdo de inicio desarrollado anteriormente: dos rebajas, del 20% cada una, a razón del pago voluntario de la sanción y por el reconocimiento de la responsabilidad.

Vodafone: reincidente y con un peculiar récord

El pasado 27 de febrero, la AEPD impuso a VODAFONE ESPAÑA, S.A.U, por infringir los arts. 5.1.a) y 6.1.a) del RGPD, una multa de 120.000 euros, por no poder acreditar el consentimiento de un cliente de 14 años de edad, para el tratamiento de sus datos personales, y por incluir dichos datos en los ficheros de solvencia patrimonial, ASNEF y BADEXCUG.

En concreto, la citada sanción es una de las tres multas más altas impuestas por la AEPD en España por infracción del RGPD hasta la fecha. El primer puesto pertenece a la Liga Nacional de Futbol Profesional (resolución PS/00326/2018), con una multa de 250.000 euros. El segundo y tercer puesto pertenecen a Vodafone España S.A.U. (resolución PS/00144/2019 y PS/00235/2019) con una multa de 120.000 euros en cada caso.

En el cuarto lugar encontraríamos a Endesa Energía XXI, S.L.U. con una infracción de 100.000 euros por infringir el art. 5.1.f) del RGPD, pero no suficiente con ello, los puestos, quinto, con una multa de 100.000 euros por la infracción del art. 6.1 del RGPD, y sexto, con otra de 75.000 euros por violación del art. 5.1.f) del RGPD, vuelven a ser de la filial española, Vodafone España, S.A.U.