La Agencia Española de Protección de Datos (AEPD) ha sancionado a la operadora de telecomunicación, Vodafone, por el incumplimiento de diferentes preceptos establecidos en la Ley de Protección de Datos Personales y Garantía de los Derechos digitales (LOPDGDD) y Reglamento General de Protección de Datos (RGPD), Ley General de Telecomunicaciones (LGT), y Ley de servicios de la sociedad de la información y comercio electrónico (LSSICE).
La sanción impuesta, asciende a la cantidad de ocho millones de euros, batiendo el récord de sanciones impuestas hasta la fecha.
La resolución de la AEPD objeto de la sanción, tiene como principales causas; la realización de acciones de prospección comercial y mercadotecnia en nombre de la operadora, realizando el envío de comunicaciones comerciales sin ser solicitadas o autorizadas y/o sin atender al ejercicio de derecho de oposición a las mismas, así como no facilitar al afectado la opción de oponerse al tratamiento de sus datos personales en dichas comunicaciones.
De manera detallada y en lo que se refiere a las infracciones cometidas por vulneración de las normativas expuestas con anterioridad, se encuentran las siguientes:
En primer lugar, existe una infracción del artículo 28 del RGPD, se trata de la falta de control real, continuo, permanente y auditado de los tratamientos realizados por los encargados del tratamiento de Vodafone. Este último es considerado como responsable de tratamiento y, no está actuando de manera proactiva respecto al tratamiento de datos personales, ni verificando las garantías suficientes por parte de sus encargados para el correcto tratamiento de los datos personales.
En segundo lugar, existe una infracción del artículo 44 del RGPD. Vodafone, como responsable del tratamiento, no cumple con las debidas garantías que exige el RGPD para poder llevar a cabo transferencias internacionales.
En tercer lugar, en cuanto al artículo 48.1.b a Ley General de Telecomunicaciones en relación con el artículo 21 RGPD y 23 LOPDGDD. La realización de acciones publicitarias por cuenta y en nombre de Vodafone de forma reiterada. Esto ha supuesto la no atención del ejercicio de derechos o una atención insuficiente o extemporánea de aquellos, por parte del responsable del tratamiento, Vodafone.
Por último, en lo que respecta a la vulneración del artículo 21 de la LSSI, se acredita falta de consentimiento por parte de Vodafone para el envío de comunicaciones comerciales, así como el envío reiterado a destinatarios que previamente ya se hubiesen opuesto a dicho tratamiento.
Esta sanción refleja de forma clara la postura de la AEPD, en consonancia con la tendencia europea de elevar las cuantías de las sanciones, cuando se trata de infracciones continuadas y de un gran volumen de usuarios y tratamientos.
Por ello, es necesario que todas las organizaciones realicen una exhaustiva revisión y control de sus políticas de protección de datos, con el objetivo de velar por el cumplimiento de la normativa y evitar este tipo de sanciones.