El pasado día 12 de los corrientes, la Agencia Española de Protección de Datos anunció una resolución por la que se establecía una nueva multa récord de algo más de ocho millones de euros (8M€), en este caso para la operadora Vodafone España, S. A. U., por vulnerar varios artículos de hasta tres normas relacionadas con la protección de datos. En concreto, considera que se ha vulnerado el Reglamento europeo de protección de datos (RGPD o GDPR), la Ley General de Telecomunicaciones (LGT) y la Ley de servicios de la sociedad de la información y de comercio electrónico (LSSI).
ANTECEDENTES
Como se detalla en el extenso expositivo de la resolución, desde 2018 se han venido recibiendo en la AEPD hasta 191 reclamaciones de los ciudadanos, en las que se denuncian «la realización de acciones de mercadotecnia y prospección comercial en nombre y por cuenta de VDF a través de llamadas telefónicas y mediante envío de comunicaciones comerciales electrónicas (mensajes SMS y correos electrónicos)». Estas actividades se realizan sin aceptación o solicitud previa o incluso, en algunos casos, habiéndose opuesto al tratamiento de sus datos para dichos fines o estar incluidos en la lista Robinson. En base a estas denuncias, se iniciaron actuaciones de investigación por parte de la
HECHOS
De las averiguaciones e investigaciones realizadas por la Subdirección General de Inspección de Datos, podemos extraer que la operadora de telefonía realiza actuaciones comerciales bien por medios propios o bien contratando estos servicios a terceros que, en muchas ocasiones, subcontratan estas acciones.
Las entidades que actúan por cuenta y nombre de la operadora de telefonía, denominadas Distribuidores/Colaboradores/Agentes (que en ocasiones, subcontratan a su vez la gestión y los tratamientos de datos de afectados para la realización efectiva de las acciones de mercadotecnia en nombre y por cuenta de la operadora de telefonía). Estas subcontratas utilizan las bases de datos proporcionadas por la propia entidad de telefonía o bien sus propias bases de datos. En estos casos, son los distribuidores/colaboradores/agentes los encargados de filtrar los datos con las Listas Robinson (internas, LRI y Adigital, LRAD).
Dentro de las directrices marcadas por la operadora a sus Distribuidores/Colaboradores/Agentes, se encuentran la de utilizar bases de datos donde se haya obtenido el consentimiento y que sean lícitas, mantenerlas actualizadas por posibles ejercicios de derechos de oposición o inclusión en la lista Robinson u otras listas de exclusión comercial. Además, en el contrato firmado entre ambas partes, existe la obligación de informar a Vodafone en caso de subcontratar el servicio para que este de su autorización previa.
A su vez, los Distribuidores/Colaboradores/Agentes, pueden contratar a terceros para realizar este servicio, a veces con autorización o información previa y otras omitiendo este paso, los cuales pueden subcontratar a otros comerciales o empresas para la realización de llamadas, dando así hasta 3 ó 4 niveles de subcontratación.
Pues bien, en la mayoría de ocasiones no se solicita esa autorización previa de subcontratación ni estas pautas son transmitidas a las diversas subcontratas, de manera que no figura indicación alguna respecto de la obligación de consulta previa y filtrado con los ficheros de exclusión ni con los de ejercicio de derechos.
No obstante, para que puedan llevar a cabo sus funciones los comerciales subencargados del tratamiento por cuenta de la entidad de telefonía, es decir, dar de alta líneas nuevas, es necesario que Vodafone les haya otorgado acceso a una determinada aplicación de “altas”. Así, previa solicitud por parte de los Distribuidores/Colaboradores/Agentes, Vodafone crea un usuario con contraseña, para dichos comerciales o para el distribuidor final para estar habilitado para realizar altas de líneas contratadas.
Orígenes de datos utilizados
El origen de los datos utilizados para las acciones de mercadotecnia puede dividirse en cinco grandes grupos:
- Generando numeraciones aleatorias.
- A través de bases de datos alquiladas a terceros. En estos casos, la circunstancia de disponer de consentimiento expreso para recibir ofertas comerciales a través de comunicaciones electrónicas (correo electrónico o SMS) no ha sido acreditada.
- Mediante registros generados a través del canal online (web`s). Aquí se obtiene cuando son contactados de acuerdo con la política de privacidad aceptada en el momento de facilitar los datos en la web y que puede implicar dos posibilidades, una referida a recibir información concreta y otra para ser receptor de comunicaciones comerciales futuras.
- Utilizando las bases de datos ajenas a Vodafone de los distribuidores/colaboradores.
- Bases de datos propias de las operadoras que son utilizadas por los distribuidores/colaboradores.
Respecto de las bases de datos ajenas, la empresa de telefonía reconoce que desconoce la legalidad de las mismas y su base de legitimación; ni siquiera ha acreditado su licitud de forma indirecta como puede ser por la realización de muestreos al objeto de contrastar el consentimiento de los interesados, dado que considera que es competencia de esos terceros «controlar su legalidad en tanto son
responsables de las mismas” (origen de los datos, actuaciones para acreditar el consentimiento, filtrado con ambos LR, atención de los derechos ejercidos, etc.,).
Además, se detecta que en relación con las llamadas que realizan estos agentes/distribuidores (y en su caso, otros subencargados del tratamiento) cuando se ejerce un derecho de oposición durante una llamada, no se traslada dicho ejercicio a Vodafone, sino que se incluye en la LRI de los agentes/distribuidores. Así, si esa lista es utilizada por otros agentes implicados, no se tiene conocimiento de dicha oposición, pues no se actualiza la información a nivel general.
De manera general, podemos entender que según los hechos descritos y en base las investigaciones realizadas, si inician actuaciones «porque estas comunicaciones electrónicas denunciadas se producen, por un lado y en lo que respecta a la LSSICE, sin que hayan sido solicitadas o expresamente autorizadas y/o sin atender el ejercicio del derecho a oponerse al envío de nuevas notificaciones, por otro, en cuanto a la LGT, sin facilitar la posibilidad de ejercer el derecho de oposición o bien, una vez que el afectado ha ejercido previamente su derecho de oposición a través de su inclusión en el fichero de exclusión publicitaria interno de las entidades indicadas (en adelante Listado Robinson Interno -LRI-), o a través del sistema general común de exclusión publicitaria denominado Listado Robinson Adigital -LRAD-; y, finalmente, por lo que respecta a la LOPDGDD sin adecuar los procedimientos y garantías establecidas para la ejecución de acciones de mercadotecnia en el contenido de los contratos con los encargados de los tratamientos que actúan en nombre y por cuenta del responsable (VDF) y sin ofrecer al interesado los medios necesarios, suficientes y apropiados que le garanticen la protección de sus derechos y libertades.
A la vista de estos hechos y una vez obtenidas determinadas pruebas documentales, la Agencia comunica a la entidad telefónica el inicio de las actuaciones, quien presenta hasta 25 alegaciones, destacando que «Son las entidades que actúan como responsables del tratamiento de los datos de los afectados las que deben responder de las imputaciones de la AEPD. En consecuencia, no estamos de acuerdo con los incumplimientos que nos imputa la AEPD en su resolución y en cualquier caso consideramos que la cuantía de la sanción propuesta es desproporcionada«, si bien, esto no evita la propuesta de sanción basada en los siguientes
FUNDAMENTOS DE DERECHO
Uno de los puntos a determinar es si los distribuidores deben considerarse, como indica la operadora, responsables del tratamiento, si bien, el art. 33.2 de la LOPDGDD indica que se consideran responsables y no encargados los que “en su propio nombre y sin que consten que actúen por cuenta de otro establezca relaciones con los afectados”; lo que, interpretado en sentido contrario,
supone que es encargado quien en nombre del responsable establece relaciones con los afectados. Ello es independientemente de si para ello es preciso acceder a datos por cuenta de terceros.
El encargado, para serlo, no ostenta ningún interés propio respecto del resultado del tratamiento objeto de encargo, sin perjuicio de la compensación económica que recibe por el servicio prestado y que es lo que acontece en el supuesto examinado.
El artículo 28.1 del RGPD señala: “1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.”. Se observa que hace referencia a las medidas técnicas y organizativas que deben garantizar en todo tratamiento objeto de encargo. Es decir, desde antes del encargo
del tratamiento propiamente dicho, como es la elección adecuada del que actuará como encargado, hasta la finalización de la prestación según señala el propio artículo 28.3.g).
Respecto al incumplimiento del artículo 44 del RGPD. De las pruebas obrantes en la documentación del expediente, en concreto del contrato de encargado del tratamiento suscrito entre la operadora y la distribuidora, donde la operadora de telefonía es la responsable del tratamiento, se establece que el tratamiento objeto de encargo se llevará a cabo desde un tercer país (Perú) sin cumplir las debidas garantías que exige el RGPD.
Respecto al incumplimiento del artículo 21.1 de la LSSICE, el cual reza, “Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.
- Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
- Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección”.
En relación a la LGT en cuanto al derecho a oponerse (derecho de oposición) a recibir llamadas no deseadas con fines de comunicación comercial y a ser informado de este, será de aplicación el concepto de oposición conforme el RGPD. Se debe añadir que, según la LOPDGDD, Título IV, donde se recogen «Disposiciones aplicables a tratamientos concretos», incorpora una serie de supuestos que en ningún caso debe considerarse exhaustiva de todos los tratamientos lícitos. Dentro de ellos cabe apreciar, en primer lugar, aquellos respecto de los que el legislador establece una
presunción “iuris tantum” de prevalencia del interés legítimo del responsable cuando se lleven a cabo con una serie de requisitos. Junto a estos supuestos se recogen otros, tales como los ficheros de exclusión publicitaria en que la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1.e) del RGPD, que requiere, conforme a lo dispuesto en el artículo 8.2, se encuentre contemplado en una norma con rango de ley que así lo disponga, que, en este caso, es el artículo 23 de la propia LOPDGDD que regula los “sistemas de
exclusión publicitaria”. El artículo 23.4 de dicha norma (LOPDGDD) señala: “4. Quienes pretendan realizar comunicaciones de mercadotecnia directa, deberán previamente consultar los sistemas de exclusión publicitaria que pudieran afectar a su actuación, excluyendo del tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa al mismo. A estos efectos, para considerar cumplida la obligación anterior será suficiente la consulta de los sistemas de exclusión incluidos en la relación publicada por la autoridad de control competente.
No será necesario realizar la consulta a la que se refiere el párrafo anterior cuando el afectado hubiera prestado, conforme a lo dispuesto en esta ley orgánica, su consentimiento para recibir la comunicación a quien pretenda realizarla.”.
Por todo lo expuesto, en la resolución, la Agencia Española de Protección de Datos, estima que se ha cometido una infracción del artículo 28 del RGPD en relación con el artículo 24 del RGPD, lo que conlleva una multa de 4.000.000 €. Una infracción del artículo 44 del RGPD, con multa de 2.000.000 €. Una infracción del artículo 21 de la LSSICE cuya multa asciende a 150.000 €. Y por último, por infracción del artículo 48.1.b) de la LGT, en relación con el artículo 21 del RGPD y artículo 23 de la LOPDGDD lo que conlleva una sanción de 2.000.000 €. En total, 8.150.000€.
Esta resolución, que deja abierta la posibilidad de interponer recurso contencioso-administrativo ante la Audiencia Nacional, va a ser recurrida por la compañía multada, según ha informado la misma.
