No identificar correctamente a nuestros clientes, ¿puede costar una sanción de la AEPD? Así ha ocurrido con Vodafone.
La Agencia Española de Protección de Datos (en adelante, AEPD) publica una sanción por la que impone una multa de 70.000 euros a VODAFONE ESPAÑA S.A.U, la cual ha sido abonada de forma voluntaria por la sancionada, cerrándose así el procedimiento.
Recordemos que no es, ni mucho menos, la primera vez que Vodafone tiene que rendir cuentas ante la autoridad española de protección de datos por su inobservancia de la normativa en la materia, el Reglamento General de Protección de Datos (RGPD) y la española Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD).
De hecho, a principios de este año la AEPD publicaba en el BOE el listado de sanciones superiores a un millón de euros impuestas a personas jurídicas en el año 2021. Vodafone no solo se encuentra incluida en el listado, sino que es la entidad que fue sancionada con una multa de mayor cuantía: nada menos que 8.150.000 euros.
En esta ocasión, los hechos que motivan la sanción tienen su origen en una reclamación por parte de un cliente de Vodafone que dice haber sido víctima de una suplantación de identidad por parte de un tercero que, identificándose falsamente con su nombre y su DNI, se puso en contacto con la sancionada a través de la línea que ésta tiene habilitada para la venta telefónica de sus productos y servicios. A partir de esta práctica, el tercero adquirió un Smartphone, modificó los datos personales del primero, así como los servicios contratados con la compañía.
Al enterarse de lo ocurrido, el reclamante se puso en contacto con Vodafone e intentó revertir la situación directamente con esta, pero no obtuvo con ello respuesta ni colaboración por parte de la empresa. En consecuencia, acude a la AEPD interponiendo la denuncia que deriva en la resolución analizada, por considerar la existencia de un tratamiento de sus datos personales que no cumple con la normativa aplicable, por no concurrir su consentimiento.
¿Cómo se defiende Vodafone de esta consideración?
Vodafone alega la inexistencia de una infracción de la normativa por haber actuado de conformidad con su política interna de seguridad en la identificación del cliente, no habiendo podido conocer la falsedad de la identidad y, por lo tanto, la falta de su consentimiento.
Por lo que respecta a la opinión de la AEPD, por el contrario, considera que esta afirmación no es correcta. En este sentido, las circunstancias concurrentes a los hechos llevan a pensar en la falta de diligencia por parte de Vodafone a la hora de identificar al interlocutor en la llamada, ya que este tercero era un cliente que llamaba desde una línea distinta a la del reclamante y, además, por ser precisamente cliente, era perfectamente identificable para Vodafone. En palabras de la AEPD, “VDF contaba con herramientas adecuadas para identificar desde qué línea se estaba realizando la llamada y a quién pertenecía esa línea, y por lo tanto pudo conocer desde el principio que la línea desde la que se hizo la llamada no era del Sr. Fuentes y, por lo tanto, que quien prestó el consentimiento no fue el Sr. Fuentes”.
Por otro lado, en atención a la política de seguridad traída a colación por la propia sancionada, en el momento de la identificación se le debería haber pedido al interlocutor la clave de acceso de atención al cliente de la que cada titular de una línea telefónica dispone, de manera que se hubiera hecho una mayor comprobación de la veracidad de la identidad manifestada. Esto, en cambio, no se llevó a cabo en este caso.
Por todo lo anterior, la AEPD no considera que lo que concurre sea una infracción del precepto del RGPD que establece la obligación de implementar medidas de seguridad de la información, pues estas sí existen. No obstante, sí se le imputa a Vodafone una infracción del artículo 6 del RGPD, por haber realizado un tratamiento de los datos (contratación de un terminal de telefonía, emisión de facturas, modificación de las tarifas, y de ciertos datos de carácter personal de la parte reclamante) sin el consentimiento del titular de los mismos.
Esta falta constituye, en virtud del artículo 83.5 RGPD, una infracción muy grave, por lo que se impone una sanción económica para cuya individualización se han tenido en cuenta tanto circunstancias agravantes como atenuantes.
Como agravantes, se han considerado:
-La gravedad de la infracción en el sentido de acarrear la pérdida de disposición y control sobre los datos personales.
-La falta de diligencia en el tratamiento de datos personales en relación de la que, siguiendo la jurisprudencia del TS, “ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en el caso ahora examinado, cuando la actividad de la recurrente es de constante y abundante manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto" (SAN de 17 de octubre de 2007 (rec. 63/2006)).
Como atenuantes, se aprecian:
-Las medidas adoptadas por Vodafone con posterioridad para paliar los daños causados, ya que se han devuelto las cantidades cobradas indebidamente.
-La falta de beneficio económico obtenido por parte de Vodafone.
-El sometimiento voluntario por parte de Vodafone a Autocontrol, que prevé mecanismos para la resolución privada de controversias relativas a la protección de datos en el ámbito de contratación y publicidad de servicios de comunicaciones electrónicas.
Sara Hervías Costa, Privacy Counsel, Legal Army