El pasado 29 de noviembre, la Agencia Española de Protección de Datos (en adelante, “AEPD“), hizo pública una sanción de 42.000 contra VODAFONE ESPAÑA, S.A.U., por haber infringido el artículo 6.1 del Reglamento General de Protección de Datos (en adelante, “RGPD“), al llevar a cabo el tratamiento concerniente a la portabilidad de los datos sin que existiera una base de legitimación para ello.
Tal y como consta en la resolución, la reclamante advirtió a Vodafone de que se trataba de un hecho fraudulento, ya que ella no había hecho la petición de la portabilidad, sino que alguien había usurpado sus datos para tramitar dicha portabilidad. No obstante, a pesar de ponerse en contacto en numerosas ocasiones con la compañía telefónica, la portabilidad se hizo efectiva el día 4 de abril de 2019.
Además, tal y como constata la AEPD, en el contrato de portabilidad no consta la firma de la reclamante, ni siquiera “falseada”. Por tanto, tal y como indica la autoridad “no consta que la reclamante haya otorgado su consentimiento de modo alguno”.
Teniendo en cuenta como agravantes la intencionalidad o negligencia en la infracción y el tipo de datos afectados (nombre, datos bancarios e identificador en línea), la AEPD decidió imponer una sanción pecuniaria inicial de 70.000 euros. No obstante, la organización telefónica se acogió a las reducciones por reconocimiento de responsabilidad y por pago voluntario, estableciéndose una cuantía final de 42.000 euros.