La Agencia Española de Protección de Datos (AEPD) ha confirmado la sanción impuesta a VODAFONE, SA en el procedimiento PS/00429/2019 por haber dado de alta como cliente a una persona que nunca solicitó ni contrató sus servicios, al parecer, como consecuencia de una suplantación del estado civil de esta persona por parte de un empleado de dicha entidad o de una subcontrata de ésta. Todo ello en virtud de los siguientes hechos probados:
- El 21 de febrero de 2019, el reclamante manifiesta que contrató los servicios de telefonía con la entidad reclamada como un alta nueva. Posteriormente, recibe una serie de mensajes de texto comunicándole el alta en otra operadora e informándole que su pedido está en curso.
- La reclamante aporta captura de pantalla de los mensajes de texto recibidos y copia de albarán de entrega de un paquete en su dirección donde figura como destinatario del envío y como remitente figura INTERBOX (LLAMAYA). El albarán figura firmado por el reclamante.
- Consta que el 10 de abril de 2019, se dio traslado de la denuncia a la parte reclamada en las actuaciones con referencia E/04041/2019. La notificación figura entregada con fecha 15 de abril de 2019. No se recibe contestación.
- El 17 de septiembre de 2019 se vuelve a remitir requerimiento de información a la parte reclamada, en las actuaciones con referencia E/07681/2019. La notificación consta entregada el día 18 del mismo mes y año, no habiéndose recibido contestación en la AEPD.
Contra la resolución que imponía una sanción de 60.000 euros a dicha compañía de telecomunicaciones ésta interpuso un recurso de reposición, el cual ha sido desestimado, por entenderse infringidos los artículos 6 y 83.5 del Reglamento General de Protección de Datos (RGPD) y 72 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD).
En virtud de dichos preceptos legales, el tratamiento de datos de carácter personal sólo será lícito cuando se lleve a cabo con el consentimiento del interesado o cuando dicho tratamiento sea necesario para la ejecución de un contrato suscrito por el interesado. En el caso analizado no está justificado dicho tratamiento de datos de carácter personal, pues el interesado en ningún momento prestó su consentimiento ni tampoco está vinculado contractualmente con la entidad VODAFONE SA; de forma que la recopilación, tratamiento y conservación de la información personal del reclamante es considerada una infracción muy grave, la cual lleva aparejada una sanción de hasta el 4% del volumen de negocio total anual global del ejercicio financiero anterior de la entidad infractora.
Para el cálculo del importe de la sanción se está a lo prevenido en los artículos 83.2 del RGPD y 72.1b) y 76 de la LOPD atendiendo a la naturaleza, gravedad y duración de la infracción; la intencionalidad o negligencia en la infracción; las medidas adoptadas para paliar sus efectos; el grado de responsabilidad del encargado o del responsable del tratamiento; la comisión de infracciones anteriores; el grado de colaboración con la autoridad de control; categoría de los datos afectados; forma de conocimiento de la infracción por parte de la AEPD; cumplimiento de medidas de prevención; adhesión a mecanismos de certificación; afectación de derechos de los menores; beneficios obtenidos con la infracción y cualquier otro factor agravante o atenuante.
La AEPD entiende que existe un fraude en la contratación y, por lo tanto, que los datos han sido tratados sin causa justificada, lo cual debe ser calificado como una infracción muy grave del artículo 6.1 del RGPD. La resolución de la AEPD cita la Sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional de 31/05/2006 (FD 4º) que en un caso similar resuelve que, cuando el titular de los datos niegue la contratación, corresponderá a quien afirme su existencia la carga de la prueba. Extremo que no ha llevado a cabo VODAFONE, SA.
Entiende la AEPD que la entidad VODAFONE, SA incumplió negligentemente su obligación inexcusable de acreditar que el tratamiento de los datos del interesado se llevó a cabo con su consentimiento, conforme a lo exigido por la normativa de protección de datos europea y nacional.
Contra la resolución comentada, que pone fin a la vía administrativa, puede formularse recurso contencioso-administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, si bien, como se ha indicado, las resoluciones de dicha sala exigirían a la entidad infractora la acreditación de los motivos que dieron lugar a la recopilación, tratamiento y conservación de los datos personales del reclamante.
De la citada resolución pueden extraerse las siguientes CONCLUSIONES:
- Las entidades han de ser particularmente celosas con la recogida, tratamiento y conservación de los datos de carácter personal de las personas físicas, pues incluso si tal información se recaba por error estarán llevando a cabo un tratamiento ilícito de los mismos.
- El nombramiento de un encargado o responsable del tratamiento de datos atenúa las sanciones que, en su caso, pudieran aplicarse a las entidades responsables del tratamiento de datos de carácter personal.
- Otro tanto ocurre con la adhesión a mecanismos de certificación de un adecuado tratamiento de datos de carácter personal.
- Para los consumidores perjudicados por este tipo de prácticas, más comunes de lo que parecen, se abre una vía de reclamación que, si bien no le reportará una indemnización, sí que le garantizará que sus datos dejarán de ser tratado por la entidad infractora y que ésta termine sufriendo una importante sanción económica.