La Audiencia Nacional ha resuelto el recurso contencioso-administrativo interpuesto por Vodafone España S.A.U. contra la sanción impuesta por la Agencia Española de Protección de Datos (AEPD). La sentencia confirma la sanción de 8.150.000 € a Vodafone por infracciones en el tratamiento de datos personales, el envío de comunicaciones comerciales no consentidas y la transferencia internacional de datos sin garantías adecuadas.
La AEPD sancionó a Vodafone en mayo de 2021 por infracciones del Reglamento General de Protección de Datos (RGPD), la Ley de Servicios de la Sociedad de la Información (LSSICE) y la Ley General de Telecomunicaciones (LGT).
Vodafone interpuso recurso ante la Audiencia Nacional, alegando falta de responsabilidad en los tratamientos de datos y la desproporción de la sanción.
Sanciones impuestas:
La AEPD impuso a Vodafone las siguientes multas:
– 4.000.000 € por incumplir el artículo 28 del RGPD (falta de control sobre los encargados del tratamiento).
– 2.000.000 € por infringir el artículo 44 del RGPD (transferencia internacional de datos sin garantías adecuadas).
– 150.000 € por infracción del artículo 21 de la LSSICE (envío de SMS y correos electrónicos sin consentimiento).
– 2.000.000 € por vulnerar el artículo 48.1.b) de la LGT (realizar llamadas comerciales a usuarios que habían manifestado su oposición).
Adicionalmente, se ordenó a Vodafone que en un plazo de seis meses acreditara ante la AEPD la adecuación de sus tratamientos a la normativa.
Vodafone argumentó que:
– No era responsable del tratamiento de datos en ciertas campañas de marketing, ya que estas eran gestionadas por entidades colaboradoras independientes.
– No existía transferencia internacional de datos ilícita, ya que las llamadas realizadas desde Perú se hacían con números generados aleatoriamente.
– Las sanciones eran desproporcionadas y algunas infracciones ya habían prescrito.
– No hubo un envío masivo de correos y SMS, por lo que no debía aplicarse el artículo 38.3 de la LSSICE.
– Se vulneró el principio de «non bis in idem» es decir que no puede ser juzgado por la misma causa dos veces, ya que la AEPD sancionó los mismos hechos en varias ocasiones.
Fundamentos de la Sentencia
La Audiencia Nacional rechazó las alegaciones de Vodafone y confirmó la sanción basándose en los siguientes puntos:
A) Responsabilidad de Vodafone
– Se determinó que Vodafone sí era responsable del tratamiento de datos personales, ya que las entidades colaboradoras realizaban llamadas en nombre y por cuenta de Vodafone, siguiendo sus instrucciones.
– Vodafone fijaba las tarifas, condiciones y campañas de captación de clientes, por lo que no podía desligarse de las prácticas de sus distribuidores.
B) Transferencia internacional de datos
– Se probó que Vodafone permitió que una empresa su contratada en Perú accediera a datos personales sin cumplir con las garantías del RGPD.
– Aunque las llamadas fueran con números generados aleatoriamente, los registros de exclusión publicitaria se enviaban a Perú, lo que constituye una transferencia de datos no autorizada.
C) Envío de comunicaciones comerciales sin consentimiento
– Se acreditó que Vodafone envió SMS y correos electrónicos sin el consentimiento expreso de los destinatarios.
– No se garantizó un mecanismo eficaz para que los usuarios pudieran oponerse a recibir publicidad.
D) Vulneración del derecho de oposición
– Se constató que Vodafone realizó llamadas comerciales a números inscritos en listas de exclusión publicitaria, incumpliendo el artículo 48.1.b) de la LGT.
– La empresa no garantizó que sus proveedores respetaran las solicitudes de los usuarios que habían rechazado recibir publicidad.
E) Principio de «non bis in idem»
– La Audiencia concluyó que no hubo doble sanción, ya que las infracciones del RGPD, la LSSICE y la LGT eran independientes y afectaban a derechos distintos.
Conclusión de la Sentencia
La Audiencia Nacional desestima el recurso de Vodafone y confirma las sanciones impuestas por la AEPD. Vodafone deberá pagar un total de 8.150.000 € y ajustar sus procesos a la normativa de protección de datos.
Esta sentencia refuerza la aplicación estricta del RGPD en el ámbito de las telecomunicaciones y la comercialización de servicios, subrayando la responsabilidad de las empresas sobre el tratamiento de datos realizado por sus colaboradores.
Análisis generado por IA.
