El año pasado, tras una investigación que acumulaba 191 reclamaciones recibidas desde 2018 a 2020, la Agencia Española de Protección de Datos (AEPD) impuso una multa de más de 8 millones de euros a Vodafone por vulnerar tres normativas de protección y uso de datos personales en sus acciones de telemárketing.
El pasado mes de febrero, además, Vodafone volvió a ser sancionado con 3,94 millones de euros junto a Telefónica, MásMóvil y Orange. Esa multa, al ser superior a 1 millón de euros, ha salido publicada hoy en el BOE y lo ha hecho junto a la sanción de 10 millones impuesta a Google por la AEDP. En ambos casos, el motivo es, una vez más, el incumplimiento del Reglamento General de Protección de Datos (RGPD).
10 millones a Google y casi 4 millones a Vodafone
Según explica la propia AEPD, Google ha cometido dos infracciones muy graves de la normativa de protección de datos: ceder datos a terceros sin legitimación para ello y obstaculizar el derecho de supresión de los ciudadanos (artículos 6 y 17 del Reglamento General de Protección de Datos). Y por ello, se ha dictado una resolución por la que multa a Google con 10 millones de euros.
Concretamente, la Agencia ha constatado que Google envía al Proyecto Lumen información de solicitudes que le realizan los ciudadanos, incluyendo su identificación, dirección de correo electrónico, los motivos alegados y la URL reclamada. Esa comunicación de datos se impone al usuario, sin que éste tenga opción de oponerse y, por tanto, sin que exista un consentimiento válido.
Vodafone España, por su parte, fue multada con casi 3,94 millones de euros por infringir el artículo 5.1.f) y 5.2 del RGPD, tal y como figura en la resolución publicada hoy en el BOE con fecha 9 de mayo de 2022.
Ese artículo 5 es en el que se regulan los principios del tratamiento de los datos personales, su integridad y confidencialidad. Concretamente, los artículos incumplidos por Vodafone España son los siguientes:
Artículo 5.1.f): Los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
Artículo 5.2: El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).