Acerca de operadores lógicos
Última revisión
09/02/2023
Resolución de la Agencia Española de Protección de Datos PS-00059-2020 de 11 de marzo de 2021
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 248 min
Órgano: Agencia Española de Protección de Datos
Fecha: 11/03/2021
Num. Resolución: PS-00059-2020
Cuestión
Sector:1 / 97
Procedimiento Nº: PS/00059/2020
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y con
base en los siguientes
ANTECEDENTES
PRIMERO. Desde el segundo trimestre del año 2018 se han recibido en esta...
Contestacion
1/97
? Procedimiento Nº: PS/00059/2020
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y con
base en los siguientes
ANTECEDENTES
PRIMERO. Desde el segundo trimestre del año 2018 se han recibido en esta Agencia
191 reclamaciones a la fecha del acuerdo de inicio 26/02/2020 (23 de las cuales entre
el 1 de octubre de 2019 y febrero de 2020) contra la entidad VODAFONE ESPAÑA,
S.A.U. (en lo sucesivo VODAFONE o VDF), con NIF A80907397, en las que se
denuncia la realización de acciones de mercadotecnia y prospección comercial en
nombre y por cuenta de VDF a través de llamadas telefónicas y mediante envío de
comunicaciones comerciales electrónicas (mensajes SMS y correos electrónicos).
Tales acciones podrían vulnerar tanto la normativa Ley 9/2014, de 9 de mayo, General
de Telecomunicaciones (en adelante LGT), la Ley 34/2002, de 11 de julio, de servicios
de la sociedad de la información y de comercio electrónico (en adelante LSSICE),
como la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
Garantías de Derechos Digitales (en adelante LOPDGD).
Lo anterior, porque estas comunicaciones electrónicas denunciadas se producen, por
un lado y en lo que respecta a la LSSICE, sin que hayan sido solicitadas o
expresamente autorizadas y/o sin atender el ejercicio del derecho a oponerse al envío
de nuevas notificaciones; por otro, en cuanto a la LGT, sin facilitar la posibilidad de
ejercer el derecho de oposición o bien, una vez que el afectado ha ejercido
previamente su derecho de oposición a través de su inclusión en el fichero de
exclusión publicitaria interno de las entidades indicadas (en adelante Listado Robinson
Interno -LRI-), o a través del sistema general común de exclusión publicitaria
denominado Listado Robinson Adigital -LRAD-; y, finalmente, por lo que respecta a la
LOPDGDD sin adecuar los procedimientos y garantías establecidas para la ejecución
de acciones de mercadotecnia en el contenido de los contratos con los encargados de
los tratamientos que actúan en nombre y por cuenta del responsable (VDF) y sin
ofrecer al interesado los medios necesarios, suficientes y apropiados que le garanticen
la protección de sus derechos y libertades.
Asimismo, debe ponerse de manifiesto que del análisis de las contestaciones a los
requerimientos de información de esta Agencia evacuados por la entidad reclamada se
desprende, en resumen, lo siguiente:
? No explican la razón por la que suceden y continúan sucediendo los hechos
objeto de reclamación.
? No se indica el origen de los datos relativos al número de línea telefónica o
dirección electrónica de los destinatarios.
? No se responde el motivo por el que hay reclamantes que han ejercido el
derecho de oposición a recibir acciones de mercadotecnia y/o figuran en su LRI o
LRAD y, sin embargo, se hayan realizado nuevamente acciones comerciales.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/97
? No explican los motivos por los que no se atienden los derechos ejercidos por
los reclamantes ni proponen actuaciones eficaces tendentes a evitar en el futuro este
tipo de conducta.
? Continúan las acciones de mercadotecnia tras resoluciones de la AEPD en
tutela de los derechos ejercidos y previas resoluciones de procedimientos
sancionadores instando la cancelación de acciones comerciales y sancionando los
mismos hechos ahora analizados.
? Del trámite de admisión de reclamaciones previsto en el artículo 65 de la
LOPDGDD se desprende que si bien se ha obtenido una respuesta satisfactoria para
el reclamante en determinadas reclamaciones al haber manifestado la entidad
reclamada que los datos del reclamante se incorporaban a los ficheros de exclusión de
acciones publicitarias de las entidades (LRI) (a pesar de ya encontrarse incorporados
en el LRAD), se pone de manifiesto que el procedimiento llevado a cabo no es
resolutivo. Las acciones de mercadotecnia continúan, pudiendo suponer una conducta
regular y permanente de posible vulneración de los derechos y libertades de los
interesados en el ámbito de las acciones de mercadotecnia directa, de atención de los
derechos reconocidos en las citadas normas (LGT, LSSICE y LOPDGDD) y ausencia
de medidas técnicas y organizativas apropiadas para la aplicación de forma efectiva
de los principios y garantías de los interesados conforme señala la normativa vigente
arriba indicada.
? A lo que hay que añadir, a los efectos de falta de colaboración, que las ultimas
reclamaciones ante esta Agencia durante el trámite de admisión a trámite no han sido
atendidas por la entidad, o lo han sido con posterioridad al vencimiento del plazo de 3
meses, lo que ha dado origen a su admisión a trámite por imperativo del art 65.5 de la
LOPDGDD.
Consta de la documentación recibida de VDF en fecha 26/04/2019 (en pendrive dado
el gran volumen de información, con número de registro de entrada 021640/2019) que
el volumen de actuaciones comerciales realizadas en nombre y por cuenta de VDF
desde mayo de 2018 a marzo de 2019 es de 200.000.000 (doscientos millones).
Consta también del balance de cuentas anuales (marzo 2018-marzo 2019) presentado
por VDF que el importe neto de la cifra de negocios supera los 1.600 millones de euros
y dispone de 4.000 empleados.
En consecuencia, se estimó necesario iniciar actuaciones de investigación por la
Subdirección General de Inspección de Datos tendentes a clarificar las
responsabilidades que en materia de protección de datos (RGPD y LOPDGDD)
pudiera haber incurrido el responsable de los tratamientos objeto de las reclamaciones
en sus actuaciones de mercadotecnia y atención del ejercicio de derechos
establecidos en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos datos y por
el que se deroga la Directiva 95/46/CE (en adelante RGPD).
También se estimó necesario investigar los hechos denunciados al objeto de dirimir las
responsabilidades en que pudiera haber incurrido el responsable de las acciones de
mercadotecnia en relación con lo dispuesto en el artículo 48 de la Ley 9/2014, de 9 de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/97
mayo, General de Telecomunicaciones (LGT) y artículo 21 de la Ley 34/2002, de 11 de
julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE).
SEGUNDO: A la vista de lo anterior, la Directora de la Agencia Española de Protección
de Datos instó a la Subdirección General de Inspección de Datos a que procediera a
realizar actuaciones de investigación necesarias para el esclarecimiento de los hechos
en denunciados, en virtud de los poderes de investigación otorgados a las autoridades
de control en el artículo 57.1 del RGPD, y de conformidad con lo establecido en el
Título VII, Capítulo I, Sección segunda, de la LOPDGDD, teniendo conocimiento de los
siguientes extremos :
En fecha de 26/02/2019, se acordó el inicio de actuaciones de investigación a fin de
acreditar la posible existencia de una conducta regular y continuada de vulneración de
la normativa de protección de datos (RGPD y LOPDGDD), LGT y LSSICE en el ámbito
de las acciones de mercadotécnica directa por parte de la entidad ahora investigada
(VDF).
El objeto de las actuaciones de investigación a realizar se enmarca en el análisis de
los procedimientos diseñados internamente para los tratamientos de datos realizado
en el ámbito de la mercadotecnia directa en nombre y por cuenta de VDF, desde que
el dato se incorpora a los sistemas de información de los que es responsable hasta
que deja de ser utilizado para estos fines.
Esto implica que se clarifique el origen de los datos tratados, el tratamiento posterior
de estos y la relación con los encargados de los tratamientos, la comprobación previa
de inclusión en el sistema de exclusión publicitaria interno o general de los afectados
(listados Robinson interno y General de Adigital), la gestión de los derechos de
oposición y supresión, así como las medidas técnicas y organizativas implementadas y
su grado de cumplimiento para la protección de los derechos y libertades de los
interesados.
ENTIDADES INVESTIGADAS
Durante las presentes actuaciones se han realizado investigaciones a las siguientes
entidades:
? VODAFONE ONO, S.A.U.
? VODAFONE ESPAÑA, S.A.U.
? VODAFONE ENABLER ESPAÑA, S.L.
? TELEFONICA DE ESPAÑA, S.A.U
? TELEFONICA MOVILES ESPAÑA, S.A.U.
? LYCA MOBILE, S.L.
? XTRA TELECOM
? DIALOGA SERVICIOS INTERACTIVOS
? FLASH MEDIA EUROPA,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/97
? ORANGE ESPAÑA, S.A.U.
? GLOBALIA CALL CENTER, S.A.
? MARKTEL GLOBAL SERVICES, S.A.
? ENGINYERIA INFORMATICA OLOT, S.L.
? CASMAR TELECOM, S.L. (en adelante Casmar)
? THREE-QUARTERS FULL, S.L. (en adelante TQF)
RESULTADO DE LAS ACTUACIONES DE INVESTIGACIÓN
1. Desde el inicio de las actuaciones de investigación que obran en el expediente
de referencia E/01615/2019 se han incorporado 191 reclamaciones a través del
expediente de referencia E/09541/2018, de las cuales 23 recibidas desde octubre de
2019 a febrero de 2020.
En fechas de 27/02/2019, 08/03/2019, 18/03/2019, 07/06/2019 se realizan
requerimientos de información a VODAFONE ESPAÑA, S.A.U. y en fechas de
18/09/2019 y 30/09/2019 se realiza inspección presencial (cuya Acta y documentación
se incorpora al expediente) en la sede de VDF a fin de poder contrastar con la
normativa vigente el procedimiento general de gestión del tratamiento de datos relativo
a las acciones de mercadotecnia directa a través de llamadas telefónicas, SMS y
correos electrónicos, teniendo conocimiento de lo siguiente:
1.1.Con carácter general las acciones de mercadotecnia se pueden clasificar
atendiendo a varios criterios.
1.1.1.Campañas gestionadas directamente por VDF y Campañas gestionadas por otras
entidades por cuenta y nombre de VDF.
La diferencia entre campañas gestionadas directamente por VDF de las que son
gestionadas por otras entidades por cuenta y nombre de VDF es la siguiente:
Que en las primeras (VDF), las bases de datos de los destinatarios de las acciones
comerciales son proporcionadas por VDF y las acciones comerciales las realiza, o bien
el Departamento interno de Marketing o bien el Departamento interno de Televenta
(TVTA en lo sucesivo), estás últimas a través de entidades contratadas por VDF que
conforman lo que denominan la Plataforma de TVTA.
Y las segundas (entidades que actúan por cuenta y nombre de VDF) son realizadas en
su totalidad por los llamados Distribuidores/Colaboradores/Agentes (que en ocasiones,
subcontratan a su vez la gestión y los tratamientos de datos de afectados para la
realización efectiva de las acciones de mercadotecnia en nombre y por cuenta de
VDF) pudiendo, en este caso, utilizar las bases de datos proporcionadas por la propia
VDF o bien sus propias bases de datos encargándose, según manifiesta VDF, dichos
distribuidores/colaboradores/agentes de los filtrados de los datos con ambas Listas
Robinson (internas, LRI y Adigital, LRAD).
Sobre las ?campañas gestionadas otras entidades por cuenta y nombre de VDF?, no
consta que VDF disponga del control técnico y organizativo sobre los tratamientos y
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/97
bases de datos que utilizan estas entidades, pues ni cuando el
?distribuidor/colaborador/agente? utiliza sus propias bases de datos ni cuando utiliza
las facilitadas por la propia VDF, VDF no tiene implantado métodos ni medios técnicos
y organizativos que verifiquen la licitud, el origen de estas ni su efectivo filtrado previo
con los LRI o LRAD, ni tampoco durante cuánto tiempo se utilizan.
Tampoco consta que VDF tenga control real sobre las acciones comerciales en sí
mismas (llamadas, SMS y emails), sino que sólo tiene un control formal basado en las
obligaciones contractuales que los distribuidores/colaboradores/agentes adquieren con
VDF y referidas solamente a comunicaciones informativas internas, que no de
autorizaciones previas para llevar a cabo las acciones de mercadotecnia, en el caso
de que utilicen bases de datos propias de los distribuidores/colaboradores/agentes y
por tanto ajenas a VDF. En este sentido, señalar que de la documentación requerida a
VDF y a estas entidades se infiere que el control sobre las acciones de mercadotecnia
es a posteriori, es decir, una vez detectada la deficiencia o presentada reclamación
ante la AEPD, se procede a informar a las entidades actuantes e indicar, en su caso,
las acciones correctoras.
El departamento interno de VDF que contrata con las entidades
distribuidoras/colaboradoras/agentes que conforman este segundo conjunto de es el
denominado ?Distribución/agentes? que está divido en varios canales de venta, entre
otros: > (D2D en lo sucesivo), >, físicos en centros comerciales y establecimientos>>.
1.1.2.Clasificación atendiendo a quien realiza materialmente las acciones comerciales:
Estas podrán ser las realizadas por:
(A) Departamento de Marketing interno de VDF a través de los medios propios de VDF.
(B) Departamento de Televenta interno de VDF a través de las entidades que conforman
la Plataforma de TVTA.
(C) Departamento de Distribuidores/Colaboradores/Agentes a través de su red de
distribuidores/agentes/colaboradores.
A.- El Departamento de Marketing interno de VDF realiza sus propias acciones de
publicidad desde sus propias bases de datos, sin perjuicio de tener competencias y
funciones que se proyectan sobre el departamento de TVTA.
B.- El Departamento de TVTA de VDF, está formado por las siguientes plataformas
subcontratadas:
Para LOWI las plataformas de televenta son:
Global Sales Solutions Line, S.L. (GSS)
Emergia Contact Center, S.L. (Emergia)
Konecta Bto, S.L. (Konecta)
Para VDF y ONO las plataformas de televenta son:
Global Sales Solutions Line, S.L. (GSS)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/97
Emergia Contact Center, S.L. (Emergia)
Konecta Bto, S.L. (Konecta)
Telecyl, S.A. (Madison)
Atento Teleservicios España Sucursal en Marruecos/Atento Teleservicios
España, S.L. (Atento)
Marktel Servicios de Marketing Telefónico, S.A. (Marktel)
Unísono Soluciones de Negocio, S.A. (Unísono)
VDF manifiesta que para cada una de las plataformas que conforman el Departamento
interno de TVTA, existe > adaptado al
RGPD y, como mínimo, un contrato de prestación de servicios donde se regulan los
derechos y obligaciones, aunque sólo desde el ámbito mercantil.
Todos estos contratos son negociados por la central de compras del Grupo Vodafone
que se ubica en Luxemburgo (Vodafone Procurement, S.a.r.l.).
Por su parte, todas las citadas entidades que conforman la plataforma del
Departamento de TVTA, previamente a ser contratados, deben pasar un proceso de
> que se gestiona desde Vodafone Grupo ubicado
en Budapest, Hungría. Para ello se les remite un checklist donde se les solicita cierta
información con el fin de validar si es posible contratar con dicho proveedor. El citado
checklist se limita a contestar a determinadas cuestiones con un ?SI? o ?NO?, sin que
se especifique acreditación o contenido de las respuestas y gestión de procedimientos
a seguir. El contenido del formulario/checklist es en siguiente:
A.1 ¿Dónde se encuentra establecida su sede?
A.2 ¿Disponen de un responsable de la privacidad de los datos personales? SI NO
A.3 En caso afirmativo, ¿cuál es su dirección?
A.4 ¿Tienen un responsable para GDPR? SI NO
A.5 En caso afirmativo, ¿cuál es su dirección?
A.6 ¿Tienen definidos y documentadas políticas y procedimientos para la gestión de datos personales? SI
NO
A.7 ¿Las políticas y procedimientos incluyen una declaración sobre el compromiso hacia la protección de
los datos y la privacidad? SI NO
A.8 ¿Las políticas y procedimientos tienen reglas transversales, perfiles establecidos y responsabilidades
definidas sobre la protección de datos y la privacidad? SI NO
A.9 ¿Las políticas y procedimientos contemplan procesos disciplinarios en el supuesto de brechas de
seguridad incluyendo un apropiado escalado para informar a la dirección? SI NO
A.10 ¿Se informan a la dirección los eventuales cambios de la política de protección de datos? SI NO
A.11 ¿Se informa a la dirección de la política de privacidad y de los procedimientos de protección de datos
de una manera regular, ej anualmente? SI NO
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/97
A.12 ¿Si se le solicita tener un registro del proceso de datos personales, sería válido y estaría
actualizado? SI NO
EVALUACIÓN Y MODIFICACIONES DEL PROCESAMINETO DE DATOS PERSONALES
B.1 ¿Existe un procedimiento para evaluar si un requerimiento o instrucción de Vodafone relativa al
procesamiento de datos personales de Vodafone es legítimo? SI NO
B.2 ¿Está preparado para notificar a Vodafone si su evaluación de la instrucción o el requerimiento sobre
el procesamiento de datos personales recibido desde Vodafone es ilegítimo o podría derivar en un
incumplimiento normativo de la ley sobre protección de datos y privacidad? SI NO
B.3 ¿Ha definido un proceso para asegurar que si hay cambios significativos en la manera en que se
tratan los datos personales de Vodafone, se comunique a Vodafone para obtener la aprobación preliminar
cuando proceda? SI NO
B.4 ¿Estaría dispuesto a obtener el consentimiento previo por escrito de Vodafone antes de tratar los
datos personales de Vodafone con un tercero subcontratado? SI NO
B.5 ¿Estaría dispuesto a ayudar a Vodafone a llevar a cabo la evaluación de los impactos sobre la
privacidad de los datos personales para aquellos procesos que Vodafone ha catalogado como de Alto
Riesgo según lo expuesto en la normativa GDPR? SI NO
B.6.1 ¿Permitirá a Vodafone llevar a cabo auditorías de sus Políticas y procedimientos de protección de
datos, seguridad y privacidad? SI NO
B.6.2 ¿Permitirá a Vodafone llevar a cabo auditorías de los sistemas usados para procesar los datos
personales de Vodafone? SI NO
B.6.3 ¿Permitirá a Vodafone llevar a cabo auditorías de las ubicaciones físicas en las cuales se procesan
dichos datos personales de Vodafone? SI NO
B.7 ¿Dispone de procesos definidos para documentar el tratamiento de datos personales que lleva a cabo
en nombre de Vodafone? SI NO
B.8 ¿Tiene definidos procedimientos para el borrado de los datos personales de Vodafone en
concordancia con la política de retención de la información o instrucciones proporcionadas por Vodafone?
SI NO
B.9 En ausencia de directrices de retención de datos establecidas por Vodafone, ¿Hay una política
estandar de retención y borrado de datos? SI NO
B.10 ¿Hay establecidos procesos para asegurar que una vez que el contrato con Vodafone ha expirado,
todos los datos personales de Vodafone son recuperados de todos los sistemas y devueltos a Vodafone y
eliminados de todos los sistemas? SI NO
B.11 ¿Se ha establecido un procedimiento por el cual se identifique y se comunique a Vodafone cualquier
reglamento u obligación regulatoria a la que esté sujeto y que le obligue a retener los datos personales
posteriormente a la finalización del contrato con Vodafone? SI NO
CONOCIMIENTO SOBRE LA PROTECCIÓN DE DATOS O LA PRIVACIDAD Y PREPARACIÓN DE LOS
DIRECTIVOS INVOLUCRADOS EN EL TRATAMIENTO DE DATOS PERSONALES
C.1 Los contratos firmados por su dirección ¿les obligan a la protección y el manejo adecuado de los
datos personales? SI NO
C.2 Los contratos firmados por su dirección ¿les obligan a extender las responsabilidades sobre los datos
personales más allá de la jornada laboral y después de acabar la relación laboral con su empresa? SI NO
C.3 Los contratos firmados por sus empleados ¿contemplan medidas disciplinarias como resultado de un
fallo en sus responsabilidades con respecto de los datos personales? SI NO
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/97
C.4 ¿Ha comunicado a su dirección y al personal de sistemas de información que están manejando datos
personales (mediante el canal adecuado) la política y los procedimientos de protección de datos y
privacidad? SI NO
C.5 ¿Se comunica la política de privacidad y protección de datos a todos aquellos nuevos trabajadores y
a la dirección cuando hay un cambio de perfil profesional que produjera a su vez nuevas
responsabilidades respecto al tratamiento de datos personales? SI NO
C.6 ¿Se dispone del entrenamiento y la formación definida e implementada sobre protección de datos y
privacidad para todo el personal involucrado en el procesamiento de datos personales de Vodafone con
objeto de asegurar que todo el personal y la dirección disponen de un adecuado conocimiento de los
requerimientos para el tratamiento de datos personales? SI NO
C.7 ¿Puede demostrar que se ha impartido formación a todos los nuevos trabajadores y a la dirección
existente cuando se producen cambios en las responsabilidades sobre el manejo de datos personales? SI
NO
C.8 ¿El programa de formación y concienciación se desarrolla de forma regular, ej anualmente? SI NO
DERECHOS DE LOS INDIVIDUOS
D.1 En el supuesto de un requerimiento de acceso de un individuo, o cualquier otro requerimiento sobre
los datos personales (incluyendo cualquier Entidad Supervisora), ¿dispone de un procedimiento para dar
cobertura a Vodafone o, si fuera requerido por Vodafone, atender directamente al requerimiento? SI NO
D.2 ¿Hay establecido un procedimiento para ayudar a Vodafone en la corrección de los datos personales
procesados en los sistemas de los cuales usted es responsable? SI NO
D.3 ¿El procedimiento tiene procesos de escalado en la comunicación de información a los responsables
con límites temporales y mecanismos de rectificación locales? SI NO
D.4 ¿Tiene definidos procedimientos que permitan a Vodafone extraer los datos personales de Vodafone
de los sistemas de los cuales es usted responsable para que Vodafone pueda cumplir con las
obligaciones sobre la portabilidad de la información de un cliente o un empleado? SI NO
D.5 ¿Dispone de un procedimiento que permitiría a Vodafone bloquear el acceso de un individuo a sus
datos personales? SI NO
D.6 ¿Podría Vodafone bloquear con carácter permanente el acceso a un sujeto a los datos personales
individuales? SI NO
D.7 ¿Podría Vodafone ser capaz de bloquear el acceso a los datos personales de un individuo de manera
temporal? SI NO
D.8 ¿Estaría en disposición de atender a los requerimientos que Vodafone pudiera tener sobre
pseudoanonimización y anonimización de datos personales? SI NO
BRECHA DE SEGURIDAD DE DATOS-GESTIÓN DE INCIDENTES Y NOTIFICACIONES
E.1 ¿Tiene definidos procesos para el seguimiento de logs (actividad) y de reporte a Vodafone de
incidentes de seguridad en relación con los datos personales de Vodafone? SI NO
E.2 ¿Los procesos de reporte de incidentes de seguridad y seguimiento de logs sobre datos personales
de Vodafone se comunican en su organización? SI NO
E.3 ¿Se investigan internamente de manera regular los informes de incidentes de seguridad y brechas de
seguridad sobre datos personales, incluyendo la revisión de lecciones aprendidas e identificando cuantos
incidentes han ocurrido en los últimos 12 meses? SI NO
E.4 Si se ha producido algún incidente de seguridad en los últimos 12 meses que haya impactado en los
datos personales de Vodafone ¿Se ha notificado a Vodafone? SI NO
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/97
E.5 ¿Alguna persona de su organización tiene la responsabilidad de gestionar los incidentes e informar de
los mismos a Vodafone? SI NO
E.6 ¿El proceso incluye la obligación de notificar en 24h a los clientes afectados como pudiera ser
Vodafone para permitir a los clientes investigar y realizar las correspondientes notificaciones a los
reguladores antes de las 72h establecidas por GDPR? SI NO
SUBPROCESOS
F.1 ¿Existe evidencia de los procesos de due diligence para la selección de subcontratas que incluyan
una revisión de los controles técnicos, administrativos físicos concernientes a la protección de datos
personales? SI NO
F.2 ¿Asegura tener los acuerdos y contratos con sus subcontratas con las mismas o equivalentes
obligaciones, tal y como son requeridas en el contrato con Vodafone, en relación con el procesamiento de
datos personales? SI NO
F.3 ¿Proporcionaría a Vodafone la lista de los subprocesos involucrados o quienes estarían involucrados
en el procesamiento de los datos personales de Vodafone? SI NO
F.4 ¿Hay un procedimiento para informar a los clientes cuando existe un cambio en un subproceso usado
por el proceso principal en el tratamiento de los datos personales? SI NO
F.5 ¿Existe una estrategia de retorno de con todos los subcontratos para devolver los datos personales
usados por el subproceso? SI NO
UBICACIÓN DE LOS DATOS PERSONALES TRATADOS
G.1 ¿Los empleados que procesan los datos personales de Vodafone están en la Unión Económica
Europea? SI NO
G.2 ¿Los empleados que procesan los datos personales de Vodafone están fuera de la Unión Económica
Europea? SI NO
G.3 ¿Los empleados que procesan los datos personales de Vodafone están tanto en la Unión Económica
Europea como fuera de la Unión Económica Europea? SI NO
G.4 ¿Procesa los datos personales de Vodafone en centros de datos propios ubicados en Europa? SI NO
G.5 ¿Procesa los datos personales de Vodafone en centros de datos propios ubicados fuera de Europa?
SI NO
G.6 ¿Procesa los datos personales de Vodafone en centros de datos de terceros ubicados en Europa? SI
NO
G.7 ¿Procesa los datos personales de Vodafone en centros de datos de terceros ubicados fuera de
Europa? SI NO
G.8 ¿Procesa los datos personales de Vodafone en centros de datos de nube pública tipo Amazon AWS?
SI NO
G.9 ¿Conoce la ubicación de todos los datos personales de Vodafone y cómo/cuando se usan en todas
las jurisdicciones donde opera? SI NO
G.10 ¿Asegura que todos los estándares y procedimientos en las ubicaciones/jurisdicciones donde usted
o sus subcontratas operan son apropiados y en todo caso son como mínimo equiparables a los
estándares y procedimientos que acordó con Vodafone? SI NO
G.11 ¿Transfiere datos personales de Vodafone a algún país fuera de la Unión Europea? SI NO
G.12 Si se transfieren datos personales de Vodafone a una ubicación tal como: Países no pertenecientes
a la Unión Europea o países que no se incluyen en la lista de "Países Seguros" por la Unión Europea,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/97
¿Está preparado para firmar un acuerdo de transferencia de datos con Vodafone basado en las cláusulas
del Modelo de la Unión Europea para exportación e importación? SI NO
REVELACIÓN A TERCEROS
H.1 ¿Hay definido un procedimiento para evaluar la legitimidad o legalidad de los requerimientos de
revelación de datos personales recibidos de terceras partes incluyendo los organismos encargados de
velar por el cumplimiento de la Ley? SI NO
H.2 ¿Los empleados que reciben y procesan tales requerimientos son conscientes de ese proceso? SI
NO
H.3 ¿El proceso dispone de todas las garantías para estar registrado con seguridad? SI NO
H.4 ¿El proceso necesita que se realice una evaluación para permitir la notificación al cliente del
requerimiento de terceros sobre la petición de acceso o sobre la revelación de los datos personales del
cliente? SI NO
H.5 ¿El proceso establece quien podría notificar al cliente el requerimiento del tercero para acceder o
revelar los datos personales del cliente? SI NO
CONTRATOS Y RECURSOS
I.1 ¿Estaría su empresa dispuesta en firmar con Vodafone un acuerdo de tratamiento de datos en los
términos establecidos por Vodafone para regular el proceso? SI NO
I.2 ¿Formalizaría su empresa un acuerdo con responsabilidad ilimitada para la ruptura de las obligaciones
contractuales en el procesamiento de datos personales? SI NO>>
Por tanto, cualquier entidad que solicite adherirse a la plataforma TVTA tiene que
realizar esa homologación antes de contratar con VDF e incorporarse a la plataforma
de TVTA. Este proceso de homologación consiste en cumplimentar un formulario
donde obtiene una respuesta ?OK? (válido) o ?KO? (no válido). En el caso de que el
resultado del formulario sea ?OK?, VDF genera un código denominado ?SAP? que es el
que se atribuye como identificador a la nueva entidad y le permite realizar contratos en
nombre de VDF.
VDF cuenta con los servicios de una tercera empresa que realiza auditorías de calidad
(no específicamente en materia de protección de datos) para verificar el correcto
proceder de las entidades contratadas y el cumplimiento de los procesos definidos en
los contratos.
C.- El Departamento de Distribuidores/Colaboradores/Agentes está dividido en varios
canales de venta: Canal ?Door to Door? (D2D en lo sucesivo), ?canal online?, ?córneres
físicos en centros comerciales y establecimientos?, entre otros.
Existen agentes exclusivos que suscriben con VDF >, en
donde siempre se incluye un anexo de contenido general relativo al cumplimiento de la
normativa de protección de datos, delegando las responsabilidades sobre el
cumplimiento de las obligaciones legales a los agentes. También existen entidades
que no suscriben contrato de Agencia.
En cuanto al canal D2D, se deben distinguir, a su vez, dos escenarios al analizar su
actuación, uno referido antes de la adquisición por VDF de ONO (en fecha
10/01/2018), y otro con posterioridad.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/97
En el primer escenario, los agentes de VDF realizan acciones de captación ?a puerta
fría? a potenciales clientes en cuyos domicilios existe la posibilidad de instalación de
tecnología de fibra óptica de VDF. Tras la aceptación de la oferta por parte del
potencial cliente, el agente muestra en su Tablet las condiciones contractuales del
servicio a contratar que son aceptadas por el usuario, y con posterioridad se produce
una llamada de verificación por la entidad verificadora Marktel.
En el segundo escenario, los Distribuidores/Colaboradores/Agentes venden a través
de stands en comercios y en la calle, que a su vez también llegan a otras agencias de televenta y comerciales>> (subencargados del tratamiento por
cuenta de VDF) para la realización efectiva de llamadas telefónicas y que gestionan
> de números de teléfono de potenciales clientes.
Estas > subcontratadas no se someten a
un proceso de homologación previo -como hacen las adscritas a la plataforma de
TVTA- sino que en la actualidad se sigue trabajando con las que ya prestaban el
servicio en ONO antes de la fusión con VDF (en fecha 10/01/2018) y no consta que se
hayan verificado los medios técnicos y organizativos de los que disponen.
En estos casos, VDF desconoce la identidad de las entidades (otras agencias de
televenta y comerciales) subcontratadas por el Distribuidor/Colaborador/Agente y
desconoce las garantías de índole técnico u organizativo con las que cuentan. La
información relativa a la identidad de estas entidades subcontratadas debe constar en
el anexo al contrato (subcontrato) establecido al efecto, pero sólo consta una vez
realizada la subcontratación, es decir, VDF desconoce previamente la cualificación
técnica y organizativa y la identidad de estas entidades subcontratadas así como su
capacidad para el cumplimiento a la normativa vigente.
De las cláusulas del contrato tipo denominado ?Canal Presencial 2019-2020? (por
ejemplo, con CASMAR de 1 de mayo de 2019) suscrito entre VDF y las entidades
adscritas a la plataforma de TVTA, figura la obligación de comunicar previamente a
VDF la lista de subencargados del tratamiento por cuenta de VDF que van a utilizar los
distribuidores/colaboradores/agentes. Esta comunicación se recoge, entre otras, en las
cláusulas 5 (recursos) y 6 (características de la actividad) del citado contrato (se
incluye en el expediente). Sólo en las cláusulas 13.4 y 13.5 del citado contrato se hace
referencia a la obligatoriedad del cumplimiento de la normativa de protección de datos
en los siguientes términos: ?? sin perjuicio de las obligaciones asumidas por el
COLABORADOR en cumplimiento de la legislación de Protección de Datos vigente en
cada momento?? (sic). En la cláusula 13.6 se afirma de forma expresa que el
?colaborador tendrá la consideración de encargado del tratamiento debiendo
formalizar el Acuerdo estándar de tratamiento de datos que se adjunta como anexo
IV??.
Sin embargo, esta comunicación a VDF de las entidades subcontratadas tiene un
carácter declarativo a posteriori y no está sujeto a aprobación previa por VDF ni consta
reflejada la posibilidad del ejercicio de los derechos de los interesados. La finalidad de
esta declaración, según manifiesta VDF, es fundamentalmente para disponer de
información cuando se detecte una mala praxis.
Se han analizado los contratos, alegaciones y comunicaciones entre dos de las
entidades distribuidores/Colaboradores/agentes (CASMAR y THE THREE QUARTERS
FULL S.L.,) así como el proceso en virtud del cual VDF tiene conocimiento de las
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/97
entidades a su vez subcontratadas por aquellas, y se concluye que no cumple el
requisito de autorización previa por VDF, sino que VDF tiene conocimiento en el
momento de la contratación tras cumplimentar el ANEXO informativo establecido al
efecto según va siendo necesario dar de > a los intervinientes (subencargados
del tratamiento por cuenta de VDF).
Cumplimentado el citado ANEXO, se solicita el alta a VDF de la entidad a subcontratar
y se recaban: nombre y apellidos (o razón social), CIF/NIF y correo electrónico, y es en
ese momento cuando VDF tiene conocimiento de la identidad de la entidad
subcontratada. No se han encontrado evidencias de que se cumplan las cláusulas 5 y
6 del contrato denominado ?Canal Presencial 2019-2020? suscrito entre VDF y las
entidades adscritas a la plataforma de TVTA. Se recuerda que dichas cláusulas,
(constan en la documentación del expediente) se encuentran en el ?contrato de
prestación de servicios canal presencial? entre VDF y Casmar de fecha 1/05/2019, y
que según manifiesta VDF es un contrato tipo suscrito con las entidades encargadas.
A su vez, consta también el contrato entre Casmar y A-Nexo Contact Center SAC, de
fecha 1/02/2017, en el que se subcontratan los servicios de venta de productos de
VDF a través de ofertas de telemarketing telefónico, según el guion facilitado por
Casmar.
VDF no aporta la documentación detallada en materia de garantías de protección de
datos del contrato que sustenta la relación entre el distribuidor inicial y el
subcontratado ni las garantías para el cumplimiento del encargo. Según ha informado
VDF, el contrato es similar al que mantienen VDF y los distribuidores iniciales adscritos
a la plataforma de TVTA. VDF incluye como obligación contractual genérica que se
trasladen las instrucciones a los > (subencargados del tratamiento por
cuenta de VDF), para que se realicen las acciones de mercadotecnia en los términos
indicados por VDF, pero sin garantías para acreditar su cumplimiento.
Se ha accedido a los contratos entre los distribuidores de VDF (CASMAR y THE
THREE QUARTER FULL, S.L.) con > (subencargados del tratamiento por
cuenta de VDF) y se verifica que no son similares al que tiene VDF con los
distribuidores adscritos a la plataforma TVTA. Se pueden diferenciar dos modalidades
en relación con la determinación del origen de los datos y la obligación de consulta y
filtrado de ficheros de exclusión y ejercicio de derechos (oposición):
La primera, en la que VDF contrata con CASMAR y ésta subcontrata con A-NEXO,
que a su vez subcontrata con otras personas físicas y jurídicas quienes son las que
realizan materialmente las llamadas. En este supuesto los datos utilizados para la
realización de llamadas, según afirma CASMAR, los aporta A-NEXO; sin embargo, en
el contrato figura que es CASMAR quien proporciona los datos. En este sentido, las
acciones de mercadotecnia objeto de este contrato son efectuadas por A-NEXO con
un fichero de datos proporcionado por CASMAR y nada se indica sobre consulta
previa y filtrado con los ficheros de exclusión ni de ejercicio de derechos. En dicho
contrato (cláusula séptima) consta la prohibición expresa se subcontratación con
personas físicas o jurídicas sin el previo consentimiento expreso y por escrito de
CASMAR.
Consta como contestación por CASMAR al requerimiento de información efectuado
por la Inspección de esta AEPD en fecha 11/09/2019, que las llamadas desde la
numeración ***TELEFONO.2 y 954781254 se realizaron por A-NEXO. En cuanto a las
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/97
numeraciones destino, CASMAR afirma que son aleatorias. Se aportan al expediente a
título de muestra, cuatro correos electrónicos entre la gerencia de CASMAR y A-NEXO
sobre denuncias ante la AEPD de llamadas indebidas al estar incluidas las
numeraciones en listados de exclusión. Entre otros, desde los números de CASMAR
920211348, 951117277, 958146834, 679905774 y 954781254, a los números
***TELEFONO.1, ***TELEFONO.2.
La segunda, en la que VDF contrata con THE THREE QUARTERS FULL, S.L. y esta
subcontrata a su vez con otras personas físicas y jurídicas que son las que realizan
materialmente las llamadas. En los contratos aportados suscritos entre THE THREE
QUARTERS FULL y los subencargados del tratamiento por cuenta de VDF no figura
indicación alguna respecto de la obligación de consulta previa y filtrado con los
ficheros de exclusión ni con los de ejercicio de derechos. Tampoco consta el origen de
los datos para la realización de las llamadas comerciales.
1.2. Origen de los datos utilizados por VDF para las acciones de
mercadotecnia y obligación de filtrado con Lista Robinson Interna y con Lista
Robinson de Adigital
El origen de los datos utilizados por VDF para las acciones de mercadotecnia puede
agrupase en cinco grandes grupos: (i) generación de numeraciones aleatorias (ii)
bases de datos alquiladas a terceros (iii) registros generados a través del canal online
(web`s) (iv) bases de datos ajenas a VDF de los distribuidores/colaboradores y (v)
bases de datos de VDF utilizadas por los distribuidores/colaboradores
1.2.1. (i) Generación de numeraciones aleatorias:
Se generan numeraciones a partir de diferentes rangos numéricos a criterio de VDF,
ya sea para numeraciones fijas o móviles. En estos supuestos puede suceder que un
usuario haya ejercido el derecho de supresión/oposición y tras la generación aleatoria
los datos relativos al teléfono fijo o móvil vuelvan a ser incluidos en otra campaña.
Muchos de estos números llamados no existen o no están asignados a ninguna
persona. En cualquier caso, estas bases de datos de numeraciones generadas
aleatoriamente, antes de utilizarse para acciones comerciales son cruzadas por VDF
tanto con listas Robinson interna y LRAD, siempre y cuando el ejercicio del derecho
ante un determinado colaborador haya sido informado a VDF, circunstancia esta última
que no consta en los contratos suscritos ni consta acreditada, por lo que en este caso
se reiteran las llamadas.
1.2.2. (ii) Bases de datos ?alquiladas? a terceros.
Se utilizan bases de datos >. En este apartado pueden
diferenciarse básicamente dos orígenes: las procedentes de DATACENTRIC PDM,
S.A. y las procedentes de MEYDIS S.L.
En el primer supuesto, la entidad DATACENTRIC es un intermediario entre VDF y el
titular de la base de datos (hay diversos titulares que prestan este servicio a
DATACENTRIC, como: WEBPILOT, BELEADER, ADSLASA, EGENTIC, LNVISTO,
PRESENTE SERVICE, NETSALES, etc.,). Según informan a VDF, los titulares de los
datos que se facilitan en estas bases de datos de potenciales clientes han dado su
consentimiento para recibir información comercial. Sin embargo, la circunstancia de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/97
disponer de consentimiento expreso para recibir ofertas comerciales a través de
comunicaciones electrónicas (correo electrónico o SMS) no ha sido acreditada, ni
siquiera por procedimientos estadísticos como podría ser a través de muestras
representativas.
En cuanto a la mecánica de trabajo con DATACENTRIC, es la siguiente:
Se realiza por VDF un pedido global que se ejecuta mensualmente. El pedido lo
realiza vía correo electrónico el Departamento de Marketing interno de VDF indicando
la segmentación (por ejemplo, por códigos postales, tipo de tecnología de acceso
instalada en el edificio?). Recibida respuesta de DATACENTRIC con el presupuesto,
que previamente ha trasladado la petición a sus colaboradores, se informa de, entre
otras cuestiones, el tiempo durante el que se puede utilizar la base de datos.
Estas bases de datos ya se encuentran filtradas por los Listados Robinson generales
(Adigital).
En el segundo supuesto, la entidad MEYDIS, proporciona a VDF bases de datos
publicados en repertorios de abonados a servicios de telecomunicaciones.
Generalmente el plazo durante el que pueden utilizarse los datos es de un año. En
este servicio no existe contrato por ser de cuantía inferior al importe determinado por
el departamento de compras por lo que se hace un pedido según las condiciones
generales de la contratación para este tipo de cuantías. VDF exige a MEYDIS el
requisito que los datos sean adecuados para realizar acciones de mercadotecnia.
Recibidas por VDF las bases de datos, se procede al cruce con LRI y LRAD.
1.2.3. (iii) Datos obtenidos a través de páginas web, Canal On/Line, generación de
?leads?.
Desde páginas web de VDF o de terceros (por ejemplo, a través de banners) se
obtienen datos de potenciales clientes que se interesan por los servicios de VDF y
facilitan sus datos de contacto aceptando una determinada política de privacidad, que
puede ser para productos o servicios concretos sobre cuestiones planteadas respecto
a la disponibilidad de cobertura de fibra en su domicilio, o para acciones comerciales
futuras.
También se engloban aquí datos que se obtienen de personas que llaman
directamente a VDF solicitando información. Estos datos personales así recabados
-llamados ?leads?- son incorporados a la > llamada
DELIO, para luego ser contactados de acuerdo con la política de privacidad aceptada
en el momento de facilitar los datos en la web de VDF y que puede implicar dos
posibilidades, una referida a recibir información concreta y otra para ser receptor de
comunicaciones comerciales futuras.
Con la herramienta DELIO se puede contestar al usuario automáticamente ya que
visualiza directamente al operador la web o el canal en el que el usuario ha realizado
la consulta y ha aceptado la política de privacidad.
Si finalmente el usuario no contrata el servicio tras recibir la llamada desde DELIO, se
crea un registro en el ?lead management?, de acuerdo con la política de privacidad
aceptada por el usuario al facilitar sus datos de contacto. Puede suceder que los datos
se hayan incorporado para recibir información de un producto o servicio concreto y, en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/97
cambio, no se haya marcado el check relativo al uso de datos en futuras acciones
comerciales.
Estos leads son contactados posteriormente a través de distintos medios: llamadas
desde la plataforma TVTA, SMS o Email.
No obstante, para que un ?lead? se incorpore a DELIO, se ha de haber producido al
menos la llamada de contacto. Estos leads son contactados en un plazo máximo de 48
horas, y se hacen por petición previa del interesado y, pasado dicho plazo, se le envía
un SMS informando que se ha intentado contactar sin éxito facilitando un número
donde podrá contactar nuevamente con VDF.
Respecto de los datos incorporados tras haberse realizado una consulta de cobertura
de fibra, se observa que se ha modificado el proceso de consulta de cobertura
respecto del existente en el mes de julio de 2019.
En las pruebas realizadas en el mes de julio de 2019 se verifica que se solicitaba,
además de la dirección respecto del domicilio donde se pretendía hacer la consulta, el
nombre, apellidos y teléfono y se ofrecía una política de privacidad con dos
posibilidades: (i) aceptar el tratamiento de los datos para dar respuesta
exclusivamente a lo solicitado, en este caso, si había o no cobertura de fibra óptica ?
los datos de contacto se podían proporcionar a través de la propia web en ese
momento, sin necesidad de conocer nombre, apellidos y teléfono; (ii) además del
anterior, aceptar el tratamiento para otros fines comerciales.
En el mes de septiembre de 2019 se verifica que inicialmente se solicita únicamente
datos relativos a la dirección del domicilio donde se pretende hacer la consulta, y si el
proceso no puede finalizarse (como por ejemplo, el domicilio no está en la base de
datos de cobertura, escrita en otro idioma o de manera incorrecta, sea un numero de
vía que no existe, etc.,..), la página web ofrece la opción de un sistema de contacto
?click to call?, y es en este momento donde se solicita el nombre y teléfono, poniendo a
disposición, unos check de aceptación de la política de privacidad.
Con los distintos orígenes de datos indicados (aleatorias, bases de datos alquiladas a
terceros y generación de leads) el Departamento de Marketing interno de VDF filtra los
datos con LRAD y listados de ejercicios de derechos, y lo remite al Departamento
interno de TVTA. El Departamento de TVTA vuelve a filtrar los datos una segunda vez
tras segmentarlos para su reparto entre los distintos servicios de >
subencargados del tratamiento por cuenta de VDF que realizan materialmente las
llamadas. Algunas entidades que conforman la plataforma de TVTA tienen sus propias
LRI que también son objeto de confrontación y filtrado previo. A fin de evitar que por el
transcurso del tiempo se produzcan variaciones en la base de datos (referidos a
personas que han ejercido con posterioridad el derecho de oposición), la plataforma de
TVTA utilizará las bases de datos únicamente durante un mes.
En definitiva, en los tres supuestos indicados, los titulares de los datos son
contactados por el Departamento de Marketing o por el Departamento de TVTA a
través de las distintas entidades que conforman la plataforma, utilizando siempre las
bases de datos filtradas LRAD y listados de usuarios que han ejercido sus derechos.
1.2.4 (iv) Bases de datos ajenas a VDF utilizadas por los
Distribuidores/Colaboradores.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/97
Esta posibilidad se da únicamente en las campañas gestionadas por ?terceros? usando
bases de datos personales no proporcionadas por VDF.
VDF desconoce la adecuación a la legalidad de estas bases de datos ajenas y no ha
acreditado su licitud ni siquiera de forma indirecta como puede ser por la realización de
muestreos al objeto de contrastar el consentimiento de los interesados, pues VDF
entiende que ?corresponde a los terceros controlar su legalidad en tanto son
responsables de las mismas? (origen de los datos, actuaciones para acreditar el
consentimiento, filtrado con ambos LR, atención de los derechos ejercidos, etc.,).
En relación con las llamadas que realizan estos agentes/distribuidores (y en su caso,
otros subencargados del tratamiento por cuenta de VDF) cuando se ejerce un derecho
de oposición durante una llamada, no se traslada dicho ejercicio a VDF, sino que
incluye en la LRI de los agentes/distribuidores.
La obligación de consulta de LRAD por parte de los distribuidores, no está prevista en
el contrato suscrito entre VDF y los distribuidores. Si se contrasta o no las listas LRI,
LRAD o de ejercicios de derechos, es una circunstancia que VDF no está en
disposición de verificar y, además, VDF entiende -pues así lo afirma en diversas
ocasiones- que compete exclusivamente a los distribuidores en cumplimiento de la
normativa vigente en materia de protección de datos.
En los contratos analizados entre los distribuidores y los subencargados del
tratamiento por cuenta de VDF no se han hallado cláusulas que determinen esta
obligación de consulta previa a listados de exclusión y su filtrado.
Consta que los distribuidores no contrastan previamente la base de datos utilizada
para las acciones comerciales con la LRI de VDF. Puede suceder que un interesado
haya ejercido el derecho de oposición ante VDF y, a pesar de ello, un distribuidor
reitere la llamada.
Igualmente ha sucedido que se haya tramitado una reclamación contra VDF ante la
AEPD y que se haya resuelto instando a VDF a que informe al afectado de que sus
datos se han incluido en LRI y, comunicada esta circunstancia al afectado, con
posterioridad se reitere la llamada por uno de estos distribuidores. Esto es debido a
que no existe comunicación adecuada por parte de VDF con los distribuidores y
subencargados del tratamiento por cuenta de VDF.
VDF tiene establecido protocolos de comunicaciones a través de correos electrónicos
para los distribuidores y subencargados del tratamiento por cuenta de VDF -en caso
de que existan- relativas al recordatorio de que crucen las bases de datos a utilizar con
la LRAD, que consta que han resultado ineficaces.
Respecto de las garantías de legalidad en el uso que hacen los
distribuidores/colaboradores de las bases de datos, en el escrito de fecha 26/04/2019
VDF manifestó que estas comunicaciones se realizan con el siguiente contenido:
, Vodafone les exige que, en primer lugar, tengan la autorización de
Vodafone para usar esa base de datos en una campaña realizada a nombre y por
cuenta de Vodafone. En segundo lugar, se les exige que hayan obtenido el
consentimiento informado del titular. Y, en tercer lugar, que filtren su base de
datos con los listados Robinson oficiales.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/97
Asimismo, deberán facilitar un medio sencillo para que los destinatarios de las
campañas puedan ejercitar su derecho de oposición a continuar recibiendo llamadas
o comunicaciones comerciales. (?)>>
En la Inspección realizada en la sede de VDF los días 18 y 30 de septiembre, los
representantes de VDF aclaran lo siguiente: relativa al uso de base de datos ajenas, es decir, propias de los distribuidores y por
tanto no hay un proceso de autorización, sino que se solicita información en el caso de
que utilicen estas bases de datos. (ii) VDF no está en condiciones de comprobar que
los titulares de las líneas receptoras han prestado su consentimiento o no se han
opuesto, pues es una obligación que les corresponde a los agentes colaboradores, (iii)
VDF no asegura que en cada llamada se ofrezca un medio efectivo de ejercitar el
derecho de oposición.
1.2.5. (v) Bases de datos de VDF utilizadas por los Distribuidores/Colaboradores/.
En ocasiones los distribuidores/colaboradores hacen uso de bases de datos facilitadas
por VDF. En estos casos, existen comunicados (que más adelante se indican) por
parte de VDF referidos a la obligación de utilizar únicamente estas bases de datos (por
encontrarse ya filtradas con LRAD y ejercicio de derechos). Sin embargo, no existe
ningún procedimiento habilitado ni controlado por VDF tendente a verificar que
únicamente sus distribuidores, y no otros, utilizan la base de datos que VDF les ha
proporcionado y durante los periodos que se le indique.
2. Medidas adoptadas por VDF en relación con las reclamaciones recibidas
y tras el conocimiento de la existencia actuaciones de inspección incoadas por
la AEPD.
La mayoría de las reclamaciones recibidas son por campañas que no gestiona
directamente VDF (las gestionadas directamente por VDF son las realizadas a través
de su Departamento de TVTA o el Departamento de Marketing), sino que versan sobre
campañas gestionadas por terceros, es decir, distribuidores/colaboradores y en su
caso subencargados del tratamiento por cuenta de VDF por estos.
En cuanto a la adopción de medidas, pueden distinguirse medidas generales, y otras
más concretas en relación con determinadas reclamaciones, consistentes en solicitar
a los distribuidores la inclusión de concretas numeraciones en la LRI cuando ya se ha
producido la/s llamada/s o tras un requerimiento de la AEPD, y se resumen en las
siguientes:
? En el mes de noviembre de 2018 y en el mes de julio de 2019 se remitieron
COMUNICADOS a las entidades adscritas de la plataforma TVTA, y a los
Distribuidores/Colaboradores, respectivamente, a fin de recordarles las obligaciones
en materia de protección de datos diferenciando dos supuestos:
a) En caso de usar bases de datos de VDF: estas han de usarse durante el
tiempo estipulado y exclusivamente para la campaña indicada, ya que están filtradas
por LRAD y listado de ejercicio de derechos. Si son utilizadas posteriormente en
campañas futuras se les advierte que podrán estar desactualizadas.
a) En caso de utilizar bases de datos propias de los
distribuidores/colaboradores (ajenas a VDF): deberán asegurarse de que cuentan
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/97
con la aprobación previa y expresa de VDF para realizar dichas llamadas; que
disponen de los datos de forma licita y obteniendo el consentimiento expreso de los
titulares, estando prohibido el uso de bases de datos que no cumplan estos requisitos;
filtrar sus bases de datos con LRAD y no utilizar medios de comunicación que no
hayan sido consentidos por los destinatarios de la campaña.
En la inspección realizada en la sede de VDF en fechas de 18 y 30 de septiembre de
2019, los representantes de VDF manifestaron que no se han realizado
comprobaciones sobre el cumplimiento de las medidas que se indican en los
anteriores comunicados.
En el mes de noviembre de 2018, VDF creó una base de datos de numeraciones
llamantes (distribuidores y sus subencargados del tratamiento por cuenta de VDF) a fin
de poder identificar quien realiza las llamadas.
En el mes de julio de 2019 esta base de datos se ha incrementado notablemente, en la
medida que en los contratos firmados con el ?Canal Presencial 2019-2020? se ha
incluido una cláusula que impone como condición obligatoria la identificación previa de
las numeraciones desde las que se van a realizar las llamadas comerciales.
Se han aportado al expediente las comunicaciones entre VDF y sus distribuidores
solicitando la identificación de los subencargados del tratamiento por cuenta de VDF y
las numeraciones que van a utilizar, siendo todas ellas del mes de septiembre de
2019. También se ha aportado al expediente esta base de datos de numeraciones
llamantes actualizada a fecha de julio de 2019.
Otra de las medidas que están en estudio es la de llevar a cabo para impedir que se
realicen llamadas desde numeraciones no identificadas, el enrutamiento de llamadas
únicamente a través de la red interna de VDF, integrando asimismo el ?cruce? con las
numeraciones incluidas en LRAD y listado de ejercicio de derechos, de modo que se
tenga un control efectivo de las llamadas realizadas en su nombre, que pasa por la
identificación del llamante y por la exclusión de las acciones comerciales a usuarios
que hayan manifestado su oposición o bien a través de su inclusión en ficheros de
exclusión de acciones publicitarias de carácter interno o externo.
Por tanto, en el futuro será condición indispensable para prestar el servicio a VDF
utilizar troncales de VDF a fin de poder realizar restricciones determinadas, (líneas
llamantes, horario, LRAD, derechos de oposición, etc.,). La web interface se conectará
con el sistema de marcación de VDF para validar previamente la llamada.
VDF comienza a plantear esta idea a finales de mayo de 2019 y en los meses de junio
y julio se comunica a los agentes colaboradores. Se producen reuniones en el mes de
septiembre 2019 y en octubre se van a iniciar las pruebas con una entidad para
posteriormente implementarlo en las restantes.
En este sentido, se aportan comunicaciones entre VDF y colaboradores en el siguiente
sentido: adquirido CASMAR, THREE-QUARTER, SOLIVESA en relación con el envío de
comunicados a los colaboradores, el aseguramiento de que se filtren las bases de
datos con LRAD, y la adopción de medidas para auditar que dichos colaboradores
cumplen con los procesos>>. Y también se cita que implantar la plataforma de enrutamiento de llamadas que hemos comentado>>. A la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/97
fecha actual no consta que haya sido implantado este protocolo de enrutamiento
desde el troncal de VDF y a fecha del acuerdo de inicio, de las 191 reclamaciones
presentadas, 26 reclamaciones datan del mes de septiembre de 2019 a enero de
2020.
Existen otras medidas relacionadas con el envío de comunicados por parte de VDF a
los distribuidores sobre reclamaciones concretas en relación con las llamadas, para
que se excluyan las numeraciones de posteriores acciones comerciales.
A título de ejemplo constan aportadas al Acta de Inspección E/01615/2019/I-01 como
documento número 21, varias comunicaciones consistentes en solicitar a los
distribuidores la inclusión de determinadas numeraciones en listas Robinson (interna y
AD), cuando ya se ha producido la/s llamada/s y tras un requerimiento de la AEPD.
VDF informa de que no ha interpuesto denuncia ante la Policía respecto a llamadas
indebidas en la medida en que VDF no tiene la certeza de la identidad del titular del
número llamante que actúa en su nombre.
En la relación entre VDF y los distribuidores/colaboradores no es un requisito para el
abono de su comisión el verificar el número desde el que se ha realizado la captación
del cliente (numeración llamante), sino que las verificaciones se limitan al
cumplimiento de los requisitos de la contratación del producto o servicio.
3. Procedimiento de obtención de datos de destinatarios y ejercicio de acciones de
mercadotecnia en relación con el envío de comunicaciones comerciales por
medios electrónicos (SMS):
Las numeraciones destinatarias al envío de SMS se generan de forma aleatoria sin
discriminación alguna por lo que se han remitido comunicaciones comerciales
electrónicas a potenciales clientes sin la concurrencia de los requisitos previstos en el
artículo 21 de la LSSI (expresamente autorizadas). Los envíos de SMS los realiza
directamente VDF.
4. Muestreo de evidencias de incumplimiento de la normativa vigente en materia de
protección de datos obtenidas en relación con el funcionamiento del proceso
descrito en los apartados anteriores.
4.1- Acciones comerciales tras un procedimiento de reclamación resuelto en la AEPD
dónde VDF afirma que ha incluido los datos del afectado en la LRI.
? En fecha de 3/05/2019, por (?) se presenta escrito en esta agencia en el que
indica que ?Puse una reclamación ante la Agencia Española de Protección de Datos
el 11 de septiembre de 2018 (Nº registro: 193763/2018), la cual adjunto, porque
recibíamos llamadas comerciales no solicitadas de Vodafone al teléfono fijo. No
éramos ni somos clientes de Vodafone, y estábamos y estamos en la Lista Robinson.
La AEPD me respondió (expedientes E/07212/2018 y E/05851/2019) que Vodafone
España, S.A.U. les había comunicado "que se ha procedido a su inclusión en su lista
Robinson, con el fin de asegurar que al reclamante no se le incluya en futuras
campañas comerciales de Vodafone", (?)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/97
Pues bien, la situación, con las molestias que conlleva, se sigue dando, siguen
llamándonos al teléfono fijo teleoperadores de esta empresa para ofrecernos sus
servicios comerciales no solicitados, (?)
? En fecha de 29/05/2019, por (?) se presenta escrito en esta agencia en el que indica
que (expedientes E/10150/2018 y E/07447/2019) VODAFONE, mediante carta de
fecha 28/02/2019 le comunicó la inclusión de sus datos en la lista Robinson interna a
fin de evitar que su número de teléfono pueda ser incluido en futuras campañas
comerciales. Manifiesta que desde el 15/05/2019 hasta el 24/05/2019 se han seguido
produciendo llamadas comerciales de VODAFONE.
Aporta grabación de dos llamadas recibidas en fecha de 24/05/2019, en la que se
verifica lo siguiente:
En la primera llamada el teleoperador pregunta por el reclamante, y tras reiteradas
preguntas del reclamante, se identifica como (?) de la compañía ONO VODAFONE
para ofrecerle descuentos en servicios, el reclamante tras explicar que se encuentra
en lista Robinson y que VODAFONE le envió una carta comunicándole tal
circunstancia, el teleoperador comunica que seguirán llamándole.
En la segunda llamada el teleoperador pregunta por el titular de la línea, y tras
reiteradas preguntas del reclamante, se identifica como (?) de la compañía ONO
VODAFONE. el reclamante manifiesta que se encuentra en lista Robinson. El
teleoperador manifiesta que no consultan el fichero de lista Robinson.
? E/03445/2019, cuyo afectado es (?), denuncia la recepción de llamadas desde
la línea 912001212 en el mes de febrero de 2019 (expedientes E/09407/2018
E/03445/2019 E/07055/2019) dónde ya identificó, entre otras, como línea llamante la
misma numeración que continua realización llamadas, y en cuyo expediente
VODAFONE manifestó la inclusión de sus datos en lista Robinson interna y el envío de
comunicados a sus distribuidores.
? En el expediente E/03367/2018 (y posterior E/03964/2019) se denuncia la
recepción de llamadas desde las líneas 911251946 y 955316972, en el que
VODAFONE manifestó la inclusión de sus datos en lista Robinson interna, y el envío
de comunicados a sus distribuidores, reiterando nuevamente las llamadas en fecha
posterior.
? E/03978/2019, denuncia la recepción de llamadas desde el número de teléfono
935085190 en fecha 11/03/2019, teniendo como antecedente el procedimiento de
reclamación E/07329/2018 y en cuyo expediente VODAFONE manifestó la inclusión
de sus datos en lista Robinson, además de conocer su inclusión en Lista Robinson
Adigital, y el envío de comunicados a sus distribuidores.
? E/03980/2019 y E/07960/2019, cuyo afectado es (?), denuncia la recepción de
llamadas desde el número de teléfono 954781254 en fechas de 12/03/2019 y
01/04/2019, teniendo como antecedente el procedimiento de reclamación
E/10149/2018 y en cuyo expediente se dio traslado de la reclamación a VODAFONE
dónde además de ponerle de manifiesto los hechos se informó de la inclusión en lista
Robinson de Adigital.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/97
? E/07106/2019, el reclamante recibe llamadas desde las numeraciones
764255362, 953230927, ***TELEFONO.2 y 953241849, la última en fecha de
10/06/2019, estando en LRAD desde 19/03/2019 y en LRI desde 8/04/2019. VDF no
ha podido identificar la titularidad de las líneas llamantes, por no figurar en la base de
datos creada al efecto.
4.2- Acciones comerciales realizadas desde las numeraciones ***TELEFONO.2 y
954781254 por los distribuidores CASMAR y THREE QUARTERS FULL S.L.
Dado el volumen de reclamaciones (191 reclamaciones incorporadas al expediente)
que tienen como líneas llamantes las numeraciones indicadas, se han realizado
diligencias dirigidas expresamente a analizar la relación de VDF con CASMAR y
THREE QUARTERS FULL S.L. (TQTF en lo sucesivo), el procedimiento de obtención
de los datos, y el cumplimiento de la obligación de consulta previa con los listados de
exclusión.
Se han hallado 17 reclamantes que manifiestan acciones comerciales realizadas
desde la numeración 954781254, y 19 reclamantes respecto de las realizadas desde
la numeración ***TELEFONO.2, a pesar de que los números de los destinatarios
estaban incluidos en LRAD, o han ejercido su derecho de oposición frente a VDF y
figuran en su LRI.
VDF manifiesta e insiste nuevamente que la consulta con LRAD compete a los
terceros distribuidores por ser ellos los responsables de las bases de datos y que, si
bien no consta esa obligación en el contrato, a través de comunicados han realizado
una labor de concienciación en ese sentido. CASMAR manifiesta que es la entidad
proveedora ?A-NEXO? la que proporciona el listado Robinson y no les ha trasladado
ningún derecho de oposición recibido tras la realización de llamadas. Sin embargo, en
el contrato suscrito entre ambas entidades figura que los listados Robinson son
aportados por Casmar.
CASMAR utiliza distintos proveedores, entre los que se encuentra A-NEXO, tanto para
aportar la base de datos utilizada como para la realización de las llamadas, que a su
vez contrata con comerciales subencargados del tratamiento por cuenta de VDF para
la realización efectiva de llamadas.
Este esquema de intervinientes dibuja varios niveles de actuación:
Nivel I.- VDF es quien contrata con la entidad CASMAR (y ésta, en su caso, con otros
colaboradores) la realización de acciones comerciales de captación de clientes. La
base de datos a utilizar puede ser proporcionada por VDF o por CASMAR que la
obtiene por su cuenta (de otros colaboradores).
Nivel II.- CASMAR subcontrata a la entidad A-NEXO (y ésta en su caso a otros
colaboradores) la realización de llamadas comerciales. CASMAR informó a la AEPD
que los datos utilizados los proporciona A-NEXO y, sin embargo, en el contrato que
aportó figura que los datos los proporciona CASMAR.
Nivel III.- A-NEXO subcontrata a su vez a comerciales para la realización de llamadas,
tanto personas jurídicas como físicas.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/97
Nivel IV- Comerciales contratados por CASMAR, a su vez, realizan las llamadas por su
cuenta.
VDF únicamente tiene relación jurídica con CASMAR y respecto de los restantes
niveles, es informado en diferentes espacios temporales y no como parte del contrato
de la identidad de los otros colaboradores. Sobre el conocimiento por parte de VDF de
los subencargados del tratamiento por cuenta de VDF, CASMAR aportó la
documentación contractual donde figuraba ?en blanco? la lista de subencargados del
tratamiento por cuenta de VDF que debía aprobar VDF, manifestando que está en
> por el dinamismo con el que se van reemplazando y actualizando los
?calls centers?.
CASMAR aporta un listado de subencargados del tratamiento por cuenta de VDF
como Anexo I al contrato ?Canal Presencial 2019 2020? de fecha 1/05/2019 que tiene
suscrito con VDF, entre los que se encuentra la entidad A-Nexo.
Hay que añadir, que en el anexo I del citado contrato entre Casmar y VDF, figura una
relación de 15 entidades y personas físicas subcontratadas denominada ?lista de los
subencargados aprobados? (sic), entre las que se encuentra la entidad A-Nexo, en el
que consta que la ?ubicación actual del tratamiento? (sic) se encuentra en Perú. Según
consta en el contrato suscrito entre Casmar y la subcontratada A-Nexo, las
numeraciones de los listados de exclusión son facilitadas por Casmar. Dicho anexo I
se encuentra firmado por Casmar y VDF con fecha 1/05/2019. No consta acreditado
que dispongan de un contrato que contenga las preceptivas cláusulas contractuales
tipo de la Decisión de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas
contractuales tipo para la transferencia de datos personales a los encargados del
tratamiento establecidos en terceros países.
Por su parte, TQTF manifestó que VDF tiene conocimiento de los subencargados del
tratamiento por cuenta de VDF sólo en el momento en el que se le solicita su acceso a
la plataforma de contratación de VDF. Es decir, TQTF solicita el alta a VDF de los
subencargados del tratamiento por cuenta de VDF para poder realizar las
contrataciones (VDF les suministra usuario de acceso a la plataforma de contratación).
Por tanto, para que los comerciales subencargados del tratamiento por cuenta de VDF
puedan dar de alta líneas nuevas, es necesario que VDF haya otorgado acceso a una
determinada aplicación de ?altas?. VDF no requiere ningún tipo de verificación a los
comerciales subencargados del tratamiento por cuenta de VDF sobre los datos a
utilizar en las llamadas comerciales, sino que se limita a crear un usuario con
contraseña, previa petición de CASMAR o TQTF, que se comunica a los comerciales o
al distribuidor final para estar habilitado para realizar altas de líneas contratadas.
VDF conoce la interposición de reclamaciones ante la AEPD, ya que desde el mes de
noviembre de 2018 se ha dado traslado de las mismas desde la AEPD y no es hasta el
mes de julio de 2019 cuando se lo comunica a los distribuidores (pues ya lo hizo en el
mes de noviembre de 2018 para las entidades que conforman el Departamento interno
de TVTA).
Son ejemplos de estas acciones en las que no han utilizado numeraciones
previamente filtradas con los listados de exclusión publicitaria ni han tenido en cuenta
los derechos de oposición previamente ejercidos por los afectados realizadas ante
CASMAR o VDF, los siguientes:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/97
? E/07147/2019: El reclamante recibe llamadas comerciales, la última en fecha
de 12/06/2019 tras haber ejercido el derecho de supresión frente a VDF en fecha de
8/05/2019, y en LRI de VDF desde 9/05/2019.
? E/07144/2019: El reclamante recibe llamadas comerciales, la última en fecha
de 5/06/2019, tras haber ejercido el derecho de oposición constando en LRI de VDF
desde 2/04/2019, la línea móvil, y 20/08/2018 la línea fija. También en LRAD desde
marzo de 2019.
? E/7765/2019: El reclamante recibe llamadas comerciales, la última en fecha de
7/06/2019, tras haber solicitado la supresión frente a VDF en fecha de 2/06/2019 y
figurar inscrito en LRAD desde el 14/11/2017.
? E/7758/2019: El reclamante recibe llamadas comerciales, la última en fecha de
26/06/2019 figurando en LRAD desde el 22/10/2018. En este caso, el distribuidor
llamante es TTQF en nombre y por cuenta de VDF.
Estas reclamaciones evidencian que los distribuidores y subencargados del
tratamiento por cuenta de VDF no han utilizado numeraciones previamente filtradas
con los listados de exclusión publicitaria ni han tenido en cuenta los derechos de
oposición previamente ejercidos por los afectados.
VDF insiste nuevamente en que no contempla en sus contratos con los distribuidores
la obligación de consultar LRAD por entender que esta corresponde a los titulares de
las bases de datos a utilizar, y según ha manifestado VDF las bases utilizadas no se
filtran con los listados de exclusión internos.
4.3- Muestreo de evidencias de incumplimiento en relación con las campañas
gestionadas directamente por VDF.
Estas acciones son consideradas ?gestionadas directamente por VDF? pues la entidad
que realiza la llamada es una de las que conforma su propia plataforma de TVTA.
VDF cuenta con un proceso para que tanto la plataforma de TVTA como el
Departamento de Marketing, utilicen únicamente bases de datos que contengan datos
de líneas que no estén inscritas en LRAD y listados de ejercicios de derechos. No
obstante, el tratamiento de los datos seguido por VDF es deficiente tal y como se
acredita a continuación:
Desde la numeración 607100219, que pertenece a KONECTA (pertenece a la
plataforma TVTA) se han realizado llamadas que han dado lugar a diferentes
reclamaciones por estar incluidos los datos de los reclamantes en LRAD, a
continuación se indican ejemplos:
? E/03455/2019: la numeración ***TELEFONO.3 figura inscrita en LRAD desde el
mes de marzo de 2017, y las llamadas se producen en el mes de marzo del año 2019.
? E/1845/2018: que dio lugar al procedimiento sancionador de referencia
PS/290/2018 por llamadas realizadas en el año 2018 con destino a un número que
figuraba inscrito en LRAD desde el año 2013 y a la nueva reclamación actual de
referencia E/03821/2019. En el citado procedimiento sancionador la entidad reconoció
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
24/97
la responsabilidad en los hechos denunciados y fue sancionada por una infracción con
multa de 12.000 ?, acogiéndose al 40% de reducción de la cuantía.
4.4- Muestreo de evidencias de incumplimiento en relación con el envío de
comunicaciones comerciales por medios electrónicos (LSSICE) por cuenta y nombre
de VDF.
Tal como se ha indicado en el apartado 4, VDF manifestó que se han enviado SMS a
numeraciones generadas aleatoriamente, lo que impide verificar el cumplimiento de lo
dispuesto en el art. 21 de la LSSI, en concreto la exigencia de solicitud ?expresamente
autorizada?, considerándose los todos los destinatarios >.
A continuación, de los 25 expedientes de LSSICE, se indican algunos referidos al
envío fraudulento de SMS:
? E/03977/2019
NÚM RECEPTOR: ***TELEFONO.4 ***TELEFONO.5
OPOSICION: 5/07/2018
FECHA DE LOS SMS:
05/07/2018, 20/10/2018, 21/10/2018, 11/02/2019 y 15/02/2019
? E/02050/2019 y E/08132/2018
NÚM RECEPTOR: ***TELEFONO.6
OPOSICION: 8/10/2018 ATENDIDA POR VDF
FECHA DE LOS SMS:
04/02/2019, E/2050/2019 (Antecedente E/08123/2018, 27 dic 2018, carta al
reclamante)
NÚM. RECEPTOR: ***TELEFONO.7
OPOSICION: MEDIANTE RECLAMACION AEPD
FECHA DE LOS SMS:
22/12/2018, 01/02/2019, 30/01/2019
? E/00126/2019
NÚM. RECEPTOR: ***TELEFONO.8
OPOSICIÓN: OCTUBRE 2018
FECHA DE LOS SMS:
05/11/2018, 30/11/2018, 28/12/2018
? E/00084/2019
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
25/97
NÚM. RECEPTOR: ***TELEFONO.9 ***TELEFONO.10 ***TELEFONO.11
OPOSICION/CANCELACION: 25/08/2018; 07/10/2018 Y ROBINSON.
FECHA DE LOS SMS:
25/08/2018, 06/09/2018, 23/09/2018, 30/10/2018
5. Las actuaciones presenciales de inspección llevadas a cabo en relación con las
reclamaciones recibidas en la AEPD con la finalidad de determinar la adecuación del
procedimiento de gestión de las acciones de mercadotecnia llevadas a cabo por
cuenta y nombre de VDF figuran anexas al Acta de Inspección y en la documentación
del presente expediente que fue debidamente notificada a la representación de la
investigada (VDF).
TERCERO: Con fecha 26 de febrero de 2020, la Directora de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador al reclamado, con
arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas (en adelante,
LPACAP), por la presunta infracción del artículo 28 del RGPD en relación con el
artículo 24 del RGPD sancionable conforme el artículo 83.4 del RGPD, por la presunta
infracción grave del artículo 21 de la LSSICE, tipificada como grave en el artículo
38.3.d) y c) de dicha norma, por la presunta infracción del artículo 48.1.b) de la LGT,
considerada grave en el artículo 77.37 de la citada norma.
CUARTO: Notificado el citado acuerdo de inicio, el reclamado presentó en fecha
4/03/2020 escrito en el que solicitaba copia del expediente y ampliación de plazo al
objeto de presentar alegaciones. Concedida la ampliación del plazo, se notificó el
expediente a la investigada presentando alegaciones en fecha 9/06/2020 (al quedar
afectado por la suspensión de plazos como consecuencia del establecimiento del
estado de alarma) que se exponen, en síntesis, en los siguientes términos:
1. En los expedientes notificados se incluyen afectados que son personas
jurídicas.
2. La exposición de hechos en el Acuerdo de Inicio dificulta en extremo analizar y
realizar un examen detallado pudiendo menoscabar el derecho a la legítima defensa.
3. La diligencia debida en los términos del art 28 del RGPD hace referencia solo a
la fase de contratación con el encargado y no debe entenderse respecto del
seguimiento posterior del contrato.
4. Los proveedores contratados por VDF del departamento interno de televenta
han superado un proceso previo de validación y son sometidos a procesos de
auditorias en las que se justifica las medidas técnicas y organizativas con las que
cuentan para el desarrollo del servicio contratado.
5. Respecto de los proveedores externos usando bases de datos propias: estos
proveedores no actúan en calidad de encargados del tratamiento sino como
responsables de sus propias bases de datos ya que estos datos personales son
recopilados en nombre del proveedor y no en el de VDF.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
26/97
6. Respecto de los proveedores externos usando bases de datos facilitadas por
VDF: VDF cumple en la contratación con los encargados todos los requisitos
establecidos en el art 28 del RGPD y estos prestadores reúnen las condiciones para
dar cumplimiento a sus obligaciones, no existiendo falta del deber de diligencia por lo
que no procede poner en duda la ejecución efectiva de las obligaciones
contractualmente asumidas.
7. Respecto de regulación del contrato entre responsable y el encargado de las
subcontrataciones realizadas por parte del encargado, en la Guía de la AEPD se
aconseja la aplicación de determinadas cláusulas como la utilizada por VDF. En dichas
cláusulas de indica que corresponde al encargado inicial regular la nueva relación y
con los mismos requisitos formales que con el responsable.
8. La necesidad de autorización expresa previa de los subencargados no es un
requisito obligatorio, sino que el art 28.2 indica que el encargado debe informar al
responsable y, en su caso, éste autorizar dando así al responsable la opción de
oponerse. Este aspecto no se contempla en la Guía de la AEPD (opción B).
9. Según la DT5ª de la LOPDGDD, los contratos previos al 25/05/2018
mantendrán su vigencia hasta el 25/05/2022, por lo que su contenido no puede ser
exigible al no ser de aplicación.
10. El control exhaustivo del responsable sobre los encargados impediría ?que
puedan marcar un número de teléfono no autorizado?, habiendo tenido VDF la
diligencia razonable.
11. No se ha tenido en cuenta los esfuerzos técnicos realizados por parte de VDF
para implementar mejoras en fase de desarrollo, que resultaron acreditadas en el
momento de la inspección presencial por parte de la AEPD, minusvalorándose el
esfuerzo técnico en desarrollo.
12. Los datos de contacto para acciones de telemarketing puestos a disposición de
los proveedores por parte de VDF han sido contrastados previamente con los datos
contenido en los listados Robinson internos y de ADigital y se especifica el tiempo de
uso para evitar datos desactualizados.
13. Los datos objeto de tratamiento solo pueden ser tratados por las entidades
encargadas conforme a las instrucciones de VDF que rigen el contrato, en el que se
establecen claramente las condiciones en que deben realizarse los tratamientos de los
datos personales.
14. VDF solicita a los proveedores que le comuniquen todas las oposiciones que
puedan producirse durante las acciones de telemerketing.
15. Los datos personales de las bases de datos del proveedor no son transferidos
en ningún momento a VDF. Solo tras la contratación del servicio se incluyen en el
sistema de información de VDF.
16. Tras la contratación se procede a validar esta tras una llamada de control de
calidad.
17. VDF ha implementado medidas complementarias para garantizar un control
pormenorizado de la actividad de los proveedores de servicios cuando usan sus
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
27/97
propias bases de datos. Dicho control se estima que esté operativo en enero de 2020
(nuevo sistema de enrutamiento a través de la troncal de VDF).
18. La infracción imputada del art 21 de la LSSICE, no procede toda vez que la
licitud de los tratamientos se basa en el interés legítimo, tal y como señala el
Considerando 47 del RGPD y así lo reconoce la AEPD en su informe 0173/2018.
19. VDF en todo momento permite al interesado a oponerse a recibir
comunicaciones, por lo que no procede imputar infracción del artículo 38.3.d).
20. Las reclamaciones relativas a la LSSICE son una minoría y dista mucho del
total de reclamaciones presentadas.
21. Respecto de las infracciones relativas a la LGT, VDF facilita siempre la
posibilidad de ejercitar el derecho de oposición al interesado, según consta en el art
48.1.b) de dicha norma. También consta que VDF filtra previamente con los listados de
exclusión publicitaria antes de facilitar datos de potenciales clientes a los proveedores.
Y cuando las bases de datos son externas ?no es posible impedir materialmente la
realización de una llamada? (sic) si bien se están implantado medidas de control
basado en tecnología VozIP que impiden llamar a numeraciones incluidas en listados
de exclusión publicitaria.
22. La AEPD parece sancionar por recibir reclamaciones sin verificar los hechos
descritos en las mismas y concluir de forma automatizada que estas se corresponden
con acciones ilegítimas y contrarias al ordenamiento jurídico y, por tanto, adoptando
estas decisiones en contra del principio onus probandi que rige el derecho
sancionador.
23. La cuantificación de las sanciones es desproporcionada, y no cabe sostener
que la conducta de VDF es un incumplimiento reiterado y permanente, pues solo
podrían verse afectadas 191 interesados de los 200 millones de acciones comerciales
llevadas a cabo por VDF.
24. Constan infracciones prescritas como la referida al E/07180/2019 y otras en las
que no se han aportado evidencias de infracción (E/01119/2019 y E/02809/2019).
25. En general el Acuerdo de inicio carece de motivación suficiente que sustente la
imputación a VDF de las infracciones que relaciona que es una garantía contra la
conducta arbitraria proscrita en la C.E.
Estas alegaciones ya fueron contestadas en la Propuesta de Resolución y se reitera
en el FD III de esta Resolución.
QUINTO: Transcurrido el plazo de alegaciones concedido en el Acuerdo de inicio y
presentadas alegaciones, se acordó abrir periodo de práctica de pruebas, según lo
dispuesto en el artículo 77 de la Ley 39/2015, de 1 de octubre, del Procedimiento
Administrativo Común de las Administraciones Públicas, acordando la Instrucción
practicar las siguientes pruebas:
1. Se dan por reproducidos a efectos probatorios las reclamaciones interpuestas y que
obran en el expediente y su documentación, los documentos obtenidos y generados
por los Servicios de Inspección ante VODAFONE ESPAÑA, S.A.U., y el Informe de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
28/97
actuaciones previas de Inspección que forman parte de los expedientes E/01615/2019
y E/09541/2018.
2. Asimismo, se da por reproducido a efectos probatorios, las alegaciones al acuerdo de
inicio PS/00059/2020 presentadas por VODAFONE ESPAÑA, S.A.U., y la
documentación que acompaña.
3. Requerir a Asociación Española de Economía Digital, C/ Entença, 218 Entlo 7ª
08029 Barcelona, con CIF: G61668505, que certifique la inclusión y fecha de la misma
de los números de teléfono siguientes:
NÚMEROS DE TELÉFONO PARA CERTIFICAR SU INCLUSIÓN Y FECHA
EN LISTADO ROBINSON DE ADIGITAL
(LISTADO CON 264 NÚMEROS DE TELÉFONO)
Advirtiéndose que el resultado de esta prueba podrá dar lugar a la realización de otras.
SEXTO: Habiendo advertido el órgano Instructor deficiencias subsanables en la
documentación del expediente enviado al investigado en marzo de 2020, con fecha
13/11/2020 se procede a subsanar las deficiencias enviando la documentación
completa relativa a los quince expedientes con documentación inicialmente
incompleta, otorgando un plazo de 10 días para presentar las alegaciones que estimen
convenientes. Consta que con fecha 14/11/2020 fue notificado este segundo envío de
subsanación de documentación.
SÉPTIMO: Practicadas las pruebas propuestas y transcurrido el plazo para formular
alegaciones a las mismas y al referido segundo envío de la documentación subsanada
relativa a quince expedientes, la investigada presentó las siguientes alegaciones:
1.- Dos de los expedientes remitidos corresponden a una misma reclamación
2.- Siete de los expedientes remitidos no se encontraban mencionados en el primer
envío.
3.- De las 264 numeraciones telefónicas solicitadas a Adigital para su comprobación
en listado Robinson, 33 no constan de alta, 4 son de fecha posterior, 1 corresponde a
un procedimiento archivado, 1 corresponde a un proveedor y no a un reclamante, 1 no
consta recibidas llamadas comerciales y 1 no se corresponde con VDF como entidad
reclamada.
Estas Alegaciones se contestan en los FD III de la presente Resolución. No obstante,
se adelanta que fueron objeto de análisis por el órgano instructor admitiendo la
anulación a los efectos de valoración en el presente procedimiento de 29 expedientes,
resultando los restantes expedientes recogidos en el Anexo, en cuantía de 162.
OCTAVO: Con fecha 22 de diciembre de 2020 la Instrucción formuló propuesta de
resolución que propuso y elevó al órgano competente para resolver, las siguientes
sanciones:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
29/97
por infracción del artículo 28 del RGPD en relación con el artículo 24 del RGPD
tipificada conforme el artículo 83.4 del RGPD con sanción administrativa de cuantía
cuatro millones de euros (4.000.000 ?) considerada grave a efectos de prescripción en
el artículo 73, apartados j), k) y p) de la LOPDGDD,
por infracción del artículo 44 del RGPD tipificada conforme el artículo 83.5.c) del
RGPD, con sanción administrativa de cuantía dos millones de euros (2.000.000 ?)
considerada muy grave a efectos de prescripción en el artículo 72.l) de la LOPDGDD,
por infracción del artículo 21 de la LSSICE, tipificada como grave en el artículo 38.3.d)
y c) de dicha norma con sanción de cuantía ciento cincuenta mil euros (150.000 ?) y,
por infracción del artículo 48.1.b) de la LGT, en relación con el artículo 21 del RGPD,
tipificada como grave en el artículo 77.37 de la LGT y por infracción del artículo 48.1.b)
de la LGT, en relación con el artículo 23 de la LOPDGDD, tipificada como grave en el
artículo 77.37 de la LGT, con sanción de dos millones de euros (2.000.000 ?)>.
A la Propuesta de Resolución se adjuntó un Anexo que listaba 162 expedientes tras
anular de valoración 29 expedientes como consecuencia de deficiencias detectadas en
los datos aportados por los reclamantes o investigados por esta AEPD, o bien, por
estimación de las alegaciones presentadas por la reclamada.
El citado Anexo, que también se adjunta a la presente Resolución, se compone de la
siguiente información.
ANEXO (Ordenado por fecha de entrada de la reclamación en la AEPD)
Leyenda de columnas:
Nº: Número de orden secuencial
R/D/C: Róbinson/Derechos/Consentimiento expreso
PF/PJ: Persona Física/Persona Jurídica
LGT/PD/LSSI: Ley infringida
F.Robin.acredit: Fecha acreditada inclusión en listados de exclusión publicitaria
LINEA: Emisora/Receptora
F.LINEA LLAMADA: Fecha de la acción publicitaria
REFER. AEPD: Código de referencia de la reclamación en la AEPD
RECLAMANTE: Nombre del reclamante (el número indica las veces reclamadas)
TEXTO RECLAM.: Texto de la reclamación presentada por el reclamante
NOVENO: Transcurrido el plazo para la presentación de alegaciones, se presentaron
en fecha 18/01/2021, las siguientes alegaciones a la Propuesta de Resolución:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
30/97
1) Previa: Reiteración de las alegaciones presentadas.
2) Primera: Argumentos en contra de los Hechos Probados.
3) Segunda: Relativa a los expedientes de requerimiento de información
referenciados en el procedimiento sancionador.
4) Tercera: Rechazo por parte de la AEPD de las alegaciones presentadas por
Vodafone.
5) Cuarta: Presunto incumplimiento del artículo 24 RGPD. Consideración de
Vodafone como responsable de tratamiento y responsabilidad de Vodafone.
6) Quinta: Presunto incumplimiento del artículo 28 RGPD. Supuesta falta de
control real, continuo, permanente y auditado de los tratamientos realizados por los
encargados.
7) Sexta: Presunto incumplimiento del artículo 44 RGPD. Transferencias
Internacionales de datos.
8) Séptima: Presunto incumplimiento del artículo 21 LSSICE. Envío de
comunicaciones comerciales sin consentimiento y a destinatarios que se han
opuesto a dicho tratamiento.
9) Octava: Presunto incumplimiento de la Ley General de Telecomunicaciones
(LGT). Supuesta no atención del derecho de oposición a no recibir comunicaciones
comerciales.
10) Novena: Sobre la Propuesta de sanción. Fundamentación jurídica y
proporcionalidad de esta.
Estas Alegaciones se contestan en los Fundamentos de Derecho de la presente
Resolución.
De las actuaciones practicadas en el presente procedimiento y de la documentación
obrante en el expediente, han quedado acreditados los siguientes
HECHOS PROBADOS
PRIMERO: VDF es la responsable de los tratamientos de los datos personales
llevados a cabo por su cuenta y nombre en las acciones de mercadotecnia a través de
llamadas telefónicas, SMS y correos electrónicos, tanto las gestionadas internamente
desde sus propios ficheros como de los tratamientos que encarga a otras entidades a
través de ficheros alquilados o desde los ficheros propios de estas.
SEGUNDO: VDF no tiene implantado para las acciones de mercadotecnia métodos ni
medios organizativos y técnicos que verifiquen, ni siquiera por procedimientos
estadísticos, la licitud de los datos objeto de tratamiento, su origen, su filtrado previo
con los listados internos de exclusión publicitaria y general de exclusión Róbinson, ni
con los de las entidades a las que le ha encargado los tratamientos (encargadas del
tratamiento) ni derechos de oposición ejercidos por los afectados ante una y otras.
TERCERO: No consta que VDF tenga control real, continuo, permanente y auditado
sobre el desarrollo de los tratamientos de los datos personales de las acciones de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
31/97
mercadotecnia realizados por su cuenta y en su nombre, limitándose a un control
inicial meramente formal y solo en algunos casos concretos referidos solamente a
comunicaciones informativas internas de carácter parcial.
No constan autorizaciones previas por escrito para el tratamiento de bases de datos
propias de los sucesivos encargados de los tratamientos encomendados a VDF por su
cuenta y nombre.
CUARTO: VDF cuenta con un procedimiento de autorización previa de entidades
adscritas al Departamento TVTA. Para ello se les remite un checklist donde se les
solicita cierta información con el fin de validar si es posible contratar con dicho
proveedor de servicios. El citado checklist se limita a contestar a determinadas
cuestiones con un ?SI? o ?NO?, sin que se especifique acreditación, garantías,
contenido y gestión de procedimientos y auditorías conforme señala el art 28 del
RGDP.
QUINTO: En estos casos, VDF desconoce de las entidades subcontratadas (?otras
agencias de televenta y comerciales?) las garantías de índole técnico u organizativo
con las que cuentan. La información relativa a la identidad de estas entidades
subcontratadas debe constar en el anexo al contrato (subcontrato) establecido al
efecto, pero sólo consta una vez realizada la subcontratación y a los meros efectos de
facilitar el acceso en el caso de consumarse la contratación en nombre de VDF, es
decir, VDF desconoce previamente la cualificación técnica y organizativa y la identidad
de estas entidades subcontratadas así como su capacidad para el cumplimiento a la
normativa vigente en materia de protección de datos.
SEXTO: VDF no aporta la documentación detallada en materia de garantías de
protección de datos del contrato que sustenta la relación entre el encargado del
tratamiento inicial y el subcontratado, ni las garantías para el cumplimiento del
subencargo. Según ha informado VDF, el contrato es similar al que mantienen las
entidades inicialmente encargadas por VDF y los encargados iniciales adscritos a la
plataforma de TVTA. VDF incluye como obligación contractual genérica que se
trasladen las instrucciones a los subencargados del tratamiento por cuenta de VDF
para que se realicen las acciones de mercadotecnia en los términos indicados por
VDF, pero sin garantías para acreditar su cumplimiento.
SÉPTIMO: Los contratos entre los encargados iniciales de VDF adscritos a la
plataforma TVTA (CASMAR y THE THREE QUARTER FULL, S.L. -TQF-) y los
subencargados no son similares, por lo que no constan las mismas garantías en
contra de lo manifestado por VDF y de lo dispuesto en el art 28 del RGPD, sin perjuicio
de las deficiencias de contenido detectadas en los contratos con los encargados
iniciales, como son la falta de medidas de seguimiento en la ejecución del contrato.
OCTAVO: Respecto de la entidad Casmar en calidad de encargada del tratamiento en
nombre y por cuenta de VDF, manifiesta que es la entidad subcontratada ?A-NEXO? la
que proporciona el listado Robinson y ésta no les ha trasladado ningún derecho de
oposición recibido tras la realización de llamadas. Sin embargo, en el contrato suscrito
entre ambas entidades (Casmar y A-Nexo de junio de 2019) figura que los listados de
exclusión publicitaria y derechos de oposición son aportados por Casmar. Tampoco se
indica la gestión a realizar sobre la consulta previa a los ficheros de exclusión
publicitaria ni ejercicio de derechos, en contra de lo dispuesto en el art 28 del RGPD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
32/97
NOVENO: Consta que VDF contrata con TQF y ésta subcontrata a su vez con otras
personas físicas y jurídicas que son las que realizan materialmente las llamadas. En
los contratos aportados suscritos entre TQF -en calidad de encargado del tratamiento
por cuenta y en nombre de VDF- y las entidades subcontratadas no figuran
indicaciones respecto de la obligación de consulta previa y filtrado con los ficheros de
exclusión publicitaria ni con los de ejercicio de derechos por las diversas entidades
intervinientes en las acciones de mercadotecnia en nombre y por cuenta de VDF.
DÉCIMO: No consta acreditado que VDF tenga conocimiento de los derechos
ejercidos por los afectados ante las entidades encargadas y subencargadas, lo que
origina que ante llamadas de tipo secuencial o aleatorio desde una determinada
numeración se reiteren llamadas a los afectados que previamente han ejercido su
derecho de oposición, a pesar, tanto en el caso de en el caso de ficheros procedentes
de VDF como externos, que VDF los haya filtrado previamente para evitar llamadas
indebidas.
UNDÉCIMO: En el caso de la entidad DATACENTRIC, que es una intermediaria entre
VDF y el titular de la base de datos alquilada, no consta que VDF intervenga en el
control efectivo de comprobación de la preceptiva autorización expresa de los
afectados para comunicaciones de correos electrónicos y envío de SMS.
DUODÉCIMO: En el caso de la entidad MEYDIS, que proporciona a VDF bases de
datos publicados en repertorios de abonados a servicios de telecomunicaciones, no
consta contrato suscrito conforme al artículo 28 del RGPD, por no requerirlo, según
manifiesta VDF, el sistema interno de contratación de ambas entidades, en contra de
lo dispuesto en el art 28 del RGPD.
DÉCIMO TERCERO: La obligación de consulta de los listados de exclusión publicitaria
por parte de los encargados y subencargados no está prevista en los contratos
suscritos al efecto. Si se contrasta o no las citadas listas es una circunstancia que VDF
no está en disposición de verificar.
DÉCIMO CUARTO: Consta que ante una reclamación sobre acciones de
mercadotecnia de VDF ante la AEPD y que se haya resuelto instando a VDF a que
informe al afectado de que sus datos se han incluido en LRI y, comunicada esta
circunstancia al afectado, con posterioridad se le reitere la llamada. (PS/00290/2015).
DÉCIMO QUINTO: En la Inspección realizada en la sede de VDF los días 18 y 30 de
septiembre, los representantes de VDF afirman que: autorización relativa al uso de base de datos ajenas, es decir, propias de los
distribuidores y por tanto no hay un proceso de autorización, sino que se solicita
información en el caso de que utilicen estas bases de datos. (ii) VDF no está en
condiciones de comprobar que los titulares de las líneas receptoras han prestado su
consentimiento o no se han opuesto, pues es una obligación que les corresponde a
los agentes colaboradores, (iii) VDF no asegura que en cada llamada se ofrezca un
medio efectivo de ejercitar el derecho de oposición.
DÉCIMO SEXTO: Respecto de las Bases de datos proporcionadas por VDF y
utilizadas por los encargados del tratamiento en nombre y por cuenta de VDF, consta
que existen comunicados por parte de VDF referidos a la obligación de utilizar
únicamente estas bases de datos. Sin embargo, no existe ningún procedimiento
habilitado ni controlado por VDF tendente a verificar los encargados utilizan
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
33/97
únicamente la base de datos que VDF les ha proporcionado y durante los periodos
que se les indica. En la inspección realizada en la sede de VDF en fechas de 18 y 30
de septiembre de 2019, los representantes de VDF manifestaron que no se han
realizado comprobaciones sobre el cumplimiento de las medidas que se indican en los
anteriores comunicados.
DÉCIMO SÉPTIMO: Respecto de las comunicaciones comerciales a través de SMS,
se realizan mediante la generación de forma aleatoria sin discriminación alguna, por lo
que se han remitido comunicaciones comerciales electrónicas a potenciales clientes
sin la concurrencia de los requisitos previstos en el artículo 21 de la LSSI
(expresamente autorizadas). Los envíos de SMS los realiza directamente VDF.
DÉCIMO OCTAVO: Sin perjuicio de lo dispuesto en el anexo a esta Resolución, a
modo de una muestra representativa, en las acciones comerciales realizadas desde
las numeraciones ***TELEFONO.2 y 954781254 por los distribuidores CASMAR y
TQF, respectivamente; se han hallado 17 reclamantes que manifiestan acciones
comerciales realizadas desde la numeración 954781254, y 19 reclamantes respecto
de las realizadas desde la numeración ***TELEFONO.2, a pesar de que los números
de los destinatarios estaban incluidos en LRAD, o han ejercido su derecho de
oposición frente a VDF y figuran en su LRI.
DÉCIMO NOVENO: En el esquema de intervinientes en las acciones de
mercadotecnia llevadas a cabo por VDF, constan los siguientes niveles de actuación
en relación con Casmar:
Nivel I.- VDF es quien contrata con la entidad CASMAR (y ésta, en su caso,
subcontrata con otros) la realización de acciones comerciales de captación de clientes.
La base de datos a utilizar puede ser proporcionada por VDF o por CASMAR que la
obtiene por su cuenta (de otros colaboradores).
Nivel II.- CASMAR subcontrata a la entidad A-NEXO (y ésta en su caso a otros
colaboradores) la realización de llamadas comerciales. CASMAR informó a
requerimiento de la AEPD que los datos utilizados los proporciona A-NEXO y, sin
embargo, en el contrato que aportó figura que los datos los proporciona CASMAR.
Nivel III.- A-NEXO subcontrata a su vez a comerciales para la realización de llamadas,
tanto personas jurídicas como físicas,
Nivel IV- Comerciales contratados por CASMAR, a su vez, realizan las llamadas por su
cuenta desde numeraciones propias sin informar de las mismas a VDF.
Sobre el conocimiento por parte de VDF de los subencargados del tratamiento por
cuenta de VDF, CASMAR aportó la documentación contractual donde figuraba ?en
blanco? (anexo II al contrato canal presencial de 1/05/2019), la lista de subencargados
del tratamiento por cuenta de VDF que debía aprobar VDF, manifestando que está en
> por el dinamismo con el que se van reemplazando y actualizando los
?calls centers?, es decir, con posterioridad a la contratación y no de forma previa y que
permita verificar la competencia técnica y organizativa con la que cuentan estas
entidades.
VIGÉSIMO: En el contrato suscrito entre Casmar y VDF en fecha 1/05/2019 figura, en
anexo aparte y de fecha posterior (1) referenciado a dicho contrato del que trae causa
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
34/97
de fecha 1/05/2019 entre VDF y Casmar, una relación de 15 entidades jurídicas y
personas físicas subcontratadas por Casmar denominada ?lista de los subencargados
aprobados? (sic), entre las que se encuentra la entidad A-Nexo, en la que consta que
la ?ubicación actual del tratamiento? (sic) se encuentra en Perú. No consta acreditado
que dispongan de un contrato que contenga las preceptivas cláusulas contractuales
tipo de la Decisión de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas
contractuales tipo para la transferencia de datos personales a los encargados del
tratamiento establecidos en terceros países.
(1) Consta contrato de fecha 27/06/2019 (posterior al de fecha 1/05/209 entre VDF y
Camar) entre Casmar y A-nexo (en nombre y representación de la entidad A-NEXO
CONTACT CENTER SAC, con RUC 20601266530 y domicilio a efectos de notificaciones en
Av. De los Precursores 1192, oficina 303, San Miguel, Lima, Perú.)
VIGÉSIMO PRIMERO: TQTF afirma a requerimiento de la Inspección de esta AEPD
que VDF tiene conocimiento de los subencargados del tratamiento por cuenta de VDF
sólo en el momento en el que se le solicita su acceso a la plataforma de contratación
de VDF y solo a estos efectos. Es decir, TQTF solicita el alta a VDF de los
subencargados del tratamiento en nombre y por cuenta de VDF para poder realizar las
contrataciones (VDF les suministra usuario de acceso a la plataforma de contratación),
sin que se requiera ningún tipo de verificación a los comerciales subencargados del
tratamiento en nombre y por cuenta de VDF sobre los datos a utilizar en las llamadas
comerciales ni condiciones técnicas y organizativas con las que cuentan, limitándose
VDF a generar un usuario con contraseña, previa petición de CASMAR o TQTF, que
se comunica a los comerciales o al distribuidor final (subencargados) para estar
habilitado para realizar altas de líneas contratadas en los sistemas de VDF.
VIGÉSIMO SEGUNDO: VDF conoce la interposición de reclamaciones ante la AEPD,
ya que desde el mes de noviembre de 2018 se ha dado traslado de las mismas desde
la AEPD y no es hasta el mes de julio de 2019 cuando se lo comunica a los
distribuidores (encargados) sin que conste a la fecha las medidas adoptadas para
evitar tratamientos indebidos.
VIGÉSIMO TERCERO: Son ejemplos de estas acciones realizadas por CASMAR a
numeraciones inscritas en LRAD o en LRI de VDF, los siguientes:
? E/07147/2019: El reclamante recibe llamadas comerciales, la última en fecha
de 12/06/2019 tras haber ejercido el derecho de supresión frente a VDF en fecha de
8/05/2019, y en LRI de VDF desde 9/05/2019.
? E/07144/2019: El reclamante recibe llamadas comerciales, la última en fecha
de 5/06/2019, tras haber ejercido el derecho de oposición constando en LRI de VDF
desde 2/04/2019, la línea móvil, y 20/08/2018 la línea fija. También en LRAD desde
marzo de 2019.
? E/7765/2019: El reclamante recibe llamadas comerciales, la última en fecha de
7/06/2019, tras haber solicitado la supresión frente a VDF en fecha de 2/06/2019 y
figurar inscrito en LRAD desde el 14/11/2017.
? E/7758/2019: El reclamante recibe llamadas comerciales, la última en fecha de
26/06/2019 figurando en LRAD desde el 22/10/2018. En este caso, el distribuidor
llamante es TTQF en nombre y por cuenta de VDF.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
35/97
Esta muestra de reclamaciones (la totalidad de evidencias consta en el anexo a esta
Propuesta de Resolución) constata que los encargados y subencargados no han
utilizado para realizar las acciones de mercadoctecnia por cuenta y en nombre de VDF
numeraciones previamente filtradas con los listados de exclusión publicitaria ni han
tenido en cuenta los derechos de oposición previamente ejercidos por los afectados,
bien ante la propia VDF o bien ante las entidades encargadas o subencargadas
cuando actúan en nombre y por cuenta de VDF. Tampoco consta que en las acciones
de mercadoctecnia a través de llamadas telefónicas VDF disponga de control
adecuado que le permita validar la posibilidad de ejercer el derecho de oposición al
interesado, pues VDF se limita a facilitar a los encargados una determinada leyenda
sin que exija garantías de su efectiva lectura a los afectados.
VIGÉSIMO CUARTO. En el anexo de la presente Resolución figuran el listado
completo y detallado de todas las reclamaciones tenidas en cuenta en la valoración de
los hechos imputados en este procedimiento.
FUNDAMENTOS DE DERECHO
I
En virtud de los poderes que el artículo 58.2 del Reglamento (UE) 2016/679, del
Parlamento Europeo y del Consejo, de 27/04/2016, relativo a la Protección de las
Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la Libre
Circulación de estos Datos (Reglamento General de Protección de Datos, en adelante
RGPD) reconoce a cada Autoridad de Control, y según lo establecido en los artículos
47, 48, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y Garantía de los Derechos Digitales (en lo sucesivo LOPDGDD), la
Directora de la Agencia Española de Protección de Datos es competente para iniciar y
resolver este procedimiento.
El artículo 63.2 de la LOPDGDD determina que: ?Los procedimientos tramitados por la
Agencia Española de Protección de Datos se regirán por lo dispuesto en el
Reglamento (UE)2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en sudesarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos.?
De conformidad con lo establecido en el art. 43.1, párrafo segundo, de la de la Ley
34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio
Electrónico (LSSI), la Directora de la Agencia Española de Protección de Datos es
competente para iniciar y resolver este procedimiento sancionador.
De conformidad con lo establecido en el artículo 84.3) de la Ley 9/2014, de 9 de mayo,
General de Telecomunicaciones (en lo sucesivo LGT), la Directora de la Agencia
Española de Protección de Datos es competente para iniciar y resolver este
procedimiento sancionador.
II
En cuanto a las alegaciones presentadas al acuerdo de inicio, ya fueron contestadas e
la Propuesta de Resolución, en síntesis, en los siguientes términos:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
36/97
1. En los expedientes notificados se incluyen afectados que son personas
jurídicas.
Como ya se ha indicado, se han excluido de valoración 29 reclamaciones por las
razones que se propusieron sin que se encuentren en el anexo las relativas a
personas jurídicas y las referenciadas en las alegaciones de VDF de fecha 1/12/2020.
Debe añadirse ahora, que el ámbito de aplicación de la LGT y LSSICE incluye las
personas jurídicas y, si se han excluido de valoración 29 expedientes, no ha sido por
este motivo.
2. La exposición de hechos en el Acuerdo de Inicio dificulta en extremo analizar y
realizar un examen detallado pudiendo menoscabar el derecho a la legítima defensa.
Los términos del acuerdo de inicio se ajustan a lo dispuesto en el artículo 64 de la Ley
39/2015, de 1 de octubre, de Procedimiento administrativo común de las
Administraciones Públicas. En este sentido, señalar que VDF no ha solicitado práctica
de prueba alguna tras el acuerdo de inicio pudiendo haberlo solicitado si realmente
considera que menoscaba su derecho a la legítima defensa.
A mayor abundamiento, VDF no explicita ni acredita en qué se ha menoscabado su
derecho a la legítima defensa y cuál es el perjuicio real y efectivo que se le ha
producido. Máxime cuando los hechos nos muestran que ha podido alegar tras el
acuerdo de inicio y a lo largo de todo el procedimiento administrativo todo lo que a su
derecho convenía, realizado, todo tipo de alegaciones con un volumen importante
tanto en sus razonamientos como en su cantidad (incluyendo también, en tal
consideración el elevado número de páginas de los documentos presentados por
VDF). También ha podido aportar toda la documentación que ha considerado relevante
y necesaria. La defensa real y efectiva del reclamado ni tan siquiera se ha mermado
en ningún momento.
Debemos traer a colación, por todas, la Sentencia de la Audiencia Nacional, de 22
febrero 2019 (RJCA 2019/63), en la que recogiendo asimismo diversa jurisprudencia
del Tribunal Constitucional, se afirma taxativamente que ?en consecuencia, fuera de
los supuestos de nulidad de pleno derecho sólo tienen alcance anulatorio aquellas
infracciones del procedimiento, que hayan dejado al interesado en una situación de
indefensión real o material por dictarse una resolución contraria a sus intereses sin
haber podido alegar o no haber podido probar ( SS.TC. 155/1988, de 22 de julio (RTC
1988, 155), FJ 4; 212/1994, de 13 de julio (RTC 1994, 212), FJ 4; 137/1996, de 16 de
septiembre (RTC 1996, 137) , FJ 2; 89/1997, de 5 de mayo (RTC 1997, 89) , FJ 3;
78/1999, de 26 de abril (RTC 1999, 78) , FJ 2, entre otras). [?] Ahora bien, no se
produce indefensión a estos efectos, tal y como declara la Sentencia del Tribunal
Supremo de 11 de octubre de 2012 (RJ 2012, 11351) -recurso nº. 408/2010 -, " si el
interesado ha podido alegar y probar en el expediente cuanto ha considerado
oportuno en defensa de sus derechos y postura asumida, como también recurrir en
reposición, doctrina que se basa en el artículo 24.1 CE (RCL 1978, 2836) , si hizo
dentro del expediente las alegaciones que estimó oportunas" ( S.TS. 27 de febrero de
1991), "si ejercitó, en fin, todos los recursos procedentes, tanto el administrativo como
el jurisdiccional" ( S.TS. de 20 de julio de 1992). [?] En definitiva, la parte actora no
concreta qué indefensión material le han producido los supuestos vicios
procedimentales denunciados, y en cualquier caso, la ANC ha podido alegar y probar,
tanto en vía administrativa previa como en esta vía judicial, cuanto ha estimado
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
37/97
conveniente en defensa de sus derechos e intereses legítimos, por lo que ninguna
vulneración de su derecho de defensa (artículo 24.2 CE)?.
Asimismo, la Sentencia de la Sala de lo Contencioso-Administrativo, Sección 1ª, de la
Audiencia Nacional de Audiencia Nacional de 8 de abril de 2019 (RJCA\2019\466),
ratifica que la indefensión ha de ser material, traduciéndose en un perjuicio real y
efectivo, puesto que ?A tal efecto y con carácter general, ha de traerse a colación la
doctrina del Tribunal Constitucional según la cual, para apreciar la existencia de lesión
constitucional, no basta la existencia de un defecto procedimental, sino que es
igualmente necesario que éste se haya traducido en indefensión material, esto es, en
un perjuicio real y efectivo, nunca potencial y abstracto, de las posibilidades de
defensa en un procedimiento con las necesarias garantías ( SSTC 15/1995, de 24 de
enero y 1/2000, de 17 de enero , entre otras muchas) . Concepto de indefensión con
relevancia constitucional que, en cualquier caso, no coincide necesariamente con
cualquier indefensión de carácter meramente procesal ni menos con cualquier
infracción de normas procesales, sino que requiere, como condición indispensable,
que la imposibilidad de alegar y probar los propios derechos e intereses y rebatir las
alegaciones de contrario hayan producido un real y efectivo menoscabo del derecho
de defensa de la parte, un perjuicio de índole material. Sin que exista indefensión
material si, a pesar de haberse producido algún quebrantamiento procesal, las partes
han podido defender sus derechos e interés legítimos (STC 27/2001 de 29 de enero)?.
3. La diligencia debida en los términos del art 28 del RGPD hace referencia solo a
la fase de contratación con el encargado y no debe entenderse respecto del
seguimiento posterior del contrato.
Se contesta en los siguientes fundamentos de derecho
4. Los proveedores contratados por VDF del departamento interno de televenta
han superado un proceso previo de validación y son sometidos a procesos de auditoria
en las que se justifica las medidas técnicas y organizativas con las que cuentan para el
desarrollo del servicio contratado.
El proceso selectivo se entidades encargadas se limita a un checklist inicial, sin que
conste evaluación posterior del encargo contratado, tal y como se señala en
fundamentos de derecho posteriores.
En la Inspección presencial, se constató que (página 11 de la presente Resolución),
respecto al segundo escenario, los Distribuidores/Colaboradores/Agentes venden a
través de stands en comercios y en la calle, que a su vez también llegan a con otras agencias de televenta y comerciales>> (subencargados del tratamiento por
cuenta y en nombre de VDF) para la realización efectiva de llamadas telefónicas y que
gestionan > de números de teléfono de potenciales clientes.
Estas > subcontratadas no se someten a
un proceso de homologación previo -como hacen las adscritas a la plataforma de
TVTA- sino que en la actualidad se sigue trabajando con las que ya prestaban el
servicio en ONO antes de la fusión con VDF (en fecha 10/01/2018) y no consta que se
hayan verificado los medios técnicos y organizativos de los que disponen.
Se debe señalar que la decisión por VDF de seguir en la actualidad trabajando con las
entidades encargadas del tratamiento que ya prestaban el servicio en ONO antes de la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
38/97
fusión con VDF (en fecha 10/01/2018), acredita que la responsable de dichos
tratamientos es VDF.
En estos casos, VDF desconoce la identidad de las entidades (otras agencias de
televenta y comerciales) subcontratadas por el Distribuidor/Colaborador/Agente y
desconoce las garantías de índole técnico u organizativo con las que cuentan. La
información relativa a la identidad de estas entidades subcontratadas debe constar en
el anexo al contrato (subcontrato) establecido al efecto, pero sólo consta una vez
realizada la subcontratación, es decir, VDF desconoce previamente la cualificación
técnica y organizativa y la identidad de estas entidades subcontratadas así como su
capacidad para el cumplimiento a la normativa vigente.
De las cláusulas del contrato tipo denominado ?Canal Presencial 2019-2020? (por
ejemplo, con CASMAR de 1 de mayo de 2019) suscrito entre VDF y las entidades
adscritas a la plataforma de TVTA, figura la obligación de comunicar previamente a
VDF la lista de subencargados del tratamiento por cuenta de VDF que van a utilizar los
distribuidores/colaboradores/agentes. Esta comunicación se recoge, entre otras, en las
cláusulas 5 (recursos) y 6 (características de la actividad) del citado contrato (se
incluye en el expediente). Sólo en las cláusulas 13.4 y 13.5 del citado contrato se hace
referencia a la obligatoriedad del cumplimiento de la normativa de protección de datos
en los siguientes términos: ?? sin perjuicio de las obligaciones asumidas por el
COLABORADOR en cumplimiento de la legislación de Protección de Datos vigente en
cada momento?? (sic). En la cláusula 13.6 se afirma de forma expresa que el
?colaborador tendrá la consideración de encargado del tratamiento debiendo
formalizar el Acuerdo estándar de tratamiento de datos que se adjunta como anexo
IV??.
Sin embargo, esta comunicación a VDF de las entidades subcontratadas tiene un
carácter declarativo a posteriori y no está sujeto a aprobación previa por VDF ni consta
reflejada la posibilidad del ejercicio de los derechos de los interesados. La finalidad de
esta declaración, según manifiesta VDF, es fundamentalmente para disponer de
información cuando se detecte una mala praxis.
5. Respecto de los proveedores externos usando bases de datos propias: estos
proveedores no actúan en calidad de encargados del tratamiento sino como
responsables de sus propias bases de datos ya que estos datos personales son
recopilados en nombre del proveedor y no en el de VDF.
Se contesta en los siguientes fundamentos de derecho
6. Respecto de los proveedores externos usando bases de datos facilitadas por
VDF: VDF cumple en la contratación con los encargados todos los requisitos
establecidos en el art 28 del RGPD y estos prestadores reúnen las condiciones para
dar cumplimiento a sus obligaciones, no existiendo falta del deber de diligencia por lo
que no procede poner en duda la ejecución efectiva de las obligaciones
contractualmente asumidas.
Se contesta en los siguientes fundamentos de derecho
7. Respecto de regulación del contrato entre responsable y el encargado de las
subcontrataciones realizadas por parte del encargado, en la Guía de la AEPD se
aconseja la aplicación de determinadas cláusulas como la utilizada por VDF. En dichas
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
39/97
cláusulas de indica que corresponde al encargado inicial regular la nueva relación y
con los mismos requisitos formales que con el responsable.
En la Guía aludida se trata de resumir las condiciones iniciales que deben reunir las
contrataciones entre responsable y encargado, sin perjuicio del seguimiento que el
responsable debe realizar para evaluar el efectivo cumplimiento de las cláusulas
suscritas.
Se ha de considerar que la Guía contiene orientaciones que deben adaptarse a cada
supuesto concreto, ya que la guía citada advierte expresamente que ?Este documento
tiene como objetivo identificar los puntos clave a tener presentes en el momento de
establecer la relación entre el responsable del tratamiento y el encargado del
tratamiento, así como identificar las cuestiones que afectan de forma directa a la
gestión de la relación entre ambos. Asimismo, pretende ofrecer orientaciones, a modo
de recomendación, para confeccionar el documento que regule dicha relación?.
En idéntico sentido, se advierte expresamente que su Anexo I al recogerse un ejemplo
de lo que podría ser el contrato de encargado de tratamiento, que ?Estas cláusulas
tienen sólo carácter orientativo y deben adaptarse a las circunstancias concretas del
tratamiento que se lleve a cabo?; de tal forma que, a lo largo de la Guía y por múltiples
vías se pone de manifiesto de manera indubitada que se trata de orientaciones, que no
eximen al responsable del tratamiento de realizar el contrato de tratamiento acorde al
RGPD en relación con las circunstancias concurrentes en cada supuesto individual
concreto.
8. La necesidad de autorización expresa previa de los subencargados no es un
requisito obligatorio, sino que el art 28.2 indica que el encargado debe informar al
responsable y, en su caso, éste autorizar dando así al responsable la opción de
oponerse. Este aspecto no se contempla en la Guía de la AEPD (opción B).
El artículo 28.2 del RGPD indica que ?El encargado del tratamiento no recurrirá a otro
encargado sin la autorización previa por escrito, específica o general, del responsable.
En este último caso, el encargado informará al responsable de cualquier cambio
previsto en la incorporación o sustitución de otros encargados, dando así al
responsable la oportunidad de oponerse a dichos cambios?.
Esto implica que se requerirá autorización previa y por escrito para que el encargado
del tratamiento pueda recurrir a otro encargado. Y que dicha autorización puede ser
específica (con indicación de la entidad subcontratada) o general. Sólo en este último
supuesto, ya existiendo autorización general por parte del responsable del tratamiento,
es cuando se ha de informar de cambios en la incorporación o sustitución de otros
encargados, respecto de la cual, además, puede oponerse el responsable del
tratamiento (por ejemplo, si no reúne las medidas técnicas u organizativas que se
fijaron en la autorización general).
De lo anterior, se concluye que la autorización previa siempre es obligatoria.
La autorización previa a la subcontratación de encargados debe evaluar, en todo caso
y entre otras cuestiones, las condiciones técnicas y organizativas con las que cuenta el
encargado del tratamiento para llevar a cabo el contrato. Tal y como está configurada
en el artículo 28.2 del RGPD no es una simple comunicación de índole formal, sino
que constituye un verdadero requisito material de cumplimiento del RGPD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
40/97
9. Según la DT5ª de la LOPDGDD, los contratos previos al 25/05/2018
mantendrán su vigencia hasta el 25/05/2022, por lo que su contenido no puede ser
exigible al no ser de aplicación.
La Disposición transitoria 5ª de la LOPDGDD determina que ?Los contratos de
encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo
de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de
vencimiento señalada en los mismos y en caso de haberse pactado de forma
indefinida, hasta el 25 de mayo de 2022.
Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación
del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del
Reglamento (UE) 2016/679 y en el Capítulo II del Título V de esta ley orgánica?.
La Disposición transitoria 5ª de la LOPDGDD permite ?mantener la vigencia? de los
contratos de encargado de tratamiento suscritos con anterioridad a la aplicación del
RGPD. Se refiere únicamente a la vigencia del contrato.
Ello es así porque en cumplimiento de la propia responsabilidad proactiva por el
responsable del tratamiento, precisan de su adaptación material al RGPD. Las
obligaciones dimanantes del texto legal han de cumplirse desde la plena de aplicación
del mismo en mayo de 2018.
Pues bien, esta Disposición también hace referencia a la modificación del contrato
para que resulte conforme a lo dispuesto en el artículo 28 del RGPD. Como hemos
indicado, podemos entender que tal modificación se constriñe al contenido formal del
artículo 28 del RGPD, permitiendo a cada una de las partes exigir a la otra la
modificación del contrato a fin de cumplir con el precepto citado. Pero no afecta a la
aplicación de los principios y obligaciones materiales del RGPD ya que se trata de una
norma con efecto directo de carácter imperativo y ninguna previsión podría ir en contra
de este carácter.
Por tanto, la vigencia de los contratos de encargado del tratamiento hasta el
25/05/2022 se mantendrá siempre que su contenido se ajuste a los principios
dispuestos en el RGPD y a la LOPDGDD.
10. El control exhaustivo del responsable sobre los encargados impediría ?que
puedan marcar un número de teléfono no autorizado?, habiendo tenido VDF la
diligencia razonable.
El control del responsable del tratamiento sobre el encargado deberá ser el razonable
y adecuado durante todo el desarrollo del contrato y en el presente caso constan
afectados los derechos y libertades de los interesados de forma reiterada sin que VDF
haya adoptado medidas correctoras adecuadas a fin de evitar infracciones como las
ahora analizadas.
11. No se ha tenido en cuenta los esfuerzos técnicos realizados por parte de VDF
para implementar mejoras en fase de desarrollo, que resultaron acreditadas en el
momento de la inspección presencial por parte de la AEPD, minusvalorándose el
esfuerzo técnico en desarrollo.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
41/97
Los esfuerzos técnicos realizados por VDF para evitar reclamaciones ante la AEPD no
constan que haya sido implantados a día de hoy.
12. Los datos de contacto para acciones de telemarketing puestos a disposición de
los proveedores por parte de VDF han sido contrastados previamente con los datos
contenido en los listados Robinson internos y de ADigital y se especifica el tiempo de
uso para evitar datos desactualizados.
Los datos de los interesados objeto de acciones publicitarias no han sido contrastados
con los listados de exclusión publicitaria y derechos de oposición, en especial cuando
se han ejercido ante encargados o subencargados y no se han comunicado al
responsable ni éste haya obligado a su comunicación, en especial en cuanto a
acciones publicitarias que parten de numeraciones aleatorias.
13. Los datos objeto de tratamiento solo pueden ser tratados por las entidades
encargadas conforme a las instrucciones de VDF que rigen el contrato, en el que se
establecen claramente las condiciones en que deben realizarse los tratamientos de los
datos personales.
No consta por parte de VDF el seguimiento de la ejecución de los contratos suscritos
con los encargados en nombre y por cuenta del responsable.
14. VDF solicita a los proveedores que le comuniquen todas las oposiciones que
puedan producirse durante las acciones de telemarketing.
No consta que VDF requiera a los encargados que le comuniquen los derechos de
oposición ejercidos por los interesados y haya desplegado medios técnicos y
organizativos que permitan tenerlos en cuenta en posteriores campañas publicitarias.
15. Los datos personales de las bases de datos del proveedor no son transferidos
en ningún momento a VDF. Solo tras la contratación del servicio se incluyen en el
sistema de información de VDF.
Los datos personales objeto de tratamiento por los encargados se realizan en nombre
y por cuenta de VDF como entidad responsable con independencia de que se
encuentren incluidos en su sistema de información.
16. Tras la contratación se procede a validar esta tras una llamada de control de
calidad.
La llamada de control de calidad se realiza una vez efectuada la contratación del
servicio ofrecido en nombre de VDF, circunstancia que queda al margen del presente
procedimiento.
17. VDF ha implementado medidas complementarias para garantizar un control
pormenorizado de la actividad de los proveedores de servicios cuando usan sus
propias bases de datos. Dicho control se estimaba que esté operativo en enero de
2020 (nuevo sistema de enrutamiento a través de la troncal de VDF).
No consta que VDF haya implantado medidas técnicas y organizativas para garantizar
un control pormenorizado de la actividad de los encargados que actúan por cuenta y
en nombre de VDF a partir de enero de 2020. Ejemplo de reclamaciones posteriores
(enero y febrero de 2020) son, entre otras, las siguientes:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
42/97
22/01/2020 E/02252/2020 A.A.A.
23/01/2020 E/02255/2020 B.B.B.
24/01/2020 E/02262/2020 C.C.C.
25/01/2020 E/02263/2020 D.D.D.
27/01/2020 E/02266/2020 E.E.E.
28/01/2020 E/02269/2020 F.F.F.
03/02/2020 E/02271/2020 G.G.G.
03/02/2020 E/02274/2020 H.H.H.
18. La infracción imputada del art 21 de la LSSICE, no procede toda vez que la
licitud de los tratamientos se basa en el interés legítimo, tal y como señala el
Considerando 47 del RGPD y así lo reconoce la AEPD en su informe 0173/2018.
La LSSICE requiere en el artículo 21 autorización expresamente autorizada para
comunicaciones publicitarias electrónicas, y en el presente caso no consta.
19. VDF en todo momento permite al interesado a oponerse a recibir
comunicaciones, por lo que no procede imputar infracción del artículo 38.3.d).
No consta que tanto VDF como los encargados y subencargados que actúan en
nombre y por cuenta de VDF dispongan de las medidas técnicas y organizativas que
permitan llevar a cabo el derecho de oposición ejercido por el interesado puesto que
consta la reiteración de acciones publicitarias tras el ejercicio de tal derecho.
20. Las reclamaciones relativas a la LSSICE son una minoría y dista mucho del
total de reclamaciones presentadas.
Consta en el anexo a esta Propuesta que el número de reclamaciones por infracción a
la LSSICE ascienden a veinticuatro (24) de las 162 tenidas en cuenta en la presente
Resolución.
21. Respecto de las infracciones relativas a la LGT, VDF facilita siempre la
posibilidad de ejercitar el derecho de oposición al interesado, según consta en el art
48.1.b) de dicha norma. También consta que VDF filtra previamente con los listados de
exclusión publicitaria antes de facilitar datos de potenciales clientes a los proveedores.
Y cuando las bases de datos son externas ?no es posible impedir materialmente la
realización de una llamada? (sic) si bien se están implantado medidas de control
basado en tecnología VozIP que impiden llamar a numeraciones incluidas en listados
de exclusión publicitaria.
La alegación no puede ser aceptada toda vez que tal y como consta en hechos
probados y en el anexo adjunto se han realizado acciones publicitarias por cuenta y en
nombre de VDF de forma reiterada aun encontrándose el interesado en la relación de
exclusiones publicitarias o habiendo ejercido previamente su derecho de oposición a
tales acciones, en contra de los dispuesto en el artículo 48.1.b) de la LGT.
22. La AEPD parece sancionar por recibir reclamaciones sin verificar los hechos
descritos en las mismas y concluir de forma automatizada que estas se corresponden
con acciones ilegítimas y contrarias al ordenamiento jurídico y, por tanto, adoptando
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
43/97
estas decisiones en contra del principio onus probandi que rige el derecho
sancionador.
Consta en la documentación del expediente notificada a VDF en marzo de 2020
razones suficientes para enervar la presunción de inocencia toda vez que la propia
VDF en sus contestaciones a los requerimientos de información de esta AEPD
manifiesta su error y procede a corregir puntualmente informando al reclamante. No
obstante, esta conducta infractora y posterior adopción de medidas supuestamente
correctoras se reiteran de forma permanente, y en ocasiones constan hasta tres
reclamaciones posteriores de un mismo afectado tras ser ?supuestamente? atendido el
derecho de oposición ante VDF
23. La cuantificación de las sanciones es desproporcionada, y no cabe sostener
que la conducta de VDF es un incumplimiento reiterado y permanente, pues solo
podrían verse afectadas 191 interesados de los 200 millones de acciones comerciales
llevadas a cabo por VDF.
Respecto a la graduación y cuantificación final de las sanciones propuestas se debe
señalar que, sin perjuicio de las nuevas cuantías señaladas en el RGPD y criterios de
graduación aplicados, y solo a efectos comparativos con la derogada LOPD, la cuantía
sería muy superior a la actual propuesta. En concreto, y solo a efectos comparativos
con la LOPD, ahora se imputan ciento cuarenta y una (141) infracciones al RGPD que
supondrían de forma separada y aplicando la LOPD, una cantidad próxima a los seis
millones de euros, considerando cuantía mínima (40.001 ?). En el mismo sentido las
ciento veinticuatro (124) infracciones a la LGT y las veinticuatro (24) a la LSSICE, en
las que se ha ponderado las cuantías también de forma conjunta.
A mayor abundamiento, respecto de la alegación de que ?solo podrían verse afectadas
191 interesados de los 200 millones de acciones comerciales llevadas a cabo por
VDF?, se ha de señalar que, como puede ser el caso en el presente procedimiento, de
la confluencia de varias reclamaciones de personas individuales afectadas se ponga
de manifiesto una actuación del responsable que con carácter general (esto es, no
sólo en los casos concretos presentados por los reclamantes) de la que resulte que
dichos casos concretos son el reflejo de una pauta o política común aplicada a todas
aquellas personas afectadas que estén en el mismo caso que los interesados y que no
estén reclamando ni ante VDF ni ante la AEPD.
De las reclamaciones presentadas se infiere patrón de conducta en el tratamiento de
los datos personales en relación con las operaciones de marketing de VDF (que
incluye la negligencia grave en su actuación y la inacción) que impacta directamente, y
de manera general e indiscriminada, en los derechos y libertades de los ciudadanos.
24. Constan infracciones prescritas como la referida al E/07180/2019 y otras en las
que no se han aportado evidencias de infracción (E/01119/2019 y E/02809/2019).
Los expedientes aludidos en la alegación no constan entre los ciento sesenta y dos
(162) valorados en la presente Resolución.
25. En general el Acuerdo de inicio carece de motivación suficiente que sustente la
imputación a VDF de las infracciones que relaciona que es una garantía contra la
conducta arbitraria proscrita en la C.E.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
44/97
La motivación se exige por mor del art. 35 de la LPACAP, estableciendo el Tribunal
Supremo una serie de elementos deben concurrir para que esta sea adecuada.
Así, la motivación tiene un carácter finalista, esto es, que se cumpla con la exigencia
legal de explicar o exteriorizar el núcleo de la decisión administrativa, a partir de la cual
el interesado pueda desplegar sus medios de defensa. Tal y como determina la
Sentencia de la Sala de lo Contencioso-Administrativo, Sección 1ª, de la Audiencia
Nacional de 13 de septiembre de 2019, ?La exigencia de la motivación de los actos
administrativos responde, según reiterada doctrina jurisprudencial, de la que es
exponente la Sentencia del Tribunal Supremo de 16 de julio de 2001 , a la finalidad de
que el interesado pueda conocer con exactitud y precisión el cuándo, cómo y por qué
de lo establecido por la Administración, con la amplitud necesaria para la defensa de
sus derechos e intereses, permitiendo también, a su vez, a los órganos
jurisdiccionales el conocimiento de los datos fácticos y normativos que les permitan
resolver la impugnación judicial del acto, en el juicio de su facultad de revisión y
control de la actividad administrativa; de tal modo que la falta de esa motivación o su
insuficiencia notoria, en la medida que impiden impugnar ese acto con seria
posibilidad de criticar las bases y criterios en que se funda, integran un vicio de
anulabilidad, en cuanto dejan al interesado en situación de indefensión.
Todo ello sin perjuicio de la lógica discrepancia de quien obtiene una resolución
desfavorable a sus intereses, lo que no constituye falta de motivación, porque su
derecho no alcanza a la concesión de lo pedido, ya que nadie tiene derecho a que le
den la razón, sino a que la decisión que se le brinda ofrezca la explicación necesaria
para que el administrado pueda conocer con exactitud y precisión el contenido del
acto>>?.
La motivación puede ser breve y sucinta, mas siempre suficiente de tal forma que
permita al interesado conocer las razones decisorias administrativas (STS de 15 de
diciembre de 1999).
Para que la motivación sea suficiente debe ser concreta, esto es, que haga referencia
al caso particular discutido en el específico procedimiento administrativo (STS de 23
de septiembre de 2008) y congruente con el contenido decisorio. Si la decisión
administrativa lleva aparejado el ejercicio de potestades discrecionales, es preciso que
se explicite el proceso lógico que determine tal decisión (STS de 15 de diciembre de
1998).
En cuanto a la falta de motivación del acuerdo de inicio, motivo por el que se alega
arbitrariedad en la actuación de esta AEPD, se debe señalar que constan
suficientemente razonadas en el acuerdo de inicio las infracciones imputadas con base
en la documentación que obra en el expediente y que tiene su origen tanto en la
inspección presencial efectuada (cuya documentación conoce VDF) en la sede de
VDF como en la adjunta en las reclamaciones de los afectados y que figura en el
expediente. En el mismo sentido, la infracción ahora imputada de Transferencia
Internacional sin las adecuadas medidas exigidas en el RGPD, también se encuentra
documentada y acreditada de las propias manifestaciones de VDF en la
documentación facilitada a esta AEPD.
Del examen del expediente administrativo y de las diversas resoluciones dictadas en
su seno, se revela con claridad, de forma amplia y razonada, concreta y congruente, el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
45/97
porqué de la decisión administrativa, cumpliendo más que suficientemente con las
prescripciones fijadas por la Ley.
III
Respecto de las alegaciones presentadas a la práctica de pruebas y el segundo envío
de expedientes al objeto de subsanar deficiencias en la documentación inicialmente
notificada, se resumen en lo siguiente:
1.- Dos de los expedientes remitidos corresponden a una misma reclamación.
2.- Siete de los expedientes remitidos no se encontraban mencionados en el primer
envío.
3.- De las 264 numeraciones telefónicas solicitadas a Adigital para su comprobación
en listado Robinson, 33 no constan de alta, 4 son de fecha posterior, 1 corresponde a
un procedimiento archivado, 1 corresponde a un proveedor y no a un reclamante, 1 no
consta recibidas llamadas comerciales y 1 no se corresponde con VDF como entidad
reclamada.
En primer lugar, en las alegaciones vertidas por VDF en fecha 1/12/2020 no se
detallan los procedimientos a los que hace referencia. No obstante, se significa que
hay varias reclamaciones que conforman expedientes distintos de un mismo
reclamante, toda vez que por los mismos hechos han formulado varias reclamaciones
sucesivas al continuar realizándose por VDF los hechos ahora imputados.
En segundo lugar, se debe señalar que de las iniciales 191 reclamaciones que dieron
origen al presente procedimiento se han suprimido de valoración, aceptando
parcialmente las alegaciones de VDF de fecha 1/12/2020, veintinueve reclamaciones
(29) por diversos motivos, como no constar la inclusión de las numeraciones en plazo
en los listados de exclusión publicitaria o ejercicio previo de derechos, así como la falta
de numeración de llamada emisora, entrante o fecha de la actividad publicitaria, o que
las reclamaciones iban dirigidas a entidades diferentes a VDF (en dos casos). Sin
embargo, si se valoran aquellas otras en las que la propia VDF confirma en sus
propios escritos de contestación a los requerimientos de la AEPD que el reclamante se
encontraba incluido en los listados de exclusión publicitaria o que había ejercido
previamente el derecho de oposición ante VDF, y que obran en el expediente.
Hay que añadir, que en el Anexo de expedientes notificado es cierto que figuran en
ocasiones diversos expedientes en los que alguno de ellos no pertenece al presente
procedimiento. En este sentido, se debe aclarar que tal circunstancia se debe a que se
han indicado también, junto al expediente concreto objeto de valoración en el presente
procedimiento, aquellos otros previos -a modo indicativo y sin que se sumen a los
ahora valorados- y con el mismo reclamante por los mismos hechos y ya resueltos por
Resolución de esta Agencia conforme al artículo 65 de la LOPDGDD, lo que permite
acreditar la falta de medidas técnicas y organizativas continuadas en el tiempo en
cuanto a la atención de los derechos ejercidos por los afectados. Se puede resumir en
que también se han indicado (sin que se sumen a los ahora valorados) las
reincidencias infractoras tras resoluciones de esta Agencia en tutela de los derechos
oposición/cancelación ejercidos previamente por el mismo reclamante ante VDF. En
las alegaciones vertidas por VDF en fecha 1/12/2020 no se detallan los procedimientos
a los que hace referencia. Todo ello muestra el patrón de comportamiento, al que
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
46/97
anteriormente hacemos mención, en relación con las obligaciones de protección de
datos que corresponden a VDF.
En cuanto a los 14 números remitidos a Adigital en la práctica de pruebas que VDF
alega están repetidos, se debe señalar que, si bien no se indican cuáles son, se
corresponden a reclamaciones que parten del mismo número de teléfono receptor de
la llamada indebida, por lo que no afecta a los hechos ahora valorados.
Alega VDF que otros 49 números no se encuentran en el expediente, sin señalar
cuales, por lo que no es posible su análisis.
VDF añade que 33 números del listado de práctica de pruebas no constan de alta en
Robinson, sin indicar cuales. Al respecto, ya se ha indicado y así consta en el
expediente, que VDF en sus propias contestaciones a los requerimientos de esta
AEPD afirmaba que se encontraban incluidos en Robinson.
El resto de alegaciones se refieren a otros 4 números de teléfono receptores de
llamadas, que no indica cuales.
Por último, si bien estas alegaciones se refieren a aspectos meramente formales y sin
indicar su referencia, se insiste que en adelante solo se tomarán en cuenta para su
valoración en el presente procedimiento las reclamaciones ante la AEPD que figuran
en el citado anexo (162 reclamaciones), habiéndose eliminado del Anexo aquellas
reclamaciones/expedientes que presentaban defectos, incluso formales.
IV
Respecto de las alegaciones presentadas a la Propuesta de Resolución se resumen
según lo arriba indicado en el antecedente quinto, en lo siguiente:
1. Previa: Reiteración de las alegaciones presentadas.
2. Primera: Argumentos en contra de los Hechos Probados.
3. Segunda: Relativa a los expedientes de requerimiento de información
referenciados en el procedimiento sancionador.
4. Tercera: Rechazo por parte de la AEPD de las alegaciones presentadas por
Vodafone.
5. Cuarta: Presunto incumplimiento del artículo 24 RGPD. Consideración de
Vodafone como responsable de tratamiento y responsabilidad de Vodafone.
6. Quinta: Presunto incumplimiento del artículo 28 RGPD. Supuesta falta de control
real, continuo, permanente y auditado de los tratamientos realizados por los
encargados.
7. Sexta: Presunto incumplimiento del artículo 44 RGPD. Transferencias
Internacionales de datos.
8. Séptima: Presunto incumplimiento del artículo 21 LSSICE. Envío de
comunicaciones comerciales sin consentimiento y a destinatarios que se han
opuesto a dicho tratamiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
47/97
9. Octava: Presunto incumplimiento de la Ley General de Telecomunicaciones (LGT).
Supuesta no atención del derecho de oposición a no recibir comunicaciones
comerciales.
Como cuestión previa a contestar a las alegaciones, y respecto del bloque documental
aportado por VDF, señalar que se compone de una serie de documentos entre los que
se encuentran una ?propuesta para VODAFONE el servicio de DESARROLLO Y
HOSTING para control de robinsones en área Door to Door, siguiendo sus
instrucciones en base al Servicio de Gestión de lista Robinsones 2020?, fechado el 17
de agosto de 2020. Tal documento se encuentra sin firmar entre las partes (página 20
de la citada documentación), de tal forma que no se nos acredita que efectivamente tal
propuesta se encuentre implantada.
Asimismo, también aportan un contrato de prestación de servicios del canal presencial
entre VDF y CASMAR que parece que presentan como nuevo modelo a suscribir con
sus proveedores. Este contrato, aunque cumplimentado con los datos de las partes,
tampoco se encuentra ni fechado ni firmado. Tampoco acredita que ese contrato se
esté ejecutando en este momento ni, en su caso, cuáles son las específicas garantías
implantadas sobre los derechos de los afectados con las que se está llevando a cabo.
Tales documentos no prueban la instauración y funcionamiento presente del sistema
que dicen haber implantado (que denominan ?enrutamiento?), ni tan siquiera
corroborado por los pantallazos que presentan en la documentación. Además, a la
fecha continúan incoándose procedimientos sancionadores por los mismos hechos
como consecuencia de las reclamaciones presentadas ante esta AEPD.
El responsable del tratamiento, derivado de su responsabilidad proactiva, debe de
acreditar que ha cumplido, que cumple y que va a cumplir con lo dispuesto en el
RGPD y LOPDGDD. Y para acreditar que cumple en la actualidad no bastan meros
documentos de parte, borradores; se desconoce fehacientemente si ha llevado a
efecto su contenido. La acreditación del cumplimiento debe producirse a través de un
certificado de la propia empresa o con la aportación de los antedichos documentos con
plena validez jurídica (arts. 1254, 1258 y 1261 del Código Civil).
En relación con esto, el Informe 0064/2020 del Gabinete Jurídico de la AEPD atribuye
al responsable del tratamiento, dentro de las obligaciones de la responsabilidad
proactiva, la carga de ??garantizar la protección de dicho derecho mediante el
cumplimiento de todos los principios recogidos en el artículo 5.1 del RGPD,
documentando adecuadamente todas las decisiones que adopte al objeto de poder
demostrarlo?.
Sin perjuicio de lo antedicho, no podemos obviar que el hecho de que estén
implantando este nuevo sistema nos indica que con anterioridad no lo estaban
llevando a cabo, que los colaboradores de VDF no contrastaban con la Lista Robinson,
la lista Robinson interna de VDF ni con la lista Robinson interna de los colaboradores;
y que VDF tampoco controlaba el proceso de contraste, ósea, desconocía si sus
colaboradores estaban cumpliendo con sus instrucciones y con la normativa de
protección de datos.
Recordemos que VDF tiene la obligación de controlar el tratamiento de sus
colaboradores como si lo hiciera él mismo, implantando todo tipo de sistemas y
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
48/97
medidas de seguridad y monitoreo que verifiquen el cumplimiento de sus instrucciones
y el cumplimiento de la normativa de protección de datos.
En los documentos nuevos aportados, siguen con idéntico planteamiento del que han
mantenido a lo largo del procedimiento en cuanto a los encargados del tratamiento.
Esto es, indican en tal documentación que los colaboradores con quienes contratan
llaman en nombre y por cuenta de VDF para ofrecer productos de VDF: ?Que, por lo
anterior, el ámbito de este contrato de prestación de servicios es la promoción door-todoor
de los Servicios en nombre y por cuenta de VODAFONE-ES y de VODAFONEONO?(página 24 de la documentación aportada).
Sin embargo, les obligan a presentarse en su propio nombre y como responsables del
tratamiento: ?Asimismo, el COLABORADOR dispondrá de sus propias bases de datos
de potenciales clientes que deberán cumplir con los requisitos establecidos por la
normativa aplicable en materia de protección de datos y a los que ofrecerá los
servicios de VODAFONE en el caso de que los mismos muestren su interés. Por ello,
el COLABORADOR deberá presentarse ante dichos potenciales clientes en su propio
nombre, como responsable del tratamiento de los mismos, cumpliendo con la
normativa aplicable en materia de protección de datos personales? (página 30 y 31 de
la documentación aportada).
Si los colaboradores usan sus propias bases de datos, entonces VDF los considera
responsables del tratamiento hasta que se tenga que validar la venta. No obstante, lo
anterior, VDF tiene acceso a dichas bases de datos mediante la información que los
números de teléfono que sus colaboradores utilicen: ?El COLABORADOR deberá
informar a VODAFONE en todo momento de todos aquellos números de teléfono que
tanto el COLABORADOR como sus terceros colaboradores utilicen para contactar con
Clientes o posibles Clientes de VODAFONE en el desarrollo de la actividad objeto del
presente contrato. En este sentido, la utilización de números de teléfono no
informados previamente a VODAFONE será entendido como un incumplimiento del
contrato? (página 33 de la documentación aportada).
Podemos observar una clara incongruencia entre estas manifestaciones, lo que
redundará en una indefinición de quién es el responsable y encargado del tratamiento
entre las partes, pudiendo, asimismo, transmitir una información confusa al cliente o
posible cliente sobre quién es el responsable del tratamiento.
Lo cierto es que VDF es la responsable del tratamiento, puesto que, aunque las bases
de datos no sean propias de VDF, la mercantil las controla suministrando instrucciones
para realizar los tratamientos como si fueran propias en el marco de un contrato en el
que el colaborador actúa y trata datos personales por cuenta y en nombre de VDF.
Mención especial hay que hacer respecto de los correos electrónicos intercambiados
por VDF y sus colaboradores y que han sido aportados con esta documentación. En
un correo electrónico de fecha 30 de julio de 2019 VDF indica a CASMAR, cuando
utilicen sus propias bases de datos, que ?Por otro lado, en el caso de que realicen
llamadas utilizando sus propias bases de datos, no facilitadas por Vodafone deberá
asegurarse de:
- Que cuentan con la aprobación previa y expresa de Vodafone para realizar dichas
llamadas.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
49/97
- Que disponen de los datos de forma lícita, informando y obteniendo el
consentimiento de los titulares para poder realizar acciones comerciales en nombre de
Vodafone. Les recordamos que está prohibido el uso de bases de datos con fines de
captación en nombre de Vodafone que no cumplan este requisito.
- Filtrar sus bases de datos con las listas Robinson públicas, por ejemplo la gestionada
por ADigital, con carácter previo al inicio de la campaña.
- No utilizar medios de comunicación que no hayan sido consentidos por los
destinatarios de la campaña?, (página 54 de la documentación aportada).
Así se pone de manifiesto que realizan acciones comerciales en nombre de VDF. El
colaborador no ostenta ningún interés propio respecto del resultado de la operación,
salvo la compensación económica que va a recibir por tal servicio.
Que, antes de realizar las llamadas, tienen que verificar que cuentan con la aprobación
de VDF. Las bases de datos, entonces, se elaboran por los colaboradores
específicamente para VDF, pues han de contar con su aprobación previa y pasar por
diversos filtros. En ese momento los colaboradores ya son encargados del tratamiento.
En el mismo correo indican que ?En ambos escenarios-bases de datos de VDF y
bases de datos del colaborador-, es fundamental, que el colaborador:
- Proporcione un medio sencillo para que cualquier destinatario de la campaña pueda
comunicar su voluntad de no continuar recibiendo llamadas o mensajes comerciales
en nombre de Vodafone.
- Trasladar a Vodafone inmediatamente los datos de aquellos destinatarios que les
hayan comunicado que no desean recibir más comunicaciones comerciales y
asegurarse de que no vuelven a contactar con ellos en futuras emisiones?.
Este mandato de VDF, cualesquiera que sean las bases de datos que utilicen los
colaboradores (propias de los colaboradores y elaboradas para VDF), pone de
manifiesto de nuevo que el colaborador es encargado del tratamiento desde el
principio. Que, aunque VDF les indique en el nuevo modelo de contrato que son
responsables del tratamiento y que ?el COLABORADOR deberá presentarse ante
dichos potenciales clientes en su propio nombre, como responsable del tratamiento de
los mismos?, lo cierto es que les manda que el derecho de oposición se pueda ejercer
ante el colaborador frente a VDF. Esta circunstancia pone de manifiesto que están
tratando datos personales por cuenta y en nombre de VDF.
Previa R) En cuanto a la reiteración de las alegaciones presentadas, se debe
señalar que ya han sido contestadas en la Propuesta de Resolución y que figuran en
el FD II de la presente Resolución.
No obstante, se debe insistir en que los 15 expedientes objeto del segundo envío
notificado en noviembre de 2020 no se corresponden con quince expedientes
adicionales, sino se debe a la subsanación material de documentación incompleta por
así considerarlo el órgano instructor, a fin de subsanar deficiencias y evitar en todo
momento vulnerar el derecho a la defensa en aras del principio de transparencia que
debe presidir toda actuación administrativa.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
50/97
En cuanto a la falta de evidencias e imputación de infracciones por meras
suposiciones, se debe señalar que de la documentación que obra en el expediente se
infiere de forma indubitada los hechos ahora sancionados. No sólo a través de la
inspección presencial efectuada en el mes de septiembre de 2019 en la sede de VDF
y que así consta en el Acta de Inspección, sino de la documentación adjunta al citado
Acta y en la documentación facilitada por los reclamantes y que obra completa en el
expediente.
La falta de motivación, alegada de forma genérica, en la contestación a las
alegaciones por el órgano instructor no puede ser admitida toda vez que la motivación
ha sido razonada y suficiente para cada una de las alegaciones presentadas y
conforme a lo dispuesto en el artículo 35.1 de la Ley 39/2015. Lo que no ha sido
desvirtuado por VDF han sido los hechos ahora analizados tras presentar esta AEPD
pruebas suficientes que acreditan los hechos imputados.
En cuanto a clasificar a todos los ?colaboradores? (sic) como encargados del
tratamiento cuando según VDF no lo son, se debe insistir en lo dispuesto en la propia
definición de ?Responsable del tratamiento? e informes de esta AEPD y del Comité
Europeo de Protección de Datos y que se detallan y desarrollan en los FD de esta
Resolución.
Respecto a la alegación de que la contratación por VDF de sus encargados del
tratamiento es acorde con lo dispuesto en el art. 28 del RGPD, se debe rechazar de
plano, por cuanto en los FD de la presente Resolución (y en la Propuesta de
Resolución) se explica y detalla de forma minuciosa los motivos por los que VDF ha
vulnerado el citado artículo 28.
VDF alega también, que la infracción del artículo 44 del RGPD (Transferencia
Internacional de Datos sin las debidas garantías exigidas por el RGPD) no consta en el
Acuerdo de Inicio cuando la AEPD ya contaba con toda la documentación desde la
fase de investigación. Esta alegación sebe ser rechazada toda vez que el acuerdo de
inicio se ajusta a lo dispuesto en el artículo 64 de la Ley 39/2015 de 1 de octubre, del
PACAP, en donde el apartado 2.b) in fine indica de forma expresa ?? sin perjuicio de
lo que resulte de la instrucción?. Dicho artículo se complementa con lo dispuesto en el
artículo 89.3 de dicha norma cuando señala que ?En la propuesta de resolución se
fijarán de forma motivada los hechos que se consideren probados y su exacta
calificación jurídica, se determinará la infracción que, en su caso, aquéllos constituyan,
la persona o personas responsables y la sanción que se proponga, la valoración de
las pruebas practicadas, en especial aquellas que constituyan los fundamentos
básicos de la decisión, así como las medidas provisionales que, en su caso, se
hubieran adoptado??.
VDF también alega que no se han valorado las condiciones específicas en las que se
realizan las reclamaciones relativas al incumplimiento de la LSSICE. La alegación
debe ser rechazada puesto que la acreditación de que la comunicación electrónica ha
sido solicitada o expresamente autorizada no ha sido constata por VDF en ningún
momento incluso a lo largo del presente procedimiento, según indica el artículo 21.1
de dicha norma.
Respecto de la alegación sobre falta de acreditación del incumplimiento del artículo
48.1.b) de la LGT, se debe señalar que ha quedado acreditado y así obra en la
documentación del expediente respecto de las pruebas realizadas que en nombre y
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
51/97
por cuenta de VDF se realizaron llamadas comerciales a líneas que figuraban en los
listados de exclusión publicitaria (Robinson), en contra de lo dispuesto en el artículo 23
de la LOPDGDD.
Por último, y agrupando las tres últimas alegaciones previas (9,10 y 11), se debe
significar que todas y cada una de las infracciones imputadas en el presente
procedimiento han sido suficientemente razonadas y motivadas, así como que en todo
momento se ha justificado la proporcionalidad de la sanción habiendo, además, sido
advertido VDF en la Propuesta de Resolución de que de haberse incoado expedientes
independientes la sanción sería de mayor cuantía.
También alega actuación arbitraria por parte de la AEPD en la tramitación del
procedimiento sancionador. En este sentido, señalar que, en primer lugar, no concreta
la actuación arbitraria que alega y, en segundo lugar, el procedimiento sancionador se
ha tramitado de la forma legalmente exigida conforme a la normativa aplicable en cada
infracción imputada y conforme a lo dispuesto en la Disposición Adicional cuarta de la
LOPDGDD. En consecuencia, la alegación debe ser rechazada.
1R)
a) publicitarias que garantiza los derechos de los afectados>.
Lo alegado no consta acreditado, y en caso de que así sea, los hechos a los que el
presente procedimiento hace referencia son previos a la supuesta implantación de
dicho sistema, por lo que no procede su análisis a los efectos de las infracciones ahora
sancionadas, sin perjuicio de que en el futuro sea objeto de valoración en el caso de
que se acredite su implantación y sea conforme a lo dispuesto en el RGPD, LGT y
LSSICE.
Además, se debe hacer constar que el supuesto nuevo sistema implantado de
?enrutamiento? de forma progresiva y culminando su supuesta implantación en febrero
de 2020, no consta que haya sido efectivo toda vez que continúan a la fecha
recibiéndose reclamaciones por los mismos motivos a esta AEPD. Y, a mayor
abundamiento, siguen recibiéndose reclamaciones adicionales o complementarias de
los ahora reclamantes por los mismos hechos sin que conste acción alguna por VDF,
en calidad de responsable de los tratamientos de datos imputados, por mitigar o
minimizar los efectos de la vulneración de su derecho fundamental a la protección de
datos, consagrado en la C.E. en su artículo 18.4, y desarrollado en el RGPD y
LOPDGDD, así como en la LGT y LSSICE, aun teniendo conocimiento a través del
presente procedimiento se sus identidades y hechos objeto de reclamación.
En este sentido, y a efectos meramente informativos, constan nuevas reclamaciones
complementarias a las ya efectuadas de los siguientes reclamantes:
Ñ.Ñ.Ñ., E/10495/2019, en fecha 16/09/2020, NRE: e2000002161.
O.O.O., E/07697/2018 y E/05544/2019, en fecha 11/06/2020, NRE: 019495/2020.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
52/97
P.P.P., E/01633/2019, en fecha 30/09/2020, NRE: e2000003876.
Q.Q.Q., E/07183/2019, E/04493/2019, en fecha 26/09/2020, NRE: e2000003364.
R.R.R., E/08276/2019, en fecha 28/10/2020, NRE: e2000007996.
S.S.S., E/08043/2019, en fecha 13/10/2020, NRE: e2000005754.
T.T.T., E/08276/2019, en fecha 28/10/2020, NRE: e2000007996.
U.U.U., E/07106/2019, en fecha 17/11/2020, NRE: e2000010906.
b) destinatarios>.
En este sentido, se insiste en que los expedientes en los que no se acredita la acción
comercial indebida se han retirado de valoración por varios motivos ya señalados
anteriormente. Se debe aclarar una vez más, que consta en la documentación del
expediente llamadas a numeraciones no incluidas en los sistemas de exclusión
publicitaria, pero que en la contestación al requerimiento de esta AEPD se ha
manifestado por parte de VDF la inclusión en los sistemas de exclusión publicitaria y/o
en sus sistemas de exclusión de la línea receptora, motivo por el que figuran en el
anexo.
Este tipo de afirmaciones por parte de VDF ha dado lugar, en los expedientes
concretos en los que se ha realizado tal afirmación, a una resolución favorable por
parte de esta AEPD, por lo que ahora no procede alegar lo contrario al albur de lo que
más interesa en cada momento. VDF añade que la entidad CASMAR (haciéndolo
extensible al resto de entidades intervinientes) es responsable de las bases de dados
de las numeraciones receptoras y sin que VDF haya intervenido aun siendo la
responsable del tratamiento. Esta alegación debe ser rechazada de plano con base en
la propia definición de ?responsable del tratamiento? del artículo 4.7 del RGPD, y
porque la propia VDF afirma su no intervención en el tratamiento cuando es la
responsable de este.
c) gestionadas directamente por VDF (SMS y email) pudiendo cursar la baja>
Al respecto, se debe insistir en que el art 21.1 de la LSSICE exige ?solicitud o
autorización expresa? para realizar la acción publicitaria, sin perjuicio del cumplimiento
de otros requisitos, y tal solicitud o autorización expresa no consta acreditada por VDF
que como responsable del tratamiento es la obligada a acreditarlo.
VDF relaciona una serie de referencias de expedientes en los que señala que los
afectados no ejercieron derecho alguno. Al respecto, y analizadas las referencias
señaladas se significa que una vez hecha la comprobación, o bien si se encuentran en
el listado Robinson, se refieren a la falta de autorización expresa, el afectado acredita
haber ejercido sus derechos, o bien VDF no contestó al requerimiento de información
realizado desde la Inspección de esta Agencia (E/07056/2019 y E/08284/2019)
estando obligado a ello.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
53/97
Añade VDF que son los encargados los que deben realizar las oportunas consultas a
las listas de exclusión publicitaria. Al respecto, se debe insistir de nuevo que el
responsable del tratamiento, en este caso VDF, está obligada, en virtud de los
dispuesto en el art 28 del RGPD, a contratar con aquellas entidades encargadas con
capacidad técnica y organizativa suficiente para llevar a cabo el encargo y VDF ser
capaz de monitorear todo el tratamiento encargado a fin de que los tratamientos objeto
de encargo se ajusten en puridad al RGPD y LOPDGDD.
d) a VFD>.
En este sentido, se debe señalar y corregir el error material ortográfico, que dicho
expediente se refiere al de referencia PS/00290/2018 tal y como consta en el Acuerdo
de Inicio, y del que VDF tiene pleno conocimiento desde el principio del presente
procedimiento.
e) VDF alega que se le imputa una falta de colaboración generalizada con la
AEPD. En este sentido, ya consta contestada la alegación en el apartado c) anterior,
por cuanto VDF no ha contestado a varios requerimientos de información en fase de
investigación previa emitidos por esta AEPD, dando lugar su falta de contestación al
inicio de actuaciones inspectoras.
f) Al respecto, se debe significar que durante el trámite de inspección previa en 2019,
quedó acreditado que VDF no cumplió con el deber de informar a los encargados de
las deficiencias que VDF debió detectar en los tratamientos objeto de encargo ni
tampoco impuso las medidas correctoras adecuadas, a lo que estaba obligado en
calidad de responsable del tratamiento, para evitar en el futuro la repetición de las
deficiencias en los tratamientos, bien porque las desconocía, bien porque simplemente
no exigió su corrección y ajuste de medidas acorde con el RGPD.
En este sentido, consta un correo electrónico enviado en el mes de julio de 2019 a
algunos de los encargados, no a todos ni tampoco a los subencargados, en el que se
les informa de la obligación de cruzar sus ficheros con las listas de exclusión
publicitaria en el que no se imponían medidas correctoras, cuando en esa fecha VDF
ya tenía conocimiento de las reclamaciones efectuadas por los reclamantes ante esta
AEPD.
Asimismo, consta otra misiva informativa posterior, en noviembre de 2020, con más
información sobre el cumplimiento de sus obligaciones en el que explica a los
encargados, y no a los subencargados, el nuevo sistema de enrutamiento que se está
implantando, con fecha de finalización febrero de 2020, para la realización de acciones
de mercadotecnia, pero continua sin exigir e imponer las medidas correctoras
adecuadas para evitar en el futuro la repetición de las deficiencias aun cuando, se
insiste, en esa fecha VDF ya tenía conocimiento de las reclamaciones efectuadas por
los reclamantes ante esta AEPD e incluso ya se había realizado la inspección
presencial por la Inspección de esta AEPD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
54/97
Al respecto, se debe insistir en que, en cuanto al primer correo electrónico de julio de
2019, la información era parcial y con no con carácter general a todos los encargados,
y que estos informaran a su vez los subencargados, sino era un correo electrónico
concreto a determinados encargados que, aun así, no consta que se cumplieran las
obligaciones de las que informaba ni imponía medidas correctoras, toda vez que
continuaron las reclamaciones.
Respecto a la segunda misiva informativa de noviembre de 2020, se debe recalcar en
que es muy posterior a las investigaciones llevadas a cabo en el seno del presente
expediente. En consecuencia, la efectividad del citado correo electrónico no fue más
allá que una comunicación informal sin ánimo de obligatoriedad y de distribución
parcial toda vez que no imponía medidas correctoras.
Los correos electrónicos qué VDF envía a algunos de sus encargados de tratamiento
recordándole sus obligaciones en materia de Protección de Datos son insuficientes en
el marco de la responsabilidad proactiva. Resulta claramente perceptible la
insuficiencia de las ?medidas? adoptadas por el hecho indubitado de que la
problemática examinada en este procedimiento sancionador se sigue produciendo sin
solución de continuidad.
Pero es que, además, la dejación de sus obligaciones se muestra de la simple
comparación de las medidas que VDF habría adoptado si encargados del tratamiento
hubieran incumplido cualquiera de los términos que constituyen el núcleo duro del
objeto del contrato (campañas de mercadotecnia). VDF no se hubiera limitado a enviar
correos recordatorios de que tienen que ejecutar el contrato, sino que hubiera
impuesto penalidades o incluso procedido a la resolución del contrato. La misma
diligencia es la que tiene que aplicarse respecto de la responsabilidad proactiva y la
Protección de Datos.
En consecuencia, procede rechazar la alegación al hacer quedado acreditado la falta
de diligencia debida por el responsable (VDF) en el seguimiento y monitoreo de los
tratamientos de datos objeto de encargo.
g) Sobre la condición de responsable o encargados de las entidades intervinientes
en los tratamientos llevados a cabo en nombre y por cuenta de VDF ya se ha
contestado en la Propuesta de Resolución. No obstante, la contestación se reitera y
amplía en los Fundamentos de Derecho de la presente resolución.
2R) Se debe señalar que ya se ha contestado a esta alegación, por lo que se insiste en
que el ámbito de aplicación de LGT y LSSICE incluye a las personas jurídicas. El
hecho de que se hayan retirado expedientes (29 en total, de los 191 iniciales) ya ha
sido objeto de contestación en el sentido de que la retirada se debe a incertidumbre en
los datos, y no por el motivo alegado de corresponder a personas jurídicas y siempre
en aras de la transparencia que debe presidir toda actuación administrativa.
escritos de contestación a los requerimientos de información afirmaba lo contrario y
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
55/97
aceptaba su inclusión, informando a esta AEPD que en lo sucesivo se incluían en el
listado interno de VDF de exclusiones.
Respecto de los expedientes ajenos a VDF, ya se ha contestado que sólo afectaba a
dos y ya han sido retirados de valoración en el presente procedimiento, encontrándose
entre los 29 omitidos en el Anexo.
El hecho de retirar un 15% de expedientes de valoración, no supone una disminución
de la culpabilidad en los hechos imputados, pues se imputa infracción del RGPD (junto
a las de la LGT y LSSICE) tipificada en el art 83.4 en que se dispone como límite
máximo de sanción administrativa la cuantía de 10.000.000 (o 2% de la facturación
anual). Además, ya se ha indicado que de haber incoado procedimientos
sancionadores independientes la cuantía hubiera sido mayor a la ahora sancionada,
incluso si se hubiera aplicado la derogada LOPD. No hay que olvidar que el legislador
europeo ha modificado la cuantía de las sanciones y ahora es la normativa aplicable.
La cuantía de la sanción se encuentra motivada y ajustada a derecho dentro de los
criterios discrecionales seguidos por la doctrina de esta AEPD sin que en ningún
momento puedan calificarse de arbitrarios. En este sentido, se debe añadir que las
sanciones del RGPD son diferentes a las de la derogada LOPD, resultando ser del
orden de quince veces superiores por mandato del legislativo europeo, por lo que no
son cuantías comprables. Además, el artículo 83.4 RGPD ahora imputado, permite
imponer cuantías hasta el 2% del volumen global de negocio total anual que, en este
caso, es del orden de 1.600 millones, por lo que la cuantía máxima establecida
legalmente en el RGPD podría ser de 32 millones de euros, y el doble en el caso del
83.5 RGPD, cuando la ahora impuesta es de 4 y 2 millones de euros, respectivamente,
es decir, la quinta (o décima parte en la infracción del art 44 del RGPD) parte sobre la
máxima aplicable. En consecuencia, la cuantía de la sanción administrativa impuesta
(art 58.2.i RGPD) es proporcional a los hechos imputados.
En cuanto a los expedientes alegados, se significa lo siguiente:
Respecto al E/04471/2018 se encuentra la línea en el sistema de excusión publicitaria
según consta en el expediente y acreditado por el reclamante con número de registro
de entrada (NRE): 199267/2018.
Respecto de los expedientes E/07183/2019 y E/07940/2019, constan imputados los
códigos (primera columna del anexo) RDC y RD, respectivamente, y acreditado por la
documentación obrante en el expediente.
ante VDF se afirmó que las entidades citadas forman parte del Grupo VDF en España
y que en lo referido a las acciones de mercadotecnia se rigen por el mismo
procedimiento y que a dicho Grupo lo representaba Vodafone España SAU, pues era
la responsable de las decisiones de los tratamientos de las restantes.
Y así consta en el Acta de Inspección:
página 2 Acta de Inspección,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
56/97
ESPAÑA S.A.U., (VDF en lo sucesivo) VODAFONE ONO, S.A.U (VDFONO en lo
sucesivo) y VODAFONE ENABLER ESPAÑA, S.L (LOWI en lo sucesivo), en lo
referido a las acciones de mercadotecnia directa, en concreto a la gestión de
campañas de captación, con carácter general se rigen por el mismo proceso, (con
pequeñas diferencias relativas por ejemplo a proveedores de televenta (TVTA en lo
sucesivo). ?
En cuanto al proceso de unificación de los sistemas de información entre VDF y
VDFONO, el proceso respecto del segmento ?particulares? está finalizado, mientras
que el proceso respecto del segmento ?empresas? está en la actualidad en suspenso
hasta tener las verificaciones oportunas de su correcto funcionamiento en el segmento
?particulares?. Los sistemas de gestión de clientes (CRM en lo sucesivo) de LOWI
continúan siendo independientes>>).
Al respecto, se debe insistir en lo ya dicho con anterioridad que la decisión por VDF de
seguir en la actualidad trabajando con las entidades encargadas del tratamiento que
ya prestaban el servicio en ONO antes de la fusión con VDF (en fecha 10/01/2018),
acredita que la responsable de las operaciones de tratamiento analizadas en el
presente procedimiento llevados a cabo por ONO desde la citada fecha es VDF. Por tal
motivo, las infracciones analizadas en el presente procedimiento se imputan
íntegramente a VDF al ser la entidad que decide los fines y medios, sin perjuicio de
que los sistemas de información de gestión de clientes de Lowi continúe siendo
independiente.
significa que al reclamante de siglas J.J.J. le corresponde la referencia E/01489/2019.
Respecto al reclamante de siglas L.L.L. le corresponden las referencias E/07671/2018
y la referencia de investigación posterior E/04688/2019, así como las referencias
E/08243/2018 y E/07690/2018. Respecto al reclamante de siglas M.M.M., le
corresponden la referencia E/01633/2019. Y respecto al reclamante de siglas N.N.N.
las referencias E/10149/2018 y la de las actuaciones de investigación posteriores
E/07960/2019, así como las referencias de expedientes E/07775/2019 y
E/07960/2019. No obstante, esta alegación no afecta al fondo del asunto, limitándose
a plasmar unas correcciones cuando lo importante hubiera sido entrar en el expediente
y dirimir las cuestiones planteadas en la reclamación, que no son otras que la
vulneración del derecho fundamental a la protección de datos de los reclamantes y
corregir, ahora sí, las deficiencias organizativas y técnicas de las que traen causa las
reclamaciones, o en su caso, minimizar su impacto.
?expedientes? (apartado 5), se debe señalar lo siguiente lo mismo que en el anterior
párrafo, que ahora se corrige, y que debe figurar el expediente de referencia
E/09407/2018.
No obstante, detectados los citados errores materiales en el Anexo, y que ahora se
corrigen, se debe señalar que no afectan ni cuantitativamente ni sobre el fondo del
asunto planteado en este procedimiento ni causan indefensión alguna por cuanto los
reclamantes son los mismos y se encuentran en el seno del presente procedimiento,
por lo que tras su corrección conforme al art 109.2 de la Ley 39/2015, de PACAP, la
alegación debe ser rechazada.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
57/97
En el apartado 6 de la misma alegación, se insiste en falta de documentación de los
expedientes de referencia E/07608/2018, E/07190/2019 y E/07188/2018 (este último
no ha sido encontrado afecto al procedimiento, por lo que debe ser errónea la
referencia aportada). Respecto de los dos primeros, de reclamantes con siglas FJJN y
FRPM respectivamente, se debe señalar que no consta que la información facilitada
por esta Agencia haya sido incompleta tras la subsanación realizada por la Instrucción
con el segundo envío de documentación en noviembre de 2020. En consecuencia, la
alegación debe ser rechazada.
Por último, en el apartado 6 de la alegación segunda, se añade que procedimiento, por lo que nuevamente la conducta de la AEPD ha sido arbitraria>.
Al respecto, no consta en esta Agencia los hechos referenciados, por lo que la
alegación debe ser rechazada, y respecto a la arbitrariedad señalar que la Propuesta
de Resolución ha sido razonada y ajustada tanto en forma como en fondo a la
normativa legalmente establecida, por lo que no se observa una conducta arbitraria o
carente de fundamento por parte de la AEPD.
3R) VDF alega, defensa de la entidad alegante>.
Al respecto, hay que añadir que la contestación por el órgano instructor a las
alegaciones vertidas por VDF tras el acuerdo de inicio del presente procedimiento,
fueron contestadas en su integridad y suficientemente razonadas. Volvemos a traer a
este punto los razonamientos ya expuestos en esta resolución sobre lo que realmente
constituye falta de motivación y que puede producir indefensión, y que, no se produce
en el supuesto examinado.
No obstante, añadir que respecto de la alegación formulada por VDF de que parece no tomar en cuenta que se trata de entidades terceras y que los controles han
de respetar la regulación vigente en materia mercantil y laboral. El nivel de control
pretendido por la AEPD (continuo, permanente y auditado) no sólo no cuenta con
sustento legal, sino que supondría una intromisión en la actividad de los colaboradores
que difícilmente se puede ejecutar sin transgredir dichas normativas (i.e. posible
indicio de cesión ilegal de trabajadores de esas empresas hacia las empresas
principales). Especialmente considerando que el criterio de la AEPD para valorar si un
control es adecuado o no, es únicamente el de su resultado y, a su parecer, solo goza
de tal condición si es absolutamente infalible?>, se debe señalar que no se produce
ninguna transgresión en las actividades de los colaboradores porque no se incide en
su actividad mercantil, sino sólo en lo que afecta al tratamiento de datos de carácter
personal.
El responsable del tratamiento es el que tiene la capacidad de determinar los fines y
los medios del tratamiento y en tal lid se suscribe un contrato de encargado del
tratamiento. Indicar los medios del tratamiento, cómo se tiene que llevar a cabo el
mismo mediante las correspondientes instrucciones y cómo se comprueba que se está
ejecutando de la forma encomendada no implica ni más ni menos que delimitar
elementos propios de la contratación que se está llevando a cabo entre ambas
entidades.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
58/97
No habría en ningún caso esa cesión ilegal de trabajadores que alegan. Primero,
porque no parece concurrir ninguna de las circunstancias legalmente previstas para
ello según deviene del art. 43 del Real Decreto Legislativo 2/2015, de 23 de octubre,
por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (a
partir de ahora, ET); así ni el objeto de los contratos de servicios entre las empresas
se limita a una mera puesta a disposición de los trabajadores de la empresa cedente a
la empresa cesionaria, ni la empresa cedente carece de una actividad o de una
organización propia y estable, o no cuenta con los medios necesarios para el
desarrollo de su actividad, o no ejerce las funciones inherentes a su condición de
empresario: aquí nos encontramos con dos personas jurídicas distintas que poseen su
propia estructura organizativa, donde no hay confusión posible entre ambas.
Y, segundo, porque el responsable del tratamiento no remite instrucciones ni mandata
a los empleados del encargado, sino al encargado mismo, quien ejercerá como
considere el poder de dirección sobre sus propios empleados (art. 20.3 del ET).
Sin perjuicio de ampliar la contestación de los siguientes apartados de la alegación en
los Fundamentos de Derecho siguientes y de las ya contestadas durante el
procedimiento sancionador y que ya se ha incluido más arriba en la presente
resolución, se procede ahora a contestar de forma sucinta:
Respecto a la inclusión errónea de expedientes, ya se ha contestado, no sin insistir
ahora en que la retirada de 29 expedientes no ha sido motivada por la ?inclusión
errónea de expedientes?, sino en aras de la transparencia, y solo en dos casos y que a
través de la audiencia facilitada a VDF por la instrucción a la documentación del
expediente ha sido corregido,
En cuanto a la exposición confusa y desordenada del acuerdo de inicio, señalar que la
alegante no ha solicitado práctica prueba alguna a fin de aclarar, a su juicio,
deficiencias que le impidan ejercer su derecho a la defensa, cosa que si ha hecho el
órgano instructor a fin de evitarlo. Se debe añadir que la documentación enviada a
VDF en marzo de 2020 consta debidamente ordenada por orden de fecha de entrada
en esta AEPD.
Respecto al filtrado previo de la base de datos de VDF señalar, tal y como ha quedado
acreditado (Inspección Presencial de septiembre de 2020), que en ninguno de los caos
este filtrado ha sido satisfactorio. Ni en las Bases de datos propiedad de VDF, toda vez
que entregadas a los encargados estos no filtraban con los listados de exclusión
ejercidos ante ellos, ni en las bases de datos procedentes de los encargados puesto
que no se filtraban con los listados de exclusión de VDF. En ambos casos, se producía
una carencia total de comunicación entre los intervinientes del tratamiento (VDF y
encargados y viceversa) como consecuencia de los deficientes medios organizativos y
técnicos establecidos en los protocolos de comunicación entre las entidades, que
simplemente no existían, y que su correcta implantación era responsabilidad de VDF
en calidad de responsable de los tratamientos llevados a cabo entre las entidades
intervinientes. Todo ello ha dado lugar a la vulneración de las garantías y derechos de
los afectados de forma sistemática y sin que el responsable (VDF) lo detectara y en su
caso, corrigiera. Además, es materialmente imposible que los encargados siguieran
las instrucciones del responsable (VDF) simplemente porque estas instrucciones o
eran confusas, o eran escasas o no existían, lo que no puede aceptarse de una
entidad como VDF que es una de las primeras operadoras de telecomunicaciones del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
59/97
país con millones de abonados y, al menos se supone, con experiencia suficiente y
vinculada con la realización de tratamientos de datos personales. En resumen, VDF no
intervino, debiendo imperativamente intervenir, en obligar a los encargados en todo
momento a respetar las garantías y derechos que impone el RGPD.
Se debe añadir que, respecto a la LGT, el derecho de oposición debe interpretarse
conforme al RGPD y LOPDGDD, mientras que conforme la LSSICE es necesario
autorización previa para comunicaciones electrónicas. En ambos casos, tampoco
consta implantado por el responsable (VDF) los adecuados protocolos de
comunicación entre las diferentes entidades intervinientes a fin de garantizar los
derechos de los afectados, a pesar de estar legalmente obligado a ello.
En cuanto a que VDF implementará el rechazo de contrataciones que no cumplan el
protocolo establecido por VDF, se debe señalar que, en primer lugar, ese protocolo
debe existir conteniendo instrucciones y mandatos pormenorizados que de forma
clara eviten cualquier desvío de actuaciones; y en segundo lugar, y en lo que ahora
afecta, no basta con el rechazo de las contrataciones que vulneren ese tipo de
protocolos establecidos, sino que lo que hay que evitar es que se llegue a esa
situación vulnerando previamente las garantías y derechos de los afectados.
Respecto del nuevo sistema de ?enrutamiento? supuestamente implantado por VDF de
forma progresiva y con fecha de finalización en febrero de 2020, ya se la dicho en esta
Resolución que ni está acreditado ni existen indicios de que lo esté, toda vez que los
propios reclamantes de los expedientes de este procedimiento han presentado con
posterioridad a esa fecha nuevas reclamaciones complementarias a la inicial y
continúa la AEPD recibiendo reclamaciones por los mismos hechos u a la fecha, en
concreto un años después. Todo ello denota que, o el nuevo sistema no se ha
implantado, o en su caso, es altamente ineficiente por lo que se debería reconsiderar
su estructura y funcionamiento. La conculcación de los derechos de los interesados se
sigue produciendo.
Alega VDF que no se han implantado medidas correctivas porque los hechos son
?esporádicos y excepcionales? (sic). Basta con recordar los más de cuarenta
expedientes sancionadores incoados en los dos últimos años a VDF por esta AEPD y
el elevado porcentaje de medios materiales y humanos que está utilizando esta AEPD
para salvaguardar o restablecer el derecho fundamental a la protección de datos y
garantías de los afectados como consecuencia de las numerosas reclamaciones que
se reiteran ante esta AEPD contra VDF. En consecuencia, calificar de ?esporádicos y
excepcionales? los hechos ahora analizados no puede admitirse.
En cuanto a que la AEPD no ha acreditado las infracciones cometidas, el presente
procedimiento trata de ello y así constan debidamente documentadas, y por no por
meras suposiciones como alega, sino por hechos objetivos que parten acreditados
desde la documentación aportada por los reclamantes como de las investigaciones
llevadas a cabo por esta AEPD, y que VDF no ha podido desvirtuar.
4R) Sobre el Responsable del Tratamiento conforme señala el art 24 del RGPD, es
un concepto amplio, que trata de procurar una protección eficaz y completa a los
interesados.
Así lo ha determinado la jurisprudencia del TJUE. Por ejemplo, las STJUE en el asunto
Google-Spain de 13 de mayo de 2014, C-131/12, considera en un sentido amplio al
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
60/97
responsable del tratamiento para garantizar ?una protección eficaz y completa de los
interesados?.
De igual forma tal protección eficaz y completa se tiene que desplegar en el supuesto
de que el tratamiento de datos lo efectúe el responsable del tratamiento a través de un
encargado del tratamiento, pues si no, se estaría violando la letra y la finalidad del
RGPD. Se estaría produciendo una ?huida? del derecho de protección de datos.
Así, en el Informe del Gabinete Jurídico de la AEPD de 20 de julio de 2006 se colige
que ?lo importante para delimitar los conceptos de responsable y encargado de
tratamiento no resulta ser la causa que motiva el tratamiento de estos, sino la esfera
de dirección, control u ordenación que el responsable pueda ejercer sobre el
tratamiento de los datos de carácter personal que obran en su poder en virtud de
aquella causa y que estaría enteramente vedado al encargado del tratamiento?; en
nuestro caso, el control, dirección y ordenación del tratamiento corresponde a VDF.
Cuando los encargados utilizan bases de datos propias no decae el control, dirección y
ordenación de VDF, en cuyo nombre y representación llaman a posibles clientes. El
encargado no decide sobre la finalidad de sus bases de datos, sino que es VDF quién
les indica para qué pueden utilizarlas y deben hacerlo.
El art. 33.2 de la LOPDGDD indica que se consideran responsables y no encargados
los que ?en su propio nombre y sin que consten que actúen por cuenta de otro
establezca relaciones con los afectados?; lo que, interpretado en sentido contrario,
supone que es encargado quien en nombre del responsable establece relaciones con
los afectados. Ello es independientemente de si para ello es preciso acceder a datos
por cuenta de terceros.
El encargado, para serlo, no ostenta ningún interés propio respecto del resultado del
tratamiento objeto de encargo, sin perjuicio de la compensación económica que recibe
por el servicio prestado y que es lo que acontece en el supuesto examinado. Los
encargados no tienen ningún interés propio, actúan por cuenta y en nombre del
responsable, cumpliendo sus órdenes y para las finalidades de éste, y esto es lo que
determina que sean encargados desde el principio. El uso de bases de datos propias o
ajenas en nada cambia tal percepción.
En este sentido, el Informe 0064/2020 del Gabinete Jurídico de la AEDP (de fecha
18/12/2020) establece que ?Asimismo, otro criterio a considerar es si la entidad
involucrada en el tratamiento no persigue ningún fin propio en relación con el
tratamiento, sino que simplemente se le paga por los servicios prestados, ya que en
este caso, actuaría, en principio, como encargado más que como responsable
(apartado 60)? - Directrices 07/2020 del Comité Europeo de Protección de Datos
(CEPD) sobre los conceptos de responsable del tratamiento y encargado en el RGPD
(pendientes en este momento de adopción definitiva tras haber finalizado el proceso
de consulta pública) de 2 de septiembre de 2020-.
Respecto la no aplicación de la citada STS 1562/2020, hemos de significar que si
resulta ser de aplicación al presente caso puesto que lo que pone de manifiesto es que
a los efectos de la normativa de protección de datos una entidad es encargado de
tratamiento, aunque trabaje con sus propias bases de datos. La situación es la misma
que en la que ahora nos encontramos, con la diferencia de que VDF en idéntica
circunstancia ha entendido que sus colaboradores no son encargados de tratamiento
sino responsables del tratamiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
61/97
Es meridianamente claro que se es responsable del tratamiento cuando se decide
sobre los medios y fines del tratamiento. VDF alega de contrario que ?no puede ser
responsable del tratamiento de la práctica totalidad de los datos personales objeto de
análisis en el presente procedimiento, en tanto no es la entidad que facilita las bases
de datos en cuestión, no pone los medios a los colaboradores para realizar el
tratamiento de los datos, ni tampoco decide, ni fija en modo alguno, los parámetros
identificativos de los destinatarios de la acción comercial, siendo esta realizada de
forma completamente independiente, y a su mejor criterio, por parte de los
colaboradores?. Sin embargo, sí está determinando los medios del tratamiento cuando
elige que los colabores utilicen sus propias bases de datos, especialmente elaborados
para VDF, y les permite cierto margen de actuación respecto de los parámetros
identificativos de los destinatarios de la acción comercial.
Ratificando lo anterior, el Informe 0064/2020 del Gabinete Jurídico de la AEDP (de
fecha 18/12/2020) asevera que ?En todo caso, deberá analizarse detenidamente y en
profundidad la relación jurídica establecida entre las partes al objeto de identificar
quién determina los fines y los medios, para lo que las reiteradamente citadas
Directrices del CEPD dan distintos criterios que pueden servir para fijar dichas
posiciones, partiendo de que la palabra ?determinar? implica ejercer realmente una
influencia sobre los fines y medios, para lo que no es óbice que el servicio se defina
de una manera específica por el encargado, siempre que al responsable se le
presente una descripción detallada y pueda tomar la decisión final sobre la forma en la
que se realiza el tratamiento y poder solicitar cambios en caso de ser necesario, sin
que el encargado pueda introducir posteriormente modificaciones en los elementos
esenciales del tratamiento sin la aprobación del responsable (apartado 28) o que se
reconozca un cierto margen de maniobra al encargado para tomar algunas decisiones
en relación con el tratamiento (apartado 35) pudiendo dejarse al encargado la toma de
decisiones sobre medios no esenciales (apartado 39), de modo que el encargado no
deberá tratar los datos de otra manera que no sea de acuerdo con las instrucciones
del responsable, sin perjuicio de que dichas instrucciones puedan dejar cierto grado
de discreción sobre cómo servir mejor a los intereses del responsable permitiendo al
encargado elegir las medidas técnicas y organizativas más adecuadas (apartado 78)?.
Está claro que VDF, examinado el supuesto concreto del presente procedimiento
sancionador, es quien ?ejercer realmente una influencia sobre los fines y los medios?;
la simple aseveración de VDF de que sus colaboradores no son encargados del
tratamiento no enerva la realidad de los hechos. Es VDF ?quien puede tomar la
decisión final sobre la forma en la que se realiza el tratamiento y pueda solicitar
cambios?.
En relación con los medios del tratamiento, el responsable del tratamiento establecerá
los medios del tratamiento con mayor o menor amplitud atendiendo a su estrategia
comercial. El hecho de que al encargado del tratamiento Vodafone le otorgue cierto
margen de maniobra o que sus instrucciones le dejen cierto margen de discreción, no
obsta para que siga siendo considerado encargado del tratamiento.
Por todo ello, los colaboradores de VDF son jurídicamente encargados del tratamiento
porque VDF determina los medios (las propias bases de datos de los colaboradores)
aunque VDF les suministre instrucciones permitiéndoles a tales efectos cierto margen
de autonomía en cuanto a la elección de los parámetros para realizar dichas llamadas.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
62/97
Determinar cuáles son los medios del tratamiento, lo que abarca con qué, el cómo y el
cuándo se tiene que llevar el tratamiento a cabo, engloba cualquier acción decisoria
del responsable del tratamiento, independientemente de la amplitud de ésta.
Añade VDF que ?Complementariamente a lo expuesto, como bien conoce la AEPD, la
posición de los proveedores de servicios de publicidad es objeto de regulación
específica en el artículo 46.2 del RLOPD referente al tratamiento de datos en
campañas publicitarias, normativa que se mantiene en vigor en tanto no contradiga o
entre en conflicto con lo dispuesto por RGPD, estableciendo, en su apartado 2 b), que:
?En caso de que una entidad contrate o encomiende a terceros la realización de una
determinada campaña publicitaria de sus productos o servicios, encomendándole el
tratamiento de determinados datos, se aplicarán las siguientes normas: b) Cuando los
parámetros fueran determinados únicamente por la entidad o entidades contratadas,
dichas entidades serán las responsables del tratamiento?.
Pues bien, la disposición derogatoria única de la LOPDGDD establece en su apartado
tercero que ?Asimismo, quedan derogadas cuantas disposiciones de igual o inferior
rango contradigan, se opongan, o resulten incompatibles con lo dispuesto en el
Reglamento (UE) 2016/679 y en la presente ley orgánica?.
Si bien no deroga expresamente el RLOPD, éste se entenderá tácitamente derogado
en todas aquellas cuestiones que contradigan, se opongan, o resulten incompatibles
con lo dispuesto en el RGPD y en la LOPDGDD. El precepto del RLOPD citado queda
superado por el RGPD y la LOPDGDD, conforme a la conceptuación de lo que es ser
responsable y encargado del tratamiento.
En todo caso, no nos encontramos en una situación fáctica en el que los parámetros
son determinados únicamente por las entidades contratadas; mas bien al contrario, es
VDF quien, como responsable del tratamiento, está fijando los parámetros.
En resumen, en el supuesto examinado los colaboradores contratados para realizar
actuaciones de marketing directo, son encargados de tratamiento de VDF al realizar
las actuaciones de marketing directo en nombre y por cuenta de este. Actúan bajo la
marca de VDF de forma exclusiva. Es VDF quien determina los fines y medios del
tratamiento, siendo significativo que las bases de datos qué el encargado del
tratamiento pone a disposición de VDF se elaboren específicamente para estos
últimos (es el medio que VDF elige). Y, no podemos olvidar, aunque sea a título
meramente ilustrativo, que el nuevo sistema de enrutamiento, que señalan que han
implementado, integra a todos los encargados del tratamiento en tal red de
enrutamiento.
5R) Yendo a la génesis del concepto de encargado del tratamiento y siguiendo el
Dictamen 1/2010, de 16/2, del GT29, ?El concepto de encargado del tratamiento no
figuraba en el Convenio 108. La función del encargado del tratamiento se reconocía
por primera vez en la primera propuesta de la Comisión ?aunque ésta no introducía
el concepto? con el fin de «evitar situaciones en las que el tratamiento por terceros
por cuenta del responsable del tratamiento del fichero tenga el efecto de reducir el
nivel de protección del que goza el interesado». El concepto de encargado del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
63/97
tratamiento sólo se recoge explícita y autónomamente en la propuesta modificada de
la Comisión y después de una propuesta del Parlamento Europeo cuando, antes de
revestir su formulación actual en la Posición Común del Consejo. Al igual que la
definición del responsable del tratamiento, la definición del encargado del tratamiento
abarca una amplia variedad de agentes que pueden desempeñar ese papel («persona
física o jurídica, autoridad pública, servicio o cualquier otro organismo»). La existencia
de un encargado del tratamiento depende de una decisión adoptada por el
responsable del tratamiento, que puede decidir que los datos se traten dentro de su
organización, por ejemplo por personal autorizado para procesar datos bajo su
autoridad directa (véase, en sentido inverso, el artículo 2.f)), o delegar todas o una
parte de las actividades de tratamiento en una organización externa, es decir ?como
se señala en la exposición de motivos de la propuesta modificada de la Comisión?,
en «una persona jurídicamente distinta que actúa por su cuenta».
Por lo tanto, para poder actuar como encargado del tratamiento tienen que darse dos
condiciones básicas: por una parte, ser una entidad jurídica independiente del
responsable del tratamiento y, por otra, realizar el tratamiento de datos personales por
cuenta de éste?.
Respecto de la alegación formulada, VDF se contesta en la misma cuando señala que
?En realidad, la normativa referida establece la obligación por parte del responsable de
realizar las verificaciones de idoneidad durante la selección de aquellos proveedores a
los que pretenda facilitar datos personales y, asimismo, las condiciones mínimas bajo
la que éstos deberán tratar dichos datos personales, debiendo fijarse dichas
condiciones en el correspondiente contrato que contemplará todos los aspectos
exigidos en el artículo 28 RGPD ? ?, lo que en el presente caso no se ha realizado.
El artículo 28.1 del RGPD señala: ?1. Cuando se vaya a realizar un tratamiento por
cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que
ofrezca garantías suficientes para aplicar medidas técnicas y organizativas
apropiados, de manera que el tratamiento sea conforme con los requisitos del
presente Reglamento y garantice la protección de los derechos del interesado.?. Se
observa que hace referencia a las medidas técnicas y organizativas que deben
garantizar en todo tratamiento objeto de encargo. Es decir, desde antes del encargo
del tratamiento propiamente dicho, como es la elección adecuada del que actuará
como encargado, hasta la finalización de la prestación según señala el propio artículo
28.3.g).
Y continúa el artículo 28.3.h): ?pondrá a disposición del responsable toda la
información necesaria para demostrar el cumplimiento de las obligaciones
establecidas en el presente artículo, así como para permitir y contribuir a la realización
de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor
autorizado por dicho responsable?.
Respecto a la realización de auditorías como un medio idóneo para que el responsable
del tratamiento supervise de manera continua al encargado del tratamiento, las
Directrices 07/2020 del Comité Europeo de Protección de Datos (CEPD) sobre los
conceptos de responsable del tratamiento y encargado en el RGPD de 2 de
septiembre de 2020 establecen que -la traducción es nuestra- ?97. La obligación de
utilizar únicamente a encargados de tratamiento "que proporcionen garantías
suficientes" contenidas en el artículo 28, apartado 1, del RGPD es una obligación
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
64/97
continua. No termina en el momento en que el controlador y el encargado del
tratamiento celebran un contrato u otro acto legal. En su lugar, el controlador debe, a
intervalos apropiados, verificar las garantías del procesador, incluso mediante
auditorías e inspecciones cuando proceda".
De igual manera que el responsable del tratamiento audita aquellos tratamientos que
realiza directamente y por su mano, debe de auditar los tratamientos qué otros
realizan por su encomienda.
En el presente caso, VDF no ha cumplido ni uno ni otro de los apartados transcritos,
en especial, cuando pudiendo y teniendo la obligación legal de hacerlo (con auditorías
e inspecciones), VDF no ha requerido al encargado del tratamiento el cumplimiento de
sus obligaciones, incumplimiento que debe atribuirse sólo a VDF como responsable
del tratamiento.
6R) Respecto al incumplimiento del artículo 44 del RGPD.
De las pruebas obrantes en la documentación del expediente y así queda reflejado en
el Hecho Probado VIGÉSIMO, en concreto del contrato de encargado del tratamiento
suscrito entre VDF y Casmar de 1/05/2019, en el que VDF en calidad de responsable
del tratamiento suscribe con Casmar que para llevar a cabo el tratamiento objeto de
encargo se realice desde tercer país (Perú) sin cumplir las debidas garantías que
exige el RGPD, al consentir -con pleno conocimiento por las partes signatarias puesto
que así consta en el contrato- que Casmar lo llevara a cabo a través de la entidad
subencargada (A-Nexo) en nombre y por cuenta de VDF (según contrato suscrito de
fecha 1/05/2019 entre VDF y Casmar y el posterior contrato suscrito entre Casmar y A-
nexo de fecha 27/06/2019). En dicho contrato consta textualmente: ?ubicación del
tratamiento: Perú? (sic). En consecuencia, el responsable de esta Transferencia
Internacional (TI) sin las debidas garantías acordada entre VDF y Casmar a través de
la entidad subencargada con sede en Perú -A-nexo-, no es otro que VDF al actuar en
calidad de responsable del tratamiento objeto de encargo en las citadas condiciones
por lo que VDF es la obligada a imponer y establecer las debidas garantías para que
pueda realizarse esa TI acordad conforme a los requisitos establecidos en el RGPD.
7R) Respecto al incumplimiento del artículo 21.1 de la LSSICE.
Artículo 21 de la LSSICE: ?Prohibición de comunicaciones comerciales realizadas a
través de correo electrónico o medios de comunicación electrónica equivalentes.
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por
correo electrónico u otro medio de comunicación electrónica equivalente que
previamente no hubieran sido solicitadas o expresamente autorizadas por los
destinatarios de las mismas.
2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una
relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita
los datos de contacto del destinatario y los empleara para el envío de comunicaciones
comerciales referentes a productos o servicios de su propia empresa que sean
similares a los que inicialmente fueron objeto de contratación con el cliente.
En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al
tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
65/97
y gratuito, tanto en el momento de recogida de los datos como en cada una de las
comunicaciones comerciales que le dirija.
Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho
medio deberá consistir necesariamente en la inclusión de una dirección de correo
electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho,
quedando prohibido el envío de comunicaciones que no incluyan dicha dirección?.
Ya consta desde el principio del procedimiento que las acciones de mercadotecnia en
nombre y por cuenta de VDF se realizarían utilizando números aleatorios (y
direcciones electrónicas) a ?potenciales clientes? en cuya domicilio o zona se disponía
de servicios de VDF instalados. También se ha alegado que tales numeraciones
(utilizadas para el envío de SMS) se cruzaban previamente con los listados de
exclusión publicitaria, lo que en ningún momento consta realizado y sin perjuicio de
que más adelante se explica.
Ahora VDF alega que los SMS enviados se realizaban a clientes acogiéndose a la
excepción del artículo 21.2 de la LSSICE.
Bien, podría ser así en algunos caos ajenos a este procedimiento, pero en el presente
caso se ha acreditado lo contrario, es decir, que los destinatarios no eran clientes de
VDF e incluso habían ejercido su derecho de oposición, por lo que no procede la
aplicación del citado apartado del artículo 21 (21.2) de la LSSI. Los expedientes
relativos al incumplimiento de la LSSICE figuran señalados con el código ?C? en la
columna del Anexo de la Propuesta de Resolución y que ahora también se adjunta.
En consecuencia, la alegación debe ser rechazada.
8R) Respecto a la LGT, VDF alega presunto incumplimiento.
El Preámbulo de la LOPDGDD, señala lo siguiente:
?En el Título IV se recogen «Disposiciones aplicables a tratamientos concretos»,
incorporando una serie de supuestos que en ningún caso debe considerarse
exhaustiva de todos los tratamientos lícitos. Dentro de ellos cabe apreciar, en primer
lugar, aquellos respecto de los que el legislador establece una presunción «iuris
tantum» de prevalencia del interés legítimo del responsable cuando se lleven a cabo
con una serie de requisitos, lo que no excluye la licitud de este tipo de tratamientos
cuando no se cumplen estrictamente las condiciones previstas en el texto, si bien en
este caso el responsable deberá llevar a cabo la ponderación legalmente exigible, al
no presumirse la prevalencia de su interés legítimo. ? ?
El artículo 23.4 de dicha norma (LOPDGDD) señala:
?4. Quienes pretendan realizar comunicaciones de mercadotecnia directa, deberán
previamente consultar los sistemas de exclusión publicitaria que pudieran afectar a su
actuación, excluyendo del tratamiento los datos de los afectados que hubieran
manifestado su oposición o negativa al mismo. A estos efectos, para considerar
cumplida la obligación anterior será suficiente la consulta de los sistemas de exclusión
incluidos en la relación publicada por la autoridad de control competente.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
66/97
No será necesario realizar la consulta a la que se refiere el párrafo anterior cuando el
afectado hubiera prestado, conforme a lo dispuesto en esta ley orgánica, su
consentimiento para recibir la comunicación a quien pretenda realizarla.?.
Ya se indica en la presente Resolución (FD V) y que no procede reiterar, los motivos
por el que en el derecho español prevalece la aplicación de la LGT, como norma
especial, frente al RGPD y LOPDGDD como normas generales.
En el presente caso, al no resultar aplicable la habilitación dispuesta en el segundo
párrafo del citado apartado 4 del artículo 23, porque no consta consentimiento de los
reclamantes, ha quedado suficientemente acreditado a lo largo del procedimiento que
tanto VDF, en calidad de responsable del tratamiento, como los encargados que
actuaban por cuenta y en nombre de VDF no suprimieron aquellas líneas receptoras
que se encontraban previamente incluidas en los sistemas de exclusión publicitaria de
sus acciones de mercadotecnia. Así consta reflejado en la columna del Anexo de la
Propuesta de Resolución y que ahora también se adjunta con el código ?R?.
En consecuencia, VDF ha infringido el citado artículo 48.1.b) en relación con el 23 de
la LOPDGDD por lo que la alegación debe rechazarse.
9R) VDF alega una clara posición de indefensión durante el presente procedimiento
sancionador.
Respecto al principio de interdicción de la arbitrariedad, se debe señalar que no consta
acción alguna por esta AEPD de desvío de actuaciones legales, sino que todo el
procedimiento seguido se ha ajustado a la normativa legal tanto en forma como en las
motivaciones de sus actos administrativos, pruebas y demás garantías legales y
constitucionales exigibles.
No hay duda de que el presente procedimiento sancionador es complejo y voluminoso,
pero aun así se ha cumplido con todas las garantías legales exigibles. Incluso en la
rectificación de errores materiales conforme señala el art. 109 de la LPACAP, en
especial en el envío complementario se subsanación -que no de inclusión de nuevos
expedientes-, dando audiencia al interesado conforme señala la citada norma y el art
105 de la C.E. A lo que hay que añadir que, estando vigente la suspensión de plazos
conforme al estado de alarma decretado en España, el órgano instructor consideró
como trámite urgente el envío del expediente (se realizó en marzo 2020) a fin de evitar
indefensión y que durante el tiempo se suspensión de plazos la imputada dispusiera
del tiempo necesario para analizar la documentación (unas diez mil hojas), que en
condiciones normales sin suspensión de plazos hubiera tenido como máximo 15 días
de plazo para el estudio y preparación de la línea de defensa.
En cuanto a la imputación de infracción del artículo 44 del RGPD (Transferencia
Internacional de datos personales sin las garantías exigidas en el RGPD) en la
Propuesta de Resolución, ya se ha hecho mención en esta Resolución.
Por último, se debe significar que VDF no ha solicitado práctica de prueba alguna
durante el procedimiento sancionador en apoyo de alguna línea de defensa que
considerara oportuna frente a las infracciones imputadas. La única prueba practicada
ha sido solicitada por el órgano instructor a fin de evitar indefensión a la reclamada, ha
procedido a subsanar errores materiales tras el análisis de las más de diez mil hojas
de la que consta el expediente y ha facilitado a VDF un Anexo con el resumen
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
67/97
estructurado de los hechos precisamente para que tuviera la posibilidad de tratarlo de
forma automática y en aras de la transparencia y evitar así cualquier impedimento que
le pudiera ocasionar una merma de sus derechos, dando la preceptiva audiencia y
plazo para alegaciones, tal y como VDF lo ha hecho. En consecuencia, procede
rechazar la alegación al no constar arbitrariedad en la actuación de la AEPD ni
vulneración al principio de defensa, sino que consta que durante el desarrollo del
presente procedimiento sancionador se han observado todas las garantías legalmente
establecidas.
V
Artículo 2.4 RGPD. Relación con la Directiva 2000/31/CE del Parlamento Europeo y
del Consejo de 8 de junio de 2000 relativa a determinados aspectos jurídicos de los
servicios de la sociedad de la información, en particular el comercio electrónico en el
mercado interior (en lo sucesivo Directiva 2000/31/CE).
?4. El presente Reglamento se entenderá sin perjuicio de la aplicación de la Directiva
2000/31/CE, en particular sus normas relativas a la responsabilidad de los prestadores
de servicios intermediarios establecidas en sus artículos 12 a 15?.
Al respecto, a LSSICE incorpora al ordenamiento jurídico español la citada Directiva
2000/31/CE.
Artículo 95 RGPD. Relación con la Directiva 2002/58/CE del Parlamento Europeo y del
Consejo de 12 de julio de 2002 relativa al tratamiento de los datos personales y a la
protección de la intimidad en el sector de las comunicaciones electrónicas (en lo
sucesivo Directiva 2002/58/CE).
?El presente Reglamento no impondrá obligaciones adicionales a las personas físicas
o jurídicas en materia de tratamiento en el marco de la prestación de servicios
públicos de comunicaciones electrónicas en redes públicas de comunicación de la
Unión en ámbitos en los que estén sujetas a obligaciones específicas con el mismo
objetivo establecidas en la Directiva 2002/58/CE del Parlamento Europeo y del
Consejo de 12 de julio de 2002?.
Al respecto, la LGT incorpora al ordenamiento jurídico español la citada Directiva
2002/58/CE.
En relación con los citados artículos del RGPD arriba mencionados (art 2.4 y 95) y las
citadas LGT y LSSICE, se debe traer a colación el Informe Jurídico de esta AEPD de
referencia 0173/2018, ya conocido por la investigada que lo alega en su escrito.
En el mismo sentido se pronuncia el Dictamen 5/2019 sobre la interacción entre la
Directiva sobre la privacidad y las comunicaciones electrónicas y el Reglamento
general de protección de datos, en particular en lo que respecta a la competencia,
funciones y poderes de las autoridades de protección de datos Adoptado el 12 de
marzo de 2019, en los párrafos 66 a 70 y 86 en conclusiones, y que se reproducen a
continuación:
datos competencia para la aplicación de la Directiva sobre la privacidad y las
comunicaciones electrónicas, la legislación debe determinar también las funciones y
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
68/97
poderes de la autoridad de protección de datos en relación con la aplicación de la
Directiva. La autoridad de protección de datos no puede confiar automáticamente en
las funciones y poderes previstos en el RGPD para adoptar medidas para hacer
cumplir las normas nacionales en materia de privacidad y comunicaciones
electrónicas, ya que estas funciones y poderes del RGPD están vinculadas a la
aplicación del RGPD. La legislación nacional puede asignar funciones y poderes
inspirados en el RGPD, pero también puede otorgar otras funciones y poderes a la
autoridad de protección de datos para la aplicación de las normas nacionales sobre la
privacidad y las comunicaciones electrónicas de conformidad con el artículo 15 bis de
la Directiva.
67. La facultad discrecional solo existe dentro de los requisitos y límites establecidos
en normas superiores. El artículo 8, apartado 3, de la Carta exige que el cumplimiento
de las normas sobre protección de datos personales esté sujeto al control de una
autoridad independiente.
68. Cuando el tratamiento de datos personales activa el ámbito de aplicación material
tanto del RGPD como de la Directiva sobre la privacidad y las comunicaciones
electrónicas, las autoridades de protección de datos son competentes para controlar
los subconjuntos del tratamiento que se rigen por las normas nacionales de
transposición de la Directiva únicamente si la legislación nacional les confiere esta
competencia. No obstante, la competencia de las autoridades de protección de datos
en virtud del RGPD en cualquier caso sigue siendo no exhaustiva en lo que respecta a
las operaciones de tratamiento que no están sujetas a las normas especiales
contenidas en la Directiva. Esta línea de demarcación no puede ser modificada por la
legislación nacional por la que se transpone la Directiva (por ejemplo, ampliando el
ámbito de aplicación material más allá de lo exigido por la Directiva y concediendo
competencias exclusivas para dicha disposición a la autoridad nacional de
reglamentación).
69. Las autoridades de protección de datos son competentes para hacer cumplir el
RGPD. El mero hecho de que un subconjunto del tratamiento esté incluido en el
ámbito de aplicación de la Directiva no limita la competencia de las autoridades de
protección de datos en virtud del RGPD.
70. Cuando se haya otorgado competencia exclusiva a un organismo distinto de la
autoridad de protección de datos, el Derecho procesal nacional determina lo que debe
ocurrir cuando los interesados presenten denuncias ante la autoridad de protección de
datos, en relación, por ejemplo, con el tratamiento de datos personales en forma de
datos de tráfico o de localización, comunicaciones electrónicas no solicitadas o
recogida de datos personales mediante cookies, sin denunciar además una infracción
(potencial) del RGPD.
86. Cuando el tratamiento de datos personales activa el ámbito de aplicación material
tanto del RGPD como de la Directiva sobre la privacidad y las comunicaciones
electrónicas, las autoridades de protección de datos son competentes para controlar
las operaciones de tratamiento de datos que se rigen por las normas nacionales de
privacidad electrónica únicamente si la legislación nacional les confiere esta
competencia, y tal control debe tener lugar dentro de las competencias de supervisión
asignadas a la autoridad por la legislación nacional que transpone la Directiva.>>
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
69/97
En consecuencia, en relación con la materia específica que regulan la LGT y la
LSSICE, deben prevalecer estas leyes por razón de materia frente al RGPD y
LOPDGDD, sin perjuicio de que las primeras puedan necesitar de ser
complementadas por las figuras jurídicas que desarrollan las segundas.
Sin perjuicio del desarrollo posterior de los hechos ahora analizados desde la
perspectiva de las citadas leyes especiales (LGT y LSSICE), se adelantan las
definiciones de los conceptos jurídicos que el RGPD señala en el artículo 4:
Artículo 4 RGPD. Definiciones
A efectos del presente Reglamento se entenderá por:
1) «datos personales»: toda información sobre una persona física identificada o
identificable («el interesado»); se considerará persona física identificable toda persona
cuya identidad pueda determinarse, directa o indirectamente, en particular mediante
un identificador, como por ejemplo un nombre, un número de identificación, datos de
localización, un identificador en línea o uno o varios elementos propios de la identidad
física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre
datos personales o conjuntos de datos personales, ya sea por procedimientos
automatizados o no, como la recogida, registro, organización, estructuración,
conservación, adaptación o modificación, extracción, consulta, utilización,
comunicación por transmisión, difusión o cualquier otra forma de habilitación de
acceso, cotejo o interconexión, limitación, supresión o destrucción;
6) «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo
a criterios determinados, ya sea centralizado, descentralizado o repartido de forma
funcional o geográfica;
7) «responsable del tratamiento» o «responsable»: la persona física o jurídica,
autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los
fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros
determina los fines y medios del tratamiento, el responsable del tratamiento o los
criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión
o de los Estados miembros;
8) «encargado del tratamiento» o «encargado»: la persona física o jurídica,
autoridad pública, servicio u otro organismo que trate datos personales por cuenta del
responsable del tratamiento;
10) «tercero»: persona física o jurídica, autoridad pública, servicio u organismo
distinto del interesado, del responsable del tratamiento, del encargado del tratamiento
y de las personas autorizadas para tratar los datos personales bajo la autoridad directa
del responsable o del encargado;
11) «consentimiento del interesado»: toda manifestación de voluntad libre,
específica, informada e inequívoca por la que el interesado acepta, ya sea mediante
una declaración o una clara acción afirmativa, el tratamiento de datos personales que
le conciernen.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
70/97
18) «empresa»: persona física o jurídica dedicada a una actividad económica,
independientemente de su forma jurídica, incluidas las sociedades o asociaciones que
desempeñen regularmente una actividad económica;
25) «servicio de la sociedad de la información»: todo servicio conforme a la
definición del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del
Parlamento Europeo y del Consejo. (Directiva (UE) 2015/1535 del Parlamento
Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un
procedimiento de información en materia de reglamentaciones técnicas y de reglas
relativas a los servicios de la sociedad de la información (DO L 241 de 17.9.2015, p.
1)).
VI
Artículo 24 Responsabilidad del responsable del tratamiento
tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos
y libertades de las personas físicas, el responsable del tratamiento aplicará medidas
técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el
tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y
actualizarán cuando sea necesario.
2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre
las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del
responsable del tratamiento, de las oportunas políticas de protección de datos?>>.
El Informe 0064/2020 del Gabinete Jurídico de la AEPD ha expresado con rotundidad
que ?El RGPD ha supuesto un cambio de paradigma al abordar la regulación del
derecho a la protección de datos personales, que pasa a fundamentarse en el
principio de «accountability» o «responsabilidad proactiva» tal y como ha señalado
reiteradamente la AEPD (Informe 17/2019, entre otros muchos) y se recoge en la
Exposición de motivos de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y garantía de los derechos digitales (LOPDGDD)?.
Sigue diciendo el citado informe que ??los criterios sobre cómo atribuir los diferentes
roles siguen siendo los mismos (apartado 11), reitera que se trata de conceptos
funcionales, que tienen por objeto asignar responsabilidades de acuerdo con los roles
reales de las partes (apartado 12), lo que implica que en la mayoría de los supuestos
deba atenderse a las circunstancias del caso concreto (case by case) atendiendo a
sus actividades reales en lugar de la designación formal de un actor como
"responsable" o "encargado" (por ejemplo, en un contrato), así como de conceptos
autónomos, cuya interpretación debe realizarse al amparo de la normativa europea
sobre protección de datos personales (apartado 13), y teniendo en cuenta (apartado
24) que la necesidad de una evaluación fáctica también significa que el papel de un
responsable del tratamiento no se deriva de la naturaleza de una entidad que está
procesando datos sino de sus actividades concretas en un contexto específico??.
Los conceptos de responsable y encargado de tratamiento no son formales, sino
funcionales y deben atender al caso concreto. La denominación por parte de VDF de
?responsables del tratamiento? a sus colaboradores, no les confiere automáticamente
tal condición.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
71/97
El responsable del tratamiento lo es desde el momento que decide los fines y los
medios del tratamiento, no perdiendo tal condición el hecho de dejar cierto margen de
actuación al encargado del tratamiento o por no tener acceso a las bases de datos del
encargado.
Así se expresa indubitadamente en las Directrices 07/2020 del Comité Europeo de
Protección de Datos (CEPD) sobre los conceptos de responsable del tratamiento y
encargado en el RGPD -la traducción es nuestra-, ?Un responsable del tratamiento es
quien determina los propósitos y los medios del tratamiento, es decir, el porqué y el
cómo del tratamiento. El responsable del tratamiento debe decidir sobre ambos
propósitos y medios. Sin embargo, algunos aspectos más prácticos de la
implementación ("medios no esenciales") se pueden dejar en manos del encargado
del tratamiento. No es necesario que el responsable tenga realmente acceso a los
datos que se están tratando para calificarse como responsable?.
En el presente caso, consta que VDF es la responsable de los tratamientos de datos
ahora analizados toda vez que conforme define el art 4.7 del RGPD es la entidad que
determina la finalidad y medios de los tratamientos realizados en acciones de
mercadotecnia directa de las tres entidades (VDF, ONO, LOWI). Por lo que en su
condición de responsable del tratamiento está obligada a cumplir con lo dispuesto en
el transcrito art 24 del RGPD y, en especial, en cuanto al control efectivo y continuado
de ?medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar
que el tratamiento es conforme con el presente Reglamento? entre las que se
encuentran las dispuestas en el artículo 28 del RGPD en relación con los encargados
de los tratamientos que actúan en nombre y por cuenta de VDF.
En este sentido, y en relación con la alegación evacuada por VDF en su escrito de
alegaciones al acuerdo de inicio sobre que los responsables de los tratamientos que
las diversas entidades realizan por cuenta y nombre de VDF y, por tanto, aquellas que
disponen de sus propios ficheros no actúan en calidad de encargadas sino en calidad
de responsables de esos tratamientos, se debe señalar, que en las Directrices 07/2020
del Comité Europeo de Protección de Datos (CEPD) sobre los conceptos de
responsable del tratamiento y encargado en el RGPD -la traducción es nuestra-,?42.
No es necesario que el responsable del tratamiento tenga realmente acceso a los
datos que se están procesando. Quien externalice una actividad de tratamiento y, al
hacerlo, tenga una influencia determinante en la finalidad y los medios (esenciales) del
tratamiento (por ejemplo, ajustando los parámetros de un servicio de tal manera que
influya en cuyos datos personales serán tratados), debe ser considerado como
responsable aunque nunca tendrá acceso real a los datos?. Recordemos que VDF
determina a quién se pueden realizar las llamadas, pues no cabe efectuarlas a
quienes ya son clientes de la compañía, amén del filtrado respecto de listas de
exclusión publicitaria o lo que corresponda respecto del ejercicio de oposición.
Asimismo, siguiendo el informe jurídico de la AEPD de fecha 20/11/2019, con
referencia interna 0007/2019 y STS 1562/2020 (por todas), hemos de reseñar que se
analiza la figura jurídica de encargado del tratamiento desde la perspectiva del RGPD
que la regula de forma exclusiva.
1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del
tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
72/97
para aplicar medidas técnicas y organizativas apropiados, de manera que el
tratamiento sea conforme con los requisitos del presente Reglamento y garantice la
protección de los derechos del interesado.
2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa
por escrito, específica o general, del responsable. En este último caso, el encargado
informará al responsable de cualquier cambio previsto en la incorporación o
sustitución de otros encargados, dando así al responsable la oportunidad de oponerse
a dichos cambios.
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con
arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado
respecto del responsable y establezca el objeto, la duración, la naturaleza y la
finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las
obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en
particular, que el encargado:
a) tratará los datos personales únicamente siguiendo instrucciones documentadas del
responsable, inclusive con respecto a las transferencias de datos personales a un
tercer país o una organización internacional, salvo que esté obligado a ello en virtud
del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en
tal caso, el encargado informará al responsable de esa exigencia legal previa al
tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés
público;
b) garantizará que las personas autorizadas para tratar datos personales se hayan
comprometido a respetar la confidencialidad o estén sujetas a una obligación de
confidencialidad de naturaleza estatutaria;
c) tomará todas las medidas necesarias de conformidad con el artículo 32;
d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro
encargado del tratamiento;
e) asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de
medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este
pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto
el ejercicio de los derechos de los interesados establecidos en el capítulo III;
f) ayudará al responsable a garantizar el cumplimiento de las obligaciones
establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento
y la información a disposición del encargado;
g) a elección del responsable, suprimirá o devolverá todos los datos personales una
vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias
existentes a menos que se requiera la conservación de los datos personales en virtud
del Derecho de la Unión o de los Estados miembros;
h) pondrá a disposición del responsable toda la información necesaria para demostrar
el cumplimiento de las obligaciones establecidas en el presente artículo, así como
para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por
parte del responsable o de otro auditor autorizado por dicho responsable.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
73/97
En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará
inmediatamente al responsable si, en su opinión, una instrucción infringe el presente
Reglamento u otras disposiciones en materia de protección de datos de la Unión o de
los Estados miembros.
4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo
determinadas actividades de tratamiento por cuenta del responsable, se impondrán a
este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al
Derecho de la Unión o de los Estados miembros, las mismas obligaciones de
protección de datos que las estipuladas en el contrato u otro acto jurídico entre el
responsable y el encargado a que se refiere el apartado 3, en particular la prestación
de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas
de manera que el tratamiento sea conforme con las disposiciones del presente
Reglamento. Si ese otro encargado incumple sus obligaciones de protección de datos,
el encargado inicial seguirá siendo plenamente responsable ante el responsable del
tratamiento por lo que respecta al cumplimiento de las obligaciones del otro
encargado.
5. La adhesión del encargado del tratamiento a un código de conducta aprobado a
tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo
42 podrá utilizarse como elemento para demostrar la existencia de las garantías
suficientes a que se refieren los apartados 1 y 4 del presente artículo.
6. Sin perjuicio de que el responsable y el encargado del tratamiento celebren un
contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4
del presente artículo podrá basarse, total o parcialmente, en las cláusulas
contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclusive
cuando formen parte de una certificación concedida al responsable o encargado de
conformidad con los artículos 42 y 43.
7. La Comisión podrá fijar cláusulas contractuales tipo para los asuntos a que se
refieren los apartados 3 y 4 del presente artículo, de acuerdo con el procedimiento de
examen a que se refiere el artículo 93, apartado 2.
8. Una autoridad de control podrá adoptar cláusulas contractuales tipo para los
asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el
mecanismo de coherencia a que se refiere el artículo 63.>>
9. El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por
escrito, inclusive en formato electrónico.
10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del
tratamiento infringe el presente Reglamento al determinar los fines y medios del
tratamiento, será considerado responsable del tratamiento con respecto a dicho
tratamiento.>>
La definición de «encargado del tratamiento» incluye una amplia gama de actores, ya
sean personas físicas o jurídicas, autoridades públicas, agencias u otros organismos.
La existencia de encargado del tratamiento depende de una decisión adoptada por el
responsable del tratamiento, que podrá decidir realizar ella misma determinadas
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
74/97
operaciones de tratamiento o contratar la totalidad o parte del tratamiento con un
encargado.
La esencia de la función de «encargado del tratamiento» es que los datos personales
sean tratados en nombre y por cuenta del responsable del tratamiento. En la práctica,
es el responsable el que determina la finalidad y los medios, al menos los esenciales,
mientras que el encargado del tratamiento tiene una función de prestar servicios a los
Responsables del Tratamiento. En otras palabras, «actuando en nombre y por cuenta
del responsable del tratamiento» significa que el encargado del tratamiento está al
servicio del interés del responsable del tratamiento en llevar a cabo una tarea
específica y que, por tanto, sigue las instrucciones establecidas por el responsable del
tratamiento, al menos en lo que se refiere a la finalidad y a los medios esenciales del
tratamiento encomendado.
El artículo 28, apartado 1, del RGPD establece que ?Cuando se vaya a realizar un
tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un
encargado que ofrezca garantías suficientes para aplicar medidas técnicas y
organizativas apropiados, de manera que el tratamiento sea conforme con los
requisitos del presente Reglamento y garantice la protección de los derechos del
interesado?.
La obligación prevista en el artículo 28.1 del RGPD -de seleccionar un encargado del
tratamiento que ofrezca garantías suficientes para garantizar la aplicación del
Reglamento y los derechos y libertades del interesado- no se agota en la actuación
previa de selección y contratación de encargado de tratamiento. Esto obliga al
responsable del tratamiento a evaluar en todo momento durante la ejecución del
contrato si las garantías (técnicas u organizativas) ofrecidas por el encargado del
tratamiento son suficientes.
Las Directrices 07/2020 del Comité Europeo de Protección de Datos (CEPD) sobre los
conceptos de responsable del tratamiento y encargado en el RGPD -la traducción es
nuestra- disponen, sin lugar a dudas que, -,?97. La obligación de utilizar únicamente
los encargados de tratamiento "que proporcionan garantías suficientes" contenidas en
el artículo 28, apartado 1, del RGPD es una obligación continua. No termina en el
momento en que el responsable y el encargado del tratamiento celebran un contrato u
otro acto legal. En su lugar, el responsable debe, a intervalos apropiados, verificar las
garantías del encargado, incluso a través de auditorías e inspecciones cuando
corresponda ?.
Y ello porque el responsable del tratamiento es quien tiene la obligación de garantizar
la aplicación de la normativa de protección de datos y la protección de los derechos de
los interesados, así como ser capaz de demostrarlo (artículos 5.2, 24, 28 y 32 del
RGPD). El control del cumplimiento de la legalidad se extiende durante todo el
tratamiento, desde el principio hasta el final. El responsable del tratamiento debe
actuar, en cualquier caso, de forma diligente, consciente, comprometida y activa.
Ese mandato del legislador es independiente de que el tratamiento lo realice
directamente el responsable del tratamiento o de que lo efectúe valiéndose de un
encargado del tratamiento. Donde la Ley no distingue, no podemos distinguir nosotros.
Además, el tratamiento ejecutado materialmente por un encargado de tratamiento por
cuenta del responsable del tratamiento pertenece la esfera de actuación de éste
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
75/97
último, de igual forma que si lo realizara directamente él mismo. El encargado de
tratamiento, en el supuesto examinado, es una extension del responsable del
tratamiento.
El responsable del tratamiento tiene la obligación de integrar y desplegar la protección
de datos dentro de todo lo que constutiya su organización, en todos sus ámbitos. Se
debe de tener muy presente que en última instancia la finalidad determinante es la de
garantizar la protección del interesado.
Interpretarlo en sentido contrario -las obligaciones que el artículo 28 del RGPD impone
al responsable del tratamiento se limitan a verificar las capacidades del encargado ab
initio y a suscribir el contrato de encargado del tratamiento- no sólo contravendrían la
legalidad vigente constituyendo una actuación claramente fraudulenta, sino que
violaría el espíritu y finalidad del RGPD.
A la luz del principio de responsabilidad proactiva (art 5.2 RGPD), el responsable del
tratamiento debe poder demostrar que ha tomado en cuenta todos los elementos
previstos en el RGPD.
El responsable del tratamiento debe tener en cuenta si el encargado del tratamiento
aporta documentación adecuada que demuestre dicho cumplimiento, políticas de
protección de la intimidad, las políticas de gestión de archivos, las políticas de
seguridad de la información, los informes de auditoría externa, las certificaciones,
gestión de los ejercicios de derechos ? etc.
El responsable del tratamiento debe también tener en cuenta los conocimientos
técnicos especializados del encargado del tratamiento, la fiabilidad y sus recursos.
Solo si el responsable del tratamiento puede demostrar (principio de responsabilidad
proactiva del art 5.2 del RGPD) que el encargado del tratamiento es adecuado durante
toda la fase del tratamiento (en todo momento) para llevar a cabo el encargo
encomendado podrá celebrar un acuerdo vinculante que cumpla los requisitos del
artículo 28 del RGPD, sin perjuicio de que el responsable del tratamiento debe seguir
cumpliendo el principio de rendición de cuentas y comprobar periódicamente la
conformidad del encargado y las medidas en uso. Antes de externalizar un tratamiento
y a fin de evitar posibles vulneraciones de derechos y libertades de los afectados, el
responsable del tratamiento debe celebrar un contrato, otro acto jurídico o un acuerdo
vinculante con la otra entidad que establezca obligaciones claras y precisas en materia
de protección de datos.
El encargado del tratamiento solo puede realizar tratamientos sobre las instrucciones
documentadas del responsable, a menos que esté obligado a hacerlo por el Derecho
de la Unión o de un Estado miembro, que no es el caso. El encargado del tratamiento
tiene también la obligación de colaborar con el responsable en garantizar los derechos
de los interesados y cumplir las obligaciones del responsable del tratamiento de
conformidad con lo dispuesto en el citado art 28 del RGPD (y conexos).
Por tanto, se insiste, en que el responsable del tratamiento debe establecer
modalidades claras para dicha asistencia y dar instrucciones precisas al encargado del
tratamiento sobre cómo cumplirlas de forma adecuada y documentarlo previamente a
través de un contrato o bien en otro acuerdo (vinculante) y comprobar en todo
momento del desarrollo del contrato su cumplimiento en la forma establecida en el
mismo.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
76/97
Sin embargo, a pesar de las obligaciones del responsable, el artículo 28 del RGPD
parece sugerir que la responsabilidad del encargado del tratamiento sigue siendo
limitada en comparación con la responsabilidad del responsable del tratamiento. En
otras palabras, aunque los responsables del tratamiento pueden, en principio, ser
responsables de los perjuicios derivados de cualquier infracción relacionada con el
tratamiento de datos personales (incluidos los que se hayan cometido por el
encargado del tratamiento) o el incumplimiento del contrato u otro acuerdo (vinculante)
los encargados podrán ser considerados responsables cuando hayan actuado al
margen del mandato otorgado por el responsable del tratamiento, o no hayan cumplido
sus propias obligaciones contractulaes o con arreglo al RGPD. En estos casos, el
encargado del tratamiento puede ser considerado total o parcialmente responsable de
la «parte» de la operación de tratamiento en la que participa. Solo será el encargado
plenamente responsable cuando sea enteramente responsable de los perjuicios
ocasionados en cuanto a los derechos y libertades de los interesados afectados ; todo
ello, sin eludir la responsabilidad en la que el responsable del tratamiento haya
incurrido a fin de evitarlos.
En el presente caso, a pesar de la reiterada denominación como entidades «terceras»
por parte de Vodafone España, S.A.U. a las entidades
>, se debe señalar que la correcta calificación
jurídica con arreglo al RGPD estas entidades deben ser calificadas de del tratamiento>>, toda vez que, con arreglo a la definición, actúan plenamente en
nombre y por cuenta del responsable (VDF) a todos lo efectos en materia de
protección de datos. En consecuencia, en adelante, estas entidades serán
denominadas encargadas del tratamiento con asunción de las responsabilidades que
dicho término conlleva en el seno del RGPD tanto para el responsable como para las
propias encargadas de las operaciones de tratamiento. Basta con traer a colación el
contenido de la ya mencionada STS 1562/2020 (por todas), que señala lo siguiente :
« En tal sentido, ya la Sentencia del Tribunal Supremo de 5 de junio de 2004, que
confirma, en casación para Unificación de Doctrina, la de esta AN de 16 de octubre de
2003, haciéndose eco de lo argumentado por esta Sala refiere la diferenciación de dos
responsables en función de que el poder decisión vaya dirigido al fichero o al propio
tratamiento de datos. Así, el responsable del fichero es quien decide la creación del
fichero y su aplicación, y también su finalidad, contenido y uso, es decir, quien tiene
capacidad de decisión sobre la totalidad de los datos registrados en dicho fichero. El
responsable del tratamiento, sin embargo, es el sujeto al que cabe imputar las
decisiones sobre las concretas actividades de un determinado tratamiento de datos,
esto es, sobre una aplicación específica. Se trataría de todos aquellos supuestos en
los que el poder de decisión debe diferenciarse de la realización material de la
actividad que integra el tratamiento. Con ello, como asimismo argumenta la STS de 26
de Abril de 2005 (casación para unificación de doctrina 217/2004 ), el legislador
español pretende adaptarse a las exigencias de la Directiva 95/46/CE, que tiene como
objetivo dar respuesta legal al fenómeno, que cada vez es más frecuente, de la
llamada externalización de los servicios informáticos, donde actúan múltiples
operadores, muchos de ellos insolventes, creados con el objetivo de buscar la
impunidad o irresponsabilidad de los que le siguen en los eslabones siguientes de la
cadena. En la actualidad, el nuevo Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales (por el que se deroga la
Directiva 95/46/CE, y de aplicación directa a partir del 25 de mayo de 2018) distingue
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
77/97
asimismo entre las figuras del responsable y del encargado del tratamiento. La
primera se define en el apartado 7) del artículo 4 como " persona física o jurídica (...)
que determine los fines y medios del tratamiento" . Y el encargado de tratamiento en el
apartado 8) del mismo artículo 4 como aquel que "trate datos personales por cuenta
del responsable del tratamiento".
Ello en relación con los Artículos 24 y 28 del mismo Reglamento Europeo de
Protección de Datos. Responsable y encargado del tratamiento de datos que, sin lugar
a dudas, resultan asimismo responsables de las infracciones en materia de protección
de datos, en tal nuevo marco normativo, de conformidad con lo previsto en el artículo
82.2 del repetido Reglamento (UE) 2016/679 a cuyo tenor: Cualquier responsable que
participe en la operación de tratamiento responderá de los daños y perjuicios
causados en caso de que dicha operación no cumpla lo dispuesto por el presente
Reglamento. Un encargado únicamente responderá de los daños y perjuicios
causados por el tratamiento cuando no haya cumplido con las obligaciones del
presente Reglamento dirigidas específicamente a los encargados o haya actuado al
margen o en contra de las instrucciones legales del responsable. Se desprende de
todo lo anterior que la concurrencia, en el presente supuesto, de un encargado del
tratamiento ZZZZ en absoluto exime de responsabilidad a la entidad XXXX ahora
recurrente, y ello a pesar de la contundencia de las cláusulas que figuran en el
contrato y anexo al mismo firmados por ambas compañías (hechos probados 9 y 10)
en cuanto los datos personales tratados lo fueron con la finalidad de llevar a cabo una
campaña publicitaria respecto de seguros de coche y moto que comercializaba la
(XXXX), en definitiva en beneficio de dicha XXXX, siendo tal entidad actora la que, en
último termino, determina los fines y medios del repetido tratamiento de datos, por lo
que la misma no puede ser exonerada de responsabilidad.>>
Continua la STS, en relación con la posible exoneración de responsabilidad alegada
en cuanto a lo suscrito en el contrato de «encargado del tratamiento», lo siguiente :
« La conducta sancionada de obstaculización o impedimento por XXXX del ejercicio
por su cliente del derecho de oposición al tratamiento de sus datos, se manifiesta en
que dicha sociedad no adoptó ninguna clase de medida o de cautela para evitar el
envío de publicidad a las direcciones de correo electrónico de su cliente por parte de
aquellas empresas a las que encomendó la realización de las campañas publicitarias.
La adopción de las medidas o cautelas necesarias para asegurar la efectividad del
derecho de oposición al tratamiento de sus datos por parte de XXXX, como
responsable del fichero, subsisten aunque las campañas publicitarias no se realicen a
partir de los datos de sus propios ficheros, sino con bases de datos de otras
compañías contratadas por XXXX, y en este caso quedó acreditado que la recurrente
no comunicó a las empresas con las que contrató la realización de servicios de
publicidad la oposición del denunciante a recibir publicidad de la Mutua, ni en definitiva
adoptó previsión alguna para asegurar la exclusión de su cliente de los envíos
publicitarios contratados con terceras entidades.?
En consecuencia, se debe concluir que en todos los tratamientos analizados en los
antecedentes en sus diversas modalidades el responsable del tratamiento es
Vodafone España, S.A.U. (VDF) y actuando en calidad de encargados aquellas otras
entidades que actúan en nombre y por cuenta de VDF y en beneficio de esta.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
78/97
De la documentación que obra en el expediente a la que se hace mención en la
presente resolución a partir de la información recabada por la Inspección de esta
AEPD y propios actos y manifestaciones de VDF, se acredita el incumplimiento por
VDF como responsable de los tratamientos encomendados del control efectivo y
continuado en el tiempo de las medidas dispuestas en el arriba transcrito art 28 del
RGPD. Al respecto, añadir que la obligación dispuesta en el art 28.3.h) RGPD,
utilizando en el inicio el término imperativo « pondrá » referido al encargado del
tratamiento, genera la obligación de « exigir » al responsable « el cumplimiento de las
obligaciones establecidas en el presente artículo, así como para permitir y contribuir a
la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro
auditor autorizado por dicho responsable.?
Así, consta que los encargados del tratamiento (y sucesivos subencargados) que
actúan en nombre y por cuenta de VDF no ofrecen las garantías suficientes para
aplicar las medidas técnicas y organizativas apropiadas al tratamiento encargado por
VDF. Y tampoco constan debidamente documentadas por VDF las tareas
encomendadas a los sucesivos encargados que llevan a cabo los tratamientos en
nombre y por cuenta del responsable (VDF). Más aún, constan como aprobadas por
VDF tratamientos que vulneran el ámbito de aplicación del RGPD al permitir
tratamientos en terceros países sin las garantías legales adecuadas.
Tampoco consta autorización previa y por escrito de VDF con conocimiento de las
medidas técnicas y organizativas de las entidades sucesivas subcontratadas de otros
encargados, toda vez que sólo se informa a VDF una vez que el subencargado ya se
encuentra elegido y a los solos efectos de asignar un código de acceso a los
aplicativos de gestión de clientes de VDF. VDF, como responsable del tratamiento,
desconoce con antelación a quien y en que condiciones se contrata a un
encargado/subencargado para actuar por su cuenta y nombre y bajo sus
especificaciones concretas -que no existen- y acepta sin reparos esta conducta de
forma continuada y reiterada desde, al menos abril de 2018, aún teniendo
conocimiento de esta anomalía.
Nada consta en la relación entre VDF y encargados y sucesivos subencargados
respecto a los requisitos enumerados en el art 28.3 arriba citado que, en resumen, se
concretan en definir previamente por el responsable del tratamiento (VDF) el objeto,
duración, naturaleza, finalidad, tipos de datos, categorías, obligaciones y derechos de
los interesados, y facultades obligatorias de control continuo ? etc. Tan sólo en
ocasiones puntuales se cita haber comunicado informalmente unas u otras pautas
concretas de actuación sin que ello implique control efectivo alguno de VDF con los
tratamientos encomendados (y a su vez subencargados) por su cuenta y en su
nombre.
Por lo tanto, el incumplimiento de la normativa sobre protección de datos debe ser
plenamente imputada al responsable del tratamiento (VDF) al no actuar de forma
clara, activa y eficaz en estipular y hacer efectivas las especificaciones oportunas para
llevar a cabo adecuadamente en el tiempo el tratamiento encomendado en su nombre.
Tampoco consta que VDF haya realizado un seguimiento continuo durante todo el ciclo
de ejecución de los tratamientos encargados y a su vez subencargados por otras
entidades en su nombre a pesar de las numerosas reclamaciones conocidas e
investigaciones en curso llevadas a cabo por AEPD y de las que VDF tenía
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
79/97
conocimiento, y en especial en cuanto a la reiterada conducta ya sancionada
previamente en el PS/00290/2018.
En consecuencia, conforme lo citado, VDF ha infringido de forma grave -reiterada y
sistemáica- las obligaciones impuestas en calidad de responsable de los tratamientos
llevados a cabo en su nombre de lo dispuesto en el 28 del RGPD, en relación con las
responsabilidades que exige a todo responsable del tratamiento el art 24 del RGPD,
en especial a lo concerniente a los principios y responsabilidad proactiva declarados
en los artículos 5.1.f) y 5.2) del RGPD.
Por otro lado, el artículo 44 del RGPD, señala lo siguiente:
Solo se realizarán transferencias de datos personales que sean objeto de tratamiento
o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a
reserva de las demás disposiciones del presente Reglamento, el responsable y el
encargado del tratamiento cumplen las condiciones establecidas en el presente
capítulo, incluidas las relativas a las transferencias ulteriores de datos personales
desde el tercer país u organización internacional a otro tercer país u otra organización
internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de
asegurar que el nivel de protección de las personas físicas garantizado por el presente
Reglamento no se vea menoscabado>>.
En el presente caso, acreditada la Transferencia Internacional de datos a tercer país
(Perú) sin las medidas adecuadas exigidas en el RGPD, no consta que VDF en calidad
de responsable del tratamiento haya cumplido las condiciones establecidas en el
capítulo V del RGPD (Ya justificado en la contestación a la alegación 6R) en la página
65 de esta Resolución).
VII
En segundo lugar, se debe señalar que desde la perspectiva del RGPD figuran
diversos conceptos jurídicos que complementan directamente los incorporados en la
LGT y LSSICE.
En este sentido, respecto a la LGT en cuanto al derecho a oponerse (derecho de
oposición) a recibir llamadas no deseadas con fines de comunicación comercial y a ser
informado de este, será de aplicación el concepto de oposición conforme el RGPD. Se
debe añadir que, según la LOPDGDD, Título IV, donde se recogen «Disposiciones
aplicables a tratamientos concretos», incorpora una serie de supuestos que en ningún
caso debe considerarse exhaustiva de todos los tratamientos lícitos. Dentro de ellos
cabe apreciar, en primer lugar, aquellos respecto de los que el legislador establece una
presunción ?iuris tantum? de prevalencia del interés legítimo del responsable cuando
se lleven a cabo con una serie de requisitos. Junto a estos supuestos se recogen
otros, tales como los ficheros de exclusión publicitaria en que la licitud del tratamiento
proviene de la existencia de un interés público, en los términos establecidos en el
artículo 6.1.e) del RGPD, que requiere, conforme a lo dispuesto en el artículo 8.2, se
encuentre contemplado en una norma con rango de ley que así lo disponga, que, en
este caso, es el artículo 23 de la propia LOPDGDD que regula los ?sistemas de
exclusión publicitaria?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
80/97
Así lo dispone el art 21 del RGPD:
1. El interesado tendrá derecho a oponerse en cualquier momento, por motivos
relacionados con su situación particular, a que datos personales que le conciernan
sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1,
letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones.
El responsable del tratamiento dejará de tratar los datos personales, salvo que
acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los
intereses, los derechos y las libertades del interesado, o para la formulación, el
ejercicio o la defensa de reclamaciones.
2. Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia
directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de
los datos personales que le conciernan, incluida la elaboración de perfiles en la
medida en que esté relacionada con la citada mercadotecnia.
3. Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa,
los datos personales dejarán de ser tratados para dichos fines.
4. A más tardar en el momento de la primera comunicación con el interesado, el
derecho indicado en los apartados 1 y 2 será mencionado explícitamente al interesado
y será presentado claramente y al margen de cualquier otra información.
5. En el contexto de la utilización de servicios de la sociedad de la información, y no
obstante lo dispuesto en la Directiva 2002/58/CE, el interesado podrá ejercer su
derecho a oponerse por medios automatizados que apliquen especificaciones
técnicas.
6. Cuando los datos personales se traten con fines de investigación científica o
histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, el
interesado tendrá derecho, por motivos relacionados con su situación particular, a
oponerse al tratamiento de datos personales que le conciernan, salvo que sea
necesario para el cumplimiento de una misión realizada por razones de interés
público>>.
Lo anterior, sin perjuicio de que el régimen sancionador sea el regulado en la en la
LGT.
Respecto a la LSSICE, la necesidad de autorización expresa por los destinatarios de
comunicaciones comerciales por medios electrónicos se recoge de forma específica
en el art 21.1 de la LSSICE, que señala:
correo electrónico o medios de comunicación electrónica equivalentes.
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por
correo electrónico u otro medio de comunicación electrónica equivalente que
previamente no hubieran sido solicitadas o expresamente autorizadas por los
destinatarios de las mismas>>,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
81/97
Sin perjuicio de que a los efectos formales de recabar la autorización la norma
aplicable sea lo dispuesto en el art 4.11, en relación con el art 19 de la LSSICE, que
dispone:
de por la presente Ley, por su normativa propia y la vigente en materia comercial y de
publicidad.
2. En todo caso, será de aplicación la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal, y su normativa de desarrollo, en especial,
en lo que se refiere a la obtención de datos personales, la información a los
interesados y la creación y mantenimiento de ficheros de datos personales>>.
Sin embargo, en cuanto al derecho de oposición, el artículo 21.2 de la LSSICE
establece la obligación de ofrecer al destinatario la posibilidad de oponerse al
tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo
y gratuito, tanto en el momento de recogida de los datos como en cada una de las
comunicaciones comerciales que le dirijan.
correo electrónico o medios de comunicación electrónica equivalentes.
(?)
2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una
relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita
los datos de contacto del destinatario y los empleara para el envío de comunicaciones
comerciales referentes a productos o servicios de su propia empresa que sean
similares a los que inicialmente fueron objeto de contratación con el cliente.
En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al
tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo
y gratuito, tanto en el momento de recogida de los datos como en cada una de las
comunicaciones comerciales que le dirija.
Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho
medio deberá consistir necesariamente en la inclusión de una dirección de correo
electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho,
quedando prohibido el envío de comunicaciones que no incluyan dicha dirección>>.
En este sentido, esta modalidad de ejercicio del derecho de oposición constituye una
obligación específica en el ámbito de las comunicaciones comerciales realizadas a
través de medios electrónicos. En virtud del artículo 95 del RGPD no se podrán
imponer obligaciones adicionales que tengan el mismo objetivo, como sería, en este
caso, el deber de consultar los sistemas de exclusión publicitaria previsto en el artículo
23.4 de la LOPDGDD, que, por este motivo, no resulta de aplicación.
En todo caso, la infracción se regula en el régimen sancionador de la LSSICE.
Respecto a los derechos ejercidos por los afectados para evitar ser destinatarios de
acciones de mercadotecnia directa.
Considerando 70 del RGPD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
82/97
interesado debe tener derecho a oponerse a dicho tratamiento, inclusive a la
elaboración de perfiles en la medida en que esté relacionada con dicha mercadotecnia
directa, ya sea con respecto a un tratamiento inicial o ulterior, y ello en cualquier
momento y sin coste alguno. Dicho derecho debe comunicarse explícitamente al
interesado y presentarse claramente y al margen de cualquier otra información>>.
Asimismo, los citados conceptos jurídicos que señala el RGPD (entre ellos lo
dispuesto en el art 21 RGPD arriba transcrito) y de aplicación directa a la LGT, se
incorporan también en la LOPDGDD tal y como a continuación se expone:
Art 23 LOPDGDD.
Artículo 23. Sistemas de exclusión publicitaria.
de comunicaciones comerciales a quienes hubiesen manifestado su negativa u
oposición a recibirlas. A tal efecto, podrán crearse sistemas de información, generales
o sectoriales, en los que solo se incluirán los datos imprescindibles para identificar a
los afectados. Estos sistemas también podrán incluir servicios de preferencia,
mediante los cuales los afectados limiten la recepción de comunicaciones comerciales
a las procedentes de determinadas empresas.
2. Las entidades responsables de los sistemas de exclusión publicitaria comunicarán a
la autoridad de control competente su creación, su carácter general o sectorial, así
como el modo en que los afectados pueden incorporarse a los mismos y, en su caso,
hacer valer sus preferencias. La autoridad de control competente hará pública en su
sede electrónica una relación de los sistemas de esta naturaleza que le fueran
comunicados, incorporando la información mencionada en el párrafo anterior. A tal
efecto, la autoridad de control competente a la que se haya comunicado la creación
del sistema lo pondrá en conocimiento de las restantes autoridades de control para su
publicación por todas ellas.
3. Cuando un afectado manifieste a un responsable su deseo de que sus datos no
sean tratados para la remisión de comunicaciones comerciales, este deberá informarle
de los sistemas de exclusión publicitaria existentes, pudiendo remitirse a la
información publicada por la autoridad de control competente.
4. Quienes pretendan realizar comunicaciones de mercadotecnia directa, deberán
previamente consultar los sistemas de exclusión publicitaria que pudieran afectar a su
actuación, excluyendo del tratamiento los datos de los afectados que hubieran
manifestado su oposición o negativa al mismo. A estos efectos, para considerar
cumplida la obligación anterior será suficiente la consulta de los sistemas de exclusión
incluidos en la relación publicada por la autoridad de control competente.
No será necesario realizar la consulta a la que se refiere el párrafo anterior cuando el
afectado hubiera prestado, conforme a lo dispuesto en esta ley orgánica, su
consentimiento para recibir la comunicación a quien pretenda realizarla.>>
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
83/97
VIII
Para el caso de que concurra una infracción de los preceptos del RGPD, entre los
poderes correctivos de los que dispone la Agencia Española de Protección de Datos,
como autoridad de control, el artículo 58.2 de dicho Reglamento contempla los
siguientes:
?2 Cada autoridad de control dispondrá de todos los siguientes poderes correctivos
indicados a continuación:
(?)
b) sancionar a todo responsable o encargado del tratamiento con apercibimiento
cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente
Reglamento;?
(...)
d) ordenar al responsable o encargado del tratamiento que las operaciones de
tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda,
de una determinada manera y dentro de un plazo especificado;
(?)
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de
las medidas mencionadas en el presente apartado, según las circunstancias de cada
caso particular;?.
Según lo dispuesto en el artículo 83.2 del RGPD, la medida prevista en la letra d)
anterior es compatible con la sanción consistente en multa administrativa.
IX
Por lo tanto, VDF en calidad de responsable de los tratamientos llevados por cuenta y
en su nombre y de conformidad con las evidencias de las que se dispone en el
presente momento, se considera que los hechos expuestos podrían incumplir lo
establecido en el artículo 28, con el alcance expresado en los Fundamentos de
Derecho anteriores, lo que, de confirmarse, podrían suponer la comisión de una
infracción tipificada en el artículo 83.4.a) del RGPD, que bajo la rúbrica ?Condiciones
generales para la imposición de multas administrativas? dispone lo siguiente:
El artículo 83.4.a) del RGPD,
?4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 10 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a
39, 42 y 43?.
Consideradas graves a efectos de prescripción en el art 73 de la LOPDGDD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
84/97
El artículo 83.5.c) del RGPD,
?5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
c) las transferencias de datos personales a un destinatario en un tercer país o una
organización internacional a tenor de los artículos 44 a 49?.
En el presente caso consta acreditada la realización por VDF en calidad de
responsable del tratamiento de una transferencia internacional de datos a tercer país
(Perú) al consentir que Casmar llevara a cabo por A-Nexo las acciones de
mercadotecnia en nombre y por cuenta de VDF, según contrato suscrito de fecha
1/05/2019 entre VDF y Casmar y el posterior contrato suscrito entre Casmar y A-nexo
de fecha 27/06/2019; Infracción considerada muy grave a efectos de prescripción en el
art 72.l) de la LOPDGDD.
X
Artículo 71 de la LOPDGDD. Infracciones.
Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5
y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten
contrarias a la presente ley orgánica.
Artículo 72.1.l) Infracciones consideradas muy graves.
consideran muy graves y prescribirán a los tres años las infracciones que supongan
una vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
l) La transferencia internacional de datos personales a un destinatario que se
encuentre en un tercer país o a una organización internacional, cuando no concurran
las garantías, requisitos o excepciones establecidos en los artículos 44 a 49 del
Reglamento (UE) 2016/679.>>
Artículo 73 LOPDGDD. Infracciones consideradas graves.
consideran graves y prescribirán a los dos años las infracciones que supongan una
vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
j) La contratación por el responsable del tratamiento de un encargado de tratamiento
que no ofrezca las garantías suficientes para aplicar las medidas técnicas y
organizativas apropiadas conforme a lo establecido en el Capítulo IV del Reglamento
(UE) 2016/679.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
85/97
k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un
contrato u otro acto jurídico escrito con el contenido exigido por el artículo 28.3 del
Reglamento (UE) 2016/679.
p) El tratamiento de datos personales sin llevar a cabo una previa valoración de los
elementos mencionados en el artículo 28 de esta ley orgánica.
En el presente caso se imputan a VDF la vulneración del artículo 28 del RGPD,
sancionable conforme el artículo 83.4.a) del RGPD, infracción tipificada en el Artículo
73 de la LOPDGDD, apartados j), k), p), y calificada como grave a efectos de
prescripción.
A fin de determinar la multa administrativa a imponer se han de observar las
previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:
?1. Cada autoridad de control garantizará que la imposición de las multas
administrativas con arreglo al presente artículo por las infracciones del presente
Reglamento indicadas en los apartados 4, 9 y 6 sean en cada caso individual
efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias de cada
caso individual, a título adicional o sustitutivo de las medidas contempladas en el
artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa
administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate así
como el número de interesados afectados y el nivel de los daños y perjuicios que
hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
d) el grado de responsabilidad del responsable o del encargado del tratamiento,
habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud
de los artículos 25 y 32;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué
medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas
previamente contra el responsable o el encargado de que se trate en relación con el
mismo asunto, el cumplimiento de dichas medidas (?);
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,
como los beneficios financieros obtenidos o las pérdidas evitadas, directa o
indirectamente, a través de la infracción.
Por su parte, en relación con el art 83.2.k) RGPD, el artículo 76 ?Sanciones y medidas
correctivas? de la LOPDGDD dispone:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
86/97
?1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento
(UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación
establecidos en el apartado 2 del citado artículo.
2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679
también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
(?)
De acuerdo con los preceptos transcritos, y derivado de la instrucción del
procedimiento a efectos de fijar el importe de la sanción por infracción del art 28 del
RGPD a VDF como responsable de la citada infracción tipificada en el artículo 83.4.a)
del RGPD, procede graduar la multa que correspondería imponer como sigue:
Infracción por incumplimiento de lo establecido en el artículo 28 en relación con el 24
del RGPD, tipificada en el artículo 83.4.a) y calificada como grave a efectos de
prescripción en el artículo 73, apartados j), k), p) de la LOPDGDD:
En el presente caso, se estiman concurrentes los criterios de graduación siguientes:
. La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza,
alcance o propósito de las operaciones de tratamiento de que se trata; en cuanto a la
naturaleza y gravedad consta que los tratamientos objeto de análisis responden a una
manifiesta situación de desequilibrio en perjuicio de los derechos de los interesados.
. La intencionalidad o negligencia apreciada en la comisión de la infracción; en el
presente caso, consta una grave negligencia en la conducta de VDF pues tras
reiteradas reclamaciones y conociendo los hechos ahora analizados continua sin
aplicar las medidas correctoras adecuadas.
. El carácter continuado de la infracción. En el supuesto examinado consta acreditada
una infracción y de larga duración, desde el segundo trimestre de 2018 hasta la fecha.
. La alta vinculación de la actividad del infractor con la realización de tratamientos de
datos personales. Es conocido que VDF es una entidad con más de quince millones
de clientes cuyos datos personales son tratados de forma sistemática en el ejercicio de
sus atribuciones como una de las principales operadoras de telecomunicaciones.
. Los beneficios obtenidos como consecuencia de la comisión de la infracción. Es
obvio que los tratamientos de las acciones de mercadotecnia ahora analizadas
responden a la obtención de beneficios.
. La condición de gran empresa de la entidad responsable y su volumen de negocio
(según el informe de cuentas anual auditado correspondiente al periodo de marzo
2018 a marzo 2019, más 1.600 millones de euros de cifra de negocio y con más de
4.000 empleados).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
87/97
. Elevado volumen de datos y tratamientos que constituye el objeto del expediente.
Consta de la documentación aportada por VDF que los tratamientos de las acciones
de mercadotecnia superan los doscientos millones.
. Elevado número de afectados. Constan, al menos, los 162 reclamantes.
. La entidad imputada (VDF) no tiene implantados procedimientos adecuados de
actuación en la contratación y seguimiento efectivo de los encargados del tratamiento
de modo que la infracción no es consecuencia de una anomalía puntual en el
funcionamiento de dichos procedimientos sino un defecto persistente y continuado del
sistema de gestión de los datos personales diseñado por la responsable en cuanto a
los tratamientos delegados a los encargados de estos.
Considerando los factores expuestos, la valoración inicial que alcanza la cuantía de la
multa por la infracción imputada por el art 28 del RGPD es de 4.000.000 ? (cuatro
millones de euros) y por la infracción imputada por el art 44 del RGPD, tipificada en el
artículo 83.5.c) del RGPD es de 2.000.000 ? (dos millones de euros).
XI
Tanto en el acuerdo de inicio como en la propuesta de resolución se advertía de lo
siguiente:
?De confirmarse la infracción, podría también acordarse imponer al responsable
(Vodafone España, S.A.U.) la adopción de medidas adecuadas para ajustar su
actuación a la normativa mencionada en este acto, de acuerdo con lo establecido en
el citado artículo 58.2.d) del RGPD, según el cual cada autoridad de control podrá
?ordenar al responsable o encargado del tratamiento que las operaciones de
tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda,
de una determinada manera y dentro de un plazo especificado??.
En tal caso, en la resolución que se adopte, esta Agencia podrá requerir a la entidad
responsable para que, en el plazo que se determine, adecúe a la normativa de
protección de datos personales las operaciones de tratamiento que delegue en los
encargados y todo ello con el alcance expresado en los Fundamentos de Derecho del
presente acuerdo y sin perjuicio de lo que resulte de la instrucción.
Se advierte que no atender los requerimientos de este organismo puede ser
considerado como una infracción administrativa grave al ?no cooperar con la Autoridad
de control? ante los requerimientos efectuados, pudiendo ser valorada tal conducta a
la hora de la apertura de un procedimiento administrativo sancionador con multa
pecuniaria?.
En el presente caso, se procede a ordenar a VDF en la parte resolutiva de esta
Resolución, en virtud de los poderes correctivos que señala el artículo 58.2.d) del
RGPD, ordenar a VDF que en el plazo de seis meses a contar desde la notificación de
la presente Resolución, acredite ante esta AEPD que ha ajustado a lo dispuesto en el
RGPD y LOPDGDD todas las operaciones de tratamiento analizados en el presente
procedimiento referidos los artículos 17, 21, 24, 28 y 44 a 49 del RGPD y 12, 15, 18,
23, 40 a 43 de la LOPDGDD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
88/97
XII
Artículo 21 de la LSSICE. Prohibición de comunicaciones comerciales realizadas a
través de correo electrónico o medios de comunicación electrónica equivalentes.
correo electrónico u otro medio de comunicación electrónica equivalente que
previamente no hubieran sido solicitadas o expresamente autorizadas por los
destinatarios de las mismas.
2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una
relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita
los datos de contacto del destinatario y los empleara para el envío de comunicaciones
comerciales referentes a productos o servicios de su propia empresa que sean
similares a los que inicialmente fueron objeto de contratación con el cliente. En todo
caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al
tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo
y gratuito, tanto en el momento de recogida de los datos como en cada una de las
comunicaciones comerciales que le dirija.
Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho
medio deberá consistir necesariamente en la inclusión de una dirección de correo
electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho,
quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.>>
En el presente caso consta que los tratamientos realizados de envío de
comunicaciones electrónicas (SMS, email) a través de los diferentes canales utilizados
carecen de autorización expresa de los destinatarios. Las comunicaciones realizadas a
través de SMS se llevaron a cabo sin ofrecer al destinatario la posibilidad eficaz y
comprobada de oponerse al tratamiento. Esta posibilidad no se implantó hasta
noviembre de 2018 a través de un enlace a una web exclusiva para tal finalidad, sin
que llegara a ser efectiva toda vez que los ejercicios de oposición no eran atendidos.
Además, consta que se han realizado comunicaciones comerciales en nombre y por
cuenta de VDF por medios electrónicos a destinatarios que no las habían autorizado
expresamente y que no tenían relación comercial con VDF.
De las evidencias obtenidas se observa que el procedimiento de VDF para la
realización de acciones de mercadotecnia directa a través de comunicaciones
comerciales electrónicas a potenciales clientes, no garantiza el cumplimiento del
artículo 21 de la LSSICE, al dirigirse las acciones de envío de SMS a numeraciones y
direcciones generadas aleatoriamente, lo que impide verificar la existencia de
autorización previa y expresa o, en su defecto, la existencia de una relación comercial
previa de servicios similares.
XIII
Artículo 38 de la LSSICE. Infracciones.
?1. Las infracciones de los preceptos de esta Ley se calificarán como muy graves,
graves y leves.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
89/97
2. Son infracciones muy graves: a) (Sin contenido) b) El incumplimiento de la
obligación de suspender la transmisión, el alojamiento de datos, el acceso a la red o la
prestación de cualquier otro servicio equivalente de intermediación, cuando un órgano
administrativo competente lo ordene, en virtud de lo dispuesto en el artículo 11. c)
(Derogado) d) (Derogado)
3. Son infracciones graves:
c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio
de comunicación electrónica equivalente, o su envío insistente o sistemático a un
mismo destinatario del servicio cuando en dichos envíos no se cumplan los requisitos
establecidos en el artículo 21.
d) El incumplimiento significativo de la obligación del prestador de servicios
establecida en el apartado 1 del artículo 22, en relación con los procedimientos para
revocar el consentimiento prestado por los destinatarios.
XIV
Artículo 39 de la LSSICE. Sanciones
se impondrán las siguientes sanciones:
a) Por la comisión de infracciones muy graves, multa de 150.001 hasta 600.000 euros.
La reiteración en el plazo de tres años de dos o más infracciones muy graves,
sancionadas con carácter firme, podrá dar lugar, en función de sus circunstancias, a la
sanción de prohibición de actuación en España, durante un plazo máximo de dos
años.
b) Por la comisión de infracciones graves, multa de 30.001 hasta 150.000 euros. >>
Artículo 40 de la LSSICE. Graduación de la cuantía de las sanciones.
?La cuantía de las multas que se impongan se graduará atendiendo a los siguientes
criterios:
a) La existencia de intencionalidad.
b) Plazo de tiempo durante el que se haya venido cometiendo la infracción.
c) La reincidencia por comisión de infracciones de la misma naturaleza, cuando así
haya sido declarado por resolución firme.
d) La naturaleza y cuantía de los perjuicios causados.
e) Los beneficios obtenidos por la infracción.
f) Volumen de facturación a que afecte la infracción cometida.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
90/97
g) La adhesión a un código de conducta o a un sistema de autorregulación publicitaria
aplicable respecto a la infracción cometida, que cumpla con lo dispuesto en el artículo
18 o en la disposición final octava y que haya sido informado favorablemente por el
órgano u órganos competentes?.
En el presente caso se aprecian contra la entidad VDF las agravantes de la a) a la f)
indicadas en el arriba transcrito art 40 de la LSSICE.
XV
Artículo 45 de la LSSICE. Prescripción.
?Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y
las leves a los seis meses; las sanciones impuestas por faltas muy graves prescribirán
a los tres años, las impuestas por faltas graves a los dos años y las impuestas por
faltas leves al año?.
En el presente caso no se aprecia prescripción en las infracciones graves cometidas
por VDF.
XVI
Los hechos expuestos podrían suponer por Vodafone España, S.A.U. la comisión de
infracción del artículo 21 de la LSSICE.
Estas Infracciones están tipificadas como graves en el artículo 38.3.c) y d) de la citada
Ley, pudiendo ser sancionada cada una con multa de 30.001 hasta 150.000 ?, de
acuerdo con el artículo 39 de la citada LSSICE.
XVII
Tras las evidencias obtenidas en la fase de investigaciones previas e instrucción, se
considera que procede graduar la sanción a imponer de acuerdo con los siguientes
criterios que establece el art. 40 de la LSSI:
- La existencia de intencionalidad, expresión que ha de interpretarse como equivalente
a grado de culpabilidad de acuerdo con la Sentencia de la Audiencia Nacional de
12/11/2007 recaída en el Recurso núm. 351/2006, correspondiendo a la entidad
denunciada la determinación de un sistema de obtención del consentimiento informado
que se adecue al mandato de la LSSICE (apartado a).
- Plazo de tiempo durante el que ha venido cometiendo la infracción, al ser la
reclamación de mayo de 2018, (apartado b).
- La reincidencia por comisión de infracciones de la misma naturaleza, cuando así
haya sido declarado por resolución firme al haber quedado acreditado la reincidencia
de la misma conducta que se sancionó en el procedimiento de referencia
PS/00290/2018 (apartado c).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
91/97
- La naturaleza y cuantía de los perjuicios causados, con relación al volumen de
usuarios a los que afecta la infracción, más de 12 millones de acciones comerciales de
mercadotecnia, (apartado d) y más de 200 millones de acciones comerciales.
- Los beneficios obtenidos por la infracción, con relación al volumen de usuarios a los
que afecta la infracción (apartado e).
- Volumen de facturación a que afecte la infracción cometida, pues sobrepasa los mil
seiscientos millones de euros en el periodo contable de 31 marzo 2018 a 31 marzo de
2019 (apartado f).
Con arreglo a dichos criterios, se estima adecuado imponer a Vodafone España,
S.A.U. por infracción del artículo 21 de la LSSI una sanción de 150.000 ? (ciento
cincuenta mil euros).
XVIII
Artículo 48.1.b) de la LGT
con las comunicaciones no solicitadas, con los datos de tráfico y de localización y con
las guías de abonados.
1. Respecto a la protección de datos personales y la privacidad en relación con las
comunicaciones no solicitadas los usuarios finales de los servicios de comunicaciones
electrónicas tendrán los siguientes derechos:
b) A oponerse a recibir llamadas no deseadas con fines de comunicación comercial
que se efectúen mediante sistemas distintos de los establecidos en la letra anterior y a
ser informado de este derecho>>.
En el presente caso consta acreditado que se han realizado acciones comerciales por
cuenta y en nombre de VDF a través de llamadas a destinatarios (usuarios finales) que
habían expresado su oposición, bien frente a la entidad llamante, o bien previa
inclusión en el listado de exclusión Robinson de Adigital y/o listados internos de
exclusión de cada una de las entidades intervinientes en el tratamiento encomendado
por VDF en su propio nombre.
De las evidencias obtenidas, señaladas en los antecedentes, se observa que el
procedimiento de VDF para la realización de acciones de mercadotecnia directa a
través de llamadas telefónicas no garantiza el cumplimiento del derecho de oposición
de los usuarios finales con los que contacta a no recibir llamadas comerciales, ni en el
caso de:
1. campañas gestionadas directamente por VDF, ni en,
1. campañas gestionadas por los encargados y subencargados, ya sea
utilizando la base de datos propia de VDF que no verifica que se utilicen
cumpliendo con sus instrucciones, ya sea utilizando las bases de datos propias de
los encargados del tratamiento contratados por cuenta y nombre de VDF. VDF
desconoce cómo se realiza el tratamiento por parte de los encargados y sus
subencargados. No conoce los contratos entre éstos, ni por tanto tiene información
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
92/97
sobre el origen de los datos ni quien asume, en esta subcontratación, la obligada
consulta de ficheros de exclusión de acciones publicitarias.
Consta, además, que VDF no comunica un ejercicio del derecho de oposición que
haya satisfecho a petición de un afectado o tras la resolución de una reclamación en la
AEPD a los encargados y que estos a su vez subcontratan la realización material de
las llamadas. Esta situación tiene como consecuencia reducir a mero formalismo el
ejercicio del derecho de oposición previsto en los preceptos citados, y convierte en
ineficaz el procedimiento de oposición pues nada impide que se vuelvan a realizar
llamadas comerciales a afectados que se encuentren en los supuestos descritos.
XIX
Artículo 77.37 LGT. Infracciones graves.
37. La vulneración grave de los derechos de los consumidores y usuarios finales,
según lo establecido en el título III de la Ley y su normativa de desarrollo.
En el presente caso los hechos analizados se considera infracción grave dado el gran
volumen de actuaciones de mercadotecnia realizadas y las reclamaciones recibidas en
esta AEPD como consecuencia de los derechos vulnerados a los interesados, así
como por la duración excesiva y continuada de las actuaciones de mercadotecnia
llevadas a cabo en nombre y por cuenta de VDF.
Artículo 83. Prescripción
años; las graves, a los dos años, y las leves, al año.
El plazo de prescripción de las infracciones comenzará a computarse desde el día en
que se hubieran cometido. Interrumpirá la prescripción la iniciación, con conocimiento
del interesado, del procedimiento sancionador. El plazo de prescripción volverá a
correr si el expediente sancionador estuviera paralizado durante más de un mes por
causa no imputable al presunto responsable.
En el supuesto de infracción continuada, la fecha inicial del cómputo será aquella en
que deje de realizarse la actividad infractora o la del último acto con que la infracción
se consume. No obstante, se entenderá que persiste la infracción en tanto los
equipos, aparatos o instalaciones objeto del expediente no se encuentren a
disposición de la Administración o quede constancia fehaciente de su imposibilidad de
uso.
2. Las sanciones impuestas por faltas muy graves prescribirán a los tres años; las
impuestas por faltas graves, a los dos años, y las impuestas por faltas leves, al año. El
plazo de prescripción de las sanciones comenzará a computarse desde el día
siguiente a aquel en que adquiera firmeza la resolución por la que se impone la
sanción. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del
procedimiento de ejecución, volviendo a correr el plazo si aquél está paralizado
durante más de un mes por causa no imputable al infractor.>>
XX
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
93/97
Artículo 79.1, c) LGT. Sanciones.
1. Por la comisión de las infracciones tipificadas en los artículos anteriores se
impondrán las siguientes sanciones:
c) Por la comisión de infracciones graves se impondrá al infractor multa por importe de
hasta dos millones de euros.>>
XXI
Los hechos expuestos, suponen la comisión por parte de VDF, de una infracción del
artículo 48.1.b) de la Ley LGT, recogido en su Título III, que señala del derecho: (?) b)
A oponerse a recibir llamadas no deseadas con fines de comunicación comercial que
se efectúen mediante sistemas distintos de los establecidos en la letra anterior y a ser
informado de este derecho?.
Si bien, el citado artículo no configura de forma explícita tal derecho, se debe acudir a
las normas de protección de datos ya indicadas en los Fundamentos anteriores en las
que se regula el derecho de oposición: artículo 21 del RGPD, y artículo 23 de la
LOPDGDD.
Esta Infracción se encuentra tipificada como ?grave?, en el artículo 77.37) de dicha
norma, que considera como tal: ?37. La vulneración grave de los derechos de los
consumidores y usuarios finales, según lo establecido en el título III de la Ley y su
normativa de desarrollo?. pudiendo ser sancionada con multa de hasta 2.000.000 ?, de
acuerdo con el artículo 79.1.c) de la citada LGT.
De acuerdo con los preceptos indicados, a efectos de fijar el importe de la sanción a
imponer en el presente caso, se considera que procede graduar la sanción a imponer
de acuerdo con los siguientes criterios que establece el artículo 80.1) y 2) de la LGT:
graduará teniendo en cuenta, además de lo previsto en el artículo 131.3 de la Ley
30/1992, de 26 de noviembre, de Régimen Jurídico de las administraciones públicas y
del Procedimiento Administrativo Común (debe entenderse referido al art 29 de la ley
40/2015, de 1 de octubre, de RJSP), lo siguiente:
a) La gravedad de las infracciones cometidas anteriormente por el sujeto al que se
sanciona. b) La repercusión social de las infracciones.
c) El beneficio que haya reportado al infractor el hecho objeto de la infracción.
d) El daño causado y su reparación.
e) El cumplimiento voluntario de las medidas cautelares que, en su caso, se impongan
en el procedimiento sancionador.
f) La negativa u obstrucción al acceso a las instalaciones o a facilitar la información o
documentación requerida.
g) El cese de la actividad infractora, previamente o durante la tramitación del
expediente sancionador.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
94/97
2. Para la fijación de la sanción también se tendrá en cuenta la situación económica
del infractor, derivada de su patrimonio, de sus ingresos, de sus posibles cargas
familiares y de las demás circunstancias personales que acredite que le afectan. El
infractor vendrá obligado, en su caso, al pago de las tasas que hubiera debido
satisfacer en el supuesto de haber realizado la notificación a que se refiere el artículo
6 o de haber disfrutado de título para la utilización del dominio público
radioeléctrico>>.
En el caso concreto se señalan los siguientes agravantes para cuantificar la sanción
de multa:
a) La gravedad de las infracciones cometidas anteriormente por el sujeto al que se
sanciona. Consta que la entidad ha sido sancionada con multa o apercibimiento desde
enero de 2018 a febrero de 2020 en más de 50 ocasiones.
b) La repercusión social de las infracciones. El hecho de existir 162 reclamaciones en
el plazo de algo menos de dos años según consta en la AEPD y la gran cantidad de
acciones de mercadotecnia mediante llamadas telefónicas (unos doscientos millones
de acciones de mercadotecnia) permite que quede acreditada la fuerte repercusión
social de los tratamientos ahora analizados.
c) El beneficio que haya reportado al infractor el hecho objeto de la infracción. Todas
las acciones comerciales tienen como finalidad el aumento de los beneficios
reportados que pueden estimarse en el aumento de clientes entre los años 2018 y
2020:
? En telefonía móvil, el número de Clientes de contrato de telefonía móvil
ascendía al cierre del trimestre a 11,4 millones.
? En banda ancha fija, la base de Clientes volvió a crecer hasta alcanzar los 3,2
millones.
? En fibra, se incrementó en 60.000 para cerrar el año con 2,9 millones.
? En Vodafone TV, el número de Clientes creció en 36.000 y superaba al cierre
del último trimestre los 1,3 millones.
d) El daño causado y su reparación. Son evidentes los daños causados en la
privacidad de los afectados, que incluso habiendo ejercido su derecho de exclusión a
acciones de mercadotecnia, fueron contactados nuevamente con esta misma finalidad,
en ocasiones de forma reiterada e insistente.
f) La negativa u obstrucción al acceso a las instalaciones o a facilitar la información o
documentación requerida. Consta que VDF no ha atendido los últimos requerimientos
de información emitidos por esta AEPD. (E/07056/2019 y E/08284/2019).
g) Tampoco consta el cese de la actividad infractora, previamente o durante la
tramitación del expediente de investigación e incluso con posterioridad a la inspección
presencial en los locales de VDF en septiembre de 2019, toda vez que constan
reclamaciones posteriores ante esta AEPD por los mismos hechos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
95/97
En relación con la situación económica del infractor, consta que VDF es una de las
mayores operadoras de telecomunicaciones con facturación anual superior a 1.600
millones de euros y más de 4.000 empleados.
Tras las evidencias obtenidas en la fase de investigaciones previas, se considera que
procede graduar la sanción a imponer en la cuantía de 2.000.000 ? (dos millones de
euros).
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la
Agencia Española de Protección de Datos RESUELVE:
PRIMERO:
IMPONER a VODAFONE ESPAÑA, S.A.U., con NIF A80907397, por una infracción
del Artículo 28 del RGPD en relación con el artículo 24 del RGPD, tipificada conforme
el artículo 83.4.a) del RGPD con sanción administrativa de cuantía cuatro millones de
euros (4.000.000 ?).
IMPONER a VODAFONE ESPAÑA, S.A.U., con NIF A80907397, por infracción del
artículo 44 del RGPD tipificada conforme el artículo 83.5.c) del RGPD, con sanción
administrativa de cuantía dos millones de euros (2.000.000 ?).
IMPONER a VODAFONE ESPAÑA, S.A.U., con NIF A80907397, por infracción del
artículo 21 de la LSSICE, tipificada como grave en el artículo 38.3.d) y c) de dicha
norma con sanción de cuantía ciento cincuenta mil euros (150.000 ?)
IMPONER a VODAFONE ESPAÑA, S.A.U., con NIF A80907397, por infracción del
artículo 48.1.b) de la LGT, en relación con el artículo 21 del RGPD y artículo 23 de la
LOPDGDD, tipificada como grave en el artículo 77.37 de la LGT con sanción de
cuantía dos millones de euros (2.000.000 ?).
ORDENAR a VODAFONE ESPAÑA, S.A.U., con NIF A80907397, para que, en el
plazo de seis meses a contar desde la notificación de la presente Resolución, acredite
ante esta AEPD que ha ajustado a lo dispuesto en el RGPD y LOPDGDD todas las
operaciones de tratamiento analizados en el presente procedimiento referidos los
artículos 17, 21, 24, 28 y 44 a 49 del RGPD y 12, 15, 18, 23, 40 a 43 de la LOPDGDD.
SEGUNDO: NOTIFICAR la presente resolución a VODAFONE ESPAÑA, S.A.U., con
NIF A80907397, con domicilio en Avda. de América 115, 28042 Madrid.
TERCERO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una
vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el
art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago
voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado
por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003,
de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número
de procedimiento que figura en el encabezamiento de este documento, en la cuenta
restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia
Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A.. En caso
contrario, se procederá a su recaudación en período ejecutivo.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
96/97
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se
podrá suspender cautelarmente la resolución firme en vía administrativa si el
interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb
/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.
Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
ANEXO (Ordenado por fecha de entrada de la reclamación en la AEPD)
Leyenda de columnas:
Nº: Número de orden secuencial
R/D/C: Róbinson/Derechos/Consentimiento expreso
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
97/97
PF/PJ: Persona Física/Persona Jurídica
LGT/PD/LSSI: Ley infringida
F.Robin.acredit: Fecha acreditada inclusión en listados de exclusión publicitaria
LINEA: Emisora/Receptora
F.LINEA LLAMADA: Fecha de la acción publicitaria
REFER. AEPD: Código de referencia de la reclamación en la AEPD
RECLAMANTE: Nombre del reclamante (el número indica las veces reclamadas)
TEXTO RECLAM.: Texto de la reclamación presentada por el reclamante
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es