Resolución de la Agencia Española de Protección de Datos PS-00456-2019 de 06 de octubre de 2020

Cuestión

1 / 18

Procedimiento Nº: PS/00456/2019

938-0419

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

En el procedimiento sancionador PS/00456/2019, instruido por la Agencia Española de

Protección de Datos, a la entidad VODAFONE ESPAÑA SAU, con C.I.F.: A80907397,

(en adelante, ?la entidad reclamada?), vista...

Contestacion

1/18

? Procedimiento Nº: PS/00456/2019

938-0419

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

En el procedimiento sancionador PS/00456/2019, instruido por la Agencia Española de

Protección de Datos, a la entidad VODAFONE ESPAÑA SAU, con C.I.F.: A80907397,

(en adelante, ?la entidad reclamada?), vista la denuncia por D. A.A.A. (en adelante, ?el

reclamante?), y en base a los siguientes,

ANTECEDENTES

PRIMERO: Con fecha 27/06/19, tuvo entrada en esta Agencia escrito, presentado por

D. A.A.A. (en adelante, ?el reclamante?), en el que exponía, entre otras, lo siguiente:

?Vodafone ha aceptado por mi parte un consentimiento con la siguiente descripción:

"Acepto que Vodafone trate mis datos de facturación, tráfico y navegación para

enviarme comunicaciones comerciales personalizadas basadas en esta información",

como se puede observar en la imagen.

No tengo constancia de haber dado mi consentimiento en ningún momento para ello,

por lo que han debido de marcarlo sin él o mediante manipulación de la información

otorgada.

En segundo lugar, el listado de consentimientos que solicita en su apartado de

privacidad es manifiestamente confuso. Hay consentimientos afirmativos y negativos

al mismo tiempo, como se puede observar en la imagen "Sección ? Privacidad de tus

datos.png".

Se aporta, entre otras, la siguiente documentación:

1.- Pantallazo de la página web ?URL.1?, donde se aprecia, en el área de ?Privacidad

de tus Datos?, las casillas, según denuncia, premarcadas con (x):

Casilla Consentimiento:

Acepto que Vodafone trate mis datos de localización para que pueda

ofrecerme servicios o productos de Vodafone acordes a mis

necesidades

X

(premarcada)

Acepto que Vodafone trate mis datos de facturación, tráfico y

navegación

para enviarme comunicaciones comerciales personalizadas basada

en esta información.

Acepto que Vodafone me remita comunicaciones comerciales con

ofertas que pudieran ser de mi interés procedentes de terceras

empresas con las que Vodafone haya llegado a un acuerdo.

X

(premarcada)

No acepto que Vodafone me envíe comunicaciones comerciales

relevantes sobre productos, servicios, ofertas, descuentos y

promociones de Vodafone.

X

(premarcada)

No acepto que Vodafone ceda datos anonimizados y agregados

basados en mi navegación, tráfico, facturación y localización a otras

entidades.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/18

SEGUNDO: A la vista de los hechos expuestos en la reclamación y de los documentos

aportados por el reclamante, la Subdirección General de Inspección de Datos procedió

a realizar actuaciones para su esclarecimiento, al amparo de los poderes de

investigación otorgados a las autoridades de control en el art. 57.1 RGPD. Así, con

fecha 28/08/19 y 12/11/19, se dirige un requerimiento informativo a la entidad

reclamada.

TERCERO: Con fecha 02/12/19, la entidad reclamada, remite a esta Agencia, entre

otras, la siguiente información:

?Se adjunta copia de la carta remitida al reclamante informándole de las gestiones

realizadas para solucionar su reclamación. Asimismo, se le pide disculpas por las

molestias ocasionadas.

La App ?Mi Vodafone? cuenta con un apartado específico, denominado ?Permisos y

Preferencias?, en el que únicamente los clientes, mediante acceso con clave personal,

pueden acceder y marcar o desmarcar las opciones pertinentes que consideren

adecuadas para el tratamiento de sus datos personales y proceder o no a la

aceptación de los consentimientos para el uso de los mismos.

Únicamente los clientes tienen potestad para conceder sus permisos mediante esta

aplicación. Mi representada no tiene acceso a los mismos, ni a su modificación, si no

cuenta expresamente con el consentimiento de los clientes.

El reclamante es quien motu proprio puede activar y desactivar esta opción en su

aplicación móvil, y que mi representada no puede acceder a su perfil de cliente para

modificar tales permisos si no cuenta expresamente con su consentimiento, al tratarse

de un caso en el que el reclamante manifiesta su oposición clara para el tratamiento

de sus datos de facturación, tráfico y navegación para enviarle comunicaciones

comerciales, mi representada ha decidido proactivamente tratar este caso

internamente, y desmarcar dicho consentimiento en los sistemas, a fin de cumplir con

su petición.

Aportamos impresión de pantalla de los sistemas de mi representada en la cual se

observan los consentimientos otorgados por el reclamante, antes de haber sido

desmarcada la opción indicada, y el estado final de los sistemas, en los cuales

encontramos dicha opción en la actualidad ya desmarcada.

Hemos dado contestación a la petición del reclamante, quien, tras considerar confusa

la aplicación Mi Vodafone, y no reconocer haber dado consentimiento a uno de los

puntos concretos, mi representada ha procedido proactivamente a desactivar la opción

de dicho consentimiento objeto de la controversia.

En la carta enviada por Vodafone al reclamante, con fecha 02/12/19, se indica lo

siguiente:

?Por medio de la presente carta, queremos poner en su conocimiento que, la

aplicación ?Mi Vodafone?, cuenta con un apartado específico, denominado ?Permisos y

Preferencias?, en el que únicamente los clientes, mediante acceso con clave personal,

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/18

pueden acceder y marcar o desmarcar las opciones pertinentes que consideren

adecuadas para el tratamiento de sus datos personales y proceder o no a la

aceptación de los consentimientos para su uso.

Pese a que la compañía Vodafone no puede acceder a los perfiles de los clientes para

modificar tales permisos si no cuenta expresamente con su consentimiento, al tratarse

de un caso en el que usted manifiesta su oposición clara para el tratamiento de sus

datos de facturación, tráfico y navegación para enviarle comunicaciones comerciales,

hemos decidido tratar este caso internamente, y desmarcar dicho consentimiento en

los sistemas, cumpliendo así con su petición. Le pedimos disculpas por las molestias

que le hayamos podido causar?.

CUARTO: A la vista de los hechos denunciados, de la documentación aportada por

las partes y de conformidad con las evidencias de que se dispone, la Inspección de

Datos de esta Agencia Española de Protección de Datos consideró que la actuación

de la entidad reclamada no cumplía las condiciones que impone la normativa en vigor,

por lo que procede la apertura de un procedimiento sancionador. Así, con fecha

12/03/20, la Directora de la Agencia Española de Protección de Datos acordó iniciar

procedimiento sancionador a la entidad reclamada, en virtud de los poderes

establecidos, por incumplir el principio del consentimiento libre, contemplado en el

artículo 7 RGPD, lo que podrían suponer la comisión de una infracción tipificada en el

artículo 6 del RGPD, sobre la licitud del tratamiento de los datos personales,

sancionable conforme a lo dispuesto en el art. 58.2 del citado RGPD, con una sanción

inicial de 40.000 euros, argumentado que:

?El reclamante denuncia que, en su cuenta personal "Mi Vodafone", apartado "permisos

y preferencias" (Privacidad de tus datos), de las 5 casillas relacionadas con los

consentimientos para distintos fines, está marcada por defecto y sin su consentimiento

la casilla: "Acepto que Vodafone trate mis datos de facturación, tráfico y navegación

para enviarme comunicaciones comerciales personalizadas basadas en esta información".

Considera que esta casilla se ha manipulado?.

También denuncia que el listado de los 5 consentimientos es confuso, puesto que hay

consentimientos afirmativos y negativos al mismo tiempo y aporta capturas de pantalla

en la que se ven cinco casillas, tres de ellas marcadas.

En las alegaciones presentadas por la entidad reclamada, en ningún momento se niega

que las casillas del consentimiento estén previamente marcadas y solo indica que

?la entidad no puede acceder a ellas para manipularlas si no cuenta expresamente con

el consentimiento del cliente, y que al tratarse de un caso en el que se manifiesta claramente

las preferencias del cliente procede a desmarcarlas?.

SÉPTIMO: Notificado el acuerdo de inicio, la entidad reclamada, mediante escrito de

fecha 16/04/20, formuló, en síntesis, las siguientes alegaciones:

?El reclamante indica que, siendo cliente de Vodafone, accedió al área personal de Mi

Vodafone vía web y detectó que en el área de ?Privacidad de tus Datos?, se

encontraba aceptado por su parte un consentimiento con la siguiente descripción

"Acepto que Vodafone trate mis datos de facturación, tráfico y navegación para

enviarme comunicaciones comerciales personalizadas basadas en esta información",

sin tener constancia de haber prestado tal consentimiento en ningún momento.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/18

Tras recibir la reclamación, Vodafone actuó con máxima celeridad, y debido a que el

reclamante manifestó su oposición clara para el tratamiento de sus datos de

facturación, tráfico y navegación para enviarle comunicaciones comerciales, mi

representada procedió a desmarcar dicho consentimiento en sus sistemas, a fin de

cumplir con la petición del cliente. Dicha actuación contó con la máxima diligencia y

celeridad, en tanto quedaron implementados los cambios en su totalidad en fecha

27/11/19, esto es, tan sólo quince días después de recibir la reclamación y, teniendo

en cuenta, que las modificaciones en sistemas no se realizan inmediatamente, sino

que conllevan cierta tardanza hasta que quedan sincronizados adecuadamente.

Vodafone respondió tanto a la Agencia como al reclamante el 02/12/19, informando

sobre las gestiones realizadas, en concreto, (i) modificación del consentimiento del

reclamante para no recibir comunicaciones comerciales manifestado a través de la

reclamación y, (ii) explicación sobre el funcionamiento del área personal de Mi

Vodafone (vía web y vía app). Respecto a esto último, se puso de manifiesto que a Mi

Vodafone accede única y exclusivamente el cliente titular con su correspondiente

usuario y contraseña. Dentro de ese entorno donde figura toda la información de los

servicios y datos de cliente, también se encuentra en un apartado específico

denominado ?Permisos y Preferencias? al que se llega accediendo a ?Datos

Personales? (vía web) o ?Mi Cuenta? (vía app), la gestión personal de los

consentimientos por parte del cliente donde puede marcar o desmarcar las distintas

opciones que considere adecuadas para el tratamiento de sus datos personales y, de

esta manera proporcionar su consentimiento o no a Vodafone.

En definitiva, las casillas de otorgamiento de consentimientos expresos para el

tratamiento de datos personales de los interesados en relación a finalidades que así lo

requieren, en ningún caso y bajo ningún concepto vienen pre-marcadas y es el cliente

o interesado quien decide qué, cuándo y cómo quiere voluntariamente marcar o no las

casillas de consentimiento expreso.

Únicamente los clientes tienen potestad para gestionar sus permisos y preferencias

mediante esta aplicación, por lo que Vodafone no puede acceder a los mismos, ni

modificarlos, si no cuenta expresamente con el consentimiento del cliente. Esto, de

manera implícita, pone de relevancia que (i) Vodafone no manipula los

consentimientos otorgados por el interesado y, (ii) Vodafone no modifica las casillas,

salvo que el cliente se lo pida de manera expresa (como mi representada entendió

que así lo hacía el reclamante a través de la reclamación). Es decir, no existe un

consentimiento tácito, si el cliente no marca las casillas Vodafone no puede tratar sus

datos para las finalidades de tratamiento que requieren un consentimiento expreso del

interesado.

La Agencia establece en el Fundamento de Derecho II del Acuerdo de Inicio de

procedimiento sancionador que, ?en las alegaciones presentadas por la entidad

reclamada, en ningún momento se niega que las casillas del consentimiento estén

previamente marcadas y solo indica que: a).- la entidad no puede acceder a ellas para

manipularlas si no cuenta expresamente con el consentimiento del cliente, y b).- que al

tratarse de un caso en el que se manifiesta claramente las preferencias del cliente

procede a desmarcar el consentimiento en sus sistemas.?

En este sentido, mi representada quiere poner de manifiesto de una manera clara y

rotunda, que las casillas de otorgamiento de consentimiento expreso de los

interesados para ciertos tratamientos de datos no vienen bajo ningún motivo premarcadas.

La gestión de los consentimientos para el tratamiento de los datos por

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/18

parte de Vodafone es un sistema claro y transparente para todos sus clientes porque

pueden acceder al mismo tanto vía web como vía app y modificarlo en cualquier

momento y cuantas veces quieran. Esta forma de solicitar y presentar los

consentimientos nace del proyecto para la correcta implementación de los permisos

para el tratamiento de datos personales derivados de las modificaciones legales

introducidas por el RGPD y LSSI.

Previo al RGPD el consentimiento tácito estaba permitido, de ahí la transformación a

la hora de recabar los consentimientos de los clientes por parte de Vodafone. Estos

consentimientos, que mi representada agrupa y denomina como ?Permisos y

Preferencias? están incluidos sin pre-marcar en todos los modelos de contratos, de

manera que un cliente en el momento de leer y firmar las condiciones contractuales

del servicio tiene la opción de marcar según estime oportuno los consentimientos

expresos que otorga a Vodafone para el tratamiento de sus datos que sustenten su

base de legitimación en el consentimiento expreso del artículo 6.1.a) del RGPD.

Estos Permisos figuran en todos los modelos contractuales: contratación presencial,

online o televenta. A continuación, esta información queda almacenada en los

sistemas de Vodafone, en el perfil del cliente. Por tanto, si un cliente por alguno de

estos canales de contratación marca alguna casilla se entenderá que ha dado su

consentimiento y figurará en su ficha de cliente. Mi representada no marca los

permisos y preferencias del cliente si éste no ha dado su consentimiento expreso para

ello previamente.

Acabamos de explicar la situación con la que se encuentran los nuevos clientes de

Vodafone a la hora de recabar su consentimiento para el tratamiento de sus datos

personales según las finalidades descritas, la cual se extrapola a todas aquellas

personas que ya eran clientes de Vodafone a la hora de lanzar la funcionalidad de

Permisos y Preferencias. En ninguna circunstancia, ni en los sistemas ni en el entorno

de Mi Vodafone aparecen pre-marcadas las casillas hasta que el cliente lo hace

personalmente, por tanto, hasta ese momento, mi representada no puede tratar los

datos personales del cliente para las finalidades que requieren dichos

consentimientos. Por tanto, respecto a los clientes de cartera, bien hasta que ellos no

se pongan en contacto con Vodafone para autorizar y dar de manera expresa su

consentimiento, o bien accedan directa y personalmente a Mi Vodafone para dar su

consentimiento, Vodafone no puede tratar sus datos personales.

Un cliente puede cambiar de parecer en cualquier momento, por tanto, para que

pueda gestionar esos cambios de una manera más sencilla, rápida y cómoda, y no

sólo lo solicite a través del Servicio de Atención al Cliente de mi representada, puede

acometer esta gestión a través del entorno privado de Mi Vodafone en el apartado de

Permisos y Preferencias. Mi Vodafone les facilita acceder en cualquier momento y

lugar y gestionar sus consentimientos como estimen oportuno. Siendo esto una

muestra de la transparencia y compromiso de Vodafone con la gestión del tratamiento

de los datos.

En todo caso, aclarar que Vodafone a la hora de gestionar los consentimientos de sus

clientes siempre tendrá en cuenta su última voluntad, es decir, el último cambio que

conste en sistemas realizado por el cliente con independencia si se realizó a través del

Servicio de Atención al Cliente o Mi Vodafone. De todo lo dicho hasta el momento se

deduce de manera clara que Vodafone:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/18

- No tiene pre-marcadas las casillas de consentimientos expresos de sus clientes

, sino que son ellos quienes marcan o no sus permisos y preferencias para

el tratamiento de sus datos.

- Es imposible que Vodafone manipule o altere los consentimientos de sus clientes.

- Vodafone sólo puede gestionar los Permisos y Preferencias de un cliente cuando

hay una petición expresa, por ejemplo, a través del Servicio de Atención al

Cliente o una reclamación de la Agencia.

Por tanto, respecto al caso concreto del reclamante, la única razón por la que la casilla

de ?Acepto que Vodafone trate mis datos de facturación, tráfico y navegación para

enviarme comunicaciones comerciales personalizadas basadas en esta información?,

aparece marcada es bien porque él mismo a la hora de contratar el servicio lo marcó,

bien en algún momento accedió a la app de Mi Vodafone y lo marcó, o bien se puso

en algún momento en contacto con Vodafone y dio su consentimiento para ello. No ha

habido manipulación alguna por parte de Vodafone.

Si esas casillas aparecen marcadas es porque el reclamante en algún momento

usando algunas de las vías ya mencionadas, marcó esas dos casillas poniendo de

manifiesto su voluntad para el tratamiento de datos por parte de Vodafone. Porque,

recordemos, esas dos casillas por defecto no están pre-marcadas. Así como el hecho

de que los otros dos consentimientos no estén marcados. Por tanto, eso demuestra

que en algún momento el reclamante gestionó sus consentimientos y estableció sus

Permisos y Preferencias para el tratamiento de los datos por parte de Vodafone,

aunque no consiga acordarse del momento exacto en que lo hizo.

En concreto, de la copia de pantalla de los sistemas de mi representada que se

observa a continuación, el reclamante otorgó su consentimiento para el tratamiento de

datos de tráfico y facturación el 2705/17 a través de una llamada al call center o

Servicio de Atención al Cliente de Vodafone. Por lo que no se puede imputar a

Vodafone el incumplimiento del artículo 7 del RGPD, dado que la evidencia de

aceptación de los tratamientos de datos plasmados en Mi Vodafone es el propio log

que registra el sistema cuando se marcan las casillas oportunas y se guardan dichos

cambios.

A la hora de gestionar un cambio en los Permisos y Preferencias en Mi Vodafone (vía

web y app), no es tan sencillo como marcar una casilla, sino que se requiere una

doble confirmación. A continuación, se muestra un ejemplo de un caso en particular

donde, teniendo las dos últimas casillas marcadas, se va a realizar un cambio

desmarcando las que aparecen seleccionadas en primera instancia y marcando dos

casillas distintas. Cuando se realiza un cambio aparece una ventana emergente al

final de la página donde se contabiliza el número de cambios que el interesado ha

hecho y se solicita guardar dichos cambios. De no hacerlo, todo permanecerá igual.

En las siguientes capturas de pantalla se puede evidenciar esta doble confirmación de

seguridad:

Mi representada interpretó que el reclamante no quería recibir comunicaciones comerciales

personalizadas basadas en sus datos de tráfico, navegación y facturación, por

lo que, al estar marcada esa opción en su perfil y el reclamante no estar conforme con

ello, Vodafone procedió a modificar en el perfil de cliente del reclamante este consentimiento

, otorgando el ejercicio de su derecho de oposición a dicho tratamiento de datos.

Una medida que mi representada consideró adecuada al tener constancia del ma-

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/18

lestar del reclamante por escrito y, entender que disponía de su consentimiento para

acometer dicho cambio, a tenor de la definición de ?consentimiento del interesado?, recogido

en el Considerando 32 del RGPD: ?El consentimiento debe darse mediante un

acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada

, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal

que le conciernen, como una declaración por escrito, inclusive por medios electrónicos

, o una declaración verbal?.

Respecto a la apreciación que realiza la Agencia del artículo 4.11 del RGPD en su

Fundamento de Derecho III sobre ?el consentimiento del interesado en el tratamiento

de sus datos personales como: ?toda manifestación de voluntad libre, específica, informada

e inequívoca por la que el interesado acepta, ya sea mediante una declaración o

una clara acción afirmativa, el tratamiento de datos personales que le conciernen?,

esta parte se remite a lo ya dicho en el Fundamente de Derecho anterior, por el cual

se ha explicado la gestión de los consentimientos de los clientes.

Vodafone no trata datos de sus clientes si no dispone de los consentimientos correspondientes

recogidos de manera voluntaria a través de la sección Permisos y Preferencias

articulada tanto en el contrato como en el entorno privado digital de Mi Vodafone.

La manera en que está articulada la gestión de los consentimientos por parte de

mi representada cumple con los requisitos establecidos por el RDPD. Se encuentran

en Mi Vodafone, dentro de la sección de ?Datos Personales? (via web) o?Mi Cuenta?

(via app) bajo el epígrafe de Permisos y Preferencias. Es accesible por el cliente donde

y cuando quiera y en ella se le informa de la finalidad del tratamiento en cada uno

de los supuestos de una manera clara e inequívoca. Esto lo podemos observar de las

capturas de pantalla que extraemos del apartado Permisos y Preferencias del entorno

web de Mi Vodafone (el mismo contenido se visualiza en la app sólo que adaptado al

formato de pantalla móvil) que se pueden ver a continuación:

Se puede observar que, al final de la sección el cliente puede hacer ?click? en el

enlace ?Ver más detalles? donde se le proporciona más información sobre el

tratamiento de los datos en cada uno de los supuestos, como se detalla a

continuación:

Queda demostrado con ello que Vodafone tiene implementada una herramienta muy

completa y sólida para la gestión de los consentimientos de los clientes a través de la

cual ellos pueden manifestar libre y voluntariamente sus preferencias al facilitar toda la

información de manera completa, inequívoca y transparente, basado en un modelo de

información por capas como recoge la propia Agencia en su Guía para el cumplimiento

del deber de informar, el RDPD y, la Ley Orgánica 3/2018, de 5 de septiembre de

Protección de Datos Personales y garantía de los derechos digitales (?LOPD?), en

concreto el art. 11 de la LOPD señala: ?Cuando los datos de carácter personal sean

obtenidos del afectado a través de redes de comunicaciones electrónicas o en el

marco de la prestación de un servicio de la sociedad de la información, (?) el

responsable del tratamiento podrá dar cumplimiento al deber de información (?)

facilitando al afectado la información básica a la que se refiere el apartado siguiente e

indicándole una dirección electrónica u otro medio que permita acceder de forma

sencilla e inmediata a la restante información.?

Siguiendo el razonamiento de la Agencia en el Fundamento de Derecho III en el que,

tras analizar la importancia y características del consentimiento, concluye que: ?En el

caso que nos ocupa, la entidad reclamada utiliza, para la recopilación del

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/18

consentimiento de los clientes, un cuestionario donde existen casillas pre-marcadas.

También se comprueba que los consentimientos son confusos, puesto que hay

consentimientos afirmativos y negativos al mismo tiempo e incluso podrían llegar a ser

contradictorios como el de: ?Acepto que Vodafone trate mis datos de facturación,

tráfico y navegación para enviarme comunicaciones comerciales personalizadas

basada en esta información? y ?No acepto que Vodafone me envíe comunicaciones

comerciales relevantes sobre productos, servicios, ofertas, descuentos y promociones

de Vodafone?.

En primer lugar, quiere Vodafone poner de nuevo de manifiesto que los

consentimientos no se presentan a través de casillas pre-marcadas, sino que es cada

cliente de manera voluntaria quien marca las casillas que estima pertinentes de

acuerdo a sus preferencias para que mi representada trate sus datos personales

acorde a ello. Al no venir pre-marcadas, significa que por defecto Vodafone no tratará

los datos personales para las finalidades de tratamiento que requieren el

consentimiento de sus clientes, es decir, sus datos personales no serán tratados de la

siguiente forma:

- No se utilizarán los datos de localización para ofrecer productos y servicios de

Vodafone acorde a las necesidades del cliente.

- No se utilizarán los datos de facturación, tráfico y navegación para enviar comunicaciones

comerciales personalizadas basadas en dicha información.

- No se enviarán comunicaciones comerciales con ofertas que pudieras ser del

interés del cliente procedentes de terceras empresas con las que Vodafone

tenga acuerdos.

Únicamente si el cliente da su consentimiento expreso marcando estas casillas, en el

momento de la contratación, en un momento posterior o a través del Servicio de

Atención al Cliente, Vodafone podrá tratar sus datos personales con esas finalidades.

En segundo lugar, respecto a la confusión aludida tanto por el reclamante como ahora

por la Agencia sobre la redacción de los Permisos y Preferencias, Vodafone niega que

exista confusión. En la lista de permisos y preferencias se recogen los

consentimientos expresos que los interesados pueden otorgar a Vodafone, así como

se facilita el ejercicio del derecho de oposición a ciertos tratamientos de datos para los

que Vodafone cuenta con una base jurídica del tratamiento distinta al consentimiento.

Es más, cabe destacar que Vodafone es la única operadora en el mercado español

que facilita tantas opciones al usuario para la gestión del tratamiento de sus datos

personales de un manera clara y sencilla. Esto se ha podido demostrar en acciones

tan recientes como la comunicación de datos anonimizados y agregados de las

operadoras al INE para elaborar un estudio de movilidad de los españoles el pasado

mes de noviembre. Sólo mi representada a través de Mi Vodafone en el apartado de

Permisos y Preferencias permitía que sus clientes marcaran la casilla correspondiente

para oponerse a que sus datos de localización fuesen comunicados. En el caso de

Orange había que solicitarlo por email y Telefónica no daba ninguna opción.

Entrando más en detalle sobre esta cuestión, son cinco los Permisos y Preferencias

los cuales se agrupan en dos grandes bloques. Los tres primeros comienzan con

?Acepto?:

Son los permisos denominados ?opt-in? por los cuales el cliente manifiesta, de acuerdo

a RGPD, LOPD y LSSI, de manera expresa su consentimiento para que Vodafone

pueda tratar sus datos personales para el envío de comunicaciones comerciales.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/18

Finalidades claramente explicadas en el apartado ?Ver más detalles? como ya se ha

explicado en el Fundamento anterior y requieren de dicho consentimiento como base

jurídica en cumplimiento del artículo 6 del RGPD.

A mayor abundamiento, y con el ánimo de proporcionar todavía más información y

facilidades a los clientes de Vodafone entendiendo su preocupación por el correcto

uso y tratamiento de sus datos personales por parte de mi representada, se establece

un segundo bloque de preferencias:

Son los permisos denominados ?opt-out? y que facilitan el ejercicio del derecho de

oposición al tratamiento de datos de una forma automática.

El ?opt-out? que hace referencia al envío de comunicaciones sobre productos,

servicios y ofertas de Vodafone, se trata de un derecho de oposición a un tratamiento

de datos que no requiere como base jurídica el consentimiento expreso del interesado,

sino que la base legal del mismo se enmarca en la ejecución del contrato en el que el

interesado es parte. Así lo establece la legislación especial aplicable sobre la

normativa de protección de datos en este caso como es la LSSI, en su artículo 21.2.

en el que se establece como excepción a la prohibición del envío de comunicaciones

comerciales realizadas a través de correo electrónico o medios de comunicación

electrónica equivalentes sin consentimiento previo, que exista una relación contractual

previa entre el proveedor de servicios y el cliente y las comunicaciones sean

referentes a productos o servicios de la propia empresa y similares a los que

inicialmente fueron objeto de contratación con el cliente.

Asimismo, se enmarca dentro de los casos de interés legítimo como se recoge en el

Considerando 47 del RGPD que ?recuerda que el interés legítimo de un responsable,

de un cesionario o de un tercero, ?puede constituir una base jurídica para el

tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del

interesado, teniendo en cuenta las expectativas razonables de los interesados

basadas en su relación con el responsable?.

Tal y como pide la norma y también queda recogido en los informes del Gabinete

Jurídico de la Agencia 2018-0173 y 2017-0195, internamente se llevó a cabo un

?evaluación minuciosa? teniendo en cuenta si ?los intereses y los derechos

fundamentales del interesado podrían prevalecer sobre los intereses del responsable

del tratamiento cuando se proceda al tratamiento de los datos personales en

circunstancias en las que el interesado no espere razonablemente que se realice un

tratamiento ulterior?. Siguiendo las directrices marcadas por la Agencia, se entiende

que existe un interés legítimo ?cuando existe una relación pertinente y apropiada entre

el interesado y el responsable, como en situaciones en las que el interesado es

cliente?, que es exactamente la relación entre Vodafone y su cartera de clientes a los

que les presta los servicios de telecomunicaciones. Además, continúan ambos

informes indicando como ejemplo que no es necesario la obtención del consentimiento

para aquellos supuestos referidos ?a comunicaciones relativas a ?productos o servicios

de su propia empresa que sean similares a los que inicialmente fueron objeto de

contratación con el cliente?.

Esto es justamente a lo que se refiere el primero de los permisos de este segundo

bloque. En concreto, la posibilidad de recibir ofertas de productos y servicios de

Vodafone. Por tanto, este apartado estaría amparado en la doctrina del interés

legítimo de manera que mi representada no tendría ni siquiera que contemplar la

posibilidad y dar la opción a sus clientes. Sin embargo, y como venimos repitiendo a lo

largo de todo el escrito, Vodafone quiere ser una entidad transparente para sus

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

10/18

clientes y está profundamente comprometida con la gestión y tratamiento de los datos

personales. Por eso, cada una de sus acciones van encaminadas a ello, siendo ésta

una de ellas al permitir a sus clientes incluso bloquear la posibilidad de recibir ofertas

propias de Vodafone. El que la fórmula utilizada sea la de ?opt-out? es para diferenciar

del resto de permisos, cuyo consentimiento si ha de ser expreso, mientras que en esta

opción no es necesario al existir interés legítimo.

El último de los apartados, también bajo la fórmula de ?opt-out?, es el relativo a la

comunicación de datos anonimizados y agregados basados en la navegación, tráfico,

facturación y localización a otras entidades. El motivo por el cual no aparece como

?opt-in? es por la naturaleza en sí misma de los datos que se tratan, dado que no se

requiere un consentimiento expreso del interesado en el tratamiento de estos datos

para dicha finalidad por los motivos que se explican a continuación. Los datos a los

que hace referencia son datos anónimos y agregados y, por tanto, desde ese mismo

momento ya no tienen la consideración de datos personales, la privacidad de los

clientes queda completamente protegida porque no es posible su identificación de

manera que, respecto a dichos datos no es posible aplicar ninguna norma sobre

protección de datos. Esta afirmación tan categórica viene recogida en el Considerando

26 del RGPD: ?Por lo tanto los principios de protección de datos no deben aplicarse a

la información anónima, es decir información que no guarda relación con una persona

física identificada o identificable, ni a los datos convertidos en anónimos de forma que

el interesado no sea identificable, o deje de serlo. En consecuencia, el presente

Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines

estadísticos o de investigación.? Una vez más queda patente que Vodafone cumple

con la normativa en materia de protección y da un paso más allá al ofrecer más

posibilidades a sus clientes en la gestión del tratamiento de sus datos personales

porque, en este caso, mi representada no tendría por qué proporcionar esta opción ya

que la información a tratar en este último permiso al estar anonimizada no tiene la

consideración de datos personales.

Teniendo en cuenta todo lo anterior, mi representada quiere resaltar la falta de

intencionalidad infractora en este supuesto de hecho, en tanto Vodafone ha actuado

conforme a la normativa existente en la materia, en pro de salvaguardar el interés y la

correcta comprensión de los usuarios a la hora de otorgar el consentimiento para el

tratamiento de sus datos personales. En este sentido, se ha visto, además, cómo el

entorno privado de Mi Vodafone (vía app o web) es un medio sencillo, electrónico, y

gratuito, por el cual los clientes puedan acceder a los Permisos y Preferencias para

gestionar el tratamiento de sus datos personales. Por ello, esta parte considera y

defiende que la actuación de mi representada ha sido diligente, y de acuerdo a la

legalidad.

Es relevante resaltar la derogación del artículo 130 de la Ley 30/1992, de 26 de

noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento

Administrativo Común que establecía que ?sólo podrán, sancionados por hechos

constitutivos de infracción administrativas las personas físicas y jurídicas que resulten

responsables de los mismos aún a título de simple inobservancia?. Su sustitución por

el artículo 28.1 de la Ley 40/2015 de 1 de octubre, de Régimen Jurídico del Sector

Público elimina la mención a la ?simple inobservancia? haciendo prevalecer la regla

?nullum poena sine culpa?, principio básico que implica la exclusión de imposición de

sanciones por el mero resultado, sin atender a la conducta negligente del administrado

no hace más que excluir la aplicabilidad de sanción alguna con base en esta causa.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

11/18

Lo anterior, no viene sino a poner de manifiesto la falta de cabida de la

responsabilidad sin culpa, principio que rige o ha de regir en el ámbito administrativo

sancionador, pues en la medida que es manifestación de ?ius puniendi? del Estado,

resulta inadmisible en nuestro ordenamiento jurídico un régimen de responsabilidad

sin culpa.

A mayor abundamiento, la Sentencia del Tribunal Constitucional número 219/1988,

indicaba que el elemento definidor de la culpa es subjetivo, en su doble significado de

voluntariedad en la acción u omisión y responsabilidad personal o por actos propios.

Por consiguiente, se rechaza por el alto Tribunal la posibilidad de que exista en

nuestro ordenamiento un régimen de responsabilidad sin culpa, si falla uno de los dos

elementos, como es el caso de que nos ocupa, dado que no es posible encontrar ni el

menor atisbo de voluntariedad a la hora de cometer una infracción.

Queda por ende claro que, en la realización objetiva de la acción como infracción

administrativa, sin hacer referencia a la voluntariedad del sujeto infractor, como es el

caso que nos ocupa, no puede ser objeto de infracción, y ello por resultar inadmisible

un régimen de responsabilidad objetiva o sin culpa como igualmente viene a señalar la

Sentencia 246/1991. No podrá ser sancionada mi representada por infracción del

artículo 6 de la LOPDGDD y el RGPD y el artículo 7 del RGPD, sin que se haga

referencia al elemento subjetivo del tipo, no demostrándose ni dolo, ni culpa, ni

negligencia. Adicionalmente, teniendo en cuenta la especial naturaleza del Derecho

sancionador que determina la imposibilidad de imponer sanciones sin tener en cuenta

la voluntad del sujeto actor o los factores que hayan podido determinar el

incumplimiento de una obligación legal, esta parte mantiene la improcedencia de la

imposición de sanción alguna.

Así, el Tribunal Supremo en Sentencia de 21 de diciembre de 1998 (RJ1998/10226)

dispone que "el derecho a la presunción de inocencia se erige como fundamental,

dentro de las garantías procesales constitucionalizadas del párrafo 2.º del artículo 24

de la Constitución, y se concreta en un contenido constitucional que tanto la

jurisprudencia del Tribunal Constitucional como la del Tribunal Supremo han

significado, señalando que nadie puede ser condenado, en su caso, o sancionado

administrativamente sin un mínimo de actividad probatoria lícito y legítimamente

obtenido, que demuestre la culpabilidad del imputado, como esta Sala ha declarado,

entre otras, en Sentencias de 20 enero 1996 (RJ 1996\695) (Recurso de Apelación

9074/1991), 27 enero 1996 (RJ 1996\926) (Recurso de Apelación 640/1992) y 20

enero 1997 (RJ 1997\257) (Recurso de Apelación 2689/1992)".

También señala el Tribunal Supremo en Sentencia de 20 de julio de 1990, Ar. 6163,

establece que, "participando el régimen administrativo sancionador del carácter del

derecho punitivo, el principio de «nulla pena sine culpa» está correctamente aplicado

en la sentencia de la Sala Territorial, debiendo presumirse por tanto la ausencia de

intencionalidad en la infracción y en consecuencia la improcedencia de la sanción

cuando se ha justificado que la no inclusión de mercancías en el manifiesto ha sido

debida a error oportunamente subsanado".

Como puede apreciarse, en la conducta descrita no concurre intencionalidad alguna,

ni a título de dolo, ni a título de culpa. Por consiguiente, no existiendo culpabilidad

alguna, resulta de todo punto improcedente imponer sanción alguna a mi

representada, en cuanto falta uno de los requisitos esenciales del Derecho

Administrativo sancionador. Todo ello teniendo en cuenta que ha quedado evidenciado

que:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

12/18

- Vodafone no tiene pre-marcadas las casillas de sus Permisos y Preferencias,

sólo cuando el cliente da su consentimiento expreso, mi representada puede

tratar sus datos para los fines detallados.

- Solo el cliente puede otorgar su consentimiento a Vodafone para tratar sus datos

, bien cuando firma el contrato de prestación de servicios, o cuando ya es

cliente, bien por el Servicio de Atención al Cliente bien por el entorno privado

de Mi Vodafone.

- Vodafone gestionó la petición de no recibir comunicaciones comerciales del Sr.

González cuando tuvo conocimiento de ello a través de la reclamación.

- Vodafone cumple con la normativa en materia de protección de datos a la hora

de establecer las distintas opciones de consentimiento en los Permisos y Preferencias

:

- Opt-in para los casos en los que se necesita el consentimiento expreso, libre,

informado e inequívoco.

- Opt-out para el supuesto amparado en la ejecución del contrato y el interés legítimo.

- Opt-out para el tratamiento de datos anonimizados y agregados que, por tanto,

no tienen la consideración de datos personales por lo que no le es de aplicación

la normativa.

Lo procedente es que la Agencia Española de Protección de Datos acuerde el

sobreseimiento del presente expediente y el archivo de las actuaciones ya que los

hechos se han producido sin intencionalidad alguna por parte de mi representada.

Subsidiariamente y para el caso de que a pesar de las explicaciones anteriormente

facilitadas, la Agencia entendiera que mi representada es merecedora de una sanción

por la comisión de una infracción de los artículos 6 y 7 del RGPD, la cuantía de dicha

sanción deberá moderarse, imponiéndose en su cuantía mínima, teniendo en cuenta

las siguientes circunstancias recogidas en el art. 83.2 del RGPD:

- El tratamiento de los datos se ha realizado localmente.

- La celeridad con la que Vodafone resolvió el problema, dos semanas después

a la recepción de la reclamación tomando en consideración que los cambios en

los sistemas informáticos no pueden realizarse de manera inmediata.

- No se produjo ningún tipo de perjuicio económico

- No existe ninguna intencionalidad por parte de Vodafone en los hechos reclamados.

- No se tratan categorías de datos sensibles en ningún caso por Vodafone.

- Mi representada está adoptando toda la diligencia que le puede ser exigida

para asegurar que los procesos de otorgamiento de consentimiento para la recepción

de campañas publicitarias se realizan correctamente a través de los

medios electrónicos puestos a disposición de los clientes, mediante la aplicación

Mi Vodafone, así como la página web de Vodafone.

Se solicita: El sobreseimiento del expediente, con el consiguiente archivo de las

actuaciones y Subsidiariamente, imponer a mi representada las sanciones por

infracciones leves en su grado mínimo?.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

13/18

OCTAVO: Con fecha 21/04/20, se inició el período de práctica de pruebas,

acordándose: a).- dar por reproducidos a efectos probatorios la denuncia interpuesta

por la denunciante y su documentación, los documentos obtenidos y generados que

forman parte del expediente E/10699/2019 y b).- dar por reproducido a efectos

probatorios, las alegaciones al acuerdo de inicio del PS/00456/2019, presentadas por

la entidad denunciada.

NOVENO: Con fecha 29/07/20, se notifica a la entidad reclamada la propuesta de resolución

en la que se propone que, por la Directora de la Agencia Española de Protección

de Datos se proceda al ARCHIVO del presente procedimiento sancionador al no

existir vulneración de lo estipulado en el RGPD, y que se requiera a la entidad para

que, proceda a separar o diferenciar claramente los actos de consentimiento afirmativo

de los actos de ?oponerse al tratamiento de los datos anonimizados? y a ?recibir comunicaciones

promocionales de la compañía?.

Tras la notificación de la propuesta de resolución, NO se ha recibido en esta Agencia

alegaciones a la misma, en el periodo concedió a efecto.

A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos

en el presente procedimiento se consideran hechos probados los siguientes,

HECHOS PROBADOS

1º.- Con fecha 27/06/19, el reclamante denuncia que, en la página web de la compañía

Vodafone, donde se da el consentimiento para el tratamiento de los datos personales,

ha comprobado que una de las preguntas que se hace a los clientes para solicitar su

consentimiento, está premarcada en ?acepto?, concretamente, la casilla perteneciente

a la pregunta: "Acepto que Vodafone trate mis datos de facturación, tráfico y

navegación para enviarme comunicaciones comerciales personalizadas basadas en

esta información". También se denuncia que, el listado de cuestiones donde se solicita

el consentimiento es confuso pues hay consentimientos afirmativos y negativos al

mismo tiempo.

2º.- Con fecha 02/12/19, Vodafone argumenta que ellos no pueden acceder a la

página de los consentimientos para manipularlos si no cuenta expresamente con la

autorización del cliente, y que al tratarse de un caso en el que se manifiesta

claramente las preferencias del cliente procede a desmarcar el consentimiento en sus

sistemas. En ningún momento, la entidad niega que las casillas del consentimiento

estuvieran previamente marcadas.

3º.- Con fecha 12/03/20, la Directora de la Agencia Española de Protección de Datos

acordó iniciar procedimiento sancionador a la entidad reclamada, por presunta

infracción del artículo 6 del RGPD, referente a la licitud del consentimiento.

4º.- Con fecha 16/04/20, la entidad reclamada, remite a esta agencia alegaciones a la

incoación del expediente indicando, en esencia que:

a. Sobre las casillas premarcadas.- las casillas de otorgamiento de consentimientos

expresos para el tratamiento de datos personales de los interesados

con relación a finalidades que así lo requieren, en ningún caso y bajo ningún

concepto vienen premarcadas y es el cliente o interesado quien decide

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

14/18

qué, cuándo y cómo quiere voluntariamente marcar o no las casillas de consentimiento

expreso. Únicamente los clientes tienen potestad para gestionar sus

permisos y preferencias mediante esta aplicación, por lo que Vodafone no puede

acceder a los mismos, ni modificarlos, si no cuenta expresamente con el

consentimiento del cliente. La única razón por la que la casilla aparece marcada

es bien porque el reclamante a la hora de contratar el servicio lo marcó, bien

en algún momento accedió a la app de Mi Vodafone y lo marcó, o bien se puso

en algún momento en contacto con Vodafone y dio su consentimiento para ello.

No ha habido manipulación alguna por parte de Vodafone para que esa casilla

aparezca marcada. La entidad aporta el pantallazo de la página web, donde se

solicita el consentimiento de los clientes, con las casillas en blanco, sin premarcar.

b. Sobre la existencia de preguntas contradictorias (afirmativas y negativas), en el

cuestionario.- Las cuestiones negativas: ?no acepto?, se refieren a permisos denominados

?opt-out?, que facilitan el ejercicio del derecho de oposición al tratamiento

de datos de una forma automática:

o El ?opt-out?: ?No acepto que Vodafone me envíe comunicaciones comerciales

relevantes sobre productos, servicios, ofertas, descuentos y promociones

de Vodafone?, se trata de un derecho de oposición a un tratamiento

de datos que no requiere como base jurídica el consentimiento

expreso del interesado, sino que la base legal del mismo se enmarca en

la ejecución del contrato en el que el interesado es parte. Así lo establece

la legislación especial aplicable sobre la normativa de protección de

datos en este caso como es la LSSI, en su artículo 21.2.

o El ?opt-out?: ?No acepto que Vodafone ceda datos anonimizados y agregados

basados en mi navegación, tráfico, facturación y localización a

otras entidades?. se trata de un derecho de oposición que no requiere

un consentimiento expreso del interesado en el tratamiento de estos datos

para dicha finalidad, ya que son datos anónimos y agregados y, por

tanto, no tienen la consideración de datos personales. La privacidad de

los clientes queda completamente protegida porque no es posible su

identificación de manera que, respecto a dichos datos no es posible

aplicar ninguna norma sobre protección de datos. Esta afirmación viene

recogida en el Considerando 26 del RGPD.

FUNDAMENTOS DE DERECHO

I

Es competente para resolver este procedimiento la Directora de la Agencia Española

de Protección de Datos, de conformidad con lo dispuesto en el art. 58.2 del RGPD en

el art. 47 de LOPDGDD.

II

La valoración conjunta de la prueba documental obrante en el procedimiento trae a

conocimiento de la AEPD una visión de la actuación denunciada que ha quedado

reflejada en los hechos declarados probados arriba relatados.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

15/18

En el presente caso, la denuncia versaba sobre dos posibles infracciones al RGPD:

a). Por una parte, se denuncia que, en la página donde la entidad, recoge el

consentimiento de los clientes para tratar sus datos personales, existen casillas que ya

están premarcadas antes de que el cliente de o no su consentimiento. En este caso,

ante el requerimiento de esta Agencia para que la compañía diera explicaciones a esta

parte de la denuncia, ésta en ningún momento negó tal afirmación, limitándose a

informar que, ?la entidad no puede acceder a la página de los consentimientos para

manipularlos si no cuenta expresamente con la autorización del cliente, y que al

tratarse de un caso en el que se manifiesta claramente las preferencias del cliente

procede a desmarcar el consentimiento en sus sistemas? y no es hasta que, esta

Agencia inicia el expediente sancionador, cuando la compañía aporta prueba,

remitiendo pantallazo de la página de recogida del consentimiento, donde se aprecia

que las casillas están en blanco, (sin premarcar), declarando en este momento que:

?las casillas de otorgamiento de consentimientos expresos para el tratamiento de

datos personales de los interesados con relación a finalidades que así lo requieren, en

ningún caso y bajo ningún concepto vienen premarcadas y es el cliente o interesado

quien decide qué, cuándo y cómo quiere voluntariamente marcar o no las casillas de

consentimiento expreso?.

b).- Por lo que respecta a la segunda parte de la denuncia, donde se indica que el

listado de consentimientos que solicita la compañía, es confuso ya que hay

consentimientos afirmativos y negativos al mismo tiempo, la compañía alega que los

consentimientos negativos se refieren a permisos denominados ?opt-out?, y que

facilitan el ejercicio del derecho de oposición al tratamiento de datos de una forma

automática. Las dos opciones negativas son:

- ?No acepto que Vodafone me envíe comunicaciones comerciales relevantes

sobre productos, servicios, ofertas, descuentos y promociones de Vodafone?

- ?No acepto que Vodafone ceda datos anonimizados y agregados basados en

mi navegación, tráfico, facturación y localización a otras entidades?

Pues bien, en un primer momento vemos como se solicita el consentimiento mediante

un acto de inacción, en el cual si el cliente desea que le envíen comunicaciones

comerciales de Vodafone o que la compañía ceda sus datos anonimizados basados en

la navegación a otras entidades debe dejar sin marcar la casilla. Pero este acto de, ?no

marcar la casilla? da lugar a preguntarse si el cliente realmente desea que le envíen

comunicaciones comerciales y cedan sus datos anonimizados o por el contrario no

marcó la casilla por un despiste o cualquier otro motivo y realmente lo que deseaba es

que NO le enviasen comunicaciones comerciales o NO deseaba que sus datos

anonimizados fueran cedidos, dando lugar a una situación dudosa.

En este sentido, el considerando 32) del RGPD, indica que: ?El consentimiento debe

darse mediante un acto afirmativo claro que refleje una manifestación de voluntad

libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de

datos de carácter personal que le conciernen? Por tanto, el silencio, las casillas ya

marcadas o la inacción no deben constituir consentimiento. El consentimiento debe

darse para todas las actividades de tratamiento realizadas con el mismo o los mismos

fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para

todos ellos??

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

16/18

Los artículos 6 y 7 del mismo RGPD se refieren, respectivamente, a la ?Licitud del

tratamiento? y las ?Condiciones para el consentimiento?, además procede tener en

cuenta, igualmente lo establecido en el artículo 6 de la LOPDGDD sobre el tratamiento

basado en el consentimiento del afectado: ?1. De conformidad con lo dispuesto en el

artículo 4.11 del Reglamento (UE) 2016/679, se entiende por consentimiento del

afectado toda manifestación de voluntad libre, específica, informada e inequívoca por

la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el

tratamiento de datos personales que le conciernen.

De acuerdo con lo expresado, con este mecanismo no se da opción para que el cliente

preste su consentimiento a los tratamientos de que se trate, sino que el consentimiento

se pretende recabar mediante la inacción del interesado, (?no marcar las casillas en

las que se indica ?NO acepto??), en contra de lo establecido en el RGPD.

En este caso, no se trata de una acción afirmativa, sino de una pura inacción que no

asegura que el interesado otorga inequívocamente el consentimiento (se considera

que, cuando marcas algo es porque lo quieres, no porque no lo quieres); ya que puede

no haber entendido la doble negación; o puede no haberse prestado la atención

debida al leer las indicaciones en cuestión. Se trata, en definitiva, de un

consentimiento que pretende deducirse de la inacción y, por tanto, contrario al RGPD,

no se cumple el requisito según el cual ?el consentimiento debe darse mediante un

acto afirmativo claro que refleje una manifestación de voluntad libre, específica,

informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter

personal que le conciernen?, entendiéndose que ?la inacción no debe constituir

consentimiento? (Considerando 32 del RGPD).

No obstante, la entidad reclamada alega que: el ?opt-out?: ?No acepto que Vodafone

me envíe comunicaciones comerciales relevantes sobre productos, servicios, ofertas,

descuentos y promociones de Vodafone?, se trata de un derecho de oposición a un

tratamiento de datos que no requiere como base jurídica el consentimiento expreso del

interesado, sino que la base legal del mismo se enmarca en la ejecución del contrato

en el que el interesado es parte. Así lo establece la legislación especial aplicable sobre

la normativa de protección de datos en este caso como es la LSSI, en su artículo 21.2.

El art 21 de la LSSI, sobre la ?prohibición de comunicaciones comerciales realizadas a

través de correo electrónico o medios de comunicación electrónica equivalentes?,

indica:

1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por

correo electrónico u otro medio de comunicación electrónica equivalente que

previamente no hubieran sido solicitadas o expresamente autorizadas por los

destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una

relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita

los datos de contacto del destinatario y los empleara para el envío de comunicaciones

comerciales referentes a productos o servicios de su propia empresa que sean

similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al

tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

17/18

y gratuito, tanto en el momento de recogida de los datos como en cada una de las

comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho

medio deberá consistir necesariamente en la inclusión de una dirección de correo

electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho,

quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

En base a lo estipulado en el citado artículo 21 de la LSSI, la entidad reclamada puede

enviar comunicaciones publicitarias o promocionales sobre sus productos, servicios,

ofertas, o descuentos, siempre que sea por correo electrónico u otro medio de

comunicación electrónica equivalente, al existir una relación contractual previa entre

ambos, ofreciendo además, la posibilidad de oponerse al envío, según se marca en el

apartado segundo del citado artículo.

No obstante, todo esto choca con lo indicado anteriormente sobre que el

consentimiento debe darse mediante un acto afirmativo claro que refleje una

manifestación de voluntad libre, específica, informada y afirmativa, del interesado de

aceptar el tratamiento de datos de carácter personal que le conciernen. Por lo que este

acto de ?oponerse al tratamiento de sus datos con fines promocionales de la propia

compañía?, debería estar separado o claramente diferenciado de los otros actos de

consentimiento afirmativos.

Respecto al otro ?opt-out?: ?No acepto que Vodafone ceda datos anonimizados y

agregados basados en mi navegación, tráfico, facturación y localización a otras

entidades?. La entidad alega que se trata de un derecho de oposición que no requiere

un consentimiento expreso del interesado en el tratamiento de estos datos para dicha

finalidad, ya que son datos anónimos y agregados y, por tanto, no tienen la

consideración de datos personales.

La compañía alega que, ?la privacidad de los clientes queda completamente protegida

porque no es posible su identificación de manera que, respecto a dichos datos no es

posible aplicar ninguna norma sobre protección de datos?.

Esta afirmación viene recogida en el Considerando 26 del RGPD: ?Los principios de la

protección de datos deben aplicarse a toda la información relativa a una persona física

identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a

una persona física mediante la utilización de información adicional, deben

considerarse información sobre una persona física identificable. Para determinar si

una persona física es identificable, deben tenerse en cuenta todos los medios, como la

singularización, que razonablemente pueda utilizar el responsable del tratamiento o

cualquier otra persona para identificar directa o indirectamente a la persona física.

Para determinar si existe una probabilidad razonable de que se utilicen medios para

identificar a una persona física, deben tenerse en cuenta todos los factores objetivos,

como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto

la tecnología disponible en el momento del tratamiento como los avances

tecnológicos. Por lo tanto, los principios de protección de datos no deben aplicarse a

la información anónima, es decir información que no guarda relación con una persona

física identificada o identificable, ni a los datos convertidos en anónimos de forma que

el interesado no sea identificable, o deje de serlo. En consecuencia, el presente

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

18/18

Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines

estadísticos o de investigación?.

Por lo tanto, y según el considerando 26, aludido anteriormente, el tratamiento de

datos anonimizados basados en la navegación, el tráfico, la facturación o la

localización, que realiza la entidad, no debería estar supeditado al RGPD. No

obstante, el posibilitar que el cliente se niegue a que la información obtenida sea

tratada por la entidad en el mismo cuestionario donde se pide el consentimiento puede

dar lugar a una situación contradictorias y dudosas. Por lo que este acto de ?oponerse

al tratamiento de los datos anonimizados?, debería estar separado o claramente

diferenciado de los otros actos de consentimiento afirmativos.

Por lo tanto, a tenor de lo anteriormente expuesto, Por la Directora de la Agencia

Española de Protección de Datos,

RESUELVE :

ARCHIVAR: el procedimiento PS/00456/2019, iniciado a la entidad VODAFONE ESPAÑA

SAU, con C.I.F.: A80907397,

REQUERIR: a la entidad VODAFONE ESPAÑA SAU., para que, en el plazo de un mes

desde este acto de notificación de la resolución, proceda a separar o diferenciar claramente

los actos de consentimiento afirmativo de los actos de oposición, como el de

?oponerse al tratamiento de los datos anonimizados? y el de ?recibir comunicaciones

promocionales de la compañía?.

NOTIFICAR: el presente Acuerdo a la entidad VODAFONE ESPAÑA SAU.

De conformidad con lo establecido el artículo 82 de la Ley 62/2003, de 30 de diciembre

, de medidas fiscales, administrativas y del orden social, la presente Resolución se

hará pública, una vez haya sido notificada a los interesados. La publicación se realizará

conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia

Española de Protección de Datos sobre publicación de sus Resoluciones.

Contra esta resolución, que pone fin a la vía administrativa, y de conformidad con lo

establecido en los artículos 112 y 123 de la LPACAP, los interesados podrán interponer

, potestativamente, recurso de reposición ante la Directora de la Agencia Española

de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación

de esta resolución, o, directamente recurso contencioso administrativo ante la

Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto

en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley

29/1998, de 13/07, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo

de dos meses a contar desde el día siguiente a la notificación de este acto, según

lo previsto en el artículo 46.1 del referido texto legal.

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es