Última revisión
Resolución de la Agencia Española de Protección de Datos PS-00456-2019 de 06 de octubre de 2020
Relacionados:
Órgano: Agencia Española de Protección de Datos
Fecha: 06/10/2020
Num. Resolución: PS-00456-2019
Cuestión
Sector:1 / 18
Procedimiento Nº: PS/00456/2019
938-0419
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
En el procedimiento sancionador PS/00456/2019, instruido por la Agencia Española de
Protección de Datos, a la entidad VODAFONE ESPAÑA SAU, con C.I.F.: A80907397,
(en adelante, ?la entidad reclamada?), vista...
Contestacion
1/18
? Procedimiento Nº: PS/00456/2019
938-0419
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
En el procedimiento sancionador PS/00456/2019, instruido por la Agencia Española de
Protección de Datos, a la entidad VODAFONE ESPAÑA SAU, con C.I.F.: A80907397,
(en adelante, ?la entidad reclamada?), vista la denuncia por D. A.A.A. (en adelante, ?el
reclamante?), y en base a los siguientes,
ANTECEDENTES
PRIMERO: Con fecha 27/06/19, tuvo entrada en esta Agencia escrito, presentado por
D. A.A.A. (en adelante, ?el reclamante?), en el que exponía, entre otras, lo siguiente:
?Vodafone ha aceptado por mi parte un consentimiento con la siguiente descripción:
"Acepto que Vodafone trate mis datos de facturación, tráfico y navegación para
enviarme comunicaciones comerciales personalizadas basadas en esta información",
como se puede observar en la imagen.
No tengo constancia de haber dado mi consentimiento en ningún momento para ello,
por lo que han debido de marcarlo sin él o mediante manipulación de la información
otorgada.
En segundo lugar, el listado de consentimientos que solicita en su apartado de
privacidad es manifiestamente confuso. Hay consentimientos afirmativos y negativos
al mismo tiempo, como se puede observar en la imagen "Sección ? Privacidad de tus
datos.png".
Se aporta, entre otras, la siguiente documentación:
1.- Pantallazo de la página web ?URL.1?, donde se aprecia, en el área de ?Privacidad
de tus Datos?, las casillas, según denuncia, premarcadas con (x):
Casilla Consentimiento:
Acepto que Vodafone trate mis datos de localización para que pueda
ofrecerme servicios o productos de Vodafone acordes a mis
necesidades
X
(premarcada)
Acepto que Vodafone trate mis datos de facturación, tráfico y
navegación
para enviarme comunicaciones comerciales personalizadas basada
en esta información.
Acepto que Vodafone me remita comunicaciones comerciales con
ofertas que pudieran ser de mi interés procedentes de terceras
empresas con las que Vodafone haya llegado a un acuerdo.
X
(premarcada)
No acepto que Vodafone me envíe comunicaciones comerciales
relevantes sobre productos, servicios, ofertas, descuentos y
promociones de Vodafone.
X
(premarcada)
No acepto que Vodafone ceda datos anonimizados y agregados
basados en mi navegación, tráfico, facturación y localización a otras
entidades.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/18
SEGUNDO: A la vista de los hechos expuestos en la reclamación y de los documentos
aportados por el reclamante, la Subdirección General de Inspección de Datos procedió
a realizar actuaciones para su esclarecimiento, al amparo de los poderes de
investigación otorgados a las autoridades de control en el art. 57.1 RGPD. Así, con
fecha 28/08/19 y 12/11/19, se dirige un requerimiento informativo a la entidad
reclamada.
TERCERO: Con fecha 02/12/19, la entidad reclamada, remite a esta Agencia, entre
otras, la siguiente información:
?Se adjunta copia de la carta remitida al reclamante informándole de las gestiones
realizadas para solucionar su reclamación. Asimismo, se le pide disculpas por las
molestias ocasionadas.
La App ?Mi Vodafone? cuenta con un apartado específico, denominado ?Permisos y
Preferencias?, en el que únicamente los clientes, mediante acceso con clave personal,
pueden acceder y marcar o desmarcar las opciones pertinentes que consideren
adecuadas para el tratamiento de sus datos personales y proceder o no a la
aceptación de los consentimientos para el uso de los mismos.
Únicamente los clientes tienen potestad para conceder sus permisos mediante esta
aplicación. Mi representada no tiene acceso a los mismos, ni a su modificación, si no
cuenta expresamente con el consentimiento de los clientes.
El reclamante es quien motu proprio puede activar y desactivar esta opción en su
aplicación móvil, y que mi representada no puede acceder a su perfil de cliente para
modificar tales permisos si no cuenta expresamente con su consentimiento, al tratarse
de un caso en el que el reclamante manifiesta su oposición clara para el tratamiento
de sus datos de facturación, tráfico y navegación para enviarle comunicaciones
comerciales, mi representada ha decidido proactivamente tratar este caso
internamente, y desmarcar dicho consentimiento en los sistemas, a fin de cumplir con
su petición.
Aportamos impresión de pantalla de los sistemas de mi representada en la cual se
observan los consentimientos otorgados por el reclamante, antes de haber sido
desmarcada la opción indicada, y el estado final de los sistemas, en los cuales
encontramos dicha opción en la actualidad ya desmarcada.
Hemos dado contestación a la petición del reclamante, quien, tras considerar confusa
la aplicación Mi Vodafone, y no reconocer haber dado consentimiento a uno de los
puntos concretos, mi representada ha procedido proactivamente a desactivar la opción
de dicho consentimiento objeto de la controversia.
En la carta enviada por Vodafone al reclamante, con fecha 02/12/19, se indica lo
siguiente:
?Por medio de la presente carta, queremos poner en su conocimiento que, la
aplicación ?Mi Vodafone?, cuenta con un apartado específico, denominado ?Permisos y
Preferencias?, en el que únicamente los clientes, mediante acceso con clave personal,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/18
pueden acceder y marcar o desmarcar las opciones pertinentes que consideren
adecuadas para el tratamiento de sus datos personales y proceder o no a la
aceptación de los consentimientos para su uso.
Pese a que la compañía Vodafone no puede acceder a los perfiles de los clientes para
modificar tales permisos si no cuenta expresamente con su consentimiento, al tratarse
de un caso en el que usted manifiesta su oposición clara para el tratamiento de sus
datos de facturación, tráfico y navegación para enviarle comunicaciones comerciales,
hemos decidido tratar este caso internamente, y desmarcar dicho consentimiento en
los sistemas, cumpliendo así con su petición. Le pedimos disculpas por las molestias
que le hayamos podido causar?.
CUARTO: A la vista de los hechos denunciados, de la documentación aportada por
las partes y de conformidad con las evidencias de que se dispone, la Inspección de
Datos de esta Agencia Española de Protección de Datos consideró que la actuación
de la entidad reclamada no cumplía las condiciones que impone la normativa en vigor,
por lo que procede la apertura de un procedimiento sancionador. Así, con fecha
12/03/20, la Directora de la Agencia Española de Protección de Datos acordó iniciar
procedimiento sancionador a la entidad reclamada, en virtud de los poderes
establecidos, por incumplir el principio del consentimiento libre, contemplado en el
artículo 7 RGPD, lo que podrían suponer la comisión de una infracción tipificada en el
artículo 6 del RGPD, sobre la licitud del tratamiento de los datos personales,
sancionable conforme a lo dispuesto en el art. 58.2 del citado RGPD, con una sanción
inicial de 40.000 euros, argumentado que:
?El reclamante denuncia que, en su cuenta personal "Mi Vodafone", apartado "permisos
y preferencias" (Privacidad de tus datos), de las 5 casillas relacionadas con los
consentimientos para distintos fines, está marcada por defecto y sin su consentimiento
la casilla: "Acepto que Vodafone trate mis datos de facturación, tráfico y navegación
para enviarme comunicaciones comerciales personalizadas basadas en esta información".
Considera que esta casilla se ha manipulado?.
También denuncia que el listado de los 5 consentimientos es confuso, puesto que hay
consentimientos afirmativos y negativos al mismo tiempo y aporta capturas de pantalla
en la que se ven cinco casillas, tres de ellas marcadas.
En las alegaciones presentadas por la entidad reclamada, en ningún momento se niega
que las casillas del consentimiento estén previamente marcadas y solo indica que
?la entidad no puede acceder a ellas para manipularlas si no cuenta expresamente con
el consentimiento del cliente, y que al tratarse de un caso en el que se manifiesta claramente
las preferencias del cliente procede a desmarcarlas?.
SÉPTIMO: Notificado el acuerdo de inicio, la entidad reclamada, mediante escrito de
fecha 16/04/20, formuló, en síntesis, las siguientes alegaciones:
?El reclamante indica que, siendo cliente de Vodafone, accedió al área personal de Mi
Vodafone vía web y detectó que en el área de ?Privacidad de tus Datos?, se
encontraba aceptado por su parte un consentimiento con la siguiente descripción
"Acepto que Vodafone trate mis datos de facturación, tráfico y navegación para
enviarme comunicaciones comerciales personalizadas basadas en esta información",
sin tener constancia de haber prestado tal consentimiento en ningún momento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/18
Tras recibir la reclamación, Vodafone actuó con máxima celeridad, y debido a que el
reclamante manifestó su oposición clara para el tratamiento de sus datos de
facturación, tráfico y navegación para enviarle comunicaciones comerciales, mi
representada procedió a desmarcar dicho consentimiento en sus sistemas, a fin de
cumplir con la petición del cliente. Dicha actuación contó con la máxima diligencia y
celeridad, en tanto quedaron implementados los cambios en su totalidad en fecha
27/11/19, esto es, tan sólo quince días después de recibir la reclamación y, teniendo
en cuenta, que las modificaciones en sistemas no se realizan inmediatamente, sino
que conllevan cierta tardanza hasta que quedan sincronizados adecuadamente.
Vodafone respondió tanto a la Agencia como al reclamante el 02/12/19, informando
sobre las gestiones realizadas, en concreto, (i) modificación del consentimiento del
reclamante para no recibir comunicaciones comerciales manifestado a través de la
reclamación y, (ii) explicación sobre el funcionamiento del área personal de Mi
Vodafone (vía web y vía app). Respecto a esto último, se puso de manifiesto que a Mi
Vodafone accede única y exclusivamente el cliente titular con su correspondiente
usuario y contraseña. Dentro de ese entorno donde figura toda la información de los
servicios y datos de cliente, también se encuentra en un apartado específico
denominado ?Permisos y Preferencias? al que se llega accediendo a ?Datos
Personales? (vía web) o ?Mi Cuenta? (vía app), la gestión personal de los
consentimientos por parte del cliente donde puede marcar o desmarcar las distintas
opciones que considere adecuadas para el tratamiento de sus datos personales y, de
esta manera proporcionar su consentimiento o no a Vodafone.
En definitiva, las casillas de otorgamiento de consentimientos expresos para el
tratamiento de datos personales de los interesados en relación a finalidades que así lo
requieren, en ningún caso y bajo ningún concepto vienen pre-marcadas y es el cliente
o interesado quien decide qué, cuándo y cómo quiere voluntariamente marcar o no las
casillas de consentimiento expreso.
Únicamente los clientes tienen potestad para gestionar sus permisos y preferencias
mediante esta aplicación, por lo que Vodafone no puede acceder a los mismos, ni
modificarlos, si no cuenta expresamente con el consentimiento del cliente. Esto, de
manera implícita, pone de relevancia que (i) Vodafone no manipula los
consentimientos otorgados por el interesado y, (ii) Vodafone no modifica las casillas,
salvo que el cliente se lo pida de manera expresa (como mi representada entendió
que así lo hacía el reclamante a través de la reclamación). Es decir, no existe un
consentimiento tácito, si el cliente no marca las casillas Vodafone no puede tratar sus
datos para las finalidades de tratamiento que requieren un consentimiento expreso del
interesado.
La Agencia establece en el Fundamento de Derecho II del Acuerdo de Inicio de
procedimiento sancionador que, ?en las alegaciones presentadas por la entidad
reclamada, en ningún momento se niega que las casillas del consentimiento estén
previamente marcadas y solo indica que: a).- la entidad no puede acceder a ellas para
manipularlas si no cuenta expresamente con el consentimiento del cliente, y b).- que al
tratarse de un caso en el que se manifiesta claramente las preferencias del cliente
procede a desmarcar el consentimiento en sus sistemas.?
En este sentido, mi representada quiere poner de manifiesto de una manera clara y
rotunda, que las casillas de otorgamiento de consentimiento expreso de los
interesados para ciertos tratamientos de datos no vienen bajo ningún motivo premarcadas.
La gestión de los consentimientos para el tratamiento de los datos por
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/18
parte de Vodafone es un sistema claro y transparente para todos sus clientes porque
pueden acceder al mismo tanto vía web como vía app y modificarlo en cualquier
momento y cuantas veces quieran. Esta forma de solicitar y presentar los
consentimientos nace del proyecto para la correcta implementación de los permisos
para el tratamiento de datos personales derivados de las modificaciones legales
introducidas por el RGPD y LSSI.
Previo al RGPD el consentimiento tácito estaba permitido, de ahí la transformación a
la hora de recabar los consentimientos de los clientes por parte de Vodafone. Estos
consentimientos, que mi representada agrupa y denomina como ?Permisos y
Preferencias? están incluidos sin pre-marcar en todos los modelos de contratos, de
manera que un cliente en el momento de leer y firmar las condiciones contractuales
del servicio tiene la opción de marcar según estime oportuno los consentimientos
expresos que otorga a Vodafone para el tratamiento de sus datos que sustenten su
base de legitimación en el consentimiento expreso del artículo 6.1.a) del RGPD.
Estos Permisos figuran en todos los modelos contractuales: contratación presencial,
online o televenta. A continuación, esta información queda almacenada en los
sistemas de Vodafone, en el perfil del cliente. Por tanto, si un cliente por alguno de
estos canales de contratación marca alguna casilla se entenderá que ha dado su
consentimiento y figurará en su ficha de cliente. Mi representada no marca los
permisos y preferencias del cliente si éste no ha dado su consentimiento expreso para
ello previamente.
Acabamos de explicar la situación con la que se encuentran los nuevos clientes de
Vodafone a la hora de recabar su consentimiento para el tratamiento de sus datos
personales según las finalidades descritas, la cual se extrapola a todas aquellas
personas que ya eran clientes de Vodafone a la hora de lanzar la funcionalidad de
Permisos y Preferencias. En ninguna circunstancia, ni en los sistemas ni en el entorno
de Mi Vodafone aparecen pre-marcadas las casillas hasta que el cliente lo hace
personalmente, por tanto, hasta ese momento, mi representada no puede tratar los
datos personales del cliente para las finalidades que requieren dichos
consentimientos. Por tanto, respecto a los clientes de cartera, bien hasta que ellos no
se pongan en contacto con Vodafone para autorizar y dar de manera expresa su
consentimiento, o bien accedan directa y personalmente a Mi Vodafone para dar su
consentimiento, Vodafone no puede tratar sus datos personales.
Un cliente puede cambiar de parecer en cualquier momento, por tanto, para que
pueda gestionar esos cambios de una manera más sencilla, rápida y cómoda, y no
sólo lo solicite a través del Servicio de Atención al Cliente de mi representada, puede
acometer esta gestión a través del entorno privado de Mi Vodafone en el apartado de
Permisos y Preferencias. Mi Vodafone les facilita acceder en cualquier momento y
lugar y gestionar sus consentimientos como estimen oportuno. Siendo esto una
muestra de la transparencia y compromiso de Vodafone con la gestión del tratamiento
de los datos.
En todo caso, aclarar que Vodafone a la hora de gestionar los consentimientos de sus
clientes siempre tendrá en cuenta su última voluntad, es decir, el último cambio que
conste en sistemas realizado por el cliente con independencia si se realizó a través del
Servicio de Atención al Cliente o Mi Vodafone. De todo lo dicho hasta el momento se
deduce de manera clara que Vodafone:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/18
- No tiene pre-marcadas las casillas de consentimientos expresos de sus clientes
, sino que son ellos quienes marcan o no sus permisos y preferencias para
el tratamiento de sus datos.
- Es imposible que Vodafone manipule o altere los consentimientos de sus clientes.
- Vodafone sólo puede gestionar los Permisos y Preferencias de un cliente cuando
hay una petición expresa, por ejemplo, a través del Servicio de Atención al
Cliente o una reclamación de la Agencia.
Por tanto, respecto al caso concreto del reclamante, la única razón por la que la casilla
de ?Acepto que Vodafone trate mis datos de facturación, tráfico y navegación para
enviarme comunicaciones comerciales personalizadas basadas en esta información?,
aparece marcada es bien porque él mismo a la hora de contratar el servicio lo marcó,
bien en algún momento accedió a la app de Mi Vodafone y lo marcó, o bien se puso
en algún momento en contacto con Vodafone y dio su consentimiento para ello. No ha
habido manipulación alguna por parte de Vodafone.
Si esas casillas aparecen marcadas es porque el reclamante en algún momento
usando algunas de las vías ya mencionadas, marcó esas dos casillas poniendo de
manifiesto su voluntad para el tratamiento de datos por parte de Vodafone. Porque,
recordemos, esas dos casillas por defecto no están pre-marcadas. Así como el hecho
de que los otros dos consentimientos no estén marcados. Por tanto, eso demuestra
que en algún momento el reclamante gestionó sus consentimientos y estableció sus
Permisos y Preferencias para el tratamiento de los datos por parte de Vodafone,
aunque no consiga acordarse del momento exacto en que lo hizo.
En concreto, de la copia de pantalla de los sistemas de mi representada que se
observa a continuación, el reclamante otorgó su consentimiento para el tratamiento de
datos de tráfico y facturación el 2705/17 a través de una llamada al call center o
Servicio de Atención al Cliente de Vodafone. Por lo que no se puede imputar a
Vodafone el incumplimiento del artículo 7 del RGPD, dado que la evidencia de
aceptación de los tratamientos de datos plasmados en Mi Vodafone es el propio log
que registra el sistema cuando se marcan las casillas oportunas y se guardan dichos
cambios.
A la hora de gestionar un cambio en los Permisos y Preferencias en Mi Vodafone (vía
web y app), no es tan sencillo como marcar una casilla, sino que se requiere una
doble confirmación. A continuación, se muestra un ejemplo de un caso en particular
donde, teniendo las dos últimas casillas marcadas, se va a realizar un cambio
desmarcando las que aparecen seleccionadas en primera instancia y marcando dos
casillas distintas. Cuando se realiza un cambio aparece una ventana emergente al
final de la página donde se contabiliza el número de cambios que el interesado ha
hecho y se solicita guardar dichos cambios. De no hacerlo, todo permanecerá igual.
En las siguientes capturas de pantalla se puede evidenciar esta doble confirmación de
seguridad:
Mi representada interpretó que el reclamante no quería recibir comunicaciones comerciales
personalizadas basadas en sus datos de tráfico, navegación y facturación, por
lo que, al estar marcada esa opción en su perfil y el reclamante no estar conforme con
ello, Vodafone procedió a modificar en el perfil de cliente del reclamante este consentimiento
, otorgando el ejercicio de su derecho de oposición a dicho tratamiento de datos.
Una medida que mi representada consideró adecuada al tener constancia del ma-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/18
lestar del reclamante por escrito y, entender que disponía de su consentimiento para
acometer dicho cambio, a tenor de la definición de ?consentimiento del interesado?, recogido
en el Considerando 32 del RGPD: ?El consentimiento debe darse mediante un
acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada
, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal
que le conciernen, como una declaración por escrito, inclusive por medios electrónicos
, o una declaración verbal?.
Respecto a la apreciación que realiza la Agencia del artículo 4.11 del RGPD en su
Fundamento de Derecho III sobre ?el consentimiento del interesado en el tratamiento
de sus datos personales como: ?toda manifestación de voluntad libre, específica, informada
e inequívoca por la que el interesado acepta, ya sea mediante una declaración o
una clara acción afirmativa, el tratamiento de datos personales que le conciernen?,
esta parte se remite a lo ya dicho en el Fundamente de Derecho anterior, por el cual
se ha explicado la gestión de los consentimientos de los clientes.
Vodafone no trata datos de sus clientes si no dispone de los consentimientos correspondientes
recogidos de manera voluntaria a través de la sección Permisos y Preferencias
articulada tanto en el contrato como en el entorno privado digital de Mi Vodafone.
La manera en que está articulada la gestión de los consentimientos por parte de
mi representada cumple con los requisitos establecidos por el RDPD. Se encuentran
en Mi Vodafone, dentro de la sección de ?Datos Personales? (via web) o?Mi Cuenta?
(via app) bajo el epígrafe de Permisos y Preferencias. Es accesible por el cliente donde
y cuando quiera y en ella se le informa de la finalidad del tratamiento en cada uno
de los supuestos de una manera clara e inequívoca. Esto lo podemos observar de las
capturas de pantalla que extraemos del apartado Permisos y Preferencias del entorno
web de Mi Vodafone (el mismo contenido se visualiza en la app sólo que adaptado al
formato de pantalla móvil) que se pueden ver a continuación:
Se puede observar que, al final de la sección el cliente puede hacer ?click? en el
enlace ?Ver más detalles? donde se le proporciona más información sobre el
tratamiento de los datos en cada uno de los supuestos, como se detalla a
continuación:
Queda demostrado con ello que Vodafone tiene implementada una herramienta muy
completa y sólida para la gestión de los consentimientos de los clientes a través de la
cual ellos pueden manifestar libre y voluntariamente sus preferencias al facilitar toda la
información de manera completa, inequívoca y transparente, basado en un modelo de
información por capas como recoge la propia Agencia en su Guía para el cumplimiento
del deber de informar, el RDPD y, la Ley Orgánica 3/2018, de 5 de septiembre de
Protección de Datos Personales y garantía de los derechos digitales (?LOPD?), en
concreto el art. 11 de la LOPD señala: ?Cuando los datos de carácter personal sean
obtenidos del afectado a través de redes de comunicaciones electrónicas o en el
marco de la prestación de un servicio de la sociedad de la información, (?) el
responsable del tratamiento podrá dar cumplimiento al deber de información (?)
facilitando al afectado la información básica a la que se refiere el apartado siguiente e
indicándole una dirección electrónica u otro medio que permita acceder de forma
sencilla e inmediata a la restante información.?
Siguiendo el razonamiento de la Agencia en el Fundamento de Derecho III en el que,
tras analizar la importancia y características del consentimiento, concluye que: ?En el
caso que nos ocupa, la entidad reclamada utiliza, para la recopilación del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/18
consentimiento de los clientes, un cuestionario donde existen casillas pre-marcadas.
También se comprueba que los consentimientos son confusos, puesto que hay
consentimientos afirmativos y negativos al mismo tiempo e incluso podrían llegar a ser
contradictorios como el de: ?Acepto que Vodafone trate mis datos de facturación,
tráfico y navegación para enviarme comunicaciones comerciales personalizadas
basada en esta información? y ?No acepto que Vodafone me envíe comunicaciones
comerciales relevantes sobre productos, servicios, ofertas, descuentos y promociones
de Vodafone?.
En primer lugar, quiere Vodafone poner de nuevo de manifiesto que los
consentimientos no se presentan a través de casillas pre-marcadas, sino que es cada
cliente de manera voluntaria quien marca las casillas que estima pertinentes de
acuerdo a sus preferencias para que mi representada trate sus datos personales
acorde a ello. Al no venir pre-marcadas, significa que por defecto Vodafone no tratará
los datos personales para las finalidades de tratamiento que requieren el
consentimiento de sus clientes, es decir, sus datos personales no serán tratados de la
siguiente forma:
- No se utilizarán los datos de localización para ofrecer productos y servicios de
Vodafone acorde a las necesidades del cliente.
- No se utilizarán los datos de facturación, tráfico y navegación para enviar comunicaciones
comerciales personalizadas basadas en dicha información.
- No se enviarán comunicaciones comerciales con ofertas que pudieras ser del
interés del cliente procedentes de terceras empresas con las que Vodafone
tenga acuerdos.
Únicamente si el cliente da su consentimiento expreso marcando estas casillas, en el
momento de la contratación, en un momento posterior o a través del Servicio de
Atención al Cliente, Vodafone podrá tratar sus datos personales con esas finalidades.
En segundo lugar, respecto a la confusión aludida tanto por el reclamante como ahora
por la Agencia sobre la redacción de los Permisos y Preferencias, Vodafone niega que
exista confusión. En la lista de permisos y preferencias se recogen los
consentimientos expresos que los interesados pueden otorgar a Vodafone, así como
se facilita el ejercicio del derecho de oposición a ciertos tratamientos de datos para los
que Vodafone cuenta con una base jurídica del tratamiento distinta al consentimiento.
Es más, cabe destacar que Vodafone es la única operadora en el mercado español
que facilita tantas opciones al usuario para la gestión del tratamiento de sus datos
personales de un manera clara y sencilla. Esto se ha podido demostrar en acciones
tan recientes como la comunicación de datos anonimizados y agregados de las
operadoras al INE para elaborar un estudio de movilidad de los españoles el pasado
mes de noviembre. Sólo mi representada a través de Mi Vodafone en el apartado de
Permisos y Preferencias permitía que sus clientes marcaran la casilla correspondiente
para oponerse a que sus datos de localización fuesen comunicados. En el caso de
Orange había que solicitarlo por email y Telefónica no daba ninguna opción.
Entrando más en detalle sobre esta cuestión, son cinco los Permisos y Preferencias
los cuales se agrupan en dos grandes bloques. Los tres primeros comienzan con
?Acepto?:
Son los permisos denominados ?opt-in? por los cuales el cliente manifiesta, de acuerdo
a RGPD, LOPD y LSSI, de manera expresa su consentimiento para que Vodafone
pueda tratar sus datos personales para el envío de comunicaciones comerciales.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/18
Finalidades claramente explicadas en el apartado ?Ver más detalles? como ya se ha
explicado en el Fundamento anterior y requieren de dicho consentimiento como base
jurídica en cumplimiento del artículo 6 del RGPD.
A mayor abundamiento, y con el ánimo de proporcionar todavía más información y
facilidades a los clientes de Vodafone entendiendo su preocupación por el correcto
uso y tratamiento de sus datos personales por parte de mi representada, se establece
un segundo bloque de preferencias:
Son los permisos denominados ?opt-out? y que facilitan el ejercicio del derecho de
oposición al tratamiento de datos de una forma automática.
El ?opt-out? que hace referencia al envío de comunicaciones sobre productos,
servicios y ofertas de Vodafone, se trata de un derecho de oposición a un tratamiento
de datos que no requiere como base jurídica el consentimiento expreso del interesado,
sino que la base legal del mismo se enmarca en la ejecución del contrato en el que el
interesado es parte. Así lo establece la legislación especial aplicable sobre la
normativa de protección de datos en este caso como es la LSSI, en su artículo 21.2.
en el que se establece como excepción a la prohibición del envío de comunicaciones
comerciales realizadas a través de correo electrónico o medios de comunicación
electrónica equivalentes sin consentimiento previo, que exista una relación contractual
previa entre el proveedor de servicios y el cliente y las comunicaciones sean
referentes a productos o servicios de la propia empresa y similares a los que
inicialmente fueron objeto de contratación con el cliente.
Asimismo, se enmarca dentro de los casos de interés legítimo como se recoge en el
Considerando 47 del RGPD que ?recuerda que el interés legítimo de un responsable,
de un cesionario o de un tercero, ?puede constituir una base jurídica para el
tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del
interesado, teniendo en cuenta las expectativas razonables de los interesados
basadas en su relación con el responsable?.
Tal y como pide la norma y también queda recogido en los informes del Gabinete
Jurídico de la Agencia 2018-0173 y 2017-0195, internamente se llevó a cabo un
?evaluación minuciosa? teniendo en cuenta si ?los intereses y los derechos
fundamentales del interesado podrían prevalecer sobre los intereses del responsable
del tratamiento cuando se proceda al tratamiento de los datos personales en
circunstancias en las que el interesado no espere razonablemente que se realice un
tratamiento ulterior?. Siguiendo las directrices marcadas por la Agencia, se entiende
que existe un interés legítimo ?cuando existe una relación pertinente y apropiada entre
el interesado y el responsable, como en situaciones en las que el interesado es
cliente?, que es exactamente la relación entre Vodafone y su cartera de clientes a los
que les presta los servicios de telecomunicaciones. Además, continúan ambos
informes indicando como ejemplo que no es necesario la obtención del consentimiento
para aquellos supuestos referidos ?a comunicaciones relativas a ?productos o servicios
de su propia empresa que sean similares a los que inicialmente fueron objeto de
contratación con el cliente?.
Esto es justamente a lo que se refiere el primero de los permisos de este segundo
bloque. En concreto, la posibilidad de recibir ofertas de productos y servicios de
Vodafone. Por tanto, este apartado estaría amparado en la doctrina del interés
legítimo de manera que mi representada no tendría ni siquiera que contemplar la
posibilidad y dar la opción a sus clientes. Sin embargo, y como venimos repitiendo a lo
largo de todo el escrito, Vodafone quiere ser una entidad transparente para sus
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/18
clientes y está profundamente comprometida con la gestión y tratamiento de los datos
personales. Por eso, cada una de sus acciones van encaminadas a ello, siendo ésta
una de ellas al permitir a sus clientes incluso bloquear la posibilidad de recibir ofertas
propias de Vodafone. El que la fórmula utilizada sea la de ?opt-out? es para diferenciar
del resto de permisos, cuyo consentimiento si ha de ser expreso, mientras que en esta
opción no es necesario al existir interés legítimo.
El último de los apartados, también bajo la fórmula de ?opt-out?, es el relativo a la
comunicación de datos anonimizados y agregados basados en la navegación, tráfico,
facturación y localización a otras entidades. El motivo por el cual no aparece como
?opt-in? es por la naturaleza en sí misma de los datos que se tratan, dado que no se
requiere un consentimiento expreso del interesado en el tratamiento de estos datos
para dicha finalidad por los motivos que se explican a continuación. Los datos a los
que hace referencia son datos anónimos y agregados y, por tanto, desde ese mismo
momento ya no tienen la consideración de datos personales, la privacidad de los
clientes queda completamente protegida porque no es posible su identificación de
manera que, respecto a dichos datos no es posible aplicar ninguna norma sobre
protección de datos. Esta afirmación tan categórica viene recogida en el Considerando
26 del RGPD: ?Por lo tanto los principios de protección de datos no deben aplicarse a
la información anónima, es decir información que no guarda relación con una persona
física identificada o identificable, ni a los datos convertidos en anónimos de forma que
el interesado no sea identificable, o deje de serlo. En consecuencia, el presente
Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines
estadísticos o de investigación.? Una vez más queda patente que Vodafone cumple
con la normativa en materia de protección y da un paso más allá al ofrecer más
posibilidades a sus clientes en la gestión del tratamiento de sus datos personales
porque, en este caso, mi representada no tendría por qué proporcionar esta opción ya
que la información a tratar en este último permiso al estar anonimizada no tiene la
consideración de datos personales.
Teniendo en cuenta todo lo anterior, mi representada quiere resaltar la falta de
intencionalidad infractora en este supuesto de hecho, en tanto Vodafone ha actuado
conforme a la normativa existente en la materia, en pro de salvaguardar el interés y la
correcta comprensión de los usuarios a la hora de otorgar el consentimiento para el
tratamiento de sus datos personales. En este sentido, se ha visto, además, cómo el
entorno privado de Mi Vodafone (vía app o web) es un medio sencillo, electrónico, y
gratuito, por el cual los clientes puedan acceder a los Permisos y Preferencias para
gestionar el tratamiento de sus datos personales. Por ello, esta parte considera y
defiende que la actuación de mi representada ha sido diligente, y de acuerdo a la
legalidad.
Es relevante resaltar la derogación del artículo 130 de la Ley 30/1992, de 26 de
noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento
Administrativo Común que establecía que ?sólo podrán, sancionados por hechos
constitutivos de infracción administrativas las personas físicas y jurídicas que resulten
responsables de los mismos aún a título de simple inobservancia?. Su sustitución por
el artículo 28.1 de la Ley 40/2015 de 1 de octubre, de Régimen Jurídico del Sector
Público elimina la mención a la ?simple inobservancia? haciendo prevalecer la regla
?nullum poena sine culpa?, principio básico que implica la exclusión de imposición de
sanciones por el mero resultado, sin atender a la conducta negligente del administrado
no hace más que excluir la aplicabilidad de sanción alguna con base en esta causa.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/18
Lo anterior, no viene sino a poner de manifiesto la falta de cabida de la
responsabilidad sin culpa, principio que rige o ha de regir en el ámbito administrativo
sancionador, pues en la medida que es manifestación de ?ius puniendi? del Estado,
resulta inadmisible en nuestro ordenamiento jurídico un régimen de responsabilidad
sin culpa.
A mayor abundamiento, la Sentencia del Tribunal Constitucional número 219/1988,
indicaba que el elemento definidor de la culpa es subjetivo, en su doble significado de
voluntariedad en la acción u omisión y responsabilidad personal o por actos propios.
Por consiguiente, se rechaza por el alto Tribunal la posibilidad de que exista en
nuestro ordenamiento un régimen de responsabilidad sin culpa, si falla uno de los dos
elementos, como es el caso de que nos ocupa, dado que no es posible encontrar ni el
menor atisbo de voluntariedad a la hora de cometer una infracción.
Queda por ende claro que, en la realización objetiva de la acción como infracción
administrativa, sin hacer referencia a la voluntariedad del sujeto infractor, como es el
caso que nos ocupa, no puede ser objeto de infracción, y ello por resultar inadmisible
un régimen de responsabilidad objetiva o sin culpa como igualmente viene a señalar la
Sentencia 246/1991. No podrá ser sancionada mi representada por infracción del
artículo 6 de la LOPDGDD y el RGPD y el artículo 7 del RGPD, sin que se haga
referencia al elemento subjetivo del tipo, no demostrándose ni dolo, ni culpa, ni
negligencia. Adicionalmente, teniendo en cuenta la especial naturaleza del Derecho
sancionador que determina la imposibilidad de imponer sanciones sin tener en cuenta
la voluntad del sujeto actor o los factores que hayan podido determinar el
incumplimiento de una obligación legal, esta parte mantiene la improcedencia de la
imposición de sanción alguna.
Así, el Tribunal Supremo en Sentencia de 21 de diciembre de 1998 (RJ1998/10226)
dispone que "el derecho a la presunción de inocencia se erige como fundamental,
dentro de las garantías procesales constitucionalizadas del párrafo 2.º del artículo 24
de la Constitución, y se concreta en un contenido constitucional que tanto la
jurisprudencia del Tribunal Constitucional como la del Tribunal Supremo han
significado, señalando que nadie puede ser condenado, en su caso, o sancionado
administrativamente sin un mínimo de actividad probatoria lícito y legítimamente
obtenido, que demuestre la culpabilidad del imputado, como esta Sala ha declarado,
entre otras, en Sentencias de 20 enero 1996 (RJ 1996\695) (Recurso de Apelación
9074/1991), 27 enero 1996 (RJ 1996\926) (Recurso de Apelación 640/1992) y 20
enero 1997 (RJ 1997\257) (Recurso de Apelación 2689/1992)".
También señala el Tribunal Supremo en Sentencia de 20 de julio de 1990, Ar. 6163,
establece que, "participando el régimen administrativo sancionador del carácter del
derecho punitivo, el principio de «nulla pena sine culpa» está correctamente aplicado
en la sentencia de la Sala Territorial, debiendo presumirse por tanto la ausencia de
intencionalidad en la infracción y en consecuencia la improcedencia de la sanción
cuando se ha justificado que la no inclusión de mercancías en el manifiesto ha sido
debida a error oportunamente subsanado".
Como puede apreciarse, en la conducta descrita no concurre intencionalidad alguna,
ni a título de dolo, ni a título de culpa. Por consiguiente, no existiendo culpabilidad
alguna, resulta de todo punto improcedente imponer sanción alguna a mi
representada, en cuanto falta uno de los requisitos esenciales del Derecho
Administrativo sancionador. Todo ello teniendo en cuenta que ha quedado evidenciado
que:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/18
- Vodafone no tiene pre-marcadas las casillas de sus Permisos y Preferencias,
sólo cuando el cliente da su consentimiento expreso, mi representada puede
tratar sus datos para los fines detallados.
- Solo el cliente puede otorgar su consentimiento a Vodafone para tratar sus datos
, bien cuando firma el contrato de prestación de servicios, o cuando ya es
cliente, bien por el Servicio de Atención al Cliente bien por el entorno privado
de Mi Vodafone.
- Vodafone gestionó la petición de no recibir comunicaciones comerciales del Sr.
González cuando tuvo conocimiento de ello a través de la reclamación.
- Vodafone cumple con la normativa en materia de protección de datos a la hora
de establecer las distintas opciones de consentimiento en los Permisos y Preferencias
:
- Opt-in para los casos en los que se necesita el consentimiento expreso, libre,
informado e inequívoco.
- Opt-out para el supuesto amparado en la ejecución del contrato y el interés legítimo.
- Opt-out para el tratamiento de datos anonimizados y agregados que, por tanto,
no tienen la consideración de datos personales por lo que no le es de aplicación
la normativa.
Lo procedente es que la Agencia Española de Protección de Datos acuerde el
sobreseimiento del presente expediente y el archivo de las actuaciones ya que los
hechos se han producido sin intencionalidad alguna por parte de mi representada.
Subsidiariamente y para el caso de que a pesar de las explicaciones anteriormente
facilitadas, la Agencia entendiera que mi representada es merecedora de una sanción
por la comisión de una infracción de los artículos 6 y 7 del RGPD, la cuantía de dicha
sanción deberá moderarse, imponiéndose en su cuantía mínima, teniendo en cuenta
las siguientes circunstancias recogidas en el art. 83.2 del RGPD:
- El tratamiento de los datos se ha realizado localmente.
- La celeridad con la que Vodafone resolvió el problema, dos semanas después
a la recepción de la reclamación tomando en consideración que los cambios en
los sistemas informáticos no pueden realizarse de manera inmediata.
- No se produjo ningún tipo de perjuicio económico
- No existe ninguna intencionalidad por parte de Vodafone en los hechos reclamados.
- No se tratan categorías de datos sensibles en ningún caso por Vodafone.
- Mi representada está adoptando toda la diligencia que le puede ser exigida
para asegurar que los procesos de otorgamiento de consentimiento para la recepción
de campañas publicitarias se realizan correctamente a través de los
medios electrónicos puestos a disposición de los clientes, mediante la aplicación
Mi Vodafone, así como la página web de Vodafone.
Se solicita: El sobreseimiento del expediente, con el consiguiente archivo de las
actuaciones y Subsidiariamente, imponer a mi representada las sanciones por
infracciones leves en su grado mínimo?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/18
OCTAVO: Con fecha 21/04/20, se inició el período de práctica de pruebas,
acordándose: a).- dar por reproducidos a efectos probatorios la denuncia interpuesta
por la denunciante y su documentación, los documentos obtenidos y generados que
forman parte del expediente E/10699/2019 y b).- dar por reproducido a efectos
probatorios, las alegaciones al acuerdo de inicio del PS/00456/2019, presentadas por
la entidad denunciada.
NOVENO: Con fecha 29/07/20, se notifica a la entidad reclamada la propuesta de resolución
en la que se propone que, por la Directora de la Agencia Española de Protección
de Datos se proceda al ARCHIVO del presente procedimiento sancionador al no
existir vulneración de lo estipulado en el RGPD, y que se requiera a la entidad para
que, proceda a separar o diferenciar claramente los actos de consentimiento afirmativo
de los actos de ?oponerse al tratamiento de los datos anonimizados? y a ?recibir comunicaciones
promocionales de la compañía?.
Tras la notificación de la propuesta de resolución, NO se ha recibido en esta Agencia
alegaciones a la misma, en el periodo concedió a efecto.
A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos
en el presente procedimiento se consideran hechos probados los siguientes,
HECHOS PROBADOS
1º.- Con fecha 27/06/19, el reclamante denuncia que, en la página web de la compañía
Vodafone, donde se da el consentimiento para el tratamiento de los datos personales,
ha comprobado que una de las preguntas que se hace a los clientes para solicitar su
consentimiento, está premarcada en ?acepto?, concretamente, la casilla perteneciente
a la pregunta: "Acepto que Vodafone trate mis datos de facturación, tráfico y
navegación para enviarme comunicaciones comerciales personalizadas basadas en
esta información". También se denuncia que, el listado de cuestiones donde se solicita
el consentimiento es confuso pues hay consentimientos afirmativos y negativos al
mismo tiempo.
2º.- Con fecha 02/12/19, Vodafone argumenta que ellos no pueden acceder a la
página de los consentimientos para manipularlos si no cuenta expresamente con la
autorización del cliente, y que al tratarse de un caso en el que se manifiesta
claramente las preferencias del cliente procede a desmarcar el consentimiento en sus
sistemas. En ningún momento, la entidad niega que las casillas del consentimiento
estuvieran previamente marcadas.
3º.- Con fecha 12/03/20, la Directora de la Agencia Española de Protección de Datos
acordó iniciar procedimiento sancionador a la entidad reclamada, por presunta
infracción del artículo 6 del RGPD, referente a la licitud del consentimiento.
4º.- Con fecha 16/04/20, la entidad reclamada, remite a esta agencia alegaciones a la
incoación del expediente indicando, en esencia que:
a. Sobre las casillas premarcadas.- las casillas de otorgamiento de consentimientos
expresos para el tratamiento de datos personales de los interesados
con relación a finalidades que así lo requieren, en ningún caso y bajo ningún
concepto vienen premarcadas y es el cliente o interesado quien decide
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/18
qué, cuándo y cómo quiere voluntariamente marcar o no las casillas de consentimiento
expreso. Únicamente los clientes tienen potestad para gestionar sus
permisos y preferencias mediante esta aplicación, por lo que Vodafone no puede
acceder a los mismos, ni modificarlos, si no cuenta expresamente con el
consentimiento del cliente. La única razón por la que la casilla aparece marcada
es bien porque el reclamante a la hora de contratar el servicio lo marcó, bien
en algún momento accedió a la app de Mi Vodafone y lo marcó, o bien se puso
en algún momento en contacto con Vodafone y dio su consentimiento para ello.
No ha habido manipulación alguna por parte de Vodafone para que esa casilla
aparezca marcada. La entidad aporta el pantallazo de la página web, donde se
solicita el consentimiento de los clientes, con las casillas en blanco, sin premarcar.
b. Sobre la existencia de preguntas contradictorias (afirmativas y negativas), en el
cuestionario.- Las cuestiones negativas: ?no acepto?, se refieren a permisos denominados
?opt-out?, que facilitan el ejercicio del derecho de oposición al tratamiento
de datos de una forma automática:
o El ?opt-out?: ?No acepto que Vodafone me envíe comunicaciones comerciales
relevantes sobre productos, servicios, ofertas, descuentos y promociones
de Vodafone?, se trata de un derecho de oposición a un tratamiento
de datos que no requiere como base jurídica el consentimiento
expreso del interesado, sino que la base legal del mismo se enmarca en
la ejecución del contrato en el que el interesado es parte. Así lo establece
la legislación especial aplicable sobre la normativa de protección de
datos en este caso como es la LSSI, en su artículo 21.2.
o El ?opt-out?: ?No acepto que Vodafone ceda datos anonimizados y agregados
basados en mi navegación, tráfico, facturación y localización a
otras entidades?. se trata de un derecho de oposición que no requiere
un consentimiento expreso del interesado en el tratamiento de estos datos
para dicha finalidad, ya que son datos anónimos y agregados y, por
tanto, no tienen la consideración de datos personales. La privacidad de
los clientes queda completamente protegida porque no es posible su
identificación de manera que, respecto a dichos datos no es posible
aplicar ninguna norma sobre protección de datos. Esta afirmación viene
recogida en el Considerando 26 del RGPD.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento la Directora de la Agencia Española
de Protección de Datos, de conformidad con lo dispuesto en el art. 58.2 del RGPD en
el art. 47 de LOPDGDD.
II
La valoración conjunta de la prueba documental obrante en el procedimiento trae a
conocimiento de la AEPD una visión de la actuación denunciada que ha quedado
reflejada en los hechos declarados probados arriba relatados.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/18
En el presente caso, la denuncia versaba sobre dos posibles infracciones al RGPD:
a). Por una parte, se denuncia que, en la página donde la entidad, recoge el
consentimiento de los clientes para tratar sus datos personales, existen casillas que ya
están premarcadas antes de que el cliente de o no su consentimiento. En este caso,
ante el requerimiento de esta Agencia para que la compañía diera explicaciones a esta
parte de la denuncia, ésta en ningún momento negó tal afirmación, limitándose a
informar que, ?la entidad no puede acceder a la página de los consentimientos para
manipularlos si no cuenta expresamente con la autorización del cliente, y que al
tratarse de un caso en el que se manifiesta claramente las preferencias del cliente
procede a desmarcar el consentimiento en sus sistemas? y no es hasta que, esta
Agencia inicia el expediente sancionador, cuando la compañía aporta prueba,
remitiendo pantallazo de la página de recogida del consentimiento, donde se aprecia
que las casillas están en blanco, (sin premarcar), declarando en este momento que:
?las casillas de otorgamiento de consentimientos expresos para el tratamiento de
datos personales de los interesados con relación a finalidades que así lo requieren, en
ningún caso y bajo ningún concepto vienen premarcadas y es el cliente o interesado
quien decide qué, cuándo y cómo quiere voluntariamente marcar o no las casillas de
consentimiento expreso?.
b).- Por lo que respecta a la segunda parte de la denuncia, donde se indica que el
listado de consentimientos que solicita la compañía, es confuso ya que hay
consentimientos afirmativos y negativos al mismo tiempo, la compañía alega que los
consentimientos negativos se refieren a permisos denominados ?opt-out?, y que
facilitan el ejercicio del derecho de oposición al tratamiento de datos de una forma
automática. Las dos opciones negativas son:
- ?No acepto que Vodafone me envíe comunicaciones comerciales relevantes
sobre productos, servicios, ofertas, descuentos y promociones de Vodafone?
- ?No acepto que Vodafone ceda datos anonimizados y agregados basados en
mi navegación, tráfico, facturación y localización a otras entidades?
Pues bien, en un primer momento vemos como se solicita el consentimiento mediante
un acto de inacción, en el cual si el cliente desea que le envíen comunicaciones
comerciales de Vodafone o que la compañía ceda sus datos anonimizados basados en
la navegación a otras entidades debe dejar sin marcar la casilla. Pero este acto de, ?no
marcar la casilla? da lugar a preguntarse si el cliente realmente desea que le envíen
comunicaciones comerciales y cedan sus datos anonimizados o por el contrario no
marcó la casilla por un despiste o cualquier otro motivo y realmente lo que deseaba es
que NO le enviasen comunicaciones comerciales o NO deseaba que sus datos
anonimizados fueran cedidos, dando lugar a una situación dudosa.
En este sentido, el considerando 32) del RGPD, indica que: ?El consentimiento debe
darse mediante un acto afirmativo claro que refleje una manifestación de voluntad
libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de
datos de carácter personal que le conciernen? Por tanto, el silencio, las casillas ya
marcadas o la inacción no deben constituir consentimiento. El consentimiento debe
darse para todas las actividades de tratamiento realizadas con el mismo o los mismos
fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para
todos ellos??
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/18
Los artículos 6 y 7 del mismo RGPD se refieren, respectivamente, a la ?Licitud del
tratamiento? y las ?Condiciones para el consentimiento?, además procede tener en
cuenta, igualmente lo establecido en el artículo 6 de la LOPDGDD sobre el tratamiento
basado en el consentimiento del afectado: ?1. De conformidad con lo dispuesto en el
artículo 4.11 del Reglamento (UE) 2016/679, se entiende por consentimiento del
afectado toda manifestación de voluntad libre, específica, informada e inequívoca por
la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el
tratamiento de datos personales que le conciernen.
De acuerdo con lo expresado, con este mecanismo no se da opción para que el cliente
preste su consentimiento a los tratamientos de que se trate, sino que el consentimiento
se pretende recabar mediante la inacción del interesado, (?no marcar las casillas en
las que se indica ?NO acepto??), en contra de lo establecido en el RGPD.
En este caso, no se trata de una acción afirmativa, sino de una pura inacción que no
asegura que el interesado otorga inequívocamente el consentimiento (se considera
que, cuando marcas algo es porque lo quieres, no porque no lo quieres); ya que puede
no haber entendido la doble negación; o puede no haberse prestado la atención
debida al leer las indicaciones en cuestión. Se trata, en definitiva, de un
consentimiento que pretende deducirse de la inacción y, por tanto, contrario al RGPD,
no se cumple el requisito según el cual ?el consentimiento debe darse mediante un
acto afirmativo claro que refleje una manifestación de voluntad libre, específica,
informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter
personal que le conciernen?, entendiéndose que ?la inacción no debe constituir
consentimiento? (Considerando 32 del RGPD).
No obstante, la entidad reclamada alega que: el ?opt-out?: ?No acepto que Vodafone
me envíe comunicaciones comerciales relevantes sobre productos, servicios, ofertas,
descuentos y promociones de Vodafone?, se trata de un derecho de oposición a un
tratamiento de datos que no requiere como base jurídica el consentimiento expreso del
interesado, sino que la base legal del mismo se enmarca en la ejecución del contrato
en el que el interesado es parte. Así lo establece la legislación especial aplicable sobre
la normativa de protección de datos en este caso como es la LSSI, en su artículo 21.2.
El art 21 de la LSSI, sobre la ?prohibición de comunicaciones comerciales realizadas a
través de correo electrónico o medios de comunicación electrónica equivalentes?,
indica:
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por
correo electrónico u otro medio de comunicación electrónica equivalente que
previamente no hubieran sido solicitadas o expresamente autorizadas por los
destinatarios de las mismas.
2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una
relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita
los datos de contacto del destinatario y los empleara para el envío de comunicaciones
comerciales referentes a productos o servicios de su propia empresa que sean
similares a los que inicialmente fueron objeto de contratación con el cliente.
En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al
tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/18
y gratuito, tanto en el momento de recogida de los datos como en cada una de las
comunicaciones comerciales que le dirija.
Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho
medio deberá consistir necesariamente en la inclusión de una dirección de correo
electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho,
quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.
En base a lo estipulado en el citado artículo 21 de la LSSI, la entidad reclamada puede
enviar comunicaciones publicitarias o promocionales sobre sus productos, servicios,
ofertas, o descuentos, siempre que sea por correo electrónico u otro medio de
comunicación electrónica equivalente, al existir una relación contractual previa entre
ambos, ofreciendo además, la posibilidad de oponerse al envío, según se marca en el
apartado segundo del citado artículo.
No obstante, todo esto choca con lo indicado anteriormente sobre que el
consentimiento debe darse mediante un acto afirmativo claro que refleje una
manifestación de voluntad libre, específica, informada y afirmativa, del interesado de
aceptar el tratamiento de datos de carácter personal que le conciernen. Por lo que este
acto de ?oponerse al tratamiento de sus datos con fines promocionales de la propia
compañía?, debería estar separado o claramente diferenciado de los otros actos de
consentimiento afirmativos.
Respecto al otro ?opt-out?: ?No acepto que Vodafone ceda datos anonimizados y
agregados basados en mi navegación, tráfico, facturación y localización a otras
entidades?. La entidad alega que se trata de un derecho de oposición que no requiere
un consentimiento expreso del interesado en el tratamiento de estos datos para dicha
finalidad, ya que son datos anónimos y agregados y, por tanto, no tienen la
consideración de datos personales.
La compañía alega que, ?la privacidad de los clientes queda completamente protegida
porque no es posible su identificación de manera que, respecto a dichos datos no es
posible aplicar ninguna norma sobre protección de datos?.
Esta afirmación viene recogida en el Considerando 26 del RGPD: ?Los principios de la
protección de datos deben aplicarse a toda la información relativa a una persona física
identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a
una persona física mediante la utilización de información adicional, deben
considerarse información sobre una persona física identificable. Para determinar si
una persona física es identificable, deben tenerse en cuenta todos los medios, como la
singularización, que razonablemente pueda utilizar el responsable del tratamiento o
cualquier otra persona para identificar directa o indirectamente a la persona física.
Para determinar si existe una probabilidad razonable de que se utilicen medios para
identificar a una persona física, deben tenerse en cuenta todos los factores objetivos,
como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto
la tecnología disponible en el momento del tratamiento como los avances
tecnológicos. Por lo tanto, los principios de protección de datos no deben aplicarse a
la información anónima, es decir información que no guarda relación con una persona
física identificada o identificable, ni a los datos convertidos en anónimos de forma que
el interesado no sea identificable, o deje de serlo. En consecuencia, el presente
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/18
Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines
estadísticos o de investigación?.
Por lo tanto, y según el considerando 26, aludido anteriormente, el tratamiento de
datos anonimizados basados en la navegación, el tráfico, la facturación o la
localización, que realiza la entidad, no debería estar supeditado al RGPD. No
obstante, el posibilitar que el cliente se niegue a que la información obtenida sea
tratada por la entidad en el mismo cuestionario donde se pide el consentimiento puede
dar lugar a una situación contradictorias y dudosas. Por lo que este acto de ?oponerse
al tratamiento de los datos anonimizados?, debería estar separado o claramente
diferenciado de los otros actos de consentimiento afirmativos.
Por lo tanto, a tenor de lo anteriormente expuesto, Por la Directora de la Agencia
Española de Protección de Datos,
RESUELVE :
ARCHIVAR: el procedimiento PS/00456/2019, iniciado a la entidad VODAFONE ESPAÑA
SAU, con C.I.F.: A80907397,
REQUERIR: a la entidad VODAFONE ESPAÑA SAU., para que, en el plazo de un mes
desde este acto de notificación de la resolución, proceda a separar o diferenciar claramente
los actos de consentimiento afirmativo de los actos de oposición, como el de
?oponerse al tratamiento de los datos anonimizados? y el de ?recibir comunicaciones
promocionales de la compañía?.
NOTIFICAR: el presente Acuerdo a la entidad VODAFONE ESPAÑA SAU.
De conformidad con lo establecido el artículo 82 de la Ley 62/2003, de 30 de diciembre
, de medidas fiscales, administrativas y del orden social, la presente Resolución se
hará pública, una vez haya sido notificada a los interesados. La publicación se realizará
conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia
Española de Protección de Datos sobre publicación de sus Resoluciones.
Contra esta resolución, que pone fin a la vía administrativa, y de conformidad con lo
establecido en los artículos 112 y 123 de la LPACAP, los interesados podrán interponer
, potestativamente, recurso de reposición ante la Directora de la Agencia Española
de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación
de esta resolución, o, directamente recurso contencioso administrativo ante la
Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto
en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13/07, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo
de dos meses a contar desde el día siguiente a la notificación de este acto, según
lo previsto en el artículo 46.1 del referido texto legal.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es