La AEPD ha publicado, recientemente, la mayor multa impuesta hasta la fecha. Decir que la empresa sancionada (Vodafone España, S.A.U.) ha anunciado que la recurrirá, por tanto, la sanción no es firme, y puede confirmarse o revocarse por los tribunales, pero el caso merece ser comentado.
1º) Mercadotecnia directa a través de llamadas telefónicas. Multa: 8.150.000 €
Resumir esta resolución en un par de líneas es imposible, pero básicamente se sanciona a Vodafone por realizar una campaña de mercadotecnia directa y de prospección comercial, a través de llamadas telefónicas y mediante el envío de comunicaciones comerciales electrónicas, tanto de correos como de mensajes SMS, en las que se vieron afectados usuarios inscritos en la Lista Robinson y otros que no habían prestado su consentimiento para comunicaciones comerciales.
A juicio de la AEPD, la empresa no solo ha incumplido la normativa de protección de datos personales, también la Ley General de Telecomunicaciones y la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico.
https://www.aepd.es/es/documento/ps-00059-2020.pdf
2º) Asesoría envía un correo electrónico con datos personales de otro cliente. Multa: 3.000 €
La reclamante solicitó a su asesoría que le remitiera copia de una documentación necesaria para unos trámites ante Hacienda y esta, mediante correo electrónico, por error, le remitió un documento en el que aparecían datos personales de otro cliente.
https://www.aepd.es/es/documento/ps-00483-2020.pdf
3º) Centro psicotécnico envía a una antigua cliente una carta publicitaria obteniendo sus datos actualizados de la base de la DGT. Multa: 5.000 €
La reclamante denuncia ante la AEPD que en el año 2009 renovó el carnet de conducir a través del centro psicotécnico, proporcionándoles sus datos personales para ello. En el año 2018 cambió de domicilio y tiempo después recibió, en su nuevo domicilio, una carta publicitaria de dicho centro, avisándola de la próxima caducidad de su permiso de conducir, sin haberles proporcionado su consentimiento para este hecho, ni haberles indicado los datos de su nuevo domicilio.
El centro alega que el dato del nuevo domicilio lo habían obtenido de la base de datos de la DGT, con la cual tiene un convenio firmado para ello, y el envío de la comunicación a la reclamante se hizo en base al interés legítimo contractual existente entre ellos. Según la DGT, conocer el nuevo domicilio de los interesados solamente es posible cuando, en presencia de ellos, se está realizando el informe médico y tras introducir el DOI (Documento Oficial de Identificación), de forma que se pueda verificar si es correcto o no y, tras el consentimiento del interesado, poder modificarlo para que el permiso llegue al nuevo domicilio.
https://www.aepd.es/es/documento/ps-00417-2020.pdf
4º) Difusión de imágenes de un menor, sin consentimiento de sus padres, por mensajería móvil. Multa: 3.000 €
Una asociación cultural, a la que asistía un menor de edad (4 años) para recibir clases de chino, sin consentimiento de sus padres, difundió imágenes del menor a través de una aplicación de mensajería móvil junto con comentarios sobre su mal comportamiento en las clases. El rostro del menor aparecía parcialmente oculto en una de las fotografías, pudiendo identificarse. El grupo, al que iban destinadas las imágenes, rondaba los 400-500 usuarios.
https://www.aepd.es/es/documento/ps-00405-2020.pdf
5º) Casillas premarcadas y no facilitar copia de la hoja informativa de protección de datos. Multa: 16.000 €
El reclamante acude a un centro sanitario. Se le entrega una tablet para informarle sobre la política de protección de datos. Se encuentra con tres casillas premarcadas (una decía «consiento el tratamiento de mis datos personales», otra decía: «consiento el envió de comunicaciones comerciales por medios electrónicos sobre actividades, eventos o servicios prestados que pueda resultar de su interés» y otra «autorizo a facilitar información presencial o telefónicamente, a terceras personas que lo soliciten, únicamente en lo relativo a su estancia en el centro, así como el número de habitación Hospital…». Además, de las casillas premarcadas, no se le facilita, en el momento de recabarse los datos, una copia de la hoja informativa en materia de protección de datos.
https://www.aepd.es/es/documento/ps-00204-2022.pdf
6º) Publicación de datos personales con finalidad difamatoria en un blog. Multa: 10.000 €
El denunciado llevaba tiempo publicando un blog bajo un pseudónimo, con numerosas publicaciones, entre las cuales menciona tácitamente e incluso expresamente por su nombre al reclamante, publicando textos e imágenes suyas con intención difamatoria.
https://www.aepd.es/es/documento/ps-00134-2022.pdf
7º) Consignar datos personales en un contrato de arras sin el consentimiento ni representación del cliente. Multa: 6.000 €
El reclamado se arrogó la condición de representante legal del reclamante y firmó un contrato de arras en su nombre, consignando los datos personales del reclamante en dicho contrato, sin mediar autorización ni representación para ello.
https://www.aepd.es/es/documento/ps-00320-2020.pdf
8º) Remisión de una carta a un tercero con datos personales ajenos contenido en sobre cerrado. Multa: 5.000 €.
El reclamado se dirigió a la reclamante para requerirle el abono de unos supuestos daños causados en el curso de una obra de rehabilitación. Posteriormente, el reclamado envía una carta al padre de la reclamante, concretamente, a su lugar de trabajo, dato que obtuvo de Internet, en la que se encuentra la documental en base a la cual requiere el pago de una cuantía, so pretexto de los supuestos daños ocasionados por una constructora, de la que tanto la reclamante como su padre habían sido administradores. El sobre con la referida documental, que iba dentro del otro sobre, estaba cerrado. El reclamado no acredita la legitimación para el tratamiento de los datos personales del padre de la reclamante y, por ello, es sancionado.
https://www.aepd.es/es/documento/ps-00440-2020.pdf
9º) Publicación de grabaciones en una página web, sin consentimiento de los afectados, y política de cookies sin actualizar. Multa: 8.000 €
Los reclamantes denuncian que, los responsables de la página web han utilizado este medio para llamarles «corruptos», publicando datos personales suyos, sin el debido consentimiento, junto con una grabación ilegal y clandestina de la declaración de diversos testigos en diligencias judiciales.
Respecto de la Política de Cookies de la página web denunciada, se comprueba que, en la primera capa (página inicial), sin aceptar cookies ni realizar ninguna acción sobre la misma, se instalan cookies en el navegador, no necesarias.
https://www.aepd.es/es/documento/ps-00141-2020.pdf
10º) Envío de varios SMS reclamando facturas indebidas cuando el interesado ya no es cliente. Multa: 60.000 €
La reclamante fue cliente de la reclamada hacía años. Manifestaba que recibía SMS de la entidad avisando sobre facturas de servicios no contratados, por lo que puso los hechos en conocimiento de la entidad, pidiendo aclaraciones y solicitando la supresión de sus datos y, a pesar de recibir respuesta positiva, continuaba recibiendo los mismos SMS.
La documentación presentada por la reclamante evidencia que la reclamada vulneró el artículo 6 del RGPD, pues carecía de legitimación para el tratamiento de sus datos personales, materializado en que continúa recibiendo SMS enviados al móvil relativos a la facturación, a pesar de que solicitó en el pasado la eliminación de sus datos y la reclamada le garantizó que ya no le volverían a llegar avisos similares.
https://www.aepd.es/es/documento/ps-00484-2020.pdf
Base de Datos de Resoluciones de la AEPD
Si tienen curiosidad por ampliar los supuestos pueden consultar la base de datos de resoluciones de la AEPD en el siguiente enlace:
https://www.aepd.es/es/informes-y-resoluciones/resoluciones
Si consultan dicha base de datos verán que hay numerosas reclamaciones. Unas prosperan, otras no, unas terminan en apercibimiento, otras en multa. En todo caso, la casuística es abrumadora.
