Protección de Datos

La multa a Vodafone por mal uso de datos personales: de 8 a 4,5 millones

La multa a Vodafone por mal uso de datos personales:

En marzo de 2021, la Agencia Española de Protección de Datos (AEPD) impuso una multa histórica a Vodafone España, de nada menos que 8,15 millones de euros. Esta cifra no solo fue notoria por su tamaño, sino también por lo que revelaba: una serie de fallos importantes en cómo gestionaban los datos personales de sus usuarios, en un momento en que la privacidad es cada vez más importante y exigente.

Contexto

La investigación empezó después de recibir numerosas denuncias de particulares, que se quejaban por haber recibido llamadas y mensajes comerciales no deseados, incluso después de haberse inscrito en la Lista Robinson, un servicio gratuito para oponerse a la publicidad no solicitada. Pero eso fue solo el principio de una historia más compleja.

En el contexto de su investigación, la AEPD encontró varias infracciones graves tanto del Reglamento General de Protección de Datos (RGPD) como de otras leyes relacionadas, como la
Ley de Servicios de la Sociedad de la Información y de comercio electrónico (LSSICE) y la Ley General de Telecomunicaciones.

Desarrollo

Entre los problemas más severos estuvo el hecho de externalizar el servicio de marketing a empresas externas sin la debida diligencia a la hora de comprobar las garantías que estas terceras empresas ofrecían en relación al cumplimiento de la normativa de protección de datos. En otras palabras, Vodafone había delegado ciertas campañas a compañías colaboradoras, pero no se aseguraba de que estas cumplieran con las normas de protección de datos. Como resultado, se realizaron tratamientos ilegales de datos personales, sin una base de legitimación adecuada o con fines distintos a los que se habían informado.

Otro punto clave fue las transferencias internacionales de datos personales a otros países fuera del Espacio Económico Europeo sin las garantías necesarias. El RGPD regula muy estrictamente este tipo de transferencias para evitar que la información personal termine en lugares donde no haya protección suficiente o equivalente a los estándares europeos. En el caso de Vodafone, la AEPD detectó que algunos datos se enviaban fuera del Espacio Económico Europeo sin la presencia de alguna de las garantías establecidas en el RGPD, como las cláusulas contractuales tipo aprobadas por la Comisión Europea.

Además, también se multó a Vodafone por enviar comunicaciones comerciales por medios electrónicos sin contar con la base de legitimación correspondiente. Muchos usuarios recibieron llamadas, correos y SMS publicitarios, a pesar de haber expresado su oposición a este tratamiento.

La suma de todo lo anterior fue lo que llevó a la AEPD a imponer la multa más alta de su historia hasta ese momento.

No obstante, Vodafone decidió apelar posteriormente la decisión de la AEPD ante la Audiencia Nacional, y en enero de 2025, el tribunal redujo la multa a 4,5 millones de euros. Entre otros argumentos, la AN ha alegado lo siguiente:

  • No quedan acreditados los beneficios que Vodafone hubiera obtenido del tratamiento de los datos que la AEPD consideró como agravante de la infracción.
  • Se encuentra en desacuerdo con la AEPD a la hora de considerar como “masivo” el envío de las comunicaciones.
  • Cuestiona también el agravante tenido en cuenta por la AEPD de “la repercusión social de las infracciones”.

Este desenlace ha sido visto de distintas maneras. Para algunos, es un aviso para que la AEPD motive con más detalle sus decisiones en las sanciones. Para otros, es una advertencia clara al sector empresarial: proteger los datos personales debe ser una prioridad y tomarse en serio, como lo exige la normativa europea. Aunque la reducción de la multa no libera a Vodafone de su responsabilidad, sí que establece un precedente importante sobre cómo se deben evaluar y fundamentar las sanciones de protección de datos.

 

Artículo escrito por:

Sara Hervías MetricsonSara Hervías

Abogada especialista en privacidad y contratación tecnológica

sara.hervias@metricson.com

 

 

Sobre Metricson

Metricson es una firma líder en servicios legales orientados a empresas innovadoras y tecnológicas, con una sólida especialización en privacidad y seguridad. Desde su fundación en 2009, hemos brindado asesoramiento a más de 1.400 clientes de 15 países diferentes, entre los que se encuentran startups, inversores, grandes empresas, universidades, instituciones y gobiernos. Además, en Metricson somos expertos en identificar y gestionar brechas de seguridad en las empresas, ayudándolas a protegerse frente a riesgos y amenazas.

Si quieres contactar con nosotros, no dudes en escribirnos a contacto@metricson.com. ¡Estamos deseando hablar contigo!

Artículos relacionados

Auditoría de protección de datos: qué es y cómo realizarla

La AEPD actualiza su Guía sobre el uso de cookies

Wearables para monitorizar tu salud y bonificarte en la prima del seguro.

Habla con nosotros

958 558 442

Oficinas

Tuset, 19 - 2º, 3ª
08006 Barcelona
931 594 620

Javier Ferrero 10,
28002 Madrid

Paseo de Ruzafa 11, 6º, 12ª
46002 Valencia
960 500 761

Av. de la República Argentina, 25
41011 Sevilla

    Responsable: Metricson S.L.P.U.
    · Finalidad: Resolver tu petición o duda.
    · Legitimación:  Interés legítimo en responder cualquier cuestión planteada por ti.
    · Destinatarios: Prestadores de servicios tecnológicos, como encargados del tratamiento, que seguirán siempre nuestras instrucciones.
    · Derechos: Puedes acceder, rectificar, suprimir o solicitar la portabilidad de tus datos personales, así como oponerte o limitar el tratamiento de los mismos dirigiéndote a privacy@metricson.com.