La autoridad italiana de supervisión de la protección de datos (Garante per la protezione dei dati personali) condenó a Vodafone a pagar una multa de más de 12.250.000 euros por haber procesado ilegalmente los datos personales de millones de usuarios con fines de telemarketing. Además de tener que pagar la multa, la empresa está obligada a aplicar varias medidas establecidas por la Garante para cumplir con la legislación nacional y de la UE en materia de protección de datos.
Esta decisión marca el último paso de un complejo procedimiento que la Garante había iniciado a raíz de los cientos de quejas y alertas presentadas por los usuarios contra las llamadas telefónicas no solicitadas realizadas por Vodafone y/o la red de ventas de la empresa con el fin de promover los servicios de telefonía e Internet.
Las investigaciones llevadas a cabo por la Garante sacaron a la luz importantes críticas de carácter «estructural» relacionadas con la violación no sólo de los requisitos de consentimiento, sino también de principios clave como la responsabilidad y la protección de datos por diseño, tal como se establece en la RPI de la UE. Estas críticas se pueden atribuir a las actividades de procesamiento realizadas tanto con respecto a la base de datos de clientes de Vodafone como, más en general, con respecto a los posibles usuarios de los servicios de comunicaciones electrónicas.
Más concretamente, una de las conclusiones más preocupantes de las investigaciones fue el uso de números de teléfono falsos o que no estaban registrados en el ROC (es decir, el Registro Nacional Consolidado de Operadores de Comunicaciones) para realizar las llamadas de comercialización. Esta práctica se encuentra bajo la atención del propio Vodafone y parece estar relacionada con un conjunto turbio de centros de llamadas no autorizados que llevan a cabo actividades de telemarketing con total desprecio de la legislación sobre protección de datos personales.
Podrían establecerse otras violaciones en cuanto al manejo de listas de contactos adquiridas a proveedores externos. Esas listas habían sido obtenidas por socios comerciales de Vodafone de otras empresas y se habían transferido a Vodafone sin el necesario consentimiento libre, informado y específico de los usuarios.
También se determinó que las medidas de seguridad para la gestión de los recursos de los clientes eran inadecuadas. A este respecto, se habían presentado varias quejas y alertas a la Garante por parte de clientes que habían sido contactados por operadores que pretendían actuar en nombre de Vodafone y que solicitaban que se les enviaran identificaciones a través de WhatsApp, muy probablemente con fines relacionados con el spam, el phishing u otras actividades fraudulentas.
Teniendo en cuenta las infracciones constatadas en el curso del procedimiento, la Garante italiana impuso una multa de 12.251.601,00 euros.
Además, la Garante ordenó a Vodafone que implementara sistemas para demostrar que el procesamiento para fines de telemercadeo cumple con los requisitos de consentimiento. Vodafone tendrá que demostrar además que los acuerdos contractuales se activan sólo tras las llamadas de telemarketing realizadas por su propia red de ventas a través de los números registrados en el ROC. La empresa tendrá que aplicar medidas de seguridad más estrictas para impedir los accesos no autorizados a la base de datos de clientes, y también se le ordenó que respondiera plenamente a determinadas solicitudes de derechos de los interesados.
Por último, la Garante prohibió a Vodafone seguir procesando datos con fines comerciales o de marketing cuando dichos datos se adquieran de terceros que no hayan obtenido el consentimiento libre, específico e informado de los usuarios para la divulgación de los datos.
FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DALL’EUROPEAN DATA PROTECTION BOARD – EDPB