Nueva multa de la Agencia Española de Protección de Datos (AEPD) a Vodafone por no poder acreditar la contratación online de un supuesto cliente, por falta de consentimiento
Esta es una interesante noticia que explica la importancia del principio de licitud en la protección de datos personales, que el Reglamento Europeo de Protección de Datos regula en su artículo 6.
Concretamente, dice el artículo 6, en sus apartados 1 a) y b) lo siguiente:
1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
En la era tecnológica en la que nos encontramos, el presente caso nos explica la importancia en la contratación online de tener implementadas medidas automáticas de VERIFICACIÓN de la identidad del usuario, con el fin de mitigar el riesgo de fraude por robo de identidad. Ya sea mediante el uso de firma electrónica, o el envío de SMS, correos electrónicos o la realización de llamadas telefónicas.
Estas medidas deben servir también para poder demostrar que el usuario que ha dado su consentimiento para el tratamiento de sus datos es en efecto el usuario correcto, dando así legitimidad al tratamiento de sus datos. Todo ello en consonancia con el principio de responsabilidad proactiva del RGPD.
El pasado 27 de octubre, la Agencia Española de Protección de Datos (AEPD) impuso una nueva multa a Vodafone España S.A.U. de 60.000 euros por no poder acreditar la contratación online de un supuesto cliente.
Concretamente, el 21 de agosto de 2019 el reclamante recibió un correo electrónico de Vodafone indicándole que se había realizado con éxito la compra de un terminal móvil. Sin embargo, el reclamante negó haber realizado dicha compra, al ser cliente de otra operadora; por lo que presentó una reclamación ante la AEPD.
Durante su investigación, la AEPD solicitó a Vodafone el contrato de la compra del terminal móvil con la firma del reclamante. En el contrato facilitado por Vodafone a la AEPD, se encontraban los datos personales del reclamante, sus datos bancarios y una dirección de correo electrónico perteneciente a su hija. Sin embargo, Vodafone alegó que debido a que la contratación se realizó online, el contrato no tenía la firma del reclamante.
Tras la investigación, la AEPD determinó que Vodafone no pudo aportar evidencia que demostrara que la contratación de la compra del terminal móvil, y la aceptación del tratamiento de datos, fue realizada por el reclamante.
Concretamente, Vodafone no envió al reclamante ningún tipo de comunicación previa a la contratación del terminal móvil solicitando su confirmación: ni por SMS, correo electrónico, o llamada telefónica. Tampoco se utilizó ningún sistema de firma electrónica de contratación para verificar la identidad del reclamante.
Vodafone tampoco pudo aportar evidencia de la procedencia de la contratación (IP de sesión), por lo que no fue posible establecer el origen de los datos del reclamante.
Por todo ello, y ante todo lo instruido, la AEPD concluye que Vodafone no fue capaz de acreditar la legitimación para el tratamiento de los datos del reclamante, en la medida en la que no se verificó la identidad de la persona que realizó la contratación online y dio su consentimiento para el tratamiento de los datos del reclamante.
Según el procedimiento sancionador, se infringió el artículo 6.1 del RGPD relativo a la licitud del tratamiento.
La AEPD explica que: “[…] la reclamada (Vodafone) no ha aportado documento o elemento probatorio alguno que evidencie que la entidad, ante tal situación, hubiera desplegado la diligencia mínima exigible para verificar que efectivamente su interlocutora era la que afirmaba ser”.