L’AEPD ha ritenuto che la compagnia telefonica e l’istituto di credito abbiano violato alcune importanti disposizioni del Regolamento UE 679/2016 (GDPR) e, pertanto, ha comminato due ingenti sanzioni rispettivamente di euro 8.150.000 e di euro 6.000.000.
- VODAFONE ESPAÑA, S.A.U.
Per quanto attiene la compagnia telefonica, a seguito dell’elevato numero di segnalazioni ricevute dall’AEPD da interessati che lamentavano lo svolgimento di attività di marketing attraverso chiamate telefoniche, sms, e-mail provenienti direttamente dalla compagnia stessa, nonché da società che agivano in nome e per conto di quest’ultima, è stato rilevato che le suddette attività venivano svolte pur non avendo acquisito gli idonei consensi dagli interessati e senza le necessarie garanzie in merito al diritto di opposizione.
L’iter delle verifiche si è concluso con l’irrogazione di quattro sanzioni, così suddivise:
- euro 4.000.000 per la violazione dell’art. 28 del GDPR. In particolare, l’autorità ha rilevato l’assenza di un reale, continuo e permanente monitoraggio sui fornitori, ai quali VODAFONE spesso esternalizzava la maggior parte delle proprie attività senza, tuttavia, operare i necessari controlli volti alla verifica della sussistenza delle garanzie sufficienti previste dall’articolo summenzionato, quali, ad esempio, l’implementazione di misure idonee alla salvaguardia e al lecito trattamento dei dati personali;
- euro 2.000.000 per la mancata adozione di garanzie adeguate, così come previste dal Capo V del GDPR, in occasione di trasferimenti di dati personali verso Paesi Terzi;
- euro 150.000 per aver condotto attività di marketing utilizzando numeri di telefono e indirizzi e-mail di potenziali clienti, senza aver confrontato tali dati né con liste interne contenenti le richieste di opposizione alle azioni di marketing di detti oggetti, né con l’elenco pubblico attraverso il quale i cittadini hanno la possibilità di registrarsi per esprimere la propria volontà a non ricevere, tramite i dati di contatto registrati, azioni di marketing (Listado Robinson Adigital – LRAD);
- euro 2.000.000 per non aver garantito il corretto esercizio del diritto di opposizione esercitabile dagli utenti, nel rispetto di quanto previsto dall’art. 21 del GDPR e dalla normativa spagnola. Il trattamento dei dati personali volto all’invio di comunicazioni commerciali era, infatti, effettuato nonostante opposizioni allo stesso da parte degli interessati;
- CAIXABANK, S.A.
Riguardo l’istituto di credito, l’AEPD ha irrogato la multa principalmente per non aver fornito ai propri clienti un’informativa adeguata sulle modalità del trattamento dei loro dati personali e per l’illiceità del trattamento dei dati personali degli stessi.
In particolare, l’Autorità spagnola ha ritenuto che l’informativa, in violazione degli articoli 13 e 14 del Regolamento UE 679/2016 (GDPR), non contenesse sufficienti informazioni circa le categorie di dati personali trattati, le finalità e le basi giuridiche del trattamento; inoltre, ha considerato l’istituto di credito responsabile della violazione dell’art. 6 del GDPR per non aver previsto alcun meccanismo per la raccolta del consenso degli interessati, per la non validità dei consensi comunque ottenuti dagli interessati e per la non sufficiente giustificazione delle attività di trattamento dell’azienda basate sul legittimo interesse della stessa.
Nello stabilire l’importo della multa, l’Autorità spagnola ha tenuto in considerazione diversi fattori (aggravanti), quali, tra gli altri, la natura, la gravità e la durata della violazione, il grado di responsabilità del Titolare commisurato alle misure tecniche e organizzative implementate, i vantaggi ottenuti dalla violazione, il rapporto sussistente tra l’attività dell’istituto ed il trattamento dei dati personali, la dimensione ed il fatturato dell’azienda, nonché l’ingente numero di dati personali ed interessati, oltre i 15 milioni di clienti.
È possibile prendere visione completa dei provvedimenti ai seguenti link:
- VODAFONE aepd.es/es/documento/ps-00059-2020.pdf
- CAIXABANK aepd.es/es/documento/ps-00477-2019.pdf