Recientemente leía un tweet de Secuoya Group, grupo de especialistas en protección de datos que decía lo siguiente: “En solo dos días, #telefónica le llamó 247 veces. Denunció los hechos ante la #AEPD, afirmando que la compañía utilizaba su número para hacer pruebas. La compañía acaba de pagar 45.000 €”. 

Evidentemente, la publicación llamó mi atención y fui directo a leer la resolución de la Agencia Española de Protección de Datos (en adelante AEPD) para entender mejor lo que había ocurrido. Y era verdad (no lo dudaba), la AEPD había impuesto una sanción de 45.000 euros (con la reducción del pago voluntario y la del reconocimiento de responsabilidad) a Telefónica por infracción del artículo 6.1 del Reglamento General de Protección de datos (en adelante RGPD), en cuanto a la licitud de tratamiento.

Antes de continuar es importante destacar que el artículo 5.1.a) del RGPD dispone que "los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado" y el artículo 6 del mismo texto legal regula el principio de licitud. En ese sentido, el tratamiento de datos personales será considerado lícito si se encuentra dentro de alguno de los siguientes supuestos:

  • Existe un consentimiento por ejemplo por parte del cliente para el tratamiento de sus datos personales. 
  • Existe un contrato firmado por las partes y donde se autoriza el tratamiento de los datos del cliente.
  • Existe una obligación legal que hay que cumplir y que implica tratar datos personales del cliente.
  • Existe un interés vital para tratar la información personal del cliente.
  • Existe un interés público para gestionar datos personales de los clientes. 
  • Por último, existe un interés legítimo por parte del responsable para tratar datos personales del cliente.

Volviendo con la sanción de 45.000 euros a Telefónica, en este caso concreto, el reclamante cliente de la compañía, expresó que en dos días, había recibido un total de 247 llamadas, sin su consentimiento, y que su número se estaba utilizando para hacer pruebas en los call centers y tiendas de la empresa.

Por su parte, Telefónica afirmó que por error se incluyó al reclamante y a su enumeración en una campaña organizada con la finalidad de comprobar la existencia de averías técnicas que pudiesen sufrir los clientes. Asimismo, expuso que, tras la última reclamación del cliente, fortaleció la operativa a la hora de establecer y preparar dichas campañas, inhibiendo este número de forma automática para que no fuese incluido en ningún caso como destinatario, realizándose, a su vez, controles de manera periódica con el fin de supervisar que sus agentes cumplen con todas las medidas de seguridad de la compañía.

Sin embargo, en reclamaciones anteriores, Telefónica ya había alegado haber implementado medidas de seguridad nuevas para que casos como el comentado en esta columna no volviesen a suceder, pero se ha podido comprobar que no es así, ya que, a la vista está que existe un tratamiento de los datos personales del reclamante como son su nombre y número de teléfono sin base legitimadora, es decir, sin un consentimiento previo, relación contractual o exigencia que pueda hacer que la empresa pueda llevar a cabo esta actuación. 

Por tanto, claramente lo que ha hecho Telefónica no se puede hacer y como dice el periodista Pablo Romero es “un claro aviso para el operador: ya ha pasado anteriormente, que no se vuelva a repetir”. 

En conclusión, Telefónica ha sido sancionada con 45.000 euros por llamar 247 veces en menos de 48 horas a un cliente sin base legitimadora para hacerlo. Es decir, que no ha sabido cumplir con el principio de licitud del tratamiento y mucho menos ampararse en alguna de las 6 formas que la normativa de protección de datos nos otorga para poder tratar los datos personales de manera lícita, leal y transparente.