In data 11 marzo 2021, l’autorità di controllo spagnola (AEPD) ha sanzionato Vodafone España per varie violazioni collegate a campagne di marketing effettuate via SMS, telefonate o e-mail da parte di Vodafone o di società che agivano per conto di Vodafone senza avere ricevuto il consenso degli interessati. Nei loro reclami (191), gli interessati in diverse occasioni hanno detto di essere stati contattati anche se i loro dati di contatto erano presenti nelle “Robinson list” (gli elenchi di persone che non desiderano ricevere contatti fini pubblicitari.
Come fattori aggravanti, l’AEPD nelle motivazioni della sanzione spiega che Vodafone España ha ricevuto oltre 50 sanzioni dal gennaio 2018 al febbraio 2020 e che l’autorità ha ricevuto 162 reclami in meno di due anni. L’autorità spagnola ritiene che la società non abbia adottato “misure tecniche e organizzative o altri mezzi per verificare, nemmeno con metodi statistici, la legittimità del trattamento dei dati, la loro fonte, il loro filtraggio preventivo verso le operazioni di marketing o l’esclusione degli stessi dovuta alla presenza nelle “Robinson list”, nemmeno per mezzo di quegli enti ai quali ha commissionato il trattamento, e non è in grado di garantire il diritto di opposizione al trattamento”. Concludendo, l’AEPD afferma come Vodafone España non possegga un “monitoraggio reale e continuo” dei trattamenti, limitandosi lo stesso ad un “mero controllo formale iniziale”.
La sanzione “privacy” è composta come segue:
- € 4 milioni per violazione dell’art. 28 del GDPR (rapporti con il responsabile del trattamento) e dell’art. 24 (responsabilità del titolare del trattamento)
- € 2 milioni per violazione dell’art. 44 del GDPR (principio generale per il trasferimento di dati verso un paese terzo o un’organizzazione internazionale)
- € 150.000 per violazione dell’art. 21 LSSI (LEY 34/2002, de 11 de Julio, DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y DE COMERCIO ELECTRÓNICO)
- € 2 milioni per violazione degli art. 41 (1) b) LGT, Art. 21 GDPR (diritto di opposizione al trattamento) e Art. 23 della Ley Orgánica 3/2018 de Protección de Datos Personales
(fonte: www.spainsnews.com)