Selon la résolution de la procédure de sanction PS / 00059/2020 ordonnée par l’Agence espagnole de protection des données, Vodafone a été sanctionné de 8,15 millions pour l’utilisation de bases de données personnelles pour des actions commerciales entre 2018 et 2020. Selon certaines sources consultées, il s’agit d’une amende record pour avoir enfreint jusqu’à trois règles concernant la protection et l’utilisation des données personnelles.

Les 4 amendes à Vodafone qui dépassent 8 millions

Dans le document de sanction, nous avons quatre amendes pour avoir enfreint chaque article plusieurs articles de la RGPD, LOPDGDD et le LSSICE.

• 4 millions d’euros pour violation de l’article 28 du RGPD en relation avec l’article 24 du RGPD.
• 2 millions d’euros pour une violation de l’article 44 du RGPD.
• 000 euros pour une infraction à l’article 21 de la LSSICE.
• 2 millions d’euros pour une infraction à l’article 48.1.b) de la LGT, en relation avec l’article 21 du RGPD et l’article 23 de la LOPDGDD.

En outre, ils ordonnent à Vodafone d’accréditer l’APED dans un délai de six mois. ont ajusté leur fonctionnement aux dispositions du RGPD et de la LOPDGDD. Contre cette résolution, qui met fin aux procédures administratives, Vodafone peut éventuellement déposer un recours en réexamen devant le directeur de l’Agence espagnole de protection des données dans un délai d’un mois à compter du jour suivant la notification de cette résolution.ou un recours contentieux directement administratif avant la chambre contentieuse administrative du tribunal national.

Réponse officielle de Vodafone

La résolution émise par l’Agence espagnole de protection des données (AEPD) peut donner lieu à une action.

• Aujourd’hui nous allons déposer un appel en annulation devant l’AEPD et, en fonction de ce qu’elle décide finalement, nous laissons ouverte la possibilité de déposer un recours contentieux-administratif devant le Tribunal National, car nous comprenons que la responsabilité attribuée à Vodafone ne nous correspond pas. Ce sont les entités qui agissent en tant que responsables du traitement des données des personnes concernées qui doivent répondre des imputations de l’AEPD.
• En conséquence, nous ne sommes pas d’accord avec les violations que l’AEPD nous impute dans sa résolution et en tout cas nous considérons que le montant de la sanction proposée est disproportionné.
• De plus, nous tenons à souligner que Vodafone traite avec garanties maximales de confidentialité et d’intimité les données de vos clients.

Articles inclus dans la résolution

Article 28 du RGPD

1. Lorsqu’un traitement doit être effectué pour le compte d’une personne responsable du traitement, celui-ci ne choisira qu’un gestionnaire qui offre des garanties suffisantes pour appliquer les mesures techniques et organisationnelles appropriées, de sorte que le traitement soit conforme aux exigences du présent règlement et garantit la protection des droits de l’intéressé.
2. Le responsable du traitement ne pourra recourir à un autre responsable sans l’autorisation préalable et écrite, spécifique ou générale, du responsable. Dans ce dernier cas, le responsable informera le responsable de tout changement prévu dans la constitution ou le remplacement d’autres dirigeants, donnant ainsi au responsable la possibilité de s’opposer auxdits changements.
3. Le traitement par le responsable sera régi par un contrat ou un autre acte juridique conforme au droit de l’Union ou des États membres, qui lie le responsable avec le responsable et établit l’objet, la durée, la nature et le but du traitement, le type de données personnelles et les catégories de parties intéressées, ainsi que les obligations et droits du responsable.
4. Lorsqu’un sous-traitant fait appel à un autre sous-traitant pour effectuer certaines activités de traitement au nom du responsable du traitement, cet autre sous-traitant se verra imposer, au moyen d’un contrat ou d’un autre acte juridique établi conformément au droit de l’Union ou des États membres, les mêmes obligations en matière de protection des données comme celles stipulées dans le contrat ou autre acte juridique entre le responsable du traitement et le responsable visé à l’article 3, en particulier la fourniture de garanties suffisantes d’application des mesures techniques et organisationnelles appropriées afin que le traitement soit conforme aux dispositions de ces règlements. Si cet autre sous-traitant ne respecte pas ses obligations en matière de protection des données, le sous-traitant initial restera entièrement responsable envers le responsable du traitement de l’exécution des obligations de l’autre sous-traitant.
5. L’adhésion de la personne en charge du traitement à un code de conduite approuvé conformément à l’article 40 ou à un mécanisme de certification approuvé conformément à l’article 42 peut être utilisée comme élément pour démontrer l’existence des garanties suffisantes visées aux paragraphes 1 et 4 de cet article.
6. Sans préjudice du fait que le responsable et le responsable du traitement concluent un contrat individuel, le contrat ou autre acte juridique visé aux sections 3 et 4 du présent article peut être fondé, totalement ou partiellement, sur la les clauses contractuelles types auxquelles ils se réfèrent Les sections 7 et 8 du présent article, même lorsqu’elles font partie d’une certification délivrée au responsable ou responsable conformément aux articles 42 et 43.
7. La Commission peut établir des clauses contractuelles types pour les matières visées aux paragraphes 3 et 4 du présent article, conformément à la procédure d’examen visée au paragraphe 2 de l’article 93.
8. Une autorité de contrôle peut adopter des clauses contractuelles types pour les matières visées aux sections 3 et 4 du présent article, conformément au mécanisme de cohérence visé à l’article 63.
9. Le contrat ou autre acte juridique visé aux sections 3 et 4 doit être rédigé par écrit, y compris au format électronique.
10. Sans préjudice des dispositions des articles 82, 83 et 84, si un sous-traitant enfreint le présent règlement lors de la détermination des finalités et des moyens du traitement, il sera considéré comme responsable du traitement à l’égard dudit traitement.

Article 44 du RGPD

Les transferts de données à caractère personnel qui font l’objet d’un traitement ou qui seront traitées après leur transfert vers un pays tiers ou une organisation internationale ne seront effectués que si, sous réserve des autres dispositions du présent règlement, le responsable et le responsable du traitement remplissent les conditions établies dans le présent chapitre, y compris celles relatives aux transferts ultérieurs de données à caractère personnel du pays tiers ou d’une organisation internationale vers un autre pays tiers ou une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées afin de garantir que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas altéré.

Article 21 LSSICE

Interdiction des communications commerciales effectuées par courrier électronique ou par un moyen de communication électronique équivalent.

1. L’envoi de communications publicitaires ou promotionnelles par e-mail ou tout autre moyen de communication électronique équivalent qui n’avait pas été préalablement demandé ou expressément autorisé par les destinataires de celui-ci est interdit.
2. Les dispositions de la section précédente ne s’appliqueront pas en cas de relation contractuelle antérieure, à condition que le fournisseur ait obtenu de manière licite les coordonnées du destinataire et les ait utilisées pour envoyer des communications commerciales concernant des produits ou services de sa propre société. sont similaires à ceux initialement contractés avec le client.

Dans tous les cas, le prestataire doit offrir au destinataire la possibilité de s’opposer au traitement de ses données à des fins promotionnelles par une procédure simple et gratuite, tant au moment de la collecte des données que dans chacune des communications commerciales qui lui sont adressées.

Lorsque les communications ont été envoyées par courrier électronique, ledit moyen doit nécessairement consister en l’inclusion d’une adresse électronique ou d’une autre adresse électronique valide où ce droit peut être exercé, étant interdit l’envoi de communications n’incluant pas ladite adresse.