La Agencia Española de Protección de Datos ha sancionado con 140.000 euros a Vodafone (sanción reducida a 112.000 euros por cuanto la compañía ha hecho uso de una de las dos reducciones previstas) por la infracción del artículo 5.1.d) del RGPD (principio de exactitud).
La reclamación se interpuso debido a que la compañía emitió un recibo de línea móvil en el que, si bien sí se hacía referencia al número de contrato de la cliente, el titular del recibo era otra persona diferente. Al ponerse en contacto con el servicio de atención al cliente, se le informó que constaban en sus sistemas dos direcciones vinculadas a su ID de cliente, siendo una de ellas la dirección en la que la reclamante residía en el pasado.
Ello se debía a que la afectada había sido cliente de VODAFONE y era, en la actualidad, cliente de la compañía LOWI, facilitando a cada una de dichas compañías una dirección diferente (debido a un cambio de domicilio). Con ocasión de la fusión de ambas entidades, se produjo la incidencia al vincular el antiguo domicilio que constaba aún en los sistemas internos de VODAFONE a la cliente.
Una vez notificada esta reclamación a la entidad, se recibió escrito de respuesta en el que, entre otras cuestiones, se declaraba que los datos fueron erróneamente vinculados debido a una incidencia puntual en los sistemas informáticos de la entidad, estando dicha incidencia subsanada, por cuanto se ha rectificado el cruce de datos y “se ha desvinculado el ID de la reclamante a la dirección postal de su domicilio anterior”. En este sentido, se pone de manifiesto que la compañía ha verificado la supresión de la dirección postal erróneamente vinculada. Adicionalmente, la entidad le envió a la afectada una comunicación en la que se indicaban las gestiones realizadas y se pedía disculpas por las molestias ocasionadas.
El principio de exactitud regulado en el RGPD exige que los datos tratados por los responsables sean exactos, actualizándolos, cuando sea necesario, debiendo disponer, adicionalmente, de medidas que permitan que estos datos inexactos se supriman o modifiquen sin dilación indebida. Así, debido a que los datos que constaban en los sistemas informáticos de la entidad eran inexactos (a pesar de ser una incidencia puntual), así como que VODAFONE, en su condición de responsable, estaba obligada a disponer de medidas razonables que garantizasen que esto no hubiera sucedido, se considera por la AEPD que se ha infringido el artículo 5.1.d) del RGPD, teniéndose en consideración, como agravantes, la existencia de imprudencia en la actuación de la entidad (puesto que se ha desatendido un deber legal de cuidado, siendo su actividad de “constante y abundante manejo de datos de carácter personal”) o las infracciones de este artículo cometidas por VODAFONE con anterioridad.
Esta resolución permite acreditar la importancia de que los responsables del tratamiento mantengan sus bases de datos actualizadas (recabando, si fuera necesario, nueva información de los clientes), por cuanto, en caso contrario, la autoridad de control puede incoar un procedimiento sancionador que derive en la imposición de una multa por este motivo.
Puede acceder a la resolución sancionadora de la AEPD aquí.