La Asociación Española de Protección de Datos ha condenado a Vodafone a pagar 60.000€ por un fallo humano. Un empleado habría confundido el número de reclamación de dos clientes, lo que habría permitido a uno de ellos acceder a los datos personales del otro.
Vodafone es una compañía ya acostumbrada a tratar con casos en los que se le acusa de fallos en la protección de datos de su clientela. En verano de 2018, un cliente de la compañía recibió un correo publicitario que incluía las direcciones y nombres de todos los clientes de Vodafone a los que se dirigía este correo comercial. Este caso acabó con una condena de la Asociación Española de Protección de Datos a pagar 60.000 euros por la vulneración del principio de confidencialidad.
Esta es la misma cantidad que la multinacional de telefonía ha sido obligada a abonar de nuevo, después de que una clienta, que quería dar de baja un servicio contratado por su madre, descubrió que el sistema informático de Vodafone, con su propio usuario y contraseña, le facilitaba el acceso a los datos de un tercero ajeno a su madre.
La cliente comunicó a la compañía el problema, pero no recibió una respuesta satisfactoria, por lo que fue entonces cuando decidió reportar el incidente a la AEPD.
El punto de vista de Vodafone
El 15 de enero de 2019, las dos personas implicadas en la infracción de protección de datos realizaron una llamada al departamento de atención al cliente de Vodafone. El método de la compañía para resolver las reclamaciones es otorgar a cada cliente un código específico para que puedan visualizar sus facturas.
Desde la compañía se declara que lo más probable es que el empleado encargado de atender a ambos clientes, y por lo tanto de facilitarles su código, cometiera un error y remitiera a los afectados el mismo código. Esto habría causado que la demandante pudiera acceder a la información privada de otra persona.
Vodafone ha reiterado que en ningún caso existió intencionalidad ni culpabilidad en la forma de actuar, sino que se trataría de un hecho aislado, producido por un error humano.
La resolución
La Agencia Española de Protección de Datos encontró a Vodafone culpable de violar el artículo 32 del Reglamento General de Protección de Datos, el cual establece que “el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado”.
La infracción se tipifica en el artículo 83.4 del RGPD y es calificada como “Grave” en el artículo 73.1 del mismo, por lo que la agencia ha multado a Vodafone con una sanción de 60.000 euros. De estos, la compañía solo tuvo que abonar el 80%, un total de 48.000 euros, ya que, el pasado 2 de agosto, Vodafone abonó voluntariamente la cantidad requerida.