La Audiencia Nacional reduce la multa de la AEPD a Vodafone de 8 a 4,5 millones de euros, al obviar ésta las circunstancias del caso

Varapalo a la Agencia Española de Protección de Datos (AEPD) por la falta de comprobación del regulador de los argumentos de sus infracciones a la compañía Vodafone. La Audiencia Nacional señala que a la hora de sancionar no solo hay que tener en cuenta el tamaño de la empresa, también las circunstancias de lo ocurrido.

De esta forma, la Audiencia Nacional ha estimado parcialmente recurso contencioso-administrativo interpuesto por Vodafone frente a la resolución (PS/00059/2020) de la AEPD, de 4 de mayo del 2021, que imponía a la compañía una multa de más de 8 millones de euros por varias infracciones relativas a la diligencia en la contratación de encargados y una transferencia internacional.

En una sentencia de 29 de octubre del 2024, núm. 6558/2024, la Sección Primera Contenciosa-Administrativa de la Audiencia Nacional —formada por el magistrado Eduardo Menéndez, como presidente, y las magistradas Lourdes Sanz, que ha sido ponente, Begoña Fernández y Nieves Buisan— ha estimado parcialmente el recurso de Vodafone y, en consecuencia, reducido la cuantía de las cuatro sanciones que fueron impuestas.

Al final la multa se queda en 4,5 millones de euros, aunque ambas partes podrían recurrir en casación al Tribunal Supremo.

En el fallo judicial, la Audiencia Nacional dicta: “Reducir la sanción de multa administrativa impuesta por infracción del artículo 28 del RGPD, en relación con el artículo 24 del RGPD, de cuatro a tres millones de euros (3.000.000 €); reducir la sanción de multa administrativa impuesta por infracción del artículo 44 del RGPD,  de dos millones a cincuenta mil euros (50.000 €); reducir la sanción de multa administrativa impuesta por infracción del artículo 21 de la LSSICE, de 150.ooo euros que se califica como infracción leve, a treinta mil euros (30.000 €); y reducir la sanción de multa administrativa impuesta por infracción del artículo 48.1.b) de dos millones del RGPD a 1.500.000 euros”.

La resolución ha generado un gran interés en el mundo empresarial y los propios expertos en privacidad. Hasta la fecha esa multa de 8,15 millones de euros a Vodafone era una las más altas impuesta por la propia AEPD, con Mar España al frente, y a lo largo de sus 30 años de historia solo superada por otra de Google de 10 millones en mayo del 2022.

Hay que recordar que la entrada en vigor del Reglamento General de Protección de Datos (RGPD) desde mayo del 2018 cambio el montante de las multas que los reguladores europeos tienen que aplicar. En 2024, la Agencia Española de Protección de Datos ha impuesto 242 multas que suman más de 27 millones de euros.

Las multas de la AEPD, que ha dirigido hasta hace poco Mar España, han crecido de forma notable. La de Vodafone ha sido una de las más altas. (Imagen: AEPD)

Faltó acreditar los atenuantes

Para José Leandro Núñez, socio de Audens y secretario general de ENATIC, “la sentencia está bastante bien razonada y, como en otros casos parecidos, la Audiencia Nacional le afea a la AEPD que en este tipo de procedimientos además de los agravantes que ha tomado en consideración, no haya tenido en cuenta los atenuantes existentes. Este es un tema que los abogados expertos en privacidad alegamos en casi todos los procedimientos, a menudo sin éxito”.

Sobre estas reducciones de la sanción Núñez comenta que “la primera infracción de cuatro millones se impuso por deficiencias en la gestión de los encargados de tratamiento. La multa se reduce de cuatro a tres millones, y para ello la Audiencia Nacional se basa en que la Agencia no acredita los supuestos beneficios financieros que la infracción le reportó a Vodafone”.

“Por los mismos motivos se reduce la infracción del artículo 48 del RGPD, de dos millones a millón y medio. Es una rebaja moderada, pero en las otras dos multas si hay reducciones importantes. Una de ellas es una sanción por transferencias internacionales a Perú, que pasa de dos millones a solo 50.000 euros, lo que sin duda llama la atención”, comenta.

José Leandro Núñez cree que el fallo de la Audiencia Nacional deja clara la falta de argumentación jurídica de la AEPD en este asunto. (Imagen: Audens)

Para este jurista “la justificación de esta bajada de la multa en transferencias internacionales viene dada porque la AEPD, en este caso, no justificó las cuestiones atenuantes y agravantes que se aplican a esa concreta infracción. Considera además que la transferencia internacional de datos a Perú merecía un análisis individualizado”.

“Esta falta de análisis hace que la Audiencia Nacional, como en otros asuntos, reduzca la sanción al mínimo. Como el RGPD solo establece límites superiores, fija una cuantía bastante habitual en las multas de la AEPD: 50.000 euros”. Es, por tanto, esta falta de motivación la que da lugar “a una reducción muy relevante, de casi dos millones de euros”.

En cuanto a la cuarta sanción, se basaba “en el envío de comunicaciones comerciales supuestamente masivas. Sin embargo la Audiencia Nacional señala que solo se examinaron 24 reclamaciones, cada una de una persona diferente, con lo cual no se acredita que se haya producido una comunicación masiva de las que habla la LSSI”.

Por este motivo “se reduce la gravedad de la sanción: pasa de ser una infracción grave a otra leve. Ello conlleva que se reduzca la cuantía de 150.000 a 30.000 por esta causa, lo que porcentualmente supone una reducción significativa”. El letrado explica que “la AEPD, por tanto, no demostró realmente que en alguno de esos casos hubo envíos masivos. Al ser una multa por spam se rige por la LSSI, no por el RGPD, con lo cual el régimen sancionador es diferente”.

Una resolución esperada con moraleja

Para Paz Martín, socia directora de Legal Things Abogados, “la sentencia de la Audiencia Nacional en uno de los procedimientos sancionadores con sanciones más elevadas en nuestro país. Nos resulta especialmente interesante por varios motivos. El primero supone que analiza detalladamente con invocación de jurisprudencia europea y patria el concepto de ‘responsable de tratamiento’, especialmente en determinadas prácticas que podrían ser interpretadas de otra forma. Nos referimos a la contratación de terceros pera enriquecer las bases de datos a partir de sus propias bases (las de terceros u otros) siempre que la finalidad en beneficio en este caso de Vodafone. Claramente, la AN se decanta por interpretar que Vodafone es responsable”.

Al mismo tiempo la sentencia “interpreta que la obligación de seleccionar bien y evaluar a los encargados de tratamiento no se agota en el momento inicial de la contratación del proveedor, sino que obliga a evaluar durante la ejecución del contrato si las garantías ofrecidas inicialmente son suficientes”.

El fallo de la AN “le da una pequeña colleja a la AEPD en lo que a la determinación de las medidas correctivas se refiere. Le pide mayor concreción y en este caso concluye que la falta de determinación genera indefensión”, señala Martín. Otro elemento importante es que “exige igualmente a la AEPD una mayor concreción en el análisis de la infracción del artículo 44 relativo a transferencias internacionales”.

Para Martín esta resolución judicial “considera que no procede considerar que existe una agravante en función de los beneficios obtenidos, dado que la AEPD no detalla suficientemente que exista tal relación entre las llamadas y dichos beneficios”.

Paz Martín destaca que la Audiencia Nacional le pide a la AEPD mayor concreción, y en este caso concluye que la falta de determinación genera indefensión. (Imagen: cesión propia)

Esta experta destaca que “la reducción es sustancial (casi la mitad), aun así, la sanción sigue siendo muy elevada, pero en su momento constituyó la sanción más elevada que había impuesto la AEPD (lo sigue siendo tras la impuesta a Google), y nos sirvió de ejemplo para reforzar los procesos de selección y evaluación de proveedores”.

“El análisis realizado por el tribunal, en la misma línea, incide en la responsabilidad de las empresas que contratan proveedores con acceso a datos a realizar un seguimiento, monitorización, evaluación y auditorias constantes dado que les va la responsabilidad en ello”, comenta.

Paz Martín considera que “este tipo de resoluciones nos sirven de ejemplo de la importancia de establecer procesos de mejora y evaluación continuos de los proveedores. No se pueden echar balones fuera ni hacer dejación de responsabilidades que corresponden a quien decide sobre el fin de los datos. Más que nunca esta sentencia nos debe servir para aplicar aquel dicho de ‘cuando las barbas del vecino veas cortar”.

La socia directora de Legal Things Abogados se pregunta si el asunto acabará en casación en el Tribunal Supremo, pero “por lo pronto se ponen deberes para unos y otros”. Las reflexiones finales de esta jurista son claras: “Eres responsable de lo que hace tu encargado de tratamiento y los subencargados. El RGPD exige una constante supervisión de que las medidas que dicen tener son suficientes”.

A la vez, “eres responsable de proporcionar instrucciones precisas, en especial cuando eres conocedor de que existen tratamientos de datos en otros países o que se reciben quejas de los usuarios. No basta con echarle la culpa al proveedor”.

Y como argumento final “tan importante como los contratos y las evaluaciones iniciales son el seguimiento, el control y la solicitud de rendición de cuentas”.

Sanciones deben estar fundamentadas

Por su parte, Xavier Ribas, socio director de Ribas & Asociados, comenta que la resolución de la Audiencia Nacional en este caso supone un avance importante en la interpretación y aplicación de las sanciones en el marco del RGPD y la LSSICE. “La protección de los datos personales y el cumplimiento normativo son fundamentales en el entorno digital actual, pero es esencial que las sanciones impuestas sean proporcionadas y estén debidamente fundamentadas”, señala Ribas.

Desde su punto de vista “esta decisión pone de relieve una fundamentación jurídica insuficiente en la resolución recurrida, y envía un mensaje a las autoridades de control de que la proporcionalidad debe prevalecer en cualquier procedimiento sancionador”.

“En el caso de Vodafone, aunque no se cuestiona la existencia de infracciones, sí se evidencia que algunas de las sanciones originales carecían de una motivación sólida y, en ciertos casos, adolecían de una justificación adecuada respecto a las circunstancias agravantes de cada infracción”, subraya.

Xavier Ribas indica que esta decisión pone de relieve una fundamentación jurídica insuficiente en la resolución recurrida, y envía un mensaje a las autoridades de control de que la proporcionalidad debe prevalecer en cualquier procedimiento sancionador. (Imagen: cesión propia)

Para este experto “en una Europa hiperregulada no puede producirse la paradoja de que el Poder Ejecutivo interprete de forma subjetiva las normas creadas por el Poder Legislativo hasta el punto de que sus actuaciones deban ser corregidas por el Poder Judicial”.

En su opinión “la paradoja es mayor cuando se establecen estándares de cumplimiento altamente exigentes a los proveedores de terceros países mientras en los procedimientos administrativos europeos se vulnera el derecho a la presunción de inocencia o el principio de culpabilidad, y se exige a la empresa la carga de una prueba que en realidad corresponde a la Administración Pública”.

“Por otro lado, la sentencia reafirma la responsabilidad de las empresas sobre sus encargados de tratamiento y los subencargados. El responsable del tratamiento debe disponer de un procedimiento de selección, verificación y homologación de proveedores que asegure que únicamente contratará a empresas con las debidas garantías de cumplimiento. Un procedimiento que adicionalmente ayude a prevenir la clásica culpa in eligendo”, resalta.

Al mismo tiempo indica que “tras la contratación del encargado del tratamiento la empresa debe establecer un calendario de controles periódicos y de obtención de evidencias de cumplimiento”.

Como reflexión final, Xavier Ribas indica que “este caso pone en evidencia la necesidad de encontrar un equilibrio entre la protección efectiva de los derechos de los interesados y una operativa empresarial que sea viable. De lo contrario, las empresas europeas deberán dedicar más tiempo al cumplimiento de leyes imposibles que al negocio”.

Desde su punto de vista “las sanciones deben actuar como una herramienta para fomentar el cumplimiento normativo, no como un castigo desproporcionado que desincentive la actividad emprendedora”.