La Agencia Española de Protección de Datos multa a Telefónica, Yoigo y Glovo por vulnerar la normativa de privacidad y a Twitter por la gestión de sus 'cookies' en su web

• La AEPD ha sancionado a varias compañías tecnológicas por vulnerar el GDPR, como es el caso de Telefónica, Yoigo o Glovo.
• Telefónica permitió el alta de 3 líneas por una persona que estaba suplantando la identidad de otra, y Yoigo envió SMS a un usuario advirtiéndole de impagos cuando en realidad se debía dirigir a otro cliente.
• Glovo no nombró un delegado en Protección de Datos hasta finales de enero de este año, ya que defendía tener un Comité que hacía sus funciones.
• La gestión de las cookies de Twitter en su versión web tampoco ha convencido a la AEPD, que ha propuesto otra sanción para la red social.
• Las 4 sanciones ascienden en total a los 134.000 euros. España ya fue en 2019 uno de los seis países que puso más de un millón de euros en sanciones por vulnerar el Reglamento Europeo de Protección de Datos.
• Descubre más historias en Business Insider España.

El GDPR entró en vigor hace 2 años y sus críticos consideran que el Reglamento Europeo de Protección de Datos se ha quedado, por ahora, en el papel. En muchas ocasiones la normativa no se ha podido aplicar por falta de recursos.

España, eso sí, está en el reducido grupo de países que ha conseguido imponer más de un millón de euros en sanciones a empresas que no acatan la norma. Entre enero de 2019 y enero de 2020 el organismo de control nacional, la Agencia Española de Protección de Datos, detectó un total de 2,08 vulneraciones al GDPR por cada 100.000 ciudadanos.

La cifra podría ser similar de cara a 2021. La AEPD ha publicado esta semana un gran número de resoluciones. Y entre las últimas sancionadas destacan nombres de grandes tecnológicas internacionales, startups españolas o telecos de implantación nacional.

Leer más: Movistar llega un acuerdo con la desarrolladora de Fortnite para que puedas pagar las compras dentro del videojuego directamente en la factura telefónica

Twitter, Glovo, Telefónica y Yoigo han recibido propuestas de sanción o incluso han asumido sus pagos de forma voluntaria. En total, estas 4 sanciones ascienden a 134.000 euros, ya que algunas de las firmas implicadas se han acogido al período de pago voluntario, lo que les permitió disfrutar de algunos descuentos previstos legalmente.

Telefónica permitió el alta de 3 líneas con una suplantación de identidad, y Yoigo reclamó pagos al cliente equivocado

Un caso muy singular es el que protagoniza Telefónica. En octubre de 2018 un cliente de la compañía española advirtió que sus datos se habían empleado para dar de alta de forma fraudulenta hasta 3 líneas. La firma alegó que los distribuidores tienen la orden de recabar los datos de sus nuevos clientes, ya que "son responsables de la veracidad de la información que se incorpore".

No obstante, se constató que el denunciante había sido suplantado por un tercero —con lo que efectuó su correspondiente denuncia— y Telefónica había tratado los datos de la persona afectada para incluirlo en sus ficheros y tramitar facturas. La compañía se vio obligada a cancelar las deudas que había contraído esta persona.

"En el presente caso estamos ante una acción negligente no intencional", remacha la AEPD en su resolución. "Se encuentran afectados identificadores personales básicos —nombre, un número de identificación, el identificador de la línea—". Pero también recoge la consideración de que Telefónica "estimó la existencia de suplantación de identidad" y "anuló la deuda existente".

Leer más: La AEPD no ha recibido "ninguna consulta" del Gobierno sobre apps de rastreo e iniciará una investigación para saber cómo afecta esta tecnología a la privacidad

Aunque en un principio se fijó la sanción a la multinacional española en 50.000 euros por una infracción "muy grave" a tenor de lo que dicta la Ley de Protección de Datos española —que transpone el GDPR—, la firma finalmente pagó 40.000 euros por hacerlo en el período voluntario.

Yoigo también ha tenido que asumir un pago de 39.000 euros que efectuó el pasado mes de abril, después de que un denunciante advirtiese que estaba recibiendo SMS de la compañía alertándole de impagos y de la inminente suspensión de la línea. En realidad, la operadora estaba intentando avisar a otro cliente.

La AEPD recoge en ambas resoluciones que estas infracciones pueden ser penalizadas con una multa de hasta 20 millones de euros o de hasta el 4% del volumen de negocio de la compañía sancionada del año anterior. Sin embargo, en ambos casos la AEPD ha tenido en cuenta tanto agravantes como atenuantes.

En el caso de Yoigo, no fue una cuestión "intencional", pero sí "manifiestamente negligente".

Glovo no había nombrado a un delegado de Protección de Datos y Twitter no cumplía la ley con su política de 'cookies'

La española Glovo se enfrenta a la futura regulación de los riders. La ministra de Trabajo, Yolanda Díaz, ya ha advertido que pretende dejar lista la norma que fomentará la contratación laboral de estos autónomos antes de verano. Pero antes de que la firma contrate a los riders, ya tuvo que hacer lo propio con un delegado de Protección de Datos.

Todo, después de que la AEPD actuase tras recibir 2 denuncias en mayo y noviembre que indicaban que la compañía de reparto de comida a domicilio no había nombrado a ningún delegado de Protección de Datos.

Aunque en un primer momento la startup defendió que como compañía estaba exenta de hacerlo, sí advirtió que no contaba con un delegado pero sí con un "Comité de Protección de Datos, que lleva a cabo las funciones propias de un delegado"; según recoge el organismo de control en la resolución.

Por esta razón, la Agencia de Protección de Datos inició un procedimiento sancionador a mediados de enero. El efecto no tardó en llegar: el 31 de enero Glovo comunicaba el nombramiento de su delegado.

Leer más: Las cámaras térmicas para impedir el acceso a gente con fiebre pueden suponer un tratamiento de datos "sin legitimidad", recuerda la AEPD

En este caso, el organismo de control detecta como agravantes "el número de interesados afectados, ya que la reclamada realiza un tratamiento de datos personales a gran escala por el número de clientes que tiene". La compañía tiene que pagar ahora 25.000 euros.

Twitter también está entre los nombres de las empresas señaladas esta semana por la AEPD. Sin embargo, la red social no incumple el GDPR, sino la Ley de Servicios de la Sociedad de la Información (LSSI). El motivo: cuando los usuarios acceden a la web de Twitter, la página instala en el navegador varias cookies para las que no ha habido consentimiento expreso.

La propia AEPD remacha en su escrito que no hay ningún aviso con la opción de "rechazar". El organismo pormenoriza incluso cuáles son las cookies que Twitter.com instala en los navegadores de los usuarios: desde las habituales cookies de métricas de audiencia de Google Analytics, hasta una desconocida cookie bautizada como Ct0, y cuyo propósito "se desconoce".

Por esta razón, la filial española de Twitter tendrá que hacerse cargo de la sanción de 30.000 euros que le impone la AEPD en su resolución.

La cuantía de esta multa se ha valorado según "el volumen de facturación a que afecte la infracción cometida", "los beneficios obtenidos" por la misma, "la naturaleza y cuantía de los perjuicios causados" y "con relación al volumen de usuarios a los que afecta, al tener en la actualidad más de 4 millones de perfiles registrados en España".