Sanción ejemplar de la AEPD a Data brokers

Recientemente, la Agencia Española de Protección de Datos ha dictado la Resolución nº R/00798/2013, mediante la que impone sanciones económicas elevadas (la más pequeña es de 20.000 euros y la más alta de 70.000 euros) a un grupo de empresas que se dedican o dedicaban al envío de folletos publicitarios.
De los antecedentes de la resolución se desprende que, cinco de las personas que recibieron publicidad de estas empresas, presentaron denuncia ante la Agencia Española de Protección de Datos, manifestando no haber facilitado, ni mucho menos consentido, el uso de sus datos personales a estas empresas para fines publicitarios. La Agencia inició un periodo de prueba y, posteriormente, instó el procedimiento sancionador contra dichas empresas.
Hasta aquí, se trata de una más de las muchas resoluciones dictadas por la Agencia contra la vulneración del derecho fundamental a la protección de datos de los ciudadanos. Ahora bien, dicha resolución nos parece muy interesante porque nos recuerda (con base en sentencias judiciales) dónde están los límites en cuanto al envío de publicidad se refiere, la necesidad de recabar el consentimiento del afectado, la responsabilidad de las partes afectadas, etc.
Por ello, nos parece oportuno hacer una pequeña lista, siguiendo la fundamentación de la precitada resolución, con los puntos más importantes tratados en ella y que deben tenerse en cuenta antes de tratar datos personales y, mucho más, si estos van a ser tratados para el envío de publicidad.
Así:
1.- Para poder tratar datos de carácter personal, es necesario que se dé alguna de estas circunstancias:
a) Tener consentimiento del titular de los datos (P.ej. Envío de publicidad)
b) Que los datos se hayan obtenido de fuentes accesibles al público (P.ej. Guías telefónicas).
c) Que exista una ley que ampare ese tratamiento (P.ej. Cuando los médicos deben tratar una urgencia. En este caso, es evidente, que no es necesario que el paciente consienta el tratamiento de sus datos).
d) Una relación contractual o negocial entre el titular de los datos y el responsable del tratamiento (P.ej. El empresario que facilita los datos de sus trabajadores a la gestoría para que haga las nóminas. En este caso, no es necesario que el empresario pida el consentimiento a los trabajador para que la gestoría pueda realizar las nóminas).
2.- En caso de que se quiera enviar publicidad, además de recabar el consentimiento del afectado, debe tenerse en cuenta cuando se contrate a una empresa externa para que realice la campaña publicitaria que:
a) Desde el momento en que nosotros, como empresa que quiere enviar la publicidad, le pide a la empresa publicitaria una base de datos y para ello solicita que la base de datos sea de unas determinadas características, es decir, cumpla con una serie de parámetros, nuestra empresa también es responsable de esos datos y del tratamiento que se les da.
Así establece la resolución de la Agencia que: “Cuando los parámetros identificativos de los destinatarios de la campaña sean fijados por la entidad que contrate la campaña, ésta será responsable del tratamiento de los datos” (artículo 46.2.a del Reglamento que desarrolla la Ley Orgánica de Protección de Datos de Carácter Personal) para más adelante añadir “Cuando en la determinación de los parámetros intervengan ambas entidades serán ambas responsables del tratamiento”.  Dicha postura, viene respaldada también por Sentencias de la Audiencia Nacional, entre otras, señalar la Sentencia de fecha11 de mayo de 2001.
Por tanto, debemos diferenciar cuándo hablamos de un responsable del fichero y cuándo hablamos de un responsable del tratamiento.
Pese a que el artículo 3 de la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, los define conjuntamente como si se tratase de la misma figura jurídica, lo cierto es que la Agencia Española de Protección de Datos y el Tribunal Supremo (Sentencia de fecha 5 de junio de 2004) diferencian dichas figuras.
Así, según el alto Tribunal, el responsable del fichero es quien decide la creación del fichero y su aplicación, y también su finalidad, contenido y uso, es decir, quien tiene capacidad de decisión sobre la totalidad de los datos registrados en dicho fichero (En este caso, sería la empresa encargada de hacer la base de datos para la campaña publicitaria). Mientras que, el responsable del tratamiento, es el sujeto al que cabe imputar las decisiones sobre las concretas actividades de un determinado tratamiento de datos, esto es, sobre una aplicación específica. Se trataría de todos aquellos supuestos en los que el poder de decisión debe diferenciarse de la realización material de la actividad que integra el tratamiento (En este caso, la empresa que quiere realizar la campaña publicitaria).
b) Por último debe tenerse en cuenta que los acuerdos o contratos privados entre la empresa que solicita la campaña publicitaria y la empresa que la efectúa no pueden tener cláusulas que exoneren de responsabilidad sobre los datos a la empresa que ha solicitado la campaña, siempre y cuando, ésta haya participado o marcado los parámetros de los destinatarios de la campaña. Cualquier cláusula de ese tipo es nula de pleno derecho porque vulnera principios fundamentales de nuestro ordenamiento jurídico.
Autora: Eva Muñoz (@evamude). Abogada de @esfera_legal
La legalidad de tu empresa,
en las mejores manos


93 540 43 32