Sanció exemplar de l'AEPD a Data brokers

Recentment, l’Agència Espanyola de Protecció de Dades ha dictat la Resolució nº R/00798/2013, mitjançant la qual imposa sancions econòmiques elevades (la més petita és de 20.000 euros i la més alta de 70.000 euros) a un grup d’empreses que es dediquen o dedicaven a l’enviament de fullets publicitaris.
Dels antecedents de la resolució es desprèn que, cinc de les persones que van rebre publicitat d’aquestes empreses, van presentar denúncia davant l’Agència Espanyola de Protecció de Dades, manifestant no haver facilitat, ni molt menys consentit, l’ús de les seves dades personals a aquestes empreses per l’enviament de publicitat. L’Agència va iniciar un període de prova i, posteriorment, va instar el procediment sancionador contra aquestes empreses.
Fins a aquí, es tracta d’una més de les moltes resolucions dictades per l’Agència contra la vulneració del dret fonamental a la protecció de dades dels ciutadans. Ara bé, aquesta resolució ens sembla molt interessant perquè ens recorda (amb base en sentències judicials) on estan els límits en quant a l’enviament de publicitat es refereix, la necessitat de recaptar el consentiment de l’afectat, la responsabilitat de les parts afectades, etc.
Per això, ens sembla oportú fer una petita llista, seguint la fonamentació de la resolució, amb els punts més importants tractats en ella i que han de tenir-se en compte abans de tractar dades personals i, molt més, si aquests van a ser tractats per a l’enviament de publicitat.
Així:
1.- Per poder tractar dades de caràcter personal, és necessari que es doni alguna d’aquestes circumstàncies:
a) Tenir consentiment del titular de les dades (P. ex. Enviament de publicitat).
b) Que les dades s’hagin obtingut de fonts accessibles al públic (P. ex. Guies telefòniques).
c) Que existeixi una llei que empari aquest tractament (P. ex. Quan els metges han de tractar una urgència. En aquest cas, és evident, que no és necessari que el pacient consenteixi el tractament de les seves dades).
d) Una relació contractual o negocial entre el titular de les dades i el responsable del tractament (P. ex. L’empresari que facilita les dades dels seus treballadors a la gestoria perquè faci les nòmines. En aquest cas, no és necessari que l’empresari demani el consentiment als treballadors perquè la gestoria pugui realitzar les nòmines).
2.- En cas que es vulgui enviar publicitat, a més de recaptar el consentiment de l’afectat, ha de tenir-se en compte quan es contracti a una empresa externa per fer la campanya publicitària que:
a) Des del moment en què nosaltres, com a empresa que vol enviar la publicitat, li demanem a l’empresa publicitària una base de dades i per a això sol·licitem que la base de dades sigui d’unes determinades característiques, és a dir, compleixi amb una sèrie de paràmetres, la nostra empresa també és responsable d’aquestes dades i del tractament que se’ls dóna.
Així estableix la resolució de l’Agència que: “Quan els paràmetres identificatius dels destinataris de la campanya siguin fixats per l’entitat que contracti la campanya, aquesta serà responsable del tractament de les dades” (article 46.2.a de el Reglament que desenvolupa la Llei Orgànica de Protecció de Dades de Caràcter Personal) per més endavant afegir “Quan en la determinació dels paràmetres intervinguin ambdues entitats seran ambdues responsables del tractament”. Aquesta postura, ve recolzada també per Sentències de l’Audiència Nacional, entre d’altres, assenyalar la Sentència de data11 de maig de 2001.
Per tant, hem de diferenciar quan parlem d’un responsable del fitxer i quan parlem d’un responsable del tractament.
Malgrat que l’article 3 de la Llei Orgànica 15/1999 de 13 de desembre, de Protecció de Dades de Caràcter Personal, els defineix conjuntament com si es tractés de la mateixa figura jurídica, la veritat és que l’Agència Espanyola de Protecció de Dades i el Tribunal Suprem (Sentència de data 5 de juny de 2004) diferencien aquestes figures.
Així, segons l’alt Tribunal, el responsable del fitxer és qui decideix la creació del fitxer i la seva aplicació, i també la seva finalitat, contingut i ús, és a dir, qui té capacitat de decisió sobre la totalitat de les dades registrades en aquest fitxer (En aquest cas, seria l’empresa encarregada de fer la base de dades per a la campanya publicitària). Mentre que, el responsable del tractament, és el subjecte al que cal imputar les decisions sobre les concretes activitats d’un determinat tractament de dades, això és, sobre una aplicació específica. Es tractaria de tots aquells supòsits en els quals el poder de decisió ha de diferenciar-se de la realització material de l’activitat que integra el tractament (En aquest cas, l’empresa que vol realitzar la campanya publicitària).
b) Finalment ha de tenir-se en compte que els acords o contractes privats entre l’empresa que sol·licita la campanya publicitària i l’empresa que l’efectua no poden tenir clàusules que exonerin de responsabilitat sobre les dades a l’empresa que ha sol·licitat la campanya, sempre que, aquesta hagi participat o marcat els paràmetres dels destinataris de la campanya. Qualsevol clàusula d’aquest tipus és nul·la de ple dret perquè vulnera principis fonamentals del nostre ordenament jurídic.
Autora: Eva Muñoz (@evamude). Advocada d’ @esfera_legal
La legalitat de la teva empresa,
en les millors mans


93 540 43 32