21 de octubre de 2009

Lo poco que valen tus datos... y lo caros que pueden salir

D. B.B.B. (en adelante el denunciante) denunció ante la Agencia Española de Protección de Datos (AEPD) a las compañías DE´NOGAL y GUPOST, manifestando que haber recibido un envío de publicidad no solicitada en su domicilio, conteniendo sus datos personales sin que haya existido ningún tipo de relación comercial previa. También, añadió que no figura la fuente de obtención de sus datos ni el contacto para poder hacer uso de sus derechos en cuanto al tratamiento de sus datos personales (cancelación, oposición, etc.).

La historia sobre de dónde habían sacado sus datos y cómo habían llegado hasta la empresa emisora es de lo más rocambolesca, y detalle más o menos, se resume así:
  • La entidad Arvato Services Iberia S.A., en virtud de acuerdo de distribución, le proporciona a Informa D & B, un fichero de base de datos de personales para marketing, en dicho fichero se encuentran los datos personales del denunciante, habiéndose acreditado su obtención de una fuente de acceso público (la Guía QDQ).
  • Informa D & B procedió a facilitar a GRUPO LIDER unos ficheros de marketing entre los que se encontraban el fichero que contenía los datos personales del denunciante.
  • GRUPO LIDER y GRUPO LINCE ASPRONA S.L.U (en adelante GRLAP) formalizaron un contrato de prestación de servicios para la realización de servicios de publicidad directa. En virtud del mencionado contrato, GRUPO LIDER facilitaba a GRLAP una base de datos, para la realización del envío publicitario, así como el texto comercial a incluir, y el formato del sobre a remitir en la campaña.
  • GRLAP no intervino en la creación, diseño o redacción del contenido de la comunicación comercial facilitada por GRUPO LÍDER, siguiendo las instrucciones recibidas de esta empresa, tampoco ha participado ni en el diseño de parámetros de la base de datos facilitada ni en la elaboración de la misma.
  • Como consecuencia de las relaciones jurídicas anteriormente referenciadas, el denunciante, recibió un envío comercial de la entidad DE`NOGAL en cuyo sobre consta su nombre, apellidos y domicilio “(C/.....................)”, también figura como empresa que realizó el franqueo “GUPOST”, fecha “9.5.08” y como remitente “de´nogal parking hipercor la flecha (.........)”. En el interior del citado sobre figuraba un documento publicitario –carta-descuento- de muebles “de´nogal.
  • En el envío publicitario recibido por el denunciante, en el que se tratan sus datos personales no consta información relativa al origen de sus datos ni la información relativa al ejercicio de sus derechos de acceso, rectificación, cancelación y oposición.
Basándose en estos hechos probados, la AEPD acordó iniciar el Procedimiento Nº PS/00224/2009 a GRUPO LIDER DE COMPRAS, S.L. por la presunta infracción del artículo 5 en relación con el 30.2 de la LOPD, tipificada como GRAVE en el artículo 44.3 l) de la citada Ley Orgánica.

Las alegaciones de Grupo Líder resultaron ser de lo más variopintas, intentando cargar toda la responsabilidad sobre Informa e indicando que Avanto era el verdadero responsable del fichero, que dio determinadas instrucciones para su uso a Informa y que ésta último incumplió sus obligaciones al no informar a Grupo Líder de estas instrucciones (pags 5 a 7 del procedimiento).

La AEPD responde tajante en los Fundamentos de Derecho:
GRUPO LIDER DE COMPRAS S.L., (en adelante GRUPO LIDER), es de conformidad con las definiciones responsable del fichero y del tratamiento. Del fichero en tanto que lo adquirió de Informa D & B, de conformidad con las manifestaciones obrantes en el expediente y las facturas emitidas por ésta cuyo concepto consta “Base de Datos de Marketing”, (Folios 128 a 130). Responsable del tratamiento, en tanto que fija los parámetros de la campaña y contrato con GRUPO LINCE ASPRONA S.L.U. (en adelante GPLA), para la realización de servicios de prospección comercial, para lo cual GRUPO LIDER dio las instrucciones precisas, y en definitiva decidió sobre la finalidad, contenido y uso del tratamiento.
(...)
En definitiva, la representación de GRUPO LIDER pretende descargar la responsabilidad de su actuación en otras entidades que participaron en el itering relativo a la realización de la campaña publicitaria, de la que sale el envío objeto de discusión en el presente procedimiento.
Pues bien, admitiendo la interpretación de GRUPO LIDER, se estaría abonando zonas de impunidad en lo referente al tratamiento de datos personales, es decir, no se puede, al socaire de un incumplimiento de un contrato privado, dejar de observar los mandatos que la LOPD impone. Cualquier persona física o jurídica que intervenga en el tratamiento de datos personales ha de observar las prescripciones de la LOPD, y en el presente caso, GRUPO LIDER se constituye en responsable del tratamiento de conformidad con el art. 43 LOPD y lo expuesto en el Fundamento de Derecho anterior, y por tanto susceptible de generar responsabilidad por incumplimiento de la LOPD.
Pero es que además en el contrato entre Grupo Líder y GRLAP se especificaba:
“En consecuencia, corresponderá a la entidad LIDER DE COMPRAS, en su condición de titular y responsable del fichero o ficheros que pudieren ser objeto de tratamiento por parte de LINCE GUPOST, observar y cumplimentar cuantas obligaciones pudieren venir impuestas por la normativa legal.
Especialmente, y sin que ello tenga carácter exhaustivo, la entidad LIDER DE COMPRAS deberá cumplimentar o haber cumplimentado, por si misma, las obligaciones establecidas en la vigente Ley Orgánica 15/1999 en relación con la recogida de datos informaciones a facilitara los afectados, cumplimentación de los derechos de los mismos y formalización de las notificaciones que puedan proceder a la Agencia de Proteccion de Datos.”
Todo este enredo y trasvase de datos entre varias empresas no anula el hecho de los datos fueron obtenido de una fuente de acceso público (guía QDQ), pero la denuncia deja la descubierto que en el envío no se cumplían las obligaciones señaladas en el artículo 30.2 de la LOPD:
Cuando los datos procedan de fuentes accesibles al público, de conformidad con lo establecido en el párrafo segundo del artículo 5.5 de esta Ley, en cada comunicación que se dirija al interesado se informará del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten.

Grupo Líder solicita también la aplicación del artículo 45.5 de la LOPD con el fin de reducir la posible sanción, pero tampoco lo consigue:
GRUPO LIDER solicita la aplicación del citado precepto, sin embargo no procede dicha aplicación, ya que pretende escudar el incumplimiento en que Informa no le suministró la información necesaria para el cumplimiento de la LOPD ( Págs. 4 a 6 de las alegaciones de GRUPO LIDER), afirmación en modo alguno se puede admitir.
GRUPO LIDER no ha mostrado un celo y diligencia, que debe ser de notable entidad en atención a su actividad mercantil de la que se infiere un continuo tratamiento de datos personales, al establecer ninguna previsión relativa a la información que debían ofrecer sus envíos publicitarios (...)
Un detalle que me ha llamado la atención es que en el procedimiento se especifica el tamaño de la base de datos vendida (un fichero con 9.935 registros que contenía Profesionales y Personas Físicas y otro de 1.779 registros), así como el precio facturado (1.502,47€), lo cual resulta en un precio de 13 céntimos de euro por cada registro. Y sin embargo el mal uso de los datos lleva a esta consecuencia:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad GRUPO LIDER DE COMPRAS S.L., por una infracción del artículo 5 relacionado con el artículo 30.2, ambos de la LOPD, tipificada como grave en el artículo 44.3 l) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos de euro) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

4 comentarios:

Roberto García dijo...

Lo más alucinante es esta alegación:

"Al final del referido correo electrónico figura un texto que en modo alguno da cumplimiento a las Condiciones Mínimas que ARVATO le había exigido a INFORMA cuando distribuyera la base de datos a GRUPO LÍDER, pues dicho texto se “pega” al final del correo electrónico sin ningún tipo de explicación al respecto, no pudiendo exigirse a GRUPO LÍDER que “adivinara” por qué se había “pegado” ese texto allí, cuál era la finalidad de “haberlo pegado” allí, y qué se suponía debía hacer GRUPO LÍDER con ese texto (si adivinaba o intuía que tenía que hacer algo con dicho texto).
Es curioso, que de la misma manera que figura “pegado” el referido texto, a párrafo seguido figura “pegado” otro texto de contenido ecológico.
¿Por qué GRUPO LÍDER debía considerar el primer texto como importante y el segundo no (el ecológico) si nadie le había indicado nada al respecto?"

0_0

¿Y qué tendrá que ver una cosa con la otra?
¿Y cómo puede alegar un profesional del derecho que era un tercero quien debía haberle explicado el cumplimiento LOPD cuando hasta los niños de primaria saben que el desconocimiento de la ley no exime de su cumplimiento?
Y luego tenemos mala fama, claro :P

victor zurita dijo...

Estando totalmente de acuerdo con el análisis conceptual del comentarista Roberto Garcia, sobre las alegaciones manifestadas por GRUPO LIDER, y su precariedad argumental, debo hacer un leve apunte, sobre los señores letrados en general,(aún sabiendo que toda generalización acarrea injusticia), según mi punto de vista, después de tres años trabajando como consultor LOPD, he podido constatar un desconocimiento absoluto sobre la Protección de Datos, como anécdota, una vez en conversación al respecto con un afamado abogado, de gran reputación por su brillante carrera profesional, más de cuarenta años ejerciendo, pues a su buen entender me expeto: " yo no tengo que cumplir dicha ley, pues yo no tengo "clientes", sólo tengo "asuntos". Me quede perplejo, producía hilaridad escuchar, de un letrado avezado, la respuesta dada. Como bien dijo Roberto, el desconocimiento no exime, pero en el sector de la abogacia en España, no ha encajado bien esta ley orgánica, se la toman con un poco de guasa, de hecho, mayoritariamente la incumplen, ni siquiera están dados de alta en el RGPD, así dificilmente, con esa actitud, puedan obrar correctamente en sus asesoramientos. El asunto tiene mucho calado, pues los propios colegios oficiales incumplen la normativa y apenas aconsejan a sus miembros colegiados, de la gran importancia y relevancia de la ley. Y claro, si no dan ejemplo....

Marketing Positivo dijo...

Gracias Roberto y Víctor por los apuntes.
Ya he dicho alguna vez que algún día plantearemos entre los profesionales del sector un "anecdotario LOPD", donde seguro que más de un capítulo estará dedicado a la abogacía.

Paco dijo...

Pues aunque parezca poco 13 céntimos por cada dato, si pensamos que los han sacado del QdQ, es decir, que su único gasto es la organización de la información, arece que es buen negocio.

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.