Son varios los clientes que nos han preguntado sobre la legalidad de comprar una base de datos de clientes potenciales para realizar una acción comercial y las implicaciones que tiene esto a nivel de LOPD.
Existen empresas (list brokers) que se dedican a nutrir bases de datos principalmente de fuentes accesibles al público para posteriormente comercializarlas. El uso de estas bases de datos para fines comerciales únicamente se permite si se obtienen de fuentes accesibles al público (y estas no han caducado) o bien cuando los interesados hayan prestado su consentimiento informado. Por ello, y con el fin de que la empresa compradora no asuma el riesgo de ser sancionada por la AEPD debido al tratamiento de datos de forma ilegítima, recomendamos tener en cuenta los siguientes aspectos:
a)Declaración de legalidad de la base de datos y cláusulas de exoneración de responsabilidad.
Es imprescindible que el vendedor emita una declaración (se puede incluir en el contrato de prestación de servicios) mediante la cual confirme que la información de la base de datos ha sido obtenida de una FAP (fuente accesible al público) o bien cuenta con el consentimiento del interesado para recibir comunicaciones comerciales.
No obstante, se debe ser consciente de que la existencia de cláusulas de exoneración de responsabilidad del comprador de la BDD no excluye su responsabilidad ya que la AEPD viene manifestando que es un aspecto formal.
b)Plazos de caducidad y actualización de la bdd.
Deben atenderse los plazos de caducidad de la base de datos adquirida, ya que las FAP pierden su carácter con las nuevas ediciones que se publiquen o al año de su obtención si son en formato electrónico.
c)Informar en cada comunicación a los destinatarios.
En cada comunicación comercial se deberá informar de:
– El origen de los datos, es decir, la FAP, debiendo indicar incluso que esos datos forman la bdd adquirida del list broker correspondiente.
– Indicación del remitente de la publicidad (responsable del fichero o tratamiento) y su dirección.
– De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación u oposición (y ante quien).
d)Consulta previa de la lista robinson.
Se exige, por el artículo 49.4 del RLOPD, que previamente a remitir una comunicación comercial el responsable consulte algún fichero ‘robinson’ (de exclusión del envío de comunicaciones comerciales) para evitar que los que aparecen en estas listas reciban publicidad.
e)Atender el ejercicio de derechos (ARCO) de los interesados.
Si, por ejemplo, un interesado ejerce su derecho de oposición, la entidad responsable (quien ha adquirido la bdd) deberá proceder a dar de baja los datos de esa persona.
A modo recordatorio, la LOPD considera como “fuentes accesibles al público”:
– El censo promocional. Aunque no existe este censo específico para el ámbito comercial, es necesario diferenciarlo del censo electoral.
– Las guías de servicios de comunicaciones electrónicas (páginas blancas) o repertorios telefónicos.
– Listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, titulo, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo.
– Diarios y boletines oficiales.
– Los medios de comunicación. (la Audiencia Nacional se ha pronunciado en diversas ocasiones sobre que la información que aparece en Internet no es una información que se pueda entender procedente de fuentes accesibles al público).
En el siguiente post, analizaremos concretamente las comunicaciones comerciales electrónicas (habitualmente correo electrónico) para el envío de publicidad, donde como norma general, deberemos contar previamente con el consentimiento del interesado.
