29 de Juliol de 2015
l’Agència Espanyola de Protecció de Dades, actua d’ofici contra la venda de bases de dades.
Com a conseqüència de les nombroses denúncies rebudes en els últims anys a l’Agència Espanyola de Protecció de Dades (AEPD), per l'enviament de comunicacions comercials no sol·licitades en les quals els remitents havien utilitzat bases de dades amb adreces de correu electrònic adquirides a tercers, amb data 27 de novembre de 2012 el Director de l'AEPD va ordenar l'obertura d'actuacions prèvies de recerca en relació amb la venda de bases de dades que contenien, entre altres dades, adreces de correu electrònic, amb la finalitat de “determinar què informació faciliten als compradors sobre la legalitat de les bases de dades, la licitud de la seva utilització conforme a la LSSI i LOPD i la possible vulneració per part d'aquestes empreses de les citades normes”.
Com a conseqüència d'aquestes actuacions es va iniciar entre altres el Procediment NºPS/00635/2014 que va acabar amb una sanció de 10.000 euros per al propietari d'un lloc web de venda de bases de dades.
En el lloc web investigat s'oferien bases de dades de contactes d'empreses (incloent Raó Social, Adreça, Codi Postal, Població, Província, Comunitat Autònoma, Telèfon, Fax, E-mail, Web, Activitat.), podent segmentar-se per sectors d'activitat o per Comunitats Autònomes.
A la pàgina d'avís legal s'assegurava que la companyia complia amb la LOPD i que no es permetia un ús de la informació contrària a la legislació, eximint-se a més de qualsevol responsabilitat davant eventuals problemes dels seus clients. Fins i tot el propietari va al·legar a l'inici d'expedient que “…les meves bases de dades no es comercialitzen amb finalitat publicitària sinó estadística, informativa, etc.”
No obstant això, en sol·licitar l'AEPD el llistat total (alguna cosa mes d'un milió i mitjà de registres) i analitzar-ho juntament amb la web, van arribar a la conclusió que hi havia almenys dues falsedats en les al·legacions:
• En realitzar diversos filtres sobre la base de dades van trobar nombroses adreces de correu electrònic amb el format nom-cognoms@empresa.com.
• El lloc comercialitzava les dades amb aquesta publicitat: “Augmenta les teves VENDES i contactes JA”, “Compra ja la teva BASE DE DADES enviaments immediats”.
L'AEPD exposa que resulta pertinent analitzar si les adreces de correu electrònic citades constitueixen, o no, dades de caràcter personal conforme a la LOPD i, també, si la seva recopilació i venda excedeix del tractament exclòs del règim d'aplicació de la protecció de dades de caràcter personal.
S'infereix que l'adreça d'E-mail, estimant que conté informació del seu titular, o bé mentre que deixi procedir a la identificació del mateix sense efectuar sacrificis desmesurats para això, ha de ser considerada com a dada de caràcter personal, estant el seu tractament sotmès a la citada Llei Orgànica, amb el que, amb caràcter general, no va si pot ser la seva utilització o bé cessió si l'interessat perjudicat no ha donat el seu consentiment per a això.
La informació aconseguida mitjançant els diferents accessos efectuats al convocat llocs per endavant al tancament del mateix prova que el seu responsable, en un cas així l'encausat, promocionava i comercialitzava la informació continguda en les diferents bases de dades empresarials ofertes assenyalant que permetien “conèixer als seus futurs clients” i deixaven “gestionar reeixidament les seves campanyes de Màrqueting directe” entre els potencials clients del servei constituïts pels titulars de les dades de contacte continguts en exactament les mateixes.
Amb el que resulta intranscendent als efectes que ens ocupen que a la pàgina de començament del ressenyat llocs no s'esmentés la realització de campanyes de màrqueting directe, especialment quan apareixien expressions que remetien de forma directa a les finalitats promocionals a les quals es destinava l'arxiu propietat de l'encausat.
En atenció a la finalitat principalment promocional a la qual responia la informació incorporada i mantinguda en l'arxiu comercialitzat amb finalitats de màrqueting directe des del seu web, cal asseverar que quan els correus electrònics de contacte es referien a persones físiques identificades o ben recognoscibles, s'estava generant per la part de l'encausat un tractament d'aquesta informació en la seva condició d'usuaris individuals que estava al costat de la seva situació de subjectes de contacte empresarial amb les persones jurídiques a les quals poguessin prestar els seus serveis.
En un cas així, de les actuacions practicades al llarg de la instrucció del procediment i de la documentació que conta en exactament el mateix, es desprèn que la informació de contacte consta en la base de dades que es comercialitza amb finalitats de màrqueting directe.
Si a més tenim en compte que el responsable del lloc ha estat comercialitzant bases de dades empresarials des de 2012 fins a març de 2015, pot asseverar-se que en virtut d'aquesta activitat està acostumat al tractament de dades de contacte de caràcter personal, i que, per tant, no solament havia de ser coneixedor de la normativa que resultava d'aplicació a aquesta classe de tractaments, sinó havia d'haver tingut implantats mecanismes i mesures de prevenció i control per assegurar-se de l'origen de la informació personal tractada i de la legitimitat del tractament realitzat.
I per tant el Director de l'AEPD RESOL:
PRIMER: IMPOSAR a Do A.A.A. , per una infracció de l'article 6.1 de la LOPD, tipificada com a greu en l'article 44.3.b) d'aquesta norma, una multa de 10.000 € (Deu mil euros) de conformitat amb l'establert als apartats 2, 4 i 5 de l'article 45 de la Llei Orgànica de Protecció de Dades.
Joan M. Mallafrè Mestre
[Especialista universitari en Protecció de Dates i Privacitat
per la Universitat de Múrcia]
[ACP-023 (APEP Certification on Privacy Legal Profile)]
