lunes, 23 de diciembre de 2013

Consulta práctica: Compra de base de datos para campaña de mailing

Un lector nos envía la siguiente consulta:

"Tengo una empresa y quiero realizar una campaña de mailing a potenciales clientes. Tengo pensado adquirir una base de datos a una empresa externa. Una vez que disponga de la base de datos, introduciré en las comunicaciones comerciales una cláusula que he extraído de un manual de protección de datos. Mi duda es la siguiente: En estos casos, ¿quién es el responsable del fichero? ¿Tengo que darlo de alta ante la agencia? Si hubiera algún dato erróneo, ¿me podrán sancionar?"

Lo primero que hay que tener en cuenta es que esta compra de base de datos constituye una cesión, y por tanto, deberá estar regulada por lo dispuesto en el art. 11 de la LOPD. Además, si esos datos van a destinarse a actividades publicitarias, su tratamiento se regirá por lo dispuesto en los arts. 45 a 51 del reglamento de desarrollo de la LOPD.

Si Usted compra una base de datos para realizar una campaña de marketing, en la que, recibidos los registros, su empresa los va a tratar con total autonomía (aunque aplicando esos datos exclusivamente a finalidad para la que fueron adquiridos), deberemos considerar a ésta responsable del fichero. Otra cosa distinta es que contrate la realización de la campaña publicitaria a un tercero sin tener acceso en ningún caso a la base de datos de los receptores de publicidad. En tal supuesto, se aplicarían las reglas establecida en el art. 46 del RLOPD.

No siempre será necesario registrar un nuevo fichero. Si Usted ya ha dado de alta uno que incluya entre sus finalidades la prospección comercial o la realización de campañas de publicitarias (el típico fichero “Potenciales Clientes” o "Promociones"), podrá entenderse que esta nueva base de datos forma parte de ese fichero ya registrado. Lo que deberá modificar es el inventario de ficheros y el documento de seguridad.

Expuesto esto, le recomiendo que en la negociación previa a la adquisición de la base de datos se cerciore de lo que está comprando. El art. 45 RLOPD dispone que quienes se dediquen a las actividades publicitarias, sólo podrán utilizar nombres y direcciones u otros datos de carácter personal cuando:

a) Figuren en alguna de las fuentes accesibles al público.

b) Hayan sido facilitados por los propios interesados u obtenidos con su consentimiento para finalidades determinadas, explícitas y legítimas relacionadas con la actividad de publicidad o prospección comercial.

Por tanto, pregunte al vendedor de dónde ha obtenido los datos y exija garantías al respecto (por ejemplo, las cláusulas utilizadas para obtener el consentimiento, si los datos se han obtenido del afectado). Si Usted es el DPO de su empresa, trate de hablar con el responsable de protección de datos de su proveedor. Me parece la mejor forma de hacerse una idea exacta del grado de madurez de la compañía en el cumplimiento de la LOPD. Por otro lado, no estaría demás incluir una descripción en el contrato del origen de los datos que está comprando.

Me temo que, en caso de que el vendedor hubiera obtenido de forma ilícita los datos, y alguien lo denunciara a la AEPD, a Usted también se le abriría procedimiento sancionador. Realizar un análisis lo más exhaustivo posible del origen de los datos le ayudará a demostrar que actuó con diligencia. Y desde luego, siempre puede fijar cláusulas indemnizatorias en el acuerdo de compraventa de la base de datos en caso de incumplimiento de la normativa atribuible al vendedor (datos recabados de forma ilícita).

2 comentarios:

Cristina dijo...

Para estos casos, entiendo que es más conveniente alquilar una base de datos no comprarla, aunque también hay responsabilidades, al menos no te conviertes en responsable del fichero, sino en beneficiario de la publicidad.

Ad Edictum dijo...

Hola, Cristima. Gracias por tu comentario. En el caso de que encargara la campaña a un tercero utilizando las bases de datos de éste o de otra empresa, tendríamos que ver primero si resulta de aplicación el art. 46 del RLOPD, ese que diferencia entre responsable del tratamiento y responsable del fichero.