Guía Legal: Tratamiento de datos de terceros (Third Party Data)

¿De qué estamos hablando?

Aunque no toda la información empleada por la industria en el entorno online es “de carácter personal”, no cabe duda de que los datos personales son uno de los elementos básicos de toda campaña en Internet. En ocasiones, a falta de ficheros propios, las empresas optan por obtener estos datos a través de terceros, y precisamente sobre ello versa esta Guía.

¿Cómo se regula en España?

La normativa más directamente relacionada con la recopilación de información relativa a personas físicas es la Ley Orgánica 15/, de Protección de Datos de carácter personal (LOPD); desarrollada por el Real Decreto 1720/2007. Si además queremos enviar publicidad por vía electrónica, también será de aplicación la Ley 34/, de Servicios de la Sociedad de la Información y comercio electrónico (LSSI). Y si la información se pretende obtener a través de promociones (tales como concursos o sorteos), además se aplica la Ley 3/, de Competencia Desleal.

Tratar datos personales está condicionado, conforme a la legislación española, a contar con una base legal sólida que lo permita: bien el consentimiento del usuario, bien una habilitación legal. En el caso de la publicidad, las alternativas, en la práctica, son dos:

a. Obtener la información de “fuentes accesibles al público”, un catálogo limitado y taxativo de fuentes que incluye los medios de comunicación, los boletines oficiales o las guías telefónicas, por poner tres ejemplos… pero únicamente en la medida en que el usuario no haya manifestado su oposición a que sus datos se empleen con fines publicitarios. Los datos disponibles en internet no se consideran fuentes accesibles al público

b. Optar por el consentimiento, en cuyo caso se exige facilitar al usuario una información previa muy completa, que condiciona las acciones que posteriormente se podrán realizar.

Tanto la Agencia Española de Protección de Datos (AEPD) como los tribunales han manifestado en múltiples ocasiones que las cláusulas excesivamente genéricas de obtención de datos son insuficientes, en especial cuando implican la cesión de información a terceros o su finalidad es el envío de publicidad (así lo establece el artículo 11.3 de la LOPD). A efectos publicitarios, esto ha sido desarrollado reglamentariamente obligando a concretar sectores específicos de actividad respecto de los que se podrá remitir comunicaciones comerciales al usuario.

Algunos ejemplos: Compra o alquiler de bases de datos de terceros

En estos casos, debemos cerciorarnos de que esa base de datos ha sido nutrida de datos personales obtenidos lícitamente, mediante cláusulas que especifiquen adecuadamente la finalidad publicitaria de la recogida de datos, y que concreten los sectores de actividad sobre los que se podrán remitir comunicaciones a los usuarios. Esta comprobación debe ir más allá de una mera declaración formal: de la diligencia que empleemos en verificar la licitud de la base de datos puede depender que se nos considere o no responsables de una infracción, en caso de denuncia a la AEPD por parte de un usuario.

Por otro lado, cada vez son más comunes las adquisiciones mercantiles de empresas, o ramas de actividad, con la intención de tomar el control sobre sus ficheros: una práctica que se ve beneficiada por un régimen sancionador menos estricto, pues se considera una mera “modificación del responsable del fichero”, y no una “cesión de datos

Corregistro

Una alternativa a la compra de bases de datos es el corregistro, un procedimiento consistente en que la información personal generada en un determinado sitio web es recabada, simultáneamente, por varias empresas. Estaríamos ante un supuesto de responsabilidad conjunta en la recogida, pero no en la gestión de los ficheros resultantes, que podrían ser explotados de forma independiente y autónoma por las distintas empresas que coorganicen la acción publicitaria en cuestión. En tal caso, eso sí, es fundamental que el usuario sea plenamente consciente de que, al enviar la información a través del correspondiente formulario, está haciéndosela llegar a diferentes empresas.

Patrocinio

Un caso similar es el patrocinio, aunque en este caso no hablaríamos de corresponsabilidad en la recogida, sino de cesión de datos: es el caso del registro en determinados eventos, en los que se facilita la información de los asistentes a expositores, colaboradores, patrocinadores… En tal caso, en la medida en que la cesión no sea estrictamente necesaria para poder participar en el evento, la normativa nos obliga a ofrecer al usuario la posibilidad de oponerse a que sus datos sean enviados a terceros. Algo que, habitualmente, se concreta mediante una casilla no premarcada, en la que el usuario debe hacer clic si no desea que la información sea cedida.

La obtención de datos a través de promociones

Las promociones son un procedimiento ampliamente actualizado para estrategias como el corregistro: varias empresas organizan conjuntamente un concurso o sorteo, y recaban de este modo la información de todos los participantes. Ahora bien, en tal caso, la legislación obliga no solo a identificar adecuadamente a los organizadores, sino también a contar con unas condiciones de participación “claras e inequívocas”, además de fácilmente accesibles. Por tanto, contar con unas bases legales adecuadamente redactadas se vuelve indispensable.

Referencia a las comunicaciones comerciales por vía electrónica

Se trata de un tema analizado en profundidad en otra guía, por lo que no le dedicaremos un espacio excesivo en esta ocasión. Baste decir que, para enviar “comunicaciones comerciales” por vía electrónica, es preciso contar con una autorización adicional a la prevista en la LOPD para tratar tal dato. Autorización que debe ser expresa, por lo que la cláusula de obtención de datos requiere de incorporar redacciones como esta:

“Enviando este formulario otorgas tu consentimiento expreso a […] para el envío de comunicaciones comerciales por correo electrónico, en relación con las actividades y sectores antes indicados, y salvo que te hayas opuesto a ello marcando la casilla correspondiente en el formulario de registro”

Por tanto, la casilla no premarcada se convierte nuevamente en una necesidad, que se acumula a los formalismos que veíamos anteriormente… y a otras obligaciones, como la de incluir en cada comunicación instrucciones para darse de baja, de forma sencilla y gratuita, de la lista de correo, de cara a no recibir más mensajes en el futuro. Una práctica que, según las resoluciones más recientes de la AEPD, puede además evitarnos un encarecimiento de las multas.