El Margen de la Ley :: El Blog de Audens
Audens
  1. Audens
  2. Blog
  3. Protección de Datos
  4. Dos lecciones de la AEPD

Dos lecciones de la AEPD

Tras las cuantiosas sanciones impuestas recientemente a sendas entidades financieras, el sector de la protección de datos se ve sacudido de nuevo por la multa que la Agencia Española de Protección de Datos (AEPD) ha impuesto a Vodafone, uno de los gigantes de las telecomunicaciones en nuestro país. Agárrense, porque el importe bate un récord cuantitativo: 8.150.000 euros, por varios conceptos relacionados con las acciones de marketing directo desplegadas por este operador. Ahí es nada…

Evidentemente, no es nuestra intención hacer leña del árbol caído e incidir en los posibles errores cometidos por esta empresa; pero son varias las conclusiones que se pueden extraer de esta dura sanción, que pone sobre la mesa nuevos criterios en relación a las responsabilidades derivadas de la realización de campañas publicitarias, en especial cuando se delega su realización en agencias, call centers y otros proveedores, con vistas a que realicen llamadas o envíen mensajes a sus propias bases de datos.

El artículo 46.2 del Reglamento de la antigua LOPD, sobre el tratamiento de datos en campañas publicitarias, fijaba la definición de los «parámetros identificativos de los destinatarios de las acciones comerciales» como criterio para atribuir responsabilidades. En esencia, quien determinaba el target de una acción de marketing directo, era considerado responsable de los tratamientos de datos personales derivados de su realización; y ello, aunque el anunciante no tuviese acceso a los números de teléfono o direcciones de correo utilizadas.

La reacción por parte de muchas grandes empresas fue previsible: regular al mínimo este target al contratar la realización de campañas, dejando a criterio de agencias y proveedores el uso de cuántas bases de datos considerasen oportunas, y estableciendo las comisiones derivadas de conversiones como forma de pago. Una solución que funcionó durante años… pero que dio lugar a un constante incremento de llamadas, debido a la concurrencia de multitud de call centers, a menudo descoordinados entre sí.

Huelga decir que, si el anunciante no se consideraba responsable de las campañas realizadas por esta vía, tampoco tenía incentivo alguno para supervisar a sus proveedores: de ahí que no les aplicasen los mismos controles y procesos de homologación exigibles a nivel interno. Es obvio que principios como el de «responsabilidad activa», introducidos por el nuevo Reglamento europeo de protección de datos (RGPD), no parecían casar muy bien con esta estrategia… pero no son pocas las empresas que mantuvieron esta operativa en los últimos años.

Pues bien, la sanción que nos ocupa refleja un importante cambio de criterio, que impacta de lleno en el sector publicitario. En efecto, la AEPD entiende que, incluso cuando las bases de datos sean ajenas, el suministro de instrucciones por la parte contratante, y el hecho de que el único interés de los proveedores en realizar las campañas sea la compensación económica a percibir por los servicios prestados, convierte a estos últimos en encargados del tratamiento… trasladando así la responsasibilidad a los anunciantes.

La consecuencia de esta nueva postura es inmediata: el control que el anunciante debe ejercer sobre los proveedores no decae cuando estos utilizan sus propias bases de datos, porque se entiende que las llamadas o mensajes se realizan en nombre y bajo la marca de la entidad contratante; y si este control no se concreta en una supervisión efectiva y real, el riesgo de sanción se multiplica.

Sin entrar a valorar la lógica jurídica que subyace a la resolución (de eso se ocuparán los tribunales), del planteamiento seguido por la AEPD, podemos extraer dos lecciones muy valiosas en relación con los proveedores de bases de datos para fines de marketing directo:

  • Es evidente que la obligación de apoyarse únicamente en empresas que proporcionen garantías de cumplimiento y seguridad suficientes también aplica en aquellos casos en que los proveedores publicitarios realicen acciones comerciales sobre sus propias bases de datos, especialmente cuando contactan a los potenciales clientes en nombre del anunciante, y el interés del proveedor se reduce al mero pago por sus servicios; y
  • Los procesos de homologación de encargados de tratamiento no se deben limitar al momento de la contratación, sino que deben permitir conocer el grado concreto de cumplimiento de la normativa de protección de datos por parte de estos proveedores, incluyendo controles posteriores a la contratación que así lo verifiquen. Los checklist en los que solo se contesta con un “Sí” o un “No” son historia: la diligencia del anunciante en la elección de proveedores implica solicitar aclaraciones, especificaciones y acreditaciones de lo que el encargado del tratamiento dice tener o hacer, y realizar evaluaciones (e incluso auditorías) posteriores a la contratación que verifiquen lo declarado.

En resumen, cuando se deleguen tareas relacionadas con datos personales en terceros, es vital elegir a aquellas entidades que mejores y más garantías de cumplimiento y seguridad presenten, y desplegar sobre ellas una labor real de supervisión. El refuerzo de los protocolos de contratación de proveedores redunda en una mejor reputación empresarial… y evita sanciones como la que hoy nos ocupa.

¿Te ha resultado interesante?
Estamos especializados en adecuar la operativa de las empresas al nuevo Reglamento General de Protección de Datos de la Unión Europea.

Deja una respuesta

Todos los campos son obligatorios. Trataremos tus datos únicamente para gestionar la publicación de tu comentario y responder a las sugerencias o peticiones que, en su caso, nos realices. Tu dirección de email no será publicada. Puedes, en todo momento, retirar el consentimiento para el tratamiento de tus datos, así como ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación, escribiéndonos a . Más información en nuestra política de privacidad.

Al hacer clic en "ENVIAR", aceptas nuestras condiciones generales.