{"id":2966,"date":"2021-03-17T10:15:41","date_gmt":"2021-03-17T08:15:41","guid":{"rendered":"https:\/\/www.audens.es\/blog\/?p=2966"},"modified":"2021-03-17T11:32:16","modified_gmt":"2021-03-17T09:32:16","slug":"dos-lecciones-de-la-aepd","status":"publish","type":"post","link":"https:\/\/www.audens.es\/blog\/dos-lecciones-de-la-aepd\/","title":{"rendered":"Dos lecciones de la AEPD"},"content":{"rendered":"\n

Tras las cuantiosas sanciones impuestas recientemente a sendas entidades financieras, el sector de la protecci\u00f3n de datos se ve sacudido de nuevo por la multa que la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD) ha impuesto a Vodafone<\/a>, uno de los gigantes de las telecomunicaciones en nuestro pa\u00eds. Ag\u00e1rrense, porque el importe bate un r\u00e9cord cuantitativo: 8.150.000 euros, por varios conceptos relacionados con las acciones de marketing directo<\/strong> desplegadas por este operador. Ah\u00ed es nada…<\/p>\n\n\n\n

Evidentemente, no es nuestra intenci\u00f3n hacer le\u00f1a del \u00e1rbol ca\u00eddo e incidir en los posibles errores cometidos por esta empresa; pero son varias las conclusiones que se pueden extraer de esta dura sanci\u00f3n, que pone sobre la mesa nuevos criterios en relaci\u00f3n a las responsabilidades derivadas de la realizaci\u00f3n de campa\u00f1as publicitarias<\/strong>, en especial cuando se delega su realizaci\u00f3n en agencias, call centers y otros proveedores, con vistas a que realicen llamadas o env\u00eden mensajes a sus propias bases de datos.<\/p>\n\n\n\n

El art\u00edculo 46.2 del Reglamento de la antigua LOPD<\/a>, sobre el tratamiento de datos en campa\u00f1as publicitarias, fijaba la definici\u00f3n de los \u00abpar\u00e1metros identificativos de los destinatarios de las acciones comerciales\u00bb como criterio para atribuir responsabilidades. En esencia, quien determinaba el target<\/em> de una acci\u00f3n de marketing directo, era considerado responsable<\/strong> de los tratamientos de datos personales derivados de su realizaci\u00f3n; y ello, aunque el anunciante no tuviese acceso a los n\u00fameros de tel\u00e9fono o direcciones de correo utilizadas.<\/p>\n\n\n\n

La reacci\u00f3n por parte de muchas grandes empresas fue previsible: regular al m\u00ednimo este target<\/em> al contratar la realizaci\u00f3n de campa\u00f1as, dejando a criterio de agencias y proveedores el uso de cu\u00e1ntas bases de datos considerasen oportunas, y estableciendo las comisiones derivadas de conversiones como forma de pago. Una soluci\u00f3n que funcion\u00f3 durante a\u00f1os… pero que dio lugar a un constante incremento de llamadas, debido a la concurrencia de multitud de call centers<\/em>, a menudo descoordinados entre s\u00ed<\/strong>.<\/p>\n\n\n\n

Huelga decir que, si el anunciante no se consideraba responsable de las campa\u00f1as realizadas por esta v\u00eda, tampoco ten\u00eda incentivo alguno para supervisar a sus proveedores: de ah\u00ed que no les aplicasen los mismos controles y procesos de homologaci\u00f3n exigibles a nivel interno<\/strong>. Es obvio que principios como el de \u00abresponsabilidad activa\u00bb, introducidos por el nuevo Reglamento europeo de protecci\u00f3n de datos (RGPD), no parec\u00edan casar muy bien con esta estrategia… pero no son pocas las empresas que mantuvieron esta operativa en los \u00faltimos a\u00f1os.<\/p>\n\n\n\n

Pues bien, la sanci\u00f3n que nos ocupa refleja un importante cambio de criterio, que impacta de lleno en el sector publicitario<\/strong>. En efecto, la AEPD entiende que, incluso cuando las bases de datos sean ajenas, el suministro de instrucciones por la parte contratante, y el hecho de que el \u00fanico inter\u00e9s de los proveedores en realizar las campa\u00f1as sea la compensaci\u00f3n econ\u00f3mica a percibir por los servicios prestados, convierte a estos \u00faltimos en encargados del tratamiento… trasladando as\u00ed la responsasibilidad a los anunciantes.<\/p>\n\n\n\n

La consecuencia de esta nueva postura es inmediata: el control que el anunciante debe ejercer sobre los proveedores no decae cuando estos utilizan sus propias bases de datos, porque se entiende que las llamadas o mensajes se realizan en nombre y bajo la marca de la entidad contratante<\/strong>; y si este control no se concreta en una supervisi\u00f3n efectiva y real, el riesgo de sanci\u00f3n se multiplica. <\/p>\n\n\n\n

Sin entrar a valorar la l\u00f3gica jur\u00eddica que subyace a la resoluci\u00f3n (de eso se ocupar\u00e1n los tribunales), del planteamiento seguido por la AEPD, podemos extraer dos lecciones muy valiosas en relaci\u00f3n con los proveedores de bases de datos para fines de marketing directo<\/strong>:<\/p>\n\n\n\n