Bases de datos de emails: ni comprar ni vender

2169

No hace mucho que ya avisamos que no era buena idea comprar bases de datos de emails sobre todo pensando en el posible perjuicio para el comprador, pero ahora vemos también las consecuencias para el vendedor: nada más y nada menos que 40.000 euros de sanción a una S.L.U.

Esta es la cabecera de la web del vendedor y lo que opino de su menú de opciones.

Comprar emails

El procedimiento sancionador Nº PS/00515/2013 se inicia tras la denuncia de un empresario que compró el servicio de generar contactos interesados  a la empresa denunciada, viéndose acto seguido inundado de correos no solicitados (24 nada más y nada menos) con contenidos tanto de la denunciada como de otras compañías. Fue probablemente al intuir el método fraudulento y su ilegalidad cuando decidió informar a la Agencia Española de Protección de Datos (AEPD).

Iniciado el procedimiento, la denunciada alegó una de los clásicos errores de bulto que a veces se oyen en refrencia a la legislación sobre protección de datos:

En relación con la Base de Datos, manifiestan que contiene información de cuentas de correo de empresas y que se ha elaborado a partir de directorios de empresas y fuentes públicas. Por tanto, todos los datos que contiene son relativos a personas jurídicas y por tanto consideran que no estarían sometidos a la LOPD.

Que viene siendo algo así como “a dónde vas, manzanas traigo”, puesto que las denuncias por spam se refieren a la LSSI, no a la LOPD, y en la LSSI no existe ningún concepto de fuentes accesibles al público ni diferenciación entre personas físiscas y jurídicas.

A su vez, en lo que se refiere a su relación con el denunciante, se alegó que el hecho de que fuera cliente de sus servicios era relación suficiente para legalizar el envío de los emails comerciales que recibió, pero la AEPD aclara:

A saber, si el servicio contratado es el alquiler de BBDD para campañas publicitarias no puede legitimar las comunicaciones (…) pues incluso ofrece productos de terceras empresas, con las que obviamente no existía relación comercial previa.

Quedando clara la culpabilidad de la empresa denunciada, a la hora de graduar la sanción la AEPD indica estos agravantes debidos a su actividad y al especial conocimiento que la empresa debería tener de la legislación vigente en materia de privacidad:

(…) en el presente caso no puede dejar de observarse que la entidad es conocedora de los mandatos de la LSSI, prueba de ello es que en su página web en concreto en su Aviso Legal, pretende obtener el consentimiento para el envío de comunicaciones comerciales por medios electrónicos, ( Folio 156) y por tanto se evidencia un conocimiento de las normas que regulan el sector y buena parte del objeto de actividad de la entidad, es las campañas de publicidad por medios electrónicos, o dicho de otro modo, a través del Email Marketing, lo que le hace tributaria del conocimiento de la norma que regula dicho sector, es decir la LSSI, por lo que ha de insistirse en el rigor y el exquisito cuidado para ajustarse a las prevenciones legales al respecto ( STS de 5 de junio
de 1998).

Debe tenerse en cuenta que en el sitio web de XXX consta la siguiente afirmación (…) Contamos con las mejores y más completas base de datos en permanente actualización (…) ante lo cual, y en aras a verificar la diligencia en el cumplimiento de la LSSI respecto a la verificación del consentimiento de los titulares de las direcciones de correo contenidas en dicha base de datos, se solicitó expresamente que explicara los procedimientos de actualización y los procedimientos de gestión de bajas u oposición, sin que nada hubiera aportado al respecto.

Y así, por tanto, el Director de la AEPD RESUELVE:

PRIMERO: IMPONER a la entidad XXX, por una infracción del artículo 21 de la LSSI, tipificada como grave en el artículo 38.3 c) de la LSSI, una multa de 40.000 € ( cuarenta mil euros) , de conformidad con lo establecido en el artículo 40 de la citada LSSI.

Gracias a un aviso de David González Calleja descubro que la empresa tiene otra sanción similar: concretamente el Procedimiento Nº PS/00534/2013 en el que se les multa con otros 30.001 euros por los mismos motivos.

En este caso también alegaron que:

La utilización de direcciones de correo utilizada forma parte de su base de datos de carácter empresarial y no vulneran el art. 21 LSSI, ya que son públicas y no están sometidas a la LOPD.

Lo que reincide en la confusión entre LOPD y LSSI y obviamente es desestimado por la AEPD.

Bases de datos de emails: ni comprar ni vender
Vota este artículo

4 Comentarios

  1. Hola,

    Ya comenté en otra entrada que mi marido trabaja en el sector de las bases de datos y por lo que me ha dicho nunca han tenido ningún tipo de sanción de la AEPD. Hay empresas serias en este sector también, ¿verdad? Supongo que es lo mismo con todo, hay gente seria y hay las que intentan aprovecharse de otros y del sistema. Pero la captación propia para una empresa no debería suponer tantas problemas, ¿no? Para poner un ejemplo, he estado pensando montarme un pequeño e-commerce de ropa de playa y la idea de conseguir bases de datos de emails de las personas que entran en mi web, realmente lo veo muy útil. ¿La captación propia es igual de regulada? He leído alguna entrada en el blog de la empresa de mi marido y dice que la LOPD se interpreta diferente en estos casos. Si podrías escribir algo sobre el tema, me ayudaría muchísimo. Gracias.

Dejar respuesta