Ya habíamos dado un ejemplo anterior de sanción de la Agencia Española de Protección de Datos (AEPD) por llevarse los datos de una actividad empresarial y usarlos para promocionar una nueva actividad profesional. Ahora vemos un nuevo procedimiento por hacer lo mismo desde una empresa a otra.

Sanción LOPD por llevarse datos

El Procedimiento Nº PS/00517/2014 se inicia a raíz de la denuncia de un particular que recibió una serie de correos electrónicos promocionando los servicios de una empresa con la que aseguraba no mantener relación alguna.

En la fase de actuaciones previas la empresa denunciada admitió tanto el envío como la falta de relación mercantil con el denunciante, pero alegando este curioso argumento:

Que dentro de las actividades comerciales de ambas sociedades resulta obvio que llegado un punto ambas se han encontrado. Tras revisar todos los archivos concluyen que la dirección de correo electrónico …@… ha sido facilitada telefónicamente a sus comerciales por el propio interesado, figurando también un número de teléfono asociado a dicha cuenta.

Lo de que resulta obvio que llegado un punto ambas se han encontrado es otra de esas alegaciones que podrían sumarse a la colección de cosas-que-digo-cuando-no-se-qué-decir.

Datos personales

En el momento en el que la AEPD acuerda iniciar el procedimiento sancionador, advirtiendo de una posible sanción de hasta 30.000 euros, se ve que la empresa se lo toma ya mas en serio y se pone a investigar la procedencia de los datos.

Entonces asegura que el director comercial de la empresa, Don B.B.B., y el denunciante se conocían de relaciones comerciales anteriores. Al parecer, el primero había ocupado un puesto similar en otra compañía de la que había sido cliente la empresa en la que trabaja el denunciante. Se defienden entonces alegando que Don B.B.B. obtuvo los datos comerciales del propio afectado en el desarrollo de sus actividades profesionales, y que se limitó a usar su agenda personal con el fin de informar de su nuevo destino y ofertar sus servicios en la nueva firma. Es decir, mantienen que los datos no fueron extraídos del fichero de la primera empresa ni habían sido cedidos por ésta, sino que estaban en poder de Don B.B.B. por el propio devenir de su experiencia profesional.

También alegó que la denuncia se generaba por el equívoco comportamiento y mala fe mostradas por el denunciante, que en ningún momento había solicitado la cancelación de sus datos, dando a entender que tenía un interés real en recibir información. (Sobre esta cuestión ya aclaramos en otro post que la buena o mala fe no es materia de la AEPD.)

Como se suele decir: “afirmaciones extraordinarias requieren pruebas extraordinarias”, y la AEPD solicita que se acredite, mediante cualquier forma de prueba válida en derecho, que el denunciante proporcionó sus datos a Don B.B.B. durante sus relaciones comerciales, indicando la fecha de tal comunicación y su finalidad. Es decir, la prueba de que los datos que guardaba en su agenda personal habían sido obtenidos de forma directa y no por su vinculación a la empresa anterior.

También pidió aclaraciones respecto a porqué durante las actuaciones previas de inspección se aseguró que el email del denunciante se consiguió vía telefónica, para cambiar luego la alegación.

Para ambas peticiones la empresa denunciada es incapaz de una respuesta concreta y se pierde en nuevas alegaciones sobre la evidencia de que ambos se conocían (cuestión que no viene al caso, puesto que “conocerse” no es razón suficiente para usar los datos personales de nadie en una comunicación comercial).

En los Fundamentos de Derecho la AEPD aclara que:

frente a las manifestaciones relativas a que no existe infracción porque el denunciante y el actual Director Comercial de XXX habían mantenido relaciones comerciales, que aún en el supuesto de que durante el procedimiento se hubiera demostrado que el denunciante había sido cliente del Sr. B.B.B. en el marco de una relación contractual mantenida exclusivamente entre ambas personas, lo que no consta haya ocurrido, dicha circunstancia no habilitaría a XXX a utilizar los datos del denunciante para enviarle comunicaciones comerciales sin su previo y expreso consentimiento al no tratarse de un cliente de la entidad sino de un tercero.

Y por tanto, el Director de la AEPD RESUELVE:

PRIMERO: IMPONER a la entidad XXX, S.A.U, por una infracción del artículo 21.1 de la LSSI, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 1.000 € (Mil euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada LSSI.

Los datos personales son de tus clientes, no tuyos
Vota este artículo
  1. Sigo diciendo, Jesús, que es un gusto y una suerte el poder seguir tu blog. Enhorabuena y GRACIAS.

  2. Se debe firmar contrato de tratamiento de datos por cuenta de terceros con las empresas de mensajería o reparto de correspondencia?

    gracias

    1. Juan: si hay cesión de datos personales sí, aunque habría que ver si no son datos públicos. Si sólo hay direcciones sin nombre o reparto a empresas, no. Por tanto habría que analizar cada caso.


Comments are closed.