Procedimiento de oficio contra la venta de bases de datos

1352

En este blog hemos recopilado con la etiqueta bases de datos varios procedimientos sancionadores referentes a la compra venta de bases de datos. Este mercadeo ha llegado a tal extremo que ha conseguido que la Agencia Española de Protección de Datos (AEPD) inicie actuaciones previas de investigación con la intención de:

determinar qué información facilitan a los compradores sobre la legalidad de las bases de datos, la licitud de su utilización conforme a la LSSI y LOPD y la posible vulneración por parte de estas empresas de las citadas normas.

bases de datos

 

Como consecuencia de estas actuaciones se inició entre otros el Procedimiento Nº PS/00635/2014 que terminó con una sanción de 10.000 euros para el propietario de un sitio web de venta de bases de datos.

En el sitio web investigado se ofrecían bases de datos de contactos de empresas (incluyendo Razón Social, Dirección, Código Postal, Población, Provincia, Comunidad Autónoma, Teléfono, Fax, E-mail, Web, Actividad.), pudiendo segmentarse por sectores de actividad o por Comunidades Autónomas.

En la página de aviso legal se aseguraba que la compañía cumplía con la LOPD y que no se permitía un uso de la información contraria a la legislación, eximiéndose además de cualquier responsabilidad ante eventuales problemas de sus clientes. Incluso el propietario alegó al inicio de expediente que “…mis bases de datos no se comercializan con finalidad publicitaria sino estadística, informativa, etc…”

Sin embargo, al solicitar la AEPD el listado total (algo mas de un millón y medio de registros) y analizarlo junto con la web, llegaron a la conclusión de que había al menos dos falsedades en las alegaciones:

  • Al realizar varios filtros sobre la base de datos encontraron numerosas direcciones de correo electrónico con el formato nombre-apellidos@empresa.com
  • El sitio comercializaba los datos con esta publicidad: “Aumenta tus VENTAS y contactos YA”, “Compra ya
    tu BASE DE DATOS envíos inmediatos”.

La AEPD expone que resulta pertinente analizar si las direcciones de correo electrónico citadas constituyen, o no, datos de carácter personal conforme a la LOPD y, también, si su recopilación y venta excede del tratamiento excluido del régimen de aplicación de la protección de datos de carácter persona.

Se infiere que la dirección de e mail, estimando que contiene información de su titular, o bien en tanto que deje proceder a la identificación del mismo sin efectuar sacrificios desmedidos para esto, debe ser considerada como dato de carácter personal, estando su tratamiento sometido a la citada Ley Orgánica, con lo que, con carácter general, no va a ser posible su utilización o bien cesión si el interesado perjudicado no ha dado su permiso para esto.

La información conseguida mediante los diferentes accesos efectuados al convocado sitios de antemano al cierre del mismo prueba que su responsable, en un caso así el encausado, promocionaba y comercializaba la información contenida en las distintas bases de datos empresariales ofertadas señalando que permitían “conocer a sus futuros clientes” y dejaban “gestionar exitosamente sus campañas de Marketing directo” entre los potenciales clientes del servicio constituidos por los titulares de los datos de contacto contenidos en exactamente las mismas. Con lo que resulta intrascendente a los efectos que nos ocupan que en la página de comienzo del reseñado sitios no se mentase la realización de campañas de marketing directo, especialmente cuando aparecían expresiones que remitían de forma directa a las finalidades promocionales a las que se destinaba el archivo propiedad del encausado.

 

En atención a la finalidad principalmente promocional a la que respondía la información incorporada y mantenida en el archivo comercializado con fines de marketing directo desde su web, cabe aseverar que cuando los correos electrónicos de contacto se referían a personas físicas identificadas o bien reconocibles, se estaba generando por la parte del encausado un tratamiento de dicha información en su condición de usuarios individuales que estaba al lado de su situación de sujetos de contacto empresarial con las personas jurídicas a las que pudiesen prestar sus servicios.

En un caso así, de las actuaciones practicadas a lo largo de la instrucción del procedimiento y de la documentación obrante en exactamente el mismo, se desprende que la información de contacto obrante en la base de datos se comercializa con fines de marketing directo.

Si además tenemos en cuenta que el responsable del sitio ha estado comercializando bases de datos empresariales desde 2012 hasta marzo de 2015, puede aseverarse que en virtud de esta actividad está acostumbrado al tratamiento de datos de contacto de carácter personal, y que, por tanto, no solo había de ser conocedor de la normativa que resultaba de aplicación a esta clase de tratamientos, sino debía haber tenido implantados mecanismos y medidas de prevención y control para asegurarse del origen de la información personal tratada y de la legitimidad del tratamiento realizado.

Y por tanto el Director de la AEPD RESUELVE:

PRIMERO: IMPONER a Don A.A.A. , por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.b) de dicha norma, una multa de 10.000 € (Diez mil euros) de conformidad con lo establecido en los apartados 2, 4 y 5 del artículos 45 de la citada Ley Orgánica.

Procedimiento de oficio contra la venta de bases de datos
5 (100%) 2 votos

3 Comentarios

  1. Me gustaría destacar cuatro aspectos de esta Resolución de la AEPD.

    1. Que la AEPD considere como datos personales solo aquellas direcciones de correo electrónico que identifiquen o hagan identificables a una persona física. En mi opinión correcto aunque no habitual.

    2. Que la AEPD vea disminución de culpabilidad en un SPAMmer, que a su vez es proveedor de otros SPAMmers. Parece que la AEPD no es muy consciente de los graves perjuicios que causa el SPAM.

    3. La poca fiabilidad que tienen los servicios de consulta de la AEPD.

    4. El escaso valor que tiene el sello de confianza online. Es incomprensible que un SPAMmer declarado conserve su sello de “confianza online”: https://www.confianzaonline.es/empresas/mibasededatos.htm

Dejar respuesta