La Autoridad de Protección de Datos de Polonia ha impuesto una multa a la empresa sueca de márketing digital Bisnode por incumplir la normativa de Protección de datos.

El importe de la sanción asciende a 220.000 euros y se debe al incumplimiento de deber de información a los usuarios exigido en el RGPD.

En esa resolución se exige también a la compañía que contacte con todos esos usuarios (casi 6 millones) en tres meses y les informe correctamente sobre el tratamiento de sus datos personales.

La empresa sancionada indica que prefiere eliminar la base de datos con esos usuarios antes que pagar millones de cartas para informarles. Y también ha expresado su intención de recurrir la resolución de la Autoridad de Protección de datos polaca.

Derecho de los usuarios a ser informados

El artículo 14 del RGPD impone a los responsables del tratamiento la obligación de informar a las personas cuyos datos van a ser tratados cuando esa información no ha sido obtenida directamente de los interesados.

Así, dentro de la información que debe facilitarse a los interesados está:

  • Quién tiene sus datos (tanto responsable del tratamiento como cualquier tercero al que se vayan a ceder o transferir los datos)
  • Tipo de datos recogidos
  • Qué se va a hacer con ellos
  • Base jurídica para su tratamiento
  • Derecho de los afectados a solicitar que no se utilicen sus datos

Esa información debe realizarse para un tratamiento específico. Si después el responsable quiere usar los datos para otra finalidad debe informar de nuevo a los afectados.

Y existe un plazo de un mes desde la obtención de los datos para informar a los afectados. En caso de que los datos se usen para enviar comunicaciones comerciales directas, la información se realizará en el momento de enviar la primera comunicación.

En el caso de Bisnode, obtuvo una variedad de datos personales de registros públicos y otras bases de datos públicas pertenecientes a millones de empresarios y dueños de negocios, incluidos sus nombres, números de identificación nacional y cualquier evento legal relacionado con su actividad comercial.

Algunos de esos datos los obtuvieron de fuentes públicas pero otros no. Obtuvo correos electrónicos de personas físicas a las que envió la publicidad sin informarles del tratamiento de sus datos personales.

En lugar de informar directamente a los afectados, la empresa publicó un aviso en su página web pensando que así cumplía las exigencias del RGPD. Pero eso no es suficiente.

La Autoridad de Protección de datos considera que la empresa no informó a todos esos usuarios por motivos de coste económico

Obligación de informar de manera activa

La esencia de la obligación de informar es actuar de manera activa. Es decir, informar al usuario afectado sin que este tenga que hacer nada para conseguir esa información.

Así que solo publicar una notificación pasiva en una pestaña en un sitio web, como hizo Bisnode, parece ir en contra de esa esencia, ya que claramente requiere que las personas cuyos datos están involucrados hagan un esfuerzo para averiguarlo. Además, los usuarios no saben dónde ni cómo han obtenido sus datos.

En la decisión tomada para imponer la sanción se tuvo en cuenta el número de personas que, una vez que recibieron el correo electrónico comercial, solicitaron la oposición al tratamiento de sus datos personales (más de 12.000 personas de las 90.000 con las que se contactó).

Por eso se considera que cuando las personas son informadas de que sus datos van a usarse para fines comerciales, muchas de ellas indican su oposición a este tratamiento.

Esto es contrario a los intereses de empresas de márketing como Bisnode, que pretenden maximizar el número de contactos posibles. Pero también supone una vulneración de la privacidad de las personas y un incumplimiento de la ley.

El RGPD establece una excepción a ese deber de informar en caso de que suponga un esfuerzo desproporcionado para el responsable del tratamiento. Pero siempre que el tratamiento se realice con fines de archivo en el interés público, con fines de investigación científica o histórica o con fines estadísticos.

Por tanto, las empresas dedicadas a la mercadotecnia no encajan en esta excepción.

Aumento del coste y el riesgo de los datos personales

Existe una historia bastante similar, paralelamente, en torno al consentimiento «libre e informado» exigido por el RGPD en relación con la orientación de anuncios en línea, que se ha convertido en un importante campo de batalla legal desde que el reglamento entró en vigor el año pasado.

Las empresas dedicadas al márketing y publicidad online se quejan de que el coste de informar a los usuarios es demasiado alto. Y también de que perderán cuota de mercado al ofrecer a estos usuarios la opción de consentir expresamente ese tratamiento.

Pero esto no significa que puedan evitar el cumplimiento del RGPD. Muchas entidades recopilan datos personales sin consentimiento para realizar campañas ilegales de spam o venderlas a piratas informáticos que planean expediciones de phishing. Y esto no puede justificarse de ninguna manera.

Tampoco olvidemos los actos escandalosos de la ya desaparecida compañía de datos políticos, Cambridge Analytica, que ocultó secretamente los datos personales de la plataforma de Facebook para crear perfiles psicográficos de los votantes estadounidenses para tratar de influir en los resultados políticos nacionales, algo que ciertamente constituiría una violación del RGPD.

Al mismo tiempo, varias empresas de Facebook siguen bajo investigación en Europa: la Autoridad de Protección de datos de Irlanda tiene diez investigaciones abiertas contra múltiples plataformas propiedad de Facebook sobre cuestiones de cumplimiento del RGPD.

 

Multa a una empresa de márketing por incumplir el RGPD
4.6 (92.5%) 8 voto[s]

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.