Derecho-e internet

Encargados del tratamiento y hosting internacional

Otro caso más para entretener a nuestra cada vez más nutrida audiencia. Hoy hablaremos de una sentencia del Tribunal Supremo de este año. Otra vez el marketing directo realizado por la empresa Peugeot está en el centro de la controversia. Como es costumbre en este sector, la realización de dicho marketing le es encargado a una empresa especializada en comunicaciones electrónicas. Así existe un responsable del fichero, Peugeot, y un encargado. Curiosamente el fichero posee el sugerente nombre de ‘Base de Datos de Conquista’.

El contrato entre responsable y encargado establece la propiedad exclusiva del fichero por parte del responsable, Peugeot. El responsable, a su vez, subcontrata la realización de tareas de encargado a una tercera empresa las actividades de hospedaje.

El problema surge en tanto los datos recabados en el formulario del sitio web son alojados en servidores en los EEUU sin obtener la autorización del Director de la AEPD para la transferencia internacional de ficheros y sin informar a los usuarios ni obtener su consentimiento. Al proveedor del hosting al no encontrarse acogido bajo los “principios de puerto seguro” (safe harbor) no se le aplica la excepción del art 34 k) “nivel de protección adecuado”. Por lo tanto, el encargado incumple con la normativa al tener el hospedaje de dicho contenido en un servidor fuera de España.

Es un claro aviso a navegantes para aquellos que se confían en tener un servicio de hosting fuera de España y cumplir con las normas de protección de datos. Hay que fijarse que el proveedor del servicio esté adscrito al programa ‘Safe Harbor’. Se trata de un trámite sencillo en el que la empresa encargada ha de llevar a cabo una declaración ante el Departament de Comercio y la adherencia a sus principios.

Y, de regalo, una cláusula que podemos ya ir incluyendo en cualquier contrato entre responsable y encargado por si no la habíamos hecho ya:

“El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación a otras personas.”

Encargados del tratamiento

El fin del negocio de las comunicaciones comerciales

Recientemente me han preguntado en diversas ocasiones acerca de las posibilidades de utilizar bases de datos ajenas de correos electrónicos de usuarios con fines comerciales.

Es un tema recurrente en una industria la del marketing que, en muchos casos, no se encuentra al día de las últimas decisiones tomadas por las agencias de protección de datos europeas y la legislación aplicable, y que sigue acudiendo a viejas formas de contactar a los usuarios, desconociendo el calado de la regulación actual al respecto.

El caso es que, hoy por hoy, como hemos apuntado en nuestras reseñas de los casos Tick Tack Ticket y la decisión del año pasado acerca de la invitación de amigos, utilizar correos sin la previa autorización del receptor, -las denominadas ‘comunicaciones no solicitadas’ del art. 21 de la LSSI-, está totalmente fuera de lugar en nuestro ordenamiento jurídico.

Aún así hay empresas que piensan monetizar sus bases de datos de clientes cediéndolas a cambio de alguna contraprestación. El riesgo lo corre el que utiliza las direcciones obtenidas para enviar comunicaciones no solicitadas bajo la creencia de que al ser correctamente recabadas por la empresa pueden ser utilizadas por cualquiera sin consentimiento ulterior por parte del usuario. Y es que, aunque hayan sido correctamente obtenidas, el usuario sólo permite a la empresa con quien contrata enviar dichas comunicaciones, pero no a otras ajenas a dicho consentimiento, a dicha relación contractual. Recordemos que la legislación, en este caso, obliga al que ha obtenido estos datos a solicitar el consentimiento expreso del usuario para transferir los datos del usuario a otra empresa con ‘fines directamente relacionados con la actividad del cedente’ (art. 11.1 LOPD). No cabe mención genérica de dicha comunicación, sino que el usuario ha de saber exactamente quién será el receptor de sus datos.

La posibilidad legal que queda expedita es que el usuario acepte que la propia empresa que recoge su correo lleve a cabo las comunicaciones de dichas terceras partes.

Finalizamos recordando que el artículo 30.1 de la LOPD es taxativo al permitir la utilización exclusiva, con fines de prospección comercial y publicidad, de las fuentes de acceso público (con el censo promocional en mente tras una década de espera) o cuando los datos “hayan sido facilitados por los propios intersados u obtenidos con su consentimiento.” Es decir, las comunicaciones o transferencias con fines publicitarios -finalidades propias de la empresas al fin y al cabo- sin mediar una relación directa con el usuario y sin su consentimiento han de quedar excluidas.