SUPUESTOS DE ESPECIAL ATENCIÓN EN MATERIA DE PROTECCIÓN DE DATOS

La legislación sobre protección de datos es tan amplia y rigorista que, si su empresa
recibe la notificación de que se le ha denunciado ante la Agencia de Protección de
Datos, se corre el riesgo de acabar siendo multados. Prácticas muy extendidas en la
sociedad actual y de las que nosotros mismos solemos ser víctimas pueden tener
efectos muy negativos si decidimos ponerlas en práctica en nuestra actividad
empresarial.

Algunos de los supuestos de más frecuente sanción, extraídos de las más recientes
actuaciones de la Agencia, se exponen a continuación para que sepamos a qué
atenernos:

Captación de clientes

Es fácil caer en la tentación de captar nuevos clientes, con los que no se ha tenido una
relación contractual previa, y hacerlo enviando correos electrónicos comerciales no
solicitados. Si lo hacemos, ha de tenerse en cuenta que el destinatario puede
denunciar a la empresa por no haber solicitado ni consentido expresamente el envío
de comunicaciones comerciales en ningún momento ni por ningún medio, ni mantener
ni haber mantenido relación comercial alguna con el denunciado, así como no haber
sido informado en ningún momento de la inclusión de su dirección de correo personal
en la base de datos informatizada del denunciado, ni haber autorizado a ningún
tercero a solicitar el envío de comunicaciones comerciales en su nombre.

Esta conducta es la que se conoce como “spam”. Actualmente se denomina “spam” a
todo tipo de comunicación no solicitada, realizada por vía electrónica. De este modo se
entiende por “spam” cualquier mensaje no solicitado y que, normalmente, tiene el fin
de ofertar, comercializar o tratar de despertar el interés respecto de un producto,
servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada entre el
público en general es el correo electrónico. Pero también se nos acusaría de “spam” si
empleásemos el envío de mensajes telefónicos sms o mms.

Ante la recepción de una denuncia por “spam”, la Agencia de Protección de Datos
puede requerir información de las compañías proveedoras de acceso a internet, las
cuales pueden informar del titular de la línea utilizada. Por estos hechos, la Agencia
puede imputarnos la comisión de una infracción del artículo 21 de la Ley 34/2002, de
11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (en lo
sucesivo LSSI), tipificada como leve en el artículo 38.4.d) de dicha norma, que puede
ser sancionada con multa de hasta 30.000 €, de acuerdo con el artículo 39.1.c) de la
LSSI.

Es indiferente que la dirección de correo a la que se remite la comunicación comercial
sea libremente accesible en internet, por ejemplo, a partir de la búsqueda en
instrumentos como Google, porque la aparición de la dirección del correo electrónico
en una página web no comporta la obtención del consentimiento previo y expreso que
exige la Ley.

Es también indiferente que el destinatario sea una persona física o una persona
jurídica, como una sociedad mercantil. La única diferencia es que además de poder
sancionársenos en virtud de la LSSI también se nos podrá aplicar la Ley Orgánica de
Protección de Datos de Carácter Personal (LOPD) cuando el destinatario sea una
persona física.

El envío de más de tres comunicaciones comerciales en un año al mismo destinatario
es infracción grave, mientras que, si el número de comunicaciones es menor, la
infracción será leve, ¡pero es que la infracción leve puede dar lugar a una multa de
hasta 30.000 euros! No obstante, lo cierto es que cuando los hechos no producen
ningún perjuicio para el denunciante y ningún beneficio para el denunciado la
Agencia suele imponer multas de entre 600 y 1.200 euros.

En cambio, la cuestión variaría sustancialmente si existiese una relación contractual
previa entre las partes porque ello legitimaría el envío de mensajes al cliente en
relación con productos o servicios similares a los que fueron objeto de contratación
con anterioridad. Esto último es importante porque si la relación contractual existente
no tiene nada que ver con lo ahora publicitado, la comunicación también será ilícita.

Así, si nuestra empresa es cliente de otra a la que paga sus servicios y que nos expide
la correspondiente factura en la que aparece su dirección de e-mail, nuestra empresa
no estaría legitimada para enviarle un correo comercial de nuestros productos y
servicios, que nada tienen que ver con los servicios que esa empresa presta a la
nuestra.

Es también habitual que algunas empresas recaben números de teléfono o fax, de
fuentes accesibles al público, e intenten recabar el consentimiento “por omisión” para
el envío de comunicaciones comerciales con fórmulas como ésta: “Del mismo modo
solicitamos su consentimiento previo e informado para que reciba mensajes de fax
(siempre con ventajas en sus productos /servicios) con fines de venta directa. Si en el
plazo de 30 días no hemos recibido oposición, entenderemos prestado dicho
consentimiento.” Tal forma de proceder es ilícita, pues para este tipo de
comunicaciones comerciales vía fax, no resulta válido el consentimiento tácito, ya que
la falta de negativa de los destinatarios al tratamiento de los datos, incluso después de
haberles sido concedido un periodo de tiempo prudencial para manifestar su
oposición, no puede constituir, en ningún caso, una declaración de consentimiento
expreso.

En el caso de las comunicaciones comerciales entra en juego otra norma: la
Ley General de Telecomunicaciones (LGT), cuyo artículo 38.3.h dispone que los
abonados al servicio de telecomunicaciones tendrán el derecho “a no recibir llamadas
automáticas sin intervención humana o mensajes de fax, con fines de venta directa
sin haber prestado su consentimiento previo e informado para ello”. Esta conducta es
aún más grave que la de la comunicación comercial por e-mail y su comisión
determina una sanción mínima de multa de 30.000 euros.

Algunas empresas intentan eludir la prohibición del “spam”, disfrazando las
comunicaciones comerciales de meras invitaciones a conocer su actividad de manera
totalmente gratuita. Incluso en esos casos, habría que ofrecer al destinatario la
posibilidad de oponerse al tratamiento de sus datos, ya que el segundo párrafo del
artículo 21.2 de la LSSI, en relación con el envío de comunicaciones comerciales por
correo electrónico, establece que “en todo caso, el prestador deberá ofrecer al
destinatario la posibilidad de oponerse al tratamiento de sus datos con fines
promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de
recogida de los datos como en cada una de las comunicaciones comerciales que le
dirija”. El incumplimiento de la indicación relativa a la posibilidad de oponerse al
tratamiento de los datos con fines promocionales suele determinar la imposición de
una multa de 600 euros.

Relación con clientes

La relación habitual con clientes de la empresa también puede dar lugar a disgustos.
Es posible que la empresa deba enviar la misma comunicación a distintos clientes. En
caso de usar el correo electrónico, es más cómodo enviar un único mensaje a todos
ellos que enviar un mensaje individualizado a cada cliente. Ahora bien, si enviamos un
único mensaje hemos de asegurarnos de ocultar las direcciones de e-mail, mediante el
uso de herramientas como la “copia oculta (CCO)” que incorporan las aplicaciones de
correo electrónico más populares, de modo que cuando cada cliente reciba la
comunicación de la empresa no visualice las direcciones de los demás clientes
destinatarios.

Debe tenerse en cuenta que la mera dirección de correo electrónico, puede contener
información acerca de su titular (por ejemplo, su trabajo o profesión) y puede permitir
la identificación de la persona, por lo que se considera un dato de carácter personal.
No siempre lo será, pues pueden existir direcciones que no revelen ninguna
información que permita identificar a su titular (por ejemplo, una dirección tal como
guapita_335@hotmail.com).
Un simple error humano sin ninguna intencionalidad al pulsar el botón de Enviar sin
cerciorarse de haber activado antes la opción de Copia oculta puede determinar, en el
mejor de los casos, una multa de 601 euros.

Presión a morosos

Pensemos ahora en el caso de una entidad urbanística de conservación que publica,
en un tablón de anuncios de la urbanización, la relación de parcelistas morosos y sus
débitos con la entidad. ¿Esta actuación sería sancionable por la Agencia de Protección
de Datos? Pues ya lo ha sido, y con multa de 2.500 euros. En un caso así, la Entidad
de Conservación tendría que acreditar la infructuosa comunicación previa al domicilio
de los morosos antes de proceder a la publicación en el tablón de anuncios.
La publicación en el tablón de una relación de propietarios que no se encuentran al
corriente en pago de sus cuotas, implicaría una cesión de datos de carácter personal,
definida por la Ley, como “toda revelación de datos realizada a una persona distinta
del interesado” y, en consecuencia, una vulneración por la entidad urbanística de su
deber de secreto.

Gestión de la documentación

Algo tan inocente como deshacerse de documentación antigua e innecesaria, también
puede convertirse en un auténtico quebradero de cabeza. Pongamos que la
trabajadora de la limpieza, tira por error esa documentación en el típico contenedor de
la vía pública, y que en esa documentación, se contienen datos personales de
empleados o clientes, tales como nombre y apellidos, DNI, categoría profesional,
puesto de trabajo o número de cuenta corriente. El error puede salirnos en 6.000
euros de multa. Por mucho menos puede adquirirse una máquina destructora de
papel.

El uso de un ordenador de la empresa para el ocio personal también puede ser fuente
de problemas. Para la descarga gratuita de música y películas está muy extendido el
uso de programas como eMule. Se trata de un programa de intercambio de archivos a
través del cual podemos descargar los archivos que comparten otros usuarios del
programa pero también compartimos nuestros propios archivos. Es muy importante
prestar atención a las carpetas que hemos seleccionado para compartir con otros
usuarios y que entre ellas no figure ninguna que contenga información de la empresa
que contenga datos personales. Es muy común que se incurra en un despiste y se
dejen compartidos todos los archivos contenidos en el ordenador de la empresa. La
propia configuración del programa “eMule” permite el intercambio de información sin
que sea necesaria una actuación intencionada para dar a conocer datos y archivos a
terceros, a través de Internet. Pero esa falta de intencionalidad no evita la imposición
de la correspondiente sanción de multa cuya cuantía podrá variar en función de la
mayor o menor sensibilidad de los datos personales expuestos.

Imagen empresarial

En ocasiones, una empresa puede quedar expuesta a una mala publicidad por un
pleito incómodo o desagradable. Si, finalmente, la empresa ganase dicho pleito, el
primer impulso podría ser dar publicidad a dicho fallo favorable, como forma de
minimizar el daño causado a la imagen de la empresa durante la pendencia del pleito,
y publicitar su contenido en la propia página web de la empresa o mediante los cauces
de comunicación habituales con los clientes de la empresa. Pues bien, a pesar de que
existe un principio de publicidad de las sentencias judiciales recogido en la Ley
Orgánica del Poder Judicial, las resoluciones judiciales no se consideran fuentes
accesibles al público a efectos de la normativa sobre protección de datos, de manera
que, si la condena no incluye expresamente la publicidad de la misma, no pueden
darse a conocer los nombres y apellidos del derrotado en la contienda judicial, pues,
hacerlo podría dar lugar a una multa de alrededor de 1.000 €.

Estos son los cinco supuestos más frecuentes, pero la lista podría extenderse mucho
más, tanto como requisitos y limitaciones se imponen en la legislación.

Artículo escrito por D. Rafael Alonso. Caruncho&Tomé&Judel Abogados