Comercialización de bases de datos

El tema de la compra-venta y comercialización de bases de datos ha generado ya una serie importante de sanciones relacionadas con la legislación sobre protección de datos, que deberían alertar a todas las empresas y profesionales que se ven tentados a obtener por cantidades relativamente bajas de dinero el acceso a listados en algunos casos inmensos, que prometen grandes éxitos económicos en contactos con posibles clientes.

Denuncia por spam desde bases de datos masiva

Así tenemos como ejemplo el procedimiento sancionador PS/00678/2015, instruido por la Agencia Española de Protección de Datos (AEPD), que se inició al recibir un escrito del denunciante en el que declara que ha detectado un aumento de correos electrónicos comerciales no solicitados enviados por empresas que no le han pedido el consentimiento para ello. Al consultar a una de estas entidades sobre el origen de su correo electrónico le han comunicado que se encuentra en la base de datos esbasesdedatos.com.

Notificado el acuerdo de inicio, el denunciado presentó escrito de alegaciones reconociendo la responsabilidad sobre los hechos imputados a los efectos previstos en el artículo 8 del Reglamento para el procedimiento de la potestad sancionadora, aprobado por RD 1398/1993, de 4 de agosto, así como a los efectos del artículo 45.5.d) de la LOPD, rebajándose la sanción a los importes de las infracciones leves. Asimismo, solicita que se aplique la multa en su grado mínimo de 900 euros por concurrir como atenuantes los criterios de graduación b), d), e) f), g) y h) recogidos en el apartado 4 del citado artículo 45 de la LOPD. Así, afirma que la base de datos tiene 1.2000.000 datos y tan sólo constan como datos personales ocho direcciones de correo que pudieran ser objeto de protección, lo que supone un porcentaje mínimo, no habiéndose recibido denuncia alguna correspondiente a esas direcciones. El denunciado es una persona física conforme prueba la declaración de la renta del ejercicio 2014. No se ha obtenido beneficio alguno con los correos electrónicos indicados al no haberse mantenido comunicaciones con los mismos. No ha existido dolo por su parte, habiéndose procedido al cierre inmediato de la web al tener conocimiento del primer expediente sancionador. No se ha cometido anteriormente ninguna infracción y no se ha acreditado daño alguno al denunciante.

Al haber reconocido el denunciado los hechos que se le imputan y la responsabilidad que se deriva de los mismos, se procede a elevar a la Directora de la AEPD el expediente a los efectos de dictar la resolución que corresponda al respecto.

Análisis jurídico de la AEPD

En la situación analizada, la inclusión de los citados correos electrónicos ha tenido como destinatario de la relación a la persona física titular del dato personal en lugar de a la persona jurídica en la que el empleado prestaba servicios, por lo que aunque las cuentas de correo electrónico profesionales analizadas formasen parte del citado fichero de empresas no resultaba de aplicación a las mismas la excepción prevista en el artículo 2.2 del RDLOPD. Es decir, el denunciado usó los datos de contacto profesionales de personas físicas con finalidades que excedían de las propias de los ficheros de contactos de empresas por los motivos señalados. Por lo que la finalidad del tratamiento de los correos comerciales estudiados se residencia en los propios sujetos y no en las entidades en las que éstos desarrollan su actividad o a las que representan en sus relaciones con quienes tratan los datos.

Probado que la información contenida en el fichero, y las bases de datos resultantes de la segmentación del mismo, se usan con fines publicitarios, cabe afirmar que el denunciado ha realizado un tratamiento de los datos de carácter personal de contacto analizados ajeno al descrito en el artículo 2.2 del RDLOPD. A la vista de lo cual, y con independencia de que en marzo de 2015 se cerrase la página web y se destruyese la base de datos al no darle un uso comercial a la misma, el tratamiento efectuado hasta ese momento estaba sometido a las garantías de la normativa de protección de datos al estar vinculado al ámbito privado y personal de los sujetos afectados, requiriendo, en consecuencia, del consentimiento inequívoco de los titulares o usuarios de dichos correos electrónicos exigido en el apartado primero del artículo 6 de la LOPD, excepción hecha de que mediase legitimación legal como contempla dicho apartado o se diera alguno de los supuestos recogidos en el apartado segundo del mismo artículo 6 de dicha norma.

La información obtenida a través del reseñado acceso al citado sitio web con anterioridad al cierre del mismo prueba que su responsable, en este caso el denunciado, promocionaba y comercializaba la información contenida en las diferentes bases de datos empresariales ofertadas para su uso en campañas de marketing directo, utilizándose expresiones que remitían directamente a las finalidades publicitarias a las que se destinaba el fichero que contenía los datos de carácter personal analizados, tales como “Envía tus mensajes aun mayor número de clientes segmentado por situación geográfica y por sectores de afinidad. Llega a más clientes y demás calidad. Segmenta. Comunica y gana.“ o “esbasesdedatos. Aumenta tu público. Multiplica tus ventas.”

En atención a la finalidad eminentemente publicitaria a la que respondía la información registrada en las bases de datos comercializadas con fines de marketing directo desde la mencionada página web, cabe afirmar que los correos electrónicos de contacto contenidos en las mismas referidos a personas físicas identificadas o identificables, constituían un tratamiento de dicha información. Paralelamente, se entiende que los criterios a) y b) del mencionado precepto operan como agravantes, ello en razón del carácter continuado de la infracción , ya que consta en el procedimiento que comercializó la base de datos desde finales de octubre de 2013 hasta principios de marzo de 2015, y habida cuenta que el tratamiento de datos de carácter personal inconsentido ha afectado, al menos, a los titulares de las ocho direcciones de correo electrónico que aparecen en el Hecho Probado Cuarto.

Sanción de la AEPD

Y por lo Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO:IMPONER a la entidad A.A.A., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.b) de la LOPD, una multa de 5.000 euros, (Cinco mil euros), de conformidad con lo establecido en los apartados 2, 4, y 5 del artículo 45 de la citada Ley Orgánica.