4. Límites legales de las bases de datos
La LOPD (Ley Orgánica de Protección de Datos) establece las obligaciones que los responsables de los ficheros o tratamientos, tanto de organismos públicos como privados, han de cumplir para garantizar el derecho a la protección de los datos de carácter personal para su explotación comercial, siendo un requisito fundamental para abordar un proyecto de marketing de bases de datos. La esencia de la legislación es tener al tanto a los titulares de los datos acerca de la existencia de un archivo donde se recoge su información personal y el tratamiento previsto por el responsable del fichero, incluyendo las restantes empresas del grupo con las que se compartirá este, y/o terceros, aunque no es la única obligación. Entre otros aspectos, la normativa exige la observancia de ciertas medidas de seguridad que garanticen la salvaguarda en el tratamiento informático de la información, así como procesos de actualización y mecanismos para que los sujetos incluidos en los ficheros ejerzan su derecho de cancelación, rectificación o se opongan al tratamiento de sus datos, sin por ello tener que rescindir su relación comercial con la empresa.
La Agencia Española de Protección de Datos (AGPD) es el organismo responsable de velar por el cumplimiento de la legislación en materia de protección de datos en España y de representar los intereses de los ciudadanos y españoles a escala internacional.
Para estar permanentemente actualizado visitar la web de la AGPD: www.agpd.es.
4.1. Principales obligaciones del responsable del fichero
- Calidad de los datos, entendida desde dos perspectivas: que la información solicitada a los titulares de los datos no se exceda de los fines para los que es recabada; y la obligación del responsable del fichero a mantener las listas actualizadas para que reflejen la situación actual del titular de los datos.
- Consentimiento previo al tratamiento de los datos. Salvo para los especialmente protegidos por la ley, puede ser tácito, siempre y cuando se cumpla con los requisitos establecidos de procedimiento, información de derechos, fines, responsables y plazos, entre otros. Se refleja también que, para aquellas fuentes accesibles al público, el titular de los datos tiene derecho a oponerse a este tratamiento, para lo cual, puesto que por defecto sus datos se consideran públicos y su tratamiento permitido, deberá dirigirse al responsable del fichero. Se consideran fuentes de acceso público el censo promocional, los repertorios telefónicos (conforme a su normativa) y las listas de profesionales que contengan nombre, título, profesión, actividad, grado académico, dirección e indicación de su permanencia al grupo. También tienen carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.
- Salvaguarda de los derechos del titular de los datos: acceso, rectificación, cancelación y oposición. En las reclamaciones en materia de protección de datos, es el responsable del tratamiento (empresa) quien debe constatar su inocencia mediante la aportación de pruebas, y no el denunciante (titular de los datos) quien debe demostrar la culpabilidad del responsable. De ahí la importancia de mantener un registro adecuado del tratamiento que se realiza de los ficheros, y en especial de las comunicaciones con el cliente en relación con el ejercicio de sus derechos.
- Deber de guardar secreto, referido a la obligación del responsable del fichero, así como de cualquiera que intervenga en el tratamiento de los datos, de guardar el secreto profesional sobre estos, aun después de finalizada la relación con el responsable del fichero. Esta obligación resulta especialmente importante cuando se externaliza el tratamiento de los datos mediante la contratación de un proveedor, pues reconoce el secreto profesional al que está sujeto y que trasciende la duración del contrato de prestación. El incumplimiento de esta obligación dará origen a una falta que puede considerarse leve, grave (cuando el fichero contenga, además de la información personal, datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, o bien un conjunto de datos de carácter personal suficiente para obtener una evaluación de la personalidad del individuo), o muy grave en el caso de ficheros que recojan además datos que la ley estipula como especialmente protegidos, así como aquellos recabados para fines policiales y que carezcan del consentimiento de los afectados.
- Obligación de inscribir los ficheros en la agencia, conforme a un procedimiento que incluye la notificación previa a su creación; el subsiguiente registro por parte del Registro General, siempre que se ajuste a los requisitos exigibles, y la comunicación de los cambios de su finalidad, responsable y ubicación.
- Adoptar las medidas de seguridad, tanto técnicas como organizativas, para garantizar la protección de los datos, por parte del responsable del fichero y del encargado de su tratamiento.
4.2. El Servicio de Lista Robinson
El Servicio de Lista Robinson es un servicio de exclusión publicitaria gestionado por la ADIGITAL, creado conforme a lo previsto en la normativa sobre protección de datos. Este servicio se enmarca en el ámbito de la publicidad dirigida a nombre de una persona y a una dirección de correo postal, a una dirección de correo electrónico o a un número de teléfono concreto (www.listarobinson.es).
Cualquier persona puede inscribirse en el Servicio de Lista Robinson de forma gratuita. Para ello es necesario indicar, de acuerdo con lo señalado en el Reglamento del Servicio, el medio a través del cual no desea recibir publicidad de entidades con las cuales no mantenga ni haya mantenido algún tipo de relación. Las entidades deben consultar la Lista Robinson para no enviar comunicaciones comerciales a aquellas personas inscritas en el Servicio, cuando realicen acciones publicitarias dirigidas a personas que no sean sus clientes, socios, usuarios, etc.
4.3. Principales derechos del ciudadano
La LOPD reconoce una serie de derechos al titular de los datos respecto al tratamiento que pueden recibir estos y los mecanismos con que cuenta para evitar abusos que le infrinjan un perjuicio. Conocerlos y tener presente los procedimientos necesarios para garantizarlos, permite calibrar el alcance de la estrategia de marketing de bases de datos y determinar los canales de atención al titular de los datos que deben contemplarse. A grandes rasgos, estos son los derechos y en qué consisten:
- Derecho de acceso, que reconoce el derecho del titular de solicitar detalles sobre los datos personales que constan en el fichero. Este podrá consultar sobre el contenido de los
datos sometidos a tratamiento, tanto de base como los resultados de algún proceso; su origen, los cesionarios, así como los usos y finalidades para los que se almacenan. Por su parte, el responsable del tratamiento tiene la obligación de responder al requerimiento del titular, de manera gratuita, en 30 días desde la recepción de la solicitud. Transcurrido el plazo, de no recibir respuesta o de ser insatisfactoria, el titular podrá recurrir ante la AGPD. - Derecho de cancelación o rectificación, referido al derecho del titular de los datos a la cancelación o rectificación de toda o parte de la información contenida en los ficheros, mediante solicitud al responsable del tratamiento del fichero. Este tendrá 10 días para tramitar la solicitud, a contar desde su recepción. Asimismo, deberá notificar los cambios a quienes hubiera comunicado los datos de forma previa. Transcurrido este tiempo, de no recibir respuesta o de ser insatisfactoria, el titular podrá recurrir ante la AGPD.
- Derecho de oposición, que reconoce el derecho del titular a negarse al tratamiento de sus datos personales, en cuyo caso el responsable del fichero deberá excluirlos del tratamiento (que no de la relación comercial). Este derecho también es aplicable a ficheros de carácter público, como las páginas blancas o el censo.
- Derecho de indemnización, referido, entre otros aspectos, al derecho a exigir una compensación si por el incumplimiento de la ley por parte del responsable o el encargado del tratamiento del fichero, el titular sufriera daño o lesión de sus derechos o de sus bienes, de acuerdo a los términos que establece la ley.
- Derecho de información, que constituye uno de los derechos básicos de la LOPD y alude, entre otros aspectos, al derecho del titular de los datos a ser informado, de manera previa, acerca de la existencia del fichero con sus datos, su finalidad y destinatarios de la información así como de sus derechos.
- Derecho de impugnación de valoraciones, que se refiere, entre otros aspectos, al derecho de los ciudadanos a no verse sometidos a una decisión con efectos jurídicos fundada en un tratamiento de datos destinados a valorar ciertos aspectos de su personalidad. La información procedente de este tratamiento podrá tener valor probatorio únicamente a petición del afectado.
- Derecho a no recibir publicidad no deseada, que recoge la obligación de hacer uso de los datos personales con fines publicitarios o comerciales siempre que los mismos, o bien procedan de fuentes accesibles al público, en cuyo caso se actuará conforme al derecho de información, o hayan sido facilitados o hayan consentido su uso los interesados.
- Derecho de consulta al Registro General de Protección de Datos, referido al derecho de cualquier persona, consten o no sus datos en un fichero, a recabar información del Registro General de Protección de Datos sobre los tratamientos existentes de carácter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro General es de consulta pública y gratuita. Conviene señalar que la AGPD no dispone físicamente de los ficheros inscritos en ella, sino solo de los detalles que constan en su registro. En el caso de los ficheros de titularidad privada, esta información incluye la razón social del responsable del fichero, el nombre del fichero y una descripción de su contenido y finalidad. En el caso de los de titularidad pública consta, además, el tipo de administración de que se trate.