Aunque no sea un criterio novedoso voy a aprovechar la reciente resolución sancionadora de la Agencia Española de Protección de Datos a Vodafone para revisar, muy brevemente, qué criterios determinan el hecho de que una entidad sea responsable del tratamiento cuando encarga acciones comerciales para captar clientes a terceras entidades. Para quien quiera profundizar más sobre este tema, además de la sanción a Vodafone, puede ver el Informe 0064/2020 del Gabinete Jurídico de la AEPD (Analizado, en cualquier caso, en la resolución de la Agencia).
Como cuestiones previas y para entender qué tipo de acciones comerciales encargaba Vodafone, utilizaba varios mecanismos:
1. Acciones comerciales sobre bases de datos gestionadas directamente por Vodafone y por entidades en nombre de Vodafone. Estas acciones se realizaban desde sus departamentos de marketing y el departamento interno de televenta.
2. Acciones comerciales sobre bases de datos gestionadas por entidades que actúan, en nombre y por cuenta de Vodafone, a través de distribuidores, colaboradores o agentes. Para este caso, podían utilizar, bien bases de datos facilitadas por Vodafone, o bien las propias bases de datos de dichos colaboradores.
Sobre este último supuesto, Vodafone alegaba que los colaboradores actuaban en calidad de responsables del tratamiento cuando utilizan sus propias bases de datos. La Agencia de Protección de Datos, sin embargo, estima que dichos colaboradores actuaban en calidad de encargados del tratamiento, es decir actuando en nombre y por cuenta de Vodafone siendo, en todo caso, Vodafone la responsable del tratamiento sobre dichas acciones comerciales.
A continuación resumo los criterios que han de tenerse en cuenta para establecer si la entidad que encarga la acción comercial es responsable del tratamiento.
- Si la entidad suministra instrucciones para realizar los tratamientos como si las bases de datos fueran propias, con independencia de que no lo sean.
- Cuando la tercera entidad que realiza la campaña comercial (y aunque las bases de datos sean de dicha entidad) no tiene ningún interés propio respecto del resultado de la campaña.
- Cuando las bases de datos se elaboran (como en el caso de Vodafone) específicamente para la empresa para la que se hace la acción comercial.
- Además, cuentan con su aprobación previa y pasan por diversos filtros establecidos por esa entidad para la que se hace la acción comercial.
- Aquella entidad que determina los medios y los fines del tratamiento lo cual implica una influencia real sobre los medios y los fines, entre otros:
- A la entidad que encarga la acción comercial se le presenta una descripción detallada y pueda tomar la decisión final sobre la forma en la que se realiza el tratamiento.
- Puede solicitar cambios, en caso de ser necesario, sin que la entidad que ejecuta la acción comercial pueda introducir posteriormente modificaciones en los elementos esenciales del tratamiento sin la aprobación de la entidad que encarga la acción comercial.
- La entidad que encarga la acción comercial puede tomar la decisión final sobre la forma en la que se realiza el tratamiento y pueda solicitar cambios sobre el mismo.
- Actuación exclusiva bajo la marca de la entidad que encarga la acción comercial.
- Las bases de datos se elaboran específicamente para la entidad que encarga la acción comercial.
No es el único aspecto que aborda la resolución sancionadora a Vodafone pero me ha parecido la más interesante. En concreto se tomaban en consideración las siguientes posibles infracciones:
- Infracción de la LGT por no facilitar derecho de oposición.
- Infracción de la LSSICE por realizar aciones comerciales sin que hayan sido solicitadas y sin atender al ejercicio del derecho de oposición.
- Infracción de la normativa de protección de datos por realizar acciones de mercadotecnia sin atender a las garantías necesarias en los contratos con los encargados de tratamiento.
Y las sanciones que se le impusieron fueron las siguientes:
- Infracción del artículo 28 en relación con el 24 del RGPD – 4 millones de euros
- Infracción del artículo 44 del RGPD – 2 millones de euros
- Infracción del artículo 21 del LCE. – 150.000 euros
- Infracción del artículo 48.1b) de la LGT – 2 millones de euros.
Elena Pérez Gómez
Abogada en cohaerentis
Especializada en Derecho Tecnológico
