La AEPD sanciona a Bankinter y Antevenio por un total de 270.000€
A continuación se realiza un análisis de una reciente Resolución de la Agencia Española de Protección de Datos (R/00284/2008), en la que se impone una sanción a 2 empresas de 270.000€ por recibir un menor una carta postal en la que se le ofrecía la posibilidad de contratar una tarjeta Visa. Al final de esta entrada os doy cuenta de mis reflexiones sobre este caso en concreto.
1) Empresas imputadas:
- Bankinter: Banco que quiere llevar a cabo una actividad de promoción de uno de sus productos financieros.
- Antevenio: Empresa que realiza promociones y publicidad con sus propios ficheros para dichas actividades comerciales.
2) Antecedentes:
- Bankinter celebra contrato con Antevenio con el objetivo de lanzar una campaña promocional para la contratación de su tarjeta “Visa Oro de Capital One”.
- El fichero que se utilizó para esa campaña, denominado “correo direct hombres”, es titularidad de Antevenio y se encuentra debidamente inscrito en el registro general de la AEPD. Contiene en sus registros a hombres mayores de edad que se habían registrado como usuarios en diferentes páginas web de empresas afiliadas a Antevenio.
- Las personas que se incluyen en el mencionado fichero han aceptado la recepción de e-mail marketing y marketing directo.
- Un menor recibe la mencionada publicidad y, tras la denuncia por su parte, la AEPD inicia procedimiento sancionador.
3) Alegaciones recibidas por la AEPD:
Notificado el acuerdo de inicio de procedimiento sancionador por este último hecho, la AEPD recibe las siguientes alegaciones:
- Por parte de Antevenio, se solicita el archivo del expediente en base a las siguientes premisas:
- Cumple con el deber de información previa a la prestación del consentimiento inequívoco previsto en la LSSI.
- Cumple con el art. 4 LOPD, ya que sólo se recabaron aquellos datos necesarios para la finalidad propia del servicio.
- El tratamiento de datos se realizó con el consentimiento inequívoco de su titular, ya que el sistema no permitía el acceso al servicio a menores y el afectado, de forma intencionada o no, introdujo una fecha falsa. El menor cumplimentó el campo correspondiente a su año de nacimiento con 2 dígitos en lugar de 4 (año 95 en lugar de 1995) por lo que sistema entendió que el chaval tenía 1911 años, cuando en realidad sólo tenía 9.
- El menor manifestó en una de las páginas Web su voluntad de recibir publicidad, habiendo sido informado debidamente de las consecuencias y sus derechos.
- No existe prueba alguna de intencionalidad por parte de Antevenio de incumplir con la normativa vigente en materia de protección de datos.
- Por parte de Bankinter, se alega lo siguiente:
- Que el inicio del procedimiento sancionador vulnera el principio de tipicidad. Bankinter, aún siendo beneficiario de la campaña publicitaria, no accedió a los datos ni decidió la finalidad ni el uso del fichero propiedad de Antevenio. Sólo se limito a contratar a una empresa para que realizara la campaña publicitaria y todo ello queda probado en los contratos firmados por las partes intervinientes.Considera que el menor tuvo capacidad suficiente para introducir sus datos en el formulario, por lo que no existe falta de consentimiento tal y como el menor alega.
- No existe prueba alguna de intencionalidad por parte de Bankinter de incumplir con la normativa vigente en materia de protección de datos.
- La naturaleza del producto ofertado no ha comportado lesión alguna para el menor.
4) Hechos que la AEPD considera probados:
- Que el fichero utilizado para la campaña estaba debidamente inscrito en el Registro General de la AEPD y que en el fichero aparecen los datos de menor, pero en su registro concreto no consta la fecha de nacimiento que introdujo al registrarse, tampoco la de 2 dígitos.
- Que existen las relaciones contractuales necesarias para llevar a cabo la campaña promocional entre Bankinter y Antevenio.
- Que un menor de 9 años recibió la mencionada publicidad por parte de Bankinter.
5) Fundamentos de derecho por parte de la AEPD:
- Respecto a los actos llevados a cabo por Antevenio:
- Se ha producido una infracción del art. 6.1 LOPD. Este precepto establece que las empresas que traten datos de menores deberán extremar la diligencia facilitando información adecuada, comprobando la edad del menor y, en caso de duda, absteniéndose a realizar el tratamiento de sus datos. En opinión de la AEPD, Antevenio no adoptó las medidas adecuadas para evitar el registro del menor, siendo insuficiente para la AEPD que Antevenio se limitase a informar a los usuarios en las condiciones del servicio que el mismo no “no está permitido a menores”.
- Se ha producido una infracción del art. 11.1 LOPD. Antevenio no ha justificado ante la AEPD que dispusiera del consentimiento para ceder los datos del afectado a Bankinter con la finalidad de que esta entidad los utilizara para promocionar sus productos y servicios.
- Respecto a los actos llevados a cabo por Bankinter:
- Se ha producido una infracción del art. 6.1 LOPD, al tratar los datos del afectado sin su consentimiento. En opinión de la AEPD queda acreditado que fue Bankinter quien decidió sobre la finalidad, contenido y uso de la campaña promocional y ello le convierte en responsable del tratamiento.
A continuación, la AEPD establece lo siguiente:
“En el presente supuesto, no cabe apreciar que Bankinter prestara la diligencia debida a fin de evitar el tratamiento de datos sin consentimiento del afectado. Cuando está en juego la protección de derechos fundamentales, como lo es el derecho a la protección de datos, no basta con plasmar en el contrato una serie de garantías sin realizar una mínima comprobación tendente a constatar que las mismas se cumplen.”
Y un poco más adelante, en la misma Resolución, la AEPD afirma que:
“En cuanto a Bankinter, es necesario considerar que dicha entidad desplegó la diligencia que estuvo a su alcance, al exigir en los contratos celebrados las garantías previstas en la LOPD, por lo que procede, de igual modo, aplicar lo dispuesto en el citado artículo 45.5 de la LOPD.”
Pero a pesar de esta incongruencia, la AEPD resuelve lo siguiente.
6) Artículos infringidos y multas impuestas:
- Por parte de Bankinter se vulnera el artículo 6.1 LOPD, que se tipifica como infracción grave por el art. 44.3.d), con una multa de 60.000€.
- Por parte de Antevenio se produce una infracción del 6.1 y 11.1 LOPD, tipificadas como grave y muy grave respectivamente en los artículos 44.3.d) y 44.4.b), con una multa total de 210.000€.
Mis conclusiones a este respecto:
- La estricta interpretación de la AEPD de la normativa sobre la protección de datos hace que no exista ninguna relación comercial segura. Las multas por simples descuidos son desorbitadas.
- Se terminó la cesión segura de bases de datos que contengan datos personales. Aunque en el contrato se blinde la relación contractual, la AEPD exige que la empresa receptora de los datos de carácter personal compruebe que, en el momento de recabar y tratar los datos, se han respetado las garantías establecidas en la LOPD. Y no pensemos que bastará con una auditoría general ya que, tal y como ha sido objeto de la Resolución que en este post se analiza, el hecho de fallar un solo registro conlleva una multa de 60.000€. Y no creamos tampoco que la cuantía será diferente en función de la facturación de la empresa infractora, ya que a un particular se le impondría idéntica sanción. Considero que éste punto es de crucial importancia. ¿En qué cabeza cabe que ahora una empresa que quiera hacer promoción sólo pueda usar su propia base de datos, probablemente inexistente? ¿Qué ocurrirá con las empresas que tienen como actividad principal la elaboración de bases de datos para una posterior cesión respetando lo establecido en la LOPD?
- ¿El simple hecho de que un niño de 9 años reciba una publicidad en su domicilio puede derivar en que la AEPD imponga sanciones, con las que se autofinancia, de 270.000€? ¿No es ligeramente desmesurado? A ello ha de unirse el hecho de que el producto en este caso en concreto era de imposible contratación por el menor. Pero a eso la AEPD no le da ninguna importancia.
- ¿Qué ocurriría si los que conocemos la normativa sobre protección de datos nos pusiéramos de acuerdo en denunciar todas las infracciones que observamos a diario en empresas y particulares? Cesiones no consentidas, inexistente inscripción de ficheros, comunicaciones comerciales no deseadas… La AEPD haría su Agosto, de eso no hay duda.
No quiero que se me interprete de forma equivocada. Es importante que se proteja nuestro derecho fundamental a la intimidad, pero siempre aplicando el sentido común y sobre todo de forma proporcionada al daño que una posible infracción haya ocasionado.
Para finalizar, os pido sinceridad… ¿Es sólo mi impresión o el tema de la protección de datos y el organismo encargado de su vigilancia en España necesitan una urgente y profunda revisión?
Abril 30th, 2008 at 12:01
Hola Miguel,
Coincido contigo en que las sanciones en materia de PD son bastante exageradas en ocasiones como la presente. Creo que la AEPD sigue en ocasiones unos criterios de interpretación más bien sospechosos, y que llevan más a una recaudación sin fin que a la protección per se (que debería ser el objetivo último, y no dedicarse a estas cosas).
Por otro lado, el sistema encargado de recabar información parece que contaba con errores de planteamiento importante, dado que leo que ni contaba la fecha de nacimiento con dos cifras, ni nada. La verdad es que prevenir un problema de este tipo resulta bastante sencillo, y es una obligación para cualquier diseñador que se encargue de ello.
Ahora bien, y con posterioridad a este caso, si la programaciónd del código hubiera sido realizado por otra empresa, tendría responsabilidad al haber ignorado este factor y entenderlo dentro de la “lex artis” que le corresponde? (puestos a interpretar…)
Un saludo
Abril 30th, 2008 at 12:17
Hola Miguel Angel:
100% de acuerdo en lo que comentas. Soy profesor de Marketing Directo en diversas escuelas de negocios y siempre comento con mis alumnos que si el mailing de papel sigue vivo es gracias a la absurda Ley de Protección de Datos que impide que yo le envíe un mail a alguien que voluntariamente me da su tarjeta de visita o responda a alguien que me envía su CV a no ser que previamente le haga firmar un formulario legal.
Dicho esto, yo también tengo interés en la protección de mi intimidad, pero lo que es cierto es que así no vamos a ninguna parte.
Saludos,
Abril 30th, 2008 at 12:32
Hola Gonzalo,
El tema de las tarjetas de visitas se tocó en una Sentencia contra una resolución de la Agencia al respecto de las tarjetas de visita obtenidas en el SIMO, y que finalmente acabó permitiendo el envío. Cada caso es un mundo, y hay que analizarlo correctamente. El problema es que la interpretación que realitza la Agencia no hace más que crear miedo.
El caso del envío espontáneo del CV también habría que analizarse para ver qué respuesta dar.
Saludos
Mayo 2nd, 2008 at 12:41
Esta resolución, además de incongruente, resulta totalmente desproporcionada. Dudo que tras el correspondiente recurso un Tribunal la mantenga.
En cuanto a lo que preguntas, yo te diré que estoy totalmente de acuerdo contigo. Resulta necesaria una profunda reforma tanto de la normativa como de la Agencia a la que claramente se ve cómo se mueve por instinto recaudador.
Mayo 7th, 2008 at 8:48
Hola Miguel Angel
La última sanción de la AEPD que comentas, impuesta a Bankinter y Antevenio, pone de manifiesto la inseguridad jurídica a la que nos enfrentamos todos, particulares y empresas; pues aún cumpliendo con todos los requisitos formales exigidos por la LOPD y habiendo configurado un documento de seguridad que contempla las relaciones contractuales existentes entre ambas empresas sancionadas sólo cabe pensar ¿quién será el próximo? En mi opiniòn la AEPD se está excediendo en su capacidad sancionadora en la medida en que sus exigencias son de mayor entidad que las propias requeridas en el Reglamento y en la Ley; y a ello se une la incongruencia que viene caracterizando a las últimas resoluciones de la Agencia.
En este caso se penaliza a dos compañías por la falta de comprobación de la edad de la persona que rellena un formulario indicando una edad ficticia . La exigencia de comprobación de dichos datos llevarían a adoptar medidas como la firma digital para aceptar el mero envío de publicidad o realizar el alta en cualquier foro , lo cual a día de hoy es de improbable aplicación.
Este tipo de sanciones generaran (sino generan ya) desasosiego y miedo en las empresas a la puesta en práctica de técnicas de publicidad on-line que tantos beneficios a supuesto para miles de compañías en los últimos años.
¿Se volverá a las vallas de publicidad como medio seguro ?
Un saludo.
Mayo 26th, 2008 at 11:21
[...] estoy acojonado. Más información AQUÍ. May 26th 2008 Posted to [...]
Mayo 28th, 2008 at 9:00
Estoy acojonado, ni me atrevo a ligar, no sea que al darme su nombre la chica y su mail, al escribirle, la aepd me denuncie.
No se porque todo esto me recuerda lo de las multas, que en vez de buscar soluciones como en alemania (se recuerda que en alemania no existe limite de velocidad y curiosamenete existe un 75% menos de accidentes que en españa), parece que haya un enfasis que recaudar dinero de las multas. Al viejo estilo de los recaudadores medievales.
Julio 2nd, 2008 at 21:54
[...] Antevenio está en un mercado en pleno cambio. La publicidad se está trasladando de los medios tradicionales [...]