Página |1

PROTOCOLO EN MATERIA DE PROTECCIÓN DE DATOS PARA LA REALIZACIÓN DE ACCIONES DE MARKETING DIRECTO.

expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

Página |2

INDICE. 1.- INTRODUCCIÓN. _________________________________________________ 4 2.- MARCO NORMATIVO. ____________________________________________ 4 3.- CONSIDERACIONES PREVIAS. ______________________________________ 5 3.1. GLOSARIO DE TÉRMINOS BÁSICOS. _____________________________ 5 3.2. NOCIONES BÁSICAS PREVIAS. __________________________________ 6 3.3. SISTEMAS DE REGULACIÓN DE LAS COMUNICACIONES COMERCIALES. ___________________________________________________ 10 3.3.1. VISIÓN GENERAL PREVIA. __________________________________ 10 3.3.2.- EL SISTEMA ESPAÑOL. INTRODUCCIÓN. ____________________ 11 4.- DESARROLLO. ___________________________________________________ 11 4.1.- PRINCIPIOS COMUNES PARA LA REALIZACIÓN DE CAMPAÑAS PUBLICITARIAS. ___________________________________________________ 11 4.1.1.- El consentimiento del afectado. __________________________ 11 4.1.2.- El deber de información. _________________________________ 12 4.1.3.- La utilización de las cookies o chivatos ______________________ 13 4.2. EXAMEN DE LOS DISTINTOS MEDIOS DE COMUNICACIÓN. _______ 14 4.2.1.- COMUNICACIONES COMERCIALES POR VÍA ELECTRÓNICA. 14 4.2.2.- COMUNICACIONES COMERCIALES POR MEDIOS TRADICIONALES.________________________________________________ 16 5.- PREGUNTAS FRECUENTES. ________________________________________ 16 5.1.- ¿Qué datos puedo utilizar para realizar una campaña de marketing offline? ________________________________________________ 16 5.2.- ¿Qué datos puedo utilizar para realizar una campaña de marketing Online?________________________________________________ 17 5.3.- ¿Puedo contratar en un tercero la realización de mi campaña de marketing? ______________________________________________________ 17 6.- RÉGIMEN SANCIONADOR. _______________________________________ 19 6.1.- INFRACCIONES. ______________________________________________ 19 6.1.1.- INFRACCIONES LEVES. ____________________________________ 19 6.1.2.- INFRACCIONES GRAVES:__________________________________ 19 6.1.3.- INFRACCIONES MUY GRAVES. _____________________________ 20 6.1.4.- SANCIONES (ART. 45 LOPD). ______________________________ 20 6.2- RÉGIMEN SANCIONADOR DE LA LSSI. __________________________ 20 6.2.1.- INFRACCIONES. __________________________________________ 20 6.2.2.- SANCIONES. _____________________________________________ 21 7.- RESOLUCIONES SANCIONADORAS. _______________________________ 21 8.- PROTOCOLO. ___________________________________________________ 23 8.1.- VERIFICACIÓN EN EL CASO DE PUBLICIDAD POR CORREO POSTAL _________________________________________________________________ 23 ANEXOS. ___________________________________________________________ 25 Modelo 1: Cláusula TIPO en la que se recaba el consentimiento para realizar publicidad. _______________________________________________ 25 expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

Página |3 Modelo 2: Modelo de circular para recabar el consentimiento para futuros envíos. ____________________________________________________ 25 Modelo 3: Modelo de cláusula para envíos de publicidad utilizando datos recabados de fuentes accesibles al público. ________________ 27 Modelo 4: Modelo de cláusula para envíos de publicidad sin utilizar datos personales pero en los que se prevea tratarlos posteriormente. 27

expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

Página |4

1.- INTRODUCCIÓN. El presente protocolo tiene por objeto definir las cautelas que deben adoptarse en la realización de acciones de marketing directo entendido como un sistema interactivo que utiliza uno o más medios publicitarios para obtener una respuesta cuantificable y/o una transacción en un determinado lugar. Para poder emprender una acción comercial efectiva, las empresas necesitan una buena base de datos sobre la que trabajar para segmentar su “target”. Llegar a confeccionar una buena base de datos plantea grandes problemas legales. Desde el momento inicial hasta la materialización de la venta de un determinado producto o servicio se llevarán a cabo determinadas acciones que pueden poner en peligro la continuidad de la campaña o incluso de la empresa. Recordemos que las sanciones de la Agencia Española de Protección de Datos por infracción de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), pueden llegar a los 600.000 euros. Las sanciones en esta materia por infracción de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (en adelante, LSSI-CE) pueden alcanzar cifras de hasta 150.000 euros. 2.- MARCO NORMATIVO. Con carácter general, y para la realización de una campaña de publicidad resulta de aplicación la siguiente normativa:

















Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el Texto Refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias. Ley 34/1988, de 11 de noviembre, General de Publicidad. Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y Comercio Electrónico. Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, en particular la Disposición adicional primera que modifica la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico. Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante RDLOPD). Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en

expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

Página |5 materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista. Esta relación no es cerrada y tan sólo pretende hacer referencia a la principal normativa de aplicación en esta materia. 3.- CONSIDERACIONES PREVIAS. 3.1. GLOSARIO DE TÉRMINOS BÁSICOS. A continuación se relacionan una serie de términos básicos, explicando de forma sucinta su significado. DATOS DE CARÁCTER PERSONAL: Cualquier información concerniente a personas físicas identificadas o identificables. Es decir, cualquier dato que podamos relacionar con personas físicas. En el ámbito de las empresas esas personas serán normalmente potenciales clientes, clientes, proveedores, trabajadores de la empresa, terceros o personas de contacto. En algunos ámbitos concretos de actividad puede que los datos se refieran a otras personas como pacientes, asociados ... o por ejemplo en el ámbito público dichos afectados son los ciudadanos, contribuyentes etc., además de algunos afectados comunes al ámbito privado: por ejemplo los empleados, proveedores, contactos, etc. Téngase en cuenta que no sólo se refiere a personas identificadas (cuando tengamos su nombre) sino también cuando esas personas sean razonablemente identificables, como por ejemplo, un número de colegiado, DNI, IP, correo electrónico etc. AFECTADO O INTERESADO: Persona física titular de los datos. Es la persona cuyos datos se tratan, es decir: el cliente, paciente, ciudadano, empleado, proveedor, contacto, etc. TRATAMIENTO DE DATOS: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Téngase en cuenta que a tenor de la definición de tratamiento que da la Ley y su Reglamento de Desarrollo, cualquier operación que se haga con ellos (grabarlos, modificarlos, conservarlos, enviarlos, etc.,) constituirá tratamiento. FICHERO: Conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Es decir, cualquier dato que tengamos sobre personas físicas en cualquier tipo de soporte, tanto papel como a nivel informático. El concepto de fichero no se corresponde necesariamente con una base de datos, sino que siempre que exista un conjunto de datos que estén organizados mediante algún criterio, nos encontraremos ante la existencia de un fichero. Obviamente una aplicación informática de nóminas constituye un ejemplo de fichero, pero también lo puede constituir una tabla de datos en Word, sin olvidar que también es aplicable este concepto a los datos que estén organizados en soportes no automatizados, como pueda ser por ejemplo un archivador A-Z. RESPONSABLE DEL FICHERO O TRATAMIENTO: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. El responsable del fichero normalmente coincidirá con la organización: la empresa, asociación, institución, empresario individual, profesional, etc... y es a quien se le imponen la mayoría de las obligaciones en protección de datos siendo, por tanto, normalmente el responsable de las sanciones que - en su caso - se impongan. Ello sin perjuicio de que el responsable del fichero pueda nombrar una persona física que le represente. ENCARGADO DEL TRATAMIENTO: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. El Encargado del Tratamiento es un tercero (normalmente una empresa pero no necesariamente) que le presta un expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

Página |6 servicio al responsable del fichero y que para ello requiere acceder a datos del responsable. Ejemplos típicos de encargados lo son la asesoría laboral, contable o fiscal (que acceden a los datos de empleados, clientes o proveedores de su cliente para asesorarle), empresas de mantenimiento de hardware o software, etc... El servicio que presta el encargado no tiene porqué ser remunerado. La relación entre el responsable y el encargado se debe regular mediante un contrato cuyo contenido establece el artículo 12 de la LOPD. USUARIOS: Sujeto o proceso autorizado a acceder a datos o recursos. Normalmente un usuario será una persona que accede a datos de la organización. El usuario podrá tener diferentes perfiles de acceso y ser un usuario interno o externo (un usuario de otra organización que accede a nuestro sistema para prestar un servicio, por ejemplo mantenimiento informático). RESPONSABLE DE SEGURIDAD: El responsable del fichero designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero. El responsable de seguridad puede ser uno o varios y son los encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al Responsable del Fichero o Tratamiento, que es a quien en primera instancia se le pueden imponer en su caso las sanciones que contempla la Ley. Ello sin perjuicio de que el responsable de seguridad, si no cumple con sus obligaciones pueda tener responsabilidad laboral o disciplinaria. CONSENTIMIENTO: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. Téngase en cuenta que el consentimiento es el eje vertebral de la protección de datos y ello exige que como regla general no se puedan tratar datos de nadie sin se consentimiento, sin perjuicio de que en ocasiones esta obligación está exenta. Por ejemplo: cuando los datos se traten en el marco de la relación negocial, laboral o administrativa, cuando exista una Ley que disponga lo contrario, etc. COMUNICACIÓN DE DATOS: Toda revelación de datos realizada a una persona distinta del interesado. La cesión de datos debe estar, salvo excepciones, necesariamente consentida por el interesado. Por ello, es importante no comunicar datos de carácter personal a otras personas físicas o jurídicas, salvo que se disponga del consentimiento de dicha persona o se esté ante alguna de las excepciones previstas por la Ley.

3.2. NOCIONES BÁSICAS PREVIAS. Habida cuenta de las definiciones establecidas en la Ley 34/1988, de 11 de noviembre, general de publicidad entenderemos que la publicidad es “toda forma de comunicación realizada por una persona física o jurídica, pública o privada, en el ejercicio de una actividad comercial, artesanal o profesional, con el fin de promover de forma directa o indirecta la contratación de muebles o inmuebles, servicios, derechos y obligaciones”. Asimismo en el anexo de la LSSI se define las comunicaciones comerciales como “toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional”. La realización de publicidad mediante la remisión de comunicaciones comerciales puede realizarse:


Bien dirigiéndose directamente a una persona física concreta.

expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

Página |7


Dirigiéndose a alguien genérico (a la atención del propietario, del Director, del gerente, etc.), pero sin referencia a una persona concreta.

Mientras no se traten datos de carácter personal, no será de aplicación la legislación sobre protección de datos, pero es posible que a un envío de publicidad realizado a direcciones genéricas, (por ejemplo, al propietario de la vivienda X, sin especificar su nombre), le suceda que dicha persona contesta (por ejemplo llama por teléfono) y proporciona datos personales en dicha contestación. Es decir: aunque inicialmente no se traten datos personales, posteriormente si que se puedan tratar en el desarrollo de la campaña o acción comercial. Por tanto, téngase en cuenta que la legislación sobre protección de datos es aplicable siempre que se traten datos personales, bien en el momento inicial o en momento posterior del proceso comercial.

También hay que tener en cuenta que la legislación de protección de datos se aplica (a diferencia de la LORTAD) a cualquier tratamiento de datos, sea automatizado o no, pero siempre que “dichos datos estén contenidos o destinados a ser incluidos en un fichero”. Cuando nos encontramos ante datos que se tratan de manera automatizada es difícil concluir que los datos no estén contenidos en un fichero, pero es posible encontrarnos ante el uso de datos que estén ubicados en tratamientos no automatizados y que no les sea de aplicación la legislación sobre protección de datos. Pensemos en un ejemplo: alguien remite envíos publicitarios a destinatarios nominales pero que, por ejemplo, los ha puesto “a mano” en el sobre y no ha creado ningún documento ni base de datos automatizada o no automatizada en la que se relacionan los destinatarios para hacer un seguimiento. Existen numerosos casos en los que la AEPD ha archivado procedimientos sancionadores por este motivo. Expediente Nº: E/00058/2007. Resolución de Archivo de Actuaciones: Pues bien, para que una actuación manual sobre datos personales (recogida, grabación, conservación, elaboración, modificación, bloqueo...) tenga la consideración de "tratamiento de datos personales" sujeto al sistema de protección de la Ley Orgánica 15/1999, es necesario que dichos datos estén contenidos o destinados a ser incluidos en un fichero, esto es, en un conjunto estructurado u organizado de datos con arreglo a criterios determinados. Si no es así, el tratamiento manual de datos personales quedará fuera del ámbito de aplicación de la ley, no será un “tratamiento de datos personales" según el concepto normativo que la ley proporciona. En realidad la existencia del "fichero" en el sentido legal es siempre precisa para que tratamiento de datos personales esté sujeto al sistema de protección de la ley. En los casos de tratamiento automatizado de datos, -siempre sometidos a la ley- es difícil imaginar la inexistencia de un fichero (aunque no se exija expresamente) puesto que los datos que se tratan mediante sistemas automatizados lo son siempre bajo unos criterios de estructura u organización previa. (El subrayado es de la Agencia Española de Protección de Datos). Conforme a la citada doctrina de la Audiencia Nacional, no hay tratamiento de datos de carácter personal y, por consiguiente, no se puede exigir el cumplimiento de obligaciones y derechos previstos en la Ley expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

Página |8 Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), si no existe un fichero. Por tanto, en el presente caso, la inexistencia de tal fichero impide que pueda exigirse el cumplimiento de preceptos de la LOPD, por lo que procede el archivo de las presentes actuaciones previas. Como consecuencia de lo señalado, Por el Director de la Agencia Española de Protección de Datos se ACUERDA: PRIMERO: ARCHIVAR las actuaciones previas de investigación efectuadas como consecuencia de la denuncia presentada por Don F.C.C. Es decir: cuando estemos ante datos tratados automatizadamente casi siempre estaremos ante la aplicación de la legislación sobre protección de datos; en el caso de ficheros no automatizados es posible que no, pero no hay que confiar en la no aplicabilidad en estos casos.

Hay que tener en cuenta también los supuestos recogidos por el artículo 2 del RDLOPD, que constituyen excepciones al ámbito de aplicación de la legislación de protección de datos: “2.- Este Reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales. 3.- Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal.” Ello quiere decir que, en principio, la legislación de protección de datos no se aplica a estos supuestos y es posible el envío de comunicaciones comerciales utilizando dichos datos. Ahora bien, hay que distinguir:








A los envíos comerciales realizados a una persona jurídica como tal que sea destinataria no le son de aplicación la legislación sobre protección de datos. Tampoco a los envíos de publicidad que se realicen destinados a personas jurídicas pero dirigiéndose la publicidad para su recepción en realidad, a las personas físicas de contacto, pero no yendo dirigida la publicidad a dichas personas físicas. Tampoco a los envíos dirigidos a empresarios individuales, excepto cuando se trate de profesionales, en cuyo caso sí que es de aplicación la legislación sobre protección de datos.

Para más detalle se puede ver el informe de la AEPD denominado “Ámbito de aplicación de la legislación de protección de datos. Aplicación a empresarios individuales y “personas de contacto” (artículos 2.2 y 2.3 del RDLOPD) y accesible a través de la zona de Informes Jurídicos de la página Web de la Agencia Española de Protección de Datos. En el mismo se abordan ambos aspectos indicando:

expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

Página |9

1.- En relación con los datos de empresarios individuales: “A la vista de lo que se ha venido indicando cabe considerar que los datos referidos a los empresarios individuales y que aparecen exclusivamente ligados a su actividad comercial o mercantil, o que identifican, aún con su nombre y apellidos un determinado establecimiento o la marca de un determinado producto o servicio, como consecuencia de la existencia de una libre decisión empresarial adoptada en este sentido, no se encuentran sometidos a la protección conferida por la Ley Orgánica 15/1999. Este es el criterio recogido por el artículo 2.3 del Reglamento de desarrollo de la Ley Orgánica 15/1999. Al propio tiempo, el tratamiento ha de llevarse a cabo en el ámbito empresarial. Quiere ello decir que a los efectos del tratamiento de los datos, la finalidad perseguida por quien trata el dato es la de recabar y mantener información sobre la empresa y no sobre el comerciante que la ha constituido. Así, el tratamiento de los datos del empresario individual, con las limitaciones que se han venido señalando, para mantener una relación comercial con el mismo, podría encontrarse amparado por el artículo 2.3 del Reglamento, en conexión con las normas de la Ley Orgánica 15/1999 que se han venido indicando. Sin embargo, no podrá considerarse amparado por el precepto, y en consecuencia excluido de la aplicación de la Ley Orgánica 15/1999, el tratamiento de los datos del comerciante llevado a cabo no con la finalidad de mantener una relación empresarial con el establecimiento u organización que el mismo hubiera creado, sino para conocer la información del propio sujeto organizado en forma de empresa, siendo el destinatario del tratamiento no la empresa sino el propio empresario en tanto, por ejemplo, que consumidor individual. En consecuencia, de lo que ha venido indicándose cabrá extraer dos conclusiones determinantes del alcance de lo dispuesto en el artículo 2.3 del Reglamento: - Cabrá considerar que la legislación de protección de datos no es aplicable en los supuestos en los que los datos del comerciante sometidos a tratamiento hacen referencia únicamente al mismo en su condición de comerciante, industrial o naviero; es decir, a su actividad empresarial. - Al propio tiempo, el uso de los datos deberá quedar limitado a las actividades empresariales; es decir, el sujeto respecto del que pretende llevarse a cabo el tratamiento es la empresa constituida por el comerciante industrial o naviero y no el empresario mismo que la hubiese constituido. Si la utilización de dichos datos se produjera en relación con un ámbito distinto quedaría plenamente sometida a las disposiciones de la Ley Orgánica”.

2.- Personas de contacto: “La Agencia ha venido señalando que en los supuestos en que el tratamiento el dato de la persona de contacto es meramente accidental en relación con la finalidad del tratamiento, referida realmente a las personas jurídicas en las que el sujeto presta sus servicios, no resulta de aplicación lo dispuesto en la Ley Orgánica 15/1999, viniendo el Reglamento a plasmar este principio. No obstante, nuevamente, es necesario que el tratamiento del dato de la persona de contacto sea accesorio en relación con la finalidad perseguida. Ello se materializará mediante el cumplimiento de dos requisitos: El primero, que aparece expresamente recogido en el Reglamento será el de que los datos tratados se limiten efectivamente a los meramente necesarios para identificar al sujeto en la persona jurídica a la que presta sus servicios. Por este motivo, el Reglamento impone que el tratamiento se limite a los datos de nombre y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax profesionales”. De este modo, cualquier tratamiento que contenga datos adicionales a los citados se encontrará plenamente sometido a la Ley Orgánica 15/1999, por exceder de lo meramente imprescindible para identificar al sujeto en cuanto contacto de quien realiza el tratamiento con otra empresa o persona jurídica. Por ello, no se encontrarían excluidos de la Ley los ficheros en los que, por ejemplo, se incluyera el dato del documento nacional de identidad del sujeto, al no ser el mismo necesario para e mantenimiento del contacto empresarial. Igualmente, y por razones obvias, nunca podrá considerarse que se encuentran excluidos de la expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

P á g i n a | 10 Ley Orgánica los ficheros del empresario respecto de su propio personal, en que la finalidad no será el mero contacto, sino el ejercicio de las potestades de organización y dirección que a aquél atribuyen las leyes. El segundo de los límites se encuentra, como en el supuesto contemplado en el artículo 2.3, en la finalidad que justifica el tratamiento. Como se ha venido indicando reiteradamente, la inclusión de los datos de la persona de contacto debe ser meramente accidental o incidental respecto de la verdadera finalidad perseguida por el tratamiento, que ha de residenciarse no en el sujeto, sino en la entidad en la que el mismo desarrolla su actividad o a la que aquél representa en sus relaciones con quienes tratan los datos. De este modo, la finalidad del tratamiento debe perseguir una relación directa entre quienes traten el dato y la entidad y no entre aquéllos y quien ostente una determinada posición en la empresa. De este modo, el uso del dato debería dirigirse a la persona jurídica, siendo el dato del sujeto únicamente el medio para lograr esa finalidad. Así sucedería en caso de que el tratamiento responda a relaciones “business to business”, de modo que las comunicaciones dirigidas a la empresa, simplemente, incorporen el nombre de la persona como medio de representar gráficamente el destinatario de la misma. Por el contrario, sin la relación fuera “business to consumer”, siendo relevante el sujeto cuyo dato ha sido tratado no sólo en cuanto a la posición ocupada sino como destinatario real de la comunicación, el tratamiento se encontraría plenamente sometido a la Ley Orgánica 15/1999, no siendo de aplicación lo dispuesto en el artículo 2.2 del Reglamento”.

Es MUY IMPORTANTE tener en cuenta que, a diferencia del sistema de comunicaciones por vía postal, en cuyo caso hemos visto que existen excepciones a la aplicación de la LOPD, el régimen de regulación de las comunicaciones comerciales por vía electrónica es diferente, (como después se verá al profundizar en las mismos), y una de las principales diferencias es que así como la regulación sobre protección de datos permitiría el envío por correo postal de comunicaciones comerciales a empresarios individuales y a personas de contacto (con los límites indicados), en el caso de la regulación de las comunicaciones comerciales por correo electrónico lo que se prohíbe es el envío en sí mismo (excepto en los casos habilitados en la misma y que se indicarán), con independencia de que las mismas se remitan a una dirección de una persona física concreta o a una dirección genérica (por ejemplo [email protected]).

3.3. SISTEMAS DE REGULACIÓN DE LAS COMUNICACIONES COMERCIALES. 3.3.1. VISIÓN GENERAL PREVIA. A nivel teórico existen dos sistemas de regulación de las comunicaciones comerciales por vía electrónica:





El sistema denominado "opt in" o “Sistema de inclusión”: para el envío de comunicaciones comerciales será necesaria la previa aceptación de los destinatarios. La autorización debe concederse explícitamente y el emisor de la comunicación puede obtenerla por cualquier medio. Desde la primera comunicación se deberá contar con el consentimiento. El sistema "opt out” o “Sistema de exclusión”: en este sistema el destinatario puede rechazar la correspondencia futura pero la primera de las comunicaciones será aceptada. Mientras no se manifieste la oposición al envío de las comunicaciones la situación permanecerá así. En este sistema debe facilitarse un medio sencillo para poder manifestar el rechazo de correspondencia en el futuro. A efectos de quedar excluido ab initio de las listas de destinatarios es posible crear listas de exclusión (llamadas listas Robinson, listas “do-not-e-mail” o simplemente

expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

P á g i n a | 11 listas opt-out) Estas listas deben ser consultadas periódicamente por los remitentes de publicidad a fin de evitar posibles denuncias por parte de los destinatarios1. 3.3.2.- EL SISTEMA ESPAÑOL. INTRODUCCIÓN. El legislador español ha mantenido sistemas diferentes para la regulación de las comunicaciones comerciales, atendiendo a si estas lo han sido de forma offline u online: 3.3.2.1.- COMUNICACIONES COMERCIALES OFF LINE (POR CORREO POSTAL). A estas comunicaciones se les aplica la LOPD y ha sido válido el consentimiento tácito para las mismas (excepto cuando se tratan datos sensibles, en cuyo caso se aplica el régimen reforzado de consentimiento expreso o expreso y escrito, según el caso, vid. art. 7 LOPD), y por tanto el sistema opt out ha sido admitido, si bien el mismo se ha ido endureciendo, como después se verá. 3.3.2.2.- COMUNICACIONES COMERCIALES ON LINE. Debido a los mayores riesgos o facilidades para atentar contra la persona que prestan las nuevas tecnologías, la regulación inicial de la LSSI impuso la exigencia del consentimiento expreso en todo caso para el envío de comunicaciones comerciales por vía electrónica, imponiendo -por tanto- el sistema “opt out”, si bien, y después de la reforma de la LSSI se continuó mantenimiento esta regla general pero se distinguió entre:



Dicha regla general de consentimiento expreso. Añadiendo la excepción de las comunicaciones comerciales por vía electrónica dirigidas a quienes tuviesen “una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente”, en cuyo caso se admite el consentimiento tácito.

4.- DESARROLLO. 4.1.- PRINCIPIOS PUBLICITARIAS.

COMUNES

PARA

LA

REALIZACIÓN

DE

CAMPAÑAS

4.1.1.- El consentimiento del afectado.

1

El artículo 49 del RD 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD reconoce explícitamente la posibilidad de crear ficheros comunes, de carácter general o sectorial en los que sean objeto de tratamiento los datos de carácter personal para evitar el envío de de comunicaciones comerciales a los interesados que manifiesten su negativa u oposición a recibir publicidad.

expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

P á g i n a | 12 El consentimiento otorgado por el afectado es el principio sobre el que gira toda la regulación en materia de protección de datos. Es decir, el consentimiento del afectado se exige -como regla general- para cualquier tratamiento de los datos, salvo los supuesto exceptuados legalmente. Sin embargo, hay que tener presente que no cualquier forma de recabar el consentimiento es válida ya que existe otra obligación que actúa de forma paralela: el deber de información. Esto es, cuando se presta el consentimiento, el afectado debe haber sido informado de todos los extremos enunciados en el artículo 5 de la LOPD. En el ordenamiento jurídico español se admiten las siguientes formas para prestar el consentimiento:





Consentimiento tácito: El consentimiento tácito no se deriva de actos del interesado sino precisamente de su falta de actuación, de su silencio. Este consentimiento es válido siempre que se disponga de evidencias (pruebas) de su cumplimiento. Consentimiento expreso: El consentimiento expreso, por su parte, “exige que se declare de forma clara e inequívoca por parte del interesado que acepta o consiente el tratamiento de sus datos para los fines de los que se le informa, mediante la expresión de su voluntad, que podrá ser por escrito, verbalmente, mediante comunicación telemática o por cualquier otro medio”. No obstante no se admite la recogida del mismo mediante una casilla que se encuentre ya marcada.

No obstante, no se admite la recogida del mismo mediante una casilla que se encuentre ya marcada. Por tanto: El consentimiento tácito captado directamente del interesado puede ser válido para la realización de actos de publicidad (siempre que se articule bien el proceso para recabarlo), y desde luego, el consentimiento expreso (siempre que no se realice mediante una casilla premarcada). Ello sin perjuicio -como después se dirá- de que puedan existir otras formas de dirigirse a los destinatarios de las campañas de publicidad utilizando otras fuentes: bien fuentes accesibles al público, bien bases de datos que provengan de terceros, siempre que se respeten las obligaciones que después indicaremos.

4.1.2.- El deber de información. Su regulación se encuentra en el ya citado artículo 5 de la LOPD, pero no es la única referencia a este deber. A lo largo del articulado del RDLOPD también se establecen obligaciones que refuerzan el derecho de los afectados a ser informados antes de prestar el consentimiento para tratar sus datos personales. Así, en relación con el marco objeto del presente protocolo, encontramos el artículo 45.2 RDLOPD2, que exige informar en cada comunicación de que los 2

Artículo 45.2: Cuando los datos procedan de fuentes accesible al público y se destinen a la actividad de publicidad o prospección comercial, deberá informarse al interesado en cada comunicación que se le dirija del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asiste, con indicación de ante quién podrán ejercitarse. A tal efecto, el interesado deberá ser informado de que sus datos han sido obtenidos de fuentes accesibles al público y de la identidad de la que hubieran sido obtenidos.

expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

P á g i n a | 13 datos han sido obtenidos de fuentes de acceso público y de la entidad de la que han sido obtenidos. Independientemente de que el consentimiento esté exceptuado o no, en todo caso hay que cumplir con el DEBER DE INFORMACIÓN, informando a los interesados del contenido del artículo 5 de la LOPD, ofreciendo en todo caso al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones que se remitan. Así pues, en los casos en los que las comunicaciones se remitan por correo electrónico deberá incluirse necesariamente una dirección de email donde en su caso pudieran remitirse las solicitudes de derechos de oposición.

4.1.3.- La utilización de las cookies o chivatos Las modificaciones de la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), de la LSSI se encuentran recogidas en el artículo 4 del Real Decreto-ley 13/2012., el aspecto más relevante de dichas modificaciones, tal y como destaca su Exposición de Motivos, es la reforma del artículo 22.2 en relación con el empleo de archivos o programas informáticos que almacenan y permiten el acceso a información en el equipo de usuario -como es el caso de las cookies o chivatos-, de gran importancia práctica para facilitar la navegación y la prestación eficiente de ciertos servicios en la Red, al tiempo que constituyen un instrumento básico del éxito de la llamada publicidad “comportamental” y plantean especiales riesgos en relación con el tratamiento de información personal sobre los usuarios de Internet De acuerdo con la modificación del artículo 5.3 Directiva 2002/58/CE llevada a cabo por la Directiva 2009/136/CE, aspecto esencial de la reforma es dejar claro la necesidad de consentimiento de los destinatarios con respecto al uso de tales dispositivos. En concreto, el texto previsto del nuevo párrafo primero del artículo 22.2 LSSI establece: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento

y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”. Esta obligación de haber obtenido el consentimiento previo del destinatario va más allá de la obligación actualmente existente según la redacción vigente del artículo 22.2 LSSI (sin perjuicio de la exigencia ya de interpretación conforme con el Derecho de la UE incluida la Directiva 2009/136/CE y de que el GTPD había sostenido ya que el art- 5.3 debía interpretarse en el sentido de que imponía la necesidad de consentimiento informado). En todo caso, el texto hasta ahora vigente del artículo 22.2 LSSI exige únicamente haber informado a los destinatarios de manera clara y completa sobre su utilización y finalidad, así como ofrecerles la posibilidad de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito, por lo que la nueva redacción resulta sin duda clarificadora con respecto a la necesidad de consentimiento previo. Ahora bien, cabe destacar que tras la reforma del artículo 22 se mantiene la excepción prevista con respecto al “almacenamiento o acceso de índole técnica al solo fin de efectuar la expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

P á g i n a | 14 transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”, para lo que no se requiere consentimiento previo, lo que resulta de gran trascendencia habida cuenta del frecuente empleo de estos dispositivos en relación con ciertos servicios. Como novedad frente al contenido previo de la norma, el nuevo texto del artículo 22.2 LSSI proporciona elementos adicionales con respecto a los medios para obtener el consentimiento. En concreto, al igual que hacía el proyecto de Ley de mayo de 2011, en el texto del artículo 22.2 LSSI introducido por el Real Decreto-ley se ha optado por incluir ciertas aclaraciones sobre el modo de prestación del consentimiento que figuran en el Preámbulo de la Directiva 2009/136/CE, en cuyo considerando 66 cabe encontrar la referencia incluida ahora en el párrafo segundo del artículo 22.2 LSSI del proyecto en el sentido de que “Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.” El nuevo texto del artículo 22.2 LSSI no incorpora, sin embargo, la referencia a la importancia y el potencial de la autorregulación en este ámbito contenida en el proyecto de Ley de mayo de 2011, que incluía un conjunto de afirmaciones al respecto con escaso valor normativo.

En consecuencia para la correcta utilización de las cookies tal como establece la Ley se requiere la necesidad de recabar consentimiento expreso previamente para utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios. Para ello se han propuesto soluciones prácticas como las siguientes: 1. OPCIÓN 1: Se recomienda utilizar un Pop up o similar en el que se exponga todo lo relativo a las cookies y que el usuario tenga que aceptarlo. De esta forma, con la que recabaremos el consentimiento expreso del cliente, se obtiene la mayor seguridad jurídica. 2. OPCIÓN 2: En caso que el cliente no quiera implementar un Pop up o similar, entonces se podría incluir en la home de la página web de forma visible un botón que se denomine "Rechazar cookies". Dentro del mismo se informará de todo lo relativo a cookies exigido por la normativa y se dará la posibilidad de rechazarlas. 3. NOTA: En todo caso posteriormente habría que realizar un acta notarial que de fe de su procedimiento y contenido para poderlo acreditar ante terceros en caso de conflicto.

4.2. EXAMEN DE LOS DISTINTOS MEDIOS DE COMUNICACIÓN. 4.2.1.- COMUNICACIONES COMERCIALES POR VÍA ELECTRÓNICA. En este apartado englobamos las telecomunicaciones realizadas por medio electrónicos en los términos definidos por la Ley General de Telecomunicaciones: “Toda transmisión, emisión o recepción de signos, señales, escritos, imágenes, sonidos o informaciones de cualquier naturaleza expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

P á g i n a | 15 por hilo, radioelectricidad, electromagnéticos”.

medios

ópticos

u

otros

sistemas

Es importante tener en cuenta que en el caso de las comunicaciones comerciales no se protege al interesado (que tiene que ser necesariamente una persona física) sino que se protege al abonado o usuario del servicio, que puede ser una persona jurídica o una dirección genérica. Por tanto, aunque la comunicación comercial por vía electrónica no vaya destinada a una persona física, serán de aplicación las obligaciones a las que ahora nos referimos. Puesto que se trata de envíos de comunicaciones comerciales, deberemos atender a lo dispuesto en el Título III de la LSSI-CE dedicado a las comunicaciones comerciales por vía electrónica. Del mencionado Título se derivan las siguientes obligaciones:






La persona física o jurídica en nombre de la que se realicen las comunicaciones comerciales deberá ser claramente identificable en cada comunicación, quedando prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación. Cuando las comunicaciones comerciales se realicen por correo electrónico u otro medio equivalente deberán incluir al comienzo del mensaje la palabra “publicidad” o la abreviatura “publi”3. Queda prohibido el envío de comunicaciones en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en el Título III de la LSSI-CE.

Además, deberá tenerse en cuenta las previsiones establecidas por el artículo 21 de la LSSI conforme a la redacción dada por la Ley 32/2003 general de telecomunicaciones, que establece:









Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija. Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Conviene recordar también la obligación de establecer un medio sencillo y gratuito para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición. Por tanto: no se pueden realizar comunicaciones comerciales por vía electrónica (vayan o no destinadas a personas físicas); es decir, aunque sean a direcciones de email no personales: si no se dispone del consentimiento expreso o bien el email se ha captado en el marco de la relación 3

Artículo 20 de la Ley 34/2002, de 11 de julio, de servicios de la Sociedad de la Información y Comercio Electrónico modificada por la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información. expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

P á g i n a | 16 contractual previa, se empleen para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente, y se respeten el resto de formalidades exigidas por el artículo 21 de la LSSI.

4.2.2.- COMUNICACIONES COMERCIALES POR MEDIOS TRADICIONALES. Los medios tradicionales para la realización de campañas publicitarias son muy amplios y variados pero algunos, como el buzoneo, quedan fueran del ámbito de aplicación de la ley ya que no se tratan datos de carácter personal. No obstante, el medio por excelencia en el que si que se tratan datos personales es el envío postal. Salvo que las cartas estén dirigidas, por ejemplo, a la comunidad de vecinos4, o se envíen a la atención de cargos o puestos genéricos (Ejemplo: Gerente, Director Comercial…) sin indicar su nombre o dato personal alguno, será de aplicación la legislación de protección de datos y sus principios y obligaciones. Entre otras obligaciones será necesario que -con carácter previo- se haya recabado el consentimiento y que en cada comunicación se cumpla con el deber de información, especificando cuál es el origen de los datos, quién es el responsable del tratamiento y dónde ejercer los derechos de acceso, rectificación, cancelación y oposición.

5.- PREGUNTAS FRECUENTES. A continuación se intenta dar respuesta a una serie cuestiones prácticas: 5.1.- ¿Qué datos puedo utilizar para realizar una campaña de marketing offline? El artículo 45 del RDLOPD retoma la definición del artículo 3.j de la LOPD5 y añade matizaciones. Los datos objeto de tratamiento deben cumplir con las siguientes exigencias:


Fuente de recogida de los datos o Bien provenir de las fuentes de acceso público a las que se refiere el artículo 3j) de la LOPD y el 7 del RDLOPD6.

4

En este supuesto estaríamos fuera del ámbito de aplicación de la ley ya que no se estarían tratando datos de carácter personal. 5 Artículo 3.j LOPD: Fuentes de acceso público: Aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una prestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de la pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación. 6 Artículo 7 RDLOPD: 1. A efectos del artículo 3.j LOPD, se entenderá que solo tendrán el carácter de fuentes accesibles al público: a) censo promocional, regulado conforme a lo dispuesto en la LOPD. b) las guías de servicios de comunicaciones electrónicas, en los términos previstos por su normativa específica. c) las listas de personas pertenecientes expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

P á g i n a | 17 o




Bien deben haber sido facilitados por los propios interesados u obtenidos con su consentimiento para finalidades determinadas, explícitas y legítimas, siempre y cuando se hayan informado al afectado de los sectores de actividad respecto de los que podrá recibir información o publicidad.

Información a proporcionar: o En todo caso se debe cumplir con el deber de información del artículo 5 de la LOPD facilitando al interesado la información requerida por el citado artículo. o En cada comunicación de publicidad en la que se utilicen fuentes de acceso público deberá informarse al afectado del origen de los datos y de la identidad del responsable del fichero así como de los derechos que le asisten, con indicación de donde ejercitarlos.

5.2.- ¿Qué datos puedo utilizar para realizar una campaña de marketing Online?


Fuente de recogida de datos. Sólo se podrán utilizar datos (emails): o Bien de interesados que hayan prestado su consentimiento expreso. o Bien de clientes con los que ya se tuviese relación anterior y se hubiesen recabado los datos en el marco de dicha relación; y la publicidad se refiera a idénticos o similares productos o servicios.




Información a facilitar o Hacer referencia a que se trata de publicidad en el encabezado del email. o Facilitar un medio sencillo y gratuito para darse de baja. o Facilitar información acerca de la identidad del remitente por cuenta de quien se efectúa la comunicación.

5.3.- ¿Puedo contratar en un tercero la realización de mi campaña de marketing? Existen empresas especializadas en la realización de campañas de marketing que, desde el punto de vista de la LOPD, pueden ser considerados encargados de tratamiento, responsables del tratamiento o corresponsables del tratamiento. También es habitual la compra de bases de datos para la realización con los propios medios de campañas de publicidad o marketing.

a grupos profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo. La dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de Colegios profesionales, podrán indicarse como datos de pertenencia al grupo los del número de colegiado, fecha de incorporación, y situación de ejercicio profesional. d) los diarios y boletines oficiales. e) los medios de comunicación social. 2. en todo caso, para que los supuestos enumerados en el apartado anterior puedan ser considerados fuentes accesibles al público, será preciso que su consulta pueda ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

P á g i n a | 18 Ha de prestarse especial atención en estos supuestos dado que si se adquiere una base de datos, dicha base de datos debe tratarse de datos respecto de los que se ha obtenido correctamente el consentimiento de los interesados para su posterior cesión; o bien, tratase de datos obtenidos de fuentes accesibles al público. Para la realización de campañas publicitarias entre los clientes de una determinada entidad será preciso que el tratamiento se ampare en alguno de los supuestos del artículo 6 de la LOPD7. La entidad que contrate la realización de la campaña será considerada responsable del tratamiento cuando fije los parámetros identificativos de los destinatarios. Cuando los parámetros sean fijados por la o las entidades contratadas serán éstas las responsables del tratamiento. De igual modo, cuando en la determinación de los parámetros intervengan ambas entidades, serán ambas responsables del tratamiento. De todo lo anterior, se desprende la existencia de tres escenarios posibles:





Una entidad decide llevar a cabo una campaña de publicidad mediante la contratación de una empresa. Para la ejecución de la campaña, la entidad aporta a la empresa contratada los datos personales de sus propios clientes así como los procedimientos que debe seguir8. Una entidad decide llevar a cabo una campaña de publicidad con el objetivo de ampliar su cartera de clientes. Su target está claramente identificado pero desconoce qué datos personales puede utilizar y cuáles son los procedimientos para la realización de la misma. Aquí, la empresa de marketing deberá aportar una base de datos que se segmentará para adecuarse al target del contratante. Además, esta última deberá aportar los procedimientos de trabajo a los que se ceñirá para la consecución del servicio contratado9.

7

El artículo 6 de la LOPD regula el consentimiento del afectado en los siguientes términos: 1. el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. 2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa, y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6 de la presente ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. 3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos. 4. en los casos que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que la Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos del afectado. 8 Con esta modalidad la empresa dedicada al marketing tan solo debe limitarse a utilizar los datos aportados por la empresa cliente y seguir los procedimientos establecidos. En este supuesto el riesgo de la empresa de marketing es que la empresa contratante no haya recabado el consentimiento de los afectados o los haya recabado por medios fraudulentos. Para dirimir los riesgos se propone la cláusula del Anexo I. 9 A efectos de la LOPD, la empresa de marketing es la responsable del tratamiento. Por otra parte, la empresa de marketing se verá obligada a utilizar datos de carácter personal obtenidos de fuentes de acceso público. Para minimizar los riesgos se propone un cuestionario para los supuestos en que la campaña pretenda dirigirse por medios electrónicos (email, faxing, etc.) y tradicionales así como una cláusula a incorporar en cualquiera de estos envíos. Se relacionan en los Anexos II y III respectivamente. expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

P á g i n a | 19


El último de los escenarios se da cuando ambas entidades, empresa de marketing y entidad contratante de la campaña de publicidad trabajan conjuntamente para la confección de los protocolos de trabajo que deberán seguirse y la elección de las fuentes de origen de los datos, ya sea la propia base de dado de la entidad contratante, ya sea la utilización de fuentes de acceso público10.

6.- RÉGIMEN SANCIONADOR. El régimen sancionador de la LOPD aplicable a las comunicaciones comerciales offline no es el mismo que el aplicable a las comunicaciones comerciales por vía electrónica. El primero se regula en la LOPD y el segundo en la LSSI. El importe de las sanciones del primero son mucho más elevadas. 6.1.- INFRACCIONES. 6.1.1.- INFRACCIONES LEVES.





No solicitar la inscripción del fichero en la AEPD. Transmitir información a un encargado de tratamiento sin cumplir con lo dispuesto en el artículo 12 LOPD. Proceder a recoger datos personales sin mediar el deber de información. No proporcionar la información que solicite la AEPD en el ejercicio de las competencias legítimas que tiene atribuidas.

6.1.2.- INFRACCIONES GRAVES:














Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el “Boletín Oficial del Estado” o diario oficial correspondiente. Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible. Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4. La vulneración del deber de guardar secreto El impedimento o la obstaculización del ejercicio de los derechos acceso, rectificación, cancelación y oposición. El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado. El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por esta Ley y sus disposiciones de desarrollo.

10

El riesgo en esta modalidad radica en la elección del origen de los datos de carácter personal (fuentes accesibles al público o base de datos del cliente). Dependiendo de la opción elegida deberá utilizarse la cláusula del Anexo I, la cláusula del Anexo IV y los cuestionarios o todo.

expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

P á g i n a | 20









Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen. No atender los requerimientos o apercibimientos de la Agencia Española de Protección de Datos o no proporcionar a aquélla cuantos documentos e informaciones sean solicitados por la misma. La obstrucción al ejercicio de la función inspectora. La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave.

6.1.3.- INFRACCIONES MUY GRAVES.









La recogida de datos en forma engañosa y fraudulenta. Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del artículo 7 de la Ley salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7. No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia Española de Protección de Datos para ello. La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que no resultara necesaria.

6.1.4.- SANCIONES (ART. 45 LOPD).




LAS LEVES CON MULTA DE 900 a 40.000 €. LAS GRAVES CON MULTA DE 40.001 a 300.000 €. LAS MUY GRAVES CON MULTA DE 300.001 a 600.000 €.

6.2- RÉGIMEN SANCIONADOR DE LA LSSI. 6.2.1.- INFRACCIONES. El envío de comunicaciones comerciales no solicitadas, en los términos indicados por el artículo 38.4.d) de la LSSI se califica como infracción leve, con el agravante de que si se produce un envío masivo de comunicaciones comerciales no solicitadas a diferentes destinatarios o más de tres a un mismo destinatario, en los términos que se indican el también citado artículo 38.3.b), se producirá una infracción grave a los efectos de la LSSI. El texto concreto de estas disposiciones es el siguiente: “3. Son infracciones graves:

expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

P á g i n a | 21 c. El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21. “4. Son infracciones leves: b. El incumplimiento de lo previsto en el artículo 20 para las comunicaciones comerciales, ofertas promocionales y concursos. c. El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21 y no constituya infracción grave. h. El incumplimiento de la obligación del prestador de servicios establecida en el apartado 1 del artículo 22, en relación con los procedimientos para revocar el consentimiento prestado por los destinatarios cuando no constituya infracción grave. i. El incumplimiento de lo establecido en el apartado 3 del artículo 10, cuando no constituya infracción grave.

6.2.2.- SANCIONES. A tenor de lo establecido en el punto 1 del artículo 39 de la LSSI, el importe de las sanciones es el siguiente:



Por la comisión de infracciones graves, multa de 30.001 hasta 150.000 euros. Por la comisión de infracciones leves, multa de hasta 30.000 euros.

7.- RESOLUCIONES SANCIONADORAS. A continuación se aporta un resumen de Procedimientos Sancionadores (PS) y Resoluciones (R) recientes relacionadas con el envío de publicidad: - PS/00272/2007: Se sanciona a una academia que envió información sobre cursos para preparar oposiciones a 2500 profesores interinos. La academia alegó que los datos eran públicos porque se habían obtenido de un tablón de anuncios de la Consejería de Educación y Cultura. La alegación fue desestimada y se impuso una sanción de 6000€. - PS/00147/2008: Se sanciona a una organización política con una multa de 1.500 euros por haber incurrido en una infracción leve del artículo 21 de la LSSI como consecuencia del envío de comunicaciones comerciales no solicitadas por el interesado en el que se promocionaba un sistema de hipotecas especialmente diseñadas para ayudar a familias que tuvieran problemas en el pago de las mismas. - PS/00386/2007: Un cliente de Santander Consumer, e.f.c., S.A. ejercita el derecho de cancelación, y su deseo de no recibir más publicidad respecto de esta entidad, y a pesar de haber recibido la correspondiente respuesta, en la que se ponía de manifiesto que accedían a su solicitud, posteriormente recibe una comunicación comercial no deseada. Como consecuencia de ello, decide ejercer su derecho de cancelación por segunda vez, y habiendo expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

P á g i n a | 22 accedido dicha entidad a su solicitud, recibe de nuevo una comunicación comercial. Finalmente se sanciona a Santander Consumer, e.f.c., S.A. con una multa de 6.000 euros por infringir el artículo 16 de la LOPD (derecho de rectificación y cancelación). - PS/0068/2008: Se sanciona al Instituto Valenciano para la formación empresarial (IVAFE) con una multa de 600 euros por infracción del artículo 38.3.h de la LGT como consecuencia del envío de mensajes de fax relativos a cursos formativos organizados por ellos sin el consentimiento previo del destinatario. - PS/00126/2006: En este procedimiento se sanciona con 3.000 euros a un particular que remitió tres correos electrónicos, sin el consentimiento previo del destinatario, relativo a la venta de bases de datos, infringiendo el artículo 21 de la LSSI. - PS/0036/2006: En este procedimiento se sanciona a una empresa (EUROWIN) por haber remitido un correo comercial sin el consentimiento previo e informado del destinatario como consecuencia de una campaña promocional de traspaso de una empresa (EUROWIN) a otra (GRUPO SP). La empresa sancionada, EUROWIN, alega que la dirección de correo electrónico a la que se envió la publicidad, se obtuvo voluntariamente del denunciante, puesto que el remitente del correo había trabajado en la empresa GRUPO SP para la cual, el denunciante presta servicios de asesoramiento. Sin embargo, eso no acredita que éste prestara su consentimiento para que le fueran enviadas a su correo electrónico, comunicaciones comerciales desde EUROWIN, empresa con la que no tiene ninguna relación comercial, y para lo cual, manifiesta expresamente no haber dado en ningún momento su consentimiento, por lo que finalmente, la alegación es desestimada y se impone una multa de 1.000 euros al haber infringido el artículo 21 de la LSSI. - PS/00021/2006: En este procedimiento se sanciona a un restaurante por haber enviado tres mensajes de fax, informando con el menú diario con una multa de 3.000 euros, por infracción del artículo 38.3.h. de la LGT, pues aunque se intentó alegar que los números de fax destinatarios de los mensajes de contenido comercial hubieran sido obtenidos de la Cámara Oficial de Comercio, este hecho no exime de la obligación de obtener el consentimiento de los destinatarios de aquéllos para la remisión de envíos publicitarios vía fax. - PS/00100/2007: En este procedimiento un particular recibe un envío publicitario de COFIDIS HISPANIA E.F.C, en el que se informaba que los datos utilizados para esta campaña habían sido facilitados por la empresa ARVATO SERVICES IBERIA, S.A.U., ante quien el interesado finalmente decide ejercitar su derecho de acceso, conociendo que sus datos provenían de HACHETTE LIVRE ESPAÑA, S.A.U. Finalmente se impone a COFIDIS HISPANIA EFC, S.A. y a ARVATO SERVICES IBERIA, S.A.U., una multa de 6.000€ por una infracción del artículo 6 de la LOPD, expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

P á g i n a | 23 tipificada como grave, y a la entidad HACHETTE LIVRE ESPAÑA, S.A.U., una multa de 60.101,21€ de conformidad con el artículo 11 de la LOPD tipificada como grave en el artículo 44.4.b. - PS(00155/2004: Se impone una sanción de 60.101, 21 € a la entidad Guía Telefax Anuario Profesional, S.L. por infracción del artículo 6 de la LOPD tras el envío de una comunicación publicitaria dirigida al antiguo domicilio del denunciante en el que éste tenía anteriormente su despacho profesional, sin que en ningún momento hubiera prestado su consentimiento. Guía Telefax Anuario Profesional S.L. alegó en su defensa que los datos del denunciante se recabaron de las guías telefónicas del año 2000 y que cuando se recabaron los datos, éstos eran de acceso público. Sin embargo, de acuerdo con el artículo 28.3 de la LOPD “las fuentes de acceso público que se editen en forma de libro o algún otro soporte físico, perderán el carácter de fuente accesible con la nueva edición que se publique”, hecho que no se tuvo en cuenta a la hora de realizar este envío por parte de Guía Telefax Anuario Profesional, S.L. 8.- PROTOCOLO. Para que previamente a la realización de la acción de marketing se valide si es posible o no realizarla le recomendamos que siga el siguiente protocolo: CUESTIÓN PREVIA: ¿El envío se va a realizar mediante correo postal o email? NOTA:



Si la respuesta es mediante correo postal se seguirá el itinerario que se indica con la letra A. Si la respuesta es mediante email se seguirá el itinerario que se indica con la letra B.

8.1.- VERIFICACIÓN EN EL CASO DE PUBLICIDAD POR CORREO POSTAL Ahora deberá elegir una opción según los destinatarios: Opción A: Los destinatarios son Clientes o dispone de su consentimiento. ¿Dispone del consentimiento de los clientes para remitirles publicidad o se trata de personas que sin ser clientes han autorizado recibir publicidad?





Si contesta que SI será porque ha utilizado algún procedimiento para recabar el consentimiento. Un ejemplo de cláusula es la que se adjunta en el ANEXO como modelo 1 aunque otras pueden ser útiles si siguen dicho patrón. Si contesta que NO, no podrá remitirles publicidad aunque podrá articular el consentimiento para remitirles publicidad en el futuro. Un ejemplo de circular para recabar el consentimiento en el futuro puede ser la que se adjunta como ANEXO como modelo 2.

expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

P á g i n a | 24 Opción B: Los destinatarios no son clientes o no se dispone de su consentimiento. ¿Ha recabado los datos de una fuente accesible al público? En caso afirmativo indique cual:





Repertorios telefónicos. Guías de colegios profesionales. Diarios o boletines Oficiales. Medios de comunicación.

NOTA: Internet como tal no se considera una fuente de acceso público, sí lo constituyen las fuentes que se han indicado en su versión o edición on line. En el caso de que en el envío inicial no se traten datos personales pero posteriormente sí, puede utilizar un modelo de cláusula como la que se adjunta en el ANEXO como modelo 3. 8.2.- VERIFICACIÓN EN EL CASO DE PUBLICIDAD POR CORREO ELECTRÓNICO. ¿Ha recabado el email del cliente en el marco de la relación o dispone de su consentimiento expreso aunque no sea cliente? - Si contesta SI, podrá remitirles publicidad por email pero deberá cumplir con los siguientes requisitos que se le plantean en forma de pregunta: ¿Ha indicado en el encabezado del email la palabra PUBLICIDAD o PUBLI? ¿Ha indicado en el email la posibilidad al destinatario de darse de baja de forma fácil y gratuita? ¿Se ha incluido una dirección de correo electrónica válida al efecto? ¿Se ha identificado el remitente del envío? Si contesta NO, no podrá remitirles publicidad salvo que articule el consentimiento para remitirles publicidad que, a diferencia de la publicidad por correo postal, deberá ser expreso y no podrá consistir en consentimiento tácito. NOTA IMPORTANTE: Tenga en cuenta que el consentimiento prestado para recibir publicidad puede ser revocado por lo que si en cualquier momento un destinatario manifiesta que no quiere volver a recibir publicidad deberá tenerse en cuenta su voluntad y no remitirle publicidad.

expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

P á g i n a | 25

ANEXOS. Modelo 1: Cláusula TIPO en la que se recaba el consentimiento para realizar publicidad. Opción A: Si la única finalidad es la realización de publicidad se puede utilizar el siguiente modelo. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL: Se le informa que sus datos personales se incorporarán a un fichero titularidad de [INDICAR NOMBRE DE LA SOCIEDAD QUE REALIZA LA CAMPAÑA] cuya finalidad es [DETALLAR LA FINALIDAD por ej: remitir publicidad, información sobre servicios, etc...]. Asimismo, conforme a lo dispuesto en la LOPD, le recordamos que en cualquier momento puede ejercer los derechos de acceso, rectificación, cancelación y oposición enviando una solicitud por escrito acompañada de una fotocopia de su DNI dirigida a: [INDICAR NOMBRE Y DIRECCIÓN DE LA EMPRESA]. Opción B: Si las finalidades son varias, la realización de publicidad además de otras básicas se puede utilizar el siguiente modelo. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL: Se le informa que sus datos personales se incorporarán a un fichero titularidad de [INDICAR NOMBRE DE LA SOCIEDAD QUE REALIZA LA CAMPAÑA] cuya finalidad es [DETALLAR LA FINALIDAD BÁSICA por ej: mantener la relación comercial]. Se le informa asimismo que sus datos personales podrán ser utilizados para remitirle información de productos y servicios de interés de nuestra empresa si usted lo autoriza: Deseo recibir publicidad Asimismo, conforme a lo dispuesto en la LOPD, le recordamos que en cualquier momento puede ejercer los derechos de acceso, rectificación, cancelación y oposición enviando una solicitud por escrito acompañada de una fotocopia de su DNI dirigida a: [INDICAR NOMBRE Y DIRECCIÓN DE LA EMPRESA]. Modelo 2: Modelo de circular para recabar el consentimiento para futuros envíos. NOTA: Téngase en cuenta que el procedimiento a seguir deberá respetar lo dispuesto en el artículo 14 del RD 1720/2007: Artículo 14. Forma de recabar el consentimiento.

expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

P á g i n a | 26 1. El responsable del tratamiento podrá solicitar el consentimiento del interesado a través del procedimiento establecido en este artículo, salvo cuando la Ley exija al mismo la obtención del consentimiento expreso para el tratamiento de los datos.

NOTA: Los datos que requieren el consentimiento expreso son los que indica el artículo 7 de la LOPD: Los datos que hagan referencia al origen racial, a la salud, vida sexual, ideología, afiliación sindical, religión, creencias. 2. El responsable podrá dirigirse al afectado, informándole en los términos previstos en los artículos 5 de la Ley Orgánica 15/1999, de 13 de diciembre y 12.2 de este Reglamento y deberá concederle un plazo de treinta días para manifestar su negativa al tratamiento, advirtiéndole de que en caso de no pronunciarse a tal efecto se entenderá que consiente el tratamiento de sus datos de carácter personal.

NOTA: La circular debe contemplar ese plazo de 30 días, pero adicionalmente debería esperarse un plazo razonable de unos días más por si alguien remite la comunicación al final del plazo. En particular, cuando se trate de responsables que presten al afectado un servicio que genere información periódica o reiterada, o facturación periódica, la comunicación podrá llevarse a cabo de forma conjunta a esta información o a la facturación del servicio prestado, siempre que se realice de forma claramente visible. 3. En todo caso, será necesario que el responsable del tratamiento pueda conocer si la comunicación ha sido objeto de devolución por cualquier causa, en cuyo caso no podrá proceder al tratamiento de los datos referidos a ese interesado.

Es decir, debe contemplarse con la empresa que realice el envío (con la que tiene que existir un contrato de acceso a datos por terceros suscrito) una cláusula indicándoles la obligación de comunicar las devoluciones y no recepciones. Dichos interesados y también, muy importante, los que en algún momento se haya opuesto a recibir publicidad deberán eliminarse de la cesión que se realizase. Si se hace por medios propios también han de controlarse las devoluciones. 4. Deberá facilitarse al interesado un medio sencillo y gratuito para manifestar su negativa al tratamiento de los datos. En particular, se considerará ajustado al presente Reglamento los procedimientos en el que tal negativa pueda efectuarse, entre otros, mediante un envío prefranqueado al responsable del tratamiento, la llamada a un número telefónico gratuito o a los servicios de atención al público que el mismo hubiera establecido. 5. Cuando se solicite el consentimiento del interesado a través del procedimiento establecido en este artículo, no será posible solicitarlo nuevamente respecto de los mismos tratamientos y para las mismas finalidades en el plazo de un año a contar de la fecha de la anterior solicitud.

MODELO DE CIRCULAR: “Estimado/a Cliente/a: En [NOMBRE DE LA EMPRESA] estamos constantemente mejorando y queremos mantener informados a nuestros clientes de nuestros nuevos productos y servicios. También estamos sensibilizados en el cumplimiento de la legislación vigente, y en particular la que afecta a la protección de datos de carácter personal, por lo que de acuerdo con lo dispuesto en el artículo 14 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, solicitamos tu consentimiento para poder remitirte información comercial sobre productos o servicios de nuestra empresa que expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono:

P á g i n a | 27 consideremos de tu interés, lo que haremos salvo que en el plazo de 30 días desde la recepción de esta comunicación manifestes tu negativas. Si no deseas darnos tu consentimiento, te ruego nos lo indiques bien por escrito; bien mediante un correo electrónico a xxxx@xxxxx indicando o mediante FAX al xxxxx indicando tus datos y en el que conste claramente la referencia NO PUBLICIDAD, todo ello en el plazo arriba indicado.” Modelo 3: Modelo de cláusula para envíos de publicidad utilizando datos recabados de fuentes accesibles al público. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL: Se le informa que sus datos personales han sido recabado de una fuente de acceso público, en concreto [CONCRETAR CUAL ES LA FUENTE DE ORIGEN DE LOS DATOS por ejemplo: de repertorios telefónicos, etc.], e incluidos en un fichero titularidad de [INDICAR NOMBRE DE LA SOCIEDAD QUE REALIZA LA CAMPAÑA] cuya finalidad es [DETALLAR LA FINALIDAD, por ejemplo remitir publicidad, información sobre servicios, etc.] Asimismo, conforme a lo dispuesto en la LOPD, le recordamos que en cualquier momento puede ejercer los derechos de acceso, rectificación, cancelación y oposición enviando una solicitud por escrito acompañada de una fotocopia de su DNI dirigida a: [INDICAR NOMBRE Y DIRECCIÓN DE LA EMPRESA], o bien a la siguiente dirección de correo electrónico: info@***.com

Modelo 4: Modelo de cláusula para envíos de publicidad sin utilizar datos personales pero en los que se prevea tratarlos posteriormente. PROTECCIÓN DE DATOS: Para la realización de este envío no se han utilizado datos personales, pues se ha remitido a cargos genéricos. No obstante, le informamos que los datos personales que nos pueda facilitar si contacta con nosotros con ocasión de esta promoción, serán incorporados a un fichero del que es responsable [INCLUIR NOMBRE DE LA EMPRESA CONTRATANTE DE LA CAMPAÑA] cuya finalidad es la de remitirle la información comercial solicitada y poder cerrar la relación comercial a la que se refiere. A partir de entonces si quiere ejercer sus derechos de acceso, rectificación, cancelación u oposición podrá hacerlo enviando un escrito al efecto, acompañado de una fotocopia de su DNI a la siguiente dirección: [INDICAR NOMBRE Y DIRECCIÓN DE LA EMPRESA CONTRATANTE DE LA CAMPAÑA] o bien a la siguiente dirección de correo electrónico: info@***.com

expansió[email protected] http://www.gesdatos.com 902.900.231Avenida de las Cortes Valencianas 50. 1º-C. CP 46.015, Valencia. www.gesdatos.com

Delegación Comercial Madrid. Paseo de la Castellana 153, bajo. CP. 28.046, Madrid Teléfono: