Consecuencias del nuevo reglamentoLa información facilita los procesos comerciales; por ello, el Reglamento que desarrolla la Ley Orgánica de Protección de Datos (LOPD) es fundamental para clarificar los distintos ámbitos de actuación empresarial y profesional. Uno de los puntos que aclara es que la ley no afecta a la información comercial obtenida a través de bases de datos públicas.

Gonzalo Muñoz Gutiérrez, Director Servicios Jurídicos Informa D&B, S.A.

AUTOR: MUÑoZ GUtiÉrreZ, Gonzalo

TÍTULO: el valor de la información empresarial

FUENTE: “MK Marketing+Ventas”, Nº 235 Mayo 2008. Pág. 24

DESCRIpTORES: Bases de datosley orgánica de Protección de datosMarketing directoloPd

RESUMEN:encontrar un equilibrio entre la libertad de información y el derecho fundamental a la privacidad de las personas es uno de los desafíos a los que se enfrenta la ley orgánica de Protección de datos (loPd). el artículo se centra en los datos de empre-sas para empresas y hace un repaso a las principales actualizaciones y cómo afectan a la información comercial y de marketing. además, habla de las posibles controversias y establece comparaciones de la legislación entre españa y otros países del entorno.

••••

Ley Orgánica de protección de Datos

24| 2�

Lati

n St

ock

24| 2�

DoSSier >>

24| 2�

DoSSier >>

Revista MK 235.indb 24 29/4/08 17:35:16

www.marketingmk.com

Nadie duda de la importancia de la información como uno de los prin-cipales activos de una empresa, es-pecialmente para realizar cualquier transacción. La normativa en mate-

ria de protección de datos tiene por objeto proteger y establecer una serie de obligaciones para obtener y tratar los que sean de carácter personal.

Desde 1992 en que se promulgó la primera normativa en materia de protección de datos con carácter personal (LORTAD), esta materia ha ido adquiriendo cada vez mayor importancia en el mundo empresarial, pues toda compañía o profe-sional trata en sus respectivos negocios datos de empleados y clientes y, por tanto, se ve obligada a cumplir en mayor o menor media con ella.

A pesar de que el reglamento no ha estado exento de polémica y ya son muchas las asocia-ciones que se han pronunciado negativamente al respecto, éste plasma y clarifica la doctrina que ha venido aplicando la Agencia Española de Protec-ción de Datos (AEPD) en los 10 últimos años.

Uno de los aspectos más importantes que hay que destacar, desde el punto de vista de información comercial y de marketing, es que se clarifica el ámbito de aplicación de la ley, en sus artículos 2.2. y 2.3, que indican claramente que están fuera de él los datos de los empresa-rios individuales y de los representantes de las empresas (administradores y directivos), siempre y cuando se traten dentro del área para la que prestan sus servicios.

Datos de empresas para empresas

El equilibrio entre la libertad de información y el derecho fundamental a la privacidad de las personas se transforma en un gran desafío para el éxito de la ley. Por ello, la Ley Orgánica de Protección de Datos (LOPD) y el nuevo reglamen-to que la desarrolla no puede estar al margen de las empresas, y éstas deben colaborar en su aplicación, entendiendo como ventaja y principio

de calidad la adecuada protección de datos de clientes, proveedores y empleados.

Para el caso de la información es necesario destacar que el principio fundamental por el que se rige la ley es el del consentimiento. Por ello, toda compañía que desee realizar una campaña para ofrecer productos de consumo particular deberá contar con el consentimiento previo de la persona para enviar la información.

La ley establece principios generales que ga-ranticen el uso adecuado de los datos, señalando que los de carácter personal deben adecuarse a la finalidad para la que fueron recabados, ser exac-tos y estar actualizados, no pueden mantenerse indefinidamente sin justificación, y tienen que haber sido recogidos de forma lícita. El incum-plimiento de estas obligaciones puede conside-rarse una infracción grave, con altas sanciones económicas de entre 60.101 y 180.303 euros.

En el caso específico de la información para empresas, una de las principales novedades que afectan a la aplicación de la ley es la clarificación del ámbito de aplicación, presente en el artícu-lo 2.2 del reglamento. Este apartado beneficia, sustancialmente, el uso de los datos de empresa en el campo organizacional. “No será preciso el consentimiento cuando estos datos se refieran a las partes de un contrato o pre-contrato de una relación negocial, laboral o administrati-va y sean necesarios para su mantenimiento o cumplimiento”.

Los datos de las personas que afecten direc-tamente a la empresa, sus directivos o adminis-tradores -nombres, apellidos, cargos, teléfono, email, fax-, están fuera del ámbito de aplicación de la normativa en materia de protección de datos, siempre que se utilicen en beneficio de la empresa a la que representan o para la que prestan sus servicios.

Por ejemplo, si una empresa auditora dirige una carta a un director financiero (cargo, nom-bre y apellidos) para ofrecer sus servicios a la

www.marketingmk.com

Nº 235 • Mayo de 2008 25 | 25 |

Revista MK 235.indb 25 29/4/08 17:35:16

Nº 235 Mayo de 2008| 26

compañía que representa el directivo, no sólo no vulnera el derecho privado en el tratamiento de sus datos, sino que favorece las relaciones entre empresas, pues si esta correspondencia se hubiera dirigido directamente a la empresa, difícilmente habría podido llegar a la persona en la compañía a la que le pudieran interesar los servicios. A la inversa, si al director finan-ciero lo que se le envía es información personal (plan de pensiones personal, tarjeta de crédito, etc.,), se trataría del ámbito de aplicación de la normativa de protección de datos.

Al delimitarse de manera tan explícita el ámbito de aplicación de la norma, queda de manifiesto la intención del legislador de proteger no sólo los datos de las personas sino también los relativos al ámbito empresarial. Medidas que actúan para favorecer el comercio, la publicidad y el intercambio de información, siempre y cuando se actúe en el área de la propia empresa, enten-diendo que el tratamiento de esta información no afecta, en absoluto, a la intimidad personal y familiar de la persona.

En este contexto, las compañías que se de-dican a vender información de empresas para empresas estarían fuera del ámbito de regulación de la ley. En España existen amplias Bases de Datos (BB DD) con casi 5 millones de sociedades y empresarios individuales españoles censados (2,7 millones de ellos con rating), sobre los que se ofrece información comercial, financiera y de marketing.

Al enviar a una compañía información de interés para su negocio no existe vulneración de sus derechos. Por el contrario, se puede hablar de un beneficio amparado en la libertad comercial de las empresas. Muestra de ello son los 15 años de beneficios del negocio de la información de

empresas para empresas, sin reclamaciones al respecto.

La situación económica actual es un claro ejemplo de la creciente necesidad de contar con amplias BBDD que proporcionen información adecuada para la toma de decisiones comerciales. El incremento del uso de BBDD empresariales, en gran medida, se debe a la creación de nuevos productos que otorgan:

La posibilidad de gestionar el riesgo de la cartera de clientes.Cruzar información interna de clientes con amplias BBDD de carácter mundial.Anticipar el comportamiento de pagos y obtener una visión de riesgo adecuada para la cartera.

Personalizar políticas de crédito en función de múltiples variables.Gestionar recursos de manera eficiente y rentable.Detectar pérdidas potenciales.Identificar nuevas oportunidades de negocio.

La información de agentes económicos que se proporciona es obtenida fundamentalmente de fuentes de acceso al público (registros, diarios y boletines oficiales, prensa, etc.,); y es de interés únicamente dentro del ámbito empresarial, es decir, se trata de información de empresas para empresas. Su única finalidad es favorecer el trá-fico mercantil. A través de ella se logra agilizar y dar transparencia a las transacciones económicas de los distintos agentes económicos.

Un aspecto que hay que analizar ahora es cómo evolucionará el reglamento y cómo interpre-tarán las empresas el artículo 2.2. Esta normativa es la que más conflicto puede generar en un futuro de cara a la interposición de denuncias a la AEPD y la posible imposición de sanciones.

Ë

Ë

Ë

Ë

Ë

ËË

Los datos de las personas que afecten directamente a la empresa, sus directivos o administradores están fuera del ámbito de aplicación de la normativa si se utilizan en beneficio de la empresa representada

| 26

DoSSier >>

Revista MK 235.indb 26 29/4/08 17:35:17

www.marketingmk.com

Vigilar la ley, ajustarse a los contratos de trabajo y la utilización no abusiva de los datos impedirá que la información se utilice para fi-nalidades incompatibles con las ya señaladas. Por ello, las empresas deben ser rigurosas y, en el caso de las que se dediquen a la venta de BBDD de empresas, limitar claramente el uso de esta información para sus clientes, es decir, únicamente se podrán facilitar datos de carácter empresarial.

La base de las bases

Los sistemas de obtención de información han cambiado mucho. La posibilidad de disponer de abundantes datos y la conexión cada vez más rápida hacen necesario contar con la calidad, confidencialidad y el adecuado tratamiento de éstos, ya sean públicos o privados.

La venta de bases de datos requiere un gran control. Toda esta información bien utilizada se transforma en una excelente herramienta de trabajo, y cumple con su finalidad: favorecer el

negocio de las empresas. Al mismo tiempo, su uso indebido en las prácticas comerciales representa un riesgo para la privacidad de las personas. Una muestra clara lo constituye el envío de correos electrónicos no deseados.

Por este motivo, todas las empresas que se dedican al suministro de información comercial deben poner especial cuidado en el cumpli-miento riguroso de la legislación vigente y la calidad, precisión y fiabilidad con que se presta el servicio.

puntos de controversia

El nuevo reglamento clarifica bastante la situación actual y dota de una mayor seguridad jurídica, sin embargo, no se ha aprovechado la oportunidad de corregir todos los puntos polémicos.

En este sentido, el reglamento incrementa de forma innecesaria la burocracia en las empresas.Será difícil para ellas cumplir formalmente con

www.marketingmk.com

Toda compañía que quiera realizar una campaña para ofrecer productos de consumo particular

deberá contar con el consentimiento previo de la persona para enviar la información

Revista MK 235.indb 27 29/4/08 17:35:19

| 28

los requisitos que se imponen para la recogida del consentimiento o atender los derechos al establecerse demasiadas excepciones al proce-dimiento general en función del fichero sobre el que se ejerzan los derechos.

Otro punto de conflicto que no ha gustado a las empresas de servicios en general es la sub-contratación en cadena. El reglamento exige a la empresa contratada que identifique claramente a sus proveedores. El responsable de los datos no debe perder el conocimiento y control acerca de los tratamientos realizados en su nombre y su cuenta. Pero quizás valdría con que se lo garantizará contractualmente, no veo necesario tener que identificar a quien se subcontrata el servicio. Esto implica que en muchas ocasiones las empresas de servicios deban poner de manifiesto ante sus clientes su know how, al revelarles la identidad de sus proveedores.

Para las empresas del sector de marketing es posible que dé problemas el artículo 46.2 al regularse de forma muy ambigua la responsa-bilidad en la contratación de un tratamiento de datos para una campaña comercial. Asimismo, es confusa la regulación de las listas Robinson; deben asegurar que cualquier persona sea in-formada de su existencia y, a su vez, que ésta pueda comunicar al responsable de un fichero que no desea recibir publicidad. Estas listas serán de obligada consulta previa por parte de quienes realicen actividades de publicidad o prospección comercial -lo que sin duda dificulta el trabajo de la compañía.

El reglamento ha endurecido de forma drás-tica los requisitos para las entidades que apor-tan información a los denominados ficheros de solvencia patrimonial y crédito, hasta el punto de hacerlos inviables. Llama la atención que justamente ahora que la morosidad se incrementa

y, cuando más consultados serán estos ficheros, se aumenten las exigencias a las entidades que aportan la información. Si un banco no cuenta con información para analizar el riesgo de un crédito, lo más lógico es que incremente los intereses, y todos salgan perjudicados.

España y el mundo

Nuestra normativa en protección de datos no es más estricta que la del resto de los países del entorno, ya que todas tienen su origen en la misma directiva. La diferencia está en que las sanciones económicas por incumplimiento son mucho más altas y que el organismo encargado de velar por el cumplimiento de esta normativa, la Agencia Española de Protección de Datos, tiene más medios y actúa de forma más eficiente que en el resto de países del entorno.

Según el artículo 45 de la LOPD, dependiendo del tipo de sanción, las multas pueden ir desde los 600 a los 600.000 euros. Las infracciones leves oscilan entre los 600 y 60.000 euros; las graves, de los 60.000 a los 300.000; y las muy graves, van de 300.000 y a los 600.000 euros.

España es el país europeo donde sin duda se realiza y tramita un mayor número de denun-cias. El proceso que lleva a una sanción, aunque podría ser de oficio, siempre se ha iniciado con una denuncia del titular de la información.

La eficiente actuación y los distintos medios con que se ha dotado a la AEPD para que cumpla su función, sin lugar a dudas están llevando a las empresas y profesionales a ser muy prudentes en la recogida y tratamiento de los datos. Sin embar-go, adaptarse a la ley supone un claro esfuerzo para las empresas -ya que frena el negocio y se

| 28

Al enviar a una compañía información de interés para su negocio no existe vulneración de sus derechos. Por el contrario, se puede hablar de un beneficio amparado en la libertad comercial de las empresas

Nº 235• Mayo de 2008

DoSSier >>

Revista MK 235.indb 28 29/4/08 17:35:20

www.marketingmk.com

2� |

aumenta la burocracia- y especialmente para las pymes, a las que aún les queda mucho camino por recorrer, principalmente por el desconocimiento de la normativa.

Este desconocimiento se debe, en muchos casos, a que los recursos con que cuentan son muy limitados. Muchas veces, no cuentan con especialistas en materia legal e ingeniería de sistemas que faculten de manera sencilla el cum-plimiento de esta normativa. Es necesario contar con ayuda legal para estudiar la situación de la compañía y ponerla al día en sus obligaciones en este aspecto. No se puede olvidar que, como bien establece un principio básico del Derecho, “el desconocimiento de la ley no exime de su cumplimiento”.

El reglamento ha venido a solucionar, en parte, algunos problemas, como el de las medidas de seguridad al que antiguamente se enfrentaban las pymes.

Así por ejemplo, los ficheros de Recursos Humanos –gestión de nóminas, etc.- que te-nían datos de afiliación sindical o de salud, han pasado de nivel alto de seguridad a baja, siempre y cuando sean utilizados para efec-tos de cálculo de la retención IRPF. Con esta excepción, disminuirán considerablemente los costes en implementación de medidas de seguridad para las pymes, al no tener que adquirir un software que les garantice las medidas de nivel alto ni realizar las audito-rías, planteadas en el anterior Reglamento de Medidas de Seguridad.

Si bien es cierto que aunque las empresas han realizado importantes esfuerzos para cumplir con esta normativa, hacerlo al 100 por cien es prácticamente imposible y, sobre todo, para los sectores donde se trate un importante volumen

de información, como por ejemplo banca, tele-comunicaciones, etc.,

Conclusiones

La entrada en vigor del Reglamento es una buena noticia y puede ser muy positiva para el entorno empresarial y las personas, en términos generales. Ha plasmado la doctrina de la AEPD y dota de una mayor seguridad jurídica.

Especialmente positiva es la aclaración del ámbito de aplicación, en particular, la exclusión de los ficheros de datos de contacto profesionales y los referentes a los empresarios individuales. El artículo 2.2 y 2.3 del citado reglamento reconoce que la normativa sólo se debe aplicar a personas físicas y dentro de su esfera privada, clarifican-do que quedan fuera del ámbito de protección de la LOPD los datos de contacto profesionales y/o representantes de cualquier organización, si se utilizan en el marco de la empresa a la que representan o prestan sus servicios.

Ahora queda ver cómo evoluciona, y conocer cuál es el juicio y análisis de los distintos concep-tos contenidos en el reglamento que realizará la AEPD en materia de interpretación. Especialmente en los puntos de controversia ya señalados.

También hay que esperar para ver cómo se irán adaptando las empresas a la nueva normati-va, considerando que la adecuación a ella consti-tuye un primer paso para la apropiada utilización de la información, desde el punto de vista del libre comercio y el respeto a la intimidad, un derecho fundamental de las personas. •

www.marketingmk.com

2� |

El responsable de los datos no debe perder el conocimiento y control acerca de los tratamientos

realizados en su nombre y cuenta

Nº 235• Mayo de 2008

29

Revista MK 235.indb 29 29/4/08 17:35:20