Las empresas, independientemente de nuestro objeto social, tenemos como primera pretensión trabajar.
Tal obviedad exige, a su vez, la consecución de un primer objetivo, también evidente: conseguir clientes. Para ello, entre otras cuestiones, es fundamental darse a conocer, como entidad, y también informar de los servicios que se ofertan, en tanto que si no nos conocen, difícilmente pueden contratarnos. Sin embargo, las diversas técnicas que se emplean para conseguir lo antes expuesto pueden, en no pocas ocasiones, generarnos algún problema (entiéndase, imposición de sanciones pecuniarias) si se obvia cumplir las exigencias de la normativa vigente en materia de protección de datos de carácter personal.
Un supuesto fallado recientemente por la Sala de lo Contencioso-Administrativo de la Audiencia Nacional,en Sentencia de 10-6-2014, recurso contencioso-administrativo núm. 166/2013, nos recuerda que no hemos de olvidar estas cautelas o requisitos legales. La citada Sentencia confirmala Resolución de la Agencia Española de Protección de Datos de 27-2-2013, que impuso sanción de multa de 2.000 euros a BMW IBÉRICA, SA.
El acto realizado por la mercantil, que fue objeto de sanción, es de práctica muy habitual en el tráfico diario, como a continuación expondré. Por ello, entiendo interesante llamar la atención sobre los efectos que el mismo puede tener si se realiza sin comprobar el cumplimiento de la normativa vigente. En concreto, la infracción sancionada consistió en la remisión de una carta con publicidad a un particular con el que se había mantenido una relación contractual (imagino, adquisición de un vehículo), cuando éste había informado, previamente, a la entidad, vía correo electrónico, de que ejercitaba su derecho de cancelación respecto de los datos suministrados para la formalización del contrato.
Según refiere la Agencia Española de Protección de Datos, ante los múltiples argumentos que utilizó a BMW IBÉRICA,SA, para discutir la sanción impuesta, la empresa ha de ser sancionada porque ha utilizado los datos de un particular sin poder acreditar que disponía del consentimiento de éste para ello. Es decir, que la empresa tiene la carga de la prueba respecto de tal consentimiento, no siendo suficiente para acreditarlo referir la utilización de las denominadas “cláusulas LOPD”, a las que muchas empresas reducen todo su sistema de protección de datos respecto de clientes.
Además, no podemos dejar de destacar que la infracción apreciada por la Agencia Españolade Protección de Datos fue calificada como grave y que, en principio, dichas infracciones son castigadas con sanciones de multa que oscilarán de 40.001 a 300.000 euros. Si bien, en el concreto supuesto, el órgano competente estimó que había de aplicarse las sanciones correspondientes al tipo inferior (infracciones leves), en consideración al artículo 45.5 de la Ley Orgánica 15/1999, de 13 de diciembre. Es decir, que el impacto económico (susto y disgusto) fue bastante inferior a lo que, en principio, procedía.
Considerando lo cotidiano de la actuación realizada por la empresa se compartirá que, cuando menos, es recomendable reflexionar sobre si al desarrollar las técnicas de captación de clientes somos lo suficientemente prudentes en la observancia de la normativa sobre protección de datos.