Recientemente, me ha llegado una consulta en relación a la compraventa de bases de datos. Y es que, es muy común iniciar un proyecto en el que se recogen datos personales de usuarios y clientes, consiguiendo finalmente una gran base de datos y que, posteriormente, se quiera sacar provecho económico de la misma, ya sea adquiriéndola o vendiéndola.
Cuando hablamos de comprar o vender una base de datos, en realidad, de lo que estamos hablando es de ceder o comunicar los datos personales de nuestros clientes o usuarios a terceros y, para poder hacer esto, debemos cumplir una serie de requisitos.
Así, para poder ceder o comunicar a terceros los datos personales de nuestros clientes o usuarios es necesario que:
- Exista consentimiento expreso por parte del titular de los datos.
- Se le indique al titular de los datos con qué finalidad se van a ceder sus datos.
En cualquier caso, este consentimiento será en todo momento revocable por parte del titular de los datos y cualquier cesión que no haya sido bien informada al mismo, resultará nula.
Los requisitos a cumplir en caso de cesión o comunicación de datos a terceros, así como su exclusión, se encuentran recogidos en:
- Artículo 11 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD).
- Artículo 10 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RLOPD).
Por tanto, para poder vender una base de datos a un tercero, es necesario que los titulares de los datos que se encuentran dentro de dicha base de datos, hayan sido debidamente informados de la cesión de sus datos a un tercero y lo hayan consentido expresamente.
No obstante y dicho lo anterior, es práctica habitual para conseguir de forma fácil y ágil poder ceder o comunicar a terceros los datos personales que se recogen, por ejemplo a través de una página web, incluir una cláusula de protección de datos genérica en la política de privacidad de la página web en cuestión o del formulario correspondiente. Así, dicha cláusula nos permite obtener el consentimiento del usuario o cliente a la cesión de sus datos personales. Eso si, la cláusula debe ser aceptada expresamente mediante la aceptación expresa de la política de privacidad o su firma manuscrita en caso de que se trate de un formulario en soporte papel.
La cláusula a la que hago referencia es la siguiente:
El interesado tiene derecho a conocer, rectificar, cancelar u oponerse al tratamiento de la información que le concierne y autoriza a que pase a formar parte del fichero de (indicar responsable y dirección), ante el cual podrá ejercitar sus derechos, y a que sea utilizada para mantener la relación comercial y recibir información y publicidad de nuestra empresa y de otras relacionadas con los sectores de telecomunicaciones, financieros, ocio, formación, gran consumo, automoción, energía, agua y ONGs. Si no desea ser informado de nuestros productos o servicios, o de los de terceros, señale con una X esta casilla (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos).
Dicha cláusula resulta válida a raíz de una consulta que realizó en 2003 la Federación Española de Comercio Electrónico y Marketing Directo (FECEMD) a la Agencia Española de Protección de Datos (AGPD), donde FECEMD instó a la AGPD a que se manifestase sobre la adecuación de la precitada cláusula a la normativa de protección de datos, resolviendo la AGPD que sí, que dicha cláusula cumplía y cumple con todos y cada uno de los requisitos de los artículo 5 y 11 de la LOPD que prevén la forma de recabar el consentimiento y la regulación de la comunicación o cesión de datos personales a terceros.
Esto ha motivado que muchas empresas utilicen en sus políticas de privacidad dicha cláusula ya que, de ese modo, se garantizan poder ceder o comunicar los datos a terceras empresas para, en definitiva, poder vender sus bases de datos a terceros de una forma legal.
No obstante, la inclusión de la cláusula y su aceptación no impide que el titular de los datos pueda revocar su consentimiento en cualquier momento y que deba tenerse en cuenta en la cesión de los datos (en este caso, la compraventa de la base de datos) que debe hacerse, siempre y en todo caso, en los términos en los que se informó al usuario y/o cliente y éste aceptó.
Las consecuencias de ceder datos personales a un tercero sin el consentimiento del titular o sin legitimación para ello está calificado como una infracción grave (muy grave si se trata de datos personales sensibles como, por ejemplo, datos de salud), artículo 44.3 de la LOPD y la sanción económica puede oscilar entre los 40.001 y los 300.000 euros, artículo 45.2 de la LOPD.