La
comunicación que una empresa tiene sus clientes (o potenciales clientes)
es cada vez más directa. Las visitas presenciales o el contacto
telefónico están a la orden del día, lo que ha permitido un intercambio
de información fluida entre las partes. No obstante, estas actividades
han motivado que cada vez sea más importante la gestión de los datos que
manejamos, pues este tipo de prácticas comprometen, en muchas
ocasiones, la intimidad de las personas.
Resulta muy común el abuso de llamadas telefónicas por parte de determinadas empresas de servicios. Unas conductas que terminan generando rechazo en el consumidor, hasta tal punto que determinadas marcas han visto dañada de forma importante su reputación. Es más, el número de denuncias se ha incrementado en los últimos años como consecuencia del incumplimiento, por parte de determinados operadores, del derecho de oposición del usuario.
HECHOS
Los hechos aquí descritos tienen su origen en Grecia, en donde la Autoridad de Protección de Datos recibió varias quejas de suscriptores de un servicio de telefonía. Al parecer, estos se habían inscrito en un registro de exclusión de llamadas telefónicas, pero habían seguido recibiendo promociones de productos y servicios de terceros.
Lo que había sucedido es que, cuando los usuarios solicitaron su portabilidad a otro proveedor, se eliminaron sus datos del registro. De este modo, cuando estos usuarios no decidieron ejercer, finalmente, su derecho a la portabilidad, sus números de teléfono no se incluyeron en el listado de exclusión que el proveedor envió a sus anunciantes. Así, estos suscriptores (técnicamente excluidos de posibles llamadas comerciales), siguieron recibiendo anuncios y propuestas vía telefónica.
INFRACCIÓN
Además de la vulneración de la normativa interna (artículo
11 de la Ley griega Nº3471/2006 de Protección de los datos personales y
la intimidad en el sector de las telecomunicaciones electrónicas), la Autoridad de Protección de Datos helena examinó el caso, y constató la infracción del artículo 5.1 letra c) (principio de precisión), y del artículo 25 (planificación), del Reglamento General de Protección de Datos 2016/679, de 27 de abril («RGPD»).
SANCIÓN
La Autoridad Griega de Protección de Datos decidió imponer una sanción administrativa de 200.000 euros, por vulneración de los artículos 5.1, letra c), y 25 del RGPD, sobre la base de los criterios establecidos en el artículo 83.2 del mismo cuerpo legal.
******************************************
PRINCIPIOS RELATIVOS AL TRATAMIENTO.
Artículo 5.1., letra c) RGPD: «1. Los datos personales serán: (…) c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);(…)«.
RESPONSABLE DEL TRATAMIENTO (PROTECCIÓN DESDE EL DISEÑO Y POR DEFECTO).
Artículo 25 del RGPD:
«1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
3. Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.»
******************************************
Legislación vigente:
– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].