Obligan a una empresa a pagar 200.000 euros por llamadas comerciales.

La comunicación que una empresa tiene sus clientes (o potenciales clientes) es cada vez más directa. Las visitas presenciales o el contacto telefónico están a la orden del día, lo que ha permitido un intercambio de información fluida entre las partes. No obstante, estas actividades han motivado que cada vez sea más importante la gestión de los datos que manejamos, pues este tipo de prácticas comprometen, en muchas ocasiones, la intimidad de las personas.

Resulta muy común el abuso de llamadas telefónicas por parte de determinadas empresas de servicios. Unas conductas que terminan generando rechazo en el consumidor, hasta tal punto que determinadas marcas han visto dañada de forma importante su reputación. Es más, el número de denuncias se ha incrementado en los últimos años como consecuencia del incumplimiento, por parte de determinados operadores, del derecho de oposición del usuario.

HECHOS

Los hechos aquí descritos tienen su origen en Grecia, en donde la Autoridad de Protección de Datos recibió varias quejas de suscriptores de un servicio de telefonía. Al parecer, estos se habían inscrito en un registro de exclusión de llamadas telefónicas, pero habían seguido recibiendo promociones de productos y servicios de terceros.

Lo que había sucedido es que, cuando los usuarios solicitaron su portabilidad a otro proveedor, se eliminaron sus datos del registro. De este modo, cuando estos usuarios no decidieron ejercer, finalmente, su derecho a la portabilidad, sus números de teléfono no se incluyeron en el listado de exclusión que el proveedor envió a sus anunciantes. Así, estos suscriptores (técnicamente excluidos de posibles llamadas comerciales), siguieron recibiendo anuncios y propuestas vía telefónica.

INFRACCIÓN

Además de la vulneración de la normativa interna (artículo 11 de la Ley griega Nº3471/2006 de Protección de los datos personales y la intimidad en el sector de las telecomunicaciones electrónicas), la Autoridad de Protección de Datos helena examinó el caso, y constató la infracción del artículo 5.1 letra c) (principio de precisión), y del artículo 25 (planificación), del Reglamento General de Protección de Datos 2016/679, de 27 de abril (“RGPD”).

SANCIÓN

La Autoridad Griega de Protección de Datos decidió imponer una sanción administrativa de 200.000 euros, por vulneración de los artículos 5.1, letra c), y 25 del RGPD, sobre la base de los criterios establecidos en el artículo 83.2 del mismo cuerpo legal.

 ****************************************** 

PRINCIPIOS RELATIVOS AL TRATAMIENTO.

Artículo 5.1., letra c) RGPD:1. Los datos personales serán: (…) c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);(…)“.

RESPONSABLE DEL TRATAMIENTO (PROTECCIÓN DESDE EL DISEÑO Y POR DEFECTO).

Artículo 25 del RGPD:

1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento,  así  como  los  riesgos de  diversa probabilidad y  gravedad  que  entraña el  tratamiento para  los  derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de  tratamiento como en  el  momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por  defecto,  solo  sean  objeto de  tratamiento  los  datos  personales que  sean  necesarios  para  cada  uno  de  los  fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los  datos  personales no  sean  accesibles, sin  la  intervención de  la  persona, a  un  número indeterminado de  personas físicas.

3. Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.”

****************************************** 

DPA GRECIA

Legislación vigente:

– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].