100.000 euros de multa por enviar una carta de publicidad

Es la sanción que la Agencia Español de Protección de Datos ha impuesto a una compañía por el envío de una única carta de publicidad por no tener el consentimiento del destinatario para tratar sus datos de carácter personal (Procedimiento sancionador núm. PS/00052/2012), lo que constituye una infracción – tipificada como grave (1) – del artículo 6.1 de la Ley:

“6.1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”

Dejando de lado la casuística del caso (la compañía era reincidente, con sanciones anteriores, etc.), sirva la presente para insistir en tomar consciencia de que el hecho de tener declarados los ficheros en la Agencia Española de Protección de Datos y disponer de la documentación obligatoria por Ley no elimina los riesgos de cometer infracciones. Esta sanción es un ilustrativo ejemplo.

Ésta es una creencia que observamos está lamentablemente muy arraigada en el empresariado de nuestro país, que cree que habiéndole realizado una consultora la declaración de los ficheros y los documentos obligatorios por Ley, ya están cumpliendo con la LOPD y no puede tener infracciones; lo cual es tan erróneo como creer que por tener el código penal en una estantería de casa somos inmunes a cometer delitos. Todo lo contrario, son nuestras acciones las que determinarán si cometemos una infracción o no, independientemente de que tengamos “los papeles en regla”.  En consecuencia, debemos blindar en lo posible estas acciones.

Toda compañía en materia de cumplimiento de la Ley de Protección de Datos está en manos de sus empleados con acceso a los datos de carácter personal, por cuanto, ante una infracción que se cometa, ya sea por un error, despiste, desconocimiento de las normas por parte de un empleado, etc.,  el responsable último siempre será la compañía, que es sobre quien recaerá la sanción.

En consecuencia la compañía debe ser consciente de que los riesgos de cometer infracciones SOLO se eliminan en la medida que se ha realizado una correcta y bien asesorada implantación de la Ley de Protección de Datos en la organización de la compañía, implantando normas operativas de funcionamiento a cumplir por todo aquel que tenga acceso a los datos,  analizando los procedimientos de trabajo ya existentes en la compañía, modificándolos si es preciso e implantando otros que nos garanticen que cualquier posible situación de infracción se detecte siempre antes de que pueda cometerse. Eso, y tener un responsable dentro de la compañía que tutele el cumplimiento de las normas y procedimientos a lo largo del tiempo por parte de los empleados.

En el mercado se encuentran multitud de ofertas de consultoras que realizan la adaptación de la compañía a coste cero (¿en pleno siglo XXI todavía hay quien cree que los chollos existen?), o aquellas que disfrazan el asesoramiento como cursos de formación de la Fundación Tripartita para la empresa; La Fundación Tripartita ya emitió un comunicado advirtiendo que esto es un fraude (nota informativa 1 y nota informativa 2),  y que mantiene mecanismos de control para detectarlos, en cuyo caso reclama a las empresas -no a la consultora- el reintegro de las bonificaciones practicadas. También aquellas consultoras cuyo gancho es la expedición de certificados de cumplimiento de la LOPD que no tienen ningún tipo de valor o el ofrecimiento de coberturas de seguros que falsamente presentan como una cobertura a las infracciones que pueda cometer la empresa.

Servicios todos ellos que se caracterizan por su carácter masivo, incompleto, de “máquina de hacer churros”, que dejan al cliente en una falsa seguridad jurídica, cuando en realidad continua ignorante de que tiene todos los riesgos abiertos a cometer cualquier infracción y acabar siendo sancionado por la LOPD.

Huya de este tipo de consultoras, porque en materia de LOPD puede salirle terriblemente caro, en forma de una sanción que quizás no pueda asumir o en el mejor de los casos fagocitará sus beneficios de los últimos ejercicios. Busque una consultora que pueda realizar un trabajo serio, que dedique las horas necesarias para poder realizar una eficiente implantación de la LOPD en su organización y sus procedimientos de trabajo. Es la única forma de minimizar la posibilidad de cometer infracciones.

Puede consultar el texto completo de la resolución en la AEPD

Recomendamos la lectura del artículo que Samuel Parra publica en su blog, donde puede hallar un completo comentario al caso y su casuística.

(1)   “Art. 45.2 LOPD – Las infracciones graves serán sancionadas con multa de 60.101,21 a 300.506,05 euros.”

Es la sanción que la Agencia Español de Protección de Datos ha impuesto a una compañía por el envío de una única carta de publicidad por no tener el consentimiento del destinatario para tratar sus datos de carácter personal (Procedimiento sancionador núm. PS/00052/2012), lo que constituye una infracción – tipificada como grave (1) – del artículo 6.1 de la Ley:

“6.1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”

Dejando de lado la casuística del caso (la compañía era reincidente, con sanciones anteriores, etc.), sirva la presente para insistir en tomar consciencia de que el hecho de tener declarados los ficheros en la Agencia Española de Protección de Datos y disponer de la documentación obligatoria por Ley no elimina los riesgos de cometer infracciones. Esta sanción es un ilustrativo ejemplo.

Ésta es una creencia que observamos está lamentablemente muy arraigada en el empresariado de nuestro país, que cree que habiéndole realizado una consultora la declaración de los ficheros y los documentos obligatorios por Ley, ya están cumpliendo con la LOPD y no puede tener infracciones; lo cual es tan erróneo como creer que por tener el código penal en una estantería de casa somos inmunes a cometer delitos. Todo lo contrario, son nuestras acciones las que determinarán si cometemos una infracción o no, independientemente de que tengamos “los papeles en regla”.  En consecuencia, debemos blindar en lo posible estas acciones.

Toda compañía en materia de cumplimiento de la Ley de Protección de Datos está en manos de sus empleados con acceso a los datos de carácter personal, por cuanto, ante una infracción que se cometa, ya sea por un error, despiste, desconocimiento de las normas por parte de un empleado, etc.,  el responsable último siempre será la compañía, que es sobre quien recaerá la sanción.

En consecuencia la compañía debe ser consciente de que los riesgos de cometer infracciones SOLO se eliminan en la medida que se ha realizado una correcta y bien asesorada implantación de la Ley de Protección de Datos en la organización de la compañía, implantando normas operativas de funcionamiento a cumplir por todo aquel que tenga acceso a los datos,  analizando los procedimientos de trabajo ya existentes en la compañía, modificándolos si es preciso e implantando otros que nos garanticen que cualquier posible situación de infracción se detecte siempre antes de que pueda cometerse. Eso, y tener un responsable dentro de la compañía que tutele el cumplimiento de las normas y procedimientos a lo largo del tiempo por parte de los empleados.

En el mercado se encuentran multitud de ofertas de consultoras que realizan la adaptación de la compañía a coste cero (¿en pleno siglo XXI todavía hay quien cree que los chollos existen?), o aquellas que disfrazan el asesoramiento como cursos de formación de la Fundación Tripartita para la empresa; La Fundación Tripartita ya emitió un comunicado advirtiendo que esto es un fraude (nota informativa 1 y nota informativa 2),  y que mantiene mecanismos de control para detectarlos, en cuyo caso reclama a las empresas -no a la consultora- el reintegro de las bonificaciones practicadas. También aquellas consultoras cuyo gancho es la expedición de certificados de cumplimiento de la LOPD que no tienen ningún tipo de valor o el ofrecimiento de coberturas de seguros que falsamente presentan como una cobertura a las infracciones que pueda cometer la empresa.

Servicios todos ellos que se caracterizan por su carácter masivo, incompleto, de “máquina de hacer churros”, que dejan al cliente en una falsa seguridad jurídica, cuando en realidad continua ignorante de que tiene todos los riesgos abiertos a cometer cualquier infracción y acabar siendo sancionado por la LOPD.

Huya de este tipo de consultoras, porque en materia de LOPD puede salirle terriblemente caro, en forma de una sanción que quizás no pueda asumir o en el mejor de los casos fagocitará sus beneficios de los últimos ejercicios. Busque una consultora que pueda realizar un trabajo serio, que dedique las horas necesarias para poder realizar una eficiente implantación de la LOPD en su organización y sus procedimientos de trabajo. Es la única forma de minimizar la posibilidad de cometer infracciones.

Puede consultar el texto completo de la resolución en la AEPD

Recomendamos la lectura del artículo que Samuel Parra publica en su blog, donde puede hallar un completo comentario al caso y su casuística.

(1)   “Art. 45.2 LOPD – Las infracciones graves serán sancionadas con multa de 60.101,21 a 300.506,05 euros.”