Etiquetado: rectificación

Comunicaciones comerciales a través del correo electrónico

LSSI Spam 2

Tengámoslo claro, está prohibido el envío de publicidad o comunicaciones comerciales a través del correo electrónico (e-mail) sin que exista un consentimiento previo y expreso del destinatario. Incumplir esta norma tiene un nombre, SPAM.

La LSSI, Ley de Servicios de la Sociedad de Información y de comercio electrónico establece muy claramente que queda totalmente prohibido el envío de comunicaciones publicitarias o promocionales a través del correo electrónico sin que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas, tanto si son personas físicas o jurídicas. Por tanto, no se pueden enviar emails sin tener un permiso expreso del destinatario.

No obstante existe una excepción, que no es otra que exista o haya existido una relación contractual o comercial previa entre ambos, remitente y destinatario, y que el e-mail promocional o publicitario que se va a enviar sea sobre productos o servicios similares a los que inicialmente se contrataron o consultaron por el ahora destinatario. Un ejemplo: Si se solicita información en un comercio o empresa sobre un producto concreto y se proporcionan nuestros datos, incluido el email, y damos nuestro consentimiento expreso para su utilización, el comercio podrá enviarnos vía correo electrónico ofertas o promociones sobre estos productos u otros similares, pero no lo podrá hacer sobre otros que nada tiene que ver con la consulta inicial.

La Ley establece que deberá identificarse claramente quien es el que envía o en nombre de quien se envía. Además, incluirán al comienzo del mensaje la palabra «publicidad» o la abreviatura «publi». Habrá que informar también de donde proceden los datos de carácter personal.

Eso sí, el destinatario podrá revocar en cualquier con la simple notificación de su voluntad al remitente. Por este motivo, el remitente deberá ofrecer en todo momento al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito. Cuando las comunicaciones sean vía e-mail deberá incluirse una dirección electrónica válida donde pueda ejercitarse este derecho.

Cuando hablamos de consentimiento expreso queremos decir, expreso. El destinatario tiene que haber realizado alguna acción concreta en la que acepte recibir este tipo de comunicaciones comerciales en su dirección de e-mail. No sirve el darlo por hecho. Y debe ser previo, es decir, consentimiento previo a la recepción del comunicado.

Y muy importante: El hecho de que obtengamos datos o una dirección de e-mail a través de fuentes públicas y accesibles a todo el mundo, tales como Internet, no nos permite tampoco entender que el consentimiento es expreso.

Con enviar más de tres comunicaciones comerciales vía e-mail a un mismo destinatario en un mismo año ya estamos incurriendo en infracción, y qué decir si el envío se considera masivo y se envía a multitud de destinatarios….

El régimen sancionador es muy importante, y al igual que comentábamos en nuestro artículo sobre la Obligación de cumplir la Ley de Protección de Datos, las sanciones no son para hacer tonterías: Las infracciones leves van hasta los 30.000 euros. Las muy graves hasta los 600.000 euros. Lo dicho.

Las comunicaciones comerciales y las ofertas promocionales se rigen por la LSSI, Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de Información y de comercio electrónico y por las normas vigentes en materia comercial y de publicidad. También será de aplicación la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

La obligación de cumplir la Ley de protección de datos de carácter personal

LOPD 3

Cualquier empresa maneja datos personales en el desarrollo normal de su actividad. Datos de clientes, de proveedores, del personal de la empresa, Curriculum vitaes…

La Ley de Protección de Datos de Carácter Personal (LOPD), regula y obliga a como se debe tratar de forma correcta estos datos personales, bien sean propios o de terceros, con el fin de preservar la seguridad de sus titulares y garantizar sus derechos.

Tan obligado está a la Ley un autónomo que trata un solo dato, como una multinacional con millones de datos. La LOPD afecta a la práctica totalidad de las organizaciones por el simple hecho de almacenar datos de personas físicas o de otras organizaciones. Están obligados las personas físicas, autónomos, empresas, entidades públicas, asociaciones, fundaciones, comunidades de propietarios… En definitiva, cualquiera que desarrolle una actividad profesional.

Y esta Ley no es una broma. La vigilancia y el control de la Agencia Española de Protección de Datos es cada vez mayor y aplica sanciones importantes que van desde los 900 a los 600.000 euros.

La cuantía de las sanciones se gradúa atendiendo a la naturaleza de los derechos personales afectados, a su volumen, a los beneficios que podamos haber obtenido, a la intencionalidad, a la reincidencia, a los daños y perjuicios causados,… Por tanto, el no estar al día con la LOPD, pueden causar graves daños económicos a nuestro negocio.

Y un dato muy importante a tener en cuenta es la posibilidad que existe de ser denunciados por su incumplimiento. La denuncia puede venir de cualquiera. Es habitual que este tipo de denuncias provengan de ex trabajadores, clientes insatisfechos, competencia, etc.

Cumplimiento y Adaptación

Cada organización es muy diferente. Si los datos de que disponemos son muy sencillos la adaptación a la LOPD será también muy sencilla.

La Ley determina tres niveles de datos: básico, medio y alto, catalogados en función de la sensibilidad de los mismos, y sobre los cuales establece diferentes tipos de obligaciones.

  • Nivel básico: Datos identificativos, tales como NIF, Nº Seguridad Social, nombre, apellidos, dirección, teléfono, firma, imagen, e-mail, nombre de usuario, número de tarjeta, matrícula…
  • Nivel medio: Datos sobre infracciones administrativas o penales, solvencia o crédito, datos tributarios o de la Seguridad Social, datos de prestación servicios financieros, y datos referentes a la personalidad o comportamiento de las personas, como gustos, costumbres, aficiones…
  • Nivel alto: Datos acerca de la ideología, religión, creencia, origen racial, salud, vida sexual o sobre violencia de género.

La LOPD regula las acciones que se deben llevar a cabo:

  • Inscripción de los ficheros en la Agencia Española de Protección de Datos.
  • Elaboración e implantación del Documento de Seguridad.
  • Regulación del movimiento de datos con terceros.
  • Auditoría bianual (para nivel medio o alto de datos)

De manera más amplia, el proceso de implantación y cumplimiento es:

  • Identificación del responsable de los ficheros.
  • Análisis de los medios informáticos y las instalaciones físicas.
  • Identificación de los ficheros, tanto en formato papel como informático, según los fines con los que se traten.
  • Inscripción de los ficheros en la Agencia Española de Protección de Datos.
  • Elaboración del Documento de Seguridad.
  • Elaboración del Manual de Implantación.
  • Elaboración del Certificado LOPD.
  • Guía de los protocolos ARCO. Guía de actuación para el personal de la empresa de cómo debe recibir, gestionar y atender las peticiones de acceso, rectificación, cancelación, y oposición (ARCO) que cualquier persona pueda solicitar a la empresa en ejercicio de sus derechos contemplados en la LOPD.
  • Elaboración del contrato de acceso a datos por cuenta de terceros.
  • Elaboración del Compromiso de confidencialidad y secreto.
  • Definición de Cláusulas legales, para inclusión en documentos de papel y electrónicos.
  • Definición de Aviso legal para el cumplimiento de la LSSI en nuestra web.
  • Formación de los responsables y encargados del tratamiento de los ficheros.
  • Información a los propietarios de los datos, sobre la existencia de los ficheros.
  • Elaboración de circulares informativas y difusión interna: Preparación y elaboración de material informativo para la empresa, tales como anuncios, carteles, comunicados…
  • Mantenimiento. Las empresas que no se adapten a los cambios vuelven a ser susceptibles de incumplimiento y por tanto, de sanciones.
  • Realización cada dos años de auditoría (sólo para aquellas empresas que tengan nivel medio o alto de datos). Finalizará con un Informe que determinará si nuestra empresa se adecua o no a la Ley. La ley permite que una empresa puede auditarse a sí misma.

Además, la LOPD impone la identificación de los usuarios mediante el uso de contraseñas, el control de la entrada y salida de soportes con datos, la instalación de sistemas de protección tales como antivirus, cortafuegos, encriptación de datos, etc. o la gestión de copias de seguridad.

Guía del responsable del fichero:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/guia_responsable_ficheros.pdf

Ley de Protección de Datos de Carácter Personal. Agencia española de protección de datos.

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/index-ides-idphp.php