En esta segunda parte dedicada a “Lo que tienes que saber de las plataformas de email marketing y sus implicaciones legales”, (ver parte I), te voy a explicar los requisitos adicionales para el caso de que los servidores de la plataforma de email marketing estén ubicados en países que no cuentan con el mismo nivel de protección que ofrece el sistema español.
© massimo_g – Fotolia.com
El art. 33 de la Ley de Protección de Datos, desarrollado por el art. 66 del Reglamento de la ley, exige para estos casos, la obligatoriedad de solicitar autorización al Director de la Agencia de Protección de Datos antes de realizar la exportación/importación de datos, que suponen la cesión. Esta autorización se otorgará si existen las garantías adecuadas, constituyendo una infracción muy grave, el no hacerlo, lo que en términos prácticos implica la posibilidad de una multa mínima de 300.506,25 €, y máxima de 601.012,1 €. ¡Cómo para andarse con cuidado!
Por supuesto, ni que decir tiene que es imprescindible, entre otros, recabar el consentimiento del afectado, pues sin éste, ni siquiera debes molestarte en solicitar la autorización preceptiva. Además, deberás cumplir con el contenido de la Instrucción 1/2000, de 1 de diciembre, de la Agencia Española de Protección de Datos, relativa a las normas que rigen para el movimiento internacional de datos, cuyo repaso te recomiendo, (ver la instrucción 1/2000), y que según su norma quinta, deberás celebrar un contrato específico, en el que se debe incluir, como mínimo, los siguientes puntos:
- Identificación del transmitente y del destinatario de los datos.
- Indicación de la finalidad que hace necesaria la transferencia internacional, así como los datos que van a transferirse.
- El compromiso del transmitente de que la recogida y el tratamiento de los datos en territorio español respeta íntegramente el contenido de las garantías de la Ley de Protección de Datos española.
- El compromiso del destinatario de que los datos recibidos serán tratados exclusivamente para la finalidad declarada para la transferencia.
- Que el destinatario adoptará las medidas de seguridad obligatorias según la normativa española.
- Que el transmitente y el destinatario responderán solidariamente frente a los particulares, la Agencia Española de Protección de Datos y los Juzgados y Tribunales, en caso de infracción o responsabilidad.
- Que se indemnizará al afectado que resulte perjudicado como consecuencia de un tratamiento inadecuado.
Además, la Agencia Española de Protección de Datos, viene añadiendo la obligación de que también conste en el contrato:
- La determinación de cómo se va a ofrecer a los interesados apoyo y asistencia para garantizar el ejercicio de sus derechos de manera efectiva.
- El compromiso directo del receptor de los datos con la Agencia de Protección de Datos a autorizar el acceso al establecimiento donde se estén tratando los datos.(¡De risa!)
- Otros.
No obstante, el art. 34 de la Ley de Protección de datos establece una serie de supuestos en los que no es necesario solicitar la autorización antedicha, (ver el art. 34).
Así pues, la conclusión es, que si te vas a “meter en el embolado” de hacer una transferencia internacional de datos, pidas el asesoramiento de un abogado experto en protección de datos, porque las consecuencias de no hacerlo bien, pueden volver tu sueño en una pesadilla.
David Tierno García, es abogado y director del blog sobre protección de datos para bloggeros, “proemdata”. En el campo del derecho de las nuevas tecnologías, ayuda a profesionales y empresas de Internet, a diseñar estrategias legales que les permitan continuar con sus estrategias de marketing y de ventas, sin que la LOPD, la LSSI ni la Ley de Defensa de Consumidores y Usuarios, sean un problema.
Muy interesante saber esto… En Mailify (aplicación de email marketing) no trabajamos con clientes que quieren enviar newsletters a bases de datos compradas y siempre avisamos de que tengan en cuenta las normativas de los diferentes países a los que realizan envíos.