Puede que tengas una empresa, y ahora te hayas planteado crear otra independiente para dar otros servicios, o vender productos que pertenecen a otro sector de la economía, o porque te interesa a efectos fiscales, laborales o por cualquier otro motivo. Sin embargo, al mismo tiempo, quieres utilizar la base de datos de la empresa que ya tienes, para promocionar los productos y servicios de la nueva empresa. La pregunta es, ¿puedes hacer eso desde el punto de vista de la Ley de Protección de Datos?
© Sergey Nivens – Fotolia.com
Pues bien, aunque ambas empresas pertenezcan al mismo dueño, o formen parte de un grupo de empresas, en realidad, lo que estarías planteando es una cesión de datos regulada en el art. 11 de la Ley de Protección de Datos, el cual establece que los datos de carácter personal sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
Esto quiere decir que, para poder utilizar la base de datos de la empresa que ya tienes, en la nueva empresa, tienes que haber contemplado anteriormente ésa posibilidad, cuando recogistes los datos inicialmente, (en el formulario web de recogida de datos, o en el cupón en papel que te rellenó el cliente, en el contrato que firmastes la primera vez que te hizo una compra… cuándo, cómo y dónde quieras, pero debe de haber una autorización previa para ceder los datos a otras empresas, del grupo o externas).
No obstante, la ley sí que prevé algunas excepciones a esa obligación de autorización, y son las del apartado 2, del citado art. 11 de la Ley de Protección de Datos, al prever que no será necesario el consentimiento para la cesión:
a) Cuando la cesión está autorizada en una Ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique
d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
En condiciones normales, el único supuesto que podría presentarse para lo que quieres hacer es, el b), es decir, que los datos se recabaran de fuentes accesibles al público, (como ya sabes, Internet no lo es por raro que esto parezca), aunque en realidad lo que ocurre no es que estés legitimado a ceder los datos, sino más bien, de que ahora puedes volver a recabarlos nuevamente de la misma fuente accesible al público; el c) no es tan normal, pues habla de que la cesión de datos sea necesaria para realizar un trabajo que ha sido previamente contratado a tu empresa, y va a ser realizado por la nueva que quieres montar. Este caso no es tan normal, porque si lo que quieres es realizar tratamientos para prospección comercial y publicitaria, no veo bajo qué condiciones esto tiene la nota de “ser necesarios” para llevar a cabo el contrato preexistente con la primera empresa.
Por ello, parece obvio que, si quieres comercializar productos o servicios nuevos a través de una empresa diferente, tendrás que asumir que, para mantenerte dentro de la ley, habrás de recabar el consentimiento de los clientes, si no lo habías previsto cuando recabastes los datos y lo incluiste en el formulario de recogida y autorización de uso de datos, o asumir directamente que no podrás usarlos.
David Tierno García, es abogado y director del blog sobre protección de datos para bloggeros, “proemdata”. En el campo del derecho de las nuevas tecnologías, ayuda a profesionales y empresas de Internet, a diseñar estrategias legales que les permitan continuar con sus estrategias de marketing y de ventas, sin que la LOPD, la LSSI ni la Ley de Defensa de Consumidores y Usuarios, sean un problema.