La empresa Hellenic Telecommunications ha sido multada con 200.000 € por no eliminar direcciones de email de la base de datos de marketing conforme al derecho de oposición del RGPD
¿Alguna vez has has solicitado borrarte de una lista de emails y aun así has continuado recibiendo publicidad? Desde mi experiencia, me aventuro a decir que esto ocurre muy a menudo. Mientras que borrar un simple email de una lista puede sonar sencillo y sin importancia, las consecuencias de no hacerlo son realmente graves, porque se trata de una infracción directa del derecho de oposición recogido en el RGPD.
De hecho, este es el motivo por el que Hellenic Telecommunications Organization (el operador histórico de telecomunicaciones de Grecia – OTE) fue multado con 200.000 € por la autoridad de control griega. De esta forma, se concluyó que la compañía no había implementado de manera adecuada la protección de datos por diseño que concibe el RGPD.
Conforme al Comité Europeo de Protección de Datos (EDPB) la autoridad de control griega habría recibido numerosas quejas de usuarios que recibían publicidad de OTE sin ser capaces de eliminar su suscripción de dicha lista. El artículo del Comité explica que en el curso de las investigaciones, se descubrió que desde 2013 y debido a un fallo técnico, no se eliminaba de la lista a los interesados que pulsaban el link de darse de baja de la misma. OTE, por tanto, no contaba con las medidas organizativas apropiadas (por ejemplo, un procedimiento por el cual detectar dicho error). Desde entonces, OTE ha eliminado aproximadamente a 8000 personas de tales listas.
Marketing directo y RGPD
Bajo el derecho de oposición del RGPD, los artículos 21.2 y 21.3 establecen que:
“Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia”
“Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines”.
Protección de datos por diseño y normas de la Directiva ePrivacy
El artículo 25 (2) del RGPD prevé que “El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas”. Esto implica que tampoco el departamento de marketing pueda acceder y usar de manera automática los datos de contacto.
Las empresas que se basen en las normas de oposición (opt-out) de la Directiva ePrivacy deben tener cuidado. El Dr. Bostjan Makarovic, socio gerente de Aphaia,explica que “La mayoría de las jurisdicciones europeas requieren que exista una compra previa antes de que se pueda confiar en las normas de opt-out para el envío de publicidad” y añade que “En tales casos, además, cualquier email de marketing debe estar relacionado únicamente con bienes o servicios similares a los que ofrece la empresa como tal, y facilitar una forma sencilla de oposición tanto al momento de recoger los datos como después en cada uno de los correos enviados”.
¿Tiene tu empresa una base de datos de marketing? ¿Respeta la Protección de Datos por diseño? Desde Aphaia podemos ayudarte con nuestras Evaluaciones de Impacto y nuestro servicio de Delegado de Protección de Datos. Contacta con nosotros.