La empresa CPS Advisory se enfrenta a una multa por parte de la ICO con motivo de llevar a cabo marketing ilegítimo, mediante más de 100.000 llamadas no autorizadas.
Conforme los avances tecnológicos, la globalización y, ahora, las amenazas mundiales a la salud y la seguridad (como la pandemia del COVID-19), los negocios y las actividades cotidianas están cada más trasladándose al plano online, y en consecuencia muchas empresas están llevando a cabo marketing a distancia, como llamadas y otras formas de captación y mantenimiento de clientes. Sin embargo, estas prácticas deben contar con todas las garantías que brinda la normativa de protección de datos, pues de lo contrario puede resultar en importantes multas, como ha sido el caso de la empresa CPS Advisory.
Según la ICO, una investigación ha revelado que en el período comprendido entre enero y abril de 2019 la empresa realizó 106.987 llamadas de marketing “a puerta fría”, en relación a los planes de pensiones de los sujetos, infringiendo así el artículo 21B de la PECR, la normativa británica que implementa la Directiva ePrivacy, lo que en España sería la LSSI.
El Artículo de la ICO explica que, bajo la nueva ley, la cual cambió en 2019 precisamente para regular quién está autorizado a llamar para recoger información sobre las pensiones, las empresas sólo pueden llevar a cabo llamadas de este tipo si:
- Están autorizadas por la Financial Conduct Authority (FCA), o si es el administrador de un plan de pensiones personal o profesional.
- El receptor ha otorgado su consentimiento a dichas llamadas, o bien tiene una relación pre-existente con el emisor y conforme a ésta el interesado podría esperar la realización de dichas llamadas de marketing en relación a los esquemas de pensiones; y
- El receptor de la llamada ha proporcionado un medio para oponerse al uso de sus datos personales con dicho propósito, en el momento inicial de recogida de información, y en cada comunicación posterior.
La interacción entre el RGPD y la implementación nacional de la Directiva ePrivacy
Conforme a la ICO, “El RGPD no reemplaza la PECR, aunque modifica la definición subyacente de consentimiento. Las normas establecidas por la PECR se siguen aplicando, pero ahora se emplea el nuevo estándar de consentimiento del RGPD”.
“Esto significa que si tú envías comunicaciones electrónicas o empleas cookies o tecnologías similares, desde el 25 de mayo de 2018 deberás cumplir tanto con la PECR como con el RGPD”.
¿Se aplica la implementación nacional del ePrivacy a tu empresa?
La ICO señala que, aunque algunas de las disposiciones se aplicarán sólo a aquellas empresas que ofrecen una red pública de comunicaciones, se estará igualmente sujeto a las mismas si:
- Se envía marketing por teléfono, SMS email o fax;
- Se usa cookies o tecnologías similares en la página web; o
- Se cuenta con un directorio telefónico o se emplea uno público.
¿Has implementado todas las medidas para cumplir con el RGPD y la LOPDGDD? Las evaluaciones de impacto de Aphaia y los servicios de subcontratación del Delegado de Protección de Datos pueden ayudarte. Asimismo, Aphaia ofrece servicios de consultoría para el RGPD, la LOPDGDD y la CCPA y evaluaciones de la ética de la IA. Pídenos más información.