La AEPD ha sancionado a varias de esas empresas conocidas por todos (eInforma, axesor, etc…) que comercializan el acceso a los datos de identificación y contacto de empresas, profesionales y autónomos, extraídos de distintas fuentes como el Registro Mercantil o, como ahora hemos conocido, el Censo de empresas de las cámaras de comercio.

No es la primera vez que un sector económico entero se rasga las vestiduras ante la sanción de algo que se lleva haciendo toa la vida de Dios.

Y, sin embargo, si eres autónomo y no tienes oficina o local, tu dirección “pofesional” es tu domicilio y el de tu familia y está a la vista de todo el mundo.

Así que, volvamos a la pregunta que titula este post:

¿Tiene derecho de protección de datos un puto autónomo?

La respuesta a esta pregunta ha cambiado con el tiempo.

Antes del RGPD, no.

Después del RGPD ya se hizo un poco más difícil sostener eso de que los datos mixtos (datos personales de una persona física que, a la vez desempeña una actividad económica o empresarial) quedaban fuera del ámbito de aplicación de la normativa.

Es normal: los “datos mixtos” son accesibles por obligación legal en varios supuestos, y su uso por terceros pasa por la aplicación del interés legítimo o tratamientos secundarios, y cosas raras por el estilo que no eran muy del gusto de nadie en los tiempos de la hegemonía del consentimiento.

Así que si no sabes qué hacer, tiras del VAR y pitas fuera de juego.

Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad, tecnopolios y derecho de Jorge García Herrero y Darío López Rincón.

En los ratos libres que nos deja esta newsletter, nos gusta resolver movidas complicadas en protección de datos personales. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com

¡Gracias por leer Zero Party Data! Apúntate!

No tenemos más datos sobre la sanción porque no se ha publicado, sólo tenemos la notificación enviada por eInforma a sus usuarios diciendo que recurrirán, pero que si nada gordo ocurre, el 30 de noviembre suprimirán todos los datos de autónomos del servicio ofrecido.

Se lo traduzco:

Infracción del 6.1 y 14 RGPD. Es decir:

6.1.- Tratamiento de datos personales sin base lícita suficiente: uséase: algo asín como: las Cámaras de Comercio pillan los datos de los sufridos autónomos de la Agencia Tributaria para elaborar el censo público de empresas. Y eso lo manda la Ley, vale.

Pero la ley no obliga (ni autoriza expresamente) a vender esos datos a eInforma para que ésta a su vez los revenda.

14.- Obtención de esos datos de fuente distinta (Camerdata) a los interesados (los autónomos) sin informarles de lo que quieres hacer, de dónde has sacado sus datos ni (en su caso) ofreciendo el derecho de oposición al tratamiento…. siendo así que justo lo que comercializas son datos que te permitirían hacerlo.

Mal, muy mal.

Por cierto, el caso lo supe a través de Jorge Morell, cuya newsletter recomiendo mucho.

Antecedentes de lo pispo

Esto ha pasado muchas veces ya.

A Equifax le emplumaron un millón de euros (pudieron ser nueve que era la sanción propuesta al principio) por esto mismo.

Lo conté con pelos y señales aquí.

La misma ideaca de pretender santificar cualquier tratamiento de datos de «acceso libre» -que prácticamente elevaba las fuentes accesibles al público a la categoría de séptima base de legitimación de tratamiento de datos personales- fue el principal motivo del dictamen de rechazo de la AEPD a la propuesta de Código de Conducta del lobby ASEDIE del sector infomedia… en el que Equifax es uno de los principales players.

La AEPD en su dictamen desmontó la posibilidad de acceso y posterior uso indiscriminado de datos de “fuentes accesible al público”, uno a uno, respecto de numerosos casos, precisamente los más utilizados (datos procedentes de publicaciones oficiales como la obtención de plazas de funcionarios, becas, subvenciones, datos de registros públicos, catastro, tablones edictales de sanciones, edictos y anuncios de la Seguridad Social, registro público concursal, Boletín oficial de la Propiedad Industrial, censos de electores de cámaras de comercio, registros de profesionales colegiados…).

Esto también ha pasado con el “indice de personas” que pretendió sacarse de la manga el Consejo General del Notariado, en una guerra que continuó al impugnar este organismo el Registro Central de Titularidades Reales.

También fue una bomba en el sector, pero poco comentado fuera, la opinión dirigida por la AEPD a los agentes de la Propiedad Industrial.

Los agentes de Propiedad Industrial están atentos al Boletín y, cuando se anuncia una solicitud de patente similar a una registrada, bombardean al titular de la segunda para ofrecerles el servicio de impugnar la nueva, y cosas similares.

La AEPD les dijo:

“Pudo haberse evitado”

¿Cómo?

En rigor, habiéndose mirado un poco el tema ese del interés legítimo, o el de los tratamientos secundarios de datos.

O de una forma mucho más atrevida y bucanera, pero -hasta la fecha- demencialmente admitida por la AEPD:

Alguien podría pensar que, si eInforma hubiera tenido la MARABIYOSA HIDEA de enviar spam (comunicaciones comerciales electrónicas no solicitadas) a tooodos esos marrulleros y contestatarios autónomos, la jugada le hubiera salido mucho más barata (aunque, fíjate, no se sepa aún la sanción).

Porque, increíblemente, parece que cuando se infringe la LSSI en el envío de comunicaciones comerciales, la AEPD sólo aplica las (comparativamente) benévolas sanciones de esta norma, sin entrar en cómo / de dónde demonios ha sacado los datos para hacer esos envíos… es decir, comiéndose la infracción del RGPD, cualitativa y cuantitativamente más grave.

Todo esto lo conté (y contraargumenté, medio incrédulo, medio indignao) aquí.

Jorge García Herrero

Delegado de Protección de Datos

Compartir Zero Party Data

Deja un comentario