Cada vez es más frecuente recibir ofrecimientos para la compra de bases de datos para acciones de makerting.

Así mismo, no son pocos los clientes que nos preguntan por las implicaciones que puede tener el utilizar un listado de contactos, que han obtenido de fuentes externas, para realizar acciones de fuerza de venta u otras estrategias comerciales.

En este sentido, vamos a tratar de arrojar un poco de luz sobre este tipo de prácticas, para ponerlas en contexto.

¿Qué debes tener en cuenta antes de comprar/vender una base de datos?

Lo primero que debemos tener claro es el tipo de información que contiene dicha base de datos, dado que si incluyen datos de carácter personal, debemos tener muy presente lo dictado por el Reglamento Europeo de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales (LOPDGDD).

Para ello, es obligado recordar que son datos personales, a efectos legales:
Los datos de carácter personal son cualquier información referente a personas físicas identificadas o identificables, pudiendo ser identificable toda persona cuya identidad pueda determinarse mediante un identificador (por ejemplo, un nombre, un número de identificación, datos de localización o un identificador en línea) o mediante el uso de uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de las personas.

Es decir si se incluyen registros con nombres, apellidos, dni, etc.. estaríamos sin duda ante un caso para el que esta normativa es de aplicación y ello conlleva que para poder dirigirnos (contactar) a estas personas, debemos haber recabado el consentimiento expreso de los interesados.

Por tanto, si hemos comprado una base de datos a un tercero para tratar este tipo de informaciones, debemos de pedir al proveedor que nos suministre una declaración / certificación que indique que la información se ha obtenido de fuentes legales y con el consentimiento de los mismos.

Si por contra, somos nosotros los que creamos dicha base de datos para venderla o cederla a terceros, debemos garantizar igualmente que los registros se han obtenido igualmente de fuentes legales y nos han otorgado su consentimiento expreso, tanto para nuestro tratamiento directo o para la cesión autorizada a terceros, si este fuera el caso.

Así mismo, es muy importante resaltar que si los datos a tratar en la citada base de datos son los datos de empresas o personas jurídicas, incluyendo datos de personas de contacto que desarrollen su actividad profesional al amparo de éstas, dichos datos están fuera del ámbito de aplicación de la norma conforme al artículo 2 del Reglamento Europeo y de la Ley 3/2018 (LOPDGDD) en su artículo 2.3 y por tanto no requieren que el consentimiento se haya recabado para su tratamiento.

En resumen y como decíamos al principio, es muy importante saber que tipo de información contiene la base de datos en la que estamos interesados y en el caso de que ésta incluya datos de carácter personal, asegurarnos que el proveedor declare por escrito que los datos están legitimados y corresponden a personas que han otorgado su consentimiento para su tratamiento, para en caso de reclamación futura poder depurar responsabilidades.

 

Autor: Antonio Heredia