- Marco Legal
Cuando nos referimos a la venta de datos de carácter personal a terceros, hablamos de cesión de datos. Cuando la misma comporta identificación de concretas personas físicas constituye una comunicación de datos de carácter personal, definida en el artículo 3.i) de la Ley Orgánica 15/1999 (LOPD), como “toda revelación de datos realizada a persona distinta del interesado”. Asimismo, el régimen de las cesiones de datos se contiene en el artículo 11 de la citada Ley Orgánica: Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
- Permiso
Para poder ceder o comunicar a terceros los datos personales de nuestros clientes o usuarios es necesario que:
- Exista consentimiento expreso por parte del titular de los datos.
- Se le indique al titular de los datos con qué finalidad se van a ceder sus datos.
En cualquier caso, este consentimiento será en todo momento revocable por parte del titular de los datos. Asimismo, cualquier cesión que no haya sido bien informada al titular afectado resultará nula.
Por tanto, para poder vender una base de datos a un tercero es necesario que los titulares de los datos que se encuentran dentro de dicha base de datos hayan sido debidamente informados de la cesión de sus datos a un tercero y lo hayan consentido expresamente.
- Práctica habitual
Es práctica habitual, para conseguir de forma fácil y ágil poder ceder o comunicar a terceros los datos personales que se recogen, por ejemplo a través de una página web, incluir una cláusula de protección de datos genérica en la política de privacidad de la página web en cuestión o del formulario correspondiente. Así, dicha cláusula nos permite obtener el consentimiento del usuario o cliente a la cesión de sus datos personales.
En este sentido, la cláusula debe ser aceptada expresamente mediante la aceptación expresa de la política de privacidad o su firma manuscrita en caso de que se trate de un formulario en soporte papel.
Dicha cláusula resulta válida a raíz de una consulta que realizó en 2003 la Federación Española de Comercio Electrónico y Marketing Directo (FECEMD) a la Agencia Española de Protección de Datos (AEPD), en la que FECEMD instó a la AEPD a manifestarse sobre la adecuación de la mencionada cláusula a la normativa de protección de datos, resolviendo la AEPD que dicha cláusula cumplía y cumple con todos y cada uno de los requisitos de los artículo 5 y 11 de la LOPD que prevén la forma de recabar el consentimiento y la regulación de la comunicación o cesión de datos personales a terceros.
Esto ha motivado que muchas empresas utilicen en sus políticas de privacidad dicha cláusula ya que, de ese modo, se garantizan poder ceder o comunicar los datos a terceras empresas para, en definitiva, poder vender sus bases de datos a terceros de una forma legal.
No obstante, tal y como ya se ha indicado en el apartado (II), la inclusión de la cláusula y su aceptación no impide que el titular de los datos pueda revocar su consentimiento en cualquier momento y que deba tenerse en cuenta en la cesión de los datos (en este caso, la compraventa de la base de datos) que debe hacerse, siempre y en todo caso, en los términos en los que se informó al usuario y/o cliente y éste aceptó.
- Infracción y Sanción
Actualmente, con la LOPD aún vigente, las consecuencias de ceder datos personales a un tercero sin el consentimiento del titular o sin legitimación para ello está calificado como una infracción grave (muy grave si se trata de datos personales sensibles como, por ejemplo, datos de salud), recogida en el artículo 44.3 de la LOPD. En estos casos, la sanción económica puede oscilar entre los 40.001 y los 300.000 euros, tal y como establece el artículo 45.2 de la LOPD.