La Agencia Española de Protección de Datos impone una multa de 300.000€ a Círculo de Lectores por ceder datos de ex socios.

El Tribunal Supremo confirma una multa de 300.000€, impuesta por la AEPD, a la empresa Círculo de Lectores por vulnerar la normativa de protección de datos, al haber facilitado datos personales de ex socios a terceras compañías, que los utilizaron con fines publicitarios, sin contar con el adecuado consentimiento de los interesados.

Fichero con datos personales de socios y ex socios

Círculo de Lectores dispone de un fichero con datos personales de socios y ex socios (tales como nombre, apellidos, dirección, teléfono, etc.). En la Cláusula informativa incluida en una revista mensual de la editorial, se señala que la finalidad de dicho fichero es “mantener relaciones con los socios, antiguos socios y demás interesados, poder remitirles información y ofertas sobre productos y servicios”. Al mismo tiempo, informa de la “eventual cesión de sus datos a otras entidades de las que podría recibir ofertas, por escrito o en visitas personales”.

Por lo que se refiere al contenido de esta cláusula, la Sala del Supremo destaca no cumple con los requisitos legales y “adolece de falta de concreción”, ya que expresa los fines de una manera muy genérica e indeterminada. Además, en dicha leyenda no se concreta qué tipo de empresas o a qué empresas se cederían los datos.

Además, la inclusión de esta cláusula informativa genérica en una revista no basta para considerar que existe consentimiento, porque este debe darlo siempre el interesado de forma explícita e inequívoca.

Círculo de Lectores recurre la sentencia

La comercializadora editorial, al recurrir la sentencia, sostuvo que utilizó los datos para el tratamiento a favor de terceros, pero que no llegó a cederlos “porque estos no se entregaron en el fichero de un tercero y se limitaron a un tratamiento de mailing puntual”. Con relación a esto, debe tenerse presente que la cesión o comunicación de datos no exige que la revelación vaya acompañada de una entrega material de los datos, ni una incorporación al fichero del cesionario. Lo único que exige el precepto legal es la acción de revelar.

No obstante, el Alto Tribunal recuerda que la norma excluye del concepto de comunicación de datos “el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del fichero”.

Círculo de Lectores había suscrito un contacto con Arvato Services Iberia S.A., por el que le permitía a esta la utilización de su fichero para la realización de campañas publicitarias de terceras empresas, pero no contemplaba prestación de servicio alguno a la editorial, sino que se trataba de acciones publicitarias de productos o servicios ajenos a Círculo de Lectores. A este respecto, el Supremo destaca que en este caso no se trata de un acceso necesario para prestación de servicio al responsable del fichero, por lo que no opera la mencionada excepción.

Por todo ello, el Supremo ha desestimado el recurso interpuesto por la comercializadora editorial y ha confirmado la sentencia de la Audiencia Nacional, que, a su vez, confirma la multa de la AEPD de 300.000€.