L’Agència Espanyola de Protecció de Dades (AEPD) va sancionar a dues empreses, una que actuava com Responsable del Fitxer (empresa que demana el servei) i una altra com Encarregada de Tractament (empresa que realitza el servei), per incomplir el deure d’informar a les persones de les que recopilava les seves dades personals –article 5 de la Llei Orgànica de Protecció de Dades (LOPD)-.
En aquest cas concret, el Responsable del Fitxer va demanar a l’Encarregada de Tractament la gestió dels seus serveis de “Call Center”; totes les trucades en aquest “Call Center” eren gravades.
Per defensar-se les dues empreses van al·legar que la LOPD no s’aplica quan es tracten dades d’entitats jurídiques i, en el seu cas, de les persones que treballen en aquestes entitats, acollint-se a l’excepció de l’article 2.2 del Reglament que desenvolupa la LOPD (RDLOPD). Però es va demostrar que es tractaven dades d’altres persones amb motiu de la relació amb el Responsable del Fitxer i s’atenien trucades de persones interessades en adquirir vehicles; en conseqüència es va desestimar l’excepció de l’art. 2.2 del RDLOPD.
El denunciant
El representant sindical va denunciar que les trucades rebudes es gravaven per un acord entre les parts, posteriorment l’Encarregat de Tractament, pel seu compte, va enviar un correu electrònic als coordinadors del servei comunicant als seus empleat que no informessin als que trucaven que les conversacions es gravaven.
L’AEPD va resoldre que ambdues empreses eren culpables
Tot i que l’Encarregat de Tractament va prendre una decisió unilateral, el Responsable del Fitxer també va ser responsabilitzat de l’actuació, perquè no havia previst cap mecanisme ni establert cap control per evitar el que havia passat i per no vigilar que s’estigués complint la normativa. Ambdós van ser sancionats amb 2.300€.
Què hem de fer per evitar situacions similars?
- El deure d’informació de l’article 5 de la LOPD, s’ha de realitzar sempre, encara que es recopilin dades via telefònica, inclús en els casos que es tingui el consentiment previ del titular de les dades.
- Quan es tractin dades d’empreses o dels seus empleats, sempre es farà amb la finalitat per la qual es recopilen aquestes dades.
- Sempre s’ha de signar un contracte entre el Responsable del Fitxer i l’Encarregat de Tractament, segons l’art. 12 de la LOPD, on s’especifica instruccions precises de com ha d’actuar l’Encarregat de Tractament.
- L’incompliment d’aquest contracte o de la normativa per part de l’Encarregat de Tractament el converteix en Responsable de Tractament, puguen ser sancionat. Però també podria ser sancionat el Responsable del Fitxer per no vigilar que l’Encarregat de Tractament compleix la normativa sobre protecció de dades.