Si hemos de contestar la pregunta directa que proponemos en el título de este post, que es en definitiva la que te haces normalmente, la respuesta es rotunda. Comprar bases de datos no es ilegal. Otra cosa distinta es que te preguntes si existen bases de datos con correos electrónicos que se pueden comprar y vender legalmente y las hay que no. La segunda pregunta que debes hacerte es qué características debe tener la composición de los datos que incluyen para permitirte realizar acciones con ellos.
Qué aspectos debes tener en cuenta
Ante el interés de utilizar datos que provengan de una fuente externa, como es una base de datos ya preexistente, te vamos a resumir las principales cosas que debes considerar. Estos tres aspectos que te destacamos van a definir el uso legal o ilegal por tu parte de esos datos.
Leyes que regulan la protección de datos personales
Existen tres reglamentaciones básicas que van a afectar a la legalidad del uso de los datos de estas bases de datos externas:
– La Ley de protección de datos, LOPD.
– LSSI que establece la regulación de los servicios de la sociedad de información y comercio electrónico.
– RGPD que es el reglamento general de protección de datos adaptado plenamente a la normativa europea y que desarrolla la LOPD.
El principio del consentimiento expreso
En todas estas leyes se establece la obligatoriedad de que los datos que se manejan hayan sido obtenidos con el consentimiento expreso del interesado y conociendo quién los va a utilizar y para qué.
Esto ya presenta una primera dificultad si te planteas adquirir una base de datos externa, ya que todos los datos que incluyan han de reunir estas características.
En la realidad supone que todos los datos hayan sido recogidos con una autorización expresa de sus propietarios para que puedan ser utilizados por la empresa a la que se los han aportado y con consentimiento para ser utilizados por otras a las que se los cedan. Que en sus fines se haya expuesto claramente que los datos van a ser utilizados para mandarles informaciones de otras empresas que puedan ser de su interés.
Esto en realidad no es algo extraño. Seguramente tú mismo has visto muchas veces este tipo de consentimientos en los que te presentan la opción de autorizar una casilla en la que te exponen que si aceptas consientes en que te manden información de otros productos y compañías que te pudieran interesar. Algo perfectamente legal pues el consentimiento voluntario no obedece a más límites que los que tú quieras poner.
Los derechos del propietario de los datos
Las leyes que te hemos expuesto establecen una serie de derechos que la empresa que obtiene estos datos debe garantizar a todo propietario y que son de ejecución inmediata. Estos derechos son conocidos como derechos ARCO y garantizan al usuario el acceso inmediato a sus datos, la rectificación de los mismos, su inmediata cancelación o desaparición de la base de datos, su portabilidad o la limitación del uso de los mismos en cualquier momento.
Parece evidente que con unos plazos de respuesta que no superan normalmente los diez días para llevar a buen fin cualquiera de estas exigencias planteadas por el propietario legítimo de los datos es prácticamente imposible cumplirlas si esa base de datos se ha externalizado.
Ya solo si nos fijamos en el derecho de acceso vemos que este supondría la necesidad del conocimiento previo del propietario de los datos de cada ubicación de los mismos. Esto solo se podría hacer con una comunicación personal, efectiva y demostrable en cada ocasión de que sus datos van a ser incluidos en una base de datos que se venderá a un tercero.
Esto parece imposible en la práctica máxime si tenemos en cuenta que una base de datos puede incluir miles de propietarios. Además, quién cede estos datos y está obligado a su protección debe garantizarse que vayan a ser protegidos de igual forma por parte de quién los adquiere y, por tanto, del perfecto ajuste de este a las leyes y protocolos de seguridad que establecen.
¿Venta o alquiler de bases de datos con correos electrónicos?
Todo esto nos lleva a que la solución real para que estos datos puedan ser utilizados por terceros diferentes a los adquirentes no pasa por la venta de las bases de datos, sino por su alquiler.
En el caso del alquiler a través de servicios, los datos no salen en ningún momento de las responsabilidades y protocolos de la empresa matriz que los ha adquirido o recabado legalmente. De esta forma se garantizan perfectamente los derechos ARCO de los propietarios que, en definitiva, mantienen un solo interlocutor en este sentido.
La protección de datos personales queda garantizada de forma exhaustiva, ya que hemos de suponer que una empresa cuyo valor radica en lo que esas bases de datos le producen se preocupará de cumplir rigurosamente con todos los protocolos establecidos.
Así mismo, la empresa matriz será la que ha recabado esos datos y se habrá preocupado especialmente de obtener la autorización pertinente y expresa de sus propietarios para poder emplearlos en el envío de informaciones de terceros cuya información pudiera ser de interés para el propietario de los datos.
En qué consiste el alquiler de bases de datos
En realidad no podemos hablar de un alquiler de la base de datos en sí. Lo que hacen estas empresas es ofrecer servicios de e-mail marketing orientados a acciones estratégicas y sobre la efectividad de disponer de una importante cantidad de datos de usuarios recabados de forma legal.
Estos datos son segmentados para ti en función de tus objetivos y del público que realmente te interesa. Se confecciona así una base de datos personalizada y realizas acciones externalizadas por las que pagas una retribución.
Vender y comprar bases de datos no es ilegal, pero en la práctica se hace casi inviable por la extrema dificultad de favorecer los derechos ARCO que asisten a los propietarios de los datos. La posibilidad legal que sí puedes utilizar es la del alquiler o subcontratación de servicios con empresas especializadas. Aun decidiéndote por esta opción, es muy importante que el proveedor que escojas pueda darte garantías del cumplimiento de las leyes de protección de datos, para que todo el tratamiento se realice de manera adecuada.
