¿Es legal vender datos en España?

Regulación de la Unión Europea

La cesión o venta de datos personales se regula en el considerando 34 y en el artículo 10 de la DIRECTIVA (UE) 2019/770 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 20 de mayo de 2019.

El considerando 34 establece lo siguiente:

«Conviene garantizar que los consumidores tengan pleno conocimiento de las condiciones de uso de sus datos personales, que incluye la cesión o venta de los mismos a terceros, y que puedan ejercer sus derechos en relación con esos datos.»

El artículo 10 de esa Directiva establece lo siguiente:

• 1. «El proveedor de contenidos o servicios digitales no podrá ceder ni vender los datos personales del consumidor a terceros sin su consentimiento expreso, salvo que la cesión o venta sea necesaria para la ejecución del contrato o para la aplicación a petición del consumidor de medidas precontractuales.
  2. El consentimiento del consumidor se entenderá otorgado si ha sido solicitado por medios electrónicos, siempre que se facilite al consumidor una posibilidad sencilla y gratuita de revocarlo en el momento de la recogida de los datos o en cualquier momento posterior.
  3. El proveedor de contenidos o servicios digitales deberá informar al consumidor de la cesión o venta de sus datos personales a terceros, indicando la identidad o los tipos de destinatarios de los datos, la finalidad de la cesión o venta y el fundamento jurídico de la misma.
  4. El consumidor tendrá derecho a revocar su consentimiento en cualquier momento sin necesidad de alegar causa alguna. El proveedor de contenidos o servicios digitales deberá informar al consumidor de este derecho de revocación y de cómo ejercerlo.»

Por lo tanto, para ceder o vender datos personales a terceros en el contexto de un contrato de suministro de contenidos o servicios digitales, es necesario contar con el consentimiento expreso del consumidor. El consentimiento debe ser otorgado de forma libre, específica, informada e inequívoca. El consumidor debe ser informado de la finalidad para la que se van a utilizar sus datos, así como de los destinatarios de los mismos. El consumidor también tiene el derecho a revocar su consentimiento en cualquier momento.

Regulación en España

La cesión o venta de datos personales se regula en el párrafo 11 de la exposición de motivos de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Este párrafo establece lo siguiente:

«La cesión o venta de datos personales a terceros constituye una práctica habitual en el mercado, que puede resultar beneficiosa para los interesados, ya que les permite obtener servicios personalizados y ofertas adaptadas a sus necesidades. Sin embargo, también puede suponer un riesgo para su privacidad, ya que puede dar lugar a que sus datos sean utilizados para fines que no conocen o no han autorizado. Por ello, la LOPDGDD establece que la cesión o venta de datos personales solo podrá realizarse con el consentimiento expreso del interesado, salvo que sea necesaria para la ejecución de un contrato o para la aplicación a petición del interesado de medidas precontractuales.»

La cesión o venta de datos personales también se regula en el artículo 13 de la LOPDGDD. Este artículo establece lo siguiente:

1. «El tratamiento de datos personales con fines de cesión a terceros requiere el consentimiento expreso del interesado, salvo que la cesión sea necesaria para la ejecución de un contrato en el que el interesado sea parte o para la aplicación a petición del interesado de medidas precontractuales.
2. Cuando el tratamiento de datos personales tenga por finalidad la cesión a terceros de los mismos con fines de mercadotecnia directa, el consentimiento del interesado se entenderá otorgado si ha sido solicitado por medios electrónicos, siempre que se facilite al interesado una posibilidad sencilla y gratuita de revocarlo en el momento de la recogida de los datos o en cualquier momento posterior.
3. Cuando el tratamiento de datos personales tenga por finalidad la cesión a terceros de los mismos con fines de elaboración de perfiles, el consentimiento del interesado se entenderá otorgado si ha sido solicitado por medios electrónicos, siempre que se facilite al interesado una posibilidad sencilla y gratuita de revocarlo en el momento de la recogida de los datos o en cualquier momento posterior.»

¿Qué se entiende por consentimiento libre, específico, informado e inequívoco a la hora de vender datos?

El RGPD requiere que el consentimiento sea «inequívoco», lo que supone que se preste mediante una manifestación del interesado o mediante una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que permitía la normativa española de protección de datos. Así, no se consideran formas válidas de obtener el consentimiento el uso de casillas ya marcadas o la inacción. En cambio, sí son acordes al RGPD, la utilización de una declaración por escrito, o la marcación de casillas en un sitio web de internet. El consentimiento en el marco del RGPD se caracteriza por lo siguiente:

• Puede ser para uno o varios fines.
• Debe ser prestado de forma libre.
• Revocable.
• El responsable debe poder probar en todo momento que ha obtenido el consentimiento.
• Utilizar un lenguaje claro y sencillo.

Por otra parte, también debe ser tenido en cuenta lo siguiente:

• Si se usa para obtenerlo una declaración escrita, debe quedar claramente diferenciada la parte referente a protección de datos del resto de declaraciones.
• Si se recaba el consentimiento para varias finalidades:
  • Sería posible agruparlas en virtud de su vinculación (por ejemplo, consentimiento para la recepción de publicidad propia o de terceros).
  • Pero deberían desagregarse cuando los tratamientos impliquen conductas distintas (por ejemplo tratamiento por quien recaba los datos y cesión a terceros).

Asimismo, existen supuestos en que además de inequívoco, el consentimiento ha de ser explícito:

• Tratamiento de datos sensibles
• Adopción de decisiones automatizadas
• Transferencias internacionales

Si te ha interesado este artículo no dudes en leer:

¿Qué se entiende por nivel adecuado en las transferencias internacionales de datos?

Sin transferencias de datos no hay comunicaciones. Sin embargo, estas transferencias no pueden menoscabar el nivel de protección de las personas garantizado por el RGPD

Hitos necesarios para la venta de datos personales en España

En España, la venta de datos personales está regulada por la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Esta ley establece que, para que la venta de datos personales sea legal, es necesario contar con el consentimiento expreso de los titulares de los datos.

Para vender datos personales en España, es necesario seguir los siguientes pasos:

1. Obtener el consentimiento expreso de los titulares de los datos. Este consentimiento debe ser otorgado de forma libre, específica, informada e inequívoca. Los titulares de los datos deben ser informados de la finalidad para la que se van a utilizar sus datos, así como de los destinatarios de los mismos.
2. Elaborar un contrato de venta de datos. Este contrato debe recoger los términos y condiciones de la venta, incluyendo la descripción de los datos que se van a vender, el precio de venta y la forma de pago.
3. Registrarse en la Agencia Española de Protección de Datos (AEPD). Las empresas que vendan datos personales están obligadas a registrarse en la AEPD.

Una vez seguidos estos pasos, la empresa podrá vender los datos personales a otras empresas que estén interesadas en ellos.

Formas de vender datos

Hay dos formas principales de vender datos personales:

• Vender los datos directamente a otras empresas. Esta es la forma más sencilla de vender datos, pero también la menos rentable. Las empresas que compran datos directamente a otras empresas suelen pagar un precio más bajo que las que compran datos a través de un intermediario.
• Vender los datos a un intermediario. Los intermediarios, también conocidos como «data brokers», son empresas que se dedican a comprar y vender datos personales. Los data brokers suelen pagar un precio más alto por los datos que las empresas que compran datos directamente a otras empresas.

¿Qué datos se pueden vender?

Se pueden vender cualquier tipo de datos personales, siempre y cuando se cumplan los requisitos establecidos por la LOPDGDD. Los datos personales más comunes que se venden son los siguientes:

• Datos de contacto: nombre, apellidos, dirección, número de teléfono, dirección de correo electrónico, etc.
• Datos demográficos: edad, sexo, ubicación, etc.
• Datos de comportamiento: intereses, hábitos de compra, etc.
• Datos de navegación: historial de navegación web, cookies, etc.

Ventajas y desventajas de vender datos

La venta de datos personales puede tener ventajas y desventajas.

Ventajas:

• Puede ser una fuente de ingresos para las empresas.
• Puede ayudar a las empresas a mejorar su conocimiento de los clientes.
• Puede ayudar a las empresas a personalizar sus productos y servicios.

Desventajas:

• Puede suponer una violación de la privacidad de los titulares de los datos.
• Puede dañar la reputación de las empresas que venden datos.

Recomendaciones

• Antes de vender datos personales, es importante considerar las ventajas y desventajas de esta práctica. También es importante asegurarse de que se cumplen los requisitos establecidos por la LOPDGDD.
• El análisis sobre el alcance de la protección de datos de carácter personal y la normativa que lo regula, es complejo. Busque un abogado experto en protección de datos.

Ayúdanos a mejorar:

https://www.sondea.eu/s3/0689418e96be

Si te ha gustado este artículo, también puede interesarte la lectura del siguiente:

Diccionario (Jargon) de Protección de Datos (GPDR)