El Informe 0364/2015 de la Agencia Española de Protección de Datos (AEPD) aborda la aplicación de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo (RDLOPD) en un servicio proyectado por una empresa consultante. Este servicio implica la asociación con otras empresas que poseen ficheros de correos electrónicos de sus usuarios. Estas empresas asociadas enviarían a la consultante los «Hash emails» de sus usuarios, que han sido previamente impactados con un pixel al acceder a sus sitios web. La consultante, que ya cuenta con una base de datos obtenida mediante el consentimiento previo de los usuarios, pretende asociar estas bases de datos para identificar emails de usuarios que no son clientes de las empresas asociadas, con el fin de enviarles publicidad por correo electrónico.
El informe plantea varias cuestiones clave: si cabe la cesión del Hash a las empresas asociadas, si es necesario el consentimiento previo de los usuarios para la transmisión de los datos, si cabe el envío de comunicaciones comerciales por la empresa consultante, y si este supuesto puede entenderse subsumido en el procedimiento de depuración contemplado en el artículo 47 del RDLOPD.
La AEPD analiza la naturaleza del servicio y determina que, aunque se utilice un Hash para la transmisión de los datos, esto no implica una anonimización o disociación de los mismos. La transmisión de una base de datos de una empresa a otra siempre supone un tratamiento de datos personales, y el uso de un Hash no exime de la aplicación de la LOPD. Además, la AEPD subraya que la segmentación de bases de datos, en lugar de la depuración, es el procedimiento adecuado en este caso, siempre y cuando se cumplan los requisitos del encargo de tratamiento establecidos en la LOPD y el RDLOPD.
El informe concluye que, si se cumplen todos los requisitos legales y se cuenta con la legitimación adecuada, no será necesario obtener un nuevo consentimiento de los usuarios de las empresas asociadas. Sin embargo, es esencial que se suscriba un contrato de encargo de tratamiento que cumpla con las exigencias legales, asegurando que los datos se traten conforme a las instrucciones del responsable y que no se utilicen para fines distintos a los acordados. Además, se debe garantizar la seguridad de los datos y la destrucción o devolución de los mismos una vez cumplida la prestación contractual.
En resumen, el informe subraya la importancia de cumplir con la normativa de protección de datos en cualquier tratamiento de información personal, incluso cuando se utilizan técnicas como el Hash. La segmentación de bases de datos, en lugar de la depuración, es el procedimiento adecuado, siempre y cuando se respeten todos los requisitos legales y se cuente con la legitimación necesaria.