La Autoridad Nacional de Protección de Datos Personales multó a Oncosalud con 28,13 UIT por permitir el tratamiento indebido de sus clientes, quienes no autorizaron el uso de sus datos personales para fines publicitarios.

A pesar de que la compañía de seguros subcontrató a un ‘call center’ para que realicen estas llamadas, la Autoridad valoró que ello no lo excluyía de responsabilidad, pues se corroboró que tuvo capacidad de decisión e interés en la forma en que se realizaban dichos contactos.

Además, no se respetó el pedido expreso del denunciante de que se eliminara su número de teléfono de la base de datos para que dejen de llamarlo.

Inicio de proceso administrativo sancionador

Según se lee en la Resolución Directorial 3439-2021-JUS/DGTAIP-DPDP, en marzo de 2020, el denunciante reportó a la Autoridad Nacional de Protección de Datos Personales que recibió llamadas por parte de Oncosalud S.A.C. sin que anteriormente haya brindado sus datos personales. En ese sentido, pidió a los operadores que se elimine su número y no vuelvan a ponerse en contacto con él.

A modo de pruebas, el denunciante presentó la grabación en audio de un par de llamadas telefónicas en la que expresó su molestia. Incluso, en una de las llamadas la operadora le preguntó por qué no quería aceptar el seguro y que tenga en cuenta que se trataba de «un tema de cáncer».

La Autoridad pidió a la compañía denunciada que presentara el contrato que mantenía con la empresa encargada de operar las televentas y el discurso que ofrecían a los usuarios. Dicha solicitud fue aceptada y los documentos entregados.

Es así que en diciembre de ese mismo año, la Dirección de Fiscalización e Instrucción (DFI) de la Autoridad resolvió iniciar procedimiento administrativo sancionador contra Oncosaluid «por haber realizado el tratamiento de los datos persones del denunciante para fines publicitarios sin su concentimiento».

Al inicio del proceso se pidió a Oncosalud que presentara los correos electrónicos en el que corroboren que solicitó al ‘call center’ la eliminación de los datos personales del denunciante, así como la respuesta afirmativa de los mismos.

Tras finalizar sus actuaciones, la DFI recomendó imponer a la compañía aseguradora oncológica la multa de 31.50 UIT por presunta infracción a la Ley de Protección de Datos Personales: 

 

Artículo 132.- Infracciones

Las infracciones a la Ley N° 29733, Ley de Protección de Datos Personales, o su Reglamento se califican como leves, graves y muy graves y se sancionan con multa de acuerdo al artículo 39 de la citada Ley.

Son infracciones graves:

b) Dar tratamiento a los datos personales sin el consentimiento libre, expreso, inequívoco, previo e informado del titular, cuando el mismo sea necesario conforme a lo dispuesto en la Ley N° 29733 y su Reglamento.

¿Quién es responsable del tratamiento de los datos personales?

Según la Autoridad, el consentimiento para el tratamiento de datos personales en la Ley de Protección de Datos Personales es explícito y solo debe ser activado bajo la manifestación voluntaria del titular. Es decir, que debe ser el usuario quien acepte de manera expresa que se traten sus datos personales y también puede pedir que estos sean eliminados de alguna base de datos. 

Por otro lado, al acreditarse que la compañía tenía una relación contractual con el ‘call center’, existe un beneficio económico que la empresa percibe, es decir, recibe ingresos si es que algún cliente adquiere el seguro.

71. Al ejecutarse las llamadas de televentas, se procura cumplir con la prospección de los productos de la administrada con la intención de su venta, que es el interés comercial que la adminstrada encomendó a GSP y por el cual esta subcontrató a terceros; una vez que se cumplió, es cuando se puede apreciar el beneficio económico.

Durante el proceso se corroboró que la compañía de seguros oncológicos preparó el speech de venta. Además, luego de que se ejecutara la adquisición del seguro, los usuarios debían registrarse en la página web de Oncosalud para poder luego acceder a los beneficios que contrataron.

 

La elaboración y entrega de dicho discurso de venta o speech delata el control que, como responsable del tratamiento, ejerce la administrada sobre la actividad encargada; leyéndose en los frangmentos que es la misma quien activa los productos comercializados.

La empresa reconoció que no guardaba titularidad sobre el banco de datos personales que utilizaba el call center. La Autoridad recalcó que dicho desconocimiento no altera la responsabilidad sobre el tratamiento de estos mismos.

Dicho en fácil, si la empresa subcontrata a un call center debe hacerse responsable sobre el tratamiento de los datos personales de los usuarios contactados.

 

«El presente procedimiento administrativo sancionador, existiendo en ambos escenarios, distitnos, el reconocimiento de un mismo factor: la responsabilidad de la administrada sobre el tratamiento de los datos personales no incluidos en un banco de datos personales de su titularidad».

Autoridad decidió resolver el fallo a favor del denunciante

Finalmente, la Autoridad de Protección de Datos Personales sancionó con una multa de 28.13 UIT a Oncosalud. Este monto equivale actualmente a unos 120 959 soles.

Según la entidad, la compañía aseguradora dio tratamiento a los datos personales de un ciudadano para fines publicitarios sin que este haya dado su consentimiento.

 

«Corresponde imponer como medida correctiva la inclusión de medidas en las que se refuerce el control sobre las actividades que componen tales encargos, así como la comunicación con los ensubcontratados que la desarrollen, a fin de que pueda estar siempre en posición de demostrar que cumple con solicitar adecuadamente el consentimiento de los receprotes de las llamadas de televentas y con cesar el tratamiento de los datos personales que no otorgan su consentimiento».

De esta forma la Autoridad le exigió a Oncosalud tomar medidas de precaución sobre el tratamiento de sus subcontratistas y sobre la base de datos de los usuarios.

Subcontratar servicio de … by Redaccion La Ley – Perú