El término data mining se utiliza generalmente para denominar a las prácticas de aprovechamiento de los datos recogidos por las empresas, principalmente de clientes. Aunque existen múltiples perspectivas desde las que podría tratarse el concepto, centraremos éste artículo únicamente en aquellos aspectos que se ven afectados por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos (LOPD) y, en menor medida, por la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información (LSSI).

Aunque el concepto de data mining hace referencia strictu sensu al aprovechamiento de información ya obrante en las bases de datos de las empresas, esta explotación dependerá, en gran medida, del grado de cumplimiento de los requisitos impuestos por la LOPD y por la LSSI para el proceso previo de captación. Ambas fases -de obtención y de posterior aprovechamiento- se encuentran íntimamente unidas, no siendo conveniente planificar la política de data mining sin considerarlas conjuntamente.

Centrándonos en la fase previa de captación de datos, antes de iniciar el proceso las empresas deberán ser conscientes de que se requiere notificar a la Agencia de Protección de Datos la creación del fichero correspondiente y su destino. También deberán ponerse en marcha las medidas de seguridad exigidas por la LOPD, las cuales deberán contar con diferentes niveles de seguridad dependiendo del tipo de datos recabados.

Por otra parte, si se acepta la premisa de que una de las finalidades más valoradas por las empresas es la del aprovechamiento de datos de clientes con fines de promoción y de publicidad, deberá darse en todos los casos un estricto cumplimiento a la obligación impuesta por la LOPD de informar adecuadamente a dichos afectados sobre los motivos por los que se recaban sus datos. Así, por ejemplo, la normativa no ampararía la utilización -con fines publicitarios- de la información obtenida únicamente como consecuencia de ventas de productos o de servicios a clientes. Por ello, a los efectos de poder explotar las bases de datos que las empresas obtienen en el curso de sus actividades, es primordial dar a conocer a los afectados los siguientes extremos: la existencia de un fichero con la finalidad de efectuar publicidad propia y, en su caso, de terceros; la identidad del responsable del fichero; la posibilidad de ceder, en su caso, a terceros dichos datos y la finalidad de esta cesión; y, los derechos que ostenta el afectado fundamentalmente a acceder, rectificar, cancelar y oponerse a la utilización de sus datos.

Adicionalmente, si la finalidad perseguida es asimismo la de efectuar envíos publicitarios a través de direcciones de correo electrónico, habrá de tenerse en cuenta que la LSSI regula que el consentimiento habrá de ser obtenido expresa e inequívocamente. Es decir, a nuestro entender, esta posibilidad exige un acto por parte del afectado que demuestre su consentimiento.

Otra de las consideraciones, ya mencionada y que habrá de ser prevista para la explotación de los datos, es la posibilidad de su cesión a terceros. Ésta podrá tener dos finalidades: el mero tratamiento o almacenamiento de datos por parte de terceros y la explotación de la información por otras entidades. La primera requiere la formalización por escrito de sus términos y condiciones. La segunda precisa que los afectados hayan sido informados y que hayan dado su consentimiento a esta posibilidad. En este último caso, si se trata de una transferencia de datos con destino a otros países, la normativa obliga a dar cumplimiento a determinados requisitos adicionales, los cuales dependerán, entre otras cosas, del país de destino de los mismos.

En cuanto a la segunda de las fases, es decir, la explotación de ficheros de datos en conformidad con los fines consentidos por los afectados, ha de indicarse que también se encuentra regulada por la normativa vigente. Así, en conformidad con lo dispuesto en la LOPD, habrá de darse cumplimiento a las medidas de seguridad que eviten la alteración, pérdida o acceso no autorizado a los datos de carácter personal. La norma citada también obliga a que las bases de datos sean actualizadas y canceladas cuando dejen de ser necesarias para la finalidad para la cual hubiesen sido recabadas. Esto quiere decir que la información obtenida por las empresas no podrá ser mantenida indefinidamente, quedando a criterio de los responsables de los ficheros su cancelación cuando desaparezcan los motivos para los que los datos fueron obtenidos.

Para finalizar y, como consecuencia de cuanto antecede, resulta posible afirmar que una adecuada explotación de las bases de datos -o data mining- ha de conllevar una necesaria observancia previa de los requisitos aplicables a la obtención de dichas bases.

Guillermo Pla Otáñez
Abogado

Berta López-Baillo
Abogado