Por Laura del Carre
Cuando hablamos de datos personales, se alude generalmente a dos normas: el Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales [1] (en adelante, “LOPDGDD”).
No obstante, hay que considerar que pueden existir normas especiales que regulen determinados aspectos y en estos casos, esas normas específicas aplican por encima de la lex generalis. En este sentido, y por lo que respecta a las comunicaciones comerciales, cabe tener en cuenta dos normas especiales: por un lado, la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, “LSSI”), que regula las comunicaciones remitidas por medios electrónicos y, por otro lado, la Ley 11/2022, de 28 de junio, General de Telecomunicaciones (en adelante, “LGT”), que a su vez regula las comunicaciones realizadas por la vía telefónica.
La interpretación y aplicación del artículo 66.1.b) de la LGT ha suscitado interrogantes suficientemente relevantes como para que la propia directora de la Agencia Española de Protección de Datos (en adelante, “AEPD”) haya sometido esta cuestión a consulta del Gabinete Jurídico de la AEPD. El resultado de la reflexión se ha plasmado en su reciente informe 0040/2023 [2] (en adelante, el “Informe”).
*
El texto del actual artículo 66.1.b) de la LGT dice así:
1. Respecto a la protección de datos personales y la privacidad en relación con las comunicaciones no solicitadas los usuarios finales de los servicios de comunicaciones interpersonales disponibles al público basados en la numeración tendrán los siguientes derechos: […]
b) a no recibir llamadas no deseadas con fines de comunicación comercial, salvo que exista consentimiento previo del propio usuario para recibir este tipo de comunicaciones comerciales o salvo que la comunicación pueda ampararse en otra base de legitimación de las previstas en el artículo 6.1 del Reglamento (UE) 2016/679 de tratamiento de datos personales.
Esta redacción es el resultado de la trasposición de la Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, por la que se establece el Código Europeo de las Comunicaciones Electrónicas, regulando el régimen general de las telecomunicaciones, que ha tenido un largo recorrido histórico, con múltiples revisiones y modificaciones del conocido como “paquete de telecomunicaciones”.
Con esto, damos un vuelco al régimen jurídico con respecto al que existía con la anterior reforma de 2014, dónde la ley preveía un sistema de opt-out: el derecho a oponerse a recibir llamadas no deseadas con fines de comunicación comercial que se efectuasen mediante sistemas distintos a [llamadas automáticas sin intervención humana o mensajes de fax] y a ser informado de este derecho.
Por un lado, según el nuevo artículo, existe pues la posibilidad de fundamentar el tratamiento de datos no sólo en el consentimiento (lo que sería el sistema de opt-in), sino que se permite ampararse en alguna de las establecidas en el artículo 6.1 del RGPD, entre las que se encuentra el interés legítimo (letra f).
Por otro lado, se mantiene la norma general del artículo 21.1 de la LSSI, en cuanto que se prohíbe toda comunicación publicitaria “por correo electrónico u otro medio de comunicación electrónica equivalente” sin disponer del consentimiento previo y explícito del usuario.
Sin embargo, si nos remitimos al artículo 21.2 de la LSSI existe, al menos en lo que respeta a comunicaciones por medios electrónicos, una excepción de interés legítimo con sistema de opt-out:
“Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente”.
Si además nos remitimos al Considerando 47 del RGPD, se dice textualmente que “el tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo” y que “el interesado debe tener derecho a oponerse a dicho tratamiento” (Considerado 70 y artículo 21).
¿Y entonces, cómo y bajo qué circunstancias una entidad podría omitir la solicitud del consentimiento?
En situaciones como esta, es habitual que tanto las empresas como los usuarios sientan cierta confusión sobre cuando aplica cada una y en qué medida y bajo qué circunstancias pueden acogerse a sus derechos. La duda es más que razonable, ya que constan sanciones recientes [3] de la AEPD, que van en el sentido de lo estipulado en la norma general de la LSSI. Sin embargo, los matices que plantea la AEPD son muy relevantes.
Para su argumentación, la AEPD se remonta a varias sentencias de 2011 [4], 2017 [5] y 2019 [6] del Tribunal Superior de Justicia de la Unión Europea (en adelante, “TJUE”), y al Dictamen [7] elaborado por el antiguo Grupo de Trabajo del artículo 29 en 2014.
Como reflexión inicial, y sin ánimo de detenerme mucho en ella, me ha llamado la atención que, a estas alturas, la AEPD se vea en la necesidad de precisar que el interés legítimo no es una base “de segunda”, el cajón desastre en el que se pueden meter con calzador todos aquellos tratamientos que no encajen mejor en otra base de legitimación; tampoco es el buque insignia que ampara al responsable en todo caso. El interés legítimo, implica que el interés del responsable se posiciona por encima de los derechos de los interesados y, por lo tanto, requiere una serie de circunstancias que deben darse y justificarse muy bien.
A pesar de la sólida base de antecedentes que presenta la AEPD, ésta se toma la molestia de recuperar su antiguo informe 195/2017 [8] en el que se trataba la cuestión de la mercadotecnia directa en base a la excepción planteada por el artículo 21.2 de la LSSI.
Para que aplique el interés legítimo debe realizarse un análisis de ponderación y cumplirse dos criterios acumulativos:
(i) Que se oferten productos o servicios similares al originalmente contratado: cierto es que, lo que se considera “producto similar” da lugar a un gran debate, sobre todo si le preguntamos al responsable del tratamiento. Por ello, la AEPD es bastante tajante al establecer como criba la “expectativa razonable del cliente”. Así, un producto estrechamente relacionado con el contratado (misma naturaleza o finalidad del producto, por ejemplo), podría considerarse dentro de la expectativa razonable.
(ii) Que exista una relación contractual previa: en este sentido, la AEPD considera que, derivado de esa “expectativa razonable” cabe considerar que un cliente, por el hecho de serlo, podría presuponer que va a recibir publicidad derivada de su relación comercial. Dicha expectativa razonable se descartaría completamente si éste hubiese expresado, explícitamente, su deseo de no recibir comunicaciones comerciales o si hubiese cesado voluntariamente su relación con la empresa.
Por lo que respecta a la especificidad de los datos de contacto de empresarios individuales, autónomos y profesionales liberales, la LOPDGDD contempla una presunción iuris tantum que legitima su tratamiento en estos términos, en base al interés legítimo.
La AEPD es clara: el interés legítimo es viable, mediante la realización previa de un análisis de ponderación. Si el tipo de comunicación que se va a realizar no respeta los dos elementos mencionados y no se ciñe a la interpretación que se hace de ellos, el responsable se vería obligado a solicitar el consentimiento del usuario.
*
La documentación que se ha generado (incluida una memoria del análisis de impacto normativo [9]) entra al centro de muchas cuestiones relevantes y es merecedora de una lectura pormenorizada para todo aquel que tenga interés.
Al final de su propio informe, la AEPD reconoce lo complicado de la interpretación de este artículo y anuncia el desarrollo de una Circular [10], cuyo objetivo es aportar mayor seguridad jurídica a las partes. Actualmente, el documento se encuentra en estado de borrador, sometido a audiencia pública.
Pocas veces se regulan aspectos en los que los interesados tienen voz, y desde nuestro equipo, no podemos sino animar a todas las partes interesadas a participar en este proceso de audiencia. En todo caso, el plazo para recabar la opinión de los interesados sobre este borrador de Circular está abierto hasta el próximo 22 de mayo y deberá hacerse a través de la dirección prevista a estos efectos: circularllamadas@aepd.es [11]
Links
[1] https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673
[2] https://www.aepd.es/es/documento/2023-0040.pdf
[3] https://www.aepd.es/es/documento/ps-00332-2022.pdf
[4] https://www.gub.uy/unidad-reguladora-control-datos-personales/sites/unidad-reguladora-control-datos-personales/files/documentos/publicaciones/Sentencia%20PDP%20espa%C3%B1a.pdf
[5] https://curia.europa.eu/juris/liste.jsf?num=C-13/16
[6] https://curia.europa.eu/juris/liste.jsf?language=es&num=C-40/17
[7] https://www.aepd.es/sites/default/files/2019-12/wp217_es_interes_legitimo.pdf
[8] https://www.aepd.es/es/documento/2017-0195.pdf
[9] https://www.aepd.es/es/documento/main-circular-1-2023-llamadas-comerciales-informacion-publica.pdf
[10] https://www.aepd.es/es/documento/circular-1-2023-llamadas-comerciales-informacion-publica.pdf
[11] mailto:circularllamadas@aepd.es
[12] https://www.ramonycajalabogados.es/es/noticias/mercadotecnia-directa-mediante-llamada-telefonica-la-aepd-establece-las-bases-y-criterios