El tratamiento de datos personales con fines comerciales o publicitarios

1.- Introducción

La búsqueda de clientes y la fidelización de los mismos, a través de técnicas de publicidad y prospección comercial, son actividades necesarias para la supervivencia de las empresas. Sin embargo, estas prácticas no son aceptables a cualquier precio, sobre todo si se puede ver perjudicado el derecho a la protección de datos de los interesados: clientes y potenciales clientes.

Así, las empresas, como responsables del tratamiento, han de asegurarse en todo momento de que se encuentran legitimadas para utilizar los datos personales de los interesados con fines comerciales y publicitarios.

Veamos los diferentes supuestos que se pueden dar.

2.- Utilización de bases de datos propias con fines comerciales o publicitarios

Si atendemos a la Ley Orgánica de Protección de Datos (en adelante, LOPD), y a su Reglamento de desarrollo (en adelante, RLOPD), una entidad podrá utilizar los datos de contacto de clientes o potenciales clientes con fines comerciales o publicitarios en los siguientes casos:

  1. Cuando el titular de los datos haya prestado su consentimiento para ello.
  2. Cuando dichos datos figuren en una «fuente accesible al público», que son aquellos ficheros cuya consulta puede ser realizada por cualquier persona, siempre que no lo prohíba una norma o sin más exigencia que, en su caso, el abono de una contraprestación. Son «fuentes accesibles al público» el censo promocional, los repertorios telefónicos, los boletines o diarios oficiales e, incluso, los medios de comunicación, entre otras.

Ahora bien, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (Reglamento General de Protección de Datos -en adelante, RGPD-), el cual se aplica directamente desde el pasado 25 de mayo de 2018, viene a matizar estas previsiones de la LOPD y del RLOPD por medio de dos importantes novedades que han de ser tenidas en cuenta:

  1. El consentimiento del interesado ha de ser expreso, por lo que no cabe, como ocurría hasta la aplicación del RGPD, el consentimiento tácito.
  2. El Considerando 47 RGPD añade otra vía para que la utilización de los datos de contacto de los interesados con fines comerciales o publicitarios sea lícita, en la medida en que determina que «[e]l tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo». Así, este Considerando entronca con la previsión establecida en el artículo 6.1.f) RGPD, en virtud del cual se otorga licitud al tratamiento de datos personales «necesario para la satisfacción de intereses legítimos del responsable del tratamiento o de un tercero», si bien advierte que ello concurrirá siempre y cuando no prevalezcan intereses y derechos fundamentales de los interesados.

3.- Adquisición de ficheros de potenciales clientes en el mercado

Tal es la importancia de la actividad publicitaria y de prospección comercial, que muchas entidades se deciden a adquirir ficheros con los datos de contacto de potenciales clientes para estos fines. De hecho, existen empresas dedicadas a realizar estas labores de intermediación (denominadas «list brokers»). En cualquier caso, esta práctica requiere una vía que legitime el tratamiento de los datos en los términos expuestos en el apartado anterior.

Es importante precisar que, con el fin de evitar sanciones de la Agencia Española de Protección de Datos (en adelante, AEPD) por tratamiento ilegítimo de datos, la empresa adquirente habrá de tener en cuenta, como mínimo, las siguientes previsiones legales:

  • Que el vendedor o «list broker» debe emitir una declaración mediante la cual confirme que la información ha sido obtenida bien de una «fuente accesible al público», o bien con el consentimiento expreso del interesado para recibir comunicaciones comerciales.
  • Que las «fuentes accesibles al público» pierden su consideración de tal con la publicación de nuevas ediciones, o al año de su obtención en formato electrónico.
  • Que debe informar al destinatario del origen de los datos y del responsable del tratamiento. Además, debe indicar la posibilidad de ejercitar los derechos en materia de Protección de Datos y atender las solicitudes de los interesados a tal fin.
  • Que el responsable del tratamiento debe consultar un fichero actualizado de exclusión del envío de comunicaciones comerciales (lo que se suele denominar, una «lista Robinson»), a fin de evitar que quienes se relacionan en dicho fichero reciban publicidad.

4.- Las comunicaciones comerciales no solicitadas con fines de venta directa

Por lo demás, se ha de tener en cuenta que la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones ha realizado importantes cambios en la regulación de las comunicaciones comerciales no solicitadas por los interesados y con un fin de venta directa. 

4.1.- Comunicaciones comerciales no solicitadas por vía electrónica («spam»)

Entre las novedades introducidas por la Ley 9/2014, destaca la modificación de diferentes aspectos de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, LSSICE).

Así, actualmente se prevé la prohibición de envío de comunicaciones publicitarias o promocionales por correo electrónico (u otro medio de comunicación electrónica equivalente), que previamente no hubieran sido solicitadas o expresamente autorizadas por sus destinatarios. Por tanto, en estos casos, la Ley deja claro que la existencia de la dirección de correo electrónico del interesado en «fuentes accesibles al público» no basta para justificar actividades publicitarias o promocionales, pues se precisa en todo caso su consentimiento expreso. 

4.2.- Comunicaciones comerciales no solicitadas por vía telefónica

Por su parte, en lo que se refiere a las llamadas telefónicas no solicitadas con fines de venta directa, el artículo 48.1 de la Ley 9/2014 señala que los usuarios finales de los servicios de comunicaciones electrónicas tendrán los siguientes derechos:

  1. A no recibir llamadas automáticas sin intervención humana o mensajes de fax, con fines de comunicación comercial, sin haber prestado consentimiento previo, expreso e informado.
  2. A oponerse a recibir llamadas no deseadas con fines de comunicación comercial que se efectúen mediante sistemas distintos de los establecidos en la letra anterior, y a ser informado de este derecho. En tales casos, salvo que medie consentimiento expreso, no se pueden realizar estas llamadas a personas que no figuren en guías telefónicas (que supondría una «fuente accesible al público») ni a las que, aún apareciendo en estas guías, hayan indicado que sus datos no sean utilizados con fines comerciales o publicitarios.

4.3.- Régimen sancionador por infracciones relacionadas con las comunicaciones comerciales

La AEPD es competente para sancionar incumplimientos de la LSSICE por infracciones relacionadas con comunicaciones comerciales electrónicas. Tal potestad sancionadora se da tanto cuando el destinatario de la comunicación es una persona física como cuando se trate de una persona jurídica, a diferencia de lo que ocurre con la LOPD, que solo protege a las personas físicas.

Además, las sanciones previstas en la LSSICE, respecto de las comunicaciones electrónicas, son aplicables cuando no se respeta el derecho de los abonados a no recibir llamadas automáticas sin intervención humana o mensajes de fax con fines de venta directa sin haber prestado su consentimiento previo, expreso e informado para ello.

5.- Conclusiones

La actividad comercial y publicitaria es una práctica muy habitual y necesaria entre las empresas. Sin embargo, suele entrar en colisión con el tratamiento de los datos personales de clientes o potenciales clientes. La clave para que dicho tratamiento sea lícito se sustenta en tres pilares fundamentales: el consentimiento expreso del interesado, las «fuentes accesibles al público», o el interés legítimo del responsable del tratamiento.

Ahora bien, la cuestión no es nada sencilla y da lugar a un sinfín de controversias, especialmente por dos razones fundamentales:

  1. Porque el interés legítimo del responsable del tratamiento se ha de ponderar con los intereses y derechos fundamentales del afectado.
  2. Y porque, en aplicación del RGPD, la habilitación legal para tratar datos personales recopilados de «fuentes accesibles al público», decae en muchas ocasiones si el interesado no presta expresamente su consentimiento.

En consecuencia, se trata de una materia en la que todas las partes (interesados, organizaciones y, en ocasiones, terceras entidades implicadas) precisan conocer con exactitud los derechos y obligaciones existentes. Es por ello que, desde LEALTADIS ABOGADOS, a través de nuestro Departamento de Protección de Datos, ofrecemos nuestros servicios profesionales a todos los sujetos intervinientes que deseen recibir asesoramiento al respecto y pueden solicitar información si así lo desean.

Germán Serrano Rodríguez.
Departamento de Protección de Datos.
Lealtadis Abogados.