ENVIO DE COMUNICACIONES COMERCIALES Y PROTECCIÓN DE DATOS
Ha pasado ya un año y medio desde aquel aluvión de emails a resultas del RGPD, y aun hoy siguen preguntándonos sobre la misma cuestión. Las comunicaciones comerciales y su implicación con el RGPD.
Debemos partir de la definición de comunicación comercial, que es toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona, que realice una actividad comercial, industrial, artesanal o profesional.
¿Necesito el consentimiento de los destinatarios para envío de publicidad?
Como norma general, sí se requiere el consentimiento de los destinatarios para remitirles publicidad.
No obstante, de acuerdo con el RGPD, y la Ley 34/2002Enlace añadido por la extensión vLex, de Servicios de la Sociedad de la Información (“LSSI”), existen causas que legitiman el envío de publicidad sin necesidad de consentimiento.
Concretamente, una empresa puede remitir publicidad cuando sus destinatarios se hayan convertido previamente en clientes, ya que se considera que existe un interés legítimo de la empresa en el tratamiento de datos de sus clientes con fines de marketing y publicidad.
En todo caso, la publicidad remitida debe estar relacionada con productos o servicios similares a los que inicialmente fueron contratados por el cliente.
¿Cuándo debo incluir en las comunicaciones comerciales la opción de darse de baja?
Debe incluirse la posibilidad de revocar el consentimiento u oponerse a la publicidad, tanto en las cláusulas de información y consentimiento, como en todas las comunicaciones que se remitan.
Los medios ofrecidos para ello deben ser especialmente sencillos, y si la publicidad se remite por medios electrónicos, es necesario que se facilite un email a este efecto.
¿A qué riesgos me expongo si la publicidad que envío no es legal?
Las consecuencias por envío de publicidad pueden consistir en cuantiosas multas y graves impactos reputacionales.
Así, por ejemplo, una infracción por realizar SPAM (envío de publicidad no solicitada) puede suponer la imposición de una sanción de hasta 150.000 euros de acuerdo con la LSSI, y de acuerdo con el RGPD las sanciones podrían ser de cuantía superior, pudiendo llegar hasta el 4% de la facturación anual del ejercicio anterior o a los 20 millones de euros.
¿Qué deben hacer las empresas de publicidad para cumplir con la normativa en materia de protección de datos?
Con el fin de cumplir las normas mencionadas, y garantizar el principio de transparencia en el tratamiento de datos, recomendamos que en la cláusula de recogida de consentimiento del cliente (ya sea para actividad de fidelización, registro de datos en el programa informático u otros servicios), se incluya una casilla de autorización para recibir publicidad sobre los servicios de la empresa.
De esta forma, el consentimiento se prestará por el cliente de forma específica, y será la causa de legitimación inequívoca para realizar publicidad.
En los casos en los que no resulte necesario solicitar consentimiento expreso, por existir otras causas que legitimen el tratamiento, recomendamos colocar cartel informativo u otra vía para hacer llegar al cliente la información sobre el tratamiento de sus datos, en el que se haga alusión al fin comercial.
De igual manera, recomendamos crear un canal de comunicación específico para gestionar de forma diligente las solicitudes de baja de clientes y excluirlos de toda acción comercial.
En cualquier caso, lo fundamental será siempre contar con la consulta de un profesional experto en esta materia antes de lanzar cualquier campaña publicitaria que pueda comprometer la seguridad jurídica y reputacional de la empresa.
Reglamento
El Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) define el consentimiento en su artículo 4.1. como
“toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa. El tratamiento de datos personales que le conciernen”.
Es decir, no cabe el consentimiento tácito.
Y el considerando 32 del RGPD establece lo siguiente:
“El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado».
Debe aceptar el tratamiento de datos de carácter personal que le conciernen, con una declaración por escrito, inclusive por medios electrónicos.
Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales.
Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.
El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines.
Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos.
Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.
Comunicación
Por otro lado, al tratarse de comunicaciones electrónicas debe tomarse en consideración la aplicación de la Ley 34/2002, de 11 de julio. De Servicios de la sociedad de la información y de comercio electrónico (LSSICE), por ser norma especial. Y por tanto, no podrá acudirse en este punto a las previsiones del RGPD.
La LSSICE en su artículo 21 establece:
“1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario, y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa, que sean similares a los que inicialmente fueron objeto de contratación con el cliente”.
Por tanto, en estos supuestos, la regla general es el consentimiento expreso del interesado, a menos que dichas acciones se refieran a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
Sin carácter comercial
Por otro lado, si los correos electrónicos que se envíen no tienen el carácter de comerciales, igualmente el tratamiento de los datos de las personas físicas (y no jurídicas), se encontrará sujeto a lo previsto en el RGPD.
El responsable del tratamiento debe encontrarse legitimado para llevar a cabo dichos tratamientos, encontrando dichas causas legitimadoras, y entre ellas cabe destacar el interés legítimo.
La determinación de si existe un interés legítimo requiere ponderar por el responsable, si dicho interés prevalece sobre los derechos y libertades fundamentales del interesado.
En el caso de que el mismo prevaleciese, podría llevar a cabo tales tratamientos, pero en todo caso, el interesado podrá oponerse a dichos tratamientos conforme a lo dispuesto en el artículo 21 del RGPD.