Con la llegada del RGPD REGLAMENTO (UE) 2016/ 679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y la LOPD Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, se erigió una sensación de inseguridad en lo que respecta las comunicaciones comerciales electrónicas, debido a la ambigüedad que la norma transmitía con las comunicaciones comerciales.
Si bien el considerando (47) “El Tratamiento en interés legítimo del responsable” reza “…El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo”, esta no deja de detonar cierta aura de ambigüedad respecto a su aplicabilidad, ya que el termino “puede” deja el concepto en una suspensión de incertidumbre constante.
Sabemos que el texto transmite el legislador tiene un halo de ambigüedad, pero esta tiene su razón de ser y, no es otra que, el propio concepto de interés legítimo contempla la necesidad de realizar una ponderación entre el interés legitimo del responsable del tratamiento o de un tercero y los intereses o los derechos y libertades fundamentales del interesado. Esto nos lleva a que cada caso deba tratarse de forma individualizada, y como no, documentada según el novedoso principio de responsabilidad proactiva, junto con otras novedades contempladas en el RGPD como la figura del Delegado de Protección de Datos (DPO), las Evaluaciones de Impacto de Protección de Datos, entre otras.
Los criterios para realizar la ponderación del interés legítimo contemplan entro otros:
- Especificar y detallar el interés legítimo del responsable o tercero.
- Los Derechos y libertades públicas de los afectados (impacto sobre los interesados, tipología de datos, tipología de colectivos afectados, expectativas del afectado respecto del tratamiento, relación con el responsable del tratamiento)
- Equilibrio provisional
- Garantías adicionales aplicadas por el responsable del tratamiento (derecho incondicional de exclusión voluntaria, técnicas de anonimización, mayor transparencia, etc).
A pesar de la ambigüedad del regulador sobre la posibilidad de fundamentar la mercadotecnia directa en el interés legítimo y de la necesidad de realizar el ejercicio de ponderación, todo parecía indicar que esta base legal podría ser la piedra filosofal para ser utilizada de forma abusiva por toda empresa deseosa de aprovechar los amplios recursos del marketing digital en nuestro entorno digital actual.
Todo pintaba bien, demasiado bien, hasta que la AEPD emitió el informe jurídico 0195/2017 que vino clarificar muchas cuestiones de la mercadotecnia que desde la llegada del RGPD directa deambulaban por la tierra media de la ambigüedad. En el informe la consultante establece si es aplicable la base legal del interés legitimo en el tratamiento para fines de mercadotecnia, publicidad y comunicaciones comerciales en línea con el desarrollo del negocio que realice la entidad de sus propios productos y/o servicios.
La AEPD, en lo referente a comunicaciones comerciales electrónicas establece que para este tipo de comunicaciones debe acudirse, para resolver la cuestión planteada, a La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE) pues esta se constituye como norma especial en relación con estas cuestiones, de forma que las causas legitimadoras para el tratamiento de los datos a las que se refiere el artículo 6 del Reglamento General de Protección de Datos (consentimiento, cumplimiento de una obligación legal, ejecución de un contrato, protección de los intereses vitales del interesado o de otra persona física, cumplimiento de una misión realizada en interés público e interés legítimo), norma que regula con carácter general el tratamiento de datos de carácter personal, han de ceder ante la regla especial de la LSSICE ya que en caso contrario esta norma quedaría vaciada de contenido.
Que nos dice entonces el famoso artículo 21 de la LSSICE, principalmente dos cosas:
1 – Regla General: Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
2.- Excepción a la regla general No será de aplicación lo anterior cuando:
- exista una relación contractual previa
- que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario
- solo para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
- El prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
Después de tantas vueltas, parece ser que volvemos a estar en el mismo punto donde nos encontrábamos antes de la llegada del Reglamento General de Protección de Datos, aunque la parte positiva de todo esto es que llegamos a un territorio donde prevalece una mayor seguridad jurídica, ya que se tiene mayor claridad respecto los casos para los cuales debemos de utilizar el consentimiento y los casos en los que no es necesario.
Para clarificar y llevarlo a la práctica veamos algunos casos:
Ejemplo 1: Para las compras realizadas por los clientes en la plataforma ecommerce es aplicable la excepción del artículo 21 de la LSSI, ya que se cumplen todos los requisitos de la excepción del artículo 21.
Ejemplo 2: Cuando un usuario esta seleccionando productos en la cesta de la compra de un ecommerce. En este caso, no aplica la excepción del artículo 21 de la LSSI, pues el requisito de “productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente”, no se cumple ya que la compra no ha llegado a formalizarse.
Ejemplo 3: suscripción a un programa de fidelización. En este caso, entendemos que tampoco aplica la excepción del artículo 21 de la LSSI, pues el requisito de “productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente”, ya que es altamente posible que la publicidad sea de productos que no son similares a los comprados, o incluso puede darse el caso de no haberla utilizado y estar recibiendo comunicaciones comerciales.
Finalmente, debemos tener presente que en un horizonte no muy lejano tenemos la propuesta de Reglamento sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y, que puede, que las normas del juego vuelvan a cambiar para bien o para mal según a quien se mire. Por ello, la figura del Delegado de Protección de Datos dentro de las Organizaciones puede y será fundamental para posibilitar un camino donde la estrategia de marketing y el cumplimiento normativo se integren en un ecosistema amigable, aunque cada vez más complejo.