Desde el punto de vista jurídico, vivimos en tiempos de gran incertidumbre, donde las importantes modificaciones y dispersión normativa caracterizan a muchos sectores, sin que se pueda dar puntada sin hilo. Así, una de las materias más importantes que está viviendo una auténtica revolución, con dolor de cabeza incluido, es la protección de datos, y como además es transversal a todas las áreas, nadie puede quedarse indiferente.
Ya conocemos que desde el pasado 25 de mayo, el famoso Reglamento General de Protección de Datos (RGPD) pasó a ser aplicable con todo lo que suponía y con el desconocimiento -incluso de los que nos intentamos dedicar, con mayor o menor fortuna, a esto- de su gran repercusión. A seis meses desde entonces, parece que por fin la nueva ley – Proyecto de Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales– está a punto de salir, pues se aprobó por unanimidad en el Congreso el pasado 18 de octubre, a la espera de que se apruebe por el Senado; y ,por su parte, la Agencia Española de Protección de Datos (AEPD), ha publicado el Informe sobre Políticas de Privacidad e Internet (Informe) conforme su adaptación al RGPD.
El mismo se publica con la finalidad de dictar recomendaciones después de haber hecho una prospección de distintos sectores en su entorno online, tales como sector seguros, hotelero, trasponte y comercio electrónico. Igualmente matiza o, en su caso, perfila, recomendaciones que ya se indicaron en guías o informes anteriores. Lo cierto es que se hubiera agradecido que estas directrices nos hubieran sido facilitadas (no ya hace 6 meses, sino incluso antes), para que las asesorías que estamos trabajando en ayudar a nuestros clientes a adecuarse al RGPD, pudiéramos hacerlo con un criterio más filtrado acorde a nuestra querida AEPD. Pero, en cualquier caso, se agradece poder contar con este tipo de Informe.
Uno de los puntos que me gustaría resaltar es el estudio que la AEPD realiza respecto de la legitimación para la mercadotecnia directa –más o menos, cuando se realiza publicidad de manera directa con los clientes para impulsar las ventas-, derivado del artículo 6.1.f en relación con el considerando 47 del RGPD que señala que el interés legítimo de un responsable de tratamiento «podría darse, por ejemplo, cuando existe una relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o está al servicio del responsable» y que «el tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo». Es decir, que con estas disposiciones se abre la posibilidad a que una empresa pudiera enviar publicidad a sus clientes sin necesidad de pedir consentimiento.
A este respecto hay que recordar que dentro de los medios por los que una empresa puede dirigirse a sus clientes, está el correo ordinario, por vía telefónica, los mensajes de texto y por correo electrónico.
Para este último caso, el correo electrónico, hay que recordar que no sólo debemos tener en cuenta la aplicación de la protección de datos, sino –entre otras- la normativa relativa al comercio electrónico, representada en España por la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (la archiconocida LSSI). Pues bien, la AEPD, como así también hemos indicado muchos, pone en relación este régimen del RGPD con el artículo 21 de la LSSI, «el cual exige que estas comunicaciones hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas, o bien, que ‘exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente´«.
Es decir, que cuando un cliente deja de serlo, sólo podremos mandarle publicidad de todo tipo por correo electrónico cuando nos dio su consentimiento previamente (y tendremos legitimado el tratamiento en su el consentimiento del interesado), o bien mandarle publicidad únicamente de «productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación» (basando la legitimación, en este caso, en el interés legítimo). Eso sí, recordaros que en toda comunicación electrónica que hagamos en este sentido, siempre, tenemos que dar la opción de que el receptor se oponga a recibir ésta.
Pero como antes indicaba, la publicidad directa no sólo se realiza por correo electrónico, sino por otras vías, como puede ser la postal o la telefónica. En estos casos no se aplica la LSSI, por lo que hay que estar a lo que disponga el RGPD y su normativa aplicable. En estos casos, por tanto, como recuerda la AEPD de su Informe 0195/2017, se podrán enviar comunicaciones comerciales a los que sean actuales clientes del responsable con base en el interés legítimo, sin necesidad de su consentimiento, siempre que se refiera a productos o servicios similares a los inicialmente contratados. Pero para enviarles publicidad de otros productos y servicios, aunque sean clientes, necesitaremos su consentimiento inequívoco. Sobra decir que para enviar publicidad por estos medios no electrónicos, a quienes no son clientes, únicamente podremos hacerlo una vez que hayamos obtenido su consentimiento.
Y como siempre, en todo caso, proveer la posibilidad de oponerse. Reitero esta idea, porque en el Informe se matiza que el sector hotelero es uno en donde «pocas empresas analizadas informan del derecho del interesado a retirar en cualquier momento su consentimiento para el tratamiento de sus datos personales».
Finalmente, respecto a cuándo poder obtener dichos consentimientos, teniendo en cuenta que en el sector turístico los datos pueden venir o bien, del mismo interesado –en cuyo caso, no hay dificultad en solicitarlo cuando se recaben los datos; o bien, por a través de terceros (distintos proveedores, OTA’s, banco de camas, etc.), en cuyo caso se le debe informar antes de un mes desde que se obtuvieron los datos personales, o antes o en la primera comunicación con el interesado, o antes de que los datos (en su caso) se hayan comunicado a otros destinatarios. Por ejemplo, en el caso de un hotel, como independientemente de donde provengan los datos del huésped, éste tiene que hacer el check-in, en el momento de recogida de datos y de firma del contrato de hospedaje, al interesado se le puede facilitar la información respecto a la protección de datos y asimismo solicitar, en su caso, el consentimiento para el envío de publicidad de productos o servicios distintos del hospedaje en sí.
Conforme a todo lo indicado, es muy importante que en toda auditoria que las empresas estén realizando para adecuarse al RGPD, tengan en cuenta estos aspectos para, como así aconsejamos a nuestros clientes, poder «sanear» sus bases de datos y poder determinar tanto si los datos fueron obtenidos de manera lícita, así como si los obtenidos que estén basados en el consentimiento, que este fuera recabado conforme al RGPD, puesto que se ha pecado mucho de solicitar nuevamente consentimientos sin ton ni son, que además de aburrir al destinatario, ha producido un sobre esfuerzo en muchas empresas que era innecesario.