¡Comparte en redes sociales!

Protección de datos en el envío de comunicaciones comerciales

En la actualidad los métodos de comunicación han cambiado y las reglas comerciales también. Por eso, a la hora de hablar de protección de datos en el envío de comunicaciones comerciales debemos distinguir dos tipos de comunicaciones:

Comunicaciones Electrónicas

Nos referimos, fundamentalmente, a los correos electrónicos o emails; aunque también entran en esta categoría el fax, los mensajes de WhatsApp, los SMS y MMS y otros medios similares.

Cuando las comunicaciones se llevan a cabo por medios electrónicos, hay que atenerse a lo establecido en el art. 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.

De dicho artículo se sacan dos conclusiones:

  • Se prohíbe expresamente enviar correos electrónicos sin tener el consentimiento del destinatario (ya sea una persona física o una empresa). 
  • Sólo existe una excepción al respecto: podremos enviar emails comerciales, aun no teniendo el consentimiento del destinatario, si ya hemos mantenido una relación contractual previa con dicho destinatario y siempre que se trate de productos o servicios similares a los que inicialmente fueron objeto de contratación. No existen más excepciones. Podríamos considerar entonces, que la base legal en este supuesto sería la contenida en el art. 6.1.b del RGPD: el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.

En cualquier caso, tendremos que facilitar al destinatario la posibilidad de oponerse al envío de publicidad, incluyendo una dirección de correo electrónico en cada una de las comunicaciones comerciales que realizamos para solicitar la oposición/baja de estos envíos.

Proteccion de datos en el envio de comunicaciones comerciales

Comunicaciones no electrónicas

En otro caso, es decir, cuando las comunicaciones se realicen por medios no electrónicos será preciso que el tratamiento se ampare en las dos siguientes bases legales:

  • Bien en la prestación de un consentimiento.
  • Bien que sea de aplicación el artículo 6.1 f) del Reglamento, según el cual podrá tener lugar el tratamiento, en el ámbito del sector privado, si el mismo “es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

En relación con la primera base, el consentimiento, este debe ser expreso. No puede ser tácito y debe ser diferenciado del resto de finalidades para las que el responsable va a utilizar los datos de carácter personal.

Por lo que respecta a la segunda, esto es, intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, el considerando 47 recuerda que el interés legítimo de un responsable, de un cesionario o de un tercero, “puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable”, añadiendo posteriormente que “en cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin.

En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior”. 

Dicha ponderación debe tener en cuenta:

  • Que se trate de un producto o servicio similar al previamente contratado por el cliente, no extendiéndose a otros. 

    Habrá que determinar exhaustivamente el concepto de “similitud entre servicios o productos”, ya que hay situaciones en las que no queda claro y tendremos que esperar más aclaraciones de la AEPD.
  • Debe realizarse siempre que el interesado mantuviera una relación con la entidad, sin afectar a aquellos casos en que el cliente hubiese cesado en esa relación. 

    Cuando se trata de una prestación de servicios de tracto sucesivo, con plazo de tiempo determinado, está claro que existe un plazo determinado en el cual podemos considerar cuando una persona es cliente o no de la entidad.

    En los casos donde no es un servicio lo que se presta, sino que se trata de la compra de un producto; podríamos considerar que sigue existiendo relación comercial mientras dure la garantía del producto.

    Sin embargo, existen otros casos, como la prestación de servicios instantáneos o la compra de un producto perecedero, que no disponga de garantías legales suficientemente amplias, donde determinar si se trata de un cliente activo o de un ex-cliente no es tan sencillo.

    En estos supuestos, recomendamos obtener el consentimiento del interesado para poder utilizar sus datos con fines publicitarios.
  • Que la mercadotecnia o el envío de comunicaciones no puede partir de la elaboración de perfiles exhaustivos del interesado mediante la combinación de diferentes fuentes de información para las que no ha dado su consentimiento. 

    En estos casos, al combinar la finalidad publicitaria con la del perfilado del interesado, requiere del estudio de varias connotaciones y posibilidades que se verán más adelante en este informe.

    Por otro lado, se deduce que la elaboración de perfiles exhaustivos sólo es posible mediante tratamientos tecnológicos avanzados, por lo que no debería ser posible, en tratamientos manuales.

Además, el Reglamento General De Protección de Datos enumera algunos supuestos que pueden ser tomados en consideración para determinar la aplicabilidad de dicha regla. 

Así, se señala que “El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo”.

Por otro lado, si las normas reguladoras de la privacidad en las comunicaciones electrónicas, que establecen un régimen especialmente estricto a la hora de obtener el consentimiento del interesado exceptúan de dicho consentimiento el supuesto referido a comunicaciones relativas a “productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente”, cabe deducir que esta regla sería aplicable por analogía a los supuestos en que dichos requisitos son menos exigibles; es decir, a las acciones realizadas a través de otros canales de comunicación.Para la licitud del tratamiento basado en el interés legítimo, también es necesario que se cumpla con el resto de los requisitos establecidos en la normativa de protección de datos, entre los que interesa destacar los siguientes:

  • Cumplimiento del deber de información previsto en los artículos 13 y 14 del RGPD. En cada comunicación comercial se informará de dichos extremos.
  • Asimismo, deberá tenerse en cuenta la regulación de los sistemas de exclusión publicitaria contenida en el artículo 23 de la citada Ley Orgánica 3/2018; es decir, deben consultarse los sistemas de exclusión publicitaria a menos que la persona afectada hubiera prestado, conforme a lo dispuesto en esta ley orgánica, su consentimiento para recibir la comunicación a quien pretenda realizarla.
  • Debe garantizarse el ejercicio del derecho de oposición conforme a lo previsto en los apartados 2 y 3 del artículo 21 del RGPD; es decir, el interesado puede oponerse al tratamiento de sus datos personales que tenga por objeto la mercadotecnia directa (incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia).

    Se debe facilitar un medio sencillo y gratuito para el ejercicio del derecho de oposición al tratamiento de datos con fines de mercadotecnia sin que afecte a otros tratamientos. En estos casos, el responsable podrá conservar los datos identificativos del afectado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnia directa.

¿Quieres estar al día de la Dirección de Compliance & Protección de Datos y convertirte en un experto? Con nuestro Máster en Dirección de Compliance & Protección de Datos podrás ser un/a profesional de alta cualificación en tan solo 12 meses

Elías Vallejo

Consultor Senior en Protección de datos y Compliance Penal.

Suscríbete a nuestra newsletter para estar al día de todas las novedades

EIP International Business School te informa que los datos del presente formulario serán tratados por Mainjobs Internacional Educativa y Tecnológica, S.A.U. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales es gestionar tu suscripción a la newsletter así como para el envío de información comercial de los servicios del responsable del tratamiento. La legitimación es el consentimiento explícito del/a interesado/a. No se cederán datos a terceros, salvo obligación legal. Podrás ejercer tus derechos de acceso, rectificación, limitación y supresión de los datos en cumplimiento@grupomainjobs.com, así como el derecho a presentar una reclamación ante la autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de datos en la Política de Privacidad que encontrarás en nuestra página web.
Blog Master Dpo

Deja un comentario

EIP International Business School te informa que los datos del presente formulario serán tratados por Mainjobs Internacional Educativa y Tecnológica, S.A.U. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales es gestionar tu suscripción a la newsletter así como para el envío de información comercial de los servicios del responsable del tratamiento. La legitimación es el consentimiento explícito del/a interesado/a. No se cederán datos a terceros, salvo obligación legal. Podrás ejercer tus derechos de acceso, rectificación, limitación y supresión de los datos en cumplimiento@grupomainjobs.com, así como el derecho a presentar una reclamación ante la autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de datos en la Política de Privacidad que encontrarás en nuestra página web.