Comunicaciones comerciales electrónicas de acuerdo con la Ley de Servicios de la Sociedad de la Información y la Ley Orgánica de Protección de Datos


Pormathiasfoletto- Postado em 15 outubro 2012

 

 

De: Javier Prenafeta Rodríguez
Fecha: Noviembre 2002
Origen: Leggio

La recientemente aprobada LSSI obliga a las empresas a solicitar el consentimiento a sus usuarios para poder enviarles comunicaciones comerciales por vía electrónica e informarles de una serie de cuestiones. En este artículo se analizará la práctica habitual observada en estos inicios por parte de muchas entidades, cómo debe realmente realizarse esto y los problemas existentes.

Estimado usuario:

Como sabe, desde [Empresa X] estamos comprometidos con la privacidad de los datos de nuestros suscriptores y clientes. Por este motivo ponemos en su conocimiento los cambios que a usted le afectan con la nueva Ley.

En previsión de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico y de la vigente Ley Orgánica de Protección de Datos, estamos obligados a comunicarle que su dirección de email figura en la base de datos de nuestra empresa para el envío de noticias y ofertas, formando parte de un fichero automatizado, e informarle de su opción de cancelación o modificación de sus datos.

Por tanto, si desea cancelar su suscripción, haga clic en el enlace ..... y presione enviar.

Si por cualquier motivo decide no hacer nada, su dirección de correo electrónico seguirá en nuestra base de datos, entendiéndose que acepta los términos y condiciones de la suscripción, expresados en este Aviso Legal.

Agradeciendo su colaboración para poder seguir ofreciéndole nuestros servicios y reiterando nuestro firme compromiso de uso responsable de sus datos, aprovechamos la ocasión para saludarle muy cordialmente.

El mensaje anterior es un buen ejemplo de lo que recientemente se ha venido haciendo a fin de "adaptarse" a la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) y, como si viniera de paso, a la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) por buena parte de las empresas que proporcionan bienes o servicios a través de Internet. Últimamente se han enviado multitud de mensajes como este, con algunas variaciones y más o menos afortunados, pero básicamente iguales, lo que demuestra el desconocimiento de la LSSI y de LOPD, y de las consecuencias que estas normas han tenido en el envío de mensajes de correo electrónico.

En primer lugar, hay que tener en cuenta que por comunicaciones comerciales se entiende, según el Anexo de la LSSI, toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional. Por tanto, todo lo que sea publicidad u oferta de productos o servicios por estas entidades o personas entraría en este concepto, y no, como últimamente se ha visto, el envío de boletines de noticias o simplemente informativos, a menos que ofrezcan algún producto o servicio. Estos casos no entrarían dentro de lo que es "promoción", sino que se trataría del simple prestación de un servicio de información al que se han suscrito voluntariamente los usuarios, aunque sea gratuito. No toda comunicación que se envíe a un grupo de usuarios tiene por qué ser comunicación comercial ni, por tanto, estar sujeta a los requerimientos de información y consentimiento que se indican en la Ley1.

En segundo lugar, otro problema podría venir con lo que puede entender por "promoción indirecta", que deja un margen de interpretación demasiado amplio, si bien por esto se suele considerar, en lo que a este tipo de comunicaciones se refiere, al intercambio de enlaces o banners que suelen pactar algunas empresas y por el que en ocasiones se añaden contenidos ajenos, con ofertas de productos o servicios, en los mensajes de correo electrónico.

Deber de información

A menudo se suele mezclar, en este tipo de comunicaciones comerciales, lo dispuesto en la LSSI y lo que establece la LOPD, si bien conviene hacer algunas distinciones.

En primer lugar, el ámbito de aplicación de ambas leyes es distinto, ya que la LSSI, se refiere a los destinatarios de estas comunicaciones sin distinción alguna, por lo que se aplica a todo receptor de las mismas, ya sean personas físicas o entidades públicas o privadas.

Por otro lado, la LOPD se aplica, como es bien sabido, sólo a los datos de carácter personal, y, en consecuencia, en estos casos, sólo a los destinatarios de mensajes de correo electrónico que sean personas físicas. En este sentido, además de la información y consentimiento que debe prestarse a efectos de la LSSI y que se señala a continuación, deberá informarse de lo que indica el artículo 5 de la LOPD, que conviene recordar, de acuerdo con la siguiente distinción:

  • Si la dirección de correo electrónico se obtiene del propio titular, deberá informarse de la existencia de un fichero o lista con direcciones de correo electrónico, que se utiliza para el envío de comunicaciones publicitarias, promociones u ofertas, de la identidad y dirección del responsable del fichero (la empresa o entidad titular del mismo, que decide sobre su finalidad, contenido y uso2), de los derechos que le asisten, y las demás circunstancias del primer párrafo del artículo 5 de la ley, todo ello con carácter previo a la recogida de los datos. Por tanto, si los datos se recogen, como es habitual, a través de una página web, deberá hacerse expresa referencia a estas cuestiones en el formulario correspondiente, no bastando la simple inclusión de esta información en un "aviso legal" o "política de privacidad" ubicado en otra página distinta dentro del sitio web, ya que con esto no se garantizaría que el interesado ha sido debidamente informado3.

  • Si la dirección de correo electrónico no se ha obtenido del propio interesado sino de otra entidad (cesión de datos) o incluso de otra persona (un familiar o conocido, por ejemplo), la información deberá facilitarse dentro de los tres meses siguientes al registro de los datos4. Esto obliga, necesariamente, a ponerse en contacto con los futuros destinatarios de comunicaciones comerciales para cumplir estos requerimientos, lo que perfectamente puede hacerse por correo electrónico.

  • Si la dirección de correo electrónico se obtiene de fuentes accesibles al público, esto es, únicamente, el censo promocional, los repertorios telefónicos, las listas de personas pertenecientes a grupos profesionales, los diarios y boletines oficiales y los medios de comunicación5, y se destinen a actividades de publicidad o prospección comercial (deben cumplirse las dos condiciones), no habrá que informar de estas cuestiones en el plazo anterior, sino que, en cada comunicación que se dirija al interesado se le informará del origen de los datos, de la identidad del responsable del tratamiento y de los derechos que le asisten (acceso, cancelación, rectificación y oposición en relación con los mismos).

Por otro lado, la LSSI regula las comunicaciones comerciales por vía electrónica en sus artículos 19 a 22 estableciendo las siguientes reglas:

  1. Las comunicaciones comerciales realizadas por vía electrónica deberán ser claramente identificables como tales y deberán indicar la persona física o jurídica en nombre de la cual se realizan. En caso de que se realicen a través de algún medio de comunicación electrónica incluirán, al comienzo del mensaje, la palabra publicidad.

  2. En los supuestos de ofertas promocionales, como las que incluyan descuentos, premios y regalos, y de concursos o juegos promocionales, previa la correspondiente autorización, se deberá asegurar, además del cumplimiento de los requisitos establecidos en el apartado anterior y en las normas de ordenación del comercio6, que queden claramente identificados como tales y que las condiciones de acceso y, en su caso, de participación, se expresen de forma clara e inequívoca.

  3. Se requerirá la solicitud del consentimiento o autorización expresa para el envío de dichas comunicaciones por vía electrónica. En el caso de solicitarse dicha autorización durante el proceso de contratación o suscripción a un servicio, deberá comunicarse dicha intención y solicitarse el consentimiento antes de finalizar el proceso de contratación.

  4. Dicho consentimiento podrá ser revocable en cualquier momento por procedimientos sencillos y gratuitos.

Necesidad de consentimiento

En la práctica, no sólo no se incluye este tipo de información ni la mención "publicidad" en el cuerpo del mensaje, sino que no se suele solicitar el consentimiento expreso, simplemente ofreciéndose, como en el ejemplo del principio, la posibilidad de darse de baja del servicio enviando un mensaje de correo electrónico o bien accediendo a determinado enlace, y esto, evidentemente, no supone dar un consentimiento expreso sino uno tácito.

Por otro lado, en cuanto a la normativa sobre protección de datos, se exige, con carácter general (artículos 6 y 11 de la LOPD), el consentimiento tanto para el tratamiento como para la cesión de los datos. Centrándonos en el tratamiento, puesto que el envío de comunicaciones comerciales requiere necesariamente, con carácter previo, la recogida, manipulación y conservación de direcciones de correo electrónico para dicha finalidad7, hay que tener en cuenta que habrá que solicitar un consentimiento inequívoco -no para el envío propiamente de dichas comunicaciones, sino sólo a efectos del tratamiento de los datos, lo que es distinto-, a menos que nos amparemos en una de las excepciones del artículo 6.2 que, en el caso que nos ocupa, únicamente cabría admitir el supuesto en que los datos se obtuvieran de fuentes accesibles al público y el tratamiento fuera necesario para la satisfacción de un interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. "Interés legítimo" puede ser, perfectamente, el envío de publicidad, promociones u ofertas.

Es importante indicar que en la LOPD se habla únicamente de consentimiento inequívoco, sin que sea necesario que sea previo o expreso, por lo que cabrá solicitarlo tácitamente. Será válido, por tanto, enviar un mensaje en el que, informando de las cuestiones que se han establecido anteriormente, se indique que, a menos que se exprese lo contrario, se entenderá que los usuarios prestan su consentimiento para el tratamiento con las finalidades establecidas.

Vemos, por tanto, una doble regulación que influye en estas situaciones. Por un lado, conforme a la LOPD, la entidad deberá informar al interesado (sólo si es persona física) de una serie de cuestiones relativas al uso de su dirección de correo electrónico, a las finalidades a las que se van destinar dichos datos, a la existencia de un fichero, a los derechos que le asisten en relación con los mismos,...., y solicitarle un consentimiento (generalmente con carácter previo) para poder tratar (recoger, guardar, manipular,...) dichos datos y enviarle comunicaciones electrónicas con carácter comercial.

De otra parte, conforme a la LSSI, además de que las comunicaciones comerciales deben ser identificables como tales, ahora el consentimiento para poder seguir enviándolas se refuerza, exigiéndose que sea expreso (eso sí, no se dice que sea previo). Esta doble regulación plantea un problema en caso de comunicaciones dirigidas a personas físicas ya que, a pesar de que la LSSI es ley anterior y especial, la LOPD es ley orgánica y por tanto debe prevalecer por cuestión de rango. De este modo, bajo mi punto de vista, el consentimiento que debería prestarse es el que determina la LOPD, y no el que obliga la LSSI8.

Las consecuencias de estos cambios con la LSSI son, en muchos casos, trascendentales, pues esta ley obliga, en la práctica, a renovar las listas de correo electrónico de los usuarios o clientes, lo que claramente supone un gran perjuicio para las empresas, que hasta la fecha han recopilado cientos o miles de direcciones, a veces sin pedir consentimiento alguno9, y ahora se ven obligados a darles de baja a menos que expresamente indiquen su voluntad de seguir recibiendo comunicaciones comerciales, cosa que, por las molestias y recelos que puede inspirar, es previsible que haga sólo una parte de los usuarios.

Es precisamente en la forma en que se presta este consentimiento para el envío de comunicaciones comerciales y en las dificultades de prueba que puede suponer, donde pueden producirse los problemas más graves.

En la mayoría de sitios web se suele solicitar dicho consentimiento seleccionando la opción correspondiente y pulsando un botón en el propio formulario en el que damos nuestros datos personales, incluyendo la dirección de correo electrónico. Técnicamente, esta operación supone que se nos incluye en una base de datos y que se guarda un archivo o log en el sistema informático de la entidad correspondiente, logs que, en última instancia, se reducen a simples archivos de texto, fácilmente manipulables, y que no acreditan consentimiento alguno por una persona determinada, no sólo porque únicamente reflejan operaciones a través del servidor web (fecha y hora de la conexión a una página, IP del usuario, remitente y receptor de los mensajes y su tamaño en Kb,...), sino porque, además, no hay nada que garantice que el titular de la cuenta de correo electrónico correspondiente sea precisamente quien haya rellenado el formulario con nuestros datos y consentido el uso en dichos términos, pues perfectamente puede una tercera persona facilitar estos datos sin nuestro conocimiento, al no exigirse ningún mecanismo de identificación ni autenticación.

Para solucionar esto, algunas empresas suelen enviar automáticamente un mensaje de correo electrónico (sin ofertas ni publicidad, eso sí) para que el destinatario responda a él confirmando el alta, lo que sí acreditaría un consentimiento expreso, a pesar de que nos encontramos con el mismo problema de la falta de identificación o autenticación inequívoca de la persona que sería deseable. No obstante, en mi opinión y dado que no existen mecanismos en el mercado, fuera de la firma electrónica -que no suele utilizar un usuario común- que permitan esto, entiendo que no supondría esta fórmula una infracción de la ley. De otro modo, con la situación actual, habría que solicitar el consentimiento por escrito (fax o carta) para poder enviar luego, por correo electrónico, comunicaciones comerciales, lo que sería absurdo. Por lo tanto, lo recomendable es solicitar, en todo caso, la confirmación del consentimiento en estos casos y guardar debidamente estos mensajes.

En todo caso, habrá que esperar a la puesta en práctica de la LSSI para que se aclaren cuestiones como ésta, y al desarrollo reglamentario que está previsto según la propia norma.

 

Javier Prenafeta
Abogado
www.jprenafeta.com

 

Notas

1 No obstante, en la práctica, se suele incluir alguna oferta en este tipo de mensajes, así que la mayoría de estas comunicaciones sí entrarían en el concepto de "comunicación comercial" de la Ley.

2 Art. 3 d) de la LOPD.

3 La ley es tajante en este aspecto y, de acuerdo con lo establecido en el art. 5.1 de la LOPD, los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco, por lo que considero que dicha información debe ser perfectamente visible en el proceso de recogida de los datos. Es más, por si hubiera alguna duda, el apartado 2º del mismo artículo concreta que "cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, de forma claramente legible, las advertencias a que se refiere el párrafo anterior", por lo que no cabe, siquiera, hacer simples reenvíos a otras páginas web o remitirse a la "política de privacidad" de la empresa.

4 Se establece la excepción a esto cuando ya hubiera sido informado con anterioridad del contenido del tratamiento, de la procedencia de los datos,..., si bien esto difícilmente se va a aplicar, pues no imagino cómo va a estar informado el interesado cuando generalmente ni siquiera sabe que se han recogido sus datos.

5 Debe tenerse en cuenta la regulación específica aplicable a algunas de estas fuentes de acceso público, como el Reglamento del Servicio Universal de Telecomunicaciones (aprobado por RD 1736/1998, de 31 de julio) y el futuro Reglamento para el uso del censo promocional que se elabore, previsiblemente pronto, de acuerdo con la DT 2ª de la LOPD, y el hecho de que, en el caso de repertorios de telecomunicaciones (páginas blancas, azules o amarillas), listas de colegios profesionales, diarios y boletines oficiales y medios de comunicación sólo tendrán el carácter de fuente accesible al público durante el período en que estén vigentes.

6 Téngase en cuenta, en estos casos, los artículos 32 a 34 de la Ley 7/1996, de 15 de enero, de Ordenación del Comercio Minorista, en los que se establecen las precauciones y límites que hay que cumplir en la venta con obsequios, y artículo 9 de la Ley 26/1984, de 19 de julio, General para la Defensa de Consumidores y Usuarios.

7 De acuerdo con el art. 3 c) de la LOPD, por tratamiento de datos se entiende todas aquellas "operaciones y procedimientos técnicos, de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias".

8 En esta línea, el Congreso recientemente ha pedido al Gobierno que se modifique la LOPD, exigiéndose el consentimiento expreso para la utilización de los datos del censo promocional con fines comerciales, lo que supondrá un acercamiento entre ambas regulaciones.

9 Esto es así, a pesar de que, ya desde 1992, de acuerdo con la antigua Ley Orgánica Reguladora del Tratamiento Automatizado de los Datos de Carácter Personal, se debía solicitar el consentimiento para el tratamiento de los datos, siendo la dirección de correo electrónico un dato de carácter personal. Pero bueno, lo cierto es que esta ley pasó, en gran medida, desapercibida y se ha aplicado mucho menos que la actual.

 

Disponível em:http://noticias.juridicas.com/articulos/20-Derecho%20Informatico/200211-43571241010213070.html