En la bandeja de entrada del correo electrónico de la gran mayoría de las personas (incluyendo en cuentas profesionales) se puede encontrar, fácilmente y casi de forma diaria, emails publicitarios, promocionales o “informativos”. Seguramente se ha llegado a preguntar de dónde ha sacado la compañía remitente su email o si en algún momento lo ha autorizado o consentido (puede que hasta con indignación).
Por ello, y sin perjuicio de las precauciones básicas que todo usuario puede tomar para evitar recibir comunicaciones comerciales no deseadas (siguiendo las recomendaciones de la Agencia Española de Protección de Datos), es relevante que tanto los usuarios como las compañías (esto es, receptores y emisores) tenga claro cuándo el envío de comunicaciones comerciales por medios electrónicos requiere del consentimiento expreso de los usuarios o no.
Antes de nada, hay que hacer dos precisiones:
- Esta entrada en “Básicos” se centra en comunicaciones publicitarias o promocionales directas por correo electrónico u otro medio de comunicación equivalente (e.g. SMS, MMS, etc.).
- El envío de este tipo de comunicaciones se encuentra regulado en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), norma especial que se aplica con prevalencia a las reglas generales de protección de datos (i.e. el RGPD y la LOPDYGDD). Es más, la sonora llegada del RGPD no ha supuesto cambio alguno a este respecto, como nos ha recordado la AEPD en sus informes 0173/2018 , 0164/2018, y el famoso 0195/2017.
- Estas reglas aplican tanto cuando el destinatario de la comunicación es una persona jurídica como cuando es una persona física. La fuerza del RGPD muchas veces incita a olvidar que la LSSI no se centra solo en personas físicas o “interesados”.
Tras estas presiones, hay que tener en cuenta que la LSSI prevé una regla general y una excepción:
- Regla general: se prohíbe el envío de comunicaciones publicitarias o promocionales que previamente (a) no hubieran sido solicitadas o (b) expresamente autorizadas por los destinatarios de las mismas. Este es el motivo de que, en principio, las compañías prevean mecanismos de solicitud de consentimiento expreso o “opt in” (como las ya clásicas casillas en blanco o “☐” en los formularios solicitando dicho consentimiento).
- Excepción (el llamado “soft opt in”): se permite el envío de este tipo de comunicaciones sin el consentimiento expreso de los destinatarios cuando concurran, cumulativamente, las siguientes circunstancias:
- Exista una relación contractual previa entre el emisor y el destinatario;
- El prestador haya obtenido de forma lícita los datos de contacto del destinatario;
- La comunicación se refiera a productos o servicios de la propia empresa;
- Que dichos productos o servicios sean similares a los inicialmente contratados por el cliente; y
- Que se ofrezca al destinatario la posibilidad de oponerse a dicho tratamiento con un procedimiento sencillo y gratuito, tanto al obtener los datos como en cada comunicación comercial que se remita.Dicho lo anterior, solo queda realizar dos “advertencias” finales: (i) no se debe olvidar que, aunque el consentimiento no sea necesario y se aplique la LSSI, esto no obsta a que el resto de obligaciones generales bajo el RGPD y la LOPDYGDD resulten de aplicación (recordad en especial los deberes de información y el artículo 23 LOPDYGDD); y (ii) no se debe de perder de vista la propuesta de reglamento de e-privacy que, aunque aún está fraguándose, llegará en futuro cercano.
Es decir, no siempre se requiere el consentimiento expreso de los receptores, siempre y cuando el emisor pueda demostrar que se cumplen los 5 requisitos anteriores. En general, son los requisitos (i), (iii) y (iv) los que suelen generar más quebraderos de cabeza.
Dicho lo anterior, solo queda realizar dos “advertencias” finales: (i) no se debe olvidar que, aunque el consentimiento no sea necesario y se aplique la LSSI, esto no obsta a que el resto de obligaciones generales bajo el RGPD y la LOPDYGDD resulten de aplicación (recordad en especial los deberes de información y el artículo 23 LOPDYGDD); y (ii) no se debe de perder de vista la propuesta de reglamento de e-privacy que, aunque aún está fraguándose, llegará en futuro cercano.