Los últimos meses han traído importantes novedades en materia de protección de datos que deben ser tenidas en cuenta por las organizaciones que manejan tratamientos de datos. Especialmente en la entrada de hoy se abordan los tratamientos de datos con fines comerciales, llamadas y actividades relacionadas con campañas de marketing o captación y seguimiento de potenciales clientes.
La Ley 11/2022 28 de junio, General de Telecomunicaciones -también conocida como #leyantispam- y su artículo 66.1 b) han supuesto un cambio en cómo hasta ahora se realizaban tratamientos de datos con fines comerciales.
Así, la Agencia Española de Protección de Datos publicó en el mes de junio la Circular 1/2023, de 26 de junio, con el fin de aportar luz sobre como este artículo y su aplicación afecta a los responsables de tratamientos de datos que llevan a cabo estas actividades.
Podemos definir como aspectos destacados de esta circular los siguientes:
· No se podrán realizar llamadas comerciales a números generados de forma aleatoria sin el consentimiento previo del usuario (hasta ahora era una práctica habitual para evitar asociar números a personas).
· Las personas que figuran en guías de abonados o repertorios telefónicos deberán consentir que sus datos puedan ser usados con fines comerciales. Este consentimiento deberá constar expresamente en las guías o repertorios.
· Cualquier tratamiento de datos en base al interés legítimo requerirá de una Evaluación de Impacto Previa al Tratamiento para justificar y ponderar ese interés legítimo frente a los derechos y libertades de los interesados.
La AEPD tiene -como ha tenido ya- competencia inspectora y sancionadora y es preciso tener en cuenta también que:
1. En los supuestos del 21 LSSI -es decir, aquellos supuestos en los que se enviaban comunicaciones comerciales, “cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente” se presume que el tratamiento de los datos es lícito en base al interés legítimo y se puede llamar a antiguos clientes ofreciendo productos y servicios análogos.
Ocurre, no obstante, que la consideración de antiguo cliente se debe entender en base a periodos de retención de datos razonables, por ejemplo, no parece acorde a la normativa conservar los datos de contacto de un cliente cuya última interacción data de 5 años atrás y, por tanto, tampoco encajaría su uso con fines comerciales.
En este caso, la revocación del consentimiento por parte del interesado, no permitiría continuar con el tratamiento futuro de esos datos de contacto.
2. Tampoco encuentra amparo la cesión de datos entre empresas de un mismo grupo con esta finalidad comercial. La AEPD exige en este punto el consentimiento específico ya que "La AEPD no presumirá en el marco de esta ponderación, salvo prueba en contrario, la existencia de expectativa razonable de los interesados en aquellos casos en los que no exista relación contractual vigente, solicitud o interacción previa y realizada durante el último año por parte del interesado".
3. Los tratamientos de datos de personas de contacto en una empresa y/o de profesionales -de los que ya se disponga por motivo de la actividad comercial previa- se presumen lícitos en base al interés legítimo previsto en el artículo 19 de la LOPDGDD y siempre que sea para poder “localizarlos” o “mantener relaciones de cualquier índole con la persona jurídica. En este supuesto, “esas relaciones de cualquier índole” no incluyen la realización de llamadas comerciales, si no es que han sido ya clientes previamente o lo son actualmente.
4. En los casos en los que en guías y repertorios telefónicos aparezcan números de personas de contacto de empresa o personas jurídicas y/o profesionales -de acuerdo con el preámbulo de la propia Circular- se presupone que su tratamiento encaja en el interés legítimo del citado artículo 19 de la LOPDGDD, pero solo para contacto relacionado con la “oferta de productos y servicios relacionados con la actividad profesional o empresarial” del destinatario y “no se trate de entablar relación en cuanto a tales personas físicas”. Es decir no se puede contactar con una persona trabajadora o directiva para ofrecerle a esa persona productos y servicios como particular.
5. Siempre y en todo caso, y previo al contacto, será obligatoria la consulta previa de las listas Robinson, tal y como exige la LOPDGDD.
Finalmente y de acuerdo con los principios de la protección de datos, habrá que tener en cuenta que "Cualquier manifestación inequívoca del usuario contraria a la recepción de dichas llamadas deberá entenderse como revocación del consentimiento o, en su caso, ejercicio del derecho de oposición, debiendo atenderse inmediatamente" y por tanto el tratamiento de dichos datos con la finalidad comercial ya no se podría llevar a cabo.
Imagen de Memed_Nurrohmad en Pixabay
