El spam siempre llama dos veces

¿Quién no recibe a diario varios, bastantes, numerosos correos electrónicos publicitarios?. Puedo decir que me considero afortunado, en mi caso apenas una decena al día. Viagras y citas en la mayoría de los casos y otro tanto cheques restaurante, vales de gasolina, incluso (¡cómo no!) consultoras o empresas de formación. Respecto a estas últimas resulta gracioso recibir una oferta para cursos de protección de datos y que te estén spameando. Debe ser que el curso va por partes y la de los envíos publicitarios es al final.  Algo que me recuerda también a otro asunto del que un día hablaré y que es el de bonificar formación en Compliance para pagar la consultoría, o cómo delinquir implantando un sistema de cumplimiento normativo penal. ¿Pero qué hay de nuevo en esto?. Pues nada. Pero es que no paro de pensar que el 25 de mayo, cuando el Reglamento Europeo de Protección de Datos sea exigible, ¿Qué alegarán estas empresas para remitir sus correos no solicitados?. Ya bastante arduo se hace tener que explicar a día de hoy que el correo electrónico que figura de contacto en una web NO ES UNA FUENTE ACCESIBLE AL PÚBLICO. NO, NO LO ES. No insista, No. Ese correo está ahí para que usted se interese por SUS servicios y productos, no para que lo moleste con los suyos. Esto se entiende bien cuando uno recibe un correo del vecino pero no ninguna de las miles de veces que lo hacemos al revés. Entonces. ¿Bajo qué supuestos puedo tratar datos conforme al Reglamento Europeo de Protección de Datos? Pues los datos se pueden tratar bajo la base del consentimiento del titular o interés legítimo pero en este último caso “siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño”. ¿Y esto que significa?. Significa, para empezar, que a partir del 25 de mayo los envíos de mails publicitarios estarán en el ojo del huracán, porque tendríamos que contar con la autorización previa del destinatario o bien disponer de ese interés legítimo. ¿Acaso nos están dejando la puerta abierta para cometer algún tipo de fechoría?. Pues podría ser, o podría ser que al final cuando una denuncia llegue a la AEPD, ésta vaya y diga que a ella plin que hayan cedido tus datos sobre una deuda inexistente sin informar previamente a una empresa de recobro y que archiva tu denuncia porque al fin y al cabo quién es ella para meterse en asuntos de particulares sobre deudas y morosos.  Pero volviendo a lo del interés legítimo, como la cosa es complicada, el Grupo de Trabajo del Art 29, (para entendernos DIOS en esto de la protección de datos) dice que lo mejor es que analicemos primero si tenemos ese interés legítimo y lo podemos hacer siguiendo este informe de aquí. A todo esto, el anteproyecto de la nueva LOPD nos dice (art 23.4) que antes de hacer una campaña publicitaria hay que consultar los servicios de exclusión publicitaria y además no habla para nada de la existencia de fuentes accesibles al público, algo que si reconoce el Reglamento Europeo cuando nos dice la información que tenemos que facilitar al interesado en los casos en que no hemos recogido de él mismo los datos objeto de tratamiento (artículo 14.2 letra f).  Vamos que la cosa ya no es tan fácil. Aparentemente claro. Mi opinión es que usted debería asegurarse de tener una autorización del titular de los datos para enviarle publicidad, así que vaya haciendo por obtener este consentimiento mediante una declaración o una acción claramente afirmativa. Pero la pregunta buena es si esa suerte de consentimiento táctico que se contiene en la excepción del art 21.2 de la LSSICE para poder remitir información comercial sobre productos y servicios similares a los que se contrataron aunque no tenga la autorización expresa del titular muere al no prever el reglamento el consentimiento tácito. Mi opinión es que a mis clientes podré seguir informándolos en base a mi interés legítimo, otra cosa es que quiera usar Whatsapp, sms o algún medio que haga que tenga que hacer una evaluación de impacto o revisar hasta dónde llega ese interés legítimo. Y me baso en criterios de practicidad y en que al final la que manda es la pela y  que las grandes compañías harán porque ese interés legítimo prevalezca. ¿Y si los mails son del tipo info@, contacto@ y están una web….? Pues la LSSICE dice que no puedes hacerlo sin autorización pero una sentencia de la AN (Sentencia de 15 de junio de 2011) y la práctica de la AEPD, nos han ensañado que si te puedes oponer al envío porque en la firma del mail te han puesto unas líneas al respecto, pues te aguantas, porque ese no es un dato de carácter personal y aunque lo fuese. Tengo datos de clientes y no clientes (email)... ¿Podré enviarles publicidad bajo el Reglamento Europeo de Protección de Datos?. Pues si el mail es corporativo (y la Agencia nos ha dicho que eso no es un dato de carácter personal y que ella plin y que quien es ella para meterse en eso incluso si envías un mail con destinatarios abiertos diciendo la deuda que tiene cada uno), pues resulta que sí. ¿Y no cambiará de opinión la Agencia?. Ah pues eso yo ya no puedo decirlo. Soy consultor no adivino. Son cosas distintas.