El “cajón de sastre» del interés legítimo como base legitimadora de las comunicaciones comerciales a través de medios electrónicos.
En un intento, cada vez mayor, de explicar las ciertamente arduas disquisiciones que se dan entre los distintos operadores a la hora de abordar cómo ayudar a las empresas a cumplir con el reglamento de protección de datos por las dudas que generan sus variopintas interpretaciones, la autoridad de control, la Agencia Española de Protección de Datos (esa gran desconocida), publicaba el pasado 18 de octubre de 2018, un informe bajo el título: INFORME SOBRE POLITICAS DE PRIVACIDAD EN INTERNET.
Centrándonos en el llamado “cajón de sastre” del nuevo reglamento que supone la previsión del Considerando 47 del mismo o coloquialmente denominado “interés legítimo” a la hora de buscar la justificación del tratamiento de datos personales por las empresas (sobre todo aquellas que realizar comunicaciones comerciales y/o las realizan para terceros), junto al consentimiento expreso y resto de bases del artículo 6.1º del Reglamento, debe señalarse que se ha ido asentando la creencia de que una vez que el afectado o interesado es o ha sido cliente –y ésta distinción no es baladí–, podemos atiborrarle con comunicaciones comerciales electrónicas sin más. Empero como enseguida se constata, ello no es del todo cierto.
En cuanto al tratamiento de los datos personales basado en el interés legítimo debería indicarse que requiere siempre una ponderación a realizar por el Responsable (empresa u organización que trata estos datos) y que debe no sólo documentarse sino que también habría de comunicarse a los afectados por el tratamiento: “cuando el tratamiento de datos esté basado en los intereses legítimos del responsable o de un tercero, debe detallarse cuáles son estos intereses para realizar cada actividad de tratamiento. No basta con hacer una mención genérica al “interés legítimo” como tal ni utilizar fórmulas abstractas del tipo “conocerte mejor”. Se reitera que la información que se proporcione debe ser correcta y que, por tanto, la base sobre la que se informa que legitima el tratamiento de datos debe ser acertada. Por último, sería deseable que, junto con la información sobre el interés legítimo en que se basa el tratamiento de datos, se documente la ponderación realizada entre este interés del responsable y el derecho de los usuarios a la protección de sus datos personales”.
Y en cuanto a las comunicaciones comerciales por medios electrónicos, además de informar al destinatario de la base de legitimación del tratamiento de sus datos, en este caso, en qué interés legítimo concreto fundamentamos dicho tratamiento, deberá acreditarse el cumplimiento del artículo 21 de la Ley de Servicios de la Sociedad de la Información y de comercio electrónico el cual prohíbe expresamente las comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes a menos que:
Art. 21. 1º previamente hubieran sido solicitadas o autorizadas por el destinatario
Art. 21. 2º exista una relación contractual previa, siempre que el prestador hubiera obtenido lícitamente los datos de contacto del destinatario y los emplee para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
Si a lo anterior añadimos que el tratamiento de los datos personales preexistentes a la norma actual obtenidos directamente del interesado a través de su consentimiento tácito deben ser “legitimados” nuevamente de acuerdo a la misma so pena de calificarlos como ilícitos, nos encontramos con que, en la práctica, este “cajón de sastre” al que miles de organizaciones y asesores día tras día se acogen para tratar y enviar este tipo de comunicaciones se nos deviene cada vez más pequeño y nos obliga a verificar la acomodación de nuestras bases de datos nuestras bases de datos al nuevo RGPD pues, por mucho que los destinatarios hubieran consentido las comunicaciones comerciales de las que nos habla el artículo 21 de la LSSI citado, los datos obtenidos por consentimiento tácito las inhabilita como tales y, por otra parte, las comunicaciones basadas en el interés legítimo ex art. 21.2º de la misma LSSI, aún suponiendo su licitud conforme al nuevo RGDP, deberán informar de la base concreta sobre la cual se legitima el tratamiento de los mismos y, en consecuencia, el envío de la comunicación comercial.
Para finalizar, a mi juicio, en relación al concepto de “cliente” como causa concreta de legitimación basada en interés legítimo a los efectos de estas comunicaciones comerciales, debe constreñirse, igualmente, a clientes “vivos” que razonablemente pudieran esperar este tipo de comunicaciones de su “actual” proveedor de productos y/o servicios. Por tanto una persona que nos compró hace años un coche, se alojó una vez en nuestro hotel o adquirió entradas para un concierto no puede legitimar el tratamiento de los datos personales en base a la existencia de esa relación comercial que ya no existe, sin perjuicio que los datos permanezcan almacenados en cumplimiento de normativas legales o sectoriales, etc,…
Juan José Cortés
Of Counsel del Área Compliance y Legaltech de Devesa & Calvo Abogados