Como norma general, los responsables del fichero pueden tratar
aquellos datos necesarios para la gestión de una relación contractual (esto es,
los datos de empleados, clientes, etc.) sin obtener el consentimiento de los
afectados, en la medida en que sean necesarios para el mantenimiento de dicha
relación. Así, el apartado segundo del artículo 6 de la Ley Orgánica 15/1999,
de 13 de diciembre, de protección de datos de carácter personal (LOPD),
dispone:
“2. No será preciso el consentimiento cuando los datos de carácter
personal (…) se refieran a las partes de un contrato o precontrato de una
relación negocial, laboral o administrativa y sean necesarios para su
mantenimiento o cumplimiento (…).”
El citado artículo 6.2 de la LOPD debe ser completado con el
artículo 15 del Real Decreto 1720/2007,
de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley
Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter
personal (RLOPD). Este precepto establece lo siguiente:
“Artículo 15. Solicitud del consentimiento en el marco de una
relación contractual para fines no relacionados directamente con la misma.
Si el responsable del tratamiento solicitase el consentimiento del
afectado durante el proceso de formación de un contrato para finalidades que no
guarden relación directa con el mantenimiento, desarrollo o control de la
relación contractual, deberá permitir al afectado que manifieste expresamente
su negativa al tratamiento o comunicación de datos.
En particular, se entenderá cumplido tal deber cuando se permita
al afectado la marcación de una casilla claramente visible y que no se
encuentre ya marcada en el documento que se le entregue para la celebración del
contrato o se establezca un procedimiento equivalente que le permita manifestar
su negativa al tratamiento.”
En definitiva, cualquier uso que haga el responsable del fichero
de los datos recogidos en virtud de un contrato, que no sea necesario para la
gestión del mismo, no queda amparado por la excepción del artículo 6.2,
especialmente, si de lo que se trata es de enviar publicidad.
El artículo 15 del RLOPD determina que se habrá de facilitar al
titular de los datos un mecanismo que permita oponerse a finalidades
adicionales en el mismo momento en el que los datos son recogidos (no en un
momento posterior, ya que esto equivaldría a revocar el consentimiento
prestado). Igualmente, establece que este deber se entenderá cumplido al
facilitar una casilla de marcación que permita manifestar la oposición, y que
no se encuentre previamente marcada.
La referencia a “manifestar expresamente la negativa al
tratamiento”, nos permite redactar el texto en sentido negativo. Esto es, se
podrá indicar “marque esta casilla si no desea recibir publicidad” (“opt-out”),
en lugar de “marque esta casilla si desea recibir publicidad” (“opt-in”). Desde
el punto de vista del marketing, la diferencia entre un texto y otro no es
baladí. Se suele preferir el primero, al menos hasta la fecha, porque la
tendencia del usuario es no marcar la casilla (especialmente, cuando se trata
de documentos en papel, donde, siendo realistas, en la mayor parte de los
casos, una persona media no llega a enterarse de que existe una casilla que le
permite oponerse a los tratamientos publicitarios).
Las comunicaciones comerciales por medios electrónicos
La obligación descrita en el artículo 15 del RLOPD es acorde a lo
dispuesto en el artículo 21 de la Ley 34/2002, de 11 de julio, de servicios de
la sociedad de la información y de comercio electrónico (LSSICE).
Bajo el epígrafe de “prohibición de comunicaciones comerciales
realizadas a través de correo electrónico o medios de comunicación electrónica
equivalentes”, se establecen dos normas diferentes en función de si el
destinatario del envío es o no cliente del emisor.
Debemos recordar que la LSSICE se aplica tanto a personas físicas
como a personas jurídicas, por lo que estas normas se han de tener en cuenta
también cuando se trata de remitir publicidad por e-mail a direcciones
corporativas o excluidas del ámbito de aplicación de la LOPD.
La norma para los no clientes viene fijada en el apartado primero,
y consisten en la prohibición de envío de comunicaciones, salvo que se cuente
con el consentimiento expreso del destinatario:
“1. Queda prohibido el envío de comunicaciones publicitarias o
promocionales por correo electrónico u otro medio de comunicación electrónica
equivalente que previamente no hubieran sido solicitadas o expresamente
autorizadas por los destinatarios de las mismas.”
La anterior obligación se suaviza para el caso de los clientes en
el apartado segundo del mismo artículo:
“2. Lo dispuesto en el apartado anterior no será de aplicación
cuando exista una relación contractual previa, siempre que el prestador hubiera
obtenido de forma lícita los datos de contacto del destinatario y los empleara
para el envío de comunicaciones comerciales referentes a productos o servicios
de su propia empresa que sean similares a los que inicialmente fueron objeto de
contratación con el cliente.
En todo caso, el prestador deberá ofrecer al destinatario la
posibilidad de oponerse al tratamiento de sus datos con fines promocionales
mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida
de los datos como en cada una de las comunicaciones comerciales que le dirija.
Cuando las comunicaciones hubieran sido remitidas por correo
electrónico, dicho medio deberá consistir necesariamente en la inclusión de una
dirección de correo electrónico u otra dirección electrónica válida donde pueda
ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no
incluyan dicha dirección.”
La redacción este apartado segundo no puede considerarse, desde
luego, un ejemplo de buena técnica legislativa. Pero aún así, no cabe muchas
dudas, leyendo el texto en su conjunto, de que en el caso de clientes:
1. Se podrá remitir publicidad por medios electrónicos relacionada
con productos y servicios contratados,
2. Siempre que se haya dado a éste la oportunidad de oponerse a
dichos envíos en el momento de la recogida de los datos, y
3. en cada comunicación comercial que se le dirija se facilite un
mecanismo para manifestar su oposición a recibir nuevos mensajes.
En definitiva, como se señalaba, y en contra de lo que una lectura
parcial del artículo 21.2 de la LSSICE pueda sugerir, esta norma es acorde con
la prevista en el artículo 15 del RLOPD. La LSSICE no permite el envío de
publicidad por medios electrónicos a clientes de forma automática. Así, las
casillas de marcación o “check boxes” a los que nos hemos acostumbrado ya,
tanto en formularios electrónicos como en soporte papel, parecen inevitables
cuando se quieren tratar datos de clientes para fines promocionales (lo cual
ocurrirá en la práctica totalidad de los casos). Si bien es cierto que ni la
LOPD ni la LSSICE imponen de forma tajante su uso, los intentos de los
responsables del fichero por encontrar mecanismos alternativos han sido
examinados con lupa por la Agencia Española de Protección de Datos (AEPD),
dando como resultado en muchos casos la
imposición de multas.
Casos prácticos
A modo de ejemplo de lo anteriormente expuesto, resulta
interesante analizar la resolución R/01827/2014 (PS/00305/2014), en la que una
entidad bancaria es sancionada con 35.000 euros por distintas deficiencias
detectadas en su cláusula informativa para clientes, entre otras, no ofrecer un
mecanismo de oposición a tratamientos adicionales que no se ajusta a lo exigido
por el artículo 15 RLOPD.
La entidad sancionada procedió a modificar las condiciones
generales de algunos de sus servicios. Quizás con la intención de asegurar una
adecuada comunicación de las mismas, no permitía realizar trámites on-line a
clientes que venían operando habitualmente por este medio sin aceptarlas
previamente. Estas condiciones incluían, por lo que se refiere a protección de
datos, la posibilidad de tratar los datos para finalidades adicionales a la
gestión del contrato, como resulta habitual. A este respecto, la cláusula de
protección de datos, por lo demás, bastante extensa y completa, señalaba:
“Específicamente el Banco informa al Cliente que en el momento de
la presente contratación o con posterioridad a la misma y en cualquiera de sus
oficinas, pueden manifestar su negativa al tratamiento por el Banco de sus
datos personales para cualquiera de las finalidades indicadas en el apartado II
de la presente Cláusula".
Evidentemente, el usuario que utilizaba los servicios on-line, no
podía oponerse al tratamiento salvo que cerrara su sesión y se bajara a la
calle a buscar la sucursal más cercana. La AEPD considera que no prever “en
ningún lugar la posibilidad de que el interesado pueda manifestar expresamente
en el cuerpo del propio contrato su voluntad favorable o contraria al
tratamiento de sus datos para fines no relacionados directamente con el
desarrollo del contrato y la prestación del servicio” entra “en colisión
directa con la exigencia contenida en el
mencionado artículo 15.”
A mayor abundamiento, los siguientes párrafos de la argumentación
jurídica de la AEPD, explican que, al producirse la oposición al tratamiento en
un momento posterior a la formalización del contrato, se trata de una
revocación del consentimiento. Es decir, se impone al afectado la aceptación de
un fin no necesario para la gestión del contrato, y si desea que sus datos no
se apliquen a dicha finalidad, debe revocar el consentimiento en un acto
posterior:
“Así mismo señalar que el procedimiento que tiene instaurado la
entidad denunciada es un procedimiento de revocación del consentimiento una vez
que éste obligatoriamente ha sido dado, como se desprende del hecho probado
segundo, que no ofrece al afectado la posibilidad de negarse al tratamiento de
sus datos en el momento de la contratación, a pesar de lo manifestado en la
propia cláusula.
En consecuencia, en tanto no se permita al interesado manifestar
su voluntad, (antes de que el consentimiento se entienda prestado) en el
momento de la contratación en relación a los tratamientos no vinculados
directamente con la prestación del servicio y no exista una manifestación del
consentimiento del interesado para el tratamiento de sus datos con fines
distintos al objeto principal del contrato no puede considerarse conforme a lo
dispuesto en la normativa vigente en materia de protección de datos de carácter
personal, ya que se obliga a la aceptación de las condiciones y a una posterior
revocación en su caso, por tanto, no existe la posibilidad de negar el
consentimiento en el momento de la contratación, suponiendo dicha circunstancia
una vulneración del cumplimiento de las exigencias recogidas en el citado
artículo 5.1.a) de la LOPD en su relación con lo previsto en el artículo 15 del
RDLOPD.
Por tanto los mecanismos de rechazo deben estar incluidos en el
propio documento a fin de posibilitar que el afectado pueda ser informado y
manifestar, en el mismo momento de facilitación de sus datos, su negativa al
uso de los mismos para fines no relacionados directamente con proceso de formación
del contrato en cuestión.
Sin embargo en este caso, el procedimiento habilitado por [*] no
permite al usuario manifestar su negativa en el momento en que se recaban los
datos."
La AEPD sancionó igualmente, con una multa de 5.000 €, a un
hospital privado que había distribuido su cláusula informativa en dos partes
(R/00710/2014; PS/00639/2013).
Por un lado, el hospital disponía un documento extenso, en dos
idiomas (castellano e inglés), que describía con detalle las finalidades del
tratamiento, las necesarias para la prestación del servicio y las adicionales,
y cuya firma era obligatoria para los nuevos pacientes. Por otro, contaba con
una hoja de oposición, en la que figuraban las casillas de marcación para que
el afectado pudiera negarse a la utilización de sus datos con fines
adicionales. Según señala la AEPD:
“En el escrito de alegaciones al acuerdo de inicio la entidad [*]
manifestó que “en este caso se ha cumplido con la normativa de protección de
datos y en concreto con la posibilidad de manifestar expresamente la negativa
al tratamiento o cesión de sus datos con fines no asistenciales. En este
sentido, como se ha aclarado en el cuerpo de este escrito, la Sra. XXX disponía
de un “procedimiento equivalente” para manifestar su negativa rellenando el
documento específico de oposición a tratamiento y cesión de datos, posibilidad
que no utilizó la reclamante”.
A este respecto, se recuerda que los mecanismos de rechazo deben
estar incluidos en el propio documento a fin de posibilitar que el afectado
pueda ser informado y manifestar, en el momento de facilitar sus datos, su
negativa al uso de los mismos para fines no relacionados directamente con el
proceso de formación del contrato en cuestión. El procedimiento equivalente
citado por la entidad denunciada no permite al afectado manifestar su negativa
en el momento en que se recaban los datos para el servicio de admisión de
urgencias hospitalarias que se analiza, sino que lo posibilitan una vez ya
prestado el consentimiento.”
El operador de servicios de telefonía sancionado con 20.000 € de
multa en la resolución R/03234/2015 (PS/00345/2015) también contaba con una
extensa y exhaustiva cláusula informativa. Sin embargo, el Instituto Municipal
de Consumo de Madrid presentó una denuncia en la que indicaba, entre otras
cuestiones, que se no facilitaba al interesado una casilla que permitiera al
interesado mostrar su oposición al envío de publicidad.
La cláusula en cuestión que, por cierto, viene reproducida
íntegramente en la resolución de referencia, permitía al usuario oponerse a los
tratamientos adicionales por los siguientes medios:
“- envío de comunicación dirigida en tal sentido a una dirección
postal (Servicio de Atención al Cliente, Apartado de Correos xxx) o a una
dirección electrónica (email zzz).
- envío de Formulario de Autorización para el Tratamiento de Datos
de Carácter Personal disponible en la página web xxx debidamente cumplimentado
y cuyo contenido se recoge en el antecedente quinto, hechos probados 2º y 4º de
la presente propuesta de resolución. “
Sorprendentemente, la AEPD considera que el mecanismo consistente
en el envío de un correo electrónico o un formulario electrónico es conforme al
artículo 15 RLOPD cuando se lleva a cabo una contratación on-line:
“Así pues queda acreditado que en el momento de la contratación de
los productos o servicios de XXX a través de la página web [*], XXX ha
establecido un procedimiento equivalente al de “…la marcación de una casilla
claramente visible y que no se encuentre ya marcada en el documento que se le
entregue para la celebración del contrato…” para que el interesado pueda
mostrar su negativa al tratamiento de sus datos con finalidades que no guarden
relación directa con el mantenimiento, desarrollo o control de la relación
contractual (en este caso finalidades comerciales), procedimiento que puede ser
utilizado en el mismo momento de la contratación al realizarse ésta en un
entorno online, y por el contrario no es posible en caso de contratación
telefónica o presencial. Por tanto el procedimiento habilitado por XXX (envío
de comunicación electrónica o cumplimentación del formulario de Autorización
para el Tratamiento de Datos de Carácter Personal disponible en la página web
[*], debe considerarse acorde con las exigencias en el deber de información en
la recogida de datos contenidos en el mencionado artículo 5 de la LOPD en
relación con el 15 del RLOPD.”
La multa no se impuso por incumplimiento del artículo 15 del
RLOPD, sino por no identificar de forma precisa las empresas cesionarias de los
datos.
A la vista de las resoluciones comentadas, podemos concluir que
las cláusulas extensas y prolijas en la descripción de las finalidades y
cesiones no sirven de nada si no se habilitan mecanismos de oposición adecuados
para tratamientos adicionales.
El Reglamento General de Protección de Datos
El pasado 4 de mayo se publicó en el Diario Oficial de la Unión
Europea que será el instrumento básico de protección de datos a nivel europeo y
nacional de los próximos años: el Reglamento (UE) 2016/679, del Parlamento
Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de estos datos (RGPD).
El RGPD no varía el criterio expuesto en los apartados anteriores.
En su art. 6, dedicado a las circunstancias que legitiman el tratamiento de los
datos, coloca en los dos primeros puestos de la lista el consentimiento del
interesado y la existencia de una relación contractual:
“Artículo 6 Licitud del tratamiento
1. El tratamiento solo será lícito si se cumple al menos una de
las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus
datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en
el que el interesado es parte o para la aplicación a petición de este de
medidas precontractuales; (…).”
Adicionalmente, el artículo 7.2 del RGPD, dedicado específicamente
a las condiciones para el consentimiento, señala lo siguiente:
“2. Si el consentimiento del interesado se da en el contexto de
una declaración escrita que también se refiera a otros asuntos, la solicitud de
consentimiento se presentará de tal forma que se distinga claramente de los
demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje
claro y sencillo. No será vinculante ninguna parte de la declaración que
constituya infracción del presente Reglamento.”
Desde luego, la redacción del precepto arriba citado no resulta
tan clara como la del artículo 15 de nuestro RLOPD. Aún así, parece
desprenderse de lo anterior que las finalidades adicionales necesitarán un
consentimiento claro y diferenciado del resto de compromisos que adquiera un
usuario en una declaración escrita. Pensemos en el supuesto en el que se
produce una aceptación por escrito de condiciones generales o de términos de
uso con la firma del documento correspondiente. En estos casos, en aplicación
del artículo 6.1.b) del RGPD, existe legitimación para el tratamiento de los
datos necesarios para la gestión de la relación entre las partes sin que el
usuario de su consentimiento. Sin embargo, si se solicitan datos para
finalidades de marketing, el responsable del fichero deberá: (i) diferenciar
claramente la información sobre esas finalidades y exponerlas de una forma
sencilla y comprensible, y (ii)
solicitar el consentimiento del afectado para las mismas.
En la misma línea, el polémico considerando (32) del RLOPD, señala
que:
“El consentimiento debe darse mediante un acto afirmativo claro
que refleje una manifestación de voluntad libre, específica, informada, e
inequívoca del interesado de aceptar el tratamiento de datos de carácter
personal que le conciernen, como una declaración por escrito, inclusive por
medios electrónicos, o una declaración verbal. Esto podría incluir marcar una
casilla de un sitio web en internet, escoger parámetros técnicos para la
utilización de servicios de la sociedad de la información, o cualquier otra
declaración o conducta que indique claramente en este contexto que el
interesado acepta la propuesta de tratamiento de sus datos personales. Por
tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir
consentimiento. El consentimiento debe darse para todas las actividades de
tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento
tenga varios fines, debe darse el consentimiento para todos ellos. Si el
consentimiento del interesado se ha de dar a raíz de una solicitud por medios
electrónicos, la solicitud ha de ser clara, concisa y no perturbar
innecesariamente el uso del servicio para el que se presta.”
En definitiva, no parece que la aplicación del RGPD en 2018 vaya a
suponer cambios en relación a la obtención del consentimiento para finalidades
adicionales. Si acaso, los requisitos a cumplir serán más estrictos, ya que se
exigirá claridad y concisión (así como no perturbar innecesariamente el uso del
servicio) a la hora de detallar las finalidades adicionales y recabar dicho
consentimiento.
No hay comentarios:
Publicar un comentario