Tratamiento de datos con fines de mercadotecnia directa: ¿requiere el consentimiento del afectado?

Julián López Martínez

Director de Sepín Administrativo. Abogado

Esta cuestión, sobre la que pivota el difícil equilibrio entre los derechos del titular de los datos a no ser objeto de comunicaciones comerciales y el consiguiente interés de los responsables del tratamiento en dirigirse a sus clientes para fines de publicidad y mercadotecnia, pronto será resuelta (al menos en el ámbito nacional) por nuestro Tribunal Supremo.

En efecto, la Sala Tercera del Tribunal Supremo ha admitido en los dos últimos meses (diciembre 2019 – enero de 2020) hasta el momento un total de 11 recursos de casación, interpuestos todos ellos por la mercantil MEYDIS, S.L., contra las respectivas sentencias de la Audiencia Nacional que confirmaban las previas sanciones económicas impuestas por la Agencia Española de Protección de Datos a dicha mercantil por supuesta vulneración de la normativa sobre el consentimiento (en aquel momento regulada por el art. 6.1 de la entonces vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal).

Como bien conoce el lector, con el nuevo sistema de casación contencioso-administrativa en vigor desde julio del año 2016, aquellos recursos que se admitan lo serán porque presentan una o varias cuestiones que susciten “interés casacional objetivo para la formación de jurisprudencia” por concurrir alguna de las causas previstas en el art. 88 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa.

Pues bien, en estos Autos de admisión (sirva de ejemplo el más reciente de ellos, ATS de 31 de enero de 2020 –SP/AUTRJ/1037866-), el alto Tribunal ha marcado la siguiente como la cuestión sobre la que se debe formar jurisprudencia, así como las normas cuya interpretación se llevará a cabo:

Declarar que la cuestión planteada en el recurso que presenta interés casacional objetivo para la formación de la jurisprudencia consiste en determinar si, conforme al artículo 6.1.f) del Reglamento (UE) 2016/679, interpretado a la luz de los considerandos 47 in fine y 70 del mismo Reglamento, puede considerarse lícito el tratamiento de datos personales con fines de mercadotecnia directa cuando, a pesar de no haber otorgado el interesado su consentimiento, concurriere un interés legítimo en el responsable del tratamiento”.

“ Identificar como normas jurídicas que, en principio, serán objeto de interpretación: los artículos 6.1.f) del Reglamento (UE) 2016/679, de 27 de abril, interpretado a luz del considerando 47 in fine y 70 del mismo, en relación con el artículo 72.1.b) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los derechos digitales; y los artículos 6.1, 44.3.b) y 45 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.

A estas alturas es perfectamente conocido que el consentimiento del interesado no es la única base jurídica que atribuye licitud al tratamiento de sus datos, sino que el artículo 6 del Reglamento (UE) 2016/679 (SP/LEG/19835), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales también considera lícito el tratamiento en otros supuestos, como, por ejemplo, la ejecución de un contrato en el que el interesado es parte, el cumplimiento de una obligación legal aplicable al responsable del tratamiento o para proteger intereses vitales… Pues bien, uno de esos supuestos que contempla la norma comunitaria y que legitimaría el tratamiento de los datos del interesado sin necesidad del previo consentimiento de este es que aquí y ahora nos ocupa: el interés legítimo del responsable del tratamiento.

En concreto, el citado y controvertido artículo 6.1.f del Reglamento comunitario dispone que el tratamiento será lícito si “es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño”.

¿Y qué se entiende por “interés legítimo” del responsable? ¿la mercadotecnia lo es?

El propio Reglamento, a través de sus considerandos (especialmente el considerando 47, que será objeto de interpretación por el TS) nos orienta sobre este concepto jurídico indeterminado, al anunciar, primero, que es una base jurídica que hace innecesario el consentimiento (lo que luego ratifica el transcrito art. 6.1.f) y, posteriormente, citar ejemplos de tratamiento legítimo entre los que precisamente se incluye la mercadotecnia:

“(47) El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable. Tal interés legítimo podría darse, por ejemplo, cuando existe una relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o está al servicio del responsable. En cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior. Dado que corresponde al legislador establecer por ley la base jurídica para el tratamiento de datos personales por parte de las autoridades públicas, esta base jurídica no debe aplicarse al tratamiento efectuado por las autoridades públicas en el ejercicio de sus funciones. El tratamiento de datos de carácter personal estrictamente necesario para la prevención del fraude constituye también un interés legítimo del responsable del tratamiento de que se trate. El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo”.

Así pues, la mercadotécnica se incluye expresamente entre los supuestos en los que el tratamiento “puede” considerarse realizado por interés legítimo.

Es cierto, en cualquier caso,  que tanto el Reglamento Europeo como la normativa nacional y, en concreto, el art. 23.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (SP/LEG/25146) exigen requisitos adicionales a ese tratamiento con fines de mercadotecnia, como el consentimiento del titular de la patria potestad en la mercadotecnia dirigida a niños, el derecho a la oposición, inclusive a la elaboración de perfiles, o la exigencia de previa consulta a los sistemas de exclusión publicitaria (actualmente Lista Robinson).

¿Qué ha dicho la Agencia Española de Protección de Datos hasta la fecha?

La Agencia Española de Protección de Datos, por medio de su Gabinete Jurídico, ha tenido ocasión de pronunciarse sobre esta cuestión a través de la emisión de los Informes 2018-0173 (SP/DOCT/81499) y 2018-0164 (SP/DOCT/81498, incluido en la Guía Temática Circulares, informes y guías de la AEPD adaptados al Reglamento Europeo de Protección de Datos ).

En el primero de ellos la consultante entendía que el tratamiento de datos de sus clientes para fines de mercadotecnia, publicidad y comunicaciones comerciales, en línea con el desarrollo del negocio que realiza de sus propios productos a través de su División de Venta a Distancia, se encontraba amparado en el interés legítimo previsto y regulado en el artículo 6.1.f) del Reglamento General de Protección de Datos.

En el segundo, pone en relación dicho artículo 6.1.f del Reglamento comunitario con otra norma estrechamente vinculada como es la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (SP/LEG/3363) y, en concreto su artículo 21 que prohíbe el envío de publicidad por medios electrónicos no previamente autorizadas por el destinatario, salvo, cuando exista una relación contractual previa, los datos se hubieran obtenido de forma lícita y la publicidad que se envíe sea relativa a productos o servicios de la propia empresa similares a los que contrató el cliente.

Sin perjuicio de invitar al lector a un estudio detallado de sendos informes, a modo de brevísimo resumen de los mismos, me permito indicar que estas serían las siguientes conclusiones de los mismos:

  • Que, por aplicación el principio de especialidad, los postulados de la LSSI priman sobre el art. 6 del Reglamento europeo por lo que, cuando se trate de comunicaciones por vía electrónica, será necesario que se cumplan los requisitos de aquella, es decir, solicitud o consentimiento previo o, en su caso, relación contractual previa y en la que la publicidad que se envíe sea sobre productos o servicios de la entidad que guarden relación con los anteriormente contratados.
  • Que cuando no se trate de comunicaciones por medios electrónicos, entonces sí podrá ampararse en el “interés legítimo” al que hace referencia el Reglamento de la Unión Europea, lo que no excluye que también se exija que el afectado siga siendo cliente de la entidad y que los productos o servicios ofertados puedan considerarse “similares” a los contratados por el cliente.

Conclusión (personalísima)

Considero que, como consumidores y usuarios, pecamos en algunas ocasiones de una mal entendida aclamación y ensalzamiento de nuestra privacidad cuando, por otro lado, mostramos cierta incongruencia haciendo públicos, en redes sociales, aspectos que sí afectan única y exclusivamente a nuestra esfera personal, como opiniones o fotografías que reflejan cómo, dónde y con quién disfrutamos de nuestro tiempo libre. Sin embargo, recibir un mail publicitario relacionado con aquellos productos que nos interesan desde el punto de vista personal o profesional, y siempre por supuesto respetando nuestro derecho a oponernos, no me parece una transgresión exacerbada de nuestra intimidad.

Por otro lado, entiendo que el hecho de que el Reglamento comunitario prevea como base del tratamiento el “interés legítimo” del responsable y que, además, ponga como ejemplo de dicho interés las labores de mercadotecnia (siempre con el cumplimiento de los requisitos añadidos) entiendo que no puede interpretarse de otro modo que admitiendo el mismo y, por ello, prescindiendo de la exigencia del consentimiento previo (no, por supuesto, del derecho de oposición).

En definitiva, veremos si el Tribunal Supremo da un pequeño respiro a los departamentos comerciales de las empresas, motor de la economía, o, por el contrario, considera que la mercadotecnia no es un “interés legítimo” del responsable del tratamiento, en cuyo caso, y desde mi punto de vista, estaría vaciando de contenido el considerando 47 del Reglamento europeo y, también en una parte sustancial, su art. 6.1.f.

*Para un estudio al detalle de la nueva normativa de protección de datos, os recomendamos los «Comentarios a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (en relación con el RGPD)«, obra en la que expertos de reconocido prestigio en la materia comentan la Ley artículo por artículo:

One thought on “Tratamiento de datos con fines de mercadotecnia directa: ¿requiere el consentimiento del afectado?

  1. La verdad es que, conociendo al Supremo, puede salir por cualquier sitio. Ahora bien, no se deben mezclar los conceptos de interés legítimo del responsable, con el de derecho del responsable a enviar SPAM a los usuarios. En otro caso, qué sentido tiene que exista la Lista Robinson prevista justamente como medida adicional para evitar el SPAM. Si se admite el interés legítimo como causa suficiente para que todas las empresas tengan carta blanca para hacernos SPAM, entonces se invierte el espíritu de la normativa porque se obliga al usuario a desplegar una actividad de oposición constante y permanente, a menudo contra robots digitales. Del mismo modo se subvierte el principio de consentimiento previo y expreso, no presunto ni tácito consagrado por el Reglamento General de Protección de Datos.

    Por analogía, si el interés legítimo del responsable tiene una cobertura tan grande, ¿qué sentido tiene entonces regular las cookies exigiendo consentimiento previo? (Aunque la AEPD parece haber cedido en este aspecto y se ha inventado el consentimiento presunto mediante la acción «seguir navegando» en su última guía sobre la materia).

    La cuestión del interés legítimo siempre requerirá discernimiento, como en el caso de ciertas cesiones entre empresas del mismo grupo, etc.; pero no puede convertirse en la puerta de atrás para desproteger los derechos de los ciudadanos.

    En cuanto a que los ciudadanos quieran ceder sus datos públicamente en redes sociales y demás, justamente es porque está en control de sus datos y en ejercicio de sus derechos y cada uno lo dosifica como estima conveniente, lo que no debe servir para generalizar o para que el desconocimiento de muchos (pecadores), sea pagado por otros que sí creen en sus derechos (justos).

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.