Una situación habitual en el asesoramiento sobre protección de datos es que el cliente te plantee que ha ido recopilando direcciones de correo electrónico y que quiere empezar a realizar comunicaciones comerciales o publicitarias sobre sus productos o servicios. Ahora este tipo de consulta, con la crisis provocada por el Covid-19, prácticamente viene de serie con todo nuevo cliente, porque hay que intentar arañar negocio de donde sea.
Esas direcciones las ha ido obteniendo el cliente de las diversas relaciones contractuales que ha tenido, de personas que en un momento determinado han contacto con la empresa para solicitar información o pedir un presupuesto, bien vía correo electrónico o a través de un formulario on line. El cliente ha oído campanas y no está muy seguro de si puede utilizar libremente esas direcciones o no. Y si la conclusión es que no, lo que quiere saber es qué puñetas tiene que hacer para poder salvar la mayor parte posible de esas direcciones como destinatarias de envíos comerciales.
Para estas situaciones, con el tiempo he ido redactando un informe base, que voy adaptando a las particularidades de cada caso y enriqueciendo a medida que se producen novedades legislativas o se dictan sentencias, dictámenes o informes que pueden afectar a la materia. Por ejemplo, la sentencia del pasado 16 de julio del TJUE es un hecho que habría que incorporar al informe para recomendar la no contratación de plataformas de marketing electrónico que alojen la información en Estados Unidos.
Reproduzco a continuación ese informe base como ayuda a quien se vea en la tesitura de escribir uno para un cliente y se haya atascado en la redacción o no sepa cómo ordenar los distintos puntos que desea tratar. A cambio, pido a los lectores que, vía comentarios al post, compartan sus ideas para mejorar o enriquecer el contenido del documento, y así nos beneficiamos todos. Por ejemplo, me interesa mucho su opinión sobre la “vía de riesgo” que planteo, a la vista de los cambios introducidos por el RGPD y la nueva LOPD. Ojo, no se autoriza su incorporación a herramientas informáticas de ayuda para cumplimiento o implementación normativa o a manuales u otras publicaciones jurídicas.
Aviso: el informe está redactado para clientes, de forma que evito en la medida de lo posible la cita formal de las normas que se citan o las referencias completas de resoluciones judiciales o de informes de la AEPD. Todo eso lo puedo aportar como un anexo o facilitárselo al cliente si me lo pide, pero lo que a él le interesa es el grano. Todo lo otro, desde su punto de vista, es paja. Pero esto no deja de ser una opción personal. Y, por otro lado, no entro en las posibilidades que ofrece la definición de «comunicación comercial» de la letra f) del apartado de definiciones del anexo de la Ley 34/2002, porque no suele ser el camino que, al menos los míos, quiere seguir el cliente.
¿Quieres implementar en tu despacho profesional la normativa sobre protección de datos? Pues no te olvides de comprar desde esta misma web mi libro electrónico “Protección de datos. manual práctico de ayuda para abogados”.
INFORME
XXXXXXXXXXXXXXXXXX desea utilizar las direcciones de correo electrónico que ha ido recopilando durante estos años para remitir comunicaciones informativas de sus actividades, así como ofertas y promociones.
Las direcciones de correo electrónico se recaban:
- De las personas que se alojan en ………………… (principalmente)
- De las personas que solicitan información vía los formularios de la web o directamente por correo electrónico.
- De las personas que realizan compras en la tienda on line.
- De las inscripciones a campamentos de verano.
¿Qué se entiende por comunicación comercial o promocional? Toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.
Si esa comunicación se remite vía electrónica debemos tener en cuenta principalmente dos normativas:
- La Ley de la Sociedad de los Servicios de la Información y Comercio Electrónico (LSSICE).
- La normativa en materia de protección de datos, representada por el Reglamento General de Protección de Datos (RGPD), norma europea de aplicación directa desde el 25 de mayo; y por la normativa española, representada por la nueva LOPD, en vigor desde el 7 de diciembre de 2018.
Huyendo de tecnicismos, expongo aquí cuál es mi opinión sobre cómo puede XXXXXXXXXXXXXX realizar envíos electrónicos promocionales o comerciales de sus distintas actividades aplicando la normativa citada.
PRINCIPIO GENERAL: CONSENTIMIENTO.
En primer lugar, debemos tener claro que no pueden mandarse comunicaciones comerciales o promocionales vía electrónica a quien no las haya previamente solicitado o autorizado expresamente su recepción.
EXCEPCIÓN: CLIENTES PROPIOS.
Esa regla general tiene una excepción: sí se pueden remitir comunicaciones comerciales o promocionales, sin necesidad de consentimiento, a la persona con la que se tenga una relación contractual previa, SI BIEN CON UNAS CONDICIONES NO NEGOCIABLES Y ACUMULATIVAS:
- Que los datos de contacto de esa persona se hubieran obtenido de una forma lícita.
- Que el envío tenga por objeto productos o servicios de la propia entidad con la que se contrató y que sean similares a los contratados.
- Que en el momento de la recogida de los datos se diera oportunidad a esa persona a oponerse a esos envíos, algo que también debe ofrecerse en cada envío.
Doy por supuesto el primer punto, porque de las conversaciones que hemos mantenido entiendo que los datos de los posibles destinatarios se han obtenido de relaciones contractuales o comerciales mantenidas con los mismos.
Que el envío tenga por objeto productos o servicios de la propia organización con la que se contrató y que sean similares a los contratados.
Es decir, XXXXXXXXXXXX solo podrá remitir comunicaciones comerciales relativas a sus propias actividades.
Atención: Alguien que contacta con XXXXXXXXXXX para pedir información vía formulario de contacto o mail no es una persona con la que se haya establecido una relación contractual. Si se le quiere mandar comunicaciones comerciales/promocionales electrónicas debe solicitarse su consentimiento.
Que en el momento de la recogida de los datos se diera oportunidad a esa persona a oponerse a esos envíos. Igualmente, esta posibilidad de manifestar que no se desea seguir recibiendo esos correos debe ofrecerse en cada envío.
Esto quiere decir que al recoger los datos de la persona
- debe informársele de que se van a usar sus datos para remitirle comunicaciones comerciales vía electrónica y
- debe ofrecérsele un mecanismo para que en ese momento pueda decir que no quiere recibir esas comunicaciones. Ejemplo de texto a introducir en la hoja de check in en XXXXX.
…igualmente, ponemos en su conocimiento que, al amparo del artículo 21.2 de la Ley 34/2002, utilizaremos sus datos para remitirle vía electrónica comunicaciones informativas sobre nuestras actividades, ofertas y promociones, salvo que usted nos indique su deseo de no recibirlas marcando la casilla dispuesta al efecto
□ No deseo recibir comunicaciones comerciales.
Esto no se hace actualmente.
En cuanto al mecanismo de baja que debe ofrecerse en cada envío, puede ser de dos tipos:
-a) Una dirección de correo electrónico de XXXX a la que el receptor de la comunicación comercial deba mandar un correo desde la cuenta en la que ha recibido el mensaje indicando su deseo de darse de baja de la lista de distribución (bastaría indicarle que en el campo asunto escribiera “baja”).
Eso supone que quien controle esa cuenta de correo deberá luego manualmente dar de baja esa dirección en la lista de destinatarios. Es un sistema que maximiza la posibilidad de cometer errores en la gestión de esas bajas.
-b) Usar una plataforma para marketing electrónico. Éstas suelen ofrece en cada mensaje un vínculo que, de seguirse, lleva a una página de la plataforma de marketing electrónico en la que se confirma la baja y automáticamente la plataforma lo gestiona. Se recomienda esta opción. En su momento se estudiaría su elección.
PERSONAS QUE SOLICITAN INFORMACIÓN SOBRE LAS ACTIVIDADES DE XXXXXXXXXXX.
A estos colectivos debe solicitárseles su consentimiento para remitirles comunicaciones electrónicas promocionales/publicitarias: NO HAN CONTRATADO NADA y, por tanto, no pueden ser considerados clientes.
Si no prestan su consentimiento no se les puede remitir este tipo de comunicaciones.
Se recuerda que el consentimiento es una manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
El carácter afirmativo exigido al consentimiento elimina la posibilidad de consentimientos tácitos o por omisión: “si usted no manifiesta su negativa marcando la casilla dispuesta al efecto entenderemos que nos autoriza a…” ¿Por qué? Porque se basan en la inacción, no en declaración o clara acción afirmativa.
Para este colectivo también resulta de aplicación la necesidad de ofrecer en cada mensaje o correo el mecanismo de baja/oposición al que antes he hecho referencia.
FORMULARIOS DE CONTACTO.
Una posible vía para captar direcciones a las que enviar comunicaciones comerciales electrónicas es aprovechar los datos que los interesados envían al contactar con XXXXXXX vía el formulario de contacto de la web.
En este caso, como ya he expuesto, alguien que contacta con nosotros no puede ser considerado alguien con quien se tiene una relación contractual, por lo que deberíamos solicitar su consentimiento para mandarle esas comunicaciones.
Esta opción se quiere activar ya, por lo que se han redactado unas instrucciones específicas, que se han hecho llegar al gerente de XXXXXX.
NEWSLETTERS.
Otra posibilidad para recoger direcciones a las que mandar comunicaciones electrónicas/comerciales es crear una newsletter o boletín periódico, dando la posibilidad de suscribirse al mismo desde la página web. Se gestionaría a través de la plataforma de marketing electrónico que se contratara.
Esta opción se quiere activar ya, por lo que se han redactado unas instrucciones específicas, que se han hecho llegar al gerente de XXXXXX.
DIRECCIONES QUE YA SE TUVIERAN.
El envío de comunicaciones electrónicas de carácter comercial o promocional requiere, como he explicado,
-1) O que exista de una relación contractual previa siempre y cuando al establecerse la misma
- Se haya informado de que se van a usar los datos de cliente para remitirle vía electrónica información comercial.
- Esa información se limite a productos y servicios de la propia empresa.
- Se haya ofrecido al cliente en el mismo momento en que se recogen sus datos la posibilidad de oponerse a ese uso de sus datos.
- Se incluya en cada envío la posibilidad de oponerse a ese tratamiento a través de un mecanismo gratuito y sencillo-.
Estos requisitos no se cumplen.
-2) O que se haya solicitado consentimiento para el envío, lo que tampoco se cumple.
Para intentar salvar estas direcciones, existen dos vías, una más segura y otra con más riesgo.
-a) La vía segura.
Se puede mandar un correo electrónico a todos los destinatarios desde la plataforma de marketing electrónico que se contrate solicitando autorización para mandarles comunicaciones comerciales, pidiéndole que siga un enlace que se disponga al efecto. La plataforma detectaría los destinatarios que confirma su autorización y los incorporaría a una lista segura de destinatarios a los que ya se podrían mandar comunicaciones comerciales.
Propuesta de redacción de ese mensaje. Es largo, pero contiene todo lo que exige la normativa:
Apreciado/a ……………… (cliente, suscriptor…)
Estamos actualizando nuestros protocolos en materia de protección de datos personales para ofrecer las mayores garantías de privacidad a nuestros clientes y personas que se han interesado en nuestros servicios.
Por ese motivo le remitimos este mensaje, para que nos confirme que desea seguir recibir nuestros correos electrónicos con información sobre nuestra empresa, sus actividades y promociones.
Si ese es su deseo, por favor, durante los próximos …. días pulse sobre el enlace que se pone a su disposición para confirmar quiere seguir recibiendo nuestras comunicaciones. Caso contrario, entenderemos que prefiere no recibirlas.
Al mismo tiempo, aprovechamos para informarle de los siguientes extremos en relación con el tratamiento de sus datos personales para la remisión de comunicaciones comerciales o promocionales.
La responsable de ese tratamiento es ……………………….
La finalidad de ese tratamiento es enviarle por medios electrónicos información sobre nuestras actividades, ofertas y promociones. La legitimación de ese tratamiento se basa en nuestro legítimo interés en promocionar los servicios de la empresa y en su consentimiento en recibir esas comunicaciones. Podrá revocar dicho consentimiento en cualquier momento, siguiendo el mecanismo al efecto dispuesto en cada una de las comunicaciones que le remitamos. Conservaremos sus datos en tanto no proceda usted a indicarnos que no desea recibir más comunicaciones. No se prevén hacer cesiones a terceros de sus datos. Con independencia del mecanismo incluido en las comunicaciones, puede usted ejercitar ante esta empresa los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad en la forma y casos recogidos en la legislación vigente sobre protección de datos, remitiéndonos al domicilio postal o a la dirección de correo electrónico antes indicados comunicación al efecto. Igualmente, si entiende que el tratamiento de datos por nuestra parte no es correcto, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos.
Repito: es largo, pero podríamos buscar fórmulas para acortarlo, como podría ser incluir en el correo una primera capa informativa más reducida y redirigir a un espacio creado en la web de …………….. para colgar las políticas de privacidad.
-b) La vía de riesgo.
Jugársela y mandar correos electrónicos comerciales dotados de mecanismo de baja, de forma que si no se utiliza por el receptor ese mecanismo para indicar que no quiere recibir más comunicaciones, se pueda entender que se aceptan las posteriores comunicaciones. Es decir: el primer envío sería irregular y, por tanto, sancionable, pero los siguientes, como no se ha dado de baja, se pueden considerar aceptados.
Ese es el criterio que seguía la Audiencia Nacional en su sentencia de 15 de julio de 2011:
Ha quedado acreditado, y así lo recoge la Agencia de Protección de Datos, que en cada uno de
los mails remitidos se ponía en conocimiento del denunciante la posibilidad de oponerse a recibir nuevas comunicaciones con un fácil procedimiento consistente en presionar el «clic» que se incluía en la comunicación sin que el denunciante hubiese activado tal sistema y ello pudo ser interpretarse como conformidad con los posteriores envíos.
Esa posición ha venido siendo respetada por la Agencia Española de Protección de Datos, pero con la aplicabilidad del nuevo RGPD en mayo de 2018 no puedo asegurar que lo siga haciendo, porque la posición de la Audiencia Nacional da por bueno un consentimiento presunto (“como no se ha dado de baja…”), pero en el nuevo RGPD los consentimientos no pueden ser presuntos, sino que deben consistir en una acción o declaración de carácter afirmativo y no utilizar el mecanismo de baja no es una acción o declaración positiva. No he encontrado en la base de resoluciones de la AEPD alguna con el nuevo RGPD en vigor que nos pueda servir de ayuda.
En todo caso, la intervención de la AEPD siempre vendría precedida de denuncia de persona, física o jurídica, que hubiera recibido un correo, o varios, comercial o promocional.
Se podría intentar limitar el riesgo de sanción ante una posible denuncia utilizando solo las direcciones de correo electrónico de clientes, no de las personas que simplemente pidieron información a través de la web o de correo electrónico, para poder alegar la existencia de relación contractual, aunque el contenido de las cláusulas informativas no fuera correcto.
Riesgos económicos de este camino.
Mandar a una persona una comunicación electrónica comercial sin cumplir lo previsto en la normativa se considera infracción leve, artículo 38.4.d LSSI, que se puede sancionar con un simple apercibimiento la primera vez (no vuelvas a hacerlo) o con multa de hasta 30.000.-€.
El envío masivo de comunicaciones comerciales electrónicas o su envío insistente y sistemático a un mismo destinatario sin cumplir lo previsto en la normativa se considera infracción grave, artículo 38.3.c LSSI, que se puede sancionar con multa de 30.001 hasta 150.000.-€.
A la hora de imponer las sanciones se puede rebajar su importe, incluso aplicando a una infracción grave los importes de una leve, si concurren una serie de circunstancias recogidas en la norma. Así, por ejemplo, en un envío realizado a 141 destinatarios, que se considera masivo, la sanción impuesta por la AEPD fue de 15.000.-€, lo que fue confirmado por la Audiencia Nacional en sentencia de 7 de julio de 2011.
Otros ejemplos de cómo se han resuelto denuncias por incumplimiento de los requisi-tos del artículo 21 LSSI
Resolución R/00710/2014, 5.000.-€ a una clínica por no ofrecer la posibilidad de oponerse al tratamiento de datos para comunicaciones comerciales en el mismo documento en el que se informa del ese uso.
En cambio, en la Resolución R/02827/2017 la misma infracción se castiga con un simple apercibimiento a FACUA.
En procedimiento sancionador PS/639/2013, 6.000.-€ a El Corte Inglés por lo mismo, con confirmación por Sentencia de la Audiencia Nacional de 30/1/2013.
DOBLE OPT IN.
En todos los casos en los que el alta en la lista de distribución se realice por medios informáticos/automatizados, deberá, a efectos de acreditar la conducta proactiva que exige la nueva normativa, implantarse un sistema de doble opt in para confirmar el alta en la lista:
- El interesado solicita el alta a través de la web
- El sistema le envía a la dirección de correo electrónico facilitada un mensaje de confirmación, pidiendo que se siga un enlace para confirmar el alta. Si no se sigue el enlace, no se produce el alta.
IDENTIFICACIÓN DEL CARÁCTER PUBLICITARIO DE LOS ENVÍOS Y DE QUIEN LA REALIZA
De acuerdo con lo dispuesto en el artículo 20 de la citada Ley 34/2002, las comunicaciones comerciales realizadas por vía electrónica deberán ser claramente identificables como tales, y la persona física o jurídica en nombre de la cual se realizan también deberá ser claramente identificable.
Buenos días Alfonso.
Enhorabuena por el post, prácticamente describe todas las posibilidades para enviar comunicaciones comerciales de una forma muy clara.
El artículo trata sobre direcciones electrónicas acumuladas y queda claro, pero para aquellas direcciones que las empresas puedan capturar de las webs de otras empresas u otros directorios de potenciales clientes, ¿opinas que es lícito enviar una única comunicación por e-mail solicitando el consentimiento para enviarle publicidad?
El apartado definiciones de la LSSI dice: ”A efectos de esta Ley, no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, …”
Según esto, hay quienes entienden que se puede enviar una comunicación inicial, por ejemplo, somos la empresa AAA con web AAA.com y me gustaría enviarle comunicaciones comerciales, para lo cual le solicito su consentimiento, …; en cambio, otros consideran que el envío masivo de estas solicitudes es un spam.
Saludos,
Juan Carlos Sánchez