Es una práctica ya común en los comercios el hecho de que en las tiendas se solicite al cliente su correo electrónico o su teléfono para el posterior envío del ticket de la compra efectuada. No obstante, que esta práctica se lleve a cabo de forma regular, no significa que se aproveche un dato personal proporcionado por el cliente para, posteriormente, enviar publicidad sin cumplir con las garantías exigidas.
Pues bien, recientemente, la Agencia Española de Protección de Datos (en adelante, AEPD) ha resuelto un expediente sancionador dirigido contra una gran empresa textil en el marco de la Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico (en adelante, LSSI) que ofrece una visión completa sobre las implicaciones legales de la ausencia del consentimiento en el tratamiento de datos personales para fines de publicidad y las responsabilidades de las empresas en este ámbito.
Este caso surge de una denuncia presentada por un cliente, quien reclamó el uso indebido de sus datos personales para el envío de comunicaciones comerciales no solicitadas.
En concreto, la parte reclamante manifiesta que acudió a una tienda de la entidad reclamada para realizar una compra y que, al solicitar el correspondiente ticket de la misma, le indicaron que no cabía entregar el mismo de forma física, debiendo aportar su dirección de correo electrónico o su número de teléfono, viéndose obligado a aportar dichos datos para recibir el correspondiente comprobante de la compra. Señala que, además, al aportar dichos datos en una Tablet del establecimiento, en ningún momento apareció mensaje o formulario alguno donde tuviera la oportunidad de oponerse a la recepción de publicidad. Pese a ello, ha recibido en su correo electrónico hasta tres correos con contenido publicitario de la entidad reclamada sobre nuevos productos y promociones, todo ello sin haberlo autorizado.
La reclamación presentada ante la AEPD indica que estos correos fueron enviados sin el consentimiento explícito del reclamante, en contravención con lo dispuesto en el artículo 21 de la LSSI dado que en ningún caso se mostró al titular de los datos opción clara para aceptar o rechazar la recepción de publicidad. Conviene recordar que el artículo 21 de la LSSI dispone que “queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”.
Se dio traslado de dicha reclamación a la parte reclamada para que procediese a su análisis e informase, pero no se recibió respuesta alguna, con lo que la AEPD acordó iniciar procedimiento sancionador contra la entidad por la presunta infracción del artículo 21 de la LSSI.
Notificado dicho acuerdo la empresa textil presentó escrito con las siguientes alegaciones:
- La entidad reclamada afirma que conoce la obligación prevista en el artículo 21 de la LSSI de recabar el consentimiento expreso, o que las comunicaciones comerciales hubieran sido solicitadas por parte del destinatario de las mismas por correo electrónico o el medio equivalente ya que cuenta con asesoramiento en materia de privacidad, protección de datos y comercio electrónico.
- Además, la entidad indica que recaba el consentimiento de sus clientes para poder enviarles comunicaciones comerciales, y que, a mayor abundamiento, existen una serie de medidas implementadas por defecto para evitar enviar comunicaciones a aquellos clientes que no lo hayan solicitado o no se haya recabado su consentimiento de forma expresa.
- La entidad manifiesta que, sin embargo, no es cierto ni que no se diera la opción de entregar el ticket físico, ni tampoco que en la Tablet del establecimiento no apareciera un mensaje o formulario para oponerse a la recepción de publicidad. De hecho, se adjunta captura de pantalla de la Tablet en la que se puede apreciar en el apartado “opciones del cliente” una primera pestaña denominada “acepta publicidad” desmarcada por defecto. En ese momento se les pregunta expresamente a todos los clientes si desean aceptar el envío de publicidad antes de abrir dicha pestaña.
- El denunciante aceptó expresamente este envío de publicidad. Como justificación de esta enunciación, adjunta una captura de la compra final en la que se puede observar la suscripción del cliente a dicha publicidad por correo electrónico. De esto infiere la entidad que la casilla de comunicaciones comerciales fue marcada dado que el usuario aceptó esa opción durante la compra. Se observa también, por el contrario, que no se prestó consentimiento para el envío de comunicaciones a través de SMS.
- Reseña también que el cliente era plenamente consciente de que podía eliminar la suscripción puesto que así consta en cada correo electrónico que se remitía. Así, el denunciante eliminó la suscripción pinchando en el enlace que recibía en los correos electrónicos bajo la palabra “unsuscribe” posteriormente. En este sentido, la entidad expresa que, si el cliente no deseaba recibir más publicidad, podría haber eliminado la suscripción el primer día al recibir el primer correo electrónico de la empresa textil. Adicionalmente, para saber más sobre qué hacer cuando un usuario nos solicita la baja en los envíos publicitarios pulse aquí.
- Desde el mismo momento en que se eliminó la suscripción, la entidad no ha emitido ningún otro tipo de comunicación de índole comercial al denunciante.
Con estas alegaciones, la entidad considera que ha actuado de forma correcta, cumpliendo los mandatos de su cliente, tanto en el envío de comunicaciones comerciales, como de eliminación de la suscripción; y todo ello en estricto cumplimiento de lo establecido en la legislación vigente.
En cualquier caso y, de forma subsidiaria, también entiende que la actuación de la empresa estaría amparada por el apartado segundo del artículo 21 de la LSSI, el cual viene a decir que no será de aplicación lo dispuesto en el apartado primero cuando exista una relación contractual previa; el prestador hubiera obtenido de forma lícita los datos de contacto del cliente; el prestador utilizara dichos datos para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa similares a los que fueron objeto de contratación. Considerar la imposición de una sanción por este precepto sería, para la entidad, una vulneración del del principio de tipicidad que rige en todo procedimiento administrativo sancionador.
Para terminar su defensa, la parte reclamada alega el artículo 8 del Real Decreto 1619/2012 de 30 de noviembre por el que se aprueba el Reglamento por el que se regulan las obligaciones de facturación para justificar el envío del ticket de compra por correo electrónico. No obstante, hay que tener en cuenta que este artículo faculta el poder expedir el ticket por cualquier medio (en papel o en formato electrónico) pero no que sea preceptivo expedirlo de uno u otro modo. Es decir, el comercio debe informar claramente sobre la opción disponible para que el cliente decida si prefiere un justificante digital o en papel.
Por su parte, la AEPD, en el acuerdo de iniciación del expediente, convino la existencia de agravante de intencionalidad. Por el contrario, la entidad reclamada establece que la aplicación de dicha circunstancia resulta absolutamente errónea puesto que como se ha acreditado: 1) el cliente permitió expresamente el envío de comunicaciones comerciales, modificándose en ese momento la pestaña correspondiente de la aplicación; 2) una vez recibido el ticket de compra, el cliente pudo perfectamente eliminar su suscripción, al igual que pudo hacerlo cuando recibió las otras dos comunicaciones; y 3) el propio denunciante eliminó su suscripción posteriormente. Asimismo, aduce jurisprudencia de la Audiencia Nacional en la que se considera correcta la aplicación de esta agravante de intencionalidad en el caso de que un correo electrónico de índole comercial se remita después de que el usuario manifieste expresamente su oposición, pero no en el caso que ocupa.
Por todo lo expuesto, la entidad reclamada solicita, en el curso del procedimiento, que se acuerde el archivo del procedimiento sancionador y, en su lugar, se imponga apercibimiento con la adopción de medidas correctoras determinadas.
La AEPD dictamina, como fundamentos de derecho, los siguientes puntos clave de legislación vigente:
- Artículo 21 de la LSSI: este precepto prohíbe expresamente el envío de comunicaciones comerciales por correo electrónico sin consentimiento previo del destinatario, salvo en situaciones de relación contractual previa que cumplan ciertos requisitos. En este caso, la AEPD concluye que la entidad reclamada no probó adecuadamente que el cliente hubiera autorizado el tratamiento de sus datos para fines promocionales y que, el hecho de que la reclamada envíe correos electrónicos publicitarios al reclamante que previamente no hubieran sido solicitados o expresamente autorizados constituye una vulneración de este artículo mencionado.
- Artículo 7 del Reglamento General de Protección de Datos: a pesar de que el RGPD no establece un mecanismo en concreto sobre cómo el responsable debe ser capaz de probar que ha obtenido un consentimiento válido, sí establece que el consentimiento debe ser verificable en el sentido de que debe poder acreditarse quién otorgó el consentimiento, cuándo, cómo y para qué, así como la información que se le suministró en el momento de obtenerlo. Es decir, el responsable del tratamiento debe poder demostrar que el interesado prestó el consentimiento de forma válida en caso de auditoría o inspección. La AEPD señaló que las capturas de pantalla aportadas por la entidad no cumplían con este requisito, ya que no se aportó un historial de logs ni evidencias suficientes que vincularan el consentimiento del cliente con el envío de los correos publicitarios.
- Principio de intencionalidad: la AEPD considera que la empresa debía haber previsto la posibilidad de una vulneración y adoptado medidas proactivas para evitarla, de manera que debería haber implementado mecanismos claros para garantizar el consentimiento válido antes de enviar comunicaciones comerciales. Este principio es clave en la graduación de las sanciones, ya que refuerza la necesidad de cumplir con un deber de diligencia en la protección de datos.
Tras analizar los hechos y los fundamentos legales expuestos, la AEPD sanciona a la entidad con una multa de 20.000 euros por infracción del artículo 21 de la LSSI, dentro del rango previsto para infracciones leves en el artículo 38.4.d) de la LSSI.
De esta resolución se infiere el impacto potencial de este tipo de prácticas en los derechos de los usuarios y se destaca la necesidad de que las empresas adopten medidas que garanticen el cumplimiento normativo, en concreto, medidas que demuestren la exigencia de obtener el consentimiento previo para el envío de comunicaciones comerciales de forma libre, específica, informada e inequívoca.
En definitiva, una advertencia clara para las empresas sobre las implicaciones de no cumplir con la normativa de protección de datos en un entorno en el que la privacidad y los derechos son cada vez más relevantes.
