Todos hemos recibido llamadas comerciales a cualquier hora del día de empresas con las que nunca hemos mantenido ninguna relación y que, sin embargo, tienen nuestro número de teléfono y no dudan en intentar venderte sus productos y servicios. A veces, esas llamadas indeseadas se producen después de haber solicitado una oferta a un competidor. ¡Qué sorpresa! ¿…o no?
Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD), hace ya más de cinco años, los requisitos que permiten la realización de este tipo de llamadas comerciales se endurecieron y las consecuencias para las empresas que los incumplieran proliferaron. Así, en materia de protección de datos, la nueva norma exigía a las empresas:
Primero, informar a los usuarios del uso de sus datos personales con fines comerciales. Se aplicaba tanto en el caso en que hubieran obtenido los datos directamente de los usuarios como cuando obtenían los datos de otras fuentes (por ejemplo, nos referimos aquí también a aquellos casos en los que las empresas adquirían "bases de datos de terceros”). Y segundo, tener una base de legitimación válida de las previstas en la norma que, para fines comerciales, suele ser el consentimiento o el interés legítimo.
[La sencilla función de Gmail que deberías usar para que los correos importantes nunca vayan a spam]
Sin embargo, esta norma es general y aplica a todos los tratamientos de datos personales, por lo que no especifica qué tipo de base de legitimación debe utilizarse en cada caso. Para ello, en el ámbito del comercio electrónico, existía otra normativa, previa, la Ley de Servicios de la Sociedad de la Información (LSSI), que provenía de la consagrada Directiva sobre Comercio Electrónico, base del resto de normativa en materia digital que se ha ido aprobando en los últimos 24 años.
La LSSI especificaba que el envío de comunicaciones comerciales electrónicas solo debe realizarse con base en el consentimiento del usuario, salvo cuando el usuario es un cliente y los productos o servicios sean similares a los inicialmente contratados, debiendo facilitar la posibilidad de oponerse a este tratamiento en todas las comunicaciones.
No obstante, esta norma especial prevista en la LSSI aplica exclusivamente a las comunicaciones comerciales electrónicas, pero no así a las llamadas comerciales. Es por ello que la Ley 11/2022 General de Telecomunicaciones ha introducido el art.66.1b) a raíz del cual se especifica que los usuarios tienen derecho a no recibir llamadas con fines comerciales que no hubieran sido inicialmente solicitadas, salvo en el supuesto en que exista un consentimiento previo del propio usuario para recibir estas comunicaciones o estas puedan ampararse en otra base de legitimación de las previstas en el RGPD.
A este respecto, una vez este precepto ha entrado en vigor en junio de 2023, la Agencia Española de Protección de Datos (AEPD) ha publicado primero un informe, y posteriormente una circular sobre este derecho de los usuarios a no recibir llamadas no solicitadas (acompañada de una infografía resumen para el público en general), fijando los criterios que aplicará.
En virtud de este documento, actualmente podemos concluir que el usuario solo puede recibir una llamada comercial:
- Siempre y cuando la llamada sea realizada por una empresa (o por un tercero en nombre de esta empresa) a la cual hubiera solicitado o hubiera consentido con carácter previo y expreso la realización de estas llamadas.
- Para que este consentimiento sea válido, deberá ser expreso y deberá haber estado precedido de información suficiente sobre cómo esta empresa va a utilizar sus datos personales y con qué finalidades exactas.
- En caso de que el usuario no hubiera dado su consentimiento a la empresa que realiza la llamada, esta solo podrá realizar la llamada comercial si:
- (i) le ha dado información suficiente sobre el tratamiento de los datos personales que va a realizar, incluyendo la identidad de la empresa, la finalidad comercial y la posibilidad de ejercer sus derechos;
- (ii) puede justificar que dispone de un interés legítimo y que este interés legítimo prevalece sobre el derecho de los usuarios a no recibir esta llamada;
- (iii) el usuario no ha ejercido su derecho de oposición, es decir, que no se ha opuesto a recibir este tipo de llamadas provenientes de esa empresa.
¿Y cómo puedo ejercitar este derecho de oposición? Mediante los mecanismos que las empresas deben ofrecer al efecto (normalmente un correo electrónico o un formulario web para el ejercicio de los derechos de protección de los usuarios) a través de los cuales se puede revocar el consentimiento u oponerse al tratamiento de tus datos con estos fines comerciales.
Otra manera de hacerlo es mediante la inscripción en un sistema de exclusión publicitaria (que, en España, es la Lista Robinson). Todas las empresas están obligadas a consultar este listado antes de hacer una llamada comercial o enviar una comunicación comercial electrónica, salvo que el usuario hubiera otorgado su consentimiento expreso a esa empresa.
[Qué es la Lista Robinson, el servicio que te dejará disfrutar de la siesta]
En tanto que se ha establecido por ley el derecho de los usuarios a no recibir estas llamadas, la empresa tendrá una carga mayor en demostrar que su interés legítimo prevalece.
La interpretación que se realizará de forma mucho más estricta de la que se venía haciendo hasta el momento, exigiendo, de forma similar a la LSSI, que:
(ii) la relación siga estando en vigor o, como máximo, haya pasado un año desde la última interacción;
(iii) los productos o servicios ofrecidos por la empresa deben ser similares a los contratos con anterioridad por el usuario;
Y (iv) la llamada provenga de la misma empresa con la que se tuvo esa relación, excluyendo a cualquier otra empresa del grupo empresarial.
En ningún caso, dice la AEPD, podrán realizarse llamadas a números generados de forma aleatoria ni llamadas a números que aparezcan en la guía de abonados con base en el interés legítimo, sino que estas solo podrán realizarse en todo caso con el consentimiento previo del usuario, que, en el caso de la guía de abonados, debe constar con carácter general en las correspondientes guías.
***Adaya Esteban Ruiz es Senior Contracts Counsel del Global Privacy Team en McKinsey & Company y miembro de WLW, OdiseIA y Nova Talent.