Comunicaciones comerciales y LOPD



Una de las preguntas más habituales de mis clientes en materia de protección de datos y LSSI es la referente a si pueden o no enviar publicidad a empresas o profesionales cuyos datos aparecen publicados en repertorios públicos o guías profesionales (como ocurre en el caso de los profesionales colegiados). En definitiva, si pueden dirigirse a personas cuyos datos estén incluidos en lo que se considera fuentes accesibles al público y que se definen así en el artículo 3.j) de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal:
Aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.
Resumiendo, lo que me preguntan es: ¿puedo mandarles publicidad a las empresas o profesionales que aparecen en las páginas amarillas o las guías colegiales, por ejemplo?
La respuesta que les doy es:
Mucho cuidado con ese tema. No siempre puedes.
Claramente lo explica el Informe de la Agencia Española de Protección de Datos nº 105/2010, que respondía precisamente a la misma cuestión.
Y para responder comienza diciendo que lo primero que hay que tener claro es por qué medio se va a hacer la publicidad: ¿Por internet? ¿Por teléfono? ¿Por correo ordinario?
En los dos primeros casos, al realizarse la comunicación por medios electrónicos, tenemos que acudir a la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE para los amigos), que ni mucho menos es lo mismo que la LOPD.
Esto es lo que debes tener en cuenta en aplicación de las normas mencionadas y el informe jurídico de la AEPD:

  

    1. Si quieres hacer una comunicación publicitaria no electrónica (una carta ordinaria, por ejemplo), puedes, cuando se trate de personas jurídicas (empresas y entidades), ya que sus datos están fuera del ámbito de aplicación de la LOPD.

 

    2. Si quieres hacer una comunicación publicitaria no electrónica a una persona física, puedes, pero tienes que tener en cuenta las exigencias de la LOPD, que son: o bien que hayas sacado sus datos de una fuente accesible al público (una guía colegial de abogados, por ejemplo) y el interesado no se haya opuesto a recibirlas, o bien que el interesado te haya dado previamente sus datos y haya consentido expresamente que le envíes publicidad; y que, en todo caso, cumplas el resto de exigencias impuestas por el artículo 45 del RLOPD.
En resumen, y como indica el informe citado de la AEPD:
En consecuencia, será posible el envío de publicidad, siempre y cuando los datos de las personas a quienes se remita se encuentren en fuentes accesibles al público, siendo preciso examinar si los supuestos a los que se refiere la consulta tienen éste carácter.

Pero eso sí: no pierdas de vista que sigue refiriéndose al envío de COMUNICACIONES NO ELECTRÓNICAS.

 

     3. Si quieres hacer una comunicación publicitaria electrónica (e-mail o SMS, por ejemplo), ya no aplicamos la LOPD, sino la LSSICE, que se ocupa bastante de prohibir y sancionar la práctica del conocido como SPAM. Y si la quieres hacer sin más, no, no puedes. Ni a personas físicas ni a personas jurídicas. Es muy claro a este respecto el artículo 21.1 LSSICE al decir que
Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
Sólo podrás enviar este tipo de publicidad si tienes una relación contractual previa con el destinatario y empleas sus datos para enviarle comunicaciones relacionadas con productos o servicios de tu empresa similares a los contratados. Además, en cada comunicación tienes que ofrecerle la posibilidad de oponerse a seguir recibiendo comunicaciones, o dicho de otro modo a “darse de baja”.
Como te decía al principio: mucho cuidado con estos temas, porque no es tan sencillo. Mejor asesórate antes de iniciar una campaña publicitaria.

Nueva regulacion cookies

No es la primera vez que hablo en este blog del tema de las cookies, a raíz de los cambios legales introducidos el año pasado.
Pero el caso es que se está convirtiendo en una de las consultas que me hacen con más frecuencia.
Ciertamente se está generando muchísima confusión con el tema y cada uno ha tenido a bien darle la solución práctica que le ha parecido más oportuna.
La Agencia Española de Protección de Datos deberá pronunciarse antes o después sobre esta cuestión y aportar un poco de luz entre tanto caos.
Entre tanto lo más recomendable creo que es que:
  
En primer lugar, te enteres de una vez (la mayoría de la gente no lo sabe) si estás o no dentro del ámbito de aplicación de la LSSICE. Si no lo estás, no te tiene que preocupar el tema de las cookies.
En segundo lugar, aclares o le preguntes a quien haya elaborado y/o gestione tu web, si utiliza cookies, de qué tipo son y para qué sirven. Por favor, pídele que te informe por escrito y de forma exhaustiva de cuáles son exactamente las cookies que hay.
En tercer lugar, y una vez determinado lo anterior, procedas a analizar si están o no dentro de los supuestos contemplados en el artículo 22 de la LSSICE y qué alcance tienen. Eso es algo que puedes tratar de investigar tú, pero si te quieres quedar más tranquilo, consúltalo con un informático, abogado o consultor de derecho de nuevas tecnologías. Incluso yo le preguntaría a la Agencia Española de Protección de Datos (se le pueden elevar consultas por escrito).
Y en cuarto y último lugar, redactes (o pidas que te las redacten) las correspondientes cláusulas informativas y/o establezcas un sistema válido para obtener el consentimiento del usuario en los casos en que proceda.
Obviamente, no hablo de este tema por mero interés científico, sino porque el incumplimiento de la normativa conlleva multas, que se pueden evitar con dedicarle un rato al tema y ordenar los conceptos.