El derecho de los usuarios finales a la protección de datos personales y la privacidad en relación con las comunicaciones no solicitadas
En muchas ocasiones somos receptores, como usuarios finales, de comunicaciones o llamadas no deseadas, con fines comerciales, por lo que nos preguntamos ¿Dónde se encuentra nuestro derecho a la privacidad y a la protección de nuestros datos personales?
Pues bien, si necesitas que te respondan a esta pregunta, te interesará este artículo. Para responder a tal cuestión debemos remitirnos a lo dispuesto en la Circular 1/2023, de 26 de junio, sobre la aplicación del artículo 66.1.b) de la Ley 11/2022, de 28 de junio, General de Telecomunicaciones.
Dicho artículo 66.1b) de la legislación anteriormente referenciada establece, de forma resumida, que los usuarios finales tendrán derecho a no recibir llamadas no deseadas con fines de comunicación comercial, salvo que exista consentimiento del propio usuario respecto a la recepción de este tipo de comunicaciones o bien salvo que tal comunicación pueda ampararse en otra base de legitimación.
Con la legislación anterior, y en concreto con lo dispuesto en el artículo 48.1b de la derogada Ley 9/2014, de 9 de mayo, General de Telecomunicaciones se reconocía el derecho de los usuarios finales a oponerse a recibir llamadas no deseadas con fines de comunicación comercial. De forma que dicha modificación ha implicado un cambio sustancial en la materia.
Remitiéndonos a lo dispuesto en el nuevo articulado de la Ley General de Telecomunicaciones, entendemos que para que se puedan llevar a cabo dichas comunicaciones interpersonales será necesario o bien el consentimiento del usuario final o bien deberá existir otra base de legitimación en la que poder ampararse. En relación con esto último se nos plantea la siguiente cuestión ¿Sobre qué otras bases de legitimación podrán ampararse los responsables del tratamiento de los datos personales para realizar tales comunicaciones?
Las bases de legitimación se encuentran recogidas en el artículo 6.1 del Reglamento (UE) 2016/679, entre otras,
- Consentimiento
- Existencia de un contrato
- Existencia de una norma con Rango de ley que ampare el tratamiento
- Tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; e
- Interés publico
- Interés legitimo
Sin embargo, no todas, a criterio de la Agencia Española de Protección de datos, serán aplicables. Por lo que al caso que nos ocupa la “otra base de legitimación” sobre la que pueda ampararse el tratamiento de este tipo de datos personales se reduce: al consentimiento y al interés legítimo.
En relación con el interés legítimo, el responsable del tratamiento deberá realizar un juicio de ponderación sobre los derecho e intereses en conflicto, por norma general, la Agencia Española de Protección de Datos, presumirá que el responsable ha obtenido de forma licita los datos de contacto de los destinatarios. De manera que para que la persona jurídica pueda probar su interés legítimo, debe haber existido una relación previa con el interesado, como puede ser que el interesado haya adquirido productos de tal empresa.
Además, las comunicaciones comerciales que se realicen deben guardar relación con los productos o bien, servicios adquiridos o contratados previamente por el usuario. Todo lo anterior solamente será aplicable a aquellas empresas con las que hubiese existido una relación previa empresa vs usuario, por lo que no será aplicable a otras empresas ni a empresas pertenecientes al grupo empresarial.
A lo que se le suma que en el caso de que la relación contractual entre dichas partes: no se encuentre en vigor y el usuario no haya interactuado con la empresa durante el último año, no podrán llevarse a cabo comunicaciones comerciales.
Asimismo, el responsable del tratamiento de los datos personales deberá consultar, con anterioridad a realizar la comunicación, los sistemas de exclusión publicitaria.
Sin embargo, en el caso de contactos de empresarios individuales y de profesionales liberales se presumirá que el tratamiento es licito.
Finalmente destacar, la importancia que le da el Reglamento (UE) 2016/679 a los principios de transparencia, lealtad y responsabilidad proactiva, además de lo anteriormente expuesto el responsable del tratamiento de los datos personales deberá adoptar garantías adicionales:
- Al inicio de la comunicación se deberá dar información de quien es la persona jurídica o empresario a nombre de quien llaman.
- Identidad de la persona que efectúa la llamada.
- Finalidad comercial.
- Comunicar al interesado su derecho de oposición a no recibir este tipo de llamadas.
- En el supuesto de que el usuario realizará cualquier tipo de manifestación que pudiera entenderse contraria a la realización de tal comunicación, deberá entenderse como revocación del consentimiento.
- El responsable del tratamiento deberá grabar la llamada para dar prueba del cumplimiento de la normativa.
De manera que los usuarios finales podrán ser receptores de tales comunicaciones si han dado previamente su consentimiento o si la empresa que realiza tal comunicación comercial puede probar que su interés legítimo en realizarla prevalece sobre el derecho de los usuarios a no recibirlas y estos no han ejercido su derecho de oposición.