¿Es necesario un sistema de doble opt-in para mandar comunicaciones comerciales en España?
Es bien sabido que cuando hablamos de comunicaciones comerciales nos referimos a cualquier tipo de comunicación que se lleve a cabo para promocionar los bienes o servicios ofrecidos por una empresa, o a la propia empresa.
Actualmente las comunicaciones comerciales están gobernadas por los medios digitales, destacando el email marketing. Pudiera esto parecer una gran ventaja para las empresas por la facilidad ofrece, pero lo cierto es que este tipo de publicidad digital debe cumplir con una serie de premisas normativa que, además, en los últimos años están en el punto de mira de las autoridades.
De hecho, según la Memoria anual de 2021 publicada por la Agencia Española de Protección de Datos (AEPD), el sector de la publicidad se encuentra en el primer puesto de los mayores sancionados, con un incremento del 48.822% respecto del año anterior. El importe total de las sanciones a este sector ha alcanzado los 8.659.200 euros.
A las comunicaciones comerciales por medios digitales se les aplican, además de otras normas relativas a la competencia desleal y normativa sectorial en función de lo anunciado, las normas de protección de datos (Reglamento General de Protección de Datos o RGPD) y las normas nacionales que regulan las comunicaciones por medios electrónicos (en España, la Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico o LSSI).
Las comunicaciones comerciales y la base de legitimación para tratar los datos
En España, las comunicaciones comerciales únicamente podrán basarse en el interés legítimo del anunciante (y, por lo tanto, no contar con el consentimiento del destinatario) cuando cumpla con los siguientes requisitos: i) Exista una relación contractual previa con el destinatario; ii) los datos de contacto se hayan obtenido lícitamente; iii) se refieran a bienes o servicios de la propia empresa que sean similares a los previamente contratados.
En el resto de los casos, el anunciante deberá contar con el consentimiento del destinatario.
Las comunicaciones comerciales y el consentimiento
De mayor a menor nivel de rigor en la confirmación del consentimiento, se distinguen varias formas de otorgarlo:
-Opt-out o consentimiento tácito: este sistema implica la consideración de que existe un consentimiento implícito para la recepción de las comunicaciones, salvo en el caso que de, activamente, el interesado se oponga. Es decir, la acción por parte del interesado tiene carácter negativo, oponiéndose a algo que ya se está dando y que va a seguir dándose de no manifestarse.
-Opt-in o consentimiento expreso: al contrario que el anterior, se parte de la consideración de que el interesado no ha dado su consentimiento para la recepción de las comunicaciones, salvo que de forma activa se manifieste en este sentido. Por lo tanto, en este caso la acción por parte del interesado es afirmativa.
-Doble opt-in: este sistema exige que, tras aplica el consentimiento activo del opt-in, el interesado vuelva a confirmar su voluntad de consentir a recibir las comunicaciones comerciales, al mismo tiempo que se verifica su identidad. Generalmente esto se hace mediante el envío de un mensaje al email de contacto proporcionado por el usuario, en el que tenga que pulsar (de nuevo, activamente) en un enlace o similar para confirmar su consentimiento.
A pesar de que existen países en los que se acepta la fórmula del opt-out, lo cierto es que en España este sistema queda fuera de toda posibilidad, salvo en los casos en que la base de legitimación sea el interés legítimo. Y esto es así por la claridad de los términos de la LSSI al regular las comunicaciones electrónicas, que establece que “queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.”
¿Es necesario entonces adoptar un sistema de doble opt-in?
Desde un punto de vista estrictamente legal, en los términos anteriores de la LSSI, no resulta obligatorio el establecimiento de un sistema de doble opt-in.
Ahora bien, una reciente Sentencia del Tribunal Supremo del 15 de febrero de 2022 ha adoptado una postura un tanto diferente en este tema. Se trata de una sentencia que resuelve el recurso interpuesto contra una resolución de la Agencia Española de Protección de Datos (AEPD) a una empresa por infracción de la obligación de la implantación de las medidas técnicas y organizativas apropiadas para proteger los derechos de protección de datos de los interesados.
Los hechos que motivaron la sanción de la AEPD consistieron en la introducción por parte de un usuario de un correo electrónico de un tercero en un formulario de registro, de forma que dicho tercero recibió comunicaciones electrónicas no consentidas. Esto pudo llegar a ocurrir porque la empresa sancionada no había implantado las medidas necesarias para verificar la identidad de la persona que introdujo los datos ni verificar la validez del consentimiento.
El Tribunal Supremo en su sentencia vino a ratificar el criterio de la AEPD y, no solo eso, hizo referencia expresa a la idoneidad del sistema de doble opt-in para la verificación de la identidad.
En palabras del órgano enjuiciador “el programa utilizado para la recogida de los datos de los clientes no contenía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia y si realmente pertenecía a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello. (…) El estado de la técnica en el momento en el que se produjeron estos hechos permitía establecer medidas destinadas a comprobar la veracidad de la dirección de email (…) existía un sistema de verificación del correo electrónico conocido como "doble opt-in" (…). Se trata de un proceso de doble verificación que asegura que los usuarios han aceptado la política de tratamiento de datos y/o las condiciones de privacidad antes de recibir cualquier tipo de comunicación”.
¿Cuál es la conclusión a la que se puede llegar a partir de esta sentencia?
Del sentido de las palabras del Tribunal Supremo no puede extraerse la obligatoriedad del establecimiento de un sistema de doble opt-in en todo caso. De hecho, habla simplemente de una medida de seguridad que permitiese comprobar si la dirección de correo electrónico era real, dentro de las medidas existentes teniendo en cuenta el estado de la técnica actual. Es aquí donde propone el sistema de doble opt-in como una de las medidas que considera idóneas para ello y que, además, teniendo en cuenta el momento en que se produjeron los hechos, era coherente con el estado de la técnica.
En otras palabras, lo que es obligatorio es la adopción de una solución que permita verificar la veracidad de la información, no tanto la forma concreta de conseguirlo.
Algo similar a lo analizado ha ocurrido ya en Alemania, donde la norma aplicable a las comunicaciones comerciales, conocida como Act Against Unfair Competition, únicamente habla de consentimiento previo, lo cual no implica necesariamente un sistema doble opt-in. No obstante, sentencias judiciales del país han afirmado que se requiere confirmación a través de una fuente confiable, no siendo suficiente un sistema de un único opt-in, aun sin casillas premarcadas (“explicit consent requires action”).
Sara Hervías Costa, Privacy Counsel, Legal Army