Derechos y Deberes en Llamadas Comerciales: Interpretando la Circular 1/2023 de la AEPD sobre la Ley 11/2022

Hace poco más de un año entraba en vigor la nueva Ley General de Comunicaciones (Ley 11/2022 de 29 junio, en adelante LGT), que, en su Disposición final sexta, postergaba la entrada en vigor de uno de sus artículos a un año después, a pesar de que el resto de la ley entraba en vigor al día siguiente de su publicación en el «Boletín Oficial del Estado».

El artículo que se quedaba pendiente de aplicación era el art. 66.1 b).

El título en general del artículo 66 es el Derecho a la protección de datos personales y la privacidad en relación con las comunicaciones no solicitadas, con los datos de tráfico y de localización y con las guías de abonados, y, en concreto, el artículo 66.1b) establece que uno de los derechos de los usuarios finales es “no recibir llamadas no deseadas con fines de comunicación comercial, salvo que exista consentimiento previo del propio usuario para recibir este tipo de comunicaciones comerciales o salvo que la comunicación pueda ampararse en otra base de legitimación de las previstas en el artículo 6.1 del Reglamento (UE) 2016/679 de tratamiento de datos personales.”

El hecho de que el artículo indicado de la LGT hable en la misma frase de que deba existir consentimiento previo del usuario para recibir llamadas comerciales, y también de que la comunicación pueda basarse en otra base de legitimación, movió cimientos ya hace tiempo  por lo contradictorio o abierto del asunto. Por ello, variadas voces solicitaban a la Agencia Española de Protección de Datos (en adelante, AEPD), dotada de la competencia y legitimidad para tratar de todos los temas relacionados con las comunicaciones comerciales y el tratamiento de datos personales con esta finalidad, que se pronunciara con solvencia sobre el tema.

Primeramente, con dos informes jurídicos: 1er informe y 2º informe, que no son vinculares, y, finalmente con la Circular 1/23, la AEPD ha fijado los criterios que aplicará la autoridad de control en la interpretación del artículo 66.1b).

En definitiva, hay que tener en cuenta que en este artículo se recoge el derecho de los usuarios a no recibir llamadas con fines de comunicación comercial no solicitadas, salvo que exista consentimiento previo del propio usuario para recibir este tipo de comunicaciones.

Pero, como decíamos, la LGT habla también de que estas comunicaciones puedan ampararse en otra base de legitimación de las previstas en el Reglamento General de Protección de Datos (RGPD).

Pues bien, la Circular de la AEPD analiza qué alcance tiene esta última afirmación, con la intención de aclarar las circunstancias y que realmente se puede hablar de derechos de los usuarios para no recibir llamadas no deseadas cuando se tiene que coordinar la base legitimadora de un interés legítimo, por ejemplo, del que llama. En el documento, la AEPD indica que el cambio entre la LGT de 2014 (donde se indicaba que los usuarios finales tenían el derecho a oponerse a recibir llamadas comerciales) y la LGT de 2022 (donde se exige el consentimiento en primer lugar) es un cambio absoluto de paradigma que no puede interpretarse como una apertura incontrolada a otras bases de legitimación.

Como consecuencia de lo anterior, la Circular indica que la AEPD presumirá  que el tratamiento es lícito cuando exista una relación contractual previa, siempre que el responsable hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. Además, excluye expresamente a extender esta licitud a otras entidades pertenecientes al mismo grupo empresarial con fines de comunicación comercial, siendo necesario el consentimiento específico previo del usuario.

Otra cuestión a tener en cuenta es que la AEPD no entenderá como legítimo este tratamiento cuando haga más de un año de la finalización de la relación contractual, solicitud o interacción previa por parte del responsable que pretenda realizar la acción con el interesado.

Respecto del consentimiento como base legitimadora principal, debe haber sido prestado conforme al RGPD y a Ley Orgánica 3/18 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD, en adelante), y además se establece la obligación expresa del consentimiento previo también para las llamadas comerciales a números generados de forma aleatoria, así como para los usuarios que figuren en las guías de abonados y que hayan dicho que sí para que sus datos puedan ser usados con fines comerciales.

Se requiere, para estas comunicaciones, la consulta previa a los sistemas de exclusión publicitaria, y se presume lícito el tratamiento de los datos de las personas físicas que presten servicios en una persona jurídica, empresarios individuales y profesionales liberales, tal y como está previsto en la LOPDGDD.

Por último, la Circular propone una serie de garantías adicionales dirigidas a la mejor comprensión de los responsables de las llamadas de manera que se recomienda:

• Al inicio de cada llamada, informar sobre la identidad del empresario, y si procede, la identidad de la persona por cuenta de la cual se efectúa la llamada, indicar la finalidad comercial de la misma e informar sobre la posibilidad de revocar el consentimiento o ejercer el derecho de oposición a recibir llamadas comerciales no deseadas.
• Cualquier manifestación inequívoca del usuario contraria a la recepción de dichas llamadas deberá entenderse como revocación del consentimiento o, en su caso, ejercicio del derecho de oposición, debiendo atenderse inmediatamente.
•  La grabación de la llamada como medio de demostrar el cumplimiento de la normativa sobre protección de datos personales.

La Circular está vigente desde el 27 de junio de 2023 y la AEPD ha publicado un documento a modo de infografía, que, aunque destinada a los consumidores, nos puede dar una visión muy clara a las empresas de cómo debemos cumplir adecuadamente con este artículo y con criterio de la AEPD. Dándole la vuelta al contenido, con la idea de tener directrices claras para las empresas, podríamos atender al siguiente decálogo:

1. Podrás hacer llamadas comerciales si cuentas con el consentimiento expreso de tus usuarios
2. Para que, como empresa, puedas justificar tu interés legítimo para hacer llamadas comerciales, debes haber tenido una relación previa con el usuario, quien habrá adquirido tus productos o servicios. Si quieres ofrecer nuevos, deben ser similares.
3. Si eres empresa de grupo, la posibilidad de hacer llamadas a tus clientes solo es de la empresa principal, y no del resto, salvo que puedas acreditar el consentimiento a la cesión de datos desde el inicio de la relación.
4. No podrás llamar a tus usuarios si la relación que os unía ya no está en vigor, u hace más de un año que no tenéis contacto.
5. No podrás realizar llamadas comerciales a números generados de forma aleatoria salvo que cuentes con el consentimiento del afectado. No se puede alegar el interés legítimo.
6. Solo puedes usar los datos de personas que estén en guías de abonados, si en las mismas consta su consentimiento expreso para el uso de sus datos con fines comerciales.
7. Si, como empresa, no tienes el consentimiento de los afectados, debes saber que todas las empresas que realizan campañas comerciales están obligadas a consultar los sistemas de exclusión publicitaria (Lista Robinson)
8. Cuando trabajes con otras empresas, puedes dirigirte a las personas físicas de esas empresas, en tanto en cuanto contactas con ellos como personas de contacto de las empresas, y no con interés individual en las personas.
9. Las mismas indicaciones operan cuando se trata de un autónomo o empresario individual.
10. Al inicio de cada llamada, deberías informar de la identidad de la empresa o de la persona por cuenta de la cual estás llamando, indicar la finalidad comercial de la llamada y la posibilidad de revocar el consentimiento o ejercer el derecho de oposición. Como evidencia, la AEPD recomienda que todas las llamadas deberán grabarse.

En GlobalSuite Solutions ofrecemos un software de protección de datos diseñado específicamente para blindar los datos e información, garantizando su integridad, confidencialidad y disponibilidad en cada etapa del proceso. Pero la tecnología, por sí sola, no es suficiente. Por ello, con más de 15 años de trayectoria, nuestros equipos de consultoría especializada complementan a la plataforma guiando a las empresas en la implementación de protocolos correctos para el tratamiento y conservación de datos personales. Asesoramos sobre bases legales legítimas y aseguramos que nuestros clientes cumplan con regulaciones estrictas como el RGPD y la LOPDGDD.