Llamadas comerciales sin consentimiento: riesgos y garantías

La Agencia Española de Protección de Datos (AEPD) ha impuesto a una empresa del sector energético una sanción de 12.000 euros por realizar llamadas de telemarketing sin contar con el consentimiento del destinatario. Aunque se trata de un caso concreto, su contenido resulta especialmente ilustrativo sobre cómo deben interpretarse las bases jurídicas del tratamiento en el ámbito de la comunicación comercial y sobre las obligaciones que tienen las empresas al contactar con potenciales clientes.

Lo cierto es que este caso refleja una de las infracciones más frecuentes en materia de protección de datos en España: las llamadas o correos promocionales realizados sin una base legal válida y, especialmente, sin respetar la voluntad del interesado de no ser contactado.

Una llamada no deseada

El procedimiento se inicia a raíz de la reclamación presentada por un ciudadano que había recibido llamadas comerciales de una empresa sin haber dado su consentimiento y, además, estando inscrito en la Lista Robinson, sistema oficial de exclusión publicitaria.

El reclamante alegó que nunca había autorizado el uso de sus datos para fines publicitarios y que su inclusión en la Lista Robinson evidenciaba su oposición expresa a recibir comunicaciones de ese tipo.

La empresa, por su parte, defendió que actuaba en el marco de una supuesta relación contractual previa y que las llamadas estaban amparadas por el interés legítimo de mantener informados a sus clientes. Sin embargo, no pudo aportar prueba alguna de la existencia de dicha relación ni del consentimiento válido del afectado.

La licitud del tratamiento como fundamento jurídico

El art. 6 del Reglamento General de Protección de Datos (RGPD) establece que el tratamiento de datos personales sólo es lícito si se cumple al menos una de las bases jurídicas que contempla el citado Reglamento. En el caso de las comunicaciones comerciales, las bases legales aplicables son:

• El consentimiento previo, libre, informado e inequívoco del interesado.
• La existencia de una relación contractual previa que permita ofrecer productos o servicios similares, en base a lo dispuesto en el art. 21 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

La AEPD concluyó que la empresa no había acreditado ninguna de estas circunstancias. Por tanto, el tratamiento era ilícito desde su origen.

Además, el art 21 del RGPD reconoce el derecho de oposición del interesado al tratamiento de sus datos con fines de marketing directo. En este caso, la inscripción del reclamante en la Lista Robinson era una manifestación clara y verificable de ese derecho. Ignorar dicha exclusión constituye una vulneración directa de la normativa.

La sanción: 12.000 euros por una infracción evitable

Tras valorar los hechos, la AEPD consideró acreditada la infracción del art. 6.1 RGPD (licitud del tratamiento) y, de forma accesoria, del artículo 21 RGPD (derecho de oposición).

La multa impuesta fue de 12.000 euros, una cuantía que, aunque moderada, busca enviar un mensaje disuasorio: la falta de diligencia en el control de campañas de marketing y la ausencia de mecanismos efectivos para respetar la oposición de los ciudadanos son infracciones graves.

La resolución subraya además que la responsabilidad recae directamente en la empresa que realiza la llamada, aunque haya externalizado la campaña a terceros. El responsable del tratamiento debe verificar que todos los procesos cumplen el RGPD y debe disponer de registros, pruebas de consentimiento y protocolos de exclusión actualizados. En caso de que encargue algún tratamiento a un tercero, el responsable debe, además, certificar que el encargado aporta garantías suficientes para el cumplimiento de la normativa.

El cumplimiento como estrategia empresarial

De esta resolución se extraen varias lecciones de aplicación práctica:

• Consentimiento verificable. No basta con alegar que el usuario dio su consentimiento: debe poder demostrarse documentalmente. Los formularios de alta, las grabaciones de voz o los registros de aceptación deben conservarse como prueba.
• Respeto a las listas de exclusión. Antes de iniciar cualquier campaña, es obligatorio cruzar la base de datos de contactos con la Lista Robinson. Este control debe repetirse periódicamente.
• Responsabilidad proactiva. El RGPD exige demostrar el cumplimiento (“accountability”). Por ello, deben implantarse políticas internas, registros de actividades, evaluaciones de impacto y formación continua en materia de protección de datos.
• Supervisión de proveedores. Si se externalizan campañas de marketing, la empresa contratante debe firmar un contrato de encargado del tratamiento conforme al art. 28 del RGPD y verificar las garantías de cumplimiento del proveedor.

Cumplir con el RGPD (y las normas que regulan las comunicaciones comerciales por vía telefónica y electrónica) no implica renunciar a la actividad comercial, sino integrarla en un marco de transparencia y respeto con los derechos de las personas. Por ello, desde MICROLAB ayudamos a nuestros clientes a adoptar políticas preventivas y de disminución del riesgo, que evitan sanciones y fortalecen su imagen ante clientes y socios.