Fiorella Senno Vassallo
Pontificia Universidad Católica del Perú
https://doi.org/10.18800/themis.202101.022
¿DESEA RECIBIR COMUNICACIONES PROMOCIONALES?
UN ANÁLISIS DESDE LAS REGLAS DE PROTECCIÓN AL CONSUMIDOR Y DE DATOS PERSONALES
WOULD YOU LIKE TO RECEIVE ADS? AN ANALYSIS FROM CONSUMER AND DATA PROTECTION LAW
Fiorella Senno Vassallo*
Pontificia Universidad Católica del Perú
In this article, the author addresses the reform of the Consumer Protection and Defense Code carried out by Legislative Decree 1390, through which the Registry ‘Gracias No Insista’ was replaced by the rule of prior consent to receive mass communications with promotional purposes, which was aimed at harmonizing the consumer protection regulation with the one of personal data.
In this regard, the author develops a complete analysis of the regulation of promotional communications, both from the perspective of consumer protection rights and personal data protection; to later emphasize the successes and failures of the current regulation, at a legal and practical level. Likewise, the text proposes points of improvement to the current regulation and ends with practical recommendations on this matter to suppliers and consumers.
Keywords: Promotional communications; consumer protection; personal data protection; consent; advertising.
En el presente artículo, la autora aborda la reforma del Código de Protección y Defensa del Consumidor realizada mediante el Decreto Legislativo 1390, a través de la cual se reemplazó el Registro ‘Gracias No Insista’ por la regla del consentimiento previo para recibir comunicaciones masivas con fines promocionales, lo que tuvo por objetivo armonizar la normativa de protección al consumidor con la de datos personales.
Al respecto, la autora realiza un análisis completo de la regulación de las comunicaciones promocionales, tanto desde el enfoque de protección al consumidor como del de protección de datos personales; para posteriormente hacer énfasis en los aciertos y desaciertos de la regulación actual, a nivel legal y práctico. Asimismo, el texto propone puntos de mejora a la normativa vigente y finaliza con recomendaciones prácticas sobre la materia en cuestión dirigidas a proveedores y consumidores.
Palabras clave: Comunicaciones promocionales; protección al consumidor; protección de datos personales; consentimiento; publicidad.
El Poder Ejecutivo, a propuesta del Indecopi, publica el Decreto Legislativo que modifica el Código de Protección y Defensa del Consumidor para que los ciudadanos no reciban promociones de productos y servicios no solicitados (Instituto Nacional de Defensa de la Propiedad Intelectual [Indecopi], 2018).
Este fue el titular del comunicado publicado por el Instituto Nacional de Defensa de la Propiedad Intelectual (en adelante, Indecopi) el 5 de setiembre de 2018, fecha en que se publicó el Decreto Legislativo 1390 que modificó el literal e) del artículo 58.1 del Código de Protección y Defensa del Consumidor (en adelante, CPDC), con el propósito de reemplazar el registro ‘Gracias… No Insista’ por la regla del consentimiento para recibir comunicaciones promocionales.
De esa manera, en búsqueda de armonizar el CPDC con la normativa de protección de datos personales, se estableció que únicamente sean blanco de llamadas, mensajes de texto y correos electrónicos masivos con fines promocionales, aquellas personas que previamente hubieren brindado su debido consentimiento; caso contrario, se configuraría una práctica prohibida por el CPDC: un método comercial agresivo. Sin embargo y paradójicamente, en el año 2019 el Perú fue el segundo país a nivel mundial en el que se realizaron más llamadas no deseadas o spam (Fai, 2019). Un año después las cosas variaron –pues el Perú pasó a ocupar el puesto catorce en el ranking del 2020–, aunque no tanto, porque se situó como el cuarto país de América Latina con más llamadas no deseadas (Fai, 2020).
Para abordar esta persistente realidad, no basta con realizar una lectura aislada del literal e) del artículo 58.1 del CPDC, por lo que revisaremos la regulación de las comunicaciones con fines promocionales sin consentimiento, tanto desde la perspectiva de protección al consumidor (como una práctica comercial agresiva prohibida) como desde la de protección de datos personales (en lo que respecta a su adecuado tratamiento), para así tener un panorama integral y diferenciar las comunicaciones prohibidas y las permitidas en dichos ámbitos. Posteriormente, identificaremos puntos de mejora respecto de los cuales plantearemos unas propuestas de modificación normativa. Por último, anotaremos unas recomendaciones para proveedores y consumidores.
II. PROTECCIÓN AL CONSUMIDOR
Sobre la base de la garantía constitucional de la defensa del interés de los consumidores, el CPDC ha reconocido que estos (incluyendo a los expuestos a una relación de consumo) tienen derecho a recibir información relevante sobre los productos y bienes que los proveedores ofrezcan en el mercado, para de esa manera, en virtud de la reducción de la asimetría informativa, estén en condiciones de tomar una adecuada decisión de consumo (Código de Protección y Defensa del Consumidor [CPDC], 2010). Dicha información deberá cumplir con ciertas características: ser veraz, suficiente, de fácil comprensión, apropiada, oportuna y fácilmente accesible.
Sin embargo, habrá que tener cautela sobre el modo en que se entrega la información de los productos y servicios a los consumidores, para no caer en empleo de métodos comerciales prohibidos, los que se clasifican en engañosos y agresivos. Serán engañosos, en el caso de conductas que puedan inducir a error al consumidor al adoptar una decisión sobre la transacción; mientras que, los métodos comerciales agresivos están referidos a las prácticas comerciales que mermen de forma importante la libertad de elección del consumidor mediante figuras como el acoso, la coacción, la influencia indebida y el dolo (Sánchez Barrios, 2012). En esta segunda clase de prácticas comerciales se han enmarcado a las comunicaciones con fines promocionales efectuadas masivamente y sin consentimiento.
Ante la compra de un producto o servicio derivada de la comisión de las prácticas comerciales prohibidas listadas en el artículo 58 del CPDC, en el artículo 59 se ha previsto el derecho del consumidor a la restitución inmediata de las prestaciones que fueron materia del contrato de consumo, el que únicamente deberá ser ejercido en un plazo de siete días calendario contados desde el día que se produjo la contratación del producto o servicio, o desde el día de su recepción o inicio de su ejecución, lo que ocurra con posterioridad (2010). Dicha disposición, conforme lo ha señalado la Sala Especializada en Protección al Consumidor del Indecopi, tiene por fin otorgarle al consumidor un periodo de reflexión sobre el bien adquirido o servicio contratado que le permita desistirse del contrato y obtener la restitución inmediata de lo que pagó, en caso de que el proveedor haya utilizado métodos comerciales agresivos en la contratación (Resolución 0728-2013/SPC-INDECOPI, 2013).
No obstante, el contar con un derecho de restitución y la posibilidad de reflexionar sobre la compra puede ser un arma de doble filo, pues se relativiza la prohibición de métodos comerciales agresivos, y en específico el consistente en realizar ofrecimientos por vía telefónica o electrónica sin el permiso de los consumidores. En palabras de Juan Espinoza Espinoza,
aunque parezca paradójico, si bien el Código de Protección y Defensa del Consumidor (formalmente) prohíbe los denominados métodos comerciales agresivos o engañosos, en el fondo los permite, por el simple hecho que el derecho a la restitución tiene que ser ejercido por el consumidor: si no lo hace (dentro de un plazo de reflexión de 7 días), la venta será válida y producirá todos sus efectos (2010, p. 168).
De otro lado, hay que considerar que en este caso le corresponderá al consumidor acreditar la causal que sustenta su derecho a la restitución, con lo cual se busca que dicho pedido no se vacíe de contenido ni genere una situación perversa.
Dicho esto, pasemos a revisar el cambio normativo por el que ha atravesado la práctica comercial agresiva comentada. Veamos a continuación la regulación del Registro ‘Gracias… No insista’, para desarrollar los motivos de su derogación y su posterior reemplazo por la regla actual del consentimiento, y conocer cómo viene siendo aplicada.
A. Regla anterior: Registro ‘Gracias… No insista’
En un principio, el derogado Decreto Supremo 006-2009-PCM, que aprobó el Texto Único Ordenado de la Ley del Sistema de Protección al Consumidor (en adelante, TUO de la LSPC) calificó en el literal f) del artículo 13 como un método comercial coercitivo al ofrecimiento de bienes o servicios por parte de proveedores a través de visitas, llamadas telefónicas o métodos análogos que fueren realizados de manera impertinente (2009). En concordancia con dicho precepto, la Quinta Disposición del Anexo de dicha norma estableció lo siguiente:
Los proveedores que empleen call centers, sistemas de llamado telefónico, de envío de mensajes de texto a celular o de mensajes electrónicos masivos para promover productos y servicios, así como quienes presten el servicio de telemercadeo, deberán excluir de entre sus destinatarios a todos aquellos números telefónicos y direcciones electrónicas que hayan sido incorporados a una lista que para dicho fin implementará el Indecopi. En dicha lista se podrán registrar los consumidores que no deseen ser sujetos de las modalidades de promoción antes indicadas (Decreto Supremo 006-2009-PCM, 2009) [el énfasis es nuestro].
La referida lista fue implementada a través del Registro ‘Gracias… No Insista’ (en adelante, el Registro), en el cual podían inscribirse los consumidores para no recibir llamadas ni mensajes de empresas que promocionaran sus productos o servicios, esta era la regla. El Registro fue regulado por la Directiva 005-2009/COD-INDECOPI (2009), directiva de operación y funcionamiento del registro de números telefónicos y direcciones de correo electrónico excluidos de ser destinatarios de publicidad masiva, y de obligatorio cumplimiento a partir del 16 de setiembre de 2009.
Esta mecánica del registro para evitar recibir publicidad de empresas a las que no se les ha dado el consentimiento previo no fue una novedad peruana. Por ejemplo, en España existe la denominada ‘Lista Robinson’1, gestionada por la Asociación Española de Economía Digital, en la que se puede inscribir cualquier particular que desee manifestar su negativa u oposición al tratamiento de sus datos con fines comerciales (Beneyto, 2009), actualmente respaldada en el artículo 23 de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (2018)2.
Así, las personas que decidan inscribirse pueden elegir el canal de comunicación por el que no desean recibir publicidad (llamadas, correo electrónico, correo postal y SMS/MMA). Similar es el caso del ‘National Do Not Call Registry’3 de Estados Unidos, registro administrado por la Federal Trade Commission, al cual se inscriben las personas para no recibir llamadas no deseadas, salvo que se trate de llamadas con fines políticos, de caridad, cobros, encuestas y llamadas destinadas a proporcionar información en el marco de una relación contractual.
Ahora bien, para el funcionamiento del Registro ‘Gracias… No insista’, era necesaria la inscripción de tanto (i) los consumidores que no querían recibir promociones (quienes podían registrar hasta cinco números telefónicos fijos, cinco celulares y cinco direcciones de correo electrónico); como de (ii) los proveedores que pretendiesen realizar promociones vía electrónica, telefónica o por mensaje de texto, quienes obtenían acceso a los números telefónicos y correos electrónicos registrados, mas no a otros datos personales de los consumidores.
De ese modo, los proveedores se encontraban obligados a excluir como destinatarios a los números telefónicos y direcciones electrónicas inscritos en el Registro antes de enviar cualquier comunicación para publicitar sus productos o servicios. Asimismo, en caso de que los proveedores hubieren contratado a terceros para que les presten servicios de call center, los primeros debían asegurarse de que los segundos adopten las medidas necesarias para que las remisiones efectuadas en su nombre obedezcan al marco normativo, sea exigiendo a la tercera proveedora que contara con la lista de direcciones excluidas o accediendo directamente a ella (Resolución Final 2092-2010/CPC, 2010).
Posteriormente, el TUO de la LSPC fue derogado por el CPDC, el cual entró en vigencia el 2 de octubre de 2010 y reguló en el artículo 58.1.e) como un método comercial agresivo el siguiente:
Emplear centros de llamada (call centers), sistemas de llamado telefónico, envío de mensajes de texto a celular o de mensajes electrónicos masivos para promover productos y servicios, así como prestar el servicio de telemercadeo, a todos aquellos números telefónicos y direcciones electrónicas que hayan sido incorporados en el registro implementado por el Indecopi para registrar a los consumidores que no deseen ser sujetos de las modalidades de promoción antes indicadas [el énfasis es nuestro].
Seguidamente, la Directiva 005-2009/COD-INDECOPI fue modificada por la Resolución 159-2012- INDECOPI/COD, emitida por el Consejo Directivo del Indecopi, para adecuarla al CPDC, así como para relanzar el servicio del Registro mediante la variación y simplificación de ciertos aspectos del procedimiento de inscripción que ciertamente resultaban engorrosos, como la vigencia de la inscripción de los consumidores, que pasó de dos años renovables a ser indeterminada (2012). No obstante, conforme lo comentaremos a continuación, el fracaso del Registro ‘Gracias… No insista’ era inminente.
B. El fracaso del Registro ‘Gracias… No insista’
Para noviembre de 2012, es decir, a los tres años de creación del Registro, eran tan solo 65 173 las personas registradas a nivel nacional, constaban inscritos 64 493 números de teléfonos celulares, 42 298 números de teléfonos fijos y 54 389 correos electrónicos; mientras que, únicamente 336 proveedores habían accedido al Registro a nivel nacional (Presidencia de Consejo de Ministros, 2012) antes de contactar a los consumidores. Ante esta situación, el Indecopi optó por reforzar su labor de supervisión y fomentar la denuncia por parte de los consumidores que hubiesen sido contactados, pese a su previa inscripción en el Registro. Sin embargo, a pesar de los esfuerzos, la gratuidad y la simplificación administrativa del procedimiento de inscripción; para diciembre de 2017, únicamente se encontraban inscritos 238 mil números de celulares y 119 mil teléfonos fijos, del total de 39.1 millones de líneas celulares y 2.9 millones de líneas fijas en el Perú para ese momento (Exposición de motivos del Decreto Legislativo 1390, 2018).
El evidente fracaso del Registro fue atribuido a tres causas: (i) el desconocimiento de su existencia, (ii) las restricciones de tiempo de los consumidores para registrarse y (iii) la falta de interés en la inscripción (Exposición de motivos del Decreto Legislativo 1390, 2018). Ahora bien, consideramos que principalmente, el fin del Registro habría obedecido a su intrínseca ineficiencia, pues si bien la inscripción era gratuita, lo cierto es que el CPDC colocaba en cabeza de los consumidores la carga de registrar su voluntad de no recibir comunicaciones promocionales, lo que principalmente implicaba el coste de oportunidad de su tiempo; mientras que los proveedores, además de registrarse, debían renovar periódicamente su inscripción. En resumen, una tediosa carga burocrática que no daba resultados prácticos.
Sin perjuicio de ello, existió otra razón también potente para derogar el Registro: la necesidad de concordar las normativas de protección al consumidor y de protección de datos personales, teniendo en cuenta la publicación de la Ley 29733, Ley de Protección de Datos Personales (en adelante, LDP) el 2 de julio de 2011, aún ajena o desconocida por muchos. Así, de acuerdo con la Exposición de Motivos del Decreto Legislativo 1390:
La problemática encontrada luego de más de ocho años de vigencia del registro “Gracias…no insista” es, por un lado, que estaría cumpliendo limitadamente su objetivo de que las empresas no puedan ofrecer propuestas comerciales a las personas que no deseen ser contactadas y, por otro lado, el Código no se encuentra adecuado a lo señalado por la Ley de Protección de Datos Personales publicada en julio de 2011 (2018, p. 11) [el énfasis es nuestro].
Más adelante ahondaremos en dicha regulación; pero por lo pronto, tengamos en cuenta que la LDP tiene por objeto garantizar el derecho a la protección de los datos personales mediante el respeto de determinados principios como el del consentimiento, en virtud del cual, el tratamiento de los datos será lícito cuando su titular lo haya consentido libre, previa, expresa, informada e inequívocamente, para una finalidad específica.
C. Regla actual: el consentimiento
La regla del Registro cambió con la modificación del literal e) del artículo 58.1 del CPDC por el Decreto Legislativo 1390, vigente desde el 6 de septiembre de 2018. La regla se invirtió, ahora los consumidores solo deben recibir llamadas, mensajes de texto o correos electrónicos con fines promocionales siempre que previamente hayan manifestado su consentimiento. Así, de acuerdo con el vigente literal e) del artículo 58.1 del CPDC, califica ahora como un método comercial agresivo:
Emplear centros de llamada (call centers), sistemas de llamado telefónico, envío de mensajes de texto a celular o de mensajes electrónicos masivos para promover productos y servicios, así como prestar el servicio de telemercadeo, a todos aquellos números telefónicos y direcciones electrónicas de consumidores que no hayan brindado a los proveedores de dichos bienes y servicios su consentimiento previo, informado, expreso e inequívoco, para la utilización de esta práctica comercial. Este consentimiento puede ser revocado, en cualquier momento y conforme a la normativa que rige la protección de datos personales (2018) [el énfasis es nuestro].
Según la Exposición de Motivos del Decreto Legislativo 1390,
la Ley de Protección de Datos Personales señala como uno de sus principios rectores el del consentimiento, es decir, es necesario que las personas den su consentimiento expreso para que otros agentes económicos hagan uso de sus datos personales, como el número telefónico o correo (2018, p. 11).
En consecuencia, conforme lo señaló el Ministerio de Justicia, que es la Autoridad Nacional de Protección de Datos Personales (en adelante, ANDP) (Opinión Consultiva 12-2019-JUS/DGTAIPD, 2019), el Decreto Legislativo 1390 derogó tácitamente las disposiciones de la Ley 28493, coloquialmente conocida como la ‘Ley Antispam’, que permitía el envío de correos electrónicos comerciales sin consentimiento (spam), siempre que cumpliesen con ciertas características, como contener en el asunto la palabra ‘PUBLICIDAD’, incluir la denominación social, domicilio y correo electrónico del proveedor.
Este cambio de regla impulsado por el Indecopi buscó un escenario más eficiente del que se tuvo con el Registro y que se encuentre acorde con la regulación de protección de datos personales, uno en el que los consumidores prima facie se encuentren excluidos de recibir comunicaciones promocionales, salvo que así lo hubiesen autorizado. Es más, conforme se señala en la propia Exposición de motivos del Decreto Legislativo 1390, la prohibición del CPDC de efectuar comunicaciones a quienes se encontrasen inscritos en el Registro había sido tácitamente modificada con la parcial entrada en vigencia de la LDP en el año 2011 (2018); la que dispone en su artículo 13.5 que, salvo ley autoritativa al respecto, los datos personales solo pueden ser objeto de tratamiento con consentimiento de su titular, el que debe ser previo, informado, expreso e inequívoco (Ley 29733, 2011).
Asimismo, a través de esta nueva regulación, y conforme consta en la Exposición de motivos del Decreto Legislativo 1390, se buscó prevenir el acoso telefónico, con lo cual, los proveedores que hubiesen recibido un ‘no’ como respuesta, no deberían insistir. Sin embargo, ¿en realidad se está castigando el acoso telefónico (entendido como hostigamiento)? No precisamente, pues el literal e) del artículo 58.1 del CPDC no ha sido redactado en ese sentido; por lo cual, se entiende que la sola llamada o el solo envío de un correo electrónico sin consentimiento o sin que este haya sido emitido de conformidad con la regulación de protección de datos personales, ya calza como un método comercial agresivo, lo que consideramos cuestionable. En esa línea, habría que buscar que la interpretación sea menos restrictiva, pues consideramos que dichos actos aislados no calzan en la definición de métodos comerciales coercitivos y, más aún, considerando que tales actos ya se encuentran prohibidos por la normativa de datos personales –como lo revisaremos más adelante–, por lo que vemos que se pecó de sobrerregulación.
De otro lado, con el objeto de reforzar el rol fiscalizador del Indecopi sobre las comunicaciones promocionales sin consentimiento, la entidad habilitó a fines del 2018 el ‘WhatsApp No Insista’, que permite a los consumidores tener un canal sencillo y directo para reportar rápidamente las ofertas sobre productos y servicios que reciben sin haber brindado su consentimiento previo, o quienes, pese a haber manifestado su negativa, continúen recibiendo dichas comunicaciones. De esa manera, el Indecopi se hace de información sobre presuntas infracciones y evalúa la correspondencia del inicio de un procedimiento administrativo sancionador por infracción al literal e) del artículo 58.1 del CPDC.
Así, el Indecopi ha impuesto sanciones que oscilan desde la amonestación hasta las 447.36 UIT (Resolución 0542-2021/SPC-INDECOPI, 2021) (incluyendo la remisión de la resolución final a la Autoridad Nacional de Protección de Datos Personales), considerando que la multa máxima es de 450 UIT; así como ha archivado procedimientos administrativos sancionadores tras haberse acreditado que los proveedores contaban con el consentimiento de los consumidores para realizar comunicaciones promocionales. Por ejemplo, Miducom Perú S.A. acreditó haber contado con el consentimiento de ciento veinticinco (125) consumidores para el envío de promociones a los números telefónicos y correos electrónicos que aquellos habían autorizado a través de la plataforma web de dicha compañía (Resolución Final 021-2020/CC3, 2020).
Entre los criterios jurisprudenciales que viene adoptando el Indecopi, la Comisión de Protección al Consumidor ha precisado que, cuando ante la vulneración del literal e) del artículo 58.1 del CPDC los proveedores incluyan a los consumidores en ‘listas de no contactabilidad’ para cesar el envío de mensajes sin consentimiento previo, esto no calificará como una subsanación voluntaria de la conducta; pues como bien indica, en este supuesto no hay conducta que subsanar dado que la afectación al derecho de los consumidores se concretó con las comunicaciones cursadas sin consentimiento (Resolución 288-2019/CC3, 2019). En consecuencia, en este escenario no nos encontramos ante una eximente de responsabilidad administrativa prevista en el artículo 257.1 del Texto Único Ordenado de la Ley de Procedimiento Administrativo General (en adelante, TUO de la LPAG) (Decreto Supremo 004-2019-JUS, 2019), sino frente a una atenuante, específicamente establecida en el artículo 112 del CPDC (2010).
Ahora bien, a fin de que una denuncia por infracción del literal e) del artículo 58.1 del CPDC tenga éxito, en el caso de llamadas telefónicas, por ejemplo, existen ciertos candados previstos por el Indecopi, ya que se debe acreditar: (i) la titularidad del denunciante sobre la línea telefónica; (ii) el ingreso de las llamadas efectuadas desde los números denunciados; (iii) el contenido publicitario de las llamadas (ofrecimiento de planes tarifarios para que cambie de operador); y (iv) la titularidad de la denunciada sobre los números indicados en el punto (ii) (Resolución 0943-2019/SPC-INDECOPI, 2019; Resolución Final 981-2020/CC2, 2020). No olvidemos que esto obedece al principio general del derecho, según el cual, ‘quien alega un hecho debe probarlo’.
III. PROTECCIÓN DE DATOS PERSONALES
Al igual que la protección al consumidor, la protección de datos personales es un derecho fundamental, reconocido en el artículo 2.6 de la Constitución Política del Perú, según el cual las personas tienen derecho a que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar (1993). Esta garantía ha sido desarrollada por la LDP y su Reglamento (en adelante, RLDP), aprobado mediante el Decreto Supremo 003-2013-JUS (2013), para regular el adecuado tratamiento de datos personales, principalmente por parte de los titulares de bancos de datos o por terceros encargados de dicha tarea en virtud de una relación jurídica mantenida con los primeros. Para tal efecto, la ANDP cuenta con potestad normativa y orientativa, pero también fiscalizadora y sancionadora.
Cabe señalar que por datos personales entendemos a toda información (numérica, alfabética, gráfica, fotográfica o acústica) sobre hábitos personales, o de cualquier otro tipo respecto de una persona natural, que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados (Decreto Supremo 003-2013-JUS, 2013, art. 2.5). Así, de conformidad con la ANDP, la dirección de correo electrónico y el número telefónico son datos personales en tanto identifican indirectamente a una persona (Autoridad Nacional de Protección de Datos Personales, 2013). Asimismo, este concepto incluye a los datos sensibles, los que se encuentran referidos a las características físicas, morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, los hábitos personales que corresponden a la esfera más íntima, la información relativa a la salud física o mental, u otras análogas que afecten su intimidad.
Mientras que, por tratamiento de datos personales se entiende a cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales (Decreto Supremo 003-2013-JUS, 2013, art. 2.19). En todos estos casos, quien recoge los datos, denominado ‘titular del banco de datos’, debe cumplir con determinadas obligaciones en relación con el titular de los datos, como contar con su consentimiento para el uso de sus datos y obtener su debido consentimiento para fines específicos.
Una vez que los datos personales han sido recopilados por el titular del banco, con el consentimiento del titular de los datos, estos pueden ser tratados directamente por el primero o ser transferidos a terceros para que estos los traten, pero en ambos casos deberá de respetarse la finalidad por la cual fueron recogidos. Así por ejemplo, en caso de que las compañías subcontraten los servicios de call centers para que, a través de llamadas telefónicas a sus clientes, les proporcionen información sobre ofertas y campañas; será necesaria la autorización por parte del titular del banco de datos personales para tal fin (Decreto Supremo 003-2013-JUS, 2013, art. 37), quien, a su vez, debería haberlos obtenido con el consentimiento de los titulares de los referidos datos para su transferencia.
Ahora bien, cuando las compañías contratan call centers en el marco de un encargo de tratamiento para que realicen llamadas telefónicas a sus clientes con fines promocionales, la entrega de los datos personales del titular del banco de datos al call center no constituye una transferencia (Decreto Supremo 003-2013-JUS, 2013, art. 36). En ese sentido, no será necesario recabar el consentimiento de los titulares de los datos personales para su traspaso al call center. No obstante, este último solo podrá utilizarlos dentro del ámbito de dicho encargo; de manera que, para realizar tratamientos con fines distintos, primero deberá obtener el consentimiento del titular del dato personal (Oficio 146-2018-JUS/DGTAIPD, 2018). Así, en caso los datos personales no hubieren sido recogidos por el titular del banco para realizar comunicaciones con fines promocionales, será necesario recabar el consentimiento para tal finalidad.
Sin lugar a duda, los titulares de bancos de datos personales son agentes del mercado que reconocen el indiscutible valor comercial de la información como un recurso intangible. En la actualidad, evidentemente las empresas otorgan un alto valor al uso de los datos personales para fines publicitarios, para realización de campañas comerciales y para la prospección comercial (Biedma & Medina, 2012a), pues es indubitable que representa una ventaja para ofertar bienes y servicios a clientes actuales, así como para atraer potenciales clientes, incluso con una mayor motivación en un contexto de pandemia por el COVID-19 para superar la lamentable crisis económica generada.
Sin perjuicio de lo anterior, tal ejercicio empresarial deberá involucrar un apropiado tratamiento de los datos personales, lo que implica el respeto de determinados principios y derechos. De esa manera, se proporcionará tranquilidad a aquellos cuyos datos son correctamente tratados, se generará una imagen corporativa más valiosa y una mayor receptividad de clientes actuales y potenciales (Biedma & Medina, 2012b).
A. Principio del consentimiento
La LDP incluye un listado enunciativo de principios rectores del tratamiento de datos personales por parte de titulares de bancos de datos y de los encargados de su tratamiento, entre los que se encuentra el principio de consentimiento. La importancia del consentimiento reside en que materializa nuestra voluntad en ejercicio de nuestra libertad; por lo cual, la LDP y su Reglamento han previsto que, para ser debido, necesariamente deberá cumplir con las siguientes características:
(i) Libre: debe otorgarse sin que medie error, mala fe, violencia o dolo que pueda afectar la manifestación de voluntad del titular de los datos.
(ii) Previo: debe emitirse antes de la recopilación de datos, así como con anterioridad al tratamiento distinto a aquel por el cual se recopilaron.
(iii) Expreso e inequívoco: el consentimiento puede válidamente concederse de manera verbal (mediante una llamada telefónica) o escrita, sea con firma autógrafa o por medios digitales (con un click en la casilla ‘He leído y estoy de acuerdo con la política de tratamiento de datos personales’ de una página web, o mediante firma electrónica).
(iv) Informado: se le debe comunicar al titular de los datos personales, de manera clara, expresa, indubitable y con lenguaje sencillo, cuando menos, la existencia del banco de datos personales en el que se almacenarán, la identidad y domicilio del titular del banco, la finalidad del tratamiento de los datos, las transferencias de datos personales y sus destinatarios, y los canales para ejercer los derechos en calidad de titular de datos personales (Ley 29733, 2011; Decreto Supremo 003-2013-JUS, 2013).
De ese modo, para realizar cualquier tipo de tratamiento de datos personales, el titular del banco de datos personales o quien resulte como responsable del tratamiento, se encuentra obligado a conseguir el consentimiento para dicho fin. Sin perjuicio de ello, esta regla tiene excepciones, las que se encuentran recogidas en el artículo 14 de la LDP: por ejemplo, cuando se trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público; cuando los datos personales sean necesarios para la preparación, celebración y ejecución de una relación contractual en la que el titular de datos personales sea parte, o cuando se trate de datos personales que deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento; cuando se hubiera aplicado un procedimiento de anonimización o disociación (Ley 29733, 2011). Por consiguiente, como regla general, cualquier clase de tratamiento de datos personales deberá realizarse si se cuenta con el consentimiento previo de su titular, salvo que exista una excepción prevista por la LDP.
Ahora bien, el contacto de consumidores para fines promocionales no se encuentra incluido como una excepción por el artículo 14 de la LDP, en consecuencia, será necesario que la empresa que pretenda enviar publicidad o comunicaciones promocionales dirigidas a terceros, cuente con su debido consentimiento para tal finalidad; el que, como vimos deberá ser libre, previo, informado, expreso e inequívoco.
B. Derechos de los titulares de datos personales
Adicionalmente, el correcto tratamiento de los datos personales involucra el respeto de los derechos de los titulares de datos personales conocidos como ‘ARCO’; acrónimo de los derechos de acceso, rectificación, cancelación y oposición. Estos derechos, en virtud de las disposiciones generales del Título IV del RLDP, al ser de carácter personalísimo, exclusivamente pueden ser ejercidos por el titular de los datos personales, a través de procedimientos que deben caracterizarse por ser sencillos y proporcionados gratuitamente por los titulares de bancos de datos o responsables de su tratamiento (Decreto Supremo 003-2013-JUS, 2013).
(i) Acceso: derecho a obtener la información que sobre sí mismo sea objeto de tratamiento, lo que incluye el origen de la recopilación de sus datos, las razones que motivaron su recopilación y a solicitud de quién fue realizada, así como las transferencias de los datos efectuadas o que se prevén hacer.
(ii) Rectificación: derecho a que se modifiquen los datos personales cuando estos hubieren sido recopilados de manera inexacta o incompleta; o, si se hubiere advertido alguna omisión, error o falsedad. Además, abarca la actualización e inclusión de nuevos datos personales.
(iii) Cancelación: derecho a que se supriman los datos personales cuando estos hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recopilados, por el vencimiento del plazo establecido para su tratamiento, de haberse revocado el consentimiento para el tratamiento, así como en aquellos casos en los que no estén siendo tratados de conformidad con la LDP y el RLDP.
(iv) Oposición: derecho a que no se lleve a cabo el tratamiento de sus datos personales o este sea cesado, cuando no hubiere prestado su consentimiento para su recopilación por haber sido tomados de fuente de acceso al público; o cuando habiéndolo prestado, se pueden oponer por la existencia de motivos fundados y legítimos relativos a una concreta situación personal que justifiquen el ejercicio de este derecho (Decreto Supremo 003-2013-JUS, 2013, Título IV).
Según el artículo 55 del RLDP, para responder las solicitudes que fueren presentadas en ejercicio de los derechos ARCO, los titulares de bancos de datos personales o los responsables del tratamiento se sujetan a los siguientes plazos máximos, los que no consideramos eficientes por su amplitud:
(i) Ante el ejercicio del derecho de información, hasta ocho días contados desde el día siguiente de la presentación de la solicitud.
(ii) Ante el ejercicio del derecho de acceso, hasta veinte días contados desde el día siguiente de la presentación de la solicitud. Ahora bien, en caso de que la solicitud fuera estimada y el titular del banco de datos personales o responsable del tratamiento no acompañase a su respuesta la información solicitada, el acceso será efectivo dentro de los diez días siguientes a dicha respuesta. Lo que, en total, podría sumar un plazo de treinta días.
(iii) Ante el ejercicio de los derechos de rectificación, cancelación y oposición, hasta diez días hábiles para responder las solicitudes (Decreto Supremo 003-2013-JUS, 2013).
Tras la presentación de las solicitudes para el ejercicio de tales derechos, los titulares de bancos de datos personales o responsables del tratamiento únicamente podrán dar una respuesta total o parcialmente negativa si se encuentra debidamente justificada. En este último escenario, deberán señalar el derecho que les asiste para que, en todo caso, los titulares de los datos puedan recurrir dicha decisión ante la ANDP. Asimismo, la prueba del cumplimiento del deber de respuesta le corresponderá al titular del banco de datos personales o responsable del tratamiento, debiendo conservar los medios para hacerlo.
De otro lado, hay casos en los que nos encontraremos frente a una recopilación de datos personales haciendo uso de medios fraudulentos, desleales o ilícitos, considerando que en nuestro país existe un gran mercado negro4. Esta conducta vulnera el principio de legalidad y ha sido calificada como una infracción muy grave por el RLDP (Decreto Supremo 003-2013-JUS, 2013, art. 132, numeral 2, literal e), pasible de ser sancionada con una multa desde 50 UIT hasta 100 UIT. Además, se suma a esto el tratamiento que pueda hacerse de ellos en ausencia del consentimiento de su titular, como su almacenamiento y utilización para la realización de comunicaciones promocionales. Dicho tratamiento sin consentimiento califica como una infracción grave, pasible de ser sancionada con una multa de 5 UIT hasta 50 UIT (Decreto Supremo 003-2013-JUS, 2013, art. 132, numeral 2, literal b).
IV. ENTONCES, ¿QUÉ TIENEN DE DIFERENTE LAS COMUNICACIONES PROMOCIONALES QUE RECIBÍAMOS ANTES DE LA MODIFICACIÓN DEL CPDC Y LAS QUE RECIBIMOS HOY?
Según la Exposición de Motivos del Decreto Legislativo 1390, la modificación del CPDC para reemplazar el Registro por la regla del consentimiento se sostenía en gran parte porque
la Ley de Protección de Datos Personales señala como uno de sus principios rectores el del consentimiento, es decir, es necesario que las personas den su consentimiento expreso para que otros agentes económicos hagan uso de sus datos personales, como número telefónico o correo electrónico. Por lo que el Proyecto de Ley permitiría la adecuación del Código a dicha Ley (2018, p. 11).
Sin embargo, no habrá que perder de vista que la propia LDP ha previsto excepciones para la obtención del consentimiento (sin que esto impida el respeto de los demás principios previstos en la normativa). Así, de acuerdo con el artículo 14.2 de la norma, no se requiere el consentimiento del titular de datos personales para los efectos de su tratamiento, entre otros casos, cuando se trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público (Ley 29733, 2011). De acuerdo con el artículo 17 del RLDP, son consideradas fuentes accesibles al público, entre otros:
1. Los medios de comunicación electrónica, óptica y de otra tecnología, siempre que el lugar en el que se encuentren los datos personales esté concebido para facilitar información al público y esté abierto a la consulta general.
2. Las guías telefónicas, independientemente del soporte en el que estén a disposición y en los términos de su regulación específica.
3. Los diarios y revistas independientemente del soporte en el que estén a disposición y en los términos de su regulación específica.
4. Los medios de comunicación social.
5. Las listas de personas pertenecientes a grupos profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección postal, número telefónico, número de fax, dirección de correo electrónico y aquellos que establezcan su pertenencia al grupo.
6. […]
7. Los Registros Públicos administrados por la Superintendencia Nacional de Registros Públicos - SUNARP, así como todo otro registro o banco de datos calificado como público conforme a ley (Decreto Supremo 003-2013-JUS, 2013).
En esa línea, la ANDP, en respuesta a la consulta sobre el sentido del entonces proyecto de modificación del CPDC para reemplazar la regla de la inscripción en el Registro ‘Gracias…no insista’ por la del consentimiento del consumidor, manifestó lo siguiente:
[…] es preciso mencionar que la obligación de obtener el consentimiento previo no significa la prohibición absoluta de contacto, siempre que el dato personal de contacto haya sido obtenido de una fuente accesible al público, de acuerdo con lo señalado en el artículo 17 del Reglamento de la LDP. En ese caso, el primer contacto debe estar orientado a informar al titular del dato personal sobre los tratamientos de datos personales adicionales y a obtener su consentimiento para los mismos (Oficio 146-2018-JUS/DGTAJPD, 2018) [el énfasis es nuestro].
Por lo cual, con el bien intencionado Decreto Legislativo 1390 se buscaba que los consumidores que no deseasen ser contactados, no lo sean en virtud a una prohibición absoluta, sin necesidad de que registren previamente dicha voluntad en el Registro administrado por el Indecopi (prohibición relativa). No obstante, aquello es relativo, pues colisiona con la propia LDP en el sentido que, según lo expuesto por la ANDP, en tanto la recopilación de datos sea efectuada a través de fuentes de acceso público, será legal que los proveedores se comuniquen con los consumidores con la intención de ofertar sus productos y servicios, siempre que en la primera interacción con ellos se solicite su consentimiento para tal fin.
Luego, solo en caso de que la respuesta fuese afirmativa, se le podrá entregar la información con fines promocionales; caso contrario, si la respuesta fuese negativa y pese a ello se le entregue información promocional o se le volviese a contactar para el mismo fin, recién nos encontraríamos entonces en un incumplimiento de la normativa de datos personales, pues se habría quebrantado la voluntad del titular de los datos personales.
Es así como, luego de modificado el CPDC, el Indecopi, siguiendo lo expuesto por la ANDP, ha advertido en su propia jurisprudencia que no toda comunicación per se está prohibida, pues para obtener el consentimiento debe existir un primer contacto con el consumidor, siempre que el dato personal haya sido obtenido de una fuente de acceso al público. Esto es clave para entender por qué pese al cambio de regla del CPDC del que hablamos, legalmente continuamos recibiendo llamadas o mensajes.
Así, en el caso de comunicaciones telefónicas, cuando el proveedor haya tenido acceso al número telefónico y nombre del consumidor mediante fuentes de acceso público, en los primeros segundos de la llamada obligatoriamente se le deberá pedir su consentimiento para específicamente brindarle información promocional, y solo con su aceptación, se podrá proseguir con ello. Mientras que, en el caso de comunicaciones por mensaje de texto o correo electrónico, el primer mensaje que se envíe deberá servir para recabar el consentimiento, mas no para brindar directamente la información con fines promocionales.
En ese sentido, dado que las actuaciones de instrucción del procedimiento sancionador, tanto en el llevado a cabo por el Indecopi como por la ANDP, tienen por finalidad determinar si las comunicaciones contaban con el consentimiento del consumidor (y más allá de esto, que sea un consentimiento previo, informado, expreso e inequívoco), es de suma importancia que los proveedores posean los medios probatorios que lo sustenten, para así poder afrontar la carga de la prueba. Sin perjuicio de que, como vimos, no basta con que los consumidores afirmen haber recibido una comunicación promocional no consentida, es necesario que acrediten su recepción, siguiendo los criterios jurisprudenciales, indicados en la sección II.C. del presente escrito.
V. PROPUESTAS DE MEJORA
A. Sobre el riesgo del non bis in ídem
Hasta aquí tenemos que para que no se configure la práctica comercial agresiva prevista en el literal e) del artículo 58.1 del CPDC, se requerirá del consentimiento del consumidor, el que puede haberse obtenido básicamente de dos formas: de manera previa a la comunicación (sea directamente con el consumidor o indirectamente si existió una debida transferencia de datos) o como parte del primer contacto con el consumidor, si los datos personales se obtuvieron de una fuente pública (2010). Sobre esta última alternativa, opinamos que, si bien las expectativas de la modificación del CPDC no se condicen a cabalidad con la normativa de datos personales –lo que explica por qué los consumidores continúan recibiendo llamadas no deseadas pese al cambio normativo–, es cierto que no vulnera las normas de protección de datos personales ni de protección al consumidor, pues se busca un punto medio entre la libertad de empresa y el principio de consentimiento.
Ahora bien, habrá que ser muy cautelosos en la aplicación de los regímenes sancionadores, respecto de las comunicaciones promocionales sin consentimiento prohibidas por el CPDC y el tratamiento de datos personales sin consentimiento proscrito por la LDP y el RLDP. Recordemos que la infracción del CPDC se configurará con el envío masivo de comunicaciones promocionales sin consentimiento; por lo cual, en principio, el envío aislado de comunicaciones no debiera ser una conducta punible por dicha normativa, sino exclusivamente por la regulación de protección de datos personales. Sin embargo, consideramos que esto da cabida a un traslape normativo, bajo el cual en última instancia se sancionaría por lo mismo: ausencia de debido consentimiento.
En esa línea, cuando nos encontremos frente a este tipo de comunicaciones, nos preocupa el riesgo de que se inicien dos procedimientos sancionadores contra los agentes del mercado y que, como resultado, sean doblemente sancionados: por parte del Indecopi, por infracción del literal e) del artículo 58.1; y por parte de la ANDP, por vulneración del principio de consentimiento. Sobre este punto, debemos hacer un paréntesis para recordar que, la finalidad de la sanción no es solo la de castigar –ni mucho menos doblemente–, sino la de apuntar a la modificación de la conducta de los regulados con el objeto de que se cumplan las finalidades perseguidas por el derecho administrativo (Soto Delgado, 2017) y por el ordenamiento jurídico en general; lo que puede lograrse por medio de otras herramientas como la orientación y la imposición de medidas correctivas en el marco de fiscalizaciones, siguiendo un enfoque de regulación responsiva habilitado por la modificación de la TUO de la LPAG mediante el Decreto Legislativo 1272 (2016).
Al respecto, consideramos de suma importancia el respeto al principio de non bis in ídem, garantía del procedimiento administrativo sancionador recogida en el artículo 248.11 del TUO de la LPAG; en virtud del cual, no podrán imponerse dos sanciones administrativas por el mismo hecho cuando exista la triple identidad de sujeto, hecho y fundamento. Así, el non bis in ídem supone la colisión de dos leyes sobre un mismo hecho que podría ser sancionado por ambas (Carretero Pérez & Carretero Sánchez, 1995), lo que precisamente se busca evitar.
Usualmente, no hay mucho inconveniente en determinar la igualdad de hechos y actores, la dificultad llega cuando se analiza la identidad del fundamento, que muchas veces se niega, pero no siempre se justifica adecuadamente. Así, en este caso en concreto podría alegarse que las inconductas recogidas en el literal e) del artículo 58.1 del CPDC y en el artículo 132.2 del RLDP pueden poseer identidad de hechos y actores, pero no el mismo fundamento, bajo el argumento de que nos encontraríamos ante dos bienes jurídicos distintos: la protección al consumidor y la protección de los datos personales.
No obstante, en el fondo, sea el Indecopi o la ANDP, consideramos que el sustento para aplicar una sanción será el mismo: que se haya vulnerado el principio de consentimiento, por haber actuado en contra de la voluntad del titular de los datos personales (o consumidor). De esa manera, ambas instituciones, de acuerdo con la normativa vigente, se encuentran facultadas para sancionar a aquel que haya realizado una comunicación promocional que no haya obtenido el debido consentimiento del titular, para lo cual ambas velarán por determinar si se contó con el consentimiento, y si fue previo, informado, expreso e inequívoco. Por lo cual, no vemos plausible repetir el castigo por dos vías administrativas.
A fin de eliminar el riesgo de doble procedimiento administrativo sancionador y de doble sanción, consideramos que la mejor salida, de cara a una lectura más integral, coherente y razonable del ordenamiento jurídico, consiste en la modificación de la Séptima Disposición Complementaria Final de la LDP, relativa a las competencias del Indecopi5. En esta disposición se ha previsto que, sin perjuicio de la competencia asignada a la ANDP para salvaguardar los derechos de los titulares de información administrada por las Centrales Privadas de Información de Riesgos (CEPIRS) o similares; en materia de infracción a los derechos de los consumidores mediante la prestación de servicios e información brindados por las aquellas centrales, en el marco de las relaciones de consumo, son aplicables las normas sobre protección al consumidor, siendo el Indecopi el único competente para la supervisión de su cumplimiento.
Del mismo modo, dicha disposición contenida en la LDP podría establecer que, cuando se trate de infracciones cometidas al literal e) del artículo 58.1 del CPDC, tras haberse acreditado que los proveedores no contaban con el consentimiento de los consumidores para realizar comunicaciones promocionales, la competencia exclusiva sancionadora recaiga en el Indecopi; y que la ANDP no podrá sancionar nuevamente al proveedor por no haber contado con el consentimiento de los consumidores. Lo anterior no debiera implicar que la ANDP no pueda fiscalizar, iniciar procedimientos sancionadores y, de ser el caso, sancionar a aquellos proveedores que hayan cometido otras infracciones conexas, como haber recabado de manera ilegal los datos personales o haber obstaculizado el ejercicio de los derechos ARCO.
Una distinta alternativa sería que, en tanto una de las entidades ya haya ejercido su potestad sancionadora, la otra se abstenga de ejercer la propia; sin embargo, lo cierto es que esto traería grandes dificultades prácticas en su aplicación.
B. Simplificación de los procedimientos para el ejercicio de los derechos ARCO
Consideramos que, si bien se ha avanzado en el camino de armonizar las normativas de protección de datos personales y la de protección al consumidor, aún queda un tramo por recorrer. Por ejemplo, si nos preguntamos cómo podrían hacer los consumidores para saber si el proveedor que los llama para ofrecerle sus servicios ha accedido legalmente (por medio del consentimiento o por fuentes públicas) o ilegalmente a sus datos personales, la respuesta parecería caer de madura: consultando en la llamada telefónica sobre el origen del consentimiento para tal efecto. Sin embargo, lo cierto es que el proveedor no está obligado a responder en ese momento y, si lo hace, por la premura o desconocimiento de los trabajadores, no siempre la respuesta será precisa.
Como lo hemos comentado, la LDP ha regulado un extenso plazo de hasta treinta días hábiles para que los proveedores atiendan las solicitudes de ejercicio del derecho de acceso, lo que dificulta que los consumidores puedan conocer o, de ser el caso, recordar, quién, cómo y con qué finalidad se recopilaron de sus datos. Acceder rápida y seguramente a dicha información facilitaría el ejercicio de otros derechos como la oposición, revocación de consentimiento, o bien la interposición de una denuncia ante la ANDP en caso no se reconociese una fuente de acceso legal.
Adicionalmente, según los artículos 49 y 50 del RLDP, la solicitud de acceso deberá dirigirse al titular del banco de datos personales o al responsable de su tratamiento; para lo cual, el consumidor deberá acreditar su identidad con una copia de su Documento Nacional de Identidad o a través de la firma digital (Decreto Supremo 003-2013-JUS, 2013). Estas exigencias dificultan aún más el ejercicio del derecho de acceso, lo que puede traducirse en: (i) la ausencia de denuncias que permitan detectar la comisión una práctica comercial prohibida y la vulneración del principio de legalidad; o bien, (ii) la presentación de reportes al ‘Whatsapp No Insista’ y de denuncias sin fundamento, cuando el acceso a los datos personales por los proveedores haya sido realizado de acuerdo con el principio del consentimiento o por el acceso a información pública. Lo cual genera ineficiencias en cuanto a costos y tiempo.
Así, la excesiva formalidad del RLDP dificulta el ejercicio del derecho de acceso y los otros derechos relacionados, lo que consiguientemente termina por afectar tanto los derechos de los consumidores que pueden no recibir una respuesta veraz y oportuna, así como a los intereses de los propios proveedores, quienes, de no revelar su fuente de manera correcta y con prontitud, se exponen a reclamos que eventualmente pueden culminar en el inicio de procedimientos administrativos sancionadores por parte del Indecopi o de la ANDP, algunos fundados y otros no, pero al final de cuentas, prevenibles.
Es más, el propio ejercicio del derecho de revocación debería ser lo más sencillo posible, debería bastar solo con ser ejercido telefónicamente o por mensaje, sin mayores formalidades. Sin embargo, si bien este es el espíritu del artículo 16 del RLDP, que dispone que la revocación del consentimiento puede realizarse en cualquier momento y sin justificación previa; este también dispone que para su revocación se deberá cumplir los mismos requisitos observados en su otorgamiento, pudiendo ser estos más simples, si así se hubiera señalado en tal oportunidad (Decreto Supremo 003-2013-JUS, 2013). De esta manera, se perdió la oportunidad de garantizar un eficiente y práctico ejercicio del derecho de revocación. Por ejemplo, en España, una llamada a un teléfono gratuito o a los servicios de atención al público del proveedor es suficiente para dejar de recibir comunicaciones con fines promocionales6, de conformidad con el artículo 21.3 de la Ley Orgánica 3/2018, “cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines” (2018).
Para afrontar este escenario, proponemos una flexibilización de la regulación de datos personales antes comentada para que, en lugar de ser engorrosa, garantice el ejercicio simple y rápido del derecho de acceso, que les permita conocer a los consumidores, principalmente, la fuente de la cual el proveedor o un tercero recopiló sus datos; así como un ejercicio sencillo del derecho de revocación, que por su naturaleza, no debería contar con formalidad alguna. En ese sentido, sugerimos que en el mismo acto en el que el proveedor o tercero se comunique con los consumidores, además de pedir su consentimiento para ofrecerles promociones (de acuerdo con el criterio de la ANDP antes comentado), esté en condiciones de informar directamente la fuente de la cual recogió sus datos personales, especialmente cuando no se obtuvieron directamente, sino de manera indirecta por transferencia o por fuente de acceso público, como se ha regulado en la normativa española7, por ejemplo. Asimismo, recomendamos dar trámite inmediato a las solicitudes de revocación e incluir a los solicitantes en una lista de ‘no contacto’, lo que además redunda positivamente en la reputación de la compañía.
De esa manera, no resultaría necesario activar el procedimiento de solicitud de ejercicio del derecho de acceso, el que al ser tan engorroso –sumado al desconocimiento– desincentiva su inicio por parte de los consumidores. Asimismo, esto propiciaría la reducción de incumplimientos al literal e) del artículo 58.1 del CPDC, se lucharía más firmemente contra el mercado negro de datos personales, se reduciría el número de denuncias infundadas e impulsaría la presentación de reclamos y denuncias fundamentadas.
VI. TÉNGASE PRESENTE
Brindaremos a continuación algunas sugerencias prácticas para el envío de comunicaciones con fines promocionales, así como para los consumidores.
A. Recomendaciones para proveedores
Sabemos que en el ámbito publicitario es imprescindible que el proveedor o el anunciante llegue a aquellas personas que puedan estar interesadas en sus productos o servicios; sin embargo, surge aquí una problemática derivada de la regulación de protección de datos personales (Fernando, 2005), si esta no es tomada en cuenta en el despliegue de dicha actividad. En ese sentido, es vital estar bien informados al respecto y tener presente las siguientes recomendaciones.
Revisar y contar con una política de privacidad que permita recabar el consentimiento de una manera clara y sencilla; y que posibilite que los consumidores puedan aceptar o rechazar recibir comunicaciones con fines promocionales. Esto incluye que, en los casos en los que los datos sean recopilados de fuentes públicas, se cuente con un protocolo para solicitar el debido consentimiento de los consumidores para la entrega de información promocional; así como asegurarse de aquello ocurra si se tercerizan los servicios de llamadas telefónicas, envío de mensajes de texto y correos electrónicos masivos.
En el supuesto anterior, de utilizarse mensajes de texto o correos electrónicos como medio de contacto, un primer correo deberá servir para recabar el consentimiento, el que, por ejemplo, podrá incluir links de suscripción para recibir promociones. En el caso de llamadas telefónicas, el primer contacto estará dirigido a requerir el consentimiento del consumidor, para lo cual será de utilidad contar con la información correcta sobre la fuente de origen de los datos personales, sea en el supuesto de que la haya obtenido de una fuente pública, mediante una transferencia consentida de datos o del propio consumidor.
Una vez que se cuente con el consentimiento para fines promocionales, será de suma importancia almacenar las pruebas o constancias, sea por medio de una grabación o, por ejemplo, guardando los correos electrónicos o suscripciones para recibir promociones. De ese modo, ante un eventual procedimiento sancionador, se podrá afrontar sin dificultades la carga de la prueba.
Por último, sugerimos mantener identificadas a las personas que negaron su consentimiento o lo revocaron, para de ese modo respetar su voluntad y evitar insistir.
B. Recomendaciones para los consumidores
¿Sueles leer o revisar las políticas de privacidad antes de comprar productos o contratar servicios? Probablemente la respuesta sea un tímido ‘a veces’ o un tajante ‘no’, y es que esta es una práctica generalizada entre los consumidores, muchas veces a causa de la rapidez de las operaciones comerciales y en otras, por desinterés. Esta situación produce el desconocimiento del propio consumidor, quien puede terminar por presentar una denuncia ante el Indecopi por vulneración del literal e) del artículo 58.1 del CPDC, en la que invertirá tiempo y posibles costos, pero que al final del día será declarada infundada si, en efecto, había otorgado su consentimiento previo para recibir comunicaciones promocionales, como al suscribirse a un concurso o registrado en una tienda online, pero no lo recordaba o no había revisado la política de privacidad que aceptó.
En consecuencia, la recomendación más importante para los consumidores es leer. Solo de esa manera tendrán certeza respecto de qué están consintiendo y podrán manifestar su voluntad de manera adecuada; o en su defecto, asumir responsabilidad y aceptar que la ley no ampara el descuido. Como lo indica Alfredo Bullard González, asumir que el consumidor puede ser protegido en cualquier caso, sin importar su nivel de diligencia, es asumir que tendrán una suerte de seguro contra su propia irresponsabilidad brindado por los proveedores (2018). Este escenario claramente no es el deseado, pues, así como es relevante que los proveedores cumplan con las normas de protección al consumidor y de datos personales, también lo es que los consumidores lean la información que reciben y sean conscientes de lo que autorizan.
De otro lado, también es cierto que existe mucho desconocimiento sobre la normativa de protección de datos personales y sobre cómo pueden ser ejercidos los derechos ARCO, lo que puede acarrear que, en lugar de revocar el consentimiento para recibir promociones, se interponga una denuncia ante el Indecopi que carezca de fundamento, en lugar de solicitar la revocación de su consentimiento, por señalar un ejemplo. En atención a esta realidad, es imprescindible el rol que posee la ANDP de realizar campañas de difusión sobre la protección de datos personales, como la denominada ‘#YoCuidoMisDatosPersonales’, que tuvo por objetivo orientar a la población, en especial a niños y adolescentes, sobre cómo proteger su información personal y mostrar las consecuencias negativas del uso inadecuado de las redes sociales.
Finalmente, queremos resaltar la importancia de fomentar una cultura de respeto al tratamiento de datos personales, tanto por parte de los consumidores, quienes deben procurar conocer y ejercer responsablemente sus derechos ARCO; como por parte de los agentes del mercado, quienes requieren desarrollar sus operaciones comerciales en un marco de libertad, pero en cumplimiento de la normativa de datos personales y protección al consumidor, lo que incluso redundará en una mejor imagen corporativa en el mercado.
REFERENCIAS
Agencia Española de Protección de Datos (2021). Publicidad no deseada. https://www.aepd.es/es/areas-de-actuacion/publicidad-no-deseada
Autoridad Nacional de Protección de Datos Personales (2013). El Derecho Fundamental a la Protección de Datos Personales. https://cdn.www.gob.pe/uploads/document/file/1401558/El%20derecho%20fundamental%20a%20la%20protecci%C3%B3n%20de%20datos%20personales.pdf
Beneyto, R. (2009). La protección de los datos personales de los consumidores: las listas Robinson. Computing España, 30.
Biedma, J., & Medina, J. (2012a). La normativa sobre protección de datos personales: una visión práctica para la empresa. Revista Partida doble, (240), 72-85.
(2012b). La normativa sobre protección de datos personales (II): explotación legítima de datos personales. Revista Partida doble, (241), 56-69.
Bullard González, A. (2018) ¿Es el Consumidor un Idiota? El Falso Dilema entre el Consumidor Razonable y el Consumidor Ordinario. Revista de la Competencia y la Propiedad Intelectual, 6(10), 5-57.
Carretero Pérez, A., & Carretero Sánchez, A. (1995). Derecho Administrativo Sancionador. Editorial de Derecho Reunidas.
El Comercio (24 de enero del 2015). Un imperio de la ilegalidad que vulnera la vida privada de limeños. El Comercio. https://cde.3.elcomercio.pe/doc/0/1/0/4/8/1048400.pdf
Espinoza Espinoza, J. (2010). Primeras reflexiones a propósito del Código de Protección y Defensa del Consumidor. Ius et Veritas, 20(41), 164-169.
Fai, K. (3 de diciembre de 2019). Truecaller Insights: Top 20 countries Affected by Spam Salls & SMS in 2019. Truecaller. https://truecaller.blog/2019/12/03/truecaller-insights:-top-20-countries-affected-by-spam-calls-&-sms-in-2019/
(8 de diciembre de 2020). Truecaller Insights: Top 20 countries Affected by Spam Calls & SMS in 2020. Truecaller. https://truecaller.blog/2020/12/08/truecaller-insights-top-20-countries-affected-by-spam-calls-in-2020-2/
Federal Trade Comission (2021). National Do Not Call Registry FAQs. https://www.consumer.ftc.gov/articles/national-do-not-call-registry-faqs
Fernando, M. (2005). La protección de datos personales en el ámbito de la publicidad en la legislación española. Revista Chilena de Derecho, (7), 97-109. http://dx.doi.org/10.5354/0717-9162.2005.10764
Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual [Indecopi] (5 de setiembre de 2018). El Poder Ejecutivo, a propuesta del Indecopi, publica DL que modifica el Código de Protección y Defensa del Consumidor para que ciudadanos no reciban promociones de productos y servicios no solicitados [Nota de prensa]. https://repositorio.indecopi.gob.pe/bitstream/hanDLe/11724/6400/NP%20180905%20Mejoras%20al%20C%c3%b3digo%20para%20no%20recibir%20llamadas%20promocionales.pdf?sequence=1&isAllowed=y
Presidencia de Consejo de Ministros (27 de noviembre de 2012). INDECOPI relanza servicio “Gracias… No insista”. http://www2.pcm.gob.pe/Prensa/ActividadesPCM/2012/Noviembre/27-11-12-a.html
Sánchez Barrios, M. (2012). Estudios Sobre Consumo. Tirant lo Blanch.
Soto Delgado, P. (2017). Sanciones administrativas como medidas de cumplimiento del derecho: un enfoque funcional y responsivo aplicado al régimen sancionatorio ambiental. Ius et Praxis, 22(2), 189-226.
LEGISLACIÓN, JURISPRUDENCIA Y OTROS DOCUMENTOS LEGALES
Código de Protección y Defensa del Consumidor [CPDC], Ley 29571, Diario Oficial El Peruano, 1 de septiembre de 2010 (Perú).
Comisión de Protección al Consumidor sede Lima Sur, 3 de septiembre de 2010, Resolución Final 2092-2010/CPC, Expediente 2878-2009/CPC (Perú).
Comisión de Protección al Consumidor 3 sede Central, 20 de noviembre de 2019, Resolución 288-2019/CC3, Expediente 067-2019/CC3 (Perú).
Comisión de Protección al Consumidor 3 sede Central, 12 de febrero de 2020, Resolución Final 021-2020/CC3, Expediente 083-2019/CC3 (Perú).
Comisión de Protección al Consumidor 2 sede Central, 4 de agosto de 2020, Resolución Final 981-2020/CC2, Expediente 1112-2019/CC2 (Perú).
Consejo Directivo del Indecopi, 18 de octubre de 2012, Resolución 159-2012-INDECOPI/COD (Perú).
Constitución Política del Perú [Const.] (1993) (Perú).
Decreto Legislativo 1272, Decreto Legislativo que modifica la Ley del Procedimiento Administrativo General y deroga la Ley del Silencio Administrativo, Diario Oficial El Peruano, 21 de setiembre de 2016 (Perú).
Decreto Legislativo 1390, Decreto Legislativo que modifica el Código de Protección y Defensa del Consumidor, Diario Oficial El Peruano, 5 de setiembre de 2018 (Perú).
Decreto Supremo 006-2009-PCM, Decreto Supremo que aprueba el Texto Único Ordenando de la Ley del Sistema de Protección al Consumidor, Diario Oficial El Peruano, 30 de enero de 2009 (Perú).
Decreto Supremo 003-2013-JUS, Decreto Supremo que aprueba el Reglamento de la Ley de Protección de Datos Personales, Diario Oficial El Peruano, 22 de marzo de 2013 (Perú).
Decreto Supremo 004-2019-JUS, Decreto Supremo que aprueba el Texto Único Ordenado de la Ley del Procedimiento Administrativo General, Diario Oficial El Peruano, 25 de enero de 2019 (Perú).
Directiva 005-2009/COD-INDECOPI, Directiva de Operación y Funcionamiento del Registro de Números Telefónicos y Direcciones de Correo Electrónico Excluidos de ser destinatarios de publicidad Masiva “Registro Gracias… No Insista”, 16 de setiembre de 2009 (Perú).
Exposición de Motivos del Decreto Legislativo 1390, 05 de septiembre de 2018 (Perú).
Ley 29733, Ley de Protección de Datos Personales, Diario Oficial El Peruano, 2 de julio de 2011 (Perú).
Ley Orgánica 3/2018, Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (B.O.E. 2018, 3) (Esp.).
Ministerio de Justicia y Derechos Humanos, 14 de marzo de 2018, Oficio 146-2018-JUS/DGTAIPD (Perú).
Ministerio de Justicia y Derechos Humanos, 19 de febrero de 2019, Opinión Consultiva 12-2019-JUS/DGTAIPD (Perú).
Sala Especializada en Protección al Consumidor sede Lima Sur, 25 de marzo de 2013, Resolución 0728-2013/SPC-INDECOPI, Expediente 40-2012/CPC (Perú).
Sala Especializada en Protección al Consumidor sede Lima Sur, 13 de octubre de 2015, Resolución 32352015/SPCINDECOPI, Expediente 6432014/CC2 (Perú).
Sala Especializada en Protección al Consumidor sede Junín, 30 de mayo de 2016, Resolución 19312016/SPCINDECOPI, Expediente 592015/CPCINDECOPIJUN (Perú).
Sala Especializada en Protección al Consumidor sede Lima Sur, 8 de abril de 2019, Resolución 0943-2019/SPC-INDECOPI, Expediente 1459-2017/CC2 (Perú).
Sala Especializada en Protección al Consumidor sede Lima Sur, 10 de marzo de 2021, Resolución 0542-2021/SPC-INDECOPI, Expediente 0174-2019/ CC3-SIA (Perú).
* Abogada. Adjunta de docencia del curso Derecho Administrativo Económico en la Pontificia Universidad Católica del Perú. Asociada de Garrigues (Lima, Perú). Contacto: fiorella.senno@gmail.com
Nota del Editor: El presente artículo fue recibido por el Consejo Ejecutivo de THĒMIS-Revista de Derecho el 6 de julio de 2020, y aceptado por el mismo el 19 de julio de 2021.
1 Para mayor información, véase Agencia Española de Protección de Datos (2021).
2 Artículo 23. Sistemas de exclusión publicitaria.
1. Será lícito el tratamiento de datos personales que tenga por objeto evitar el envío de comunicaciones comerciales a quienes hubiesen manifestado su negativa u oposición a recibirlas. A tal efecto, podrán crearse sistemas de información, generales o sectoriales, en los que solo se incluirán los datos imprescindibles para identificar a los afectados. Estos sistemas también podrán incluir servicios de preferencia, mediante los cuales los afectados limiten la recepción de comunicaciones comerciales a las procedentes de determinadas empresas. […]
4. Quienes pretendan realizar comunicaciones de mercadotecnia directa, deberán previamente consultar los sistemas de exclusión publicitaria que pudieran afectar a su actuación, excluyendo del tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa al mismo. A estos efectos, para considerar cumplida la obligación anterior será suficiente la consulta de los sistemas de exclusión incluidos en la relación publicada por la autoridad de control competente […] (Ley Orgánica 3/2018, 2018).
3 Para mayor información, véase Federal Trade Comission (2021).
4 Lamentablemente, como bien se expone en una investigación llevada a cabo por El Comercio (2015), en nuestro país existe un gran mercado negro en el que el producto estrella son precisamente los datos personales (nombres, números telefónicos, direcciones, correos electrónicos, sueldos, líneas de crédito y más). El tráfico de esta información sigue toda una cadena ‘estratégica’: (i) los datos son obtenidos de manera lícita y con el consentimiento de los clientes por empresas y por instituciones públicas a través de formularios virtuales, llamadas telefónicas o fichas impresas; (ii) la información ingresa a la base de datos de la empresa para un fin específico, como el informativo o publicitario; (iii) pero, los empleados de las compañías, ilícitamente copian las bases de datos y luego las venden, por ejemplo, en diferentes galerías del Centro de Lima; (iv) quienes las adquieren, copian las bases de datos en CDs o USBs y las venden, o las transfieren en ‘la nube’ (El Comercio, 2015). De esta manera, otras empresas terminan adquiriendo datos personales de manera ilegal, junto con las mafias dedicadas a la extorsión y el reglaje, lo que resulta aún más preocupante.
5 Este asunto fue además evaluado por Asunción Ampuero Miranda y Paola Liliana Lobatón Fuchs, vocales de Sala Especializada en Protección al Consumidor. Véase la Resolución 32352015/SPCINDECOPI (2015) y Resolución 1931-2016-SPC-INDECOPI (2016).
6 Para mayor información, véase Agencia Española de Protección de Datos (2021).
7 De acuerdo con el artículo 11.3 de la Ley Orgánica 3/2018,
Cuando los datos personales no hubieran sido obtenidos del afectado, el responsable podrá dar cumplimiento al deber de información establecido en el artículo 14 del Reglamento (UE) 2016/679 facilitando a aquel la información básica señalada en el apartado anterior, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información. En estos supuestos, la información básica incluirá también:
a) Las categorías de datos objeto de tratamiento.
b) Las fuentes de las que procedieran los datos (2018) [el énfasis es nuestro].