¿Debe articularse siempre la casilla para aceptar las comunicaciones comerciales por medios electrónicos?

A menudo surgen dudas sobre la necesidad de articular una casilla (distinta de la prevista para la aceptación de términos y condiciones y política de privacidad) para obtener el consentimiento para la recepción de comunicaciones comerciales. Sin embargo, esta necesidad depende, como veremos, del tipo de destinatario potencial al que se dirija la comunicación. En este sentido, se ha de analizar el asunto desde el punto de vista de dos legislaciones diferentes y complementarias:

• Requisitos de la Ley 34/2002, de Servicios de la Sociedad de la Información - LSSI

El art. 21 LSSI establece la prohibición general de remitir por medios electrónicos comunicaciones comerciales “que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”, independientemente de que tales destinatarios sean personas físicas o jurídicas. Por tanto, la regla general es que debe obtenerse el consentimiento expreso del destinatario para la remisión de comunicaciones comerciales.

Ahora bien, el segundo párrafo de dicho art. 21 establece una excepción para dicha necesidad de consentimiento, en aquellos casos en que exista i) una relación contractual previa, ii) los datos hayan sido obtenidos lícitamente, y iii) las comunicaciones comerciales remitidas sean referentes a productos o servicios del propio remitente y similares a los que inicialmente fueron objeto de contratación por el destinatario.

Es decir, siempre que las comunicaciones comerciales sólo se vayan a dirigir a aquellos usuarios que estén contratando el servicio y que vayan a ser relativas a los mismos servicios o similares, se cumpliría el supuesto de la excepción y en consecuencia, no será necesario articular la casilla sino que bastará con informarles de ello en los términos y condiciones de la página. Además, siempre debe darse la posibilidad de dejar de recibir dichas comunicaciones comerciales ofreciéndoles una dirección de correo electrónico válida donde ejercer ese derecho, tanto en los términos y condiciones como en cada comunicación. 

• Requisitos de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal - LOPD 

Por otra parte debe tenerse en cuenta la legislación de protección de datos, que puede imponer un consentimiento adicional. En este sentido, se diferencian dos situaciones:

1. El formulario lo rellena una empresa o sociedad, o personas físicas en su nombre (empresarios individuales o trabajadores) proporcionando datos de mero contacto (aquellos que suelen mostrarse en las tarjetas de visita): en tal caso, la legislación de protección de datos no resulta aplicable.

2. El formulario lo rellena una persona física (empresario individual o trabajador) proporcionando otros datos personales adicionales (por ejemplo el DNI): en tal caso, se aplica la legislación de protección de datos. En este contexto, el artículo 15 del Reglamento (RD 1720/2007) prevé el siguiente requisito:

Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.

En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.

Este requisito puede cumplirse estableciendo la habitual casilla “Acepto recibir comunicaciones comerciales”, obteniendo así el consentimiento expreso. Sin embargo, también puede cumplirse sin  articular ninguna casilla, permitiendo que el usuario manifieste su negativa al tratamiento, mostrando para ello el siguiente texto en el formulario de registro:

Al completar este formulario y hacer clic en el botón, aceptas plenamente los términos y condiciones del sitio web y prestas tu consentimiento para que te enviemos comunicaciones comerciales. Si no quieres recibirlas, escríbenos a [MAIL DE CONTACTO]

La SACEM podrá colectar las IP de los usuarios en las redes P2P

La Cour de Cassation francesa ha dictado una interesante jurisprudencia (Crim. 13 jan. 2009) que abre a las entidades de gestión de derechos como la SACEM la posibilidad de colectar, de un modo totalmente libre, las direcciones IP de los usuarios que suben o descargan ficheros de su repertorio de las redes P2P.

Esta sentencia viene a terminar con la larga polémica mantenida entre los órganos jurisdiccionales y la CNIL, organismo encargado de la protección de datos personales en Francia, acerca de si dichas colectas deben ser autorizadas o no. Así, la ley de protección de datos francesa (Loi informatique et libertés de 1978, modificada en 2004) autoriza a las entidades de gestión a proceder a un tratamiento de datos relativo a las infracciones de sus derechos, siempre y cuando obtengan la autorización de la CNIL. Sistemáticamente, la CNIL se había opuesto a la colecta por las entidades de gestión de las direcciones IP de los usuarios de redes P2P, considerando aquellas como datos de carácter personal que permiten identificar de manera indirecta a un usuario a través de un mero cruce con las listas de los proveedores de acceso. Ciertos tribunales de gran instancia habían seguido esta misma argumentación en sus decisiones. Sin embargo, varias veces el Tribunal de Apelación de Paris había contradicho a la CNIL, bajo un triple fundamento: 1) cuando el agente de la entidad de gestión procede a colectar las direcciones IP, su acción no puede ser calificada de tratamiento de datos de carácter personal sino una mera constatación de la materialidad de la infracción; 2) la identificación del usuario infractor no se realiza directamente por el agente, sino que es labor de la policía cruzar dichas IP con las listas de los proveedores de acceso; y 3) la dirección IP no constituye un dato de carácter personal por cuanto se trata de un conjunto de números que permite identificar un ordenador y no la persona que lo utiliza.

De este modo, la sentencia que analizamos viene a resolver las disputas de una vez por todas. Si bien no se pronuncia sobre el carácter de dato personal de la IP, el Alto tribunal considera que la colecta por las entidades de gestión de las direcciones IP no constituye un tratamiento de datos de carácter personal sino el ejercicio de una facultad reconocida por la ley, por lo que no es necesario obtener la autorización de la CNIL. Dicho tribunal va a censurar la sentencia de apelación, la cual había anulado la condena de un usuario infractor pues todo el proceso se había fundado en la colecta de su dirección IP, colecta que a juicio de la apelación se había realizado de manera “irregular”. La Cour de Cassation considera en cambio que “en se déterminant ainsi, alors que les constatations visuelles effectuées sur internet et les renseignements recueillis en exécution de l’article L. 331-2 du code de la propriété intellectuelle par un agent assermenté qui, sans recourir à un traitement préalable de surveillance automatisé, utilise un appareillage informatique et un logiciel de pair à pair, pour accéder manuellement, aux fins de téléchargement, à la liste des œuvres protégées irrégulièrement proposées sur la toile par un internaute, dont il se contente de relever l’adresse IP pour pouvoir localiser son fournisseur d’accès en vue de la découverte ultérieure de l’auteur des contrefaçons, rentrent dans les pouvoirs conférés à cet agent par la disposition précitée, et ne constituent pas un traitement de données à caractère personnel relatives à ces infractions, au sens des articles 2, 9 et 25 de la loi susvisée, la cour d’appel, qui n’a pas tiré les conséquences légales de ses propres constatations, a méconnu le sens et la portée des textes susvisés”.

Abriendo de este modo a las entidades de gestión la libre colecta de las direcciones IP de los usuarios, la sentencia se enmarca en la tendencia más reciente, dejando la puerta abierta al mecanismo de los dos avisos establecido en la próxima ley “Création et Internet”.