En el complejo entramado de la normativa de protección de datos, hay un principio que resuena con especial firmeza: el consentimiento del interesado. Lejos de ser una mera formalidad, constituye la piedra angular que legitima el tratamiento de la información personal en multitud de supuestos, especialmente en el ámbito de las comunicaciones comerciales. Una reciente resolución de la Agencia Española de Protección de Datos (AEPD) contra la compañía energética Iberdrola nos recuerda otro principio clave: la responsabilidad del tratamiento de datos no se diluye al delegar en terceros. Este caso, centrado en la realización de llamadas comerciales sin el debido consentimiento, ofrece un valioso ejemplo sobre la diligencia exigible a las empresas en la era del Reglamento General de Protección de Datos (RGPD).
Contexto y análisis del caso
Los hechos que motivaron el procedimiento son, en apariencia, sencillos y tristemente familiares para muchos ciudadanos. Un particular recibe una llamada comercial en su teléfono móvil con el fin de ofrecerle productos de la compañía energética. El destinatario de la llamada no solo no había autorizado tal contacto, no tenía una relación comercial con la eléctrica y, además, había manifestado activamente su deseo de no recibir publicidad mediante su inscripción en el sistema de exclusión publicitaria conocido como Lista Robinson.
Ante el requerimiento de la AEPD, la defensa de la compañía (Procedimiento Sancionador PS/00508/2022) se articuló sobre la base de que los datos del reclamante habían sido obtenidos a través de un tercero, uno de sus colaboradores, quien, conforme al contrato de prestación del servicio, tenía la obligación de recabar el consentimiento del usuario. Sin embargo, este argumento no resultó suficiente para la Autoridad de control. Y no lo hizo por una razón fundamental que todo profesional, independientemente de su sector, debe comprender: en materia de protección de datos, la responsabilidad no se delega, se acredita.
Sin embargo, la AEPD desmontó de forma categórica este argumento, basándose en uno de los principios contenidos en el RGPD: la responsabilidad proactiva (accountability). La Agencia determinó que Iberdrola actuaba en calidad de “responsable del tratamiento”, es decir, la entidad que decide sobre la finalidad y los medios del uso de los datos personales. Como tal, sobre ella recae la obligación última de verificar y poder demostrar que el tratamiento de dichos datos se fundamenta en una base legitimadora válida, como lo es el consentimiento del afectado.
Este caso particular pone de relieve la fragilidad de las estrategias comerciales que descansan en bases de datos de terceros sin una diligencia debida y exhaustiva. La compra o cesión de datos para fines de marketing no es una transacción que exima de responsabilidad al adquirente. Al contrario, le convierte en el principal garante de la licitud del tratamiento ulterior que vaya a realizar. Si no puede acreditar el origen lícito y, en su caso, el consentimiento válido para cada uno de los contactos, asume un riesgo regulatorio considerable.
La Ley General de Telecomunicaciones
A todo ello se suma la reciente modificación de la Ley General de Telecomunicaciones que, desde junio de 2023, ha reforzado la protección de los usuarios. Su artículo 66.1.b) establece el derecho “a no recibir llamadas no deseadas con fines de comunicación comercial, salvo que exista consentimiento previo del propio usuario”. Aunque la norma contempla la posibilidad de amparar la comunicación en otra base de legitimación, como el interés legítimo, la propia AEPD ha matizado que su aplicación en llamadas a potenciales clientes es sumamente restrictiva y no prevalece, por norma general, sobre los derechos y libertades del individuo, máxime si este ha manifestado su oposición a través de un sistema como la Lista Robinson.
Conclusiones
En definitiva, esta resolución sancionadora confirma una línea de actuación consolidada por parte de la AEPD. El mensaje para las empresas es claro: la gestión del consentimiento no es un apéndice burocrático, sino un elemento que debe de considerarse desde la propia estrategia de negocio (privacidad desde el diseño). Es preciso implementar desde el diseño sistemas robustos que no solo recaben el consentimiento de acuerdo con las exigencias legales, sino que también permitan su registro, su gestión a lo largo del tiempo y, por supuesto, su prueba irrefutable ante un eventual requerimiento. Confiar en las garantías de un tercero o en las cláusulas contractuales sin disponer de la evidencia directa es una apuesta que, como demuestra la práctica, puede tener un coste reputacional y económico nada desdeñable.
SUBSTACK