Las tarjetas de visita y el RGPD

O de cómo el RGPD no se carga las tarjetas comerciales.

Pregunta recurrente: ¿ya no podremos entregar tarjetas de visita comerciales en las ferias o en los eventos profesionales? ¿Tendré que pedir un consentimiento con check-in o firmado para enviar información? ¿Qué haremos ahora?

La respuesta ha de ser rápida y sencilla: más o menos lo mismo.

Es decir, no es el fin de las tarjetas. Y la respuesta nos la da, entre otros, el artículo 19 del proyecto (en breve texto aprobado) de la nueva Ley Orgánica de Protección de Datos (y a lo mejor también de Derechos Digitales como título). También la Directiva de comercio electrónico que dio base a nuestra Ley 34/2002 de Servicios de la Sociedad de la Información y de comercio electrónico (la famosa LSSI).

Pero antes de entrar en materia pongamos sobre la mesa algo que si bien aparece en el Reglamento General de Protección de Datos (y por cierto, también en la normativa anterior) tenemos que explicar casi a diario. El consentimiento no es la única base jurídica que legitima un tratamiento de datos…

¿Qué significa esto?

Que a menudo tratamos datos y no es necesario pedir consentimiento: por ejemplo, para suscribir un contrato, por ejemplo, para poner una cámara de seguridad o por ejemplo, sin ir más lejos porque hay una ley que lo dice y son “lentejas”. Todos estos casos y algunos otros más están recogidos en el artículo 6 del RGPD, un artículo importante y que merece ser leído y releído por quienes se preguntan cosas como la que da título a este post.

Es decir, que si vamos a hacer un tratamiento de datos tenemos que tener claro por qué lo hacemos. Y ese por qué es la base jurídica que legitima el tratamiento. (El “porque me da la gana” no está definido como base, que conste).

¿Qué pasa con las personas de contacto de las personas jurídicas (p.e. El Director de tal empresa, su comercial o el administrativo a quien le tenemos que enviar las facturas….? ¿Tenemos que pedirle el consentimiento para contactar con ellos? La respuesta es no. Porque la base jurídica de esta relación no será el consentimiento sino el interés legítimo, ese agujero negro que casi nadie se atreve a traspasar pero que existe y no de ahora.

En una redacción inicial del proyecto de nueva Ley Orgánica de Protección de Datos apareció el artículo para regocijo de los profesionales que agradecemos claridad en este tipo de cuestiones. Posteriormente desapareció y en las últimas redacciones ha vuelto a aparecer.

Transcribimos a continuación para no dejarnos nada:

Artículo 19. Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales.

1. Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el artículo 6.1 f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:
a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

2. La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales, cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
3 (nuevo). Los responsables o encargados del tratamiento a los que se refiere el artículo 77.1 de esta ley orgánica podrán también tratar los datos mencionados en los dos apartados anteriores cuando ello se derive de una obligación legal o sea necesario para el ejercicio de sus competencias.

Como el interés legítimo (artículo 6.1.f) del RGPD) no es una base de legitimación absoluta (no en vano ya existía la prueba de sopesamiento), se somete, en este caso, a dos requisitos:

  • que el tratamiento se ciña a los datos necesarios para la localización (p.e. Email, teléfono, dirección) y
  • que la finalidad sea la de mantener relaciones de cualquier índole con la persona jurídica.

Es decir, que si como abogado me quiero dirigir al Director de una empresa para ofrecerle mis servicios y tengo su teléfono o su email no le pediré consentimiento sino que basaré el tratamiento en mi interés legitimo como responsable de dicho tratamiento.

Lo que no podré hacer es “machacarle” directamente a publicidad o a newsletter porque, aquí sí, entra en juego no tanto la legislación sobre protección de datos sino la famosa Ley de Comercio Electrónico (LSSI y próximamente el Reglamento e-privacy actualmente en el horno) que dice que no puedo enviar información comercial a quien no haya consentido salvo que exista una relación previa (p.e. Que sea un cliente).

Pero hablamos de publicidad, no de enviar un email de presentación, o una invitación a un evento o unas tarifas… A ver si vamos a ser más papistas que el papa. No está de más recordar aquí que la Directiva de comercio electrónico ya decía que No se consideran comunicaciones comerciales en sí mismas las siguientes:

a)  los datos que permiten acceder directamente a la actividad de dicha empresa, organización o persona y, concretamente el nombre de dominio o la dirección de correo electrónico,
b) las comunicaciones relativas a los bienes, servicios o a la imagen de dicha empresa, organización o persona, elaboradas de forma independiente de ella, en particular cuando estos se realizan sin contrapartida económica.

Hemos abordado el interés legítimo… pero acaso no es un consentimiento explícito entregar una tarjeta a una empresa, comercial o interlocutor que nos interesa? ¿No entra dentro de la definición de consentimiento como una “manifestación de voluntad libre, específica, informada e inequívoca” mediante una “clara acción afirmativa. ¿Podemos considerar vigente la Sentencia de la Audiencia Nacional de 17 de mayo de 2007 que afirmó: “Es de reseñar, frente a lo señalado en la resolución recurrida, que la entrega por una persona de una tarjeta de visita en la que consta su dirección de correo electrónico, en un contexto como es la feria del SIMO, a la que para promocionar su producto acudió el denunciado, con el que contactó la persona en cuestión por estar interesada en el mismo, impide que se pueda tener por acreditado a efectos sancionadores la falta del consentimiento. Además, con posterioridad se ha constatado la remisión de un email aludiendo a la conversación mantenida en dicha feria, lo que abona la conclusión de que, en el caso concreto atendiendo a las circunstancias existentes, existe un consentimiento previo o autorización expresa, que no es necesario que figure por escrito, para la remisión de una comunicación comercial relacionada con el producto promocionado en la citada feria.”?

Moraleja: sigamos utilizando tarjetas (ya en creciente desuso para dar paso a los contactos “electrónicos”), sigamos agradeciendo la visita al stand de la feria, sigamos contactando con las empresas y los profesionales pero… eso sí:

  • No pedir el consentimiento no significa que no informemos de lo que dispone el artículo 13 del RGPD. ¿Cuándo? Pues en ese primer email de cortesía por ejemplo. Algunos ya han colocado “atriles” con la cláusula de información a la vista en los propios stands… Es una idea..
  • Si queremos enviar información comercial de forma regular y en lo sucesivo, mejor pedir permiso pues el interés legítimo se nos quedaría un poquito corto en este caso aunque quién sabe…
  • El resto de las obligaciones del RGPD deberán cumplirse religiosamente.

El RGPD y la ahora nueva LOPD no han venido a fastidiar, han venido a dotar de garantías y de seguridad jurídica a las relaciones y a los tratamientos de datos.

Estamos ante un derecho fundamental que merece respeto y protección. Hacer interpretaciones sesgadas de la norma no beneficia a nadie. Seamos transparentes en los tratamientos y sigamos trabajando, vendiendo y entregando tarjetas, eso sí, cumpliendo la ley.

Paz Martin
#losdetallesimportan

Noviembre 2018