El pasado 29 de junio de 2023 entró en vigor la aplicación del artículo 66.1 de la Ley General de Telecomunicaciones (LGT), donde se establece la prohibición de que las entidades puedan realizar llamadas comerciales a personas particulares, con dos excepciones: que exista consentimiento previo de la propia persona usuaria y que la comunicación pueda ampararse en otra base de legitimación de las previstas en el artículo 6.1 RGPD.

En el primer caso, el Reglamento Europeo de Protección de Datos (RGPD) establece en su art. 4.11 que el consentimiento del interesado sería toda “manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

Por su parte, la Ley Orgánica 3/2018, de Protección de Datos Personales, en su artículo 6, reitera lo establecido en el Reglamento Europeo y aclara que, para cada tipo de tratamiento que se vaya a dar a los datos personales diferenciado del necesario para la normal ejecución de un contrato, es necesario un consentimiento expreso, específico e independiente. Además, establece que la posible contratación de un bien o servicio no puede quedar supeditada a la aceptación de cualquiera de estos tratamientos diferenciados. Es decir, las empresas no pueden recoger el consentimiento del interesado a través de unas Condiciones Generales de Contratación, ni obligar a aceptar un tratamiento de datos personales diferenciado del necesario para la ejecución del contrato para poder suscribirlo.

En el segundo caso, entre las situaciones previstas en el artículo 6.1 del Reglamento Europeo, se consideraría lícito el tratamiento de datos personales sin consentimiento previo cuando sea necesario para “la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales”.

Ni el reglamento ni la ley recogen en su articulado qué se entiende por un interés legítimo del responsable del tratamiento y cuándo este interés prevalece sobre los derechos de la ciudadanía, para considerar que el tratamiento sin consentimiento es lícito. El Reglamento, en su considerando 47, sí que indica que este interés legítimo podría ser los fines de mercadotecnia.

Debido a estas previsiones normativas tan genéricas, la Agencia Española de Protección de Datos (AEPD) emitió la Circular 1/2023 de 5 de diciembre, sobre la aplicación del artículo 66.1 de la LGT. Esta circular sigue poniendo el interés de las entidades por encima de los derechos de las personas usuarias.

En primer lugar, establece que la ponderación entre los intereses legítimos de una entidad y los derechos de la ciudadanía la realizará el propio responsable del tratamiento de datos, lo que es en sí mismo una desprotección para las personas usuarias, ya que la decisión sobre qué interés prevalece se deja en manos de aquella parte cuyo comportamiento se quiere evitar.

En segundo lugar, además del principio general anterior, la Circular recoge dos escenarios donde la AEPD, a priori, consideraría que existe un interés legítimo de la entidad que prevalecería sobre los derechos de las personas usuarias y, por tanto, un tratamiento lícito.

Por una parte, cuando existe una relación contractual, la AEPD presumirá que el tratamiento es lícito si se hubiesen recogido los datos de forma lícita. Esto solo sería de aplicación en los casos de comunicaciones comerciales realizadas por la propia entidad y de productos similares -no el realizado por otras entidades del mismo grupo empresarial, salvo consentimiento específico-.

Para los casos en que no hay relación contractual, la AEPD presumirá que existe una expectativa de interés del usuario y, por tanto, un interés legítimo de la entidad y un tratamiento lícito, si ha existido una solicitud o interacción previa por parte del interesado en el último año, lo que implicaría que si una persona llama a una entidad para solicitar información y esta recoge sus datos, estaría legitimada para realizar llamadas comerciales sin necesidad de consentimiento expreso de la persona usuaria.

Este marco normativo, que tenía por objetivo que las personas consumidoras no se vieran asediadas constantemente por llamadas comerciales de todo tipo de empresas a cualquier hora del día, lamentablemente no está funcionando, o no como debería. Las llamadas se siguen produciendo, incluso sin respetar la restricción horaria establecida en la Ley General de Defensa de las Personas Consumidoras, que establece en su artículo 96.2 que “en ningún caso, las llamadas telefónicas se efectuarán antes de las 9 horas ni más tarde de las 21 horas ni festivos o fines de semana”, y sin que las empresas consulten previamente los registros de exclusión publicitaria (Lista Robinson).

Además, cuando las personas afectadas manifiestan que no desean seguir recibiendo llamadas comerciales, las entidades no suele registrar esta petición y las llamadas no cesan.

Ante esta situación, se recomienda a las personas usuarias que soliciten por escrito el cese de las llamadas comerciales y, en caso de que estas continúen, reclamar ante la Agencia Española de Protección de Datos.

No obstante, acabar con estas prácticas no puede quedar únicamente en manos de las personas afectadas. Las autoridades competentes deben llevar a cabo una labor de inspección y, en su caso, ejercer su potestad sancionadora de forma disuasoria y modificar la normativa vigente, de manera que la publicidad comercial directa solo se pueda llevar a cabo partir del consentimiento expreso.