Hoy entraba, por fin, en vigor la ley que se considera que acabará con el 'spam telefónico'. Es decir, con todas esas llamadas no deseadas que recibíamos a todas horas (preferentemente, la de la siesta) por parte de operadores deseosos de vendernos una mejor tarifa de lo que fuera.
Sin embargo, la semana pasada se publicó una resolución de la Agencia Española de Protección de Datos (AEPD) que señala una posible 'vulnerabilidad' en esa protección que la nueva norma pretende otorgar a los consumidores españoles.
¿Qué caso plantea esta resolución?
La resolución —disponible aquí en PDF— es una notificación de que se ha procedido a archivar una denuncia contra Vodafone presentada por un particular el año pasado, tras haber recibido llamadas comerciales en las que el remitente se identificaba como representante de dicha empresa.
Las primeras investigaciones incluyeron preguntar a Vodafone, quien no reconoció ninguno de los números de teléfono como propios ni de sus asociados. La empresa declaró que no podía descartar que las llamadas fueran realizadas por terceros ajenos a Vodafone, suplantando su identidad corporativa.
Cuando la AEPD investigó el origen de las diez llamadas, detectó que se habían empleado números prepago y llamadas de voz sobre IP (VOIP) para ocultar la verdadera procedencia de las llamadas.
Para complicar aún más las cosas, algunas de las llamadas provenían de Perú, donde la AEPD no tiene jurisdicción, y otras provenían de una empresa venezolana, que no respondió a los requerimientos de la AEPD.
La nueva norma tiene un agujero
Nos pusimos en ese momento en contacto con Jeimy Poveda, experta en derecho de las TIC del Grupo Secuoya, que nos explicó que, incluso si hubiera sido Vodafone quien estaba detrás de esas llamadas, no se puede probar al 100%, y como es una compañía que suele llevar a los tribunales las resoluciones de la AEPD, ésta ha optado por archivarlo.
"Obviamente es extraño que las llamadas que relata el denunciante fueran ofertas de fibra óptica, y no de otra cosa. […] Pero, por otro lado, está la posibilidad de que efectivamente estuvieran usando el nombre de Vodafone para llevar a cabo una estafa telefónica".
En cualquier caso, lo relevante del caso es que la AEPD sólo ha podido contar con la declaración de una parte interesada en negar la relación y con la negativa a declarar por parte de otra, igualmente, interesada en no colaborar: no hay ninguna otra investigación que haya podido realizarse para establecer el titular real de los teléfonos ni la relación real entre las empresas.
¿Y con la entrada en vigor de la nueva ley que dicen que va a acabar con el spam telefónico a partir del día 29, cambiará algo en ese aspecto? ¿O esta resolución sería exactamente igual si se publicara dentro de unos meses?
"Desde mi punto de vista, si te soy 100% sincera, creo que sería exactamente igual".
Y si esta es una limitación habitual de la AEPD, el organismo responsable de supervisar el cumplimiento de la nueva norma anti-spam telefónico, nos hacemos una pregunta obvia: ¿a efectos prácticos, esto es un truco que se pueden apuntar las empresas españolas para seguir realizando spam? ¿Recurrir a empresas en el extranjero con las que no tienen ninguna relación oficial para que llamen en su nombre?
"Sería un fraude de ley", afirmaba Poveda, "pero, efectivamente, si hubiera quien lo hiciera así como estrategia, pues hasta que la Agencia no tenga otro tipo de medios" no podrá probar la relación entre las empresas españolas y las extranjeras que realizan la llamada.
El 'interés legítimo' NO es una trampa
Poveda nos explicaba, sin embargo, que otra supuesta 'trampa' que se está señalando en algunas noticias sobre la nueva norma en realidad no es tal: la existencia todavía de una figura denominada 'interés legítimo' que permite que nos llamen aún sin consentimiento previo. A su modo de ver, dicho interés legítimo está legislado de forma 'garantista'.
El Reglamento 2016/679 de la UE establece cuál es ese 'interés legítimo'.
"Por lo menos las llamadas en caliente" —es decir, las que te realizan por 'ser el titular de la línea', que suelen realizarse al azar, aunque no tengas relación con la empresa que te llama—, creo que sí se van a limitar".
"A partir de ahora, sólo te pueden llamar para hacer 'publicidad con nombre y apellidos' […] [En las llamadas en caliente] no están tratando datos y tampoco hay consentimiento de nadie para que hagamos esa llamada. […] pero en relación con las llamadas en que interviene el tratamiento de datos, lo cierto es que no hay mucha novedad".
"Es una pena que mucha gente trata el interés legítimo como 'la trampa' [de la ley]. Es muy garantista porque obliga [a la empresa que te llama] a hacer una ponderación de derechos y limita la publicidad que te pueden hacer sólo a productos y servicios relacionados con el que tú has contratado".
"Obviamente, lo más seguro es que haya quien no lo haga bien" y abuse del interés legítimo, nos explica. "También es cierto que, a veces, los usuarios no leen y que hay empresas que tampoco informan de manera clara de ese interés legítimo y esa posibilidad de oposición [al tratamiento de tus datos]".
La AEPD publicó ayer una circular con más detalles
Además de todo eso, ayer mismo, la AEPD publicó una circular —aquí en PDF— que establece los criterios con que el organismo actuará a la hora de proteger los datos personales de los usuarios en relación con esta nueva ley, lo que a efectos prácticos matiza y delimita el texto legal. Las principales conclusiones del documento son las siguientes:
Acerca de la posibilidad de realizar llamadas telefónicas con fines comerciales a "números telefónicos aleatorios", se plantea si esta práctica sigue siendo permitida bajo la nueva ley. La AEPD es clara en esto: aunque los sean números generados de forma aleatoria, pueden ser considerados datos personales y, por lo tanto, su tratamiento debe cumplir con las disposiciones legales de protección de datos.
En cuanto a las dudas sobre si las llamadas comerciales legítimas pueden incluir aquellas relativas a productos y servicios de otras empresas del mismo grupo empresarial que aquella con la que el consumidor tiene un contrato, la AEPD concluye que incluso en ese caso se requiere el consentimiento específico del interesado para ceder sus datos personales.
La AEPD afirma que ha recibido también consultas sobre la posibilidad de utilizar una "relación contractual" con el usuario como excusa para realizar las llamadas comerciales no consentidas. La AEPD concluye que la normativa tiene que ser interpretada de manera restrictiva, por lo que la respuesta es negativa: el uso de datos personales para realizar la llamada debería ser "necesario para cumplir el contrato con cada interesado".
La AEPD afirma que el tratamiento de datos con meros fines de publicidad o prospección comercial no pueden considerarse incluidos bajo los términos "ampliación" y "mejora" del servicio en el contexto de la relación contractual.
Por último, se destaca la importancia de informar en cada llamada sobre la posibilidad de revocar el consentimiento o ejercer el derecho de oposición a recibir llamadas comerciales no deseadas. Además, cualquier manifestación inequívoca del usuario en contra de recibir dichas llamadas se considerará como revocación del consentimiento o ejercicio del derecho de oposición.
Imagen | Mohamed Hassan
Ver 1 comentarios