¿En cuantas ocasiones nos llegan mails con publicidad a nuestro correo electrónico? Seguramente, muchas más de las que nos gustarían. Gracias al artículo 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, en adelante LSSI, dejar de recibir dichas comunicaciones comerciales tiene fácil solución:
“1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.
A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.”
Como vemos, el articulo 22 de la LSSI ofrece a los destinatarios la revocación del consentimiento para recibir comunicaciones comerciales en cualquier momento. Sin embargo, ¿Qué sucede si el prestador de servicios hace caso omiso a tal solicitud? En el supuesto que hoy vamos a analizar, la Agencia Española de Protección de Datos, en el procedimiento nº PS/00078/2022, sanciona a una clínica dental por este motivo.
Comenzamos relatando los hechos que dan lugar a dicha sanción. En primer lugar, la parte reclamante es una antigua paciente de la clínica reclamada quien, en junio de 2018, solicita a la clínica darse de baja de sus sistemas, que no la vuelvan a enviar mensajes publicitarios y la cancelación del servicio que la prestaban. Así, la reclamante indica que, tras haberles solicitado dicha baja, la clínica continuaba enviándole mensajes publicitarios, los cuales adjunta a la reclamación. Se trata de más de siete comunicaciones comerciales que van en el tiempo desde la fecha inicial de petición de eliminación de sus datos personales de los sistemas de la clínica y no recepción de mas correos de dicha índole hasta diciembre de 2021, es decir, más de dos años de comunicaciones sin consentimiento provenientes de la clínica. Por este motivo, la parte reclamante decide interponer una reclamación ante la Agencia.
En segundo lugar, ya en los fundamentos de derecho, nuestra autoridad de control nos habla sobre la posible infracción en la gestión de la solicitud de cancelación de los datos personales de los sistemas de la clínica hecha por la reclamante. Comienza haciendo referencia a los siguientes artículos del Reglamento General de Protección de Datos:
- Artículo 12.2 RGPD:
“2. El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 15 a 22 (…)”
Ya que hace referencia a los derechos que asisten a los interesados sobre sus datos personales.
- Articulo 17 RGPD o derecho de supresión:
“1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:
- los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo.
- el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;
- el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;
- los datos personales hayan sido tratados ilícitamente;
- los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;
- los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1”
Por lo expuesto, la Agencia considera que, de conformidad con las evidencias de las que se dispone, los hechos expuestos podrían suponer la vulneración del articulo 17 en relación con el articulo 12 del RGPD, al constatarse que la entidad no actuó diligentemente, al no eliminar los datos personales de la reclamante de sus sistemas cuando fue además reiterado por la misma en varias ocasiones.
Asimismo, añade que el artículo 72.1.k) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, considera muy grave “el impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento”.
En la resolución también se dispone que dicha infracción puede ser sancionada según lo establecido en el artículo 83.5.b) del RGPD.
Para determinar el importe de la sanción a imponer y de conformidad con los preceptos indicados, la Agencia considera que procede graduar la sanción con los criterios agravantes que establece el artículo 83.2 del RGPD:
a) La duración de la infracción, ya que se ha constatado que, desde que la reclamante solicitara por primera vez la baja en los sistemas de la clínica, en junio de 2018, sus datos personales han seguido siendo tratados ilícitamente por la clínica más de dos años después, en diciembre de 2021.
b) La negligencia verificada por parte de la clínica, al constatar su falta de diligencia en el cumplimiento de sus obligaciones con respecto a la gestión de los datos personales los pacientes, pues la reclamante solicitó hasta en tres ocasiones que fueran borrados sus datos personales de los sistemas de la clínica, haciendo caso omiso a estas solicitudes.
Asimismo, aparte de lo expuesto, la Agencia Española de Protección de datos también hace expresa alusión a lo dispuesto en el artículo 58.2. del RGPD, donde se establecen los poderes correctivos que cada autoridad de control puede requerir al infractor, disponiendo su apartado c): “(…) ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento;”
De este modo, y según el balance final que la AEPD lleva a cabo de las estipulaciones mencionadas, las sanciones a imponer respecto de la no atención a la solicitud del derecho de supresión son las siguientes:
– Ordenar al responsable del tratamiento que atiendan la solicitud de cancelación de los datos personales de la reclamante, según establece el artículo 17 del RGPD.
– Sanción inicial pecuniaria de 5.000 euros.
Una vez resuelta la vulneración del artículo 17 del RGPD o derecho de supresión, debemos centrarnos en la posible infracción en el envío de mensajes publicitarios sin consentimiento de la interesada. En este caso, debemos mencionar el articulo 21 de la LSSI:
“1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de estas.
2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.”
De conformidad con el articulo expuesto y con las evidencias de las que se dispone, la Agencia considera que los hechos expuestos podrían suponer la vulneración del artículo 21 de la LSSI, por parte de la entidad reclamada, al haber enviado hasta 7 mensajes publicitarios sin el consentimiento expreso de la reclamante.
La citada infracción se encuentra tipificada como leve en el art. 38.4.d) de dicha norma, que califica como tal: “El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21 y no constituya infracción grave”.
En la resolución también se hace referencia al artículo 40.b) de la LSSI mediante el cual se gradúa la cuantía de las sanciones, en este caso, teniendo en cuenta el plazo de tiempo durante el que se haya venido cometiendo la infracción. De este modo, se estima adecuado imponer al reclamado una sanción inicial de 2.000 euros por la infracción del articulo 21 LSSI.
La suma de ambas sanciones: infracción artículo 17 RGPD (5.000 euros) + infracción articulo 21 LSSI (2.000 euros) hace un total de 7.000 euros. No obstante, la entidad reclamada procede al pago de la sanción haciendo uso de las reducciones que le aplican por pago voluntario, por lo que el montante final de las sanciones quedó en 4.200 euros.
Este tipo de resoluciones se deben interpretar de manera constructiva y didáctica ya que la misión de la Agencia es proteger los derechos de los ciudadanos ante sus posibles vulneraciones y este caso que acabamos de analizar es uno de los más recurrentes, y que, como hemos expuesto, le puede salir caro a quién lo envía como es el caso, de la clínica que hoy analizamos. Si quieres saber más acerca de envíos publicitarios y sus posibles consecuencias pincha aquí y aquí.
