Coronavirus COVID-19 Centro de Información
Filtrar ► Publicaciones y Colaboraciones

Giancarlo Baella y Marianna Vallvé: «Primer contacto publicitario: nuevas obligaciones y cargas para las empresas»

02/02/2022

Compartir en:

Autores

Por: Giancarlo Baella (Asociado Principal) y Marianna Vallvé (Asociada), especialistas en Derecho de la Competencia de Payet, Rey, Cauvi, Pérez Abogados

Con la finalidad de evitar las comunicaciones comerciales no deseadas, el INDECOPI creó originalmente el registro “Gracias…no insista”, sin embargo; este requería que fuese el mismo consumidor quién registre sus datos para evitar ser contactado (e.g. número telefónico). Así, en el 2018 se decidió cambiar dicha mecánica, estableciendo que, salvo que el proveedor cuente con el consentimiento previo del consumidor, no podría contactarlo para finalidades comerciales. Ahora, en tanto el número telefónico o el correo electrónico califican como datos personales, su tratamiento para fines publicitarios no constituye una materia reservada para INDECOPI. La Autoridad Nacional de Protección de Datos Personales (ANPDP) también puede intervenir si es que el titular del dato personal (i.e. consumidor) no brindó su consentimiento para ser contactado. Es más, fue la ANPDP quien a través de la Opinión Consultiva 146-2018 indicó que el “primer contacto” con el consumidor era un mecanismo válido para obtener su consentimiento para fines comerciales. Sin embargo; la reciente Opinión Consultiva 01-2022 va un paso más allá y crea nuevas obligaciones y cargas para las empresas.

En primer lugar, la ANPDP ha indicado que el primer contacto para solicitar el consentimiento para el tratamiento de datos personales con fines publicitarios puede ser utilizado sólo 1 vez por las empresas, independientemente del producto y/o servicio que ofrezcan, pues lo determinante es la “finalidad del tratamiento”. Es decir, si una empresa contara -por ejemplo- con 2 líneas de negocio, no podría realizar un primer contacto con fines publicitarios por cada una de estas.

En segundo lugar, la ANPDP ha establecido que el proveedor será responsable por el tratamiento de los datos personales que realicen los terceros contratados por este (incluyendo aquellos subcontratados por el tercero), implementando controles inmediatos y eficaces para evitar el contacto no deseado. Ello, bajo el entendido de que el proveedor debe ejercer control sobre el tratamiento que realiza el tercero, en tanto dicho tratamiento satisface su interés comercial. Dicha responsabilidad recae en el proveedor, incluso, cuando el banco de datos sea de titularidad del tercero. Por tanto, si un call center cuenta con un banco de datos registrado a su nombre y es contratado por un proveedor para ofrecer los productos y servicios de este, el proveedor será responsable del tratamiento de los datos personales realizado por el call center.

La nueva opinión de la ANPDP, además de crear cargas, genera preocupaciones válidas. Por ejemplo:

  • La ANPDP introduce un nuevo elemento (i.e. “satisfacción del interés comercial”) no previsto expresamente en la normativa de datos personales para determinar la responsabilidad en el tratamiento de estos.
  • Se requiere un nivel de inmediatez en las acciones de control para evitar hacer uso de los datos personales ante la negativa del consentimiento, pese a que la misma normativa regula los plazos aplicables para su atención.
  • ¿A qué nivel de control debe llegar el proveedor respecto del tercero para evitar una sanción? ¿brindar instrucciones, solicitar reportes, auditar los consentimientos y medidas de seguridad que el tercero declara tener? ¿cuál es el límite en su deber de diligencia?

Es importante que estas preocupaciones puedan resolverse en el corto plazo por la predictibilidad que requiere el mercado para operar y para evitar sanciones por parte de las autoridades competentes.