PROTOCOLO EN MATERIA DE PROTECCIÓN DE DATOS PARA LA REALIZACIÓN DE ACCIONES DE MARKETING DIRECTO.

Transcripción

1 P á g i n a 1 PROTOCOLO EN MATERIA DE PROTECCIÓN DE DATOS PARA LA REALIZACIÓN DE ACCIONES DE MARKETING DIRECTO.

2 P á g i n a 2 INDICE. 1.- INTRODUCCIÓN MARCO NORMATIVO CONSIDERACIONES PREVIAS GLOSARIO DE TÉRMINOS BÁSICOS NOCIONES BÁSICAS PREVIAS SISTEMAS DE REGULACIÓN DE LAS COMUNICACIONES COMERCIALES VISIÓN GENERAL PREVIA EL SISTEMA ESPAÑOL. INTRODUCCIÓN DESARROLLO PRINCIPIOS COMUNES PARA LA REALIZACIÓN DE CAMPAÑAS PUBLICITARIAS El consentimiento del afectado El deber de información La utilización de las cookies o chivatos EXAMEN DE LOS DISTINTOS MEDIOS DE COMUNICACIÓN COMUNICACIONES COMERCIALES POR VÍA ELECTRÓNICA COMUNICACIONES COMERCIALES POR MEDIOS TRADICIONALES PREGUNTAS FRECUENTES Qué datos puedo utilizar para realizar una campaña de marketing offline? Qué datos puedo utilizar para realizar una campaña de marketing Online? Puedo contratar en un tercero la realización de mi campaña de marketing? RÉGIMEN SANCIONADOR INFRACCIONES INFRACCIONES LEVES INFRACCIONES GRAVES: INFRACCIONES MUY GRAVES SANCIONES (ART. 45 LOPD) RÉGIMEN SANCIONADOR DE LA LSSI INFRACCIONES SANCIONES RESOLUCIONES SANCIONADORAS PROTOCOLO VERIFICACIÓN EN EL CASO DE PUBLICIDAD POR CORREO POSTAL 23 ANEXOS. 25 Modelo 1: Cláusula TIPO en la que se recaba el consentimiento para realizar publicidad. 25

3 P á g i n a 3 Modelo 2: Modelo de circular para recabar el consentimiento para futuros envíos. 25 Modelo 3: Modelo de cláusula para envíos de publicidad utilizando datos recabados de fuentes accesibles al público. 27 Modelo 4: Modelo de cláusula para envíos de publicidad sin utilizar datos personales pero en los que se prevea tratarlos posteriormente. 27

4 P á g i n a INTRODUCCIÓN. El presente protocolo tiene por objeto definir las cautelas que deben adoptarse en la realización de acciones de marketing directo entendido como un sistema interactivo que utiliza uno o más medios publicitarios para obtener una respuesta cuantificable y/o una transacción en un determinado lugar. Para poder emprender una acción comercial efectiva, las empresas necesitan una buena base de datos sobre la que trabajar para segmentar su target. Llegar a confeccionar una buena base de datos plantea grandes problemas legales. Desde el momento inicial hasta la materialización de la venta de un determinado producto o servicio se llevarán a cabo determinadas acciones que pueden poner en peligro la continuidad de la campaña o incluso de la empresa. Recordemos que las sanciones de la Agencia Española de Protección de Datos por infracción de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), pueden llegar a los euros. Las sanciones en esta materia por infracción de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (en adelante, LSSI-CE) pueden alcanzar cifras de hasta euros. 2.- MARCO NORMATIVO. Con carácter general, y para la realización de una campaña de publicidad resulta de aplicación la siguiente normativa: Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el Texto Refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias. Ley 34/1988, de 11 de noviembre, General de Publicidad. Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y Comercio Electrónico. Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, en particular la Disposición adicional primera que modifica la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico. Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante RDLOPD). Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en

5 P á g i n a 5 materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista. Esta relación no es cerrada y tan sólo pretende hacer referencia a la principal normativa de aplicación en esta materia. 3.- CONSIDERACIONES PREVIAS GLOSARIO DE TÉRMINOS BÁSICOS. A continuación se relacionan una serie de términos básicos, explicando de forma sucinta su significado. DATOS DE CARÁCTER PERSONAL: Cualquier información concerniente a personas físicas identificadas o identificables. Es decir, cualquier dato que podamos relacionar con personas físicas. En el ámbito de las empresas esas personas serán normalmente potenciales clientes, clientes, proveedores, trabajadores de la empresa, terceros o personas de contacto. En algunos ámbitos concretos de actividad puede que los datos se refieran a otras personas como pacientes, asociados... o por ejemplo en el ámbito público dichos afectados son los ciudadanos, contribuyentes etc., además de algunos afectados comunes al ámbito privado: por ejemplo los empleados, proveedores, contactos, etc. Téngase en cuenta que no sólo se refiere a personas identificadas (cuando tengamos su nombre) sino también cuando esas personas sean razonablemente identificables, como por ejemplo, un número de colegiado, DNI, IP, correo electrónico etc. AFECTADO O INTERESADO: Persona física titular de los datos. Es la persona cuyos datos se tratan, es decir: el cliente, paciente, ciudadano, empleado, proveedor, contacto, etc. TRATAMIENTO DE DATOS: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Téngase en cuenta que a tenor de la definición de tratamiento que da la Ley y su Reglamento de Desarrollo, cualquier operación que se haga con ellos (grabarlos, modificarlos, conservarlos, enviarlos, etc.,) constituirá tratamiento. FICHERO: Conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Es decir, cualquier dato que tengamos sobre personas físicas en cualquier tipo de soporte, tanto papel como a nivel informático. El concepto de fichero no se corresponde necesariamente con una base de datos, sino que siempre que exista un conjunto de datos que estén organizados mediante algún criterio, nos encontraremos ante la existencia de un fichero. Obviamente una aplicación informática de nóminas constituye un ejemplo de fichero, pero también lo puede constituir una tabla de datos en Word, sin olvidar que también es aplicable este concepto a los datos que estén organizados en soportes no automatizados, como pueda ser por ejemplo un archivador A-Z. RESPONSABLE DEL FICHERO O TRATAMIENTO: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. El responsable del fichero normalmente coincidirá con la organización: la empresa, asociación, institución, empresario individual, profesional, etc... y es a quien se le imponen la mayoría de las obligaciones en protección de datos siendo, por tanto, normalmente el responsable de las sanciones que - en su caso - se impongan. Ello sin perjuicio de que el responsable del fichero pueda nombrar una persona física que le represente. ENCARGADO DEL TRATAMIENTO: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. El Encargado del Tratamiento es un tercero (normalmente una empresa pero no necesariamente) que le presta un

6 P á g i n a 6 servicio al responsable del fichero y que para ello requiere acceder a datos del responsable. Ejemplos típicos de encargados lo son la asesoría laboral, contable o fiscal (que acceden a los datos de empleados, clientes o proveedores de su cliente para asesorarle), empresas de mantenimiento de hardware o software, etc... El servicio que presta el encargado no tiene porqué ser remunerado. La relación entre el responsable y el encargado se debe regular mediante un contrato cuyo contenido establece el artículo 12 de la LOPD. USUARIOS: Sujeto o proceso autorizado a acceder a datos o recursos. Normalmente un usuario será una persona que accede a datos de la organización. El usuario podrá tener diferentes perfiles de acceso y ser un usuario interno o externo (un usuario de otra organización que accede a nuestro sistema para prestar un servicio, por ejemplo mantenimiento informático). RESPONSABLE DE SEGURIDAD: El responsable del fichero designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero. El responsable de seguridad puede ser uno o varios y son los encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al Responsable del Fichero o Tratamiento, que es a quien en primera instancia se le pueden imponer en su caso las sanciones que contempla la Ley. Ello sin perjuicio de que el responsable de seguridad, si no cumple con sus obligaciones pueda tener responsabilidad laboral o disciplinaria. CONSENTIMIENTO: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. Téngase en cuenta que el consentimiento es el eje vertebral de la protección de datos y ello exige que como regla general no se puedan tratar datos de nadie sin se consentimiento, sin perjuicio de que en ocasiones esta obligación está exenta. Por ejemplo: cuando los datos se traten en el marco de la relación negocial, laboral o administrativa, cuando exista una Ley que disponga lo contrario, etc. COMUNICACIÓN DE DATOS: Toda revelación de datos realizada a una persona distinta del interesado. La cesión de datos debe estar, salvo excepciones, necesariamente consentida por el interesado. Por ello, es importante no comunicar datos de carácter personal a otras personas físicas o jurídicas, salvo que se disponga del consentimiento de dicha persona o se esté ante alguna de las excepciones previstas por la Ley NOCIONES BÁSICAS PREVIAS. Habida cuenta de las definiciones establecidas en la Ley 34/1988, de 11 de noviembre, general de publicidad entenderemos que la publicidad es toda forma de comunicación realizada por una persona física o jurídica, pública o privada, en el ejercicio de una actividad comercial, artesanal o profesional, con el fin de promover de forma directa o indirecta la contratación de muebles o inmuebles, servicios, derechos y obligaciones. Asimismo en el anexo de la LSSI se define las comunicaciones comerciales como toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional. La realización de publicidad mediante la remisión de comunicaciones comerciales puede realizarse: Bien dirigiéndose directamente a una persona física concreta.

7 P á g i n a 7 Dirigiéndose a alguien genérico (a la atención del propietario, del Director, del gerente, etc.), pero sin referencia a una persona concreta. Mientras no se traten datos de carácter personal, no será de aplicación la legislación sobre protección de datos, pero es posible que a un envío de publicidad realizado a direcciones genéricas, (por ejemplo, al propietario de la vivienda X, sin especificar su nombre), le suceda que dicha persona contesta (por ejemplo llama por teléfono) y proporciona datos personales en dicha contestación. Es decir: aunque inicialmente no se traten datos personales, posteriormente si que se puedan tratar en el desarrollo de la campaña o acción comercial. Por tanto, téngase en cuenta que la legislación sobre protección de datos es aplicable siempre que se traten datos personales, bien en el momento inicial o en momento posterior del proceso comercial. También hay que tener en cuenta que la legislación de protección de datos se aplica (a diferencia de la LORTAD) a cualquier tratamiento de datos, sea automatizado o no, pero siempre que dichos datos estén contenidos o destinados a ser incluidos en un fichero. Cuando nos encontramos ante datos que se tratan de manera automatizada es difícil concluir que los datos no estén contenidos en un fichero, pero es posible encontrarnos ante el uso de datos que estén ubicados en tratamientos no automatizados y que no les sea de aplicación la legislación sobre protección de datos. Pensemos en un ejemplo: alguien remite envíos publicitarios a destinatarios nominales pero que, por ejemplo, los ha puesto a mano en el sobre y no ha creado ningún documento ni base de datos automatizada o no automatizada en la que se relacionan los destinatarios para hacer un seguimiento. Existen numerosos casos en los que la AEPD ha archivado procedimientos sancionadores por este motivo. Expediente Nº: E/00058/2007. Resolución de Archivo de Actuaciones: Pues bien, para que una actuación manual sobre datos personales (recogida, grabación, conservación, elaboración, modificación, bloqueo...) tenga la consideración de "tratamiento de datos personales" sujeto al sistema de protección de la Ley Orgánica 15/1999, es necesario que dichos datos estén contenidos o destinados a ser incluidos en un fichero, esto es, en un conjunto estructurado u organizado de datos con arreglo a criterios determinados. Si no es así, el tratamiento manual de datos personales quedará fuera del ámbito de aplicación de la ley, no será un tratamiento de datos personales" según el concepto normativo que la ley proporciona. En realidad la existencia del "fichero" en el sentido legal es siempre precisa para que tratamiento de datos personales esté sujeto al sistema de protección de la ley. En los casos de tratamiento automatizado de datos, -siempre sometidos a la ley- es difícil imaginar la inexistencia de un fichero (aunque no se exija expresamente) puesto que los datos que se tratan mediante sistemas automatizados lo son siempre bajo unos criterios de estructura u organización previa. (El subrayado es de la Agencia Española de Protección de Datos). Conforme a la citada doctrina de la Audiencia Nacional, no hay tratamiento de datos de carácter personal y, por consiguiente, no se puede exigir el cumplimiento de obligaciones y derechos previstos en la Ley

8 P á g i n a 8 Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), si no existe un fichero. Por tanto, en el presente caso, la inexistencia de tal fichero impide que pueda exigirse el cumplimiento de preceptos de la LOPD, por lo que procede el archivo de las presentes actuaciones previas. Como consecuencia de lo señalado, Por el Director de la Agencia Española de Protección de Datos se ACUERDA: PRIMERO: ARCHIVAR las actuaciones previas de investigación efectuadas como consecuencia de la denuncia presentada por Don F.C.C. Es decir: cuando estemos ante datos tratados automatizadamente casi siempre estaremos ante la aplicación de la legislación sobre protección de datos; en el caso de ficheros no automatizados es posible que no, pero no hay que confiar en la no aplicabilidad en estos casos. Hay que tener en cuenta también los supuestos recogidos por el artículo 2 del RDLOPD, que constituyen excepciones al ámbito de aplicación de la legislación de protección de datos: 2.- Este Reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales. 3.- Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal. Ello quiere decir que, en principio, la legislación de protección de datos no se aplica a estos supuestos y es posible el envío de comunicaciones comerciales utilizando dichos datos. Ahora bien, hay que distinguir: A los envíos comerciales realizados a una persona jurídica como tal que sea destinataria no le son de aplicación la legislación sobre protección de datos. Tampoco a los envíos de publicidad que se realicen destinados a personas jurídicas pero dirigiéndose la publicidad para su recepción en realidad, a las personas físicas de contacto, pero no yendo dirigida la publicidad a dichas personas físicas. Tampoco a los envíos dirigidos a empresarios individuales, excepto cuando se trate de profesionales, en cuyo caso sí que es de aplicación la legislación sobre protección de datos. Para más detalle se puede ver el informe de la AEPD denominado Ámbito de aplicación de la legislación de protección de datos. Aplicación a empresarios individuales y personas de contacto (artículos 2.2 y 2.3 del RDLOPD) y accesible a través de la zona de Informes Jurídicos de la página Web de la Agencia Española de Protección de Datos. En el mismo se abordan ambos aspectos indicando:

9 P á g i n a En relación con los datos de empresarios individuales: A la vista de lo que se ha venido indicando cabe considerar que los datos referidos a los empresarios individuales y que aparecen exclusivamente ligados a su actividad comercial o mercantil, o que identifican, aún con su nombre y apellidos un determinado establecimiento o la marca de un determinado producto o servicio, como consecuencia de la existencia de una libre decisión empresarial adoptada en este sentido, no se encuentran sometidos a la protección conferida por la Ley Orgánica 15/1999. Este es el criterio recogido por el artículo 2.3 del Reglamento de desarrollo de la Ley Orgánica 15/1999. Al propio tiempo, el tratamiento ha de llevarse a cabo en el ámbito empresarial. Quiere ello decir que a los efectos del tratamiento de los datos, la finalidad perseguida por quien trata el dato es la de recabar y mantener información sobre la empresa y no sobre el comerciante que la ha constituido. Así, el tratamiento de los datos del empresario individual, con las limitaciones que se han venido señalando, para mantener una relación comercial con el mismo, podría encontrarse amparado por el artículo 2.3 del Reglamento, en conexión con las normas de la Ley Orgánica 15/1999 que se han venido indicando. Sin embargo, no podrá considerarse amparado por el precepto, y en consecuencia excluido de la aplicación de la Ley Orgánica 15/1999, el tratamiento de los datos del comerciante llevado a cabo no con la finalidad de mantener una relación empresarial con el establecimiento u organización que el mismo hubiera creado, sino para conocer la información del propio sujeto organizado en forma de empresa, siendo el destinatario del tratamiento no la empresa sino el propio empresario en tanto, por ejemplo, que consumidor individual. En consecuencia, de lo que ha venido indicándose cabrá extraer dos conclusiones determinantes del alcance de lo dispuesto en el artículo 2.3 del Reglamento: - Cabrá considerar que la legislación de protección de datos no es aplicable en los supuestos en los que los datos del comerciante sometidos a tratamiento hacen referencia únicamente al mismo en su condición de comerciante, industrial o naviero; es decir, a su actividad empresarial. - Al propio tiempo, el uso de los datos deberá quedar limitado a las actividades empresariales; es decir, el sujeto respecto del que pretende llevarse a cabo el tratamiento es la empresa constituida por el comerciante industrial o naviero y no el empresario mismo que la hubiese constituido. Si la utilización de dichos datos se produjera en relación con un ámbito distinto quedaría plenamente sometida a las disposiciones de la Ley Orgánica. 2.- Personas de contacto: La Agencia ha venido señalando que en los supuestos en que el tratamiento el dato de la persona de contacto es meramente accidental en relación con la finalidad del tratamiento, referida realmente a las personas jurídicas en las que el sujeto presta sus servicios, no resulta de aplicación lo dispuesto en la Ley Orgánica 15/1999, viniendo el Reglamento a plasmar este principio. No obstante, nuevamente, es necesario que el tratamiento del dato de la persona de contacto sea accesorio en relación con la finalidad perseguida. Ello se materializará mediante el cumplimiento de dos requisitos: El primero, que aparece expresamente recogido en el Reglamento será el de que los datos tratados se limiten efectivamente a los meramente necesarios para identificar al sujeto en la persona jurídica a la que presta sus servicios. Por este motivo, el Reglamento impone que el tratamiento se limite a los datos de nombre y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax profesionales. De este modo, cualquier tratamiento que contenga datos adicionales a los citados se encontrará plenamente sometido a la Ley Orgánica 15/1999, por exceder de lo meramente imprescindible para identificar al sujeto en cuanto contacto de quien realiza el tratamiento con otra empresa o persona jurídica. Por ello, no se encontrarían excluidos de la Ley los ficheros en los que, por ejemplo, se incluyera el dato del documento nacional de identidad del sujeto, al no ser el mismo necesario para e mantenimiento del contacto empresarial. Igualmente, y por razones obvias, nunca podrá considerarse que se encuentran excluidos de la

10 P á g i n a 10 Ley Orgánica los ficheros del empresario respecto de su propio personal, en que la finalidad no será el mero contacto, sino el ejercicio de las potestades de organización y dirección que a aquél atribuyen las leyes. El segundo de los límites se encuentra, como en el supuesto contemplado en el artículo 2.3, en la finalidad que justifica el tratamiento. Como se ha venido indicando reiteradamente, la inclusión de los datos de la persona de contacto debe ser meramente accidental o incidental respecto de la verdadera finalidad perseguida por el tratamiento, que ha de residenciarse no en el sujeto, sino en la entidad en la que el mismo desarrolla su actividad o a la que aquél representa en sus relaciones con quienes tratan los datos. De este modo, la finalidad del tratamiento debe perseguir una relación directa entre quienes traten el dato y la entidad y no entre aquéllos y quien ostente una determinada posición en la empresa. De este modo, el uso del dato debería dirigirse a la persona jurídica, siendo el dato del sujeto únicamente el medio para lograr esa finalidad. Así sucedería en caso de que el tratamiento responda a relaciones business to business, de modo que las comunicaciones dirigidas a la empresa, simplemente, incorporen el nombre de la persona como medio de representar gráficamente el destinatario de la misma. Por el contrario, sin la relación fuera business to consumer, siendo relevante el sujeto cuyo dato ha sido tratado no sólo en cuanto a la posición ocupada sino como destinatario real de la comunicación, el tratamiento se encontraría plenamente sometido a la Ley Orgánica 15/1999, no siendo de aplicación lo dispuesto en el artículo 2.2 del Reglamento. Es MUY IMPORTANTE tener en cuenta que, a diferencia del sistema de comunicaciones por vía postal, en cuyo caso hemos visto que existen excepciones a la aplicación de la LOPD, el régimen de regulación de las comunicaciones comerciales por vía electrónica es diferente, (como después se verá al profundizar en las mismos), y una de las principales diferencias es que así como la regulación sobre protección de datos permitiría el envío por correo postal de comunicaciones comerciales a empresarios individuales y a personas de contacto (con los límites indicados), en el caso de la regulación de las comunicaciones comerciales por correo electrónico lo que se prohíbe es el envío en sí mismo (excepto en los casos habilitados en la misma y que se indicarán), con independencia de que las mismas se remitan a una dirección de una persona física concreta o a una dirección genérica (por ejemplo info@dominio.com) SISTEMAS DE REGULACIÓN DE LAS COMUNICACIONES COMERCIALES VISIÓN GENERAL PREVIA. A nivel teórico existen dos sistemas de regulación de las comunicaciones comerciales por vía electrónica: El sistema denominado "opt in" o Sistema de inclusión : para el envío de comunicaciones comerciales será necesaria la previa aceptación de los destinatarios. La autorización debe concederse explícitamente y el emisor de la comunicación puede obtenerla por cualquier medio. Desde la primera comunicación se deberá contar con el consentimiento. El sistema "opt out o Sistema de exclusión : en este sistema el destinatario puede rechazar la correspondencia futura pero la primera de las comunicaciones será aceptada. Mientras no se manifieste la oposición al envío de las comunicaciones la situación permanecerá así. En este sistema debe facilitarse un medio sencillo para poder manifestar el rechazo de correspondencia en el futuro. A efectos de quedar excluido ab initio de las listas de destinatarios es posible crear listas de exclusión (llamadas listas Robinson, listas do-not- o simplemente

11 P á g i n a 11 listas opt-out) Estas listas deben ser consultadas periódicamente por los remitentes de publicidad a fin de evitar posibles denuncias por parte de los destinatarios EL SISTEMA ESPAÑOL. INTRODUCCIÓN. El legislador español ha mantenido sistemas diferentes para la regulación de las comunicaciones comerciales, atendiendo a si estas lo han sido de forma offline u online: COMUNICACIONES COMERCIALES OFF LINE (POR CORREO POSTAL). A estas comunicaciones se les aplica la LOPD y ha sido válido el consentimiento tácito para las mismas (excepto cuando se tratan datos sensibles, en cuyo caso se aplica el régimen reforzado de consentimiento expreso o expreso y escrito, según el caso, vid. art. 7 LOPD), y por tanto el sistema opt out ha sido admitido, si bien el mismo se ha ido endureciendo, como después se verá COMUNICACIONES COMERCIALES ON LINE. Debido a los mayores riesgos o facilidades para atentar contra la persona que prestan las nuevas tecnologías, la regulación inicial de la LSSI impuso la exigencia del consentimiento expreso en todo caso para el envío de comunicaciones comerciales por vía electrónica, imponiendo -por tanto- el sistema opt out, si bien, y después de la reforma de la LSSI se continuó mantenimiento esta regla general pero se distinguió entre: Dicha regla general de consentimiento expreso. Añadiendo la excepción de las comunicaciones comerciales por vía electrónica dirigidas a quienes tuviesen una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente, en cuyo caso se admite el consentimiento tácito. 4.- DESARROLLO PRINCIPIOS COMUNES PARA LA REALIZACIÓN DE CAMPAÑAS PUBLICITARIAS El consentimiento del afectado. 1 El artículo 49 del RD 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD reconoce explícitamente la posibilidad de crear ficheros comunes, de carácter general o sectorial en los que sean objeto de tratamiento los datos de carácter personal para evitar el envío de de comunicaciones comerciales a los interesados que manifiesten su negativa u oposición a recibir publicidad.

12 P á g i n a 12 El consentimiento otorgado por el afectado es el principio sobre el que gira toda la regulación en materia de protección de datos. Es decir, el consentimiento del afectado se exige -como regla general- para cualquier tratamiento de los datos, salvo los supuesto exceptuados legalmente. Sin embargo, hay que tener presente que no cualquier forma de recabar el consentimiento es válida ya que existe otra obligación que actúa de forma paralela: el deber de información. Esto es, cuando se presta el consentimiento, el afectado debe haber sido informado de todos los extremos enunciados en el artículo 5 de la LOPD. En el ordenamiento jurídico español se admiten las siguientes formas para prestar el consentimiento: Consentimiento tácito: El consentimiento tácito no se deriva de actos del interesado sino precisamente de su falta de actuación, de su silencio. Este consentimiento es válido siempre que se disponga de evidencias (pruebas) de su cumplimiento. Consentimiento expreso: El consentimiento expreso, por su parte, exige que se declare de forma clara e inequívoca por parte del interesado que acepta o consiente el tratamiento de sus datos para los fines de los que se le informa, mediante la expresión de su voluntad, que podrá ser por escrito, verbalmente, mediante comunicación telemática o por cualquier otro medio. No obstante no se admite la recogida del mismo mediante una casilla que se encuentre ya marcada. No obstante, no se admite la recogida del mismo mediante una casilla que se encuentre ya marcada. Por tanto: El consentimiento tácito captado directamente del interesado puede ser válido para la realización de actos de publicidad (siempre que se articule bien el proceso para recabarlo), y desde luego, el consentimiento expreso (siempre que no se realice mediante una casilla premarcada). Ello sin perjuicio -como después se dirá- de que puedan existir otras formas de dirigirse a los destinatarios de las campañas de publicidad utilizando otras fuentes: bien fuentes accesibles al público, bien bases de datos que provengan de terceros, siempre que se respeten las obligaciones que después indicaremos El deber de información. Su regulación se encuentra en el ya citado artículo 5 de la LOPD, pero no es la única referencia a este deber. A lo largo del articulado del RDLOPD también se establecen obligaciones que refuerzan el derecho de los afectados a ser informados antes de prestar el consentimiento para tratar sus datos personales. Así, en relación con el marco objeto del presente protocolo, encontramos el artículo 45.2 RDLOPD 2, que exige informar en cada comunicación de que los 2 Artículo 45.2: Cuando los datos procedan de fuentes accesible al público y se destinen a la actividad de publicidad o prospección comercial, deberá informarse al interesado en cada comunicación que se le dirija del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asiste, con indicación de ante quién podrán ejercitarse. A tal efecto, el interesado deberá ser informado de que sus datos han sido obtenidos de fuentes accesibles al público y de la identidad de la que hubieran sido obtenidos.