Las comunicaciones comerciales no consentidas bajo la lupa de la Autoridad Nacional de Protección de Datos Personales y del Indecopi

Sumillas: 1. Introducción, 2. El sustento constitucional de las normas aplicables, 3. Particularidades del servicio de realización de comunicaciones comerciales, 4. Actuaciones de la APDP y del Indecopi, 5. Conclusiones.


1. Introducción

Una de las actividades comerciales más rechazadas por el público son las comunicaciones comerciales no consentidas, realizadas para ofrecer al receptor (vía telefónica, correo electrónico o WhatsApp) productos o servicios de diversa índole (servicios de salud, productos financieros, bienes relacionados con telefonía e internet). A fin de controlar tal actividad, se pusieron en marcha las competencias de dos entidades: Indecopi, a través de la Comisión de Protección al Consumidor 3 (CC3), y la Autoridad Nacional de Protección de Datos Personales (APDP), tal como se detalló en las notas de prensa emitidas.

Dicha situación resulta propicia para dar revisión a los bienes jurídicos puestos en juego en la mencionada actividad, tutelados en la Constitución Política del Perú, así como en la Ley N° 29733, Ley de Protección de Datos Personales (LPDP) y en la Ley 29571, Código de Defensa y Protección al Consumidor (Código del Consumidor), así como de las características del proceso comercial de las mencionadas comunicaciones y de la actuación de los partícipes en el mismo, analizando respecto de cada norma el alcance de su aplicación y, con ello, el alcance de la actuación de cada entidad.

2. El sustento constitucional de las normas aplicables

2.1. El derecho fundamental a la protección de datos personales

El numeral 6 del artículo 2 de la Constitución Política del Perú, establece como uno de los derechos fundamentales de la persona a la protección de sus datos personales, a través del siguiente texto: “A que los servicios informáticos, com­pu­tarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar”.

En el desarrollo del mencionado derecho fundamental a cargo del Tribunal Constitucional[1], conceptualizado como “derecho de la autodeterminación informativa”, este consiste en el poder de decidir qué hacer con sus datos personales y, en el caso de actividades de terceros con estos (actividades de tratamiento de datos personales), si las permite o no, conservando el conocimiento sobre los pormenores de tales actividades. Vale decir que, con el “señorío sobre su información”[2], la persona humana no tiene derecho solo a repeler intromisiones, sino a supervisar la corrección del tratamiento permitido con su voluntad.

En tal sentido, el artículo 1 de la LPDP establece como su objeto la garantía de aquel derecho fundamental de la persona, a través de la adecuación del tratamiento de sus datos personales (definido en el numeral 19 del artículo 2 de dicha ley[3]) a los principios rectores y obligaciones que el mismo cuerpo legal tiene previstos, cuando sea realizado por terceros, como pueden ser entidades del estado, empresas que mantengan o busquen mantener una relación contractual con el titular de los datos personales (la persona a la cual pertenecen), o empresas que no ostenten tal posición respecto de dicho titular..

2.2. La protección al consumidor en la Constitución económica

Entre los principios generales del régimen económico de la Constitución Política del Perú, se tiene a su artículo 65[4], que establece la defensa por parte del estado, de los intereses de los consumidores y usuarios. Menciona también una de las herramientas para tal fin (la garantía del derecho a la información sobre bienes y servicios en el mercado) y la prioridad en la protección de la salud y seguridad de la población, sin que se excluya otro tipo de intereses que puedan estar en riesgo por el desarrollo de alguna actividad económica.

En tal sentido, esta previsión constitucional sí repara en la protección de los intereses de las personas, entendidas estas como parte del régimen de Economía Social de Mercado, por lo que su protección puede entenderse como dirigida a las operaciones comerciales de las que son parte, a fin de que por medio de estas, no se afecte la generalidad de sus intereses ni se debilite desproporcionadamente su posición.

Mientras que en el artículo I del Código del Consumidor[5] se establece su naturaleza rectora y su relación con el descrito precepto constitucional, en el artículo II se reitera la finalidad protectora de los intereses de los consumidores, a través de la eliminación de conductas y prácticas que los afecten (incluso en etapas previas a la contratación en sí), aparte del acceso a bienes idóneos con sus necesidades y expectativas.

La protección otorgada no se centra solo en la idoneidad de los bienes o en la relevancia de la información brindada al consumidor, también busca protegerlo de situaciones en las que pueda distorsionarse la formación de su criterio o en las que la captación de su preferencia indebidamente se traslade a su esfera privada[6], a través de métodos como las comunicaciones comerciales no consentidas, previstas como prácticas comerciales prohibidas en el artículo 58 del Código del Consumidor, que podrían subsumirse en los supuestos de “influencia indebida” por la modalidad de su ejercicio.

3. Particularidades del servicio de realización de comunicaciones comerciales

Las comunicaciones comerciales no consentidas, sean llamadas o mensajería multimedia, denominada esta última como spam por un sector de la doctrina y de la Agencia Española de Protección de Datos[7], constituyen actividades auxiliares a la comercialización del bien comercializado, consistente en su promoción u oferta directa a personas específicas, usualmente con perfiles determinados, efectuando el tratamiento de sus datos personales.

Dichas actividades pueden ser realizadas por el mismo proveedor del bien o tercerizándolas con empresas especializadas, que cuenten con recursos necesarios (sistemas de llamadas, sistemas de perfilamiento, acceso a bases de datos, bases de datos propias y/u otros) para brindar tal servicio, en las condiciones que establezca el contratante y en beneficio de este.

En este contexto, pueden darse distintos escenarios, como la contratación de una empresa X para que utilice sus propias bases de datos y extraiga de ellas los contactos con los cuales comunicarse; de una empresa Y para que esta, de sus propias bases de datos, extraiga perfiles de potenciales clientes con quienes comunicarse; o de una empresa Z que solo se comunique con las personas que figuren en una lista entregada por el contratante.

En consecuencia, no nos encontramos ante un proceso necesariamente bipartito, sino que puede tener distintos partícipes como etapas, cada una con un beneficio particular para cada sujeto, así como con roles diferenciables a cumplir por estos y, por ende, con distinguibles responsabilidades respecto de la LPDP como del Código del Consumidor.

4. Actuaciones de la APDP y del Indecopi

4.1. Disposiciones de la LPDP y su reglamento aplicadas a los procedimientos sancionadores de la APDP

Existiendo múltiples sujetos involucrados en una operación que implica realizar actividades de tratamiento de datos personales, se debe recordar que la LPDP tiene definidos al titular del banco de datos y al encargado del tratamiento de datos personales[8], mientras que el reglamento de dicha ley, aprobado por Decreto Supremo N° 003-2013-JUS, define complementariamente al responsable del tratamiento[9] como aquel que decide sobre las actividades de tratamiento de los datos personales, beneficiándose con las mismas, sea o no titular del banco de datos que contenga los datos personales sometidos a tratamiento.

De acuerdo con lo señalado hasta este punto, se puede diferenciar los siguientes escenarios de responsabilidad en el tratamiento de datos personales, según cada partícipe:

a. En el caso del proveedor que realiza por su cuenta las comunicaciones, utilizando la información de sus propias bases de datos, se condensarán en este los roles de responsable del tratamiento y titular del o de los bancos de datos personales (bancos de datos personales de clientes y/o de prospectos de clientes, según cada caso).

b. En casos en los que el proveedor tercerice la comunicación, facilitando a la empresa contratada la base de datos de las personas a quienes contactar, aquel seguirá siendo el responsable del tratamiento y titular del o de los bancos de datos personales, mientras que la empresa contratada será encargada de una actividad específica de tratamiento de datos personales: El uso de los datos que se le entregó; siendo responsable ante la LPDP y su reglamento por realizar cualquier otra actividad de tratamiento de tales datos.

c. Cuando el servicio contratado consista en el uso de bases de datos de la contratada, se deben distinguir las responsabilidades según cada proceso y las actividades de tratamiento involucradas en cada uno:

• La empresa contratada es responsable de las actividades de tratamiento de los datos personales de su base de datos y titular del banco de datos personales respectiva, en el marco de sus actividades de funcionamiento y conservación de recursos (como la actualización de sus bases de datos), muy aparte de que tenga compromisos contractuales para los cuales deba utilizar tales datos, debiendo cumplir con todas las obligaciones que se establecen en la LPDP y su reglamento.

• En el caso del vínculo contractual con el proveedor del bien a comercializar, la empresa contratada es la encargada de actividades específicas de tratamiento, como la utilización de los datos personales para comunicarse con sus titulares, a realizarse bajo el control y en beneficio de su contratante, siendo este será el responsable del tratamiento de los clientes o prospectos de clientes que pueda adherir, así como del cumplimiento de las obligaciones legales mencionadas.

De lo expuesto, se aprecia que la empresa que realiza comunicaciones comerciales puede ser responsable del tratamiento de datos personales y titular del banco de datos personales, así como encargada de una actividad de tratamiento de datos personales que sea parte del proceso de comercialización de un determinado bien.

Dicha situación se evidencia en los procedimientos la APDP: Está sancionando a las empresas que desempeñan la actividad mencionada (Servicios de Call Center del Perú S.A. y TContakto S.A.C.) como responsables de las actividades de tratamiento de los datos personales que poseen, se utilicen o no en la prestación del servicio de comunicación comercial a favor de cualquier contratante.

Por ello, tales empresas se encuentran obligadas a adecuar tal tratamiento a la normativa de protección de datos personales, cumpliendo con solicitar a los titulares de los datos su consentimiento para efectuar las actividades de tratamiento mencionadas, sin perjuicio de la responsabilidad que su contratante, el proveedor del bien promocionado, tenga sobre el tratamiento efectuado en su beneficio.

4.2. Disposiciones del Código del Consumidor aplicadas a los procedimientos sancionadores de la CC3 de Indecopi

En los procedimientos sancionadores presentados en la nota de prensa de Indecopi, se imputa el incumplimiento del literal e) del numeral 58.1 del artículo 58 del Código del Consumidor (modificado por el Decreto Legislativo N° 1390, desde el 15 de septiembre de 2018)[10], al haberse comprobado haber efectuado tales comunicaciones sin el consentimiento de las personas a las que se dirigían.

Se debe señalar que el primer párrafo de dicho numeral prevé que las conductas prohibidas afectan la voluntad del consumidor para elegir un determinado bien, sea por medio de coacción, engaño o influencia indebida. En virtud de este último vicio de voluntad y atendido la orientación del Código del Consumidor hacia el bienestar de la persona, se incluyen en la lista de métodos comerciales prohibidos, a los que impliquen invasiones a la privacidad del consumidor, como lo descrito en el literal e) mencionado.

Ahora bien, dicha disposición del Código del Consumidor mantiene como responsable o sujeto activo de tales comunicaciones exclusivamente al proveedor, debido a que este debe tener control de las acciones con las que promueve la contratación de los bienes que comercializa, posición que le obliga a asegurar la obtención del consentimiento de los consumidores para recibir las comunicaciones comerciales, aún cuando la comunicación directa (anterior a la de consumo) sea llevada a cabo por terceros.

Siguiendo tal razonamiento, la Secretaría Técnica de la CC3 del Indecopi imputó directamente a Telefónica del Perú, Rappi S.A.C. y América Móvil Perú S.A.C. como responsables de efectuar tales comunicaciones, sin detenerse en evaluar la conducta de los terceros, como pudo hacer en el caso de la última empresa mencionada, la cual alegó que la responsabilidad por no solicitar el consentimiento requerido, correspondía a “terceros agregadores de contenido”, las cuales son empresas encargadas de la remisión de mensajes de texto, contratadas por el proveedor de los bienes promocionados.

Cabe señalar que el literal e) estudiado, reiteraría la obligación de obtener el consentimiento para realizar el tratamiento de datos personales, dirigida exclusivamente al proveedor, lo cual no implica la prohibición o impedimento total y originario de comunicaciones, pues como señaló la APDP en diversas absoluciones de consultas, se permite el primer contacto con la persona para obtener su consentimiento[11].

No obstante, la redacción de dicha norma puede llevar a confusión respecto de los requisitos de dicho consentimiento, los cuales no guardan identidad con lo desarrollado por la APDP respecto de la normativa que le compete.

5. Conclusiones

La LPDP presenta un ámbito más extenso para el control de las comunicaciones comerciales no consentidas, puesto que, al controlar la adecuación de las actividades de tratamiento de datos personales, puede actuar sobre todos los sujetos que la realicen, aun cuando no sean los proveedores del bien objeto de promoción.

La circunstancia descrita propicia que los mencionados sujetos, al efectuar actividades de tratamiento de datos personales independientes de cualquier vínculo contractual con algún proveedor de bienes en el mercado, sean responsables por el cumplimiento de la LPDP y su reglamento en dichas actividades, debiendo respetar los principios rectores, cumplir con los registros de sus bancos de datos personales y permitir el ejercicio de los derechos de los titulares de datos personales.

El ámbito de aplicación de las disposiciones del Código del Consumidor por parte del Indecopi resulta más específico, centrándose exclusivamente en la actividad de promoción directa de los bienes en comercio y en el proveedor de estos como responsable de dicha actividad, sea esta tercerizada o no, al ser estos quienes deban garantizar que no se desplieguen acciones de promoción indebidas, por invadir la privacidad del consumidor.


* Abogado y magíster en Derecho de la Propiedad Intelectual y Derecho de la Competencia por la Pontificia Universidad Católica del Perú. Especializado en Derecho Administrativo por la Universidad de Salamanca (España). Especializado en Protección de Datos Personales por el Institute of Audit & IT-Governance así como por la Fundación CEDDET y la Agencia Española de Protección de Datos. Estudios de especialización en Derecho Corporativo y Fintech por la Universidad ESAN Estudios de Gestión de Negocios y Supply Chain por la Universidad Pontificia Comillas (España).

[1] Sentencia del Tribunal Constitucional en el Expediente 1797-2002/HD, del 29 de enero de 2003: “3. (…) el derecho a la autodeterminación informativa no puede identificarse con el derecho a la intimidad, personal o familiar, reconocido, a su vez, por el inciso 7) del mismo artículo 2° de la Constitución. Ello se debe a que mientras que este protege el derecho a la vida privada, esto es, el poder jurídico de rechazar intromisiones ilegítimas en la vida íntima o familiar de las personas, aquel garantiza la facultad de todo individuo de poder preservarla controlando el registro, uso y revelación de los datos que les conciernen.”

[2] LETE DEL RÍO, José Manuel. Derecho de la Persona. Editorial Tecnos, S.A., Madrid, España, 1996. Ps. 176-177.

[3] Ley N° 29733, Ley de Protección de Datos Personales

“Artículo 2. Definiciones

Para todos los efectos de la presente Ley, se entiende por: (…)

19. Tratamiento de datos personales. Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.”

[4] Constitución Política del Perú

“Título III

Del Régimen Económico

Capítulo I

Principios Generales. (…). Artículo 65°. El Estado defiende el interés de los consumidores y usuarios. Para tal efecto garantiza el derecho a la información sobre los bienes y servicios que se encuentran a su disposición en el mercado. Asimismo vela, en particular, por la salud y la seguridad de la población.”

[5] Ley N° 29751, Código de Defensa y Protección al Consumidor

“Artículo I.- Contenido. El presente Código establece las normas de protección y defensa de los consumidores, instituyendo como un principio rector de la política social y económica del Estado la protección de los derechos de los consumidores, dentro del marco del artículo 65 de la Constitución Política del Perú y en un régimen de economía social de mercado, establecido en el Capítulo I del Título III, Del Régimen Económico, de la Constitución Política del Perú.

Artículo II.- Finalidad. El presente Código tiene la finalidad de que los consumidores accedan a productos y servicios idóneos y que gocen de los derechos y los mecanismos efectivos para su protección, reduciendo la asimetría informativa, corrigiendo, previniendo o eliminando las conductas y prácticas que afecten sus legítimos intereses. En el régimen de economía social de mercado establecido por la Constitución, la protección se interpreta en el sentido más favorable al consumidor, de acuerdo a lo establecido en el presente Código.”

[6] MASSAGUER, José. El Nuevo Derecho contra la Competencia Desleal. La Directiva 2005/29/CE sobre las Prácticas Comerciales Desleales. Editorial Aranzadi, S.A., Cizur Menor (Navarra), España, 2006, pp. 133 y 138.

[7] TATO PLAZA, Anxo, Pablo Fernández Carballo-Calero y Christian Herrera Petrus. La Reforma de la Ley de Competencia Desleal. Wolters Kluwer España, S.A. Madrid, España, 2010, pp. 213-214.

[8] Ley N° 29733, Ley de Protección de Datos Personales

“Artículo 2. Definiciones. Para todos los efectos de la presente Ley, se entiende por: (…) 7. Encargado de tratamiento de datos personales. Toda persona natural, persona jurídica de derecho privado o entidad pública que sola o actuando conjuntamente con otra realiza el tratamiento de los datos personales por encargo del titular del banco de datos personales en virtud de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación. Incluye a quien realice el tratamiento sin la existencia de un banco de datos personales.

8. Encargo de tratamiento. Entrega por parte del titular del banco de datos personales a un encargado de tratamiento de datos personales en virtud de una relación jurídica que los vincula. Dicha relación jurídica delimita el ámbito de actuación del encargado de tratamiento de los datos personales. (…)

17. Titular del banco de datos personales. Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad.”

[9] Reglamento de la Ley 29733, Ley de Protección de Datos Personales, aprobado por Decreto Supremo 003-2013-JUS

Artículo 2.- Definiciones. Para los efectos de la aplicación del presente reglamento, sin perjuicio de las definiciones contenidas en la Ley, complementariamente, se entiende las siguientes definiciones: (…). 14. Responsable del tratamiento: Es aquél que decide sobre el tratamiento de datos personales, aun cuando no se encuentren en un banco de datos personales.”

[10] Ley 29751, Código de Defensa y Protección al Consumidor.

“Métodos Comerciales Agresivos o Engañosos. Artículo 58.- Definición y alcances. 58.1 El derecho de todo consumidor a la protección contra los métodos comerciales agresivos o engañosos implica que los proveedores no pueden llevar a cabo prácticas que mermen de forma significativa la libertad de elección del consumidor a través de figuras como el acoso, la coacción, la influencia indebida o el dolo. En tal sentido, están prohibidas todas aquellas prácticas comerciales que importen: (…) e. Emplear centros de llamada (call centers), sistemas de llamado telefónico, envío de mensajes de texto a celular o de mensajes electrónicos masivos para promover productos y servicios, así como prestar el servicio de telemercadeo, a todos aquellos números telefónicos y direcciones electrónicas de consumidores que no hayan brindado a los proveedores de dichos bienes y servicios su consentimiento previo, informado, expreso e inequívoco, para la utilización de esta práctica comercial. Este consentimiento puede ser revocado, en cualquier momento y conforme a la normativa que rige la protección de datos personales.”

[11] La posición de la APDP en los últimos años puede verificarse en los siguientes documentos: https://www.minjus.gob.pe/wp-content/uploads/2015/04/4.pdf
https://www.minjus.gob.pe/wp-content/uploads/2019/04/OP-05_2019_JUS_DGTAIPD.pdf
https://www.minjus.gob.pe/wp-content/uploads/2019/04/OP-12_2019_JUS_DGTAIPD.pdf

Comentarios:
Abogado y magíster en Derecho de la Propiedad Intelectual y Derecho de la Competencia por la Pontificia Universidad Católica del Perú. Especializado en Derecho Administrativo por la Universidad de Salamanca (España); y en Protección de Datos Personales por el Institute of Audit & IT-Governance así como por la Fundación CEDDET y la Agencia Española de Protección de Datos Estudios de especialización en Derecho Corporativo y Fintech por la Universidad ESAN Estudios de Gestión de Negocios y Supply Chain por la Universidad Pontificia Comillas (España).