Conclusiones: 1. De acuerdo a la LPDP y su reglamento, para el tratamiento de datos personales se debe contar con el consentimiento del titular del dato personal, el cual debe ser previo, libre, expreso e informado.
2. El Decreto Legislativo No 1390 ha derogado tácitamente las disposiciones de la Ley Antispam que permitían la remisión de correos electrónicos para promover productos o servicios sin consentimiento. Por lo tanto, para dicha remisión se requiere el consentimiento conforme a lo señalado en la LPDP.
3. Es posible utilizar los datos personales obtenidos de fuentes accesibles al público o de forma licita para contactar al titular del dato personal para obtener su consentimiento.
4. En caso el titular del dato personal no otorgue su consentimiento para el tratamiento de datos personales informado, no deberá ser contactado nuevamente para ello.
Ministerio de Justicia y Derechos Humanos
Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales
OPINIÓN CONSULTIVA N° 12-2019-JUS/DGTAIPD
ASUNTO: Consulta sobre remisión de correos publicitarios no solicitados
REFERENCIA: Hoja de trámite N° 060194-2018
FECHA: Miraflores, 19 de febrero de 2019
ANTECEDENTES
1. Mediante Hoja de trámite No 060194-2018 se solicitó a la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos que absuelva la consulta respecto a si es posible que las empresas envien correos publicitarios, no solicitados, cumpliendo con la Ley 28493, Ley que regula el uso de correo electrónico comercial no solicitado (spam), en adelante Ley Antispam.
2. Es preciso señalar que la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (DGTAIPD) es la encargada de ejercer la Autoridad Nacional de Transparencia y Acceso a la información Pública (ATAIP) y la Autoridad Nacional de Protección de Datos Personales (APDP). Tiene entre sus funciones absolver las consultas que las entidades o las personas juridicas o naturales le formulen respecto de la aplicación de normas de transparencia, acceso a la información pública y protección de datos personales.
ANÁLISIS
3. La Ley N° 29733, Ley de Protección de Datos Personales (LPDP), establece como uno de los principios rectores de la protección de datos personales el principio de consentimiento, que consiste, de acuerdo al articulo 5 de la misma, en que “para el tratamiento de los datos personales debe mediar el consentimiento del titular”.
4. De acuerdo al artículo 13, inciso 13.5, de la LPDP, el consentimiento debe ser previo, informado, expreso e inequívoco. Al respecto, el Reglamento de la LPDP aprobado mediante Decreto Supremo 003-2013-JUS, desarrolla en el artículo 12 las características del consentimiento, estableciendo que el consentimiento es previo cuando se da “con anterioridad a la recopilación de los datos o en su caso, anterior al tratamiento distinto a aquel por el cual ya se recopilaron.
5. Sin embargo, el artículo 14 de la LPDP establece circunstancias que exoneran de la obligación de solicitar el consentimiento, entre ellas cuando los datos personales sean necesarios para la preparación, celebración y ejecución de una relación contractual en la que el titular de datos personales sea parte, o cuando se trate de datos personales que deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento.
6. De forma previa a la LPDP, se reguló, a través de la Ley Antispam, la posibilidad de remitir correos electrónicos no solicitados bajo ciertas caracteristicas. En ese marco, en enero del 2015 la APDP señaló que la norma especial, es decir la Ley Antispam no colisionaba con la LPDP, debido a que la primera contempla fórmulas o mecanismos de protección al ciudadano.
7. Ello, teniendo en cuenta además que el articulo 58 del Código de Protección al Consumidor, en ese entonces, daba la posibilidad de registrar correos electrónicos en el Registro Gracias No Insista, cuya inscripción implicaba que ningún proveedor debía enviar correos electrónicos comerciales a dicha dirección. De igual forma, la Ley Antispam obligaba a colocar en el correo electrónico “la inclusión de una dirección de correo electrónico válido y activo de respuesta para que el receptor pueda enviar un mensaje para notificar su voluntad de no recibir más correos no solicitados o la inclusión de otros mecanismos basados en Internet que permita al receptor manifestar su voluntad de no recibir mensajes adicionales.
8. Sin embargo, mediante el Decreto Legislativo No 1390, publicado el 05 de septiembre de 2018, se modificó el artículo 58 del Código de Protección al Consumidor, señalando expresamente que para la remisión de correos electrónicos con la finalidad de promover productos o servicios se requiere el consentimiento
“Artículo 58.- Definición y alcances
58.1 El derecho de todo consumidor a la protección contra los métodos comerciales agresivos o engañosos implica que los proveedores no pueden llevar a cabo prácticas que mermen de forma significativa la libertad de elección del consumidor a través de figuras como el acoso, la coacción, la influencia indebida o el dolo.
En tal sentido, están prohibidas todas aquellas prácticas comerciales que importen:
(…)
e. Emplear centros de llamada (call centers), sistemas de llamado telefónico, envío de mensajes de texto a celular o de mensajes electrónicos masivos para promover productos y servicios, así como prestar el servicio de telemercadeo, a todos aquellos números telefónicos y direcciones electrónicas de consumidores que no hayan brindado a los proveedores de dichos bienes y servicios su consentimiento previo, informado, expreso e inequívoco, para la utilización de esta práctica comercial. Este consentimiento puede ser revocado, en cualquier momento y conforme a la normativa que rige la protección de datos personales.”
Por lo tanto, el Decreto Legislativo N° 1390 ha derogado tácitamente las disposiciones de la Ley Antispam que permitían la remisión de correos electrónicos para promover productos o servicios sin consentimiento, por lo que la misma, teniendo en cuenta que el correo electrónico es un dato personal, debe realizarse conforme a las disposiciones establecidas en la LPDP y en el Código de Protección al Consumidor.
10. En ese sentido, la remisión de correos electrónicos para ofrecer o promover productos o servicios requiere el consentimiento previo, expreso, libre e informado del titular del dato personal.
11. Una vez obtenido el consentimiento del titular de los datos personales, el titular del banco de datos personales o quien resulte responsable del tratamiento debe establecer mecanismos fácilmente accesibles e incondicionales, sencillos, rápidos y gratuitos para hacer efectiva la revocación, conforme lo señalado en el articulo 16 del Reglamento de la LPDP. En este caso, al tratarse de comunicaciones electrónicas, lo idóneo seria incluir en dichas comunicaciones una dirección electrónica o hipervinculo mediante el cual el titular del dato personal pueda revocar su consentimiento de forma rápida y sencilla.
12. Por otro lado, es preciso mencionar que la obligación de obtener el consentimiento previo no significa la prohibición absoluta de contacto, dado que dicha prohibición haria imposible obtener el consentimiento. Por lo tanto, el primer contacto con el titular del dato personal debe estar orientado a obtener su consentimiento.
13. Cabe mencionar que, los datos personales utilizados para contactar al titular del dato personal para solicitar su consentimiento deben ser obtenidos de fuentes accesibles al público o de manera lícita, conforme las disposiciones de la LPDP y su reglamento.
14. Asimismo, en caso el titular del dato personal no otorgue su consentimiento para el tratamiento de datos personales informado, no deberá ser contactado nuevamente para ello.
III. CONCLUSIONES
1. De acuerdo a la LPDP y su reglamento, para el tratamiento de datos personales se debe contar con el consentimiento del titular del dato personal, el cual debe ser previo, libre, expreso e informado.
2. El Decreto Legislativo No 1390 ha derogado tácitamente las disposiciones de la Ley Antispam que permitían la remisión de correos electrónicos para promover productos o servicios sin consentimiento. Por lo tanto, para dicha remisión se requiere el consentimiento conforme a lo señalado en la LPDP.
3. Es posible utilizar los datos personales obtenidos de fuentes accesibles al público o de forma licita para contactar al titular del dato personal para obtener su consentimiento.
4. En caso el titular del dato personal no otorgue su consentimiento para el tratamiento de datos personales informado, no deberá ser contactado nuevamente para ello.
