Dictamen 2000/1, sobre determinados aspectos de protección de datos del comercio electrónico, aprobado el 3 de febrero de 2000, por el Grupo de trabajo sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales (DG 5007/00/final WP 28)
WP28 Grupo de trabajo sobre protección de datos del artículo 29
Dictamen 1/2000 sobre determinados aspectos de protección de datos del comercio electrónico
Presentado por el Grupo operativo sobre Internet
Aprobado el 3 de febrero de 2000
1. Introducción
La UE está debatiendo la adopción de una propuesta de Directiva sobre determinados aspectos jurídicos del comercio electrónico(1). Como ha venido haciendo hasta la fecha, el Grupo de trabajo sobre protección de datos del artículo 29(2) desea participar de manera constructiva en esta actividad de refuerzo de la normativa sobre comercio electrónico. Con este Dictamen, el Grupo de trabajo tiene la intención de poner de relieve un problema de protección de datos planteado por el comercio electrónico, así como explicar el tratamiento que recibe en la legislación europea. El marco jurídico para la protección del derecho fundamental a la vida privada y la protección de los datos personales ya está establecido en la Directiva 95/46/CE que define los principios generales de protección de datos y en la Directiva 97/66/CE que los complementa para el sector de las telecomunicaciones.
El Grupo de trabajo desea expresar su satisfacción porque el texto actualmente en fase de adopción contiene una aclaración expresa en un nuevo considerando y en la nueva letra b) del apartado 4 del artículo 1, relativos a la aplicación adecuada y plena de la legislación sobre protección de datos(3) en los servicios de Internet. Esto significa que la aplicación de la Directiva sobre comercio electrónico debe estar totalmente de acuerdo con los principios de protección de datos.
El Grupo de trabajo ya ha prestado mucha atención a los problemas de protección de datos relacionados con Internet, especialmente durante 1999 con la emisión de orientaciones generales sobre tres cuestiones importantes relacionadas con las características específicas de las nuevas tecnologías de la información. Ha emitido un dictamen sobre la información del sector público(4) y recomendaciones sobre el tratamiento invisible y automático de datos personales en Internet(5), así como sobre la conservación de los datos sobre tráfico por los proveedores de servicio Internet a efectos de cumplimiento de la legislación(6). En el contexto del comercio electrónico surge una cuarta cuestión. El Grupo de trabajo desea ofrecer una interpretación sobre la aplicación de las normas europeas sobre protección de datos al tratamiento de los datos para envíos comerciales por correo electrónico.
(1) Propuesta modificada de Directiva del Parlamento Europeo y del Consejo relativa a determinados aspectos jurídicos del comercio electrónico en el mercado interior, COM (1999) 427 final. El Consejo de Ministros del 7 de diciembre de 1999 alcanzó un acuerdo político sobre el texto y pronto se adoptará formalmente una Posición común, antes de la segunda lectura en el Parlamento Europeo. Véase el Comunicado de prensa IP/99/952, pp.1 y 4.
(2) Creado en virtud del artículo 29 de la Directiva 95/46/CE, citada en la nota 3 siguiente.
(3) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, DO L 281 de 23.11.1995, p. 31, y Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones, DO L 24 de 30.1.1998, p. 1. Se pueden consultar en http://europa.eu.int/comm/dg15/en/media/dataprot/law/index.htm
(4) Dictamen 3/99 relativo a la información del sector público y protección de los datos personales, aprobado el 3 de mayo de 1999: WP 20 (5055/99). Todos los documentos aprobados por el Grupo de trabajo se pueden consultar en http://europa.eu.int/comm/dg15/en/media/dataprot/wpdocs/index.htm
(5) Recomendación 1/99 sobre el tratamiento invisible y automático de datos personales en Internet efectuado por software y hardware, aprobada el 23 de febrero de 1999: WP 17 (5093/98).
(6) Recomendación 3/99 sobre la conservación de los datos sobre tráfico por los proveedores de servicio Internet a efectos de cumplimiento de la legislación, aprobada el 7 de septiembre de 1999: WP 25 (5085/99).
2. La cuestión de los envíos por correo electrónico
Para lanzar una campaña publicitaria o de envíos comerciales, una empresa debe obtener una lista amplia y pertinente de direcciones de correo electrónico de posibles clientes. Las empresas tienen tres posibilidades para conseguir direcciones de correo electrónico en Internet: recopilación directa de los clientes o visitantes de los sitios web; listas preparadas por terceros(7) y recopilación en espacios públicos de Internet, tales como directorios públicos, foros o «chat-rooms».
Una característica particular de los envíos comerciales electrónicos es que, mientras que el coste para el remitente es extremadamente bajo en comparación con los métodos tradicionales de márketing directo, el destinatario debe hacer frente a un coste por tiempo de conexión. Esta situación supone un claro incentivo para utilizar esta herramienta de márketing a gran escala y hacer caso omiso de la protección de datos y de los problemas provocados por los envíos publicitarios mediante correo electrónico.
El problema desde la perspectiva del ciudadano tiene tres facetas: en primer lugar, la inclusión en una lista de su dirección de correo electrónico sin su consentimiento o conocimiento; en segundo lugar, la recepción de grandes cantidades de mensajes publicitarios no deseados; y, en tercer lugar, el coste del tiempo de conexión. Una cuestión fundamental en este ámbito es el bombardeo publicitario(8). El bombardeo publicitario es la práctica de enviar mensajes electrónicos no solicitados, normalmente de tipo comercial, en gran número y repetidamente a particulares con los que el remitente no tenía ningún contacto previo. Suele ocurrir cuanto se ha obtenido una dirección electrónica en un espacio público de Internet. El problema desde la perspectiva del mercado interior es la posibilidad de que existan normativas nacionales divergentes sobre comunicaciones comerciales electrónicas que den lugar a obstáculos al comercio. Ambos tipos de problemas han influido en el desarrollo de la legislación comunitaria pertinente.
(7) Las listas preparadas por terceros pueden crearse con datos recopilados directamente de los clientes o con datos reunidos en espacios públicos de Internet.
(8) Este asunto se ha tratado en el Informe sobre envíos por correo electrónico y protección de datos personales, adoptado por CNIL el 14 de octubre de 1999, que se puede consultar en www.cnil.fr. Las secciones 2 y 3 del presente Dictamen se basan en cierta medida en dicho informe.
3. Legislación comunitaria y su aplicación a los envíos por correo electrónico
Ya se ha indicado la norma general de que la legislación sobre protección de datos se aplica al comercio electrónico(9). Los envíos publicitarios electrónicos son un ejemplo concreto de la manera de resolver los problemas de protección de datos planteados por el comercio electrónico, empleando los principios jurídicos incluidos en las dos Directivas. La Directiva general afirma que los datos personales deben ser recogidos con fines determinados, explícitos y legítimos, y tratados de manera leal y lícita compatible con dichos fines(10). El tratamiento sólo podrá efectuarse con fundamentos legítimos, tales como el consentimiento, un contrato, una obligación jurídica o el equilibrio de intereses(11). Además, el interesado debe estar informado sobre los fines del tratamiento(12) y se le reconocerá el derecho a oponerse al tratamiento de sus datos personales con fines de prospección(13). La Directiva de protección de la intimidad en el sector de las telecomunicaciones ofrece a los Estados miembros la posibilidad de elegir entre la aplicación de normas de aceptación voluntaria («opt-in») o exclusión voluntaria («opt-out») para las comunicaciones comerciales no solicitadas(14). A estas normas sobre protección de datos se suman determinados requisitos inspirados por la protección al consumidor. La Directiva sobre venta a distancia, por ejemplo, exige proporcionar a los consumidores, como mínimo, el derecho a oponerse a las comunicaciones a distancia (15) mediante correo electrónico.
(9) Documento de trabajo: Tratamiento de datos personales en Internet. Aprobado el 3.2.1999: WP 16 (5013/99).
(10) Artículo 6 de la Directiva 95/46/CE.
(11) Artículo 7 de la Directiva 95/46/CE.
(12) Artículo 10 de la Directiva 95/46/CE.
(13) Artículo 14 de la Directiva 95/46/CE.
(14) Artículo 12 de la Directiva 97/66/CE. Incluso se podría afirmar que el uso del correo electrónico para la venta directa se considerará equivalente al uso de dispositivos de llamada automática, que sí precisa el consentimiento del interesado.
(15) Artículo 10 de la Directiva 97/7/CE del Parlamento Europeo y del Consejo, de 20 de mayo de 1997, relativa a la protección de los consumidores en materia de contratos a distancia, DO L 144 de 4.6.97, p. 19 (el correo electrónico se incluye expresamente en el apartado 4 de su artículo 2 y en el anexo I). Se puede consultar en http://www.europa.eu.int/eur-lex/en/lef/dat/1997/en_397L0007.html
Una vez adoptada, la Directiva sobre comercio electrónico podrá establecer explícitamente en su artículo 7 dos aspectos técnicos: la obligación de que los correos electrónicos comerciales se identifiquen como tales y la obligación de consultar y respetar las listas de exclusión voluntaria («opt-out») cuando su existencia esté regulada en la legislación nacional. Sin embargo, un considerando y la letra b) del apartado 4 del artículo 1 establecen claramente que esta Directiva no tiene en modo alguno el objetivo de modificar los principios jurídicos ni los requisitos incluidos en el marco legislativo en vigor descrito anteriormente. Dado que la legislación sobre protección de datos se aplica plenamente al comercio electrónico, la aplicación de la Directiva sobre comercio electrónico deberá realizarse siguiendo los principios de protección de datos. Esto significa que, en lo que respecta a la protección de datos, el Derecho nacional aplicable al responsable del tratamiento de los datos personales seguirá siendo el del Estado miembro de establecimiento(16). También significa que la Directiva sobre comercio electrónico no podrá impedir a los Estados miembros que exijan a las empresas el consentimiento previo para las comunicaciones comerciales(17), ni tampoco la utilización anónima de Internet(18).
En opinión del Grupo de trabajo, estas normas responden claramente a la cuestión de la vida privada planteada en la sección 2 anterior y ofrecen una imagen nítida de los derechos y obligaciones de los afectados. Se deben distinguir dos situaciones:
Si una empresa ha obtenido una dirección de correo electrónico directamente del interesado para envíos electrónicos que realizará dicha empresa o un tercero al que proporcione los datos, la empresa inicial debe informar al interesado de dicha finalidad en el momento de recibir la dirección(19). Además, la empresa inicial y las que hayan recibido los datos posteriormente deberán proporcionar al interesado, como mínimo, en el momento de la recogida y en todo momento posterior, el derecho a oponerse a este uso de sus datos por medios electrónicos sencillos, tales como picar una casilla creada a tal efecto(20). Determinadas leyes nacionales por las que se aplican las Directivas pertinentes exigen incluso que la empresa obtenga el consentimiento del interesado. Los requisitos del artículo relativo a las comunicaciones comerciales no solicitadas del proyecto de Directiva sobre comercio electrónico completarían estas normas en un nivel técnico imponiendo al proveedor de servicios la obligación de consultar una lista, pero no eliminarían ninguna de las obligaciones generales aplicables a los responsables del tratamiento de los datos.
(16) Artículo 4 de la Directiva 95/46/CE.
(17) Véase el artículo 12 de la Directiva 97/66/CE.
(18) Véase el considerando 6a de la Propuesta modificada, nota 1.
(19) Artículo 10 de la Directiva 95/46/CE.
(20) Artículo 14 de la Directiva 95/46/CE.
Si una dirección de correo electrónico se obtiene en un espacio público de Internet, su utilización para envíos comerciales electrónicos sería contraria a la legislación comunitaria correspondiente, por tres motivos. En primer lugar, se podría considerar tratamiento «desleal» de los datos personales en el sentido de la letra a) del apartado 1 del artículo 6 de la Directiva general. En segundo lugar, sería contraria al principio de la finalidad de la letra b) del apartado 1 del citado artículo 6, ya que el interesado proporcionó su dirección de correo electrónico para una finalidad muy distinta, como puede ser la participación en un foro, por ejemplo. En tercer lugar, dado el desequilibrio del coste y la interrupción para el destinatario, se puede considerar que estos envíos no superarían la prueba del equilibrio de intereses establecida en la letra f) del artículo 7(21).
(21) Dicha disposición (una de las posibles bases legítimas para el tratamiento) exige que el tratamiento de los datos sea «necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento . . . siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado».
4. Conclusiones
Este Dictamen no se considera la posición definitiva del Grupo de trabajo sobre la interacción entre comercio electrónico y protección de datos. Su objetivo es sensibilizar sobre las cuestiones planteadas por un tipo concreto de tratamiento de los datos que actualmente es objeto de debate en numerosos círculos, así como contribuir a la comprensión del marco jurídico aplicable al comercio electrónico. Es perfectamente posible que existan otros problemas sobre comercio electrónico además de los ya abordados por el Grupo de trabajo que precisen una orientación interpretativa o un enfoque común. Por tanto, el Grupo de trabajo considera necesario desarrollar una política común sobre aspectos tales como el «cibermárketing», el pago electrónico o las Tecnologías para mejorar la protección de la vida privada. Ha encargado al Grupo operativo Internet que continúe sus tareas. Se esperan diversos resultados, incluidas recomendaciones sobre medidas técnicas relativas al bombardeo publicitario («spam») o la validación de sitios web de conformidad con una lista europea común basada en las directivas de protección de datos.
Hecho en Bruselas, 3 de febrero de 2000
Por el Grupo de trabajo
El Presidente
Peter J. HUSTINX