La LSSI no desplaza al RGPD: el RGPD abraza a la LSSI
Este post es mi -espero- aportación final a una -no muy agria- polémica con la compañera Maria Luisa González.
Para no perder mucho tiempo, citaré afirmaciones polémicas de la compañera y luego las rebatiré. Pero no yo: el EDPB.
Las afirmaciones más preocupantes son las siguientes. Lo que me lleva a levantarme temprano y escribir esto es que la compañera aporta docs de la AEPD que corroboran su criterio, o viceversa.
Da igual.
No es la primera vez que señalo con el dedito cosas que, a mi juicio hace mal la Agencia. Véase aquello del «consentimiento cualificado» a las cookies, lo de la huella dactilar o lo de la supuesta imposibilidad de uso del interés legítimo por las administraciones públicas.
Tesis más problemáticas de la compañera / AEPD:
Se aplica la LSSI por el principio de ley especial: el RGPD ha sido desplazado
El RGPD aplica como supletorio en lo no regulado por la LSSI (esto es cierto) Quiere ello decir que resultará irrelevante respecto de estas acciones (comunicaciones que lleven a cabo a través de medios electrónicos) el nuevo régimen del Reglamento general de protección de datos
Si tu envías un email a una persona física que es cliente sobre servicios de un tercero te van a sancionar por incumplimiento del art. 21 de la LSSI, sin importar la base de legitimación del art. 6 del RGPD, porque existe una norma especial.En definitiva, la LSSI (no el RGPD) es la norma que se interpreta y se aplica en el envío de comunicaciones comerciales por medios electrónicos.
La AEPD lleva repitiendo años, casi con las mismas palabras, que la norma especial para el envío de comunicaciones comerciales por medios electrónicos es la LSSI. No les van a sancionar por falta de legitimación del tratamiento si envían correos electrónicos a personas que no son clientes suyos (por ejemplo, a direcciones que han cogido de Internet). Nadie les va a preguntar por la base de legitimación del artículo 6.1 del RGPD. Les van a imputar una infracción de la LSSI.
Previo: la habilitación legal no es una base del art. 6
El gran Agustín Puente, ex-pope de la Agencia Española de Protección de Datos firmó un imprescindible y clarificador texto en la obra “La adaptación al nuevo marco de protección de datos tras el Reglamento General de Protección de Datos y la LOPDgdd” (2019, Wolter Kluwers).
Volveremos a este tema, con más tiempo, en un próximo post con más tranquilidad. Aquí.
¿Ha dicho usted TJUE?
- En Wirtschaftsakademie, el TJUE aplicó la Directiva 95/46/CE (antigua directiva de protección de datos personales) a pesar de que el tratamiento subyacente también implicaba operaciones de tratamiento incluidas en el ámbito de aplicación material de la Directiva.
- Y de nuevo en Fashion ID, en un caso que implicaba complementos sociales y cookies.
- Y en la sentencia IAB no lo hizo, pero sólo porque el proceso de donde venía la cuestión prejudicial era belga y la Autoridad Belga no tiene competencia para aplicar la Directiva ePrivacy.
Lo que nos lleva a un sitio interesante: la Opinión 5/2019 del EDPB en la que el sumo sanedrín contesta a unas interesantes preguntillas, precisamente de la autoridad belga.
Esta Opinion trata precisamente sobre la articulación RGPD/ ePrivacy, por eso digo que este debate es muuuuy 2018.
Citando literalmente al EDPB
1,. Tesis de la compañera / AEPD
- Se aplica la LSSI por el principio de ley especial: el RGPD ha sido desplazado
- El RGPD aplica como supletorio en lo no regulado por la LSSI (esto es cierto) Quiere ello decir que resultará irrelevante respecto de estas acciones (comunicaciones que lleven a cabo a través de medios electrónicos) el nuevo régimen del Reglamento general de protección de datos
- Si tu envías un email a una persona física que es cliente sobre servicios de un tercero te van a sancionar por incumplimiento del art. 21 de la LSSI, sin importar la base de legitimación del art. 6 del RGPD, porque existe una norma especial. En definitiva, la LSSI (no el RGPD) es la norma que se interpreta y se aplica en el envío de comunicaciones comerciales por medios electrónicos.
Cita del EDPB en cursiva y con numerito de párrafo.
37 Aunque existe un solapamiento en el ámbito de aplicación material entre la Directiva sobre la privacidad y las comunicaciones electrónicas y el RGPD, esto no conduce necesariamente a un conflicto entre las normas.
38 Todo tratamiento de datos personales que no esté específicamente regulado por la Directiva (o para el cual la Directiva sobre la privacidad y las comunicaciones electrónicas no contenga una «norma especial») sigue estando sujeto a las disposiciones del Reglamento General de Protección de Datos
2.- Tesis de la compañera / AEPD
- La AEPD lleva repitiendo años, casi con las mismas palabras, que la norma especial para el envío de comunicaciones comerciales por medios electrónicos es la LSSI. No les van a sancionar por falta de legitimación del tratamiento si envían correos electrónicos a personas que no son clientes suyos (por ejemplo, a direcciones que han cogido de Internet). Nadie les va a preguntar por la base de legitimación del artículo 6.1 del RGPD. Les van a imputar una infracción de la LSSI.
Cita del EDPB en cursiva y con numerito de párrafo.
39.- Un ejemplo en que la Directiva sobre la privacidad y las comunicaciones electrónicas «especifica» las disposiciones del RGPD puede encontrarse en el artículo 6 de la Directiva, que se refiere al tratamiento de los denominados «datos de tráfico». Por lo general, el tratamiento de datos personales puede justificarse sobre la base de cada uno de los fundamentos legales mencionados en el artículo 6 del RGPD. Sin embargo, el proveedor de un servicio de comunicaciones electrónicas no puede aplicar toda la gama de posibles fundamentos legales previstos en el artículo 6 del RGPD para el tratamiento de los datos de tráfico, ya que el artículo 6 de la Directiva limita explícitamente las condiciones en las que pueden tratarse los datos de tráfico, incluidos los datos personales. En este caso, las disposiciones más específicas de la Directiva deben prevalecer sobre las disposiciones más generales del RGPD. Sin embargo, el artículo 6 de la Directiva no limita la aplicación de otras disposiciones del RGPD, como los derechos del interesado. Tampoco invalida el requisito de que el tratamiento de datos personales debe ser lícito y leal (artículo 5, apartado 1, del RGPD).
41 Un corolario del principio de la lex specialis es que sólo se concederá una excepción a la norma general en la medida en que la ley que rija un asunto concreto contenga una norma especial. Los hechos del caso deben analizarse cuidadosamente para averiguar hasta qué punto la excepción se amplía, especialmente en los casos en que los datos se someten a muchos tipos de tratamiento de forma paralela o secuencial.
Mi comentarios
Pero esto es de sobra conocido (yo creo que hoy también para la AEPD, aunque ha costado).
Mi punto principal es que la LSSI, al delimitar en el art 21 el perímetro de lo admisible en el envío de comunicaciones comerciales:
- Exige el (i) consentimiento previo o el (ii) interés legítimo del comercial (acotado a la relación comercial previa y la semejanza de lo promocionado con lo anteriormente vendido, sin olvidar su derecho de oposición: no hay otra base en el RGPD que otorgue este derecho). La base aquí (y sí: hay que hacerla constar en el RAT, ya ven que en todo lo demás aplica el RGPD) es IL. No es consentimiento, porque no, ni contrato previo, que ya ha sido consumado. Es IL. Otras dos veces: IL! IL!!
- El 21 LSSI deja fuera la captación de los datos personales necesarios para el envío: (la norma sólo dice que tienen que haberse “obtenido de forma lícita” los datos de contacto del destinatario y ahí por supuesto aplica el RGPD).
- La presunción del 19 LOPD aplica al tratamiento de datos de contacto de personas para comunicar con organizaciones, no al envío de comunicaciones comerciales. Y es también -esta vez explícitamente, gracias a Dios- una “legalización” de otro supuesto de interés legítimo.
- El 19 LOPD permite enviar a organizaciones y autónomos comunicaciones en papel (y llamar a la hora de la siesta) por IL. Y también permite enviar comunicaciones electrónicas por IL -pero sólo en esos supuestos tasados en el 21 LSSI-. Porque en él se regulan consentimiento e IL. IL!! IL !!!
- Las excepciones del art. 9.2 y demás aplican con normalidad. Con franqueza no entiendo en este punto lo que dice la compañera.
3.- Tesis de la compañera / AEPD.
- “La AEPD lleva repitiendo años, casi con las mismas palabras, que la norma especial para el envío de comunicaciones comerciales por medios electrónicos es la LSSI. No les van a sancionar por falta de legitimación del tratamiento si envían correos electrónicos a personas que no son clientes suyos (por ejemplo, a direcciones que han cogido de Internet). Nadie les va a preguntar por la base de legitimación del artículo 6.1 del RGPD. Les van a imputar una infracción de la LSSI.”
Ya tratada anteriormente en el apartado 39 in fine pero además:
69 Las autoridades de protección de datos son competentes para hacer cumplir el RGPD. El mero hecho de que un subconjunto del tratamiento esté incluido en el ámbito de aplicación de la Directiva no limita la competencia de las autoridades de protección de datos en virtud del RGPD.
75 (…) el tratamiento de datos personales que afecte a operaciones sujetas al ámbito de aplicación material de la Directiva puede incluir aspectos adicionales para los que la Directiva no contenga una «norma especial». Por ejemplo, el artículo 5, apartado 3, de la Directiva contiene una norma especial sobre el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un usuario final. No contiene ninguna norma especial sobre ninguna actividad previa o posterior de tratamiento (por ejemplo, el almacenamiento y el análisis de datos relativos a la actividad de navegación en la web con fines de publicidad comportamental en línea o de seguridad). En consecuencia, las autoridades de protección de datos siguen siendo plenamente competentes para evaluar la legalidad de todas las demás operaciones de tratamiento que siguen al almacenamiento o el acceso a la información en el dispositivo terminal del usuario final.
76 Una infracción del RGPD también podría constituir una infracción de las normas nacionales en materia de privacidad y comunicaciones electrónicas.
A gente como Alberto Casaseca, Gerard Espuga y a mí, nos duele la boca de preguntar por qué demonios no se castiga el scraping de datos previo y sólo la comunicación comercial inconsentida posterior. ¿Va a ser por esto?
¿Seriously?
No me vengan con el desplazamiento del RGPD porque ya se ha visto que NADA DE NADA. Cada operación de tratamiento tiene su norma aplicable: el scraping de datos su base o falta de ella, el envío de comunicaciones su base o falta de ella, y el resto de obligaciones formales accesorias (RAT, lo que sea) sus obligaciones que se cumplen (o no, por razones preocupantes).
Y tampoco me vengan con el art. 95 RGPD que me da la risa: todo el texto de la Opinión citada del EDPB interpreta ese precepto en el sentido expuesto.
En definitiva: Tesis de la compañera / AEPD.
- “Considerar que puedes enviar comunicaciones comerciales por email en base al interés legítimo, cuando no es una base legal recogida en el art. 21 de la LSSI, solo te puede llevar a problemas de incoherencia en la interpretación de los dos bloques de normas. Por ejemplo, se te puede ocurrir pensar que es posible basar en el interés legítimo el envío de emails comerciales a personas de contacto de empresas con las que no tienes relación contractual porque el art. 19 de la LOPDGDD permite el contacto B2B si utilizas emails profesionales. Esto es incorrecto. No tienes que pensar en encajar el art. 19 LOPDGDD y el art. 21 de la LSSI. La normativa de e-privacy desplaza a la de protección de datos. Si tu envías un email a una persona física que es cliente sobre servicios de un tercero te van a sancionar por incumplimiento del art. 21 de la LSSI, sin importar la base de legitimación del art. 6 del RGPD, porque existe una norma especial.
Es incorrecto sí, pero no por el argumento alegado. Y el último inciso es demencial, como hemos visto.
Muy buena semana.
Jorge García Herrero
Abogado y Delegado de Protección de datos