22 noviembre 2018

Las buenas prácticas en el marketing legal: publicidad agresiva en el ámbito de la protección de datos

Francisco Pérez Bes Por Francisco Pérez Bes
TWITTER @pacoperezbes 

I. Modificación del régimen de la publicidad de abogados en la nueva LOPDGDD

En fecha 21 de noviembre de 2018, el Senado aprobó el Proyecto de Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, con el que se adapta finalmente a nuestro ordenamiento jurídico el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a su libre circulación.

Como novedad destacable a los efectos que aquí nos ocupan, cabe mencionar la inclusión de una Disposición adicional decimosexta que lleva por título “Prácticas agresivas en materia de protección de datos”, que introduce una modificación en el artículo 8 de la Ley 3/1991, de 10 de enero, de competencia desleal a través de la cual se regulan cinco nuevos supuestos de prácticas comerciales agresivas relacionadas con la protección de datos personales.

Con carácter previo, hay que recordar que el citado artículo regula la prohibición de realizar este tipo de prácticas cuando considera desleal todo comportamiento que teniendo en cuenta sus características y circunstancias, sea susceptible de mermar de manera significativa, mediante acoso, coacción, incluido el uso de la fuerza, o influencia indebida, la libertad de elección o conducta del destinatario en relación al bien o servicio y, por consiguiente, afecte o pueda afectar a su comportamiento económico.

Además, las prácticas comerciales desleales por agresivas también se encuentran contempladas en otros artículos de la propia Ley, como son el 22.6, 28, 29, 30 y 31, en la que se trasponen los supuestos de la conocida como “lista negra” de la Directiva sobre Prácticas Comerciales Desleales.

Estos nuevos supuestos que parece va a introducir la nueva Ley son, a fecha de hoy, los siguientes:

a) Suplantar la identidad de la Agencia

El primero de los supuestos contemplados en esta Disposición adicional consiste en actuar con intención de suplantar la identidad de la Agencia Española de Protección de Datos o de una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos o a los interesados.

Como puede fácilmente observarse, este supuesto contiene dos requisitos de carácter cumulativo, como es, de un lado, que se dirija una comunicación. Y, de otro, que se pretenda suplantar la identidad del regulador.

Este supuesto no contempla una exigencia de resultado, sino que se trata de una práctica desleal que sanciona una actuación comercial en la que su autor intenta suplantar a alguno de los organismos citados, mediante el envío de una comunicación que pueda inducir a su destinatario a creer que el verdadero remitente es la Agencia Española de Protección de Datos o alguna de las autoridades autonómicas. En este caso, no parece exigirse que el engaño sea de suficiente entidad como para que exista riesgo de inducción a error en el destinatario acerca de la verdadera identidad del remitente, sino que parece que la deslealtad consiste en la práctica de la mera intención de suplantar durante una comunicación dirigida a intervinientes directos (responsable y encargado) pero también indirectos, como son los interesados, concepto este último que parece requerir una análisis particularizado en cada caso.

En este caso, lo que en la práctica parece requerir siempre va a ser la utilización de la imagen y denominación de –como mínimo- alguno de los organismos citados, e incluso de la identidad de alguno de sus representantes. De ahí que la deslealtad de la práctica pueda, asimismo, incluir algún otro tipo de infracción marcaria o, incluso, derivar en algún supuesto tipificado como delito.

b) Falso aval de la Agencia

En este caso, la deslealtad en la práctica consiste en aparentar que la empresa que remite a un tercero una comunicación comercial en la que ofrece sus productos o servicios, lo hace en nombre o con la colaboración de la Agencia Española o de alguna de las autoridades autonómicas.

El tenor literal de este supuesto es el siguiente: b) Generar la apariencia de que se está actuando en nombre, por cuenta o en colaboración con la Agencia Española de Protección de Datos o una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos en que la remitente ofrezca sus productos o servicios.

Este podría ser el caso en el que una empresa que prestase servicios relacionados con la protección de datos (pe., una empresa que ofrezca servicios de auditoría) lo haga afirmando que alguno de esos reguladores colabora con ella de algún modo, sin ser cierto, aunque parece que debe hacerlo con un grado de credibilidad suficiente como para que se genere una falsa apariencia en su destinatario.

En este caso, al igual que en el caso anterior, también parece que el intento de engaño en el destinatario deberá llevarse a cabo a través del uso ilegítimo del nombre o la imagen de alguno de esos reguladores.

c) Miedo a la sanción de la Agencia

En este caso, se considera práctica agresiva el realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos personales.

El miedo a una sanción administrativa se utiliza aquí como argumento para afectar el poder de decisión del destinatario al incluir referencias a posibles sanciones, de manera que se considere factible que ese destinatario tome una decisión económica que, de otro modo, no hubiera tomado.

A la vista de esta figura, lo que parece que se quiere sancionar es la utilización de referencias a las sanciones de la Agencia como argumento comercial, si bien tales referencias deberán de ser de suficiente entidad para poder considerar que se coarta el poder de decisión del empresario destinatario de la comunicación comercial en cuestión.

d) Falsedad en la acreditación de formación

La letra d) de esta Disposición incluye un supuesto que consiste en ofrecer cualquier tipo de documento por el que se pretenda crear una apariencia de cumplimiento de las disposiciones de protección de datos de forma complementaria a la realización de acciones formativas sin haber llevado a cabo las actuaciones necesarias para verificar que dicho cumplimiento se produce efectivamente.

Esta práctica, de confusa redacción, se centra en el ofrecimiento de certificados con apariencia de ser títulos que legitimen al desarrollo de determinadas actuaciones amparadas en el marco de la protección de datos, dentro de lo que parecería encajar, por ejemplo, la certificación de DPD.

e) Falso DPD

Asumir, sin designación expresa del responsable o el encargado del tratamiento, la función de delegado de protección de datos y comunicarse en tal condición con la Agencia Española de Protección de Datos o las autoridades autonómicas de protección de datos, se convierte en la última práctica comercial desleal por agresiva recogida en esta propuesta de modificación.

Este caso parece que persigue incentivar el efectivo nombramiento y notificación formal del DPD con carácter previo a su interlocución con la agencia Española, tratando de evitar la intervención de personas que, aun formando parte de la empresa afectada, no han sido oficialmente nombradas ante la Agencia como Delegado de Protección de Datos. Con la inclusión de esta práctica parece perseguir la protección de la exclusividad de ese perfil en su relación con el regulador

II. Impacto deontológico de las nuevas prácticas desleales previstas en la LOPDGDD

Además de la repercusión que desde el punto de vista de la normativa sobre competencia desleal puedan tener estas nuevas actuaciones, que la LOPDGDD tipifica ahora como desleales, en lo que respecta al régimen deontológico, algunas de ellas pueden también afectar a alguno de los principios actualmente previsto en el código deontológico vigente. Nos referimos, por ejemplo, a la obligación de realizar publicidad legal y leal (artículo 7), de no actuar con deslealtad en el mercado (artículo 8) o mantener ciertos principios en la relación con terceros, especialmente con clientes (artículo 13).

Francisco Pérez Bes
TWITTER: @pacoperezbes

Comparte: