PROTECCIÓN DE DATOS

¿Es obligatorio el sistema de doble opt-in como mecanismo de verificación del consentimiento?

Tribuna
Consentimiento informado_img

Hoy en día marcar casillas como “Acepto recibir ofertas y promociones” se ha vuelto la forma habitual de obtener el consentimiento de los clientes para enviarles publicidad. Esto se debe a la necesidad de que, de conformidad con el Reglamento General de Protección de Datos (RGPD), el consentimiento consista en un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado (sistema de opt-in tradicional).

No obstante, cada vez son más los países del Espacio Económico Europeo (EEE) en los que se ha consolidado, a través del case law, la obligación de exigir el método de doble confirmación, conocido como sistema de doble opt-in, con el fin de obtener el consentimiento de los interesados para la recepción de comunicaciones comerciales. Ejemplo de ello son Alemania, Austria, Grecia, Suiza, Luxemburgo o Noruega.

El sistema de doble opt-in se puede definir como aquel que exige obtener dos veces el consentimiento de los individuos. Es decir, se trata de obtener el consentimiento a través del opt-in tradicional (normalmente, marcando una casilla o completando el dato requerido), y posteriormente, exigir al interesado que confirme su consentimiento, al mismo tiempo que se verifica su identidad. Generalmente esto se hace mediante el envío de un mensaje a la dirección de correo electrónico proporcionada por el usuario  en el que tenga que pulsar (de nuevo, activamente) un enlace o mecanismo similar para confirmar su consentimiento y su identidad.

A modo de ejemplo, en Alemania, esta obligación no se encuentra prevista legalmente. No obstante, la Autoridad Federal Alemana de Protección de Datos (BFDI), en su Guía sobre el tratamiento de datos personales con fines de marketing directo, ha señalado que “el procedimiento de doble opt-in es necesario para verificar la declaración de voluntad del interesado, por lo que los requisitos de verificación del BGH (sentencia de 10 de febrero de 2011 - I ZR 164/09) deben tenerse en cuenta en el registro. El procedimiento debe poder aportar la prueba del consentimiento específicamente en lo que respecta a los medios de comunicación utilizados para la publicidad. El mero registro de una dirección IP y la afirmación de que se ha dado el consentimiento desde esta dirección IP no es suficiente…”.

Así las cosas, en lo que respecta a España, ni la Ley Orgánica de Protección de Datos (LOPDGDD) ni la Agencia Española de Protección de Datos (AEPD) hasta el momento, han establecido la obligación de implantar el procedimiento de doble opt-in para considerar que el consentimiento se ha obtenido correctamente. En este sentido,  se han atenido tanto a la normativa aplicable (RGPD, LOPDGDD y Ley de Servicios de la Sociedad de la Información) como a las Directrices 5/2020 sobre el consentimiento del Comité Europeo de Protección de Datos (CEPD), en cuanto a que el consentimiento debe darse mediante un acto afirmativo, especificando que dicho acto afirmativo podría obtenerse mediante el marcado de una casilla de un sitio web en Internet, sin ninguna referencia adicional relativa a un procedimiento de doble opt-in.

Ahora bien, la STS 543/2022 del 15 de febrero de 2022 añade un matiz a lo anterior, si bien más vinculado al ámbito de la seguridad que a la validez del consentimiento. La sentencia trata un supuesto en el que una entidad financiera fue sancionada porque uno de sus trabajadores rellenó en un formulario un correo electrónico erróneo, provocando que el titular de dicho correo (el denunciante) recibiera 14 contratos de financiación en los que figuraban los datos del solicitante de financiación.

A este respecto, el Tribunal Supremo (TS) ratificó el criterio de la AEPD alegando que la empresa no había adoptado medidas técnicas y organizativas necesarias para verificar con seguridad la identidad del cliente, haciendo referencia expresa al sistema de doble opt-in como un sistema idóneo a tal efecto:

“el programa utilizado para la recogida de los datos de los clientes no contenía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia y si realmente pertenecía a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello. El estado de la técnica en el momento en el que se produjeron estos hechos permitía establecer medidas destinadas a comprobar la veracidad de la dirección de email, condicionando la continuación del proceso a que el usuario recibiese el contrato en la dirección proporcionada y solo desde ella prestase el consentimiento necesario para su recogida y tratamiento. Medidas que no se adoptaron en este caso.

(…) En efecto, en el 2018 existía un sistema de verificación del correo electrónico conocido como "doble opt-in" consistente en un proceso de aceptación de unas normas o condiciones de uso cuyo principal objetivo es el de verificar que los usuarios son quienes dicen ser y no son ni robots creando suscripciones automáticas, ni correos Spam, o terceras personas generando suscripciones fraudulentas utilizando correos electrónicos que no son de su propiedad. Se trata de un proceso de doble verificación que asegura que los usuarios han aceptado la política de tratamiento de datos y/o las condiciones de privacidad antes de recibir cualquier tipo de comunicación y evita que los documentos vayan a una dirección equivocada. En definitiva, se trata de comprobar que la información recogida es correcta y veraz”.

A pesar de que en la sentencia citada el TS hace referencia al sistema de doble opt-in, se debe matizar que únicamente lo menciona como una alternativa idónea para verificar la identidad del usuario, no como una medida que se deba implantar obligatoriamente ni como la única válida a tal efecto.

Por todo ello podemos concluir que, a día de hoy, en España no es obligatorio el sistema de doble verificación para obtener válidamente el consentimiento de los interesados (incluyendo el necesario para recibir comunicaciones comerciales), sin perjuicio de la necesidad de contar con medidas técnicas y organizativas adaptadas a cada caso concreto para verificar que la información recogida es correcta y veraz. Así, una vez más se muestra que el cumplimiento de la normativa de protección de datos es un proceso complejo y con el fin de evitar riesgos, será necesario efectuar una evaluación específica de cada supuesto en el que se recogen datos personales por medio de casillas o formularios, para valorar la necesidad de un sistema de doble verificación y la forma de implantarlo.

 


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación