Mediante la Ley N° 29571, Código de Protección y Defensa del Consumidor (el “CODECO”) se busca proteger a los consumidores. Por su parte, mediante la Ley N° 29733, Ley de Protección de Datos Personales (la “LPDP”), se busca proteger los datos personales de las personas naturales. Estas legislaciones tienen claros puntos de contacto.
Por ejemplo, si un consumidor desea presentar un reclamo en contra de un proveedor, podrá hacerlo a través del Libro de Reclamaciones, conforme lo establece el CODECO. Sin embargo, para obtener una respuesta del proveedor deberá proporcionar ciertos datos personales, entre ellos, su nombre, su documento nacional de identidad y su teléfono, situación que “gatillaría” la aplicación de la LPDP. De forma similar, aquellas empresas que desean comunicarse con los consumidores para promocionar la contratación masiva de sus productos y/o servicios deberán obtener el consentimiento previo de estos, conforme lo establece el CODECO. De esta forma, si el consumidor brinda su consentimiento, el proveedor podrá recopilar y almacenar ciertos datos personales, como por ejemplo el correo electrónico o número telefónico al cual podrá contactarse, “gatillando” nuevamente la aplicación de la LPDP.
Pese a la convergencia natural del CODECO y de la LPDP, según se ha visto, el INDECOPI y la Autoridad Nacional de Protección de Datos Personales no mantienen criterios uniformes a la fecha. Así, según los recientes criterios que pasamos a explicar, el cumplimiento de una normativa podría implicar el incumplimiento de la otra.
– Sobre el uso de check box en los Libros de Reclamaciones Virtuales
Según se ha indicado, cuando un consumidor está interesado en presentar un reclamo ante un proveedor deberá proporcionar ciertos datos personales en el Libro de Reclamaciones. Hoy en día el formato más utilizado es el Libro de Reclamaciones de naturaleza virtual, alojado en la web de los proveedores.
Si bien los proveedores no requieren del consentimiento de los consumidores para tratar los datos personales que estos incluyen en el Libro de Reclamaciones Virtual, sí deben cumplir con informar cuáles serán los alcances de dicho tratamiento. Por ejemplo, en qué banco de datos se almacenará su información personal, período de conservación, donde podrán ejercer sus derechos ARCO, entre otros. Esta información se suele trasladar a través de una política de privacidad.
De acuerdo con la LPDP, los proveedores son los que tienen la carga de acreditar que cumplieron con informar al consumidor sobre los alcances del tratamiento de su información personal. En esa línea, la Autoridad Nacional de Protección de Datos Personales considera como una fórmula válida para acreditar dicho deber -en el ámbito digital- que el consumidor marque en un check box o casilla que “ha leído y acepta la política de privacidad”.[1]
Sin embargo, según una reciente decisión de la Sala Especializada en Protección al Consumidor del INDECOPI, la inclusión de un check box de marcado obligatorio de manera previa al ingreso de un reclamo en el Libro de Reclamaciones Virtual, es una conducta prohibida por el CODECO. Ello pues, a su entender, se estaría exigiendo al consumidor un requisito no previsto en la legislación de consumo para ejercer su derecho a reclamar.[2]
Así las cosas, los proveedores que deseen cumplir con su deber de informar, conforme a la LPDP, no podrán hacer uso del check box de marcado obligatorio en el caso del Libro de Reclamaciones Virtual, sin exponerse a una potencial sanción por parte del INDECOPI.
– Sobre la implementación de las listas prohibidas
Según se ha indicado, los proveedores están prohibidos de emplear comunicaciones (llamadas, mensajes de texto, correos o similares) para promover la contratación masiva de sus productos y/o servicios, si es que no obtuvieron el consentimiento previo del consumidor. En recientes pronunciamientos, la Comisión de Protección al Consumidor N° 3 del INDECOPI ha determinado la responsabilidad administrativa de proveedores que no cumplieron con la obligación antes descrita. Como consecuencia de ello, les ordenó en calidad de medida correctiva que implementen una lista prohibida que incluya a (i) los consumidores que contactaron sin su consentimiento; y, (ii) los consumidores que ya no desean recibir más comunicaciones comerciales.[3]
La medida correctiva antes descrita presenta dos (2) posibles escenarios:
(i) La persona natural que ha revocado su consentimiento para recibir comunicaciones de índole publicitario es cliente del proveedor (el “Primer Escenario”); y,
(ii) La persona natural que ha revocado su consentimiento para recibir comunicaciones de índole publicitario no es cliente del proveedor (o no se cuenta con su consentimiento) (el “Segundo Escenario”).
La medida correctiva antes descrita podría aplicarse en el Primer Escenario. Ello debido a que la empresa si bien ya no puede enviar comunicaciones publicitarias a su cliente, si mantiene legitimidad para conservar sus datos mientras se encuentre vigente su vínculo contractual, pudiendo incluso comunicarse con su cliente para la ejecución propia de esta relación.
Sin embargo, la medida correctiva antes descrita no podría aplicarse bajo el Segundo Escenario sin incumplir con la LPDP. Ello debido a que si el titular del dato personal revoca su consentimiento (o si este nunca fue proporcionado), no existe ninguna legitimidad para mantener su información personal almacenada en alguna base de datos, aun si esta tiene por objeto dejar de contactarlo. Lo contrario, podría llevarnos a una situación poco razonable en la cual el titular del dato personal podría solicitar expresamente que su información personal sea eliminada, conforme lo permite la LPDP, siendo que en dicho escenario el proveedor no la eliminaría sino que sólo la trasladaría a una lista prohibida.
Así las cosas, los proveedores que acaten la medida correctiva antes descrita -en el caso particular del Segundo Escenario- podrían terminar siendo sancionados posteriormente por infringir la LPDP.
En nuestra opinión, la legislación de consumo y la legislación de datos personales pueden conversar e ir de la mano. Sin embargo, las autoridades a cargo de la aplicación de estos cuerpos normativos -al parecer- aún no lo hacen. Esperamos, por el bien de la seguridad jurídica de los administrados, que este panorama pueda corregirse en el corto plazo pues no resulta lógico que, para cumplir con una norma, se termine vulnerando otra.
* * *
Para cualquier aclaración o ampliación con relación al contenido del presente memorando, por favor contacte al Dr. Carlos Patrón, al Dr. Giancarlo Baella, a la Dra. Ana Lucía Figueroa o a la Dra. Jimena Pérez en las siguientes direcciones electrónicas: cap@prcp.com.pe, gbp@prcp.com.pe, afd@prcp.com.pe y jpd@prcp.com.pe.
[1] Ver página 29 de la Guía práctica para la observancia del “deber de informar”. [2] Ver Resolución N° 612-2020/SPC-INDECOPI. [3] Ver Resoluciones N° 087-2020/CC3, N° 093-2020/CC3, N° 097-2020/CC3 y N° 105-2020/CC3, entre otras.