La protección del consumidor digital: los datos personales en el comercio electrónico

• Autor: Javier Jesús Aliño Sehwerert
• Cargo: Abogado, asociado en Cuatrecasas.
• Páginas: 97-115

1. - Introducción

La imparable evolución tecnológica que ha venido de la mano de la Era Digital ha traído consigo nuevos retos para la sociedad, la economía y la ley. Uno de los más recientes desafíos que se ha planteado al ordenamiento jurídico ha sido la necesidad de dotar de seguridad a las relaciones contractuales, como consecuencia de que la inmediatez entre comprador y vendedor ha ido quedando en un segundo plano.

La adquisición de bienes y servicios por medios electrónicos ha tomado protagonismo, dadas sus innumerables ventajas, si bien también ha generado cierta desconfianza en los adquirentes, que ya no se encuentran físicamente ante el vendedor, ni pueden comprobar de antemano las características físicas de la mercancía, ni cuentan con un establecimiento al que acudir a reclamar.

Por ello, los poderes públicos han abordado el comercio por medios electrónicos desde diferentes enfoques, con el objetivo de garantizar un mayor nivel de seguridad y confianza en el comprador. Uno de esos enfoques ha sido el de la protección de los datos personales, cuya incidencia en las transacciones comerciales es enorme y su correcta adaptación por el empresario-responsable de los datos personales resulta imprescindible para poder acceder al tráfico comercial de una manera lícita.

1.1. - El consumidor como titular de datos personales

El Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el Texto Refundido para la Defensa de los Consumidores y Usuarios, (en adelante, TRLGDCU) define inicialmente, en el primer párrafo de su artículo 3, al consumidor como aquella “persona física que actúa con un propósito ajeno a su actividad comercial, empresarial, oficio o profesión”, si bien en el segundo párrafo amplía la definición para incluir en el concepto a las “personas jurídicas y entidades sin personalidad jurídica que actúan sin ánimo de lucro en un ámbito ajeno a su actividad comercial o empresarial”.

Por su parte, el artículo 4 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 , (en adelante, RGPD, por sus siglas en inglés), ciñe la definición de “datos personales” únicamente a las personas físicas identificadas o identificables.

De modo que un análisis conjunto de ambas normas nos limita el espectro a aquellos consumidores personas físicas cuyos datos personales permitan su identificación directa o indirectamente. Ello nos permite acotar el estudio a los consumidores-titulares de datos personales, frente a los empresarios-responsables de los datos personales.

1.2. - Normativa aplicable

1.2.1.- En materia de consumidores y usuarios

El TRLGDCU, recientemente modificado por la Ley 3/2014, de 27 de marzo , cumple una función reguladora de la relación contractual y tuitiva del consumidor, ante la usual “desproporción” de medios de éste frente al empresario.

Ese “desequilibrio” contractual se hace aún más evidente en la contratación masiva con la introducción de condiciones generales de la contratación, que limitan la capacidad de negociación de los consumidores a unas cláusulas previamente dispuestas por el empresario. De ahí la necesidad de una regulación de dichas cláusulas, que ha venido de la mano de la Ley de Condiciones Generales de la Contratación (en adelante, la LCGC).

La conjunción de estas normas permite a los tribunales analizar la abusividad de las cláusulas insertas en los contratos, pudiendo incluso declararlas nulas como consecuencia de un defecto de inclusión (por ejemplo, cláusulas ilegibles u opacas) o un defecto de transparencia (a causa de un déficit informativo imputable al empresario), con las consecuencias jurídicas y económicas que ello conlleva.

Además, la protección del consumidor se recoge en otras muchas normas que analizan cuestiones concretas del Derecho de Consumo. Así, por ejemplo, la Ley 3/1991, de 10 de enero, de Competencia Desleal (en adelante, LCD), en relación con las prácticas comerciales desleales con el consumidor; normativa en ramas específicas del Derecho de Consumo, como la Ley 16/2011, de Crédito al Consumo , o la Ley 7/1996, de Ordenación del Comercio Minorista ; así como numerosa regulación de índole administrativa.

Cabe añadir que la actividad de los tribunales en esta materia está siendo muy extensa, en la que destaca, especialmente, el Tribunal de Justicia de la Unión Europea, que cumple una labor de interpretación que deviene esencial¹.

1.2.2.- En materia de protección de datos

El antes mencionado RGPD ha supuesto una modificación estructural en la forma en la que, hasta el pasado mes de mayo de 2018, se abordaba la protección de los datos personales en la Unión Europea. Este cambio va dirigido a crear un marco mucho más favorable para los afectados, sentando las bases de un estudio previo de los riesgos que la actividad del responsable de los datos entraña para los datos personales.

Ello supone un avance en la materia, pues se pasa de un cumplimiento formalista a uno de autoconocimiento y de responsabilidad proactiva sobre las propias actuaciones, de manera que los responsables deben adoptar las medidas más adecuadas en función de los riesgos apreciados por cada uno de ellos².

El RGPD, sin perjuicio de que resulta de aplicabilidad directa en España, está en proceso de adaptación a nuestro ordenamiento, ya que modifica profundamente lo dispuesto en la Ley Orgánica 15/1999, de Protección de Datos (en adelante, LOPD), de modo que estamos a la espera de una nueva LOPD que incorpore la regulación del RGPD.

Hasta entonces, la labor interpretativa y formadora de la Agencia Española de Protección de Datos (en adelante, AEPD), está siendo muy útil y necesaria, gracias a la publicación de guías y poniendo a disposición de los responsables de medios sencillos y ágiles para facilitar su adaptación³.

1.2.3.- En materia de comercio electrónico

La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, LSSICE), cierra el círculo en torno al “destinatario” de los denominados “servicios de la sociedad de la información”, que la norma define como aquellos “prestados a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario”.

Esta norma recoge los deberes de los prestadores de servicios de la sociedad de la información en relación con la información que deben ofrecer en las plataformas digitales que utilicen y su régimen de responsabilidad. Asimismo, introduce en nuestro ordenamiento jurídico la regulación sobre las conocidas “cookies” y establece ciertas condiciones en torno a la contratación electrónica.

Esta norma permite segmentar la categoría de “consumidor digital”, disponiendo normas específicas respecto a las relaciones comerciales que se realice por medios electrónicos, también con el fin de dotar de mayor transparencia y confianza a la contratación virtual, teniendo en cuenta que los “destinatarios” serán, en su mayoría, esos consumidores que protege el TRLGDCU.

1.3. - La protección virtual del consumidor digital

Los cuerpos legislativos antes analizado cumplen funciones y cubren áreas de regulación diferentes, si bien confluyen en su afán por garantizar una protección del consumidor-titular de derechos personales, de manera que la relación comercial sea equilibrada y cumpla con las condiciones necesarias para ser considerada lícita.

Es por ello que podemos identificar ciertas similitudes en lo que se refiere a sus principios inspiradores y los deberes esenciales que se exigen a los empresarios-responsables, por ejemplo, en relación con la necesidad de contar con un consentimiento correctamente formado e informado del consumidor-titular, o la necesidad de actuar de forma transparente.

La particular regulación de la normativa en materia de protección de datos y de comercio electrónico permite un acercamiento individualizado, del que se ocupa este artículo, que se centra en los deberes de los empresarios y los derechos de los consumidores digitales, sin perjuicio de que gran parte del análisis sea igualmente extensible a los consumidores tradicionales.

Cuando nos referimos al “consumidor digital”, como categoría específica de consumidor, lo hacemos con el objetivo de acotar este análisis a aquellas obligaciones que van referidas específicamente a las relaciones con consumidores que adquieren bienes o servicios por medios electrónicos. Esta categoría de consumidores está en un indiscutible auge y posee características diferentes a los consumidores analógicos: multicanalidad, exige disponibilidad inmediata y rapidez, puede ofrecer una “feedback” continuo en plataformas de opinión, posee una capacidad de comparación con otros prestadores de servicio que no se había visto ahora y está mucho mejor informado⁴.

2. - Obligaciones básicas del empresario en relación con los consumidores digitales

Los datos personales constituyen una parte fundamental de cualquier empresa, ya se trate de información sobre sus clientes, empleados, proveedores o contactos. En gran medida, de la correcta recopilación, utilización y conservación de los mismos dependerá la operativa de la compañía. El empleo de medios telemáticos facilita y agiliza todas las fases de tratamiento de los datos personales, pero también supone nuevos peligros para su confidencialidad, integridad y seguridad.

Por ello, las normas en esta materia pretenden dotar a los responsables de dichos datos de las herramientas necesarias para otorgar un nivel de seguridad adecuado, y permitir al...