La disposición
básica en el Derecho de la UE para hacer frente al spam, o envío masivo de
comunicaciones comerciales no solicitadas por correo electrónico o medio
equivalente, continúa siendo el artículo 13 de la Directiva 2022/58 (modificado
por la Directiva 2009/136) relativa
al tratamiento de los datos personales y a la protección de la intimidad en el
sector de las comunicaciones electrónicas. Su contenido, con ciertas modificaciones,
se encuentra incorporado básicamente en el artículo 21 de la Ley 34/2002 o
LSSICE (redactado conforme a la Ley 9/2014). El artículo 13 de la Directiva
2002/58 adoptó un régimen restrictivo, que en su apartado 1 subordina el envío
de mensajes de correo electrónico “con fines de venta directa” a que los abonados
o usuarios hayan dado su consentimiento previo. No obstante, su apartado 2
contiene una importante excepción, en virtud de la cual tal consentimiento no
es necesario cuando la dirección de correo electrónico haya sido obtenida -conforme
al RGPD- por el remitente “en el contexto de la venta de un producto o de un
servicio” y “se utilice para la venta directa de sus propios productos o
servicios de características similares”. La excepción sólo opera si se cumplen
ciertas condiciones, en particular, que se ofrezca al destinatario la posibilidad
de oponerse a esa utilización de las señas electrónicas en el momento en que se
recojan y cada vez que reciban un mensaje (apdo. 2), al tiempo que el envío de
mensajes electrónicos con fines de venta directa debe respetar en todo caso ciertos
requisito (apdo. 4, por ejemplo, en relación con la identificación del
remitente). La sentencia de hoy del Tribunal de Justicia en el asunto Inteligo
Media, C-654/23, EU:C:2025:871,
tiene el interés de precisar, en relación con el envío de boletines informativos
a quienes se registran en servicios gratuitos, el alcance de la excepción del artículo
13.2 RGPD, y se presta también a ciertas consideraciones en relación con su
transposición en España.
I. Interpretación amplia de cuándo el envío del mensaje se produce con “fines
de venta directa”
En el litigio
principal el tipo de mensaje de correo electrónico controvertido era el envío
de un boletín informativo con un resumen de novedades legislativas desarrolladas
en artículos de una publicación de prensa en línea, a los que se ofrecía enlaces
en el boletín. Los destinatarios de los mensajes tenían la posibilidad de acceder
gratuitamente a un número limitado de artículos al mes en la publicación de prensa
en línea. Si querían acceder a más de ocho artículos al mes en esa publicación,
debían contratar una opción de pago.
El Tribunal de Justicia concluye que, en la
medida en que tal boletín electrónico incita a acceder al contenido de pago y a
suscribirse al servicio que permite acceso ilimitado a los artículos, cabe
apreciar que su envió se efectúa con “fines de venta directa” a los efectos de
los apartados 1 y 2 del artículo 13 de la Directiva 2002/58. Se trata de una
comunicación que persigue la comercialización del contenido que incita a consultar
y una comunicación que aparece directamente en la bandeja de entrada de sus
destinatarios (apdo. 45 de la nueva sentencia).
Desde la perspectiva del Derecho español, en
la transposición del artículo 13 de la Directiva se optó por emplear los
términos “comunicaciones publicitarias o promocionales” (art. 21.1 LSSICE) y “comunicaciones
comerciales” (art. 22.2 LSSICE) en lugar de comunicaciones para la “venta directa”.
En principio, el término “comunicación comercial” es más amplio que el de venta
directa, de modo que “toda venta directa constituye comunicación comercial,
pero no toda comunicación comercial constituye venta directa” (apdo. 56 de las
conclusiones del AG Szpunar de 27 de marzo de 2025 en este asunto, EU:C:2025:213 ). En todo caso, la
interpretación amplia del término “venta directa” a estos efectos aproxima
ambos conceptos, lo que condiciona que el TJUE considere que en el presente caso
no resulta preciso dar respuesta a la tercera cuestión prejudicial, relativa,
precisamente, a si el artículo 13.1 y 2 de la Directiva 2002/58 se opone a una
normativa nacional como la rumana que (de manera similar a la española) utiliza
el concepto de «comunicación comercial» en lugar del de «venta directa» (apdo.
73 de la sentencia).
II. Requisito de la obtención de la dirección electrónica “en el
contexto de la venta de un producto o de un servicio”
Conforme al texto del artículo 13.2 de la
Directiva 2002/58, la posibilidad de envío de mensajes de correo electrónico
con fines de venta directa sólo opera si la dirección electrónica se ha
obtenido en el contexto de la venta de un producto o servicio. Ciertamente, según
esa disposición, las señas electrónicas de clientes deben haber sido obtenidas
por el remitente de dicha comunicación «en el contexto de la venta […] de un
servicio». Pese a admitir que el término «venta» designa un acuerdo que implica
necesariamente el pago de una remuneración (apdo. 53 de la sentencia), la idea
de que tal remuneración puede ser abonada por terceros distintos de los
usuarios del servicio (apdo. 54), facilita una interpretación de este requisito
que permite que se cumpla en situaciones en las que una persona se limita a darse
de alta en un servicio en línea gratuito.
La sentencia avala que la obtención por el
remitente -de conformidad con el RGPD- de la dirección de correo electrónico en
el marco del mero registro por el destinatario tendente a la creación de una
cuenta gratuita en la plataforma del remitente satisface el requisito de haberse
obtenido en el contexto de la venta de un servicio. En concreto, será así al
menos en todas aquellas situaciones en las que el coste de la prestación de ese
servicio gratuito (el acceso y uso de la plataforma por el destinatario cuya
dirección electrónica se recaba) queda integrado indirectamente en el precio de
otros bienes o servicios que proporciona el remitente (por ejemplo, a través del
cobro de los servicios de pago que también ofrece el proveedor de la plataforma).
El Tribunal de Justicia vincula esta
interpretación amplia con la circunstancia de que el considerando 41 de la Directiva
2002/58 hace referencia a que la excepción que permite el envío sin consentimiento
previo está pensada para operar cuando las señas electrónicas de los usuarios “se
hayan obtenido «en el contexto de una relación preexistente con el cliente»” (apdo.
61 de la sentencia reseñada). Se trata de un planteamiento que tiene reflejo en
el artículo 21.2 LSSICE, que formula este requisito alejándose del tenor literal
del artículo 13.2 de la Directiva 2002/58. El artículo 21.2 LSSICE no hace
referencia a la exigencia de que la dirección electrónica se haya obtenido «en
el contexto de la venta de un producto o de un servicio», sino que se limita a
exigir únicamente que “exista una relación contractual previa” entre el
remitente de la comunicación -que debe haber obtenido de forma lícita los datos
de contacto- y el destinatario en cuestión.
III. Tratamiento de direcciones de correo electrónico para el envío de
comunicaciones no solicitadas.
En la respuesta a la
segunda cuestión prejudicial, el Tribunal de Justicia confirma, a partir de lo
dispuesto en el artículo 95 RGPD y del contenido de su considerando 173, que el
tratamiento de la dirección de correo electrónico del destinatario para el
envío de una comunicación no solicitada en los términos del artículo 13.2 de la
Directiva 2002/58 no está sometido a las condiciones de licitud del artículo 6
RGPD. El RGPD no impone obligaciones adicionales con respecto a los ámbitos en
los que la Directiva 2002/58 establece obligaciones específicas con el mismo
objetivo. Por lo tanto, la
licitud de un tratamiento de datos personales -típicamente la dirección
electrónica del destinatario- en relación con el envío de las comunicaciones a las
que se refiere el artículo 13.2 puede determinarse sobre la base de esta
disposición (apdo. 68 de la nueva sentencia).
Ahora bien, lo
anterior no impide apreciar que la obtención de esos datos personales sí es
típicamente un tratamiento previo cuya licitud debe determinarse sobre la base del
artículo 6.1 RGPD, por ejemplo, al haber obtenido el consentimiento del
interesado en los términos de su letra a). Así resulta del propio tenor literal
del artículo 13.2 de la Directiva 2002/58 (que se refiere a la Directiva
95/46/CE, sustituida por el RGPD) y del artículo 21.2 LSSSICE, que hace referencia
a la exigencia de que el prestador haya “obtenido de forma lícita los datos de
contacto del destinatario”.
