Renata Figueroa,
asociada de Echecopar, con experiencia en derecho de la competencia, regulación publicitaria, protección al consumidor, telecomunicaciones y protección de datos personales. Cuenta con conocimiento en la aplicación de normativa nacional sobre dichas materias, así como en el análisis de operaciones de concentración empresarial en diversas industrias. Asimismo, cuenta con amplia experiencia en la implementación de la normativa sobre protección de datos personales en los procesos de empresas, además de competencias en resolución de conflictos y procedimientos administrativos sancionadores ante el INDECOPI y la Autoridad Nacional de Protección de Datos Personales.
1. Introducción:
En los últimos años, las empresas que ejecutan estrategias de marketing directo han enfrentado una fiscalización más activa en torno al tratamiento de datos personales y al envío de comunicaciones comerciales. Llamadas telefónicas, correos electrónicos, mensajes de texto y demás canales de contacto directo se han convertido en objeto de especial vigilancia, impulsada por el incremento sostenido de denuncias de ciudadanos que señalan haber sido contactados para recibir este tipo de comunicaciones sin haber otorgado una autorización previa válida.
En el Perú, se cuenta con dos autoridades con competencias concurrentes relacionadas con la protección de los ciudadanos frente a estas prácticas. Por un lado, la Autoridad Nacional de Protección de Datos Personales (“ANPD”), cuyas funciones se desarrollan en el marco de la Ley N° 29733 y su Reglamento aprobado mediante el Decreto Supremo N° 016‑2024‑JUS (la “Normativa de Datos”). Por otro lado, el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (“INDECOPI”), encargado de velar por el cumplimiento del Código de Protección y Defensa del Consumidor (el “Código de Consumo”).
Ambos marcos normativos exigen que, para remitir comunicaciones comerciales directas, las empresas cuenten con un consentimiento libre, previo, informado, expreso e inequívoco por parte del usuario. No obstante, pese a que —en teoría— ambos regímenes comparten estos requisitos[1], cada autoridad ha desarrollado criterios propios sobre cuándo el consentimiento puede considerarse realmente válido.
Esta falta de alineamiento genera un escenario en el que un consentimiento que cumple con los estándares de una autoridad podría ser cuestionado por la otra, generando contingencias y un entorno de evidente inseguridad jurídica. La consecuencia práctica es clara: las organizaciones no deben limitarse a “cumplir” formalmente con un marco, sino asegurarse de que su modelo de gestión de consentimiento resista el análisis de ambos reguladores.
En ese contexto, el presente artículo analiza los criterios aplicados por la ANPD y por INDECOPI para determinar la validez del consentimiento, así como las diferencias que pueden generar evaluaciones contradictorias. El objetivo es ofrecer a las empresas algunas recomendaciones para alinearse con el entorno regulatorio actual, permitiéndoles anticipar riesgos, fortalecer sus procedimientos internos y adoptar prácticas que aseguren un cumplimiento integral.
2. Criterios de validez del consentimiento según la Normativa de Datos:
En el marco de la Normativa de Datos, el consentimiento es la base que habilita el tratamiento de datos personales para finalidades específicas, como el envío de comunicaciones comerciales. La ANPD ha sido consistente en señalar que un consentimiento se considera válido cuando cumple simultáneamente con las siguientes características: libre, previo, informado, expreso e inequívoco. La ausencia o deficiencia en cualquiera de estos elementos invalida la autorización otorgada y expone a las empresas a sanciones.
En lo referido específicamente al envío de comunicaciones comerciales directas, la ANPD ha desarrollado criterios aclarativos a través de resoluciones y opiniones consultivas que permiten entender cómo deben aplicarse estas características. A continuación, se presentan los principales lineamientos establecidos por la Autoridad y que resultan relevantes para la gestión de consentimiento para realizar estas prácticas:
En primer lugar, el consentimiento debe ser libre, lo que significa que la persona debe poder decidir si desea recibir publicidad sin enfrentar condicionamientos. Por ejemplo, la finalidad publicitaria —que mayormente resulta ser secundaria— no puede ser obligatoria para acceder a un servicio principal. Un caso ilustrativo es la Resolución Directoral N.° 3482‑2023, donde la ANPD determinó que el consentimiento no era libre porque un usuario que solo buscaba realizar una consulta debía aceptar finalidades adicionales, como recibir publicidad comercial, para poder enviarla.
En segundo lugar, el consentimiento debe ser previo. En términos prácticos, esto implica que la autorización debe otorgarse antes de utilizar los datos para publicidad, incluso si estos fueron recopilados inicialmente para otra finalidad legítima. Así, por ejemplo, en formularios virtuales o presenciales, la casilla destinada a aceptar el envío de comunicaciones comerciales debe mostrarse y ser marcada antes de que el usuario envíe su información o complete la transacción.
Por otra parte, el consentimiento también debe ser expreso e inequívoco, lo que exige una acción afirmativa por parte del titular. Es decir, la persona debe manifestar su aceptación de que se usen sus datos personales para fines publicitarios específicamente, de manera verificable.
Finalmente, el consentimiento debe ser informado, lo que implica que el titular debe conocer todos los elementos esenciales del tratamiento: identidad y domicilio del titular del banco de datos, finalidades del tratamiento, destinatarios, si las respuestas son opcionales u obligatorias, consecuencias de proporcionar los datos, transferencias, tiempo de conservación, existencia de decisiones automatizadas y mecanismos para ejercer los derechos ARCO.
3. Estándares de consentimiento bajo el Código de Consumo
Aunque el Código de Consumo exige que el consentimiento también reúna las características de ser libre, previo, informado, expreso e inequívoco, la práctica administrativa revela que la autoridad no siempre evalúa cada uno de estos elementos con el mismo nivel de detalle. En la mayoría de los pronunciamientos, INDECOPI concentra su revisión en dos aspectos fundamentales: (i) que el consumidor haya otorgado su autorización antes de recibir comunicaciones comerciales y (ii) que haya sido advertido de que sus datos serían utilizados con fines promocionales.
No obstante, existen pocos casos en los que la autoridad ha ido más allá de estos criterios mínimos y ha profundizado en el análisis de otros elementos del consentimiento válido. Estas resoluciones permiten identificar ciertos lineamientos adicionales y ofrecen indicios sobre la dirección que podría adoptar INDECOPI en la aplicación futura de estos requisitos.
En relación con el consentimiento previo, INDECOPI ha sostenido que este requisito se cumple cuando el consumidor autoriza el uso de sus datos para fines publicitarios antes de recibir cualquier mensaje comercial, independientemente de si se recopiló con consentimiento.
Respecto al consentimiento informado, aunque no existe una línea jurisprudencial uniforme, INDECOPI ha señalado que la información debe ser clara y específica respecto de la finalidad promocional. En la Resolución Final N.° 089‑2023/CC3, la autoridad consideró que una empresa no cumplió este requisito al utilizar expresiones genéricas como “estar en una campaña”, en lugar de especificar que se trataba de una oferta concreta de un producto financiero.
A ello se suma que, en algunos casos, INDECOPI ha considerado relevante identificar de forma precisa los anunciantes que enviarán la publicidad, con independencia del responsable que solicitó el consentimiento. En la Resolución Final N.° 122‑2020/CC3, este aspecto fue determinante para declarar inválido el consentimiento, al no poder identificarse con claridad cuáles eran los anunciantes a los que se otorgaba la autorización en conjunto para el envío de comunicaciones comerciales.
En cuanto al consentimiento expreso, la autoridad ha considerado válidas aquellas situaciones en las que el consumidor realiza una acción afirmativa que evidencie su voluntad de recibir comunicaciones comerciales, aun cuando dicha finalidad se presente junto con otras finalidades adicionales.
Por último, sobre el consentimiento libre, es importante indicar que este requisito ha sido incorporado recientemente como parte de las últimas modificaciones introducidas. Debido a ello, aún no se cuenta con precedentes que permitan conocer cómo INDECOPI evaluará este criterio en la práctica, aunque se espera una interpretación progresivamente más estricta en línea con la normativa de datos personales.
4. Puntos de tensión entre ambos criterios
La revisión conjunta de los criterios de la ANPD y de INDECOPI evidencia una tensión regulatoria que constituye el núcleo del problema: ambas autoridades parten de los mismos conceptos, pero los aplican de manera distinta. Como resultado, un mismo consentimiento puede ser considerado válido para una autoridad y, al mismo tiempo, inválido para la otra. Esta coexistencia de análisis contradictorios no solo genera inseguridad jurídica para las empresas, sino que también coloca a los consumidores en una situación ambigua respecto de la protección efectiva de sus datos personales.
Aunque INDECOPI ha reconocido expresamente que el Código de Consumo y la Normativa de Datos son cuerpos normativos complementarios, la práctica demuestra que sus evaluaciones no se alinean. El ejemplo más claro de esta divergencia se observa en el tratamiento del denominado “consentimiento en bloque”. La ANPD prohíbe de forma estricta agrupar finalidades principales y secundarias —como la finalidad publicitaria— dentro de una misma cláusula, al considerar que ello impide que el titular ejerza una decisión libre.
INDECOPI, en contraste, ha validado mecanismos que la ANPD considera incompatibles con un consentimiento válido. En diversas resoluciones, la autoridad ha concluido que un consumidor que acepta los Términos y Condiciones o una Política de Privacidad —aunque incluyan finalidades adicionales sin opción separada de aceptación— ha otorgado un consentimiento suficientemente válido. Bajo esta lógica, el solo hecho de adherirse “voluntariamente” al documento implicaría aceptar todas las finalidades en bloque, incluso cuando estas incluyen elaboración de perfiles o envío de ofertas comerciales.
Una tensión similar se observa en torno al consentimiento expreso. La ANPD exige una acción afirmativa específica, generalmente una casilla independiente para marcar y autorizar la finalidad publicitaria. La ausencia de esta casilla o que se encuentre pre marcada invalida el consentimiento. Sin embargo, INDECOPI ha considerado válidos consentimientos incorporados dentro de contratos o formularios generales que no permiten al consumidor aceptar o rechazar de forma diferenciada la finalidad publicitaria.
El análisis del consentimiento informado también revela una disparidad significativa. La ANPD exige que el titular reciba una explicación completa sobre la identidad del responsable, destinatarios, transferencias, plazo de conservación, decisiones automatizadas y demás elementos previstos en la Normativa de Datos. INDECOPI, por su parte, se ha concentrado en verificar si se comunicó que el uso sería promocional, sin requerir de manera uniforme que se cumpla con todos los elementos del estándar de información definido por la normativa de datos personales.
Estas diferencias no son anecdóticas: generan un escenario en el que el mismo consentimiento puede ser considerado “suficiente” por INDECOPI y, simultáneamente, “deficiente” o incluso “nulo” por la ANPD. Una situación así es incompatible con el principio de seguridad jurídica y con la lógica misma del consentimiento como manifestación de voluntad. Ciertamente, la falta de armonización entre ambas autoridades genera incertidumbre para las empresas que buscan cumplir con las reglas.
5. Recomendaciones para un cumplimiento integral
La coexistencia de criterios divergentes entre la ANPD e INDECOPI obliga a las empresas a adoptar un enfoque preventivo y más robusto en la gestión del consentimiento para comunicaciones comerciales. En un escenario donde un mismo consentimiento puede ser válido para una autoridad y cuestionado por la otra, el objetivo debe ser implementar un modelo que cumpla simultáneamente con ambos estándares.
A continuación, se presentan recomendaciones claras, prácticas y directamente aplicables para que las organizaciones reduzcan su exposición regulatoria y fortalezcan sus programas de cumplimiento.
a. Implementar mecanismos de consentimiento diferenciados para cada finalidad: Se deben separar claramente las finalidades principales (necesarias para la ejecución del servicio) de las finalidades adicionales, como marketing, prospección comercial o elaboración de perfiles. Cada finalidad adicional debe contar con una casilla independiente y no premarcada.
b. Evitar el consentimiento en bloque y revisar Términos y Condiciones: Es fundamental revisar los Términos y Condiciones y las Políticas de Privacidad para eliminar cláusulas que agrupen tratamientos distintos bajo una misma aceptación. Aunque INDECOPI haya validado este enfoque en algunos casos, la ANPD lo considera expresamente inválido. La recomendación es estructurar documentos que permitan al titular aceptar por separado el uso de sus datos para fines comerciales.
c. Asegurar actos afirmativos claros y verificables: Toda autorización debe provenir de una acción afirmativa del titular, como marcar una casilla o activar una opción específica. Es importante evitar modelos que interpreten el silencio o la inacción como consentimiento. Asimismo, conviene mantener evidencias auditables de la acción afirmativa, lo que resulta clave para responder a requerimientos de cualquiera de las dos autoridades.
d. Fortalecer el contenido del consentimiento informado: Se debe incorporar toda la información exigida por la Normativa de Datos: identidad del responsable, finalidad exacta, destinatarios, transferencias, tiempo de conservación, decisiones automatizadas, mecanismos ARCO, entre otros.
REFERENCIAS:
[1] De hecho, al incorporar estos criterios en el Código de Consumo, el legislador tomó como referencia la Normativa de Datos con el fin de asegurar coherencia entre ambos marcos regulatorios.
