La Agencia de Protección de Datos sanciona el “enviar a un amigo” o “share this”
A continuación se realiza un análisis de una reciente Resolución de la Agencia Española de Protección de Datos (PS/00323/2007), en la que se impone una sanción de 600€ al titular de un portal web por remitir a un particular un correo electrónico no solicitado sin haber obtenido previamente el consentimiento del mismo como destinatario de la comunicación. Mi percepción personal sobre este asunto la encontraréis al final de la entrada.
1) Empresa imputada:
Iniciativas Virtuales S.A.: empresa dedicada a prestar servicios de publicidad no intrusiva en español, siendo su marca comercial más destacada en Internet “Consupermiso“.
2) Antecedentes:
- Iniciativas Virtuales tiene inscrito un fichero denominado “consupermiso” en el Registro General de la AEPD.
- Las personas interesadas en recibir ofertas de Iniciativas Virtuales vía e-mail deberán cumplimentar un formulario puesto a su disposición en la web y, con posterioridad, deberá confirmar su inscripción siguiendo las indicaciones dictadas por Iniciativas Virtuales. Sólo así Iniciativas Virtuales procederá a dar de alta el registro de esta persona en su base de datos.
- Junto a esto, Iniciativas Virtuales pone a disposición de sus usuarios registrados la posibilidad de que remitan a sus conocidos una recomendación sobre los servicios ofrecidos por Iniciativas Virtuales.
- Un particular denuncia ante la AEPD haber recibido un e-mail comercial no solicitado a su cuenta de correo por parte de Iniciativas Virtuales.
3) Alegaciones recibidas por parte de Iniciativas Virtuales:
Notificado el acuerdo de inicio de procedimiento sancionador en virtud del art. 21 de la Ley de Servicios de la Sociedad de la Información (LSSI) por el envío de la comunicación comercial sin consentimiento del destinatario, la AEPD recibió las siguientes alegaciones por parte de Iniciativas Virtuales:
- Que el e-mail que recibió el denunciante es de carácter privado, ya que la dirección de correo electrónico del remitente de la comunicación coincide con la del particular que efectivamente realizó el envío y no con el de Iniciativas Virtuales. Por tanto, Iniciativas Virtuales considera que no debe considerarse ésta como una comunicación comercial electrónica a los efectos de lo estipulado en la LSSI.
- Que Iniciativas Virtuales no participó en la decisión de remitir el citado e-mail al denunciante y que, por supuesto, no fue esta mercantil la que envió el correo.
4) Hechos que la AEPD considera probados:
- Todos los antecedentes mencionados en el punto 2º de este post.
- Que el e-mail que recibe el denunciante incluye un botón que enlaza directamente con la página para darse de alta en Iniciativas Virtuales, así como la posibilidad de no seguir recibiendo mensajes de dicha publicidad.
- Que no existe relación comercial alguna entre el remitente del e-mail e Iniciativas Virtuales.
- Que la IP desde donde se remite el e-mail se corresponde con la usada por Iniciativas Virtuales como servidor de correo.
5) Fundamentos de derecho por parte de la AEPD:
Se define spam como cualquier tipo de comunicación no solicitada, realizada por vía electrónica, aunque normalmente tendrá fines publicitarios. El envío de comunicaciones comerciales sin el previo consentimiento por parte de su destinatario está prohibido por la LSSI y por la LOPD. A este respecto será de aplicación el art. 21 LSSI y el art. 3.h) LOPD.
Según el Anexo f) LSSI, “no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica“.
En palabras textuales de la AEPD en esta Resolución: “La LSSI no prevé que se pueda enviar ningún correo electrónico con contenido publicitario o promocional, salvo que exista un consentimiento previo e informado o que, previamente, haya habido una relación contractual entre el remitente del correo y el destinatario“.
6) Artículos infringidos y multas impuestas:
Se infringe por parte de Iniciativas Virtuales el art. 21 LSSI, infracción tipificada como leve por el art. 38.4.d) LSSI, con una multa de 600€. Esta atenuación de la sanción es debida a que la AEPD entiende que Iniciativas Virtuales no ha sido reincidente y eliminó desde el inicio de expediente el sistema que estaba siendo investigado por la AEPD.
Mis conclusiones a este respecto:
El proceso para la remisión de comunicaciones comerciales por vía electrónica, según la legislación española, es claro: art. 21 LSSI y el art. 3.h) LOPD. En lo que la AEPD se equivoca por completo es en la determinación del sujeto que comete la infracción. Es imposible considerar a Iniciativas Virtuales responsable de un acto en el que ni siquiera ha estado involucrado. Tan sólo se limitó a poner una plataforma (comúnmente conocida como “Enviar a un amigo o “Share this“) a disposición de sus usuarios para que éstos, bajo su entera responsabilidad informen a sus conocidos (o desconocidos) de una determinado producto, servicio o artículo de interés.
Si tal y como se ha hecho en este caso concreto, la AEPD considera al titular del portal responsable de una infracción del art. 21 LSSI por no contar con el consentimiento del destinatario, que tiemblen los titulares de servicio tales como GMail, Hotmail o Yahoo! Mail, ya que si alguien decide hacer spam desde estos servicios, la AEPD podría interpretar que el responsable no será el spammer y sí Google, Microsoft o Yahoo! por el hecho de proporcionar la plataforma para el envío.
No se en cuál de las últimas resoluciones dictadas por la AEPD se dicen más barbaridades, aunque está definitivamente está nominada. Respecto a la empresa sancionada en esta ocasión, estoy convencido que si recurre ante la Audiencia Nacional, obtendrá un resultado similar al recientemente alcanzado por un visitante del SIMO.
P.D: Clara señal de la desconfianza y el miedo que inspira la AEPD se encuentra en las alegaciones de Iniciativas Virtuales. A pesar de aportar argumentos válidos y lógicos y solicitar que se archive el procedimiento, en el mismo escrito ruegan a la AEPD que, puestos a sancionar, por favor impongan la menor de las sanciones. Eso mismo suplicaba Bankinter en sus alegaciones antes de que la AEPD le impusiera una sanción de 60.000€. En otras palabras, algo así alegaría un servidor ante la AEPD:
“Estimada Agencia, como sabemos que hará lo que le salga del mismísimo ombligo, haciendo caso omiso a los argumentos manifestados, por favor tenga piedad y no me arruine”.
Mayo 2nd, 2008 at 10:42
Muy buenas conclusiones. Creo que me quedaré con tu alegación final para un proceso que estoy llevando XDD
Mayo 2nd, 2008 at 14:03
Hay un par de cosas que me resultan curiosas. Si en un mensaje que se envía como algo particular aparece la mención de “quiere no recibir más mensajes de este tipo” acaba sonando más a que su correo ha quedado incluído en la BBDD para posteriores envíos (a menos que hable de una lista de exclusión de envíos, con lo cual acabaríamos de nuevo en un fichero con correos guardados). Cada caso es un mundo, y habría que ver más sobre cómo funciona para saber si realmente ha resuelto bien o no.
Un saludo
Mayo 5th, 2008 at 11:11
Coincido con Sergio en que el caso que trae a causa la resolución de la Agencia, el mail enviado llevaba la leyenda “quiero no recibir más mensajes de este tipo” que provoca que haya indicios claros de:
1.- tratamiento / almacenamiento de datos.
2.- que es una clara comunicación comercial.
La Agencia no es clara al respecto. Sólo espero que en el futuro la APD no se cargue el sistema de “enviar a un amigo” porque seríamos el tercer mundo de la sociedad de la información.
Mayo 6th, 2008 at 12:07
Hola,
Buenísimo artículo Miguel Ángel y sí, las conclusiones creo que las vamos a tomar todos para copiarlas y pegarlas en nuestros recursos.
Lo de la Agencia últimamente es impresionante, sinceramente no se donde vamos a llegar.
El nuevo Reglamento que viene a aclarar muchos temas, vuelve a abrir nuevas cuestiones que únicamente crean lagunas legales que se dejan a una amplísima capacidad de interpretación, lo que provoca situaciones de absoluta inseguridad…
Si bien es cierto que estoy de acuerdo con Sergio Carrasco, tenemos que tener en cuenta que de nuevo estamos ante un tema de interpretación y de falta de criterio por parte de la Agencia, lo que provoca que cuando tenemos que asesorar a nuestros clientes no podamos dar una solución fija, sino que tengamos que dejar siempre la coletilla de que todo depende de lo que diga la agencia…
Un saludo.
Mayo 7th, 2008 at 12:01
¿ Y por qué no actuan igual de bien cuando me llega publicidad en papel a mi buzón ?
¿ Tendré que pedir permiso por escrito a mi madre para poder poner su dirección en un sobre postal que van a ver todos los empleados de correos ?
Mayo 8th, 2008 at 8:39
[...] L’Agència Espanyola de Protecció de Dades ha dut a judici, i el jutge ha declarat culpable a una empresa per tenir la opció de “Share This”, o “envia per correu electrònic a un [...]
Mayo 8th, 2008 at 8:43
No estarían incurriendo casi todos los periódicos on-line en el mismo delito con sus botones “enviar”, “enviar esta noticia”, “enviar a un amigo” y similares?
Mayo 8th, 2008 at 11:46
[...] opiniones sobre el tema no se han hecho esperar. Miguel Ángel Mata, abogado, opina que la Agencia se ha equivocado totalmente a la hora de determinar el sujeto que [...]
Mayo 8th, 2008 at 14:19
Como he oído muchas veces: Vivimos en un país de pandereta!
Cuando los que nos juzguen tengan 2 dedos reales de frente y no trabajen desde el desconocimiento, estás cosas se evitarán un poco.
Miguel de TallerSEO: Si al final se le acaba imputando esa multa, por lo que me han explicado si sería posible lo que tu planteas mediante juicios rápidos acogiéndote a esa misma resolución, por tratarse de un caso similar, con el consiguiente ahorro.
Mayo 9th, 2008 at 8:07
La Agencia ha aplicado la Ley correctamente: esta empresa ha enviado un correo publicitario a un destinatario sin que éste haya autorizado su remisión, usando como “medio” a un “supuesto” conocido del destinatario.
La excusa (fraude de ley), es que no es la empresa quien “dispara” el envío, sino que lo hace el que quiere compartir; pero: a) el envío no ha sido autorizado por el destinatario; b) este envío no consentido corresponde totalmente con una estrategia de acción comercial, por parte de la empresa; c) se usan los recursos y contenidos preparados al efecto por parte de la empresa; d) se someten a tratamiento los datos de carácter personal del destinatario sin contar con su previo consentimiento y; e) se incluye un botón que enlaza directamente con la página para darse de alta en Iniciativas Virtuales, así como la posibilidad de no seguir recibiendo mensajes de ese tipo (se puede suponer que el destinatario está “controlado” o sometido a tratamiento, motivando preocupación en el interesado respecto del uso de sus datos de carácter personal, que dejan de estar bajo su control, al poder ser “cedidos” por cualquier “supuesto” amigo) y; f) por último: ¿quién garantiza que la dirección de correo no seguirá siendo utilizada para fines “similares” (más envío de publicidad), sin que medie la intervención del “supuesto” amigo, una vez pasado por el “trámite” de que el primer envío haya sido realizado por un tercero?
Por otra parte, aunque no se trate de puro spam masivo, ya que debe mediar un “supuesto” conocido para que se remita el correo, debe garantizarse que no existe tratamiento de los datos del destinatario (la dirección de correo no se debe almacenar en ningún fichero) y que este hecho se le indique claramente al destinatario.
Mayo 13th, 2008 at 19:46
Dada esta sanción, ¿me lio a denunciar a todos y cada uno de los remitentes (empresas o particulares) que me envian spam diariamente (50 diarios aprox.) y a los que en ningún momento les di el permiso correspondiente?
Creo que necesitaria una vida para llevarlo a cabo….
Mayo 16th, 2008 at 14:57
Hola señor, una pregunta por si pudiera darme alguna idea,
en relación a la IP.
Por ejemplo, si uno se conecta a una página de tipo enviar amigo o la misma de enviar comentario, y con un programa accede indefinidamente a esa página, la IPquedaría guardada y se podría identificar a esa persona que se conecta.
Pero la cuestión es si esa situación es legal o no? Es decir, conectarse a una página indefinidamente, mediante programa automático, y enviar a un amigo o escribir comentarios.
Muchas gracias y saludos.
Mayo 21st, 2008 at 0:03
Poneos ahora en el lado contrario: recibis un correo electrónico de alquien a quien no se lo habeis dado, os envia una noticia y publicidad, os dice que os podeis dar de baja, pero en ningún momento disteis vuestro consentimiento, y teneis que la LSSI que dice que nadie os puede mandar publicidad por medios electrónicos sin vuestro permiso, y usais la ley. Estais en vuestro derecho ¿no?
Mayo 21st, 2008 at 11:29
Yo estoy con Javier, y no me parece que exista ningún error en la aplicación de la ley. Sin entrar en todas las matizaciones que hace, y con las que estoy de acuerdo, no hay que olvidar que, aunque el correo lo mande un tercero, éste es efectivamente una acción comercial de Iniciativas Virtuales, y ese es su propósito final. Para lo que ha puesto a disposición del remitente una serie de sistemas que realizan un tratamiento no autorizado de los datos del destinatario.
No veo, personalmente, ningún problema con esta sentencia.
Mayo 23rd, 2008 at 19:41
[...] leo en un apunte en el blog de Miguel Ángel Mata y no puedo entenderlo muy bien. Resulta que la AEPD ha sancionado [...]
Mayo 25th, 2008 at 16:56
@ Sergio Carrasco:
Coincido plenamente contigo en que si realmente fue Iniciativas Virtuales la que realizó el envío (según la resolución el envío lo hizo “internauta123@gmail.com”) entonces no sería en absoluto descabellado hablar de comunicación comercial y se debería estudiar si se realizó conforme a la normativa. Aunque siendo sincero, de la lectura de la Resolución no deduje lo que comentas sino más bien que fue un particular ajeno a Iniciativas Virtuales quien realizó el envío. Lo que sí es “extraño” es que, si fue tal y como yo intuyo, se haya incluido la cláusula para darse de darse de baja de la recepción de comunicaciones de ese tipo por parte de Iniciativas Virtuales. [un ejemplo de cómo la gente se quiere asegurar de no estar incumpliendo cuando ni siquiera es aplicable].
@ Ibán:
Desde luego, la Resolución no es clara en este sentido y parece ser que no se trata del típico “share this”, sino que hay algo más. Pero de la lectura de la Resolución a mi no me queda absolutamente claro qué ocurrió en realidad ni el porqué de la sanción.
@ Miguel de TallerSEO:
Eso es debido a que se da un tratamiento más severo a las comunicaciones comerciales electrónicas respecto al “buzoneo” tradicional. Este último mecanismo de hacer publicidad curiosamente está completamente permitido y carece de requisito alguno.
@ Javier:
De la redacción de la Resolución dictada por la AEPD, te pregunto: ¿Estás completamente seguro que el envío no consentido corresponde a una estrategia de acción comercial por parte de Iniciativas Virtuales? Si fuera así, la Resolución a pesar de ser imprecisa estaría incompleta al no señalar esto como un hecho probado. A pesar de lo anterior, tendría algo más de sentido. Pero me reitero en que no sabemos si esto ha sido realmente así y ello no aparece como hecho probado por parte de la AEPD.
Respecto a un uso posterior del email del destinatario para finalidades distintas de la remisión de la comunicación que el tercero haya considerado oportuna (haciendo click en “enviar a un amigo”) por supuesto que se estaría infringiendo la normativa. Pero este no ha sido el caso y en la Resolución se asegura que Iniciativas Virtuales no almacenó, en ningún momento, los mails de los destinatarios de las comunicaciones.
Finalmente, cuando te refieres al remitente como un “supuesto” conocido, no comprendo de qué vienen las comillas. Lo que está claro es que el particular que decidió realizar el envío (no Iniciativas Virtuales) disponía de la dirección de correo electrónico del destinatario, dirección que no se encontró en la base de datos de la empresa que posibilitó el envío pero que en ningún momento decidió sobre el mismo.
@ Carlos:
El uso de programas que de forma automática se dediquen a la tarea que indicas, en principio no está tipificado como delito. Habría que estar al supuesto en particular, los daños y perjuicios que pudiera ocasionar y a lo estipulado en las Condiciones Generales del Servicio de envío, pero por regla general esto no está prohibido.
@ Mr. Potato:
Curioso nombre para el anonimato. Respecto a tu comentario, lo que se te escapa, en mi opinión, es que no es Iniciativas Virtuales la responsable del envío de la comunicación (a pesar de que es ella la que pone el sistema a disposición de terceros que quieran usarlo) sino que fue el particular “internauta123@gmail.com” el que realizó el envío y disponía por tanto de la dirección electrónica del destinatario. Esta persona habrá pensado (o no) que el envío resultaría de interés para el destinatario. Para mí esto es crucial y creo que es el principal error que comete la AEPD y por lo que se equivoca al sancionar a la empresa. En todo caso si alguien es responsable sería “internauta123@gmail.com”.
@ Manuel Benet:
Me reitero en el comentario que le hice a Javier: ¿Cómo estás tan seguro que es una acción comercial de Iniciativas Virtuales? En la Resolución no aparece como hecho probado que ello sea así. Asimismo no queda probado que la acción comercial es el propósito final y por eso en este punto discrepo contigo. Los blogs personales también tienen la opción “Enviar a un amigo” y no por ello existe siempre una finalidad comercial.
Finalmente, el problema de la sentencia es que la AEPD ha entrado a sancionar la puesta a disposición de los usuarios una herramienta de difusión, herramienta que nada tiene que ver con acceder o tratar datos.
Mayo 26th, 2008 at 10:00
Bien, quizá me expresé mal. No estoy diciendo que esto haya sido una acción comercial promovida directamente por Iniciativas Virtuales, pero sí indirectamente. Al fin y al cabo, es dicha empresa la que proporciona la infraestructura tecnológica necesaria para este tipo de envíos de “recomendación”, la que redacta el contenido del correo de “recomendación”, y la que se beneficia comercialmente de ella (con un botón para acceder directamente a la inscripción de clientes).
Lo que sí se dice en la resolución es que “lo único que han de hacer [los usuarios] es reenviar el propio correo comercial de Iniciativas Virtuales utilizando incluso la misma IP de la entidad”. No veo muchas razones por las que una empresa quisiese poner un servicio tal a disposición del público si no es con un propósito comercial; sólo hay que ver la redacción del correo “¡Hola¡, este es un mensaje de tu amigo Internauta 123, que está disfrutando de las ventajas de XXXX, y te manda este mensaje”, que no deja lugar a muchas dudas sobre cuál es la finalidad del servicio.
La comparación con Yahoo o Gmail a mi entender no es apropiada, ya que son sistemas genéricos de correo electrónico, y no sistemas creados exclusivanmente para la emisión de publicidad.
Me parece que no sancionar este tipo de mecanismos sería dar manga ancha a la emisión de spam, con la única excusa de que el “promotor” del envío del correo no es la propia empresa, sino un particular. Un particular que, en general, puede ser o no conocido por el destinatario, que puede ser anónimo, o simplemente una cuenta de correo temporal utilizada para el envío de spam.
Junio 2nd, 2008 at 20:49
Yo en efecto con lo que más me quedo es con el tema de que el culpable es la IP que lo envía.
“En el presente supuesto desde la IP de Iniciativas Virtuales se ha enviado un correo comercial a Don P.P.P. sin poder acreditar el consentimiento previo ni la existencia de una relación contractual anterior. Nunca pueden enviarse correos promocionales sin contar con estos requisitos.”
Quizás no comprendo si en efecto únicamente es por este supuesto, pero si que me deja intranquilo el tema de que se penaliza al medio y no al emisor.
En ese plan yo hasta penalizaría al propietario real de la IP (el ISP, al margen de RIPE) por permitir el envío de correos desde su red que incumplan la LSSI
Por otra parte una aspecto que no he aprecio en la resolución es que si finalmente se trata de una comunicación comercial debería de haber quedado indicado en el correo y me parece que en el asunto también había que poner algo como “Publicidad”