983 337 998 info@ntabogados.com

Tag Archives: LOPD

Sobre la obligatoriedad de consultar la Lista Robinson

La Agencia Española de Protección de Datos (AEPD) ha sancionado recientemente a Telefónica Móviles España (TME) por haber realizado llamadas a un cliente suyo, pese a que este se encontraba incluido en la Lista Robinson. La sanción, de 3.000 euros, se fundamenta en la existencia de un tratamiento de datos contrario al principio de calidad de los datos (art. 4 de la LOPD), originado por el incumplimiento del art. 30.4 de la LOPD, que obliga a atender las peticiones de oposición de los titulares de los datos.

Mucha tela hay que cortar aquí sobre esta forma de sancionar, pero nos centraremos en la obligatoriedad de consultar el fichero de exclusión publicitaria, “Lista Robinson”, de la Asociación Española de la Economía Digital (Adigital). Al hacerse pública esta resolución, hemos podido leer afirmaciones sobre la necesidad de que se consulte este fichero antes de utilizar datos personales con finalidad publicitaria y es necesario recordar que no es así, o al menos no es así para todas las empresas que realicen esta actividad.

El artículo 49,4 del  Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la LOPD (RDLOPD), establece que  “quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación“. Una de las cosas que llama la atención en la resolución, es que en ningún momento se explica ni se justifica la obligación por parte de TME de consultar la Lista Robinson de la FECEMD (antigua denominación de Adigital), no se argumenta por qué ese fichero se trata de un fichero común “que pudiera afectar a su actuación”, tal y como establece el art. 49 del RDLOPD. La única razón por la que TME pueda estar obligado es porque sea usuaria de ese fichero, o mejor dicho, como claramente denominó hace ya tiempo Félix Haro, “cliente” de ese fichero. No se puede, con la normativa en la mano, exigir a cualquier empresa que tenga que consultar la Lista Robinson. Además, en este caso, ni siquiera se puede argumentar que TME estará obligada por ser socia de Adigital (sin llegar a ser usuaria, de hecho, del fichero), dado que TME no forma parte de la Asociación Española de la Economía Digital (nueva denominación de la FECEMD): sólo está asociada la matriz, Telefónica de España, como se puede ver en la web de la asociación.

En fin, entenderán el por qué del desastroso título de esta entrada: en resumidas cuentas, es obligatorio consultar la Lista Robinson de Adigital si usted, voluntariamente, se obliga a ello. Si no, la consulta de la Lista Robinson no es obligatoria. No conozco ninguna sanción de la AEPD por no haberlo hecho, si la hay, me encantaría que me la indicaran.

Por cierto, en la resolución se recoge, como hecho probado, que la FECEMD envió a TME “un fichero de solicitudes de inclusión en lista Robinson, que mezclaba clientes y no clientes de TDE y TME”. Me pregunto yo, ejem, si no estamos ante una cesión ilícita de datos de carácter personal, lo cual supone una infracción grave de acuerdo con el artículo 44.3.k de la LOPD. Dado que la Agencia ya conoce este hecho, puesta que está recogido, insisto, como hecho probado en la resolución, supongo que en este momento ya estará abriendo el procedimiento sancionador.

I Congreso Nacional de Privacidad

El pasado 19 de mayo se celebró el I Congreso Nacional de Privacidad, organizado por la Asociación Profesional Española de Privacidad. Se trata del primer gran encuentro de profesionales del sector a nivel nacional. Desde mi punto de vista, fue un encuentro muy provechoso, fundamentalmente por la posibilidad de comentar aquellos aspectos relacionados con nuestra profesión.

Se trataron asuntos relacionados con el fraude del “coste cero”, el intrusismo, la necesidad de formación, etc. En relación con esto, debe hacerse mención a la intervención de Ricard Martínez, profesor de Derecho Constitucional de la Universidad de Valencia, que habló de estos temas y de los retos de futuro que deben afrontar los profesionales de la privacidad.

Rosa Barceló, asesora del Supervisor Europeo de Protección de Datos nos contó por dónde van los tiros en  el desarrollo de la modificación de la Directiva 95/46/CE, de protección de datos, la cual, por lo que nos transmitió, no estará aprobada antes de 2013.  También resultó interesante la mesa redonda sobre protección de datos y medios de comunicación, en la que se comentó, fundamentalmente, el tan de moda “derecho al olvido“.

Por su parte, Pablo Pérez San José, gerente del Observatorio de Seguridad de la Información de Inteco, en una interesante ponencia, comentó las amenazas a la privacidad que pueden suponer las, por otra parte muy útiles, etiquetas RFID. Otra intervención muy didáctica y destacable fue la del magistrado Ricardo Bodas Martín, quien desgranó y repasó los precedentes jurisprudenciales que afectan a la normativa sobre protección de datos en las relaciones laborales.

En definitiva, un muy interesante encuentro que esperemos que se repita y que sirva no sólo como evento de conocimiento, sino también para la reivindicación de actuaciones profesionales de calidadrelacionadas con la protección de datos de carácter personal.

El apercibimiento en el régimen sancionador de la LOPD

De entre las modificaciones del régimen sancionador de la LOPD, una de las más significativas es la incorporación del apercibimiento como excepción, en algunos casos, alternativa a la apertura del procedimiento sancionador.

En una reciente jornada, el Adjunto al Director de la Agencia Española de Protección de Datos comentó una serie de cuestiones sobre el apercibimiento, que comentamos en el blog «Descargas legales».

Instalación de cámaras de videovigilancia falsas

La instalación de sistemas de videovigilancia se encuentra sometida a lo dispuesto en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD). La imagen de una persona se considera un dato de carácter personal y, por tanto, el tratamiento de imágenes (incluida la mera transmisión de las mismas, sin que se almacenen) constituye un tratamiento de datos de carácter personal. Incluso la Agencia Española de Protección de Datos dictó una instrucción específica sobre la materia (Instrucción 1/2006, de 8 de noviembre, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras), que regula las obligaciones concretas aplicables a estos tratamientos de datos.

¿Y qué sucede con la instalación de cámaras falsas, sistemas que no estén en funcionamiento, o simplemente, meras carcasas de cámaras? Es una consulta bastante habitual si resulta conforme a la legalidad la instalación de cámaras de videovigilancia falsas, con un interés únicamente disuasorio. La lógica dice que, dado que no hay un tratamiento de datos, no puede aplicarse la LOPD, tan sencillo como eso. Sin embargo, tal y como han apuntado algunos colegas blogueros (1 y 2), la Agencia ha amenazado en algunos casos con la imposición de sanciones si no se retiran estos dispositivos meramente disuasorios, declarando que pueden constituir prueba indiciaria suficiente de que las cámaras realmente captan imágenes. Por tanto, insta a su retirada, advirtiendo de que en caso contrario podrían imponerse sanciones “de hasta 300.506,05 €”. Esto ha sucedido, al menos, en los procedimientos E-01297-2008E-00903-2009PS-00155-2010E-00888-2010. Cierto es que hay archivos de actuaciones en las que no se incluye esta “amenaza” (como el E-00704-2007), pero no parece ser la tendencia actual.

No podemos estar de acuerdo con estas resoluciones de la Agencia. En primer lugar, por lo que ya hemos comentado, no hay tratamiento de imágenes. Si se iniciara un nuevo procedimiento sancionador contra alguno de los denunciados, la inspección volvería a determinar que no existen grabaciones, con lo que no hay tratamiento de datos, y por tanto, estamos fuera de la LOPD. Es decir, no se sostendría la existencia de una prueba indiciaria suficiente, puesto que la propia inspección comprobará la inexistencia de grabaciones.

Es más, aun aceptando que pudiera haber indicios de tratamientos de datos, deberían utilizarse esta argumentación exclusivamente en casos concretos, basándose en hechos que justificaran tal calificación y no, como parece que está empezando a hacer la Agencia, en todos los casos en los que se denuncian cámaras falsas.

No tendría sentido que lo que pretenda la AEPD sea que se inscriba el fichero, se coloquen carteles y se cumplan con todas las obligaciones derivadas del tratamiento de imágenes, puesto que no se puede inscribir algo que no existe. Por tanto, lo que parece que pretende la Agencia es que no se instalen sistemas disuasorios. La generalización de resoluciones de este tipo supondría que, por la vía de los hechos, la Agencia prohibiera la realización de una actuación (la instalación de cámaras falsas) no prohibidas por ninguna ley, y sobre la que además no tiene competencia (puesto que no debe aplicarse la LOPD).

En conclusión, ante la pregunta que titula esta entrada, instalen ustedes las cámaras falsas que estimen oportunas, como mínimo hasta que se le abra el primer procedimiento sancionador. Aunque se le haya abierto, ya han visto que de momento no se ha sancionado a nadie, con lo que en ese momento usted deberá decidir si mantiene las cámaras falsas o las retira, asustado por la amenaza de la Administración. Yo no lo haría, la verdad (entre otras cosas porque me encantaría ver cómo argumenta la Agencia en ese caso), pero el miedo es libre y ahí ya no me puedo meter.

Actualización: es interesante conocer que  la Instrucción 1/2009, de 10 de febrero, sobre el tratamiento de datos de carácter personal mediante cámaras con fines de videovigilancia, de la Agencia Catalana de Protección de Datos, excluye de su ámbito de aplicación, en su artículo 1.2.d, “la instalación de cámaras falsas que no sean aptas para captar imágenes”.

Protección de datos, libros de bautismo y apostasía

La Sala Primera del Tribunal Constitucional, mediante Auto 20/2011, de 28 de febrero de 2011, ha inadmitido a trámite el recurso de amparo 9929-2008, promovido por la Agencia Española de Protección de Datos (AEPD), al respecto del contencioso que viene manteniendo desde hace unos años con el Arzobispado de Valencia en relación con la cancelación de datos en los libros de bautismo. Recapitulando, que la cosa viene de lejos:

  • El 23 de mayo de 2006, la AEPD estimó una reclamación de tutela de derechos (TD/00046/2006) por la que se ordenaba al Arzobispado de Valencia anotar en el libro de bautismo la solicitud de cancelación realizada por el interesado.
  • El 10 de octubre de 2007, la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional desestima el recurso interpuesto por el Arzobispado contra la resolución de la AEPD.
  • El 19 de septiembre de 2008, el Tribunal Supremo estimó el recurso de casación interpuesto por el Arzobispado contra la anterior sentencia, por lo que la Resolución inicial de la AEPD quedó anulada.
  • El 12 de noviembre de 2008, la Sección Sexta de la Sala de lo Contencioso-Administrativo del Tribunal Supremo dictó providencia por la que inadmitió el incidente de nulidad de actuaciones promovido por la AEPD.

El auto en cuestión, por tanto, inadmite el recurso de amparo presentado por la AEPD contra esta providencia. El TC considera que la Agencia adolece de falta de legitimación activa para interponer el recurso, puesto que no es titular (en este caso) del derecho a la tutela judicial efectiva, ni (en ningún caso) del derecho a la protección de datos personales. El TC estima que sólo los titulares de los derechos, el Defensor del Pueblo y el Ministerio Fiscal estarían legitimados.

Por tanto, como vemos, el Tribunal Constitucional, aparte de darle un esperado varapalo a la AEPD, no hace nada más, porque no entra en el fondo del asunto. Así pues, no se puede afirmar, como hemos podido leer, que como consecuencia de este auto se avale que la Iglesia no borre datos, o que se cargue el derecho a ejercer la apostasía, etc. Simplemente, no se valora.

Aclarado este extremo, conviene recordar lo que dijo el Tribunal Supremo en su sentencia de 2008, cuya doctrina es la que hay que aplicar al caso que nos ocupa:

  • Los libros de bautismo quedan fuera del ámbito de aplicación de la LOPD, dado que no constituyen un fichero, sino que se trata de una pura acumulación de datos que comporta una difícil búsqueda, acceso e identificación, en cuanto no están ordenados ni alfabéticamente, ni por fecha de nacimiento, sino sólo por las fechas de bautismo, siendo absolutamente necesario el conocimiento previo de la Parroquia donde aquel tuvo lugar.
  • Además, en los libros de bautismo no cabe apreciar ninguna inexactitud de datos, en cuanto en los mismos se recoge un dato histórico cierto, salvo que se acredite la falsedad, cual es el referente al bautismo de una persona. Es más,  cuando se solicita la cancelación de ese hecho, no se está pretendiendo que se corrija una inexactitud, sino que en se está intentando y solicitando un sistema nuevo y diferente de registro de nuevos datos personales.

A todo esto, no está de más aclarar que el derecho de cancelación en relación con el contenido de los libros de bautismo no tiene nada que ver con la apostasía, contrariamente a lo que se suele pensar. La apostasía es, en general, la negación de la fe o el abandono de una religión, de acuerdo con la definición de la Real Academia Española y, específicamente, según el Canon 751 del Código de Derecho Canónico, “el rechazo total de la fe cristiana . No se entiende el especial interés en acudir a la normativa sobre protección de datos por parte de los pretendidos apóstatas. Acudan simplemente a las instrucciones de la Iglesia Católica y verán que, el que quiera salir de ésta, sólo tiene que manifestar su intención “en forma escrita, delante de la autoridad competente de la Iglesia católica: Ordinario o párroco propio”. Y ante esto, oh sorpresa, “proveerá para que en el libro de bautizados (cfr. can. 535, § 2) se haga la anotación con la expresión explícita de que ha tenido lugar la “defectio ab Ecclesia catholica actu formali”. ¿Les suena?

Reforma de la LOPD

La Ley 2/2011, de 4 de marzo, de Economía Sostenible (LES), ha sido muy comentada fundamentalmente por contener la llamada Ley Sinde, de la que ya hemos hablado y seguro volveremos a hablar en el futuro, porque es de esperar que tanto su desarrollo reglamentario, como su puesta en práctica, den para mucho. Sin embargo, lo cierto es que, como se puede ver en este completo resumen, tanto cualitativa como cuantitativamente la Ley Sinde era un asunto menor dentro del conjunto del texto de la LES. Y dentro de las materias que tiene este blog como competencia, lo más significativo es la importante reforma que opera la disposición final quincuagésima sexta de la LES, que modifica sustancialmente el régimen sancionador de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD).

Dado que, como consecuencia de la criticable práctica de incorporar la modificación en la LES, la Exposición de Motivos no explica las razones de la reforma, tendremos que pensar que su objetivo es probable que sea, como dice la Agencia Española de Protección Datos en una nota de prensa, aportar “mayor seguridad jurídica” y contribuir a lograr una “mayor precisión en la aplicacion de la norma”. Será la aplicación práctica la que nos permitirá saber si se logran estos objetivos, pero a priori podemos estar sólo parcialmente de acuerdo.

Las principales novedades de la reforma son las siguientes:

  • Las modificaciones más significativas son las referidas a la tipificación de las sanciones. En general, el cambio es bueno, puesto que se aclaran algunas infracciones y se armonizan distintas sanciones. La más acertada, en mi opinión, es la modificación del antiguo “cajón de sastre” que suponía en art. 44.3.d, que ahora se refiere (44.3.c), a la conculcación de los principios del artículo 4 de la Ley, es decir, sólo del principio de calidad de los datos.
  • Se modifican los importes de las sanciones leves y graves (art. 45.1 y 2): las sanciones por infracciones leves pasan a ser sancionadas con multa de 900 a 40.000 euros, y las graves con multa de 40.001 a 300.000 euros. Es decir, que sube el mínimo y baja el máximo de las sanciones leves. No encuentro ninguna razón, ni a favor ni en contra, para realizar este cambio, la verdad.
  • Se modifican los criterios de graduación de las sanciones (art. 45.4): prácticamente la única novedad estriba en que se introduce como criterio “el volumen de negocio o actividad del infractor”. Está bien que se incorpore este criterio, el cual, la mayoría de los profesionales de la materia suponíamos que en realidad ya lo ha venido teniendo en cuenta la Agencia en la determinación de las sanciones. Lo mismo sucede con el hecho de que la entidad imputada tuviera implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, beneficiando de este modo a aquellos que puedan demostrar haber tenido una preocupación en el cumplimiento de la Ley.
  • Se introducen modificaciones en los circunstancias que permiten  aplicar una sanción inferior en grado (art. 45.5): aquí hay importantes novedades, puesto que se introducen nuevos criterios que antes no se tenían en cuenta. Lo más significativo es el caso en el que el infractor haya “regularizado la situación irregular de forma diligente”. El problema es determinar cómo se puede regularizar la situación irregular, teniendo en cuenta que sólo se puede afirmar que existe tal situación irregular cuando la Agencia haya declarado la infracción (y en ese momento ya impone la sanción). Suponemos que tendrá el infractor que reconocer la infracción desde que se inicia la instrucción del procedimiento (el cual además es otro de los criterios recogidos en este artículo, con lo que en la práctica hay casi una duplicidad en este criterio de graduación), independientemente de que se haya producido o no realmente una infracción.
  • Se introduce la figura del apercibimiento para aquellos infractores leves o graves no reincidentes  (art. 45.6): el apercibimiento tendrá carácter excepcional y se podrá aplicar cuando concurran “significativamente” los criterios del apartado anterior. Aquí la pretendida seguridad jurídica brilla por su ausencia, veremos qué entiende la Agencia por “excepcional” y “significativamente”.

La modificación entró en vigor el pasado 6 de marzo, pero hay que tener en cuenta que muchas de las modificaciones suponen situaciones más favorables para los infractores, con lo cual, en virtud del principio de retroactividad de la norma sancionadora más favorable, podrán beneficiarse de ella aquellos con procedimientos sancionadores en tramitación que traigan causa de hechos realizados con anterioridad a la publicación de la Ley.

La AEPD vs. Google

Ayer estuvieron los medios y los internautas bastante revueltos con la noticia de que Google acude a la Audiencia Nacional para evitar tener que eliminar resultados de búsquedas, tanto por la noticia en sí, como por las aclaraciones del Director de la Agencia Española de Protección de Datos (AEPD). Desde hace tiempo, la AEPD y Google han tenido una intensa relación, como no podía ser de otra forma; una relación que, aunque no pasa por su mejor momento, tiene que acabar bien, porque creo que están condenados a entenderse. El caso es que nos encontramos ante el problema habitual de que un individuo quiere que Google deje de facilitar, entre sus resultados, un enlace a una información referente a él que le resulte perjudicial por cualquier motivo.

Aunque ha habido alguna excepción (¿qué sería de la AEPD sin excepciones a su doctrina habitual?), por lo general se han estimado las solicitudes de tutela de derechos de los afectados (como en este caso y en este), con lo que la AEPD considera que Google ha de atender el ejercicio del derecho de oposición por parte de los afectados y eliminar de sus resultados los datos de estos. Y la noticia (no es tan noticia, en el sentido de que no es nada que fuera desconocido hasta el momento) consiste en que Google recurre las resoluciones de la AEPD ante la ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional.

Al hilo de esto, creo conveniente aclarar y comentar varios puntos:

– La AEPD se dirige a Google Spain, S.L., entidad que no es la que opera el buscador. No hay más que ir a las Condiciones del Servicio de Google para ver que la entidad titular del buscador es «Google Inc., una sociedad con domicilio social en 1600 Amphitheatre Parkway, Mountain View, CA 94043, Estados Unidos». Vamos, que Google es un buscador americano, oh sorpresa.

– La AEPD no ignora (como no puede ser de otra forma) que los titulares de páginas web pueden autoexcluirse de las búsquedas, mediante ficheros robots.txt. Incluso la AEPD ha instado en algún procedimiento a la web que aloja los datos personales a arbitrar «las medidas necesarias con el fin de evitar la indexación de los datos […] e impedir que sean susceptibles de captación por los motores de búsqueda de internet».
 
– El criterio de la AEPD se basa en que hay ocasiones en las que el titular de la página web que aloja la información está impedido legalmente para cesar el tratamiento de los datos (por ejemplo, un boletín oficial), impedimento que no se produce en el caso del buscador, que «deberá adoptar medidas no sólo para cesar en el tratamiento de la información, sino también, para impedir el acceso futuro a la misma a través de su servicio». Así lo explica la Agencia en su «Declaración sobre buscadores de Internet».

– La AEPD tiene el importante respaldo del Grupo de Trabajo del artículo 29 (el órgano consultivo de la Unión Europea sobre Protección de Datos), el cual, en su «Dictamen sobre cuestiones de protección de datos en relación con buscadores», estimaba que «en relación con la eliminación de datos personales de sus índices y resultados de búsquedas, los buscadores poseen un control suficiente para ser considerados responsables de tratamiento (ya sea solos o conjuntamente con otros) en aquellos casos».

Espero ansioso el fallo de la Audiencia Nacional, aunque sea cual sea éste, seguro que acabamos en el Supremo. Mientras tanto, dado que Google no atiende los ejercicios de derechos, el que esté interesado en que le eliminen de las búsquedas, puede seguir estos consejos, aunque Google probablemente argumente lo mismo que en los procedimientos comentados, es decir, que las quejas, al maestro armero. 

El registro en foros no recoge datos personales, ni siquiera el correo electrónico

Cualquiera que conozca mínimamente la normativa sobre Protección de Datos pensará que no tenemos ni idea de la materia o que, directamente, nos hemos vuelto locos al escribir el título de esta entrada. Pues bien, atendiendo a una resolución de la Agencia Española de Protección de Datos (AEPD) que nos han hecho llegar, podemos afirmar esto sin ningún problema.

En la resolución mencionada se recoge que, para efectuar el registro en un foro, se recogen apartados como «nombre de usuario», «confirmar dirección de email» y «contraseña». Sin embargo, para la AEPD, «los datos que se solicitan no tienen por qué hacer identificables a la persona que los facilita hecho que normalmente ocurre en este tipo de foros en los que el afectado se ampara en un alias o en datos identificables discrepantes con los del titular». De esta frase digna de ser enmarcada debemos considerar dos aspectos:

– Por un lado entiende la Agencia que, dado que «normalmente» «en este tipo de foros» el afectado se ampara en un alias, no se puede hacer identificable a la persona que facilita. Es bastante curioso que en la propia frase se está aceptando la posibilidad contraria: si «normalmente» se utiliza un alias, quiere decir que habrá ocasiones, aunque sean anormales, en las que se puede facilitar un nombre real. Es decir, la misma resolución concede la posibilidad (completamente real, por otra parte) de que se utilicen, por ejemplo, el nombre y apellidos de la persona, respecto de los cuales no creo que sea necesario entrar en su capacidad identificativa respecto a una persona.

– Por otro lado, como hemos señalado antes, uno de los datos que se facilita en el registro del foro es la dirección de correo electrónico. Es una interpretación más que consolidada de la Agencia Española de Protección de Datos el considerar a la dirección de correo electrónico como un dato de carácter personal, incluso en aquellos casos en los que directamente la dirección no pueda identificar a una persona (por ejemplo, en una dirección del tipo arhkjdfasd@gmail.com). Así lo viene afirmado «desde siempre», como se puede leer en este archiconocido informe jurídico, en el que se dice que, «incluso en aquellos casos en los que la dirección de correo electrónico no parece mostrar datos relacionados con la persona titular de la cuenta […] la dirección de correo electrónico aparecerá necesariamente referenciada a un dominio concreto, de tal forma que podrá procederse a la identificación del titular mediante la consulta del servidor en que se gestione dicho dominio, sin que ello pueda considerarse que lleve aparejado un esfuerzo desproporcionado por parte de quien procede a la identificación». Sin embargo, volviendo a la resolución que estamos comentando, ahora resulta que la dirección de correo electrónico «no tiene por qué hacer identificable a la persona». Y se quedan tan anchos, por decirlo de alguna manera.

Aún no repuesto de mi asombro, no obstante esta extravagante resolución, recomiendo a los responsables de foros que consideren que la recogida de datos que realizan para el registro en sus foros se encuentra dentro del ámbito de aplicación de la LOPD y, en consecuencia, tomen las medidas oportunas.

Dos errores legales habituales en la utilización comercial de Facebook

La creciente utilización de las redes sociales y, en especial, de Facebook, como herramienta de marketing y comunicación empresarial nos ha permitido observar dos errores legales habituales cometidos por los usuarios profesionales de esta red social.

En primer lugar, nos encontramos con numerosos perfiles de usuario utilizados como «perfil» de empresa. Esto supone, en primer lugar, un incumplimiento de las condiciones de uso de Facebook. El apartado 4.4 de estas condiciones establece que el usuario se compromente a no utilizar su «perfil personal para obtener ganancias comerciales». Es decir, para empezar, e independientemente de lo que comentaremos a continuación, estamos incumpliendo los términos del servicio de Facebook, lo cual puede suponer, entre otras cosas, que Facebook nos cierre nuestro perfil. Por tanto, aunque llevamos un largo recorrido con nuestro perfil «personal-pero-profesional», nos arriesgamos a perder todo el trabajo hecho.

Por otra parte, el hecho de utilizar un perfil personal como si fuera de un negocio, implica que no se hacen fans, sino amigos, con lo cual se accederá recíprocamente a la información personal subida por los otros usuarios. Aunque muchos usuarios, en general por desconocimiento, aceptarán hacerse amigos de páginas profesionales, muchos otros no lo harán, precisamente, porque supone compartir la información con un desconocido. Además, dado que estamos dándole un uso profesional, entraría en aplicación la normativa sobre Protección de Datos de Carácter Personal, con todas las implicaciones que ello tiene, que son muchas.

El otro error legal que habitualmente nos encontramos se refiere a los que sí que utilizan correctamente Facebook para crear una página profesional y aprovechan la posibilidad que da Facebook de enviar mensajes a todos sus fans. En mi opinión, eso es una comunicación comercial electrónica, con lo cual debemos estar a lo dispuesto en la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) y, en concreto a su artículo 21, que prohíbe las comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes. Si no tenemos el consentimiento de los usuarios (fans), no podremos enviar comunicaciones comerciales. La solución es tan sencilla como poco utilizada: no hay más que incluirlo en la información sobre la empresa que se incorpora en la página de Facebook, de forma que el que se hace fan de una página consienta el envío de comunicaciones comerciales a través del sistema de mensajes de Facebook.

¿Vía libre al «spam»?

Hemos tenido conocimiento de una resolución de la Agencia Española de Protección de Datos (AEPD) por la cual se archiva una denuncia con motivo de la recepción de un correo electrónico no solicitado («spam«). El artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI)  establece la prohibición de enviar «comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas». Por tanto, con carácter general (hay una excepción que no entra en aplicación en este caso) el envío de una comunicación comercial no solicitada supone una infracción, tipificada en el art. 38.4.d de la misma norma.


En el caso que nos ocupa, habiéndose acreditado el envío de una comunicación comercial no solicitada, la AEPD acuerda no incoar actuaciones inspectoras ni procedimiento sancionador, basándose en dos aspectos:


1.- La presunción de inocencia. Estima la AEPD que, puesto que «en la página web del presunto infractor figura un procedimiento para poder solicitar información facilitando la dirección de correo electrónico, […] cabe concluir que existe una duda razonable acerca de la forma en que se obtuvo la dirección de correo del ahora recurrente y, en consecuencia, de la existencia de consentimiento para la remisión del correo».


2.- Los principios de intervención mínima y proporcionalidad. La AEPD considera necesario que se agoten otras fórmulas procedimentales alternativas a la apertura de un procedimiento sancionador. En este caso, puesto que en el correo electrónico enviado constaba información sobre el procedimiento habilitado para oponerse al envío de nuevas comunicaciones comerciales, y no se ha acreditado haber ejercitado el derecho de oposición, la Agencia estima que no se han agotado las mencionadas fórmulas procedimentales alternativas.

Vaya por delante nuestro total acuerdo con el respeto a los principios de presunción de inocencia y de intervención mínima y proporcionalidad, que quede claro. No obstante, la aplicación de estos principios, llevados al límite (como, en nuestra opinión, hace la AEPD en este caso) permite que, cumpliendo sólo parcialmente con los requisitos exigidos para poder enviar comunicaciones comerciales no solicitadas (como lo es el habilitar un procedimiento para la oposición al envío de nuevas comunicaciones comerciales, tal y como establece el art. 22 de la LSSI) se pueda escapar de la comisión de una infracción.

En consecuencia, si nos atenemos a lo recogido en esta resolución, la AEPD no sancionará el envío de comunicaciones comerciales no solicitadas si:

– Se dispone en la página web de un formulario de solicitud de información.
– Se cumple con la obligación dispuesta en el art. 22 de la LSSI respecto a la habilitación del procedimiento de oposición.

En fin, que parece se pone muy fácil el envío indiscriminado de spam. No obstante, conociendo los cambios doctrinales a los que nos tiene acostumbrados la AEPD, mi recomendación es que sólo se envíen comunicaciones comerciales por vía electrónica, tal y como dice el art. 21 de la LSSI, cuando se tenga el consentimiento del destinatario o la dirección de este se haya obtenido de forma lícita en el marco de una relación contractual previa y la comunicación comercial se refiera a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.