¿Vía libre al «spam»?
Hemos tenido conocimiento de una resolución de la Agencia Española de Protección de Datos (AEPD) por la cual se archiva una denuncia con motivo de la recepción de un correo electrónico no solicitado («spam«). El artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) establece la prohibición de enviar «comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas». Por tanto, con carácter general (hay una excepción que no entra en aplicación en este caso) el envío de una comunicación comercial no solicitada supone una infracción, tipificada en el art. 38.4.d de la misma norma.
En el caso que nos ocupa, habiéndose acreditado el envío de una comunicación comercial no solicitada, la AEPD acuerda no incoar actuaciones inspectoras ni procedimiento sancionador, basándose en dos aspectos:
1.- La presunción de inocencia. Estima la AEPD que, puesto que «en la página web del presunto infractor figura un procedimiento para poder solicitar información facilitando la dirección de correo electrónico, […] cabe concluir que existe una duda razonable acerca de la forma en que se obtuvo la dirección de correo del ahora recurrente y, en consecuencia, de la existencia de consentimiento para la remisión del correo».
2.- Los principios de intervención mínima y proporcionalidad. La AEPD considera necesario que se agoten otras fórmulas procedimentales alternativas a la apertura de un procedimiento sancionador. En este caso, puesto que en el correo electrónico enviado constaba información sobre el procedimiento habilitado para oponerse al envío de nuevas comunicaciones comerciales, y no se ha acreditado haber ejercitado el derecho de oposición, la Agencia estima que no se han agotado las mencionadas fórmulas procedimentales alternativas.
Vaya por delante nuestro total acuerdo con el respeto a los principios de presunción de inocencia y de intervención mínima y proporcionalidad, que quede claro. No obstante, la aplicación de estos principios, llevados al límite (como, en nuestra opinión, hace la AEPD en este caso) permite que, cumpliendo sólo parcialmente con los requisitos exigidos para poder enviar comunicaciones comerciales no solicitadas (como lo es el habilitar un procedimiento para la oposición al envío de nuevas comunicaciones comerciales, tal y como establece el art. 22 de la LSSI) se pueda escapar de la comisión de una infracción.
En consecuencia, si nos atenemos a lo recogido en esta resolución, la AEPD no sancionará el envío de comunicaciones comerciales no solicitadas si:
– Se dispone en la página web de un formulario de solicitud de información.
– Se cumple con la obligación dispuesta en el art. 22 de la LSSI respecto a la habilitación del procedimiento de oposición.
En fin, que parece se pone muy fácil el envío indiscriminado de spam. No obstante, conociendo los cambios doctrinales a los que nos tiene acostumbrados la AEPD, mi recomendación es que sólo se envíen comunicaciones comerciales por vía electrónica, tal y como dice el art. 21 de la LSSI, cuando se tenga el consentimiento del destinatario o la dirección de este se haya obtenido de forma lícita en el marco de una relación contractual previa y la comunicación comercial se refiera a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
Verdaderamente sorprendente, un dictamen que contradice cientos de resoluciones anteriores.
Está muy bien la presunción de inocencia, pero si se invierte la carga de la prueba y a partir de ahora el denunciante va a tener que demostrar "más allá de toda duda razonable" que NO había concedido un consentimiento, no sé dónde quedan conceptos como "previo" o "expreso" con los que la LOPD define el consentimiento.
Pero lo más sorprendente es lo de "en la página web del presunto infractor figura un procedimiento para poder solicitar información facilitando la dirección de correo electrónico, […] cabe concluir que existe una duda razonable acerca de la forma en que se obtuvo la dirección de correo del ahora recurrente y, en consecuencia, de la existencia de consentimiento para la remisión del correo".
Para no tomárselo demasiado a pecho, digamos que a partir de ahora todos los atracos se harán con un platillo en la mano, para que luego se pueda decir que "en manos del presunto atracador figuraba un procedimento para solicitar una limosna facilitando un platillo para la recogida del dinero, con lo que cabe concluir que existe una duda razonable acerca de la forma en que se obtuvo el dinero del ahora denunciante". 🙂
Entiendo que una cosa es tener un formulario y otra que haya algo en la web "facilitando la dirección de correo electrónico".
Son cosas diferentes, un formulario mantiene la dirección anónima, una dirección publicada en la web está diciendo "escríbeme".
Por otro lado, alguien en la AEPD o donde corresponda debería entender que el proporcionar: "información sobre el procedimiento habilitado para oponerse al envío de nuevas comunicaciones comerciales" estará muy bien, pero hay personas que tendrían que pasar una buena parte de su jornada laborarl ejerciendo su derecho de oposión, por ahí desde luego que no debería haber disculpa.
La LSSI dice "Se permite el envío de mensajes publicitarios o comerciales por correo electrónico a aquellos usuarios que previamente lo hubieran solicitado o autorizado de forma expresa" … "La prestación de consentimiento expreso exige la manifestación de una voluntad libre, informada, específica e inequívoca, que no deje lugar a duda, de aceptación del envío de comunicaciones comerciales" . Cualquiera que sepa como funciona un formulario en una pagina web sabe perfectamente que qualquier persona puede usarlo introduciendo el email de otra persona y esto dista mucho de ser una forma "específica e inequívoca, que no deje lugar a duda". Esta claro que hace falta modificar la ley o la interpretacion que se hace de ella para que el consentimiento sea realmente inequivoco, o eso o regalarle a la AEPD o al legislador un diccionario de la real academia donde puedan consultar el significado de la palabra "inequivoco"
No me lo puedo creer, de verdad. 5 años dedicado a este tema y la AGPD sigue sorprendiendome, como casi siempre, de manera desagradable.
Donde queda el papel de "azote del spam" que todos habiamos atribuido a la Agencia?
Donde queda el consentimiento previo, expreso e inequivoco?
Que cara se les queda a los sancionados previamente por el Art 21 de la LSSI y que ven que sin haberse producido ninguna modificacion en la legislacion, han recibido multas de hasta 30.000€?
A quien se le ha ocurrido, como se apunta mas arriba, que el hecho de que se incorpore una revocacion del consentimiento permite la recepcion de spam?
Asi podriamos seguir haciendonos preguntas pero al final, todo se resume en una:
A que esta jugando la Agencia Española de Proteccion de Datos?
hola David,
la cuestion es: ha quedado probado que se enviara el correo electronico no consentido y que se trate de una comunicacion comercial??
Si la respuesta es SI, de nada vale la presuncion de inocencia, principio de intervencion minima etc…
en mi opinion, la proteccion de datos es un tema muy delicado como para este tipo de resluciones, que en mi modesta opinion, adolecen de una falta de rigor impresionante.
GRacias por tu articulo DAvid
Gracias a todos por vuestros comentarios. Estoy de acuerdo con lo decís, lo que no tiene sentido es que según esta resolución no haya que probar que se tiene el consentimiento, sino que sea al revés, que haya que destruir esa "duda razonable" de que se haya solicitado información a través de la página web.
Pues tiene Usted razón, Señor González.
Según la Agencia, si se dipone de una web con un formulario para completar y solicitar información, hay presunción de inocencia. ¿Y qué pasa? ¿Hay que poner la mejilla tres veces y esperar a ver si no nos atienden el derecho de oposición, solicitar después tutela, y sólo entonces, denunciar los hechos para que la AEPD se digne a abrir expediente sancionador? Tengo una idea sobre por qué archivan estos expedientes, pero no la comentaré, ni la pensaré.
Eso sí, me guardo esta resolución por si denuncian a algún cliente mío por enviar SPAM…
Saludos Cordiales.
Señorita Ad Edictum: por favor, comparta con nosotros su idea sobre por qué se archivan esos expedientes.
Si esa denuncia la presentó en su nombre, y ya había presentado otras similares, puedo imaginarme lo que pasó.
También es posible que, por algún motivo, vieran que la empresa denunciada no era fácilmente localizable por algún motivo. Tenga en cuenta que se archivan muchas denuncias por envío de SPAM porque luego no se puede notificar la apertura del procedimiento, ni se va a pillar en la vida al que envía el correo.
La empresa denunciada era muy fácilmente localizable.
En cuanto al comentario de su primer primer párrafo, lo siento pero no sé a qué se refiere.
Muchas gracias en cualquier caso por su comentario.
Espero que no se haya tomado a mal este comentario. Pretendía poner de manifiesto una práctica de la Agencia que no me parece adecuada.
Me refiero a que la Agencia, si ve que alguien presenta muchas denuncias ( y muchas son tres o cuatro), aunque no debería ser así, trata de archivar algunas, igual que si se realizan muchas consultas.
Evidentemente, esto es difícil de demostrar, por eso tampoco puedo afirmarlo con total certeza. Pero es una explicación posible cuando siendo los hechos iguales, en un caso se dice A y en otro B.
Todos hemos leidos resoluciones en las que con los mismos hechos que se denuncian aquí, se abre procedimiento sancionador. En este caso, corríjame si me equivoco, ni siquiera le pide a la empresa en cuestión que acredite que se completó el formulario de la web. En mi opinión es lo mínimo que se debería haber hecho en este caso.
Un cordial saludo.
En absoluto me lo había tomado mal, simplemente no sabía por dónde iba. Puede ser una explicación, yo también me lo he preguntado alguna vez.
Un saludo.
A ver si me puedes ayudar con una duda: soy un particular, recibí varios emails de una empresa DATAXXX no en esta dirección mía personal sino en la de la empresa, les llamé para ver de donde habían sacado mis datos y decirles que era ilegal. Me dijeron que me mandaron un email diciendo "si quieres acceder a DATAXXX pincha aquí", a la que me decían había accedido el día tal desde la IP tal, y que desde ese momento se consideraba que yo había mostrado mi interés en el sitio y que el primer email no era publicidad porque solo ponía lo que te acabo de escribir, además que lo habían recogido de la web de qdq.
Yo no me acordaba pero lo he mirado y es cierto que pinché aquel día en ese email, pero … ¿por eso ya se pueden dirigir a mí las veces que quieran? ¿puedo hacer algo?
Estimado comentarista:
Lo que cuenta no es suficiente para que se considere que ha consentido expresamente (como exige la legislación) el envío de una comunicación comercial, con lo cual esos mensajes podrían ser calificados como "spam" y, por tanto, ilícitos. Al menos debería darle la posibilidad de oponerse al envío mediante un procedimiento sencillo y gratuito. Le recomiendo en cualquier caso, aunque hasta ahora haya sido ilegal su actuación, que realice ese paso y sólo si no es atendido en su petición, denuncie su caso ante la Agencia Española de Protección de Datos.
Hola a tod@s.
Creo que esto tiene fácil solución, ¿no creen?
Bastaría con consultar los logs del servidor web en donde en teoría se registraron dichos mails.
Y si como he leído en algún comentario, se ha tratado de un usuario diferente, al dueño de la dirección de correo electrónico, se verá reflejado en las IPs/MACs de dicho logs.
Mismamente, si queremos verificar la subscripción bastaría con enviar un mail de confirmación a la dirección registrada a través del formulario web. Así sabríamos si la persona que registró la dirección de correo es la misma que usa dicha dirección.
Saludos y enhorabuena por el blog.
Muchas gracias por su comentario, Mr. Keating. La principal crítica que se puede hacer a esta resolución es, efectivamente, que no se ha realizado ni la más minima prueba, ni siquiera indicio, que se facilitó la dirección de email.
A casa mía hay cuatro personas con correo electrónico. Un click del hijo es suficiente como bombardear los padres con spam?
Hola,
Pues sí, se confirma que hay "barra libre" para el SPAM.
Hoy me han confirmado que se están archivando TODAS las Denuncias que se presentan por falta de autorización del 21.1 LSSICE, si el Denunciante NO demuestra que no autorizó (lo que es evidentemente imposible). Se apoyan en http://www.agpd.es/portalwebAGPD/resoluciones/archivo_actuaciones/archivo_actuaciones_2011/common/pdfs/E-01842-2011_Resolucion-de-fecha-19-07-2011_Art-ii-culo-21-LSSI.pdf
Como curiosidad, hoy he recibido un SPAM de una de esas malditas empresas de ventas de e-mails para SPAM en la que, como arma de venta, ponen:
El envío de Publicidad Comercial, en realidad no precisa CONSERVAR NI DEMOSTRAR que se tiene la autorización previa exigida en la LSSI, porque la AGPD no puede sancionar si el receptor no demuestra que no ha autorizado ese envío. Como el receptor no tiene manera de probarlo, la denuncia no prospera.
En el improbable caso de que recibiera escrito de la AGPD por alguna Denuncia, simplemente responda con el escrito adjunto (y envían un texto en un doc adjunto al e-mail, que es muy interesante pero que no puedo adjuntar porque no cabe en el post)
¿Que hacemos?
Muchas gracias por tu comentario, Manel. Por lo que veo, la resolución es similar a la comentada en la entrada. En mi opinión no se sostiene.
¿Qué hacemos? Yo de momento voy a volver a escribir sobre esto.
Un saludo.
Por mi parte, he consultado a Inspección dos supuestos:
– Si me doy de baja vía enlace/link, y me vuelven a enviar SPAM ¿como demuestro que me dí de baja?.
– Si me doy de baja por e-mail, y lo documento ante la AGPD, si al tiempo vuelvo a recibir SPAM ¿como demuestro que no me he vuelto a suscribir, con la retorcida idea de acabar, a multas, con la economía de mercado y imponer las tesis comunistas de la Rusia del siglo pasado? (ufff!!! se me ha ido un poco la "pinza") 🙂
Por ahora no me han contestado … ¿lo harán?. No creo.
Los recursos de la AEPD son los mismos que hace 5 años, las denuncias se han multiplicado ¿como pueden funcionar todavía? pues deformando el derecho hasta la extenuación. Cualquier excusa es buena para inadmitir.
Esta falta de recursos nos perjudica a todos los profesionales de la privacidad, pues un asunto como el cumplimiento de la LOPD ha pasado a tercera linea de importancia para las empresas, dada la caida del rigor de la Agencia, la posibilidad de apercibimiento y la alegre aplicación del 45.5 que han hecho que compense más el riesgo que el cumplimiento.
Ademas, me han contado que tienen denunciadores "profesionales" que presentan mínimo una denuncia a la semana, ya sea de videvigilancia o de spam. A alguno les han pillado en renuncio, cuando han visto que crean artificialmente situaciones de denuncia, o como casos en que alguno que extorsiona a los denunciados, pues de pronto aparece una prueba "milagrosamente". Prefiero no decir mas para que los malintencionados no aprendan.
Pit.-