Noticias JurídicasOrigen https://noticias.juridicas.com

Conocimiento Artículos doctrinales
01/04/2010 04:00:00 PROTECCIÓN DE DATOS 18 minutos

Marketing y Protección de Datos (VIII): Actividad básica de la Agencia Española de Protección de Datos

El objetivo del penúltimo Capítulo de esta obra, es conocer de forma general, los esfuerzos institucionales que se están llevando a cabo a varios niveles, a los efectos de tratar de reducir uno de los elementos que se ha identificado como de mayor perjuicio para el completo desarrollo de la sociedad de la información: el fenómeno de las comunicaciones comerciales no solicitadas o SPAM.

Víctor Roselló Mallol

El objetivo del penúltimo Capítulo de esta obra, es conocer de forma general, los esfuerzos institucionales que se están llevando a cabo a varios niveles, a los efectos de tratar de reducir uno de los elementos que se ha identificado como de mayor perjuicio para el completo desarrollo de la sociedad de la información: el fenómeno de las comunicaciones comerciales no solicitadas o SPAM. Las cifras de porcentaje de correos electrónicos no solicitados no paran de aumentar desde el momento en que nació este fenómeno (prácticamente con el advenimiento de Internet): a pesar que las encuestas demuestran que únicamente alrededor del 5% de los mensajes electrónicos no solicitados alcanza los buzones de correo de los usuarios, las cifras de distintas fuentes también nos indican que entre el 70 y el 80% del tráfico mundial de correos electrónicos, corresponde a SPAM. Esta circunstancia, tiene consecuencias negativas a varios niveles:

Por lo que hemos visto a los largo de esta obra el mayor afectado por este fenómeno, es su destinatario en tanto que se está vulnerando primeramente el derecho a que su dirección de correo electrónico no sea utilizada sin su consentimiento previo y expreso (en este caso, recordemos, el afectado puede ser tanto persona física como jurídica), así como el derecho fundamental a que un dato personal suyo (como el correo electrónico) no sea tratado sin las garantías legales establecidas (en este supuesto el afectado sería únicamente persona física). Más allá de la vulneración de derechos que este fenómeno implica para el afectado, el mismo puede suponer una pérdida de tiempo innecesaria para quien recibe el mensaje (por el borrado de los mensajes), así como un eventual sobrecoste en su uso de Internet, por la contratación de servicios de detección y eliminación de correos no deseados. En definitiva, todo este fenómeno puede desembocar en una pérdida de confianza del afectado en la red de Internet y en uno de sus servicios más comúnmente utilizados (el correo electrónico), con las consecuencias negativas que dicha pérdida es susceptible de producir a todos los sujetos implicados en este sector, cada vez más nuclear de la economía.

Los perjuicios no acaban en el receptor del mensaje pues afectan también de un modo directo, a las empresas cuyos empleados reciben mensajes electrónicos no solicitados. Así estas empresas pueden ver reducida su productividad por el tiempo que sus trabajadores emplean para eliminar el correo no deseado. Al perjuicio económico que representa la pérdida de productividad de los empleados, debemos sumar los esfuerzos económicos que destinan las empresas a contratar servicios de filtrado del correo no deseado y, en su caso, a los eventuales perjuicios que puede ocasionar la recepción de algún correo no deseado con contenido dañino para los sistemas de información de la empresa (virus). Más allá del coste netamente cuantificable para las empresas, debemos considerar que el SPAM afecta de forma muy directa a aquellas personas físicas o jurídicas, la mayoría, que quieren promocionar sus productos o servicios utilizando las herramientas de Internet, de una forma lícita y respetando las normas establecidas.

Por último el SPAM también perjudica, como no podía ser de otra forma, a los proveedores de acceso a los contenidos de Internet o a alguno de sus servicios (como el correo electrónico); estamos hablando de los ISP ("Internet Service Providers"; en sus siglas en inglés) o ESP ("Email Service Providers"). Estas compañías emplean gran parte de sus recursos en implementar medidas técnicas que eviten que sus clientes (empresas e individuos), vean afectado el normal uso del correo electrónico por la recepción de mensajes de SPAM. Las conclusiones de las estadísticas de carácter oficial, como el informe de 2009 de la agencia de la Unión Europea ENISA ("European Network and Information Security Agency"), revelan que a pesar que los proveedores de servicios de Internet no identifican el SPAM como un problema crítico para la prestación de sus servicios, sí que emplean grandes medios en mantener este problema bajo control aplicando distintas medidas tanto legales como técnicas para evitar la proliferación del fenómeno: desde la inclusión de cláusulas en sus contratos prohibiendo a sus clientes el uso de sus servicios para el envío de SPAM, hasta la implementación de sistemas de notificación de correos no deseados y su posterior bloqueo.

En definitiva el SPAM afecta a todos y cada uno de los sujetos que utilizan la red de Internet, ya sea con fines comerciales o meramente personales, frustrando las expectativas que dichos usuarios depositan en los servicios de Internet y ocasionando, en algunas ocasiones, como se ha dicho, la pérdida de confianza de dichos sujetos en dicho medio. Esta realidad ha sido tratada, como veremos a continuación, por los foros internacionales más prestigiosos.

1. Acercamiento supranacional a la lucha contra el SPAM

Un conocimiento elemental del fenómeno del SPAM nos lleva a una primera conclusión básica: ninguna medida encaminada a su extinción o limitación, podrá ser efectiva si se plantea exclusivamente a nivel nacional. El carácter extra nacional del SPAM es indudable para cualquier persona que disponga de una dirección de correo electrónico activa. Las estadísticas periódicamente facilitadas por distintos proveedores de servicios así lo corroboran coincidiendo, en que el país que mayor número de correos no solicitados envía es, con diferencia, EUA, seguido de China. Por este motivo es difícilmente concebible que un eventual éxito de la lucha contra este fenómeno perjudicial para la red, pueda venir de una legislación nacional concreta o de la acción de una institución de un Estado determinado de forma aislada; es por este motivo que desde el nacimiento del SPAM se ha apostado por un acercamiento supranacional a este fenómeno, comprendiendo que el éxito debe venir gracias a la acción de múltiples partes interesadas en resolverlo; estos esfuerzos supranacionales coinciden además, en que la reducción del SPAM no vendrá únicamente a través de la aprobación de normas que lo persigan y sancionen a quien incumpla, sino de la conjugación de una serie de fenómenos, más allá del puramente legislativo-represivo. Veamos, a continuación, cuales son.

Uno de los primeros documentos de carácter supranacional que pretende aunar esfuerzos en la lucha contra el SPAM es la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, sobre las comunicaciones comerciales no solicitadas o spam (redactada en Bruselas el 22 de enero de 2004). A pesar de su antigüedad, muchas de las líneas de actuación en la lucha contra el SPAM seguidas en los años recientes, tienen aún su base en esta comunicación, por lo que su importancia ha quedado acreditada a lo largo de los años. La Comunicación de la Comisión basa su argumentación en el principio esencial consignado por la Directiva 2002/58/CE, de 12 de julio de Privacidad de las Telecomunicaciones (transpuesta en la Ley 32/2003 General de Telecomunicaciones que modifica varios artículos de la LSSICE): el principio del "opt-in", según el cual la recepción de comunicaciones de carácter comercial requerirá, como ya se ha visto en esta obra, el consentimiento previo del afectado. A partir de este principio, que ha sido transpuesto en todos los Estados miembros a través de normas internas, la Comisión enumera otras acciones que deberán completar esta medida de carácter exclusivamente legal:

a) Denuncias y potestad sancionadora:

A pesar de la base legal común en todos los Estados miembros de la Unión Europea en materia de lucha contra el SPAM, es cierto que la Directiva 2002/58/CE deja ciertos aspectos abiertos a la voluntad del legislador interno y es por ello que la Comisión en su Comunicación, pone de relieve algunos de estos aspectos que, a su entender perjudican a la persecución de esta práctica:

  • No todas las autoridades de control de los Estados miembros, tienen capacidad de imponer sanciones económicas, y éstas son, en muchos casos, dispares en su cuantía.

  • Las autoridades públicas competentes para perseguir el SPAM también varían en función del Estado miembro, pudiendo desempeñar esta tarea desde la autoridad independiente de control de protecciones de datos (como en el caso de España), hasta las autoridades de reglamentación de comunicaciones electrónicas o las responsables de protección de los consumidores y usuarios.

A los efectos de solucionar estas deficiencias la Comisión anima a los Estados miembros que solo dispongan de las acciones judiciales para perseguir el SPAM, sin contar con la vía administrativa, que tomen medidas encaminadas a fomentar esta vía para la atención de denuncias e imposición de sanciones, debido a la agilidad que este procedimiento representa, respecto al judicial.

b) Cooperación entre Estados miembros y con terceros países:

La Comisión detecta en este punto uno de los principales objetos de discusión que la materia de la protección de datos trata de dilucidar aún hoy en día, que no es otro que el del reconocimiento de un fenómeno global y de carácter internacional, que exige de acuerdos y normas que superen incluso, el ámbito europeo. En esta linea, ver el informe del Grupo de Trabajo del artículo 29 ("The Future of Privacy", adoptado el 1 de diciembre de 2009) donde entre los puntos cruciales para un completo respeto a la protección de datos, se detecta la necesidad de una mayor y más eficaz colaboración entre las agencias de protección de datos de los Estados miembros. Esta previsión que nace, como hemos señalado, del carácter cada vez más internacionalizado del tratamiento de los datos personales, tiene uno de sus primeros ejemplos en la figura del SPAM, debido a su carácter transfronterizo reconocido desde el principio, entre otros documentos, en la Comunicación de la Comisión aquí analizada. En este sentido la Comisión invita a los Estados miembros a revisar sus sistemas de tratamiento de denuncias transfronterizas y a intensificar y mejorar su coordinación e intercambio de información.

La cooperación entre Estados, de todas formas, no puede acabar en el ámbito comunitario pues como se ha dicho, los países que mayor número de correos comerciales no solicitados envían, no pertenecen a la UE, por lo que es necesario ir un poco más allá. Así la Comisión invita a los Estados miembros a alcanzar acuerdos bilaterales con terceros países (no comunitarios), para facilitar la denuncia y persecución de las actividades relacionadas con el SPAM, así como a la participación de los citados Estados miembros, en foros internacionales que traten este fenómeno. En la actualidad los organismos y acuerdos internacionales más destacados que tratan el asunto del SPAM son:

  • En el ámbito de las Naciones Unidas, los miembros participantes en la Cumbre Mundial de la Sociedad de la Información, "WSIS" (en sus siglas en inglés) (Ginebra 2003), reconocieron el SPAM como "(...) un problema significante y creciente para los usuarios, redes e Internet como tal (...)" (Declaración de la WSIS, párrafo 37): asimismo determinaron que para favorecer la confianza y seguridad en la red era necesario "(...) tomar acciones apropiadas a nivel nacional e internacional (...)" ((Plan de Acción de la WSIS, párrafo C5, d)). Como consecuencia de este mandato, las Naciones Unidas aprobaron la Resolución 51 (Florianópolis, 5-14 octubre de 2004), "Combatiendo el SPAM" y la Resolución 52, (Johannesburgo, 21-30 octubre de 2008) "Respuesta y lucha contra el correo basura". Todas estas resoluciones fueron adoptadas en el marco de la "ITU" ("International Telecommunication Union"), organismo dependiente del Secretario General de las Naciones Unidas y que es regido por un Consejo creado en 1947, del que España es uno de sus 46 miembros. Estos textos de las Naciones Unidas son el mejor ejemplo para comprender como los Estados han entendido el carácter transfronterizo del problema ocasionado por el SPAM y la forma en que éstos han intentado aunar esfuerzos para delimitar, en la más alta esfera de colaboración internacional, este fenómeno que es visto por todos ellos como una barrera al desarrollo de la sociedad de la información.

  • La OCDE organismo internacional que agrupa los países más industrializados del Mundo (siendo España uno de sus 31 miembros), también ha abordado el problema del SPAM. Según este importante organismo de carácter internacional, el SPAM "lamina la confianza del usuario online, reduce la efectividad de las empresas e incrementa los costes para los Prestadores de Servicios de Internet". En el marco de esta organización internacional se ha creado la OECD Task Force y se ha elaborado una herramienta online para fomentar a los gobiernos, legisladores y a los sujetos de la industria a desarrollar políticas encaminadas a encontrar soluciones anti-spam. En este foro se promueven medidas, legales y técnicas, para combatir el SPAM así como códigos de buenas prácticas en los sectores económicos afectados por este fenómeno.

  • Por último, el 11 de octubre de 2004, se reunieron en Londres 27 agencias de sendos Estados, encargadas de perseguir el SPAM (entre ellas la AEPD, de España o la Comisión Federal de Comercio de los EUA, "Federal Trade Commission"), con la intención de discutir la mejora de las medidas de cooperación para reducir este fenómeno. Fruto de este encuentro se aprobó el "London Action Plan" que tiene como razón de ser congregar en un mismo foro tanto agencias y autoridades de protección de datos como miembros destacados de la industria de las telecomunicaciones a los efectos de compartir experiencias relativas al SPAM y de mejorar las medidas conjuntas para su denuncia y sanción. Los miembros de este foro se comprometen a compartir sus avances y acuerdos con el OECD Task Force, con el objetivo que estos sean compartidos por el mayor número posible de sujetos implicados en la lucha contra el SPAM.

c) Mecanismos extrajudiciales de resolución de conflictos:

Siguiendo con la Comunicación de la Comisión del 2004, esta anima a los Estados miembros a que inviten a los sujetos implicados en el SPAM a que adopten medidas extrajudiciales de resolución de conflictos. En este sentido podrían resultar aplicables los mecanismos arbitrales establecidos en algunos Estados miembros para conflictos relacionados con consumidores y usuarios. La Comisión apunta que, en todo caso, sería necesario que los eventuales mecanismos adoptados se promocionen debidamente, así como asegurar la ejecución de lo decidido.

En esta linea se destaca la importancia que deberían recobrar los Códigos de conducta adoptados por sectores de actividad determinados a los efectos de adaptar las necesidades legales de lucha contra el SPAM a su realidad concreta; entre los objetivos habituales de los Códigos de conducta, se encuentra el de proponer mecanismos para resolver conflictos en los sectores de actividad en el que se aplican, a los efectos de que dicha resolución evite acudir a los recursos judiciales con el fin de ganar en eficacia, rapidez y reducir costes. El concepto de Código de conducta (usado por el artículo 27 de la Directiva de Protección de Datos), ha sido transpuesto en el ámbito español por Códigos tipo (artículo 32 LOPD).

d) Soluciones técnicas:

Si consideramos, como se ha citado al principio de este Capítulo, que el volumen de correo electrónico no autorizado, ha aumentado de forma progresiva durante los últimos años (en 2001 el 7% de correos enviados eran SPAM y el 2009 lo eran el 97%, según Microsoft), pero que únicamente llega a su destino final el 5% del correo no solicitado (según la agencia europea ENISA), debemos concluir que efectivamente, las medidas tecnológicas tienen una gran importancia en asegurar que el SPAM no cumpla su objetivo final de llegar a los buzones de correo electrónico.

La Comunicación de la Comisión ya reconoció el papel fundamental que debían jugar los Prestadores de Servicios de Internet en la lucha contra el SPAM, animando a dichos proveedores a establecer sistemas de filtrado del correo electrónico, compatibles con las normas de respeto a la intimidad de los usuarios.

Entre las medidas tecnológicas comúnmente utilizadas por los proveedores de acceso a Internet y de correo electrónico, se encuentran, por este orden:

  • "Blacklisting" o RBL ("Realtime Blackhole List"): Sistema a través del cual los proveedores de acceso a Internet o de correo electrónico, reportan a una base de datos central, las direcciones IP que han detectado que envían de forma masiva correos electrónicos. Una vez incluidos en dicha base de datos, los servidores de proveedores adscritos al servicio de "blacklisting" denegarán cualquier petición de recepción de correos electrónicos a sus usuarios, realizada a través de cualquier dirección IP incluida en la lista.

  • "Counter filtering": En esta técnica anti-spam, los servidores son configurados para que bloqueen cualquier correo electrónico que incluya alguna de las palabras o términos más comúnmente utilizados en los mensajes no solicitados.

  • "Sender authentification": Esta herramienta permite el uso de distintos protocolos de Internet para verificar la identidad del servidor que trata de enviar un mensaje, permitiendo únicamente el envío a aquellos servidores fiables.

  • "Blacklisting" de URL?s: En este sistema de filtrado de mensajes no solicitados, se establecen una serie de direcciones de Internet no autorizadas para que no puedan realizarse envíos de correos que hagan referencia a las mismas.

  • "Greylisting": Esta es una técnica parecida al "Blacklisting" pero en la que si se detecta el envío desde una IP no autorizada, en lugar de denegarlo permanentemente se rechaza de forma temporal. Este sistema se basa en el hecho que la mayoría de motores y sistemas de envío de SPAM no contemplan el reenvío de mensajes en el caso de un primer rechazo, moviéndose directamente a la siguiente dirección de correo electrónico de la lista.

e) Sensibilización:

Por último la Comunicación de la Comisión contempla la necesidad que los Estados miembros, a través de las autoridades competentes en materia de lucha contra el SPAM, emprendan acciones de concienciación e información a individuales y empresas, en relación al régimen jurídico de las comunicaciones comerciales electrónicas, con el objetivo de que los afectados por el SPAM conozcan y ejerzan sus derechos y que quienes envían estas comunicaciones, sean conscientes de sus obligaciones para actuar en el marco de la legalidad.

2. El papel de la AEPD en la lucha contra el SPAM

La AEPD, tantas veces mencionada en esta obra, es el ente de Derecho Público con personalidad jurídica propia y plena capacidad pública y privada, que en España tiene encomendado garantizar el respeto al derecho a la protección de datos personales, así como tutelar los derechos de los abonados y usuarios en el ámbito de las comunicaciones electrónicas, incluyendo el envío de comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o medios de comunicación electrónica equivalente. Es por esta razón que, como ya hemos visto a lo largo de esta obra, la AEPD tiene competencias para imponer sanciones por el envío de comunicaciones comerciales no solicitadas a través del correo electrónico, así como el uso de los datos de abonados para fines comerciales, en las redes de telecomunicaciones. Ambas competencias fueron otorgadas a la AEPD a través de sendas modificaciones de la LSSICE y de Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones. En el marco de estas competencias pues, la AEPD ha participado de forma muy activa en representación de España, en los foros internacionales de discusión del fenómeno del SPAM, analizados en este Capítulo, esto es fruto de la competencia de representación internacional otorgada a la AEPD en el Real Decreto, 428/1993, de 26 de marzo, en el que se aprueba su Estatuto regulador.

En virtud pues de las competencias encomendadas a la AEPD y considerando su papel en la lucha contra el SPAM, podríamos resumir las funciones de la misma en este ámbito en:

a) Cooperación comunitaria e internacional.

En el ámbito de la Unión Europea la AEPD participa activamente en todos los foros creados para discutir las políticas de protección de datos y, como no podía ser de otra forma, para tratar el problema concreto del SPAM siendo esta, como se ha visto una de las competencias de la AEPD y un objetivo estratégico de la Unión Europea.

La AEPD, junto el resto de las autoridades de control de los Estados miembros, es miembro del Grupo de Trabajo de Protección de Datos creado por el artículo 29 de la Directiva 95/46/CE de Protección de Datos. El Grupo podrá, por iniciativa propia y según el artículo 30.3 "(...) recomendaciones sobre cualquier asunto relacionado con la protección de las personas en lo que respecta al tratamiento de datos personales en la Comunidad." En el marco de estas competencias el Grupo aprobó, el 21 de noviembre del 2000, el Documento de Trabajo "", donde en su Capítulo 4 al tratar los riesgos del correo electrónico en relación a la protección de datos de sus usuarios, ya detectó el SPAM como uno de sus mayores problemas. El Grupo del Artículo 29 es un buen termómetro para conocer la opinión de las distintas autoridades de control de la UE en distintas materias, como el SPAM que afectan a la protección de datos en la sociedad de la información.

Aún en el marco de la Unión Europea, la AEPD es miembro del "Contact Network of Spam Authorities", que agrupa las distintas autoridades que en los distintos Estados miembros tienen poderes legislativos para perseguir la práctica del SPAM. Estas autoridades no son todas, como ya se ha visto, autoridades de control de protección de datos, ya que en algunos Estados las autoridades que tienen encomendadas estas competencias son las que controlan el mercado de las comunicaciones o las que velan por el respeto de los derechos de consumidores y usuarios. En el marco de sus competencias el CNSA ha desarrollado un procedimiento de cooperación para facilitar la transmisión de denuncias entre las autoridades nacionales miembros de este foro, en el caso de envíos de correo no solicitado que afecten a más de un Estado. Este mecanismo pretende evitar que el habitual carácter transfronterizo del SPAM limite su efectiva persecución a causa de la falta de comunicación entre las autoridades implicadas en su erradicación.

La acción de cooperación de la AEPD en materia de lucha contra el SPAM no se circunscribe únicamente al ámbito comunitario, como se ha visto anteriormente la autoridad de control española es miembro de foro internacional de entidades de lucha contra el SPAM "London Action Plan", en esta organización, además de varios Estados miembros de la Unión Europea, están representados países que tienen mucho que decir en la lucha contra el envío de correos electrónicos no solicitados, al aparecer en los primeros puestos de los rankings de países de procedencia de estos mensajes: EUA (a través del Federal Trade Commission); China (Union Network Beijing) o la República de Corea (representada por el Korea Internet & Security Agency).

La AEPD despliega, en definitiva, un papel activo en la cooperación internacional en el desarrollo de su competencia de lucha contra el correo electrónico no solicitado. Es digno de destacar que en el ámbito internacional (más allá del de la Unión Europea), la cooperación se establece entre países que disponen de regímenes distintos del envío de comunicaciones comerciales; especialmente resulta destacable en este terreno el caso de los EUA que, a diferencia de la Unión Europea establece un sistema de "opt-out" (el consentimiento se entiende otorgado a menos que el afectado manifieste lo contrario); esta circunstancia sin embargo, no altera la visión que todos estos países tienen sobre el fenómeno del SPAM aunando esfuerzos para perseguir las prácticas no permitidas, en función de cada legislación interna, y para cooperar activamente en tratar de erradicar esta lacra de la sociedad de la información.

b) Sensibilización.

En la línea de trabajo marcada por la Comunicación de la Comisión el año 2004, anteriormente analizada, la AEPD ha dirigido sus esfuerzos en establecer sistemas de información previa a los efectos de evitar tener que aplicar las medidas represivas y sancionadoras. Así la AEPD trabaja de forma activa en la sensibilización especialmente de los titulares de derechos (propietarios de las direcciones de correo electrónico) a los efectos que estos conozcan y apliquen medidas efectivas para limitar, en la medida de lo posible, la recepción de correo basura. Este esfuerzo se combina con el realizado de forma habitual por la autoridad de control, para que los afectados por prácticas contrarias a la normativa vigente, denuncien los eventuales incumplimientos ante la AEPD; en este sentido la AEPD anima a los afectados a que pongan en su conocimiento las prácticas de SPAM, a través de los medios de denuncia habituales, para que la AEPD pueda conocer la situación y actuar en base a sus competencias de investigación y, en su caso, de sanción. La AEPD ha publicado una Guía para la Lucha contra el SPAM expresamente dirigida a los titulares de derechos a efectos de facilitarles toda esta información.

La acción de sensibilización de la AEPD no se dirige exclusivamente a los titulares de derechos, sino que también se enfoca a los que deben cumplir las obligaciones (personas jurídicas o físicas que deseen promocionar sus productos o servicios a través de comunicaciones comerciales electrónicas). La mayor parte de la labor realizada en este sentido, la lleva a cabo el Gabinete Jurídico de la AEPD que atiende y resuelve consultas relacionadas con el cumplimiento de las obligaciones de la legislación, sobre la que la AEPD despliega sus competencias. Los informes jurídicos evacuados por el Gabinete de la AEPD, son una buena herramienta a los efectos de conocer la opinión de la AEPD en temas concretos y de prevenir el eventual incumplimiento de la normativa; así no son pocos, los informes jurídicos elaborados relacionados con el envío de comunicaciones comerciales electrónicas. Por ejemplo: Informe 219/2009, Informe 307/2009 o Informe 538/2008. A pesar de la importancia de estos informes, es necesario destacar que éstos, no tienen carácter vinculante, por lo que, aunque parezca lo contrario, la actuación en base a lo expresado por la AEPD no garantiza al cien por cien evitar su acción inspectora y, en su caso, sancionadora.

c) Acción sancionadora.

Estas son, sin lugar a muchas dudas, las actuaciones de la AEPD mayormente conocidas por los afectados por la normativa de protección de datos y otras sobre las que la autoridad de control, tiene competencia. Las cifras son reveladoras, según la Memoria anual del 2008, el valor de las sanciones impuestas durante ese año ascendió a unos 22,6 millones de euros (una variación del 15% en relación a los 19,6 millones impuestos el 2007).

Centrándonos en las inspecciones y sanciones impuestas por la AEPD en base a su competencia para perseguir el envío de comunicaciones comerciales electrónicas y también según la Memoria del 2008, podemos concluir también que:

  • El sector de las comunicaciones comerciales, es el cuarto en orden de importancia, en relación al inicio de procedimientos inspección (después del de telecomunicaciones, financiero y video vigilancia).

  • Las sanciones impuestas por incumplimiento de la LSSICE en el 2008 (que regula las comunicaciones comerciales) son el 6% del total (47 sobre 630), en el 2007 representaba el 9,3% del total (37 sobre 399).

A modo de conclusión y antes de entrar en algunos casos concretos de procedimientos sancionadores resueltos por la AEPD, es necesario realizar una valoración final sobre el fenómeno del SPAM y de las medidas tomadas para tratar de limitarlo. En este capítulo se han expuesto los esfuerzos emprendidos a varios niveles, a los efectos de combatir el SPAM, la realidad de todas formas, es que a pesar de estas tareas, los usuarios de correo electrónico siguen recibiendo SPAM a pesar que en la mayoría de los casos el perjuicio se limite a borrar los pocos mensajes que eluden los sistemas de protección y filtrado. Otra de las realidades es que la mayoría de correos basura recibidos por los usuarios, son remitidos por entidades extranjeras y que, aun contando con los medios de cooperación expuestos, los afectados no acostumbran a denunciar estas actividades cuando vienen de orígenes desconocidos, a pesar que estos mensajes además del perjuicio propio del SPAM, son, adicionalmente los que suelen incluir, en ocasiones, contenidos dañinos (como virus). Es por esta razón que es necesario que las empresas que se identifican y que pretenden hacer un uso legal y lícito de las herramientas de Internet (como el correo electrónico), deben redoblar sus cautelas al momento de realizar acciones de comunicación comercial por medios electrónicos, ya que la lucha contra el SPAM expuesta en este capítulo, no diferencia entre el origen del envío, de forma que será más fácilmente objeto de persecución el mensaje de una empresa identificada, que sólo pretende promocionar sus servicios o productos pero que incumple alguno de los requisitos legales, que el de una empresa no identificada que viola por sistema las normas anti-spam y cuyo negocio se reduce simplemente a eso: el envío de SPAM.

3 Actividad sancionadora básica de la AEPD en materia de comunicaciones electrónicas no solicitadas

En este último apartado del capítulo trataremos de abordar de forma esquemática la actividad principal de la AEPD en materia sancionadora en relación al envío de comunicaciones comerciales no solicitadas. Así mismo se procederá a resumir los criterios básicos que sigue la citada autoridad de control en el momento de iniciar procedimientos sancionadores e imponer sanciones en este ámbito.

3.1 Comunicaciones comerciales no deseadas

3.1.1..Correo electrónico.

Como ha tratado de exponerse a lo largo de este capítulo, el medio más habitual para el envío de comunicaciones comerciales por vía electrónica, es el correo electrónico, esto es así, según palabras de la propia AEPD ya que "El bajo coste de los envíos de correos electrónicos vía Internet (...), su posible anonimato, la velocidad con que llega a los destinatarios y las posibilidades que ofrece en cuanto al volumen de las transmisiones, han permitido que esta práctica se realice de forma abusiva e indiscriminada." Este párrafo suele constar, de forma casi inalterable, en la mayoría de los fundamentos de derechos de resoluciones en los que la AEPD aborda el envío de comunicaciones comerciales no solicitadas. Recogemos a continuación la argumentación repetida una y otra vez por la AEPD en las resoluciones de este tipo, ya que entendemos que mejor que nadie, resume su criterio al momento de imponer sanciones:

"Actualmente se denomina "spam" a todo tipo de comunicación no solicitada, realizada por vía electrónica. De este modo se entiende por "spam" cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es el correo electrónico.

Esta conducta es particularmente grave cuando se realiza en forma masiva. El envío de mensajes comerciales sin el consentimiento previo está prohibido por la legislación española en la LSSI (a consecuencia de la transposición de la Directiva 2000/31/CE, de 8 de junio).

(...)

Así, la LSSI, en su artículo 21.1, prohíbe de forma expresa "el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas". Es decir, se desautorizan las comunicaciones comerciales dirigidas a la promoción directa o indirecta de los bienes y servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional, si bien esta prohibición encuentra la excepción en el segundo párrafo del citado artículo, que autoriza el envío cuando "el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que fueron objeto de contratación". De este modo, el envío de comunicaciones comerciales no solicitadas, fuera del supuesto excepcional del art. 21.2 de la LSSI, puede constituir una infracción leve o grave de la LSSI.

La Directiva sobre Privacidad en las Telecomunicaciones, de 12/07/02, (Directiva 2002/58/CE) actualmente transpuesta en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, que modifica varios artículos de la LSSI, introdujo en el conjunto de la Unión Europea el principio de "opt in", es decir, la necesidad de contar con el consentimiento previo del destinatario para el envío de correo electrónico con fines comerciales. De este modo, cualquier envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente queda supeditado a la prestación previa del consentimiento, salvo que exista una relación contractual anterior y el sujeto no manifieste su voluntad en contra.

Por lo tanto, atendiendo al enunciado del art. 21.1 de la LSSI, norma que tiene por objeto, entre otras materias, la regulación del envío de las comunicaciones comerciales por vía electrónica, resulta necesario que el remitente del envío cumpla con la exigencia de contar con consentimiento previo y expresamente manifestado por el destinatario del mensaje para que pueda admitirse el envío de comunicaciones publicitarias o promocionales por correo electrónico."

La argumentación de la AEPD al momento de imponer sanciones por un eventual incumplimiento de la LSSICE, puede resumirse pues en tres pasos:

  • Dilucidar el carácter promocional o comercial del correo electrónico recibido.

  • Acreditación por parte del presunto responsable, de que dispone del consentimiento previo o expreso del receptor del mensaje. En este sentido recordamos aquí lo dicho durante esta obra en el sentido que quien envía el mensaje debe estar en disposición de aportar los medios suficientes ante la AEPD para acreditar que dispone del consentimiento expreso de la persona afectada.

  • Por último, en el caso de demostrarse que se trata de un correo con contenido promocional o comercial y que el presunto responsable no dispone del consentimiento expreso del destinatario, el último argumento de la AEPD para resolver si existe o no incumplimiento de la LSSICE, es si el envío está justificado por una relación contractual previa con el receptor del mensaje y que quién lo remite, esté informando sobre productos y servicios propios y similares a los que hubiera contratado (excepción del artículo 21.2 LSSICE).

Cuadro explicativo: por tanto, el argumentario de la AEPD para resolver si un envío electrónico es acorde a la LSSICE, puede resumirse en:

?Se trata de un mensaje de carácter comercial?

SI/NO

?El emisor dispone del consentimiento expreso y previo del receptor?

SI/NO

?Existe una relación contractual previa entre emisor y receptor?

SI/NO

Una respuesta positiva a la primera pregunta y negativa a las dos siguientes, implicará la imposición del régimen sancionador de la LSSICE al emisor del mensaje publicitario, resultando de aplicación, para determinar la gravedad del hecho, si se han remitido tres mensajes o más en el plazo de un año al mismo destinatario (sanción grave) o no (sanción leve).

3.1.2Teléfono móvil.

Cuando el envío se realiza por mensajes cortos o multimedia a teléfonos móviles, pocas diferencias se observan en relación a los criterios de la AEPD, ya expuestos en el caso de los correos electrónicos. Recordemos que la LSSICE en sus anexos, define a los servicios de la sociedad de la información como cualquier "servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario" y a las comunicaciones comerciales como "toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional". Es por ello que el régimen jurídico de la LSSICE es plenamente aplicable al envío de mensajes de texto (SMS) y multimedia (MMS) a teléfonos móviles, dándose aquí por reproducidos los criterios de la AEPD anteriormente expuestos para los correos electrónicos.

3.1.3 Fax.

La AEPD también es competente, como ya sabemos, para investigar y poner sanciones en materia de vulneración de los derechos reconocidos a los abonados a los servicios de comunicaciones electrónicas. Esta competencia queda establecida en el artículo 58.b) de la LGT y hace referencia al derecho otorgado por el artículo 38.3.h) de la misma ley "(...) a no recibir llamadas automáticas sin intervención humana o mensajes de fax, con fines de venta directa sin haber prestado su consentimiento previo e informado para ello." Por este motivo la actividad de investigación y sanción de la AEPD en materia de recepción de faxes sin el consentimiento del afectado (que, recordemos, puede ser persona física o jurídica), es habitual. Según datos del 2008, el 1% de los procedimientos de inspección incoados por la AEPD, corresponden a un incumplimiento de la LGT.

El porcentaje de inspecciones y sanciones impuestas por el incumplimiento de la LGT podría verse significativamente aumentado en el caso que el legislador atendiera a la petición de la AEPD de que las llamadas o envíos de fax con intervención humana, también requirieran el consentimiento expreso del destinatario (recordemos que en este caso es suficiente el consentimiento tácito). Esta opinión ha sido recogida en la Memoria de 2008 de la AEPD.

La doctrina general de la AEPD en esta materia concreta, se puede resumir en que esta autoridad de control se asegura, en la fase de actuaciones previas, que el fax haya sido efectivamente enviado desde los sistemas de transmisión del presunto responsable, así como que el dato (número de fax) del afectado, esté almacenado en los sistemas de este. Una vez determinados estos extremos la AEPD trata de constatar si quien envió el fax disponía del consentimiento previo e informado del receptor del fax. A estos efectos la AEPD recuerda en varias de sus recientes resoluciones, por ejemplo la R/00068/2008, que el hecho que el número de fax se encuentre en una fuente accesible al público no exime al remitente del mensaje publicitario, de recabar el consentimiento del afectado (ver Fundamento Jurídico IV, segundo párrafo) (este argumento también se incluye en las R/01435/2009 (ver Fundamento Jurídico V, séptimo párrafo) o R/00612/2009 (ver Fundamento Jurídico V, décimo párrafo).

Una vez acreditados estos extremos, la AEPD aplica el régimen sancionador de la LSSICE, según el cual si se trata de un envío de más de tres mensajes publicitarios no solicitados al mismo destinatario, en un plazo inferior a un año, se tratará de una infracción de tipo grave y en caso de no cumplirse estos requisitos, una de tipo leve.

3.2 Relación contractual.

Como se ha comentado en este capítulo y también a lo largo de la obra, el hecho de que exista una relación contractual previa entre el emisor y el receptor del mensaje por vía electrónica, es un elemento que enerva la posible responsabilidad del primero al no ser necesario, en este caso, contar con el consentimiento expreso del destinatario. Es por este motivo que en el caso de que el eventual envío se base en esta circunstancia es imprescindible que el emisor esté en disposición de acreditar la relación contractual con el receptor (por tanto cliente del primero) y que disponga de los medios de prueba necesarios a los efectos de demostrar esta relación proveedor-cliente.

En este sentido constituye prueba, sin duda, cualquier contrato en formato papel firmado entre las partes; pero este valor probatorio debe ser reconocido también a los documentos electrónicos, según lo establecido en el artículo 326 de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil. A pesar que no es materia de esta obra, la Ley de Enjuiciamiento Civil expresamente remite a la Ley 59/2003, de 19 de diciembre, de firma electrónica, en la que se establecen distintos tipos de firmas electrónicas en función de los medios que se han utilizado para su creación; así a mayor cantidad de medidas que sirvan para acreditar la autenticidad y la identidad de quien firma un documento electrónicamente, mayor dificultad tendrá este para denegar su expresión de voluntad manifestada telemáticamente. Es por ello que, si en el marco de un procedimiento sancionador por incumplimiento de la LSSICE, el presunto responsable pretende justificar el envío comercial electrónico por la existencia de una relación contractual previa con el receptor del mensaje y dicha relación se ha establecido de forma electrónica, como mayores medidas haya adoptado para acreditar la identidad y autenticidad de la firma telemática, más fácilmente podrá acreditar dicha relación contractual.

La existencia de relación contractual también ha quedado acreditada, en algunos supuestos, por la simple aportación por el presunto responsable de un pedido por parte de quien recibe la comunicación comercial. En este caso sería suficiente la aportación de una factura de compra de un producto o contratación de un servicio para justificar el posterior envío de comunicaciones comerciales; esta circunstancia no evita que, en el caso que el procedimiento de compra o contratación se haya realizado completamente online, el remitente de la comunicación aporte la mayor cantidad de elementos posibles para acreditar la identidad del comprador y receptor del mensaje, en la línea de lo expuesto en el anterior párrafo. Por último y en algunos supuestos la AEPD, ha impuesto sanciones a remitentes de envíos comerciales por vía electrónica, que a pesar de demostrar la relación contractual con el receptor, no han dado cumplimiento a lo establecido en el artículo 21.2 LSSICE en el sentido de "(...) ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija." (Ver Resolución R/00102/2009)

3.3 Envío tras revocación del consentimiento.

Por último existe una buena cantidad de procedimientos sancionadores en los que la AEPD conoce de casos en que se remiten comunicaciones comerciales a personas que han solicitado su baja o ejercido su derecho de cancelación al tratamiento de datos personales. En los casos de revocación del consentimiento, el eventual envío de comunicaciones comerciales una vez el afectado ha ejercido el derecho otorgado por el artículo 22.1 LSSICE ("El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente."), puede imponer la imposición de dos sanciones: una por envío de una comunicación comercial no solicitada (infracción del artículo 21.1 LSSICE) y otra por la falta de cumplimiento del artículo 22.1. (Ver Resolución R/00022/2009).

Víctor Roselló Mallol.
Abogado. Especialista en Protección de Datos.

Te recomendamos