Ya no se requiere el consentimiento para enviar spam
O eso al menos es lo que sostiene la Agencia Española de Protección de Datos en una de sus resoluciones, donde afirma que en la medida en que la página de la empresa que envía la comunicación comercial por correo electrónico dispone de un formulario para darse de alta en la «lista de spam», no procede comprobar si existe o no consentimiento.
Por todos es más o menos conocido que para la remisión de comunicaciones comerciales por vía electrónica (también conocido como «spam») se requiere el consentimiento previo del destinatario; esto es lo que viene a decir la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico en el artículo 21:
Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
Esto que suena tan simple parece ser que tiene diversas interpretaciones; en la Resolución de fecha 19 de julio de 2011 de la Agencia Española de Protección de Datos (AEPD) se denuncia la recepción de varios correos electrónico de contenido comercial sin que el destinatario haya dado su consentimiento al emisor.
Tras las comprobaciones de rigor, se solicita a la empresa que envió esas comunicaciones que alegase lo que estimara oportuno, afirmando entre otras cosas que:
a) Nunca se envían emails no solicitados, siendo que las personas que reciben las newsletter es porque lo han solicitado expresamenet a través del formulario de alta de información de ofertas en la web de la empresa.
La Inspección de Datos verifica que en efecto en la página web de la empresa denunciada hay un formulario electrónico de solicitud de información.
Lo que procedería a continuación es verificar si en efecto ese usuario que ha denunciado la recepción de «spam» se ha dado de alta para lo cual se me ocurren dos opciones:
a) Que el «alta» se realice mediante un sistema de verificación de emails, esto es, que el usuario que introduce su email en ese formulario para darse de alta recibe un email de confirmación y mientras no lo confirme siguiendo las instrucciones de ese email el alta no se produce de forma efectiva.
b) Que se guarde un registro de la dirección IP desde la cual se da de alta el usuario en esa «lista de spam» también llamada «newsletter». Esta opción es la que, por ejemplo, permitió a esta misma Agencia sancionar en su día a una persona que dio de alta a otra sin su consentimiento en una de estas listas de spam.
Pero volviendo al caso que tratamos hoy, la AEPD, tras las declaraciones de la empresa denunciada, no realiza más comprobaciones, sino que directamente pasa a resolver.
La motivación de la resolución se la ventila en un par de párrafos, que transcribo literalmente:
En este caso, procede resaltar que la página web que contiene la información relativa STIC DIGITAL S.L. dispone de un formulario en el que se recaba, entre otros datos, la dirección de correo para remitir información a quienes lo cumplimentan. Además en el correo electrónico que usted recibió consta información sobre el procedimiento habilitado para oponerse al envío de comunicaciones comerciales.
Por ello, y a fin de evitar dudas razonables sobre la existencia de consentimiento en la remisión de los correos comerciales, usted puede utilizar el procedimiento indicado en el correo electrónico objeto de denuncia para no recibir nuevos envíos comerciales, pudiendo dirigirse a esta Agencia Española de Protección de Datos si su petición no fuera atendida aportando la documentación acreditativa de haber solicitado la oposición.
Nótese que en la propia resolución se dirigen directamente al denunciante «… que usted recibió consta información…«, «… usted puede utilizar...» algo inusual en una Resolución.
Pero en efecto viene a decir que primero prueba a darte de baja de esa lista y si no te dan de baja entonces ya acude a nosotros Agencia para que te tutelemos; pero es que según la LSSI la cosa no funciona así: si recibo un correo electrónico de contenido comercial sin mi consentimiento y lo denuncio, lo que procede (y lo que se venía haciendo) es solicitar al emisor que acredite haber obtenido el consentimiento ya que al receptor le es imposible acreditar que NO cuentan con su consentimiento ¿cómo podría yo probar que no me he dado de alta en una lista de spam?
Y es que además esta carga va en consonancia con el artículo 12.3 del Real Decreto 1720/2007 que dice: «Corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho.«
Por tanto y a tenor de lo que establece esta Resolución, cabe concluir que si existe un formulario en la página web de la empresa para darse de alta en las listas de spam (o newsletters) y en cada comunicación indicamos un medio para darse de baja, podremos enviar spam libremente.
No obstante quiero pensar que detrás de esta Resolución existen hechos que ignoramos y que han justificado archivar directamente la denuncia sin más indagaciones…
Comments
Vanessa
No estoy de acuerdo con la conclusión a la que llegas al decir que «ya no se requiere consentimiento para enviar spam». Si esta persona se dió de alta en una página web y en el registro aceptó el envío de información comercial, en ese momento estaba dando su consentimiento, por lo que el titular de la página web tiene su consentimiento para enviarle publicidad hasta que el interesado decida oponerse a tal envío. Estoy de acuerdo con lo que esta vez dice la AEPD.
Amedeo Maturo
Hola Vanessa, pero es que el formulario, sin método de validación del email del supuesto interesado, se puede usar como excusa para el «spam». El formulario puede ser rellenado por el mismo spammer y así seguir a lo suyo. De ahí, la necesidad de tener prueba del consentimiento (p.e., sistema de verificación de email).
Saludos,
Amedeo Maturo
Samuel Parra
Hola Vanessa; el problema es que aquí el afectado niega haberse dado de alta en esa web o en ese formulario por lo tanto lo que procede es comprobar si la empresa tiene el consentimiento para enviarle publicidad ¿no? La AEPD obvia este tema del consentimiento directamente (ni entra ni valora si hay o no consentimiento) por lo que la conclusión a la que, de forma lógica, se puede llegar, es que no se requiere el consentimiento puesto que la AEPD no lo exige en este caso.
Amedeo Maturo
Yo también quiero pensar que «hay algo más», porque así, a secas, es como dar vía libre al «spam». «¿Quiere Ud. enviar spam? Ponga en su Web un formulario y diga que ha recibido su consentimiento por ahí. No se preocupe, que no le vamos a pedir pruebas del consentimiento: para eso está el formulario».
Lo de la técnica jurídica de la Resolución, sin embargo, no tiene perdón de Dios/Jefe/Él-Ella.
Siempre interesantes post
Samuel Parra
Así es, sería una vía libre al spam! Y en efecto, la redacción de la parte final de la Resolución dirigiéndose directamente al afectado no parece la más adecuada.
Iñaki Fernández
La pregunta que yo me hago es: ¿Qué es lo que hay que hacer a partir de este momento? ¿Nos olvidamos de que existe la LSSI? ¿O seguimos actuando como si hiciese falta el consentimiento?
Saludos
Iñaki
Samuel Parra
Yo actuaría como si hiciese falta el consentimiento, sin duda; pero si te toca defender a una empresa que ha sido denunciada por spam, te puede valer 🙂
Manel
Hola,
Es cierto que hay varias resoluciones en las que la AGPD deja la carga de la prueba al Denunciante y en la que le viene a decir: ¿como se que no has dado el consentimiento previo y solo denuncias por «molestarnos»?; y que pide que para romper la presunción de inocencia del Denunciado, sea el Denunciante quien aporte pruebas de que NO ha consentido. Es evidente que esa prueba es imposible de aportar, porque ser un hecho negativo. También es cierto que por mi experiencia creo que esas resoluciones son las de menos, y que deben de ser una manera de aligerar carga de trabajo de la AGPD, posiblemente ante algún Denunciante «masivo». En cualquier caso NO DEBEMOS OLVIDAR que es una interpretación que hace la AGPD (creo que muy erróneamente) y que sus Resoluciones están sometidas a la revisión, vía recurso contencioso administrativo, de la Audiencia Nacional, que lo tiene claro en materia de SPAM.
Concluyendo. Mi opinión es que a falta de mas datos de esos casos puntuales, la interpretación de la AGPD es errónea y solo fruto de «carga de trabajo» o de «casos puntuales» de los que no conocemos todo el expediente, Y QUE EN NINGÚN CASO ha variado la LSSICE, y que como mucho, lo que ha podido cambiar en algún caso sería la interpretación (mucho más que dudosa) del órgano administrativo sancionador.
Saludos
Jorge Campanillas
AL final, como siempre es un problema de prueba. Ha habido casos que aunque se tuviese la IP desde que se ha dado el alta, a la AEPD no le ha valido y ha exigido el «consentimiento». En fin, cada caso libre albedrío para decidir y considerar la prueba válida.
Eso sí, espero que las empresas no se lo tomen ahora como barra libre, porque nuestros buzones pueden estallar!
Muchas gracias Samuel, por compartir con nosotros las curiosidades que te vas encontrando.
Samuel Parra
Gracias a ti Jorge por leerme y comentar :); en este caso la curiosidad no me la encontré yo sino uno de los lectores de mi blog, que me avisó por email hace ya algunas semanas.
Entendido
Hola, la resolución es correcta ya que hay usuarios que se dedican a denunciar empresas de forma casi sistemática después de darse de alta ellos mismos en boletines de información con el fin de obtener algún beneficio económico de forma indirecta o simplemente perjudicar pequeñas empresas aumentando así la crisis.
Marina
hola a todos, en mi caso, solo envío información cuando me facilitan un correo electrónico tras una llamada de captación, me pregunto que pasa si esa persona me denuncia y niega haberme facilitado el mismo ese correo.
Solo llamamos a empresas (personas jurídicas)para ofrecer nuestro servicio y en caso de estar interesados en recibir información, nos tienen que facilitar una dirección de correo electónico. Cada correo es personalizado e individual.
La duda es la que planteaba antes, y si ese señor o esa empresa niegan esa comunicación? como puedo defenderme? Como puedo hacer para cubrirme legalmente frente a esa posibilidad?
Un saludo y gracias
Israel
Hola, yo queria comentaros mi caso,
He creado una web de uso-consumo colaborativo y alquiler entre particulares y empresas, es gratis y sin animo de lucro, una iniciativa voluntaria de un grupo de amigos implicados con el medio ambiente.
Hasta hoy que he recibido un mail de telefonica diciendo que varios usuarios han denunciado el envio de spam…no sabia que mandar informacion sobre el proyecto Estubiese prohibido.
La base de datos con los correos la compré en una web publica y conocida.
Mi pregunta es la siguiente, en que problemas nos hemos podido meter en cuanto a reclamacione?.
Samuel Parra
Hola Israel; si alguna de esas personas denuncian ante la Agencia Española de Protección de Datos os podrían imputar una infracción en materia de comunicaciones comerciales no consentidas (como mínimo); las multas por este tema son muy elevadas en principio, aunque normalmente las dejan en 2000-5000 euros, según varios factores.
No es buena idea comprar bases de datos, son una fuente de problemas 🙁
Antonio Bernabeu
Buenas tardes,
El problema es que hay gente que se apunta a webs de las que intenta sacar algún tipo de beneficio, sea información, comprar, apuntarse a un sorteo, etc., pero parece que no se lee bien la letra pequeña, ese lugar donde pone que su correo se utilizara para enviarle la información que solicita o el articulo indicado y aparte para enviarle información que se estime que puede ser de su interés.
Ahí tenemos el verdadero asunto, esas webs comercializan con los datos, es más te ofrecen realizar un mailing a su base previo pago.
Superpoblación
En resumidas cuentas.
Un ticket gratis para que cada empresa, web, blog, del planeta te envie un mensaje de spam que incluya un enlace para dejar de recibir spam, absolutamente libre de consecuencias legales con solo un segundo requisito, contar con algun medio publicamente accesible para haberse dado de alta, que sirva para crear una duda razonable, sobre si fue el titular quien se dio a si mismo de alta.
– Esta usted seguro Sr. López que no se dio de alta usted en xxzapatosbaratosdechinacompraloyaquetelopierdes.com
– Bueno no se preocupe, solo tiene que darle al enlace de baja, y luego a los siguientes 12.500 millones de entidades que se calcula pueden aprovechar esta oportunidad para enviarle 1 mensaje de spam gratis cada una.
COn esto y su articulo con la respuesta a su consulta sobre el asunto del balneario, tengo mis conclusiones sobre estos tiempos en los que labores propias de un juez, y merecedoras por su importancia de los dilatados espacios de un juicio bien rumiado, se tiran sobre los hombres de oscuros funcionarios escondidos en agencias, comisiones, asociaciones de expertos. Que sentido tiene ya hablar de inseguridad juridica o indefensión cuando la legalidad se dispensa desde escritorios escondidos al publico.
Superpoblación
Por una vez, los hombres serán hombros. Las tildes se las come el monstruo de internet que además también arroja alguna mayúscula donde le viene en gana.