Abonauta

Estamos acostumbrados a oír de hablar del SPAM en el correo electrónico. De hecho, es un mal que sufrimos a diario.

Sin embargo, existe otros tipos de SPAM de los que ya hemos tenido la oportunidad de hablar en otras ocasiones como el SPAM telefónico.

En concreto, hoy me gustaría abordar el no tan manido pero igualmente molesto SPAM mediante mensajes a móviles de tipo SMS.

Seguro que, en alguna ocasión, hemos recibido mensajes publicitarios en nuestro teléfono móvil sin que, en ningún momento, los hayamos solicitado o hayamos dado nuestra autorización para recibirlos.

Un caso especialmente masivo fue la reciente campaña relativa a un concurso de Antena 3 Televisión que ya fue tratado en el blog de nuestro compañero Samuel Parra y dio lugar a un buen número de denuncias ante la Agencia Española de Protección de Datos (AEPD).

Pues bien, en los últimos días se han conocido ya dos sanciones impuestas por la AEPD a Antena 3 Televisión y a la productora Zed Worldwide por un importe total que ronda los 70.000 euros para ambas entidades: la Resolución R/01396/2010 y la Resolución R/01729/2010.

A muchos ha sorprendido, sin embargo, que estas sanciones no se basen en un incumplimiento de la famosa Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) sino, especialmente, de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI). Esto es debido a que la Ley 59/2003, de 19 de diciembre, de firma electrónica atribuyó competencias a la propia AEPD para conocer de determinadas infracciones de la LSSI y, en particular, del incumplimiento del artículo 21 y concordantes de dicha Ley relativo al SPAM.

¿Y cuáles son la obligaciones que impone la LSSI al respecto?

Pues, muy sencillo. Podemos resumirlas en los siguientes puntos:

1- Identificación clara del mensaje publicitario mediante la inclusión de la palabra “Publi” o “publicidad” al comienzo del mismo.

2- Identificación con datos del anunciante y, en su caso, acceso a las condiciones generales y bases de concursos y acciones promocionales.

3- Solicitud o consentimiento expreso previo de cada uno de los destinatarios para recibir publicidad por dicho medio (salvo excepciones muy tasadas).

4- Dar opción de oponerse al tratamiento, mediante un procedimiento sencillo y gratuito, para darse de baja y evitar futuros envíos.

A pesar de su claridad y simplicidad, son muchos los abusos que se han cometido (y que se siguen cometiendo) por parte de todo tipo de proveedores y anunciantes que se dirigen con demasiada frecuencia a nuestros móviles.

Confiemos en que estas prácticas ilícitas sean poco a poco desterradas en el futuro.

Esta semana saltaba la noticia: El director de la Agencia Española de Protección de Datos se reúne con sus homólogos de las Agencias autonómicas. Desgraciadamente, la gallega no está entre ellas.

En estos momentos, somos la única de las llamadas “Comunidades Históricas” que no tenemos este fundamental organismo. Tanto Cataluña como el País Vasco la tienen, además de Madrid que tiene tanto la central como la autonómica.

Pero, me diréis, ¿para qué sirve una Agencia de Protección de Datos?

Pues bien, una APD es un ente público autónomo que tiene como misión fundamental velar por la aplicación de la Ley Orgánica 15/1999 de Protección de Datos (LOPD) en su ámbito de competencias. Aunque su Director es nombrado por el Gobierno (a propuesta de un Consejo Asesor), su independencia está reconocida y reforzada por su inamovilidad en el cargo durante su mandato (el cuál usualmente suele coincidir entre gobiernos de distinto signo).

Por otro lado, y por imperativo legal, la APD no depende jerárquicamente de ningún Ministerio ni Consejería, teniendo total autonomía organizativa y funcional.

Entre sus variadas competencias, destacan las propias de inspección y sanción. Aquí las autonómicas se diferencian principalmente de la central en que las primeras sólo asumen dichas funciones respecto a las propias administraciones públicas locales y autonómicas de su Comunidad, mientras que la AEPD las ejerce tanto sobre el resto de administraciones como sobre todo el sector privado nacional.

¿Por qué entiendo que es fundamental tener una APD en Galicia?

Podría destacar varios motivos, como la aplicación del principio de subsidiariedad europeo, el no depender de Madrid a efectos de inspección y sanción de nuestras administraciones públicas locales y autonómica, o la necesidad de proteger un derecho fundamental desde nuestra propia tierra en un ámbito en plena expansión como es el de la administración electrónica o las redes sociales, pero voy a centrarme sólo en uno: en su fundamental papel para la formación, sensibilización y asistencia de nuestro sector público (y privado) en la responsabilidad de la protección y buen uso de los datos de todos los ciudadanos residentes en Galicia.

En la experiencia de otras Comunidades Autónomas, esto ha supuesto una aportación fundamental de sus Agencias que, desgraciadamente, no puede ser abordada en toda su amplitud por una AEPD central, cada vez más saturada y centrada principalmente en labores de instrucción y sanción.

Un ejemplo de ello ha sido, sin duda, la importantísima labor desarrollada en este sentido de la Agencia de Protección de Datos de la Comunidad de Madrid. La misma, lejos de convertirse en referente coercitivo, se ha centrado especialmente en tareas de difusión y concienciación tanto de sus administraciones “tuteadas” como del público general. Así lo avalan sus más de 30 libros especializados publicados y más de 50 seminarios y jornadas de formación impartidas a todos los niveles y campañas de sensibilización dirigidas al público sólo en lo últimos tres años.

Éste es el modelo que están imitando también el resto de Agencias autonómicas. Sus resultados, hablan por si mismos: unas administraciones públicas mucho mejor adaptadas a la LOPD y sensibilizadas respecto a la privacidad de sus ciudadanos. Esta labor social, sin duda, ha sido fundamental, diferenciadora y muy valorada por el resto de agentes públicos y privados de sus respectivos ámbitos de actuación.

¿Para cuándo una “Axencia Galega de Protección de Datos”? Esperemos que no pase mucho tiempo antes de que un Director de la AGPD represente a Galicia en una futura reunión de Agencias a nivel nacional.

Como decía la canción de Roberto Carlos: “Yo quiero tener un millón de amigos”. Éste es el sueño dorado de muchos usuarios de Redes Sociales. De hecho, el número de amigos en Facebook o Tuenti o de seguidores en Twitter se ha convertido en un símbolo de prestigio social en la Red (y fuera de ella).

Si eres uno de estos usuarios “coleccionistas de amigos” debes de ser especialmente cauteloso con lo que compartes en la Red. Y no sólo por los motivos obvios de mantener protegida tu privacidad sino también porque, como bien apuntó Samuel Parra, “podrías tener un problema legal” dado que se te podrían aplicar las obligaciones de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

Según el reciente Informe Jurídico 0615-2008 de la Agencia Española de Protección de Datos (AEPD), tener un número demasiado alto de amigos podría exceder el ámbito de nuestras “relaciones privadas” y, por tanto, entenderse como una posible comunicación pública ilícita.

En efecto, el artículo 2.2.a) de la LOPD excluye de la aplicación de la Ley a aquellos ficheros que se usen “exclusivamente” en el ámbito privado. Dicho artículo dispone lo siguiente:

“ El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación:

a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.”

Pero, ¿Qué se entiende por “actividad personal o doméstica”?

Como bien refiere el citado Informe de la AEPD, este concepto fue aclarado por la Sentencia de 15 de junio de 2006 de la Audiencia Nacional del siguiente modo:

“Será personal cuando los datos tratados afecten a la esfera más íntima de la persona, a sus relaciones familiares y de amistad y que la finalidad del tratamiento no sea otra que surtir efectos en esos ámbitos.”

¿Y cómo se traduce esto en el ámbito de las Redes Sociales?

Se remite aquí el Informe al Dictamen 5/2009 relativo a las redes sociales en línea, adoptado el 12 de junio de 2009 por el Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE, órgano consultivo independiente de la UE sobre protección de los datos y la vida privada. Dicho Dictamen señala que:

“Generalmente, el acceso a los datos de un usuario (datos del perfil, mensajes, historias…) se limita a los contactos elegidos. Sin embargo, en algunos casos, los usuarios pueden adquirir un gran número de contactos terceros y no conocer a algunos de ellos. Un gran número de contactos puede indicar que no se aplica la excepción doméstica y el usuario podría entonces ser considerado como un responsable del tratamiento de datos.”

Por tanto, argumenta la AEPD que no se beneficiarán de este concepto privilegiado de “ámbito personal” aquellos casos en que “la publicación se efectúe en una página de libre acceso para cualquier persona o cuando el alto número de personas invitadas a contactar con dicha página resulte indicativo de que dicha actividad se extiende más allá de lo que es propio de dicho ámbito.”

¿Y en qué se traduce que se pueda aplicar la LOPD a los usuarios con “muchos amigos”?

Pues, por ejemplo, a la hora de publicar datos o imágenes de otras personas (fotos de cenas, amigos, hijos, hijos de amigos, etc.) se deberá obtener el consentimiento previo e inequívoco de dichas personas o de sus representantes legales, según concluye la AEPD, “tanto para la obtención de la imagen como para su publicación en la página web, en tanto que ésta última constituye una cesión o comunicación de datos de carácter personal tal y como viene definida por el artículo 3 j) de la LOPD, esto es, como «Toda revelación de datos realizada a una persona distinta del interesado».”

Como abogado, debo recomendaros obtener dicho consentimiento siempre por un medio que deje constancia (idealmente por escrito) ya que, como responsables del fichero, deberéis probarlo en su caso, so pena de ser sancionados con multas que oscilarán entre los 600 a 600.000 euros (no, no se me han escapado ceros de más), según los datos compartidos sean más o menos sensibles.

Y es que, también en la Redes Sociales, la popularidad tiene un precio (a veces, demasiado alto).

Hace unos días saltaba una noticia que no por sorprendente era menos esperada: “La UE abre investigación antimonopolio frente a Google”.

Y es que Google está omnipresente en los últimos años en la Red. Se estima que el 90% de las búsquedas de Internet realizadas en Europa se hacen a través de su conocido servicio web. Google es, de hecho, tan popular que ya tiene hasta una ciudad que lleva su nombre (la antigua Topeka en Estados Unidos).

César Alierta ya desató la polémica frente a Google el pasado 5 de febrero en Bilbao al afirmar que los buscadores debían ser también regulados y colaborar en el mantenimiento de las redes. Algo debía de saber el presidente de Telefónica de la nueva propuesta de España a la UE para regular los intermediarios de Internet, aunque luego fuera atenuada en un segundo documento, de 24 de febrero, que se limita a señalar que “las posibles posiciones de abuso que pudiera haber en los diferentes eslabones de la cadena de valor que vayan más allá de las redes de comunicaciones electrónicas, deberán ser estudiadas y, en todo caso, abordadas desde el punto de vista de defensa de la competencia“.

Pero, ¿qué dice la legislación europea de defensa de la competencia?

El Reglamento (CE) n° 1/2003 del Consejo, de 16 de diciembre de 2002, relativo a la aplicación de las normas sobre competencia previstas en los artículos 81 y 82 del Tratado es la norma jurídica que protege la libre competencia en Europa y confiere competencias a la Comisión Europea para perseguir prácticas monopolísticas de empresas a nivel comunitario.

En concreto, dentro de la política comunitaria de competencia, la Comisión debe “velar por la aplicación de las normas de competencia en acuerdos entre empresas, decisiones de asociaciones y prácticas concertadas (artículo 81) y abusos de posición dominante (artículo 82), susceptibles de limitar la competencia”.

Como sanción ante tales prácticas, “la Comisión podrá imponer a las empresas y asociaciones de empresas multas de hasta un 1 % del volumen de negocios” o, en caso de incumplimientos, de “hasta un 5 % del volumen de negocios diario medio realizado durante el ejercicio social anterior al día retraso”.

Esta norma sirvió de base en su momento para el famoso “caso Microsoft”, por el cual el desarrollador de Windows fue condenado por utilizar su posición dominante en el mercado de los sistemas operativos para imponerse también en el de los reproductores multimedia y en el de los navegadores de Internet con su Windows Media Player e Internet Explorer, respectivamente, instalados de serie. Dicho caso supuso una verdadera sangría económica para Microsoft que tuvo que pagar más de 1600 millones de euros en concepto de multas además de terminar claudicando finalmente a la normativa europea este mismo mes.

Bien es cierto que el gigante de Seattle ya sufrió lo suyo en un, más famoso aún, caso antimonopolio de Estados Unidos frente a Microsoft que tuvo su punto álgido en la resolución del juez Jackson de 5 de noviembre de 1999 que a punto estuvo de acabar con la compañía al afirmar que “A través de su conducta con Netscape, IBM, Compaq, Intel, y otros, Microsoft ha demostrado que hará uso de su posición dominante en el mercado y de sus inmensos beneficios para dañar a cualquier empresa que insista en la búsqueda de iniciativas que podrían aumentar la competencia contra alguno de los principales productos de Microsoft”.

¿Puede ser el caso Google una nueva versión actualizada del caso Microsoft?

Pues habrá que esperar. Todo depende de si Google realmente está utilizando su abrumadora posición dominante en el mercado de los buscadores para alterar otros mercados en beneficio de sus propios productos y servicios.

De momento, la Comisión Europea simplemente ha comunicado un expediente preliminar a Google. Según la propia normativa, “para garantizar el buen desarrollo del derecho de defensa, antes de tomar una decisión, la Comisión ofrece a las empresas y asociaciones de empresas concernidas la ocasión de dar a conocer su opinión respecto a las objeciones formuladas en su contra”.

En cualquier caso, uno no puede evitar una cierta sensación de “dejà vu”. Incluso parece que es el propio Microsoft el que está detrás de las denuncias a la Comisión Europea. Así se desprende de la nota hecha pública por Google a través de su blog oficial.

En su día, el director general de Google España, Javier Rodríguez Zapatero, aseguró que Google no es un monopolio porque “la competencia está a un click de distancia”.

No lo dudo, pero lo cierto es que ese “click” se hace 9 de cada 10 veces sobre un enlace que suministra la propia Google.

Sí, lo sé, no buscamos novia en Rusia, no queremos modificar partes de nuestra anatomía ni, de momento, necesitamos Viagra. Sin embargo, todos los días recibimos ofertas de este tipo en nuestro buzón de correo electrónico ¡y a montones!

El Spam, o correo electrónico publicitario no solicitado, se ha convertido en una lacra para el internauta. Continuamente, nos vemos obligados a bucear entre decenas o incluso cientos de mensajes de correo basura para rescatar nuestros casi ahogados correos legítimos.

En los últimos años, los gobiernos a nivel mundial han legislado y actuado activamente contra esta práctica. Incluso en Estados Unidos, donde tuvo su origen y donde, según un reciente informe, se sigue originando el mayor porcentaje de Spam del Mundo, ya se están viendo condenas criminales, con penas que superan los dos años de prisión, para los llamados “spammers”.

De un modo más taimado, la Unión Europea, a través de su Directiva 2000/31/CE de Comercio Electrónico, dejó en manos de los Estados Miembros la decisión de prohibir el Spam completamente o bien permitirlo dando a los internautas la posibilidad de registrarse en unas listas especiales de exclusión o de “opt out”.

Nuestro país ha optado por la decisión más restrictiva: la completa prohibición del Spam. Así, el artículo 21.1 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI) dispone que:

“Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.”

En base a ello, para enviar legalmente información comercial en España por email es necesario obtener el previo consentimiento expreso del destinatario. Es decir, la persona o entidad que quiera enviarnos información publicitaria por dicho medio debe preguntarnos si queremos recibirla y aguardar nuestra respuesta afirmativa (y todo ello, por supuesto, antes de enviarnos ninguna publicidad). ¿Y si no contestamos? Pues la Ley estima que nuestra respuesta es negativa y el remitente no podrá enviarnos dicha publicidad.

Esto, sin duda, ha sido un golpe muy duro para nuestras empresas las cuales han visto una seria desventaja competitiva en relación a otras legislaciones más “benévolas”. Es por ello que este artículo fue reformado posteriormente para añadir la siguiente excepción en su apartado 2:

“Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.”

Es decir, que si hemos sido clientes de una empresa y le hemos facilitado nuestros datos de forma legítima (en particular nuestra dirección de email), dicha empresa puede enviarnos publicidad sobre productos similares por email sin ser catalogada como eventual “spammer” por nuestra legislación.

Eso sí, dicho apartado dispone finalmente que “En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.”

Una práctica muy sencilla de ejercer este derecho de oposición es, simplemente, contestar al correo no deseado con la palabra “BORRAR” en el encabezado o en el cuerpo del mensaje.

El incumplimiento de esta legislación en España acarrea fuertes sanciones económicas que pueden alcanzar los 150.000 euros de multa para la persona o entidad originaria del Spam.

Dichas sanciones son impuestas por la Agencia Española de Protección de Datos (AEPD – www.agpd.es), la cual se encarga de inspeccionar de oficio o por denuncia previa a los eventuales “spammers” establecidos en nuestro país.

Por cierto, la propia AEPD ha elaborado una Guía para la lucha contra el Spam con una serie de recomendaciones prácticas y útiles para prevenirlo a nivel de usuario.