La sentencia de la Audiencia Nacional de 17 de mayo de 2007, que anula la multa de 30 mil euros impuesta por la Agencia Española de Protección de Datos por el envío de trece comunicaciones comerciales por correo electrónico, ya circula (Bosch-online, sólo suscriptores).
La sanción se interpuso por vulneración del artículo 21 de la LSSI, infracción tipificada como grave en el artículo 38.3 b) de la misma Ley, considerando por tanto la Agencia que los mensajes de correo electrónico constituían comunicaciones comerciales (lo que no negó la denunciada) masivas, no existiendo autorización previa ni relación comercial entre las partes que justifique su envío (artículo 6 de la LOPD).
El dato significativo es que la recogida de los datos se produjo en el contexto de una feria comercial, entendiendo la sentencia que no reconocer que un intercambio de tarjetas comerciales supone una autorización expresa para el envío de comunicaciones resulta alejado de la vida comercial.
Es de reseñar, frente a lo señalado en la resolución recurrida, que la entrega por una persona de una tarjeta de visita en la que consta su dirección de correo electrónico, en un contexto como es la feria del SIMO, a la que para promocionar su producto acudió el denunciado, con el que contactó la persona en cuestión por estar interesada en el mismo, impide que se pueda tener por acreditado a efectos sancionadores la falta del consentimiento. Además, con posterioridad se ha constatado la remisión de un email aludiendo a la conversación mantenida en dicha feria, lo que abona la conclusión de que, en el caso concreto atendiendo a las circunstancias existentes, existe un consentimiento previo o autorización expresa, que no es necesario que figure por escrito, para la remisión de una comunicación comercial relacionada con el producto promocionado en la citada feria.
En cualquier caso, hubiera sido de interés haber contado con la versión de los hechos ofrecida por el afectado, versión que no puede ser suplida por el denunciante por no tener conocimiento ni de la entrega de la tarjeta de visita ni de la remisión del email en cuestión, no pudiendo perjudicar al denunciado la ausencia de dicha versión ya que es la Administración demandada la encargada de probar la infracción apreciada.
Por otro lado, la LSSI no define lo que sería un «envío masivo», así que teniendo en cuenta el concepto de «masivo» de la Real Academia Española, está claro que el número de mensajes no constituye una gran cantidad, por lo que tampoco sería aplicable.
Es interesante además la reflexión acerca de la carga de la prueba que correspondía a la Agencia.
Cuando el denunciado manifiesta que cuenta con el consentimiento de los afectados para la remisión de los citados envíos comerciales y explica como lo ha obtenido (en la citada feria del Simo), es la Administración la que, ante la ausencia de denuncia de los afectados en cuestión, tiene la carga de traerlos al procedimiento para que den su versión de los hechos al objeto de poder acreditar de esa forma la falta de consentimiento que les atribuye. En caso de que los afectados hubieran negado haber otorgado dicho consentimiento, que la Ley no exige que sea escrito, correspondería al denunciado probar su existencia, como ha reiterado esta Sala en relación con el tratamiento inconsentido de datos.
Sin embargo, en este caso, que cabe reiterar no se trata de un envío masivo, se desconoce la versión de los hechos de los «afectados» que no han denunciado los hechos, o lo que es igual, si consintieron o no la remisión del envío en cuestión. Por tanto, al no haberse oído a los citados «afectados» no denunciantes (o a alguno de ellos) y haber manifestado el denunciado que contaba con su autorización para remitirles las citadas comunicaciones, explicando de forma razonable en que contexto obtuvo las citadas autorizaciones, no puede entenderse acreditada ni la infracción grave apreciada ni tampoco la leve del artículo 38.4 d) de la citada Ley, lo que conlleva dejar sin efecto la sanción impuesta y la consiguiente estimación del recurso interpuesto.
Cuantos más casos veo más difícil me parece ver un criterio uniforme y proporcionado en las sanciones de la Agencia.
Resulta llamativo además que en el texto de la propia sentencia once de las trece direcciones de correo vengan sin ocultar por parte del Centro de Documentación Judicial.
Lo más molesto es que cuando la Sentencia esté en lugares de acceso público sin limitación para los bots recolectores de direcciones, estas direcciones se podrán añadir a sus bases de datos. Si ha habido sentencias al respecto simplemente por no utilizar la copia oculta, cómo se han permitido añadirlos de esta forma?
Saludos,
Sergio
Hola:
Coindido plenamente con tu apreciación de que es imposible encontrar un criterio en las resoluciones de la Agencia en cuanto el tema se pone un poquito complicado.
Creo que actuan en muchas ocasiones como si no fuera con ella el derecho sancionador y luego pasa lo que pasa.
Un saludo.
Sergio, las sentencias en origen tienen todo tipo de datos personales al descubierto: nombres, direcciones, números de cuenta corriente, matrículas,… Es cuanto pasan por el filtro del CENDOJ cuando deberían ocultarse los datos, de acuerdo con la normativa sobre protección de datos y recomendaciones del Consejo de Europa. El caso es que no siempre es así, hay fallos y se cuelan datos.
Resulta más irónico si el caso es precisamente sobre protección de datos.
La verdad es que resulta bastante irónico. El tema de los correos electrónicos me preocupa sobretodo por la realidad actual, donde los sistemas automatizados inspeccionan millones de páginas (ya sean foros o páginas personales) en busca de correos, que son analizados y guardados de forma sencilla y rápida (yo mismo he hecho a mis alumnos que programen alguna aplicación que guarde en bases de datos correos, aunque a un nivel más elemental). Tal vez si se trabajara un poco más con los facultativos informáticos de la Administración y se les dijera «esto no debe salir nunca», algo se podría hacer. Pero al final, si se hace algo, lo hará una empresa privada.
Saludos,
Sergio
La verdad es que el paso ha sido al contrario. Primero eran las editoriales jurídicas las que ocultaban los datos, pero desde hace unos años se cambió el criterio y ésto lo hacen el CENDOJ.
Alguien habrá que demande a la Administración por esto. Sólo conozco un caso, en el que se implicó a Aranzadi, pero al final se llegó a un acuerdo.
Buenas a todos,
No siempre es lo mismo la entrega de una tarjeta de visita que la recolección de direcciones de e-mail de un sitio de Internet, más que nada porque las direcciones de e-mail hechas accesibles en una página web son entregadas por los interesados en circunstancias concretas que habrá que valorar en cada caso si pueden entenderse como consentimiento por quien las captó.
Pero, ¿puede entenderse que sucede lo mismo con las direcciones IP reveladas al visitar una web que son captadas mediante logs generados por las aplicaciones web?
Ya se ha debatido bastante sobre si Internet es una fuente accesible al público o no o sobre si las direcciones IP son datos de carácter personal o no, y aún lo irracional que puedan parecer estos postulados por las dificultades que ello trae para las empresas, lo que no ha de perderse de vista es que en cualquier caso aunque resulte algo utópico lo que nos pide la ley en esta materia es que entre todos colaboraremos al respeto de la privacidad.
De ahí que por ejemplo que se esté proponiendo que los Estados miembros de la UE puedan legislar más allá de lo exigido por las directivas de privacidad transpuestas. A este respecto resulta bastante interesante el desarrollo de los cambios de las políticas de privacidad de Google, que ha abierto brecha en esto, al que seguirán el resto de buscadores.
No obstante, tampoco hay que perder de vista que en ocasiones una finalidad loable en el tratamiento de datos de carácter personal en la Red como puede suceder en el caso de la monitorización global de la Red en base a direcciones IP por temas de seguridad como la prevención de estafas fraude/phishing, el spam,…, pueda requerir vulnerar los principios de transparencia y consentimiento que pueden o han de ceder al interés general en base al principio de proporcionalidad, si bien aplicándose la protección de datos personales en el resto de aspectos del tratamiento de los datos de carácter personal tratados con este tipo de finalidades.
Un saludo
Hola, en relación a la IP.
Por ejemplo, si uno se conecta a una página de tipo enviar amigo o la misma de enviar comentario o de recordar contraseña, sin que haya Captcha, y con un programa accede indefinidamente a esa página, la IPquedaría guardada y se podría identificar a esa persona que se conecta.
Pero la cuestión es si esa situación es legal o no? Es decir, conectarse a una página indefinidamente, mediante programa automático, y enviar a un amigo o escribir comentarios. No hay ánimo de lucro, pero se considera spam ? de quién ??
se considera ataque al servidor web eso si la página es pública, está en internet accesible a todos ? si de forma manual estoy 24 horas dando F5 sobre la misma página se consideraría ataque ??
Muchas gracias y saludos.