En Mayo de 2007 presenté denuncia ante la Agencia Española de Protección de Datos por los hechos que describo con detalle en este artículo.
En resumen, recibí un SMS con el texto: “una persona muy interesada en contactar contigo y conocerte te envía su foto, para descargarla y verla envia la palabra CONOCER al 7440.Foto real C1.2m (mayores 18)“.

Investigando un poco por la red (leer el artículo anterior citado) encontré varias webs donde decenas de usuarios mostraban su descontento ante este mismo mensaje… así que me decidí denunciar los hechos e ir comentando por aquí los trámites por si alguien más se animaba.

Como decía, la denuncia ha sido archivada por falta de pruebas, sin embargo, me gustaría compartir con vosotros los motivos que se han alegado para concluir esto, y otros aspectos no menos relevantes, como que la Resolución guarda absoluto silencio sobre el resto de pretensiones de la denuncia, y un tema sobre acumulación procesal
El recurso de reposición ya ha sido interpuesto.

Para variar, me ha salido un artículo enorme. En azul para los que tengan prisa.
Bueno, los hechos son muy sencillos: recibo el SMS con el texto antes citado.
Al estar completamente convencido de no haber consentido para este tipo de mensajes, y tras descubrir quien anda detrás del “CONOCER 7440″, presentó la denuncia, cuyo texto íntegro facilite a aquellos que me lo solicitaron por email.
El escrito tuvo entrada en la Agencia Española de Protección de Datos el 30 de mayo de 2007.

Las pruebas respecto a la recepción del SMS en mi teléfono fueron una serie de fotocopias en la que se ve el mensaje y el resto de información (foto 1, foto 2, foto 3…).

Tras recibir la denuncia, los Inspectores se ponen manos a la obra y se determina que la empresa que está detrás del 7440 es SIMOES BIS, S.L. Personado el administrador solidario de esta sociedad, manifiesta que los números de teléfono de los destinatarios de los envíos son facilitados por ellos mismos, que previamente han enviado un mensaje al número corto 7440 con el texto del servicio que solicitan.
Por su parte la empresa MENSAJERÍA INALAMBRICA S.L. le presta servicios de apoyo a la gestión de los mensajes de SIMOES… en definitiva existen una relación contractual entre estas dos empresas (cuyos administradores vienen a ser los mismos… curioso).

En relación a la campaña denunciada (CONTACTO AL 7440), manifiestan los administradores de estas sociedades que se realizan campañas en prensa y televisión, pero desconocen si esa campaña en concreto es propia o ha sido contratada por un tercero (toma ya).

A continuación manifiestan que tienen una plataforma que gestiona un sistema de chat, basado en envío y recepción de SMS a usuarios finales; afirman que en ocasiones realizan campañas a usuarios de chat que lleven tiempo sin utilizar el servicio, asegurando que no realizan campañas a usuarios que no hayan usado el servicio ni tampoco se obtienen números de teléfono de personas que no sean clientes del servicio.

Los inspectores accedieron al sistema informático del chat con la herramienta de Microsoft SQL Server. En una tabla llamada “Histo recibidos”, figura el mensaje más antiguo de 1 de junio de 2007; se realizó una búsqueda en esa tabla con el parámetro coincidente a mi número de móvil, sin encontrar resultados (esto es, que mi número no se encontraba en una tabla donde se almacenan los números de los que envían algún SMS al chat).

Ya está, la Agencia ahora alude a diferentes artículos y jurisprudencia para concluir que en virtud del principio de presunción de inocencia, no ha quedado suficientemente demostrado que los titulares del número corto 7440, porque no existen indicios de los que se pueda derivar la existencia de infracción, al “NO CONSTAR MI NÚMERO DE TELÉFONO EN LAS BASES DE DATOS DE LAS EMPRESAS INVESTIGADAS“.

Analicemos la Resolución

De la lectura de las manifestaciones del administrador de la empresa denunciada se colige, sin lugar a dudas, que el usuario ha debido consentir expresamente la recepción de mensajes de contenido comercial remitidos desde el número 7440 ya que en caso contrario, como manifiesta, “no se obtienen números de teléfono de personas que no sean clientes del servicio”. (Como así debe ser según la LSSI).

Los Inspectores buscan en la tabla de la base de datos un mensaje enviado desde mi móvil para un servicio de Chat donde el mensaje más antiguo es de fecha 1/06/2007. Pues bien, esto llama la atención porque, obviamente, jamás se encontrará mi número en una tabla de “Mensajes RECIBIDOS” y menos aun teniendo en cuenta que el mensaje más antiguo es de fecha 1/06/2007 cuando el mensaje de contenido comercial no solicitado llegó a mi móvil el 24/04/2007, esto es, varias semanas antes.
Pero es que es más, aun suponiendo que se guardaran todos los mensajes recibidos, tampoco se encontraría mi número en una base de datos que guarda la información de Mensajes RECIBIDOS, ya que el denunciante no ha enviado ningún SMS en relación a ninguna campaña de Chat; Chat, que por otra parte, se trae a colación en la Resolución sin motivo alguno.

Si yo fuera Inspector no iría buscando en la “bandeja de entrada” de los mensajes, sino en la “bandeja de salida”. Porque entiendo yo, que de lo que se trata es de determinar si estas empresas me han enviado un SMS a mi móvil, no si yo he participado en una campaña de chat en los últimos meses (después de recibir el SMS).
Entiendo que se quisiesen buscar pruebas de que, según la LSSI, al participar en sus campañas de chat, ya habría consentido para la recepción de ese mensaje, pero es que, aun encontrando mi número en esa tabla, tampoco podría ser tenido en cuenta, porque yo recibí el SMS el día 24 de abril, y el mensaje más antiguo en la tabla es de 1 de junio.

Los artículos 21 y 22.1 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Correo Electrónico, según la modificación introducida por la disposición final primera de la Ley 32//2003, de 3 de noviembre, General de Telecomunicaciones, prohíbe el envío de comunicaciones comerciales no solicitadas, en definitiva, el envío de mensajes publicitarios o promocionales por correo electrónico u otro medio de comunicación electrónica, incluido el envío de mensajes SMS a terminales de telefonía móvil, debe haberse solicitado o autorizado expresamente por los destinatarios de los mismos.

Al referirse a las comunicaciones comerciales y a las ofertas promocionales por vía electrónica, el artículo 19 “Régimen jurídico” de la LSSI declara igualmente aplicable la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), y su normativa de desarrollo, en especial, en lo que se refiere a la obtención de datos personales, la información a los interesados y la creación y mantenimiento de ficheros de datos personales. Esta rotunda previsión legal permite afirmar que, al margen de lo establecido en la LSSI, serán exigibles en el tratamiento de datos personales para la realización de comunicaciones comerciales y ofertas promocionales por medios electrónicos el conjunto de principios, garantías y derechos contemplados en la LOPD
Por tanto, en relación al consentimiento para el tratamiento de los datos con la finalidad de enviar comunicaciones comerciales por vía electrónica, es preciso considerar lo dispuesto en la normativa de protección de datos de carácter personal y, en concreto, la siguiente definición contenida en el artículo 3.h) de la LOPD:
“Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”.

En consecuencia, el consentimiento, además de previo, específico e inequívoco, deberá ser informado. Y esta información deberá ser plena y exacta acerca del tipo de tratamiento y su finalidad, con advertencia sobre el derecho a denegar o retirar el consentimiento.

En nuestro caso, a pesar de aportarse pruebas sobre la recepción del mensaje SMS de contenido comercial no solicitado, NO ha sido posible acreditar, por parte de la denunciada, que tenga el consentimiento anteriormente citado para realizar ese envío. Así, se ha manifestado que se parte del consentimiento de los usuarios, a través de diversas campañas, pero no ha sido posible aportar documento alguno donde se muestre el alta o aceptación por mi parte.

La carga de la prueba no puede recaer sobre el usuario ¿cómo va a probar el usuario que la empresa que envía el SMS NO tiene su consentimiento?… no tiene sentido, por eso se viene exigiendo que los que envían mensajes comerciales estén en disposición de poder probar que cuentan con el consentimiento de los destinatarios.

Casos similares se han resuelto en la Agencia, por ejemplo, el Recurso de Reposición respecto al PS/00219/2004 donde la Agencia afirma:

“CIFDSA manifiesta que disponía del consentimiento del afectado para el tratamiento de los datos realizado, expresado a través del cupón “Hojita Amiga” recibido en fecha 25/03/2002 cumplimentado con los datos en cuestión. Sin embargo, CIFDSA no ha aportado este documento, que hubiese permitido comprobar si el denunciante prestó su consentimiento con las finalidades indicadas y si tal consentimiento resultaba válido a tales efectos, atendidas las exigencias contenidas en las normas de aplicación.”

Yo lo veo claro: dices que tienes el consentimiento para enviar mensajes, muy bien, enséñamelo…. ah, que no lo has guardado… vaya…

Si aun seguís leyendo; En relación a la prueba indiciaria compuesta por fotocopia del teléfono móvil en las que puede leerse el SMS enviado, parece desprenderse de las alegaciones de la Agencia la falta de fuerza concluyente respecto a esta prueba.
No obstante, la propia Agencia no tuvo reparos en admitir esta misma clase de documentos probatorios en la Resolución R/00230/2007, así, en el Antecedente Tercero de esta Resolución, lo que luego daría paso al Hecho Probado 1, se expresa: “Dentro de las actuaciones previas de investigación practicadas por la Inspección de Datos, se han comprobado los siguientes extremos:
1. En la documentación aportada por el denunciante, se adjuntaba una fotocopia realizada sobre la pantalla de su teléfono móvil en el que figura el mensaje SMS recibido.”
Así, el Fundamento IV concluye que:” En el supuesto que se examina, tal y como ha quedado acreditado a través de la documentación que consta en el expediente, en fechas 17/03/2006, 27/04/2006 y 06/06/2006, FROGGIE, S.L. remitió al terminal de telefonía móvil del denunciante tres comunicaciones publicitarias, sin disponer de su autorización expresa y previa, y sin que conste acreditada una relación contractual previa, de conformidad con lo dispuesto en el artículo 21.2 de la LSSI.”.

La “documentación” que se menciona son fotocopias del móvil donde puede leerse el contenido de los mensajes citados.

¿Qué más pruebas puede aportar un usuario?.

Por otra parte, una conducta idéntica de la denunciada ya ha quedado sancionada con anterioridad a la notificación de mi Resolución, así, la Resolución R/00535/2008 instruye a SIMOES BIS, S.L. vista la denuncia presentada por el MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO - SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN, y en base a los mismos e idénticos antecedentes.

Esta Resolución R/00535/2008 contiene el mismo objeto litigioso en todos sus sentidos. Se cita el contenido del SMS de contenido comercial, que es idéntico al denunciado. Se cita como remitente el mismo número corto 7440.

A esto le podemos sumar, que misteriosamente, en los últimos 2 años, la Agencia ha recibido varias denuncias por la recepción sin consentimiento de este mismo mensaje, archivándolas todas por los mismos motivos (excepto la primera que sí fue sancionada).

Bueno, hasta aquí lo referente al mensajito.

Yo tengo una opinión muy clara: esta empresa está y ha estado enviando mensajes SMS de forma indiscriminada a todos los números de teléfono móvil para cazar a incautos. Cuando la denunciaron por primera vez, no supo que hacer y admitió el error, pagó la multa, PERO ¡ aprendió !. Ahora ya no dice que es un error, simplemente niega todos los hechos, e invita a inspeccionar sus sistemas a ver si encuentran algo; claro, ¿cómo van a encontrar algo?, es más que evidentemente que tal cual se envía el SMS comercial se borra toda huella de dicho envío.
¿Así de fácil resulta burlar la ley que nos protege contra estas actividades?.

Vayamos al otro punto.

Además de denunciar la recepción de este SMS, también denunciaba la inexistencia de fichero declarado en la AEPD respecto a esta empresa.
También denuncié que no se respetaba lo establecido en el artículo 21.2 párrafo segundo y del 22.1 ya que, como queda demostrado, la denunciada no ofrece al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
Pues bien, sobre todo esto ni la más mínima referencia en la Resolución, cuando la Agencia está obligada a pronunciarse: El artículo 89 de la Ley 30/1992, de 26 de noviembre de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común establece:

Artículo 89. Contenido.

1. La resolución que ponga fin al procedimiento decidirá todas las cuestiones planteadas por los interesados y aquellas otras derivadas del mismo. Cuando se trate de cuestiones conexas que no hubieran sido planteadas por los interesados, el órgano competente podrá pronunciarse sobre las mismas, poniéndolo antes de manifiesto en aquéllos por un plazo no superior a quince días, para que formulen las alegaciones que estimen pertinentes y aporten, en su caso, los medios de prueba.

2. En los procedimientos tramitados a solicitud del interesado, la resolución será congruente con las peticiones formuladas por éste, sin que en ningún caso pueda agravar su situación inicial y sin perjuicio de la potestad de la Administración de incoar de oficio un nuevo procedimiento, si procede.

Voy terminando.

Como dije, a quien me lo solicitó le envié copia de la denuncia que había presentado por si también quería denunciar él. Pues se ha dado la casualidad, que 3 meses después de tener entrada mi denuncia, tuvo entrada la de otro lector (saludos E.Q.R.)

Indica el artículo 73 de la Ley 30/1992: “El órgano administrativo que inicie o tramite un procedimiento, cualquiera que haya sido la forma de su iniciación, podrá disponer su acumulación a otros con los que guarde identidad sustancial o íntima conexión.”

Perfecto, la denuncia posterior se acumula a la mía inicial, sin problemas. Ahora bien, lo que ya no le encuentro sentido, es que se acumulen las dos pero nos envíen a ambos la misma Resolución, sin personalizar.
Me explico, yo he recibido la Resolución de mi denuncia, donde aparecen TODOS los datos de D. E.Q.R., su nombre y apellidos completos, su dirección y su teléfono móvil. Y a la inversa, él ha recibido todos mis datos.

¿Podría esto suponer una vulneración del artículo 10 de la LOPD?. Yo creo que sí; la acumulación procesal es correcta, pero la forma de comunicar la Resolución entiendo yo que vulnera la LOPD, ya que deberían haber hecho 2 versiones, una para mi, con sus datos anonimizados (como cuando publican las resoluciones), y otra para él, con mis datos anonimizados.

En fin, he presentado recurso de reposición, sobre todo para que me expliquen por qué han guardado silencio sobre el resto de las pretensiones, aunque también he hecho referencia a todo lo que acabo de exponer.

El 5 de diciembre de 2007 publiqué un artículo en la que se ponían de manifiesto la posible responsabilidad del entonces aun en parrilla programa Aquí hay tomate, ya que en uno de sus programas publicaron una docena de números de teléfono móvil de algunos telespectadores que participaban en sus concursos.
Podéis ver el momento en este video (sobre el minuto 7).

Estos hechos los puse en conocimiento de la Agencia Española de Protección de Datos (en adelante AEPD), y hace unos días me llegó la Resolución de archivo de actuaciones basándose en una reciente sentencia de la Audiencia Nacional en la que determina que si el número de teléfono móvil no va a acompañado de algún dato más que permita identificar al titular del mismo, no nos encontramos ante un dato personal digno de protección.

Veamos todo el expediente

Una vez la AEPD recibe la denuncia, se presenta en la instalaciones de la empresa Agencia de Televisión Latinoamericana de Servicios y Noticias España S.A. (ATLAS), que era entonces la productora y responsable del contenido del programa Aquí hay tomate.

En el programa emitido el día 27 de noviembre de 2007 se celebró un concurso en el que los telespectadores tenían la opción de votar a una serie de candidatos, a través de un mensaje SMS. Una selección de los mensajes enviados por los telespectadores fue facilitada a los presentadores del programa.

El procedimiento habitual, al parecer, es facilitar a los presentadores exclusivamente los mensajes sin incluir el número de teléfono de la persona que envió el SMS, por, ello, afirma ATLAS, desconoce el motivo por el que, en el citado programa, se facilitó una relación que contenía, además de los mensajes, los números de teléfono.

Los inspectores de la AEPD recabaron una copia de una pieza del programa emitido ese día, verificando que durante un momento determinado el programa emitió una lista de nueve mensajes SMS que contenía, entre otra información, el número de teléfono del participante.

En el artículo que publiqué (y que sirvió como denuncia) aludía a la posible vulneración del artículo 10 LOPD, que determina:
“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal estén obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”

Pues bien, la AEPD entra a examinar si en este caso nos encontramos ante “datos personales” para que pueda ser aplicado ese precepto. Para ello, invoca todos los artículos de la Ley Orgánica de Protección de Datos y su reglamento de desarrollo en relación a la definición de dato personal; así por ejemplo, el artículo 5.1.f del Reglamento indica que dato personal es “cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables“.

En definitiva, que el concepto de dato personal, según la definición de la LOPD, requiere la concurrencia de un doble elemento: por una parte, la existencia de una información o dato y por otra, que dicho dato pueda vincularse a una persona física identificada o identificable.

Ahora es cuando cita la Sentencia de la Audiencia Nacional de 17 de septiembre de 2008, en cuanto a la consideración del número de teléfono como dato de carácter personal, que declaró: “Es claro que el número telefónico asociado a un nombre y apellidos es un dato de carácter personal pues nos proporciona información sobre una persona identificada. Es más, el propio número de teléfono, sin aparecer directamente asociado a una persona, puede tener la consideración de dato personal si a través de él se puede identificar a su titular. En el presente caso, la Agencia Española de Protección de Datos no ha razonado, y menos ha acreditado, que a través del número de teléfono móvil se haya identificado al titular del mismo o que a partir del citado número fuese posible tal identificación, de forma que el citado número de teléfono ayuno de otras circunstancias que identifiquen o pudiesen permitir identificar al titular del mismo impide que pueda encajarse en le definición legal de dato de carácter personal“.

En conclusión, la AEPD determina que aunque por error se publicaron los números de teléfono, sin embargo, no contenían ninguna información a partir de la cual se pudiera identificar al remitente de los mismos, por lo que aplicando la doctrina de la Audiencia Nacional, al presente caso no se puede considerar dato personal, ya que no estaban asociados a ningún dato que identificara a sus titulares o que los hiciera identificables.

Por último, para no dejar la cosa así, afirma la AEPD que “… no cabe duda de que la inclusión de un teléfono móvil en un medio de comunicación supone una práctica indebida… Una práctica reiterada de esta conducta podría derivar en la apertura de un procedimiento sancionador, por lo que se insta a adoptar las medidas necesarias para que no vuelva a ocurrir“.

Opinión personal respecto al caso:

Me parece fantástico que la AEPD se apoye en la doctrina de la Audiencia Nacional para determinar que el número de móvil, de forma aislada, no es un dato personal; no obstante estoy relativamente de acuerdo. La definición de dato personal, como la propia AEPD indica, es aquella información concerniente a personas físicas identificadas o identificables. Convendréis conmigo que no es muy difícil para la Administración conocer el titular de un número de teléfono móvil; puede utilizar el mismo cauce que para una dirección IP. Otra cosa es que para el ciudadano se le haga complicado saber el titular, pero desde luego, a través del número de teléfono es posible conocer su titular.
Porque entonces, lo ya que no me cuadra es que la dirección IP o el email sí sea considerado dato personal (aunque vaya aislado) y un número de teléfono móvil no. Es más, a mí personalmente me resulta más sencillo identificar al titular de un número móvil que al titular de una IP; por ejemplo, si yo viera publicado un número de teléfono móvil en televisión, podría probar a buscarlo en mi agenda (lo mismo es de algún conocido), pero con una IP no puedo hacer eso.
A un número de teléfono móvil podría llamar, y con un poco de ingeniería social podría hasta concertar una cita con la persona que esté al otro lado; yo, personalmente, con una dirección IP no sabría como “contactar” con el titular de esa IP.

En conclusión, si aceptamos número de teléfono móvil aislado como NO dato personal, que me justifiquen ahora por qué una IP sí lo es.

Con el artículo de hoy vamos a poner de manifiesto la cantidad de irregularidades en las que incurren las empresas de servicios de contenido para los móviles (Blinko, Movilisto, Jamba, etc), pero no desde una simple opinión de ciudadano/usuario, sino desde una Resolución sancionadora a Myalert - Blinko lo cual creo que aporta una mayor veracidad e integridad al artículo. Y aunque también es cierto que no es bueno generalizar, estoy convencido que al final de la lectura convendréis conmigo en que el 99% de estas empresas actúan de forma similar.

Las irregularidades que menciono en el párrafo anterior son de diversa naturaleza: anuncios de televisión con las cláusulas legales pasando a la velocidad del sonido y en letra 4, mensajes de bienvenida a la suscripción escritos prácticamente en su totalidad con abreviaturas insostenibles, texto que debes enviar para darte de baja pero no te indican el número, etc, etc.

(Atención, artículo largo. Como en otros casos, he puesto en azul lo estrictamente necesario para entender el caso).

Como casi siempre, hoy no podríamos hablar de esta multa si no es gracias a que alguien, en su momento, denunció estos hechos … ya animo desde el principio a que denunciéis estas actividades, si leéis el enlace anterior observaréis que no es necesario abogado ni acudir a juicios, prácticamente no es necesario ni salir de casa.

Bueno, vayamos al caso. Tenemos a D. Valiente, que tras ver un anuncio de televisión de Blinko, decidió enviar un SMS para bajarse una melodía. Además del coste de esos primeros mensajes, la melodía venía acompañada de una suscripción automática. Intentó darse de baja por varios medios pero extrañamente no lo conseguía, así que decidió acudir a la Agencia Española de Protección de Datos.

Tras la recepción de la denuncia se puso en marcha todo el mecanismo de investigación por parte de los instructores de la AEPD, y se observa lo siguiente:

1º: Myalert ha informado que los anuncios publicitarios correspondiente que se emitieron en televisión facilitando copia de dos anuncios publicitarios, en los que se observa que:

- Una voz en “off” informa de lo siguiente exclusivamente: “quieres que suenen en tu móvil MAMI o ANTES MUERTA QUE SENCILLA envía POLI MAMI o SENCILLA al 1234 y para sonido real REAL MAMI o SENCILLA al 1234“.

- Un mensaje informativo, que circula de derecha a izquierda de la pantalla, y aquí la AEPD afirma “resultando imposible su lectura dado el tamaño de la letra y la velocidad con la que aparece. No obstante, y tras realizar diversas paradas en diferentes fotogramas, ha sido posible reconstruir el mensaje que lleva por texto: “Coste del mensaje 0,20 €+IVA. Es un servicio de suscripción. Compatibilidades en www. POLI y REAL requieren tener configurado el acceso wap. El tono real es una versión del original. Para darse de baja envía BAJA POLI o REAL seguido del tono al 1234” .”

2º: D. Valiente en efecto envió un SMS para descargarse un tono y eso produjo su suscripción hasta que solicite la baja.

3º: Myalert le dice a la AEPD que en los servicios de suscripción, y tras la recepción en Myalert del “SMS” de alta en el servicio, se remite al usuario un “SMS” de bienvenida con información sobre el servicio contratado, del procedimiento de baja, el número de teléfono del Centro de Atención al Cliente de MYALERT, el coste del servicio y la periodicidad de los mensajes.

Pues bien, se comprueba que el mensaje de bienvenida que se le envió a D. Valiente tenía este texto literal: “¡Colecciona ls mejores tonos y personaliza las llamadas d tus amigos! Recibe ls L-X-V tus tonos x 20c-mens.At.cliente 902*****, xa baja envia BAJA POLIMORENA”.

Respecto a este mensaje, la AEPD señala en su resolución que: “la información que se facilita no se encuentra escrita en un castellano correcto sino con numerosas abreviaturas que dificultan su lectura para el gran público. A mayor abundamiento, la información sobre la baja induce a emitir un mensaje “SMS” con un texto determinado sin especificar expresamente el número al que ha de ser enviado (1234) resultando ser distinto del número que aparece como remitente del mensaje (4321) y al que sí tiene acceso el usuario al recibir el “SMS” lo que puede dar lugar a confusión.”

Y añade: “En relación también con la baja y como se verá más adelante, los mensajes que remite el propio servicio de suscripción no incorporan ninguna información relativa a que se trata de un procedimiento de suscripción ni sobre el procedimiento de baja”.

Bien, prestad mucha atención a lo que viene ahora porque resume perfectamente la actuación torticera de estas empresas, que mediante técnicas de confundir al personal consiguen suculentos beneficios; voy a resumir el intercambio de mensajes entre D. Valiente y Myalert y Mylert y D. Valiente:

Primero: D. Valiente, desde su móvil 645579***, envía un SMS a Myalert para descargarse la melodía.

Segundo: se produce la suscripción automática y Myalert ya le envía ese mismo día 2 SMS que obviamente se los cargan a la cuenta de D. Valiente. El contenido de esos mensajes es el siguiente:

“BAILA MORENA, deja que tu móvil se mueva al ritmo de Don X.” y “DALE MARCHA AL CUERPO. Feliz 2005!!”. Esos mensajes se envían desde el número 4321 y no se indica la forma de darse de baja.
+0.40 céntimos para Myalert.

Tercero: 1 minuto después, viendo D. Valiente la que se le venía encima, envía un SMS al 4321 con el contenido “baja polimorena”. Si recordáis, en el mensaje de bienvenida se indicaba lo que tenías que enviar para darte de baja PERO no te decían donde enviarlo. D. Valiente lo envía, por sentido común, al remitente de los SMS que le envía Myalert, esto es, al 4321.

Cuarto: inmediatamente Myalert contesta al mensaje anterior con: “Estimado cliente, le informamos que ya fue dado de baja en: BAJA POLI anteriormente“. (¿?¿?).

A pesar del contenido del mensaje anterior la situación es que D. Valiente no se encontraba dado de baja en el servicio “polimorena” ya que el SMS fue remitido al número 4321 y no al 1234 que es el que aparecía en televisión (recordad que para ver este número 1234 era necesario ir fotograma a fotograma). Según manifiestan los representantes de Myalert este mensaje se genera dado que el usuario no tiene ningún servicio activado a través del número 4321, por lo que el procedimiento aplicado asume que el usuario debió de tener algún servicio activado en su momento en dicho número y se le remite el texto ya indicado.

Quinto: 2 días después, Myalert envía otros 2 SMS a D. Valiente, a su número 666579***, pero esta vez no desde 4321 como los anteriores, ni desde el 1234 que es el para darse de baja, sino desde el 3421 (otro diferente).
Y es que claro, D. Valiente envió la baja al número que no era, pero como el sistema le dijo que “Ya estabas dado de baja” pues se confió.

+0.40 céntimos para Myalert.

Sexto: 2 días después, Myalert envía otros 2 SMS a D. Valiente desde el 3421.

+0.40 céntimos para Myalert.

Séptimo: D. Valiente sigue recibiendo mensajes periódicamente hasta, OJO, 2 MESES después.

Octavo: D. Valiente consigue la baja llamando a atención al cliente, pero 2 meses después.

+ 20 euros (aproximadamente) para Myalert por todos los SMS enviados.

Veamos ahora las alegaciones de Myalert para intentar defenderse. Os ruego que las leáis completas porque no tienen desperdicio; Myalert alegan en su defensa, y cito textualmente:

“El denunciante inicia de forma voluntaria una relación jurídica con la denunciada través de la solicitud del servicio remitiendo un SMS al número 1234. La duración de esta relación ha sido tácitamente acordada entre las partes puesto que su terminación está sujeta unilateralmente a la única decisión del cliente - solicitante del servicio.
Por ello, la misma resulta prorrogada de forma natural en el tiempo dada la impericia del denunciante al no dar por terminada dicha relación a través del trámite correcto. Más bien al contrario, su proceder resulta de todo punto negligente por cuanto es al número 4321 donde envía el SMS de baja. No reconociendo lógicamente el sistema la baja del servicio inicialmente contratado, la relación jurídica se mantiene quedando obligada MYALERTCOM mientras dure esta a continuar ofreciendo el servicio.”

“El consentimiento ha sido otorgado por el solicitante a través de un teléfono móvil, siendo de aplicación la Ley 34/2002, dc 11 de julio, de servicios de la sociedad de la información y de comercio electrónico y en concreto su artículo: Articulo 23 LSSICE”

“Por ello reiteramos que el fallo en la identificación del teléfono de destino como 4321 por parte del cliente se debe única y exclusivamente a su manifiesta negligencia.”

Toma ya, les ha faltado decir que la culpa es del denunciante que es medio subnormal y envía mensajes a lo loco a números que no son.

Sus alegaciones continúan, no os las perdáis porque contienen un dato muy muy muy importante para cualquier afectado:

“En caso de que no se aprecie una exoneración absoluta por parte de la Agencia Española de Protección de Datos respecto de la actuación de MYALERTCOM […] se ha constatado que la supuesta negligencia requerida a MYALERTCOM, para poder ser objeto de sanción administrativa, ha quedado considerablemente atenuada en razón a todas las diligencias llevadas a cabo por la misma, como son:

Cancelación INMEDIATA de los datos del afectado en el momento en el que MYALERTCOM tuvo conocimiento de la Baja del Servicio realizado a través del e-mail generado de forma automática por la llamada al 902****** fuera de horario laboral.

Compromiso fehaciente de devolución del importe facturado al constatar ahora que el denunciante intentó darse de baja del servicio enviando BAJA POLIMORENA al 4321, a pesar de que disfrutara del servicio desde el día 5 de enero hasta el día 28 de febrero, en el que el denunciante declara haber llamado a Vodafone para solicitar la baja.”

Este último párrafo es muy importante porque si os dais cuenta, D. Valiente, de momento, ya ha conseguido que le devuelvan todo el dinero que Myalert le consumió con sus mensajes, lo cual ya es un éxito.

Finalmente:

“Entiende esta parte, que caso de considerar sancionable la acción de MYALERTCOM, procediera a rebajar la sanción calificada como grave en un grado, y a la luz de la escasa lesividad y antijuridicidad de los actos realizados y de acuerdo al artículo 45.4 de la Ley, creemos que la expresión de las mismas habrá de ser en su mínima cuantía, […]”

Ya conocemos todos los hechos y las alegaciones en defensa de Myalert, nos resta conocer qué dictaminó la AEPD en este caso; empecemos desde el principio:

PRIMERO: se le imputa a Myalert una vulneración del artículo 5 LOPD, que indica, entre otras cosas:

“1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.”

De acuerdo con lo establecido en el citado artículo 5 de la LOPD, MYALERTCOM debe informar, en el momento de la recogida de los datos, de los extremos establecidos en el citado artículo. La información a la que se refiere el citado artículo debe suministrarse a los afectados previamente a la recogida de sus datos personales, y deberá ser expresa, precisa e inequívoca.

La LOPD ha querido, por tanto, imponer una formalidad específica en la recogida de datos a través de cuestionarios u otros medios, que garantice el derecho a la información de los afectados previa a la contratación de los servicios. A tal efecto, impone la obligación de que la información figure en los propios cuestionarios o impresos, y la refuerza exigiendo que conste de forma claramente legible.
Si recordáis, dijimos que la AEPD tuvo que ver fotograma a fotograma para conseguir descifrar la información que aparecía en el anuncio, de forma que concluye afirmando que en el presente caso ha quedado acreditado que MYALERTCOM, no informaba (o se informaba de forma que era imposible para el denunciante poder leer dicho menaje) que se iba a dar de alta el denunciante en contrato alguno con dicha entidad y tampoco informaba en la recogida de los datos de los extremos a que se refiere el artículo 5 de la LOPD.
Por todo ello, se considera que MYALERTCOM ha vulnerado, en relación a dicha cláusula informativa de la que era imposible conocer su contenido, para la recogida de datos, el artículo 5 de la LOPD.

SEGUNDO: El artículo 6.1 y .2 de la LOPD disponen lo siguiente:
“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencia; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.”

De acuerdo con lo señalado, Myalert necesitaba el consentimiento del denunciante para poder tratar sus datos personales, sin que haya quedado acreditado dicha circunstancia y sin que concurriera ninguna de las causas establecidas en el apartado 2 del artículo 6 de la LOPD, para que fuese no preciso su consentimiento, por cuanto de la información que se daba al denunciante en el anuncio publicitario no se indicaba que se fuera a formalizar contrato alguno con dicha compañía, sólo que se iba a bajar una melodía, por lo que no puede con dicha información, ser tenida en cuenta la alegación de dicha compañía en el sentido de que el denunciante era cliente con dicha entidad y mantenía con la misma un contrato.”

TERCERO: tenemos por tanto 2 infracciones de la LOPD, lo que pasa es que la primera, la de no informar, tiene un periodo de prescripción de 1 año, y dado que D. Valiente tardó demasiado en denunciar, esta infracción ha prescrito. No así la segunda (la grave).

Finalmente se le impone a Myalert una multa de 60.000 euros (lo más bajo dentro de las infracciones graves).

¿Qué conclusión podemos sacar de todo esto?. Pues primero, y en vista de la cantidad de opiniones negativas que es posible encontrar en Internet sobre estas empresas, que todos tenemos una obligación moral de actuar cuando nuestros derechos y en concreto el derecho a la protección de datos se vea vulnerado. Así lo hizo D. Valiente, consiguiendo no solo que le devuelvan el dinero que perdió sino consiguiendo también que Myalert perciba que los usuarios no somos tontos y que incluso algunos estamos dispuestos a rellenar papeles para que se tutelen nuestros derechos.

Lo único que falta ahora es que todos aprendamos de D. Valiente, y si nuestro derecho fundamental a la protección de datos es vulnerado, ponerlo en conocimiento de la AEPD lo antes posible.

Descargar resolución sancionadora a Blink - Myalert.

El cliente no tuvo que firmar nada posteriormente y la empresa tampoco pudo probar la existencia de la celebración de ese contrato.

El resultado concluye en un tratamiento de datos personales del cliente sin consentimiento por parte de la empresa.

Estamos acostumbrados a celebrar contratos por vía telefónica; es el sistema habitual de contratar servicios de telecomunicaciones (ADSL, telefonía, etc).
Para esta forma de contratación se precisan unos requisitos específicos a efectos probatorios, porque claro, ¿cómo podría demostrar la empresa que celebró un contrato deloquesea con su cliente si se hizo por vía telefónica?.

Hay algunos métodos probatorios válidos establecidos reglamentariamente, pero en el caso que vamos a ver no se siguieron, y a la empresa le fue imposible probar de forma fehaciente la realización del contrato. La consecuencia: multa a la empresa por tratamiento de datos sin su consentimiento, en especial, el tratamiento de los dígitos de la cuenta corriente de la denunciante.

Los antecedentes son sencillos: a una señora (la denunciante) le cargan en su cuenta corriente un recibo por un servicio de publicidad que, según ella, no ha contratado.
Esto lo pone en conocimiento de la Agencia Española de Protección de Datos ya que considera que se ha realizado un tratamiento de sus datos personales sin su consentimiento.

La empresa denunciada, Edugama, manifiesta que el servicio fue contratado por la denunciante telefónicamente y que los datos fueron facilitados por la misma para la contratación del servicio de inserción publicitaria. Así mismo, señalan que han anulado el contrato a nombre de la denunciante y le han devuelto la cantidad cobrada, así como también han cancelado sus datos personales.

En sus alegaciones, Edugama aporta las siguientes pruebas y testimonios para intentar probar esa contratación telefónica:

• La relación negocial se inició el 31/03/2006, con la contratación del servicio a través de la llamada desde el número de EDUGAMA “#######1” al número “#######2” de la denunciante. Aporta copia de un extracto de llamadas efectuadas en el que figura una comunicación de dicho día, al número de la
  denunciante, de 6,21 minutos.
• Que posteriormente a la fecha indicada contactó telefónicamente con la denunciante en varias ocasiones para cuestiones relacionadas con el contrato.
• La denunciante llamó a EDUGASA el 19/04/2006, para interesarse por el cargo y la prestación del servicio. El día 21/06/2006, la denunciante llamó para interesarse por la documentación recibida.
• El día 23/10/2006, Edugama recibió una reclamación de la denunciante a través de la OMIC, en la que alegaba desconocer el motivo del cargo bancario de 334€ efectuado por Edugama en su cuenta el 03/04/2006.

Sin embargo esto no fue suficiente para la Agencia Española de Protección de Datos ¿por qué?. Veamos:

El artículo 5.3 de la Ley 7/1998 de 13/04, sobre condiciones generales de contratación, establece que “En los casos de contratación telefónica o electrónica será necesario que conste en los términos que reglamentariamente se establezcan la aceptación de todas y cada una de las cláusulas del contrato, sin necesidad de firma convencional. En este supuesto, se enviará inmediatamente al consumidor justificación escrita de la contratación efectuada, donde constarán todos los términos de la misma”.

El desarrollo reglamentario de esta norma se encuentra en el Real Decreto 1906/1999, de 17/12, que regula la contratación telefónica o electrónica con condiciones generales. Este Real Decreto impone al predisponente la obligación de facilitar al adherente, previamente a la celebración del contrato, información sobre las cláusulas de éste y de sus condiciones generales, así como la obligación de confirmar documentalmente la contratación efectuada por vía telefónica, electrónica o telemática, mediante la remisión al adherente de la justificación por escrito de la contratación efectuada en el que deberán constar todos los términos de la misma.

De este modo, el artículo 5 del citado Real Decreto 1906/1999, respecto a la atribución de la carga de la prueba, dispone:

“1. La carga de la prueba sobre la existencia y contenido de la información previa de las cláusulas del contrato; de la entrega de las condiciones generales; de la justificación documental de la contratación una vez efectuada; de la renuncia expresa al derecho de resolución; así como de la correspondencia entre la información, entrega y justificación documental y al momento de sus respectivos envíos, corresponde al predisponente.”

“2. A estos efectos, y sin perjuicio de cualquier otro medio de prueba admitido en derecho, cualquier documento que contenga la citada información aún cuando no se haya extendido en soporte papel, como las cintas de grabaciones sonoras, los disquetes y, en particular, los documentos electrónicos y telemáticos, siempre que quede garantizada su autenticidad, la identificación fiable de los manifestantes, su integridad, la no alteración del contenido de lo manifestado, así como el momento de su emisión y recepción, será aceptada en su caso, como medio de prueba en los términos resultantes de la legislación aplicable…”

De modo que la AEPD concluye que Edugama no ha acreditado que dispusiera del consentimiento previo de la denunciante para tratar sus datos personales de la denunciante. Por tanto, desestima las alegaciones efectuadas por Edugama, que vulneró el principio del consentimiento consagrado en el artículo 6.1 de la LOPD y cometió una infracción tipificada en el artículo 44.3.d) de dicha Ley Orgánica.

La multa finalmente queda en 60.101,21€

Al margen de la Resolución, este es un claro ejemplo de cómo utilizar la LOPD como arma arrojadiza para intentar causar daños económicos a una empresa o a un particular. Cada vez son más los que utilizan esta Ley como un medio de venganza o amenaza, ya que si de por sí es fácil no cumplir al 100% con todos sus preceptos, si uno se lo propone es muy fácil hacer incurrir en responsabilidad a una empresa con
cualquier tontería…

Descargar Resolución

No utilizó la opción CCO o Copia Carbón Oculta.

Ya hemos hablado en otra ocasión de los peligros a efectosde protección de datos de enviar correos electrónicos sin utilizar adecuadamente la opción CCO o Copia Carbón Oculta.
Por otra parte el caso que vamos a examinar es especialmente curioso: el sancionado, tras responder a un correo electrónico de un usuario que quería darse de baja de su web, el email de esta persona quedó almacenada automáticamente en la libreta de direcciones del sancionado.

Efectivamente, el Outlook tiene la opción de agregar de forma automática a nuestra libreta la dirección de aquellos a los que respondamos alguna vez (ver muestra).

De esta forma, cuando procedió a felicitar la navidad, añadió en el campo “Para:” toda su libreta, pensando que eran amigos o conocidos; el error se agrava por el hecho de que dejó a la vista de los destinatarios el resto de personas que también habían recibido ese mismo email.

Este caso es sencillo de explicar, y ciertamente ya se va generando cierto cuerpo “jurisprudencial” al respecto a nivel de la Agencia Española de Protección de Datos.

El artículo 10 de la Ley Orgánica de Protección de Datos (LOPD) establece que: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”

Dado el contenido del precepto, ha de entenderse que el mismo tiene como finalidad evitar que por parte de quienes están en contacto con los datos personales se realicen filtraciones de los datos no consentidas por los titulares de los mismos.

De esta forma, el sancionado, tenía un deber legal de mantener de forma confidencial las direcciones de correo electrónico de su libreta Outlook (al menos la del denunciante); este deber se vio quebrado en el momento en que facilitó, a través de correo electrónico, el email de un tercero sin su consentimiento ¿Cómo hizo esto?… bueno, seguramente todos habremos recibido en algún momento de nuestra vida un correo de esos que llevan adjunto un PowerPoint con alguna chorrada, y el que lo envía lo hace dándole a “Reenviar” y luego añade toda su libreta al campo “Para:” de forma que el próximo que reciba el correo verá no sólo las direcciones que añadió el remitente sino todas las direcciones que han ido pasando anteriormente por la misma situación.

Pues bien, esto supone una vulneración de la LOPD en determinadas circunstancias, como es el caso que nos ocupa.

El deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, y, por lo que ahora interesa, comporta que los datos tratados automatizadamente o no, no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto.

El propio denunciado admitió todos estos extremos, y admitió haber enviado por error esa felicitación. Ese error, como mencioné antes, se debió a que la dirección del denunciante se había colado automáticamente en su libreta tras responderle en una ocasión.

Finalmente es sancionado por una infracción leve con multa de 601,01 euros.

Descargar resolución mencionada

Sin embargo, en otras ocasiones no es necesario eludir esta legislación, es más sencillo y seguro aprovechar su inocente redacción y hacer uso del propio texto legal para amparar sus dudosas actividades.

Para ilustrar estas palabras vamos a examinar a una Resolución de la Agencia Española de Protección de Datos en la que se archiva una denuncia por spam contra Movilisto; al final de la lectura de este artículo, cualquiera podrá colegir en lo fácil que es que estas empresas obtengan nuestro consentimiento legal para enviarnos spam aunque hayan pasado 5, 10, o 20 años desde que tuvimos alguna relación con ellas.

La Resolución que se va a examinar trae causa de una denuncia presentada por mi inestimable amigo y compañero Jorge Mira. Es preciso mencionar esto porque es de las pocas personas que conozco (por no decir la única) que de verdad intenta combatir desde la legalidad las empresas que parecen tener como objetivo el lucro económico engañando o manipulando a masas de usuarios y consumidores. Y además de esto, y más importante si cabe, es que desde su blog ofrece de forma desinteresada información muy valiosa y precisa para que cualquiera que se sienta defraudado pueda poner en funcionamiento los mecanismos que nuestro ordenamiento jurídico dispone y ofrecer un mínimo de resistencia.

Para empezar veamos que dice la LSSI respecto al envío de spam (comunicaciones comerciales no consentidas):

Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.

1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita
los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Vayamos ahora a la práctica real y diaria y veremos como entra en juego este artículo de la LSSI:

• Estoy sentado en el sofá de mi casa, es víspera del día de Reyes y veo un anuncio en televisión en el que si envío un SMS puedo descargarme el villancico de moda de estas Navidades.

• Envío el SMS (que al final resultaron ser 3), y ya tengo el villancico en mi teléfono móvil.

• 2 años después (o “pon aquí el tiempo que quieras”, 2 años, 5 años…) me llega un SMS a mi móvil, ofreciéndome descargarme noseque cosa por 0 euros, y que envíe la palabra ALTA PALABRA a un número corto. Como lo de “ALTA” no me convence demasiado, lo dejo pasar.

• A los 4 días me llega otro mensajito, similar al anterior pero ahora para descargarme una canción; de nuevo me invitan a enviar ALTA a un número corto.

• Alguien me comenta lo de las comunicaciones comerciales no consentidas, y que la Agencia Española de Protección de Datos puede intervenir si pongo en su conocimiento estos hechos, así que decido denunciar a la empresa que me está remitiendo esos mensajes al móvil.

Este breve relato son los Hechos de la Resolución E/01100/2007. ¿Cómo resolvió la AEPD?, veamoslo:

• La Inspección de la AEPD visita las instalaciones de la empresa denunciada, que en este caso es Movilisto.

• En Movilisto le cuentan a los inspectores que su actividad es, entre otra, “la provisión de servicios, ya sea por suscripción o por venta directa, de contenidos multimedia, como los tonos de aviso, logos, etc.”. Dichos servicios son prestados por la entidad a través de unos 80 números cortos, entre los que se encuentran el 7733 y el 7777.

• Para la captación de clientes se realizan campañas promociónales en prensa y televisión. A modo de ejemplo, los representantes de la entidad aportan un ejemplar del número 751 de la revista “Super POP”, que contiene promoción tanto de los servicios del 7733 como del 7777 en las páginas números 23 y 75 respectivamente.

• Así mismo MOVILISTO informa que remite mensajes cortos SMS promocionales. El origen de los datos de los destinatarios de dichos mensajes se extrae de los ficheros de quienes han solicitado anteriormente servicios a la entidad.

• Los Inspectores buscan entonces a ver si desde mi número de móvil he solicitado alguno de sus servicios, y encuentran, que en las navidades de hace 2 años solicité un villancico. En este punto, los Inspectores cierran sus maletines y se marchan de las instalaciones de Movilisto, con lo que han visto es suficiente.

Si recordamos la redacción del artículo 21 LSSI, nos decía que es necesario nuestro consentimiento para que podamos recibir comunicaciones comerciales, a no ser que exista una relación contractual previa, en tal caso no será necesario el consentimiento.
Pues bien, esa “relación contractual previa” es la solicitud del villancico en las Navidades de 2006.

En otras palabras, cuando enviamos un SMS para descarganos algunos de estos contenidos estamos habilitando legalmente a esa empresa, sin remedio, para que nos envíe la publicidad que estime oportuno (productos o servicios de su propia empresa que sean similares a los que inicialmente se solicitaron), aunque sea dentro de 2 años.

Sin embargo, la Resolución de la AEPD tiene un error que debería haber servido para sancionar a Movilisto, no por el envío de spam (ya ha quedado claro que la Ley le amparaba en ese caso) sino por infringir los requisitos formales que debe llevar cada comunicación, recordemos el último párrafo del artículo 21 LSSI:

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

OJO. La Ley obliga a que, tanto en el momento de la recogida de los datos, como en cada una de las comunicaciones, se informe y ofrezca la posibilidad de oponerse al tratamiento de sus datos con los fines publicitarios mediante un procedimiento sencillo y gratuito.
¿Se cumplía este requisito en las comunicaciones de Movilisto? NO

La propia Resolución transcribe literalmente los mensajes comerciales recibidos en el teléfono móvil, y que son los siguientes:

“GRATIS! Cohoneee…El Cateto de Veranito canta tu nombre cuando te llaman. Solo hoy a 0 euros. Consíguelo! Suscríbete (0.3e) Envía ALTA PLAYITA y tu nombre al ####.”

y el segundo:

“GRATIS! La canción de TATA GOLOSA arrasa este Veranito! SOLO HOY te la regalamos con tu Nombre por 0 Euros! Suscríbete (0.3e) Envía ALTA TATA y tu nombre al ####.”

¿Dónde está la posibilidad de oponerme al tratamiento? NO ESTá (y además, no entraré en ello, pero los de Movilisto metieron la pata al poner el precio de la suscripción, porque pone “0,3e” que no es lo mismo que “0,30e”.)

Aquí sí nos encontramos con una vulneración del artículo 21 LSSI, pero lo más alarmante es que la propia AEPD, en su Resolución, resuelve este problema NO sancionando a Movilisto en base a unas pruebas que nada tenían que ver con el caso denunciando, me explico:

• Si recordamos, dijimos que cuando los Inspectores fueron a las instalaciones de Movilisto, allí se les facilitó, a modo de ejemplo, un ejemplar de la revista “Super POP”; y que en las páginas 23 y 75 se encontraban las promociones de los servicios de Movilisto.

• Pues bien, la AEPD, para determinar si en mi caso fui informado de lo que la Ley exige (procedimiento gratuito para darme de baja en el momento de recoger mis datos y en cada comunicación), se basa en la información que aparece en ese ejemplar de la revista, NO en la campaña de publicidad por la que fui captado para descargar el villancico en su momento.

• La AEPD reproduce la información legal que aparece en esas páginas 23 y 75 de la revista Super POP, y por supuesto, contiene todas las previsiones que legalmente le son exigidas. De esta forma, la AEPD termina en concluir que se le ha dado buen cumplimiento al artículo 21 LSSI, que se me informó y facilitó una forma para darme de baja porque en ese ejemplar de la revista aparece cómo hacerlo, y bueno, de que en cada comunicación comercial también deben informarme no dicen nada.

En conclusión, entre la mala legislación anti-spam imperante hoy en día y la relajación que en ocasiones encontramos en las Resoluciones de la AEPD, no me extraña que proliferen como setas las empresas dedicadas a esto del SMS Premium.

Para romper una lanza en favor de la AEPD, que casi siempre hace las cosas muy bien, y como prueba de que no todas estas actividades ilegales quedan impunes, en breve hablaremos de una Resolución de la AEPD en la que se sanciona con 60.000 euros a MYALERTCOM S.A. por dar de alta a un usuario que simplemente envió un SMS para descargarse una melodía y en ningún sitio se le informaba que se estaba dando de alta o suscribiendo a un servicio SMS Premium.

La Resolución examinada se puede descargar desde aquí.

No se puede decir que el Real Decreto 1720/2007 tenga un espíritu protector para el usuario o consumidor en lo que se refiere a la forma de obtener su consentimiento para el tratamiento de datos personales, sin embargo, el artículo 15 prohíbe expresamente una práctica habitual consistente en dejar marcada la casilla del “Sí quiero”… recibir publicidad… llamadas promocionales… ceder mis datos a quien te apetezca, etc. Lo cual, unido a que este tipo de cláusulas suelen estar escritas a letra 4 y a pie de página, son una forma excelente de obtener consentimientos.

Sin embargo, a día de hoy, todavía existen empresas que no se han enterado de esta prohibición legal; y es gracias a un caso real por lo que me he animado a comentar esta “novedad” legislativa.

Sigue leyendo para ver el caso práctico.

La revista Mi Cartera de Inversión realiza cada temporada un concurso en el que cualquier lector puede participar y ganar 12000 euros; simplemente hay que seleccionar los valores del Ibex-35 que creamos tendrán la mejor evolución en un periodo de tiempo determinado; cada semana sale el ranking con los mejores posicionados y si al final de cada periodo somos los primeros pues tenemos premio.

La participación es “gratuita”; pongo lo de gratuita entre comillas porque en esta vida “nadie da nada a cambio de nada”. En este ocasión, la revista obtiene como remuneración un gran número de datos personales y lo que es más importante, su consentimiento para enviarles publicidad por cualquier vía.
Ya sé que para muchos esos datos personales pueden tener un valor igual o inferior a 0 pero es con esa mentalidad con la que poco a poco, los poderes Públicos y los Privados, nos van despojando de nuestra privacidad e intimidad sin hacer nada al respecto.

Pero vayamos al caso; en esta imagen podéis ver el formulario completo para participar en el concurso.
Y en esta otra imagen se aprecia la parte de la cláusula que no es conforme a la Ley.

El artículo 15 del Real Decreto 1720/2007 estipula:

“Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.
En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.”

Esto tiene más bien poco que comentar; el artículo establece una prohibición expresar de recabar el consentimiento dejando marcadas casillas por defecto (lo cual se ha hecho en el ejemplo anterior); además especifica que tiene que estar “claramente visible”… en ese sentido espero con impaciencia la pronunciación de la Agencia Española de Protección de Datos en la resolución de algún caso donde se dirima sobre la “claridad visible” de una casilla.

Esta medida legal tiene cierto sentido. Primero porque parece extraño hablar de “consentimiento” cuando no se nos deja opción de decidir si marcar una casilla o no porque ésta ya viene marcada. Y en segundo lugar, porque el propio legislador debe ser consciente de la realidad: nadie lee las cláusulas legales de protección de datos, así que pretende proteger al afectado haciendo nulo el consentimiento en estos casos. Aunque claro, lo ideal habría sido exigir en todo caso la marcación de una casilla para consentir, porque así, aunque no se permite la casila marcada por defecto, parece que sí es válido indicar “y si no consiente usted marque la casilla…” por lo que como casi nadie lee estas cosas, seguirán obteniendo consentimientos…

Ojo: no se trata de “responsabilidad” desde la perspectiva de la Ley de Servicios de la Sociedad de la Información (LSSI) sino desde el punto de vista de la Ley Orgánica de Protección de Datos, de la cual creo que aun no se ha hablado.

El título habla de blogs o foros pero en realidad las conclusiones a las que vamos a llegar se pueden extender a cualquier web de noticias o información que permita la inclusión de comentarios por parte de los lectores, de hecho, la resolución de la Agencia Española de Protección de Datos está referida al caso de un portal de noticias en el cual se publicó, en un comentario, datos personales de terceros sin su consentimiento.

ADVERTENCIA: me ha salido un artículo enorme (incluso para mí). Así que he puesto en azul las partes más importantes; leyendo sólo la parte en azul os vais a enterar de todo sólo que sin la fundamentación jurídica correspondiente.

En abril de 2006, la AEPD recibe un escrito en el que se denuncia a D. José por la publicación de sus datos de carácter personal en la página Web de la Asociación Independiente de la Guardia Civil (en lo sucesivo ASIGC), siendo D. José un cargo en relación a esa página web.
Los datos personales objeto de la denuncia aparecían en un un comentario en una noticia del portal; ese comentario era en realidad una denuncia presentada por D. José por motivos que ahora no vienen al caso.

El asunto es que el nick “X” ha escrito en un comentario de un portal de noticias, datos personales de terceras personas sin que mediara consentimiento de esas terceras personas para su publicación.

El denunciante aportó la captura de pantalla correspondiente, aunque la propia inspección de datos comprobó los hechos.

La AEPD, cuando comienza a examinar el caso desde el punto de vista jurídico, se remite primero al artículo 16 de la LOPD:

“1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días.
2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos.
3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.
4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación .
5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.

Este es el artículo de la LOPD que contempla los derechos de rectificación y cancelación que todos nosotros ostentamos en el tratamiento de nuestros datos personales; no entraré a profundizar sobre qué significa cada “derecho”, pero el que nos interesa ahora de esos dos derechos es el de “cancelación”, el cual sí que se va a comentar.

La AEPD invoca este artículo porque entra a examinar si en este caso procede la cancelación de los datos personales contenidos en el comentario de la web, relativos al denunciante. Para ello lo primero es determinar si esta página web en concreto, o un foro o blog de similares características en general, es un “fichero” de datos personales.
Qué es un fichero lo define distintos textos jurídicos, entre otros los siguientes:

1º: La Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, define “fichero de datos personales” en su artículo 2.c) como “todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica”.

2º: El artículo 3.b) de la LOPD define “fichero” como “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”.

Por su parte, desde la doctrina jurisprudencial se ha afirmado que:

1º: La Sentencia de 18/12/2006 indica que, “todo fichero de datos exige para tener esta consideración una estructura u organización con arreglo a criterios determinados. El mero acúmulo de datos sin criterio alguno no podrá tener la consideración de fichero a los efectos de la Ley”.

2º: La Audiencia Nacional en sentencia de 17/03/2006, determina que un sitio web requiere siempre “cualquiera que sea su finalidad una organización o estructura que permita el acceso a la información en él contenida”.

3º: El propio Tribunal de Justicia de la Unión Europea, en la sentencia de 06/11/2003 (caso Lindqvist) abordó la cuestión y determinó que “la conducta que consiste en hacer referencia, en una página web, a diversas personas y en identificarlas por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un tratamiento total o parcialmente de datos personales”.

En definitiva, esa web en concreto y cualquiera de similares características es un fichero de datos de carácter personal al contener información personal de personas físicas por lo que debe someterse a la LOPD en lo que proceda, y en lo que nos interesa ahora, le será de aplicación lo dispuesto en el artículo 16 LOPD.

En segundo lugar, hay que hacer referencia al artículo 16 de la LSSI, que determina que en su apartado 1 lo siguiente:

“1. Los prestadores de un servicio de intermediación consistente en albergar datos proporcionados por el destinatario de este servicio no serán responsables por la información almacenada a petición del destinatario, siempre que:
a) No tengan conocimiento efectivo de que la actividad o la información almacena es ilícita o de que se lesiona bienes o derechos de un tercero susceptibles de indemnización, o
b) Si lo tienen, actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos.
Se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el párrafo a) cuando un órgano competente haya declarado la ilicitud de los datos, ordenando su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución, sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse”.

Por tanto, del precepto transcrito se colige, que, si bien ASIGC no es responsable de los contenidos del foro, debe ordenar su retirada o imposibilitar el acceso a los mismos cuando un órgano competente así lo determine o cuando tenga conocimiento de que la actividad o la información almacenada es ilícita o lesiona bienes o derechos de un tercero.

Por otra parte, como ya hemos dicho, el citado artículo 16 de la LOPD reconoce a los afectados el derecho a instar la cancelación de sus datos personales ante el responsable del fichero, de modo que, en el presente caso, el afectado debería dirigirse a ASIGC para formular la oportuna solicitud de cancelación de sus datos personales contenidos en la web, lo que obligaría a dicha entidad a atender el derecho ejercitado conforme a la normativa de protección de datos. En caso contrario, es decir, si el mencionado derecho de cancelación no fuese atendido por ASIGC, el propio afectado puede plantear ante la Agencia Española de Protección de Datos la correspondiente reclamación de Tutela de Derechos.

En otras palabras, de momento, la única responsabilidad que tendría el responsable de la web sería la de cancelar la información personal del afectado (en este caso suprimirla) una vez éste se lo haya solicitado con las formalidades que exige la ley, no siendo necesario que mediase el “conocimiento efectivo” que se menciona en al LSSI.

Pero veamos si puede existir alguna otra responsabilidad, como por ejemplo, por un tratamiento de datos sin consentimiento.

El artículo 6 de la Ley Orgánica 15/1999, dispone en su apartado 1 que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa“.
Añadiendo el apartado 2 del citado artículo que “no será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado“.

Así, el tratamiento de datos de carácter personal tiene que contar con el consentimiento del afectado o, en su defecto, debe acreditarse que los datos provienen de fuentes accesibles al público, que existe una Ley que ampara ese tratamiento o una relación contractual o negocial entre el titular de los datos y el responsable del tratamiento, siempre que los datos de que se trate sean necesarios para el mantenimiento o cumplimiento del contrato.

Hasta aquí todo perfecto, y del literal de la ley podríamos llegar a concluir que efectivamente se han tratado datos personales sin el consentimiento necesario y ello debería ser sancionado… pero no, la AEPD continua valorando y hace un juicio de ponderación entre derechos fundamentales, así, indica que:

“Sin embargo, ha de resaltarse que los comentarios introducidos en los foros de Internet por los particulares constituyen una manifestación de la libertad de expresión proclamada en el artículo 20 de la Constitución Española de 1978, que determina en su punto, apartados a) y d) que se reconocen y protegen los derechos:
a) A expresar y difundir libremente los pensamientos, ideas y opiniones mediante la palabra, el escrito o cualquier otro medio de reproducción.
d) A comunicar o recibir libremente información veraz por cualquier medio de difusión. La ley regulará el derecho a la cláusula de conciencia y al secreto profesional en el ejercicio de estas libertades.

La expresión “cualquier medio” recogida en los preceptos constitucionales transcritos, permite admitir todo medio capaz de realizar dicha reproducción o difusión. La falta de especificación hace que sea admisible cualquier procedimiento de divulgación, debiendo sólo aplicar una interpretación restrictiva fundada en la protección de otros derechos constitucionales.

El Tribunal Constitucional, en la Sentencia 12/1982, declaró que “no hay inconveniente en entender que el derecho de difundir las ideas y opiniones comprende en principio el derecho de crear los medios materiales a través de los cuales la difusión se hace posible”.

La Sentencia del Tribunal Supremo de fecha 04/11/1986, indica que “la Constitución política ciertamente reconoce con el rango que le es propio y dentro de su artículo 20 la libertad de expresión manifestada en el derecho a expresar y difundir libremente los pensamientos, ideas y opiniones mediante la palabra, el escrito o cualquier otro medio de reproducción; pero advierte expresamente que este derecho tiene su límite en el respeto a los derechos reconocidos en el Título I, en los preceptos de las leyes que lo desarrollan y, especialmente, en el derecho al honor, a la intimidad, a la propia imagen y a la protección de la juventud y de la infancia”.

De acuerdo con la citada interpretación la libertad de opinión e información, encuadradas en el artículo 20 de la Constitución tiene su límite en los derechos reconocidos en el Título I de la propia Constitución entre los que se encuentra el derecho fundamental a la protección de datos de carácter personal (artículo 18.4).

El foro de ASIGC contiene datos personales del denunciante que son tratados sin su consentimiento. Por tanto, la cuestión a dilucidar es determinar qué derecho es preferente en el caso que nos ocupa.”

Para esclarecer esta cuestión la AEPD examina la jurisprudencia del Tribunal Constitucional y se refiere a varias Sentencias:

“La Jurisprudencia del Tribunal Constitucional tiende a otorgar una posición preferente a la libertad de expresión frente a otros derechos constitucionales, siempre y cuando los hechos comunicados se consideren de relevancia pública (Sentencias del Tribunal Constitucional 105/1983 y 107/1988) y atendiendo a la veracidad de la información facilitada (Sentencias del Tribunal Constitucional 6/1988, 105/1990 y 240/1992).

Así, el citado Tribunal, en la Sentencia 171/1990, afirma: “Dada su función institucional, cuando se produzca una colisión de la libertad de información con el derecho a que de dicho conflicto puedan derivarse a la libertad de información deben interpretarse de tal modo que el contenido fundamental del derecho a la información no resulte, dada su jerarquía institucional desnaturalizado ni incorrectamente relativizado. …resulta obligado concluir que en esa confrontación de derechos, el de la libertad de información transmitida sea veraz, y esté referida a asuntos públicos que son de interés general por las materias a que se refieren y por las personas que en ellos intervienen, contribuyendo, en consecuencia, a la formación de la opinión pública“.

En el mismo sentido se pronuncia la Sentencia 204/1997 indicando “las libertades del art. 20 de la Constitución no sólo son derechos fundamentales de cada ciudadano, sino también de condición de existencia de la opinión pública libre, indisolublemente unida al pluralismo político, que es su valor fundamental y requisito de funcionamiento del Estado democrático que, por lo mismo, transcienden el significado común y propio de los demás derechos fundamentales. …el valor preponderante de las libertades del art. 20 de la Constitución sólo puede verse apreciado y protegido cuando aquéllas se ejerciten en conexión con asuntos que son de interés general, por las materias a que se refieran y por las personas que en ellos intervienen y contribuyan, en consecuencia, a la formación de la opinión pública…“.

La Sentencia 107/1998 del Tribunal Constitucional concreta que “el valor preponderante de las libertades públicas del art. 20 de la Constitución, en cuanto se asienta en la función que éstas tienen de garantía de una opinión pública libre indispensable para la efectiva realización del pluralismo político, solamente puede ser protegido cuando las libertades se ejerciten en conexión con asuntos que son de interés general por las materias a que se refieren y por las personas que en ellos intervienen y contribuyan, en consecuencia, a la formación de la opinión pública, alcanzando entonces su máximo nivel de eficacia justificadora frente al derecho al honor, el cual se debilita, proporcionalmente, como límite externo de las libertades de expresión e información, en cuanto sus titulares son personas públicas, ejercen funciones públicas o resultan implicadas en asuntos de relevancia pública, obligadas por ello a soportar un cierto riesgo de que sus derechos subjetivos de la personalidad resulten afectados por opiniones o informaciones de interés general, pues así lo requieren el pluralismo político, la tolerancia y el espíritu de apertura, sin los cuales no existe sociedad democrática“.

Vamos terminando; la AEPD, con todo este material, entiende en un primer momento que en este caso, aunque la información pueda ser veraz, no se refiere a asuntos públicos de interés general por lo que, en este caso, podría resultar preferente el derecho fundamental a la protección de datos.

Sin embargo, y aquí viene el grueso de la interpretación de la AEPD:

“aunque cabe proclamar que ningún ciudadano que no goce de la condición de personaje público ni sea objeto de hecho noticiable de relevancia pública tiene que resignarse a soportar que sus datos de carácter personal circulen por la Red sin poder reaccionar ni corregir la inclusión ilegítima de los mismos en un sistema de comunicación universal como Internet, para lo que siempre podrá solicitar al responsable del sitio Web de que se trate la cancelación de la información, por otro lado, ha de tenerse en cuenta que requerir el consentimiento individualizado de los ciudadanos para incluir sus datos personales en Internet o exigir mecanismos técnicos que impidieran o filtraran la incorporación inconsentida de datos personales podría suponer una insoportable barrera al libre ejercicio de las libertades de expresión e información a modo de censura previa (lo que resulta constitucionalmente proscrito), si bien cabe insistir, según ha quedado expuesto, que el ciudadano que no esté obligado a someterse a la disciplina del ejercicio de las referidas libertades (por no resultar sus datos personales de interés público ni contribuir, en consecuencia, su conocimiento a forjar una opinión pública libre como pilar basilar del Estado democrático) debe gozar de mecanismos reactivos amparados en Derecho (como el derecho de cancelación de datos de carácter personal) que impidan el mantenimiento secular y universal en la Red de su información de carácter personal.”

Así que finalmente termina archivando el caso y ni el tercero que facilitó los datos personales ni el responsable del sitio web pueden ser imputados en relación a una violación de la LOPD toda vez que, según la AEPD, el derecho fundamental a la libertad de expresión e información parecen estar por encima del derecho fundamental a la protección de datos en este caso.

Eso sí, uno no está indefenso si alguien publica sus datos personales en Internet en los comentarios de un blog o foro (afirma la AEPD) ya que tiene un mecanismo “reactivo” amparado en Derecho, como es el derecho de cancelación de los datos… ah bueno, eso ya me deja mucho más tranquilo, sí señor.

La teoría es muy bonita, pero vayamos a la práctica, a la vida real, con un pequeño ejemplo que me ha pasado a mí personalmente.

Hace ya bastante tiempo, dejé un comentario en este artículo; yo me imaginaba que aunque requiere el email luego éste no se haría público, sin embargo, como podéis ver, los emails sí que se hacen públicos.
Pues bien, les solicité a los titulares de esa web que suprimieran mi correo electrónico de ahí; tardaron un par de semanas pero finalmente mi correo electrónico no aparece en la web, pero ¿se ha solucionado el problema?, pues no, porque si cualquiera busca mi dirección de email en Google verá que la única coincidencia que aparece es la de ese artículo y según el resultado de Google mi email sigue apareciendo vinculado a ese comentario.
El motivo de por qué solicité que se suprimera mi email de allí es porque comencé a recibir mucho spam.
Yo tuve suerte en el sentido de que aceptaron mi solicitud sin mayor problemas, pero no siempre sucede así.

Un ejemplo ficticio: a alguien se le ocurre publicar en mi blog los datos personales de su vecino (nombre, apellidos, dirección, teléfono, matrícula de su coche, etc). En base a la doctrina de la AEPD yo puedo estar tranquilo que si ese vecino me denuncia no me va a pasar nada. Además, si quiere que borre esa información tendrá que ejercer frente a mí su derecho de cancelación; imaginemos que no me adjunta su fotocopia del DNI como exige la ley, yo entonces le respondo que me la envíe pero el vecino prefiere acudir directamente a la AEPD para que tutele su derecho… entre que la tutela llega a la AEPD, se tramita y se la estiman, han pasado perfectamente 6 meses, tiempo durante el cual la información ha estado publicada en este blog tranquilamente. Luego la borro, sin problemas, pero en Google seguirá estando.

En definitiva, creo que esta Resolución abre la vía al pillaje más absoluto, pues si el propio autor de un blog tiene intención de publicar la información personal que estime oportuno, en vez de hacerlo en el cuerpo de su artículo (que sí sería sancionable) podrá hacerlo en un comentario haciéndose pasar por otra persona y no le ocurrirá nada. ¿Qué defensa tiene el afectado? Recurrir al derecho de cancelación que en el peor de los casos podrá suponerle estar 6 o 7 meses esperando a que se haga efectivo, mientras tanto la información personal seguirá publicada y luego seguirá también en los principales buscadores donde tendrá que volver a solicitar la cancelación.

Por supuesto yo no comparto esta doctrina, y entiendo que la libertad de expresión no puede servir en este caso para superar a la protección de datos, sobre una persona de ninguna relevancia ni interés público. Como mínimo se debería hacer responsable a la persona que haya escrito el comentario en el blog, ya que la IP queda registrada, y si no fuera posible identificarlo, tampoco veo descabellado hacer responsable en ciertos casos al titular o autor de la web, foro o blog. El que facilita y administra un espacio en Internet donde otros pueden verter opiniones y comentarios no puede abstraerse por completo de sus obligaciones y responsabilidades como moderador del mismo y de conocer el régimen jurídico que le es de aplicación; además el artículo 16 de la LSSI no puede estar por encima de un derecho fundamental como es el de la protección de datos personales.

El comentario de la denuncia está disponible todavía, solo que con la información personal del denunciante cancelada.

La Resolución examinada aquí

El plazo de preinscripción finaliza el 23 de septiembre.

Con un éxito consolidado gracias a sus cuatro ediciones precedentes, este curso pretende abordar con rigor y profundidad en sus 200 horas de duración, los aspectos más relevantes y de actualidad en el ámbito de la protección de datos personales.

Un total de 10 módulos completan la oferta formativa, donde, entre otros, se estudiará la incidencia de esta disciplina en el ámbito sanitario, marketing, morosidad, y telecomunicaciones, con una carga importante de práctica sin obviar la teoría siempre necesaria.
El plan está estructurado de forma que no es necesario tener ningún conocimiento previo sobre la materia, pues se inicia con unos conceptos y principios generales para ir avanzando a temas más específicos, por lo que tanto si eres un profesional como un iniciado, este curso no se que quedará corto.

Como último punto de garantía de calidad, se puede destacar la extremada preparación de los profesores del curso, todos ellos juristas de reconocido prestigio y con una preparación técnica especializada que conforman un grupo de expertos único.

El curso, como dije, es a distancia, por lo que siempre tendrás acceso a todo el material docente y contacto directo desde Internet con el profesorado.

Para ampliar información y preinscribirte a este curso, puedes hacerlo desde aquí.

Los afectados comenzarán a recibir mensajes de texto en su teléfono móvil que pagarán a 0,30 euros cada uno.

Desde hace algunos meses, las principales empresas dedicadas a la comercialización de descargas por SMS, como Movilisto, Blinko o Dindo están utilizando un nuevo método para captar clientes / captar suscriptores.
El sistema es muy sencillo (ejemplo aquí); ofrecen un contenido o servicio gratuito desde Internet (melodía, juego, etc) y para descargarlo a tu móvil simplemente tienes que introducir tu número de móvil en una casilla; al darle a “aceptar” o “descargar ya” se nos envía un código PIN al móvil facilitado para confirmar la descarga y a la vez, suscribirnos a sus servicios.
La suscripción consiste en que recibiremos una cantidad variable de mensajes en nuestro móvil (50 al mes suele ser lo habitual) ofreciéndonos más contenidos; cada mensaje RECIBIDO lo pagamos a 0,30 euros. 50 mensajes al mes multiplicado por 0,30 = 15 euros por suscripción/mes.

El mecanismo, que ya de por sí es de dudosa legalidad, quiebra cuando se investiga un poco, al darse uno cuenta lo sencillo que es suscribir cualquier número gracias a las plataformas mal diseñadas de estas empresas.

En este artículo (con video incluido) demostraremos la debilidad del sistema y las consecuencias jurídicas, desde el punto de vista de protección de datos y servicios de la sociedad de la información.

Para comprender con detalle el video que se muestra al final, así como todo el artículo, es necesario detallar el procedimiento de alta o suscripción a estos servicios desde Internet, ya que es muy posible que algunos no sepamos cómo funciona.

1º: Acudimos a una web donde se nos ofrece gratis un determinado contenido para nuestro móvil. Ejemplo. En este ejemplo lo que nos ofrecen son 300 SMS gratis al mes (no hablaré aquí sobre lo “gratis” de esos 300 mensajes)

2º: Al introducir el número de móvil y darle al logotipo del operador, se envía automáticamente un código PIN al número indicado (lo cual ya de por si puede resultar molesto)

3º: Pasamos a la siguiente fase (ver imagen), donde tenemos que introducir el código PIN del punto 2º como garantía de que somos los poseedores del terminal con ese número indicado.

4º: Introducimos el PIN correcto y automáticamente quedamos suscritos a los servicios de esta empresa; comenzaremos a recibir mensajes a 0,30 euros cada uno.

¿Dónde está el problema?.

El problema radica en dos puntos: primero que el PIN es un código numérico de 4 dígitos, y segundo, que no hay límites de intentos a la hora de introducir el PIN.

Tenemos la plataforma web, tenemos la debilidad del sistema, sólo falta añadir la picaresca que caracteriza nuestra cultura ibérica, y en 5 minutos podemos hacer un programa que vaya probando uno a uno cada código PIN (código fuente del programa facilitado al final del artículo); dado que sólo hay 10000 posibilidades (en el peor de los casos), con una conexión ADSL normal podremos probar todos los códigos en unos 50 minutos.
Las peticiones HTML a la hora de probar códigos son simples POST con un “content” de tipo “número_movil+PIN”. Más sencillo imposible.

En conclusión, en una media de 25 minutos podemos suscribir a Movilisto el número de teléfono móvil que queramos, con el consecuente perjuicio económico para la víctima.

Si lo hacemos a gran escala las dimensiones del problema pueden ser asfixiantes.

Vayamos a la parte jurídica:

Si a alguien se le ocurriera realizar estas actividades vandálicas (desde aquí rechazo por completo que nadie lo haga), podría suceder dos cosas si al que han suscrito sin su consentimiento terminara denunciando…:

A) Como la comunicación es a través de Internet, podrían identificarte por la IP. En vista de la doctrina de la Agencia Española de Protección de Datos, sólo será necesario que la web registre todas las solicitudes de intentos de PIN y terminarán descubriendo qué IP estuvo probando PINs masivamente. Localizada la IP terminarán sancionando al titular de la linea (que no ha tenido necesariamente que ser el que cometió la maldad) sin mayor dilación. Eso sí, siempre que la IP sea española y sea posible identificar al titular de la misma, porque como la IP sea francesa (por ejemplo) la lleva clara la AEPD.

Como se comentó en el caso de que una persona suscribió a una lista de distribución a un tercero sin su consentimiento:

“en el presente caso, en el que el tratamiento de datos se realiza por un usuario de Internet, es necesario determinar con toda certeza la identidad de la persona que establece la conexión, para evitar que un usuario determinado pueda supla