Suscripción a una lista de distribución sin tu consentimiento

¿Qué consecuencias legales tiene el que te suscriban a una lista de distribución sin tu consentimiento?. ¿Quién no ha gastado alguna vez la broma de dar de alta la dirección de correo electrónico de un amigo en ciertas listas de correo?

En ocasiones pensamos que determinadas acciones no son punibles porque no están tipificadas en ninguna ley como infracción o delito. Ciertamente podríamos pensar que dar de alta un correo electrónico en una de estas listas no puede ser sancionado porque ¿dónde se prohíbe? Y en el peor de los casos ¿cómo me van a pillar?.

Quizá estas mismas preguntas se las hizo el que dio de alta una dirección de email en varias listas de distribución y ahora lo han multado con 60.000 euros (ojo, sesenta mil euros, no sesenta “coma” cero).


La multa ha sido posible por dos circunstancias:

  1. : el considerar la dirección de correo electrónico como dato personal va a suponer que cualquier cosa que hagamos con el correo electrónico va a estar sujeto a la Ley Orgánica de Protección de Datos.
  2. : el infractor no se molestó en ocultar su dirección IP, de modo que gracias a unos logs fue posible rastrearla hasta dar con el autor.

Además, como veremos, la propia Resolución sancionadora nos va a mostrar el procedimiento legalmente correcto para permitir que una dirección de email se suscriba a una lista de distribución.

Los hechos ocurrieron a finales de 2005 y principios de 2006, cuando D. X.X.X. recibió en su correo electrónico la confirmación para suscribirse a distintas listas de distribución; por supuesto él no había enviado ninguna petición de alta y no confirmó dichas altas.
Sin embargo, sí que comenzó a recibir mensajes de otras listas, sin que precediera el mecanismo de confirmación.

Estos hechos los puso en conocimiento de la Agencia Española de Protección de Datos, quien inició las correspondientes investigaciones.

De estas investigaciones se obtuvo la siguiente información:

  • Que las solicitudes de alta en varias de las listas se produjeron desde 3 IPs distintas, IP-01, IP-02, e IP-03
  • Respecto a IP-01: se contactó con el proveedor que tiene asignado el rango correspondiente a esa IP, que en este caso es AUNA Telecomunicaciones, y AUNA informó que el usuario conectado desde esa IP en la hora y minuto correspondiente a las altas en las listas, lo hacía desde el número de teléfono 12345678.
  • Respecto a IP-02: Telefónica comunicó que esa IP está asignada a una compañía determinada, a través de su filial alemana Colt Telecom BMBH, no disponiendo de la información relativa a los ficheros de log de conexión.
  • Respecto a IP-03: fue imposible identificar a la entidad que tiene asignado el rango de direcciones al que corresponde.

De este modo, la única pista disponible y fiable era el número de teléfono utilizado para conectar y utilizar IP-01.

Solicitada información sobre la titularidad del número 12345678, se confirmó que pertenece a Servicios Informáticos Especializados en el Tratamiento de Empresas, S.L. (en adelante SIETE).

Según la inscripción que consta en el Registro Mercantil Central, la entidad SIETE tiene por objeto social la “instalación de ordenadores y programas, la asistencia técnica a empresas y particulares, diseño de páginas Web, alquiler no financiero de equipos informáticos, así como la prestación de servicios de reparación de los mismos, etc.“.

La entidad SIETE declaró a la Agencia que en el objeto de la sociedad figura el “alquiler no financiero de equipos informáticos” y que el día que se produjeron las solicitudes de alta, alquiló “un ordenador con acceso único a Internet a N.N.N. que solicitó este servicio temporal y puntual por cuestiones propias“. La compañía, no obstante, no aportó ningún tipo de documentación que pueda acreditar este extremo.

Añade, que la entidad se creó en abril de 2005, sin que durante ese ejercicio se contratase trabajador alguno, de modo que las únicas personas que pudieron acceder a los ordenadores para registras las altas del denunciante en las listas de distribución que se citan en las denuncias presentadas fueron el mencionado D. N.N.N. y el administrador de SIETE, que tiene conocimientos suficientes para imposibilitar la localización de la dirección IP de su mercantil.

Es decir, les está diciendo a la Agencia “oiga miren, yo no he sido, pero es que además, si hubiera querido hacerlo, no me habríais pillado porque hubiera ocultado la IP”.

Se suceden entonces una serie de intentos de quitarse el problema de encima o de intentar demostrar sin éxito su inocencia.

Entrando ya en los fundamentos de derecho, la AEPD afirma que “en el presente caso, en el que el tratamiento de datos se realiza por un usuario de Internet, es necesario determinar con toda certeza la identidad de la persona que establece la conexión, para evitar que un usuario determinado pueda suplantar la identidad de un tercero. Esta identificación de un usuario que accede a la Red exige conocer la dirección o direcciones “IP” asignadas a la conexión, así como los datos de tráfico disponibles. El
“TCP/IP” se trata de un protocolo básico de transmisión de datos en Internet, donde cada ordenador se identifica con una dirección “IP” numérica única. Las redes TCP/IP se basan en la transmisión de paquetes pequeños de información, cada una de los cuales contiene una dirección “IP” del emisor y del destinatario
.”

A su vez, los proveedores de acceso a Internet y los administradores de redes locales pueden identificar a los usuarios de Internet a los que han asignado direcciones “IP”. Un proveedor de acceso a Internet que tiene un contrato con un abonado, normalmente mantiene un fichero histórico con la dirección “IP” (fija o dinámica) asignada, el número de identificación del suscriptor, la fecha, la hora y la duración de la asignación de la dirección. Es más, si el usuario de Internet está utilizando una red pública de telecomunicaciones, como un teléfono móvil o fijo, la compañía telefónica registrará el número marcado, junto con la fecha, la hora y la duración, para la posterior facturación.”

En estos casos, ello significa que, con la asistencia de terceras partes responsables de la asignación, se puede identificar a un usuario de Internet, es decir, obtener su identidad civil (nombre, dirección, número de teléfono, etc).

Así, ha quedado probado que, en los cuatro casos mencionados, el formulario de alta para las suscripciones respectivas fue cumplimentado desde la dirección IP-01″, asociada a la línea telefónica número “12345678″, cuya titularidad corresponde a la entidad SIETE.
Por tanto, queda probado que dicha entidad trató los datos del denunciante sin su consentimiento, por lo que se considera infringido el artículo 6.1 de la LOPD

Llegados a este punto, a mí personalmente se me hiela la sangre de pensar lo que me podría pasar (a mí o a cualquier internauta) si el día de mañana se infecta mi ordenador con algún tipo de gusano o troyano y que mi conexión sea utilizada para, por ejemplo, enviar spam o realizar actividades como las descritas en este artículo; o que sencillamente el vecino descubra la contraseña de mi red WiFi y realice actividades ilícitas.

Estimo que habría sido necesario acudir a los locales de SIETE, examinar los ordenadores y buscar algún indicio o prueba de que efectivamente se hubieran realizado las solicitudes de alta desde SIETE, y no guiarnos directamente por la dirección IP como si de una muestra de ADN se tratase.

Creo que se están sucediendo algunas resoluciones y sentencias en estos términos, donde la IP está siendo determinante como prueba y no como mero indicio. La presunción de inocencia no debería ser destruida por la simple existencia de unos números (IP) en un fichero de texto (log) de un proveedor de servicios…

En fin, como ya avancé, a SIETE se le termina imponiendo una multa de 60101 euros por vulnerar el artículo 6.1 de la Ley Orgánica de Protección de Datos, artículo que establece el principio de información, y que exige el consentimiento del interesado para el tratamiento de sus datos personales (el email en este caso), cuando no existan excepciones para su tratamiento.

Descargar Resolución

24 comentarios en “Suscripción a una lista de distribución sin tu consentimiento”

  1. Hola Samuel,

    como siempre, me resulta una barbaridad que utilizen la IP como sistema de identificación inequívoca del equipo (más cuando, como dices, hay gusanos y otras cosas que pueden hacer que esta prueba resulte… cuestionable). Por otro lado, muy mal para SIETE que no tuviera forma de demostrar el alquiler del equipo y tal (y que puede que ayudará a que se produjera la Resolución en estos términos). La AEPD, ya sabemos como es…

    Un saludo

    Responder
  2. Indignante y soprendente. La IP, como recoge la noticia, no es más que un numerito en un log, y de ninguna manera puede identificar a persona alguna. Además, es una verdadera burrada que el email pueda considerarse “dato personal” sobre todo el el caso de las cuentas tipo “chimichurri16@hotmail.com” dado que es imposible identificar mediante él al usuario (que es lo que tipifica la LOPD como dato personal). Y para colmo si la lista de distribución incluia -como incluyen todas- las preceptivas instrucciones para darse de baja… Estamos una vez más ante una resolución injusta, fruto de un afán por defender unos derechos que, a la postre, va a generar una pérdida de derechos para millones de usuarios. Porque ¿quien es el guapo que se atreve a enviar un simple mail o a navegar, sabiendo que su ip y su cuenta pueden ser utilizados y le pueden caer 10 kilos de multa?

    Responder
  3. Me conecto a internet para navegar y leer el correo a través de la conexión wireless de un vecino, que aunque la tiene protegida por contraseña, consegui romper el cifrado.

    Me parece indignante que si cometiera un delito por internet castiguen a mi vecino.

    Responder
  4. Es que en un mundo normal, la carga de la prueba correspondiente a demostrar que ese equipo fue realmente el que hizo algo le tocaría a la AEPD. Y el tema de sanciones, y su “proporcionalidad” (por llamarla de alguna manera) es de risa comparándola con acciones que, en mi opinión, merecen sanciones mucho más altas.

    Un saludo

    Responder
  5. La Resolución está publicada, solo que desde algunos sitios de la web de la Agencia falla el enlace, pero si te vas directamente a las Resoluciones de 2008 y la buscas por su número, accedes perfectamente.
    Naturalmente, no iba yo aquí a publicar una Resolución que no haya sido previamente publicada por la Agencia.

    Como bien dice Sergio, habría que demostrar que ese equipo fue el que cometió la infracción o delito, y no guiarse simplemente por la IP… pero parece que no siempre es así…..

    Además, en este caso https://www.samuelparra.com/2008/02/24/la-ip-como-dato-personal-insuficiente-para-identificar-al-infractor/ precisamente se alegó que la IP no podía identificar al demandado, y se archivó el caso.

    Responder
  6. Ya no es sólo que alguien se conecte a tu red Wifi para hacer de las suyas, o que un gusano te haga la puñeta, sino que tú voluntariamente puedes compartir tu equipo con otras personas (familiares, amigos, compañeros de piso, de trabajo, etc). ¿Cómo pueden asegurar entonces de una forma tan inequívoca la identidad de la persona que se encontraba detrás del teclado?. Creo que la respuesta es muy sencilla… Como ocurre con la SGAE, el dinero puede con todo, incluso contra la lógica y el sentido común. Informaos de adónde van a parar esos 60.000 euritos… ¿os lo imagináis? 😉

    Responder
  7. En un juicio ante una persona poseedora de pornografía infantil, no se le impuso condena alguna al no tener antivirus y tener el ordenador infectado de espías, ya que el juez estimó que muchos espías pueden meter fotografías pornográficas en tu ordenador.

    De la misma forma podrían alegar la falta de seguridad de su equipo y echar la culpa de ese delito a un posible programa espía quitándose el marrón de encima.

    Como dice Alex. Mucha gente se conecta a través de la red del vecino y es injusto que el delito de una persona se lo acabe comiendo otra. Las IP no son una prueba fiable de que seas autor de algún delito. Es increíble la de líos que tienes que hacer para obtener certificados digitales y poder realizar operaciones como la renta desde tu ordenador, y luego para meterte 60000€ de multa valga solo con tu IP para validar que eres el autor.

    En fín…vivimos en un país de locos

    Responder
  8. Pues yo sí considero correcta la sanción. No sé si desproporcionada, pero sí correcta. Tal IP correspondía a tal PC en tal momento. Eso sí es demostrable. En caso de un particular, se puede aceptar que tenga problemas de seguridad en su red, etc etc, pero una empresa que se dedica al alquiler de equipos informáticos debe asumir la responsabilidad: o tienes claro quién usa los equipos en cada momento, o cargas con el marrón. Y no me vengan con virus, problemas de red o tonterías… ¿qué clase de informático es el que alquila un equipo inseguro? En fin… Desde mi punto de vista, es como si una empresa de alquiler de coches alquilara un vehículo usado para un atentado: si no revela los datos de a quién se ha alquilado, no sería encubrimiento? de acuerdo, la relevancia no es la misma, pero el fondo sí. Es necesaria una responsabilidad en un delito, y se ha llegado a quien debería tener los datos del delincuente último.

    Por otro lado, el email SI es un dato personal. Se supone que es algo privado y único, y se requiere algo privado para acceder a él. En los casos de menor seguridad, una simple contraseña de texto, en los más complejos tarjeta criptográfica o incluso identificación biométrica. Es como mi dirección de casa, a la que me pueden mandar un montón de folletos basura, solo que en electrónico. Que usamos “Chimichurri24@servidormolón.com” es problema nuestro… como quien tiene su chaletito en la sierra y un chuchitril de 20 metros en la playa para desbocarse los fines de semana. Ambas son direcciones suyas personales… o no?

    Responder
  9. Hace unos meses fuí a juicio por un caso parecido en calidad de acusado. Se me acusaba nada más y nada menos de un fraude con tarjetas de crédito.

    Efectivamente, la documentación recopilada por la policía indicaba que el delito se había cometido desde mi ordenador 3 años atrás.

    Lógicamente fuí declarado inocente, haciendo mella en el tema de la existencia de los virus troyanos que mucha gente utiliza para hacer este tipo de cosas.

    Un saludo

    Responder
  10. Estoy de acuerdo en que, como dice Miguel Angel, se puede identificar de manera inequívoca el equipo que estableció la conexión con cierta dirección IP en cierto momento. Pero estamos hablando de identificar a un individuo en concreto, a una persona que podía estar o no detrás de la máquina.Si no me equivoco, contamos con algo que se llama presunción de inocencia. En otras palabras, si me vas a acusar de algo, de algún modo tendrás que demostrar que era yo y no otro (o un programa) el que cometió el delito, ¿no es así?. Entonces… ¿qué pruebas concretas y fehacientes existen para asociar mi persona a un equipo informático?, ¿tan sólo que el equipo se encontraba en mi residencia?. Los comentarios de algún letrado nos vendrían bien para aclararnos éstas dudas 🙂

    Responder
  11. Eso es una burla, y al que agarraron que bueno por que no supo como defenderse.

    Primero existe algo que es spoofing osea cambiar dirección IP y MAC como no vieron que esta spoofeada que pruebas se tienen????

    Segundo hay proxies por Dios cheque que es TOR

    Tercero ok si bla bla bla dicen que fue la IP y MAC y no estaba atras de un proxie y bueno ok ya vieron que si es esa la computadora pero era el quien estaba en ella

    Pero bueno ahora regresando hay algo que son los delitos internacionales el pobre wey se hubiera escondido tras un proxi donde no aplique la ley y listo (muchas veces estos delitos no pasan y otras tardan muuuuuuuuuchoo) asi o mas guey

    Responder
  12. Buenas a todos:

    Lo que está claro es que sigue habiendo un vacio inmenso en el tema de jurisdicción electrónica.

    Hoy en dia el uso actual de la internet proporciona una serie de herramientas que permiten de una manera u otra suplantar la identidad de otra persona. IP, es un identificativo de una máquina. Esa máquina podrá ser manejada por pirri o por morri. Lo que si se puede alegar es que la máquina cometió el delito. Pero esto es lo de siempre “todos la mataron y ella sola se murio”. ¿Que sucede en estos casos?. Bajo falta de leyes hay que buscar culpables. Y así es como funciona nuestro magnifico sistema judicial.

    Por supuesto, no estoy de acuerdo que una persona que maneje habitualmente una máquina delatada como herramienta del delito sea incriminada directamente. Pero ni esa persona ni sus mas allegados. ¿Por qué?. Porque no se dispone de esa información a través de ningún medio electrónico actual, así de fácil. Y por supuesto, ya sean personas con acceso ilícito, pirris o morris quien maneje una máquina no incriminan para nada que dicha persona sea la hechora del delito. Pero ni siquiera la poseedora de la máquina.

    Desde mi punto de vista, yo creo que esto es lo interesante. Es decir, vamos a llamar las cosas por su nombre y vamos a dejar de buscar culpables tal como hacen los niños pequeños en situaciones comprometidas.

    Un saludo.

    Responder
  13. El principal problema de este fallo es que solo cuando les conviene nuestros datos son privados. Es imposible evitar que envíen spam o que llamen por teléfono para ofrecer productos. ¿Esos no son igualmente datos privados? Darse de baja -en mi caso mi empresa de telefonía ha desparramado mi información personal por todos lados y me llaman a todas horas para ofrecer estupideces- es imposible: no sé quiénes tienen mi información. Pero claro, yo no puedo obtener 60.000€ de las empresas involucradas.

    Responder
  14. Si tenemos en cuenta las interpretaciones “expansivas” de la AEPD no hay duda que se aplica sanción.
    Otra cosa distinta es que si se recurre la resolución, la sentencia que dicte el Tribunal Contencionso Administrativo puede ser muy diferente, ya que allí no basta con identificar a un equipo mediante una dirección IP. La AEPD ha de demostrar además quien ha sido la persona física que ha cometido la infracción.
    No basta la presunción de que el equipo ha sido usado por quien conste como titular. Ha de demostrarse fehacientemente quien ha sido el autor material de la infracción, y evidentemente eso no es cosa fácil.

    Responder
  15. No entiendo muy bien, una defensa basada en IP Spoofing hubiera sido mas que suficiente ya que impica una duda mas que razonable

    IP SPOOFING: Suplantación de IP. Consiste básicamente en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar. Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP. Hay que tener en cuenta que las respuestas del host que reciba los paquetes irán dirigidas a la IP falsificada. Por ejemplo si enviamos un ping (paquete icmp “echo request”) spoofeado, la respuesta será recibida por el host al que pertenece la IP legalmente. Este tipo de spooofing unido al uso de peticiones broadcast a diferentes redes es usado en un tipo de ataque de flood conocido como smurf ataque. Para poder realizar IP SPOOFING en sesiones TCP, se debe tener en cuenta el comportamiento de dicho protocolo con el envío de paquetes SYN y ACK con su ISN específico y teniendo en cuenta que el propietario real de la IP podría (si no se le impide de alguna manera) cortar la conexión en cualquier momento al recibir paquetes sin haberlos solicitado. También hay que tener en cuenta que los routers actuales no admiten el envío de paquetes con IP origen no perteneciente a una de las redes que administra (los paquetes spoofeados no sobrepasarán el router).

    Responder
  16. M ha dado de alta una persona(empresa)en la seguridad social sin mi consentimiento(sin saber com. Sabe mis datos).me ha dado de alta un día.a mi y a mas personas.m imagino k esto se podrá denunciar.no??.gracias.

    Responder

Deja un comentario