Movilisto aprovecha la debilidad de la LSSI para el envío de spam

En alguna ocasión hemos hablado de cómo hacen las grandes empresas de servicios SMS Premium para eludir la legislación española que nos protege frente al spam: la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico.

Sin embargo, en otras ocasiones no es necesario eludir esta legislación, es más sencillo y seguro aprovechar su inocente redacción y hacer uso del propio texto legal para amparar sus dudosas actividades.

Para ilustrar estas palabras vamos a examinar a una Resolución de la Agencia Española de Protección de Datos en la que se archiva una denuncia por spam contra Movilisto; al final de la lectura de este artículo, cualquiera podrá colegir en lo fácil que es que estas empresas obtengan nuestro consentimiento legal para enviarnos spam aunque hayan pasado 5, 10, o 20 años desde que tuvimos alguna relación con ellas.

La Resolución que se va a examinar trae causa de una denuncia presentada por mi inestimable amigo y compañero Jorge Mira. Es preciso mencionar esto porque es de las pocas personas que conozco (por no decir la única) que de verdad intenta combatir desde la legalidad las empresas que parecen tener como objetivo el lucro económico engañando o manipulando a masas de usuarios y consumidores. Y además de esto, y más importante si cabe, es que desde su blog ofrece de forma desinteresada información muy valiosa y precisa para que cualquiera que se sienta defraudado pueda poner en funcionamiento los mecanismos que nuestro ordenamiento jurídico dispone y ofrecer un mínimo de resistencia.

Para empezar veamos que dice la LSSI respecto al envío de spam (comunicaciones comerciales no consentidas):

[quote]Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.

1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita
los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.[/quote]

Vayamos ahora a la práctica real y diaria y veremos como entra en juego este artículo de la LSSI:

  • Estoy sentado en el sofá de mi casa, es víspera del día de Reyes y veo un anuncio en televisión en el que si envío un SMS puedo descargarme el villancico de moda de estas Navidades.
  • Envío el SMS (que al final resultaron ser 3), y ya tengo el villancico en mi teléfono móvil.
  • 2 años después (o “pon aquí el tiempo que quieras”, 2 años, 5 años…) me llega un SMS a mi móvil, ofreciéndome descargarme noseque cosa por 0 euros, y que envíe la palabra ALTA PALABRA a un número corto. Como lo de “ALTA” no me convence demasiado, lo dejo pasar.
  • A los 4 días me llega otro mensajito, similar al anterior pero ahora para descargarme una canción; de nuevo me invitan a enviar ALTA a un número corto.
  • Alguien me comenta lo de las comunicaciones comerciales no consentidas, y que la Agencia Española de Protección de Datos puede intervenir si pongo en su conocimiento estos hechos, así que decido denunciar a la empresa que me está remitiendo esos mensajes al móvil.

Este breve relato son los Hechos de la Resolución E/01100/2007. ¿Cómo resolvió la AEPD?, veamoslo:

  • La Inspección de la AEPD visita las instalaciones de la empresa denunciada, que en este caso es Movilisto.
  • En Movilisto le cuentan a los inspectores que su actividad es, entre otra, “la provisión de servicios, ya sea por suscripción o por venta directa, de contenidos multimedia, como los tonos de aviso, logos, etc.”. Dichos servicios son prestados por la entidad a través de unos 80 números cortos, entre los que se encuentran el 7733 y el 7777.
  • Para la captación de clientes se realizan campañas promociónales en prensa y televisión. A modo de ejemplo, los representantes de la entidad aportan un ejemplar del número 751 de la revista “Super POP”, que contiene promoción tanto de los servicios del 7733 como del 7777 en las páginas números 23 y 75 respectivamente.
  • Así mismo MOVILISTO informa que remite mensajes cortos SMS promocionales. El origen de los datos de los destinatarios de dichos mensajes se extrae de los ficheros de quienes han solicitado anteriormente servicios a la entidad.
  • Los Inspectores buscan entonces a ver si desde mi número de móvil he solicitado alguno de sus servicios, y encuentran, que en las navidades de hace 2 años solicité un villancico. En este punto, los Inspectores cierran sus maletines y se marchan de las instalaciones de Movilisto, con lo que han visto es suficiente.

Si recordamos la redacción del artículo 21 LSSI, nos decía que es necesario nuestro consentimiento para que podamos recibir comunicaciones comerciales, a no ser que exista una relación contractual previa, en tal caso no será necesario el consentimiento.
Pues bien, esa “relación contractual previa” es la solicitud del villancico en las Navidades de 2006.

En otras palabras, cuando enviamos un SMS para descarganos algunos de estos contenidos estamos habilitando legalmente a esa empresa, sin remedio, para que nos envíe la publicidad que estime oportuno (productos o servicios de su propia empresa que sean similares a los que inicialmente se solicitaron), aunque sea dentro de 2 años.

Sin embargo, la Resolución de la AEPD tiene un error que debería haber servido para sancionar a Movilisto, no por el envío de spam (ya ha quedado claro que la Ley le amparaba en ese caso) sino por infringir los requisitos formales que debe llevar cada comunicación, recordemos el último párrafo del artículo 21 LSSI:

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

OJO. La Ley obliga a que, tanto en el momento de la recogida de los datos, como en cada una de las comunicaciones, se informe y ofrezca la posibilidad de oponerse al tratamiento de sus datos con los fines publicitarios mediante un procedimiento sencillo y gratuito.
¿Se cumplía este requisito en las comunicaciones de Movilisto? NO

La propia Resolución transcribe literalmente los mensajes comerciales recibidos en el teléfono móvil, y que son los siguientes:

“GRATIS! Cohoneee…El Cateto de Veranito canta tu nombre cuando te llaman. Solo hoy a 0 euros. Consíguelo! Suscríbete (0.3e) Envía ALTA PLAYITA y tu nombre al ####.”

y el segundo:

“GRATIS! La canción de TATA GOLOSA arrasa este Veranito! SOLO HOY te la regalamos con tu Nombre por 0 Euros! Suscríbete (0.3e) Envía ALTA TATA y tu nombre al ####.”

¿Dónde está la posibilidad de oponerme al tratamiento? NO ESTÁ (y además, no entraré en ello, pero los de Movilisto metieron la pata al poner el precio de la suscripción, porque pone “0,3e” que no es lo mismo que “0,30e”.)

Aquí sí nos encontramos con una vulneración del artículo 21 LSSI, pero lo más alarmante es que la propia AEPD, en su Resolución, resuelve este problema NO sancionando a Movilisto en base a unas pruebas que nada tenían que ver con el caso denunciando, me explico:

  • Si recordamos, dijimos que cuando los Inspectores fueron a las instalaciones de Movilisto, allí se les facilitó, a modo de ejemplo, un ejemplar de la revista “Super POP”; y que en las páginas 23 y 75 se encontraban las promociones de los servicios de Movilisto.
  • Pues bien, la AEPD, para determinar si en mi caso fui informado de lo que la Ley exige (procedimiento gratuito para darme de baja en el momento de recoger mis datos y en cada comunicación), se basa en la información que aparece en ese ejemplar de la revista, NO en la campaña de publicidad por la que fui captado para descargar el villancico en su momento.
  • La AEPD reproduce la información legal que aparece en esas páginas 23 y 75 de la revista Super POP, y por supuesto, contiene todas las previsiones que legalmente le son exigidas. De esta forma, la AEPD termina en concluir que se le ha dado buen cumplimiento al artículo 21 LSSI, que se me informó y facilitó una forma para darme de baja porque en ese ejemplar de la revista aparece cómo hacerlo, y bueno, de que en cada comunicación comercial también deben informarme no dicen nada.

En conclusión, entre la mala legislación anti-spam imperante hoy en día y la relajación que en ocasiones encontramos en las Resoluciones de la AEPD, no me extraña que proliferen como setas las empresas dedicadas a esto del SMS Premium.

Para romper una lanza en favor de la AEPD, que casi siempre hace las cosas muy bien, y como prueba de que no todas estas actividades ilegales quedan impunes, en breve hablaremos de una Resolución de la AEPD en la que se sanciona con 60.000 euros a MYALERTCOM S.A. por dar de alta a un usuario que simplemente envió un SMS para descargarse una melodía y en ningún sitio se le informaba que se estaba dando de alta o suscribiendo a un servicio SMS Premium.

La Resolución examinada se puede descargar desde aquí.

28 comentarios en “Movilisto aprovecha la debilidad de la LSSI para el envío de spam”

  1. Muchas gracias maestro! Acabo de reproducir el artículo en mi blog de modo literal, bueno, casi…tan solo he quitado el párrafo que me sonrojaba un poquito y hablaba de mí. Gracias por la rigurosa crítica que has hecho de la resolución. Ponderada y razonada. Un saludo,

    Responder
  2. ¿cual es la diferencia entre enviar un mensaje incumpliendo el artículo 21 de la LSSI y es tratamiento sin consentimiento de la suscripción a un servicio?
    Para empezar, la sanción: en el primer caso hasta 30.000 € y el el segundo caso de 60.000 € a 300.000 €. Pero ademas tambien están los tiempos de prescripción, en el primer caso, 6 meses y en el segundo 2 años.
    De lo que me va llegando de la AEPD, veo que el tiempo entre la entrada de las denuncias y la apertura de los sancionadores es cada vez mayor, de hecho actualmente no cumplirian con el Reglamento, que les limita a un año el tiempo desde la recepción de la denuncia hasta la apertura del sancionador, mucho se tendrán que esforzar por llegar a cumpir de aquí a abril de año próximo.
    Bueno, me centro a lo que iba. Conforme van de tiempo, igual no han entrado en el asunto del Art. 21 LSSI porque les ha prescrito. Veamos, en la denuncia no aparecia denunciado mas que la recepción de los mensajes, y es eso lo que han investigado únicamente. Aunque las demas carancias eran claramente visibles, no está denunciado y no entran en ello. De lo que yo se, están intentando no entrar en mas debido a la fama de sancionadora que han cogido la Agencia. Pero es que además es merecida. Solo desde que está el actual Director se está aplicando con cierta generosidad el 45.5, que con los anteriores costaba un esfuerzo tremendo.

    Responder
  3. https://www.agpd.es/portalweb/revista_prensa/revista_prensa/2008/notas_prensa/common/sept/np_080930_sentencia_TS.pdf

    Lean y vean lo que dice el Supremo:
    “los Libros de Bautismo, son una pura acumulación de datos que comporta una difícil búsqueda, acceso e identificación en cuanto no están ordenados ni alfabéticamente, ni por fecha de nacimiento, sino sólo por las fechas de bautismoâ€?.

    El caso es que, cuando alguien pide una fe de bautismo, encuentran los datos.

    A partir de esta sentencia, y razonando por similitud, muchos ficheros podrían dejar de serlo. Los primeros que se me ocurren, los de video vigilancia.

    Cuando nos hagan una inspección y nos pidan acceso al fichero habrá que contestar: no tenemos fichero, solo una acumulación de datos.

    Responder
  4. Esa Sentencia puede traer mucha historia. Mañana la imprimiré y la leeré con atención porque como bien dices, es muy factible que en base a esa Sentencia podamos dejar de interpretar ficheros como tales, aunque también es cierto, que el que no nos encontremos ante un fichero LOPD no quiere decir que no se aplique directamente la LOPD a los datos personales de ese no-fichero… dejarán de aplicarse algunos preceptos, pero otros no.

    Responder
  5. Coincido con Pit en que puede convertirse en una fuente de problemas, aunque yo no utilizaría ese argumento en la inspección – no sea que te lleve a la obstrucción – sino en la instrucción del procedimiento, en su caso.
    Respecto a la sentencia, creo que en este caso el único criterio acertado es el de la Audiencia Nacional. La Agencia erró en su resolución al tratar de estar en misa y repicando – decir en sus resoluciones de tutelas que no había fichero para luego aplicar el principio de calidad al tratamiento de datos realizado – y el Tribunal Supremo creo que ha pecado, y que Dios me perdone por decirlo así, de desconocimiento de la realidad y de las sutilezas de la Protección de Datos.
    Para muestra, dos botones: La mayoría de las parroquias en muchas diócesis están vertiendo sus libros de bautismos, bodas y defunciones a ficheros automatizados utilizando programas proporcionados por los servicios administrativos de las propias diócesis. Como segundo botón, hace poco tuve que solicitar una partida de bautismo para una boda y me llevó exactamente cinco minutos con la fecha de bautismo y el nombre del entonces niño, lo que entiendo que indica que utilizando criterios de clasificación es factible encontrar los datos en un proceso rápido y limpio. Fijaos por ejemplo que en alguna resolución relacionada con videovigilancia se ha utilizado la posibilidad de búsqueda utilizando como criterio fecha y hora para considerar – aparte de otros aspectos – la existencia de fichero.
    Por otro lado, quizás estaba en el ánimo de la Agencia – Piñar, por aquel entonces – no abrir el melón de incluir los ficheros de la Iglesia en la LOPD por no crear más problemas, y con ese ánimo inventó el invento – valga la redundancia – de la anotación marginal. De esos polvos, estos lodos.
    De todas formas, yo no tengo muy clara la aplicabilidad de esta sentencia a otros escenarios, que se que muchos se están frotando las manos pensando en sus PS’s, no siempre las cosas son lo que parecen. Y, en todo caso, creo que el denunciante tiene la posibilidad de acudir al TC por vulneración de su derecho fundamental a la Protección de Datos, así que lo mismo vemos otro capítulo de esta historia.

    Un saludo.

    Responder
  6. ¿Alguien tiene el texto completo de la sentencia?…
    Mas que nada porque al margen de la aplicacion al caso concreto de la iglesia (que va a tener una incidencia mas simbolica que practica), realmente los criterios de interpretacion de qué es y que no es una base de datos de tipo personal va a suponer un autentico varapalo para toda la “jurisprudencia” actual de la AEPD… realmente me da la sensacion de que hemos pasado de un extremo al opuesto (del “todo es fichero de datos personales” al “nada es fichero de datos personales”) y es en este punto donde si que puede tener una importante relevancia esta sentencia.

    P.D: si los ficheros eclesiasticos no son ficheros de datos personales (cuando la iglesia ha sido la entidad que mas datos ha manejado de la historia, asi como la precursora de un buen numero de estudios sobre biblioteconomia y archivismo) repito, si una lista de nombres de personas, apellidos, nombres de padres y madres, asi como su filiacion religiosa no son datos personales… que baje Dios y lo vea….
    P.D2: será que los obispos utilizan las partidas de nacimientos y sus archivos para jugar a los cromos????

    Responder
  7. Con la Iglesia ( Catolica,Apostolica y Romana) hemos topado,sres.

    ¿Si no son “ficheros” los datos de la Iglesia ?¿Que narices son?

    y esa sentencia recae en un país demcratico y bajo un estado pretendidamente laico y aconfesional; Vivir para ver…

    Responder
  8. Me estan entrando ganas de enfrascarme personalmente en una batalla juridica ( evidentemente con el previo asesoramiento juridico) al respecto de MIS datos PERSONALES obrantes en poder de la Iglesia .

    Desde mo condicion de no jurista y como mero ciudadano de a pie lego en la materia ,la Sentencia a que se alude me huele a pasteleo,puro y duro…

    Responder
  9. Detrás de las empresas que se dedican a comercializar SMS Premium hay mucho dinero, muchos intereses y demasiados datos personales, una combinación perfecta para que resulte sencillo encontrar rendijas y agujeros legales por los que colar goles a los usuarios.
    Buen artículo, Samuel.

    Responder
  10. Esto se pone interesante: Protección de Datos estudia recurrir la sentencia del Supremo sobre las apostasías

    http://www.rtve.es/noticias/20081001/proteccion-datos-estudia-recurrir-sentencia-del-supremo-sobre-las-apostasias/168991.shtml

    En declaraciones a la prensa antes de comparecer en el Congreso de los Diputados, el director de la Agencia de Protección de Datos, Artemi Rallo, ha señalado que su institución está analizando el alcance jurídico de esta decisión del Supremo, porque tiene “efectos relevantes” para la protección de datos.

    La Agencia también está valorando “las posibilidades de impugnación (de la sentencia), debido a que pueden existir “dudas sobre su constitucionalidad”, pero aún no existe “ningún criterio confirmado”.

    Responder
  11. EFE MADRID 18.06.2008
    En lo que va de año, la Agencia Española de Protección de Datos (AEPD) ha recibido ya 529 peticiones de apostasía, más del doble de las 287 resoluciones aprobadas por este organismo el año pasado, según la Memoria de la AEPD de 2007.
    En la presentación de la Memoria, el director de la Agencia, Artemi Rallo, ha asegurado que estas cifras “permiten aventurar” un crecimiento exponencial del número de personas que quieren cancelar sus datos personales de los registros de la Iglesia

    Fuente: http://www.rtve.es/noticias/20080618/las-reclamaciones-apostasia-duplican-este-ano/93690.shtml

    Responder
  12. Francisco Javier Garcia Míercoles-( 1st Octubre, 2008 at 12:41 )- preguntaba : “¿Alguien tiene el texto completo de la sentencia?…”

    En la página http://www.apostasia.es/ se puede obtener más información y la Sentencia-completa- puede visualizarse y descargarse en :

    http://www.hoy.es/apoyos/documentos/apostasia-valencia.pdf

    No os niego que si desde que descubrí casualmente este blog no solo me accedí a él sino que lo accedo regularmente a leerlo y releerlo y a ver el avance de los comentarios o pots ( ¿ o se escribe “potsâ€? ) que vais remitiendo y que se van formulando al hilo de los interesante artículos y comentarios que Samuel va planteando y que para un lego como yo en materia jurídica son todo un placer al serlos perfectamente entendibles y comprensibles.

    Tampoco oculto que desde que ha saltado a la palestra pública la existencia de la Sentencia del Supremo sobre las apostasías y las diversas reacciones que desde variados sectores sociales-incluidos ámbitos de juristas -el interés por estas materias se me acrecienta y no oculto que espero interesadamente que – si tiene tiempo y ganas – Samuel cuelgue en el blog una detallada lectura jurídica de tal Sentencia en los términos didácticos que suele utilizar (que son de agradecer…) y de los que hace gala asiduamente haciendo “entendiblesâ€? para los “profanos y legos en Leyes – que somos la mayoría de los ciudadanos – lo que se va cociendo en materia de protección de datos . Es evidente que la sentencia de marras parece venir a poner cuanto menos que un poco de salsa en el ya de por si condimentado panorama jurídico español .

    Espero con impaciencia el que no dudo será agudo y acertado análisis de Samuel al respecto de la Sentencia que nos ocupa.

    Animo a todos aquellos ciudadanos que libremente lo decidan a que no se renuncie al ejercicio y derecho legítimo a apostatar si así lo habéis decidido libre y voluntariamente y a que no se amedrenten ante esta Sentencia y le metan el diente al sunto por derecho…

    Saludos

    Responder
  13. Saludos Juan. No creo que escriba nada sobre ese tema, por dos motivos: ya se ha hablado mucho sobre eso en los medios (aunque muy desafortunadamente), en principio no escribo de nada sobre lo que ya se “conozca”. Y en segundo lugar, ya hay un excelente artículo escrito por un colega, Miguel Angel Mata, que se puede leer aquí: http://www.miguelangelmata.com/2008/10/02/el-tribunal-supremo-da-la-razon-al-arzobispado-de-valencia/

    🙂 Gracias en cualquier caso por los agradables comentarios.

    Responder
  14. La clave está en la interpretación de “conjunto organizado”.
    Jejeje, una vez me tocó “barajar” los currículos que llegaban a la empresa (que alguien se había tomado la molestia de ordenar, para facilitar la búsqueda de posibles candidatos) el día antes de una auditoría… 🙂

    Responder
  15. Gracias, Samuel, por la información que ofertada sobre la Web de �ngel Matas ( muy , muy, interesante).Gracias.

    En otro orden de cosas planteo unas consultas :

    Días atrás he recibido sendos sms con los siguientes textos (transcribo los textos literalmente , con falta de ortografía incluidas ,tal cual me los enviaron ) :

    – Acabo de llegar de Ucrania, estoy sola. Busco nuevas relaciones en Espana, un video muy sexy , estas preparado? Envía LUNA al 7180(+18, no sms BAJA ) Innova.

    -Una persona que te conoce te ha DEJADO UN MENSAJE .para recogerlo envía AL 7701.Mensajesanonimos.com(solo mayores 18.no mas sms envie baja publidragon)
    Los números de teléfono desde los que me mandan esos dos sms empiezan uno por + 140 y el otro por + 201

    ¿Que me aconsejas ?.

    Saludos

    Responder
  16. Casualmente mientras estaba escribiendo el anterior comentario me entra otro sms que dice:

    BANDEJA DE ENTRADA SMS:

    Tienes un sms pendiente de lectura. Para leerlo enviar LEER al 7448.Gracias (+

    18, baja al 1448)Innova

    ……………

    …Evidentemente, Samuel, yo no me he suscrito a nada de nada y desconozco como han conseguido mi número de teléfono portátil (” móvil “):¿Son denunciables estas prácticas..? ¿Qué me aconsejas ?…

    Gracias

    Cordiales saludos.

    Responder
  17. hola tengo un problema ace un mes mi hija se descargo una cancion por internec que decian que era grtis la descarga si era grtis pero no decia que recibiria mensajes corto a 030 como ella esta en el colejio no se daba cuenta que etaba recibiendo todos estos mensajes .yo me di cuenta cuando me vino a factura de 103 euros y este mes 47euros vamos ue me an estafado bien por favor alguien me puede decir como denunciar este fraude por que la oficina del consumidor no me da mucha solucion si alguien save como aserlo por favor mandarme un correo a

    villasur@hotmail.es

    por que estos si que son stafadores no le dan berguensa timar de esa manera

    Responder
  18. jose ma dijo:

    hola tengo un problema ace un mes mi hija se descargo una cancion por internec que decian que era grtis la descarga si era grtis pero no decia que recibiria mensajes corto a 030 como ella esta en el colejio no se daba cuenta que etaba recibiendo todos estos mensajes .yo me di cuenta cuando me vino a factura de 103 euros y este mes 47euros vamos ue me an estafado bien por favor alguien me puede decir como denunciar este fraude por que la oficina del consumidor no me da mucha solucion si alguien save como aserlo por favor mandarme un correo a
    villasur@hotmail.es
    por que estos si que son stafadores no le dan berguensa timar de esa manera

    Prueba a denunciarlo a la AEPD, pero seguramente en la letra pequeña avisaría que es un servicio de suscripción.

    Responder
  19. Osea, que la SuperPop es un documento oficial casi como el BOE o similares no? que poca verguenza y que asco de leyes. Un saludo.

    cito:

    Pues bien, la AEPD, para determinar si en mi caso fui informado de lo que la Ley exige (procedimiento gratuito para darme de baja en el momento de recoger mis datos y en cada comunicación), se basa en la información que aparece en ese ejemplar de la revista, NO en la campaña de publicidad por la que fui captado para descargar el villancico en su momento.

    Responder
  20. Sr Don Pin Pon dijo:

    ¿Por que nunca has hablado del spam del 1485???

    No conozco ese spam, pero de todas formas spams como este hay muchos, muy similares todos… no creo que fuese productivo hablar de todos ellos…

    Responder
  21. Hola, para daros de baja de MOVILISTO, hay que enviarles un correo electrónico solicitando la baja junto al número asociado a clientes(punto)es(arroba)buongiorno(punto)com

    Responder

Deja un comentario