Lo cierto es que el envío de comunicaciones comerciales a través de mensajes cortos o SMS se encuentra perfectamente regulado en nuestro ordenamiento jurídico, y muchas personas han planteado serias dudas al respecto de la legalidad del envío de comunicaciones masivas como han sido las realizadas para promover esta campaña. Por todo ello, en este post pasaremos a estudiar las diversas cuestiones planteadas cuando nos encontramos ante un presunto caso de spam mediante SMS en nuestros móviles.

Si queremos poder analizar correctamente la legalidad de la campaña, debemos primero acceder al mensaje recibido en nuestros teléfonos móviles, que es el siguiente:

RICO informa: tu xxxx puede estar premiado! Soloresponde SI al 25354 y puedes ser FINALISTA de 200.000E HOY en Antena3! (1,42Eur.xsms.N.AtnClte:902103347)

Para facilitar la resolución de dudas tanto de forma rápida, como realizando un análisis legal más profundo, el contenido de este post ser hará respondiendo los aspectos básicos de la pregunta para a continuación realizar el análisis legal con remisión a los preceptos legales que les resulte de aplicación para aquellos que quieran ahondar más en la cuestión. Aunque analizaremos el caso particular de los mensajes de "Rico al Instante", los preceptos legales utilizados resultarían de aplicación a todo envío no solicitado de SMS a nuestros teléfonos móviles

Podéis acceder a las preguntas a través de los enlaces puestos a continuación

¿Qué normativa resulta de aplicación?

¿Cuál es el órgano competente para sancionar¿Ante quién debo denunciar?

¿Pueden enviar este tipo de comunicaciones?

¿Qué información deberían incluir en su mensaje?

¿Se regulan las abreviaturas que pueden usar en los SMS o pueden utilizar las que quieran?

¿Entonces podrán siempre enviarme mensajes de este tipo si alguna vez me he bajado un politono?¿Puedo hacer algo al respecto?

¿Pueden cobrar 1,42€ por mensaje?

¿Qué normativa resulta de aplicación?

En el caso que analizamos parecen darse dos infracciones diferenciadas a destacar, y que determinarán la normativa que aplicaremos:

1. El envío de comunicaciones comerciales sin consentimiento
2. Irregularidades en la información existente en el propio mensaje

A las comunicaciones comerciales mediante SMS les resultará de aplicación la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (de aquí en adelante LSSICE). Además, y al encontrarnos con SMS de tarificación adicional, deberemos tener en cuenta la Resolución de 8 de julio de 2009, de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, por la que se publica el código de conducta para la prestación de los servicios de tarificación adicional basados en el envío de mensajes.

La LSSICE  dice en su Art. 1

Es objeto de la presente Ley la regulación del régimen jurídico de los servicios de la sociedad de la información y de (…) las comunicaciones comerciales por vía electrónica

A esta materia dedica la LSSICE su Título III, introducido por su Art. 19

Las comunicaciones comerciales y las ofertas promocionales se regirán, además de por la presente Ley, por su normativa propia y la vigente en materia comercial y de publicidad

Por lo que se refiere al objeto del código de conducta, el artículo 1 nos indica que éste será de aplicación

los operadores que prestan servicios de almacenamiento y reenvío de mensajes sujetos a tarificación adicional, a los operadores de red que provean el acceso a los servicios de mensajes al usuario y al operador responsable de su facturación,

¿Cuál es el órgano competente para sancionar? ¿Ante quién debo denunciar?

Las infracciones cometidas por infracción de la LSSICE corresponderá a la Agencia de Protección de Datos, de acuerdo con su Art. 43.2 

corresponderá a la Agencia de Protección de Datos la imposición de sanciones por la comisión de las infracciones tipificadas en los artículos 38.3 c, d e i y 38.4 d, g y h de esta Ley

Por lo que corresponde a las infracciones del Código de conducta, el órgano competente será la Comisión de Supervisión de los Servicios de Tarificación Adicional, tal y como nos dice el Art. 7.1 del Código de Conducta

Cualquier persona física o jurídica, pública o privada podrá denunciar los incumplimientos de este Código de Conducta ante la Comisión de Supervisión de los Servicios de Tarificación Adicional (CSSTA)

¿Pueden enviar este tipo de comunicaciones?

No, salvo que hayamos tenido una relación previa con la empresa responsable, y siempre que se trate de servicios similares. En caso contrario, constituye una infracción grave que podrá ser sancionada por la Agencia de Protección de Datos.

La Directiva 2000/31/CE del Parlamento Europeo y del Consejo de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior facultó a los Estados miembros para decidir dentro de un marco básico (fijado para garantizar en último término la protección de los derechos de los usuarios de Internet) el sistema para la realización de comunicaciones comerciales. Los sistemas posibles eran dos

- Opt in: Consiste en la prohibición expresa de cualquier tipo de comunicación comercial sin que medie de antemano el consentimiento del destinatario

- Opt out: Consiste en la autorización a priori de toda clase de comunicaciones comerciales, pero con la creación al mismo tiempo de listas de exclusión en las que puedan inscribirse los usuarios que deseen recibir dicha clase de comunicaciones comerciales.

El grupo de Trabajo constituido al amparo del artículo 29 de la Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (de aquí en adelante GT29) en su Dictamen 7/2000 sobre la propuesta de la Comisión Europea de Directiva del Parlamento Europeo y del Consejo relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas de 12 de julio de 2000, adoptado el 2 de noviembre de 2000, señala claramente las ventajas de la opción por el sistema opt-in

Las cláusulas de autorización previa suponen una solución equilibrada y eficaz para eliminar los obstáculos que se oponen a la provisión de comunicaciones comerciales con una protección paralela del derecho fundamental de intimidad de los consumidores 

Yendo más allá, este Dictamen incluye los beneficios de prácticas de "opt-in" doble por parte de algunas empresas con tal de garantizar de manera plena y efectiva los derechos de los individuos que se supone han optado por la recepción de estas comunicaciones comerciales

aunque el individuo haya accedido a recibir comunicaciones comerciales (por ejemplo, manifestando su acuerdo a tal efecto en una página web), en el primer mensaje electrónico de contacto (solicitado) se le vuelve a pedir que confirme sus deseos a la empresa

Con la Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, se armonizaron las regulaciones respecto a las comunicaciones no solicitadas. Así en su Artículo 13 esta Directiva establece que

Sólo se podrá autorizar la utilización de sistemas de llamada automática sin intervención humana (aparatos de llamada automática), fax o correo electrónico con fines de venta directa respecto de aquellos abonados que hayan dado su consentimiento previo

El Art. 21 de la redacción actual de la LSSICE incluye asimismo esta necesidad de contar con el consentimiento del interesado

Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

La cuestión ahora estriba en si podemos considerar en sentido legal que los SMS constituyen efectivamente un medio de comunicación electrónica equivalente al correo electrónico. La respuesta la encontramos en la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, que en su artículo 2.h), define el correo electrónico como 

Todo mensaje de texto, voz, sonido o imagen a través de una red de comunicaciones publica que pueda almacenarse en la red o en el equipo terminal del receptor hasta que éste acceda al mismo.

El GT29 también analizó qué características debían darse para entender que nos encontramos ante un correo electrónico. En su Dictamen 5/2004 sobre comunicaciones no solicitadas con fines de venta directa con arreglo al artículo 13 de la Directiva 2002/58/CE este órgano llegó a la conclusión de que el concepto de correo electrónico “comprende cualquier mensaje realizado mediante comunicación electrónica que no requiera la participación simultánea del emisor y del destinatario”. En particular

los servicios abarcados actualmente por la definición de correo electrónico incluyen: el correo basado en el protocolo SMTP (Simple Mail Transport Protocol), es decir, el “correo electrónico” clásico; el servicio de mensajes cortos SMS (el considerando 40 de la Directiva 2002/58/CE clarifica que el correo electrónico incluye los SMS); los servicios de mensajes multimedia MMS

De acuerdo con esta conclusión, a los SMS les resultaría de aplicación las limitaciones al envío de comunicaciones comerciales del Art. 21 LSSICE. Una vez aceptado este hecho podemos observar que el Art. 21.2 LSSICE nos dice que

Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

El Dictamen 5/2004 del GT29 realiza una serie de indicaciones al respecto de esta limitación y, en particular, entiende que la interpretación de este tipo de limitaciones debe ser de tipo restrictivo. En virtud de esta interpretación restrictiva

1. Únicamente puede enviar mensajes de correo electrónico la misma persona física o jurídica que ha obtenido los datos (a estaos efectos la filial y la empresa matriz no son la misma empresa)
2. Resulta importante prestar atención al período de tiempo durante el cual podrá considerarse razonablemente válido el consentimiento. 
3. La similitud de los servicios debe ser interpretada desde la perspectiva objetiva (expectativas razonables) del destinatario, y no de la del remitente

En caso de no cumplirse la excepción del Art. 21, y dado que nos encontramos con un envío masivo de comunicaciones comerciales,  nos encontraremos ante una infracción grave del Art. 38.3.c de la LSSICE

El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.

¿Qué información deberían incluir en su mensaje?

Deberá incluir la persona en nombre de la cual se realiza la comunicación comercial, hecho que no se cumple en el caso de los SMS de "Rico al instante", lo que supone una infracción del Código de Conducta  que podrá denunciarse ante la Comisión de Supervisión de los Servicios de Tarificación Adicional.Además, deberá identificarse de forma clara la comunicación como publicidad (incluyendo publi al principio del mensaje). En caso de no cumplir con ello, se produciría una infracción leve, cuya denuncia deberá presentarse ante la Agencia Española de Protección de Datos. 

La información a incluir en las comunicaciones comerciales será como mínimo la establecida en el Art. 20 LSSICE

Las comunicaciones comerciales realizadas por vía electrónica deberán ser claramente identificables como tales y la persona física o jurídica en nombre de la cual se realizan también deberá ser claramente identificable.

La obligación de identificar a la persona física o jurídica en nombre de la cual se realiza la comunicación comercial requiere, de acuerdo con el Art. 5.1.2 del Código de Conducta

El operador titular del número deberá ser siempre fácilmente identificable por los usuarios, de tal forma que éste pueda ponerse en contacto con él sin dificultades. Dicho operador se identificará informando expresamente en la publicidad de, al menos, los siguientes datos: titular (nombre y apellidos completos o denominación social), número de teléfono del servicio de atención al cliente y una dirección postal y electrónica. El operador titular del número deberá asimismo incluir en su página de inicio de Internet, su dirección postal.

La única mención en el mensaje es la de la persona jurídica Antena 3. Aunque podamos entender que el envío de la comunicación comercial se ha realizado en nombre de Antena 3, la identificación no resulta conforme al apartado mencionado, dado que solo contaríamos con la denominación social y el número de atención al cliente (no tenemos ni dirección postal ni electrónica a la que dirigirnos).

Por lo que respecta al contenido del mensaje, y dado que nos encontramos con una comunicación realizada a través de un medio de comunicación electrónica equivalente al correo electrónico (tal y como hemos visto anteriormente) le resulta de aplicación la segunda parte del Art. 20.1 de la LSSICE

En el caso en el que tengan lugar a través de correo electrónico u otro medio de comunicación electrónica equivalente incluirán al comienzo del mensaje la palabra publicidad o la abreviatura publi.

En los mensajes de "Rico al instante" los mensajes comienzan con la palabra "RICO". Sin entrar en argumentaciones a favor de la facilidad de que los destinatarios entiendan que el mensaje constituye publicidad, desde el punto de vista estrictamente legal se ha incumplido la obligación de incluir la identificación como comunicación comercial.

Las infracciones cometida al vulnerar las obligaciones del Art. 20 serían de tipo leve, de acuerdo con el Art. 38.4.c de la LSSICE

Son infracciones leves: El incumplimiento de lo previsto en el artículo 20 para las comunicaciones comerciales, ofertas promocionales y concursos

¿Se regulan las abreviaturas que pueden usar en los SMS o pueden utilizar las que quieran?

Sí, el código de conducta contempla la posibilidad de que se utilicen abreviaturas en las comunicaciones comerciales dado el espacio limitado disponible en un SMS. Estas abreviaturas se encuentran reguladas en el código de conducta dado que la utilización fraudulenta de abreviaturas puede suponer que el destinatario desconozca parte del contenido real del mensaje, con la inseguridad jurídica que puede suponer.

En los mensajes de "Rico al Instante" se utilizan abreviaturas que no cumplen con los requisitos del Código de Conducta, constituyendo por tanto una infracción que podrá ser castigada por la Comisión de Supervisión de los Servicios de Tarificación Adicional

El Art. 5.3.5 del Código de conducta 

la utilización de abreviaturas en la publicidad de los servicios se podrá realizar siempre que sean las comúnmente aceptadas, y se exprese de forma clara y precisa el contenido de la información mínima requerida por el presente Código para cada tipo de servicio. Cada palabra o vocablo abreviado contará al menos con tres signos alfanuméricos excluido el punto ortográfico indicativo de la abreviatura. La omisión de estas especificaciones representará un incumplimiento del Código de Conducta.

Este marco general, que fija una serie de condiciones para cualquier abreviatura que resulte necesario utilizar (que sean las comúnmente aceptadas, claras y precisas) tienen un límite en una serie de casos en los que el uso de unas determinadas abreviaturas viene impuesto por el propio Código

Caso de utilizarse los términos o abreviaturas que a continuación se detallan, las mismas habrán de expresarse, preceptivamente, en los siguientes términos:

Recomendación de la edad: Adultos o + 18 años.

Indicación del precio euros: € o Eur.

Identificación del número de Atención al Cliente: n.º atn clte.

Apartado de correos: Apdo.

Publicidad: Publi.

Por lo que  respecta al caso de los mensajes de "Rico al Instante", las abreviaturas que deben usarse de forma preceptiva han sido respetadas. Así, podemos ver cómo se ha usado la abreviatura Eur o N.AtnClte. El problema aparece con la expresión "xsms".

En "xsms" entendemos que quiere hacerse referencia a la expresión "por sms", formada por dos vocablos. La expresión puede interpretarse que es la comúnmente aceptada dentro de los usos ordinarios del sms (sujeto a interpretaciones en contrario) pero se incumple una de las obligaciones fijadas: Cada palabra o vocablo abreviado contará al menos con tres signos alfanuméricos excluido el punto ortográfico. De esta forma, el primer vocablo que se ha reducido hasta la letra "x" no cumple con el requisito y, por tanto, se ha producido una infracción del Código de Conducta. 

¿Entonces podrán siempre enviarme mensajes de este tipo si alguna vez me he bajado un politono?¿Puedo hacer algo al respecto?

No. Entender que la excepción de haber mantenido una relación contractual previa resultará de aplicación sin ningún tipo de plazo de vencimiento va en contra de los derechos del destinatario. Además, el mensaje de "Rico al instante" infringe de nuevo la LSSICE al no indicar la forma en la cual oponerse al tratamiento del número de teléfono para estos fines. Estos hechos suponen una infracción grave de la LSSICE, con lo cual corresponderá su tramitación a la Agencia Española de Protección de Datos.

Al respecto del plazo durante el cual podrán enviarnos comunicaciones en base a una relación contractual anterior, en el apartado anterior hemos mencionado el Dictamen 5/2004 del GT29, que llegó a la siguiente conclusión 

En este contexto, es necesario prestar la debida atención al periodo de tiempo durante el cual podrá considerarse razonablemente válido el consentimiento y, por consiguiente, podrán enviarse mensajes de correo electrónico

Por lo tanto, no podemos entender que el consentimiento prestado con anterioridad pueda producir efectos ad eternum, sin perjuicio además de que podamos oponernos en cualquier momento a dicho tratamiento.

Por lo que respecta a posibles actuaciones con vistas a oponerse al tratamiento, el Art. 21.2 LSSICE nos dice claramente que

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija

El mensaje solo incluye datos respecto a la posibilidad de participar en una promoción, pero no consta nada al respecto de cómo debemos darnos de baja en la lista de envío. A este respecto, debemos tener en cuenta que responder al mensaje no supone directamente el alta en la lista de suscripción, dado que se nos realizan una serie de preguntas antes de solicitarnos el envío del ALTA en sí.

El código de conducta es claro al respecto en su art. 6.3.4.3

Particularmente los titulares de números proporcionarán gratuitamente al usuario mediante uno o más mensajes anteriores al suministro de la prestación solicitada (mensaje de inicio), la siguiente información:

La naturaleza del servicio a proporcionar, indicándose en todo caso la forma de darse de baja

El procedimiento para dar de baja constituye una obligación para los prestadores de servicios de suscripción, tal y como nos dice el Art. 6.3.4.2 del Código de Conducta, que además fija un procedimiento sencillo para facilitar a los destinatarios la baja de esta lista de suscripción.

Los operadores titulares de números que ofrezcan servicios de suscripción, adoptarán los siguientes procedimientos armonizados para las altas y bajas de sus abonados.

(…) BAJA "evento", sustituyendo "evento" por su palabra clave.

En atención a esta información, y si por error nos hemos dado de alta en un servicio de suscripción, podemos saber que enviando BAJA más la palabra clave (que hemos usado también para el alta) el operador titular debería darnos de baja. Además, de acuerdo con el Art. 6.3.4.1 del Código de Conducta, la tramitación de esta baja tiene otras consecuencias

Asimismo, estará prohibido el envío y facturación de mensajes a los usuarios que hayan cursado la solicitud de baja conforme al mismo apartado.

¿Pueden cobrar 1,42€ por mensaje?

Sí, aunque nos pueda parecer excesivo, el importe que cobran en el caso de "Rico al Instante" está dentro de los intervalos permitidos.

Para saber los importes que pueden cobrarse legalmente por el envío de un SMS de tarificación adicional, debemos tener en cuenta el número al que se envía (en nuestro caso el 25354). De acuerdo con la Resolución de 8 de julio de 2009, de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, por la que se publica el código de conducta para la prestación de los servicios de tarificación adicional basados en el envío de mensajes en su Art. 6.2.1.1

El código 2 estará destinado a prestar servicios de precio inferior a 1,2 €.

El número 25354 relativo a los mensajes enviados al programa "Rico al instante" se adapta plenamente al formato 2 5YAB (donde Y,A y B son cifras entre 0 y 9) del Anexo I, con lo cual el precio superior que puede cobrarse por este servicio es de 1,2€. . El art. 6.3.4.3 dice

Precio total del servicio, incluyendo impuestos

Así, el importe de 1,42€ incluye los impuestos (IVA del 18%) que corresponde al importe de 1,2€ (a este respecto cabe observar que el importe a satisfacer es precisamente el límite superior del intervalo).

El importe de los SMS puede llegar a ser incluso superior, tal y como viene indicado por el Art. 6.2.1.4

El código 99 estará destinado a prestar servicios de para adultos de precio inferior a 6 €.

Es por ello que resulta importante tener en cuenta la posibilidad de que la tarificación de determinados SMS sea superior al normal, así como el hecho de que no todo SMS de tarificación especial cuesta lo mismo.

1.- Declarar la nulidad de pleno derecho del Real Decreto 1720/2007, nulidad que resulta de lo dispuesto en los artículo 23.2 de la Ley 50/1997 y 62.2 de la Ley 30/1992, dada la infracción de los preceptos legales y constitucionales mencionados en el cuerpo de este escrito, en particular la infracción grave y generalizada del procedimiento de elaboración de Reglamentos previsto en el artículo 24 de la Ley 50/1997.

2.- Subsidiariamente, declarar la nulidad de pleno derecho de los artículos .5.1 q), 49, 47, 12.1 2º, 8.5, 18, 20.1, 10.2 a) y b), 45.1 b), 46.2, 46.3, 46.4, 13.4, 42, Artículo 38, apartado 1a) (la frase "y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero"), y apartado 1 b), 38.2 y 38.3 RLOPD, así como los artículos 41,15 y 83 de la LOPD

3. -El planteamiento de 3 cuestiones prejudiciales ante el Tribunal de Justicia de las Comunidades Europeas.

A) El inciso "cumplimiento o"; en la rúbrica de la Sección 2ª del Capítulo I del Título IV.

B) El inciso; cumplimiento o; en el artículo 39.

C) El inciso "o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.

D) El artículo 41.1, párrafo segundo.

E) El inciso "por escrito" del párrafo primero del art. 42.2 y todo el párrafo segundo del art. 42.2."

La nulidad del artículo 5.1.q) inciso "aunque no lo realizase materialmente". artículo 8.5 3º, 10.2.a) 1º, 10.2.b) 1º, 11, 12.2, 13.4, 18.1, 18.2, 21.2 a), 23.2 c), 24.3 1º y 2º, Enunciado de la Sección 2ª, del Capítulo I del Título IV, en cuanto se refiere también al "cumplimiento" de obligaciones dinerarias, 38 en sus apartados 1.a) (en el inciso "y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero") y b) (en el inciso "o del plazo concreto si aquélla fuera de vencimiento periódico"), 2 y 3, 39. en el inciso "en el momento en que se celebre el contrato", 40.2, 41.1, 41.2,en el inciso "o del plazo concreto si aquélla fuera de vencimiento periódico", 42.2 inciso "por escrito" del párrafo primero y todo el párrafo segundo, 44.3 1º en el inciso "en el plazo de siete días", 45.1 b) en el inciso "habiéndose informado a los interesados sobre los sectores específicos y concretos de actividad respecto de los que podrá recibir información o publicidad", 46.2 b) y c), 46.3, 47, 49.2, 49.4, 69.1 b) inciso "o no van a adoptar en el futuro", 70.3 c) inciso "o no serán respetadas", o inciso "o no serán" y 70.3 d), 123.2 inciso "o a funcionarios que no presten sus funciones en la Agencia."

[Texto anulado] Artículo 11. Verificación de datos en solicitudes formuladas a las Administraciones públicas.

Cuando se formulen solicitudes por medios electrónicos en las que el interesado declare datos personales que obren en poder de las Administraciones públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la autenticidad de los datos.

[Texto anulado] Artículo 18. Acreditación del cumplimiento del deber de información.

1. El deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.

2. El responsable del fichero o tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.

[Texto modificado, versión final] Artículo 38. Requisitos para la inclusión de los datos.

1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a. Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada.

[Texto eliminado] Artículo 38.1.a “y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.

[Texto anulado] Artículo 38.Requisitos para la inclusión de los datos.

2. No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores.

“Sin duda juega un papel relevante en el ámbito cautelar, pero ha de reconocerse que la redacción de la norma al no concretar qué principio de prueba exige (documental, pericial, testifical, etc.), junto a la dificultad de apreciación del grado exigible de la prueba indiciaria, origina en efecto una inseguridad jurídica que debe corregirse.”

[Texto anulado] Artículo 123. Personal competente para la realización de las actuaciones previas.

2. En supuestos excepcionales, el Director de la Agencia Española de Protección de Datos podrá designar para la realización de actuaciones específicas a funcionarios de la propia Agencia no habilitados con carácter general para el ejercicio de funciones inspectoras o a funcionarios que no presten sus funciones en la Agencia, siempre que reúnan las condiciones de idoneidad y especialización necesarias para la realización de tales actuaciones. En estos casos, la autorización indicará expresamente la identificación del funcionario y las concretas actuaciones previas de inspección a realizar.

Un caso más de aparición en este tipo de redes de documentos o bases de datos con información personal, confidencial o privada. Sin embargo en esta ocasión considero el asunto de especial gravedad, pues la información de los ficheros hace referencia a los datos personales de niños en fase de adopción o adoptados y sus adoptantes.

En concreto se trataba de 2 bases de datos de Microsoft Access, cuyos nombre de fichero eran “ecai-cmancha.mdb” y “ecai-madrid.mdb” (no os molestéis en buscarlos porque ya han sido eliminados).

¿Cómo se produjo la fuga de datos?

Parece que no fue la clásica torpeza becerril de instalar el eMule en el servidor de la Asociación y compartir C:\, sino que por el relato de los hechos se desprende que la esposa del programador de la base de datos se copió en un pen-drive dicha base de datos, sin autorización de la Asociación, la volvió a copiar a su ordenador de casa y la estuvo compartiendo en el eMule. Pudo copiarla sin problemas porque era trabajadora de la Asociación, pero después de descubrir el asunto fue despedida.

La Ley Orgánica de Protección de Datos es plenamente aplicable en este supuesto. El artículo 9 de la LOPD establece el “principio de seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquella, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.

Sintetizando las previsiones legales puede afirmarse que:

a) Las operaciones y procedimientos técnicos automatizados o no, que permitan el acceso –la conservación o consulta- de datos personales, es un tratamiento sometido a las exigencias de la LOPD.
b) Los ficheros que contengan un conjunto organizado de datos de carácter personal así como el acceso a los mismos, cualquiera que sea la forma o modalidad en que se produzca, están, también, sujetos a la LOPD.
c) La LOPD impone al responsable del fichero la adopción de medidas de seguridad, cuyo detalle se refiere a normas reglamentarias, que eviten accesos no autorizados.
d) El mantenimiento de ficheros carentes de medidas de seguridad que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de éstos, constituye una infracción tipificada como grave.
En este caso la Asociación vulneró este principio de seguridad de los datos al permitir el acceso de terceros no autorizados a información personal.

La Agencia Española de Protección de Datos sancionó finalmente con 6000 euros a dicha Asociación, sanción que a mi juicio se muestra insuficiente dada la naturaleza de los datos difundidos.

Otro asunto que levanta mi curiosidad desde hace algún tiempo es el procedimiento seguido por la Agencia para averiguar el titular de la línea telefónica desde la que se estaba compartiendo el fichero. Recordemos que no era la Asociación quien compartía el fichero sino una ex-trabajadora desde su casa; la Agencia descubre este extremo al inicio de las actuaciones cuando Telefónica le remite el nombre, apellidos y dirección del titular de la línea que a la fecha y hora indicada estaba haciendo uso de la dirección IP que compartía el fichero.

¿Fue esta prueba obtenida de forma lícita? ¿Puede la Agencia, directamente y sin autorización judicial, requerir dicha información a los ISP? Recordemos que la Ley 25/2007 de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones obliga con carácter general a solicitar autorización judicial para conseguir precisamente, y entre otra, la información relativa al titular de una dirección IP en un momento determinado.
Para ampliar esta información recomiendo dos geniales artículos de David Maeztu: El rastreo de usuarios en internet por la policia. Sentencia del TS 236/2008 y La viga propia o los métodos de la Agencia de Protección de Datos.

La Resolución sancionadora es de fecha 2 de abril de 2009.

Fuente: http://www.samuelparra.com