La Agencia Española de Protección de Datos lanza un nuevo aviso

Anuncio
Tecnologías de la Información
Madrid, junio de 2016
La Agencia Española de Protección de Datos lanza un nuevo aviso
para redes sociales y apps
La Agencia Española de Protección de Datos (“AEPD”) ha sancionado con una multa de 10.000 € a la entidad propietaria de una
aplicación por envío de comunicaciones comerciales no autorizadas. La noticia no tendría mayor relevancia si no fuera por el hecho de
que la app en cuestión, que permite a los usuarios localizar opciones de ocio y entretenimiento en las ciudades que seleccionen,
disponía de la ya habitual opción “enviar a un amigo”.
En concreto, permitía que los usuarios registrados invitaran a sus contactos a descargarse la aplicación y comenzar a utilizarla a través
de un correo electrónico del tipo: “Fulanito te ha regalado 5 € de crédito y quiere que utilices la app X. Consigue tu ticket gratis
introduciendo el código YYYY.” Fue uno de los receptores de estos correos electrónicos quien presentó la denuncia ante la AEPD.
La principal defensa de la entidad sancionada, de acuerdo al resumen de las alegaciones presentadas que se incluye en la resolución, se
basa en el hecho de que se trata de una invitación enviada por un tercero (alguien que tiene entre sus contactos al receptor del e-mail),
no de una comunicación comercial remitida por la propia empresa. La empresa no almacena datos personales de los receptores, como
verificó la AEPD en la inspección realizada. Tampoco decide cuántas veces o a quién se remiten los e-mails.
A pesar de que este argumento está bien construido y resulta sólido, la AEPD impone, como se ha indicado, una multa de 10.000 €
(cantidad que, por cierto, resulta ligeramente superior a las que nos tiene acostumbrados en este tipo de procedimientos). Su
razonamiento para ello es, en síntesis, el siguiente:
1º. Los correos electrónicos con la invitación constituyen una comunicación comercial, que encaja en la definición recogida en el
Anexo f), párrafo primero de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico
(“LSSICE”). No resulta de aplicación a este supuesto la excepción contenida en el citado precepto, que determina que no tendrán la
consideración de comunicaciones comerciales las relativas a bienes, servicios o a la imagen de una entidad cuando sean elaboradas por
un tercero y sin contraprestación económica.
2º. Es la entidad sancionada la única responsable del envío de las comunicaciones desde el momento en que se producen las siguientes
circunstancias:
-
-
-
La empresa responsable de la app determina el mecanismo a través del cual una persona va a ser invitada a registrarse y el
texto que va a recibir con la comunicación. Es decir, decide que dicha comunicación se remita a través de e-mail (no a través
de SMS u otro tipo de mensaje) y con un contenido concreto que el usuario no puede modificar.
Todos los detalles técnicos de la operativa, incluyendo la gestión de los envíos a través de una herramienta de email
concreta, contratada por la entidad sancionada, han sido decididos por ésta última, incluyendo el hecho de que sea el usuario
registrado quien seleccione a sus amigos entre su agenda de contactos.
Además, incentiva el uso de la opción a través de cupones y descuentos, dirigidos tanto al usuario ya registrado como al que
recibe el e-mail.
En definitiva, la opción “enviar a un amigo” es un mecanismo diseñado por la empresa responsable de la app para enviar
comunicaciones comerciales por medios electrónicos en su beneficio, y debió mostrarse más diligente a la hora de implementar la
misma. En este sentido, la AEPD parece apuntar al concepto de “Privacy by Design” al indicar lo siguiente:
“En este orden de ideas, esta Agencia considera que a XXX le era exigible otra conducta diferente de la que observó. Se
entiende que hay responsabilidad en la comisión de la infracción imputada por parte de esa empresa a título de culpa, ya que
en el procedimiento no consta que en su condición de prestador del mencionado Servicio de la sociedad de la información
hubiera adoptado, con anterioridad al diseño, habilitación y puesta en marcha de la operativa de la Aplicación XXX de su
titularidad, la diligencia y el deber de cuidado que le eran exigibles para asegurarse de la naturaleza exacta de los correos
electrónicos que se dirigían a los contactos de los usuarios registrados que utilizaban la funcionalidad L.L.L. integrada en la
mencionada aplicación, ello a los efectos de condicionar su remisión al cumplimiento de los requisitos establecidos por la LSSI
para la remisión de comunicaciones comerciales por vía electrónica.”
A la vista del planteamiento de esta resolución, las empresas que han lanzado apps al mercado con opciones similares a la descrita
deberían plantearse reconfigurar dichos mecanismos. En este sentido, no parece que queden muchas alternativas 100% seguras, salvo
recomendar al usuario que envíe él mismo un correo electrónico, utilizando sus propios medios y con un texto redactado por él.
La resolución que comentamos resulta interesante, además, en relación a otros aspectos que trata de manera accesoria a la discusión
principal:
1.
Se analiza la relación entre una entidad ubicada en Estados Unidos, la propietaria de la app y responsable última del servicio, y
una sociedad española, participada por la primera compañía, que se limita a realizar tareas de soporte técnico, pero que es la
referencia en nuestro país para los usuarios de la aplicación. La sociedad norteamericana, por cierto, no pone en duda ni la
aplicación de la normativa española ni la competencia de la AEPD. La sociedad española, como mero prestador de servicios, queda
finalmente exonerada de culpa.
2.
La AEPD aclara, como ya ha hecho en otras resoluciones, que la posibilidad de apercibir a una entidad en lugar de abrir
procedimiento sancionador no se aplica de forma automática:
“(…) La previsión (…) de sustituir la incoación de un procedimiento sancionador por la figura del apercibimiento al infractor es
potestativa del órgano sancionador, correspondiendo su ponderación a dicho órgano atendida la naturaleza de los hechos y la
concurrencia significativa de los criterios establecidos en el apartado 1 del mismo precepto, siempre y cuando también se
cumplan los presupuestos a) y b) citados en el propio precepto. Es decir, la aplicación del artículo 39 bis 2 de la LSSI resulta
excepcional, correspondiendo al órgano sancionador ponderar la concurrencia de los requisitos fijados en el mismo así como su
aplicación”.
En este caso, la AEPD a la hora de tomar la decisión tiene en cuenta, entre otras cuestiones, que el denunciante se puso en contacto
con la empresa sancionada en al menos dos ocasiones solicitando no recibir más comunicaciones comerciales, hasta que ésta decidió
atender su petición. En su defensa, la entidad responsable de la app señaló que no disponía de ninguna lista de receptores de
invitaciones, ni podía impedir que un usuario utilizara según su conveniencia la opción “enviar a un amigo”. La Agencia considera que
esto supone falta de diligencia en el diseño de la aplicación.
El texto completo de la resolución, puede consultarse en este link.
La resolución analizada se suma a la emitida el año pasado en relación a otra conducta también muy extendida: el envío de
comunicaciones comerciales no autorizadas a través de la aplicación Whatsapp. Las empresas han comenzado a abrir cuentas
corporativas en esta aplicación para atender pedidos, reclamaciones y quejas, y en general, para comunicarse con sus clientes. La
gratuidad y facilidad de uso de la app, que por otra parte se encuentra muy extendida, hace que cada vez con mayor frecuencia se
sustituyan los SMS por mensajes de Whatsapp.
La AEPD impuso en 2015 la primera sanción por realizar actividades promocionales en este medio incumpliendo la LSSICE. En este
caso, el denunciante presentó pruebas de haber recibido mensajes publicitarios de una discoteca (en su mayoría vídeos), a través de la
aplicación Whatsapp, de hasta seis números de teléfono distintos, que no ofrecían un mecanismo que permitiera manifestar la
oposición a recibir nuevas comunicaciones.
La multa impuesta en su momento a la entidad que remitía publicidad (600 €) resulta casi simbólica, pero el hecho de que se
decidiera abrir procedimiento sancionador en lugar de apercibir, demuestra el interés de la AEPD por perseguir este tipo de
comportamientos.
El texto completo de la resolución, puede consultarse en este link.
Más Información
Norman Heckh
Socio
nheckh@ramoncajal.com
www.ramonycajalabogados.com
© 2011 Ramón y Cajal Abogados, S.L.
María Luisa González Tapia
Abogado Senior
mlgonzalez@ramoncajal.com
Almagro, 16-18
28010 Madrid
T +34 91 576 19 00
F +34 91 575 86 78
Elisabet Viñes Vila
Abogado Junior
evines@ramoncajal.com
Caravel•la La Niña, 12, 6ª planta
08017 Barcelona
T +34 93 494 74 82
F +34 93 419 62 90
Emilio Arrieta, 6 1º Derecha
31002 Pamplona
T +34 94 822 16 01
Descargar