Procedimiento sancionador en la LOPD

La potestad sancionadora de la Agencia Española de Protección de Datos le viene atribuida por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal, en la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico, y en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la Ley Orgánica 15/1999, de 13 de diciembre.

Cuando se trate de ficheros de los que sean responsables las Administraciones públicas se estará, en cuanto al procedimiento y a las sanciones, a lo dispuesto en el artículo 46, apartado 2.que dispone “El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones públicas”.

Los procedimientos sancionadores tramitados por la Agencia Española de Protección de Datos, en ejercicio de las potestades que a la misma atribuyan esta u otras Leyes, salvo los referidos a infracciones de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, tendrán una duración máxima de seis meses.

1.    Actuaciones previas a la iniciación del procedimiento sancionador (art 122 al 129 del Real Decreto 1720/2007, de 21 de diciembre).

Con anterioridad a la iniciación del procedimiento sancionador, se podrán realizar actuaciones previas con objeto de determinar si concurren circunstancias que justifiquen tal iniciación. En especial, estas actuaciones se orientarán a determinar, con la mayor precisión posible, los hechos que pudieran justificar la incoación del procedimiento, identificar la persona u órgano que pudiera resultar responsable y fijar las circunstancias relevantes que pudieran concurrir en el caso.

Las actuaciones previas se llevarán a cabo de oficio por la Agencia Española de Protección de Datos, bien por iniciativa propia o como consecuencia de la existencia de una denuncia o una petición razonada de otro órgano. Las actuaciones serán llevadas a cabo por el personal del área de la Inspección de Datos habilitado para el ejercicio de funciones inspectoras.

Cuando las actuaciones se lleven a cabo como consecuencia de la existencia de una denuncia o de una petición razonada de otro órgano, la Agencia Española de Protección de Datos acusará recibo de la denuncia o petición, pudiendo solicitar cuanta documentación se estime oportuna para poder comprobar los hechos susceptibles de motivar la incoación del procedimiento sancionador.

Estas actuaciones previas tendrán una duración máxima de doce meses a contar desde la fecha en la que la denuncia o petición razonada hubieran tenido entrada en la Agencia Española de Protección de Datos o, en caso de no existir aquéllas, desde que el Director de la Agencia acordase la realización de dichas actuaciones.

El vencimiento del plazo sin que haya sido dictado y notificado acuerdo de inicio de procedimiento sancionador producirá la caducidad de las actuaciones previas.

En las actuaciones previas que supongan una visita al inspeccionado, las inspeccion concluirá con el levantamiento de la correspondiente acta, en la que quedará constancia de las actuaciones practicadas durante la visita o visitas de inspección. El acta, que se emitirá por duplicado, será firmada por los inspectores actuantes y por el inspeccionado, que podrá hacer constar en la misma las alegaciones o manifestaciones que tenga por conveniente.

En caso de negativa del inspeccionado a la firma del acta, se hará constar expresamente esta circunstancia en la misma. En todo caso, la firma por el inspeccionado del acta no supondrá su conformidad, sino tan sólo la recepción de la misma. Se entregará al inspeccionado uno de los originales del acta de inspección, incorporándose el otro a las actuaciones.

Finalizadas las actuaciones previas, éstas se someterán a la decisión del Director de la Agencia Española de Protección de Datos.

•    Si de las actuaciones no se derivasen hechos susceptibles de motivar la imputación de infracción alguna, el Director de la Agencia Española de Protección de Datos dictará resolución de archivo que se notificará al investigado y al denunciante, en su caso.
•    En caso de apreciarse la existencia de indicios susceptibles de motivar la imputación de una infracción, el Director de la Agencia Española de Protección de Datos dictará acuerdo de inicio de procedimiento sancionador o de infracción de las Administraciones públicas.

2.    Inicio del procedimiento sancionador

Cuando el Director de la Agencia Española de Protección de Datos aprecia la existencia de indicios susceptibles de motivar la imputación de una infracción, dictará acuerdo de inicio de procedimiento sancionador o de infracción de las Administraciones públicas.

Dicho acuerdo de inicio del procedimiento sancionador deberá contener:

a.    Identificación de la persona o personas presuntamente responsables.
b.    Descripción sucinta de los hechos imputados, su posible calificación y las sanciones que pudieran corresponder, sin perjuicio de lo que resulte de la instrucción.
c.    Indicación de que el órgano competente para resolver el procedimiento es el Director de la Agencia Española de Protección de Datos.
d.    Indicación al presunto responsable de que puede reconocer voluntariamente su responsabilidad, en cuyo caso se dictará directamente resolución.
e.    Designación de instructor y, en su caso, secretario, con expresa indicación del régimen de recusación de los mismos.
f.    Indicación expresa del derecho del responsable a formular alegaciones, a la audiencia en el procedimiento y a proponer las pruebas que estime procedentes.
g.    Medidas de carácter provisional que pudieran acordarse, en su caso, conforme a lo establecido en la sección primera del presente capítulo.

En el caso de acuerdo de infracción de las Administraciones públicas, cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de los que sean responsables las Administraciones públicas, el Director de la Agencia Española de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción.

Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.

El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones públicas.

El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de los apartados anteriores.

El plazo máximo para dictar resolución será el que determinen las normas aplicables a cada procedimiento sancionador, y se computará desde la fecha en que se dicte el acuerdo de inicio hasta que se produzca la notificación de la resolución sancionadora, o se acredite debidamente el intento de notificación. El vencimiento del citado plazo máximo, sin que se haya dictado y notificado resolución expresa, producirá la caducidad del procedimiento y el archivo de las actuaciones.Las resoluciones de la Agencia Española de Protección de Datos u órgano correspondiente de la Comunidad Autónoma agotan la vía administrativa.

Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

En el supuesto previsto como infracción muy grave en la Ley Orgánica 15/1999, de 13 de diciembre, consistente en la utilización o cesión ilícita de los datos de carácter personal en la que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia Española de Protección de Datos podrá, en cualquier momento del procedimiento, requerir a los responsables de ficheros o tratamientos de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos.

El requerimiento deberá ser atendido en el plazo improrrogable de tres días, durante el cual el responsable del fichero podrá formular las alegaciones que tenga por convenientes en orden al levantamiento de la medida.

Si el requerimiento fuera desatendido, el Director de la Agencia Española de Protección de Datos podrá, mediante resolución motivada, acordar la inmovilización de tales ficheros o tratamientos, a los solos efectos de restaurar los derechos de las personas afectadas.

3.    Publicidad de las resoluciones

La Agencia Española de Protección de Datos hará públicas sus resoluciones, con excepción de las correspondientes a la inscripción de un fichero o tratamiento en el Registro General de Protección de Datos y de aquéllas por las que se resuelva la inscripción en el mismo de los códigos tipo, siempre que se refieran a procedimientos que se hubieran iniciado con posterioridad al 1 de enero de 2004, o correspondan al archivo de actuaciones inspectoras incoadas a partir de dicha fecha.

La publicación de estas resoluciones se realizará preferentemente mediante su inserción en el sitio web de la Agencia Española de Protección de Datos, dentro del plazo de un mes a contar desde la fecha de su notificación a los interesados.

En la notificación de las resoluciones se informará expresamente a los interesados de la publicidad prevista en el artículo 37.2 de la Ley Orgánica 15/1999, de 13 de diciembre.

La publicación se realizará aplicando los criterios de disociación de los datos de carácter personal que a tal efecto se establezcan mediante Resolución del Director de la Agencia.

4.    Prescripción.

Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año. El plazo de prescripción comenzará a contarse desde el día en que la infracción se hubiera cometido.

Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reanudándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor.
Las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves a los dos años y las impuestas por faltas leves al año.

El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquél en que adquiera firmeza la resolución por la que se impone la sanción y se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.

5.    Régimen jurídico

• Real Decreto 1720/2007, de 21 de diciembre aunque a los procedimientos y actuaciones previas ya iniciados antes de la entrada en vigor del presente Real Decreto, no les será de aplicación el mismo, rigiéndose por la normativa anterior.
• Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Guia práctica para personas mayores

ASIMELEC presentó, en junio en Madrid, la primera Guía Práctica sobre la Protección de Datos (LOPD), titulada “Aprenda a proteger sus datos”,  y especialmente redactada para personas mayores.

La Guía, que contó con la colaboración de la Agencia Española de Protección de Datos,  ha sido diseñada para prevenir e informar a este colectivo, de forma sencilla sobre los riesgos que conlleva el hecho de proporcionar datos sin tomar las debidas precauciones, así como sobre sus derechos a la hora de proteger sus datos ante cualquier entidad u organización que haga un uso indebido de ellos.

Actualmente, la obtención de datos personales de las personas mayores es una práctica en aumento por parte de la ciber delincuencia y mediante diversos tácticas, tales como las llamadas engañosas, el “phishing” o el “spam”. En muchos casos, el aislamiento y la soledad de estas personas mayores, combinado con otros factores propios de la edad avanzada, puede hacer relativamente fácil la consecución del delito.

La Guía está dividida en cinco partes: un decálogo práctico sobre la necesidad ser precavido a la hora de proporcionar datos; un resumen sobre los derechos que nos asisten frente a cualquier organismo si hacen un uso indebido de nuestros datos; los derechos que poseemos en el entorno de la imagen, los riesgos inherentes en el ámbito de Internet y la última parte, una serie de ejemplos prácticos más habituales de situaciones de riesgo.

Fte. Asociación Multisectorial de Empresas de Tecnologías de la Información, Comunicaciones y Electrónica (ASIMELEC)

Datos de carácter personal excluidos de la Ley

Aunque la Ley de protección de datos de carácter personal, como su nombre indica, se refiere a los datos de carácter personal, no todos se encuentran sujetos a la LOPD.

A continuación, os facilito un listado de los datos de carácter personal no sujetos a LOPD:

• Datos de personas fallecidas.
• Datos de ficheros personales de uso doméstico.
• Datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal.
• Datos de las personas físicas que presten sus servicios en personas jurídicas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
• Datos de carácter personal no registrados en soporte físico (informático o papel).

Recordamos que los datos de personas jurídicas no son datos de carácter personal como comentamos en el artículo ¿Que son datos de carácter personal? y por tanto no se encuentran sujetos a la LOPD.

¿Cómo se clasifican los datos de carácter personal?

En la Ley Órganica de protección de Datos se mencionan sólo algunos tipos de datos, pero es en el formulario NOTA para solicitar via telemática la inscripción de un fichero, cuando aparece la clasificación que reproduzco a continuación:

• Datos especialmente protegidos: Ideología, afiliación sindical, religión, creencias, origen racial o étnico, salud y vida sexual.
• Datos de carácter identificativo: Nif/dni, dirección, imagen, voz, Nº Seguridad Social/mutualidad, teléfono, marcas físicas, nombre y apellidos, firma/huella, firma electrónica, tarjeta sanitaria.
• Datos relativos a las características personales: datos de estado civil, datos de familia, fecha de nacimiento, lugar de nacimiento, edad, sexo, nacionalidad, lengua materna, características físicas o antropométricas.
• Datos relativos a las circunstancias sociales: Características de alojamiento, vivienda, situación familiar, propiedades, posesiones, aficiones y estilos de vida, pertenencia a clubes y asociaciones, licencias, permisos y autorizaciones.
• Datos Académicos y profesionales: Formación, titulaciones, historial del estudiante, experiencia profesional, pertenencia a colegios o asociaciones profesionales.
• Detalles de empleo: Profesión, puestos de trabajo, datos no económicos de nomina, historial del trabajador.
• Datos que aportan Información comercial: Actividades y negocios, licencias comerciales, subscripciones a publicaciones o medios de comunicación, creaciones artísticas, literarias, científicas o técnicas.
• Datos económicos, financieros y de seguros: Ingresos, rentas, inversiones, bienes patrimoniales, créditos, préstamos, avales, datos bancarios, planes de pensiones, jubilación, datos económicos de nómina, datos deducciones impositivas/impuestos, seguros, hipotecas, subsidios, beneficios, historial de créditos, tarjetas de crédito.
• Datos relativos a transacciones de bienes y servicios: Bienes y servicios suministrados por el afectado, bienes y servicios recibidos por el afectado, transacciones financieras, compensaciones/indemnizaciones.

¿Qué son los datos de carácter personal?

A los efectos de la Ley 15/1999, de protección de datos en el artículo 3, se define datos de carácter personal como “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables”.

Por tanto, no se consideran datos de carácter personal la información concerniente a personas jurídicas ni estarán sujetos a la LOPD como establece el artículo 2.2 del Real Decreto 1720/2007, de 21 de diciembre, “Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas…”

En cuanto a qué entendemos por datos de personas físicas identificadas, no presenta ningún problema porque nos indica directamente a que persona se refiere sin necesidad de que tengamos que realizar ningún tipo de averiguación posterior, como por ejemplo el DNI.

Sin embargo, qué se entiende por datos de personas físicas identificables, puede presentar alguna duda. Estos datos son aquellos que permiten identificar, directa o indirectamente, a la persona titular de los datos, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. No se considera identificable una persona física cuando requiere plazos o actividades desproporcionados. Por consiguiente, a priori no nos indica a que persona se refiere pero nos aporta información suficiente para poder llegar a averiguar su identidad. El ejemplo más conocido es el ADN, que contiene información genética que en principio no nos identifica a la persona concreta pero que nos llevará a identificar al titular.

Importancia del derecho a la protección de datos

El derecho a la protección de datos de carácter personal, es un derecho cuyo marco viene derivado de lo establecido en el artículo 18.4 de la Constitución Española y consagrado como derecho autónomo e informador del texto constitucional por la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre.

No obstante, no es derecho absoluto, como dispone la jurisprudencia del Tribunal Constitucional, por ejemplo en la Sentencia 186/2000, de 10 de julio: “el derecho a la intimidad no es absoluto, como no lo es ninguno de los derechos fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado”.

Es, por consiguiente, importante la existencia de un órgano encargado de velar por el cumplimiento de la normativa para proteger nuestros datos personales. De esta manera, se impide que los datos personales sean conocidos por terceras personas no autorizadas y cuya intención desconocemos, como por ejemplo el uso de datos de contacto por las compañías para el envío de spam. Es por todo ello que se crea la Agencia Española de Protección de Datos y ante la cual podemos solicitar la tutela de nuestros derechos de acceso, cancelación, rectificación y oposición.

Requisitos legales para la creacion de un negocio en internet

Si usted tiene una página web a través de la cual obtiene algún beneficio económico bien sea ofreciendo sus productos y/o servicios o simplemente como soporte publicitario de bienes y servicios de otra empresa, debe considerar los requisitos legales que dispone la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de Comercio electrónico (LSSICE).

Entre los requisitos establecidos en la mencionada Ley, se encuentra recogido en su artículo 10, la obligación de facilitar en su página o sitio de Internet tanto a los destinatarios del servicio como a los órganos competentes, la siguiente información:

a.    Su nombre o denominación social; su residencia o domicilio o, en su defecto, la dirección de uno de sus establecimientos permanentes en España; su dirección de correo electrónico y cualquier otro dato que permita establecer con él una comunicación directa y efectiva.
b.    Los datos de su inscripción en el Registro Mercantil en el que, en su caso, se encuentren inscritos o de aquel otro registro público en el que lo estuvieran para la adquisición de personalidad jurídica o a los solos efectos de publicidad.
c.    En el caso de que su actividad estuviese sujeta a un régimen de autorización administrativa previa, los datos relativos a dicha autorización y los identificativos del órgano competente encargado de su supervisión.
d.    Si ejerce una profesión regulada deberá indicar:

• Los datos del Colegio profesional al que, en su caso, pertenezca y número de colegiado.
• El título académico oficial o profesional con el que cuente.
• El Estado de la Unión Europea o del Espacio Económico Europeo en el que se expidió dicho título y, en su caso, la correspondiente homologación o reconocimiento.
• Las normas profesionales aplicables al ejercicio de su profesión y los medios a través de los cuales se puedan conocer, incluidos los electrónicos.

e.    El número de identificación fiscal que le corresponda.
f.    Cuando el servicio de la sociedad de la información haga referencia a precios, se facilitará información clara y exacta sobre el precio del producto o servicio, indicando si incluye o no los impuestos aplicables y, en su caso, sobre los gastos de envío o en su caso aquello que dispongan las normas de las Comunidades Autónomas con competencias en la materia.
g.    Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos electrónicamente.

Por otro lado, si desea enviar publicidad vía email de los bienes y/o servicios ofertados en su website, necesita que exista una previa solicitud o consentimiento expreso por parte del destinatario. Así se dispone en el artículo 21: “Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”.

No obstante, podrá enviar publicidad por email sin necesidad de previa solicitud o consentimiento expreso del destinatario cuando se cumpla todos y cada uno de los siguientes requisitos:

•    Exista una relación contractual previa con el destinatario.
•    Los datos de contacto del destinatario se han obtenido de forma lícita.
•    Dichos datos los emplea para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, debe ofrecer al destinatario tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija, la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito.

En el caso de que se permita al cliente la contratación electrónica, debe poner a disposición del destinatario en su página o sitio de Internet, antes de iniciar el procedimiento de contratación y mediante técnicas adecuadas al medio de comunicación utilizado, de forma permanente, fácil y gratuita, información clara, comprensible e inequívoca sobre los siguientes extremos:

a.    Los distintos trámites que deben seguirse para celebrar el contrato.
b.    Si el prestador va a archivar el documento electrónico en que se formalice el contrato y si éste va a ser accesible.
c.    Los medios técnicos que pone a su disposición para identificar y corregir errores en la introducción de los datos, y
d.    La lengua o lenguas en que podrá formalizarse el contrato.

Sin embargo, no tendrá usted la obligación de facilitar la información señalada en el apartado anterior cuando:

a.    Así lo acuerden y su cliente no tenga la consideración de consumidor, o
b.    El contrato se haya celebrado exclusivamente mediante intercambio de correo electrónico u otro tipo de comunicación electrónica equivalente.

Sin perjuicio de lo dispuesto en la legislación específica, las ofertas o propuestas de contratación realizadas por vía electrónica serán válidas durante el período que usted como oferente fije o, en su defecto, durante todo el tiempo que permanezcan accesibles a los destinatarios del servicio.

Con carácter previo al inicio del procedimiento de contratación, debe poner a disposición del destinatario las condiciones generales a que, en su caso, deba sujetarse el contrato, de manera que éstas puedan ser almacenadas y reproducidas por el destinatario.

Tras la celebración del contrato está obligado a confirmar la recepción de la aceptación al que la hizo por alguno de los siguientes medios:

a.    El envío de un acuse de recibo por correo electrónico u otro medio de comunicación electrónica equivalente a la dirección que el aceptante haya señalado, en el plazo de las veinticuatro horas siguientes a la recepción de la aceptación, o
b.    La confirmación, por un medio equivalente al utilizado en el procedimiento de contratación, de la aceptación recibida, tan pronto como el aceptante haya completado dicho procedimiento, siempre que la confirmación pueda ser archivada por su destinatario.

No obstante, no será necesario confirmar la recepción de la aceptación de una oferta cuando:

a.    Así lo acuerden y su cliente no tenga la consideración de consumidor, o
b.    El contrato se haya celebrado exclusivamente mediante intercambio de correo electrónico u otro tipo de comunicación electrónica equivalente, cuando estos medios no sean empleados con el exclusivo propósito de eludir el cumplimiento de tal obligación.

Por último, se debe incluir en la página Web, información genérica para facilitar el contacto de los usuarios y las administraciones públicas con el prestador del servicio, sin perjuicio de las exigencias de la normativa sobre protección de datos y la Ley de Ordenación del Comercio Minorista sobre venta a distancia, además de la Ley de Condiciones Generales de la contratación.

PUBLICIDAD A TRAVÉS DE SMS O EMAIL

Actualmente se denomina “spam” a todo tipo de comunicación no solicitada, realizada por vía electrónica. De este modo se entiende por “spam” cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es el correo electrónico.

Esta conducta es especialmente grave cuando se realiza en forma masiva. El envío de mensajes comerciales sin el consentimiento previo está prohibido por la legislación española, por la LSSI.

El bajo coste de los envíos de los correos electrónicos vía Internet o mediante telefonía móvil (SMS y MMS), su posible anonimato, la velocidad con que llega a los destinatarios y las posibilidades que ofrece en cuanto al volumen de transmisiones, han permitido que esta práctica se realice de forma abusiva e indiscriminada.

La LSSI, en su artículo 21 dispone:

“1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.”

La LSSI prohíbe las comunicaciones comerciales no solicitadas, partiendo de un concepto de comunicación comercial que se califica como servicio de la sociedad de la información y que se define en su Anexo a), apartado f) como: “toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional. El concepto de servicio de la sociedad de la información “comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios.”
Es decir, se desautorizan las comunicaciones comerciales dirigidas a la promoción directa o indirecta de los bienes y servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional, si bien esta prohibición encuentra la excepción en el segundo párrafo del citado artículo, que autoriza el envío cuando “el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que fueron objeto de contratación”. De este modo, el envío de comunicaciones comerciales no solicitadas, fuera del supuesto excepcional del artículo 21.2 de la LSSI, puede constituir una infracción leve o grave de la LSSI.

La Directiva sobre Privacidad en las Telecomunicaciones, de 12/07/2002, (Directiva 2002/58/CE) actualmente transpuesta en la Ley 32/2003, de 3/11, General de Telecomunicaciones, que modifica varios artículos de la LSSI, introdujo en el conjunto de la Unión Europea el principio de “opt in”, es decir, la necesidad de contar con el consentimiento previo del destinatario para el envío de correo electrónico con fines comerciales. De este modo, cualquier envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente queda supeditado a la prestación previa del consentimiento, salvo que exista una relación contractual anterior y el sujeto no manifieste su voluntad en contra.

Por lo tanto, atendiendo al enunciado del art. 21.1 de la LSSI, resulta esencial delimitar el sentido aplicado por la citada normativa a la exigencia de consentimiento, previo y expresamente manifestado por el destinatario del mensaje, para que pueda admitirse el envío de comunicaciones publicitarias o promocionales por correo electrónico.

La repetida LSSI, que tiene por objeto, entre otras materias, la regulación del envío de las comunicaciones comerciales por vía electrónica, establece expresamente en su artículo 1.2 que las disposiciones contenidas en la misma se entenderán sin perjuicio de lo dispuesto en las normas que tengan como finalidad la protección de datos personales.

Al referirse en el Título III de la LSSI a las “comunicaciones comerciales por vía electrónica”, el artículo 19 de la LSSI declara igualmente aplicable la LOPD y su normativa de desarrollo, “en especial, en lo que se refiere a la obtención de datos personales, la información a los interesados y la creación y mantenimiento de ficheros de datos personales”. Esta rotunda previsión legal permite afirmar que, además de lo establecido en la LSSI, serán exigibles en el tratamiento de datos personales para la realización de comunicaciones comerciales por medios electrónicos el conjunto de principios, garantías y derechos contemplados en la normativa de protección de datos de carácter personal.

Por tanto, en relación al concepto de consentimiento del destinatario para el tratamiento de sus datos con la finalidad de enviarle comunicaciones comerciales por vía electrónica, es preciso considerar lo dispuesto en la normativa de protección de datos y, en concreto, el artículo 3.h) de la LOPD que establece:

“Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”.

Por tanto, de acuerdo con dicha definición, el consentimiento, además de previo, específico e inequívoco, deberá ser informado. Y esta información deberá ser plena y exacta acerca del tipo de tratamiento y su finalidad, con advertencia sobre el derecho a denegar o retirar el consentimiento. Esta información así configurada debe tomarse como un presupuesto necesario para otorgar validez a la manifestación de voluntad del afectado.