La Agencia de protección de datos contra el “enviar a un amigo”

De piedra se queda uno ante la sanción de la Agencia de protección de datos a una web con la opción de “enviar a un amigo”, ese mecanismo por el que muchas intentan lograr que sus usuarios más convencidos inviten a sus amigos y familiares. La información la dan, entre otros, El economista y en la web de la Agencia de protección de datos se puede acceder a la resolución (en formato PDF).

La clave de la sanción se encuentra en el siguiente párrafo:

El envío publicitario que el denunciante manifiesta haber recibido, corresponde a una campaña continua de captación de clientes que promueve el demandado. Dicha campaña consiste en ofrecer a los clientes registrados la posibilidad de recomendar a sus familiares y amigos los servicios de Iniciativas Virtuales a través de la página web, para lo cual existe en dicha página web una facilidad que permite remitir a una dirección de correo electrónico un mensaje informativo invitando al destinatario a registrarse en ella. El mensaje que recibe el destinatario incluye un botón que enlaza directamente con la página de inscripción de clientes.

Es decir, quien decide mandar el mensaje es un usuario y no la empresa ¿el problema? Que el correo se envía con la IP de la web en la que está la opción de “enviar a un amigo” y, para la Agencia de protección de datos, se vulnera la LOPD (el destinatario no ha dado su consentimiento para el tratamiento de sus datos con la finalidad de enviarle comunicaciones comerciales por vía electrónica) y la LISI (“el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”).

Con esto nos encontramos con que todas esas redes sociales que te ofrecen la opción de “invitar a tus amigos” y los sacan de la agenda de tu correo vulneran la LOPD y la LISI, al menos desde esta lectura de la Agencia de Protección de datos. Eso sí, me da la impresión de cada vez más la Agencia de Protección de Datos está haciendo una lectura realmente restrictiva de la LOPD: perseguir comunicaciones claramente iniciada por un particular y sancionar a una web por ofrecerle la herramienta de enviar un correo a alguien a quien conoce (y de quien tiene su dirección) no es luchar contra el spam, es llevarnos a un escenario dantesco en el que todo el que quiera tocarle las narices a una web con cualquier tipo de comunicación, puede contar con las fabulosas sanciones de la LOPD.

21 comentarios en “La Agencia de protección de datos contra el “enviar a un amigo”

  1. y puestos ya, porque no meterse con los sistemas de comentarios, foros de discusión, etc. Por ejemplo, muchos sistemas de comentarios (no los de error500) vulnerarian la LOPD porque exigen introducir tu dirección de email y no te informan de las condiciones del tratamiento y te piden permiso expreso.

    Pero claro, toda esta vuelta de tuerca se la aplicarán a webs españolas, pero no a las extranjeras fuera de EU, ya tenemos otra piedrecita para ser competitivos o por lo menos tener igualdad de condiciones en internet.

    Y que conste que estoy en contra de los abusos y la violación de la intimidad, etc etc. Pero llega un punto como bien explicáis, que a la aplicación estricta de la norma, la unica web legal, hecha en España será la una página html sin interacción.

  2. En la administración pública pocas veces se escapan de repetir una acción bastante habitual:
    MEAR FUERA DE TIESTO

    Estos de la APD ya han sacado la pilila para mojarnos a todos, veremos cuanto tardan en repetir el error. Aunque seguro que ellos lo consideran una excelente protección del usuario.

  3. O sea que facebook, hi5, elmundo.es, elpais.es, 20minutos etc.. van a tener que cerrar arruinados no? porque tienen esa opcion todos ellos. Los de la ley esa son unos vividores, inutiles, ineptos, incultos etc… y todos los mails que recibo de viagra, alargamientos de pene etc? que pasa que hacen?. Valiente panda de sinverguenzas vividores.

  4. Yo no sé si os habéis fijado en que con cualquier comunicación de las que hacemos a través de los servicios de webmail públicos, ya sea hotmail, gmail, yahoo, llega publicidad a nuestro destinatario. Estas comunicaciones se realizan a través de la IP del que vende la publicidad, que por otro lado nos presta un servicio gratuito. El problema de la ley de protección de datos es que se redacta sobre la base de la LORTAD, que como algunos recordaréis fue declarada inconstitucional. Ambas leyes han tratado de proteger al usuario de la publicidad indiscriminada, la LORTAD protegía del correo postal y la Ley de protección de datos protege de todo tipo de comunicaciones. El resultado final de ambas parece ser que cada vez hay más correo postal, esta vez indiscriminado a través de mailigs sin destinatarios predefinidos, cada vez hay más spam, cada vez perdemos más el tiempo con llamadas de comerciales a nuestros móviles ofreciéndonos cambios de operador, cada vez la Agencia de Protección de Datos recauda más a través de sus sanciones, y cada vez el usuario final está más indefenso, y Dios le libre de emprender un pequeño negocio en internet en el cuál se pueda recomendar su página a los amigos. Pero con este planteamiento de la Agencia, además de todo esto, dentro de poco tendrá que pagar por sus comunicaciones electrónicas que hoy se financian a través de publicidad a terceros y para él son gratuitas.
    Buenos días y buena suerte.

  5. Hola, en relación a este tema y como está la ley ahora…

    Por ejemplo, si uno se conecta a una página de tipo enviar amigo o la misma de enviar comentario o de recordar contraseña, sin que haya Captcha, y con un programa accede indefinidamente a esa página, la IPquedaría guardada y se podría identificar a esa persona que se conecta.

    Pero la cuestión es si esa situación es legal o no? Es decir, conectarse a una página indefinidamente, mediante programa automático, y enviar a un amigo o escribir comentarios. No hay ánimo de lucro, pero se considera spam ? de quién ??

    se considera ataque al servidor web eso si la página es pública, está en internet accesible a todos ? si de forma manual estoy 24 horas dando F5 sobre la misma página se consideraría ataque ??

    Si alguien se conecta a una página en un día 10.000 veces sería ilegal, en cambio si lo hace 1.000 veces al día sería legal ??

    Si me conecto 100.000 veces al día (automáticamente con programa) a google.com o microsoft.com sería ilegal ??

    Muchas gracias y saludos.

  6. Hola a todos,

    ante todo, firmo como empresa, porque me dice que ya existe un usuario con mi nombre. sorry.

    los cierto es que los de la AEPD se han liado con papel de fumar y esta sentencia va a traer mucha cola.

    Para poner en antecentes a los lectores:

    Un sitio web, permite a través de un formulario al internauta Aintroducir su email y el email del amigo B al que quiere recomendar el sitio web. Después una típica aplicación en php o asp manda un email al amigo B y en el remitente aparece el internauta A. Nada que objetar, A le manda un mensaje a B y en lugar de usar como interface su cliente de correo electrónico usa el formulario web.

    Esa recomendación (o mensaje) la AEPD la considera como spam (y por tanto según la propia ley punible) basandose en los siguientes criterios:

    1.- que un internauta mande un email a otro recomendando un sitio web (sea comercial o no), todavía no es ilegal (crucemos los dedos …)

    2.-el kit de la cuestión, está en que quien ha mandado el email, no es el internauta sino el sitio web, “haciéndose pasar” por el internauta (recordemos que manda un email en el que el remitente es A). Una de las pruebas de cargo contra la empresa es que la dirección IP desde la que se manda el email es la de su propio servidor.

    3.-¿Qué hay de malo en “hacerme pasar” por otro internauta para mandar un email? Bueno, aquí viene la siguiente vuelta de tuerca de la AEPD, pues considera que una simple dirección de email es un dato personal (!) como reconoce en la sentencia(habría mucho que discutir al respecto si por ejemplo lskdjflksdjf@gmail.com contiene alguna traza de información personal , pero no es objeto de este post).

    4.-Para terminar de rematar a la pobre empresa, que ha usado un “dato personal” y ha suplantado la identidad, el apretón final es: la empresa tiene un fichero de datos personales (direcciones de correo electrónico) que recoge a través de un formulario web (aunque no los almacene) y que no ha sido registrado en la AEPD!!!.

    Del resumen de la sentencia se deduce que el hecho de que tú mandes un email a un conocido con contenido comercial se considera spam si se manda a través de un intermediario, pero si lo mandas tú directamente no lo es.

    Visto lo visto, hemos corrido a cambiar en nuestra web nuestra página de recomendación poniendo un javascript que abre el cliente de correo electrónico del remitente, le coloca el texto, y es el propio remitente, desde su propio cliente de correo electrónico, desde su propio ordenador, desde su propia casa, quien decide a quíen quiere mandar ese mensaje.

    La sentencia además tiene su intringulis: si mandar un email comercial desde una IP que no es la tuya se considera spam, si yo como persona física mando desde hotmail o gmail un email a un amigo con contenido comercial, hotmail y gmail estarían incurriendo en prácticas de spam? ¿qué diferencia hay entre mandar un mensaje de ámbito comercial a través de un webmail o a través de un formulario php? ¿Van a demandar a Microsoft o Google por spam?

    Saludos

    Javier Gómez
    ——————————————–
    Catedral Consultores
    consultoría operativa de empresas
    http://www.catedral-consultores.es
    catedral-consultores.blogspot.com
    ———————————————–

  7. Estimados todos,

    Lo absurdo de la sanción ya está expuesto por la mayoría de comentaristas sin duda más lúcidos y convincentes de lo que yo pueda aspirar a ser.

    Tan sólo añadir o exponer una queja que la famosa organización de defensa del consumidor, alias, y digo alias, la OCU, ha tenido a bien pasarse por el mísmisimo forro.

    Estando en mi casa/hogar, domicilio particular, recibí una llamada de una señora intentándome vender un producto por el que yo no había demostrado ningún interes y por supuesto de parte de una empresa a la que en ningún momento había solicitado información o desvelado mis datos particulares.

    Lo sangrante del caso es que esta empresa es la mismísima OCU, la encargada de velar por los derechos del consumidor, y al contactarles para hacerles partícipes de mi indignación, la mejor respuesta, en ningún caso disculpa, que pude obtener de ellos fue un cortés: lo que hacemos es legal. Traducido a un lenguaje coloquial obtendríamos un ajo y agua que dista bastante de lo que uno esperaría dadas las circunstancias.

    España 2008, cuatro años para el fín del mundo según los Mayas, esperemos.

  8. Dando un poco más de vuelta al asunto de la IP (parece que es finalmente eso lo que blande la LOPD para justificar esta sentencia), no hay que olvidar que, en realidad, la IP desde la que se envía una mensaje no sólo es la del proveedor del servicio de envío cuando se utiliza una opción tipo “mandar a un amigo”, sinó que también lo es incluso cuando utilizamos un cliente local en el ordenador: Nuestro mensaje se remite a un servidor SMTP de nuestro proveedor de hospedaje, y es éste servidor el que realiza el envío. Es decir, es nuestro proveedor de hospedaje el que finalmente hace el “delivery” del email al buzón del destinatario.

    Resulta obvio que es darle una vuelta tonta al asunto, pero … ¿no es el mismo tipo de vuelta que le han dado ellos en esta clase de sentencias?

    Como ya habéis dicho muchos en este hilo de conversación, opino también que la postura de la Agencia se decanta de forma evidente hacia una recaudación indiscriminada, y se aleja cada vez más de una regulación de la protección de nuestros datos, que es lo único por lo que deberían preocuparse, ¿no?

  9. En mi modesta opinión, la Ley es la Ley. Y no debemos entrar en otra tarea que la de intentar cambiarla.

    “En lo que se refiere a las comunicaciones comerciales, la Ley establece que éstas deban identificarse como tales, y prohíbe su envío por correo electrónico u otras vías de comunicación electrónica equivalente, salvo que el destinatario haya prestado su consentimiento.”

    En definitiva, aplicando estrictamente la Ley, si yo no le he dado permiso a mi amigo para que me envíe publicidad (que es al final el que activamente me la envía y pudiera estar apuntado a algún programa de afiliación), es mi amigo el que queda fuera de la ley independientemente de cualquier consideración tecnica o plataforma utilizada. Por otro lado, la empresa que pone los medios para el envío de información debería ser responsabilizada de esto último.

    En fin… para generar más debate.

    Xavier

  10. En mi modesta opinión, la Ley es la Ley. Y no debemos entrar en otra tarea que la de intentar cambiarla.

    “En lo que se refiere a las comunicaciones comerciales, la Ley establece que éstas deban identificarse como tales, y prohíbe su envío por correo electrónico u otras vías de comunicación electrónica equivalente, salvo que el destinatario haya prestado su consentimiento.”

    En definitiva, aplicando estrictamente la Ley, si yo no le he dado permiso a mi amigo para que me envíe publicidad (que es al final el que activamente me la envía y pudiera estar apuntado a algún programa de afiliación), es mi amigo el que queda fuera de la ley independientemente de cualquier consideración tecnica o plataforma utilizada. Por otro lado, la empresa que pone los medios para el envío de información debería ser responsabilizada de esto último.

    En fin… para generar más debate.

    Xavier

    La ley será la ley como dices tú, pero no deja de ser una puta mierda. También era ley que en la Alemania nazi se gaseara a millones de judíos, ¿qué opinas de esa ley? Por lo tanto hay que abolir ese sinsentido a las primeras de cambio por el bien de la sociedad (aunque sea quemándoles el chiringuito, que es el idioma que mejor entienden muchos, créeme)

  11. Queridos amigos. Estoy montando una página web junto a un amigo y pretendemos vasar prácticamente todo nuestro marketing viral en una herramienta de “cuéntaselo a tus amigos”. Me he quedado de piedra al dar con la información que proporcionáis (bendita la hora!).

    Querría preguntaros, si sabéis si esto se aplicaría a una web que esté hospedada en un servidor en EEUU. Porque…. gmail, pone a disposición del usuario 50 invitaciones para amigos! Se debe a que no están sujetos a las leyes españolas?

    Muchas gracias por vuestro tiempo de antemano.

    Un saludo

Los comentarios están cerrados.