El asunto comenzó el pasado 22 de marzo de 2005, cuando la Agencia de Protección de Datos sancionó a A.E.A. por enviar, el 23 de noviembre de 2003, 13 mails con información promocional de los productos de su empresa de telecomunicaciones. Había conseguido esos nombres y direcciones de correo electrónico en la feria SIMO 2003 mediante el intercambio de tarjetas de visita. La sanción se puede descargar aquí.
Se sostenía que los receptores no habían dado un consentimiento inequívoco para recibir correos comerciales, como exige el art. 21 de la LSSI. También se consideraba que el envío de 13 mensajes constituía un envío masivo, por lo que A.E.A. cometió una infracción grave y le sancionó con 30.001€.
El 24 de junio de 2007, en sentencia de la Audiencia Nacional, (descargar aquí) la juez Lourdes Sanz Calvo ha revocado la sanción de la AEPD, estableciendo que "la entrega por una persona de una tarjeta de visita en la que consta su dirección de correo electrónico en un contexto como es la feria del SIMO, a la que para promocionar un producto acudió el denunciado con el que contactó la persona en cuestión por estar interesada en el mismo, impide que se pueda tener por acreditado a efectos sancionadores la falta de consentimiento". También niega que se pueda considerar masivo el envío de 13 correos electrónicos.
En mi opinión en ambos casos ha faltado a las autoridades el sentido de la mesura.
Respecto a la sentencia de la Audiencia Nacional lo que no entiendo es:
- ¿Poseer una tarjeta demuestra que la persona te la ha dado? Cualquiera puede entrar en el SIMO y salir con cientos de tarjetas ¡están encima de los stands a toneladas, no hace falta pedirlas! Precisamente por tratarse del contexto que se trata (una feria masificada) dificilmente puede equipararse a un consentimiento.
- Suponiendo que te la haya dado personalmente ¿lo hizo sabiendo que iba a recibir publicidad de un servicio de telecomunicaciones? Esto es como los listados profesionales públicos. Cualquiera puede saber el nombre, dirección, teléfono, mail, web, etc. de los abogados colegiados de cualquier provincia. ¿Significa que como es público les puedo enviar publicidad por ejemplo de una recopilación de sentencias que comercializo en CD-ROM? Pues no. Esos datos están ahí con una finalidad concreta, no para cualquier cosa. Si yo voy al SIMO y monto un stand de de routers y le doy a alguien mi tarjeta no es para que me envíe publicidad (salvo que me avise y yo consienta, que no creo que sea el caso).
Estoy de acuerdo en que dentro del mundo del SPAM llamar envío masivo a 13 correos casi da la risa, y que 30.000€ es una barbaridad desproporcionada de sanción, pero que esto quedara así (que supongo que la Agencia habrá recurrido al Supremo) tampoco sería justo porque:
a) ¿Había este señor dado de alta sus ficheros ante la Agencia? (Trámite gratuito que se hace por internet en 15 minutos) NO
b) ¿Tenía este señor el obligatorio documento de seguridad y había implantado las medidas correspondientes? NO
c) ¿Informó este señor a las personas físicas de que sus datos se incorporaban a un fichero, cuál era la utilidad de este y que tenían derecho de baja, rectificación, cancelación y oposición al tratamiento, y cómo podían ejercer estos derechos de una manera sencilla? NO
A y B son obligatorios desde hace ya ¡ ocho años !, y C es el corazón mismo de la LOPD y la LSSI: lo que significa es que los datos personales son propiedad exclusiva de las personas y que estas únicamente los “ceden” a las entidades que los tratan y lo hacen siempre bajo ese marco jurídico que defiende algo tan importante como es el derecho (constitucional) a la intimidad.
Así que tampoco me parece justo la sentencia. Lo más lógico es que atendiendo a muchísimas resoluciones de la propia Agencia, se hubiera convertido en una sanción de 1.000€, que ha sido la habitual en los casos de SPAM.
Para terminar no puedo evitar señalar un detalle de la propia sentencia que podría llevar incluso a dudar de la capacidad de la Audiencia Nacional y en general de las instituciones del estado (recordemos que hay otro procedimiento en marcha contra el propio Tribunal Constitucional) para entender la "cultura" de la protección de datos. Resulta que en la página tres del texto (y no olvidemos que se trata de un documento que se va a publicar en infinidad de sitios) se indican sin ninguna protección ¡ casi todas las direcciones electrónicas a las que se envío el mensaje !
Sería "interesante" ver qué ocurriría si alguno de los afectados denunciara ahora a la Audiencia Nacional ante la Agencia de Protección de Datos.