20 de enero de 2010

Ahora se contempla, ahora no se contempla

El procedimiento sancionador PS/00193/2009 (que comienza de un forma muy similar a Todos a una, pero termina de forma muy distinta), instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad AELIA S.L., se incia vista la denuncia presentada por D. G.G.G. donde expone que envió un correo electrónico a la cuenta de “F.F.F.”, empleada y usuaria de una dirección de correo electrónico de AELIA, solicitando el cese de los envíos de comunicaciones comerciales y la cancelación de su dirección de correo electrónico de los ficheros de AELIA. En el Asunto de dicha solicitud se comprueba que dicho correo responde a una comunicación anterior de AELIA de misma fecha en la que figuraba como asunto “Aelia Comunicación Boletín especialaelia”.

Sin embargo con posterioridad recibió en su dirección de correo electrónico cinco comunicaciones comerciales de la empresa, sin que el texto de los mencionados correos ofreciera al destinatario de los mismos un procedimiento sencillo y gratuito para que pudieran oponerse al tratamiento de sus datos con fines promocionales.

La denunciada alegó:
AELIA indica que obtuvo la autorización de la Asociación para la Autorregulación de la Comunicación Comercial (en adelante AUTORREGULACIÓN o Asociación) para la remisión de boletines publicitarios a raíz de los diferentes contactos mantenidos con dicha Asociación, los cuales justifica mediante la aportación de copia de dos fichas de “Gestión Comercial a Empresas”, (...)
AELIA ha presentado copia de una tarjeta de visita en la que el denunciante figura como Director General de la referida Asociación, obrando entre los datos de contacto del mismo la dirección de correo electrónico ...Y..@...... Según AELIA, la referida tarjeta de visita se obtuvo en la reunión comercial mantenida en las oficinas de AUTOCONTROL entre la empleada de AELIA, Dª Z.Z.Z., y la adjunta a la dirección de AUTOCONTROL, Dª C.C.C., durante cuyo transcurso se autorizó la remisión de información comercial por parte de AELIA a la dirección de correo electrónico del denunciante que constaba en dicha tarjeta.

También intentó descargar parte de la responsabilidad en la empleada que no atendió la petición de cancelación por parte del denunciante:
Que considera determinante y relevante en el acontecer de los hechos imputados un hecho recogido en el Acta de Inspección que no se menciona en el acuerdo de inicio, consistente en que los correos remitidos por el denunciante solicitando el cese de las comunicaciones comerciales fueron enviados a la cuenta de correo de una empleada de AELIA que causo baja en la citada entidad con fecha 29/02/2008 por despido disciplinario, y quien no procedió a cursar la baja en la lista de direcciones de correos de la entidad mediante el procedimiento establecido al efecto, lo que motivó que AELIA, ignorando la voluntad del denunciante, continuara remitiendo publicidad y ofertas comerciales al que consideraba su cliente.

Y finalmente:
Que la imposición de la sanción acarrearía consecuencias nefastas para la entidad debido a la crítica situación económica y financiera por la que atraviesa, tal y como se desprende del balance de situación referido al ejercicio 2008 que adjunta.

Tras el conocimiento de estas circunstancias D. G.G.G. envió un escrito a la AEPD:
(...) indicando que después de la denuncia los responsables de AELIA le han pedido “disculpas por las molestias ocasionadas por el envío de correos electrónicos” con posterioridad a su solicitud de baja, aclarando que dichos envíos se debieron “a la negligencia de una trabajadora” que fue despedida en los días siguientes por su inadaptación al puesto de trabajo. Igualmente, pone de manifiesto que la recepción de los mensajes no le ha causado perjuicio alguno y “que es mi intención no proseguir con la denuncia” a la vista de las disculpas y explicaciones ofrecidas por AELIA. Asimismo, reconoce como propia la tarjeta de visita cuya copia le fue adjuntada, la cual debió de ser entregada por personal de su empresa en una visita realizada por un comercial de AELIA en el año 2006, momento en que también se facilitaron sus datos de correo electrónico para recibir información comercial.

En los Fundamentos de Derecho, la Agencia afirma:
En lo que respecta a la primera cuestión planteada, ha quedado probado que las cinco comunicaciones comerciales objeto de estudio fueron remitidas por AELIA con posterioridad a la solicitud de baja de cese de envíos comerciales que fue recibida con fecha 21/02/2008 en la cuenta de correo electrónico de una empleada de dicha empresa, por lo que su envío no contaba a partir de dicho momento con la cobertura del consentimiento previo y expreso del destinatario de las mismas, tratándose, por ello, de envíos publicitarios no solicitados que fueron remitidos por AELIA sin cumplir el requisito de consentimiento previo y expreso establecido en el artículo 21.1 de la LSSI para la remisión de las citadas comunicaciones.
En lo que respecta a la segunda cuestión planteada, la simple lectura de los textos de las cinco comunicaciones comerciales de fechas 03/04/2008, 21704/2008, 30/04/2008, 21/05/2008 y 13/06/2004 objeto de análisis lleva a constatar que el prestador del servicio, en este supuesto, la entidad imputada, no ofreció al destinatario de los citados correos comerciales la posibilidad de oponerse al tratamiento de sus datos con fines promocionales, conforme se recoge en el segundo párrafo del artículo 21.2 de la LSSI.

Sobre la responsabilidad de la empleada que no cursó la petición de baja:
A juicio de la AEPD dicha alegación no desvirtúa la responsabilidad de la entidad denunciada en los hechos imputados, ya que el correo en el que el denunciante ejercía su derecho a no recibir más mensajes comerciales se dirigió a una dirección de correo de la entidad imputada, tal y como se constató en la visita de inspección de fecha 04/02/2009 practicada en las instalaciones de AELIA al localizarse por los inspectores actuantes en la cuenta de correo de la antigua empleada “F.F.F.” información que probaba tal recepción y el conocimiento de su contenido, motivo por el que se considera que la solicitud de baja fue recibida por la entidad AELIA sin que la misma se llevara a efecto por su parte.

Sobre la petición del denunciante de detener el proceso:
El hecho de que el denunciante haya presentado un escrito manifestando que la recepción de los referidos mensajes no le había causado perjuicio alguno y que su intención era no proseguir con la denuncia, además de confirmar el envío de comunicaciones comerciales sin consentimiento que resulta objeto del presente procedimiento sancionador junto con el incumplimiento de lo previsto en el segundo párrafo del artículo 21.2 de la LSSI, no conlleva el archivo del expediente ya que la potestad sancionadora de la AEPD procede siempre de oficio, con independencia de la existencia, o no, de denuncia de parte (principio acusatorio).

Ya que en el artículo 38, apartados 3 de la LSSI, se consideran infracciones graves:
c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.

La AEPD estima que:
El presente supuesto se ajusta al tipo de infracción establecido en el artículo 38.3.c) de la LSSI, calificado como infracción grave, al tratarse del envío de más de tres comunicaciones comerciales por correo electrónico a un mismo destinatario en el plazo de un año (cinco mensajes publicitarios), las cuales, además, no ofrecían un procedimiento sencillo y gratuito al destinatario para oponerse al tratamiento de sus datos con fines promocionales, es decir, dichos envíos publicitarios no cumplan los requisitos establecidos en el artículo 21 de la LSSI, sin que tampoco se haya acreditado la existencia de una relación comercial previa entre emisor y receptor de los mismos.

Y además indica:
De conformidad con el principio de proporcionalidad y en base a los criterios de graduación de la sanción recogidos en el señalado artículo 40 de la LSSI, entre los que no se contempla la situación financiera atravesada por la entidad, y particularmente a la inexistencia de intencionalidad y a que el denunciante ha reconocido que su recepción no le ha ocasionado ningún perjuicio, procede imponer a la sociedad imputada la sanción en su importe mínimo de 30.001 € (Treinta mil un euros).

(La negrita es mía. Compárese con el caso enlazado al principio de esta nota donde se decía también en los Fundamentos de Derecho "hay que tener en cuenta, a la hora de graduar la sanción, que estamos ante una empresa que atraviesa una difícil situación financiera").


Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad AELIA S.L., por una infracción del artículo 21, apartado 1 y segundo párrafo del apartado 2, de la LSSI, tipificada como grave en el artículo 38.3.c) de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, una multa 30.001 € (Treinta mil un euros), de conformidad con lo establecido en los artículos 39.1.b) y 40 de la citada LSSI.

Esta Resolución ha sido recurrida.

18 comentarios:

NFRMTC dijo...

0_0 Sin Comentarios

Mar Lboro dijo...

Verdaderamente es una contradicción total, estábamos acostumbrados a ciertas incoherencias en las resoluciones de la AEPD, pero no recuerdo un caso tan literal de decir lo contrario. Ahora habrá que esperar a cómo queda el recurso de AELIA y ver si esta diferencia ha sido uno de los motivos esgrimidos.

Félix Haro dijo...

Ya estamos acostumbrados a esto. Depende del instructor que toque, te la colocan o no.
Es vergonzoso.

Alejandro Valdezate dijo...

Es una sentencia bastante frívola, y constituye un flagrante agravio comparativo con el caso que se cita.

Anónimo dijo...

Como si la AEPD estuviera conchaba con el colegio de abogados, porque a mas inseguridad y dudas jurídicas con resoluciones como esta más trabajo para los abogados (vease el hecho de que esta sanción haya sido recurrida, cosa que no creo que ningún letrado haya hecho por la cara, sino cobrando, que por otro lado es lo justo).

José Juan Cerpa dijo...

¡Increible! Viendo esto tengo que poner en duda que la propia AEPD disponga de un baremo para elegir la cuantía de las sanciones sobre todo en el caso en que es necesario graduarlas. Esto de "A ojo de buen cubero" queda ni que pintado. ¿Recuerdan la empresa que mandó 450.000 faxes y también se acogía a que la sanción de 30000 euros podría provocar su cierre? No se en que quedó pero creo que estos "bandazos" no benefician la imagen de la AEPD.

José Juan Cerpa dijo...

El gran debate sobre si es justa la graduación de las saciones en la AEPD. Parece ser que en Suiza las multas de tráfico no sólo se pagan en función del tipo de infracción sino de la solvencia del infractor. Por conducir a 137 km/h una persona (con una fortuna de 16 millones de euros) fue sancionada con 202.000 euros de multa. Como opinión personal creo que en la protección de datos la graduación debería tener más peso. Si no que alguien me diga que puede pensar una gran compañía como un banco o de telefonía si la sancionan con 30.000 o 60.000 euros pero con la irregularidad obtiene un beneficio mayor. Para una pequeña empresa puede suponer su cierre.

Alejandro Valdezate dijo...

... pero en España no existe tal graduación económica. De hecho resulta arbitrario y caprichoso que un organismo, por su cuenta y riesgo, decida aplicarlo, y más sangrante aún que unas veces lo aplique y otras no, que es justo lo que estamos debatiendo.

Está claro que no está claro.

Paco dijo...

Yo no siendo abogado y no conociendo en profundidad la sitación jurídica sobre graduación de sanciones en función de la situación económica del denunciado, lo que sí tengo claro es que no puede ser como se titula la nota: ahora sí, ahora no.
Será que se puede o será que no se puede, pero señores de la AEPD póganse de acuerdo para que el resto de mortales sepamos a qué atenernos.

Pedro P.M. dijo...

Yo veo otra curiosidad, que es la cuestión de "envío masivo". Resulta que si recibes una comunicación comercial no solicitada y quieres denunciar y verdaderamente hacer daño a quien la envía, no lo haces a la primera, que ya sabes que le van a caer unos 1200€, sino que esperas a que tengas más de tres, y así lo consideran masivo y mínimo 30000€, que eso sí que debe hacer mucha pupa a una SL. Es un poco maquiavélico, pero real ¿no?

Anónimo dijo...

Estamos en lo de siempre... No por llevar un Mercedes pagas una multa de tráfico mayor....
Deberían editar un baremo por el que acojerse a reducciones, aunque creo que la multa debería ser igual para todos.

Marketing Positivo dijo...

Poco podría añadir (aparte de que el comentario de Pedro P.M. es verdaderamente maquiavélico), le habéis dado un buen repaso a la resolución entre todos ;-)

Gracias a todos por comentar.

Anónimo dijo...

Pues fijaos que este caso no lo veo criticable. Es una de las veces, cada vez mas rara, en que cumplen la ley. Y la ley no les da opción. Por eso en este caso yo no criticaria a la AEPD sino a la ley. Y de criticar a la Agencia lo haria en los casos en que se salta la ley con esa "gracia" a que nos tiene acostumbrados.

Respecto a la igualdad en las sanciones. No voy a descubria a nadie aquí la diferencia entre igualdad y equidad. Así, imponer una sanción de 30.000 euros a una empresa cuyo propietario obtiene esos beneficios no es lo mismo que imponer una multa por esa misma cantidad a una empresa cuyo director general gana 3 M. de euros al año. Porque la igualdad no es equidad, prefiero la equidad.

En estos momentos, con lo mal que está la economía, seguramente la empresa sancionada desaparezca, y además no pague la sanción. Hubiese sido más ejemplarizante, y práctico, una sanción de 3.000 €, que habria pagado el coste del procedimiento, hubiese permitido sobrevivir a la empresa, y desde luego habrian aprendido que lo tienen que hacer mejor.

Pit.-

Anónimo dijo...

Tras leer la resolución de la Agencia me llama la atención que los inspectores, una vez acreditados los hechos denunciados le han dedicado bastate esfuerzo a acumular pruebas que pudiesen permitir defenderse al denunciado. Seguramente verian durante la visita de inspección la situación de la empresa y procuraron hacer la menor sangre posible, viendo la que les iba a caer.

Pit.-

esalconsultores dijo...

Tal vez fuera algo importante para incluir en el orden del dia de la proxima reunion entre la APEP y la AGPD o para incluir esta inseguridad en la seccion de "ruegos y preguntas" de la proxima sesion abierta...
Algun voluntario/temerario? ;-)

Marketing Positivo dijo...

esalconsultores: Me lo pido xD

esalconsultores dijo...

Es lo que tiene ser de Bilbao... ;-)

Anónimo dijo...

La realidad es que los casos en que las empresas inquieren en supuestos delitos en materia de PD, uno se queda asombrado de la doble vara de medir que se utiliza en estos asuntos, por que está sucediendo en más de una ocasión que trabajadores y trabajadoras de las empresas que carecen de sistema de protección de datos, se les delegue todo tipo de responsabilidad, mientras que las empresas lo único que hacen es mirar hacia otro lado cuando hay expedientes a la vista de todo el mundo, y los únicos responsables son los trabajadores que no han recibido formación alguna en esta materia, se está produciendo un fraude de ley, ya que se aprovecha ese tipo de circunstancias para despedir a trabajadores a los que se les responsabiliza en exclusiva de este tipo de infracciones, no podemos equiparar la intencionalidad, y los datos realmente expuestos (lanzados en un contenedor, a la vista de cualquiera), a la posible falta de cuidado profesional en el tratmiento de datos de carácter personal. La ley es muy ambigua en este caso, y más de una empresa está actuando de manera deshonesta con este tipo de actuaciones, y lo que es peor, de manera cínica e hipócrita, pero todo sea por limpiar el "buen nombre de las empresas", descargando todo sobre los hombros de trabajadores, que pueden cometar algún error, pero de los que suceden a diario, y nadie, les pide responsabilidades (centros públicos por ejemplo, recientemente en Madrid, un centro de menores). Las decisiones de la AEPD son en muchos casos contradictorias, y poco cedificantes para el futuro, por que aplican la graduación de las sanciones no en función de l daño REAL que se haya podido producir, si no en función de la relevancia de la institución a la que se va a sancionar, o del hipotético daño que se pudiera producir, pero es como todo, la ley del embudo (manga ancha para algunos, y estrecha para otros).

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.