Tecnologías de la Información Madrid, junio de 2016 La Agencia Española de Protección de Datos lanza un nuevo aviso para redes sociales y apps La Agencia Española de Protección de Datos (“AEPD”) ha sancionado con una multa de 10.000 € a la entidad propietaria de una aplicación por envío de comunicaciones comerciales no autorizadas. La noticia no tendría mayor relevancia si no fuera por el hecho de que la app en cuestión, que permite a los usuarios localizar opciones de ocio y entretenimiento en las ciudades que seleccionen, disponía de la ya habitual opción “enviar a un amigo”. En concreto, permitía que los usuarios registrados invitaran a sus contactos a descargarse la aplicación y comenzar a utilizarla a través de un correo electrónico del tipo: “Fulanito te ha regalado 5 € de crédito y quiere que utilices la app X. Consigue tu ticket gratis introduciendo el código YYYY.” Fue uno de los receptores de estos correos electrónicos quien presentó la denuncia ante la AEPD. La principal defensa de la entidad sancionada, de acuerdo al resumen de las alegaciones presentadas que se incluye en la resolución, se basa en el hecho de que se trata de una invitación enviada por un tercero (alguien que tiene entre sus contactos al receptor del e-mail), no de una comunicación comercial remitida por la propia empresa. La empresa no almacena datos personales de los receptores, como verificó la AEPD en la inspección realizada. Tampoco decide cuántas veces o a quién se remiten los e-mails. A pesar de que este argumento está bien construido y resulta sólido, la AEPD impone, como se ha indicado, una multa de 10.000 € (cantidad que, por cierto, resulta ligeramente superior a las que nos tiene acostumbrados en este tipo de procedimientos). Su razonamiento para ello es, en síntesis, el siguiente: 1º. Los correos electrónicos con la invitación constituyen una comunicación comercial, que encaja en la definición recogida en el Anexo f), párrafo primero de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (“LSSICE”). No resulta de aplicación a este supuesto la excepción contenida en el citado precepto, que determina que no tendrán la consideración de comunicaciones comerciales las relativas a bienes, servicios o a la imagen de una entidad cuando sean elaboradas por un tercero y sin contraprestación económica. 2º. Es la entidad sancionada la única responsable del envío de las comunicaciones desde el momento en que se producen las siguientes circunstancias: - - - La empresa responsable de la app determina el mecanismo a través del cual una persona va a ser invitada a registrarse y el texto que va a recibir con la comunicación. Es decir, decide que dicha comunicación se remita a través de e-mail (no a través de SMS u otro tipo de mensaje) y con un contenido concreto que el usuario no puede modificar. Todos los detalles técnicos de la operativa, incluyendo la gestión de los envíos a través de una herramienta de email concreta, contratada por la entidad sancionada, han sido decididos por ésta última, incluyendo el hecho de que sea el usuario registrado quien seleccione a sus amigos entre su agenda de contactos. Además, incentiva el uso de la opción a través de cupones y descuentos, dirigidos tanto al usuario ya registrado como al que recibe el e-mail. En definitiva, la opción “enviar a un amigo” es un mecanismo diseñado por la empresa responsable de la app para enviar comunicaciones comerciales por medios electrónicos en su beneficio, y debió mostrarse más diligente a la hora de implementar la misma. En este sentido, la AEPD parece apuntar al concepto de “Privacy by Design” al indicar lo siguiente: “En este orden de ideas, esta Agencia considera que a XXX le era exigible otra conducta diferente de la que observó. Se entiende que hay responsabilidad en la comisión de la infracción imputada por parte de esa empresa a título de culpa, ya que en el procedimiento no consta que en su condición de prestador del mencionado Servicio de la sociedad de la información hubiera adoptado, con anterioridad al diseño, habilitación y puesta en marcha de la operativa de la Aplicación XXX de su titularidad, la diligencia y el deber de cuidado que le eran exigibles para asegurarse de la naturaleza exacta de los correos electrónicos que se dirigían a los contactos de los usuarios registrados que utilizaban la funcionalidad L.L.L. integrada en la mencionada aplicación, ello a los efectos de condicionar su remisión al cumplimiento de los requisitos establecidos por la LSSI para la remisión de comunicaciones comerciales por vía electrónica.” A la vista del planteamiento de esta resolución, las empresas que han lanzado apps al mercado con opciones similares a la descrita deberían plantearse reconfigurar dichos mecanismos. En este sentido, no parece que queden muchas alternativas 100% seguras, salvo recomendar al usuario que envíe él mismo un correo electrónico, utilizando sus propios medios y con un texto redactado por él. La resolución que comentamos resulta interesante, además, en relación a otros aspectos que trata de manera accesoria a la discusión principal: 1. Se analiza la relación entre una entidad ubicada en Estados Unidos, la propietaria de la app y responsable última del servicio, y una sociedad española, participada por la primera compañía, que se limita a realizar tareas de soporte técnico, pero que es la referencia en nuestro país para los usuarios de la aplicación. La sociedad norteamericana, por cierto, no pone en duda ni la aplicación de la normativa española ni la competencia de la AEPD. La sociedad española, como mero prestador de servicios, queda finalmente exonerada de culpa. 2. La AEPD aclara, como ya ha hecho en otras resoluciones, que la posibilidad de apercibir a una entidad en lugar de abrir procedimiento sancionador no se aplica de forma automática: “(…) La previsión (…) de sustituir la incoación de un procedimiento sancionador por la figura del apercibimiento al infractor es potestativa del órgano sancionador, correspondiendo su ponderación a dicho órgano atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado 1 del mismo precepto, siempre y cuando también se cumplan los presupuestos a) y b) citados en el propio precepto. Es decir, la aplicación del artículo 39 bis 2 de la LSSI resulta excepcional, correspondiendo al órgano sancionador ponderar la concurrencia de los requisitos fijados en el mismo así como su aplicación”. En este caso, la AEPD a la hora de tomar la decisión tiene en cuenta, entre otras cuestiones, que el denunciante se puso en contacto con la empresa sancionada en al menos dos ocasiones solicitando no recibir más comunicaciones comerciales, hasta que ésta decidió atender su petición. En su defensa, la entidad responsable de la app señaló que no disponía de ninguna lista de receptores de invitaciones, ni podía impedir que un usuario utilizara según su conveniencia la opción “enviar a un amigo”. La Agencia considera que esto supone falta de diligencia en el diseño de la aplicación. El texto completo de la resolución, puede consultarse en este link. La resolución analizada se suma a la emitida el año pasado en relación a otra conducta también muy extendida: el envío de comunicaciones comerciales no autorizadas a través de la aplicación Whatsapp. Las empresas han comenzado a abrir cuentas corporativas en esta aplicación para atender pedidos, reclamaciones y quejas, y en general, para comunicarse con sus clientes. La gratuidad y facilidad de uso de la app, que por otra parte se encuentra muy extendida, hace que cada vez con mayor frecuencia se sustituyan los SMS por mensajes de Whatsapp. La AEPD impuso en 2015 la primera sanción por realizar actividades promocionales en este medio incumpliendo la LSSICE. En este caso, el denunciante presentó pruebas de haber recibido mensajes publicitarios de una discoteca (en su mayoría vídeos), a través de la aplicación Whatsapp, de hasta seis números de teléfono distintos, que no ofrecían un mecanismo que permitiera manifestar la oposición a recibir nuevas comunicaciones. La multa impuesta en su momento a la entidad que remitía publicidad (600 €) resulta casi simbólica, pero el hecho de que se decidiera abrir procedimiento sancionador en lugar de apercibir, demuestra el interés de la AEPD por perseguir este tipo de comportamientos. El texto completo de la resolución, puede consultarse en este link. Más Información Norman Heckh Socio [email protected] www.ramonycajalabogados.com © 2011 Ramón y Cajal Abogados, S.L. María Luisa González Tapia Abogado Senior [email protected] Almagro, 16-18 28010 Madrid T +34 91 576 19 00 F +34 91 575 86 78 Elisabet Viñes Vila Abogado Junior [email protected] Caravel•la La Niña, 12, 6ª planta 08017 Barcelona T +34 93 494 74 82 F +34 93 419 62 90 Emilio Arrieta, 6 1º Derecha 31002 Pamplona T +34 94 822 16 01