TOP

YA NO SE REQUIERE EL CONSENTIMIENTO PARA ENVIAR SPAM

O eso al menos es lo que sostiene la Agencia Española de Protección de Datos en una de sus resoluciones, donde afirma que (...) 24/04/2012
O eso al menos es lo que sostiene la Agencia Española de Protección de Datos en una de sus resoluciones, donde afirma queen la medida en que la página de la empresa que envía la comunicación comercial por correo electrónico dispone de un formulario para darse de alta en la “lista de spam”, no procede comprobar si existe o no consentimiento.
Por todos es más o menos conocido que para la remisión de comunicaciones comerciales por vía electrónica (también conocido como “spam”) se requiere el consentimiento previo del destinatario; esto es lo que viene a decir la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico en el artículo 21:
Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
Esto que suena tan simple parece ser que tiene diversas interpretaciones; en la Resolución de fecha 19 de julio de 2011 de la Agencia Española de Protección de Datos (AEPD) se denuncia la recepción de varios correos electrónico de contenido comercial sin que el destinatario haya dado su consentimiento al emisor.
Tras las comprobaciones de rigor, se solicita a la empresa que envió esas comunicaciones que alegase lo que estimara oportuno, afirmando entre otras cosas que:
a) Nunca se envían emails no solicitados, siendo que las personas que reciben las newsletter es porque lo han solicitado expresamenet a través del formulario de alta de información de ofertas en la web de la empresa.
La Inspección de Datos verifica que en efecto en la página web de la empresa denunciada hay un formulario electrónico de solicitud de información.
Lo que procedería a continuación es verificar si en efecto ese usuario que ha denunciado la recepción de “spam” se ha dado de alta para lo cual se me ocurren dos opciones:
a) Que el “alta” se realice mediante un sistema de verificación de emails, esto es, que el usuario que introduce su email en ese formulario para darse de alta recibe un email de confirmación y mientras no lo confirme siguiendo las instrucciones de ese email el alta no se produce de forma efectiva.
b) Que se guarde un registro de la dirección IP desde la cual se da de alta el usuario en esa “lista de spam” también llamada “newsletter”. Esta opción es la que, por ejemplo, permitió a esta misma Agencia sancionar en su día a una persona que dio de alta a otra sin su consentimiento en una de estas listas de spam.
Pero volviendo al caso que tratamos hoy, la AEPD, tras las declaraciones de la empresa denunciada, no realiza más comprobaciones, sino que directamente pasa a resolver.
La motivación de la resolución se la ventila en un par de párrafos, que transcribo literalmente:
En este caso, procede resaltar que la página web que contiene la información relativa STIC DIGITAL S.L. dispone de un formulario en el que se recaba, entre otros datos, la dirección de correo para remitir información a quienes lo cumplimentan. Además en el correo electrónico que usted recibió consta información sobre el procedimiento habilitado para oponerse al envío de comunicaciones comerciales.
Por ello, y a fin de evitar dudas razonables sobre la existencia de consentimiento en la remisión de los correos comerciales, usted puede utilizar el procedimiento indicado en el correo electrónico objeto de denuncia para no recibir nuevos envíos comerciales, pudiendo dirigirse a esta Agencia Española de Protección de Datos si su petición no fuera atendida aportando la documentación acreditativa de haber solicitado la oposición.
Nótese que en la propia resolución se dirigen directamente al denunciante “… que usted recibió consta información…“, “… usted puede utilizar...” algo inusual en una Resolución.
Pero en efecto viene a decir que primero prueba a darte de baja de esa lista y si no te dan de baja entonces ya acude a nosotros Agencia para que te tutelemos; pero es que según la LSSI la cosa no funciona así: si recibo un correo electrónico de contenido comercial sin mi consentimiento y lo denuncio, lo que procede (y lo que se venía haciendo) es solicitar al emisor que acredite haber obtenido el consentimiento ya que al receptor le es imposible acreditar que NO cuentan con su consentimiento ¿cómo podría yo probar que no me he dado de alta en una lista de spam?
Y es que además esta carga va en consonancia con el artículo 12.3 del Real Decreto 1720/2007 que dice: “Corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho.“
Por tanto y a tenor de lo que establece esta Resolución, cabe concluir que si existe un formulario en la página web de la empresa para darse de alta en las listas de spam (o newsletters) y en cada comunicación indicamos un medio para darse de baja, podremos enviar spam libremente.
No obstante quiero pensar que detrás de esta Resolución existen hechos que ignoramos y que han justificado archivar directamente la denuncia sin más indagaciones…

EL TJUE DECIDIRÁ SOBRE CUESTIONES PLANTEADAS POR LA AUDIENCIA NACIONAL EN RELACIÓN CON EL LLAMADO "DERECHO AL OLVIDO"

La Audiencia Nacional ha planteado a través de un auto una cuestión prejudicial al Tribunal de Justicia de la Unión Europa en relación con el llamado "derecho al olvido". 02/03/2012 Fuente: LEXNOVA Blogs. 02/03/2012
Dentro de uno de los muchos procedimiento similares (unos 130) que se encuentran en tramitación en esta sede judicial, la Sala de lo Contencioso Administrativo de la Audiencia Nacional, antes de resolver, ha decidido plantear siete preguntas al TJUE.
Las preguntas resumen a mi juicio muy bien y casi por completo la problemática. Resumiendo, el asunto consiste en si el buscador Google (en este caso, pero es aplicable a otros, por supuesto) realiza un tratamiento de datos de carácter personal y si la normativa española (o europea) le es aplicable, en cuyo caso deberá atender las peticiones de cancelación de datos que le remitan los afectados relacionadas con los resultados de búsqueda.
La sentencia del TJUE será determinante, aunque hay que tener en cuenta que en el borrador del texto del futuro Reglamento europeo sobre protección de datos se incluye un apartado dedicado al “derecho al olvido”, con lo cual la decisión será relativamente menos trascendente.
Las siete cuestiones sobre las que deberá decidir el TJUE son las siguientes:
1 - ¿Debe interpretarse que existe un “establecimiento”, en los términos descritos en el art. 4.1.a) de la Directiva 95/46/CE, cuando concurra alguno o algunos de los siguientes supuestos:
- cuando la empresa proveedora del motor de búsqueda crea en un Estado Miembro una oficina o filial destinada a la promoción y venta de los espacios publicitarios del buscador, que dirige su actividad a los habitantes de ese Estado,o
- cuando la empresa matriz designa a una filial ubicada en ese Estado miembro como su representante y responsable del tratamiento de dos ficheros concretos que guardan relación con los datos de los clientes que contrataron publicidad con dicha empresa o
- cuando la oficina o filial establecida en un Estado miembro traslada a la empresa matriz, radicada fuera de la Unión Europea, las solicitudes y requerimientos que le dirigen tanto los afectados como las autoridades competentes en relación con el respeto
al derecho de protección de datos, aun cuando dicha colaboración se realice de forma voluntaria?
2- ¿Debe interpretarse el art. 4.1.c de la Directiva 95/46/CE en el sentido de que existe un “recurso a medios situados en el territorio de dicho Estado miembro” cuando un buscador utilice arañas o robots para localizar e indexar la información contenida en páginas web ubicadas en servidores de ese Estado miembro o cuando utilice un nombre de dominio propio de un Estado miembro y dirija las búsquedas y los resultados en función del idioma de ese Estado miembro?
¿Puede considerarse como un recurso a medios, en los términos del art. 4.1.c de la Directiva 95/46/CE, el almacenamiento temporal de la información indexada por los buscadores en internet? Si la respuesta a esta última cuestión fuera afirmativa, ¿puede entenderse que este criterio de conexión concurre cuando la empresa se niega a revelar el lugar donde almacena estos índices alegando razones competitivas?
3- ¿Debe aplicarse la Directiva 95/46/CE en materia de protección de datos, a la luz del art. 8 de la Carta Europea de Derechos Fundamentales, en el país miembro donde se localice el centro de gravedad del conflicto y sea posible una tutela más eficaz de los derechos de los ciudadanos de la Unión Europea?
4- ¿Debe interpretarse la actividad consistente en localizar la información publicada o incluida en la red por terceros, indexarla de forma automática, almacenarla temporalmente y finalmente ponerla a disposición de los internautas con un cierto orden de preferencia, cuando dicha información contenga datos personales de terceras personas, comprendida en el concepto de “tratamiento de datos”, contenido en el art. 2.b de la Directiva 95/46/CE?
5- ¿Debe interpretarse el artículo 2.d) de la Directiva 95/46/CE, en el sentido de considerar que la empresa que gestiona el buscador “Google” es “responsable del tratamiento” de los datos personales contenidos en las páginas web que indexa?
6- ¿Puede la autoridad nacional de control de datos (en este caso la Agencia Española de Protección de Datos), tutelando los derechos contenidos en el art. 12.b) y 14.a) de la Directiva 95/46/CE, requerir directamente al buscador para exigirle la retirada de sus índices de una información publicada por terceros, sin dirigirse previa o simultáneamente al titular de la página web en la que se ubica dicha información? ¿Se excluiría la obligación de los buscadores de tutelar estos derechos cuando la información que contiene esos datos se haya publicado lícitamente por terceros y se mantenga en la página web de origen?
7- ¿Debe interpretarse que los derechos de supresión y bloqueo de los datos, (regulados en el art. 12.b) y el de oposición (regulado en el art. 14.a de la Directiva 95/46/CE), incluyen la posibilidad de que el interesado puede dirigirse frente a los buscadores para impedir la indexación de la información referida a su persona amparándose en su voluntad de que la misma no sea conocida por los internautas cuando considere que puede perjudicarle o desea que sea olvidada, aunque se trate de una información publicada lícitamente por terceros?

AMETIC DENUNCIA LA ADJUDICACIÓN POR PRECIO EN PROYECTOS DE SERVICIO TIC

Este escenario imposibilita la modernización del sector público e implantar la administración electrónica que exige la Ley Insta a la Administración a revisar la situación y a establecer recomendaciones para que la valoración técnica prevalezca. 20/03/2012
Las empresas se sienten obligadas a ser agresivas en el precio y a
establecer los centros de producción fuera de España
La Asociación de Empresas de Electrónica, Tecnologías de la Información,
Telecomunicaciones y Contenidos Digitales (AMETIC) pone de manifiesto la
dificultad de realizar proyectos de calidad y que aporten valor, además del
perjuicio que se está ocasionando al sector Servicios TI, por una incorrecta
aplicación de la Ley de Contratos del Sector Público (LCSP 30/2007) por la
que se están adjudicando los proyectos de Consultoría y Servicios TI a la
oferta más económica aunque su valoración técnica no sea buena.
AMETIC advierte de que en muchas licitaciones públicas el precio es el único
criterio automáticamente cuantificable y supone en muchos casos el 70 y
hasta el 80 por ciento de la valoración de las ofertas, mientras que el criterio
que evalúa la calidad de la oferta pondera únicamente entre un 20-30 por
ciento. Esto convierte en la práctica las licitaciones en subastas.
Además, AMETIC añade que la coyuntura económica actual - en que los
recortes presupuestarios han supuesto una reducción importante de las
licitaciones públicas - no ha hecho más que acentuar este problema, puesto
que esta contracción de la demanda está haciendo que algunas empresas del
sector sufran serias dificultades y tengan que ser muy agresivas en precio
para intentar ganar a toda costa. Esto es especialmente grave en proyectos de
Consultoría y Servicios TI ya que esta práctica origina una seria dificultad
para maximizar el cociente Valor aportado/Precio que es el que realmente hay
que maximizar para obtener el mejor resultado del proyecto para el órgano
contratante, según la asociación.
Este escenario está ocasionando la imposibilidad de adjudicar contratos a las
ofertas que aportan más valor y que ayudarían a la real modernización de la
Administración (Educación, Sanidad, y Justicia, entre otros ámbitos), así
como a los proyectos de implantación de administración electrónica que exige
la Ley 11/2007 en el ámbito estatal, autonómico y local.
Por otro lado, para AMETIC, el empleo es otro de los aspectos esenciales que
se está viendo deteriorado ya que la presión excesiva centrada en el precio y
los márgenes están forzando a que, cada vez más, los proyectos se lleven a
cabo en otros países con menores costes. Este factor impide el crecimiento
continuado del empleo de calidad y, por consiguiente, afecta negativamente a
la capacidad de España y sus empresas TIC para atraer y retener talento. En
definitiva, repercute en la competitividad de nuestro país en un sector tan
clave como éste.
Análisis en Profundidad
AMETIC considera que el sector público debería hacer un análisis en
profundidad sobre este tema y establecer recomendaciones para que, siempre
en el marco de cumplimiento de la LCSP, la valoración técnica de las ofertas
presentadas tenga el suficiente peso en los criterios de adjudicación, sobre
todo en aquellas licitaciones que tengan como objeto proyectos de consultoría
o servicios TI.
En esta línea, AMETIC insiste en que únicamente si se ponen en práctica
estas medidas se podrá garantizar el éxito de los proyectos TI que la
administración lleve a cabo y a la vez favorecer el crecimiento del empleo en
un sector clave para la reactivación económica.
AMETIC es la asociación de la Electrónica, Tecnologías de la Información,
Telecomunicaciones y Contenidos Digitales, que representa a más de 5.000
empresas del hipersector TIC cuya actividad aporta en torno al 6% del PIB
español y la mayor parte del esfuerzo privado nacional en I+D.
Madrid, 20 de marzo de 2012

A LAS REDES SOCIALES LES CUESTA 'OLVIDAR'

Es complicado, pero se puede dejar atrás la cuenta de Facebook, de Google+, de Tuenti o de Twitter. Otra cosa es comprobar si nuestros datos realmente se han borrado de sus servidores. Fuente: El Mundo 5/03/2012
La cuestión no es menor: los datos son la verdadera riqueza de Internet, un maná que las redes sociales han sabido aprovechar dado que el mercado publicitario en la Red está en manos de quienes dispongan de los mejores datos sobre los usuarios.
La prueba de ello se encuentra, precisamente, en las noticias que generan compañías como Facebook, camino de salir a Bolsa con unos amplios márgenes de beneficio gracias a la publicidad y los videojuegos 'online', y que ha visto cómo su valoración se dispara hasta los más de 100.000 millones de dólares.
Recientemente, Google anunciaba la unificación y simplificación de sus políticas de privacidad de cerca de 60 servicios diferentes, tales como Gmail, YouTube o Picasa. En la práctica, la compañía informa de que a partir del 1 de marzo podrá cruzar los datos de sus usuarios, integrar y 'aprender' más de ellos, con lo cual "mejorarán los anuncios". Esa información es, por tanto, extremadamente valiosa.
La legislación española prevé, especialmente a través del ejercicio del derecho de cancelación, que un ciudadano pueda solicitar el borrado de todos aquellos datos personales cuya retención no esté amparada por otro derecho. En el caso de una red social, los datos que voluntariamente publicamos en nuestros perfiles deberían ser borrados una vez retiramos nuestro consentimiento.
¿Se borran los datos?
En realidad, es muy complicado saber con certeza si una red social ha borrado realmente los datos de una cuenta que el usuario cancela. El amparo con el que cuenta el ciudadano es, por tanto, limitado, debido a la propia naturaleza de Internet y su carácter global.
La propia comisaria de Justicia de la UE y principal impulsora de la armonización de la protección de datos, Viviane Reding, confiesa que "jamás puedes estar seguro de que los datos se han borrado efectivamente, teniendo en cuenta la 'nube' y dónde están localizados los servidores". Las leyes sobre protección de datos tienen una aplicación territorial, mientras que Internet no conoce fronteras.
El caso del estudiante austriaco Max Schrems que denunció a Facebook por incumplir la legislación europea en materia de protección de datos se ha convertido en un auténtico paradigma, según Reding, "de lo que funciona y de lo que no". Schrems, una auténtica 'china' en el zapato de la red social más grande del mundo, demostró el pasado año que Facebook guarda una gran cantidad de información que, en teoría, debería estar borrada. Al final, su investigación se tradujo en 22 denuncias interpuestas ante las autoridades regulatorias de Irlanda, país en donde Facebook tiene sus oficinas europeas.
"No estamos regulando sobre servidores o la nube, sino sobre compañías con representación legal en Europa", asegura Reding, "así que si quiere hacer negocios en Europa tienen que responder ante un regulador nacional, que deberá operar bajo una norma que será igual para todos los estados de la UE, ya no habrá sitios donde 'esquivar' esto en la UE porque la ley se aplicará igual en todas partes".
¿Se puede comprobar si realmente los datos son borrados a petición de un usuario? Para el director de la Agencia Española de Protección de Datos (AEPD), José Luis Rodríguez Álvarez, las autoridades "pueden realizar inspecciones para verificar el efectivo cumplimiento, pero no es la regla". Y el ciudadano no tiene derecho a reclamar estas verificaciones. Si existe un indicio de incumplimiento, el propio director de la AEPD puede ordenar una comprobación. No obstante, recuerda que no hay medios para comprobar cada caso, aunque remarca "un incumplimiento o un engaño ante una resolución de la AEPD tiene consecuencias gravísimas, con sanciones muy altas".

LA AEPD CELEBRA UN ENCUENTRO DE TRABAJO CON REPRESENTANTES DEL COMITÉ DE PROTECCIÓN DE DATOS DE LA CEOE

El director de la Agencia Española de Protección de Datos (AEPD), José Luis Rodríguez Álvarez, recibe al director de HELAS, D. José Helguero, junto con otros miembros del Comité de Protección de Datos de la CEOE.
Helas.MVC4.Models.Shared.FileViewModel

El director de la Agencia Española de Protección de Datos (AEPD), José Luis Rodríguez Álvarez, junto con otros miembros de la Institución, participa en un encuentro de trabajo en la sede de la Agencia con representantes del Comité de Protección de Datos de la CEOE, entre los que se encuentran su presidenta, Elena Gómez del Pozuelo; el jefe del Área de Asuntos Industriales e Innovación y Secretario de la Comisión de I+D+i de la CEOE, César Maurín; el representante de AMETIC, José Helguero, la letrada del Departamento Jurídico de ASNEF-EQUIFAX, Almudena Encinas, y el comisionado de Relaciones Internacionales de la Federación Española de Seguridad (FES), Ignacio Carrasco. Entre los asuntos a tratar destaca la videovigilancia, la reciente sentencia del Tribunal Supremo en relación con el interés legítimo, o los ficheros de solvencia patrimonial.