TOP

EL TJUE DECLARA INVÁLIDO EL NIVEL DE PROTECCIÓN DEL PUERTO SEGURO

El Tribunal afirma que el objetivo de la Directiva 95/46/CE no es tanto asegurar la libre circulación de la información sino garantizar el elevado nivel de protección de los derechos fundamentales consagrado en la Carta de Derechos Fundamentales de la UE.

EL TJUE DECLARA INVÁLIDA LA DECISIÓN DE LA COMISIÓN QUE DECLARA EL NIVEL ADECUADO DE PROTECCIÓN DEL PUERTO SEGURO

El Tribunal afirma que el objetivo de la Directiva 95/46/CE no es tanto asegurar la libre circulación de la información sino garantizar el elevado nivel de protección de los derechos fundamentales consagrado en la Carta de Derechos Fundamentales de la UE.

El Tribunal de Justicia de la Unión Europea (TJUE) ha hecho pública hoy la sentencia que anula la Decisión de la Comisión 2000/520/CE que establece el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro publicado por su Departamento de Estado.

El Tribunal afirma que el objetivo de la Directiva 95/46/CE de Protección de Datos no es tanto asegurar la libre circulación de la información sino, sobre todo, garantizar el elevado nivel de protección de los derechos fundamentales     consagrados por los artículos 7 y 8 de la Carta de Derechos Fundamentales de la UE.

La sentencia proclama que la Decisión de Puerto Seguro es inválida  por dos motivos:







•Porque entiende que prevalece incondicionalmente y sin ninguna limitación "la seguridad nacional, el interés público o el cumplimiento de la ley" sobre los derechos fundamentales a la intimidad y la protección de datos, sin otorgar a los ciudadanos europeos ningún medio para obtener la tutela efectiva de esos derechos.







•Porque no otorga a los Estados miembros un margen suficiente para suspender las transferencias en caso de que estos apreciaran una vulneración de los derechos de los ciudadanos europeos.


La sentencia establece que las Autoridades independientes de protección de datos son un elemento clave para salvaguardar el elevado nivel de protección de esos derechos, no sólo en el tratamiento que se realiza dentro de la UE sino también en los movimientos internacionales de datos. De ese modo, una Decisión adoptada por la Comisión no puede limitar la potestad de las Autoridades para examinar, ante una reclamación de un ciudadano, el nivel adecuado de protección en el país de destino de una transferencia. Por tanto, en caso de que la Autoridad considere que ese nivel no es adecuado, debe disponer, conforme a la Directiva, de medios suficientes para poder instar la anulación de esa Decisión.

El Tribunal afirma que para que se considere que un país otorga un nivel adecuado de protección su ordenamiento jurídico deberá establecer un nivel de garantías "esencialmente equivalente" al establecido en la Unión Europea, ya que sólo así se garantizan suficientemente los derechos fundamentales.

La sentencia, cuyas implicaciones marcan un punto de inflexión sobre la forma en la que se realizan las transferencias internacionales de datos a EEUU, reafirma la importancia de la intimidad y la protección de datos, derechos fundamentales que deben gozar de las mayores garantías posibles.

Las Autoridades europeas de protección de datos, que ya observaron deficiencias en el Puerto Seguro y las plasmaron en varias cartas y dictámenes, han planificado actuaciones para coordinarse en el análisis de las implicaciones de la sentencia y en las actuaciones nacionales que deban llevarse a cabo, garantizando una aplicación consistente de la misma en todos los países de la UE.



Fuente: www.agpd.es 6 de octubre de 2015



LA AEPD ANALIZA LOS RETOS Y LAS POSIBILIDADES DEL BIG DATA Y EL INTERNET DE LAS COSAS

La Agencia ha conmemorado el Día europeo de la protección de datos con una jornada dedicada a dos de las tecnologías emergentes que mayor impacto que pueden tener en la privacidad de los ciudadanos. Fuente: Agencia española de protección de datos Fecha: 28

La Agencia ha conmemorado el Día europeo de la protección de datos con una jornada dedicada a dos de las tecnologías emergentes que mayor impacto que pueden tener en la privacidad de los ciudadanos.

La Agencia Española de Protección de Datos (AEPD), con la colaboración de la Comisión Europea, ha conmemorado el Día europeo de la protección de datos con la Jornada 'Protección de datos y tratamientos masivos de información', en la que se ha analizado el impacto que pueden tener en la privacidad de los ciudadanos tecnologías como el Big data y el internet de las cosas.

La Agencia ha optado por organizar una Jornada de debate y análisis con expertos e investigadores consciente de que el desarrollo de estas tecnologías no puede abordarse únicamente desde un enfoque normativo y que es necesario realizar una reflexión más profunda sobre los límites de estos sistemas y la necesidad de conciliar los beneficios de la innovación y la economía digital con el respeto a los derechos fundamentales de las personas.

Desarrollos como el Big data y el internet de las cosas supone una fuente de innovación que puede generar grandes beneficios sociales y brindar importantes perspectivas de crecimiento pero, al mismo tiempo, plantean múltiples retos de privacidad y seguridad que no pueden ser ignorados. "La consideración de la protección de datos como un derecho fundamental tiene efectos jurídicos vinculantes también en el ámbito de internet y las nuevas tecnologías, lo cual adquiere especial relevancia en un entorno cambiante como este en el que nos encontramos", ha destacado José Luis Rodríguez Álvarez, director de la Agencia Española de Protección de Datos.

Dentro del concepto de internet de las cosas se engloban actualmente múltiples desarrollos como la tecnología vertible, la domótica, las ciudades inteligentes o la comunicación entre máquinas. Con este término se hace referencia habitualmente a una infraestructura en la que objetos más o menos cotidianos integran diversos tipos de sensores y están diseñados para recoger, procesar, almacenar y transmitir datos, así como para interactuar con otros dispositivos usando las capacidades de la red.

En este sentido, la AEPD ha hecho referencia al impacto que tiene en la privacidad de los ciudadanos el hecho de que los datos puedan ser recogidos sin que los afectados se percaten de ello, y la posterior generación de múltiples flujos de información provocada por la intervención de una pluralidad de actores, que puede facilitar que los datos acaben siendo destinados a usos muy distintos de los originalmente previstos por los ciudadanos.

 

Una situación parecida es la que puede darse con las tecnologías de explotación de datos conocidas como Big data, cuyo objetivo es tratar grandes masas de datos con complejos algoritmos de análisis para extraer información oculta o correlaciones imprevistas, no deducibles ni infebriles con los métodos de análisis convencionales.

El Big data permite extraer conclusiones sobre individuos, señalar su proclividad a determinadas conductas, o predecir su probabilidad de encontrarse en determinados estados: situaciones económicas, enfermedades, etc. La evolución de este fenómeno y la utilización que se realice de esta tecnología es un tema que preocupa a la Agencia, ya que los perfiles que pueden extraerse sobre las personas pueden tener una enorme repercusión no sólo sobre su privacidad sino también en lo referente al libre desarrollo de su personalidad.

"Estas cuestiones deben abordarse desde un diálogo continuo entre ingenieros, desarrolladores y expertos en privacidad, y entre las empresas y las autoridades de control, teniendo siempre presente que el derecho a decidir sobre la propia información personal es un derecho fundamental y, como tal, es irrenunciable. En este terreno, no todo lo tecnológicamente posible resulta aceptable", ha subrayado el director de la AEPD.

La Agencia ha querido contar en esta Jornada con la participación de destacados expertos en estos sistemas pertenecientes tanto a entidades públicas como privadas, que han trasladado su visión de las posibilidades y retos que suponen estos fenómenos emergentes. Esta perspectiva se ha plasmado en la realización de dos mesas redondas temáticas presentadas por miembros de la AEPD. La primera, denominada 'El impacto del Big data en la protección de datos' ha contado con la presencia de Zsuzsanna Belenyessy, representante del Supervisor europeo de protección de datos, Ignacio Hernández Medrano, investigador del hospital Ramón y Cajal, y Scott Taylor, jefe de privacidad y protección de datos de HP. La segunda mesa redonda, 'La privacidad en el internet de las cosas', ha acogido las ponencias de Manuel García Sánchez, del área internacional de la AEPD, Borja Gómez Zarceño, gerente de M2M Estrategia de Telefónica y Asunción Santamaría, directora de CeDint - Universidad Politécnica de Madrid.

 

Día europeo de protección de datos - 28 de enero

El día europeo de la Protección de Datos es una efeméride impulsada por la Comisión Europea, el Consejo de Europa y las Autoridades de Protección de Datos de los estados miembros de la Unión Europea para promover el conocimiento entre los ciudadanos acerca de cuáles son sus derechos y responsabilidades en materia de protección de datos.

La creación del Día de la Protección de Datos se remonta a 2006, año en que el Comité de Ministros del Consejo de Europa estableció el 28 de enero como fecha para festejar el Día de la Protección de Datos en Europa, en conmemoración del aniversario de la firma del Convenio 108, piedra angular de la protección de datos en Europa. Actualmente esta propuesta se ha extendido a otros continentes, pasando a convertirse, en la práctica, en el Día internacional de la protección de datos y la privacidad.

5 TENDENCIAS DE LA GESTIÓN DE DATOS A SEGUIR EN 2015

Se ha estado hablando mucho del Big Data durante los últimos años, pero no ha sido hasta 2014 cuando las empresas han comenzado de verdad a tener en cuenta los datos para tomar sus decisiones empresariales. Autor: Carlos Dufour Fuente: ElMundo.es Fecha:

Se ha estado hablando mucho del Big Data durante los últimos años, pero no ha sido hasta 2014 cuando las empresas han comenzado de verdad a tener en cuenta los datos para tomar sus decisiones empresariales. Por ejemplo, Zara anunció que estaba usando datos y nuevas tecnologías para rastrear productos en tienda y así tomar decisiones más inteligentes y a medida. Esto se traduce en que cada vez que una prenda se vende, los datos provenientes del chip RFID (identificación por radio frecuencia) solicitan de inmediato un pedido al almacén para enviar un artículo idéntico y así reponer el que se acaba de vender.

En 2015 veremos empresas dando un paso más en este escenario, transformándose en organizaciones completamente dirigidas por el análisis de datos. Sin embargo, esto requerirá un cambio fundamental en el pensamiento y el enfoque. Invertir en las herramientas y tecnologías adecuadas es esencial, pero para que los datos sean un activo estratégico para la empresa, esta debe integrarlas en su cultura.

A continuación esbozo cinco predicciones para este año en cuanto a la gestión de datos, destacando que los conocimientos numéricos serán ineludibles en los negocios.

                                                             

Analítica avanzada y omnipresente

«Veremos empresas transformándose en organizaciones completamente dirigidas por el análisis de datos»

2015 será el año en que cada decisión derivará de la analítica. Las empresas deberán abandonar la toma de decisiones completamente instintiva ya que todos los movimientos se registrarán y analizarán gracias a los datos. Estos ya no serán sólo el idioma de los profesionales de TI, sino de todo el mundo de los negocios, especialmente en el ámbito de conocimiento más avanzado. Este camino marcado por los datos se convertirá en un activo para vencer a los competidores - sólo con los mejores datos y más puntos de vista las empresas serán capaces de triunfar.

 

Experiencias de marca unificada

El consumidor no piensa en canales o dispositivos, simplemente espera tener siempre la misma experiencia de marca, independientemente de la situación en la que interactúe con una empresa. Ya sea comprando un producto a través de la tableta, del ordenador o directamente en la tienda, el cliente quiere tener acceso a los mismos productos y marcas en las que confía.

Apple ha experimentado un gran éxito con su sistema de negocio profesional y sin fisuras, ya que ha sido capaz de conseguir que los consumidores creen un ecosistema único con sus productos. El reloj de Apple, por ejemplo, requiere de un componente esencial: un iPhone. Algunas de las características del reloj necesitan una conexión inalámbrica con el iPhone, lo que significa que Apple puede realmente poner su ecosistema a funcionar. El próximo año veremos más marcas creando sus propios ecosistemas, invirtiendo en software de datos con el fin de lograr las estrategias multicanal que pide el consumidor. De este modo, se unificarán las diferentes experiencias de compra.

 

El riesgo de los datos

La gestión, la calidad y la seguridad de los datos es cada vez más importante, más después de que compañías como Sony Pictures o Snapchat hayan experimentado, en el último año, algunas de las mayores violaciones de datos y privacidad. Las empresas se darán cuenta rápidamente de la importancia de los servicios de datos seguros y exigirán una mejor encriptación. Así que no hace falta esperar la quiebra de seguridad de una de las mayores compañías del mundo para empezar a prevenir fugas de datos o acciones de hackers.

 

La tecnología 'wearable' será la principal corriente

Según CCS Insight, se prevé que la comercialización de los dispositivos 'wearable' inteligentes crezca de 9,7 millones en 2013 a 135 millones en 2018. Los dispositivos de pulsera representarán el 87% del total, lo que equivale a 68 millones de relojes inteligentes y 50 millones de bandas inteligentes. Estos dispositivos tendrán un papel importante en el Internet de las Cosas ('Internet of Things'), y comenzarán a ser adoptados de manera más generalizada cuando las personas se den cuenta del valor de los datos. Por ejemplo, los sensores dentro de la ropa podrían prever una deficiencia de hierro y recomendar la compra de alimentos ricos en hierro, información que llegaría a la nevera del hogar, conectada con el sensor de la ropa.

 

La figura del Director Digital (Chief Digital Officer) ganará importancia

Con una visión estratégica, a través de los datos, sobre el comportamiento de los consumidores y sus productos favoritos, así como un conocimiento detallado de cuándo y dónde la gente compra, las empresas podrán construir sus estrategias basadas en ideas y datos comprobados. Con esto en mente, nacerá el papel del Director Digital, para promover el uso de los datos como un activo estratégico. La creación de este rol ya se había predicho en años anteriores, pero en 2015 se convertirá realmente en un cargo de influencia en las organizaciones. Tendrá un enfoque empresarial sobre el uso de los datos para formular estrategias, aumentar las ventas y mejorar los procesos dentro de la organización, y deberá asegurarse de que el personal posee las herramientas y habilidades necesarias para analizar, comprender e implementar la gran cantidad de datos.

Los datos se convertirán en predominantes este año; tanto en la sala de juntas para tomar decisiones empresariales y para informar a los productos fabricados, como en nuestra vida personal diaria. Sin embargo, con la analítica muy presente, garantizar la protección de estos datos debe ser primordial tanto en la agenda de las empresas como en el uso de datos para proporcionar una mejor experiencia del cliente. Aunque en general, para que los datos se conviertan realmente en un activo estratégico a largo plazo, las empresas deben integrarlos dentro de su cultura.

UN AÑO DE DERECHO AL OLVIDO EN EUROPA

Hoy 13 de mayo se cumple un año de la sentencia del Tribunal de Justicia Europeo que abrió la puerta a la aplicación del derecho al olvido digital en la Unión Europea. Fecha: 13/05/2015 Autor: Inma Moltó Fuente:www.derechoalolvido.eu

Hoy 13 de mayo se cumple un año de la sentencia del Tribunal de Justicia Europeo que abrió la puerta a la aplicación del derecho al olvido digital en la Unión Europea. Desde entonces se ha avanzado para marcar las pautas que regirán la aplicación de este derecho.

 

Justicia derecho al olvido

 

En la sentencia del 13 de mayo de 2014, el Tribunal de Justicia de la Unión Europea daba la razón a un ciudadano español que pedía la cancelación de resultados al buscar su nombre en Google, ya que se mostraba una información desactualizada. La Justicia reconoció la obligación de buscadores como Google de borrar informaciones y enlaces. Concretamente en su decisión señalaba “cuando, a raíz de una búsqueda efectuada a partir del nombre de una persona, la lista de resultados ofrece enlaces a páginas web que contienen información sobre esa persona, ésta puede dirigirse directamente al gestor del motor de búsqueda, o bien, si este último no accede a su solicitud, acudir a las autoridades competentes para conseguir que se eliminen esos enlaces de la lista de resultados, bajo determinadas condiciones”.

 

A lo largo de este año un grupo de expertos se ha reunido para tratar de delimitar estas determinadas condiciones, que se aludían en la sentencia, con el fin de buscar un equilibrio entre el derecho al olvido y el derecho a la información.

 

Entre las conclusiones a las que han llegado estos expertos, bautizados como el Consejo asesor de la UE en materia de protección de datos referentes al artículo 29, se encuentra la necesidad de aplicar el derecho al olvido de manera global, con el objeto de que se asegure una protección completa y efectiva del ciudadano. Esto implica que los resultados se eliminen en todos los dominios del buscador, incluido google.com. Este punto no es aceptado por Google.

 

Es de esperar que las condiciones generales de aplicación del derecho al olvido en Europa se marquen en el nuevo Reglamento de Protección de Datos Personales que sigue discutiendo Bruselas. Mientras éste llega, en España las condiciones las marca el Código de Derecho al Olvido, disponible en este enlace.

 

Desde la Agencia Española de Protección de Datos han hecho balance de este año, en el que la Audiencia Nacional ha dictado 72 sentencias sobre el derecho al olvido, acordando en un 75% de las mismas retirar los enlaces de los resultados de búsqueda. A esta cifra hay que añadir que Google ha desistido en 136 recursos que estaban pendientes de resolución, lo que implica una confirmación de los criterios de la Agencia en un 91% de los casos, señala en su web.

 

Entre estas sentencias dictadas por la Audiencia Nacional queremos destacar una en la que este órgano judicial abre la puerta a que se eliminen de Google resultados procedentes de fuentes oficiales, como boletines oficiales del estado, comunidades autónomas, fuentes públicas. Concretamente tal y como vemos en este artículo del Diario del Derecho, la Audiencia determina la eliminación de los resultados de Google de un enlace del Boletín Oficial de Castilla La Mancha al considerar que “la información ya no resulta necesaria para los fines que inicialmente la justificaron”.

 

En Bórrame durante este año hemos atendido las solicitudes de clientes que nos pedían asesoramiento y ayuda para conseguir su derecho al olvido. En total hemos tramitado la cancelación de 150 enlaces. Hemos cursado sus solicitudes para que ciertos enlaces desaparecieran de Google, consiguiéndolo para 80 enlaces y en los casos que ha sido necesario, cuando Google no ha atendido nuestras peticiones, les hemos representado ante la AEPD para conseguir la retirada de dicha información, teniendo éxito en la retirada de 60 enlaces.

EL CONSENTIMIENTO PARA RECIBIR COMUNICACIONES COMERCIALES REDUCIDO A SU MÍNIMA EXPRESIÓN

Hasta ahora parecía indiscutible que para la recepción de comunicaciones comerciales por vía electrónica se requiere el consentimiento previo del receptor; pero una sentencia de la Audiencia Nacional da un giro a este respecto. Autor: Samuel Parra Fecha: 2

Hasta ahora parecía indiscutible que para la recepción de comunicaciones comerciales por vía electrónica se requiere el consentimiento previo del receptor; pero una sentencia de la Audiencia Nacional da un giro a este respecto y establece que si el usuario recibe un email de publicidad no consentida inicialmente, pero no indica al emisor que no desea seguir recibiendo tales correos, se entiende que consiente a seguir recibiendo correos posteriores.

La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI) regula desde hace varios años la cuestión relativa al envío de comunicaciones comerciales por vía electrónica, esto es, al envío de lo que se conoce en la calle como “spam”, siempre que se haga por vía electrónica, como email o mensajes al móvil; en concreto esta ley nos viene a decir que para enviar este tipo de publicidad, por ejemplo por email, necesitamos previamente el consentimiento del receptor.

Nada nuevo ¿no? no hay duda: si me quieres enviar emails de publicidad, primero pídeme el consentimiento, y si te lo doy, entonces me envías las comunicaciones comerciales correspondientes (al margen de una excepción que a este respecto no viene al caso).

Pero esta conclusión no parece tan clara para la Audiencia Nacional que en su sentencia de 15 de julio de 2011 ha establecido, literalmente: “…en cada uno de los mails remitidos se ponía en conocimiento del denunciante la posibilidad de oponerse a recibir nuevas comunicaciones con un fácil procedimiento consistente en presionar el “clic” que se incluía en la comunicación, sin que el denunciante hubiese activado tal sistema y ello pudo ser interpretarse como conformidad con los posteriores envíos.“.

Esta Sentencia de la Audiencia Nacional trae causa de una sanción impuesta por la Agencia Española de Protección de Datos a una empresa por el envío de 5 correos publicitarios sin contar con el consentimiento del receptor; esta conducta, tipificada como grave, fue sancionada con multa fue de 30001 euros y objeto del recurso que comento.

Cabe indicar que con la redacción de la LSSI en el momento en el que ocurrieron los hechos, el envío de comunicaciones comerciales sin consentimiento podía suponer infracción leve o grave en función del número de envíos; así, si se enviaban más de tres comunicaciones sin consentimiento al mismo destinatario en el plazo de 1 año, sería una infracción grave, si son menos, leve.

Ahora la ley no habla de “tres comunicaciones al año”, sino de “envío masivo insistente y sistemático” (claramente una modificación para otorgar mayor seguridad jurídica al asunto), para pasar de leve a grave.

Pero como decía, en la fecha que ocurrieron los hechos más de 3 al año al mismo receptor era infracción grave.

Así las cosas, viene la interpretación de la Audiencia Nacional, afirmando que “En todo caso, Don Leandro no utilizó la posibilidad de darse de baja que se ofrecía en cada uno de los correos enviados, lo que supone un acto propio de reconocimiento de la admisión de los mails.”

Un “acto propio de reconocimiento de la admisión” ojo.

Para terminar concluyendo que:

“Ha quedado acreditado, y así lo recoge la Agencia de Protección de Datos, que en cada uno de los mails remitidos se ponía en conocimiento del denunciante la posibilidad de oponerse a recibir nuevas comunicaciones con un fácil procedimiento consistente en presionar el “clic” que se incluía en la comunicación, sin que el denunciante hubiese activado tal sistema y ello pudo ser interpretarse como conformidad con los posteriores envíos.”

En otras palabras, La Audiencia está diciendo que como el señor que recibió el primer email no utilizó la opción de dejar de recibir nuevas comunicaciones, cabe entender que está consintiendo para seguir recibiendo más comunicaciones comerciales, de forma que las sucesivas, al ser consentidas (por no haberse negado), son lícitas.

Esto supone una interpretación claramente contraria tanto al espíritu de la LSSI como a la propia redacción del artículo 21.1 de la LSSI que es el que regula este asunto.

El artículo 21.1 dice: “Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.”

El legislador podría haberlo expresado de muchas maneras, pero lo cierto es que impone un “consentimiento expreso” para la recepción de la publicidad, no otro tipo de consentimiento, habla de “que previamente no hubieran sido expresamente autorizadas por los destinatarios“.

En el sentido literal de la norma, parece claro que otro tipo de consentimiento, como el tácito o presunto, no cabe aquí.

Pero como hemos visto, la Audiencia no piensa así: si el destinatario tiene la posibilidad de cancelar la suscripción a los envíos comerciales y no lo hace, debe entenderse que los está consintiendo.

En consonancia con lo anterior, la Audiencia Nacional estima parcialmente el recurso de la empresa sancionada, y rebaja la calificación de infracción grave a leve, pues solo el primer email (la primera comunicación comercial) sería ilícita, siendo las restantes consentidas por la inactividad del receptor, realizando, en palabras de la Audiencia, un acto propio de reconocimiento de la admisión de esos emails.

¿Cómo está recogiendo la Agencia Española de Protección de Datos este criterio?

A pesar de que la Sentencia es del año 2011 y al menos para mí pasó desapercibida, no es hasta septiembre del año 2014 (que me conste) cuando la Agencia empieza a aplicar este criterio, archivando varias denuncias por la recepción de comunicaciones comerciales no consentidas.

Así, en el E/01948/2014 de 8 de septiembre de 2014, la Agencia archiva la denuncia presentada por un particular por recibir comunicaciones comerciales y no acreditar haberse negado a seguir recibiéndolas: “es plenamente aplicable el criterio de la Audiencia Nacional según el cual la denunciada pudo entender que la ausencia de oposición al primero de los mensajes suponía conformidad con el envío de los siguientes.“.

Algo muy similar ocurre en el E/02769/2014 de 1 de octubre.

Más esclarecedor es por ejemplo el E/05967/2014 de 5 de noviembre, donde se dice:

“Así las cosas, esta Agencia entiende que, la doctrina jurisprudencial anteriormente expuesta resulta de plena aplicación al supuesto que nos ocupa ya que, al no existir constancia de que XXXXXX S.L haya tenido conocimiento de la voluntad del denunciante de oponerse a la recepción de nuevas comunicaciones comerciales en sus señas electrónicas, resulta verosímil que la entidad denunciada pudiera entender que la ausencia de oposición al primero de los envíos citados en el mes de enero de 2013, suponía conformidad con los siguientes correos comerciales electrónicos.“.

De seguir aplicándose este criterio, nos encontraremos con que en los casos en los que no nos opongamos a seguir recibiendo más comunicaciones comerciales, incluso la primera será difícilmente perseguible por el plazo de prescripción que tienen las infracciones leves en la LSSI: 6 meses. Teniendo en cuenta que la presentación de la denuncia no interrumpe la prescripción, tendremos que ser muy rápidos a la hora de denunciar el asunto o la infracción prescribirá antes de que la AEPD acuerde iniciar procedimiento sancionador.

Imaginemos el siguiente escenario: recibo un email de publicidad no solicitada el día 1 de marzo de 2015. Como es el primero que recibo, no le doy mayor importancia y lo meto a la carpeta de spam sin más (paso de hacer click en un enlace de un correo de spam para darme de baja, a saber a dónde me lleva realmente, no es ninguna tontería esto que estoy diciendo); un mes después, el día 1 abril de 2015 recibo otro correo, ya me molesta pero vuelvo a pasar del asunto. El día 1 de mayo recibo otro y el 7 otro más, aquí ya cansado decido denunciar el asunto. Siendo ágil, presento la denuncia el día 15 de mayo, denunciando los correos de 1 de marzo, 1 de abril y 1 y 7 de mayo. Entre unas cosas y otras, la AEPD no decide iniciar procedimiento sancionador hasta después del verano, el día 20 de septiembre.

En aplicación de esta doctrina de la Audiencia Nacional, tendríamos que los correos posteriores al primero que recibí el día 1 de marzo son lícitos pues los consentí por mi inactividad (no hacer click para darme de baja por ejemplo). Quedaría sancionar el primero, el del 1 de marzo, pero como ya han pasado 6 meses desde que lo recibí, la infracción ha prescrito, así que se archiva el asunto.