Decisión AGPD sobre invitar amigos
En esta ocasión quería comentar una decisión del año pasado de la Agencia de Protección de Datos sobre una de las funcionalidades más frecuentes de la web 2.0 y las redes sociales: la invitación a amigos para probar un servicio. Realmente se trata de uno de los grandes ganchos que tienen las redes sociales para ampliar su número de usuarios y conseguir la permanencia de los ya existentes. En definitiva, ¿qué sería de una red social desierta de amigos y conocidos? Hasta este punto, parecería que un mecanismo de este tipo sería totalmente legítimo.
Pues bien, en su resolución 139/2008 la Agencia resolvió en contra de Iniciativas Virtuales, una empresa de marketing digital. La empresa enviaba un correo para dar a conocer sus servicios una vez que un usuario ‘recomendaba’ a un amigo, incluyéndolo en una lista de distribución de correos que no era procesada hasta haber recibido la aceptación del receptor de la comunicación. La empresa entendía que el correo se trataba de una comunicación personal entre un usuario y un tercero, entre pariculares en definitiva. No obstante, nuestro sistema de protección de datos se basa en el consentimiento del usuario a la hora de recibir cualquier tipo de comunicación, convirtiéndose ésta en indeseada si procede de un desconocido sin haber sido solicitada. En este sentido, resulta fundamental el hecho de que el correo se enviase desde la IP de la empresa citada antes bien que desde una cuenta de correo del usuario que invitaba.
La Agencia se ratifica en una definición de spam ya consabida:
“De este modo se entiende por “spam” cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa.”
El fin comercial y el carácter no solicitado son las características definitorias de dicho tipo de comunicaciones prohibidas, tal como se desprende del art. 21.1 de la LSSI. De hecho, en este caso se incumple tanto la legislación de protección de datos como la referente a la prestación de servicios de la sociedad de información. Sólo en dos supuestos serían posibles estas comunicaciones: en el caso de que sólo se comunique la existencia ‘nuda’ de la empresa sin tono comercial alguno, o cuando se mantenga el carácter comercial pero las comunicaciones vengan ‘elaboradas por un tercero y sin contraprestación económica.’ Desde luego, una expresión un tanto amplia que seguro más de uno intentará explotar a su favor, pero que, nos parece referida prima facie a usuarios particulares.
En cuanto a la pena, la resolución multó solamente con 600 Euros a la empresa responsable de acuerdo con el art. 21 LOPD. Dicha sanción parece mantener la posibilidad abierta de mantener esta funcionalidad a aquellas empresas a las que no les importe asumir ciertos riesgos. Esto siempre que se entienda que la infracción caiga dentro del tipo 38.4 LOPD de infracciones leves y no en el 38.3 LOPD que eleva el grado de punibilidad cuando se da el carácter masivo de dichas comunicaciones a un número indefinido de personas o más de tres en un año a un solo destinatario.
Si bien la regla general para que las comunicaciones sean legítimas es la existencia de una prestación de servicios o contrato con un usuario, parece que una de las vías más frecuentes para la expansión de las redes sociales encuentra una piedra de toque a nivel legal que, pese a pasar frequentemente desapercibida, es ya todo un hecho.
