Poniéndoselo fácil a las estafas por SMS

Home
Noticias
Poniéndoselo fácil a las estafas por SMS

noviembre 28, 2008
Noticias, Sin categoría

La denuncia presentada por la recepción de un SMS de contenido comercial en el que se me incitaba a enviar un SMS a un número corto para conocer a una chica (CONOCER AL 7440) se archiva por falta de pruebas.
Mi número de teléfono móvil no aparece en las bases de datos de la empresa denunciada, a pesar de ser la titular y beneficiaria del número 7440. Así de fácil parece saltarse la ley, borrando uno mismo sus propias huellas para que no encuentren pruebas.

En Mayo de 2007 presenté denuncia ante la Agencia Española de Protección de Datos por los hechos que describo con detalle en este artículo.
En resumen, recibí un SMS con el texto: «una persona muy interesada en contactar contigo y conocerte te envía su foto, para descargarla y verla envia la palabra CONOCER al 7440.Foto real C1.2m (mayores 18)«.

Investigando un poco por la red (leer el artículo anterior citado) encontré varias webs donde decenas de usuarios mostraban su descontento ante este mismo mensaje… así que me decidí denunciar los hechos e ir comentando por aquí los trámites por si alguien más se animaba.

Como decía, la denuncia ha sido archivada por falta de pruebas, sin embargo, me gustaría compartir con vosotros los motivos que se han alegado para concluir esto, y otros aspectos no menos relevantes, como que la Resolución guarda absoluto silencio sobre el resto de pretensiones de la denuncia, y un tema sobre acumulación procesal
El recurso de reposición ya ha sido interpuesto.

Para variar, me ha salido un artículo enorme. En azul para los que tengan prisa.
Bueno, los hechos son muy sencillos: recibo el SMS con el texto antes citado.
Al estar completamente convencido de no haber consentido para este tipo de mensajes, y tras descubrir quien anda detrás del «CONOCER 7440?, presentó la denuncia, cuyo texto íntegro facilite a aquellos que me lo solicitaron por email.
El escrito tuvo entrada en la Agencia Española de Protección de Datos el 30 de mayo de 2007.

Las pruebas respecto a la recepción del SMS en mi teléfono fueron una serie de fotocopias en la que se ve el mensaje y el resto de información (foto 1, foto 2, foto 3…).

Tras recibir la denuncia, los Inspectores se ponen manos a la obra y se determina que la empresa que está detrás del 7440 es SIMOES BIS, S.L. Personado el administrador solidario de esta sociedad, manifiesta que los números de teléfono de los destinatarios de los envíos son facilitados por ellos mismos, que previamente han enviado un mensaje al número corto 7440 con el texto del servicio que solicitan.
Por su parte la empresa MENSAJERÍA INALAMBRICA S.L. le presta servicios de apoyo a la gestión de los mensajes de SIMOES… en definitiva existen una relación contractual entre estas dos empresas (cuyos administradores vienen a ser los mismos… curioso).

En relación a la campaña denunciada (CONTACTO AL 7440), manifiestan los administradores de estas sociedades que se realizan campañas en prensa y televisión, pero desconocen si esa campaña en concreto es propia o ha sido contratada por un tercero (toma ya).

A continuación manifiestan que tienen una plataforma que gestiona un sistema de chat, basado en envío y recepción de SMS a usuarios finales; afirman que en ocasiones realizan campañas a usuarios de chat que lleven tiempo sin utilizar el servicio, asegurando que no realizan campañas a usuarios que no hayan usado el servicio ni tampoco se obtienen números de teléfono de personas que no sean clientes del servicio.

Los inspectores accedieron al sistema informático del chat con la herramienta de Microsoft SQL Server. En una tabla llamada «Histo recibidos», figura el mensaje más antiguo de 1 de junio de 2007; se realizó una búsqueda en esa tabla con el parámetro coincidente a mi número de móvil, sin encontrar resultados (esto es, que mi número no se encontraba en una tabla donde se almacenan los números de los que envían algún SMS al chat).

Ya está, la Agencia ahora alude a diferentes artículos y jurisprudencia para concluir que en virtud del principio de presunción de inocencia, no ha quedado suficientemente demostrado que los titulares del número corto 7440, porque no existen indicios de los que se pueda derivar la existencia de infracción, al «NO CONSTAR MI NÚMERO DE TELÉFONO EN LAS BASES DE DATOS DE LAS EMPRESAS INVESTIGADAS».

Analicemos la Resolución

De la lectura de las manifestaciones del administrador de la empresa denunciada se colige, sin lugar a dudas, que el usuario ha debido consentir expresamente la recepción de mensajes de contenido comercial remitidos desde el número 7440 ya que en caso contrario, como manifiesta, «no se obtienen números de teléfono de personas que no sean clientes del servicio». (Como así debe ser según la LSSI).

Los Inspectores buscan en la tabla de la base de datos un mensaje enviado desde mi móvil para un servicio de Chat donde el mensaje más antiguo es de fecha 1/06/2007. Pues bien, esto llama la atención porque, obviamente, jamás se encontrará mi número en una tabla de «Mensajes RECIBIDOS» y menos aun teniendo en cuenta que el mensaje más antiguo es de fecha 1/06/2007 cuando el mensaje de contenido comercial no solicitado llegó a mi móvil el 24/04/2007, esto es, varias semanas antes.
Pero es que es más, aun suponiendo que se guardaran todos los mensajes recibidos, tampoco se encontraría mi número en una base de datos que guarda la información de Mensajes RECIBIDOS, ya que el denunciante no ha enviado ningún SMS en relación a ninguna campaña de Chat; Chat, que por otra parte, se trae a colación en la Resolución sin motivo alguno.

Si yo fuera Inspector no iría buscando en la «bandeja de entrada» de los mensajes, sino en la «bandeja de salida». Porque entiendo yo, que de lo que se trata es de determinar si estas empresas me han enviado un SMS a mi móvil, no si yo he participado en una campaña de chat en los últimos meses (después de recibir el SMS).
Entiendo que se quisiesen buscar pruebas de que, según la LSSI, al participar en sus campañas de chat, ya habría consentido para la recepción de ese mensaje, pero es que, aun encontrando mi número en esa tabla, tampoco podría ser tenido en cuenta, porque yo recibí el SMS el día 24 de abril, y el mensaje más antiguo en la tabla es de 1 de junio.

Los artículos 21 y 22.1 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Correo Electrónico, según la modificación introducida por la disposición final primera de la Ley 32//2003, de 3 de noviembre, General de Telecomunicaciones, prohíbe el envío de comunicaciones comerciales no solicitadas, en definitiva, el envío de mensajes publicitarios o promocionales por correo electrónico u otro medio de comunicación electrónica, incluido el envío de mensajes SMS a terminales de telefonía móvil, debe haberse solicitado o autorizado expresamente por los destinatarios de los mismos.

Al referirse a las comunicaciones comerciales y a las ofertas promocionales por vía electrónica, el artículo 19 «Régimen jurídico» de la LSSI declara igualmente aplicable la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), y su normativa de desarrollo, en especial, en lo que se refiere a la obtención de datos personales, la información a los interesados y la creación y mantenimiento de ficheros de datos personales. Esta rotunda previsión legal permite afirmar que, al margen de lo establecido en la LSSI, serán exigibles en el tratamiento de datos personales para la realización de comunicaciones comerciales y ofertas promocionales por medios electrónicos el conjunto de principios, garantías y derechos contemplados en la LOPD
Por tanto, en relación al consentimiento para el tratamiento de los datos con la finalidad de enviar comunicaciones comerciales por vía electrónica, es preciso considerar lo dispuesto en la normativa de protección de datos de carácter personal y, en concreto, la siguiente definición contenida en el artículo 3.h) de la LOPD:
«Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen«.

En consecuencia, el consentimiento, además de previo, específico e inequívoco, deberá ser informado. Y esta información deberá ser plena y exacta acerca del tipo de tratamiento y su finalidad, con advertencia sobre el derecho a denegar o retirar el consentimiento.

En nuestro caso, a pesar de aportarse pruebas sobre la recepción del mensaje SMS de contenido comercial no solicitado, NO ha sido posible acreditar, por parte de la denunciada, que tenga el consentimiento anteriormente citado para realizar ese envío. Así, se ha manifestado que se parte del consentimiento de los usuarios, a través de diversas campañas, pero no ha sido posible aportar documento alguno donde se muestre el alta o aceptación por mi parte.

La carga de la prueba no puede recaer sobre el usuario ¿cómo va a probar el usuario que la empresa que envía el SMS NO tiene su consentimiento?… no tiene sentido, por eso se viene exigiendo que los que envían mensajes comerciales estén en disposición de poder probar que cuentan con el consentimiento de los destinatarios.

Casos similares se han resuelto en la Agencia, por ejemplo, el Recurso de Reposición respecto al PS/00219/2004 donde la Agencia afirma:

«CIFDSA manifiesta que disponía del consentimiento del afectado para el tratamiento de los datos realizado, expresado a través del cupón «Hojita Amiga» recibido en fecha 25/03/2002 cumplimentado con los datos en cuestión. Sin embargo, CIFDSA no ha aportado este documento, que hubiese permitido comprobar si el denunciante prestó su consentimiento con las finalidades indicadas y si tal consentimiento resultaba válido a tales efectos, atendidas las exigencias contenidas en las normas de aplicación.«

Yo lo veo claro: dices que tienes el consentimiento para enviar mensajes, muy bien, enséñamelo…. ah, que no lo has guardado… vaya…

Si aun seguís leyendo; En relación a la prueba indiciaria compuesta por fotocopia del teléfono móvil en las que puede leerse el SMS enviado, parece desprenderse de las alegaciones de la Agencia la falta de fuerza concluyente respecto a esta prueba.
No obstante, la propia Agencia no tuvo reparos en admitir esta misma clase de documentos probatorios en la Resolución R/00230/2007, así, en el Antecedente Tercero de esta Resolución, lo que luego daría paso al Hecho Probado 1, se expresa: «Dentro de las actuaciones previas de investigación practicadas por la Inspección de Datos, se han comprobado los siguientes extremos:
1. En la documentación aportada por el denunciante, se adjuntaba una fotocopia realizada sobre la pantalla de su teléfono móvil en el que figura el mensaje SMS recibido.»
Así, el Fundamento IV concluye que:» En el supuesto que se examina, tal y como ha quedado acreditado a través de la documentación que consta en el expediente, en fechas 17/03/2006, 27/04/2006 y 06/06/2006, FROGGIE, S.L. remitió al terminal de telefonía móvil del denunciante tres comunicaciones publicitarias, sin disponer de su autorización expresa y previa, y sin que conste acreditada una relación contractual previa, de conformidad con lo dispuesto en el artículo 21.2 de la LSSI.».

La «documentación» que se menciona son fotocopias del móvil donde puede leerse el contenido de los mensajes citados.

¿Qué más pruebas puede aportar un usuario?.

Por otra parte, una conducta idéntica de la denunciada ya ha quedado sancionada con anterioridad a la notificación de mi Resolución, así, la Resolución R/00535/2008 instruye a SIMOES BIS, S.L. vista la denuncia presentada por el MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO – SECRETARÍA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN, y en base a los mismos e idénticos antecedentes.

Esta Resolución R/00535/2008 contiene el mismo objeto litigioso en todos sus sentidos. Se cita el contenido del SMS de contenido comercial, que es idéntico al denunciado. Se cita como remitente el mismo número corto 7440.

A esto le podemos sumar, que misteriosamente, en los últimos 2 años, la Agencia ha recibido varias denuncias por la recepción sin consentimiento de este mismo mensaje, archivándolas todas por los mismos motivos (excepto la primera que sí fue sancionada).

Bueno, hasta aquí lo referente al mensajito.

Yo tengo una opinión muy clara: esta empresa está y ha estado enviando mensajes SMS de forma indiscriminada a todos los números de teléfono móvil para cazar a incautos. Cuando la denunciaron por primera vez, no supo que hacer y admitió el error, pagó la multa, PERO ¡ aprendió !. Ahora ya no dice que es un error, simplemente niega todos los hechos, e invita a inspeccionar sus sistemas a ver si encuentran algo; claro, ¿cómo van a encontrar algo?, es más que evidentemente que tal cual se envía el SMS comercial se borra toda huella de dicho envío.
¿Así de fácil resulta burlar la ley que nos protege contra estas actividades?.

Vayamos al otro punto.

Además de denunciar la recepción de este SMS, también denunciaba la inexistencia de fichero declarado en la AEPD respecto a esta empresa.
También denuncié que no se respetaba lo establecido en el artículo 21.2 párrafo segundo y del 22.1 ya que, como queda demostrado, la denunciada no ofrece al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
Pues bien, sobre todo esto ni la más mínima referencia en la Resolución, cuando la Agencia está obligada a pronunciarse: El artículo 89 de la Ley 30/1992, de 26 de noviembre de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común establece:

Artículo 89. Contenido.

1. La resolución que ponga fin al procedimiento decidirá todas las cuestiones planteadas por los interesados y aquellas otras derivadas del mismo. Cuando se trate de cuestiones conexas que no hubieran sido planteadas por los interesados, el órgano competente podrá pronunciarse sobre las mismas, poniéndolo antes de manifiesto en aquéllos por un plazo no superior a quince días, para que formulen las alegaciones que estimen pertinentes y aporten, en su caso, los medios de prueba.

2. En los procedimientos tramitados a solicitud del interesado, la resolución será congruente con las peticiones formuladas por éste, sin que en ningún caso pueda agravar su situación inicial y sin perjuicio de la potestad de la Administración de incoar de oficio un nuevo procedimiento, si procede.

Voy terminando.

Como dije, a quien me lo solicitó le envié copia de la denuncia que había presentado por si también quería denunciar él. Pues se ha dado la casualidad, que 3 meses después de tener entrada mi denuncia, tuvo entrada la de otro lector (saludos E.Q.R.)

Indica el artículo 73 de la Ley 30/1992: «El órgano administrativo que inicie o tramite un procedimiento, cualquiera que haya sido la forma de su iniciación, podrá disponer su acumulación a otros con los que guarde identidad sustancial o íntima conexión.»

Perfecto, la denuncia posterior se acumula a la mía inicial, sin problemas. Ahora bien, lo que ya no le encuentro sentido, es que se acumulen las dos pero nos envíen a ambos la misma Resolución, sin personalizar.
Me explico, yo he recibido la Resolución de mi denuncia, donde aparecen TODOS los datos de D. E.Q.R., su nombre y apellidos completos, su dirección y su teléfono móvil. Y a la inversa, él ha recibido todos mis datos.

¿Podría esto suponer una vulneración del artículo 10 de la LOPD?. Yo creo que sí; la acumulación procesal es correcta, pero la forma de comunicar la Resolución entiendo yo que vulnera la LOPD, ya que deberían haber hecho 2 versiones, una para mi, con sus datos anonimizados (como cuando publican las resoluciones), y otra para él, con mis datos anonimizados.

En fin, he presentado recurso de reposición, sobre todo para que me expliquen por qué han guardado silencio sobre el resto de las pretensiones, aunque también he hecho referencia a todo lo que acabo de exponer.

Fuente: www.samuelparra.com