Suscripción a una lista de distribución sin tu consentimiento
Qué consecuencias legales tiene el que te suscriban a una lista de distribución sin tu consentimiento?. ¿Quién no ha gastado alguna vez la broma de dar de alta la dirección de correo electrónico de un amigo en ciertas listas de correo?
En ocasiones pensamos que determinadas acciones no son punibles porque no están tipificadas en ninguna ley como infracción o delito. Ciertamente podríamos pensar que dar de alta un correo electrónico en una de estas listas no puede ser sancionado porque ¿dónde se prohíbe? Y en el peor de los casos ¿cómo me van a pillar?.
Quizá estas mismas preguntas se las hizo el que dio de alta una dirección de email en varias listas de distribución y ahora lo han multado con 60.000 euros
La multa ha sido posible por dos circunstancias:
- : el considerar la dirección de correo electrónico como dato personal va a suponer que cualquier cosa que hagamos con el correo electrónico va a estar sujeto a la Ley Orgánica de Protección de Datos.
- : el infractor no se molestó en ocultar su dirección IP, de modo que gracias a unos logs fue posible rastrearla hasta dar con el autor.
Además, como veremos, la propia Resolución sancionadora nos va a mostrar el procedimiento legalmente correcto para permitir que una dirección de email se suscriba a una lista de distribución.
Los hechos ocurrieron a finales de 2005 y principios de 2006, cuando D. X.X.X. recibió en su correo electrónico la confirmación para suscribirse a distintas listas de distribución; por supuesto él no había enviado ninguna petición de alta y no confirmó dichas altas.
Sin embargo, sí que comenzó a recibir mensajes de otras listas, sin que precediera el mecanismo de confirmación.
Estos hechos los puso en conocimiento de la Agencia Española de Protección de Datos, quien inició las correspondientes investigaciones.
De estas investigaciones se obtuvo la siguiente información:
- Que las solicitudes de alta en varias de las listas se produjeron desde 3 IPs distintas, IP-01, IP-02, e IP-03
- Respecto a IP-01: se contactó con el proveedor que tiene asignado el rango correspondiente a esa IP, que en este caso es AUNA Telecomunicaciones, y AUNA informó que el usuario conectado desde esa IP en la hora y minuto correspondiente a las altas en las listas, lo hacía desde el número de teléfono 12345678.
- Respecto a IP-02: Telefónica comunicó que esa IP está asignada a una compañía determinada, a través de su filial alemana Colt Telecom BMBH, no disponiendo de la información relativa a los ficheros de log de conexión.
- Respecto a IP-03: fue imposible identificar a la entidad que tiene asignado el rango de direcciones al que corresponde.
De este modo, la única pista disponible y fiable era el número de teléfono utilizado para conectar y utilizar IP-01.
Solicitada información sobre la titularidad del número 12345678, se confirmó que pertenece a Servicios Informáticos Especializados en el Tratamiento de Empresas, S.L. (en adelante SIETE).
Según la inscripción que consta en el Registro Mercantil Central, la entidad SIETE tiene por objeto social la «instalación de ordenadores y programas, la asistencia técnica a empresas y particulares, diseño de páginas Web, alquiler no financiero de equipos informáticos, así como la prestación de servicios de reparación de los mismos, etc.«.
La entidad SIETE declaró a la Agencia que en el objeto de la sociedad figura el «alquiler no financiero de equipos informáticos» y que el día que se produjeron las solicitudes de alta, alquiló «un ordenador con acceso único a Internet a N.N.N. que solicitó este servicio temporal y puntual por cuestiones propias«. La compañía, no obstante, no aportó ningún tipo de documentación que pueda acreditar este extremo.
Añade, que la entidad se creó en abril de 2005, sin que durante ese ejercicio se contratase trabajador alguno, de modo que las únicas personas que pudieron acceder a los ordenadores para registras las altas del denunciante en las listas de distribución que se citan en las denuncias presentadas fueron el mencionado D. N.N.N. y el administrador de SIETE, que tiene conocimientos suficientes para imposibilitar la localización de la dirección IP de su mercantil.
Es decir, les está diciendo a la Agencia «oiga miren, yo no he sido, pero es que además, si hubiera querido hacerlo, no me habríais pillado porque hubiera ocultado la IP».
Se suceden entonces una serie de intentos de quitarse el problema de encima o de intentar demostrar sin éxito su inocencia.
Entrando ya en los fundamentos de derecho, la AEPD afirma que «en el presente caso, en el que el tratamiento de datos se realiza por un usuario de Internet, es necesario determinar con toda certeza la identidad de la persona que establece la conexión, para evitar que un usuario determinado pueda suplantar la identidad de un tercero. Esta identificación de un usuario que accede a la Red exige conocer la dirección o direcciones «IP» asignadas a la conexión, así como los datos de tráfico disponibles. El
«TCP/IP» se trata de un protocolo básico de transmisión de datos en Internet, donde cada ordenador se identifica con una dirección «IP» numérica única. Las redes TCP/IP se basan en la transmisión de paquetes pequeños de información, cada una de los cuales contiene una dirección «IP» del emisor y del destinatario.»
«A su vez, los proveedores de acceso a Internet y los administradores de redes locales pueden identificar a los usuarios de Internet a los que han asignado direcciones «IP». Un proveedor de acceso a Internet que tiene un contrato con un abonado, normalmente mantiene un fichero histórico con la dirección «IP» (fija o dinámica) asignada, el número de identificación del suscriptor, la fecha, la hora y la duración de la asignación de la dirección. Es más, si el usuario de Internet está utilizando una red pública de telecomunicaciones, como un teléfono móvil o fijo, la compañía telefónica registrará el número marcado, junto con la fecha, la hora y la duración, para la posterior facturación.»
«En estos casos, ello significa que, con la asistencia de terceras partes responsables de la asignación, se puede identificar a un usuario de Internet, es decir, obtener su identidad civil (nombre, dirección, número de teléfono, etc).»
«Así, ha quedado probado que, en los cuatro casos mencionados, el formulario de alta para las suscripciones respectivas fue cumplimentado desde la dirección IP-01″, asociada a la línea telefónica número «12345678», cuya titularidad corresponde a la entidad SIETE.
Por tanto, queda probado que dicha entidad trató los datos del denunciante sin su consentimiento, por lo que se considera infringido el artículo 6.1 de la LOPD»
Llegados a este punto, a mí personalmente se me hiela la sangre de pensar lo que me podría pasar (a mí o a cualquier internauta) si el día de mañana se infecta mi ordenador con algún tipo de gusano o troyano y que mi conexión sea utilizada para, por ejemplo, enviar spam o realizar actividades como las descritas en este artículo; o que sencillamente el vecino descubra la contraseña de mi red WiFi y realice actividades ilícitas.
Estimo que habría sido necesario acudir a los locales de SIETE, examinar los ordenadores y buscar algún indicio o prueba de que efectivamente se hubieran realizado las solicitudes de alta desde SIETE, y no guiarnos directamente por la dirección IP como si de una muestra de ADN se tratase.
Creo que se están sucediendo algunas resoluciones y sentencias en estos términos, donde la IP está siendo determinante como prueba y no como mero indicio. La presunción de inocencia no debería ser destruida por la simple existencia de unos números (IP) en un fichero de texto (log) de un proveedor de servicios…
En fin, como ya avancé, a SIETE se le termina imponiendo una multa de 60101 euros por vulnerar el artículo 6.1 de la Ley Orgánica de Protección de Datos, artículo que establece el principio de información, y que exige el consentimiento del interesado para el tratamiento de sus datos personales (el email en este caso), cuando no existan excepciones para su tratamiento.
Autor: Samuel Parra
Fuente: www.samuelparra.com
http://www.samuelparra.com/2008/07/06/suscripcion-lista-distribucion-sin-consentimiento/