¿Es legal enviar un e-mail publicitario a partir de una comunicación electrónica recibida por error?

La Agencia Española de Protección de Datos (en adelante AEPD), organismo público encargado de velar por el cumplimiento de la Ley de Protección de Datos, ha sancionado con 2.000 euros a una empresa por enviar correos electrónicos sin el debido consentimiento ni relación contractual previa.

Como se relata en la resolución que desde AB Legal, que hemos tenido oportunidad de analizar, la parte reclamante manifestó haber recibido una comunicación electrónica de carácter comercial a su dirección electrónica por parte de la reclamada, sin su consentimiento, y sin que haya existido tampoco ninguna relación previa. Además, expuso que había recibido un correo comercial de un hotel, en el que se había hospedado previamente, el cual sí estaba legitimado para dichos fines.

La cuestión radica en que durante el envío de dicho correo no se hizo uso de la funcionalidad CCO (con copia oculta), lo cual implicó que se mostrasen a todos los destinatarios el resto de las direcciones de correo electrónico a las que iba dirigido el mensaje. La parte reclamante manifestó que, en la lista de destinatarios, se podía apreciar la dirección de correo electrónico desde la que la parte reclamada envió su correo publicitario. En virtud de dichas averiguaciones, consideró la posibilidad de que sus datos fueran obtenidos a través de dicho correo.

Tras tales circunstancias, la parte reclamante presentó solicitud de acceso y supresión a la parte reclamada, solicitando le indicase el origen de dichos datos personales. Esta última respondió a dicha cuestión, señalando que dichos datos se encontraban en una base de datos que manejaba su último comercial, no pudiendo justificar el motivo de la inclusión del reclamante en aquella.

Dicho esto, una vez contextualizados los hechos, resulta normal que nos preguntemos si es legal enviar un e-mail publicitario a partir de una comunicación electrónica recibida por error.

Pues bien, en primer lugar, es importante resaltar que actualmente se denomina “spam” a todo tipo de comunicación no solicitada, realizada por vía electrónica. De este modo se entiende por “spam” cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa.

Aunque se puede hacer por distintas vías, la más utilizada es el correo electrónico. Esta conducta es particularmente grave cuando se realiza en forma masiva, puesto que el envío de mensajes comerciales sin el consentimiento previo está prohibido por la legislación española.

El bajo coste de los envíos de correos electrónicos vía Internet o mediante telefonía móvil (SMS y MMS), su posible anonimato, la velocidad con que llega a los destinatarios y las posibilidades que ofrece en cuanto al volumen de las transmisiones, han permitido que esta práctica se realice de forma abusiva e indiscriminada.

La Ley de Servicios de la Sociedad de la Información (en adelante, LSSI), en su artículo 21.1, prohíbe de forma expresa “el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”. Es decir, se desautorizan las comunicaciones comerciales dirigidas a la promoción directa o indirecta de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional, sin consentimiento expreso del destinatario, si bien esta prohibición encuentra su excepción en apartado 2 del citado artículo 21, que autoriza el envío de comunicaciones comerciales cuando “exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente”.

De este modo, el envío de comunicaciones comerciales no solicitadas, fuera del supuesto excepcional del artículo 21.2 de la LSSI, puede constituir una infracción leve o grave de la LSSI. Así las cosas, de acuerdo con dichas normas, el consentimiento, además de previo, específico e inequívoco, deberá ser informado. Y esta información deberá ser plena y exacta acerca del sector de actividad del que puede recibir publicidad, con advertencia sobre el derecho a denegar o retirar el consentimiento. Esta información así configurada debe tomarse como un presupuesto necesario para otorgar validez a la manifestación de voluntad del afectado.

Como ya hemos indicado, la LSSI prohíbe las comunicaciones comerciales no solicitadas o expresamente autorizadas, partiendo de un concepto de comunicación comercial que se califica como servicio de la sociedad de la información y que se define en su Anexo de la siguiente manera: “f) Comunicación comercial»: toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.

A efectos de esta Ley, no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica”.

El concepto de comunicación comercial, de acuerdo con la definición recogida en el Anexo f), párrafo primero de la LSSI, engloba todas las formas de comunicaciones destinadas a promocionar directa o indirectamente bienes, servicios o la imagen de una empresa, organización o persona con una actividad comercial, industrial, artesanal o profesional.

Por otro lado, la LSSI en su Anexo a) define “Servicio de la Sociedad de la Información” como “todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios”. Añade el referido apartado que el envío de comunicaciones comerciales es un servicio de la sociedad de la información, siempre que represente una actividad económica. Según el apartado d) del citado Anexo, destinatario es la “persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información”.

Volviendo al caso que nos ocupa, la parte reclamante manifestó haber recibido una comunicación comercial de la reclamada, a pesar de no haber otorgado su consentimiento ni existir una relación contractual previa.

Dicho hecho se acredita a través del correo que aporta en su propia reclamación, donde figura el correo comercial realizado y cuyo destinatario es la parte reclamante. Esta desconoce el origen de la obtención de dichos datos, si bien, tras sus propias averiguaciones, manifestó que podrían haberse extraído del correo que, por error, fue enviado a distintos destinatarios por un hotel donde se hospedó con anterioridad, dado que entre los mismos también se encontraba la parte reclamada. La parte reclamada, por su parte, tras el requerimiento que realizó la parte reclamante, ha manifestado que desconoce el motivo de la inclusión de los datos de esta en su base de datos, tal y como se desprende de los correos aportados junto a la reclamación.

En este sentido, tales hechos han resultado ser constitutivos de una infracción, imputable a la parte reclamada, por vulneración del artículo 21 de la LSSI, que señala lo siguiente:

“1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. 2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija. Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.”

En conclusión, se desautorizan las comunicaciones comerciales dirigidas a la promoción directa o indirecta de los bienes o servicios de una empresa, organización o persona que realice una actividad sin el consentimiento expreso del destinatario (si bien hay excepciones, la relación contractual previa) y, en este caso concreto, la AEPD ha sancionado con 2.000 euros a la mencionada empresa por enviar correos electrónicos sin el debido consentimiento ni relación contractual previa.