1/24

Procedimiento Nº PS/00183/2009

RESOLUCIÓN: R/01719/2009 En el procedimiento sancionador PS/00183/2009, instruido por la Agencia Española de Protección de Datos a la entidad TICK TACK TICKET, S.A., vista la denuncia presentada por FACUA - CONSUMIDORES EN ACCION, y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha 23 de septiembre de 2008, tuvo entrada en esta Agencia un escrito de la Asociación FACUA – Consumidores en Acción (en adelante FACUA) denunciando la remisión por parte de la entidad TICK TACK TICKET, S.A. (en lo sucesivo T.T.T.) de comunicaciones comerciales no consentidas desde la dirección de correo electrónico a las cuentas de correo electrónico de numerosos consumidores a los que invitan a participar en una promoción realizada a través de la web de venta de entradas www.ticktackticket.com. Según FACUA en dicha promoción “se ofertan dos entradas VIP gratis para el concierto que Madonna ofrecerá en Valencia el próximo día 18 de septiembre. Para optar a conseguirlas, los usuarios tienen que introducir su dirección de correo electrónico en un formulario junto a las de todos los contactos que tengan. "Ganará la persona que más veces reenvíe esta información así que... ¡Avisa a cuantos más mejor", dice la promoción." A juicio de la Asociación FACUA dicha conducta supone una vulneración a lo previsto en los artículos 5 y 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Persona, así como lo dispuesto en el artículo 21 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos:

c. Jorge Juan 6

1)

T.T.T. es una compañía de servicios dedicada a la venta de entradas de eventos y espectáculos a través de una red de puntos de distribución al por menor y a través de su servicio web “www.ticktackticekt.com”.

2)

En la página web “http://www.dnsstuff.com se ha verificado que la titularidad del dominio corresponde a TICK TACK TICKET, S.A.

3)

T.T.T. realizó en septiembre de 2008 una promoción en la que se

28001 Madrid

www.agpd.es

incluyó un concurso en el que el premio eran dos entradas individuales para el concierto de Madonna a celebrar en Valencia el día 18/09/2008. 4)

Para participar en el concurso, cuya finalización estaba prevista para el día 15/09/2008, se debía de rellenar un formulario en el que se indicaba que para concursar “(..) sólo tienes que rellenar el formulario con tu email y la dirección de correo electrónico de tantos contactos como tengas. Ganará la persona que más veces reenvíe esta información así que…¡Avisa a cuantos más mejor!”, procediendo después a pulsar el botón de “Enviar” que figuraba junto al campo de las direcciones de correo electrónico de los contactos facilitados por el suscriptor y en la parte inferior de la indicación “…¡Enviar este email!...”.

5)

El formulario utilizado para recoger los datos de los participantes del concurso recogía los siguientes datos: nombre, apellidos, DNI y correo electrónico del suscriptor del formulario y direcciones de correo electrónico de sus contactos.

6)

En las bases de la promoción, a las que se accedía mediante un enlace incluido en el propio formulario, aparecía que la finalidad de la promoción era “incentivar los productos y servicios prestados por ticktackticket”, conteniéndose en la cláusula relativa a la mecánica de la promoción que los suscriptores “Podrán enviar esta información a todos tos amigos que se desee, incluyendo en el espacio correspondiente las direcciones de correo electrónico de todos ellos separadas entre si por un punto y coma ([email protected]; [email protected].). Cuántos más envíos hagas, más posibilidades tendrás de ganar. Cada envío a una dirección de correo electrónico válida, supondrá la acumulación de un punto. Los diez participantes que más puntos hayan acumulado finalizado el periodo promocional, serán los ganadores.”

7)

Los representantes de TICK TACK manifestaron a los inspectores de la Agencia Española de Protección de Datos (en adelante AEPD) durante la inspección practicada en la sede de dicha entidad con fecha 09/02/2009 lo siguiente:

- Que en cuanto T.T.T tuvo conocimiento a través de las noticias aparecidas en la prensa de las posibles irregularidades derivadas del método utilizado en la promoción web para la recogida de datos se decidió poner fin a dicha promoción, otorgándose el premio a la persona que en ese momento cumplía con las condiciones establecidas para ganar el concurso. - En paralelo, se publicó una nota de prensa en la página web de la entidad informando que T.T.T había acordado como medida cautelar la finalización prematura de la promoción y que, hasta tener la seguridad de que tal tipo de concursos y promociones cumplían la normativa vigente, no se volverían a organizar. - Que las direcciones de correo electrónico recogidas mediante el formulario que aparecía en la página web “www.ticktackticekt.com” fueron utilizadas para remitir a los titulares de las mismas un correo electrónico con la información del concurso. En dicho

3/24

correo, en el que además de ofrecerse al destinatario del mismo la posibilidad de participar en el mencionado concurso mediante un enlace que dirigía al formulario de inscripción, se promocionaba la asistencia al concierto de Madonna. 8)

Los inspectores actuantes constataron que en la base de datos que registraba la información relativa a la reseñada promoción obraba la siguiente información:

- Que sólo constaba una campaña con el aparecía identificada con el número 74.

nombre de “Madonna”, la cual

- En la tabla “destinos”, que contenía las direcciones de correo electrónico de los amigos proporcionadas por los 2.419 participantes (suscriptores del formulario) se verificó que constaban 39.848 direcciones de correo electrónico diferentes, de las que 201 direcciones de correo contenían el texto “garcía y entre las que se localizaron 5.387 direcciones distintas que constaban como leídas al estar asociadas al valor “1” en el campo denominado “valid”. - Que el sistema de información no comprobaba la existencia de las direcciones de correo proporcionadas en el formulario, limitándose a verificar que su estructura fuera correcta. - En los sistemas de información de TICK constaba el envío de 39.848 correos a las direcciones proporcionadas por los participantes del concurso entre los que se encuentran 201 direcciones de correo que contienen el texto “garcía”. - Una vez habilitado temporalmente el formulario de inscripción de la promoción a petición de los inspectores actuantes, se realizó una inscripción de prueba en el mismo, introduciendo en el campo destinado a las direcciones de correo electrónico de amigos la dirección de una de las personas presentes en la inspección, constatándose como el sistema remitía una comunicación comercial desde la dirección de correo electrónico a la dirección de correo electrónico del amigo proporcionada por el participante con el siguiente texto: “[nombre] [apellido] [correo electrónico] te invita a participar en un concurso de ticktackticket.com: Concierto de Madonna” y el siguiente texto en el cuerpo del mensaje: “¡Hola! Yo [nombre] [apellido] acabo de apuntarme en un concurso en ticktackticket.com para conseguir una entrada VIP para asistir al concierto de Madonna. Si tú también quieres participar pulsa aquí. ¡Suerte!” 9)

Los mensajes remitidos desde la dirección de correo electrónico no ofrecían a los destinatarios de los mismos la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante la indicación de un procedimiento sencillo y gratuito para ello.

TERCERO: Con fecha 30 de marzo de 2009, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la entidad TICK TACK TICKET, S.A. por la presunta infracción del artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (en lo sucesivo LSSI), tipificada como grave en el artículo 38.3.c) de dicha norma, pudiendo ser sancionada con multa de 30.001 hasta 150.000 €, de acuerdo con el artículo 39.1.b) de la LSSI. Dicho acuerdo consta como notificado con fecha 9 de abril de 2009.

c. Jorge Juan 6

28001 Madrid

www.agpd.es

CUARTO: Con fecha 29 de abril de 2009 la Instructora comunica a la entidad imputada el acuerdo de ampliación de plazo hasta un máximo de siete días para formular alegaciones y presentar pruebas, adjuntando a dicha comunicación copia del procedimiento sancionador, todo ello en contestación a la solicitud formulada por T.T.T con fecha 28 de abril de 2009. QUINTO: Con fecha 13 de mayo de 2009 tiene entrada en esta Agencia escrito de alegaciones al mencionado acuerdo de inicio, en el que la representación de TICK TACK solicita el archivo del procedimiento, sin declaración de responsabilidad, por entender que la imposición de una sanción vulneraría los principios de presunción de inocencia y de responsabilidad que deben regir en el ordenamiento sancionador. Como fundamento de tal alegación expone que no se ha probado que los remitentes, entendidos como las personas que enviaron las comunicaciones electrónicas a través de la plataforma de T.T.T., no hubieran obtenido el consentimiento previo de los destinatarios para el envío de las comunicaciones objeto de procedimiento, ya que en la denuncia de FACUA no se indica que ésta haya tenido queja o reclamación directa de algún titular de las cuentas de correo electrónico que constase que no dio su consentimiento al remitente del envío, tampoco consta que la AEPD haya recibido denuncia de algún destinatario por la recepción de dicho correo electrónico ni T.T.T. ha recibido quejas en dicho sentido. Asimismo, también expone en relación con los hechos imputados que para la obtención de las dos entradas gratuitas el optante debía completar un formulario electrónico y aceptar previamente a su envío las condiciones de la promoción en las que se informaba de las finalidades del tratamiento de la información, añadiendo, por un lado, ”Que tanto en las bases de la promoción como en el texto previo explicativo se expresaba que las opciones para obtener las dos entradas requería que el optante registrado remitiese a una dirección de correo electrónico la invitación a la promoción.”, y, por otro lado, T.T.T., tal y como se expresaba en el formulario electrónico “única y exclusivamente realizó el tratamiento de estos correos electrónicos para el proceso de envío del mensaje remitido por el Optante registrado (en adelante remitente) a través de la plataforma tecnológica T.T.T., así como para el cómputo del número de correos enviados por el remitente. En este sentido, en el formulario electrónico decía expresamente “…Los emails de tus amigos no serán utilizados por ticktackticet.com sin el previo consentimiento por su parte”, concluyendo que “el destinatario tiene la opción de registrarse a la citada promoción en la forma informada , debiendo completar necesariamente el proceso de registro …y consecuentemente debiendo aceptar para su tratamiento las condiciones de la promoción.” SEXTO: Con fecha 14 de mayo de 2009 la Instructora del procedimiento acordó la apertura de un período de práctica de pruebas en el que, además de incorporar al expediente, dando por reproducidas a efectos probatorios, la denuncia interpuesta por FACUA, las Actuaciones Previas de investigación E/01524/2008 junto con la documentación recabada en las mismas y el citado escrito de alegaciones, se acordó solicitar a la entidad imputada y a la denunciante determinada información y documentación relacionada con los hechos objeto de imputación. Con fecha 3 de junio de 2009 tiene entrada en esta Agencia escrito en el que

5/24

T.T.T. adjunta copia el formulario electrónico al que se refería en su escrito de alegaciones, manifestando que la campaña en la que se incluyó el concurso “Madonna” se inició el 04/09/2008 y finalizó el 08/09/2008, publicándose la nota de prensa en la que se comunicaba de forma oficial tal decisión el día 10/09/2008, conforme prueba la copia adjuntada de la nota de prensa publicada en el sitio web de la entidad. En relación con la solicitud de copia de la documentación en la que se indicaba a los participantes en el concurso, según había alegado, que debían contar con el consentimiento previo de las personas cuyas direcciones de correo electrónico inscribían en el citado formulario T.T.T. se limita a indicar que la gestión de la campaña se realizó siguiendo lo establecido en las bases del concurso y que en el formulario de registro se enunciaba que el envío “se remitiese exclusivamente a “amigos”, es decir, a personas con las que el usuario registrado tiene un afecto personal y desinteresado”. Igualmente, señala que la entidad “no tenía forma de conocer o demostrar que el envío se realizó con el consentimiento del destinatario, si bien no recibió queja alguna al respecto, durante y/o después de la conclusión de la Campaña.” SÉPTIMO: Con fecha 15 de junio de 2009 se formuló propuesta de resolución en el sentido de que por el Director de la Agencia Española de Protección de Datos se sancionara a la entidad TICK TACK TICKET, S.A. , de conformidad con lo previsto en los artículos 39.1.b) y 40 de la LSSI, con multa de 30.001 € (Treinta mil un euros) por la infracción del artículo 21 de la LSSI, tipificada como grave en el artículo 38.3.c) de dicha norma. OCTAVO: En la fecha en que se formuló la Propuesta de Resolución no constaba que la Asociación FACUA hubiera contestado a esta Agencia la información que le fue solicitada en el período de práctica de pruebas, si bien con fecha 17 de junio de 2009 tuvo entrada escrito de la Asociación FACUA contestando al escrito de solicitud de práctica de pruebas, el cual le fue notificado con fecha 22 de mayo de 2009, en el sentido de que no disponía de quejas concretas de consumidores que hubieran recibido el correo relativo al Concurso “Madonna” organizado por T.T.T. en septiembre de 2008. NOVENO: Con fecha 15 de agosto de 2009 se registra en esta Agencia escrito de alegaciones a la propuesta de resolución de la representación de T.T.T. , en el que se solicita el archivo del procedimiento o, subsidiariamente, la consideración de los hechos imputados como infracción leve fundamentándolo, en síntesis, en los siguientes argumentos: - Que no se ha demostrado mediante el uso de un sistema empírico y forense la realización, por parte de T.T.T., de un envío masivo de comunicaciones comerciales a las direcciones de correo electrónico recogidas mediante el formulario que aparecía en la página web www.ticktackticket.com, afirmándose que durante la inspección únicamente se verificó que constaban una serie de direcciones de correo electrónico en la base de datos de la entidad y que, una vez activado temporalmente el sistema, éste remitía una comunicación, pero que no se constató que el formulario y plataforma electrónica hubieran estado activados durante todo el proceso de recogida de datos ni que se hubiera remitido un correo electrónico masivo a las direcciones de correo recogidas, tratándose, por ello, de una mera presunción apoyada en la asignación del valor “1 valid” a dichas direcciones, con el consiguiente perjuicio que causa al considerarse como una infracción grave en atención a la cuantía de la sanción.

c. Jorge Juan 6

28001 Madrid

www.agpd.es

-Que se ha producido una inversión de la carga de la prueba al no haber resultado probado que “no se obtuviera el consentimiento previo de los usuarios a los destinatarios de los correos electrónicos ni que obtuviera la preceptiva posibilidad de oposición al tratamiento de datos con fines promocionales.”, además de la inexistencia de denuncias o quejas de los presuntos destinatarios de los mensajes. - Que se ha constatado que la posibilidad de remitir mensajes electrónicos a terceros utilizando la plataforma electrónica “envío de un amigo” es una actividad continua y aceptada por la sociedad de la información en España, tratándose de una opción facilitada por las nuevas tecnologías y utilizada, no solo por la entidad imputada, sino por un “número infinito” de entidades sin que presuntamente estén infringiendo ninguna norma, aportándose a los efectos de justificación de tal argumento documentación consistente en una serie de impresiones de sitios web de diversa naturaleza, tanto pública como privada, que utilizan el mencionado tipo de plataforma para difundir su actividad. HECHOS PROBADOS

PRIMERO: TICK TACK TICKET, S.A. (en lo sucesivo T.T.T.) es una compañía de servicios dedicada a la gestión, distribución y venta de entradas de eventos y espectáculos a través de una red de puntos de distribución al porl menor y a través del portal http://www.ticketmaster.es, antes “www.ticktackticekt.com”. (Folios 14, 36, 81 y 82) SEGUNDO: En la página web “http://www.dnsstuff.com se ha verificado que la titularidad del dominio corresponde a T.T.T. (Folios 20 y 21) TERCERO: T.T.T. desarrolló entre el 4 y el 8 de septiembre de 2008 la campaña de promoción “Madonna” que incluía un concurso en el que el premio eran dos entradas individuales para el concierto de Madonna a celebrar en Valencia el día 18/09/2008. (Folios 38, 42, 43, 82 y 93) CUARTO: Para participar en el mencionado concurso, cuya finalización estaba prevista inicialmente para el día 15/09/2008, se debía de rellenar un formulario de inscripción en el que se indicaba que para concursar “(..) sólo tienes que rellenar el formulario con tu email y la dirección de correo electrónico de tantos contactos como tengas. Ganará la persona que más veces reenvíe esta información así que…¡Avisa a cuantos más mejor!”, procediendo después a pulsar el botón de “Enviar” que figuraba junto al campo de las direcciones de correo electrónico de los contactos facilitados por el suscriptor y en la parte inferior de la indicación “…¡Enviar este e-mail!...”. (Folios 38, 42 y 43) QUINTO: El formulario utilizado para recoger los datos de los participantes del concurso recogía los siguientes datos: nombre, apellidos, DNI y correo electrónico del suscriptor del formulario y direcciones de correo electrónico de sus contactos. (Folios 38 y 43). SEXTO: En las bases de la promoción, a las que se accedía mediante un enlace incluido en el propio formulario, aparecía que la finalidad de la promoción era “incentivar los productos y servicios prestados por ticktackticket”, conteniéndose en la cláusula relativa a la mecánica de la promoción que los suscriptores “Podrán enviar esta

7/24

información a todos tos amigos que se desee, incluyendo en el espacio correspondiente las direcciones de correo electrónico de todos ellos separadas entre si por un punto y coma ([email protected]; [email protected].). Cuántos más envíos hagas, más posibilidades tendrás de ganar. Cada envío a una dirección de correo electrónico válida, supondrá la acumulación de un punto. Los diez participantes que más puntos hayan acumulado finalizado el periodo promocional, serán los ganadores.”(Folios 44 al 47) SÉPTIMO: Los representantes de T.T.T. manifestaron a los inspectores de la Agencia Española de Protección de Datos (en adelante AEPD) durante la inspección practicada en la sede de dicha entidad con fecha 09/02/2009 lo siguiente: - Que en cuanto T.T.T tuvo conocimiento a través de las noticias aparecidas en la prensa de las posibles irregularidades derivadas del método utilizado en la promoción web para la recogida de datos se decidió poner fin a dicha promoción, otorgándose el premio a la persona que en ese momento cumplía con las condiciones establecidas para ganar el concurso. (Folio 38) - En paralelo, se publicó con fecha 10/09/2008 una nota de prensa en la página web de la entidad informando que T.T.T había acordado como medida cautelar la finalización prematura de la promoción y que, hasta tener la seguridad de que tal tipo de concursos y promociones cumplían la normativa vigente, no se volverían a organizar. (Folios 39, 41, 94 y 97) - Que las direcciones de correo electrónico recogidas mediante el formulario que aparecía en la página web “www.ticktackticekt.com” fueron utilizadas para remitir a los titulares de las mismas un correo electrónico con la información del concurso. En dicho correo se ofrecía al destinatario del mismo la posibilidad de participar en el mencionado concurso mediante un enlace que dirigía al formulario de inscripción, promocionándose así también la asistencia al concierto de Madonna. (Folios 39 y 52) OCTAVO: Los inspectores actuantes constataron que en la base de datos que registraba la información relativa a la reseñada campaña obraba la siguiente información: - Que sólo constaba una campaña con el nombre de “Madonna”, la cual aparecía identificada con el número 74. (Folio 39 y 48 ) - En la tabla “destinos”, que contenía las direcciones de correo electrónico de los amigos proporcionadas por los 2.419 concursantes, se verificó que constaban 39.848 direcciones de correo electrónico diferentes, entre las que se localizaron 5.387 direcciones distintas que constaban como recibidas y leídas al estar asociadas al valor “1” en el campo denominado “valid”. (Folios 39, 48 al 50) - Que el sistema de información no comprobaba la existencia de las direcciones de correo proporcionadas en el formulario, limitándose a verificar que su estructura fuera correcta. (Folio 40) - Una vez habilitado temporalmente el formulario de inscripción de la promoción a petición de los inspectores actuantes, se realizó una inscripción de prueba en el mismo, introduciendo en el campo destinado a las direcciones de correo electrónico de amigos la dirección de una de las personas presentes en la inspección, constatándose como el sistema remitía una comunicación comercial desde la dirección de correo electrónico a la dirección de correo electrónico del

c. Jorge Juan 6

28001 Madrid

www.agpd.es

amigo proporcionada por el participante con el siguiente texto: “[nombre] [apellido] [correo electrónico] te invita a participar en un concurso de ticktackticket.com: Concierto de Madonna” y el siguiente texto en el cuerpo del mensaje: “¡Hola! Yo [nombre] [apellido] acabo de apuntarme en un concurso en ticktackticket.com para conseguir una entrada VIP para asistir al concierto de Madonna. Si tú también quieres participar pulsa aquí. ¡Suerte!” (Folios 40 y 52) NOVENO: Los mensajes remitidos desde la dirección de correo electrónico con motivo de la campaña “Madonna” no ofrecían a los destinatarios de los mismos la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante la indicación de un procedimiento sencillo y gratuito para ello. (Folio 52) FUNDAMENTOS DE DERECHO I El artículo 43.2, segundo párrafo, de la LSSI, otorga a la Agencia Española de Protección de Datos la facultad para imponer sanciones por la comisión de la infracción del artículo 21 de la citada Ley. II A los efectos de examinar si las comunicaciones comerciales enviadas con motivo de la campaña promocional “Madonna” desde la dirección de correo electrónico [email protected] a una multitud de destinatarios en el período comprendido entre el 4 y el 8 de noviembre de 2008 constituye infracción grave al artículo 21 de la LSSI, apartados 1 y 2 del mismo, conviene realizar una breve exposición sobre el concepto de “spam” y el marco jurídico que resulta de aplicación al presente supuesto. Actualmente se denomina “spam” a todo tipo de comunicación no solicitada, realizada por vía electrónica. De este modo se entiende por “spam” cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es el correo electrónico. Esta conducta es particularmente grave cuando se realiza en forma masiva. El envío de mensajes comerciales sin el consentimiento previo está prohibido por la legislación española en la LSSI (a consecuencia de la transposición de la Directiva 2000/31/CE, de 8 de junio). El bajo coste de los envíos de correos electrónicos vía Internet o mediante telefonía móvil (SMS y MMS), su posible anonimato, la velocidad con que llega a los destinatarios y las posibilidades que ofrece en cuanto al volumen de las transmisiones, han permitido que esta práctica se realice de forma abusiva e indiscriminada.

9/24

El artículo 21 de la citada LSSI, establece: “Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes. 1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. 2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija. Así, la LSSI, en su artículo 21.1, prohíbe de forma expresa “el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”. Es decir, se desautorizan las comunicaciones comerciales dirigidas a la promoción directa o indirecta de los bienes y servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional, si bien esta prohibición encuentra la excepción en el segundo párrafo del citado artículo, que autoriza el envío cuando “el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que fueron objeto de contratación”. De este modo, el envío de comunicaciones comerciales no solicitadas, fuera del supuesto excepcional del artículo 21.2 de la LSSI, puede constituir una infracción leve o grave de la LSSI. La Directiva sobre Privacidad en las Telecomunicaciones, de 12/07/02, (Directiva 2002/58/CE) actualmente transpuesta en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, que modifica varios artículos de la LSSI, introdujo en el conjunto de la Unión Europea el principio de “opt in”, es decir, la necesidad de contar con el consentimiento previo del destinatario para el envío de correo electrónico con fines comerciales. De este modo, cualquier envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente queda supeditado a la prestación previa del consentimiento, salvo que exista una relación contractual anterior y el sujeto no manifieste su voluntad en contra. III

c. Jorge Juan 6

28001 Madrid

www.agpd.es

Como ya se ha señalado, la LSSI prohíbe las comunicaciones comerciales no solicitadas, partiendo de un concepto de comunicación comercial que se califica como servicio de la sociedad de la información y que se define en su Anexo de la siguiente manera: “f) Comunicación comercial»: toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional. A efectos de esta Ley, no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica”. Por su parte el Anexo a) de la citada LSSI reconoce como Servicios de la Sociedad de la Información, entre otros y siempre que representen una actividad económica, los envíos de comunicaciones comerciales. De acuerdo con lo señalado, es preciso analizar el concepto de Servicios de la Sociedad de la Información para, a continuación, determinar los supuestos, recogidos en el párrafo segundo del Anexo f) de la LSSI, que no se consideran, a los efectos de esta Ley, como comunicaciones comerciales. La LSSI en su Anexo a) define como Servicio de la Sociedad de la Información, “todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario”. A través de dicha definición el Legislador español transpuso el concepto recogido en las Directivas 98/34/CEE, de 22 de junio, del Parlamento y del Consejo, por la que se establece un procedimiento de información en materia de normas y reglamentaciones técnicas y de las reglas relativas a los servicios de la Sociedad de la Información, modificada por la Directiva 98/84/CE, de 20 de noviembre, del Parlamento y del Consejo, relativa a la protección jurídica de los servicios de acceso condicional o basados en dicho acceso. Dicha definición se refiere, tal y como se expresa en el Considerando 17 de la citada Directiva 2000/31/CE, a “cualquier servicio prestado normalmente a título oneroso, a distancia, mediante un equipo electrónico para el tratamiento (incluida la comprensión digital) y el almacenamiento de datos, y a petición individual de un receptor de un servicio”, añadiendo que estos servicios cuando “no implica tratamiento y almacenamiento de datos no están incluidos en la presente definición”. De acuerdo con lo señalado, el concepto de comunicaciones comercial engloba la definición recogida en el Anexo f), párrafo primero de la LSSI, es decir, ha de tratarse de todas las formas de comunicaciones destinadas a promocionar directa o indirectamente bienes, servicios o la imagen de una empresa, organización o persona con una actividad comercial, industrial, artesanal o profesional, y, además, ha de realizarse dicha comunicación en los términos que señala el Considerando 17 de la Directiva 2000/31/CE que recoge lo previsto en las citadas Directivas 98/34/CE y 98/84/CE.

11/24

De lo anterior se deduce que, cuando la comunicación comercial no reúne los requisitos que requiere el concepto de Servicios de la Sociedad de la Información, pierde el carácter de comunicación comercial. En este sentido el párrafo segundo del Anexo f) de la LSSI señala dos supuestos, que no tendrán, a los efectos de esta Ley, la consideración de comunicación comercial, y que son, por un lado, los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, y, por otro, las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica. En resumen, atendiendo al enunciado del artículo 21.1 de la LSSI, norma que tiene por objeto, entre otras materias, la regulación del envío de las comunicaciones comerciales por vía electrónica, el envío de comunicaciones publicitarias o promocionales por correo electrónico debe haberse solicitado o autorizado expresamente al remitente por los destinatarios de las mismas, salvo que se trate de comunicaciones comerciales referentes a productos o servicios de la propia empresa que sean similares a los que inicialmente hubiesen sido objeto de contratación con el cliente. IV Vista la importancia de la existencia de consentimiento previo de los destinatarios de las comunicaciones comerciales, excepción hecha de los supuestos en que exista una relación contractual previa, en el párrafo segundo del artículo 21.2 de la LSSI, se establece que “En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.” Es decir, en todo caso, el prestador deberá ofrecer a los destinatarios la posibilidad de oponerse al tratamiento de sus datos con fines promocionales en cada una de las comunicaciones comerciales que les dirijan. Dicha obligación se encuentra relacionada con lo establecido en la mencionada Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas, que, tal y como se ha indicado con anterioridad, se transpuso en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, originando, a su vez, la modificación de varios artículos de la LSSI para su adecuación a lo dispuesto en el ámbito comunitario sobre el tratamiento de los datos personales y la protección de la intimidad en el sector de las comunicaciones electrónicas. Dentro de este mismo ámbito comunitario, los Considerandos 40 y 41 de la reseñada Directiva 2002/58/CE establecen, en relación con dichas comunicaciones electrónicas, que: “ (40) Deben ofrecerse garantías a los abonados contra la intrusión en su intimidad mediante comunicaciones no solicitadas con fines de venta directa, especialmente a través de llamadores automáticos, faxes y mensajes de correo

c. Jorge Juan 6

28001 Madrid

www.agpd.es

electrónico, incluidos los de SMS. Por una parte, el envío de estas formas de comunicaciones comerciales no solicitadas puede resultar relativamente sencillo y económico, y por otra, puede conllevar una molestia e incluso un coste para el receptor. Además, en algunos casos su volumen puede dar lugar a dificultades en las redes de comunicaciones electrónicas y en los equipos terminales. Se justifica, para este tipo de comunicaciones no solicitadas con fines de venta directa, la exigencia de obtener el consentimiento expreso previo de los receptores antes de que puedan dirigírseles comunicaciones de esta índole. El mercado único requiere un planteamiento armonizado que garantice la existencia de normas sencillas aplicadas a escala comunitaria, tanto para las empresas como para los usuarios. (41) En el contexto de una relación preexistente con el cliente, es razonable admitir el uso de las señas electrónicas del cliente con objeto de ofrecer productos o servicios similares, pero exclusivamente por parte de la misma empresa que haya obtenido las señas electrónicas de conformidad con la Directiva 95/46/CE. En el momento de recabarse las señas electrónicas, debe informarse al cliente de manera clara e inequívoca sobre su uso ulterior con fines de venta directa, y debe dársele la posibilidad de negarse a dicho uso. Debe seguir ofreciéndose al cliente esta posibilidad cada vez que reciba un mensaje ulterior de venta directa, sin cargo alguno salvo los posibles costes de transmisión de esta negativa.” De acuerdo con ello, los apartados 1 al 3 del artículo 13 de la misma Directiva 2002/58/CE disponen respecto de las “Comunicaciones no solicitadas” que: “1. Sólo se podrá autorizar la utilización de sistemas de llamada automática sin intervención humana (aparatos de llamada automática), fax o correo electrónico con fines de venta directa respecto de aquellos abonados que hayan dado su consentimiento previo. 2. No obstante lo dispuesto en el apartado 1, cuando una persona física o jurídica obtenga de sus clientes la dirección de correo electrónico, en el contexto de la venta de un producto o de un servicio de conformidad con la Directiva 95/46/CE, esa misma persona física o jurídica podrá utilizar dichas señas electrónicas para la venta directa de sus propios productos o servicios de características similares, a condición de que se ofrezca con absoluta claridad a los clientes, sin cargo alguno y de manera sencilla, la posibilidad de oponerse a dicha utilización de las señas electrónicas en el momento en que se recojan las mismas y, en caso de que el cliente no haya rechazado inicialmente su utilización, cada vez que reciban un mensaje ulterior. 3. Los Estados miembros tomarán las medidas adecuadas para garantizar, que, sin cargo alguno, no se permitan las comunicaciones no solicitadas con fines de venta directa en casos que no sean los mencionados en los apartados 1 y 2, bien sin el consentimiento del abonado, bien respecto de los abonados que no deseen recibir dichas comunicaciones. La elección entre estas dos posibilidades será determinada por la legislación nacional.” Al amparo de la reseñada normativa comunitaria, el artículo 21.2 de la LSSI obliga al prestador de servicios a ofrecer al destinatario de los mismos, tanto en el

13/24

momento de recogida de datos como en cada una de las comunicaciones comerciales remitidas, un procedimiento sencillo y gratuito para que los destinatarios de los servicios puedan hacer efectivo y viable su derecho de oposición al tratamiento de sus datos con fines promocionales. V En el supuesto examinado, ha quedado acreditado a través de las actuaciones previas de investigación practicadas y de las realizadas en la fase de instrucción del procedimiento que la entidad T.T.T. remitió, en el marco de una campaña promocional, desde la cuenta de correo electrónico sendas comunicaciones comerciales a un total de 39.848 destinatarios en el período comprendido entre el 4 y el 8 de septiembre de 2008 ofertando la participación a los mismos en un concurso organizado por la entidad usuaria de la cuenta remitente del envío, en el que el premio era una entrada VIP para asistir a un concierto de Madonna en Valencia el día 18/09/2008, motivo por el cual los mencionados correos se encuadraban en la definición de comunicación comercial recogida en el Anexo f) de la LSSI anteriormente citado, ya que a través de tales comunicaciones T.T.T. estaba promocionando la asistencia al citado concierto y la actividad de venta de entradas desarrollada por la entidad imputada, constando en las bases de la promoción, a las que se accedía mediante un enlace incluido en el formulario electrónico al que, a su vez, se accedía desde el propio mensaje recibido, que la finalidad de dicha promoción era “incentivar los productos y servicios prestados por ticktackticket”. La entidad imputada no ha acreditado en ningún momento que las citadas comunicaciones comerciales objeto de estudio fueran remitidas con la cobertura del consentimiento previo y expreso de los destinatarios de las mismas, tratándose, por ello, de envíos publicitarios no solicitados que fueron remitidos desde una dirección de correo electrónico de la que T.T.T. es usuaria y sin cumplir el requisito de consentimiento previo y expreso establecido en el artículo 21.1 de la LSSI para la remisión de las citadas comunicaciones, hecho que queda probado a través de la manifestación realizada por dicha entidad en la fase de práctica de pruebas al reconocer que “no tenía forma de conocer o demostrar que el envío se realizó con el consentimiento del destinatario”. De lo anterior se evidencia que TTT no ha acreditado que cuando remitió los mencionados mensajes estuviera autorizada de forma expresa por los destinatarios de los mismos para ello, ni que éstos hubieran formulado ante dicha entidad una solicitud para recibir tales comunicaciones publicitarias o promocionales en sus cuentas de correo electrónico, ya que dichas direcciones de correo no fueron facilitadas por los titulares o usuarios de las mismas directa y voluntariamente a T.T.T., sino que dicha sociedad las obtuvo a través de terceras personas que las comunicaron en un formulario a los efectos de poder participar y tener más posibilidades de ganar el concurso organizado por la entidad imputada. Asimismo, las mencionadas direcciones fueron utilizadas por T.T.T. para enviar una comunicación comercial por correo electrónico con la información del concurso y promocionar, de esta forma, el espectáculo musical de “Madonna”, motivo por el cual el hecho de que la gestión de la campaña se realizara siguiendo las condiciones y bases establecidas para el concurso por la propia entidad resulta intrascendente a los efectos que nos ocupan, atendido que dichas bases se suscribían por el concursante, pero no por los destinatarios de los envíos comerciales

c. Jorge Juan 6

28001 Madrid

www.agpd.es

que nos ocupan, respecto de los cuales T.T.T. no ha justificado haber obtenido previa y expresamente su consentimiento para poder remitirles comunicaciones comerciales. A los efectos de exonerar su responsabilidad T.T.T. manifiesta que los envíos fueron realizados por los optantes al concurso y que esta Agencia no ha probado que dichos remitentes (concursantes) no tuvieran el consentimiento de los destinatarios, añadiendo también que el papel desempeñado por su parte se limitó única y exclusivamente a realizar el tratamiento de dichos correos electrónicos para el proceso de envío de los mensajes remitidos por los concursantes a través de la plataforma tecnológica T.T.T. y para el cómputo del número de correos enviados por los concursantes. Sin embargo, de las actuaciones practicadas durante la tramitación del procedimiento sancionador y de la documentación obrante en el mismo se ha comprobado que los mencionados correos electrónicos comerciales no se enviaron por los concursantes, sino que fueron remitidos por T.T.T. a través de su propia plataforma tecnológica. Los concursantes se limitaron a facilitar a dicha entidad, a través del formulario electrónico habilitado al efecto, las direcciones de correo electrónico de sus amigos y a pulsar el botón de “enviar” siguiendo la mecánica establecida por la entidad organizadora de la campaña promocional para participar en el reseñado concurso. Como apoyo a lo señalado, la prueba realizada por los inspectores actuantes revela que los mensajes promocionales se remitían desde la plataforma de T.T.T., tal y como evidencia el encabezamiento de los mismos, en el que aparece como remitente “De: Promociones tictackticket.com [[email protected]]”, lo que acredita, a su vez, tanto que el asunto de dichos mensajes estaba vinculado al concurso organizado por la entidad remitente como que su texto contenía publicidad de T.T.T., tratándose, además, de un texto común para todos los envíos de la campaña promocional en cuestión. A mayor abundamiento aunque en el formulario electrónico se indicaba “.Los emails de tus amigos no serán utilizados por ticktackticket.com sin previo consentimiento por su parte”, en la práctica dicha condición no se cumplía, ya que no consta que la entidad imputada haya realizado ninguna actuación tendente a obtener, en calidad de prestadora del servicio, el consentimiento previo y expreso de los usuarios o titulares de las direcciones facilitadas por los concursantes al cumplimentar el citado formulario. No hay que olvidar que la obtención de las reseñadas direcciones de correo electrónico por el medio indicado no supone estar habilitado para usarlas en la remisión de comunicaciones promocionales si no se da cumplimiento a lo previsto en el artículo 21 de la LSSI, norma que tiene por objeto, entre otras materias, la regulación del envío de las comunicaciones comerciales por vía electrónica. Por otro lado, la entidad imputada tampoco ha acreditado la existencia de una relación contractual anterior con los destinatarios de tales correos comerciales, la cual, de conformidad con la excepción recogida en el primer párrafo del apartado 2 del artículo 21, hubiera legitimado el envío por parte de T.T.T. de los reseñados mensajes en su condición de clientes de sus productos o de servicios similares a los que hubieran sido objeto de contratación con anterioridad, motivo por el que no cabe exonerarla de la necesidad de contar con el consentimiento previo y expreso de los destinatarios de los envíos comerciales dirigidos a las direcciones de correo electrónico recogidas mediante el mencionado formulario, y cuyo total ascendía a 39.848 direcciones que fueron utilizadas para remitir un mensaje

15/24

comercial con la información del concurso y del evento musical. En cuanto a la exigencia de contar con la cobertura de consentimiento previo y expreso para la remisión de este tipo de comunicaciones comerciales la Sentencia de la Audiencia Nacional, acordada con fecha 17 de septiembre de 2008, Recurso nº 189/2007, señalaba: “La dicción literal del articulo 21.1 de la Ley34 / 2002, de Servicios de la Sociedad de la Información y Comercio Electrónico, no deja lugar a dudas sobre la prohibición de comunicaciones publicitarias o promocionales por correo electrónico, que no hayan sido previamente solicitadas o expresamente autorizadas por sus destinatarios. Es decir, para la remisión de los correos electrónicos comerciales o promocionales (en ningún momento se ha puesto en duda que el ahora analizado pertenezca a dicha categoría), se requiere la previa solicitud o expresa autorización de sus destinatarios. En definitiva, la existencia de un consentimiento que el denunciante no ha otorgado a la Sra. (….). remitente de dicha comunicación.” Entendiéndose como consentimiento expreso el que se obtiene de una declaración clara e inequívoca por parte del interesado que acepta, o rechaza, el tratamiento y uso de sus datos mediante la expresión de su voluntad de forma que permita su constancia y prueba indubitada, y en base a los motivos expuestos con anterioridad, deben ser desestimados los argumentos invocados por la entidad imputada para justificar que no precisaba contar con el consentimiento previo y expreso de los titulares de las direcciones de correo electrónico a las que se envió la comunicación comercial que invitaba a participar en el concurso organizado por T.T.T,. En conclusión, dicha entidad es responsable del incumplimiento de la prohibición prevista en el artículo 21.1 de la LSSI antes citado, máxime cuando en este caso no cabe aplicar la excepción prevista en el primer párrafo del artículo 21.2 de la misma norma por no haberse acreditado por dicha entidad la existencia de una relación contractual anterior con los destinatarios de los envíos. VI En lo que hace referencia al requisito establecido en el segundo párrafo del artículo 21 de la LSSI, la simple lectura del texto del mensaje enviado de forma masiva en el período comprendido entre el 4 y el 8 de septiembre de 2008 lleva a constatar que el prestador del servicio, en este supuesto, la entidad imputada, no ofreció a los destinatarios de los citados correos comerciales, cuyas direcciones de correo, en total 38.848, obran en la base de datos que registraba la información obtenida en la campaña Madonna, la posibilidad de oponerse al tratamiento de sus datos con fines promocionales. Es decir, si la LSSI ha querido imponer una formalidad específica que permita a los destinatarios de los envíos oponerse al tratamiento de sus datos para el envío de mensajes publicitarios por correo electrónico, a fin de garantizar su derecho a no recibir comunicaciones de naturaleza comercial, el hecho de que por parte del prestador de servicios no se ofrezca un procedimiento sencillo y gratuito para ello conculca la obligación establecida en el mencionado precepto de la LSSI.

c. Jorge Juan 6

28001 Madrid

www.agpd.es

En consecuencia, de lo expuesto con anterioridad, ha quedado probado que T.T.T. ha incurrido en la infracción del artículo 21.2, párrafo segundo, de la LSSI, al no dar cumplimiento a la obligación de ofrecer al destinatario de cada uno de los envíos comerciales remitidos durante la campaña promocional “Madonna” la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito. VII Una vez analizadas las circunstancias concurrentes en el procedimiento y las pruebas de cargo que se han tenido en cuenta para mostrar de forma justificada la responsabilidad de la entidad imputada en la comisión de la infracción a lo previsto en el artículo 38.3.c) de la LSSI, y habiéndose razonado los motivos por los que se entendía que los mensajes comerciales fueron remitidos por la entidad imputada incumpliendo los requisitos recogidos en el artículo 21 de la LSSI, por recaer el cumplimiento de los mismos sobre ésta y no sobre los concursantes, procede responder la alegación efectuada por T.T.T. relativa a que por parte de la AEPD se ha invertido la carga de la prueba. Y efectivamente, la carga de probar los hechos constitutivos de cada infracción corresponde a la Administración Pública actuante. Sin embargo, lo que garantiza el principio de presunción de inocencia es que ésta sólo puede destruirse, como ha señalado el Tribunal Constitucional en su Sentencia 120/1994, de 25 de abril, “cuando un Tribunal independiente, imparcial y establecido por la Ley declara la culpabilidad de una persona tras un proceso celebrado con todas las garantías, al cual se aporte una suficiente prueba de cargo”; pero en ningún caso significa que existiendo prueba de cargo suficiente obtenida en base a medios probatorios lícitos, el sancionado esté exento de actividad probatoria tendente a justificar su conducta. En este sentido, la Sentencia del Tribunal Supremo, de 26/07/1988, sostiene que “frente a las pruebas no solo indiciarias, sino también de cargo..., el interesado en su momento no llevó a cabo la imprescindible contraprueba, incidiendo en el error tantas veces observado por este Tribunal, de entender que este principio presuntivo supone, sin más, una inversión de la carga de la prueba”. En este orden de ideas, debe tenerse en cuenta que en el ámbito administrativo sancionador son de aplicación, con alguna matización pero sin excepciones, los principios inspiradores del orden penal, resultando clara la plena virtualidad de los principios de presunción de inocencia. La presunción de inocencia debe regir sin excepciones en el ordenamiento sancionador y ha de ser respetada en la imposición de cualesquiera sanciones, pues el ejercicio del ius puniendi en sus diversas manifestaciones está condicionado al juego de la prueba y a un procedimiento contradictorio en el que puedan defenderse las propias posiciones. En tal sentido, el Tribunal Constitucional, en Sentencia 76/1990 considera que el derecho a la presunción de inocencia comporta “que la sanción esté basada en actos o medios probatorios de cargo o incriminadores de la conducta reprochada; que la carga de la prueba corresponda a quien acusa, sin que nadie esté obligado a probar su propia inocencia; y que cualquier insuficiencia en el resultado de las pruebas practicadas, libremente valorado por el órgano sancionador, debe traducirse en un

17/24

pronunciamiento absolutorio”. De acuerdo con este planteamiento, el artículo 130.1 de la citada Ley 30/1992, de 26 de noviembre, establece que “Sólo podrán ser sancionados por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aún a título de simple inobservancia.” En el presente caso ha quedado acreditada la comisión de la infracción imputada por T.T.T., a título de culpa, a través de los medios de prueba obtenidos durante la tramitación del presente procedimiento, en especial del resultado de la inspección practicada en la sede de la entidad, apuntando todos ellos a la realización de las comunicaciones comerciales no consentidas en el período de vigencia de la promoción y concurso organizados por T.T.T. en septiembre de 2008, sin que por parte de la entidad denunciada se haya acreditado la obtención del consentimiento de los afectados o justificado que concurría relación contractual previa con los mismos, lo cual permite desvirtuar la inexistencia de culpabilidad invocada por la entidad imputada respecto de la comisión de la referida infracción a la LSSI, todo ello en cumplimiento de las exigencias derivadas del artículo 24 de la Constitución Española y el artículo 137 de la LRJPA. VIII La entidad imputada, después de citar las Sentencias del Tribuna Constitucional 76/1990 y la de fecha 20/02/1989 y la Sentencia del Tribunal Supremo de 26/10/98, invoca el principio de presunción de inocencia al considerar que no ha quedado probado que el remitente no hubiera obtenido previamente del destinatario el consentimiento para el envío de las comunicaciones. En consonancia con la línea argumental citada por la entidad imputada conviene traer a colación que en la sentencia dictada el 3 de mayo de 2007 por la Audiencia Nacional, nº de Rec 317/2005, al examinar una posible vulneración de la presunción de inocencia, se indicaba: “Respecto al principio de presunción de inocencia, en materia sancionadora el Tribunal Constitucional ha establecido como uno de los pilares básicos para la interpretación del derecho Administrativo Sancionador que, los principios y garantías básicas presentes en el ámbito del derecho penal son aplicables, con ciertos matices en el ejercicio de cualquier potestad sancionadora de la Administración Pública (STC 76/1990, de 26 de abril). En este sentido, la STC 18/1981 (fundamento jurídico segundo in fine), ya había señalado que las garantías procesales constitucionalizadas en el artículo 24.2 de la Constitución son de aplicación al ámbito administrativo sancionador En concreto establecía la citada sentencia, por lo que aquí nos interesa y respecto al principio de presunción de inocencia que En esta línea la STC de 25 de enero de 1999, señala que la potestad sancionadora de la Administración debe ejercitarse en consonancia con las garantías, debidamente atemperadas, reconocidas en el art. 24.1 de la Constitución, especialmente las derivadas de la presunción de inocencia, en los términos previstos en las sentencias del Tribunal Constitucional 76/1990, 120/1994, 154/1994, 23/1995, 97/1995, 147/1995 y 45/1997, que implica que la carga de la prueba de los hechos constitutivos de la infracción recaiga sobre la Administración.” Por lo tanto, en línea con la jurisprudencia referida, hay que tener en cuenta que en los anteriores Fundamentos de Derecho la AEPD ha argumentado y razonado pormenorizadamente los motivos por los cuales considera que T.T.T. ha vulnerado lo previsto en el artículo 21 de la LSSI. Así en el expediente existen numerosos elementos fácticos que constituyen actividad probatoria suficiente (dirección de origen del correo comercial enviado, contenido comercial del mensaje del correo sin ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales, uso por su parte de las direcciones de correo electrónico para el envío del mensaje desde su propia plataforma, registro en sus bases de datos de las direcciones de correo utilizadas y las que han sido recibidas y leídas, reconocimiento de que no puede demostrar que el envío se realizó con el consentimiento de los destinatarios, a) para considerar a dicha entidad como responsable del envío masivo por correo electrónico del mensaje comercial objeto del procedimiento, el cual fue enviado a una multitud de destinatarios en el período en que se desarrolló la campaña promocional “Madonna”, lo que supone que dicha entidad es responsable de la comisión de la infracción prevista en el artículo 38.3.c) de la LSSI T.T.T. ha utilizado un sistema de envío de correos comerciales en el que se omiten las exigencias recogidas en el artículo 21 de la LSSI, así, al obtener las direcciones de correo electrónico de los destinatarios del mensaje a través de los participantes al concurso, quienes deben cumplimentar un formulario en el que anotan una o más cuentas de correo electrónico de amigos debiendo después pulsar el botón de “enviar”, pretende exonerar su responsabilidad en la infracción imputada y trasladar el cumplimiento de los referidos requisitos a dichos concursantes, cuando en realidad las direcciones de correo electrónico que éstos facilitaron fueron utilizadas por T.T.T. para remitir el mensaje comercial que publicitaba el concurso organizado por la propia entidad y sus actividades de venta de entradas de eventos, proceso de envío que se gestiona y realiza a través de la plataforma tecnológica de la entidad, figurando incluso en los correos enviados que éstos se remitían desde una cuenta de correo electrónico de la propia entidad. En consecuencia, hay que desestimar el alegato relativo a la vulneración del principio de presunción de inocencia y valorar , en cuanto a las exigencias derivadas del principio de culpabilidad, que éstas se traducen en la necesidad de exigir una especial

19/24

diligencia a las entidades prestadoras de los servicios cuando se trata de enviar comunicaciones comerciales por medios de comunicación electrónica. Dicha diligencia en el presente supuesto faltó desde el momento en que la entidad imputada remitió a una multitud de destinatarios un mensaje comercial de contenido publicitario sin comprobar, por un lado, que los destinatarios del mismo hubieran solicitado la publicidad remitida o hubieran consentido la utilización de su correo electrónico para dicho fin ni constatar, por otro lado, si tenían la condición de clientes de la entidad en los términos recogidos en el artículo 21.2 de la LSSI, todo ello sin cumplir tampoco con la obligación de ofrecer el mencionado procedimiento de oposición a la utilización de los datos con fines promocionales. Esa falta de diligencia configura el elemento culpabilístico de la infracción administrativa y no precisa de la concurrencia de dolo, puesto que como señala la Sentencia del Tribunal Constitucional de 18 de marzo de 2005, recurso 7707/2000, es evidente, “que no podría estimarse cometida una infracción administrativa, si no concurriera el elemento subjetivo de la culpabilidad o lo que es igual, si la conducta típicamente constitutiva de infracción administrativa, no fuera imputable a dolo o a culpa.” Por lo tanto, la conducta que configura el ilícito administrativo- artículo 38.3.c) de la LSSI- requiere la existencia de culpa, que se concreta, en la falta de diligencia observada por T.T.T. al remitir los reseñados correos electrónicos en la forma descrita. En resumen, esa falta de diligencia configura el elemento culpabilístico de la infracción administrativa y no precisa de la concurrencia de dolo. Por otro lado, la aportación de una serie de impresiones de diferentes sitios web en los que se utiliza la plataforma “Envío a un amigo” no desvirtúa la determinación de los hechos objeto del presente procedimiento sancionador y la responsabilidad de T.T.T. frente a los mismos, ya que se trata de hechos ajenos al presente expediente y únicamente reflejan el formulario de registro de datos de las entidades usuarias o titulares de los sitios web, pero no el texto de la comunicación recibida por el destinatario, causa por la que no se puede determinar si se trataría de un envío de naturaleza comercial, o no. IX El hecho de que esa entidad no haya recibido ninguna queja por el envío de los mencionados mensajes, tanto durante como después de la campaña, ni que la denuncia de FACUA no estuviera acompañada del soporte de alguna reclamación concreta o la falta de interposición de denuncia ante la Agencia por parte de alguno de los destinatarios de los correos comerciales analizados no anula la obligación de dar cumplimiento al requisito previsto en el artículo 21 de la LSSI. Además, conviene aclarar que la potestad sancionadora de la AEPD procede siempre de oficio, con independencia de la existencia, o no, de denuncia de parte (principio acusatorio). A este respecto debe indicarse, en primer término, que como consecuencia de la denuncia registrada de entrada en esta AEPD con fecha 16/09/2008 se llevaron a cabo de oficio una serie de actuaciones previas de inspección por la Subdirección General de Inspección de Datos, de conformidad con lo previsto en los artículos 122 y 123 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, el cual resulta de aplicación en virtud de

c. Jorge Juan 6

28001 Madrid

www.agpd.es

lo previsto en el artículo 120.1 del reseñado Reglamento, al objeto de determinar si concurrían circunstancias que justificaran tal iniciación, y, en especial, para determinar, con la mayor precisión posible, los hechos que pudieran justificar la incoación del procedimiento, identificar la persona u órgano que pudiera resultar responsable y fijar las circunstancias relevantes que pudieran concurrir en el caso. Con estas actuaciones previas, que potestativamente puede realizar la Administración, la Subdirección de Inspección de Datos de esta Agencia comprobó los hechos susceptibles de motivar la incoación del procedimiento sancionador, siendo sometido el resultado de las mismas, conforme lo previsto en el artículo 126 del citado Reglamento, a la decisión del Director de la Agencia Española de Protección de Datos una vez finalizadas éstas, y quien al apreciar la existencia de indicios susceptibles de motivar la imputación de una infracción dictó con fecha 30/03/2009 el acuerdo de inicio del procedimiento sancionador que nos ocupa por la comisión de una infracción del artículo 21 de la LSSI, tipificada como grave en el artículo 38.3.c) de la misma norma. Por lo tanto, el procedimiento sancionador se inició de oficio por el Director de la Agencia Española de Protección de Datos, tal y como se recoge en el artículo 11.1 del Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora al disponer que: “ Los procedimientos sancionadores se iniciarán siempre de oficio, por acuerdo del órgano competente, bien por propia iniciativa o como consecuencia de orden superior, petición razonada de otros órganos o denuncia.” , el cual resulta de aplicación en virtud de la disposición final única del citado Real Decreto 1720/2007, imputándose en el mismo los hechos que se consideraron susceptibles de motivar la incoación del procedimiento sancionador a la vista del resultado de las gestiones realizadas por los inspectores actuantes durante dichas actuaciones previas de inspección. Así, a los efectos de la apertura del procedimiento sancionador el contenido de la denuncia, acto por el que cualquier persona “pone en conocimiento de un órgano administrativo la existencia de un determinado hecho que pudiera constituir infracción administrativa”, según la definición recogida en el artículo 11.1.d) del mencionado Real Decreto 1398/1993, de 4 de agosto, no determina los hechos ni la infracción concretas que pueden ser objeto de imputación en el procedimiento sancionador que pueda ser iniciado, en su caso, con posterioridad. En relación con la potestad sancionadora de la AEPD resulta ilustrativo lo señalado por la Audiencia Nacional en Sentencia de fecha 17/09/2008, Recurso nº 189/2007, al indicar que: “Respecto a la invocación que se efectúa en la demanda del principio acusatorio, basta poner de manifiesto que la potestad sancionadora de la AEPD procede siempre de oficio, con independencia de la existencia o no de denuncia de la parte. En este sentido la SAN de 19 de diciembre de 2007 ( rec. 108.2006 ), entre otras muchas, indica que corresponde a la AEPD, por mor del articulo 37.a) LOPD , velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, así como ejercer la potestad sancionadora en los términos previstos en el Titulo VII (Art. 37 .g), procedimiento sancionador que se iniciara siempre de oficio (bien por propia iniciativa o en virtud de denuncia de un afectado o afectados), a tenor del Art. 18 del RD 1332/1994 en el caso de la supuesta comisión de alguna de las infracciones reguladas en la LOPD o también por mor del articulo 43.2 LSSI y como acontece en el presente

21/24

supuesto, en el articulo 38.4.d) de dicha LSSI.” X De conformidad con lo establecido en el artículo 38, en sus apartados 3 y 4 de la LSSI, según su redacción aprobada por la por la disposición adicional octava de la Ley 59/2003, de 19 de diciembre, sobre normas reguladoras de la firma electrónica, en vigor desde el 21/03/2004, se consideran infracciones graves y leves las siguientes: “3. Son infracciones graves: c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21”. “4. Son infracciones leves: d) El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21 y no constituya infracción grave”. En consecuencia, la infracción del artículo 21 de la LSSI, en los términos indicados por el citado artículo 38.4.d), se califica en términos generales como infracción leve, aunque si se produce un envío masivo de comunicaciones comerciales no solicitadas a diferentes destinatarios o más de tres a un mismo destinatario, en los términos que se indican en el también citado artículo 38.3.c), se producirá una infracción tipificable como grave a los efectos de la LSSI. Atendido que en la LSSI no aparece definido el concepto de “envío masivo” y partiendo de que en el Diccionario de la Real Academia Española se define el adjetivo masivo de la siguiente forma: “Dícese de lo que se aplica en gran cantidad”, se puede afirmar que en el presente supuesto ha quedado acreditado el envío masivo imputado dentro del marco la campaña publicitaria denominada “Madonna”. En las alegaciones a la propuesta de resolución la entidad imputada aduce que la AEPD no ha probado que se realizara un envío masivo a las direcciones de correo electrónico recogidas a través del formulario, ya que durante la inspección realizada en la sede de T.T.T. únicamente se constató “la recogida de un número indeterminado de presuntas direcciones de correo electrónicas “válidas”, pero nunca que se realizaran un número indeterminado de envíos” a dichas cuentas de correo. Frente a dicha alegación conviene puntualizar que en los apartados que a continuación se indican del Acta de Inspección levantada con motivo de la inspección a la que se refiere la entidad imputada, la cual consta como firmada libre y voluntariamente por el director financiero y el director de proyectos de T.T.T., consta que dichos representantes manifestaron que: (Folios 38 al 40) “2.4. Las direcciones de correo recogidas mediante el formulario descrito en el punto 2.1 fueron utilizadas para remitir un correo electrónico con la información del concurso. En dicho correo se ofrecía la posibilidad de participar al receptor mediante un

c. Jorge Juan 6

28001 Madrid

www.agpd.es

enlace que dirigía al formulario de suscripción 2.5. En el caso de que el receptor del correo no deseara inscribirse su dirección de correo no era utilizada para ningún otro fin, tal y como se especificaba en las condiciones de participación del concurso que figuraban en el formulario.” . “4. Los representantes de TICK manifiestan que en la recogida de los datos no se verificó que las direcciones de correo facilitadas fueran válidas y que desconocen el número de direcciones reales que pudiera haber entre las 39.848 direcciones de correo que se citan en el punto 3.3.2.” (Folio 40) Con motivo del acceso efectuado al sistema de información que contenía los datos de la campaña “Madonna”, los inspectores de la AEPD verificaron, según figura en el punto 3.3.2 de dicha Acta de Inspección, que “en la tabla “destinos” que contiene las direcciones de correo de los amigos proporcionadas por los participantes, constan 39.848 direcciones de correo electrónico distintas…” (Folio 39 y 49), indicándose en el punto 3.3.4 de la misma Acta de Inspección “que en la tabla de “destinos” figuran 5.837 direcciones de correo electrónico distintas “en los que el valor del campo “valid” indica, según manifestaciones de los responsables de TICK, la recepción y lectura del correo remitido.” (Folios 39 y 50) Asimismo, en la nota de prensa aparecida en la página web de T.T.T. se indicaba que “Aprovechamos para poner de manifiesto que en ningún momento se ha hecho uso indebido de la información recopilada en las promociones realizadas hasta la fecha, ni se han enviado comunicaciones a los correos electrónicos de nuestros usuarios sin haber recibido antes el consentimiento expreso de su propietario.” (Folio 41) Constatándose también en el hecho número 5 del escrito de alegaciones al acuerdo de inicio el Director General de la Compañía decía: “Que tal y como se expresaba en el formulario electrónico , T.T.T. única y exclusivamente realizó el tratamiento de estos correos electrónicos para el proceso de envío del mensaje remitido por el Optante registrado (en adelante remitente) a través de la plataforma tecnológica T.T.T., así como para el cómputo del número de correos enviados por el remitente. (…)” (Folio 82) A la vista de las manifestaciones efectuadas por los propios representantes de la entidad imputada y de la información obtenida por los inspectores actuantes en los sistemas de información de la misma, se evidencia que, en el presente procedimiento, concurren suficientes pruebas de cargo que permiten afirmar de forma motivada que T.T.T. envió entre el 4 y el 8 de septiembre de 2008, utilizando para ello la plataforma tecnológica de la propia entidad imputada, una comunicación comercial a las 39.848 direcciones de correo electrónico recogidas a través del formulario de la campaña “Madonna”, de las que 5.837, todas ellas distintas, fueron recibidas y leídas por sus destinatarios, enervándose de esta manera el alegato relativo a que no se había probado el envío masivo de correos electrónicos comerciales a las direcciones proporcionadas por los concursantes y destruyéndose la afirmación de que dicha imputación se apoyaba en una mera suposición, sin que, por otra parte, T.T.T. haya precisado la naturaleza de la prueba electrónica forense a la que se refiere en sus alegaciones a la propuesta de resolución. En resumen, el presente supuesto se ajusta al tipo de infracción establecido en el artículo 38.3.c) de la LSSI, calificado como infracción grave, al tratarse del envío

23/24

masivo de comunicaciones comerciales no solicitadas a una multitud de destinatarios diferentes en un breve lapso de tiempo, sin que T.T.T. haya acreditado el cumplimiento de los requisitos establecidos en el artículo 21 de la LSSI y sin que tampoco haya justificado la existencia de una relación comercial previa entre emisor y receptor de los mismos. XI A tenor de lo establecido en el artículo 39.1.b) de la LSSI, las infracciones graves serán sancionadas con multa de 30.001 hasta 150.000 euros, estableciéndose los criterios para su graduación en el artículo 40 de la misma norma que dispone: “La cuantía de las multas que se impongan se graduará atendiendo a los siguientes criterios: a) La existencia de intencionalidad. b) Plazo de tiempo durante el que se haya venido cometiendo la infracción. c) La reincidencia por comisión de infracciones de la misma naturaleza, cuando así haya sido declarado por resolución firme. d) La naturaleza y cuantía de los perjuicios causados. e) Los beneficios obtenidos por la infracción. f) Volumen de facturación a que afecte la infracción cometida”. De conformidad con el principio de proporcionalidad y en base a los criterios de graduación de la sanción recogidos en el señalado artículo 40 de la LSSI, y particularmente a la inexistencia de intencionalidad y el plazo de tiempo durante el que se cometió la infracción, acreditados en el presente procedimiento, procede imponer a la sociedad imputada la sanción en su importe mínimo de 30.001 € (Treinta mil un euros). Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad TICK TACK TICKET, S.A., por una infracción del artículo 21, apartados 1 y segundo párrafo del apartado 2, de la LSSI, tipificada como grave en el artículo 38.3.c) de dicha norma, una sanción de 30.001 € (Treinta mil un euros) de conformidad con lo establecido en los artículos 39.1.b) y 40 de la citada Ley. SEGUNDO: NOTIFICAR la presente resolución a la entidad TICK TACK TICKET, S.A. y a la Asociación FACUA-Consumidores en Acción. TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº 0182 2370 43 0200000785 abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será

c. Jorge Juan 6

28001 Madrid

www.agpd.es

hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 14 de septiembre de 2009 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Fdo.: Artemi Rallo Lombarte