Los correos electrónicos comerciales no solicitados un año después de la LSSICE

• Autor: Juan Carlos Plaza Soler
• Cargo: Abogado
• Páginas: 3-38

I. Introducción

Los correos electrónicos no solicitados (denominados coloquialmente, en su versión masiva, como spam ) han sido desde hace unos años uno de los principales problemas –junto con los virus- que ha introducido la difusión de la informática y el uso de Internet. El spam supone un grave problema tanto para la credibilidad misma del correo electrónico como herramienta de trabajo como para los servidores de correo, que se ven desbordados en su funcionamiento[1], ralentizando el procesamiento de los correos legítimos y aumentando los costes de mantenimiento por la necesaria implantación de soluciones tecnológicas anti-spam y la necesidad de un mayor ancho de banda.

El spam se ha venido regulando en Europa hasta ahora de manera anecdótica y bastante tímida, aunque en estos momento sin duda es un fenómeno en auge que preocupa –y mucho- al legislador comunitario y por ende a los de los demás países europeos, por lo que ha sido regulado por fin por una Directiva Comunitaria (2002/58/CE, de 12 de julio de 2002), que entró en vigor el día 30 de octubre de 2003.

En España, concretamente, se reguló por primera vez este fenómeno en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (en adelante, LSSICE), una norma tan nueva como criticada por muchos sectores por ser bastante restrictiva en esta materia. Ya desde su aprobación, varios expertos se preguntaron ya entonces cuánto tardaría en ser modificada, especialmente en lo relativo al spam. Las expectativas de modificación tenían su origen –además de las críticas- en la aprobación, sólo un día después de la entrada en vigor de la citada Ley, de la ya mencionada Directiva 2002/58/CE, del Parlamento y del Consejo, sobre la Privacidad de las Comunicaciones Electrónicas, que regulaba el envío de correos electrónicos no solicitados de manera no idéntica a como lo hacía la LSSICE española.

El Gobierno, ante las airadas críticas, se apresuró a afirmar que no suavizaría la LSSICE en los puntos relativos al spam y que consideraba cerrada toda polémica al respecto, porque yendo por la vía interpretativa no es contradictorio jurídicamente , aunque el Ministerio dirigido por D. Josep Piqué, a la sazón Ministro de Ciencia y Tecnología, asimismo reconocía que la ley española es más restrictiva que la Directiva europea [2].

Apenas un año ha bastado finalmente para que la nueva Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, haya modificado el núcleo del capítulo destinado al spam en la LSSICE, incorporando la citada Directiva comunitaria pero no aprovechando para incorporar también las novedades que en este terreno han aparecido en el Derecho europeo y estadounidense al respecto o el resto de las mejoras propuestas al legislador desde entonces por los expertos.

Muchas cosas han ocurrido en Europa y en el mundo desde la publicación de la LSSICE. En el Viejo Continente muchos países comunitarios han desarrollado por fin –agotando plazos prácticamente todos ellos- la Directiva citada, entre los cuales destaca especialmente Italia, que incluso ha dado al envío del spam la tipificación de delito, o el Reino Unido, que excluye de la prohibición a las personas jurídicas y sus correos corporativos.

Asimismo, algunas han sido las novedades últimamente en las legislaciones extracomunitarias merecedoras de un comentario, principalmente en el principal país remitente de spam, los Estados Unidos, pero también en otros países de referencia mundial, como Australia, Canadá o Japón.

No sólo la legislación europea –incluyendo la española- y la de los Estados Unidos manifiestan cada vez con más claridad su deseo de atajar este fenómeno mundial del spam, cada vez mayor, sino que las propias empresas de software han encontrado en este riesgo un nuevo nicho de mercado para sus clientes y desarrollan productos cada vez más refinados para detectar y eliminar estos mensajes en los ordenadores de los destinatarios de los mensajes o –aún mejor- en los servidores de correo electrónico. No obstante, algunas de estas soluciones –independientemente de su efectividad técnica- podrían presentar algún tipo de problemas desde el punto de vista de la Protección de Datos o la confidencialidad que es conveniente analizar, puesto que la legislación europea en esta materia es mucho más restrictiva que la estadounidense, país de origen de mucho de este software.

Es objeto del presente artículo, con el lógico límite relativo a la extensión a la que es necesario ajustarse, realizar una introducción a las soluciones tecnológicas y novedades legislativas surgidas a nivel nacional e internacional desde la aprobación de la LSSICE hasta ahora.

II. La Directiva 2002/58/CE

Sólo un día después de la publicación de la LSSICE se aprobaba la Directiva 2002/58/CE, de 12 de julio de 2002. La citada Directiva se refiere al tema del spam en su artículo 13 en los siguientes términos:

Artículo 13 . Comunicaciones no solicitadas

1. Sólo se podrá autorizar la utilización de sistemas de llamada automática sin intervención humana (aparatos de llamada automática), fax o correo electrónico con fines de venta directa respecto de aquellos abonados que hayan dado su consentimiento previo.

2. No obstante lo dispuesto en el apartado 1, cuando una persona física o jurídica obtenga de sus clientes la dirección de correo electrónico, en el contexto de la venta de un producto o de un servicio de conformidad con la Directiva 95/46/CE, esa misma persona física o jurídica podrá utilizar dichas señas electrónicas para la venta directa de sus propios productos o servicios de características similares, a condición de que se ofrezca con absoluta claridad a los clientes, sin cargo alguno y de manera sencilla, la posibilidad de oponerse a dicha utilización de las señas electrónicas en el momento en que se recojan las mismas y, en caso de que el cliente no haya rechazado inicialmente su utilización, cada vez que reciban un mensaje ulterior.

3. Los Estados miembros tomarán las medidas adecuadas para garantizar, que, sin cargo alguno, no se permitan las comunicaciones no solicitadas con fines de venta directa en casos que no sean los mencionados en los apartados 1 y 2, bien sin el consentimiento del abonado, bien respecto de los abonados que no deseen recibir dichas comunicaciones. La elección entre estas dos posibilidades será determinada por la legislación nacional.

4. Se prohibirá, en cualquier caso, la práctica de enviar mensajes electrónicos con fines de venta directa en los que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación, o que no contengan una dirección válida a la que el destinatario pueda enviar una petición de que se ponga fin a tales comunicaciones.

5. Los apartados 1 y 3 se aplicarán a los abonados que sean personas físicas. Los Estados miembros velarán asimismo, en el marco del Derecho comunitario y de las legislaciones nacionales aplicables, por la suficiente protección de los intereses legítimos de los abonados que no sean personas físicas en lo que se refiere a las comunicaciones no solicitadas .

   La Directiva reguló de este modo la materia del spam, distanciándose de la filosofía del Opt-out [3] que había regido la regulación anterior del año 1997 y asumiendo definitivamente las peticiones de los consumidores europeos, unidos en la plataforma anti-spam EUROCAUCE[4], que tanto ha luchado por la nueva legislación.

   Según la Directiva europea, se prohíbe la realización de llamadas automáticas sin intervención humana o el envío de correos electrónicos con fines de venta directa respecto de los abonados que no hayan dado su consentimiento previo.

   Resulta paradójico, en primer lugar, el hecho de que mientras en el caso de las llamadas telefónicas se menciona el hecho de que no hayan tenido intervención humana (por lo que se excluyen de la prohibición, a sensu contrario, las llamadas con fines de venta en las que intervienen telefonistas), en el caso de los correos electrónicos no se haya hecho ninguna referencia parecida, quedando prohibidos todos los comerciales sin consentimiento previo y no sólo los enviados por los denominados robots . También sorprende la utilización de un término como el de abonado para el receptor de correo electrónico no solicitado, cuando quizás en este contexto no es relevante la condición de abonado o no del destinatario de los mensajes.

   También es necesario entrar –siquiera brevemente- en el concepto del consentimiento requerido por la Directiva, la cual no exige –al contrario de la Ley española- que el mismo sea expreso, por lo que –entendemos- el consentimiento previo al envío del mensaje informado pero tácito legitimaría según la Directiva la recepción de correos comerciales por la destinatario, sin perjuicio a su derecho a oponerse a recibir más mensajes futuros.

   Se refiere el número segundo del artículo 13 de la Directiva al supuesto de que una persona física o jurídica hubiera obtenido de sus clientes la dirección de correo en el contexto de la venta de un producto o de un servicio, en cuyo caso el remitente puede utilizar dicha dirección de correo para la venta de sus propios productos o servicios de características similares.

   No queda claro a qué se refiere la expresión productos de características similares , pero el fundamento de este párrafo es –en todo caso- que las empresas o particulares europeos no tengan que solicitar el consentimiento –ni tan siquiera tácito- para poder seguir enviando información a sus clientes sobre productos. Con ello, se pretende poder competir con las empresas no europeas, que envían publicidad sin límite, permitiendo al menos a las empresas europeas no perder a los clientes que consiguieron ya anteriormente.

   Exige este párrafo –además- que se pueda usar sólo la dirección de correo obtenida en el contexto de la venta de un producto o servicio, de conformidad con lo previsto en la Directiva 95/46/CE (de Protección de Datos). Ello quiere decir...