1

LOS CORREOS ELECTRÓNICOS COMERCIALES NO SOLICITADOS UN AÑO DESPUÉS DE LA

LSSI1

Juan Carlos Plaza Soler Abogado

I.- INTRODUCCIÓN Los correos electrónicos no solicitados (denominados coloquialmente, en su versión masiva, como “Spam”) han sido desde hace unos años uno de los principales problemas –junto con los virus- que ha introducido la difusión de la informática y el uso de Internet. El Spam supone un grave problema tanto para la credibilidad misma del correo electrónico como herramienta de trabajo como para los servidores de correo, que se ven desbordados en su funcionamiento2, ralentizando el procesamiento de los correos legítimos y aumentando los costes de mantenimiento por la necesaria implantación de soluciones tecnológicas anti-Spam y la necesidad de un mayor ancho de banda. El Spam se ha venido regulando en Europa hasta ahora de manera anecdótica y bastante tímida, aunque en estos momento sin duda es un fenómeno en auge que preocupa –y mucho- al legislador comunitario y por ende a los de los demás países europeos, por lo que ha sido regulado por fin por una Directiva Comunitaria (2002/58/CE, de 12 de julio de 2002), que entró en vigor el día 30 de octubre de 2003. En España, concretamente, se reguló por primera vez este fenómeno en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (en adelante, LSSI), una norma tan nueva como criticada por muchos sectores por ser bastante restrictiva en esta materia. Ya desde su aprobación, varios expertos se preguntaron ya entonces cuánto tardaría en ser modificada, especialmente en lo relativo al Spam. Las expectativas de modificación tenían su origen –además de las críticas- en la aprobación, sólo un día después de la entrada en vigor de la citada Ley, de la ya mencionada Directiva 2002/58/CE, del Parlamento y del Consejo, sobre la Privacidad de las Comunicaciones Electrónicas, que regulaba el envío de correos electrónicos no solicitados de manera no idéntica a como lo hacía la LSSI española. 1 Este artículo fue publicado en el número de Enero de 2004 de la “Revista de Contratación Electrónica”. 2 Según Jesús Sanz de las Heras, el Spam que recibimos en nuestros buzones de correo es sólo la punta del iceberg del problema real, que está en los servidores-estafetas de correo, los cuales reciben miles de ataques al día. AOL informó el pasado mes de marzo de 2003 de que, de los 1.500 millones de mensajes que pasan por sus redes cada día, 780 millones son bloqueados por ser correo no solicitado. Y en este dato no se incluyen aquéllos que burlan sus filtros. Estas cifras suponen unos costes gigantescos para los proveedores de servicios en Internet, los cuales deben dedicar al Spam recursos personales y materiales excepcionales, que repercuten en los costes de la compañía y –en definitiva- en el precio que paga el consumidor final por el servicio.

2

El Gobierno, ante las airadas críticas, se apresuró a afirmar que no suavizaría la LSSI en los puntos relativos al Spam y que consideraba cerrada toda polémica al respecto, porque “yendo por la vía interpretativa no es contradictorio jurídicamente”, aunque el Ministerio dirigido por D. Josep Piqué, a la sazón Ministro de Ciencia y Tecnología, asimismo reconocía que “la ley española es más restrictiva que la Directiva europea” 3. Apenas un año ha bastado finalmente para que la nueva Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, haya modificado el núcleo del capítulo destinado al Spam en la LSSI, incorporando la citada Directiva comunitaria pero no aprovechando para incorporar también las novedades que en este terreno han aparecido en el Derecho europeo y estadounidense al respecto o el resto de las mejoras propuestas al legislador desde entonces por los expertos. Muchas cosas han ocurrido en Europa y en el mundo desde la publicación de la LSSI. En el Viejo Continente muchos países comunitarios han desarrollado por fin –agotando plazos prácticamente todos ellos- la Directiva citada, entre los cuales destaca especialmente Italia, que incluso ha dado al envío del Spam la tipificación de delito, o el Reino Unido, que excluye de la prohibición a las personas jurídicas y sus correos corporativos. Asimismo, algunas han sido las novedades últimamente en las legislaciones extracomunitarias merecedoras de un comentario, principalmente en el principal país remitente de Spam, los Estados Unidos, pero también en otros países de referencia mundial, como Australia, Canadá o Japón. No sólo la legislación europea –incluyendo la española- y la de los Estados Unidos manifiestan cada vez con más claridad su deseo de atajar este fenómeno mundial del Spam, cada vez mayor, sino que las propias empresas de software han encontrado en este riesgo un nuevo nicho de mercado para sus clientes y desarrollan productos cada vez más refinados para detectar y eliminar estos mensajes en los ordenadores de los destinatarios de los mensajes o –aún mejor- en los servidores de correo electrónico. No obstante, algunas de estas soluciones –independientemente de su efectividad técnica- podrían presentar algún tipo de problemas desde el punto de vista de la Protección de Datos o la confidencialidad que es conveniente analizar, puesto que la legislación europea en esta materia es mucho más restrictiva que la estadounidense, país de origen de mucho de este software. Es objeto del presente artículo, con el lógico límite relativo a la extensión a la que es necesario ajustarse, realizar una introducción a las soluciones tecnológicas y novedades legislativas surgidas a nivel nacional e internacional desde la aprobación de la LSSI hasta ahora. II.- LA DIRECTIVA 2002/58/CE Sólo un día después de la publicación de la LSSI se aprobaba la Directiva 2002/58/CE, de 12 de julio de 2002. 3 Noticia aparecida en la página Web http://www.terra.es/tecnologia/articulo/html/tec7724.htm. Todas las páginas Web citadas en este artículo estaban accesibles en la Red a día 10 de noviembre de 2003.

3

La citada Directiva se refiere al tema del Spam en su artículo 13 en los siguientes términos: “Artículo 13 Comunicaciones no solicitadas 1. Sólo se podrá autorizar la utilización de sistemas de llamada automática sin intervención humana (aparatos de llamada automática), fax o correo electrónico con fines de venta directa respecto de aquellos abonados que hayan dado su consentimiento previo. 2. No obstante lo dispuesto en el apartado 1, cuando una persona física o jurídica obtenga de sus clientes la dirección de correo electrónico, en el contexto de la venta de un producto o de un servicio de conformidad con la Directiva 95/46/CE, esa misma persona física o jurídica podrá utilizar dichas señas electrónicas para la venta directa de sus propios productos o servicios de características similares, a condición de que se ofrezca con absoluta claridad a los clientes, sin cargo alguno y de manera sencilla, la posibilidad de oponerse a dicha utilización de las señas electrónicas en el momento en que se recojan las mismas y, en caso de que el cliente no haya rechazado inicialmente su utilización, cada vez que reciban un mensaje ulterior. 3. Los Estados miembros tomarán las medidas adecuadas para garantizar, que, sin cargo alguno, no se permitan las comunicaciones no solicitadas con fines de venta directa en casos que no sean los mencionados en los apartados 1 y 2, bien sin el consentimiento del abonado, bien respecto de los abonados que no deseen recibir dichas comunicaciones. La elección entre estas dos posibilidades será determinada por la legislación nacional. 4. Se prohibirá, en cualquier caso, la práctica de enviar mensajes electrónicos con fines de venta directa en los que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación, o que no contengan una dirección válida a la que el destinatario pueda enviar una petición de que se ponga fin a tales comunicaciones. 5. Los apartados 1 y 3 se aplicarán a los abonados que sean personas físicas. Los Estados miembros velarán asimismo, en el marco del Derecho comunitario y de las legislaciones nacionales aplicables, por la suficiente protección de los intereses legítimos de los abonados que no sean personas físicas en lo que se refiere a las comunicaciones no solicitadas” La Directiva reguló de este modo la materia del Spam, distanciándose de la filosofía del “Opt-out”4 que había regido la regulación anterior del año 1997 y asumiendo

4 Se conoce como “Opt-in” el modo de legislar en materia de Spam en el que el remitente sólo puede enviar correos electrónicos no solicitados a quienes consintieron expresamente, mientras que se denomina “Opt-out” aquel caso en el que el remitente puede enviar esos correos a todos los que no se hayan opuesto a su recepción. Dentro de estas modalidades hay subclases, como el “soft opt-in” –el que actualmente rige en el seno de la CE-, en el que se permite enviar correo comercial sin consentimiento expreso cuando se cumplan determinados requisitos.

4

definitivamente las peticiones de los consumidores europeos, unidos en la plataforma anti-Spam EUROCAUCE5, que tanto ha luchado por la nueva legislación. Según la Directiva europea, se prohíbe la realización de llamadas automáticas sin intervención humana o el envío de correos electrónicos con fines de venta directa respecto de los abonados que no hayan dado su consentimiento previo. Resulta paradójico, en primer lugar, el hecho de que mientras en el caso de las llamadas telefónicas se menciona el hecho de que no hayan tenido intervención humana (por lo que se excluyen de la prohibición, a sensu contrario, las llamadas con fines de venta en las que intervienen telefonistas), en el caso de los correos electrónicos no se haya hecho ninguna referencia parecida, quedando prohibidos todos los comerciales sin consentimiento previo y no sólo los enviados por los denominados “robots”. También sorprende la utilización de un término como el de “abonado” para el receptor de correo electrónico no solicitado, cuando quizás en este contexto no es relevante la condición de abonado o no del destinatario de los mensajes. También es necesario entrar –siquiera brevemente- en el concepto del consentimiento requerido por la Directiva, la cual no exige –al contrario de la Ley española- que el mismo sea expreso, por lo que –entendemos- el consentimiento previo al envío del mensaje informado pero tácito legitimaría según la Directiva la recepción de correos comerciales por la destinatario, sin perjuicio a su derecho a oponerse a recibir más mensajes futuros. Se refiere el número segundo del artículo 13 de la Directiva al supuesto de que una persona física o jurídica hubiera obtenido de sus clientes la dirección de correo en el contexto de la venta de un producto o de un servicio, en cuyo caso el remitente puede utilizar dicha dirección de correo para la venta de sus propios productos o servicios de características similares. No queda claro a qué se refiere la expresión “productos de características similares”, pero el fundamento de este párrafo es –en todo caso- que las empresas o particulares europeos no tengan que solicitar el consentimiento –ni tan siquiera tácito- para poder seguir enviando información a sus clientes sobre productos. Con ello, se pretende poder competir con las empresas no europeas, que envían publicidad sin límite, permitiendo al menos a las empresas europeas no perder a los clientes que consiguieron ya anteriormente. Exige este párrafo –además- que se pueda usar sólo la dirección de correo obtenida en el contexto de la venta de un producto o servicio, de conformidad con lo previsto en la Directiva 95/46/CE (de Protección de Datos). Ello quiere decir que se debe haber informado al cedente de la dirección de correo que la misma quedará incorporada a una base de datos y de su derecho de acceso, rectificación u oposición a figurar en la misma. Tras un párrafo tercero con la suficiente ambigüedad como para que sea adaptado de manera diferente por los países comunitarios, el párrafo cuarto exige que conste en el mensaje una dirección válida para que el destinatario del mensaje pueda solicitar el no envío de más mensajes y además que conste la identidad del remitente por cuenta de 5 www.euro.cauce.org

5

quien se efectúa la comunicación (expresión que no deja demasiado claro si se refiere a quien envía la comunicación o a la persona que encarga que se realice la misma). Por fin, el párrafo quinto ordena aplicar lo previsto en los párrafos 1 y 2 a las personas físicas, pero deja a la voluntad de los Estados la aplicación de estas prohibiciones en el caso de las personas jurídicas, lo cual ha sido aprovechado por algunos países como el Reino Unido para excluir a éstas y a sus correos corporativos, auque los usuarios reales de los mismos sean los trabajadores personas físicas. En definitiva, la Directiva ha optado finalmente por adoptar el principio del “Opt-in” tras algunas vacilaciones en fechas anteriores, decidiendo de este modo distanciarse de los principios vigentes en los Estados Unidos, como ya sucedió en su día en materia de Protección de Datos de Carácter Personal, en una apuesta clara por los derechos individuales por encima de la libertad de mercado. III.- UN AÑO DE LSSI EN ESPAÑA Como es conocido, la LSSI regulaba en Spam desde el artículo 19 al artículo 22 en los siguientes términos:

“ Artículo 19. Régimen jurídico.

1. Las comunicaciones comerciales y las ofertas promocionales se regirán, además de por la presente Ley, por su normativa propia y la vigente en materia comercial y de publicidad.

2. En todo caso, será de aplicación la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y su normativa de desarrollo, en especial, en lo que se refiere a la obtención de datos personales, la información a los interesados y la creación y mantenimiento de ficheros de datos personales.

Artículo 20. Información exigida sobre las comunicaciones comerciales, ofertas promocionales y concursos.

1. Las comunicaciones comerciales realizadas por vía electrónica deberán ser claramente identificables como tales y deberán indicar la persona física o jurídica en nombre de la cual se realizan.

En el caso en el que tengan lugar a través de correo electrónico u otro medio de comunicación electrónica equivalente incluirán al comienzo del mensaje la palabra «publicidad».

2. En los supuestos de ofertas promocionales, como las que incluyan descuentos, premios y regalos, y de concursos o juegos promocionales, previa la correspondiente autorización, se deberá asegurar, además del cumplimiento de los requisitos establecidos en el apartado anterior y en las normas de ordenación del comercio, que queden claramente identificados como tales y que las condiciones de acceso y, en su caso, de participación se expresen deforma clara e inequívoca.

6

Artículo 21. Prohibición de comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.

Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

Artículo 22. Derechos de los destinatarios de comunicaciones comerciales.

1. Si el destinatario de servicios debiera facilitar su dirección de correo electrónico durante el proceso de contratación o de suscripción a algún servicio y el prestador pretendiera utilizarla posteriormente para el envío de comunicaciones comerciales, deberá poner en conocimiento de su cliente esa intención y solicitar su consentimiento para la recepción de dichas comunicaciones, antes de finalizar el procedimiento de contratación.

2. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.

A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado.

Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.

La regulación del Spam en la norma originaria fue elogiada por asociaciones de usuarios informáticos (como la A.U.I.)6, por suponer un primer paso para el control de esta plaga que afecta a los internautas esencialmente y, a la vez, muy criticada por las asociaciones de empresas que operan por Internet (por ejemplo, la A.E.C.E)7 por suponer una discriminación respecto de otras empresas europeas que -afirmaba la citada Asociación- no estaban sometidas a legislaciones tan estrictas como las españolas. La redacción originaria en la LSSI ya preveía, en su importante artículo 21, que era necesaria la petición o el consentimiento previo y expreso por parte de los destinatarios para que pudieran enviárseles correos comerciales no solicitados previamente por parte de los considerados por la Ley “Prestadores de Servicios de la Sociedad de la Información”. Esta obligación era incluso aplicable a las empresas que contrataran a través de Internet con sus clientes, las cuales (artículo 22) debían comunicar a éstos, durante el procedimiento de contratación de un producto, su intención de utilizar las direcciones de correo entregadas y obtener su consentimiento para poder enviarle comunicaciones posteriormente. 6 http://www.aui.es/contraelSpam/lssi.htm 7 http://es.gsmbox.com/news/mobile_news/all/60283.gsmbox

7

Si bien el primero de los artículos mencionados no pareció nunca contrario a las directrices comunitarias en la materia, el artículo 22.1, sin embargo, sí establecía obligaciones adicionales a las previstas en la Directiva 2002/58/CE respecto de la relación entre las empresas y sus clientes previos. Ciertamente, el artículo 22, aunque con diferente redacción que la Directiva citada, podía ser interpretado –como afirmaba el Gobierno- en el sentido de ésta, ya que en la norma española se preveía el consentimiento del cliente pero no un consentimiento expreso, lo cual en la práctica (como es el caso de la Ley Orgánica 13/1999, de 15 de diciembre) se consigue fácilmente incluyendo tales cláusulas en las condiciones generales que durante el procedimiento de contratación se ponen a disposición del cliente. Esta interpretación queda confirmada por la propia comparación de la exigencia de consentimiento entre el previsto en el artículo 21 (“expresamente autorizadas”) y el artículo 22.1 (“solicitar su consentimiento”). La diferencia entre estos dos términos queda clara en materia de Protección de Datos (aplicable al tema del Spam, por voluntad expresa del artículo 19.2 de la LSSI), donde se entiende que el consentimiento expreso exige una actitud proactiva de quien cede los datos, mientras que el consentimiento sin más (también denominado a veces “consentimiento informado”) exige sólo que el titular de los datos sea informado del destino de éstos y no se oponga a su cesión. Pero, aún salvando la obligatoriedad del consentimiento expreso del cliente en el caso del artículo 22.1, todavía quedaba una obligación por parte de un Prestador de Servicios frente a aquél, cual era la de comunicar a la otra parte que pensaba utilizar la dirección facilitada por su cliente para enviarle correos electrónicos comerciales posteriormente. Y esta obligación –no fácilmente salvable por la vía de la interpretación, por muy generosa que ésta resulte ser- no se ajustaba sin duda al tenor literal de la Directiva comunitaria, que no incluía la obligatoriedad de tal comunicación. Ello no obstante, también es cierto que, aún en el caso del párrafo anterior, es bien sabido por los juristas que las Directivas sólo obligan a medidas uniformes mínimas, y son los Estados quienes pueden decidir ser más restrictivos (como de hecho ya ocurrió con la LOPD), sin que esa decisión sea considerada reprochable desde el punto de vista técnico. Esta consideración de las Directivas como normas mínimas –ciertamente- no es un principio muy seguido ni excesivamente popular entre los legisladores de los países comunitarios, pero no debe ser obviado si no se quiere que en el futuro las Directivas sean normas comunes de máximos, lo cual no entra dentro del espíritu en el que se concibieron8. Así las cosas, parece que motivaciones basadas en el principio de oportunidad y el de justicia, además de la técnica legislativa, movieron al legislador a aprovechar la nueva

8 Ciertamente, la moda legislativa en toda Europa es la de incorporar las Directivas de modo casi literal, sin ir más allá de su texto, lo cual no hace más que limitar de facto el espíritu con el que nació esta herramienta legislativa comunitaria. El problema es que en los casos en que las Directivas limitan derechos previamente existentes en los países, éstos temen causar perjuicios a sus nacionales respecto del resto de europeos, limitándose por ello a incorporar la Directiva en su mínima expresión.

8

LGT para reformar un año después el traje a medida hecho para el correo electrónico en España, modificando varios artículos de la LSSI, esencialmente los referidos al Spam. De hecho, hasta la promulgación de la LGT, la corta vida de la LSSI se había revelado como un período que empezó con un grado de convulsión considerable9, al que siguió un período de tranquilidad sospechosamente profunda, a veces a medio camino entre el conformismo y la indiferencia, sin que los usuarios de Internet tuvieran claro ni siquiera el órgano al que había que denunciar los incumplimientos de las obligaciones de la LSSI referidos al Spam y sin que por parte de la Administración se haya insistido demasiado en la materia, quizás esperando a la reforma recién producida. La situación respecto de la LSSI no parece en estos momentos – en todo caso- mucho mejor que la que tenemos en materia de Protección de Datos, donde una ley más antigua que la LSSI sigue falta de un Reglamento que la desarrolle y es incumplida por un porcentaje importantísimo de empresas pequeñas y medianas de este país, así como por multitud de ayuntamientos. Así, la obligación prevista en el artículo 9 de la LSSI de registrar al menos un dominio usado por el Prestador de Servicios de la Sociedad de la Información en el Registro público en el que tenga obligación de inscribirse (por ejemplo, el Mercantil) no ha sido atendido por muchas empresas pequeñas; la información a colocar según el artículo 10 se ha integrado –donde lo ha hecho- en los apartados de “Advertencias legales”, que ya no se caracterizaban anteriormente por ser los más visitados de las páginas, y –en definitiva- está por ver que la LSSI, una vez cumplido su primer cumpleaños, haya impulsado el comercio electrónico y haya favorecido la confianza de los que utilizan la Red para contratar con terceros. Y es que parece que la realidad –queramos o no- y el hecho de contar con la legislación más estricta de toda Europa en cuanto a Protección de Datos y Spam se refiere ha dado como resultado que –lejos de concienciar a los ciudadanos- dicha normativa sea incumplida tan masivamente que hace difícil su persecución. Quizás por ello, la nueva LGT ha modificado sustancialmente la materia del Spam, flexibilizando los requisitos para correos enviados por empresas, lo cual se ha hecho redactando de nuevo los artículos 21 a 22 de la LSSI en los siguientes términos: DISPOSICIÓN FINAL PRIMERA. Modificación de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico. Uno. Se modifica el artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, que queda redactado en los siguientes términos: Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes

9 por ejemplo, más de 300 páginas Web, lideradas por la plataforma Kriptopolis, cerraron tras la publicación de la norma, por estar en contra de ésta y acusando a la LSSI de intentar encorsetar Internet. http://www.noticiasdot.com/publicaciones/2002/1002/121002/noticias121002/noticias121002-1.htm y http://www.terra.es/tecnologia/articulo/html/tec6187.htm

9

1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por sus destinatarios. 2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija. Dos. Se modifica el artículo 22 de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, con la siguiente redacción: Artículo 22. Derechos de los destinatarios de servicios. 1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente. A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos. 2. Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales, informarán a los destinatarios de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito. Lo anterior no impedirá el posible almacenamiento o acceso a datos con el fin de efectuar o facilitar técnicamente la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.” Como vemos en la redacción de la norma, el artículo 21 sólo ha sufrido en su primer párrafo una corrección gramatical para evitar la tautología de la redacción anterior, aunque la esencia de la redacción (la obligación de obtener el consentimiento expreso y anterior del destinatario del correo comercial, si éste no solicitó el envío previamente) permanece inmutable. Es necesario decir en este punto que este párrafo –que tanta

10

polémica creó- sí era plenamente conforme con la normativa comunitaria en el momento de su promulgación, por lo que no ha sido necesario modificarlo. La verdadera novedad de la norma proviene del nuevo párrafo segundo del artículo 21, el cual –con una ubicación, en nuestra opinión, técnicamente mejor que el antiguo primer párrafo del artículo 22, al que sustituye- permite a las empresas o profesionales que ya tuvieron relación contractual con un cliente enviarle información comercial mediante correo electrónico sobre productos o servicios semejantes al adquirido previamente por el cliente, sin necesidad de aviso o consentimiento previo. Se integra con ello a nuestro Ordenamiento Jurídico lo previsto en el artículo 13 de la Directiva 58/2002/CE, del Parlamento y el Consejo, que, como hemos visto anteriormente, permitía “cuando una persona física o jurídica obtenga de sus clientes la dirección de correo electrónico, en el contexto de la venta de un producto o de un servicio de conformidad con la Directiva 95/46/CE, (…) utilizar dichas señas electrónicas para la venta directa de sus propios productos o servicios de características similares”. El nuevo párrafo adolece, no obstante su novedad y su fidelidad a la Directiva comunitaria, de una imprecisión notable y –por ser la segunda revisión de un artículo ya polémico, cuya reforma debería haber sido más meditada- criticable. A nadie escapa la generalidad de la expresión “productos similares a los que inicialmente fueron objeto de contratación con el cliente” , la cual carece de los criterios de precisión mínimos para determinar qué productos se consideran “similares“10 y a qué momento nos debemos retrotraer para considerar cuál fue el momento inicial en la relación contractual, permitiendo ampliar el abanico hasta el punto de que un cliente, por el mero hecho de haber comprado en un comercio determinado (virtual o no) algo en un momento determinado hace años puede recibir sin ser previamente avisado de ello mensajes comerciales no solicitados sobre otros productos de la firma. Y ello sin entrar a analizar detenidamente la expresión “relación contractual previa” utilizada y que, entendida en sus justos términos, puede llevar a la conclusión de que las negociaciones preliminares mantenidas con un cliente para cualquier contrato podrían legitimar a la otra parte a enviarle información por correo electrónico sobre productos similares, aunque el primer contrato nunca se hubiera consumado. En este punto, la Directiva es algo más precisa, al exigir que la dirección se hubiera obtenido “en el contexto de la venta de un producto o de un servicio”. Hemos expuesto anteriormente el carácter de norma mínima que tienen las Directivas Comunitarias, y este principio nos debería ser útil en este punto de la argumentación para sostener o no la conformidad o no con la normativa comunitaria de la totalidad del artículo 21 y, por ende, la correcta incorporación de la norma comunitaria. Y ello porque, mientras que el primer párrafo del artículo 21 exigía y exige “autorización previa y expresa de los mensajes” por el destinatario (como ya hemos visto reiteradamente), la Directiva habla sólo de “consentimiento previo”, yendo así la legislación española un paso más de la normativa comunitaria en esta materia. Sin 10 Nótese que el artículo no habla siquiera de productos de naturaleza similar, sino sólo similares: ¿similares en qué? ¿en precio?, ¿en destino?, ¿en estilo?...

11

embargo, consideramos que la redacción española en este punto, aún no sinónima de la comunitaria, no es contraria Derecho europeo por el principio del Derecho Europeo de la “norma mínima”. No obstante, en nuestra opinión el principio quizás sí podría quebrarse por una nueva falta de literalidad en la incorporación de la Directiva, pero esta vez no por exceso, sino por defecto. Así, en el segundo párrafo del artículo 21, la norma española exige que los datos se hayan obtenido “de forma lícita” por el prestador de servicios (sea cuando sea), mientras que la norma comunitaria exige que además haya sido “en el contexto de la venta de un producto o un servicio” y, por ello, bastante más restrictivamente. Esta diferencia es más importante de lo que podría parecer a simple vista, y eso mismo debió parecerle al legislador nacional cuando introdujo en el extinto primer párrafo del artículo 22 de la LSSI la regla de la comunicación previa al contratante, durante el procedimiento de la contratación (y no en cualquier otro momento), de la intención del Prestador de Servicios de utilizar la dirección de correo obtenida en ese acto en un momento posterior. Paradójicamente, la redacción de este párrafo era en este punto más respetuoso con la Directiva comunitaria que la actual. A diferencia de la redacción anterior, con la redacción actual, una empresa que contratara con una persona y obtuviera de ella sus datos de correo electrónico por una vía diferente a la del contrato pero lícita según la LOPD (por ejemplo, de una guía de profesionales) podría enviarle correos electrónicos promocionales sin previo aviso sobre productos similares. Es más: Incluso aunque la relación contractual se hubiera mantenido entre el prestador de servicios y su cliente en el mundo real (y por ello sin ningún contacto previo por Internet), si el prestado conociese por cualquier otra vía lícita el correo electrónico del cliente podría enviarle a éste correos electrónicos sin estar obligado a tener en cuenta –por ejemplo- si el cliente deseaba este medio de comunicación o si deseaba que al información se le enviara a esa dirección de correo y no otra11. En nuestra opinión, para respetar el espíritu de la norma comunitaria e incluso la lógica elemental, se debería haber mantenido el requisito de que, al menos, la dirección de correo electrónico se hubiera obtenido durante el procedimiento de contratación con un cliente, para que pudiera ser esa dirección (y no otra, como sugieren los términos “dichas señas” de la norma comunitaria) la utilizada posteriormente sin necesidad de advertirle al titular previamente de ello. Por último, la norma española obvia también hacer referencia a la finalidad de “venta directa” para la que la dirección de aquél con quien se mantuvo una relación contractual inicial puede ser utilizada. La expresión española sólo se refiere al uso para “las comunicaciones comerciales referentes a productos o servicios de la propia empresa”, concepto sin duda más amplio que el anterior. El último párrafo del artículo 21 respeta –como no podía ser menos- la voluntad del destinatario de no seguir recibiendo correos comerciales de la empresa en cuestión, y no 11 Pensemos en el supuesto de alguien que mantiene relaciones contractuales con un prestador de servicios y le entrega a éste una tarjeta personal con su dirección de correo profesional (o incluso familiar), a la que no desea recibir correos electrónicos de productos similares al adquirido según éste cuál sea.

12

nos merece mayor comentario por ser la redacción idéntica en espíritu a la vigente ya en materia de Protección de Datos, salvo el de que su ubicación y su amplia redacción hacen casi innecesario el primer número del artículo 22, de no ser por la frase final de éste, que obliga a quien utiliza datos ajenos a “facilitar información accesible por medios electrónicos sobre dichos procedimientos”. El legislador español sigue sin mencionar si el destinatario de los mensajes de correo electrónico a los que se dirigen los artículos 21 y 22 son sólo personas físicas o también las personas jurídicas12, pero el ámbito de aplicación que incluye el punto 5 del artículo 13 de la Directiva 2002/58/CE aconsejaría mencionar esta cuestión de forma expresa, incluyendo a tantas empresas que reciben miles de correos electrónicos no solicitados en sus buzones de información o corporativos. También obvia la norma española referencia alguna a los “mensajes electrónicos con fines de venta directa en los que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación, o que no contengan una dirección válida” (Art. 13.4 de la Directiva). Esta omisión no se suple por el mero hecho de mencionar que el destinatario de los correos puede utilizar “procedimientos gratuitos y sencillos” para revocar su consentimiento, puesto que la Directiva menciona también tales obligaciones en el artículo 13.3 y, sin embargo, introduce estos requisitos nuevos en el punto 4 del mismo artículo. Estos requisitos mencionados en el párrafo anterior vienen importados de la legislación estadounidense, donde, como veremos posteriormente, son importantísimos pese a regir en este país el principio de “Opt-out” en materia de correo electrónico. El requisito de que no se disimule u oculte la verdadera identidad del remitente es especialmente necesario a la hora de identificar la fuente del Spam, ayudando a la Autoridad competente a sancionar la actividad en los casos que procedan. El requisito de la dirección de correo válida, aunque necesario por los mismos motivos de seguimiento expuestos anteriormente, podría no obstante ser salvado si interpretamos la redacción del artículo 22.1, párrafo segundo, en el sentido de que el Prestador de Servicios de la Sociedad de la Información, debe ofrecer una dirección válida a la que el destinatario del mensaje se pueda dirigir para solicitar su exclusión de la lista de destinatarios, incumpliendo la Ley quien utiliza una dirección inválida de respuesta o no arbitra un mecanismo específico para ello. Quizás ésta referencia a la dirección válida habría venido pintiparada al final del artículo 21, junto con la referencia a la persona en nombre de quien se realizan los mensajes. El legislador ha perdido con esta reforma de la LSSI, además, una fabulosa oportunidad para aclarar conceptos ya mencionados anteriormente en el Título III de la LSSI en artículos que no han sido objeto de reforma por la LGT, como el alcance de la obligación de situar al “inicio” (.sic) del mensaje comercial no solicitado la palabra “publicidad”, que prevé el artículo 20. El Ministerio de Ciencia y Tecnología ha explicado oficiosamente en la página Web destinada a responder dudas sobre la LSSI13 12 Las personas jurídicas están privadas, como es conocido, de derechos respecto de la Protección de Datos por el momento. 13 www.lssi.es. Esta página –pionera en España- está dedicada a informar al público sobre una norma concreta cual es la LSSI y a responder las dudas más frecuentes, si bien no con carácter de interpretación

13

que la expresión “inicio” debe ser interpretada como “en el asunto del mensaje”, pero no hubiera estado de más que la propia Ley hiciera suya esa interpretación y la introdujera en la norma. También exponíamos en una ocasión anterior14 nuestra opinión sobre la inconveniencia de que el artículo 20.1, antes mencionado, obligara a quien envía el mensaje electrónico a indicar la persona física o jurídica en nombre de la que se realizan los mensajes, ya que esta redacción puede resultar equívoca e interpretarse como que la Ley exige identificar a quien ordena el envío de los mensajes (que puede ser un cliente del Spammer), y no quien efectivamente los envía. Quizás habría sido más oportuno obligar a quien “envía” los mensajes –simplemente- a identificarse a si mismo sin ninguna duda, incluso incluyendo un correo válido o una dirección del mundo real, como parecen pretender las últimas propuestas legislativas en los Estados Unidos. Tampoco contiene la norma española obligación alguna –al contrario que la belga, por ejemplo- para que el Prestador de Servicios que recibió una notificación de un remitente comunicándole su no deseo de recibir comunicaciones comerciales le confirme que tal exclusión de la lista de destinatarios se ha producido, así como tampoco se prevé de quién es la carga de la prueba a la hora de demostrar si hubo esta comunicación por parte del destinatario del mensaje o no. Ni la Directiva comunitaria ni la LSSI prohíben explícitamente –como sí lo hacen las normas de algunos Estados de los Estados Unidos- utilizar robots capturadotes de direcciones de correo electrónico para realizar Spam, o comercializar programas de software que permitan realizar Spam, pero quizás estas medidas serán exigidas por otras normas en el futuro. Algunos de los países que se han inspirado en la normativa comunitaria para regular el Spam, como Australia, sí incluyen esta prohibición en su Proyecto de Ley. En España no se ha atribuido al envío de correos electrónicos no solicitados naturaleza de delito penal, lo que sí se ha hecho en países como Italia, como veremos posteriormente. Lo que sí ha hecho la LGT es actualizar los apartados destinados a las sanciones, ajustando su redacción a la de los nuevos artículos 20 y 21, pero sin variar su cuantía, ya de por si alta. Por otra parte –y como novedad- atribuye potestad para conocer de las infracciones en materia de correos comerciales no solicitados a la Agencia de Protección de Datos, la cual tendrá como misión sancionar a los infractores por un procedimiento aún no establecido en su totalidad. Con ello se vinculan todavía más el problema del correo electrónico no solicitado y el de la protección de datos personales, estando ambas cuestiones ciertamente relacionadas. IV.- LA ADAPTACIÓN DE LA DIRECTIVA 58/2002/CE EN EL RESTO DE EUROPA. Desde la publicación de la Directiva citada, varios han sido los países que han procedido a su adaptación recientemente, casi agotando el plazo legal para hacerlo, y algunos (como Francia o Grecia) que todavía no lo han hecho. Otros países (caso de

auténtica. Es un ejemplo más de lo ampliamente tratada que ha sido esta norma previa, simultánea y posteriormente a su publicación y una prueba de cómo, a pesar de todo ello, nos hallamos ante una norma que –quizás por su novedad en el Ordenamiento Jurídico español- ofrece todavía multitud de dudas. 14 Juan Carlos Plaza, “La regulación de los correos electrónicos no solicitados en el Derecho español, europeo y estadounidense”, Revista del Poder Judicial, número 68, pags. 61 ss.

14

Suecia o Alemania) ya contenían una regulación semejante a la aprobada en la Comunidad Europea ya desde antes de que la misma entrara en vigor. Entre los países que ya han incorporado la Directiva 2002/58/CE a su Derecho interno, el grado de intensidad en la adaptación (al igual que ya ocurrió en materia de Protección de Datos) ha sido muy dispar. Así, en el extremo más ligero, en el Reino Unido15 se excluye del derecho a no recibir mensajes comerciales no solicitados por correo electrónico a las personas jurídicas o a los trabajadores de las mismas con dirección de correo corporativa. Mientras tanto, como país ejemplo de las sanciones duras, en Italia se castigan los envíos de Spam hasta con 3 años de cárcel y 90.000 euros de multa. Ninguna de las legislaciones analizadas interpreta los términos “productos similares”, aunque todas adaptan de forma correcta el requisito de que los datos sean recogidos durante el procedimiento de contratación del producto. Nos referiremos en concreto a algunas de las legislaciones europeas actualmente existentes16, con el objeto de comparar la incorporación de la Directiva en otros países en relación con España:

1. AUSTRIA:

Austria regula la materia en la “Ley de Telecomunicaciones” de 200317, en la que prohíbe enviar correos no solicitados –incluyendo mensajes SMS- a consumidores si se envían correos a más de 50 destinatarios o si los correos enviados tienen por finalidad realizar prácticas de marketing. En estos casos se necesita el consentimiento del destinatario de los mensajes, salvo que se haya obtenido su dirección en el contexto de una venta y se utilice para anunciar productos similares, siempre que –en este caso- se permita al remitente oponerse al envío previamente y con cualquier recepción de mensajes. Se prohíbe, asimismo, enviar mensajes sin los datos de la persona por cuenta de quien se envían los mensajes, o sin una dirección de respuesta válida. Las sanciones por incumplimiento pueden llegar a los 37.000 euros. 2. BÉLGICA:

En Bélgica, la legislación aplicable se contiene en la Ley de Servicios de la Sociedad de la Información de 11 de marzo de 2003 y en el Real Decreto de Publicidad a través de Correo Electrónico, de 4 de abril de 2003.

15 El borrador existente en Luxemburgo también contiene esta previsión. 16Estas son algunas de las legislaciones que han incorporado la Directiva 2002/58/CE a fecha 17 de noviembre de 2003. Fuente: http://www.marketimprove.com/hotnews/SI_Schedule.html 16 2003 No. 2426 Electronic Communications Act 17 Telekommunikationsgesetz 2003 - TKG 2003

15

La Ley define el término “comunicación comercial”, diciendo que es “cualquier forma de comunicación destinada a promover, directa o indirectamente, los bienes, servicios o la imagen de una compañía, organización o persona y que persiga una actividad comercial, industrial o el ejercicio de una profesión”. La Ley excluye del carácter de comunicación comercial a la información referida a una empresa o a sus productos compilada de modo independiente y si no se envía con fines comerciales, y la información que sólo permita acceso directo a la actividad de una empresa, en particular a una dirección de correo o una página Web. Respecto de los correos comerciales no solicitados en concreto, introduce el sistema del “opt-in”, debiendo ser el remitente del correo quien pruebe que el destinatario consintió su envío. Se exceptúa el citado consentimiento cuando el remitente obtuvo la dirección del destinatario en el contexto de la venta de un producto o la prestación de un servicio y se pretenda utilizar para anunciar productos similares al adquirido, dándole al destinatario la posibilidad de oponerse en cualquier momento. Tampoco se necesita consentimiento expreso para enviar correos a personas jurídicas si las direcciones a las que se envía el correo son de naturaleza impersonal (del tipo info@..., etc.). Si el destinatario manifestara su voluntad de no recibir más correos, el remitente de los correos comerciales (i) deberá enviarle una comunicación reconociendo que ha recibido el mensaje; (ii) tomar todas las medidas necesarias para cumplir con esa voluntad y (iii) llevar un listado actualizado de sus clientes que han solicitado no recibir publicidad. 3. DINAMARCA:

Dinamarca regula la cuestión del correo electrónico no solicitado a través de una enmienda al artículo 6 de su “Ley de Prácticas de Marketing” 18 que entró en vigor el 25 de julio de 2003. Según este artículo, se prohíbe enviar correos electrónicos a quienes no hayan dado su consentimiento previo, con la excepción de que hubieran dado voluntariamente su dirección de correo al remitente en el transcurso de una compra a través de Internet. 4. IRLANDA

La normativa irlandesa19 encarga la supervisión de las infracciones a su Comisario de Protección de Datos, regulando por lo demás la materia casi igual que el resto de los países analizados. La Ley excluye del carácter de comunicación comercial a la información referida a una empresa o a sus productos compilada de modo independiente y si no se envía con fines comerciales o al información que permita acceso directo a la actividad de una empresa, en particular a una dirección de correo o una página Web. También exige que el “Proveedor de Servicios” [de la Sociedad de la Información] exhiba en su página principal y en cualquier página en la que se

18 Markedsfoeringsloven 19 European Communities (Directive 2000/31/EC) Regulations 2003

16

recojan datos de particulares el modo de que éstos puedan optar por no recibir mensajes comerciales no solicitados. Las infracciones a la norma se penalizan con una multa de no más de 3.000 euros y/o tres meses de prisión como máximo, y se permite ordenar la destrucción de los aparatos que sirvieron para cometer la infracción. 5. ITALIA:

En Italia el Spam se ha regulado mediante la aprobación del Decreto Legislativo 196, de 30 de junio de 2003, que aprueba el Código de Protección de Datos Personales20. En concreto, su sección 130 recoge el envío de correos electrónicos comerciales no solicitados permitiendo el envío de estos correos cuando el remitente anuncie un producto propio de la misma naturaleza que el adquirido por el destinatario y hubiera obtenido los datos de éste en el contexto de la contratación del producto. Se garantiza asimismo el derecho del destinatario a oponerse al envío de los correos mediante un procedimiento sencillo y gratuito. Se sanciona el envío de mensajes sin que conste la verdadera identidad de quien envía los mismos o sin una dirección de respuesta válida, así como se faculta al “Garante de la Ley” (.sic) a ordenar al proveedor de acceso del remitente del correo la implementación de filtros para evitar los citados envíos. El incumplimiento de la Ley puede ser sancionado con la pena de 90.000 euros y hasta 3 años de cárcel, liderando así la legislación italiana a los países que con más dureza castigan el Spam en Europa. 6. REINO UNIDO:

En el Reino Unido la legislación relativa al correo electrónico comercial no solicitado viene contenida en la Ley número 2.426 de 18 de septiembre de 2003, de Comunicaciones Electrónicas21. Aunque para personas físicas la Ley incorpora el principio del consentimiento expreso previo al envío de correos comerciales, la norma excluye de la prohibición a los correos enviados a las empresas o sus direcciones de correo corporativas, aunque las usen sus trabajadores personas físicas. La dirección de correo electrónico se debe haber recopilado en el contexto de una venta o la negociación de la venta de un producto similar al anunciado en el correo electrónico posterior. La legislación británica prevé asimismo el derecho del remitente a decidir no recibir correo, debiéndosele facilitar la labor mediante una dirección de correo válida, pero no existiendo al obligación de que al inicio del mensaje aparezca palabra alguna para identificar que se trata de un mensaje de correo electrónico de tipo comercial.

20 Codice inmateria di protezione dei dati personali

17

Las sanciones previstas por el envío de correos electrónicos no solicitados son de hasta 5.000 libras esterlinas en un tribunal ordinario, o de cantidad ilimitada en un tribunal del jurado. En conclusión, como podemos observar, la adaptación de los países europeos a la normativa comunitaria no ha sido fácil. En primer lugar porque muchos de ellos todavía no han incorporado las Directivas a sus Ordenamientos Jurídicos patrios y, los que lo han hecho, han tratado de hacerlo respetando literalmente la Directiva Comunitaria y sin innovaciones excesivas. Subyace en esta filosofía de adaptación el miedo de los gobiernos europeos a recibir un rechazo de las asociaciones de comerciantes de sus propios países, al sentirse tratadas de manera más desventajosa que el resto, además de acusarse el peso de la novedad de la materia en todos los países. En todo caso, la normativa comunitaria ha servido también para inspirar otras legislaciones extracomunitarias, como ha ocurrido en el caso de Australia, que está a punto de regular el Spam de manera muy parecida a como se ha hecho en Europa, incluyendo –además- sanciones para quienes manipulen software destinado a recabar direcciones de correo para enviar Spam posteriormente y medidas concretas para colaborar con las iniciativas internacionales. Iniciativas similares están teniendo lugar en otros países para los que la legislación europea ha sido tradicionalmente un referente, como Canadá.

V.- NUEVAS INICIATIVAS LEGISLATIVAS EN LOS ESTADOS UNIDOS

Desde el año 2002 ha habido algunas iniciativas legislativas muy interesantes22 en Estados Unidos, tanto a nivel estatal como federal, las cuales manifiestan que el legislador norteamericano va tomando conciencia poco a poco de la gravedad del problema del Spam y de que este país está en el punto de mira internacional como el máximo emisor de este tipo de mensajes, lo cual poco a poco mina la confianza del consumidor en las empresas estadounidenses. Desde el punto de vista estatal, en los años 2002 y 2003 varios han sido los Estados que han regulado o modificado su regulación previa sobre el Spam de un modo u otro, como es el caso de Dakota del Sur (febrero 2002), Kansas (mayo 2002), Maryland (mayo 2002), Minnesota (mayo 2002), Ohio (agosto 2002), Utah (marzo 2002), Alaska (mayo 2003), Arizona (mayo 2003), Arkansas (abril 2003, reformando la ley de abril de 2001), California (septiembre 2003), Dakota del Norte (abril 2003), Indiana (abril 2003), Maine (mayo 2003), Nuevo Mexico (abril 2003), Oregon (septiembre 2003), Texas (junio 2003), Virginia (abril de 2003, modificando una ley de 1999) y Wyoming (marzo 2003). Sólo dos Estados (Florida y Kentucky) carecen hasta el momento de legislación al respecto.

22 Para períodos anteriores, vid. Juan Carlos Plaza Soler, “La regulación de los correos electrónicos comerciales no solicitados en España, Europa y Estados Unidos”, cit. supra.

18

De entre la nueva legislación estatal vigente, cabe destacar, por la dureza de sus penas, la nueva ley de California, que prevé (como ya lo hacía desde el año 1999 el Estado de Delaware) el “opt-in” como regla de envío, con sanciones que pueden llegar hasta un millón de dólares (1.000 $ por mensaje) por el incumplimiento. También destaca la nueva ley de Virginia, que prevé hasta 5 años de prisión por los incumplimientos. Por otra parte, en el ámbito federal23 durante el período de sesiones 108th, correspondiente al año 2003, varias iniciativas han visto la luz:

• Ley de protección de los teléfonos móviles contra el Spam24: Este Proyecto del Congreso, introducido en el mes de enero de 2003, prohibiría el uso de teléfonos móviles para enviar mensajes no solicitados.

• Ley para detener el marketing abusivo y sexual25: Este Proyecto del

Senado fue introducido en junio del año 2003, y tendría por objeto crear un registro nacional de gente que no desearía recibir correos electrónicos no solicitados, sancionando a las empresas que enviaran mensajes a las personas en esa lista. Los costes del registro serían pagados por las propias empresas de marketing, y los menores serían objeto de protección aunque no estuvieran en la citada lista. También prohibiría incluir encabezamientos falsos en los mensajes y enviar mensajes incumpliendo las reglas de uso de sus servicios impuestas por los proveedores de servicios o a direcciones obtenidas mediante robots de recopilación de direcciones. Obligaría, asimismo, a incluir una palabra (“ADV”) en el asunto del mensaje para permitir su identificación como correo comercial, y a incluir la dirección física del remitente en cada envío.

• Ley para reducir la distribución del Spam26: Este Proyecto del Congreso

fue introducido en mayo de 2003, y exigiría que todos los correos comerciales fueran identificados como tales (aunque no con una palabra única, salvo para mensajes pornográficos), así como que se incluyeran instrucciones para darse de baja de la lista de destinatarios, la dirección real del remitente y encabezamientos no falsos. Como novedad, este Proyecto propone dejar sin vigor o no las leyes estatales dependiendo de cómo regulen el Spam.

• Ley para reducir el Spam27: Este Proyecto de Ley del Congreso fue

presentado en el mes de mayo de 2003, y exigiría que los mensajes de correo comercial contuvieran una palabra identificativa de su naturaleza, así como una dirección de respuesta válida e instrucciones para no recibir más correo del remitente. La novedad de este Proyecto es que diferencia entre correo masivo y no masivo, considerando masivo el correo que consiste en el envío de más de 1.000 mensajes en el plazo de dos días. Para el resto de los

23 Fuente: www.Spamlaws.com. 24 Wíreless Telephone Spam Protection Act (H.R. 122). 25 Stop pornography and abusive marketing act (S. 1231). 26 Reduction in distribution of Spam act of 2003 (H.R. 2214). 27 Restrict and eliminate the delivery of Unsolicited Commercial Electronic Mail Act f 2003 (H.R. 1933).

19

correos no masivos sería suficiente con no incluir encabezamientos que pudieran llevar a error al consumidor.

• Ley criminal del Spam28: Este proyecto del Senado fue introducido en junio

de 2003, y también diferencia entre correo masivo (al que se aplicaría la Ley) y no masivo. El primero sería el que consiste en el envío de más de 100 mensajes en el plazo de 24 horas, 1.000 en el de 30 días o 10.000 en el de un año. Este Proyecto prohíbe el uso de equipos de terceros para enviar Spam, así como los encabezamientos falsos. También regula el uso de múltiples cuentas de correo o nombres de dominio para enviar esos mensajes.

• Ley de derechos de los propietarios de ordenadores29: Este Proyecto del

Senado obligaría a la Comisión de Comercio Federal a establecer un Registro de personas que no deseen recibir correos comerciales, imponiendo importantes multas a los que contravinieren esa obligación.

• Ley para la prohibición de los correos electrónicos comerciales masivos

falsos30: Introducido en el mes de mayo de 2003, este Proyecto persiguió introducir la prohibición de encabezamientos falsos en los mensajes, además de la obligación de introducir reglas de exclusión de los listados del remitente y la prohibición de recolectar direcciones de correo de páginas Web y otras fuentes similares.

Pero los dos proyectos que tienen mayores visos de convertirse en Ley Federal en un futuro muy próximo son los conocidos como Ley Anti-Spam31 (del Congreso) y Ley para restringir el Spam32 (del Senado), ambas ya aprobadas en sus respectivas cámaras y a la espera de una redacción unitaria que las haga entrar en vigor. La ley del Senado es la reedición de la S. 630 (2002), que ya fue presentada en el período de sesiones 107. En su versión definitiva, requiere que los correos comerciales lleven una etiqueta (aunque no propone un texto concreto) y que incluyan tanto la dirección física del remitente como instrucciones para que el remitente pueda ejercitar su derecho a ser excluido de la lista y encabezamiento verdaderos. También autoriza al Comité Federal de Comercio a instaurar una lista de personas que no desean recibir este tipo de correo. La Ley afectaría a algunas legislaciones estatales que prohíben el Spam, sobre las que prevalecería. Mientras, la ley del Congreso fue introducida como Proyecto el 18 de junio de 2003 y fue aprobada por una abrumadora mayoría el pasado día 21 de noviembre de 2003. Exige que los mensajes comerciales sean identificados como tales (aunque no con una palabra común, salvo para correos de naturaleza sexual), así como que se incluya la dirección física del remitente y obliga a introducir mecanismos de exclusión del destinatario de la lista del remitente. Los mensajes referidos a una transacción específica y admitidos por el destinatarios estarían siempre permitidos, no obstante. Se prohíben los encabezamientos falsos, así como los mensajes falsos en el apartado “asunto” del 28 Criminal Spam act of 2003 (S. 1293). 29 Computer owner’s bill of rights (S. 563). 30 Ban on deceptive unsolicited bulk electronic mail act of 2003 (S. 1052). 31 Anti-Spam Act of 2003 (H.R. 2515). 32 Can Spam Act of 2003 (S. 877).

20

correo y enviar correos a direcciones creadas a través de robots que crean o utilizan diccionarios de direcciones de correo. Muchas de las leyes estatales vigentes quedarían derogadas por la nueva Ley Federal. Por fin parece que el Gobierno Federal de los Estados Unidos ha decidido regular un fenómeno sobre el que los diferentes Estados ya habían legislado desde hace algunos años. La presión de las compañías de marketing (que consideran muy perjudicial la multiplicidad de normas diferentes en los Estados Unidos relativas a esta materia) y los graves perjuicios de las empresas de aquél país por causa del Spam, que algunos cuantifican hasta en 9.000 millones de dólares en el año 200233, han obligado al Gobierno Federal, al fin, a poner freno al Spam desde el Gobierno de la Nación y de modo general para todos los Estados Unidos. Las leyes estadounidenses (tanto estatales como federales) aprobadas, con la excepción de California y Delaware, abundan en el concepto del “opt-out”, lo cual supone una gran diferencia respecto de la legislación aprobada en la Comunidad Europea, pero del resumen de las legislaciones expuestas podemos observar varias novedades que quizás sí se podrían haber exportado a Europa en aras de la mayor seguridad que impera en esta materia en el Viejo Continente, como la prohibición de utilizar robots creadores o recolectores de direcciones de correo, de enviar virus creadores de Spam, de usar “open relays”34, la prohibición de escaneo de puertos en ordenadores ajenos para enviar correos a través de éstos o la obligación de hacer figurar direcciones físicas del remitente de los mensajes (y no sólo direcciones electrónicas veraces). Asimismo, también parecen meritorios (aunque discutibles en sus resultados) los intentos de algunos Proyectos de Ley en los Estados Unidos de separar los verdaderos envíos masivos de correos comerciales (el auténtico Spam) de los mensajes comerciales no solicitados enviados por empresas, definiendo aquéllos a partir de un número de envíos mínimo en un período temporal determinado. Quizás en el futuro criterios como éste servirán para diferenciar en la imposición de penas a los Spammers profesionales masivos (haciendo recaer sobre ellos todo el peso de la Ley, incluso con penas de privación de libertad) de las empresas que envían algunos mensajes comerciales no solicitados sin ese carácter, que seguramente deberían ser tratadas de un modo más benévolo. En cualquier caso, las sanciones ya millonarias que se están empezando a imponer a los Spammers en Estados Unidos35, unidas a la ofensiva legislativa emprendida por las autoridades y los intereses de los lobbies formados por las grandes empresas informáticas de aquel país36, auguran tiempos de mayor control y más seguridad del

33 Fuente: Ferris Research. 34 Se denominan de este modo (Sanz de las Heras) los servidores de correo mal configurados que permiten encaminar correo desde cualquier dirección IP. Esto permite un uso del servidor por parte de personas ajenas a la misma y ayuda a los Spammers a difundir sus mensajes, ya que éstos poseen listados de máquinas con estas deficiencias de configuración. 35 El pasado 24 de octubre de 2003 el Estado de California ganó su primer juicio contra una empresa de marketing por Spam, imponiendo un Tribunal una multa de dos millones de dólares a una empresa -en virtud de la anterior Ley de 1998- por difundir millones de correos no solicitados que daban instrucciones sobre cómo difundir más Spam. 36 Según el diario The Washington Post, los gigantes informáticos AOL y Microsoft mantuvieron una reunión a finales de febrero de 2003 en la que decidieron utilizar todas sus influencias para intentar que se aprobara una legislación federal contra el Spam.

21

correo en el país del que salieron 261.000 millones de envíos de correos electrónicos no solicitados durante el año 2002 y del que proviene el 80% del Spam que se recibe en España, según algunas fuentes37. La filosofía del “Opt-out” ha sido adoptada, además, en otros países del mundo relevantes por su evolución tecnológica, como es el caso de Japón, que aprobó a mediados de abril de 2003 una legislación que obliga a incluir en el asunto del mensaje una palabra (“Kokoku”) y a excluir de los envíos a quienes así lo soliciten, así como prohíbe enviar mensajes a direcciones o números38 creados aleatoriamente. La nueva legislación prevé multas de hasta 2,56 millones de dólares americanos para las empresas infractoras y penas de cárcel de hasta dos años para los infractores personas físicas. VI.- ALGUNOS RIESGOS JURÍDICOS DE LAS SOLUCIONES TECNOLÓGICAS CONTRA EL SPAM. Mientras el Derecho hace lo que puede para afrontar un fenómeno de naturaleza indudablemente mundial, anclado todavía en su ancestral principio de territorialidad en la aplicación de las normas y sin una legislación internacional en la materia, los tecnólogos, hartos de tantos mensajes que saturan sus servidores de correo y suponen un coste importantísimo desde el punto de vista económico para ellos han decidido mientras tanto poner ya barreras tecnológicas a tanto correo electrónico no solicitado, con mayor o menor fortuna. No es voluntad de este artículo –por obvias razones de espacio- exponer todas las soluciones tecnológicas que se han ideado y siguen surgiendo contra el Spam, sino exponer algunos de los riesgos jurídicos que podrían tener las más conocidas. Los técnicos suelen diferenciar entre las medidas de protección dependiendo de la fase en la que se adopten. Así, se distingue entre39 (i) Medidas Precavidas (las que colaboran a no distribuir o recibir Spam desde dentro de las propias empresas mediante códigos de conducta, el correcto mantenimiento de los equipos y la formación de los empleados); (ii) Medidas Reactivas (Las que se toman dirigidas a que cada usuario, cuando recibe el Spam en su equipo, pueda eliminarlo con el menor esfuerzo posible) y (iii) Medidas Preactivas (las que se toman antes de que el problema llegue a los equipos individuales, desde los propios servidores de correo). Sin ánimo de exhaustividad, podemos enumerar las medidas reactivas y preactivas contra el Spam incluyéndolas en las siguientes clases:

A. Filtros basados en “listas negras”. B. Filtros basados en “listas blancas”.

37 http://www.el-mundo.es/ariadna/2003/130/1046634107.html 38 En Japón los mensajes enviados a teléfonos móviles conectados a Internet mediante la tecnología denominada “i-mode” son casi tan numerosos como los enviados a direcciones de correo electrónico, por lo que uno de los máximos valedores de la nueva legislación limitativa del Spam en aquel país ha sido la gigantesca operadora de telefonía local NTT DoCoMo. 39 Jesús Sanz de las Heras, “Evaluación de medidas para combatir el Spam”, disponible en versión electrónica en http://www.rediris.es/mail/abuso/doc/MedidasAntiSpam.pdf.

22

C. Filtros Bayesianos.

A) Filtros basados en listas negras: Este tipo de filtros son los más antiguos de todos, y funcionan bajo la premisa de la denuncia que los destinatarios de Spam realizan contra los servidores desde los que el Spam es enviado, los correos provenientes de los cuales –tras un número variable de denuncias- son incluidos en una lista y neutralizados por los servidores de correo del destinatario cuando llegan.40 El éxito de este tipo de listas depende esencialmente del buen criterio de los administradores de las mismas, que son quienes indican los requisitos que se ponen para que un servidor ingrese en la lista negra y –sobre todo- cómo se puede salir de las mismas. Y es que una de las quejas principales de los servidores prohibidos por estas listas es que a veces es realmente difícil abandonar una lista negra una vez que se ha ingresado en la misma. La ventaja de estas listas es que funcionan bien para detectar servidores que –bien porque no lo conocen o bien porque hacen caso omiso de las denuncias de terceros- son auténticas “autopistas” de Spam. En estos casos, una vez que estos servidores ingresan en una lista negra y sus usuarios no Spammers no pueden enviar correo se quejan al administrador de su sistema, éste debe -tras comprobar que está incluso en una de estas listas- hacer lo necesario para abandonar ésta y poder seguir prestando servicios a sus clientes. Por el contrario, este tipo de listas tienen todos los problemas que se derivan de la subjetividad de sus administradores, que a veces siguen criterios muy discutibles para decidir cuándo se puede y no se puede ingresar en estas listas, pudiendo causar con ello importantes perjuicios económicos a negocios enteros41. Otras listas negras –sin embargo- se basan en principios objetivos y funcionan de manera más que correcta, haciéndolas realmente fiables.42 En Estados Unidos ya han surgido problemas por determinados mensajes que deberían haber llegado a su destino pero fueron frenados por filtros anti-Spam basados en listas negras, causando un perjuicio al usuario del correo, que estuvo varios días sin poder utilizar una cuenta profesional para enviar correos a sus clientes sin que él tuviera nada que ver con ello. Su proveedor de servicios alegó que los mensajes eran frenados externamente, por lo que él no tenía ninguna responsabilidad, y fue casi imposible hallar al administrador de la lista negra, que en todo caso actuaba como mero ejecutor de las denuncias de los clientes receptores de correos electrónicos. 40 En todo momento hay más de 125 listas negras funcionando en Internet en tiempo real, a las cuales se conecta el servidor receptor del mensaje, quien comprueba si el correo proviene de uno de las direcciones IP contenidas en las citadas listas y -si efectivamente provienen de ellas- bloquean el mensaje. 41 Hay incluso páginas enteras denunciando supuestas “conspiraciones” de administradores de este tipo de listas y acusándoles de censores, como www.dotcome.com. Es también famoso el problema legal que tuvo en Nueva Zelanda ORBS, una de las más famosas listas negras que fue acusada de incluir a servidores con los que su administrador tenía problemas personales o a quienes se les exigía una cantidad económica importante para permitirles salir de la lista. 42 La lista negra PUAS (Plataforma Unificada Anti-Spam), avalada por la prestigiosa Comunidad científica española RedIRIS (perteneciente al CESID), es un buen ejemplo de ello.

23

Por otra parte, las listas negras suponen el almacenamiento de datos personales de los Spammers o de los denunciantes, datos que pueden llegar a ser muy valiosos y que no siempre se hallan suficientemente protegidos. En todo caso, la polémica de las listas negras está fundamentada en que en muchos de los casos son los grandes servidores de correo los que son a la vez emisarios de correo legítimo y de Spam…¿qué hacer en ese caso? ¿se frena todo el correo de un proveedor como Terra o AOL –por ejemplo- porque muchos Spammers utilizan sus cuentas para enviar correo?. ¿Cuál es el perjuicio en ese caso para esas compañías?.

B) Filtros basados en listas blancas: Las listas blancas funcionan de manera contraria a como lo hacen las listas negras: en este caso, sólo se permiten los mensajes de los servidores de correo en los que confía el destinatario, o los mensajes que provienen de las direcciones de su libreta de direcciones –en su modalidad más genuina-. La política de puertas abiertas en general salvo para el Spam de las listas negras se convierte aquí en la política de desconfianza para todo lo desconocido, salvo para quienes son reputados servidores que raramente nos enviarán Spam. Aunque ciertamente es el método más seguro de recibir correos libres de mensajes comerciales, este sistema exige una personalización absoluta, puesto que es cada cual quien debe decidir en quién confía y en quién no, lo que hace que este tipo de filtros sean, utilizados por si solos, demasiado restrictivos y poco prácticos. Sin embargo, son de una utilidad indudable en el caso de servidores de grandes empresas, que reciben correos sólo de sus empleados o de unos pocos remitentes conocidos de confianza y desean seguir haciéndolo, convirtiendo de este modo –eso sí- el correo electrónico en una herramienta algo menos universal pero bastante más segura. Las listas blancas también son utilizadas en los programas de software anti-Spam de “tercera generación”, que funcionan con sistemas de protección múltiple. Habitualmente, estos programas más novedosos ya utilizan las tres clases de filtros mencionadas en este trabajo, y algunas otras43, funcionando mediante lo que se denominan “layers” o capas. En este sistema, la primera capa de protección a la que llega el mensaje externo suele ser la compuesta por la lista blanca en la que el propio administrador de correo del destinatario ha especificado en qué direcciones IP tiene confianza. Si el mensaje proviene de una de esas direcciones, habitualmente ya no es filtrado por la lista negra ni por el filtro Bayesiano, yendo directamente a parar a la bandeja de correo del receptor. Sirven igual que en el caso anterior las críticas de subjetivismo y oscurantismo en el caso de las listas blancas (si las direcciones de confianza no son elegidas por el propio usuario, obviamente), así como la responsabilidad derivada de los perjuicios producidos a quien realizó una operación creyendo legítimamente que podía utilizar su correo electrónico como herramienta de negocio y nunca recibió correos de sus potenciales clientes porque desconocía que su servidor de correo tenía implementado un servicio de lista blanca. 43 Como sistemas de control inverso de DNS, analizadores de caracteres en el encabezamiento de los mensajes o sistemas de control eurísticos.

24

C) Filtros Bayesianos:

Los filtros bayesianos (también llamados “filtros adaptativos”)suponen la tercera generación en filtros de Spam. Estos filtros suponen una novedad sobre los analizados anteriormente, ya que no clasifican los mensajes por su IP de origen sino por las palabras que contienen y su frecuencia44. Cuando llega un nuevo mensaje, el programa compara su contenido con la lista de palabras prohibidas, analiza el contexto y calcula las probabilidades de que sea una carta basura: "Se tienen en consideración tanto lo bueno como lo malo: palabras que no suelen aparecer en los Spams, como "esta noche" o "aparentemente", reducen mucho la probabilidad, mientras otras como "unsubscribe" o "Viagra" la incrementan. Por tanto, una inocente carta que contenga la palabra "sexo" no tiene porqué ser tratada como Spam.45 En realidad, los filtros bayesianos son una evolución de los filtros que suprimían automáticamente las palabras sospechosas en el asunto o el cuerpo del mensaje. Estos filtros identificaban palabras que se suponía encabezarían mensajes de Spam (tales como “sex”, etc), y los eliminaban. No obstante, la pericia de los Spammers en burlar este tipo de medidas46 y la realidad que suponía el hecho de que lo que para unos usuarios es Spam para otros es verdadera información, obligaba a crear filtros que fueran capaces de aprender con cada mensaje qué era identificado por cada usuario como Spam, logrando después de algún tiempo reconocer los citados mensajes y alcanzando un grado de personalización y eficacia envidiable. Su ventaja, ante la mayoría de filtros que sólo tienen en consideración de dónde viene el mensaje (las ya vistas listas negras) o los más nuevos, que se fijan también en el contenido, es que los filtros bayesianos evolucionan con el Spam. Si cambian las palabras, los filtros se dan cuenta automáticamente. Para vencerlos, los Spammers deberían hacer sus mensajes indistinguibles del resto. Hoy en día suelen ser este tipo de filtros la tercera de las capas en los programas anti-Spam existentes en el mercado de última generación, permitiendo al usuario definir su propio concepto de Spam y dándoles a estos programas una efectividad cercana al 90 por ciento. Sin embargo, este tipo de filtros no solucionan el problema básico ni de lejos: No evitan que los servidores se colapsen con este tipo de correos, sino que sólo benefician al usuario final, y ni tan siquiera evita que éste siga perdiendo un tiempo precioso “entrenando” al filtro por causa de unos mensajes no deseados. VII.- CONCLUSIONES

44 La Lógica Bayesiana, creada por el matemático inglés Thomas Bayes en 1763, se basa en las estadísticas y las probabilidades para predecir el futuro. Por ejemplo, la palabra "sexy" es muy probable que aparezca en un correo basura. A partir de aquí, se escribe un algoritmo que filtre los mensajes que contengan palabras 'peligrosas' y aprenda con el tiempo. 45 Mercé Molist. Fuente: http://www.vsantivirus.com/mm-ia-antiSpam.htm. 46 Introduciendo espacios en blanco entre las letras, o caracteres especiales que lograban burlar a los identificadores de Spam.

25

El correo electrónico es un fabuloso medio de comunicación que es ampliamente utilizado hoy en día, pero tiene –entre sus mayores riesgos- el de los correos electrónicos comerciales no solicitados, que inundan los servidores y molestan a los usuarios. Al ser éste un fenómeno mundial, la solución debe pasar por iniciativas tanto jurídicas como técnicas que le pongan freno, independientemente de que la mayor formación de los internautas pueda poco a poco mitigar el fenómeno. Tras algunos años de vacilaciones en la legislación europea y norteamericana (las dos principales regiones mundiales en el ámbito de la tecnología), en el último año se han clarificado –parece que definitivamente- las posturas de ambos y mientras que Europa ha optado por el “Soft opt-in” los Estados Unidos han optado por el “Opt-out” con restricciones. Junto a ellos se han ido alineando otros países mundiales, acogiendo una u otra postura. Parece que por fin las diferentes regiones y países del Mundo van así definiendo sus posturas y regulando el Spam de forma clara. En el plano nacional, la nueva Ley General de Telecomunicaciones ha modificado la redacción originaria de la LSSI para incluir una excepción a la prohibición de enviar correos comerciales sin el consentimiento previo y expreso de su receptor, cual es el derecho a enviar estos correos a aquéllos con quienes se mantuvieron relaciones contractuales previas, siempre que se hubiera obtenido la dirección de forma legítima y se diera la posibilidad al destinatario del mensaje de no recibir más correos. No obstante, la legislación española nace tarde y aquejada –en nuestra opinión- de una falta de precisión criticable, al no haber adaptado la Directiva con la fidelidad necesaria y no haber enmendado carencias de la parte de la regulación que no ha sido modificada. Pese a ello, esta vez parece que poseemos ya una legislación que deberá ser interpretada pero es definitiva en materia de Spam, y por ello debemos ajustar los comportamientos de empresas y particulares a la misma. Queda pendiente para un futuro próximo la regulación del Spam por organismos internacionales, el control de los paraísos de Spam que surgirán a medida que los Estados Unidos regulen la materia con mayor dureza y la evolución de las soluciones tecnológicas, que parece comienzan a introducir la Inteligencia Artificial en esta materia, integrando los programas anti-Spam con los anti-virus y permitiendo al usuario personalizarlos para decidir qué mensajes quiere recibir y cuáles no. Otra soluciones, como el pago del envío de correos o el cambio del protocolo SMTP por otro más seguro y evolucionado parecen más lejanas, pero el futuro, también en materia de correo electrónico, es inimaginablemente veloz y desconocido. Incluso muchos auguran próximo fin del correo electrónico como herramienta líder de comunicación –sólo unos años después de su definitiva popularización-, superado por nuevas plataformas de comunicación nuevas como los programas de chat y mensajería instantánea, que permiten más posibilidades y todavía más inmediatez, y gozan de una creciente popularidad entre los más jóvenes. Los mensajes comerciales creados automáticamente ya inundan las “salas de chat” más importantes de Internet, sin una regulación ad hoc, mientras que algunos temen el próximo desembarco en los programas de mensajería instantánea de nuevas formas de publicidad invasiva de la

26

intimidad. La tecnología, que ha conseguido hacer de Internet el nuevo medio de comunicación de la “aldea global” y lo ha popularizado con una velocidad de vértigo, también tiene su cruz en los que se aprovechan de ella para conseguir sus fines sin escrúpulos. El Derecho, siempre hasta ahora fruto de la reflexión y el debate sosegado, deberá seguramente tomar la delantera y por primera vez dar soluciones rápidas a problemas vertiginosos, en un difícil equilibrio entre la aconsejable seguridad jurídica y el imprescindible servicio a los ciudadanos. © Juan Carlos Plaza Soler, 2003