Publicidad viral al descargarse una app, sanción de 10.000 € por envío de 2 emails publicitarios cuando el destinatario se había dado de baja
18, octubre 2016
En la 8ª Sesión Abierta de la Agencia Española de Protección de Datos se comentó una sanción que puso la AEPD a una empresa americana por envío de publicidad no deseada por e-mail. Es una empresa norteamericana propietaria de una aplicación para móviles que permite a los usuarios conocer planes de ocio de la ciudad seleccionada. Al descargar la aplicación ofrece a los usuarios registrados la opción de “invitar amigos” a descargarse la aplicación. Al seleccionar esta opción se despliega la agenda de contactos del usuario registrado. El usuario registrado selecciona los amigos destinatarios de la invitación y recibe 5 € por cada amigo que realice una compra o se registre en la aplicación. A su vez, el amigo destinatario de los envíos recibe una descuento de 5 € al realizar la compra o descarga de la aplicación.
Un amigo de un usuario registrado recibió un e-mail (sin ningún mecanismo para oponerse a su recepción) con el siguiente texto: “Teresa te ha regalado 5€ y quiere que vengas. Introduce el código … para conseguir tu descuento. Descarga FEVER y descubre los mejores planes de tu ciudad” pero manifestó (enviando dos e-mails) su oposición a recibir spam. Esos correos oponiéndose a recibir publicidad fueron recibidos e incluso uno de ellos contestado, además la empresa americana usaba a otra empresa subcontratada para el envío masivo de correos publicitarios (en este caso Sendgrid).
Por tanto, los correos electrónicos no los enviaba la empresa americana propietaria de la aplicación sino un usuario de la misma que invitaba a sus contactos (de hecho el e-mail físicamente lo mandaba Sendgrid).
El gran error estuvo en que, a pesar de haberse opuesto el usuario a seguir recibiendo ese tipo de correos, no dieron de baja su dirección ni comunicaron dicha baja a Sendgrid y el usuario recibió otros dos correos iguales, ante lo cual denunció la situación a la Agencia de Protección de Datos que sancionó a la empresa americana con 10.000 €
La empresa americana se defendió argumentando, entre otras cosas,
- que no era una comunicación comercial,
- que ella no era la que mandaba el e-mail sino que lo mandaba un amigo del denunciante (usando los medios técnicos de Sendgrid) que había decidido “invitarle” a descargarse la aplicación,
- que las direcciones de correo de esos “invitados” no la tenía ella sino Sendgrid, ella sólo tenía las de los que se descargaban la APP directamente y se registraban como usuarios,
- que el hecho de no dar de baja la dirección de correo del denunciante ni comunicar dicha baja a Sendgrid fue un error informático,
- que al ser una empresa americana no está sujeta a la normativa española,
- que fue algo puntual.
La Agencia Española de Protección de Datos decidió imponerle una sanción de 10.000 € teniendo en cuenta que:
- sí es una comunicación comercial.
- la empresa americana es la beneficiaria y es la que:
- ha ordenado la remisión,
- la que ha diseñado el sistema de comunicaciones comerciales de la aplicación y el contenido de la comunicación comercial,
- la que ha seleccionado y contratado la herramienta técnica a través de la que se prestan los servicios de mensajería para el envío de las comunicaciones comerciales,
- en los encabezamientos de los envíos aparece como origen una cuenta de correo electrónico asociada a un dominio titularidad del propietario de la aplicación,
- y además existe un incentivo económico (en emisor y destinatario) con un código para cada usuario concreto para gestionar las bonificaciones.
- ninguno de los e-mail incluía ningún mecanismo sencillo y gratuito para oponerse a su recepción.
Además consideran agravante que dicha empresa en razón de su profesionalidad, está obligada a conocer y cumplir las exigencias del artículo 21 de la LSSI para proteger los derechos de los destinatarios de la publicidad que envía, así como la intencionalidad por no haber bloqueado técnicamente el envío de mensajes relativos al denunciante después de recibir la primera petición en ese sentido.
Tienen en cuenta como atenuantes que el denunciante no haya sufrido perjuicios por la recepción de los correos comerciales no consentidos y que la denunciada no haya obtenido beneficios por la comisión de la infracción.
Recordamos que la normativa sobre envío de comunicaciones comerciales por e-mail indica claramente varias cosas que hay que tener en cuenta:
- El envío de mensajes comerciales (dirigidos a la promoción directa o indirecta de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional) sin el consentimiento previo está prohibido, salvo que exista una relación contractual anterior y el sujeto no manifieste su voluntad en contra.
- El envío de comunicaciones comerciales no solicitadas, puede constituir una infracción leve o grave de la LSSI.
- El artículo 45.1.b) RLOPD, señala que cuando los datos se destinen a publicidad y prospección comercial los interesados a quienes se les solicite su consentimiento deberán ser informados “sobre los sectores específicos y concretos de actividad respecto de los que podrá recibir información o publicidad”.
Lecciones aprendidas:
- Si esto ha pasado a una empresa americana, que ha sido sancionada por al APD que no puede pasar con una empresa española.
- Cumplir escrupulosamente con la normativa sobre envío de comunicaciones comerciales por e-mail.
- Siempre dar la opción en todos y cada uno de los correos publicitarios de oponerse a seguir recibiendo.
- Disponer de un sistema eficiente de gestión de dichas peticiones de forma que si alguien solicita que se le dé de baja, se haga de forma efectiva y acreditable, sobre todo si se utilizan plataformas de envíos masivos de e-mails y son esas plataformas las que los remiten.
Como siempre les recordamos que para cualquier duda o información adicional pueden ponerse en contacto con nuestro Departamento de Derecho de las Nuevas tecnologías llamando al 945 22 27 62 y preguntar por Luis Jorquera o bien enviar un e-mail a l.jorquera@grupovadillo.com
Posts relacionados
- Aprobación del Escudo de Privacidad entre Europa y USA
- Grupo Vadillo Asesores asiste a la 8ª Sesión Abierta de la Agencia de Protección de Datos
- El Nuevo Reglamento de Protección de Datos en 12 preguntas
- Cambios legislativos importantes en Protección de Datos
- Nuevo Reglamento de Protección de Datos de la UE: ¿Cómo va a afectar a mi empresa? (II)
- Nuevo Reglamento de Protección de Datos de la UE: ¿Cómo va a afectar a mi empresa? (I)
- Ultimátum de la AEPD a empresas españolas: prohibido usar Dropbox, Google Drive, Mailchimp, Facebook, Twitter, Instagram o Google Apss ¿Qué puedo hacer?
- ¿Me pueden mandar publicidad sin yo autorizarlo a mi dirección de correo electrónico profesional?
- Apertura y posterior archivo de procedimiento sancionador a persona física por publicar datos personales de terceros en su blog
- Los datos personales de los condenados por delito fiscal se van a poder hacer públicos a partir del 11 de noviembre de 2015
Comparte este artículo: