Recomendaciones
Escrito el 20 abril 2008
Durante toda esta semana pasada he visto diversas reacciones a la sanción de 600 euros por “spam” impuesta por la AEPD a una empresa que ponía a disposición de sus usuarios en su página web la opción de “Recomendar a un amigo”. Hay de todo, como en la viña del Señor, pero la mayoría se asombra de la resolución, y hasta el sector del marketing directo llora y se escandaliza alegando que las sanciones son muy altas, y que claro, esto les parece desproporcionado y por eso España es menos competitiva.
Haciendo una lectura atenta de la resolución llama mi atención que la empresa sancionada es incapaz de identificar al supuesto emisor del mensaje de correo electrónico, y claro, sólo puede alegar que “la empresa no participa en la decisión de enviar el email”, pero sin señalar a ningún emisor en concreto:
La dirección de correo electrónico (emisor) pertenece a un cliente de Iniciativas Virtuales registrado el día 8 de noviembre de 2006, quien supuestamente ha recomendado, a través de la página (web) los servicios a (receptor denunciante). No consta en el fichero información relativa al domicilio o medio de contacto del usuario (emisor).
Muchas empresas tienen inmensas bases de datos de direcciones de correo electrónico “huerfanas”, sin un usuario claro al que asociarlas. Pero claro, a la hora de venderlas y argumentar los precios de la publicidad… “nuestra base de datos tiene 200.000 direcciones de email perfectamente segmentadas por sector, y bla, bla, bla…”.
Ni por asomo llamarles clientes. Un cliente no es alguien que se registra hace dos años, no sabemos quién es, ni dónde vive…. Eso se llama un registro incompleto, y que por supuesto, debiera haber sido cancelado hace tiempo, teniendo en cuenta el tipo de negocio en el que se mueve esta empresa, y por supuesto la LOPD.
No tiene desperdicio tampoco la cabecera del correo electrónico que recibe el denunciante:
¡Hola!, este es un mensaje de tu amigo Internauta 123, que está disfrutando de las ventajas de… Y…, y te manda este mensaje
Vamos, hombre, un poco más de imaginación. Ya sólo faltaba que me enviaran recomendaciones R2D2 y C3PO… ¿pueden ser más impersonales?
Si me llega un mensaje así no le hago ni puñetero caso, y si me coge en un mal día les denuncio. Yo no me relaciono con “amigos Internautas”, sino con Angelito, Paco, Javi y demás. Y con su apellido y todo. De este modo cuando me encuentre con Angelito, Paco o Javi, les comentaré que no quiero recibir nada, o puede pasar algo mucho mejor: “oye, cuéntame, ¿de verdad esto es tan bueno como para que me lo envíes?”.
Supongamos ahora dos cosas:
Primero.- que cuando ponemos a disposición de los internautas un formulario para registrarse, exigimos unos mínimos datos de identificación que han de ser de obligatoria declaración. Y luego filtro “amanuense”, hay que ver que no se nos ha inscrito perfectamente con su nombre y apellidos Peter Pan o La Pantera Rosa… Esa base de datos será más valiosa (Cuestión diferente es que aún y con datos supuestamente correctos, sean quien digan ser…).
Segundo.- que hacemos que el emisor se dirija con esa plena identificación al receptor objetivo, a su amigo, colega o familiar. “Hola, soy tu amigo Paco Porras, y te invito a visitar esta página y registrarse, porque son unos genios de…”.
Estaremos creando una base de datos de calidad (*), llevamos el “boca a oreja” del mundo real al mundo virtual y viceversa, y lo hemos personalizado al máximo… ¿Quién denunciaría? Y una vez denunciados… ¿Creéis que nos sancionarían?
(*) Nota: aquí la mayoría de los “marketinianos” siempre te dicen que los usuarios que se registran son reacios a dar sus datos reales, o que no te los dan todos. Siempre les contesto lo mismo: házselo atractivo, ¿qué quieres? ¿que por eso que les ofreces te den su partida de nacimiento o qué? ¡haz tu trabajo, atrae a los clientes y que confíen en nosotros! Yo también se hacer formularios, colocarlos en una web y luego ametrallar con emails a los que se registren…
» Filed Under AEPD, E-Commerce, Empresas, Internet, Marketing, Protección de datos
Comentarios
7 respuestas to “Recomendaciones”
RESPONDER
El nombre, correo electrónico, sitio web que Vd. facilite, y la dirección IP del equipo desde el que haga el comentario, se utilizan para gestionar su publicación en el blog BITácora, y se registran en un fichero cuyo responsable es Félix José Haro Castillo, administrador del blog, ante quien puede ejercer sus derechos de acceso, rectificación, cancelación y oposición por correo postal (Calle Sierra de Atapuerca nº 41A 6ºB – 28.050 Madrid), o por correo electrónico (mail@felixharo.es).
Ésta te va a gustar:
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2008:110:0001:0015:ES:PDF
¡Saludos!
Sentencia polémica de la Agencia de Protección de Datos que ha condenado a una empresa por tener una página donde los usuarios pueden recomendar el sitio a otros conocidos.
Los cierto es que los de la AEPD se han liado con papel de fumar y esta sentencia va a traer mucha cola.
Para poner en antecentes a los lectores:
Un sitio web, permite a través de un formulario al internauta Aintroducir su email y el email del amigo B al que quiere recomendar el sitio web. Después una típica aplicación en php o asp manda un email al amigo B y en el remitente aparece el internauta A. Nada que objetar, A le manda un mensaje a B y en lugar de usar como interface su cliente de correo electrónico usa el formulario web.
Esa recomendación (o mensaje) la AEPD la considera como spam (y por tanto según la propia ley punible) basandose en los siguientes criterios:
1.- que un internauta mande un email a otro recomendando un sitio web (sea comercial o no), todavía no es ilegal (crucemos los dedos …)
2.-el kit de la cuestión, está en que quien ha mandado el email, no es el internauta sino el sitio web, “haciéndose pasar” por el internauta (recordemos que manda un email en el que el remitente es A). Una de las pruebas de cargo contra la empresa es que la dirección IP desde la que se manda el email es la de su propio servidor.
3.-¿Qué hay de malo en “hacerme pasar” por otro internauta para mandar un email? Bueno, aquí viene la siguiente vuelta de tuerca de la AEPD, pues considera que una simple dirección de email es un dato personal (!) como reconoce en la sentencia(habría mucho que discutir al respecto si por ejemplo lskdjflksdjf@gmail.com contiene alguna traza de información personal , pero no es objeto de este post).
4.Para terminar de rematar a la pobre empresa, que ha usado un “dato personal” y ha suplantado la identidad, el apretón final es: la empresa tiene un fichero de datos personales (direcciones de correo electrónico) que recoge a través de un formulario web (aunque no los almacene) y que no ha sido registrado en la AEPD!!!.
Del resumen de la sentencia se deduce que el hecho de que tú mandes un email a un conocido con contenido comercial se considera spam si se manda a través de un intermediario, pero si lo mandas tú directamente no lo es.
Visto lo visto, hemos corrido a cambiar en nuestra web nuestra página de recomendación poniendo un javascript que abre el cliente de correo electrónico del remitente, le coloca el texto, y es el propio remitente, desde su propio cliente de correo electrónico, desde su propio ordenador, desde su propia casa, quien decide a quíen quiere mandar ese mensaje.
La sentencia además tiene su intringulis: si mandar un email comercial desde una IP que no es la tuya se considera spam, si yo como persona física mando desde hotmail o gmail un email a un amigo con contenido comercial, hotmail y gmail estarían incurriendo en prácticas de spam? ¿qué diferencia hay entre mandar un mensaje de ámbito comercial a través de un webmail o a través de un formulario php? ¿Van a demandar a Microsoft o Google por spam?
Saludos
Javier Gomez
——————————–
Catedral Consultores
consultoría operativa de empresas
http://www.catedral-consultores.es
catedral-consultores.blogspot.com
——————————–
Cuando se invierte la carga de la prueba se dan casos como éste, ocurridos por una negligente actuación de la autoridad
¡Saludos!
[...] http://www.felixharo.es/?p=160 [...]
V Anuncios
PROCEDIMIENTOS ADMINISTRATIVOS
Comisión
2008/C 126 A/01
Puestos vacantes de Supervisor Europeo de Protección de Datos y de Supervisor Adjunto — COM/2008/10070
Nos hemos quedado sin supervisor de datos en Europa.
¿Habrán ido a la empresa privada?
¡Saludos!
La mejor respuesta que he visto hasta el momento para esta resolución, que comparto y que se posiciona a favor de la sentencia, es la siguiente, en el blog de Miguel Ángel Mata:
“La Agencia ha aplicado la Ley correctamente: esta empresa ha enviado un correo publicitario a un destinatario sin que éste haya autorizado su remisión, usando como “medio” a un “supuesto” conocido del destinatario.
La excusa (fraude de ley), es que no es la empresa quien “dispara” el envío, sino que lo hace el que quiere compartir; pero: a) el envío no ha sido autorizado por el destinatario; b) este envío no consentido corresponde totalmente con una estrategia de acción comercial, por parte de la empresa; c) se usan los recursos y contenidos preparados al efecto por parte de la empresa; d) se someten a tratamiento los datos de carácter personal del destinatario sin contar con su previo consentimiento y; e) se incluye un botón que enlaza directamente con la página para darse de alta en Iniciativas Virtuales, así como la posibilidad de no seguir recibiendo mensajes de ese tipo (se puede suponer que el destinatario está “controlado” o sometido a tratamiento, motivando preocupación en el interesado respecto del uso de sus datos de carácter personal, que dejan de estar bajo su control, al poder ser “cedidos” por cualquier “supuesto” amigo) y; f) por último: ¿quién garantiza que la dirección de correo no seguirá siendo utilizada para fines “similares” (más envío de publicidad), sin que medie la intervención del “supuesto” amigo, una vez pasado por el “trámite” de que el primer envío haya sido realizado por un tercero?”
La diferencia con que yo, desde mi cuenta de Gmail, mande una recomendación del servicio a un amigo, creo que está clara. Gmail es un servicio de correo y su uso como vía comercial no es su fin último y yo no voy a tratar los datos de mi amigo para enviarle futuras recomendaciones en el futuro ni para crearme una base de datos. Y si efectivamente yo estoy metido en algún tipo de servicio comercial remunerado, entonces me aplica la LOPD y las cosas vuelven a ser diferentes.
Hola, en relación a la IP.
Por ejemplo, si uno se conecta a una página de tipo enviar amigo o la misma de enviar comentario o de recordar contraseña, sin que haya Captcha, y con un programa accede indefinidamente a esa página, la IPquedaría guardada y se podría identificar a esa persona que se conecta.
Pero la cuestión es si esa situación es legal o no? Es decir, conectarse a una página indefinidamente, mediante programa automático, y enviar a un amigo o escribir comentarios. No hay ánimo de lucro, pero se considera spam ? de quién ??
se considera ataque al servidor web eso si la página es pública, está en internet accesible a todos ? si de forma manual estoy 24 horas dando F5 sobre la misma página se consideraría ataque ??
Muchas gracias y saludos.