Paco Pérez, experto en Derecho y mentor de la IV National Cyberleague GC.

Opinión

¿Hago spam si envío correos electrónicos de concienciación en ciberseguridad?

Socio de derecho digital en Ecix Group y mentor de la IV National Cyberleague GC.

Guardar

Spam
Spam

Una de las principales preocupaciones de las empresas a la hora de preparar campañas de concienciación en ciberseguridad dirigidas a sus clientes, es la de poder ser denunciada por enviar correos electrónicos comerciales sin consentimiento de su destinatario, lo que comúnmente es conocido como spam, y que viene prohibido en el artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de comercio electrónico (comúnmente conocida como LSSI).

Esta preocupación está más que justificada, teniendo en cuenta la actividad sancionadora de la Agencia Española de Protección de Datos (AEPD) en esta materia, y los esfuerzos que desarrollan las compañías para poder dar cumplimiento de las obligaciones legales impuestas en esta disciplina, a la vista del impacto, económico y reputacional, que para aquellas tiene este tipo de sanciones.

En este caso, jugamos con la dificultad añadida derivada de la amplitud de la definición legal del término “comunicaciones comerciales”, que parece alcanzar a -prácticamente- cualquier tipo de comunicación enviada desde una empresa. Así, en el caso que ahora nos ocupa, la letra f) del Anexo de la LSSI, define dicho concepto como “toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional”. Por su parte, ninguna de las dos excepciones que la ley prevé en este sentido, resulta de aplicación al caso que aquí nos ocupa.

Con relación a lo anterior y a la eventual naturaleza publicitaria de una comunicación, también debemos tener en cuenta la definición que de “publicidad” nos da la Ley General de Publicidad ,cuando en su artículo 2 señala que se entenderá por publicidad a “toda forma de comunicación realizada por una persona física o jurídica, pública o privada, en el ejercicio de una actividad comercial, industrial, artesanal o profesional, con el fin de promover de forma directa o indirecta la contratación de bienes muebles o inmuebles, servicios, derechos y obligaciones”.

A la vista de las anteriores definiciones, ¿podría una iniciativa consistente en enviar correos electrónicos con información y consejos a nuestros clientes sobre riesgos en ciberseguridad, ser considerada campaña comercial y, por lo tanto, necesitar la empresa el consentimiento expreso de sus destinatarios?

Pues bien, en su Resolución PS/00110/2022, la AEPD consideró que el envío, por parte de una entidad financiera, a uno de sus clientes que se había opuesto expresamente a recibir publicidad por vía electrónica, de un correo electrónico con consejos de ciberseguridad previo al black Friday, y donde -además- se le facilitaba un número de teléfono del banco para que llamara en caso de ser víctima de algún fraude online, no incumple el artículo 21 de la LSSI, por cuanto “la comunicación enviada no contiene ningún tipo de información comercial ni promocional, solamente se procedía a facilitarle consejos de cómo proceder cuando realizara compras on-line, con el objetivo de evitar posibles fraudes de terceros”. En este caso, hay que recordar que aunque no se necesite el consentimiento expreso para poder tratar los datos de clientes con finalidades comerciales, en base a la LSSI sí es necesario disponer de tal consentimiento para el envío de comunicaciones por vía electrónica.

En este caso, sin embargo, concurren otro tipo de elementos que no nos permite afirmar con rotundidad que cualquier campaña de ciberconcienciación no puede tener carácter comercial ni promocional. Antes al contrario, en este supuesto se tiene en cuenta que la entidad financiera denunciada sí gozaba del consentimiento de su cliente para recibir comunicaciones comerciales y, quizás por ello, la cuenta desde la que se remitió dicho correo electrónico era la cuenta de marketing del banco y la imagen empleada era la del banco. También podría discutirse acerca de si este tipo de comunicaciones, dependiendo de la manera en la que se lleven a cabo, pueden entenderse como una publicidad del propio banco, el cual trata de promocionarse entre sus clientes mostrando diligencia y buenas prácticas en ciberseguridad, lo que refuerza su imagen de marca entre sus clientes y en el mercado.

Pero dejando de lado estériles discusiones doctrinales, otro de los aspectos que parece interesante destacar dentro de este debate, es el que tiene que ver con la obligatoriedad de atender a lo previsto en la Estrategia Nacional de Ciberseguridad de 2019. En efecto, este documento incluye una línea de acción 3, con una medida 2 que se refiere a “fomentar la colaboración y participación ciudadana, […] promoviendo el desarrollo de campañas de prevención de cibercriminalidad orientadas a ciudadanos y empresas”.

O, en el mismo sentido, la línea de acción 7, que en su medida I promueve “incrementar las campañas de concienciación a ciudadanos y empresas, y poner a su disposición información útil adaptada a cada perfil”; y que en su medida 3 recomienda “impulsar iniciativas y planes de alfabetización digital en ciberseguridad”.

Por todo ello, no podemos negar una aparente contradicción entre la obligación (aunque no sea legalmente exigible) de cumplir con los preceptos recogidos en la Estrategia Nacional de Ciberseguridad, con el derecho del consumidor a no recibir comunicaciones por vía electrónica.

Así las cosas, podríamos concluir que, de un lado, las empresas deben seguir realizando este tipo de campañas entre sus clientes, aunque diseñándolas de una manera tal que se alejen lo máximo posible de formatos publicitarios o promocionales de la propia entidad promotora pues, de lo contrario, nada obsta a poder calificar esa comunicación como “comercial” si el caso así lo requiere.

Y, de otro lado, que la citada Resolución excluye la necesidad del consentimiento del destinatario de las mismas a la hora de recibir este tipo de comunicaciones, precisamente porque estamos ante un supuesto de seguridad nacional, que no podemos dejar al arbitrio de que el ciudadano decida querer recibir este tipo de avisos, alertas, consejos o similares. Ahora bien, esto no obsta a que aquel ciudadano que no quiera recibir campañas de concienciación en ciberseguridad desde las empresas de las que es cliente, se oponga expresamente a ello, en ejercicio de su derecho fundamental a exigir el cese del tratamiento de sus datos con esta finalidad.