'Privacidad y uso de direcciones de correo falsas para el alta en servicios online', por Francisco Gordillo, asociado senior de Information Technology de ECIJA.
En ocasiones los usuarios contratan servicios “online” mediante direcciones de correo electrónicas que son manifiestamente ficticias. Los casusas pueden ser diversas: o bien a juicio del usuario la dirección es innecesaria para recibir el servicio, o bien tiene reticencias por temor a recibir una multitud de comunicaciones comerciales, o bien el formulario obliga a introducir una dirección de email y el usuario no dispone de una.
Normalmente, el usuario piensa que direcciones del tipo no@gmail.com.... o notengocorreo@hotmail.com estarán vacantes y cuando alguien intente enviar un mensaje a dichas direcciones se producirá un error. No obstante, en ocasiones estas direcciones sí pueden llegar a estar activas. Qué sucede en estos casos? Debe la empresa darlo de alta? Es necesario una validación previa del correo electrónico? Qué relación tiene esta práctica con la normativa de protección de datos?
Para ahondar más en la problemática que se plantea en relación al anterior ejemplo, la dirección de correo electrónico no@gmail.com seguramente pertenecerá a una tercera persona. Por lo tanto, si alguien se da de alta en un servicio con dicha dirección lo que ocurre es que se está generando un alta de un servicio a una tercera persona que no lo ha solicitado. Eso supondría una vulneración del principio de consentimiento establecido en el art. 6 de la LOPD (Ley Orgánica de Protección de Datos). La Agencia Española de Protección de Datos ha venido aceptando como conducta diligente por parte de la empresa la solicitud al consumidor o usuario de su DNI para activar el alta en el servicio. Así en el Procedimiento Nº PS/00098/2010 se indica:
“En el presente caso, DTS e IGONSA no han presentado ninguna prueba que pueda evidenciar que contaban con el consentimiento del denunciante, ya que en primer lugar el contrato que se ha aportado tiene unas firmas que en modo alguno coinciden con la de su escrito de denuncia ante esta Agencia y la de su DNI.”
El problema es que en el DNI no aparece la dirección de correo electrónico por lo que o bien la empresa articula algún mecanismo para verificar dicha dirección o bien la la empresa debe confiar en el email que le proporcione el consumidor. Aún así, la Agencia Española de Protección de Datos no obliga a tener un procedimiento de validación, aunque sí lo recomienda. Así se establece en el Procedimiento Nº: E/00443/2004
“Sería aconsejable y más adecuado por el contrario con la finalidad de corregir los posibles envíos fraudulentos (como por ejemplo aquellos en los que una persona que conoce la dirección de correo de otra y le da de alta), la creación de un sistema de activación previa ratificación, desde la propia cuenta de correo de la persona a la que se da de alta, de modo que desde ésta se mandara el visto bueno a esa alta. Ello supondría realizar el alta a través de dos pasos que conllevaría una mayor certeza en el proceso, pues sólo ratificando desde la dirección que se da de alta, se podría convalidar la entrada en el sistema.
(…)
recomendando eso sí, un sistema de validación activa antes de empezar a recibir ya los mensajes, con el fin de evitar ó disminuir altas con fines capciosos, procedería el archivo de las actuaciones.”
El segundo problema que se plantea es que dicha dirección de correo puede ser el medio habitual por el cual se pone en contacto la empresa con el consumidor, por ejemplo para el envío de notificaciones, newsletter, o bien para la respuesta a derechos de acceso a datos, rectificación o cancelación. Por ello, todas las notificaciones acabaran llegando a una tercera persona, produciéndose una comunicación de datos (por ejemplo en casos de envío de datos de facturación). Esta comunicación de datos se encuentra prohibida por la normativa de protección de datos ya que la revelación de información solo debe estar autorizada, a priori, al titular de los datos. No obstante, fue el titular de los datos quien proporcionó dicha dirección de correo, por lo que a la empresa debe confiar que la información proporcionada es correcta. En el procedimiento Nº PS/00332/2012 relativo a contratación fraudulenta con datos ficticios la Agencia acabó entendiendo los argumentos de la empresa denunciada por entender que aquella había
“En este caso, una vez analizadas las alegaciones y pruebas presentadas, todos los indicios apuntan a una actuación fraudulenta por parte de un tercero (vgr. entrega del terminal en dirección distinta a la del domicilio del denunciante—folio nº 33--, no coincidencia de la firma—folio nº 33--, etc), sobre la que esta Agencia carece de competencia al ser objeto en su caso de enjuiciamiento por los órganos judiciales ad hoc.”
Para acabar de complicar este tema el artículo 4 de la LOPD obliga al responsable del fichero a tener los datos permanentemente actualizados. Esto implica borrar las direcciones de correo rechazadas porque ya no se encuentran activas.
Así las cosas, las empresas no están obligadas a realizar controles preventivos para revisar si las direcciones son correctas. Es responsabilidad del titular de los datos el proporcionar sus datos correctamente en el formulario de alta o en cualquier momento posterior. No obstante, si en el momento del envío les aparecen direcciones rechazadas sí que deberían eliminar estas direcciones de su base de datos.
Enlace al artículo: http://www.microsoft.com/es-es/business/business-news/PRIVACIDAD-Y-UTILIZACI%C3%93N-DE-DIRECCIONES-DE-CORREO-FALSAS-PARA-EL-ALTA-EN-SERVICIOS-ONLINE/