Introducción
El presente trabajo, surgió con motivo de un comentario desarrollado por el autor en la “Red Iberoamericana de Derecho Informático” (bajo Licencia Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5 Argentina de Creative Commons).-
El planteo: Una empresa A, brinda un servicio que consiste en una plataforma que posibilita el envío masivo de e-mails. La empresa B, contrata ese servicio y lo utiliza para el envío masivo de correspondencia no solicitada por los destintarios (SPAM).-
La cuestión: ¿Tiene responsabilidad la empresa A, por el envío de los e-mails no solicitados (SPAM) realizado por la empresa B?
En primer lugar, cabe aclarar que comenzaremos el análisis del caso, señalando que no nos encontraríamos frente a un supuesto en el que la empresa A tuviera una participación activa en las ganancias obtenidas por la empresa B.-
Conforme a la terminología utilizada en la legislación argentina, el servicio brindado por la empresa A, podría ser encuadrado en la figura de “Prestación de servicios informatizados de datos personales”, contemplada en el Art. 25 de la Ley 25.326. Señalando que, toda actividad que se realice sobre un determinado archivo, registro, base o banco de datos, que contenga información de carácter personal (como lo es el correo electrónico), se encontrará alcanzada por la Ley 25.326. El tratamiento de datos por parte de la empresa A, consistiría en la conservación, almacenamiento y posterior destrucción del correo electrónico y de las direcciones de los usuarios afines al mismo.-
Estaríamos frente a la figura contractual denominada “locación de servicios”. La empresa B, locataria de servicios (contratante o cliente) es, en principio, la "Titular del archivo, registro, base o banco de datos personales" ("responsable del tratamiento", conforme Art. 25 del Decreto 1558/2001). El tratamiento de datos efectuado por parte de la empresa B consistiría, en principio, en la realización “a su arbitrio” de los procedimientos de recolección, ordenación, modificación y evaluación de los datos personales; siendo el “Responsable de archivo, registro, base o banco de datos”. A modo de comentario, cuando el Decreto 1558/2001 hace referencia a tratamientos de datos por encargo, menciona una figura distinta de las definidas en el artículo 2 de la Ley 25.326: el “Encargado del tratamiento”.-
La empresa A, locador (contratista o prestador del servicio), sería un "Usuario de datos” (conforme a la definición contenida en el Art. 2 de la Ley 25.326); el “Encargado del tratamiento” que sigue las instrucciones del responsable (Art. 25 del Decreto 1558/2001); o “Proveedor externo” (figura que aparece en el “Documento de Seguridad de Datos Personales”, incorporado como Anexo I de la Disposición 9/2008 de la Dirección Nacional de Protección de Datos Personales).-
Por lo hasta aquí indicado, la empresa A no se encontraría alcanzada por las disposiciones del Art. 11 inc. 4º de la Ley 25.326 (Cesión).-
De igual forma, entiendo que, hasta tanto no exista una nueva normativa, o modificación de la vigente, que estableciera obligaciones y consecuentes responsabilidades de los proveedores de servicios (genéricamente ISP) toda intromisión de la empresa A en el envío de e-mail por parte de la empresa B, que excediera los límites contractuales fijados por las partes (Art. 1197 del Código Civil), además de generar responsabilidad civil, podría llegar a configurar un delito (artículos 153; 157 bis y 173 inc. 16 del Código Penal). Cabe tener presente, asimismo, que a los efectos legales, el correo electrónico es equiparado a la correspondencia epistolar privada.-
Responsabilidades
El derecho argentino consagra un doble sistema de responsabilidad: el contractual y el extracontractual. La responsabilidad contractual nace de la existencia de una obligación previa, nacida en el contrato (acuerdo de voluntades que crea, modifica o extingue una relación jurídica); mientras que la extracontractual, nace del deber genérico e indeterminado de no dañar.-
En ambos casos, quien reclama el daño debe acreditar la relación de causalidad. Pero en el sistema de responsabilidad extracontractual, se deberá acreditar además, que el hecho ha sido antijurídico. Se entiende por antijuricidad, una contradicción entre la conducta y el ordenamiento jurídico.-
También, tenemos dos factores de atribución de responsabilidad, la subjetiva, que se basa en la negligencia, culpa o falta de cuidado en que pudo haber incurrido el sujeto que ejecutó el hecho (Arts. 1109 y 1113 del Código Civil) y la objetiva, basada en el riesgo o vicio propios de la cosa.-
Volviendo al caso en estudio, deberíamos analizar la responsabilidad extracontractual (con un factor de atribución subjetivo) de la empresa B por: 1º) La intromisión en el derecho a la intimidad de los damnificados, ante el envío masivo de mensajes no solicitados a su cuenta de correo electrónico (derecho de control sobre los datos relativos a la propia persona) -cuestión que es reconocida por nuestra jurisprudencia-; y 2º) El daño producido ante la pérdida de velocidad de acceso y almacenamiento de datos en las computadoras de los damnificados por el SPAM, a raíz de la fragmentación de los dispositivos de soporte (discos rígidos, dispositivos USB) -su probanza dependerá de la cantidad de mensajes recibidos; del Sistema Operativo utilizado; y del formato del sistema de archivos de las particiones de las unidades.-
Además, se podría analizar la posible comisión de un ilícito penal (Art. 157 bis del Código Penal) por parte de los responsables de la empresa B, en el modo de obtención de los datos personales de los damnificados.-
Condiciones para que el acto sea antijurídico
Si bien en Argentina no existen normas específicas que regulen el problema ocasionado por el SPAM, el Art. 5 de la Ley 25.326, impone la ilicitud del tratamiento de los datos personales, cuando el titular no hubiese prestado su consentimiento libre, expreso e informado. Cabe aclarar que la propia norma establece excepciones (inc. 2º del Art. 5º Ley 25.326).-
También conviene tener presente que, aún cuando éstos datos sean facilitados por los propios titulares u obtenidos con su consentimiento, conjuntamente con el deber de información (Art. 6 de la Ley 25.326) se deberá indicar, en forma expresa y destacada, la posibilidad del titular del dato de solicitar el retiro o bloqueo, total o parcial, de su nombre de la base de datos; e informar, a pedido de éstos, el nombre del responsable o usuario del banco de datos que proveyó la información (Art. 27 del Decreto 1558/2001).-
Debe tenerse presente también lo dispuesto por la Disposición 10/2008 de la Dirección Nacional de Protección de Datos Personales, la cual establece la obligación de incluir las siguientes leyendas, en los casos de comunicaciones y publicidades relacionadas con el tratamiento de datos personales (*):
1º) “El titular de los datos personales tiene la facultad de ejercer el derecho de acceso a los mismos en forma gratuita a intervalos no inferiores a seis meses, salvo que se acredite un interés legítimo al efecto conforme lo establecido en el artículo 14, inciso 3 de la Ley Nº 25.326”, en lugar visible de la página web y en toda comunicación o publicidad;
2º) “La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, Órgano de Control de la Ley Nº 25.326, tiene la atribución de atender las denuncias y reclamos que se interpongan con relación al incumplimiento de las normas sobre protección de datos personales”.-
De igual forma, por la Disposición 4/2009 de la Dirección Nacional de Protección de Datos Personales, en las comunicaciones con fines de publicidad directa, el emisor deberá incorporar un aviso que informe al titular del datos sus derechos, con la transcripción del artículo 27 inciso 3º, de la Ley 25.326 y del párrafo tercero del artículo 27 del Anexo I de su Decreto reglamentario. Además, se deberá tener presente que, de utilizarse el correo electrónico con tal finalidad, se deberá insertar en el encabezado del mismo (expresión sujeta a discusión), el término “publicidad”. En el caso de comunicaciones de publicidad directa no requerida o consentida previamente por el titular del dato personal, se deberá advertir, en forma destacada, que se trata de una publicidad.-
Conclusión
En el caso planteado, los damnificados por el SPAM deberían interponer, en primer lugar, en el ámbito administrativo, una denuncia ante la Dirección Nacional de Protección de Datos Personales, en los términos de los Arts. 14 y 15 de la Ley 25.326, contra la empresa A (Usuario de datos o Proveedor externo), contra la empresa B (Responsable), o contra ambas.-
En caso de no obtener una repuesta favorable, recurrir a la vía judicial, mediante la presentación de una acción de hábeas data contra la empresa B (dirigirla a la empresa A llevaría a una pretensión de cumplimiento imposible, dado que ésta no tiene potestad para modificar, suprimir o actualizar datos existentes en la empresa B), a fin de obtener: 1º) El acceso a sus datos personales en la base de datos utiliza para enviarles correo electrónico no solicitado; 2º) La eliminación de esos registros; y 3º) La pertinente condena que obligue a los demandados a adoptar los recaudos técnicos necesarios tendientes al bloqueo de sus direcciones de correo electrónico.-
Los damnificados podrían demandar judicialmente, además, por daños y perjuicios a la empresa B, fundando su pretensión en la responsabilidad extracontractual y ofreciendo prueba tendiente a acreditar el daño, la relación de causalidad entre el hecho y el daño, y la antijuricidad del hecho.-
Eventualmente, de entender que ha existido una acción típida, antijurídica y culpable, en la obtención de los datos personales de los damnificados (Art. 157 bis del Código Penal), éstos deberán iniciar una denuncia penal contra los responsables de la empresa B.-
Enlaces útiles
- Normativa de la Dirección Nacional de Protección de Datos Personales
- Código Civil de la República Argentina
- Código Penal de la República Argentina
Espero que el presente,
haya sido de su interés,
Atentamente,
Jorge Verón Schenone
E-Mail: veron.schenone@gmail.com
"La responsabilidad del proveedor de correo
electrónico frente al SPAM.
Análisis de un caso práctico."
Copyright © 2010
by
Jorge Verón SchenoneAnálisis de un caso práctico."
Se transmite el uso y goce de ésta obra, en forma temporal y parcial,
a través de un Contrato de licencia o autorización de uso
Fecha de publicación
18/07/2010
Última actualización
09/07/2015
Se agrega un colección de “schemas” (vocabularios) para anotar HTML
de manera reconocible para los motores de búsqueda (resultados de búsqueda enriquecidos).
Se reemplaza el enlace roto:
“http://www.jus.gov.ar/datos-personales/documentos/normativa.aspx”
Aclaración: En el gráfico que figura al inicio del artículo (también desarrollado por su autor), se utiliza un archivo de Wikimedia Commons, depósito de contenido libre, hospedado por la Fundación Wikimedia.-
4 comentarios :
Excelente blog, gracias por sus interesantes ideas.
Les agradezco su comentario. ¡ Saludos cordiales !
Tienes buenas ideas y un exlente blog ademas de un buen diseño web.
Les agradezco, nuevamente, el comentario, es un gran halago recibirlo de personas que se dedican profesionalmente al diseño web. Actualmente estoy modificando el código (como hobby, en forma gradual), para que el diseño pueda ser visualizado correctamente en resoluciones de 320 (iPhone) a 1920 px. de ancho (mediante la regla @media de CSS). ¡ Saludos cordiales desde Argentina ! Jorge
Puede dejar su opinión sobre el artículo publicado. También puede utilizar este medio para ampliarlo o mejorarlo. Los comentarios serán moderados y publicados a la brevedad. ¡ Gracias !.