¿Están cumpliendo las empresas la LSSIce?


Un estudio realizado por la Asociación de Internautas revela cómo, a pesar de la entrada en vigor de la Ley de Servicios de la Sociedad de la Información (LSSI), el problema del «spam» o correo electrónico no deseado dista mucho de estar resuelto en España.





INFORME DE LA CAMPAÑA DE RECOGIDA DE DATOS

1. Objetivo de la campaña

Desde la entrada en vigor de la Ley 34/2002, más conocida por sus siglas (LSSI) o como Ley de Internet y durante un plazo de 15 días se ha procedido a la recogida entre los socios de aquellos correos publicitarios no deseados recibidos en sus buzones con la idea de comprobar el grado de cumplimiento de la misma; entre los socios que han participado en la campaña se han recogido en conjunto 300 mensajes de todo tipo.

2. Metodología

Se procedió a guardar, siempre que se ha podido, de cada uno de los mensajes los siguientes datos: Dirección electrónica del remitente (campo Return-Path de los mensajes), di-rección electrónica del destinatario (campo A), fecha y hora de recepción en el buzón del desti-natario (del campo Received más próximo a la identidad del destinatario) y dirección IP del remitente (del campo Received más alejado de la misma).

Ha sido frecuente no encontrar alguno de estos campos ya que es práctica habitual en los emisores de publicidad la ocultación de alguno de los datos referidos, especialmente la dirección IP del servidor y la dirección electrónica del remitente.

Se ha procedido posteriormente a identificar en lo posible la ubicación física del servidor del que procedían los mensajes mediante el empleo de programas y páginas web de rastreo. Cuando el mensaje lo ha permitido, se ha tratado de identificar la empresa que lo remitía ya que en muchos casos el nombre real de la empresa se oculta bajo seudónimos.

En total, y una vez descartados aquellos en los que por su fecha de recepción no po-dían incluirse en la aplicación de la Ley o por otros motivos, se han analizado 200 mensajes diferentes con el resultado de 164 remitentes diferentes; de estos 200 mensajes, sólo 43 incluían entre sus cabeceras el campo “Responder a:” (Reply-To:). Así mismo, en un total de 32 mensajes los generadores de los mismos han ocultado sus datos IP, de forma que se hacía imposible identificar el servidor de origen.

Se remitió, siempre que fue posible, desde un servidor de correo ubicado en España un mensaje a los teóricos remitentes de los mensajes publicitarios así como a los campos “Res-ponder a” en los casos que existía y era diferente del “remitente” del mensaje. Esto ha signifi-cado el envío de 175 mensajes: 163 a “remitentes” y 12 a las direcciones diferentes.

Se han probado aquellos mensajes que incluían alguna forma de darse de baja de la lista distribución, ya fuera un enlace para darse de baja o una dirección de correo con el mismo fin; en el primer caso se han registrado 48 enlaces diferentes para llevar a cabo la anulación de la información, mientras que las direcciones de correo diferentes con el mismo fin han sido ocho.

Como caso extremo de mala actitud podemos citar un mensaje originado en la dirección bolpym2002@terra.es, en el que el campo “Responder a:” contiene como información de referencia la dirección NO_RESPONDER__BAJAS-ALTAS-MODIFICACIO-NES_@L.FINAL.DEL.BOLETIN. Evidentemente, se trata de una dirección falsa.

3. Resultados

De acuerdo con la legislación vigente desde el 12 de octubre, los mensajes publicitarios deben venir claramente identificados como tales según marca el artículo 20.1 de la Ley 34/2002:

Artículo 20. Información exigida sobre las comunicaciones comerciales, ofertas promo-cionales y concursos.

1. Las comunicaciones comerciales realizadas por vía electrónica deberán ser clara-mente identificables como tales y deberán indicar la persona física o jurídica en nombre de la cual se realizan.

En el caso en el que tengan lugar a través de correo electrónico u otro medio de comu-nicación electrónica equivalente incluirán al comienzo del mensaje la palabra «publicidad».

Ni un solo de los mensajes analizados cumplía esta norma, siendo lo más próximo al cumplimiento de la norma el caso de eresMas, que incluye como dirección de emisión (eresmas.publicidad@eresmas.com) del mensaje la palabra PUBLICIDAD; se entraría aquí en la discusión de cual es el comienzo del mensaje. Hecha esta puntualización, podemos agrupar los mensajes analizados de la siguiente forma:

- En 27 mensajes (13,6%) no ha sido posible identificar la ubicación del servidor de correo saliente ya que en los mensajes se había borrado cualquier referencia al mismo. Incluso en la mayoría de los casos el remitente se ha demostrado falso.

- Otros 48 (24,1%) casos han dado como resultado, gracias a programas de rastreo de IP, una IP privada que no facilitaba la ubicación del emisor del mensaje.

- En el resto de los mensajes (124, equivalentes al 62,3%) se ha podido ubicar el país de origen, con el siguiente resultado:

Pais de origen Nº mensajes
Alemania 3 2,4 %
Argentina 4 3,2 %
Australia 1 0,8 %
Brasil 1 0,8 %
Canada 1 0,8 %
Chile 1 0,8 %
China 3 2,4 %
Corea del Sur 2 1,6 %
Estados Unidos 71 57,3 %
Eslovaquia 1 0,8 %
Eslovenia 1 0,8 %
España 16 12,9 %
Filipinas 1 0,8 %
Francia 2 1,6 %
Hong Kong 3 2,4 %
India 1 0,8 %
Indonesia 2 1,6 %
Italia 4 3,2 %
Japon 1 0,8 %
Kuwait 1 0,8 %
Reino Unido 3 2,4 %
Tailandia 1 0,8 %
TOTAL 124

 

Zona de Origen Nº mensajes
España 16 12,9 %
E.E.E. 9 7,3 %
Resto U.E. 3 2,4 %
Resto del mundo 96 77,4 %
TOTAL 124


Para comprobar la fiabilidad de los datos, como se ha dicho, se enviaron mensajes fantasma (sin más texto que la palabra PRUEBA) a todas las direcciones distintas que en teo-ría había generado los mensajes.

El envío de estos mensajes produjo por parte del servidor de correo saliente la devolu-ción del 44% de los mismos con respuestas similares en todos ellos. Los motivos de devolución de los mensajes iban desde el desconocimiento del destinatario a inexistencia del dominio pa-sando por buzón no disponible, y un único mensaje informaba que el destinatario era descono-cido en ese sitio. Muchos de los restantes mensajes, aquellos que en teoría si se recibieron en la direc-ción facilitada, han producido la recepción en la cuenta de prueba de publicidad no solicitada.

En lo que se refiere a los enlaces de baja, hay que distinguir entre los que especifican una URL y los que dirigen a una dirección de correo. En el primer caso, los que indican una dirección de Internet, de los 48 existentes en los mensajes nos encontramos con dos grupos: el enlace es real y se accede a un web y los que, directamente, responden los navegadores que no existe ese dominio o entorno. 28 de las direcciones proporcionadas se pueden incluir en este segundo grupo, entre las que no existen o no funcionan; como caso extremo se puede citar el caso de la URL http://203.37.60.4/remove.htm: no sólo el navegador informa que esta dirección no se encuen-tra disponible, sino que además se activa la dirección http://ozbill.net/remove.htm.

El resto de direcciones existen y, aparentemente, permiten anular la información registrada sobre el usuario. En general, la única anomalía que se ha detectado en los enlaces que existen y aparente funcionan según lo que informan, dando de baja al usuario, es la activación en algunos casos de una segunda web publicitaria. Un caso extremo de mala fe es el de los correos remitidos por clientes@interbel.es. En los mensajes remitidos desde esta dirección, al margen de violar todos y cada uno de los as-pectos básicos de la legislación vigente, reconocen estar violando de forma deliberada dicha ley. Este es el texto incluido en su mensaje: MDAEMON Y LA LSSI El Ministerio de Ciencia y Tecnología obliga a todos los “prestadores de servi-cios” a retener los datos de conexión y tráfico durante doces meses (LSSICE, art.12.1). Si se posee un servidor de correo como Mdaemon, los datos quedan únicamente en nuestro poder, impidiendo el espionaje desde la administración.

También uno solo de los mensajes analizados, remitido desde la dirección info@fotodigital-printservice.com, cumplía la legislación desde el momento que pedía al destinatario del mensaje el permiso expreso para remitir mensajes publicitarios.

Son numerosos, por desgracia, los casos en que se interpreta la legislación de forma inversa; sirva como ejemplo la información que incluyen en sus mensajes los propietarios de la web http://www.mifuturo.com:

Aprovechamos para comunicarte que ya ha entrado en vigor la nueva Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico. Te recordamos que mifuturo.com siempre ha dedicado todos los recursos necesarios para garantizar la correcta utilización de tus datos personales.

Así, en aplicación del artículo 21 de la mencionada Ley, si no deseas seguir re-cibiendo nuestras propuestas sólo tienes que indicárnoslo haciendo CLICK AQUI y en el caso de que no lo hagas en un plazo de 7 días, consideraremos que nos das tu ex-presa autorización a seguir enviándote nuestras novedades a dicha dirección de correo electrónico.

El artículo citado dice lo siguiente:

Artículo 21. Prohibición de comunicaciones comerciales no solicitadas realizadas a tra-vés de correo electrónico o medios de comunicación electrónica equivalentes. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

Fijándonos en los mensajes recibidos podemos observar que mientras la práctica totalidad de los procedentes de España tienen fines comerciales (ofertas de venta o distribución), los procedentes de fuera de la U.E. centran su publicidad en productos milagro, páginas porno-gráficas, casinos virtuales, etc. Podemos decir que más de un 75% de los mensajes procedentes de EE.UU. hacen referencia a uno de estos tres temas, mientras que todos menos dos de los analizados que procedían de España se referían a ofertas comerciales; de esos dos uno de ellos era un boletín semanal de información y el otro era una petición explícita de permiso.

Analizando los mensajes con origen en España nos encontramos lo siguiente:

- Remitido desde Acierta.com@listas.eresmas.com

Se trata de una promoción interna del propio portal eresMas. No se indica en ningún punto del mensaje esta circunstancia. Ofrece la posibilidad de darse de baja en la lista de distribución accediendo a una dirección web (http://www.acierta.com/bajanews.php).

- Remitido desde bolpym2002@terra.es

Teóricamente es un boletín semanal de distribución gratuita; realmente esconde ofertas de venta de productos: desde teléfonos móviles hasta suscripciones a revistas. No consta que se trate de publicidad o promoción de algún tipo. Facilita la baja en http://asp.pymes-online.com/boletin/bajas.asp.

- Remitido desde john@doe.com

Tras esta dirección, aparentemente extranjera, se oculta una oferta de una em-presa de telefonía (Anet Telecom). Tampoco se hace constar que se trata de una oferta publicitaria, ni ofrece posibilidad alguna de anular los datos.

- Remitido desde intercole@intercole.net

Bajo la denominación “Boletín Intercole” se remite un conjunto de ofertas, que aparentemente no son comerciales”. El envío incluye dos enlaces a sendas direcciones de correo: una para confirmar los datos y aceptar la remisión del boletín y otra para anular los mismos de la base de datos del remitente.

- Remitido desde info@fotodigital-printservice.com

Este mensaje, enviado por la empresa FotoDigital-PrintService S.L., es el único que cumple en parte la norma legal al estar solicitando la autorización expresa del des-tinatario para continuar remitiendo publicidad. Es de suponer que si no se responde a este correo los datos serán borrados y no se recibirán más mensajes desde esta dirección.

- Remitido por marketing@ticfactory.com

Este mensaje es simplemente un boletín de oferta de productos y servicios. La única posibilidad de anular los datos que ofrece es responder al propio mensaje po-niendo como asunto ELIMINAR.

- Remitido por LondonlanguagesB@eresmas.com

Ofrece cursos de idiomas. La empresa se identifica como LONDON LANGUAGE INSTITUTE y facilita números de teléfono y de fax para efectuar la baja en sus ficheros; esta facilidad también se puede efectuar por medio de un correo electrónico.

- Remitido por mifuturo.boletin-owner@listas.mifuturo.com

Aparentemente se trata de un boletín de información. Al margen de, como la casi totalidad de los mensajes, no indicar que se trata de una promoción o de publici-dad interpretan la legislación al revés, dando a entender que de no responder se sobreentiende la aceptación de nuevos envíos. Facilitan la dirección, http://www.mifuturo.com/club/baja_news.asp para llevar a cabo la baja de la lista de distribución.

- Remitido por clientes@interbel.es

Curiosamente este boletín es el único de los analizados con origen en España que sí incluye en el comienzo del mensaje la palabra publicidad, en cumplimiento del artículo 20. Sin embargo, en el cuerpo del mensaje se reconoce que no se cumplirá la legislación con el texto antes indicado. Ofrece la posibilidad de darse de baja respondiendo al mensaje e indicando en el asunto DAR DE BAJA.

4. Conclusiones

Es necesario separar en dos grupos a las empresas que envían mensajes no desea-dos. Por un lado aquellas empresas localizadas en España, en el espacio económico europeo (la llamada “zona Euro”) y en al Unión Europea, y por otra parte el resto del mundo.

Importa señalar que las grandes empresas españolas sí están cumpliendo en general la legislación, y si bien no han adaptado totalmente sus envíos y comunicaciones a la horma vigente tratan de hacerlo; así nos encontramos que mientras las comunicaciones realizadas por El Corte Inglés encabezan el asunto con la palabra PUBLICIDAD, eresMas incluye dicha palabra en la dirección que remite la información. Entraríamos en una discusión de matices; podemos considerar que ambos casos están cumpliendo el espíritu de la norma ya que identifican claramente que se trata de un envío promocional.

Sin embargo, en la mayoría de las empresas ubicadas en España, y a las que les afecta plenamente la Ley, han hecho una interpretación de la norma muy particular. Una interpretación que va desde el consentimiento implícito por el hecho de recibir un mensaje de correo a casi tener que pedir disculpas los destinatarios por recibir esos mensajes basura. El caso citado de la web www.mifuturo.com no es aislado. Es bastante frecuente encontrarse coletillas similares a la antes citada, y es evidente que si no ha habido un permiso expreso y previo por parte del receptor del mensaje, textos como el anteriormente citado están total y absoluta-mente fuera de la norma legal.

Los mensajes procedentes de fuera de España, es notorio seña-lar que los que tienen su origen dentro de los países de la Unión Europea son una cantidad mínima (escasamente el 10%). Es evidente que la Directiva 2000/31/CE del Parlamento Europeo se está tratando de imponer en todo el ámbito de la Unión y por este motivo los envíos desde dentro de cualquier país de la Unión se han reducido notablemente.

Otro problema es el de los correos procedentes desde fuera de este entorno legal, que en la muestra analizada significan más del 75% del total. Las herramientas que marca la Ley 34/2002 no van a ser fáciles de aplicar en estos casos en tanto los países de residencia de los servidores no adopten una norma legal de similares características; el caso concreto de los mensajes procedentes de Estados Unidos citan de forma casi uniforme normas específicas de alguno de los estados. Desconociendo la legislación a la que se hace referencia en ellos, hay que admitir como buena dicha información y suponer que hay armas legales para evitar el bombardeo de nuestros buzones.

Puede decirse que los mensajes procedentes de países no miembros de la U.E. han aumentado en la misma proporción en que han disminuido los que sí proceden de dicho entorno. Es notorio el caso del servidor de listas de correo www.eListas.net, que cerró sus instalaciones en España ante la entrada en vigor de esta norma legal; muchos otros parecen haber seguido el mismo camino.

Otro problema, añadido al envío de correo no deseado, es el tema de los datos personales. La Ley Orgánica 15/1999 regula en España este tema en sustitución de la de mismo rango 5/1992, en adaptación a la normativa europea.

Esta norma, fundamental para preservar la privacidad, está siendo escasamente cumplida por los distribuidores de publicidad. En prácticamente ningún caso se hace constar en los mensajes el origen de los datos utilizados o de la posibilidad de acceder a los mismos para proceder a su cancelación. Como ejemplo de buen hacer en este sentido de cumplimiento de la LOPD hay que señalar el caso de la empresa AWS, que incluye la siguiente información en sus mensajes:

Si desea ejercitar los derechos de acceso, rectificación o cancelación que le concede la Ley Orgánica 15/1999, comuníquelo a AWS en la siguiente dirección: Dpto. Comunicación - Calle Lanzarote 9 - 28700 San Sebastián de los Reyes (Madrid).

Hay que señalar que en todos los casos debería incluirse esta posibilidad legal; así mismo, en la LSSI se hace referencia de forma expresa a la LOPD en el artículo 19.2 de aquella. Otra cosa es que el mensaje recibido lo haya sido de forma legal o no.

Se observa que:

1. Prácticamente ninguno de los mensajes analizados cumple la norma legal vigente ya que en ningún caso se identifican tales envíos como promociones o publicidad, con la excepción de uno solo lo que supone menos de 1% de cumplimiento.

2. Igualmente, en la mayoría de los casos la empresa remitente no se identifica en le-gal forma siendo al menos muy difícil iniciar algún tipo de acción contra los emiso-res de los correos.

3. De forma generalizada se da por sentado que se acepta la recepción de mensajes publicitarios, y así la mayoría de los remitentes indican de una manera u otra que se continuará con el envío de este tipo de información salvo indicación en contra.

4. Prácticamente ninguno de los mensajes hace referencia explícita a la LOPD. Da la impresión que los proveedores de servicios entienden que esta norma no les atañe y olvidan que están obligados a declarar el origen de los datos que está usando; así mismo, tal como hace la empresa AWS, están obligados a permitirnos acceder a los datos para proceder a su cancelación o modificación.

Es claro y evidente que el Reglamento que en su día desarrolle esta Ley deberá ser muy explícito en determinados puntos:

-¿Dónde debe indicarse que se trata de un envío promocional o publicitario? En este momento, las pocas empresas que cumplen esta norma, no tienen unicidad de criterios y mientras unas lo incluyen en el campo Asunto del mensaje, otras lo hacen en el re-mitente o en el cuerpo del mensaje. El reglamento deberá especificar claramente en donde ha de situarse esta indicación.

-¿Cómo dar de baja mis datos personales?

Son muy raras, por no decir ninguna, las comunicaciones que indican de forma clara la manera de acceder a los datos en los términos que contempla la LOPD. No podemos olvidar que la LSSI hace referencia explícita al tratamiento de datos. Para evitar estos problemas no queda, de momento, más que la recomendación de asegurarse muy bien de donde se dejan esos datos, para que no queden a disposición de per-sonas o programas de rastreo.

- ¿De qué forma se podrán evitar los envíos procedentes del extranjero?

De acuerdo que la legislación, al menos sobre el papel y en espíritu, atañe también a proveedores que se encuentran fuera del ámbito de la Unión Europea. Sin embargo, lograr que estos prestadores de servicios cumplan una norma intra comunitaria se nos antoja cuando me-nos complicado. Sólo mediante una coordinación internacional se podrá lograr este objetivo.

Un problema añadido es el acceso a información inadecuada a determinados sectores de la población, como es la infancia. Mientras no exista el Reglamento que desarrolle esta legislación, los niños están prácticamente indefensos ante publicidad no sólo no solicitada sino inadecuada.

Asociación de Internautas


pdfprintpmail