Protección de Datos olvida publicar durante un año una sanción “grave” a ING por enviar correo basura
¿Publica la Agencia Española de Protección de Datos (AEPD) todas las resoluciones que está obligada a poner a disposición del público una vez que las comunica a los interesados? A veces, no. El organismo ha incumplido durante cerca de un año con su obligación de hacer pública una sanción impuesta en abril de 2014 al banco ING Direct por una infracción “grave” de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI).
eldiario.es ha tenido acceso a la resolución por la que se notificó la sanción a los interesados a través del buzón seguro Fíltrala –que comparte con La Marea, Diagonal y Mongolia–. A preguntas sobre este asunto, fuentes de la agencia reconocían que esa resolución no se ha publicado debido “a un error puntual y excepcional” que ya ha subsanado con la puesta a disposición del público, en la tarde de este lunes, del documento.
Una instrucción interna de la agencia de diciembre de 2004 recoge la “obligación de hacer públicas sus resoluciones desde el momento en que han sido notificadas a los interesados”. Fuentes del organismo subrayan que la AEPD siempre hace públicas “todas” sus resoluciones (con excepción de aquellas en las que se inadmiten a trámite las denuncias presentadas) y recuerdan que sólo el año pasado el organismo colgó en su web más de 4.500 decisiones.
La sanción que hasta este lunes la agencia había olvidado hacer pública tiene fecha 2 de abril de 2014, cuando impuso a ING Direct NV Sucursal en España una sanción de 30.001 euros por vulnerar el artículo 21.1 de la LSSI, que prohíbe “el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”.
El afectado había denunciado al banco ante la agencia en junio de 2013, alegando que “sigue recibiendo correos electrónicos comerciales de ING Direct después de haber revocado su consentimiento prestado a tal fin, siguiendo el procedimiento indicado en los correos que consiste en enviar un correo electrónico sin contenido a la dirección nomasmailscomerciales@ingdirect.es”.
Según la resolución, el denunciante había proporcionado su dirección de correo electrónico al banco en 2007, tras convertirse en cliente, y envió un correo a la entidad solicitando la baja en su lista de recepción de mails promocionales el 30 de mayo de 2013. Fue en vano: siguió recibiendo contenido comercial tras solicitar el cese en los meses de junio (cuatro correos), julio (dos correos) y octubre (otros dos) de ese año. La resolución señala que ING “carecía de legitimación” para enviar esos mails y vulneró el citado artículo 21 de la LSSI.
Durante el procedimiento, el banco reconoció los hechos pero argumentó que el correo remitido por el denunciante “no constaba” en su lista para prevenir futuros envíos “por un comportamiento anormal del sistema informático”. ING, que sólo sacó al afectado de su lista de envíos tras la presentación de la denuncia, pidió, sin éxito, que la infracción fuera calificada como “leve”.