Consultores RGPD
Vaya al Contenido

El SPAM en el mundo empresarial: Una plaga digital

Cumplimiento normativo online
Publicado de AmyPc en Recomendaciones y guías · Jueves 19 Sep 2024
El SPAM en el mundo empresarial: Una plaga digital
Introducción
A diario, todos nos encontramos con correo SPAM en nuestras cuentas. En este artículo nos centramos en el mundo empresarial en el que muchos empresarios y profesionales se enfrentan a una avalancha de correos electrónicos no deseados.

Estos correos prometen una amplia gama de servicios y productos diseñados para mejorar nuestros negocios o páginas web. Algunos incluyen ofertas legítimas, otros son intentos de estafa o contienen virus, pero todos tienen algo en común: nadie los ha solicitado.

En la era digital, el correo electrónico se ha consolidado como una herramienta esencial para la comunicación empresarial. Sin embargo, junto con sus muchos beneficios, también se ha convertido en un vehículo para el SPAM, una plaga que interrumpe el flujo de trabajo y pone en riesgo la seguridad y privacidad de quienes lo reciben.

Este artículo examina además cómo estas prácticas violan las normativas legales, como el Reglamento General de Protección de Datos (RGPD) o la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), y ofrece consejos prácticos sobre cómo protegerse del SPAM empresarial.
El correo electrónico no deseado: El lado oscuro del marketing digital
1. Descripción del problema
El SPAM no solo es una molestia diaria para muchos, sino que también constituye una invasión significativa a nuestra privacidad y tiempo.

Profesionalmente hablando, los correos no solicitados desvían la atención de tareas importantes y consumen recursos que podrían destinarse a actividades más productivas. El problema se agudiza debido a las diversas formas engañosas en las que quienes los envían recopilan direcciones de correo electrónico utilizando técnicas cuestionables, cuando no ilegales:
  • Rastreo de sitios web: Muchas empresas asumen erróneamente que “toda la información disponible en internet es de dominio público” y que por eso pueden utilizarla, por lo que rastrean sitios web de empresas y profesionales para recoger sus correos de contacto. En este caso se ignora el contexto original en el que compartimos las cuentas de correo, que usualmente es para facilitar contactos legítimos a posibles clientes, y no para recibir promociones no solicitadas.
  • Compra de listas de correos: Otro método común es la adquisición de listas de correos electrónicos a través de mercados oscuros donde se comercializan datos de empresas y profesionales sin su consentimiento. Esta práctica no solo es inmoral, sino que también es ilegal.
  • Uso indebido de formularios de contacto: Algunos utilizan los formularios de contacto en sitios web destinados a consultas de clientes o posibles clientes para promover sus productos o servicios. Esta táctica no solo es intrusiva, sino que interrumpe el flujo de trabajo al desviar los recursos del personal encargado de responder a peticiones verdaderamente relevantes, resultando en una pérdida de tiempo y esfuerzo.
    
En todos los casos se atenta también contra la privacidad de los profesionales o las empresas, ya que, aunque no tengan derechos de privacidad personal en el mismo sentido que los interesados, siguen estando protegidos contra comunicaciones electrónicas no solicitadas, intrusivas y potencialmente dañinas.

Los datos de empresas en sí mismos no se califican como datos personales bajo regulaciones como el RGPD, sin embargo, cuando esos datos incluyen información que puede identificar a personas específicas dentro de una empresa (correos electrónicos que contengan nombres personales, por ejemplo, nombre.apellido@empresa.com; el nombre y apellidos del encargado del departamento de ventas, etc.), entran en el ámbito de protección de datos personales del RGPD.

Estos correos no solicitados abarcan una amplia variedad de ofertas y servicios: mejoras de sitios web, posicionamiento SEO, formación, asesoría, telefonía o energía y otros servicios para empresas. Aunque algunas de estas ofertas pueden parecer atractivas, la realidad es que la mayoría de estos correos son irrelevantes y, por supuesto, no solicitados.

En nuestra experiencia personal, hemos enfrentado innumerables situaciones donde los canales de contacto, diseñados para conectar con clientes potenciales, son invadidos por desconocidos que buscan vendernos servicios que nunca pedimos y en los que no tenemos ningún interés. Este tipo de intrusión no solo es frustrante, sino que también representa una clara violación de la ética profesional y la legalidad en la gestión de la comunicación digital.

Es crucial que las empresas estén informadas sobre estas tácticas y tomen medidas para proteger su privacidad y tiempo, priorizando el establecimiento de barreras efectivas contra el SPAM.
2. Impacto negativo del SPAM
El SPAM, además de molesto también tiene consecuencias significativas que afectan a las organizaciones:
  • Pérdida de productividad: La necesidad constante de filtrar y eliminar correos no deseados implica destinar tiempo y recursos, afectando la eficiencia de los empleados y distrayendo de tareas más importantes.
  • Riesgos de seguridad: Muchos correos no solicitados contienen intentos de phishing o malware. Al interactuar con ellos, los usuarios pueden comprometer información confidencial, lo que pone en riesgo el activo más valioso de las empresas: su información. De ahí que deba imponerse en las empresas una buena formación y concienciación del personal.
  • Daño a la reputación corporativa: Las campañas de marketing invasivo también pueden dañar la imagen de empresas legítimas que se esfuerzan por mantener prácticas éticas y responsables, dado que, hay muchos casos que se suplanta su nombre y sus cuentas de correo en el envío de estos correos. Una mala reputación puede ser difícil de reparar y afectar negativamente la confianza del cliente.   
3. Marco Legal
Regulación del envío de comunicaciones comerciales no solicitadas en España: la LSSICE
La Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (ES 34/2002, LSSICE) regula el envío de comunicaciones comerciales no solicitadas en España, protegiendo tanto a consumidores como a empresas. El artículo 21 de la LSSICE es especialmente importante, ya que prohíbe el envío de correos electrónicos comerciales sin el consentimiento previo del destinatario, ya sea un particular o una empresa. A continuación, se detallan los aspectos clave:
Consentimiento previo:
La LSSICE exige que, antes de enviar cualquier comunicación comercial, quien las envía debe obtener de los destinatarios un consentimiento expreso y previo. Esto significa que no pueden enviarles correos electrónicos publicitarios si no han solicitado información o si no han dado su autorización explícita, salvo excepciones limitadas, como la existencia de una relación comercial previa. Esto garantiza que las empresas y los profesionales estén protegidos frente al SPAM.
Requisitos claros en el contenido de las comunicaciones:
Las comunicaciones comerciales deben cumplir con una serie de requisitos formales establecidos por la LSSICE para asegurar que los destinatarios, tengan la posibilidad de identificar al remitente y efectuar las reclamaciones que consideren oportunas (art. 10 LSSICE).

Sin embargo, en la práctica, la mayor parte de empresas que envían SPAM no cumplen adecuadamente con esta exigencia. En muchos casos, aunque no en todos, contienen un enlace para darse de baja de futuros correos, lo cual puede parecer una opción razonable. Sin embargo, es fundamental recordar que este enlace no debería ser necesario si el destinatario nunca se dio de alta en primer lugar o si no ha dado su consentimiento para recibir estos correos.

Este incumplimiento genera una doble frustración: por un lado, los destinatarios no solo reciben correos que no solicitaron, sino que además se ven obligados a interactuar con sistemas de baja que no deberían haber sido necesarios en primera instancia.
Responder a estos correos o interactuar con ellos, incluso para darse de baja, puede conllevar riesgos significativos. Muchos correos electrónicos no solicitados pueden ser intentos de phishing, que buscan engañar a los usuarios para que proporcionen información personal o financiera sensible, lo que podría derivar en un robo de identidad. Además, algunos de estos correos contienen enlaces o archivos adjuntos maliciosos que pueden infectar los dispositivos con virus o malware, comprometiendo la seguridad de las empresas. Por esta razón, es fundamental que los destinatarios no interactúen con correos de procedencia desconocida o dudosa, ya que hacerlo puede tener consecuencias graves a nivel de seguridad y privacidad.
Sanciones por incumplimiento:
El incumplimiento de estas obligaciones por parte de las empresas que envían SPAM puede resultar en multas significativas, que van desde los 30.000 hasta los 150.000 euros, dependiendo de la gravedad de la infracción. Estas sanciones están diseñadas para proteger a las empresas y a los profesionales de prácticas comerciales abusivas, fomentando un entorno digital más ético y transparente y promoviendo prácticas de marketing responsables y respetuosas.
Regulación del envío de comunicaciones comerciales no solicitadas en España: RGPD y LOPDGDD
Dado que en la mayor parte de los casos se produce un tratamiento de datos personales sin consentimiento previo o relación comercial o contractual,  también se incumplen las normativas de protección de datos vigentes, esto es el Reglamento General de Protección de Datos (Reglamento UE 2016/679, GDPR-RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (ES 3/2018 LOPDGDD).

El RGPD protege los derechos de las personas dentro de la Unión Europea, incluidos los autónomos y profesionales, pero su aplicación depende de ciertos factores:
  • Se aplica a los datos personales de cualquier persona física, lo que incluye a autónomos o profesionales, siempre que se trate de datos que identifiquen a una persona. Esto abarca su nombre, dirección, correo electrónico, teléfono, etc. Sin embargo, si el tratamiento de datos está relacionado exclusivamente con su actividad profesional (por ejemplo, el nombre de una empresa, su número de colegiado o detalles comerciales), no serán considerados como datos personales bajo el RGPD.
  • Igualmente, cuando los correos se dirigen a una persona determinada dentro de una empresa o se utilizan cuentas de correo corporativas que incluyen nombres y apellidos, en definitiva, que identifican a personas concretas dentro de las empresas, también se deben aplicar las normativas de protección de datos.
  • En cuanto a la venta o uso de datos sin consentimiento, el RGPD establece que los datos personales solo pueden ser procesados de manera lícita si existe una base legal adecuada. El consentimiento es una de estas bases, pero no la única.
  • Si se recopilan o venden sus datos sin consentimiento o sin otra base legal válida, se estaría infringiendo el reglamento, y los afectados tendrían el derecho de presentar una reclamación ante una autoridad de protección de datos.
Requisitos claros en el contenido de las comunicaciones:
Siempre debe existir una política de privacidad o, al menos, un enlace a dicha política en un sitio web. Esta política debe describir claramente cómo y para qué se están utilizando los datos del destinatario, quién es el responsable del tratamiento, cómo se han obtenido, cómo pueden los interesados ejercer sus derechos y, sobre todo, cuál es la legitimación en la que basan el tratamiento.
Sanciones por incumplimiento:
Aunque la Agencia Española de Protección de Datos (AEPD) publica periódicamente resoluciones sobre sanciones por SPAM, es difícil ofrecer una lista exhaustiva ya que la cantidad de casos es considerable y está en constante actualización. Sin embargo, podemos mencionar algunos ejemplos comunes de infracciones y las consecuencias:
  • Envío masivo de correos a una base de datos adquirida: Muchas empresas han sido sancionadas por comprar listas de correos electrónicos y enviarles mensajes comerciales sin verificar si los destinatarios habían dado su consentimiento.
  • Uso de formularios de contacto para recopilar datos con fines comerciales: Como hemos comentado esta también es una táctica muy empleada, pero es una práctica prohibida.
  • Envío de correos SPAM a través de plataformas de email marketing: Algunas empresas utilizan plataformas de email marketing para enviar correos SPAM, lo que puede conllevar sanciones tanto para la empresa como para la plataforma.
Rango general de sanciones:
Aunque es difícil establecer un rango exacto, las sanciones por SPAM en España suelen oscilar entre unos pocos miles de euros (1.000, 2.000 €) hasta varios cientos de miles de euros en casos muy graves.
4. Consejos para Protegerse del SPAM
Protegerse del SPAM es posible mediante algunas estrategias prácticas:
  • Usar filtros de correo: La mayoría de los servicios de alojamiento de correo electrónico nos ofrecen filtros que pueden detectar y eliminar SPAM automáticamente.
  • No compartir el correo electrónico sin precaución: Limitar el uso de direcciones de correo electrónico personales o profesionales en sitios públicos o no utilizar en ellas nombres y apellidos de personas.
  • Utilizar direcciones temporales: Al suscribirse a servicios que requieren un correo electrónico, use direcciones temporales para proteger la principal.
  • Denunciar el SPAM: Reportar correos indeseados a través de plataformas especializadas o directamente a las autoridades competentes en casos más graves, puede ayudar a combatir estas prácticas.
¿Qué hacer si el correo ya está en la bandeja de entrada?
  • No hacer clic en los enlaces: Los enlaces de los correos SPAM pueden contener malware o dirigirnos a páginas web fraudulentas.
  • Marcar el correo como SPAM: La mayoría de los clientes de correo electrónico permiten marcar los mensajes como SPAM, lo que ayuda a los proveedores de correo a filtrar futuros mensajes de ese remitente.
  • Denunciar el correo a la AEPD: Se puede presentar una denuncia ante la AEPD si se considera que se ha sido víctima de una infracción de la LSSICE o del RGPD.
Conclusión
El desafío de combatir el SPAM es real, pero entendiendo nuestras herramientas legales y protegiéndonos activamente, podemos mitigar su impacto. Es crucial que las empresas comprendan la importancia de obtener un consentimiento informado y respetar las normativas para evitar sanciones y mantener la confianza de los destinatarios.
Llamada a la Acción
Invito a los lectores a revisar sus prácticas de correo electrónico y a tomar medidas proactivas contra el SPAM. Al denunciar estas prácticas y proteger nuestras empresas, contribuimos a un entorno digital más seguro y eficiente.
Estamos aquí para ayudar y solucionar cualquier consulta o asistencia adicional que puedan necesitar.


Regreso al contenido