1/24

Procedimiento Nº PS/00183/2009

RESOLUCIÓN: R/01719/2009

En el procedimiento sancionador PS/00183/2009, instruido por la Agencia

Española de Protección de Datos a la entidad TICK TACK TICKET, S.A., vista la
denuncia presentada por FACUA - CONSUMIDORES EN ACCION, y en base a los
siguientes,

ANTECEDENTES

PRIMERO: Con fecha 23 de septiembre de 2008, tuvo entrada en esta Agencia un

escrito de la Asociación FACUA – Consumidores en Acción (en adelante FACUA)
denunciando la remisión por parte de la entidad TICK TACK TICKET, S.A. (en lo
sucesivo T.T.T.) de comunicaciones comerciales no consentidas desde la dirección
de correo electrónico <...T.@..... > a las cuentas de correo electrónico de numerosos
consumidores a los que invitan a participar en una promoción realizada a través de la
web de venta de entradas www...T......
Según FACUA en dicha promoción “se ofertan dos entradas VIP gratis para el
concierto que (.........) ofrecerá en (.........) el próximo día 18 de septiembre. Para optar
a conseguirlas, los usuarios tienen que introducir su dirección de correo electrónico en
un formulario junto a las de todos los contactos que tengan. "Ganará la persona que
más veces reenvíe esta información así que... ¡Avisa a cuantos más mejor", dice la
promoción."
A juicio de la Asociación FACUA dicha conducta supone una vulneración a lo
previsto en los artículos 5 y 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Persona, así como lo dispuesto en el artículo 21 de la
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de
comercio electrónico.

SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de

Protección de Datos ordenó a la Subdirección General de Inspección de Datos la
realización de las actuaciones previas de investigación para el esclarecimiento de los
hechos denunciados, teniendo conocimiento de los siguientes extremos:
1) T.T.T. es una compañía de servicios dedicada a la venta de entradas
de eventos y espectáculos a través de una red de puntos de distribución al por menor
y a través de su servicio web “www....T.....”.
2) En la página web “http://www....D.... se ha verificado que la titularidad
del dominio <...T.....> corresponde a TICK TACK TICKET, S.A.
3) T.T.T. realizó en septiembre de 2008 una promoción en la que se
incluyó un concurso en el que el premio eran dos entradas individuales para el
concierto de (.........) a celebrar en (.........) el día 18/09/2008.

c. Jorge Juan 6 28001 Madrid www.agpd.es

 2/24

4) Para participar en el concurso, cuya finalización estaba prevista para el

día 15/09/2008, se debía de rellenar un formulario en el que se indicaba que para
concursar “(..) sólo tienes que rellenar el formulario con tu email y la dirección de
correo electrónico de tantos contactos como tengas. Ganará la persona que más
veces reenvíe esta información así que…¡Avisa a cuantos más mejor!”, procediendo
después a pulsar el botón de “Enviar” que figuraba junto al campo de las direcciones
de correo electrónico de los contactos facilitados por el suscriptor y en la parte inferior
de la indicación “…¡Enviar este e-mail!...”.
5) El formulario utilizado para recoger los datos de los participantes del
concurso recogía los siguientes datos: nombre, apellidos, DNI y correo electrónico del
suscriptor del formulario y direcciones de correo electrónico de sus contactos.
6) En las bases de la promoción, a las que se accedía mediante un enlace
incluido en el propio formulario, aparecía que la finalidad de la promoción era
“incentivar los productos y servicios prestados por ticktackticket”, conteniéndose en la
cláusula relativa a la mecánica de la promoción que los suscriptores “Podrán enviar
esta información a todos tos amigos que se desee, incluyendo en el espacio
correspondiente las direcciones de correo electrónico de todos ellos separadas entre
si por un punto y coma (xxxxxxxx@yyyy.com; vjvjwwww@mmm.com.). Cuántos más
envíos hagas, más posibilidades tendrás de ganar. Cada envío a una dirección de
correo electrónico válida, supondrá la acumulación de un punto. Los diez participantes
que más puntos hayan acumulado finalizado el periodo promocional, serán los
ganadores.”
7) Los representantes de TICK TACK manifestaron a los inspectores de la
Agencia Española de Protección de Datos (en adelante AEPD) durante la inspección
practicada en la sede de dicha entidad con fecha 09/02/2009 lo siguiente:
- Que en cuanto T.T.T tuvo conocimiento a través de las noticias aparecidas
en la prensa de las posibles irregularidades derivadas del método utilizado en la
promoción web para la recogida de datos se decidió poner fin a dicha promoción,
otorgándose el premio a la persona que en ese momento cumplía con las condiciones
establecidas para ganar el concurso.
- En paralelo, se publicó una nota de prensa en la página web de la entidad
informando que T.T.T había acordado como medida cautelar la finalización prematura
de la promoción y que, hasta tener la seguridad de que tal tipo de concursos y
promociones cumplían la normativa vigente, no se volverían a organizar.
- Que las direcciones de correo electrónico recogidas mediante el formulario
que aparecía en la página web “www.....T......” fueron utilizadas para remitir a los
titulares de las mismas un correo electrónico con la información del concurso. En dicho
correo, en el que además de ofrecerse al destinatario del mismo la posibilidad de
participar en el mencionado concurso mediante un enlace que dirigía al formulario de
inscripción, se promocionaba la asistencia al concierto de (.........).
8) Los inspectores actuantes constataron que en la base de datos que
registraba la información relativa a la reseñada promoción obraba la siguiente
información:

- Que sólo constaba una campaña con el nombre de “(.........)”, la cual aparecía
identificada con el número 74.

c. Jorge Juan 6 28001 Madrid www.agpd.es

 3/24

- En la tabla “destinos”, que contenía las direcciones de correo electrónico de

los amigos proporcionadas por los 2.419 participantes (suscriptores del formulario) se
verificó que constaban 39.848 direcciones de correo electrónico diferentes, de las que
201 direcciones de correo contenían el texto “garcía y entre las que se localizaron
5.387 direcciones distintas que constaban como leídas al estar asociadas al valor “1”
en el campo denominado “valid”.

- Que el sistema de información no comprobaba la existencia de las direcciones

de correo proporcionadas en el formulario, limitándose a verificar que su estructura
fuera correcta.
- En los sistemas de información de TICK constaba el envío de 39.848 correos
a las direcciones proporcionadas por los participantes del concurso entre los que se
encuentran 201 direcciones de correo que contienen el texto “garcía”.
- Una vez habilitado temporalmente el formulario de inscripción de la promoción
a petición de los inspectores actuantes, se realizó una inscripción de prueba en el
mismo, introduciendo en el campo destinado a las direcciones de correo electrónico de
amigos la dirección de una de las personas presentes en la inspección, constatándose
como el sistema remitía una comunicación comercial desde la dirección de correo
electrónico <...T.@.......> a la dirección de correo electrónico del amigo proporcionada
por el participante con el siguiente texto: “[nombre] [apellido][correo electrónico] te
invita a participar en un concurso de ...T.....: Concierto de (.........)” y el siguiente texto
en el cuerpo del mensaje: “¡Hola! Yo [nombre] [apellido] acabo de apuntarme en un
concurso en ...T.... para conseguir una entrada VIP para asistir al concierto de (.........).
Si tú también quieres participar pulsa aquí. ¡Suerte!”
9) Los mensajes remitidos desde la dirección de correo electrónico
<...T.@......> no ofrecían a los destinatarios de los mismos la posibilidad de oponerse
al tratamiento de sus datos con fines promocionales mediante la indicación de un
procedimiento sencillo y gratuito para ello.
TERCERO: Con fecha 30 de marzo de 2009, el Director de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador a la entidad TICK TACK
TICKET, S.A. por la presunta infracción del artículo 21 de la Ley 34/2002, de 11 de
julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (en lo
sucesivo LSSI), tipificada como grave en el artículo 38.3.c) de dicha norma, pudiendo
ser sancionada con multa de 30.001 hasta 150.000 €, de acuerdo con el artículo
39.1.b) de la LSSI. Dicho acuerdo consta como notificado con fecha 9 de abril de
2009.

CUARTO: Con fecha 29 de abril de 2009 la Instructora comunica a la entidad

imputada el acuerdo de ampliación de plazo hasta un máximo de siete días para
formular alegaciones y presentar pruebas, adjuntando a dicha comunicación copia del
procedimiento sancionador, todo ello en contestación a la solicitud formulada por T.T.T
con fecha 28 de abril de 2009.

QUINTO: Con fecha 13 de mayo de 2009 tiene entrada en esta Agencia escrito de
alegaciones al mencionado acuerdo de inicio, en el que la representación de TICK
TACK solicita el archivo del procedimiento, sin declaración de responsabilidad, por
entender que la imposición de una sanción vulneraría los principios de presunción de

c. Jorge Juan 6 28001 Madrid www.agpd.es

 4/24

inocencia y de responsabilidad que deben regir en el ordenamiento sancionador.

Como fundamento de tal alegación expone que no se ha probado que los

remitentes, entendidos como las personas que enviaron las comunicaciones
electrónicas a través de la plataforma de T.T.T., no hubieran obtenido el
consentimiento previo de los destinatarios para el envío de las comunicaciones objeto
de procedimiento, ya que en la denuncia de FACUA no se indica que ésta haya tenido
queja o reclamación directa de algún titular de las cuentas de correo electrónico que
constase que no dio su consentimiento al remitente del envío, tampoco consta que la
AEPD haya recibido denuncia de algún destinatario por la recepción de dicho correo
electrónico ni T.T.T. ha recibido quejas en dicho sentido.

Asimismo, también expone en relación con los hechos imputados que para la
obtención de las dos entradas gratuitas el optante debía completar un formulario
electrónico y aceptar previamente a su envío las condiciones de la promoción en las
que se informaba de las finalidades del tratamiento de la información, añadiendo, por
un lado, ”Que tanto en las bases de la promoción como en el texto previo explicativo
se expresaba que las opciones para obtener las dos entradas requería que el optante
registrado remitiese a una dirección de correo electrónico la invitación a la
promoción.”, y, por otro lado, T.T.T., tal y como se expresaba en el formulario
electrónico “única y exclusivamente realizó el tratamiento de estos correos
electrónicos para el proceso de envío del mensaje remitido por el Optante registrado
(en adelante remitente) a través de la plataforma tecnológica T.T.T., así como para el
cómputo del número de correos enviados por el remitente. En este sentido, en el
formulario electrónico decía expresamente “…Los emails de tus amigos no serán
utilizados por ticktackticet.com sin el previo consentimiento por su parte”, concluyendo
que “el destinatario tiene la opción de registrarse a la citada promoción en la forma
informada , debiendo completar necesariamente el proceso de registro …y
consecuentemente debiendo aceptar para su tratamiento las condiciones de la
promoción.”

SEXTO: Con fecha 14 de mayo de 2009 la Instructora del procedimiento acordó la

apertura de un período de práctica de pruebas en el que, además de incorporar al
expediente, dando por reproducidas a efectos probatorios, la denuncia interpuesta por
FACUA, las Actuaciones Previas de investigación E/01524/2008 junto con la
documentación recabada en las mismas y el citado escrito de alegaciones, se acordó
solicitar a la entidad imputada y a la denunciante determinada información y
documentación relacionada con los hechos objeto de imputación.

Con fecha 3 de junio de 2009 tiene entrada en esta Agencia escrito en el que
T.T.T. adjunta copia el formulario electrónico al que se refería en su escrito de
alegaciones, manifestando que la campaña en la que se incluyó el concurso “(.........)”
se inició el 04/09/2008 y finalizó el 08/09/2008, publicándose la nota de prensa en la
que se comunicaba de forma oficial tal decisión el día 10/09/2008, conforme prueba la
copia adjuntada de la nota de prensa publicada en el sitio web de la entidad. En
relación con la solicitud de copia de la documentación en la que se indicaba a los
participantes en el concurso, según había alegado, que debían contar con el
consentimiento previo de las personas cuyas direcciones de correo electrónico
inscribían en el citado formulario T.T.T. se limita a indicar que la gestión de la

c. Jorge Juan 6 28001 Madrid www.agpd.es

 5/24

campaña se realizó siguiendo lo establecido en las bases del concurso y que en el

formulario de registro se enunciaba que el envío “se remitiese exclusivamente a
“amigos”, es decir, a personas con las que el usuario registrado tiene un afecto
personal y desinteresado”. Igualmente, señala que la entidad “no tenía forma de
conocer o demostrar que el envío se realizó con el consentimiento del destinatario, si
bien no recibió queja alguna al respecto, durante y/o después de la conclusión de la
Campaña.”
SÉPTIMO: Con fecha 15 de junio de 2009 se formuló propuesta de resolución en
el sentido de que por el Director de la Agencia Española de Protección de Datos se
sancionara a la entidad TICK TACK TICKET, S.A. , de conformidad con lo previsto en
los artículos 39.1.b) y 40 de la LSSI, con multa de 30.001 € (Treinta mil un euros) por
la infracción del artículo 21 de la LSSI, tipificada como grave en el artículo 38.3.c) de
dicha norma.

OCTAVO: En la fecha en que se formuló la Propuesta de Resolución no constaba que

la Asociación FACUA hubiera contestado a esta Agencia la información que le fue
solicitada en el período de práctica de pruebas, si bien con fecha 17 de junio de 2009
tuvo entrada escrito de la Asociación FACUA contestando al escrito de solicitud de
práctica de pruebas, el cual le fue notificado con fecha 22 de mayo de 2009, en el
sentido de que no disponía de quejas concretas de consumidores que hubieran
recibido el correo relativo al Concurso “(.........)” organizado por T.T.T. en septiembre
de 2008.

NOVENO: Con fecha 15 de agosto de 2009 se registra en esta Agencia escrito de

alegaciones a la propuesta de resolución de la representación de T.T.T. , en el que se
solicita el archivo del procedimiento o, subsidiariamente, la consideración de los
hechos imputados como infracción leve fundamentándolo, en síntesis, en los
siguientes argumentos:

- Que no se ha demostrado mediante el uso de un sistema empírico y forense

la realización, por parte de T.T.T., de un envío masivo de comunicaciones comerciales
a las direcciones de correo electrónico recogidas mediante el formulario que aparecía
en la página web www...T....., afirmándose que durante la inspección únicamente se
verificó que constaban una serie de direcciones de correo electrónico en la base de
datos de la entidad y que, una vez activado temporalmente el sistema, éste remitía
una comunicación, pero que no se constató que el formulario y plataforma electrónica
hubieran estado activados durante todo el proceso de recogida de datos ni que se
hubiera remitido un correo electrónico masivo a las direcciones de correo recogidas,
tratándose, por ello, de una mera presunción apoyada en la asignación del valor “1
valid” a dichas direcciones, con el consiguiente perjuicio que causa al considerarse
como una infracción grave en atención a la cuantía de la sanción.

-Que se ha producido una inversión de la carga de la prueba al no haber

resultado probado que “no se obtuviera el consentimiento previo de los usuarios a los
destinatarios de los correos electrónicos ni que obtuviera la preceptiva posibilidad de
oposición al tratamiento de datos con fines promocionales.”, además de la inexistencia
de denuncias o quejas de los presuntos destinatarios de los mensajes.

c. Jorge Juan 6 28001 Madrid www.agpd.es

 6/24

- Que se ha constatado que la posibilidad de remitir mensajes electrónicos a

terceros utilizando la plataforma electrónica “envío de un amigo” es una actividad
continua y aceptada por la sociedad de la información en España, tratándose de una
opción facilitada por las nuevas tecnologías y utilizada, no solo por la entidad
imputada, sino por un “número infinito” de entidades sin que presuntamente estén
infringiendo ninguna norma, aportándose a los efectos de justificación de tal
argumento documentación consistente en una serie de impresiones de sitios web de
diversa naturaleza, tanto pública como privada, que utilizan el mencionado tipo de
plataforma para difundir su actividad.

HECHOS PROBADOS

PRIMERO: TICK TACK TICKET, S.A. (en lo sucesivo T.T.T.) es una compañía de
servicios dedicada a la gestión, distribución y venta de entradas de eventos y
espectáculos a través de una red de puntos de distribución al porl menor y a través
del portal http://www....U....., antes “www...T....”. (Folios 14, 36, 81 y 82)
SEGUNDO: En la página web “http://www....D..... se ha verificado que la titularidad del
dominio <...T....> corresponde a T.T.T. (Folios 20 y 21)
TERCERO: T.T.T. desarrolló entre el 4 y el 8 de septiembre de 2008 la campaña de
promoción “(.........)” que incluía un concurso en el que el premio eran dos entradas
individuales para el concierto de (.........) a celebrar en (.........) el día 18/09/2008.
(Folios 38, 42, 43, 82 y 93)
CUARTO: Para participar en el mencionado concurso, cuya finalización estaba
prevista inicialmente para el día 15/09/2008, se debía de rellenar un formulario de
inscripción en el que se indicaba que para concursar “(..) sólo tienes que rellenar el
formulario con tu email y la dirección de correo electrónico de tantos contactos como
tengas. Ganará la persona que más veces reenvíe esta información así que…¡Avisa a
cuantos más mejor!”, procediendo después a pulsar el botón de “Enviar” que figuraba
junto al campo de las direcciones de correo electrónico de los contactos facilitados por
el suscriptor y en la parte inferior de la indicación “…¡Enviar este e-mail!...”. (Folios 38,
42 y 43)
QUINTO: El formulario utilizado para recoger los datos de los participantes del
concurso recogía los siguientes datos: nombre, apellidos, DNI y correo electrónico del
suscriptor del formulario y direcciones de correo electrónico de sus contactos. (Folios
38 y 43).
SEXTO: En las bases de la promoción, a las que se accedía mediante un enlace
incluido en el propio formulario, aparecía que la finalidad de la promoción era
“incentivar los productos y servicios prestados por ticktackticket”, conteniéndose en la
cláusula relativa a la mecánica de la promoción que los suscriptores “Podrán enviar
esta información a todos tos amigos que se desee, incluyendo en el espacio
correspondiente las direcciones de correo electrónico de todos ellos separadas entre
si por un punto y coma (xxxxxxxx@yyyy.com; vjvjwwww@mmm.com.). Cuántos más
envíos hagas, más posibilidades tendrás de ganar. Cada envío a una dirección de
correo electrónico válida, supondrá la acumulación de un punto. Los diez participantes

c. Jorge Juan 6 28001 Madrid www.agpd.es

 7/24

que más puntos hayan acumulado finalizado el periodo promocional, serán los
ganadores.”(Folios 44 al 47)
SÉPTIMO: Los representantes de T.T.T. manifestaron a los inspectores de la Agencia
Española de Protección de Datos (en adelante AEPD) durante la inspección practicada
en la sede de dicha entidad con fecha 09/02/2009 lo siguiente:
- Que en cuanto T.T.T tuvo conocimiento a través de las noticias aparecidas
en la prensa de las posibles irregularidades derivadas del método utilizado en la
promoción web para la recogida de datos se decidió poner fin a dicha promoción,
otorgándose el premio a la persona que en ese momento cumplía con las condiciones
establecidas para ganar el concurso. (Folio 38)
- En paralelo, se publicó con fecha 10/09/2008 una nota de prensa en la
página web de la entidad informando que T.T.T había acordado como medida cautelar
la finalización prematura de la promoción y que, hasta tener la seguridad de que tal
tipo de concursos y promociones cumplían la normativa vigente, no se volverían a
organizar. (Folios 39, 41, 94 y 97)
- Que las direcciones de correo electrónico recogidas mediante el formulario
que aparecía en la página web “www...T....” fueron utilizadas para remitir a los
titulares de las mismas un correo electrónico con la información del concurso. En dicho
correo se ofrecía al destinatario del mismo la posibilidad de participar en el
mencionado concurso mediante un enlace que dirigía al formulario de inscripción,
promocionándose así también la asistencia al concierto de (.........). (Folios 39 y 52)
OCTAVO: Los inspectores actuantes constataron que en la base de datos que
registraba la información relativa a la reseñada campaña obraba la siguiente
información:

- Que sólo constaba una campaña con el nombre de “(.........)”, la cual aparecía
identificada con el número 74. (Folio 39 y 48 )
- En la tabla “destinos”, que contenía las direcciones de correo electrónico de
los amigos proporcionadas por los 2.419 concursantes, se verificó que constaban
39.848 direcciones de correo electrónico diferentes, entre las que se localizaron
5.387 direcciones distintas que constaban como recibidas y leídas al estar asociadas
al valor “1” en el campo denominado “valid”. (Folios 39, 48 al 50)

- Que el sistema de información no comprobaba la existencia de las direcciones

de correo proporcionadas en el formulario, limitándose a verificar que su estructura
fuera correcta. (Folio 40)
- Una vez habilitado temporalmente el formulario de inscripción de la promoción
a petición de los inspectores actuantes, se realizó una inscripción de prueba en el
mismo, introduciendo en el campo destinado a las direcciones de correo electrónico de
amigos la dirección de una de las personas presentes en la inspección, constatándose
como el sistema remitía una comunicación comercial desde la dirección de correo
electrónico <...T@....> a la dirección de correo electrónico del amigo proporcionada
por el participante con el siguiente texto: “[nombre] [apellido][correo electrónico] te
invita a participar en un concurso de ...T....: Concierto de (.........)” y el siguiente texto
en el cuerpo del mensaje: “¡Hola! Yo [nombre] [apellido] acabo de apuntarme en un

c. Jorge Juan 6 28001 Madrid www.agpd.es

 8/24

concurso en ...T.... para conseguir una entrada VIP para asistir al concierto de (.........).
Si tú también quieres participar pulsa aquí. ¡Suerte!” (Folios 40 y 52)
NOVENO: Los mensajes remitidos desde la dirección de correo electrónico <...T@....>
con motivo de la campaña “(.........)” no ofrecían a los destinatarios de los mismos la
posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante
la indicación de un procedimiento sencillo y gratuito para ello. (Folio 52)

FUNDAMENTOS DE DERECHO

El artículo 43.2, segundo párrafo, de la LSSI, otorga a la Agencia Española de

Protección de Datos la facultad para imponer sanciones por la comisión de la
infracción del artículo 21 de la citada Ley.

II

A los efectos de examinar si las comunicaciones comerciales enviadas con

motivo de la campaña promocional “(.........)” desde la dirección de correo electrónico
...T@.... a una multitud de destinatarios en el período comprendido entre el 4 y el 8 de
noviembre de 2008 constituye infracción grave al artículo 21 de la LSSI, apartados 1 y
2 del mismo, conviene realizar una breve exposición sobre el concepto de “spam” y el
marco jurídico que resulta de aplicación al presente supuesto.

Actualmente se denomina “spam” a todo tipo de comunicación no solicitada,

realizada por vía electrónica. De este modo se entiende por “spam” cualquier mensaje
no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de
despertar el interés respecto de un producto, servicio o empresa. Aunque se puede
hacer por distintas vías, la más utilizada entre el público en general es el correo
electrónico.

Esta conducta es particularmente grave cuando se realiza en forma masiva. El

envío de mensajes comerciales sin el consentimiento previo está prohibido por la
legislación española en la LSSI (a consecuencia de la transposición de la Directiva
2000/31/CE, de 8 de junio).

El bajo coste de los envíos de correos electrónicos vía Internet o mediante

telefonía móvil (SMS y MMS), su posible anonimato, la velocidad con que llega a los
destinatarios y las posibilidades que ofrece en cuanto al volumen de las transmisiones,
han permitido que esta práctica se realice de forma abusiva e indiscriminada.

El artículo 21 de la citada LSSI, establece:

“Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de

correo electrónico o medios de comunicación electrónica equivalentes.

c. Jorge Juan 6 28001 Madrid www.agpd.es

 9/24

1. Queda prohibido el envío de comunicaciones publicitarias o promocionales

por correo electrónico u otro medio de comunicación electrónica equivalente que
previamente no hubieran sido solicitadas o expresamente autorizadas por los
destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una

relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita
los datos de contacto del destinatario y los empleara para el envío de comunicaciones
comerciales referentes a productos o servicios de su propia empresa que sean
similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de

oponerse al tratamiento de sus datos con fines promocionales mediante un
procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como
en cada una de las comunicaciones comerciales que le dirija.

Así, la LSSI, en su artículo 21.1, prohíbe de forma expresa “el envío de

comunicaciones publicitarias o promocionales por correo electrónico u otro medio de
comunicación electrónica equivalente que previamente no hubieran sido solicitadas o
expresamente autorizadas por los destinatarios de las mismas”. Es decir, se
desautorizan las comunicaciones comerciales dirigidas a la promoción directa o
indirecta de los bienes y servicios de una empresa, organización o persona que realice
una actividad comercial, industrial, artesanal o profesional, si bien esta prohibición
encuentra la excepción en el segundo párrafo del citado artículo, que autoriza el envío
cuando “el prestador hubiera obtenido de forma lícita los datos de contacto del
destinatario y los empleara para el envío de comunicaciones comerciales referentes a
productos o servicios de su propia empresa que sean similares a los que fueron objeto
de contratación”. De este modo, el envío de comunicaciones comerciales no
solicitadas, fuera del supuesto excepcional del artículo 21.2 de la LSSI, puede
constituir una infracción leve o grave de la LSSI.

La Directiva sobre Privacidad en las Telecomunicaciones, de 12/07/02,

(Directiva 2002/58/CE) actualmente transpuesta en la Ley 32/2003, de 3 de
noviembre, General de Telecomunicaciones, que modifica varios artículos de la LSSI,
introdujo en el conjunto de la Unión Europea el principio de “opt in”, es decir, la
necesidad de contar con el consentimiento previo del destinatario para el envío de
correo electrónico con fines comerciales. De este modo, cualquier envío de
comunicaciones publicitarias o promocionales por correo electrónico u otro medio de
comunicación electrónica equivalente queda supeditado a la prestación previa del
consentimiento, salvo que exista una relación contractual anterior y el sujeto no
manifieste su voluntad en contra.

III

Como ya se ha señalado, la LSSI prohíbe las comunicaciones comerciales no

solicitadas, partiendo de un concepto de comunicación comercial que se califica como
servicio de la sociedad de la información y que se define en su Anexo de la siguiente
manera:

c. Jorge Juan 6 28001 Madrid www.agpd.es

 10/24

“f) Comunicación comercial»: toda forma de comunicación dirigida a la

promoción, directa o indirecta, de la imagen o de los bienes o servicios de una
empresa, organización o persona que realice una actividad comercial, industrial,
artesanal o profesional.

A efectos de esta Ley, no tendrán la consideración de comunicación comercial

los datos que permitan acceder directamente a la actividad de una persona, empresa u
organización, tales como el nombre de dominio o la dirección de correo electrónico, ni
las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca
cuando sean elaboradas por un tercero y sin contraprestación económica”.

Por su parte el Anexo a) de la citada LSSI reconoce como Servicios de la

Sociedad de la Información, entre otros y siempre que representen una actividad
económica, los envíos de comunicaciones comerciales.

De acuerdo con lo señalado, es preciso analizar el concepto de Servicios de la

Sociedad de la Información para, a continuación, determinar los supuestos, recogidos
en el párrafo segundo del Anexo f) de la LSSI, que no se consideran, a los efectos de
esta Ley, como comunicaciones comerciales.

La LSSI en su Anexo a) define como Servicio de la Sociedad de la Información,

“todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y
a petición individual del destinatario”. A través de dicha definición el Legislador
español transpuso el concepto recogido en las Directivas 98/34/CEE, de 22 de junio,
del Parlamento y del Consejo, por la que se establece un procedimiento de
información en materia de normas y reglamentaciones técnicas y de las reglas
relativas a los servicios de la Sociedad de la Información, modificada por la Directiva
98/84/CE, de 20 de noviembre, del Parlamento y del Consejo, relativa a la protección
jurídica de los servicios de acceso condicional o basados en dicho acceso. Dicha
definición se refiere, tal y como se expresa en el Considerando 17 de la citada
Directiva 2000/31/CE, a “cualquier servicio prestado normalmente a título oneroso, a
distancia, mediante un equipo electrónico para el tratamiento (incluida la comprensión
digital) y el almacenamiento de datos, y a petición individual de un receptor de un
servicio”, añadiendo que estos servicios cuando “no implica tratamiento y
almacenamiento de datos no están incluidos en la presente definición”.

De acuerdo con lo señalado, el concepto de comunicaciones comercial engloba

la definición recogida en el Anexo f), párrafo primero de la LSSI, es decir, ha de
tratarse de todas las formas de comunicaciones destinadas a promocionar directa o
indirectamente bienes, servicios o la imagen de una empresa, organización o persona
con una actividad comercial, industrial, artesanal o profesional, y, además, ha de
realizarse dicha comunicación en los términos que señala el Considerando 17 de la
Directiva 2000/31/CE que recoge lo previsto en las citadas Directivas 98/34/CE y
98/84/CE.

De lo anterior se deduce que, cuando la comunicación comercial no reúne los

requisitos que requiere el concepto de Servicios de la Sociedad de la Información,
pierde el carácter de comunicación comercial. En este sentido el párrafo segundo del
Anexo f) de la LSSI señala dos supuestos, que no tendrán, a los efectos de esta Ley,
la consideración de comunicación comercial, y que son, por un lado, los datos que

c. Jorge Juan 6 28001 Madrid www.agpd.es

 11/24

permitan acceder directamente a la actividad de una persona, empresa u organización,

tales como el nombre de dominio o la dirección de correo electrónico, y, por otro, las
comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca
cuando sean elaboradas por un tercero y sin contraprestación económica.

En resumen, atendiendo al enunciado del artículo 21.1 de la LSSI, norma que

tiene por objeto, entre otras materias, la regulación del envío de las comunicaciones
comerciales por vía electrónica, el envío de comunicaciones publicitarias o
promocionales por correo electrónico debe haberse solicitado o autorizado
expresamente al remitente por los destinatarios de las mismas, salvo que se trate de
comunicaciones comerciales referentes a productos o servicios de la propia empresa
que sean similares a los que inicialmente hubiesen sido objeto de contratación con el
cliente.

IV

Vista la importancia de la existencia de consentimiento previo de los

destinatarios de las comunicaciones comerciales, excepción hecha de los supuestos
en que exista una relación contractual previa, en el párrafo segundo del artículo 21.2
de la LSSI, se establece que “En todo caso, el prestador deberá ofrecer al destinatario
la posibilidad de oponerse al tratamiento de sus datos con fines promocionales
mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los
datos como en cada una de las comunicaciones comerciales que le dirija.”

Es decir, en todo caso, el prestador deberá ofrecer a los destinatarios la

posibilidad de oponerse al tratamiento de sus datos con fines promocionales en cada
una de las comunicaciones comerciales que les dirijan.

Dicha obligación se encuentra relacionada con lo establecido en la mencionada

Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas, que, tal y
como se ha indicado con anterioridad, se transpuso en la Ley 32/2003, de 3 de
noviembre, General de Telecomunicaciones, originando, a su vez, la modificación de
varios artículos de la LSSI para su adecuación a lo dispuesto en el ámbito
comunitario sobre el tratamiento de los datos personales y la protección de la intimidad
en el sector de las comunicaciones electrónicas.

Dentro de este mismo ámbito comunitario, los Considerandos 40 y 41 de la

reseñada Directiva 2002/58/CE establecen, en relación con dichas comunicaciones
electrónicas, que:

“ (40) Deben ofrecerse garantías a los abonados contra la intrusión en su

intimidad mediante comunicaciones no solicitadas con fines de venta directa,
especialmente a través de llamadores automáticos, faxes y mensajes de correo
electrónico, incluidos los de SMS. Por una parte, el envío de estas formas de
comunicaciones comerciales no solicitadas puede resultar relativamente sencillo y
económico, y por otra, puede conllevar una molestia e incluso un coste para el
receptor. Además, en algunos casos su volumen puede dar lugar a dificultades en las
redes de comunicaciones electrónicas y en los equipos terminales.

c. Jorge Juan 6 28001 Madrid www.agpd.es

 12/24

Se justifica, para este tipo de comunicaciones no solicitadas con fines de venta

directa, la exigencia de obtener el consentimiento expreso previo de los receptores
antes de que puedan dirigírseles comunicaciones de esta índole. El mercado único
requiere un planteamiento armonizado que garantice la existencia de normas sencillas
aplicadas a escala comunitaria, tanto para las empresas como para los usuarios.

(41) En el contexto de una relación preexistente con el cliente, es razonable

admitir el uso de las señas electrónicas del cliente con objeto de ofrecer productos o
servicios similares, pero exclusivamente por parte de la misma empresa que haya
obtenido las señas electrónicas de conformidad con la Directiva 95/46/CE. En el
momento de recabarse las señas electrónicas, debe informarse al cliente de manera
clara e inequívoca sobre su uso ulterior con fines de venta directa, y debe dársele la
posibilidad de negarse a dicho uso. Debe seguir ofreciéndose al cliente esta
posibilidad cada vez que reciba un mensaje ulterior de venta directa, sin cargo alguno
salvo los posibles costes de transmisión de esta negativa.”

De acuerdo con ello, los apartados 1 al 3 del artículo 13 de la misma Directiva

2002/58/CE disponen respecto de las “Comunicaciones no solicitadas” que:

“1. Sólo se podrá autorizar la utilización de sistemas de llamada automática sin

intervención humana (aparatos de llamada automática), fax o correo electrónico con
fines de venta directa respecto de aquellos abonados que hayan dado su
consentimiento previo.

2. No obstante lo dispuesto en el apartado 1, cuando una persona física o

jurídica obtenga de sus clientes la dirección de correo electrónico, en el contexto de la
venta de un producto o de un servicio de conformidad con la Directiva 95/46/CE, esa
misma persona física o jurídica podrá utilizar dichas señas electrónicas para la venta
directa de sus propios productos o servicios de características similares, a condición
de que se ofrezca con absoluta claridad a los clientes, sin cargo alguno y de manera
sencilla, la posibilidad de oponerse a dicha utilización de las señas electrónicas en el
momento en que se recojan las mismas y, en caso de que el cliente no haya
rechazado inicialmente su utilización, cada vez que reciban un mensaje ulterior.

3. Los Estados miembros tomarán las medidas adecuadas para garantizar,

que, sin cargo alguno, no se permitan las comunicaciones no solicitadas con fines de
venta directa en casos que no sean los mencionados en los apartados 1 y 2, bien sin
el consentimiento del abonado, bien respecto de los abonados que no deseen recibir
dichas comunicaciones. La elección entre estas dos posibilidades será determinada
por la legislación nacional.”

Al amparo de la reseñada normativa comunitaria, el artículo 21.2 de la LSSI

obliga al prestador de servicios a ofrecer al destinatario de los mismos, tanto en el
momento de recogida de datos como en cada una de las comunicaciones comerciales
remitidas, un procedimiento sencillo y gratuito para que los destinatarios de los
servicios puedan hacer efectivo y viable su derecho de oposición al tratamiento de sus
datos con fines promocionales.
V

c. Jorge Juan 6 28001 Madrid www.agpd.es

 13/24

En el supuesto examinado, ha quedado acreditado a través de las

actuaciones previas de investigación practicadas y de las realizadas en la fase de
instrucción del procedimiento que la entidad T.T.T. remitió, en el marco de una
campaña promocional, desde la cuenta de correo electrónico <...T@....> sendas
comunicaciones comerciales a un total de 39.848 destinatarios en el período
comprendido entre el 4 y el 8 de septiembre de 2008 ofertando la participación a los
mismos en un concurso organizado por la entidad usuaria de la cuenta remitente del
envío, en el que el premio era una entrada VIP para asistir a un concierto de (.........)
en (.........) el día 18/09/2008, motivo por el cual los mencionados correos se
encuadraban en la definición de comunicación comercial recogida en el Anexo f) de la
LSSI anteriormente citado, ya que a través de tales comunicaciones T.T.T. estaba
promocionando la asistencia al citado concierto y la actividad de venta de entradas
desarrollada por la entidad imputada, constando en las bases de la promoción, a las
que se accedía mediante un enlace incluido en el formulario electrónico al que, a su
vez, se accedía desde el propio mensaje recibido, que la finalidad de dicha promoción
era “incentivar los productos y servicios prestados por ticktackticket”.
La entidad imputada no ha acreditado en ningún momento que las citadas
comunicaciones comerciales objeto de estudio fueran remitidas con la cobertura del
consentimiento previo y expreso de los destinatarios de las mismas, tratándose, por
ello, de envíos publicitarios no solicitados que fueron remitidos desde una dirección
de correo electrónico de la que T.T.T. es usuaria y sin cumplir el requisito de
consentimiento previo y expreso establecido en el artículo 21.1 de la LSSI para la
remisión de las citadas comunicaciones, hecho que queda probado a través de la
manifestación realizada por dicha entidad en la fase de práctica de pruebas al
reconocer que “no tenía forma de conocer o demostrar que el envío se realizó con el
consentimiento del destinatario”.

De lo anterior se evidencia que TTT no ha acreditado que cuando remitió los

mencionados mensajes estuviera autorizada de forma expresa por los destinatarios
de los mismos para ello, ni que éstos hubieran formulado ante dicha entidad una
solicitud para recibir tales comunicaciones publicitarias o promocionales en sus
cuentas de correo electrónico, ya que dichas direcciones de correo no fueron
facilitadas por los titulares o usuarios de las mismas directa y voluntariamente a
T.T.T., sino que dicha sociedad las obtuvo a través de terceras personas que las
comunicaron en un formulario a los efectos de poder participar y tener más
posibilidades de ganar el concurso organizado por la entidad imputada. Asimismo, las
mencionadas direcciones fueron utilizadas por T.T.T. para enviar una comunicación
comercial por correo electrónico con la información del concurso y promocionar, de
esta forma, el espectáculo musical de “(.........)”, motivo por el cual el hecho de que la
gestión de la campaña se realizara siguiendo las condiciones y bases establecidas
para el concurso por la propia entidad resulta intrascendente a los efectos que nos
ocupan, atendido que dichas bases se suscribían por el concursante, pero no por los
destinatarios de los envíos comerciales que nos ocupan, respecto de los cuales T.T.T.
no ha justificado haber obtenido previa y expresamente su consentimiento para poder
remitirles comunicaciones comerciales.

A los efectos de exonerar su responsabilidad T.T.T. manifiesta que los envíos

fueron realizados por los optantes al concurso y que esta Agencia no ha probado que
dichos remitentes (concursantes) no tuvieran el consentimiento de los destinatarios,

c. Jorge Juan 6 28001 Madrid www.agpd.es

 14/24

añadiendo también que el papel desempeñado por su parte se limitó única y

exclusivamente a realizar el tratamiento de dichos correos electrónicos para el proceso
de envío de los mensajes remitidos por los concursantes a través de la plataforma
tecnológica T.T.T. y para el cómputo del número de correos enviados por los
concursantes. Sin embargo, de las actuaciones practicadas durante la tramitación del
procedimiento sancionador y de la documentación obrante en el mismo se ha
comprobado que los mencionados correos electrónicos comerciales no se enviaron
por los concursantes, sino que fueron remitidos por T.T.T. a través de su propia
plataforma tecnológica. Los concursantes se limitaron a facilitar a dicha entidad, a
través del formulario electrónico habilitado al efecto, las direcciones de correo
electrónico de sus amigos y a pulsar el botón de “enviar” siguiendo la mecánica
establecida por la entidad organizadora de la campaña promocional para participar en
el reseñado concurso. Como apoyo a lo señalado, la prueba realizada por los
inspectores actuantes revela que los mensajes promocionales se remitían desde la
plataforma de T.T.T., tal y como evidencia el encabezamiento de los mismos, en el
que aparece como remitente “De: Promociones tictackticket.com [...T@....]”, lo que
acredita, a su vez, tanto que el asunto de dichos mensajes estaba vinculado al
concurso organizado por la entidad remitente como que su texto contenía publicidad
de T.T.T., tratándose, además, de un texto común para todos los envíos de la
campaña promocional en cuestión.

A mayor abundamiento aunque en el formulario electrónico se indicaba “.Los

emails de tus amigos no serán utilizados por ...T.... sin previo consentimiento por su
parte”, en la práctica dicha condición no se cumplía, ya que no consta que la entidad
imputada haya realizado ninguna actuación tendente a obtener, en calidad de
prestadora del servicio, el consentimiento previo y expreso de los usuarios o titulares
de las direcciones facilitadas por los concursantes al cumplimentar el citado
formulario.

No hay que olvidar que la obtención de las reseñadas direcciones de correo

electrónico por el medio indicado no supone estar habilitado para usarlas en la
remisión de comunicaciones promocionales si no se da cumplimiento a lo previsto en
el artículo 21 de la LSSI, norma que tiene por objeto, entre otras materias, la
regulación del envío de las comunicaciones comerciales por vía electrónica. Por otro
lado, la entidad imputada tampoco ha acreditado la existencia de una relación
contractual anterior con los destinatarios de tales correos comerciales, la cual, de
conformidad con la excepción recogida en el primer párrafo del apartado 2 del artículo
21, hubiera legitimado el envío por parte de T.T.T. de los reseñados mensajes en
su condición de clientes de sus productos o de servicios similares a los que hubieran
sido objeto de contratación con anterioridad, motivo por el que no cabe exonerarla
de la necesidad de contar con el consentimiento previo y expreso de los destinatarios
de los envíos comerciales dirigidos a las direcciones de correo electrónico recogidas
mediante el mencionado formulario, y cuyo total ascendía a 39.848 direcciones que
fueron utilizadas para remitir un mensaje comercial con la información del concurso y
del evento musical.

En cuanto a la exigencia de contar con la cobertura de consentimiento previo y

expreso para la remisión de este tipo de comunicaciones comerciales la Sentencia de
la Audiencia Nacional, acordada con fecha 17 de septiembre de 2008, Recurso nº
189/2007, señalaba:

c. Jorge Juan 6 28001 Madrid www.agpd.es

 15/24

“La dicción literal del articulo 21.1 de la Ley34 / 2002, de Servicios de la

Sociedad de la Información y Comercio Electrónico, no deja lugar a dudas sobre la
prohibición de comunicaciones publicitarias o promocionales por correo electrónico,
que no hayan sido previamente solicitadas o expresamente autorizadas por sus
destinatarios.
Es decir, para la remisión de los correos electrónicos comerciales o
promocionales (en ningún momento se ha puesto en duda que el ahora analizado
pertenezca a dicha categoría), se requiere la previa solicitud o expresa autorización de
sus destinatarios. En definitiva, la existencia de un consentimiento que el denunciante
no ha otorgado a la Sra. (….). remitente de dicha comunicación.”

Entendiéndose como consentimiento expreso el que se obtiene de una

declaración clara e inequívoca por parte del interesado que acepta, o rechaza, el
tratamiento y uso de sus datos mediante la expresión de su voluntad de forma que
permita su constancia y prueba indubitada, y en base a los motivos expuestos con
anterioridad, deben ser desestimados los argumentos invocados por la entidad
imputada para justificar que no precisaba contar con el consentimiento previo y
expreso de los titulares de las direcciones de correo electrónico a las que se envió la
comunicación comercial que invitaba a participar en el concurso organizado por T.T.T,.
En conclusión, dicha entidad es responsable del incumplimiento de la
prohibición prevista en el artículo 21.1 de la LSSI antes citado, máxime cuando en este
caso no cabe aplicar la excepción prevista en el primer párrafo del artículo 21.2 de la
misma norma por no haberse acreditado por dicha entidad la existencia de una
relación contractual anterior con los destinatarios de los envíos.
VI

En lo que hace referencia al requisito establecido en el segundo párrafo del

artículo 21 de la LSSI, la simple lectura del texto del mensaje enviado de forma
masiva en el período comprendido entre el 4 y el 8 de septiembre de 2008 lleva a
constatar que el prestador del servicio, en este supuesto, la entidad imputada, no
ofreció a los destinatarios de los citados correos comerciales, cuyas direcciones de
correo, en total 38.848, obran en la base de datos que registraba la información
obtenida en la campaña (.........), la posibilidad de oponerse al tratamiento de sus
datos con fines promocionales.

Es decir, si la LSSI ha querido imponer una formalidad específica que permita

a los destinatarios de los envíos oponerse al tratamiento de sus datos para el envío
de mensajes publicitarios por correo electrónico, a fin de garantizar su derecho a no
recibir comunicaciones de naturaleza comercial, el hecho de que por parte del
prestador de servicios no se ofrezca un procedimiento sencillo y gratuito para ello
conculca la obligación establecida en el mencionado precepto de la LSSI.

En consecuencia, de lo expuesto con anterioridad, ha quedado probado que

T.T.T. ha incurrido en la infracción del artículo 21.2, párrafo segundo, de la LSSI, al
no dar cumplimiento a la obligación de ofrecer al destinatario de cada uno de los
envíos comerciales remitidos durante la campaña promocional “(.........)” la posibilidad
de oponerse al tratamiento de sus datos con fines promocionales mediante un
procedimiento sencillo y gratuito.

c. Jorge Juan 6 28001 Madrid www.agpd.es

 16/24

VII

Una vez analizadas las circunstancias concurrentes en el procedimiento y las

pruebas de cargo que se han tenido en cuenta para mostrar de forma justificada la
responsabilidad de la entidad imputada en la comisión de la infracción a lo previsto en
el artículo 38.3.c) de la LSSI, y habiéndose razonado los motivos por los que se
entendía que los mensajes comerciales fueron remitidos por la entidad imputada
incumpliendo los requisitos recogidos en el artículo 21 de la LSSI, por recaer el
cumplimiento de los mismos sobre ésta y no sobre los concursantes, procede
responder la alegación efectuada por T.T.T. relativa a que por parte de la AEPD se ha
invertido la carga de la prueba.

Y efectivamente, la carga de probar los hechos constitutivos de cada infracción

corresponde a la Administración Pública actuante. Sin embargo, lo que garantiza el
principio de presunción de inocencia es que ésta sólo puede destruirse, como ha
señalado el Tribunal Constitucional en su Sentencia 120/1994, de 25 de abril, “cuando
un Tribunal independiente, imparcial y establecido por la Ley declara la culpabilidad de
una persona tras un proceso celebrado con todas las garantías, al cual se aporte una
suficiente prueba de cargo”; pero en ningún caso significa que existiendo prueba de
cargo suficiente obtenida en base a medios probatorios lícitos, el sancionado esté
exento de actividad probatoria tendente a justificar su conducta. En este sentido, la
Sentencia del Tribunal Supremo, de 26/07/1988, sostiene que “frente a las pruebas no
solo indiciarias, sino también de cargo..., el interesado en su momento no llevó a cabo
la imprescindible contraprueba, incidiendo en el error tantas veces observado por este
Tribunal, de entender que este principio presuntivo supone, sin más, una inversión de
la carga de la prueba”.

En este orden de ideas, debe tenerse en cuenta que en el ámbito

administrativo sancionador son de aplicación, con alguna matización pero sin
excepciones, los principios inspiradores del orden penal, resultando clara la plena
virtualidad de los principios de presunción de inocencia. La presunción de inocencia
debe regir sin excepciones en el ordenamiento sancionador y ha de ser respetada en
la imposición de cualesquiera sanciones, pues el ejercicio del ius puniendi en sus
diversas manifestaciones está condicionado al juego de la prueba y a un
procedimiento contradictorio en el que puedan defenderse las propias posiciones.

En tal sentido, el Tribunal Constitucional, en Sentencia 76/1990 considera que

el derecho a la presunción de inocencia comporta “que la sanción esté basada en
actos o medios probatorios de cargo o incriminadores de la conducta reprochada; que
la carga de la prueba corresponda a quien acusa, sin que nadie esté obligado a
probar su propia inocencia; y que cualquier insuficiencia en el resultado de las
pruebas practicadas, libremente valorado por el órgano sancionador, debe traducirse
en un pronunciamiento absolutorio”. De acuerdo con este planteamiento, el artículo
130.1 de la citada Ley 30/1992, de 26 de noviembre, establece que “Sólo podrán ser
sancionados por hechos constitutivos de infracción administrativa las personas físicas
y jurídicas que resulten responsables de los mismos aún a título de simple
inobservancia.”

c. Jorge Juan 6 28001 Madrid www.agpd.es

 17/24

En el presente caso ha quedado acreditada la comisión de la infracción

imputada por T.T.T., a título de culpa, a través de los medios de prueba obtenidos
durante la tramitación del presente procedimiento, en especial del resultado de la
inspección practicada en la sede de la entidad, apuntando todos ellos a la realización
de las comunicaciones comerciales no consentidas en el período de vigencia de la
promoción y concurso organizados por T.T.T. en septiembre de 2008, sin que por
parte de la entidad denunciada se haya acreditado la obtención del consentimiento de
los afectados o justificado que concurría relación contractual previa con los mismos,
lo cual permite desvirtuar la inexistencia de culpabilidad invocada por la entidad
imputada respecto de la comisión de la referida infracción a la LSSI, todo ello en
cumplimiento de las exigencias derivadas del artículo 24 de la Constitución Española y
el artículo 137 de la LRJPA.

VIII

La entidad imputada, después de citar las Sentencias del Tribuna Constitucional

76/1990 y la de fecha 20/02/1989 y la Sentencia del Tribunal Supremo de 26/10/98,
invoca el principio de presunción de inocencia al considerar que no ha quedado
probado que el remitente no hubiera obtenido previamente del destinatario el
consentimiento para el envío de las comunicaciones.

En consonancia con la línea argumental citada por la entidad imputada

conviene traer a colación que en la sentencia dictada el 3 de mayo de 2007 por la
Audiencia Nacional, nº de Rec 317/2005, al examinar una posible vulneración de la
presunción de inocencia, se indicaba: “Respecto al principio de presunción de
inocencia, en materia sancionadora el Tribunal Constitucional ha establecido como
uno de los pilares básicos para la interpretación del derecho Administrativo
Sancionador que, los principios y garantías básicas presentes en el ámbito del
derecho penal son aplicables, con ciertos matices en el ejercicio de cualquier potestad
sancionadora de la Administración Pública (STC 76/1990, de 26 de abril).
En este sentido, la STC 18/1981 (fundamento jurídico segundo in fine), ya
había señalado que las garantías procesales constitucionalizadas en el artículo 24.2
de la Constitución son de aplicación al ámbito administrativo sancionador <<“en la
medida necesaria para preservar los valores esenciales que se encuentran en la base
de tal precepto, y la seguridad jurídica que garantiza el artículo 9 de la Constitución.
No se trata por tanto de una aplicación literal, dadas las diferencias apuntadas, sino
con el alcance que requiere la finalidad que justifica la previsión constitucional.>>
En concreto establecía la citada sentencia, por lo que aquí nos interesa y
respecto al principio de presunción de inocencia que <<”el art. 24.2 de la Constitución
recoge el derecho fundamental a la presunción de inocencia, que una vez consagrado
constitucionalmente ha dejado de ser un principio general del Derecho <<in dubio pro
reo>>). Para convertirse en un derecho básico de la persona que vincula a todos los
poderes públicos y es de inmediata aplicación; diciendo con relación a la prueba que
aunque su valoración corresponde siempre al Tribunal –o en su caso, a la
Administración sancionadora-, para que su resultado pueda llegar a desvirtuar la
presunción de inocencia es necesaria una actividad probatoria, si se quiere mínima
pero producida con las garantías precisas de orden procesal, que de alguna manera

c. Jorge Juan 6 28001 Madrid www.agpd.es

 18/24

pueda considerarse de cargo y de la que pueda resultar la culpabilidad”>>

En esta línea la STC de 25 de enero de 1999, señala que la potestad
sancionadora de la Administración debe ejercitarse en consonancia con las garantías,
debidamente atemperadas, reconocidas en el art. 24.1 de la Constitución,
especialmente las derivadas de la presunción de inocencia, en los términos previstos
en las sentencias del Tribunal Constitucional 76/1990, 120/1994, 154/1994, 23/1995,
97/1995, 147/1995 y 45/1997, que implica que la carga de la prueba de los hechos
constitutivos de la infracción recaiga sobre la Administración.”

Por lo tanto, en línea con la jurisprudencia referida, hay que tener en cuenta que
en los anteriores Fundamentos de Derecho la AEPD ha argumentado y razonado
pormenorizadamente los motivos por los cuales considera que T.T.T. ha vulnerado lo
previsto en el artículo 21 de la LSSI. Así en el expediente existen numerosos
elementos fácticos que constituyen actividad probatoria suficiente (dirección de origen
del correo comercial enviado, contenido comercial del mensaje del correo sin ofrecer al
destinatario la posibilidad de oponerse al tratamiento de sus datos con fines
promocionales, uso por su parte de las direcciones de correo electrónico para el envío
del mensaje desde su propia plataforma, registro en sus bases de datos de las
direcciones de correo utilizadas y las que han sido recibidas y leídas, reconocimiento
de que no puede demostrar que el envío se realizó con el consentimiento de los
destinatarios, a) para considerar a dicha entidad como responsable del envío masivo
por correo electrónico del mensaje comercial objeto del procedimiento, el cual fue
enviado a una multitud de destinatarios en el período en que se desarrolló la campaña
promocional “(.........)”, lo que supone que dicha entidad es responsable de la
comisión de la infracción prevista en el artículo 38.3.c) de la LSSI
T.T.T. ha utilizado un sistema de envío de correos comerciales en el que se
omiten las exigencias recogidas en el artículo 21 de la LSSI, así, al obtener las
direcciones de correo electrónico de los destinatarios del mensaje a través de los
participantes al concurso, quienes deben cumplimentar un formulario en el que
anotan una o más cuentas de correo electrónico de amigos debiendo después pulsar
el botón de “enviar”, pretende exonerar su responsabilidad en la infracción imputada y
trasladar el cumplimiento de los referidos requisitos a dichos concursantes, cuando en
realidad las direcciones de correo electrónico que éstos facilitaron fueron utilizadas por
T.T.T. para remitir el mensaje comercial que publicitaba el concurso organizado por
la propia entidad y sus actividades de venta de entradas de eventos, proceso de envío
que se gestiona y realiza a través de la plataforma tecnológica de la entidad,
figurando incluso en los correos enviados que éstos se remitían desde una cuenta de
correo electrónico de la propia entidad.

En consecuencia, hay que desestimar el alegato relativo a la vulneración del

principio de presunción de inocencia y valorar , en cuanto a las exigencias derivadas
del principio de culpabilidad, que éstas se traducen en la necesidad de exigir una
especial diligencia a las entidades prestadoras de los servicios cuando se trata de
enviar comunicaciones comerciales por medios de comunicación electrónica. Dicha
diligencia en el presente supuesto faltó desde el momento en que la entidad imputada
remitió a una multitud de destinatarios un mensaje comercial de contenido publicitario
sin comprobar, por un lado, que los destinatarios del mismo hubieran solicitado la
publicidad remitida o hubieran consentido la utilización de su correo electrónico para

c. Jorge Juan 6 28001 Madrid www.agpd.es

 19/24

dicho fin ni constatar, por otro lado, si tenían la condición de clientes de la entidad en
los términos recogidos en el artículo 21.2 de la LSSI, todo ello sin cumplir tampoco
con la obligación de ofrecer el mencionado procedimiento de oposición a la utilización
de los datos con fines promocionales.
Esa falta de diligencia configura el elemento culpabilístico de la infracción
administrativa y no precisa de la concurrencia de dolo, puesto que como señala la
Sentencia del Tribunal Constitucional de 18 de marzo de 2005, recurso 7707/2000, es
evidente, “que no podría estimarse cometida una infracción administrativa, si no
concurriera el elemento subjetivo de la culpabilidad o lo que es igual, si la conducta
típicamente constitutiva de infracción administrativa, no fuera imputable a dolo o a
culpa.” Por lo tanto, la conducta que configura el ilícito administrativo- artículo 38.3.c)
de la LSSI- requiere la existencia de culpa, que se concreta, en la falta de diligencia
observada por T.T.T. al remitir los reseñados correos electrónicos en la forma
descrita. En resumen, esa falta de diligencia configura el elemento culpabilístico de la
infracción administrativa y no precisa de la concurrencia de dolo.
Por otro lado, la aportación de una serie de impresiones de diferentes sitios
web en los que se utiliza la plataforma “Envío a un amigo” no desvirtúa la
determinación de los hechos objeto del presente procedimiento sancionador y la
responsabilidad de T.T.T. frente a los mismos, ya que se trata de hechos ajenos al
presente expediente y únicamente reflejan el formulario de registro de datos de las
entidades usuarias o titulares de los sitios web, pero no el texto de la comunicación
recibida por el destinatario, causa por la que no se puede determinar si se trataría de
un envío de naturaleza comercial, o no.

IX

El hecho de que esa entidad no haya recibido ninguna queja por el envío de
los mencionados mensajes, tanto durante como después de la campaña, ni que la
denuncia de FACUA no estuviera acompañada del soporte de alguna reclamación
concreta o la falta de interposición de denuncia ante la Agencia por parte de alguno
de los destinatarios de los correos comerciales analizados no anula la obligación de
dar cumplimiento al requisito previsto en el artículo 21 de la LSSI.

Además, conviene aclarar que la potestad sancionadora de la AEPD procede

siempre de oficio, con independencia de la existencia, o no, de denuncia de parte
(principio acusatorio). A este respecto debe indicarse, en primer término, que como
consecuencia de la denuncia registrada de entrada en esta AEPD con fecha
16/09/2008 se llevaron a cabo de oficio una serie de actuaciones previas de
inspección por la Subdirección General de Inspección de Datos, de conformidad con
lo previsto en los artículos 122 y 123 del Real Decreto 1720/2007, de 21 de diciembre,
por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13
de diciembre, de Protección de Datos de Carácter Personal, el cual resulta de
aplicación en virtud de lo previsto en el artículo 120.1 del reseñado Reglamento, al
objeto de determinar si concurrían circunstancias que justificaran tal iniciación, y, en
especial, para determinar, con la mayor precisión posible, los hechos que pudieran
justificar la incoación del procedimiento, identificar la persona u órgano que pudiera
resultar responsable y fijar las circunstancias relevantes que pudieran concurrir en el
caso.

c. Jorge Juan 6 28001 Madrid www.agpd.es

 20/24

Con estas actuaciones previas, que potestativamente puede realizar la

Administración, la Subdirección de Inspección de Datos de esta Agencia comprobó
los hechos susceptibles de motivar la incoación del procedimiento sancionador,
siendo sometido el resultado de las mismas, conforme lo previsto en el artículo 126
del citado Reglamento, a la decisión del Director de la Agencia Española de
Protección de Datos una vez finalizadas éstas, y quien al apreciar la existencia de
indicios susceptibles de motivar la imputación de una infracción dictó con fecha
30/03/2009 el acuerdo de inicio del procedimiento sancionador que nos ocupa por
la comisión de una infracción del artículo 21 de la LSSI, tipificada como grave en el
artículo 38.3.c) de la misma norma.

Por lo tanto, el procedimiento sancionador se inició de oficio por el Director de

la Agencia Española de Protección de Datos, tal y como se recoge en el artículo 11.1
del Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento
del Procedimiento para el Ejercicio de la Potestad Sancionadora al disponer que: “ Los
procedimientos sancionadores se iniciarán siempre de oficio, por acuerdo del órgano
competente, bien por propia iniciativa o como consecuencia de orden superior,
petición razonada de otros órganos o denuncia.” , el cual resulta de aplicación en
virtud de la disposición final única del citado Real Decreto 1720/2007, imputándose en
el mismo los hechos que se consideraron susceptibles de motivar la incoación del
procedimiento sancionador a la vista del resultado de las gestiones realizadas por
los inspectores actuantes durante dichas actuaciones previas de inspección. Así, a
los efectos de la apertura del procedimiento sancionador el contenido de la denuncia,
acto por el que cualquier persona “pone en conocimiento de un órgano administrativo
la existencia de un determinado hecho que pudiera constituir infracción
administrativa”, según la definición recogida en el artículo 11.1.d) del mencionado
Real Decreto 1398/1993, de 4 de agosto, no determina los hechos ni la infracción
concretas que pueden ser objeto de imputación en el procedimiento sancionador que
pueda ser iniciado, en su caso, con posterioridad.
En relación con la potestad sancionadora de la AEPD resulta ilustrativo lo
señalado por la Audiencia Nacional en Sentencia de fecha 17/09/2008, Recurso nº
189/2007, al indicar que:
“Respecto a la invocación que se efectúa en la demanda del principio acusatorio,
basta poner de manifiesto que la potestad sancionadora de la AEPD procede siempre
de oficio, con independencia de la existencia o no de denuncia de la parte.
En este sentido la SAN de 19 de diciembre de 2007 ( rec. 108.2006 ), entre otras
muchas, indica que corresponde a la AEPD, por mor del articulo 37.a) LOPD , velar
por el cumplimiento de la legislación sobre protección de datos y controlar su
aplicación, así como ejercer la potestad sancionadora en los términos previstos en el
Titulo VII (Art. 37 .g), procedimiento sancionador que se iniciara siempre de oficio (bien
por propia iniciativa o en virtud de denuncia de un afectado o afectados), a tenor del
Art. 18 del RD 1332/1994 en el caso de la supuesta comisión de alguna de las
infracciones reguladas en la LOPD o también por mor del articulo 43.2 LSSI y como
acontece en el presente supuesto, en el articulo 38.4.d) de dicha LSSI.”

De conformidad con lo establecido en el artículo 38, en sus apartados 3 y 4 de

la LSSI, según su redacción aprobada por la por la disposición adicional octava de la

c. Jorge Juan 6 28001 Madrid www.agpd.es

 21/24

Ley 59/2003, de 19 de diciembre, sobre normas reguladoras de la firma electrónica, en

vigor desde el 21/03/2004, se consideran infracciones graves y leves las siguientes:

“3. Son infracciones graves:

c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio

de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de
tres comunicaciones comerciales por los medios aludidos a un mismo destinatario,
cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21”.

“4. Son infracciones leves:

d) El envío de comunicaciones comerciales por correo electrónico u otro medio de

comunicación electrónica equivalente cuando en dichos envíos no se cumplan los
requisitos establecidos en el artículo 21 y no constituya infracción grave”.

En consecuencia, la infracción del artículo 21 de la LSSI, en los términos

indicados por el citado artículo 38.4.d), se califica en términos generales como
infracción leve, aunque si se produce un envío masivo de comunicaciones comerciales
no solicitadas a diferentes destinatarios o más de tres a un mismo destinatario, en los
términos que se indican en el también citado artículo 38.3.c), se producirá una
infracción tipificable como grave a los efectos de la LSSI.

Atendido que en la LSSI no aparece definido el concepto de “envío masivo” y

partiendo de que en el Diccionario de la Real Academia Española se define el adjetivo
masivo de la siguiente forma: “Dícese de lo que se aplica en gran cantidad”, se puede
afirmar que en el presente supuesto ha quedado acreditado el envío masivo imputado
dentro del marco la campaña publicitaria denominada “(.........)”.
En las alegaciones a la propuesta de resolución la entidad imputada aduce que
la AEPD no ha probado que se realizara un envío masivo a las direcciones de correo
electrónico recogidas a través del formulario, ya que durante la inspección realizada
en la sede de T.T.T. únicamente se constató “la recogida de un número indeterminado
de presuntas direcciones de correo electrónicas “válidas”, pero nunca que se
realizaran un número indeterminado de envíos” a dichas cuentas de correo.
Frente a dicha alegación conviene puntualizar que en los apartados que a
continuación se indican del Acta de Inspección levantada con motivo de la inspección
a la que se refiere la entidad imputada, la cual consta como firmada libre y
voluntariamente por el director financiero y el director de proyectos de T.T.T., consta
que dichos representantes manifestaron que: (Folios 38 al 40)
“2.4. Las direcciones de correo recogidas mediante el formulario descrito en el
punto 2.1 fueron utilizadas para remitir un correo electrónico con la información del
concurso. En dicho correo se ofrecía la posibilidad de participar al receptor mediante
un enlace que dirigía al formulario de suscripción
2.5. En el caso de que el receptor del correo no deseara inscribirse su dirección
de correo no era utilizada para ningún otro fin, tal y como se especificaba en las
condiciones de participación del concurso que figuraban en el formulario.” .
“4. Los representantes de TICK manifiestan que en la recogida de los datos no

c. Jorge Juan 6 28001 Madrid www.agpd.es

 22/24

se verificó que las direcciones de correo facilitadas fueran válidas y que desconocen el
número de direcciones reales que pudiera haber entre las 39.848 direcciones de
correo que se citan en el punto 3.3.2.” (Folio 40)
Con motivo del acceso efectuado al sistema de información que contenía los
datos de la campaña “(.........)”, los inspectores de la AEPD verificaron, según figura
en el punto 3.3.2 de dicha Acta de Inspección, que “en la tabla “destinos” que contiene
las direcciones de correo de los amigos proporcionadas por los participantes, constan
39.848 direcciones de correo electrónico distintas…” (Folio 39 y 49), indicándose en el
punto 3.3.4 de la misma Acta de Inspección “que en la tabla de “destinos” figuran
5.837 direcciones de correo electrónico distintas “en los que el valor del campo “valid”
indica, según manifestaciones de los responsables de TICK, la recepción y lectura del
correo remitido.” (Folios 39 y 50)
Asimismo, en la nota de prensa aparecida en la página web de T.T.T. se
indicaba que “Aprovechamos para poner de manifiesto que en ningún momento se ha
hecho uso indebido de la información recopilada en las promociones realizadas hasta
la fecha, ni se han enviado comunicaciones a los correos electrónicos de nuestros
usuarios sin haber recibido antes el consentimiento expreso de su propietario.” (Folio
41)
Constatándose también en el hecho número 5 del escrito de alegaciones al
acuerdo de inicio el Director General de la Compañía decía: “Que tal y como se
expresaba en el formulario electrónico , T.T.T. única y exclusivamente realizó el
tratamiento de estos correos electrónicos para el proceso de envío del mensaje
remitido por el Optante registrado (en adelante remitente) a través de la plataforma
tecnológica T.T.T., así como para el cómputo del número de correos enviados por el
remitente. (…)” (Folio 82)

A la vista de las manifestaciones efectuadas por los propios representantes de la

entidad imputada y de la información obtenida por los inspectores actuantes en los
sistemas de información de la misma, se evidencia que, en el presente procedimiento,
concurren suficientes pruebas de cargo que permiten afirmar de forma motivada que
T.T.T. envió entre el 4 y el 8 de septiembre de 2008, utilizando para ello la plataforma
tecnológica de la propia entidad imputada, una comunicación comercial a las 39.848
direcciones de correo electrónico recogidas a través del formulario de la campaña
“(.........)”, de las que 5.837, todas ellas distintas, fueron recibidas y leídas por sus
destinatarios, enervándose de esta manera el alegato relativo a que no se había
probado el envío masivo de correos electrónicos comerciales a las direcciones
proporcionadas por los concursantes y destruyéndose la afirmación de que dicha
imputación se apoyaba en una mera suposición, sin que, por otra parte, T.T.T. haya
precisado la naturaleza de la prueba electrónica forense a la que se refiere en sus
alegaciones a la propuesta de resolución.

En resumen, el presente supuesto se ajusta al tipo de infracción establecido en

el artículo 38.3.c) de la LSSI, calificado como infracción grave, al tratarse del envío
masivo de comunicaciones comerciales no solicitadas a una multitud de destinatarios
diferentes en un breve lapso de tiempo, sin que T.T.T. haya acreditado el
cumplimiento de los requisitos establecidos en el artículo 21 de la LSSI y sin que
tampoco haya justificado la existencia de una relación comercial previa entre emisor y
receptor de los mismos.

c. Jorge Juan 6 28001 Madrid www.agpd.es

 23/24

XI

A tenor de lo establecido en el artículo 39.1.b) de la LSSI, las infracciones

graves serán sancionadas con multa de 30.001 hasta 150.000 euros, estableciéndose
los criterios para su graduación en el artículo 40 de la misma norma que dispone:

“La cuantía de las multas que se impongan se graduará atendiendo a los

siguientes criterios:
a) La existencia de intencionalidad.
b) Plazo de tiempo durante el que se haya venido cometiendo la infracción.
c) La reincidencia por comisión de infracciones de la misma naturaleza, cuando
así haya sido declarado por resolución firme.
d) La naturaleza y cuantía de los perjuicios causados.
e) Los beneficios obtenidos por la infracción.
f) Volumen de facturación a que afecte la infracción cometida”.

De conformidad con el principio de proporcionalidad y en base a los criterios

de graduación de la sanción recogidos en el señalado artículo 40 de la LSSI, y
particularmente a la inexistencia de intencionalidad y el plazo de tiempo durante el que
se cometió la infracción, acreditados en el presente procedimiento, procede imponer a
la sociedad imputada la sanción en su importe mínimo de 30.001 € (Treinta mil un
euros).

Vistos los preceptos citados y demás de general aplicación,

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad TICK TACK TICKET, S.A., por una infracción del
artículo 21, apartados 1 y segundo párrafo del apartado 2, de la LSSI, tipificada como
grave en el artículo 38.3.c) de dicha norma, una sanción de 30.001 € (Treinta mil un
euros) de conformidad con lo establecido en los artículos 39.1.b) y 40 de la citada Ley.

SEGUNDO: NOTIFICAR la presente resolución a la entidad TICK TACK TICKET, S.A.

y a la Asociación FACUA-Consumidores en Acción.

TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en

el plazo de pago voluntario que señala el artículo 68 del Reglamento General de
Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el
art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta
restringida nº 0000 0000 00 0000000000 abierta a nombre de la Agencia Española de
Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario,
se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los
días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario
será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la
notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

c. Jorge Juan 6 28001 Madrid www.agpd.es

 24/24

De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,

en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de
medidas fiscales, administrativas y del orden social, la presente Resolución se hará
pública, una vez haya sido notificada a los interesados. La publicación se realizará
conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia
Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo
a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el
que se aprueba el reglamento de desarrollo de la LOPD.

Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de
26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del
Procedimiento Administrativo Común, los interesados podrán interponer,
potestativamente, recurso de reposición ante el Director de la Agencia Española de
Protección de Datos en el plazo de un mes a contar desde el día siguiente a la
notificación de esta resolución, o, directamente recurso contencioso administrativo
ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a
lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la
Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa,
en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto,
según lo previsto en el artículo 46.1 del referido texto legal.

Madrid, 14 de septiembre de 2009

EL DIRECTOR DE LA AGENCIA ESPAÑOLA

DE PROTECCIÓN DE DATOS

Fdo.: Artemi Rallo Lombarte

c. Jorge Juan 6 28001 Madrid www.agpd.es