Correos trampa: la defensa digital definitiva contra notificaciones ilegales

En la guerra asimétrica que se libra día a día entre el ciudadano medio y la administración pública, donde el primero suele ir desarmado y el segundo actúa con la prepotencia de quien se cree por encima del bien y del mal, emergen de vez en cuando estrategias capaces de cambiar las reglas del juego. Esta es una de ellas.

Hoy presentamos una herramienta de autodefensa cívica, tan sencilla en su diseño como letal en sus consecuencias: la creación de correos electrónicos trampa. Se trata de una práctica legal, transparente y fácilmente automatizable, que permite exponer las costuras más burdas de las administraciones públicas que, por costumbre, por desidia o por ignorancia, vulneran sistemáticamente los principios más básicos del derecho administrativo, la normativa sobre protección de datos, y el derecho fundamental a la defensa. En muchos casos, esta técnica puede llevar a la anulación de procedimientos sancionadores enteros, a sanciones por parte de autoridades como la APDCAT o la AEPD, y a reclamaciones de responsabilidad patrimonial por actuación administrativa negligente o dolosa.

---

El marco legal: DEV, DEHú y el principio de notificación válida

Desde el 1 de noviembre de 2022, todas las personas jurídicas están obligadas a recibir notificaciones electrónicas en materia de tráfico a través de la plataforma DEV (Dirección Electrónica Vial), dependiente de la DGT. Para el resto de notificaciones, se debe utilizar obligatoriamente la DEHú (Dirección Electrónica Habilitada Única). La jurisprudencia y la normativa vigente son claras: cualquier notificación realizada por cauces no autorizados, no consentidos o no verificados, carece de validez jurídica, siendo nula de pleno derecho (art. 47.1.e de la Ley 39/2015).

Estas infracciones pueden dar lugar a:

• Grave infracción del RGPD (arts. 5.1.b y 6.1);
• Lesión del derecho de defensa (art. 24 de la Constitución);
• Contravención del principio de legalidad administrativa (art. 103 CE);
• Nulidad absoluta de la notificación y de todo el procedimiento sancionador.

---

La idea: correos tipo "ayto.nombre@tudominio.com"

Adquiere un dominio, por ejemplo midominioespelopez.com, y crea correos electrónicos asociados a distintas instituciones (si no sabes como hacerlos nosotros te ofrecemos el servicio), como:

• ayto.barcelona@midominioespepelopez.com
• dgt@midominioespepelopez.com
• orgt@midominioespepelopez.com

Estos correos se utilizan como direcciones de contacto trampa para aquellos casos en los que una administración requiere un correo electrónico vinculado a una empresa o a un procedimiento administrativo, constituyendo así un buzón específicamente diseñado para identificar irregularidades. Si la administración implicada es negligente (algo más que frecuente) o si delega todo el proceso en automatismos, procederá a utilizar esa dirección en notificaciones oficiales y, lo que es más grave, podría remitirla a otros organismos administrativos sin control ni verificación, y mucho menos tu autorización generando una cadena de cesión de datos injustificada. Parece una tontería, pero no lo es tanto.

Esta práctica contraviene frontalmente la normativa vigente en materia de protección de datos, específicamente lo dispuesto en los artículos 5.1.c y 6.1 del Reglamento General de Protección de Datos (RGPD), que exigen que el tratamiento de datos personales sea adecuado, pertinente y limitado a lo necesario, y basado en una base legal válida. Asimismo, el artículo 32 del mismo Reglamento impone a los responsables y encargados del tratamiento la obligación de garantizar la seguridad y confidencialidad de la información, impidiendo que los datos sean cedidos sin justificación o consentimiento.

En consecuencia, este tipo de cesiones automatizadas e indiscriminadas de información personal o empresarial carece de cobertura legal y puede ser calificada de ilícita, dando lugar a infracciones administrativas, nulidad de actuaciones, e incluso responsabilidad patrimonial o penal de los funcionarios o entidades que la ejecuten sin base jurídica habilitante.

El resultado: la notificación llega a una persona ajena al procedimiento (tú) desde otra administracion (en los casos de Catalunya desde el ORGT desde la Diputacion de Barcelona), quedando registrado de forma fehaciente que la notificación ha sido mal dirigida, lo que la invalida de inmediato y expone a la administración a sanciones por uso indebido de datos y vulneración del procedimiento.

¿Como lo puedes saber? Facilisimo. Si has creado para el Ayuntamiento de Palafolls, un email llamada **ayto.palafolls@midominioespepelopez.com* y te llega una notificacion de hacienda, la ORGT o cualquier otro organismo, ya sabes que ha habido trafico ilegal de datos.*

---

Qué hacer cuando caen en la trampa

1. Recoge la evidencia digital: guarda el email completo con encabezados, fecha y metadatos. Si puedes, usa proveedores con sellado temporal como ProtonMail, Mailfence o servicios certificados.
2. Formula reclamación ante la APDCAT o la AEPD: denuncia el tratamiento indebido de datos personales y la cesión no autorizada.
3. Presenta queja ante el Síndic de Greuges o El Defensor del Pueblo: enfatiza la vulneración de derechos fundamentales.
4. Presenta oposición formal ante la administración responsable un dia antes de que acabe el plazo y cualquier órgano ejecutor como el ORGT. NO ABRAS NUNCA EL EMAIL QUE TE HAN ENVIADO, PUES LO SABEN. O si te puede la curiosidad hazlo el ultimo dia del plazo que te dan para que empiece a contar los 10 dias habiles desde ese momento.
5. Reclama la nulidad del procedimiento desde su origen, alegando que la notificación es ineficaz por defecto de legitimación del receptor, ya que estan usando una direccion de correo que han obtenido ilegalmente. Se sabe por el nombre.
6. Documenta el caso para uso futuro: cada error de la administración refuerza tu posición ante posibles sanciones sucesivas.
7. Envianos el expediente a Multas.EU (tambien lo puedes hacer tu, pero nosotros no nos equivocamos en nada, pues ya conocemos el sistema)
8. Sientate a esperar.

---

Efectos colaterales deseables

Aplicando este método de forma repetida y metódica, se logra mucho más que anular una simple multa. Se fuerza a la administración a:

• Revisar y actualizar sus protocolos de notificación.
• Mejorar sus controles internos de tratamiento de datos.
• Asumir costes de indemnización o de tramitación adicional.

Este coste creciente, tanto operativo como reputacional, fuerza a las instituciones a cambiar el modelo de "notifico como quiero y si cuela, cuela", por otro donde el cumplimiento normativo y la seguridad jurídica sean prioritarios, y hasta que lo cambien, pasaran años... y desde Multas.EU, ya habremos encontrado otro sistema para fastidiarles el nuevo "truco" que usen. Recordad, "el que vale, vale y el que no para funcionario (o cura)"

---

Recomendaciones avanzadas

• Usa servicios que permitan auditar el acceso al correo (logs de acceso, IPs, horarios).
• Redirige los correos a una cuenta centralizada donde puedas analizarlos todos.
• No uses nombres demasiado evidentes: intercala guiones, subdominios, o nombres locales que suenen realistas. Vamos no crees el dominio "dominiotrampa.com".
• Archiva y conserva toda comunicación: los tiempos de prescripción pueden jugar a tu favor si demuestras dolo o reincidencia. Recuerda que tardan mucho en notificar, (aunque tienen 90 dias para ello)... si tu juegas con los plazos, les contestas en el ultimo dia, tienen que volver a ponerte en la cola de notificaciones. El resultado, 99% de la veces llegara fuera de plazo, y te habras librado de la sancion y ellos se habran ganado otra de la AEPDCAT, AEPD, Europa o desde donde la envies.
• Este sistema sirve para todas las administraciones.

---

Conclusión

Los correos trampa no son una triquiñuela ni una picardía. Son una herramienta de fiscalización ciudadana en un ecosistema donde los errores administrativos tienen consecuencias reales y muchas veces devastadoras para los derechos de los administrados.

Desde multas.eu, no promovemos fraudes, sino resistencia legal basada en la inteligencia digital y por supuesto usando Inteligencia Artificial. Cuanto más caro y arriesgado resulte para la administración seguir actuando de forma chapucera, más probable es que adopten las garantías que el ordenamiento jurídico exige.

Y por último, un recordatorio para los organismos públicos que nos leen: cada notificación mal emitida puede convertirse en una mina jurídica que explote meses después, en sede judicial, con efectos retroactivos.

En el siglo XXI, quien notifica mal, pierde. Y si reincide, paga. Aunque ya sabemos que las sanciones que se ponen entre administraciones encima ni las pagan... pero si lo apuntan, y si lo hacen muchas veces... cada vez que reciban en la Administración ejecutadora/notificadora otra notificaciones de esa Administración, lo pasaran a una cola especial de procesamiento manual y lo miraran con lupa... y eso es mas tiempo, que juega a tu favor.