Actualidad
04.04.2012
El Gobierno reforma la normativa sobre cookies y comunicaciones comerciales por vía electrónica
El pasado sábado 31 de marzo se publicó en el BOE la reforma de la LSSI y la normativa sobre comunicaciones electrónicas para adaptarlas a las Directivas europeas y que incorpora a nuestro derecho interno nuevas obligaciones en materia de comunicaciones comerciales por vía electrónica y en materia de cookies.
El pasado sábado se publicó en el BOE el Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista.
En materia de comunicaciones electrónicas el Real Decreto incorpora al ordenamiento jurídico español la regulación europea en la materia contenida en dos Directivas europeas, la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (Derechos de los Ciudadanos), y la Directiva 2009/140/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (Mejor Regulación), mediante la modificación de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, así como, en menor medida la modificación de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico (en adelante, LSSI).
En relación con la modificación de la regulación de los servicios de la sociedad de la información, se trata de adecuar nuestra regulación a la europea en lo relativo al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, destacando especialmente la nueva exigencia del consentimiento del usuario sobre los archivos o programas informáticos (como las llamadas «cookies») que almacenan información en el equipo de usuario y permiten que se acceda a ésta.
Para ello se ha modificado la redacción del artículo 22.2 de la LSSI, que pasa a ser la siguiente:
“2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”
De acuerdo con esta redacción, para que los prestadores de servicios de la sociedad de la información puedan utilizar dispositivos como las cookies, es preciso que previamente hayan informado sobre su uso y fines, de acuerdo a la LOPD, y obtenido el consentimiento del usuario.
El problema se presenta en la práctica en la forma en que ha de facilitarse la información y recabarse el consentimiento. En algunos países de la UE cuya normativa fue objeto de adaptación a la Directiva europea antes que la nuestra ya podemos ver ejemplos prácticos de la aplicación de esta obligación de información; en este sentido, es conocida la solución por la que ha optado la autoridad britanica de protección de datos informando sobre el uso de cookies y solicitando el consentimiento marcando una casilla cuando se accede a su web (http://www.ico.gov.uk/).
No obstante, puede que no sea ésta la solución que finalmente adopten las webs españolas, ya que la modificación ha incluido la posibilidad de que el consentimiento se exprese de forma tácita a través de la configuración del navegador, siempre que ésta no sea la elegida por defecto por el propio programa. Esta posibilidad de consentimiento por configuración no aparece en el artículado de la Directiva, pero sí se recoge en su exposición de motivos, y en documentos elaborados por el Grupo de Trabajo de Protección de Datos del Artículo 29, aunque es una posibilidad que no está exenta de críticas por poco garantista.
Además de estas novedades en relación con las cookies, también se reforma la LSSI en materia de comunicaciones comerciales. En concreto se ha añadido un nuevo apartado 4 al artículo 20 de la LSSI, del siguiente tenor:
“4. En todo caso, queda prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación o que contravengan lo dispuesto en este artículo, así como aquéllas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en este artículo.”
Se refuerza de este modo la obligación de identificación de las comunicaciones comerciales y de la persona por cuenta de la que se realizan, que ya aparecía recogida en el apartado 1 del mismo artículo.
También se añade un nuevo párrafo al apartado 2 del artículo 21 de la LSSI, con la siguiente redacción:
“Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.”
Esta modificación coincide también con la nueva redacción que se ha dado al artículo 22.1 de la LSSI. En la práctica, supondrá la nueva obligación de incluir en las comunicaciones comerciales recibidas a través del email, tal vez las más frecuentes, que el remitente incluya una dirección electrónica para el ejercicio por el destinatario del derecho de oposición al tratamiento de sus datos con fines promocionales. En la práctica, esta obligación parece que también admite varias soluciones, por lo que habrá de estudiarse cada caso concreto para ver cuál de ellas es la más adecuada.
Estas modificaciones, de acuerdo con lo dispuesto en la Disposición Final Octava del Real Decreto, entran en vigor el día siguiente al de su publicación en el BOE, lo que se produjo el pasado sábado 31 de marzo, por lo que a día de hoy ya son aplicables. Por último, hay que hacer notar que con la prisa por modificar la LSSI, parece que se ha olvidado modificar el régimen sancionador de la misma para castigar el incumplimiento de estas obligaciones, así que habrá que ver si la infracción de las nuevas normas, puede ser sancionada de acuerdo con el régimen anterior, algo que no está nada claro.
En materia de comunicaciones electrónicas el Real Decreto incorpora al ordenamiento jurídico español la regulación europea en la materia contenida en dos Directivas europeas, la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (Derechos de los Ciudadanos), y la Directiva 2009/140/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (Mejor Regulación), mediante la modificación de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, así como, en menor medida la modificación de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico (en adelante, LSSI).
En relación con la modificación de la regulación de los servicios de la sociedad de la información, se trata de adecuar nuestra regulación a la europea en lo relativo al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, destacando especialmente la nueva exigencia del consentimiento del usuario sobre los archivos o programas informáticos (como las llamadas «cookies») que almacenan información en el equipo de usuario y permiten que se acceda a ésta.
Para ello se ha modificado la redacción del artículo 22.2 de la LSSI, que pasa a ser la siguiente:
“2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”
De acuerdo con esta redacción, para que los prestadores de servicios de la sociedad de la información puedan utilizar dispositivos como las cookies, es preciso que previamente hayan informado sobre su uso y fines, de acuerdo a la LOPD, y obtenido el consentimiento del usuario.
El problema se presenta en la práctica en la forma en que ha de facilitarse la información y recabarse el consentimiento. En algunos países de la UE cuya normativa fue objeto de adaptación a la Directiva europea antes que la nuestra ya podemos ver ejemplos prácticos de la aplicación de esta obligación de información; en este sentido, es conocida la solución por la que ha optado la autoridad britanica de protección de datos informando sobre el uso de cookies y solicitando el consentimiento marcando una casilla cuando se accede a su web (http://www.ico.gov.uk/).
No obstante, puede que no sea ésta la solución que finalmente adopten las webs españolas, ya que la modificación ha incluido la posibilidad de que el consentimiento se exprese de forma tácita a través de la configuración del navegador, siempre que ésta no sea la elegida por defecto por el propio programa. Esta posibilidad de consentimiento por configuración no aparece en el artículado de la Directiva, pero sí se recoge en su exposición de motivos, y en documentos elaborados por el Grupo de Trabajo de Protección de Datos del Artículo 29, aunque es una posibilidad que no está exenta de críticas por poco garantista.
Además de estas novedades en relación con las cookies, también se reforma la LSSI en materia de comunicaciones comerciales. En concreto se ha añadido un nuevo apartado 4 al artículo 20 de la LSSI, del siguiente tenor:
“4. En todo caso, queda prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación o que contravengan lo dispuesto en este artículo, así como aquéllas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en este artículo.”
Se refuerza de este modo la obligación de identificación de las comunicaciones comerciales y de la persona por cuenta de la que se realizan, que ya aparecía recogida en el apartado 1 del mismo artículo.
También se añade un nuevo párrafo al apartado 2 del artículo 21 de la LSSI, con la siguiente redacción:
“Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.”
Esta modificación coincide también con la nueva redacción que se ha dado al artículo 22.1 de la LSSI. En la práctica, supondrá la nueva obligación de incluir en las comunicaciones comerciales recibidas a través del email, tal vez las más frecuentes, que el remitente incluya una dirección electrónica para el ejercicio por el destinatario del derecho de oposición al tratamiento de sus datos con fines promocionales. En la práctica, esta obligación parece que también admite varias soluciones, por lo que habrá de estudiarse cada caso concreto para ver cuál de ellas es la más adecuada.
Estas modificaciones, de acuerdo con lo dispuesto en la Disposición Final Octava del Real Decreto, entran en vigor el día siguiente al de su publicación en el BOE, lo que se produjo el pasado sábado 31 de marzo, por lo que a día de hoy ya son aplicables. Por último, hay que hacer notar que con la prisa por modificar la LSSI, parece que se ha olvidado modificar el régimen sancionador de la misma para castigar el incumplimiento de estas obligaciones, así que habrá que ver si la infracción de las nuevas normas, puede ser sancionada de acuerdo con el régimen anterior, algo que no está nada claro.
Más información: www.boe.es/boe/dias/2012/03/31/pdfs/boe-a-2012-4442.pdf
