Un nuevo paso para la aprobación del Reglamento UE de Protección de Datos a final de año

El Consejo de Justicia de la UE, formado por los ministros de Justicia e Interior de la Unión Europea, llegó ayer en Luxemburgo a un acuerdo en ciertas materias que acercan las posiciones y permiten mantener la planificación inicial de aprobar el Reglamento a finales de año.

Las materias en las que hubo acuerdo son las siguientes:

1. Régimen de la transferencia de datos a terceros países o en el seno de organizaciones internacionales.

2. Aspectos relativos al ámbito territorial, que incluyen la aplicación de las obligaciones del Reglamento a todas las empresas que operen en el Mercado Único Europeo, aunque no sean europeas.

3. Definición del concepto Binding Corporate Rules.

4. Definición del concepto organizaciones internacionales.

Se debatieron también aspectos relativos al principio one-stop-shop, que incluye la posibilidad de que una empresa se dirija a una única autoridad nacional de protección de datos para negociar cuestiones relativas a su actuación en todo el Mercado Único Europeo. Este punto no está exento de polémica, ya que las empresas podrían dirigirse sistemáticamente a las autoridades nacionales menos exigentes en detrimento de las “Rottweiler authorities”. Este debate ha quedado aplazado para próximas reuniones.

En la actualidad hay tres puntos que actúan como aceleradores del proceso y que permiten pronosticar nuevos avances en la reunión del Consejo de la UE prevista para los días 26 y 27 de este mes.

Estos tres puntos son:

1. El caso Snowden y los escándalos de espionaje de EEUU
2. La sentencia del TJUE relativa al derecho al olvido
3. El mercado único digital

La comisaria europea de Justicia, Viviane Reding, principal impulsora de esta iniciativa legislativa, hizo ayer especial énfasis en la necesidad de que la UE apruebe el Reglamento lo antes posible y afirmó que, con los acuerdos alcanzados, esta aprobación estaba más próxima.

La reunión del Consejo de la UE de finales de este mes también permitirá ver la posición de Inglaterra y la influencia en ella de EEUU. Está previsto que la normativa norteamericana vaya alineándose progresivamente a la europea en materia de protección de datos y alejándose de la amenaza de suspensión de los acuerdos Safe Harbor originada tras los escándalos de espionaje.

La seguridad informática en la nueva Ley de Seguridad Privada

La nueva Ley de seguridad privada, publicada hoy en el BOE, y que entrará en vigor dentro de dos meses, contiene dos definiciones de seguridad informática.

En el artículo 6.6 se define la seguridad informática como el conjunto de medidas encaminadas a proteger los sistemas de información a fin de garantizar la confidencialidad, disponibilidad e integridad de la misma o del servicio que aquéllos prestan.

En dicho artículo se establece que, a las empresas que se dediquen a las actividades de seguridad informática se les podrán imponer reglamentariamente requisitos específicos para garantizar la calidad de los servicios que presten. El legislador justifica esta regulación por la incidencia directa de estos servicios en la seguridad de las entidades públicas y privadas.

Las empresas que realicen actividades de seguridad informática deberán anotar sus datos en el Registro Nacional de Seguridad Privada y en los registros autonómicos, de acuerdo con lo que reglamentariamente se determine.

Por otro lado, el artículo 52.c establece que las medidas de seguridad informática tienen por objeto la protección y salvaguarda de la integridad, confidencialidad y disponibilidad de los sistemas de información y comunicación, y de la información en ellos contenida.

Dado que entre las dos definiciones se aprecian ciertas discrepancias, ya que la primera extiende la protección a los servicios, y la segunda no, mientras la segunda extiende la protección a los sistemas de comunicación y la primera no, entendemos que la definición legal de la seguridad informática debe ser la suma de las dos, y que, por lo tanto, quedará configurada de la siguiente manera:

  1. Conjunto de medidas
  2. Encaminadas a proteger y salvaguardar los sistemas de información y comunicación
  3. A fin de garantizar la confidencialidad, integridad y disponibilidad
  4. De la información en ellos contenida
  5. O del servicio que dichos sistemas prestan

Es importante reseñar que el artículo 57 establece como infracción muy grave, con sanciones de hasta 600.000 euros, la falta de comunicación por parte de las empresas de seguridad informática de las incidencias relativas al sistema de cuya protección sean responsables cuando sea preceptivo.

Los sistemas de seguridad y los elementos de seguridad física, electrónica e informática que se instalen a partir del 5 de junio de 2014 deberán cumplir todas las exigencias y requisitos establecidos en la Ley de seguridad privada y en su normativa de desarrollo.

Queda por lo tanto pendiente el desarrollo reglamentario, que deberá tener lugar antes de la fecha de entrada en vigor de la ley, para posibilitar el cumplimiento de los requisitos que serán obligatorios a partir de dicha fecha.

 

Acuerdo con Javier Puyol

Esta semana hemos formalizado un acuerdo de colaboración con Javier Puyol Montero, abogado con despacho en Madrid, para la prestación de servicios jurídicos en las áreas de nuestra especialidad.

Javier ha sido durante 16 años el Director de la Asesoría Jurídica Contenciosa del BBVA, circunstancia que le confiere una gran experiencia en áreas como la protección de datos, los contratos de cloud computing, BYOD, big data, marketing online y otras materias relacionadas con el Derecho de las TIC.

Javier es Magistrado en excedencia y ha sido Letrado en el Tribunal Constitucional, por lo que también atesora una gran experiencia procesal que será de gran utilidad para reclamaciones en las jurisdicciones civil, penal y contencioso-administrativa.

Con este acuerdo se abre la posibilidad de ampliar el ámbito geográfico de nuestros servicios y de reforzar las áreas de práctica existentes.

Modificación de la Ley General para la Defensa de los Consumidores y Usuarios

El BOE de hoy publica la modificación del texto refundido de la LGDCU, que incluye las siguientes cambios más relevantes:

SERVICIOS DE ATENCIÓN AL CLIENTE

  • Los servicios de atención al cliente deberán entregar una clave identificativa y un justificante por escrito, en papel o en cualquier otro soporte duradero, para que el usuario tenga constancia de sus quejas y reclamaciones.
  • El uso de una línea telefónica de atención al consumidor no podrá suponer para éste un coste superior a la tarifa básica.
  • El plazo máximo de resolución de las reclamaciones recibidas será de un mes.

INFORMACIÓN PRECONTRACTUAL Y CONTRATOS

  • Se detalla y amplía la información que el consumidor o usuario deberá recibir con carácter previo a la formalización del contrato.
  • La información deberá extenderse por ejemplo, a la garantía legal y a las garantías comerciales, los compromisos de permanencia, las penalizaciones, la funcionalidad e interoperabilidad de los contenidos digitales y el procedimiento para atender las reclamaciones.
  • El botón o la función similar de enviar un pedido con obligación de pago deberá etiquetarse de manera que sea fácilmente legible, con la expresión «pedido con obligación de pago» o una formulación análoga. En caso contrario, el consumidor y usuario no quedará obligado por el contrato o pedido.
  • La letra de los contratos deberá tener un tamaño mínimo de un milímetro y medio y el contraste con el fondo no debe dificultar la lectura.
  • La empresa deberá adoptar las medidas adecuadas y eficaces que le permitan identificar inequívocamente al consumidor y usuario con el que celebra el contrato.

PAGOS ADICIONALES

  • Antes de que el consumidor y usuario quede vinculado por cualquier contrato u oferta, el empresario deberá obtener su consentimiento expreso para todo pago adicional a la remuneración acordada para la obligación contractual principal del empresario.

CARGOS POR LA UTILIZACIÓN DE MEDIOS DE PAGO

  • Los empresarios no podrán facturar a los consumidores y usuarios, por el uso de determinados medios de pago, cargos que superen el coste soportado por el empresario por el uso de tales medios.
  • Corresponde al empresario probar el cumplimiento de esta obligación.

FACTURACIÓN ELECTRÓNICA

  • Los consumidores y usuarios tendrán derecho a recibir la factura en papel.
  • La expedición de la factura electrónica estará condicionada a que el empresario haya obtenido previamente el consentimiento expreso del consumidor.

ENTREGA DE LOS BIENES

  • El plazo máximo de entrega será de 30 días naturales, salvo que las partes acuerden otra cosa.

DERECHO DE DESISTIMIENTO

  • El plazo de desistimiento pasa a ser de 14 días naturales, salvo que concurran excepciones.
  • Se detalla el régimen aplicable al desistimiento.
  • Si la empresa no hubiera cumplido con el deber de información y documentación sobre el derecho de desistimiento, el plazo para su ejercicio finalizará doce meses después de la fecha de expiración del periodo de desistimiento inicial 

  • Extensión a los contratos celebrados a través de Internet de la resolución automática de los créditos asociados al contrato tras ejercitar el desistimiento.

COMUNICACIONES COMERCIALES

  • Se detallan los requisitos que deberán cumplir las comunicaciones comerciales a distancia.

EJECUCIÓN DEL CONTRATO A DISTANCIA

  • Se regulan los supuestos de falta de ejecución del contrato, la sustitución de un bien o servicio y el pago mediante tarjeta.

CONSECUENCIAS DEL INCUMPLIMIENTO

  • El contrato celebrado sin que se haya facilitado al consumidor y usuario la copia del contrato celebrado o la confirmación del mismo podrá ser anulado a instancia del consumidor y usuario por vía de acción o excepción.
  • El empresario asumirá la carga de la prueba del cumplimiento de sus obligaciones de entrega de una copia del contrato celebrado o de la confirmación del mismo.
  • El incumplimiento de las normas que regulan el comercio electrónico y los servicios financieros a distancia, entre otros, será considerado práctica desleal por engañosa.

El plazo de adaptación de los contratos, las condiciones generales de contratación y los sitios web a este nuevo mapa de obligaciones finaliza el 13 de junio de 2014.

 

Corrupción internacional y empresas españolas: cambio legislativo

La polémica Ley Orgánica relativa a la justicia universal ha introducido la corrupción privada y pública en transacciones económicas internacionales en la lista de los delitos que, cometidos fuera del territorio nacional, son susceptibles de ser perseguidos por la jurisdicción española.

La incorporación al ordenamiento jurídico español de estos delitos se produjo en la reforma del Código Penal de 2010, pero quedaba pendiente la definición de los aspectos de jurisdicción. Esta norma se anticipa por lo tanto a la reforma del Código Penal que está discutiéndose en el Congreso de los Diputados, en la que estaba previsto incorporar estas previsiones a través del nuevo artículo 286 quinquies del proyecto.

Desde la entrada en vigor de esta ley el sábado pasado, la jurisdicción española será competente para conocer de los delitos de corrupción entre particulares o en las transacciones económicas internacionales, cuando el delito hubiera sido cometido por una persona jurídica, empresa, organización, grupos o cualquier otra clase de entidades o agrupaciones de personas que tengan su sede social o domicilio social en España.

También será competente la jurisdicción española cuando el delito hubiera sido cometido por el directivo, administrador empleado o colaborador de un a empresa mercantil, o de una sociedad, asociación, fundación u organización que tenga su sede o domicilio social en España.

Aunque la redacción no es muy acertada, y entra en una aparente contradicción con la exposición de motivos, se entiende que los delitos a los que hace referencia este cambio legislativo son, en el campo de la corrupción, los siguientes:

  1. La corrupción entre particulares, también llamada corrupción privada, que consiste en la promesa, ofrecimiento o concesión a directivos, administradores, empleados o colaboradores de una empresa mercantil o de una sociedad, asociación, fundación u organización, de un beneficio o ventaja de cualquier naturaleza no justificados para que le favorezca a él o a un tercero frente a otros, incumpliendo sus obligaciones.
  2. La corrupción en las transacciones económicas internacionales, que se refiere a los ilícitos previstos en el Convenio de la OCDE de lucha contra la corrupción de agentes públicos extranjeros en las transacciones comerciales internacionales, tal como indica la exposición de motivos.

Las empresas españolas deberán extremar los controles para evitar estas dos modalidades de corrupción, que pueden ser perseguidas en España a pesar de que el delito haya sido cometido en el extranjero.

Indice de madurez de la empresa española en materia de corporate compliance

Nuestro despacho inicia hoy un estudio cuya finalidad es determinar el nivel de madurez de la empresa española en materia de corporate compliance. Una vez finalizado el estudio se publicará el índice de madurez, general y por sectores, que será actualizado cada año.

El estudio va enfocado a conocer la capacidad de la empresa para demostrar que realmente dispone de un modelo eficaz de prevención y control de delitos, más allá del habitual esfuerzo cosmético del llamado “makeup compliance”.

Para participar en el estudio sólo hay que descargar y cumplimentar este cuestionario:

Cuestionario Estudio IM2014

INSTRUCCIONES

1. Para cumplimentar este cuestionario sólo hay que introducir 1, 2 ó 3 en las casillas correpondiente de la columna G (señalada en amarillo)

2. Una vez cumplimentado el cuestionario rogamos que lo envíen a la dirección indicada en el cuestionario. Sólo se aceptarán los cuestionarios enviados desde direcciones de correo electrónico cuyo nombre de dominio contenga el nombre de la empresa que haya contestado el cuestionario.

3. La finalidad y los resultados del estudio son meramente estadísticos y se publicarán sin mencionar el nombre de las empresas participantes en el mismo.

4. El índice de madurez en relación a cada delito será adaptado utilizando la variable sector como factor de corrección.

Agradecemos de antemano la participación en el estudio.

¿Por qué los sistemas de corporate compliance norteamericanos no funcionan en España?

Los modelos de prevención de la responsabilidad penal norteamericanos, y los anglosajones en general, están basados en auditorías, investigaciones, documentos e informes realizados internamente por la empresa o por auditores externos.

En caso de querella, las pruebas que se utilizarán en la defensa de la empresa y de sus directivos han sido creadas bajo su control y han permanecido en un estado que permite su modificación, lo cual podría afectar su fiabilidad o credibilidad y, por ello, su fuerza probatoria.

Sin embargo, los modelos de prevención y control, y las normas que inspiran el compliance en EEUU, se basan en ellas porque normalmente se presume que no han sido modificadas.

Podríamos decir que los sistemas jurídicos anglosajones están basados en la confianza en la persona y en que dice la verdad. La mentira constituye por lo tanto una circunstancia agravante o cualificadora del dolo. Por eso al viajar a EEUU tenemos que responder a preguntas como “¿Planea usted asesinar al Presidente?”, que serían impensables en la Europa continental.

Nuestro Derecho, en cambio, está basado en la desconfianza, en que las personas mentimos y ello se traduce en una mayor carga probatoria y burocrática en nuestras relaciones con las administraciones públicas, ante las que tenemos que demostrar constantemente que decimos la verdad. Por eso no podemos constituir una sociedad plenamente operativa en unas horas.

En mi primer empleo en un despacho de abogados me ofrecí, para ganar puntos, a pasar las actas de los clientes a los libros de actas, que estaban todos vacíos. Mi jefe me explicó que estaban vacíos a propósito ya que el cliente podía tener que inventarse un acuerdo o una Junta y si las actas ya estaban pasadas a los libros esa manipulación del pasado a favor de los intereses del cliente no sería posible. Incluso se comentaba entonces que los notarios guardaban habitualmente números de protocolo sin utilizar para clientes especiales. Como los hoteles hacen con algunas habitaciones.

Esta ligereza moral contrastaba con la rectitud, casi autista a los ojos de esa época, de los clientes norteamericanos del despacho, que nunca aceptaron firmar actas o contratos predatados. Estamos hablando de los años ochenta, pero también de dos culturas distintas, cuyas diferencias se van difuminando, pero todavía persisten en la actualidad.

No me extraña por lo tanto la desconfianza de nuestro legislador. Somos mediterráneos. Tanto nosotros como él.

También será mediterráneo el abogado que interpondrá la querella que obligará a la empresa y a sus directivos a defenderse de una posible responsabilidad penal. Como experto depredador de pruebas, este abogado pondrá en duda la credibilidad y la fecha de las pruebas utilizadas por la defensa porque muy probablemente él mismo habrá preparado en otros casos la defensa de sus clientes sobre los débiles cimientos de unas pruebas creadas tras la notificación de la querella.

Perdón por la crudeza, pero lamentablemente estamos en un país en el que no hay cultura de preconstitución de prueba y nos enfrentamos a los procesos judiciales como el mal estudiante, que sólo estudia los días anteriores al examen.

La metodología anglosajona de compliance es buena como base, pero hay que adaptarla a nuestra cultura y a las características de la estrategia procesal penal de nuestro probable adversario. Dado que en sede penal se produce un nivel de impugnación de la prueba superior al de otras jurisdicciones, tenemos que blindar la prueba, cronológicamente y en cuanto a su contenido.

Nuestros modelos de corporate compliance tienen que estar orientados irremediablemente a la querella. Tenemos que aplicar un esquema de “litigation readiness” pero defensivo, y basado en la certeza de que nuestras pruebas van a ser impugnadas, o al menos, puestas en duda.

Por ello, un proyecto de corporate compliance no estará acabado hasta que se hayan creado las evidencias del cumplimiento y de la eficacia de los controles, y hasta que cada una de esas pruebas tenga una garantía de integridad y una fecha indubitada.

Cookies y WordPress

Ya que en la reciente sanción de la AEPD por informar de manera insuficiente sobre el uso de cookies de terceros en un sitio web se mencionaba un blog en WordPress, publico una breve nota para explicar mi opinión al respecto.

WordPress puede ser utilizado de dos maneras:

  1. Creando un blog en la plataforma online que WordPress (Automattic Inc.) ofrece.
  2. Utilizando la aplicación de WordPress para diseñar el blog y después alojarlo en un servidor propio o en régimen de hosting.

En el primer caso, el usuario de WordPress no tiene control sobre las cookies, salvo que la plataforma disponga de una posibilidad de configuración que yo no he sabido encontrar.

El único control que el usuario/autor del blog tiene es sobre los servicios que contrata.

Por lo tanto, el usuario/autor del blog tiene que valorar los beneficios que obtiene y las cargas que tiene que afrontar en la contratación de cada unos de los servicios que la plataforma ofrece.

Por ejemplo, si contrata servicios de publicidad, o estadísticas “full equip” de Google Analytics, el usuario/autor del blog deberá conocer las cookies que se instalan, los datos que obtienen y los destinatarios de los mismos con el fin de informar sobre ellas y obtener el consentimiento de los visitantes del blog.

Si el usuario/autor del blog no contrata servicio alguno y se limita a publicar sus posts, en mi opinión, sólo tiene que informar de que Automattic Inc. utiliza cookies para prestar servicios estadísticos, analíticos y publicitarios que el autor del blog no tiene contratados. El consentimiento, en este caso, va dirigido a Automattic Inc, ya que el usuario/autor del blog no es responsable del fichero ni del tratamiento. Ello significa que en la segunda capa de información debe remitir a la política de privacidad y cookies de Automattic Inc.

En este caso, entiendo que las cookies se instalan igualmente, por defecto, pero no recogen datos, ya que no se ha contratado ningún servicio que los requiera. Y si los recogen, Automattic Inc no los entrega al usuario/autor del blog ya que no ha contratado el servicio.

Repito el concepto usuario/autor del blog para reiterar la idea de que el autor del blog es un mero usuario de la plataforma de WordPress.

Existen otras situaciones que guardan cierta similitud:

  1. Por ejemplo, en el caso de una empresa que alquila un despacho en un edificio de oficinas que tiene control de accesos. Si la empresa no accede en ningún momento al registro de visitantes, en mi opinión no es responsable del fichero ni del tratamiento.
  2. Otro caso similar es el de las ferias y los congresos. Si una empresa alquila un espacio para instalar su stand y no accede en ningún momento al registro de visitantes, en mi opinión no es responsable del fichero ni del tratamiento.
  3. En las grandes superficies puede haber un servicio médico que atiende a los visitantes accidentados o enfermos. Es evidente que las personas que tienen una tienda en esa gran superficie no son responsables del fichero ni del tratamiento realizado por el servicio médico.

En el segundo caso, es decir, cuando el autor del blog utiliza la aplicación de WordPress y aloja el blog en un servidor distinto a la plataforma de WordPress, las cookies sí están bajo su control y se beneficia de los datos que recogen, salvo que el propietario del servidor utilice sus propias cookies para otras finalidades ajenas a los servicios prestados a su cliente.

En este caso, existen extensiones o plugins como Cookie Control, que permiten configurar el texto de la primera capa de información.

Ciclo de seminarios monográficos sobre responsabilidad de los directivos

 

OBJETIVO

El objetivo de este ciclo de seminarios es analizar en profundidad el impacto de los cambios legislativos previstos para 2014 en la responsabilidad de aquellas personas que ocupan cargos directivos, con especial atención al nuevo delito de omisión de medidas de prevención y control.

ESTRUCTURA COMÚN DE TODOS LOS SEMINARIOS

Todos los seminarios se estructurarán en tres bloques:

1. Introducción: en este bloque se analizarán los principales cambios legislativos previstos para 2014 y el impacto en la responsabilidad legal de cada tipo de directivo.

2. Funciones de control: en este bloque se analizarán las medidas de prevención y control dirigidas a evitar la responsabilidad de los Directivos.

3. Caso práctico: en este bloque se analizará un caso práctico de una empresa. La exposición correrá a cargo de una persona que ostente el cargo analizado en el seminario.

DURACIÓN

La duración del seminario será de tres horas, incluyendo una pausa-café.
Todos los seminarios se iniciarán a las 18:00 h. y finalizarán a las 21:00 h.

LUGAR DE CELEBRACIÓN

Los seminarios se celebrarán en la sede de Ribas y Asociados:
Avenida Diagonal 640 1C de Barcelona.

SESIONES IN COMPANY

Estos seminarios pueden también realizarse en formato “in company” con el número de asistentes y la estructura que el cliente determine.
En caso de estar interesado en esta modalidad, puede enviar un mensaje a montse.otalora@ribastic.com

NÚMERO MÁXIMO DE ASISTENTES

Con el objetivo de conseguir el máximo aprovechamiento de las reuniones de trabajo, éstas tendrán un número máximo de diez asistentes. Si alguna de ellas superara el aforo indicado, se propondrá una nueva fecha para repetir la sesión.

PRECIO

Cada seminario tendrá un coste de 300 euros + IVA 21%
En el caso de seminarios “in company”, se preparará una propuesta a medida.

FORMA DE PAGO

Mediante transferencia bancaria previa a la celebración del seminario.

DIPLOMA

Se entregará a los asistentes un diploma acreditativo de la asistencia al seminario.

FECHAS

Los seminarios se celebrarán durante los meses de noviembre y diciembre de 2013, de acuerdo con el siguiente calendario.

07-11-13  Funciones de control y responsabilidad legal del DPO
14-11-13  Funciones de control y responsabilidad legal del CIO
21-11-13  Funciones de control y responsabilidad legal del Director Financiero
28-11-13  Funciones de control y responsabilidad legal del In House Lawyer
04-12-13  Funciones de control y responsabilidad legal del Auditor Interno
12-12-13  Funciones de control y responsabilidad legal del Director de RRHH
19-12-13  Funciones de control y responsabilidad legal del Director General o CEO

INSCRIPCIONES

Para formalizar la inscripción rogamos envíen un mensaje a Montse Otalora (montse.otalora@ribastic.com) acompañando copia de la transferencia a la cuenta corriente que ella les facilitará. Su teléfono es el 934940748. Muchas gracias.

Proyecto de modificación de la LSSI

El Consejo de Ministros ha aprobado esta mañana la remisión a las Cortes Generales del Proyecto de Ley General de Telecomunicaciones que modifica otros textos legales como la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, del 11 de julio de 2002, introduciendo, entre otros los siguientes cambios:

1. Se clarifican las obligaciones y los responsables de la correcta gestión de las cookies, como, por ejemplo, las redes publicitarias o agencias que no hubieran adoptado medidas para exigir del editor o prestador del servicio el cumplimiento de los deberes de información y la obtención del consentimiento del usuario. Sería muy interesante que en el debate del proyecto se clarificase la responsabilidad de las empresas con página corporativa en redes sociales como Facebook por el uso de cookies por parte de los propietarios de dichas plataformas.

2. Desaparece la exigencia de que el usuario realice una “acción expresa”, en el momento de instalar o actualizar el navegador, para manifestar su consentimiento al uso de cookies. En este caso sería muy recomendable que en el debate parlamentario se clarificase si es posible informar y obtener el consentimiento sobre el uso de cookies de manera simultánea o posterior a la instalación de la cookie. Especialmente en el caso de cookies estadísticas y analíticas, cuya mera instalación no puede considerarse como uso real.

3. Se subsana el lapsus de la inexistencia de régimen sancionador para el uso de cookies sin consentimiento, sancionando el hecho de ignorar la voluntad del usuario de no consentir el uso de cookies o seguir tratando sus datos tras la revocación del consentimiento.

4. El envío insistente de comunicaciones comerciales no solicitadas será una infracción grave. Se suaviza el régimen sancionador para el envío de comunicaciones comerciales no solicitadas, pues el envío de más de tres comunicaciones de esta clase en el plazo de un año constituye infracción grave, lo cual no es proporcionado por el número tan bajo que marca el umbral entre la infracción grave y la leve (artículos 38.3 c) y 38.4 d) de la Ley 34/2002, de 11 de julio). Dado que el envío masivo puede asociarse con el envío simultáneo de comunicaciones comerciales a múltiples destinatarios, se añade otra infracción grave consistente en el envío insistente de comunicaciones comerciales al correo del destinatario, para cubrir los supuestos de envío repetido a unos pocos destinatarios.

5. Se podrá apercibir al infractor en lugar de imponerle una sanción económica en el caso de infracciones graves y leves y cuando concurran ciertas circunstancias atenuantes como no haber cometido infracciones en el pasado.

6. Se suprime la obligación de identificar los e-mails o sms publicitarios con la palabra “publi” o “publicidad”.

7. En el caso de comunicaciones comerciales se aclara que los usuarios pueden utilizar el correo electrónico u otra dirección electrónica equivalente para revocar el consentimiento para la recepción de comunicaciones comerciales. Con ello se mejora una redacción que generaba dudas sobre el significado de “dirección electrónica”.

El texto cambia, a su vez, la Ley de firma electrónica, del 19 de diciembre de 2003, de forma que los certificados reconocidos utilizados en el DNI electrónico pasan a tener una duración de cinco años y no de dos años como hasta ahora.

La asociación adigital ha publicado una lista muy completa de las 10 principales modificaciones de la LSSI que puede ser consultada en esta dirección.