Archivo por meses: septiembre 2013

Proyecto de modificación de la LSSI

Posted on por

El Consejo de Ministros ha aprobado esta mañana la remisión a las Cortes Generales del Proyecto de Ley General de Telecomunicaciones que modifica otros textos legales como la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, del 11 de julio de 2002, introduciendo, entre otros los siguientes cambios:

1. Se clarifican las obligaciones y los responsables de la correcta gestión de las cookies, como, por ejemplo, las redes publicitarias o agencias que no hubieran adoptado medidas para exigir del editor o prestador del servicio el cumplimiento de los deberes de información y la obtención del consentimiento del usuario. Sería muy interesante que en el debate del proyecto se clarificase la responsabilidad de las empresas con página corporativa en redes sociales como Facebook por el uso de cookies por parte de los propietarios de dichas plataformas.

2. Desaparece la exigencia de que el usuario realice una «acción expresa», en el momento de instalar o actualizar el navegador, para manifestar su consentimiento al uso de cookies. En este caso sería muy recomendable que en el debate parlamentario se clarificase si es posible informar y obtener el consentimiento sobre el uso de cookies de manera simultánea o posterior a la instalación de la cookie. Especialmente en el caso de cookies estadísticas y analíticas, cuya mera instalación no puede considerarse como uso real.

3. Se subsana el lapsus de la inexistencia de régimen sancionador para el uso de cookies sin consentimiento, sancionando el hecho de ignorar la voluntad del usuario de no consentir el uso de cookies o seguir tratando sus datos tras la revocación del consentimiento.

4. El envío insistente de comunicaciones comerciales no solicitadas será una infracción grave. Se suaviza el régimen sancionador para el envío de comunicaciones comerciales no solicitadas, pues el envío de más de tres comunicaciones de esta clase en el plazo de un año constituye infracción grave, lo cual no es proporcionado por el número tan bajo que marca el umbral entre la infracción grave y la leve (artículos 38.3 c) y 38.4 d) de la Ley 34/2002, de 11 de julio). Dado que el envío masivo puede asociarse con el envío simultáneo de comunicaciones comerciales a múltiples destinatarios, se añade otra infracción grave consistente en el envío insistente de comunicaciones comerciales al correo del destinatario, para cubrir los supuestos de envío repetido a unos pocos destinatarios.

5. Se podrá apercibir al infractor en lugar de imponerle una sanción económica en el caso de infracciones graves y leves y cuando concurran ciertas circunstancias atenuantes como no haber cometido infracciones en el pasado.

6. Se suprime la obligación de identificar los e-mails o sms publicitarios con la palabra «publi» o «publicidad».

7. En el caso de comunicaciones comerciales se aclara que los usuarios pueden utilizar el correo electrónico u otra dirección electrónica equivalente para revocar el consentimiento para la recepción de comunicaciones comerciales. Con ello se mejora una redacción que generaba dudas sobre el significado de «dirección electrónica».

El texto cambia, a su vez, la Ley de firma electrónica, del 19 de diciembre de 2003, de forma que los certificados reconocidos utilizados en el DNI electrónico pasan a tener una duración de cinco años y no de dos años como hasta ahora.

La asociación adigital ha publicado una lista muy completa de las 10 principales modificaciones de la LSSI que puede ser consultada en esta dirección.

El consentimiento: ¿antes, durante o después de la cookie?

Posted on por

En mi opinión, la idea clave del debate suscitado a raíz de la noticia aparecida este verano sobre el inicio del primer procedimiento sancionador relacionado con cookies, es que el artículo 22.2 LSSI habla de consentimiento previo a la UTILIZACIÓN de cookies no exentas y no habla en momento alguno de consentimiento previo a la INSTALACIÓN.

La diferencia es importante en términos de interpretación, ya que él término «utilización» puede incluir tanto la instalación de la cookie como la posterior recogida de datos a través de la misma, que es lo que realmente tiene trascendencia jurídica.

Algo parecido ocurre en el caso de las direcciones IP de los visitantes de una página web.   En el aviso legal se informa sobre la recogida de este dato y la navegación se interpreta como una manifestación del consentimiento sobre su tratamiento, pero lo cierto es que la IP ha quedado registrada en el log del servidor desde el primer momento.

En cualquier caso, cabe resaltar, en relación a este debate, que tanto en el comunicado de IAB como en el de adigital se aclara que el procedimiento se refiere a un posible incumplimiento de las obligaciones de información y no de la obligación de obtener consentimiento.

Independientemente de lo que se substancie en este procedimiento, lo cierto es que la principal preocupación de las empresas es que puedan surgir de nuevo dudas sobre la forma y el momento en que se tiene que recabar el consentimiento. Algo que ya se consideraba resuelto tras la publicación de la Guía Y en este sentido considero que los dos comunicados son clarificadores.

A mi modo de ver, la secuencia cronológica es la siguiente:

1. El artículo 22.2 de la LSSI tiene una redacción confusa que impide saber de forma categórica si el consentimiento de una cookie (de Google Analytics, por ejemplo, que asocia los datos obtenidos a una dirección IP estática o dinámica), se refiere a la utilización (considerada en este caso como la captura acumulativa de datos útiles para el análisis estadístico) o afecta también la primera instalación de la cookie. Las dudas se extienden a otros puntos de la norma y surgen distintas interpretaciones.

2. Dada la incertidumbre, se produce una situación de espera en el mercado. Nadie quiere ser el primero, pero tampoco el último.

3. IAB, Autocontrol y aDigital acuerdan con la AEPD unos criterios de interpretación del artículo 22.2 que quedan plasmados en la «Guía sobre el uso de las Cookies», dejando cierto margen de interpretación sobre las diferentes formas de prestar el consentimiento y el momento de instalación de las cookies.

4. La Agencia aclara que esta Guía contiene una interpretación de la ley, y que por lo tanto, puede haber otras. Con ello advierte en cierta forma que la Guía no es vinculante y que tanto la Agencia como la Audiencia Nacional, pueden aplicar un criterio distinto si en un caso concreto se fundamenta legalmente una interpretación que merece prevalecer sobre la de la Guía.

5. Si una empresa sigue la interpretación de la Guía y la Agencia o la Audiencia Nacional considera que ha cometido una infracción, podría esgrimir en su defensa el principio de confianza legítima mantenido por adigital en su comunicado, ya que la empresa habría actuado con la debida diligencia al seguir las indicaciones de una Guía avalada por la propia Agencia. Entiendo que ello tendría como consecuencia que no habría sanción, o ésta se aplicaría en su grado mínimo en el peor de los casos.

Como decía un cliente: «Se nota que estamos en el primer mundo», ya que este debate está muy arriba en la pirámide de Maslow.