Los nuevos requisitos de consentimiento en las domiciliaciones bancarias SEPA

A partir del próximo 1 de febrero de 2014 las empresas que cobran sus servicios a través de recibos domiciliados deberán cumplir las obligaciones de obtención y custodia del mandato que establece la normativa SEPA. Los adeudos directos mediante recibo domiciliado correspondientes a clientes nuevos que se practiquen sin autorización, es decir, si el requerido mandato, podrán ser objeto de devolución y reembolso durante los 13 meses siguientes al cargo no autorizado.

Estas obligaciones harán que el esfuerzo de las empresas se centre en acreditar la obtención del consentimiento del cliente para realizar el adeudo del recibo en su cuenta corriente.

Normativa actual

En la sección 4.1 del Core SDD Rulebook se establece que el mandato es una expresión de consentimiento y autorización del deudor al acreedor y menciona únicamente dos formatos: el mandato en papel con firma manuscrita y el e-mandato con firma electrónica. Esta lista tasada se confirma en las FAQ del portal SEPA del Banco de España  en las que se afirma que el mandato telefónico no es válido y sólo se contempla la firma manuscrita y la firma electrónica que equivalga a firma manuscrita según la ley. De ello se deduce que un e-mandato sólo sería válido si estuviese firmado por el cliente con firma electrónica reconocida.

Recientemente, el EPC (European Payments Council) ha emitido una nota aclaratoria en la que explica que los métodos de firma descritos en la sección 4.1 del Core SDD Rulebook no son exhaustivos y que se puede considerar el uso de otros métodos de firma que sean legalmente vinculantes, incluyendo los utilizados en las normas locales vigentes hasta ahora.

En una declaración posterior del SEPA Council se ha valorado positivamente la intención del EPC de dar un mensaje claro a favor de la tesis de que los SDD Rulebooks no son un obstáculo para el uso continuado, después del 1 de febrero de 2014, de métodos válidos de mandatos electrónicos ya existentes , que son utilizados actualmente en algunas comunidades nacionales para iniciar transacciones de adeudo directo.

Métodos de firma

En España, la famosa sentencia del Tribunal Supremo de 3 de noviembre de 1997 establece que el requisito de la firma autógrafa puede ser sustituido, por el lado de la criptografía, por medio de cifras, claves y otros atributos alfanuméricos que permitan asegurar la procedencia y la veracidad de su autoría y la autenticidad de su contenido.

Más recientemente, en un Auto de 21 de marzo de 2013, el Tribunal Supremo ha aceptado como prueba los mensajes de correo electrónico certificados y de los SMS certificados. La validez probatoria de los SMS certificados ha sido reforzada desde la entrada en vigor de la exigencia de identificación en la contratación de una cuenta de telefonía móvil, incluidas las de prepago. El artículo 25 de las LSSI establece que las partes de un contrato pueden pactar la intervención de un tercero de confianza para que consigne la fecha y la participación de las partes y archive las declaraciones de voluntad. Se entiende que tiene que ser un tercero de confianza de las dos partes, es decir, aceptado libremente por ellas, ya que la imposición del tercero en una transacción de consumo podría llegar ser considerada como una cláusula abusiva.

La Ley de firma electrónica establece que la firma electrónica reconocida tendrá, respecto de los datos consignados de forma electrónica, el mismo valor que la firma manuscrita en relación con los consignados en papel. Pero también establece que no se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida en relación a los datos a los que está asociada por el mero hecho de presentarse de forma electrónica. Y añade que, cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas. Cabe decir en este punto que es altamente improbable que una empresa adopte la estrategia suicida de requerir el DNI electrónico para obtener los mandatos de sus clientes en la contratación de servicios recurrentes.

En el campo de la firma manuscrita en tableta ha habido importantes avances, al capturarse datos biométricos como, por ejemplo, el nivel de presión y la velocidad del trazo durante la ejecución de la firma. Los algoritmos aplicados a la autentificación en este formato de firma explotan el hecho de que el ser humano nunca firma exactamente igual, lo cual permite repudiar un documento que reproduzca la misma firma biométrica que otro anterior. Por otro lado, esta modalidad permite asegurar que el firmante estaba presente en el acto de la firma, algo que no es posible en otros sistemas de firma electrónica.

Otras modalidades de firma biométrica pueden ser, además de la firma dactilar, la firma vocal y la firma mediante vídeo, que algunas empresas están aplicando en ciertas modalidades de contratación, por ejemplo en ferias. Esta alternativa consistiría en aceptar el contrato leyendo el texto de aceptación en el que se reproducen los elementos clave del contrato mientras se graba la voz o la imagen y la voz del firmante y previa manifestación de consentimiento en relación al tratamiento de dichos datos. El fichero de audio o de vídeo quedaría unido al contrato con las correspondientes garantías técnicas de integridad. Hay que tener en cuenta, tanto en este punto como en los anteriores, las garantías adicionales que, en relación al consentimiento, exigirá la nueva Ley general para la defensa de los consumidores y usuarios en el caso de la contratación telefónica y online.

Posibles estrategias

El obstáculo que supone el requisito del mandato para la actividad comercial de las empresas que dirigen su oferta al consumidor final, el desconocimiento que todavía existe sobre SEPA a pesar de la proximidad del 1 de febrero de 2014 y el retraso experimentado en su implantación están haciendo que muchas empresas todavía no tengan una estrategia clara a seguir.

Entre las estrategias que se están analizando en la actualidad destacan las siguientes:

  1. Asumir el riesgo de repudio, tras haber cuantificado dicho riesgo y haber asignado una partida presupuestaria a las posibles devoluciones que puedan producirse. Los recortes en las administraciones públicas pueden hacer que no haya campañas informativas y es posible que el día 1 de febrero los consumidores no conozcan sus derechos, pero no hay que despreciar el poder de las redes sociales, por lo que asumir el riesgo de devolución del recibo no resulta aconsejable.
  2. Asumir el riesgo de rechazo de cliente, con el consiguiente descenso en las ventas al pedir el DNI electrónico o cualquier otro sistema de firma reconocida en la transacción y en la obtención del mandato.
  3. Esperar a que las entidades financieras ofrezcan el servicio de obtención del mandato, que se formalizaría a través de una petición XML de la entidad del acreedor a la entidad del deudor y una confirmación por el mismo conducto una vez obtenida la aceptación del deudor mediante la clave de firma de banca electrónica. Esta solución supone un importante coste para las entidades y no se espera que se ofrezca a corto plazo.
  4. Utilizar los servicios de terceros de confianza en la obtención del mandato y sistemas de gestión y custodia de los mandatos aceptados, en conexión con el ERP corporativo.
  5. Obtener el consentimiento online o por vía telefónica con la posterior verificación del consentimiento mediante alguna de las modalidades de firma comentadas en este artículo que ofrezca las garantías exigidas por la ley.
  6. Analizar la viabilidad jurídica de la firma biométrica en la obtención del mandato.

eDNI para Facebook: solución desproporcionada

He estado analizando la noticia de ayer sobre la propuesta de exigir el DNI electrónico como prueba de la edad de los usuarios y me ha parecido realmente desproporcionada. Mis reflexiones son las siguientes:

Como padre

– Mis tres hijos tienen una gran actividad en Facebook desde los 16, 13 y 10 años respectivamente.

– Para darse de alta contaron con mi consentimiento expreso.

– Los tres utilizan la red social para comunicarse con sus amigos de clase, compartir contenidos, organizar deberes y preparar exámenes.

– El menor de ellos entró a los 10 años porque era el único de la clase que no tenía cuenta en Facebook y se sentía excluido.

– Me pidió que lo ayudase a darse de alta y fue muy gratificante para ambos configurar juntos la privacidad y los demás parámetros importantes de la cuenta: visualización de fotos, alta de amigos, etc.

– Ello me permitió sensibilizarle sobre los riesgos y hacerle comprender la necesidad de que tutelase su actividad hasta que tuviese 14 años, para lo cual acordamos que no cambiaría las claves de acceso, y así lo ha hecho hasta ahora.

– El sabe que tengo acceso a su cuenta y nos hemos reído juntos con los vídeos y chistes que han pasado por ella.

– Como padre he preferido siempre que mis hijos asuman responsabilidades desde pequeños y que conozcan los riesgos de lo que hacen, en vez de mantenerlos alejados de una realidad a la que podrían acceder igualmente, sin mi conocimiento y sin mis recomendaciones.

– Creo que la confianza genera responsabilidad y prefiero compartir y tutelar estas experiencias que reprimirlas y convertirlas en clandestinas, porque si sus amigos están ahí, ellos acabarán estando, por un medio o por otro.

– Si hubiese tenido que utilizar el DNI electrónico para cursar el alta, probablemente lo habría dejado para otro día.

– Entiendo como padre que la tutela no es algo ocasional, sino continuado. Pedir la intervención de los padres sólo en el momento del alta es como pensar que escogiendo un buen colegio para tus hijos ya es suficiente. Se entiende que la supervisión y el acompañamiento de la actividad de tu hijo es algo mucho más exigente y duradero.

Como observador

– La medida puede dar impulso al DNI electrónico, ya que los niños tendrán una motivación para que ellos y sus padres lo utilicen. Ya sabemos lo que pueden llegar a insistir hasta que consiguen lo que quieren.

– Lamentablemente, la experiencia es que la exigencia del DNI electrónico puede ser un obstáculo para el crecimiento de las actividades relacionadas con las redes sociales.

– En el comercio electrónico el eDNI ha sido rechazado sistemánticamente por las empresas y los usuarios. Cualquier paso o trámite adicional que se introduce en el proceso de compra es disuasorio e incrementa el número de transacciones frustradas.

– A todo ello se une el escaso uso de los lectores de eDNI, la caducidad de dos años del certificado electrónico y la habitual no renovación del mismo.

– Las redes sociales se han convertido en un nuevo motor para la economía y muchas empresas has diseñado una estrategia de marketing y publicidad adaptada a sus actuales presupuestos exiguos. Los menores de 14 años y sus padres son un público muy importante al que no tenemos que poner obstáculos para utilizar las redes sociales si los padres dan su consentimiento.

– Entiendo que exigir el DNI electrónico puede ser altamente disuasorio y es una medida desproporcionada que va a entorpecer y dificultar la entrada en una plataforma de comunicaciones que está aportanto muchos más beneficios que riesgos a nuestros hijos. No existe alarma social ni estadísticas negativas que aconsejen tal medida.

Mi propuesta es que estudiemos soluciones más imaginativas, que eduquemos a nuestros hijos ayudándolos a asumir responsabilidades, que definamos modelos de tutela colaborativa, que estemos más con ellos, que aprendamos juntos. Por muchos cerrojos que pongamos no conseguiremos que dejen de comunicarse. Sólo haremos que la brecha sea mayor.

En vez de contenerla, canalicemos esa ilusión.

Modificación de la LSSI en relación a las comunicaciones comerciales

Mañana también entra en vigor, como resultado de la trasposición comentada en mi anterior post, una modificación de los artículos 20, 21 y 22 de la LSSI en relación a las comunicaciones comerciales.

1. Mensajes con anunciante oculto

Queda prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación comercial.

2. Mensajes con enlaces web

Queda prohibido el envío de comunicaciones comerciales en las que se incite a los destinatarios a visitar páginas web que contravengan el régimen establecido para el envío de comunicaciones comerciales.

3. Revocación del consentimiento

Cuando las comunicaciones comerciales hubieran sido remitidas por correo electrónico, deberá incluirse necesariamente una dirección electrónica válida donde pueda ejercitarse el derecho de revocación del consentimiento para el envío de comunicaciones comerciales. Queda prohibido el envío de comunicaciones que no incluyan dicha dirección.