Tal y como hemos venido informando en los últimos años (i, ii, iii…), desde el Parlamento Europeo se impone a los Estados Miembros determinados cambios en la normativa que regula los servicios de la sociedad de la información, fundamentalmente, el uso de cookies en páginas web.

El plazo para incorporar estos cambios al ordenamiento jurídico de cada Estado concluyó el 25 de mayo de 2011, momento en el cual se empezó a tramitar en España como anexo a un proyecto de reforma de la Ley General de Telecomunicaciones.

Tras varios meses de idas y venidas del texto, el Gobierno adelantó las elecciones y poco después se disolvió el Parlamento, por lo que todos los proyectos y propuestas de Ley caducaron… y una vez constituido el nuevo gobierno, vuelta a empezar.

Lo que ya estaba en fase de proyecto de ley, volvió a propuesta de ley, y durante varios meses se quedó así.

Finalmente, de forma imprevista, con 10 meses de retraso, y sin apenas repercusión mediática, el Gobierno ha aprobado por la vía de Real Decreto-ley (reservada a asuntos de urgente necesidad) la esperada, aunque no por ello deseada, reforma.

Juzgue el lector este ejemplo de “cajón de sastre” (y un poco desastre también) que ha sido aprobado, publicado y puesto en vigor el fin de semana antes de Semana Santa, pillándonos a todos con las maletas en el coche:

Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista

Las novedades son pocas… Pero su desafortunada redacción, la dificultad de la implementación de las medidas que parecen deducirse, y su teórica exigibilidad desde el día siguiente a su publicación en BOE colocan a la inmensa mayoría de responsables de sitios web en situación de potencial infracción de la LSSI (con multas de hasta 150.000 euros).

La reforma fundamental, la encontramos en el Artículo 22 de la LSSI, cuya nueva redacción es la siguiente (destacamos en negrita las novedades):

«1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.

A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.»

 

En resumen:

  1. El medio para darse de baja del envío de comunicaciones comerciales, debe ser necesariamente una “dirección electrónica válida”. ¿Y qué es una dirección electrónica válida? ¿Una URL es una dirección electrónica válida? ¿Un feedback a través de una web? ¿Un formulario web? A la espera de que la AEPD manifieste su criterio interpretativo al respecto, consideramos recomendable que, de forma paralela al clásico enlace de “unsuscribe”, se disponga una dirección de correo electrónico en la que se puedan recibir estas solicitudes de baja.
  2. Para todas aquellas cookies (o similares) cuya finalidad no sea exclusivamente la de permitir/facilitar la navegación, debe informarse y obtenerse el consentimiento. ¿Cómo? En la cabecera de la página del regulador inglés en materia de protección de datos, podemos ver un discreto ejemplo… Tan discreto que sospecho que nadie lo aceptará jamás.

 

Todas las empresas que a día 1 de abril de 2012 no tengan implantadas estas medidas (que no están nada claras) están incumpliendo la LSSI.

¿Y cuál es el riesgo derivado de dicho incumplimiento?

  1. No poner una “dirección electrónica válida” (signifique lo que signifique) para solicitar la baja del envío de comunicaciones comerciales, es una infracción leve o grave, dependiendo de la relevancia del incumplimiento, y lleva aparejada una posible multa de hasta 150.000 euros.
  2. Sin embargo, con respecto al consentimiento para instalar las cookies… con las prisas el Gobierno se ha debido olvidado de actualizar el régimen sancionador… de forma que a día de hoy, sólo es sancionable: (i) no ofrecer información, y (ii) no ofrecer un procedimiento de rechazo (a través del navegador, como se ha venido desde que se aprobó la LSSI). Las infracciones asociadas al artículo 22, no mencionan en ningún caso el consentimiento de los afectados (aunque si en algún momento se pudiera llegar a identificar a una persona física, se podría llegar a sancionar por LOPD).

 

Visto lo visto cabe concluir que, independientemente de la responsabilidad o madurez que se le presuponga a una persona… cuando las cosas se hacen por obligación y no por devoción… se dejan para el último momento, y se acaban haciendo rápido y mal.

 

Audea Seguridad de la Información

José Carlos Moratilla

Departamento TIC

www.audea.com