Nueva reforma de la LSSI (y de las cookies)
El Congreso de los Diputados aprobó en febrero de 2014 el proyecto de Ley General de Telecomunicaciones que derogará la LGTel vigente, e introduce algunas reformas de la Ley de Servicios de la Sociedad de la Información a través de su disposición final segunda.
Aunque todavía está pendiente el visto bueno del Senado, analizaremos las reformas separándolas en 3 grupos:
Reformas que eliminan o reducen cargas y responsabilidades a las empresas
- Se suprime la obligación de poner la palabra “PUBLICIDAD” o “PUBLI” al inicio de un email o sms comercial.
No obstante, el carácter comercial de estas comunicaciones deberá seguir siendo claramente identificable por el destinatario. En consecuencia, sería inteligente mantener la palabra “Publicidad” en los casos en los que ya se esté haciendo y no suponga una carga.
- Antes de esta reforma, se consideraba como una infracción grave (multa entre 30.000 y 150.000 euros), el envío de 4 comunicaciones comerciales electrónicas no solicitadas/autorizadas (o más) en el plazo de 1 año, a un mismo destinatario.
Con la reforma se sustituye este límite concreto de 4 comunicaciones en 1 año, por una condición subjetiva: que el envío sea “insistente o sistemático”.
A priori parece una buena noticia, pues la ecuación: 4 comunicaciones = 30.000 euros (de mínimo inapelable), resultaba demasiado estricto.
No obstante, teniendo en cuenta que será la Agencia Española de Protección de Datos la que imponga en primera instancia su doctrina sobre lo que se considera “insistente o sistemático”, habrá que esperar a las primeras resoluciones para saber si realmente estamos ante una buena noticia.
- Hasta la fecha, el régimen sancionador de la LSSI destacaba por tener sanciones más bajas que en la LOPD, pero también por ser mucho más estricto, pues carecía de posibilidad de aplicar tramos inferiores en caso de existir circunstancias atenuantes (es decir, de calificar como leve una infracción grave).
Sin embargo, con la reforma se flexibiliza en gran medida el régimen sancionador de la LSSI, copiando el modelo de la LOPD.
A partir de la entrada en vigor de la reforma, se podrá solicitar la rebaja de las sanciones cuando:
a) Concurran varias circunstancias atenuantes (falta de intencionalidad, plazo durante el que se ha cometido la infracción, falta de reincidencia, ausencia de perjuicios causados, ausencia de beneficios obtenidos por la infracción, volumen de facturación derivado de la infracción o, que el responsable esté adherido a un código de conducta o autorregulación que cuente con el visto bueno de los órganos competentes, que también es una novedad de esta reforma).
b) Se haya subsanado la infracción de forma diligente.
c) La infracción haya podido ser inducida por la conducta del afectado.
d) Se reconozca la culpabilidad de forma espontánea.
e) La infracción hubiese sido cometida antes de un proceso de fusión por absorción.
Además, el órgano con competencia sancionadora (no siempre será la AEPD) podrá optar por no abrir procedimiento sancionador, sino apercibir al responsable para que subsane la infracción, siempre que la infracción sea leve o grave, y no hubiese sido sancionado con anterioridad por el mismo órgano en virtud de la LSSI.
No obstante, debe tenerse en cuenta que la figura del apercibimiento, ya prevista en la LOPD, está siendo aplicada por la AEPD de forma muy excepcional.
Reformas que añaden nuevas cargas y responsabilidades a las empresas
- No sólo se consideran responsables de cumplir con la normativa de cookies las entidades responsables o editoras del sitio web o app, sino también las entidades que negocien el uso del espacio publicitario ofrecido por la entidad responsable o editora, siempre que no hayan exigido el cumplimiento de los deberes de información y obtención de consentimiento previo para la instalación de cookies.
Es decir, que si una web que muestra publicidad de terceros no cumple con la normativa de cookies, podría sancionarse, no sólo al titular de la web, sino también a quien haya negociado la inclusión de esa publicidad.
Resulta evidente que la intención es generar presión sobre aquellas empresas que decidan asumir el riesgo de no cumplir con la normativa de cookies considerando que la publicidad es su única fuente de financiación.
Teniendo en cuenta que la forma de contabilizar los impactos únicos de esta publicidad es a través de las cookies, podemos considerar esta medida como un empujón más para que los medios de comunicación cierren sus contenidos gratuitos, perjudicando en última instancia al consumidor.
- Se corrige el error legislativo de la anterior reforma de no incluir como infracción la falta de consentimiento previo para instalar las cookies.
Al no existir infracción asociada a la falta de consentimiento, las sanciones impuestas por el tema de las cookies, fueron por falta de información adecuada sobre las cookies, pero no por falta de consentimiento, lo cual se consideraba ilegal, pero no sancionable, debido a este olvido del Gobierno en su Real Decreto-ley 13/2012.
- Asimismo, la infracción por incumplir con la normativa de cookies puede ser leve o grave, dependiendo de su supuesta “significatividad”.
Con esta reforma se añade que la reincidencia en la infracción leve en el plazo de 3 años, implicará que se aplique la infracción grave.
Reformas que aclaran o matizan cargas y responsabilidades ya existentes
- Se aclara que el mecanismo para darse de baja de comunicaciones comerciales por email deberá consistir necesariamente en una dirección de correo electrónico u otro tipo de dirección electrónica válida.
La intención de esta aclaración es validar cualquier mecanismo electrónico para oponerse al envío de publicidad por email, lo cual no quedaba muy claro en la anterior reforma.
Áudea Seguridad de la Información
José Carlos Moratilla,
Responsable Departamento Derecho TIC