Cambios en la Ley de Internet sobre códigos de conducta, spam, cookies y más.

spam02

El 29 de abril el Congreso de los Diputados ha aprobado el texto definitivo de la nueva Ley General de Telecomunicaciones que, entre otras muchas cosas, modifica la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), también conocida como la Ley de Internet.

Los principales cambios que introduce, respecto a la LSSI, para los prestadores de servicios (quien realice actividad económica por Internet) son los que se recogen a continuación, y ¡ojo!, porque esta reforma entrará en vigor al día siguiente de que se publique en el BOE:

 1.- Promueve y refuerza sistema de códigos de conducta de calidad:

a).- Los promueve al serles de aplicación lo previsto para su fomento en la Ley de Competencia Desleal y al incluir como elemento de graduación de las sanciones la adhesión a un código de conducta o a un sistema de autorregulación publicitaria aplicable respecto a la infracción cometida.

b).- Y refuerza su calidad porque recoge expresamente la posibilidad de ejercitar las acciones de cesación y rectificación contra aquellos códigos de conducta que fomenten o impulsen conductas desleales o ilícitas, así como contra los empresarios o profesionales que incumplan los compromisos asumidos en códigos de conducta.

2.- Comunicaciones comerciales electrónicas:

a).- Desaparece la obligación de incluir la palabra “publicidad” o “publi” en las comunicaciones comerciales realizadas por vía electrónica, si bien tienen que continuar siendo perfectamente identificables como tal.

b).- Se contempla expresamente la posibilidad de que el mecanismo de baja u oposición a la recepción de comunicaciones comerciales por e-mail se efectúe mediante la indicación, para ello, de una dirección de correo electrónico.

c).- Se modifica el régimen sancionador del “spam”: El envío de comunicaciones comerciales no deseadas como mínimo es una infracción leve; para considerarla grave antes se exigía el envío masivo o que se hubiera dirigido “spam” al mismo destinatario más de tres veces en un año y ahora se sancionará como infracción grave el envío masivo o “su envío insistente o sistemático a un mismo destinatario”. Ahora habrá que ver qué se entiende por insistente y por sistemático, porque lo de más de tres veces en un año al mismo destinatario no daba lugar a muchas interpretaciones, pero esto… ¿Cuántas veces hace falta que se envíe spam para considerarlo insistente? Y ¿qué e-mail no se ajusta a un sistema?

3.- Mis queridas Cookies (nótese la ironía):

a).- Siempre que ello sea posible, el consentimiento del usuario para la instalación en su equipo de cookies y otros dispositivos de almacenamiento y recuperación similares, puede otorgarse “mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones”, sin que para ello se precise, como sí se hacía antes de la reforma, una acción expresa por el usuario.

b).- Amplía la responsabilidad por infracciones sobre cookies a las redes publicitarias o agentes que gestionan la colocación de los anuncios en virtud de la cual se instalan las cookies. Ello siempre y cuando no acrediten haber exigido al editor del sitio web el cumplimiento de los deberes de información y la obtención del consentimiento del usuario.

c).- Ya no hay dudas de que es infracción la no obtención del consentimiento para instalar cookies, al contemplarla expresamente como tal: Hasta ahora se hablaba de que constituía infracción (leve o grave según exista o no reincidencia) “el incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos”, a partir de la entrada en vigor lo será el uso de cookies y/o análogos“cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario”.

4.- Régimen sancionador:

a).- Se establece un sistema de moderación de las sanciones pudiendo pasar de muy graves a graves y/o de graves a leves, en determinados supuestos (entre otros, si se corrigió la situación diligentemente, si el comportamiento del afectado indujo a la infracción o si se ha dado el reconocimiento espontáneo de la culpa).

b).- Apercibimiento: Se incluye la posibilidad de no sancionar y en su lugar apercibir al sujeto responsable y requerirle para que adopte medidas correctoras, siempre que:

– Los hechos fuesen constitutivos de infracción leve o grave, no muy grave.

– No hubiese sido sancionado o apercibido con anterioridad por cometer cualquiera de infracciones previstas en la LSSI.

Aparte de esto, también se añade un procedimiento para la suspensión cautelar y la cancelación de nombres de dominio .es mediante los cuales se esté cometiendo un delito o falta tipificado en el Código Penal, se regula la obligación de colaboración de los registros de nombres de dominio establecidos en España en la lucha contra actividades ilícitas y se añade una disposición adicional relativa a la gestión de incidentes de ciberseguridad. Novedades todas éstas que intuyo darán mucho que hablar en su momento y respecto de las cuales considero que hubiera sido deseable una mayor concreción, como mínimo en cuanto a la información a facilitar y a lo que se entiende por “autoridades competentes”, máxime teniendo en cuenta las razones que han llevado recientemente al TJUE a declarar inválida la Directiva de Conservación de Datos. Pero en estas cuestiones no entraré, al menos no en este post para no hacerlo muy pesado ;)

Comentando “Otro medio de comunicación electrónica equivalente”

El contenido de este post iba destinado a incluirse como comentario al post de Paco Pérez Bes (@pacoperezbes) en su blog “Otro medio de comunicación electrónica equivalente”, pero no me resultó técnicamente posible participar en dicho blog, debido a la excesiva extensión de mi comentario, y esta vía me ha parecido la segunda mejor opción.

Bajo el título indicado, Paco Pérez Bes valora si los mensajes entre los usuarios de las distintas redes sociales pueden ser considerados un medio de comunicación electrónica equivalente al correo electrónico, a fin de poder tratar, en su caso, como “spam” aquellos de estos mensajes que contengan ofertas, anuncios o promociones y no observen los requisitos legales pertinentes. En resumen su conclusión final (ruego me corrija si me equivoco) es que, si se efectúan de forma privada (mensajes privados, DM’s…) sí pueden catalogarse como tal, pero en caso contrario no, y ello nos llevaría a aceptar que una oferta en un mensaje -tuit, publicación en el muro, etc.- dirigido con mención a una persona no es una comunicación comercial electrónica.

Lo primero que debo decir es que me ha gustado mucho y he disfrutado leyéndolo. Me parece un análisis concienzudo y muy inteligente. Ahora bien, a bote pronto, y desde el respeto (y casi miedo, sí) que me produce contrariar a tan ilustre compañero, de quien aprendo muchísimo leyéndole y escuchándole siempre que tengo oportunidad, tengo que decir que discrepo… un poco. Y digo “a bote pronto” porque aún así me suscita muchas dudas, de modo que espero se entienda este comentario como una primera impresión que es. De las aportaciones que otros hagan se puede acabar llegando a posturas muy alejadas de las iniciales.

 Tranquilos, ya me dejo de prolegómenos y voy al grano.

 El material sobre la interpretación de las normas es extensísimo, pero tampoco se trata aquí de hacer una tesis doctoral, así que me ceñiré a lo dispuesto en el Art. 3.1 Código Civil: “Las normas se interpretarán según el sentido propio de sus palabras, en relación con el contexto, los antecedentes históricos y legislativos, y la realidad social del tiempo en que han de ser aplicadas, atendiendo fundamentalmente al espíritu y finalidad de aquéllas”. Por tanto, debemos tener en cuenta todos estos criterios para poder hacer una interpretación global sobre lo que se entiende, a estos efectos, por “medio de comunicación electrónica equivalente”.

 Vayamos por partes:

 1.- Según el sentido propio de sus palabras: Desde mi punto de vista incluso atendiendo sólo al sentido propio de las palabras, podemos hacer diversas interpretaciones sobre lo que entendemos por “medio de comunicación electrónica equivalente”: Qué podemos entender, ¿que deba ser equivalente en cada una de sus cualidades o en todas éstas tomadas en conjunto?, pues si de esto último se tratara entiendo que sí estamos ante un medio de comunicación electrónica equivalente, incluso aunque no se de la característica que se menciona de la “privacidad”. Por otra parte, aun en el caso de que debiera ser equivalente en cada una de sus cualidades, por tal término se entiende “ser igual a otra en la estimación, valor, potencia o eficacia”, y entre las definiciones de “igual” nos encontramos con “1. Adj. De la misma naturaleza, cantidad o calidad de otra cosa” pero también con “3. Adj. Muy parecido o semejante”, luego no tiene por qué ser necesariamente de idéntica naturaleza. Pero incluso podemos pensar que por “u otro medio de comunicación electrónica equivalente” se está incidiendo, sin más, en que el medio de comunicación de que se trate, sea éste cual sea, debe ser electrónico.

 2.- Antecedentes históricos y legislativos: Salvo error por mi parte, a día de hoy nada hay en nuestra legislación y jurisprudencia respecto a las comunicaciones efectuadas a través de redes sociales a los fines que aquí interesan. Eso sí, resultaría interesante estudiar las primeras sentencias que se dictaron sobre los SMS si es que contienen criterios por los cuales entienden que tal vía de comunicación puede ser considerada comunicación comercial electrónica.

Pero en cualquier caso, si tenemos que comparar un nuevo medio de comunicación con el correo electrónico para determinar si estamos ante un medio equivalente o no, deberíamos empezar por saber qué entendemos por correo electrónico. En este sentido la Directiva 2002/58/CE sobre datos personales y protección de la intimidad en el sector de las comunicaciones electrónicas define correo electrónico como (art. 2.h) “todo mensaje de texto, voz, sonido o imagen enviado a través de una red de comunicaciones pública que pueda almacenarse en la red o en el equipo terminal del receptor hasta que éste acceda al mismo”. Vemos por lo tanto que no precisa el requisito de la privacidad. Y partiendo de esta definición podemos entender que los mensajes, en abierto, que se transmiten en las redes sociales sí pueden equipararse al correo electrónico.

Por su parte, el GT29 hace referencia a esta misma definición de “correo electrónico” en su Dictamen 5/2004 , entendiendo en resumen que el correo electrónico “abarca cualquier mensaje enviado mediante comunicaciones electrónicas que no  requiera la participación simultánea del emisor y el receptor”.  Como vemos, tampoco aquí se exige el requisito de la privacidad. Pero además de este dictamen resulta sumamente interesante citar: “Esta definición es amplia e intenta ser tecnológicamente neutra. El objetivo era adaptar la Directiva precedente a la Directiva 2002/58/CE  «al desarrollo de los mercados y de las tecnologías de los servicios de comunicaciones electrónicas para que el nivel de  protección de los datos personales y de la  intimidad ofrecido a los usuarios de los servicios de comunicaciones electrónicas disponibles al público sea el mismo, con independencia de las tecnologías utilizadas» (considerando 4 de la Directiva 2002/58/CE)”. Y tras indicar como ejemplos el denominado correo electrónico clásico (que utiliza el protocolo SMTP), así como los SMS y los MMS, concluye: “Esta lista no puede considerarse exhaustiva y puede necesitar ser revisada habida cuenta de los avances del mercado y de la tecnología”.

 Cabe añadir que la AEPD entiende por “spam” o correo basura “todo tipo de comunicación no solicitada realizada por vía electrónica”.

3.- De acuerdo con la realidad social del tiempo en que han de ser aplicadas: Aquí es necesario tener en cuenta la reciente proliferación de las redes sociales cada vez más utilizadas por más gente y socialmente aceptadas como medios de comunicación.  En este sentido habrá que tener en cuenta lo que la propia red social, y el usuario de la misma al aceptar sus términos y condiciones, están entendiendo por “spam”, comunicaciones no consentidas, etc. Y en todo caso, y con mayor motivo si nada estableciera la red social en concreto, quizá deberíamos pensar que según el uso que una persona haga de una determinada red social podrá considerarse que una comunicación comercial por esta vía es “spam” o no. Por ejemplo si alguien usa Twitter con intención de estar informado de las posibles ofertas de los establecimientos de su barrio, a los que sigue, bien directamente, bien en lista (ej.: @ruthbenitoabog/promociones), ¿puede denunciar luego una comunicación comercial recibida por esa vía? Y en su caso ¿siempre o sólo en caso de que la dirija una empresa que no sea del barrio?

 4.- Atendiendo fundamentalmente al espíritu y finalidad de las normas: En todo caso y principalmente (“atendiendo fundamentalmente”), las normas deben ser interpretadas de forma que se alcance su sentido verdadero, en la acepción más amplia de “sentido”, es decir para averiguar cuál es el alcance o proyección de una norma jurídica (cómo ha de ser dirigida, aplicada) y el significado cierto y cabal de la misma (cómo ha de ser entendida). Eso nos determinará su sentido, su razón de ser. Y entiendo que para lograr tal cosa debemos acudir a los intereses en juego y por lo tanto a la intención de quien lanza la que podemos denominar comunicación comercial y al bien jurídico a proteger de la misma. En este punto me parece de suma importancia citar la Exposición de Motivos de la LSSI (III): “Destaca, por otra parte, en la Ley, su afán por proteger los intereses de los destinatarios de servicios, de forma que éstos puedan gozar de garantías suficientes a la hora de contratar un servicio o bien por Internet”. Las comunicaciones comerciales se efectúan con la intención de lanzar una oferta, anuncio, promoción, que dirijan al destinatario su atención sobre la misma de modo que sea posible que se inicie un proceso de contratación. Por tanto, desde el mismo momento en que se produce tal comunicación comercial, la intención de la norma es claramente que los usuarios gocen de las garantías suficientes, de estar debidamente informados, y de que sus datos se utilicen para los propósitos que ellos consientan, etc.

En definitiva, ante la imposibilidad de discernir caso por caso con carácter previo, en atención a todo cuanto he mencionado, y a falta de estudiar posible jurisprudencia (SMS), mi primera opinión es que sí pueden ser calificadas como comunicaciones comerciales electrónicas, aún en el caso de que no sea mediante mensajes privados.

En tus comunicaciones comerciales por e-mail no te olvides de…

Son ya varias las semanas que vengo advirtiendo que cada vez me encuentro con más spam en mi bandeja de entrada…

No sé si se deberá a que las empresas se han puesto a festejar (a lo español, esto es por las bravas) la Sentencia del Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011, en virtud de la cual es posible el tratamiento de datos de carácter personal sin el consentimiento del afectado siempre y cuando dicho tratamiento sea necesario para la satisfacción de un interés legítimo y sin que para ello se requiera que los datos se encuentren en fuentes accesibles al público. Es decir, que casi* basta con el susodicho “interés legítimo” (benditos conceptos jurídicos indeterminados que tanto nos dan de comer a los abogados).

Sea o no ésta la causa, lo cierto es que a la hora de enviar comunicaciones comerciales por correo electrónico o medios equivalentes, no sólo ha de cumplirse con la Ley Orgánica de Protección de Datos (LOPD), sino también -y a veces en exclusiva, pues el correo del destinatario puede no ser un dato de carácter personal, sino profesional- con la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI o LSSI-CE).

Bien, pues, casi más por diversión que por otra razón, tras el enésimo spam recibido en el día de hoy (y animada al ver en Twitter que no soy la única que se lo pasa bomba con estas cosas… hay más raritos como yo), me he preparado un modelo de respuesta para este tipo de comunicaciones, que no tengo inconveniente en compartir con vosotros:

Estimados Sres.:

Por medio del presente les indico que, si bien mi dirección de correo electrónico podría no ser considerado un dato de carácter personal (por ser dato de contacto profesional) y por tanto no ser necesario en este caso el cumplimiento por su parte de lo dispuesto en la LOPD (normativa que tanto citan al pie de su correo), lo cierto es que, de conformidad con lo dispuesto en el Art. 21 de la Ley 34/2002, Ley de la Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI o LSSI-CE), para el envío de comunicaciones comerciales por medio de correo electrónico o medios de comunicación electrónica equivalente, se precisa:

.- O que hayan sido solicitadas o expresamente autorizadas por el destinatario.

.- O que exista una relación contractual previa entre remitente y destinatario y se refieran a productos o servicios que sean similares a los que inicialmente fueron objeto de contratación por el destinatario.

Hasta donde yo sé, ni les he solicitado ni autorizado nunca el envío de comunicaciones comerciales, ni he sido nunca cliente suyo -les ruego me corrijan en caso de error por mi parte-, y en consecuencia, tanto por este motivo, como en virtud de la facultad de revocación que me asistiría, en su caso, con arreglo al Art. 22 de la citada LSSI les solicito que se abstengan de enviarme en lo sucesivo más comunicaciones comerciales por correo electrónico o cualquier otro medio equivalente.

Quedando a su disposición para cualquier duda que les surja en relación con lo comentado, se despide atentamente,

Sirva el texto como base para quien quiera copiarlo, aunque aconsejo se revise a conciencia, pues habrá que introducir modificaciones o no en su primer párrafo en función de si la dirección de correo electrónico del destinatario del spam es o no dato de carácter personal. Y confieso que es un poco chulería, sí, pero si además después de la despedida firmas como “Abogado TIC” te quedas de un “agustito”… (soy humana, ¡caray!).

¡Ah!, dependiendo del caso también se puede incluir el siguiente parrafito: “Por cierto, se les ha olvidado igualmente incluir el texto “publicidad” o “publi” al comienzo del mensaje, conforme les obliga el Art. 20 LSSI.” Si es que…

Pon un Abogado TIC en tu vida ;-)

15/05/2012.- El que acabo de recibir se lleva la palma, así que actualizo: El colmo ya es cuando, a parte de todo lo anterior, la persona que envía el spam no se identifica (claro, así las lindezas que le profieres no pueden ir personalizadas), a pesar de estar obligado a ello (Art. 20.1 y 4 LSSI), y que como colofón terminen con un “no responder a esta dirección de correo, ya que no se encuentra habilitada para recibir mensajes“. Unos cracks…

En teoría habrá que hacer una ponderación entre el interés legítimo de quien trata los datos y los derechos fundamentales del afectado para saber si el tratamiento sin su consentimiento es lícito o no.

De Twitter y la Ley de Servicios de la Sociedad de la Información

Startup Stock Photos - https://stocksnap.io/photo/VQXYE2ZEHC

Startup Stock Photos – https://stocksnap.io/photo/VQXYE2ZEHC

Este es el título de una serie de posts que de forma conjunta y colaborativa hemos publicado entre varios compañeros twitteros en relación con Twitter y la Ley de Servicios de la Sociedad de la Informacion y del Comercio Electrónico (LSSI-CE o LSSI a secas). La idea surgió a partir de un post de Paco Pérez Bes (@pacoperezbes) en su blog: ¿Publicidad encubierta en Twitter o campaña Teaser? Así que gracias a Paco por la parte que le toca (lo que cuenta y comparte siempre hace reflexionar).

Personalmente quiero agradecer a todos los que han participado en esta serie de posts  porque, más allá de llegar a ciertas conclusiones, cuya utilidad es escasa y por lo demás seguro son cuestionables, se trataba con ello de aprender un poquito más y además hacerlo de una manera divertida. También quiero dar las gracias a aquellos que, por cualquier vía (tuits, e-mail, tomando una caña en Madrid o un frappé de café en el Bon Appetit de Segovia), han charlado conmigo sobre estos temas y me han ofrecido sus puntos de vista. Quien me conozca un poco sabrá ya que me encantan estos debates y adivinará que realmente he disfrutado.

Y ahora sí, basta de verborrea y “al grano”:

1.- El primero de estos artículos es “De Twitter y la Ley de Servicios de la Sociedad de la Información, ¿Es aplicable la segunda a la primera?“, escrito por Rubén Vázquez (@rvazquezromero) en su blog “Diario de un E-Letrado” y recomiendo no perdérselo. Analiza si la mencionada Ley, española, le resulta aplicable a Twitter siendo ésta una empresa radicada fuera de territorio español y de la Unión Europea, con todo lo que conlleva la respuesta a tal pregunta.

2.- Continuando con la serie, tenemos en este mismo blog “De Twitter y la Ley de Servicios de la Sociedad de la Información – Contratación vía Twitter (Parte I)“, sobre los requisitos de los contratos electrónicos entre particulares partiendo de un supuesto simulado a través de Twitter.

3.- Respecto a las “Responsabilidades exigibles a Twitter por alojar contenidos ilícitos” nos habla Francisco Javier Sempere (@fjavier_sempere) en su blog “Winchester73” donde examina qué tipo de responsabilidades, del régimen previsto en la LSSI a los prestadores de Servicios de la Sociedad de la Información, pueden serle exigidas a Twitter.

4.- Interesante debate genera “De Twitter y la Ley de Servicios de la Sociedad de la Información – Comunicaciones comerciales” de Gontzal Gallo (@gongaru) en su blog “Entre Códigos Civiles y Androides“, sobre si se pueden lanzar mensajes publicitarios o no a través de Twitter, y en su caso, cómo debería hacerse legalmente.

5.- Demostración de cómo, hoy por hoy, no sale a cuentas intentar el E-commerce vía Twitter: De Twitter y la Ley de Servicios de la Sociedad de la Información – Contratación vía Twitter (Parte II). Resulta farragoso, complicado y nada atractivo.

6.- Reflexiones de Paco Pérez Bes (@pacoperezbes), sobre lo qué podemos entender por el concepto de “Otro medio de comunicación electrónica equivalente” al que se refiere la LSSI en relación con las comunicaciones comerciales, en “El blog de Paco Pérez Bes“.

7.- Cierra el círculo un comentario mío, en este mismo blog, sobre el artículo anterior: Comentando “Otro medio de comunicación electrónica equivalente”, ya que para gustos, los colores.

PD: Si alguien más se anima y quiere ampliar esta lista de posts, sólo tiene que decirlo (más adelante ya publicaremos el libro y hablaremos sobre los derechos para la película XD).