Inicio > Sin categoría > Modificaciones en la LSSI en materia de cookies y comunicaciones comerciales

Modificaciones en la LSSI en materia de cookies y comunicaciones comerciales

Lunes, 2 de abril de 2012

El pasado viernes el Gobierno aprobó el Real Decreto-ley 13/2012, de 30 de marzo, por el que se realiza la transposición de varias a Directivas, entre otras, la  Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, (conocida como “Directiva de cookies“) y la Directiva 2009/140/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (Mejor Regulación en las comunicaciones electrónicas).

En materia de comunicaciones electrónicas, se realizan dos modificaciones en la LSSI, la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico:

  • Se prohíbe el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación, así como aquéllas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en el artículo 20 de la LSSI (nuevo apartado 4 del artículo 20). Esta prohibición no es muy relevante en la práctica, teniendo en cuenta que ya el apartado 1 de este artículo obliga a que se identifique claramente a la persona física o jurídica en nombre de la cual se realiza la comunicación comercial, es decir, si hay que identificarla “claramente”, evidentemente no es válido que se “disimule o se oculte la identidad del remitente”.
  • Las comunicaciones comerciales por correo electrónico deberán incluir necesariamente una dirección electrónica válida donde pueda ejercitarse el derecho a oponerse al tratamiento de sus datos con fines promocionales (nuevo párrafo en el apartado 2 del artículo 21). Sobre lo que supone esta nueva obligación, discrepo de lo que afirman los compañeros Campanillas y Prenafeta, que entienden que “no se podrán realizar campañas de email marketing desde cuentas de correo que no permitan la respuesta a los mismos, esto es, como aquellas que incluyen el mensaje “no-reply”". En mi opinión se podrán seguir enviando de esta forma comunicaciones comerciales, sólo que en todo caso debe indicarse una dirección de correo electrónico para oponerse, la cual no tiene por qué ser la misma desde la que se envía. Se trata de que no se limite la posibilidad de oposición, por ejemplo, a visitar una web determinada, incluso obligando al destinatario a acceder con su usuario y contraseña al apartado de registro de usuarios; en definitiva, que se más sencillo y rápido oponerse.

En cuanto al régimen de las “cookies“, el texto es el mismo que proyectó aprobar el anterior gobierno, con lo que lo que comentábamos en este mismo blog el año pasado sigue siendo plenamente válido. En resumen:

  • Sólo pueden usarse “cookies” si el afectado ha dado su consentimiento previo e informado (salvo que tengan por finalidad efectuar o facilitar técnicamente la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario).
  • Este consentimiento podrá entenderse otorgado mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.
  • Habrá que ver si la Agencia Española de Protección de Datos sigue el criterio del Grupo de Trabajo del Artículo 29, en cuyo caso para que pueda ser válido el consentimiento, será necesario que  el navegador pida al usuario que entren en un asistente de privacidad la primera vez que instalen o actualicen, así como proporcionar un método fácil de ejercer su opción durante la utilización del producto. Sobre las opciones que dan actualmente los principales navegadores, pueden leer este interesante post de Santiago Bermell.

Para conocer el resto de novedades que trae esta norma, Gontzal Gallo nos las resume en su blog.

Sin categoría

  1. Lunes, 2 de abril de 2012 a las 12:38 | #1

    David, el nuevo art. 22.1 dice textualmente “El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.”

    Lo cual veta el uso de un “no-reply”. Al margen claro de que pueden incluirse otras direcciones…

  2. Lunes, 2 de abril de 2012 a las 13:13 | #2

    @Javier Prenafeta
    Hola, Javier. El texto que indicas el 22.1 no es nuevo, es lo mismo que ya figuraba en la LSSI, no ha habido modificaciones.

    La novedad es la del siguiente párrafo del artículo 22 y el equivalente del apartado 2 del artículo 21, que exigen que en la comunicación se incluya una dirección de correo electrónico.

    Es decir, no es necesario que al remitente se le tenga que contactar por medio de la dirección desde la que nos escribe, si así lo hubiera querido el legislador, no haría falta incluir la necesidad de que figure una dirección electrónica válida en la comunicación comercial, habría bastado con exigir que se pudiera contestar a la dirección desde la que se remite.

    Muchas gracias por tu comentario. Un saludo.

  3. jose
    Lunes, 2 de abril de 2012 a las 14:39 | #3

    @David González Calleja
    ¿Por qué descartáis la posibilidad de que una web/formulario web sea también una dirección electrónica válida?

    ¿Existe algún sitio que defina qué es una dirección electrónica válida? y… al fin y al cabo… qué es una URL sino una dirección electrónica?

    Tengamos en cuenta que actualmente, la inmensa mayoría funcionan a través de un sistema automático “haga clic aquí”, que procesa automáticamente la baja y muestra un mensaje de respuesta en la web… o bien, pide autenticación o confirmación de este deseo.

    No sé vosotros… pero me fio más de un sistema automático que de una dirección de correo que corre el riesgo de quedarse desatendida durante determinadas situaciones (vacaciones, bajas, etc.)

    Además, normalmente, este sistema permite darse de baja con un simple clic… ¿por ley van a obligar a que el usuario ya no pueda hacer eso, sino que tenga que redactar una solicitud (por simple que sea)?

    No lo veo NADA claro…

  4. jose
    Lunes, 2 de abril de 2012 a las 14:42 | #4

    @David González Calleja
    Me parece más lógico que lo que se pretenda impedir es la oposición por medios analógicos, como un correo postal… “Si no desea recibir más comunicaciones comerciales, envíenos una carta a la C/qwerty, 24″.

    ¿Qué opináis?

  5. Lunes, 2 de abril de 2012 a las 18:42 | #5

    Es cierto que una URL es una dirección electrónica, pero a parte que es más lógico pensar en un email, además la versión en inglés de la Directiva habla de enviar una comunicación, no de acceder a un sitio web, y podría haber sido más neutro. Creo que está pensando en responder a emails.

    Y en esta línea, también se exige que la dirección sea válida, y para que lo sea debe admitir una respuesta.

    Pero si, podría estar más claro la verdad.

    Saludos y buen debate

  6. Lunes, 2 de abril de 2012 a las 20:32 | #6

    @jose
    Literalmente, es cierto que es una dirección electrónica, pero creo que la intención del legislador espaol (y del comunitario) no es esa. A mí me parece más molesto que sea necesario irse a una web y muchas veces incluso “loguearse”, que enviar un email a la dirección que te dan para ello diciendo “no me envíe más emails”. Además dificulta la prueba de la oposición realizada por parte de destinatario.
    Un saludo, y gracias por tu comentario.

  7. Lunes, 2 de abril de 2012 a las 20:32 | #7

    @jose
    Eso también se evita, evidentemente, y es una buena previsión.

  8. Lunes, 2 de abril de 2012 a las 20:34 | #8

    @Javier Prenafeta
    En esto sí que estamos de acuerdo, veremos cómo lo interpreta la AEPD, pero creo que la intención sea una dirección de correo electrónico. En lo que no coincidimos es lo comentado antes, no tiene por qué ser la dirección desde la que se envía, puede ser otra que se indique en el email.
    Lo que es verdad es que una modificación aparentemente tan simple da para comentar mucho.
    Un saludo.

  9. Xavier Ribas
    Lunes, 2 de abril de 2012 a las 20:49 | #9

    Es verdad que la Directiva dice “send a request”, pero, en mi opinión, ello no impide enviar la solicitud vía web.

    El legislador español ha optado por dar al usuario unas facultades más amplias al hablar de ejercicio de derechos, de manera que pueda ejercitar sus derechos por ambos canales y no sólo por correo electrónico.

    Por ejemplo, las empresas de determinados sectores tienen la obligación de ofrecer a sus clientes la posibilidad de ejercitar los derechos ARCO en su web mediante DNI electrónico. ¿Vamos a decirle ahora a estas empresas que ya han hecho la inversión para adecuarse a la LISI, que si envían comunicaciones comerciales por correo electrónico sólo podrán recibir cancelaciones por correo electrónico?

    A mi, como usuario, me resulta más cómodo hacer clic en un enlace que gestione automáticamente la baja que respondiendo al mensaje. Además, hay ocasiones en que no se puede hacer reply. Por ejemplo cuando el inbox de Lotus Notes ha superado el tamaño máximo permitido.

    En cualquier caso, lo ideal sería que ambos sistemas pudiesen coexistir. Ello beneficiaría a todas las partes implicadas.

    Un abrazo.

  10. Lunes, 2 de abril de 2012 a las 21:04 | #10

    @Xavier Ribas
    Hola, Xavier.
    La manifestación de la oposición no es “solo” por correo electrónico, es “al menos”, no se impide que sigan facilitándose otros métodos. Es verdad que para el que tenga implementada la posibilidad de ejercer los derechos ARCO mediante DNI electrónico les puede parecer absurdo haber realizado esa inversión, pero lo cierto es que lo pueden mantener.
    Estoy de acuerdo en que para el usuario lo más cómodo puede ser un enlace, siempre y cuando la baja se automática al pinchar, si ya exige meter más datos o autenticarse, la cosa cambia.
    Es verdad que lo mejor es que coexistan los dos sistemas, pero creo que también exigir a remitente que facilite las dos posibilidades puede ser excesivo, con lo que el mínimo del correo electŕónico creo que es razonable.
    Muchas gracias por tu comentario y un cordial saludo, Xavier.

  11. Manel
    Lunes, 2 de abril de 2012 a las 21:32 | #11

    Creo que la obligación de poner una dirección de e-mail válida, a parte de que pueda existir el link de “darse de baja”, es una muy buena norma, atendiendo que últimamente la AGPD en una práctica que creo altísimamente dudosa, archiva las denuncias por la falta de consentimiento previo, si el denunciante no demuestra que NO consintió ese envío (evidentemente es imposible de demostrar). Con una cuenta de e-mail para bajas, como mínimo, tendremos prueba de nuestra voluntad, que en el sistema de link, no queda. Seguro que en el transfondo está el hecho de que los que nos dedicamos al Hosting, hemos detectado que los sistemas de baja por link, cada vez son más simulados e inoperativos, no consiguiendo una baja real con ellos.

    El que legislen bien el tema de las bajas, está muy bien, pero sigue habiendo el problema de que el 90% de SPAM de Empresas Españolas, son tras la compra de BBDD y sin previo consentimiento y autorización. Es un poco absurdo dar opciones de “baja”, cuando casi nunca ha habido un “alta”.

    Saludos

  12. Lunes, 2 de abril de 2012 a las 21:53 | #12

    @Manel
    Hola, Manel, muchas gracias. Como ya hemos hablado en el otro blog, tienes toda la razón, es un problema importante al que la Agencia no pone fin.
    Un saludo.

  13. jose
    Martes, 3 de abril de 2012 a las 08:37 | #13

    Muchas gracias por vuestras opiniones… ahora os planteo otra cuestión…

    ¿Creéis que el régimen sancionador del artículo 22.2… se ha quedado obsoleto y, en consecuencia, no se podrá sancionar hasta que también sea reformado? (particularmente… sé que está muy cogido por los pelos… pero lo cierto es que la infracción no menciona la palabra consentimiento).

  14. Martes, 3 de abril de 2012 a las 15:15 | #14

    Pues si, la verdad es que el punto i) del art. 38.3 de la LSSI (y el correspondiente para infracciones leves) habla de incumplimiento de los deberes de información y del procedimiento de rechazo, lo cual técnicamente impediría sancionar por no solicitar expresamente el consentimiento.

    El problema es que lo de las cookies está metido con calzador en este artículo, porque poco tiene que ver con el envío de comunicaciones comerciales. Lo propio hubiera sido incluirlo en la LOPD o en el Reglamento, que total sobrepasa a la ley en tantas cosas que una más no importa.

  15. Martes, 3 de abril de 2012 a las 17:41 | #15

    @jose
    No sólo creo que tienes toda la razón, sino que acabo de escribir un post sobre ello. :)

    Muchas gracias por tu aportación. Un saludo.

  16. Ad Edictum
    Lunes, 9 de abril de 2012 a las 16:28 | #16

    @Xavier Ribas
    Hay una diferencia entre los supuestos que planteas: En un caso se está ejerciendo un derecho personalísimo, al amparo de la LOPD, y en el otro no. No confundamos las obligaciones de la LOPD y la LSSICE aunque se superpongan.
    Saludos.

  17. miguel
    Martes, 24 de diciembre de 2013 a las 03:45 | #17

    Os quiero informar que soy una persona fisica a la que la agencia española me ha iniciado un expediente sancionador por haber realizado un envio masivo de carater comercial dicen ellos y sin autorizacion previa dicen ellos, eso emails que mande eran una promocion de unos cursos de una asociacion donde trabajaba a un cliente que resultó ser alquien de la competencia que a traves de un tercero me dieron su email, como afectara la nueva ley a mi sentencia, pues si sale en enero mi sentencia saldra en febrero, muchas gracias

  18. Jueves, 26 de diciembre de 2013 a las 09:55 | #18

    @miguel
    Hola, Miguel.

    La normativa no debe afectarte si en el momento de la comisión de los hechos ilícitos no estaba en vigor (salvo que fuera más favorable para ti la nueva normativa). Te recomiendo que te pongas en contacto conmigo o con algún abogado especialista en estas materias para que puedan ayudarte en el procedimiento.

    Un saludo.

*