El pasado 2 de abril de 2012 entró en vigor la última modificación de la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (conocida como LSSI), fruto de la publicación de un Real Decreto-ley por el que se transpone –entre otras- la directiva europea sobre protección de la intimidad en las comunicaciones electrónicas (Directiva 2009/136/CE).

A efectos prácticos, algunas de las modificaciones establecidas por dicha norma consisten en la previsión de nuevas obligaciones que deberemos tener presentes a la hora de llevar a cabo actividades publicitarias y promocionales a través de ese medio.

La primera de las novedades establecidas afecta al artículo 20 de la LSSI, que es el relativo a la información que debe ofrecerse al usuario sobre las comunicaciones comerciales que se le remiten por vía electrónica. En este caso, tal modificación consiste en la inclusión de un nuevo apartado 4, con el siguiente tenor literal: “En todo caso, queda prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación o que contravengan lo dispuesto en este artículo, así como aquéllas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en este artículo”.

Esto es, se añade una nueva prohibición a la hora de realizar actividades de marketing directo, que sanciona aquella práctica en la que la comunicación comercial electrónica que se envíe, disimule u oculte la identidad del responsable de la publicidad. Es decir, queda prohibido enviar correos electrónicos con fines de venta directa sin revelar con claridad quién es el anunciante o, por lo menos, la persona por cuenta de quien se efectúa esa comunicación, en el caso de que sean distintos. Asimismo, tal prohibición alcanza a un eventual envío de comunicaciones comerciales por vía electrónica en la que se incite al destinatario a visitar páginas en las que se infrinja lo dispuesto en ese artículo.

La segunda de las novedades introducidas por esta modificación normativa afecta al artículo 21.2 de la LSSI, que es el artículo que regula el spam, y cuyo párrafo segundo se refiere a la excepción por la cual únicamente se permite el envío de comunicaciones comerciales electrónicas sin el consentimiento del destinatario cuando éste sea un antiguo cliente y se cumplan, además, las condiciones exigidas en ese artículo. En particular, dicho párrafo segundo señala que “en todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija”.

En este caso, la novedad consiste en la inclusión de un nuevo párrafo tercero a dicho artículo, con la siguiente redacción: “Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección”.

Esta adición persigue la inclusión, en todo caso, de una dirección de correo electrónico habilitada, a la cual el antiguo cliente al cual remitimos e-mails comerciales de nuestra empresa, pueda dirigirse en cualquier momento al objeto de darse de baja de seguir recibiendo más comunicaciones de ese tipo. De este modo, se pretende desterrar la práctica consistente en el envío de comunicaciones comerciales por vía electrónica no solicitadas, en las cuales no se incluía la opción para el destinatario de oponerse a recibir ulteriores comunicaciones, o bien se incluía una dirección de correo electrónico o un enlace que no funcionaban.

Finalmente se modifica el artículo 22 de la LSSI (“derechos de los destinatarios de servicios”), al cual se le da una nueva redacción donde destacan dos aspectos. Un primer gran cambio, consistente en incluir una obligación como la señalada para el artículo 21.2 a los efectos de permitir al destinatario de comunicaciones comerciales revocar en cualquier momento el consentimiento prestado con la simple notificación de su voluntad al remitente. Y, a tal efecto, se obliga ahora a los prestadores de servicios a que habiliten procedimientos sencillos y gratuitos, los cuales, las comunicaciones hubieran sido remitidas por correo electrónico, deberán “consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección”.

Y una segunda gran modificación, que afecta a la utilización de cookies distintas de las meras cookies de sesión o las estrictamente necesarias para prestar un servicio de la sociedad de la información, como serían, por ejemplo, las cookies de rastreo o tracking cookies.

En relación a este extremo, la ley pasa de exigir una simple obligación de información al usuario afectado (“Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales, informarán a los destinatarios de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito”.), a exigir la obtención del consentimiento del usuario “después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.

En la práctica, los problemas se centran en clarificar de qué manera se debe obtener ese consentimiento previo del internauta, ya que la Ley condiciona la validez del uso de dichas herramientas a la efectiva obtención de la autorización del usuario. En relación a este extremo la propia Ley señala que “cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto”.

Ahora bien, hasta el momento en que la vía del navegador esté disponible con carácter general, deberán implantarse nuevas medidas, si bien a día de hoy desconocemos cuál es el criterio que va a imperar por parte de la administración competente en relación a la citada obtención del consentimiento de los usuarios a los que se les pretenda instalar ciertas cookies.

9 comentarios a esta entrada

  • Txema Soto el 17 Abr a las 10:22

    Muy interesante y útil el artículo. Gracias Paco.

  • Gonzalo Martín el 17 Abr a las 10:58

    Al respecto de las cookies (y pensando en servicios de tracking de estadísticas de tráfico), y leyendo la cita literal de la ley que mencionas: ¿quiere decir que teniendo habilitado en el navegador por defecto la aceptación de cookies se entiende que existe consentimiento? Gracias.

  • Paco el 17 Abr a las 12:10

    Hola Gonzalo. Eso era así hasta esta modificación. A partir de ahora se pretende exigir del usuario una actuación positiva y expresa que acredite su permiso para la instalación de cookies o similares. ahora mismo se está trabajando en un estándar (en el W3C) para que los navegadores incluyan una opción que se considere suficiente para poder acreditar dicho consentimiento. Confío en que pronto tengamos más información sobre cuál es la manera aceptada por nuestro organismos reguladores para llevar a cabo este cometido, si bien, a día de hoy, todavía existen dudas.

  • Alberto Ramos Alberto Ramos el 17 Abr a las 13:08

    Gran análisis Paco, es curioso que, en gran parte, haya prácticas que sólo se conviertan en más transparentes para muchas empresas cuando la ley (cada vez más precisa en internet) obliga. Recuerdo la primera vez que respondí a un email (pub) y había alguien detrás… me llenó de satisfacción. Sobre todo será trabajo para las empresas de email marketing grandes, seguro que ellas ya se están poniendo las pilas en forma y fondo. Es una oportunidad.

  • Paco el 17 Abr a las 13:20

    Gracias Alberto. Estoy totalmente de acuerdo con tu comentario. Estamos hablando de ofrecer una mayor protección al usuario/consumidor/cliente, por lo que no creo que sea buena política el oponernos a ello como empresa. Antes al contrario, sería deseable que las propias empresas velaran por el bienestar de los usuarios también en los aspectos relacionados con la privacidad. Estoy convencido que el respeto a la privacidad se convertirá en un hecho diferencial entre las empresas, como lo es una buena atención al cliente o un buen servicio de entrega.

  • Toni el 18 Abr a las 12:28

    ¿Esta normativa afecta a las comunicaciones entre empresas o solamente a las que intervengan consumidores particulares?

  • Paco Pérez Bes Paco Pérez Bes el 18 Abr a las 13:45

    Hola Antoni. Esta normativa afecta a ambos casos. Cosa distinta es la aplicación de la Ley de protección de datos, que en el primer caso que señalas no resulta de aplicación. Pero la LSSI no hace esta distinción en relación a los destinatarios de la comunicación.

Referencias a esta entrada