La versión de su navegador no está debidamente actualizada. Le recomendamos actualizarla a la versión más reciente.

Compartir

 

 

Ley de Cookies

Publicado 25/11/2013

El pasado 27 de septiembre de 2013 se publicó en el Boletín del Congreso de los Diputados el recién aprobado proyecto de Ley General de Telecomunicaciones, en cuya Disposición Final Segunda se incluye una modificación de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de Información y Comercio Electrónico (en adelante LSSI). Como diremos al final, la gran novedad es que, si se aprueba esta reforma, estará ya tipificado como sancionable el hecho de grabar y leer cookies sin consentimiento previo, lo que hasta ahora no se había tipificado como tal. Por tanto, se avecinan nuevas sanciones con multas de entre 30.000 hasta 150.000 euros en caso de aprobarse la normativa.

Como es sabido, desde el pasado 30 de marzo de 2012, fecha en que también se modificó la LSSI, ya se incluyó que las cookies debían estar amparadas en un consentimiento previo e informado para poder ser utilizadas. Tan solo el art. 22 LSSI excepcionaba de tal consentimiento a aquellas cookies técnicas o precisas para la prestación del servicio (cookies necesarias), como por ejemplo las “cookies de autenticación” que se generan al registrarnos en una web y que tienen por finalidad avisar de posibles intromisiones.

La propia AEPD ha elaborado una Guía de Coookies donde se expone cómo llevar a cabo esa información previa y cómo solicitar el consentimiento, y dónde se diferencian qué cookies se consideran técnicas o necesarias y cuáles no. Igualmente, el Grupo de Trabajo del art. 29 incluyó en su Dictamen 4/2012, sobre la exención del requisito de consentimiento de cookies, una relación detallada de las mismas.

La cuestión es de máximo interés puesto que el manejo de Internet, tanto en nuestros ordenadores como en dispositivos móviles, supone que se ha pasado de un marketing basado en la intuición, a una toma de decisiones fundadas en datos reales y actuales de los propios consumidores. La llamada “Segunda economía” que supone hoy por hoy el comercio electrónico, mueve ya a nivel mundial el dinero que la primera economía digería en el año 1995. Por otra parte, como apunta el propio Grupo de Trabajo del Art. 29, en el año 2009 se llegaba a chequear a un usuario medio unas 2590 veces al mes por algún buscador. Esto es, si somos usuarios medios, algunos prestadores llegan a leer nuestras preferencias y gustos miles de veces al mes.

El negocio, por tanto, del marketing comportamental, es decir, el basado en los hábitos de conducta, en el comportamiento real de cada usuario, está servido desde hace años y mueve sumas importantes de dinero. El propio Grupo de Trabajo del art. 29 elaboró ya en el año 2010 un Dictamen al respecto (Dictamen 2/2010) que resulta de máximo interés.

Expuesto lo anterior, una investigación sobre el particular nos lleva a plantear las siguientes cuestiones:

a)¿Se aplica la normativa únicamente a las “cookies”? Según el art. 22.2 LSSI, se aplica a cualquier dispositivo que permita grabar y recuperar información en los equipos terminales de los usuarios, en nuestros ordenadores. Además de las cookies, existen mecanismos como los pixels, archivos de alojamiento local, Etags, etc. que también permiten monitorizar el comportamiento de los particulares. Nos referiremos, por tanto, a las “cookies” en un sentido amplio.

b)¿Por qué tanto interés en regular las cookies? ¿Captan datos personales? A través de las “cookies” sólo se pueden saber los gustos o preferencias, entre otras finalidades técnicas, que se han “pulsado” al navegar desde un terminal. Por tanto, no siempre permiten asociar esta información a una persona física determinada o determinable y, en consecuencia, no siempre implican que existan datos personales.

c)¿Con cumplir la LSSI ya se pueden incluir “cookies”? No solo es preciso cumplir la LSSI, sino también la normativa derivada de la L.O. 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) si esta información está asociada a una persona física. La LSSI se aplicará, por tanto, en todo momento como “Les especial” (vid. Dictamen 2/2010 G.T. Art. 29)). Pero en lo no previsto en ella, siempre que, se insiste, se graben datos personales, se habrá de aplicar lo dispuesto en la LOPD. Esto supone inscribir ficheros, valorar la calidad de los datos (art.4 LOPD), informar de los puntos recogidos en el art. 5 LOPD –en complemento con la información del art. 22.2 LSSI), el ejercicio de derechos “ARCO” (art. 15 y ss LOPD), etc. etc. Por supuesto, la aplicación de las medidas de seguridad, o la prohibición de captar datos especialmente protegidos salvo con ciertos requisitos (art. 7 y 8 LOPD) también serían aplicables. Así se destaca, por ejemplo, en el considerando 24 de la Propuesta de Reglamento Europeo de Protección de Datos –de lege ferenda-, en la propia Guía de Cookies de la AEPD o en el Dictamen 2/2010 del Grupo de Trabajo del Art. 29.

d)¿Además de la LSSI y la LOPD, podría aplicarse alguna normativa más? A mi juicio sería de directa aplicación el art. 197 del Código Penal, si estos dispositivos se utilizan inconsentidamente para averiguar los datos personales de una persona, o incluso de su entorno familiar. Serían, en mi opinión, equiparables a los dispositivos técnicos de escucha y grabación, o más concretamente, a la conducta por la que alguien se apodera o utiliza, “en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado”, ex art. 197 C.P.

Por tanto, por esbozar una conclusión general, si no se capta información personal asociada a una persona física, identificada o identificable, únicamente se habrá de cumplir con la LSSI.El bien jurídico protegido es simplemente el evitar que se monitorice la navegación de los particulares (y empresas puesto que la LSSI se aplica también a personas jurídicas), lo que puede o no ser objeto de crítica puesto que quizás no sea en sí negativo. De hecho, resulta de interés que el art. 83 de la Propuesta de Reglamento Europeo de Protección de Datos, precepto que incluso permite el tratamiento de datos personales para obtener fines estadísticos en determinados casos y con soluciones menos complicadas para las empresas que la legislación actual.

En consecuencia, ¿qué daño se genera en sí con la inclusión de cookies que permitan a las empresas tomar decisiones sobre datos reales de comportamiento? En principio ninguno que afecte a la intimidad, pero lo cierto es que no nos fiamos y por esta desconfianza surge esta legislación. Está claro que si se “cruza la línea” y con ello se captan datos personales, tal daño a la intimidad sería evidente: los prestadores podrían saber todas nuestras preferencias. Entre tanto, las empresas españolas, y las Europeas, competirán en peores condiciones que las de otros países, donde no se aplican este tipo de restricciones. Al menos, como punto positivo, si la propuesta de Reglamento Europeo de Protección de Datos llega a aprobarse, el art. 3 de dicho texto obligará a que estas empresas cumplan con la normativa europea si el tratamiento de la información tiene por objeto “el control de la conducta” de ciudadanos de la Unión Europea (art. 3.2.b) ).

En todo caso, como decíamos al inicio, si ocupamos ahora nuestro tiempo en esta materia es, entre otras cosas, porque en España no estaba tipificado como infracción, y en consecuencia no podía sancionarse como tal (ex. Art. 25 CE) el usar cookies sin consentimiento previo. La propuesta de modificación supone que el nuevo art. 38.4 LSSI considere infracción leve el «g) Utilizar dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado la información ni obtenido el consentimiento del destinatario del servicio en los términos exigidos por el artículo 22.2.». Ello nos situará en multas de hasta 30.000 euros por caso. Además, si la conducta es persistente, la sanción podrá ser de hasta 150.000 euros, pues se tipifica en el art. 38.3 LSSI como sanción el «i) Ignorar deliberada y continuamente la voluntad manifestada por el destinatario para que no se instalen en su equipo terminal dispositivos de almacenamiento y recuperación de datos o seguir tratando los datos recabados después de que haya revocado su consentimiento.»

Lea toda la publicación »

Privacidad de los "sms", correos electrónicos y grabaciones telefónicas. Diario Jurídico

Publicado 20/08/2013

http://www.diariojuridico.com/opinion/la-privacidad-de-los-sms-los-correos-electronicos-y-las-grabaciones-telefonicas.html

La actualidad nos plantea el revisar si nuestras manifestaciones, ya sean verbales o escritas, especialmente en los casos de los correos electrónicos y mensajes de texto que nos intercambiamos habitualmente, pueden ser divulgados libremente o si, por el contrario, tal revelación puede ser originadora de un ilícito, ya sea administrativo (por vulnerar nuestra intimidad pudiendo ser sancionado por la normativa en materia de protección de Datos), civil (a través de la Ley Orgánica de Derecho al Honor, Intimidad Personal y Familiar y la Propia Imagen), o incluso Penal, por constituir el mismo un delito de revelación de secretos penado en los artículos 197 y ss. del Código Penal.

Cada una de estas normas confluye en proteger la información manifestada con carácter absoluto, es decir, sin excepción de ningún tipo, por lo general. De hecho, esta prohibición absoluta se considera de orden público y se sustrae a la voluntad del perjudicado en el ámbito sancionador administrativo, pues en esta vía sancionadora de la Ley Orgánica de Protección de Datos, ni siquiera el perdón del ofendido “redimiría” la pena, en este caso la imposición de una sanción normalmente económica. Es decir, a diferencia del ámbito penal, donde expresamente se recoge que es precisa la denuncia del afectado o de su representante legal para proceder a enjuiciar el ilícito, o que el perdón de este ofendido redimiría la pena, en el ámbito sancionador la vulneración del deber de secreto o la cesión de datos se sancionarían siempre y en todo caso, pudiendo iniciarse el procedimiento incluso de oficio.

Ahora bien, no parece lo mismo publicar en un foro de internet lo que en privado se ha podido escribir o decir a un amigo, por ejemplo, que el usar esta información privada como medio de prueba. Lo expuesto en materia de tutela judicial efectiva, sería igualmente predicable a los casos de lesión a esa privacidad por considerar que la información a revelar tiene el carácter de noticiable, es decir, que siendo veraz, la libertad de expresión y de información hagan prevalecer ese mayor “interés general” en conocer y hacer público el contenido de una información, que el de la privacidad en sí.

Lo que subyace de lo anterior es que el derecho a la intimidad que, per se, se protege en general por la normativa citada, puede ser que entre en colisión con otro derecho igualmente susceptible de la misma protección, como sería el caso del derecho a obtener la tutela judicial efectiva y utilizar tal grabación, tales correos electrónicos, sms, etc. como prueba, o la libertad de información en los casos en que la información sea “noticiable”. Los problemas siempre podrán venir a la hora de definir los límites y la casuística de este juicio de ponderación a realizar caso a caso.

Finalmente, cuestión absolutamente distinta pero habitualmente conexa, es la de los casos en que la información que se haya obtenido lo fuere por medios ilícitos. En este sentido es necesario precisar que, por ejemplo, las grabaciones que podrían ser válidas serían, además de las autorizadas judicialmente, las correspondientes a conversaciones en las que hayamos sido parte, no a otras donde a través de dispositivos de escucha y grabación un tercero ha intervenido e interferido la intimidad de otros interlocutores. Lo anterior es igualmente predicable para los correos y demás informaciones en las que no hayamos sido parte. Al respecto, de acuerdo con nuestra legislación además, solo los detectives están legitimados para obtener información de terceros, y siempre limitados para, en ningún caso, utilizar para sus investigaciones medios materiales o técnicos que atenten contra el derecho al honor, a la intimidad personal o familiar o a la propia imagen o al secreto de las comunicaciones.

Lea toda la publicación »

Nombre de la nueva publicación

Publicado 20/08/2013
Lea toda la publicación »

Nombre de la nueva publicación