Tag Archives: LSSI

Trasposición de la «Directiva de Cookies»

El pasado 24 de mayo se aprobó el Proyecto de Ley por la que se modifica la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (BOCG 27 de mayo 2011). Además de modificar la LGT, se realizan modificaciones en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) y en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).

En cuanto a las que afectan a esta última, nos vamos a centrar en las que se derivan de la trasposición de lo contenido en la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, (conocida como “Directiva de cookies“), por la que se modifica, entre otras normas, la Directiva 2002/58/CE, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (la llamada Directiva de privacidad).

Efectivamente, la Disposición Final Segunda del proyecto, en su apartado Tres, viene a trasponer lo recogido en la Directiva sobre la utilización de “cookies”, modificando el apartado 2 del artículo 22 de la LSSI, que queda de esta forma:

“2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, de conformidad con las disposiciones pertinentes de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto”.

Lo que llama la atención de este texto es la posibilidad de entender obtenido el consentimiento “mediante el uso de parámetros adecuados del navegador o de otras aplicaciones”, lo cual, a primera vista, parece ir en contra de la intención de la Directiva 2002/58/CE, que en su nueva redacción dice lo siguiente:

“Los Estados miembros velarán por que únicamente sepermita el almacenamiento de información, o la obtenciónde acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después deque se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE.”

Sin embargo, si acudimos al Considerando 66 de la Directiva de cookies, vemos que esta redacción no es tan original:

“Cuando sea técnicamente posible y eficaz, de conformidad con las disposiciones pertinentes de la Directiva 95/46/CE, el consentimiento del usuario para aceptar el tratamiento de los datos puede facilitarse mediante el uso de los parámetros adecuados del navegador o de otra aplicación“.

En consecuencia, podemos afirmar que la trasposición es correcta y conforme a la Directiva, pero el quid de la cuestión está, a mi entender, en cómo interpretemos esto, puesto que una interpretación favorable puede facilitar enormemente el cumplimiento de esta obligación, con lo que ya no estaríamos ante la necesidad de que el usuario consienta, de alguna manera, la utilización de cookies, que en principio es la finalidad de la modificación.

Si la Agencia Española de Protección de Datos (AEPD), que es la competente en la materia, sigue los criterios del Grupo de Trabajo de Protección de Datos del artículo 29, la interpretación será bastante restrictiva. Así lo establece este órgano consultivo euroopeo en su Dictamen 2/2010 sobre publicidad comportamental en línea, en el que dice que “para que los buscadores u otras aplicaciones puedan «ser indicativos» de consentimiento válido” se deben dar las siguientes condiciones:

a) Deben rechazar por defecto cookies de terceros y requerir que el usuario realice una acción expresa para aceptar cookies.

b) Los buscadores deben transmitir, en nombre del proveedor de la red de publicidad, la información pertinente sobre el objeto de los cookies y el tratamiento de datos ulterior. Si no se cumplen los requisitos citados, el hecho de proporcionar información y, hasta cierto punto, facilitar la capacidad del usuario para rechazar cookies (explicando cómo hacerlo) no puede en principio considerarse consentimiento. En consecuencia, “parece de capital importancia que los buscadores dispongan de la configuración de «no aceptación y no transmisión de cookies de terceros». Para complementar esto y hacerlo más eficaz, los buscadores deben pedir a los usuarios que entren en un asistente de privacidad la primera vez que instalen o actualicen el buscador y proporcionarles un método fácil de ejercer su opción durante la utilización del producto”.

Dos errores legales habituales en la utilización comercial de Facebook

La creciente utilización de las redes sociales y, en especial, de Facebook, como herramienta de marketing y comunicación empresarial nos ha permitido observar dos errores legales habituales cometidos por los usuarios profesionales de esta red social.

En primer lugar, nos encontramos con numerosos perfiles de usuario utilizados como «perfil» de empresa. Esto supone, en primer lugar, un incumplimiento de las condiciones de uso de Facebook. El apartado 4.4 de estas condiciones establece que el usuario se compromente a no utilizar su «perfil personal para obtener ganancias comerciales». Es decir, para empezar, e independientemente de lo que comentaremos a continuación, estamos incumpliendo los términos del servicio de Facebook, lo cual puede suponer, entre otras cosas, que Facebook nos cierre nuestro perfil. Por tanto, aunque llevamos un largo recorrido con nuestro perfil «personal-pero-profesional», nos arriesgamos a perder todo el trabajo hecho.

Por otra parte, el hecho de utilizar un perfil personal como si fuera de un negocio, implica que no se hacen fans, sino amigos, con lo cual se accederá recíprocamente a la información personal subida por los otros usuarios. Aunque muchos usuarios, en general por desconocimiento, aceptarán hacerse amigos de páginas profesionales, muchos otros no lo harán, precisamente, porque supone compartir la información con un desconocido. Además, dado que estamos dándole un uso profesional, entraría en aplicación la normativa sobre Protección de Datos de Carácter Personal, con todas las implicaciones que ello tiene, que son muchas.

El otro error legal que habitualmente nos encontramos se refiere a los que sí que utilizan correctamente Facebook para crear una página profesional y aprovechan la posibilidad que da Facebook de enviar mensajes a todos sus fans. En mi opinión, eso es una comunicación comercial electrónica, con lo cual debemos estar a lo dispuesto en la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) y, en concreto a su artículo 21, que prohíbe las comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes. Si no tenemos el consentimiento de los usuarios (fans), no podremos enviar comunicaciones comerciales. La solución es tan sencilla como poco utilizada: no hay más que incluirlo en la información sobre la empresa que se incorpora en la página de Facebook, de forma que el que se hace fan de una página consienta el envío de comunicaciones comerciales a través del sistema de mensajes de Facebook.