El 30 de marzo se aprobó el Real Decreto-ley 13/2012 que ha modificado la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, particularmente en su Título III, donde se regula el envío de comunicaciones comerciales realizadas a través de correo electrónico así como las "cookies".
Esta reforma, con origen en la voluntad de protección de los derechos de los usuarios frente al creciente desarrollo de técnicas de tracking o seguimiento de los comportamientos y hábitos de navegación en la red, tiene un especial impacto en la industria publicitaria.
(I) Endurecimiento del régimen de envío de emails comerciales.
Sustancialmente el nuevo marco regulatorio (1) obliga al prestador de servicios a la inserción de una "dirección electrónica válida" en cada comunicación comercial enviada a los usuarios, (2) prohíbe "ocultar" o "disimular" la identidad del remitente, y (3) refuerza la garantía del derecho de oposición del destinatario a la recepción de comunicaciones de venta directa por email.
El artículo 20.4 prohíbe el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación, enfatizando la regulación preexistente. Así, quien que proceda a enviar publicidad propia o de terceros, deberá hacerlo en su propio nombre, resultando claramente identificable por el usuario.
Además, establece la obligación adicional a quien remita ofertas o concursos promocionales, (además de solicitar la autorización administrativa correspondiente), de garantizar que queden identificados como tales y que las condiciones de acceso y, en su caso, de participación sean fácilmente accesibles y se expresen de forma clara e inequívoca. Es decir, establece una obligación de comprobación, para quién proceda al envío de una oferta o concurso promocional, de la licitud de los contenidos que el usuario visite.
Por otro lado, destaca la relevancia del nuevo concepto de "dirección electrónica válida", aportación hecha al artículo 21, la piedra angular en la regulación del email marketing, que establece que "cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección."
El significado concreto de "dirección electrónica válida" a tenor del espíritu de la Directiva 2009/136/CE, cabe ser interpretada como cualquier canal accesible a través de Internet y recibido en cada comunicación comercial, como una dirección de email o un enlace directo de "baja", que, a través de un proceso automático, garantice la satisfacción de la pretensión del usuario que no quiere recibir más comunicaciones comerciales.
Más duda genera el concepto "válido". A título de ejemplo, en un escenario donde ocurriera una incidencia de seguridad que inhabilitara la dirección electrónica, ¿debería considerarse que desaparece la propiedad de "validez" exigida? O en un escenario en que un tercero ofreciera el servicio y la tecnología para proceder al envío de emails, ¿debería ofrecer un servicio con una garantía de servicio e integridad totales para cumplir con este requisito?
Cabe preguntarse por qué el legislador ha introducido una obligación concreta de carácter técnico en lugar de mantener una obligación genérica de "garantizar" a los destinatarios un procedimiento gratuito y sencillo sobre el que se informara en cada comunicación, al amparo del tradicionalmente defendido principio de neutralidad tecnológica.
(II) Regulación de las cookies: Obligación de solicitar consentimiento.
Aún más inquietante es el régimen de las "cookies", recogido en el artículo 22.2 de la Ley 34/2002 tras la trasposición del artículo 5.3 de la Directiva 2009/136/CE, que crea en nuestro ordenamiento la obligación de obtener el consentimiento del usuario tras facilitar información clara y completa sobre las cookies.
El artículo 22.2 de la Ley establece que "los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos (…)".
Aún no se conoce con detalle cuál es el tipo de consentimiento exigido, ni quién el sujeto obligado a obtenerlo.
Es conocido el actual debate existente sobre el modelo de consentimiento expreso o reforzado ("opt-in") que defiende el Grupo de Trabajo del Artículo 29 (GT29) y el modelo propuesto por la industria publicitaria de consentimiento informado ("opt-out").
Por otro lado, y como excepción, la norma recoge una exención a la obligación de solicitar el consentimiento, cuya obtención no será necesaria cuando se utilicen las "cookies" "para efectuar la transmisión comunicaciones por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio expresamente solicitado por el usuario".
Sin embargo, ¿cuáles podrían ser los supuestos que se ampararían en esta excepción? Las "cookies" se emplean para multitud de finalidades: identificar una sesión de navegación; proceder al registro o mantener logado a un usuario; identificar usuarios únicos para determinar el tráfico de un Portal; contabilizar el tráfico de un portal o segmentar el comportamiento de navegación para discriminar la publicidad presentada (behavioural advertising o OBA).
No cabe duda que las "cookies" destinadas a mantener la sesión de un usuario y permitir el envío de emails sin tener que identificarse en cada paso está amparado por la exención. Pero cuando un usuario escribe la URL de un periódico, por ejemplo, ¿Podría considerarse que es una petición "expresa" del usuario, pudiendo el portal insertar una "cookie" en el terminal del usuario? Y teniendo en cuenta que el periódico se financia con la publicidad que aparece en la página que desea leer este usuario, ¿Podría considerarse que la instalación de "cookies" por parte de los servidores de publicidad o AdServers, (cuyas cookies sirven para medir la frecuencia de aparición de una determinada campaña), es "estrictamente" necesaria?
Por último, con respecto al consentimiento a través de los parámetros del navegador, como método alternativo para la obtención del consentimiento, el artículo 22.2 dispone que cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
La inserción en la norma de conceptos indeterminados como "cuando sea técnicamente posible y eficaz" resulta sorprendente. Actualmente, la implantación de un sistema de Do Not Track o la configuración de los parámetros de un navegador para limitar la instalación de cookies es perfectamente posible, como demuestran algunas de las versiones de navegadores comúnmente conocidos en el mercado. ¿Eximiría esto de la obligación de obtención de consentimiento recogida en el artículo 22.2 de la Ley? ¿Quería el legislador, con esta redacción, trasladar la responsabilidad a los navegadores? Esto no parece plausible, siendo una opción de carácter totalmente "dispositivo". ¿Se consideraría cumplido el requerimiento de la acción expresa si el usuario utilizase una herramienta global como www.youronlinechoices.eu, de ámbito europeo y que permite la gestión de las preferencias de privacidad por parte del consumidor?
Pasará un tiempo antes de conocer la interpretación institucional y judicial de estas novedades legislativas. Esperemos, ante la inminente aprobación de un Reglamento relativo a la protección de datos armonizador en el marco europeo, los sistemas de autorregulación en creciente desarrollo (como los liderados por IAB y EASA) que no se genere un agravio comparativo para las empresas que operan en el mercado español, y sobre todo, de aquéllas que lo hacen cumpliendo con la Ley; y que se opte por un método de formación e información al usuario, permitiendo la evolución del mercado publicitario español.
