Penal

25 de Abril de 2012

Ley Anti-Spam y Pro-Cookies

Analore García Noblia,
Directora Jurídica de Antevenio – Legal Counsel of Antevenio


El 30 de marzo se aprobó el Real Decreto-ley 13/2012 que ha modificado la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, particularmente en su Título III, donde se regula el envío de comunicaciones comerciales realizadas a través de correo electrónico así como las "cookies".  

Esta reforma, con origen en la voluntad de protección de los derechos de los usuarios frente al creciente desarrollo de técnicas de tracking o seguimiento de los comportamientos y hábitos de navegación en la red, tiene un especial impacto en la industria publicitaria.

(I)            Endurecimiento del régimen de envío de emails comerciales.

Sustancialmente el nuevo marco regulatorio (1) obliga al prestador de servicios a la inserción de una "dirección electrónica válida" en cada comunicación comercial enviada a los usuarios, (2) prohíbe "ocultar" o "disimular" la identidad del remitente, y (3) refuerza la garantía del derecho de oposición del destinatario a la recepción de comunicaciones de venta directa por email. 

El artículo 20.4 prohíbe el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación, enfatizando la regulación preexistente. Así, quien que proceda a enviar publicidad propia o de terceros, deberá hacerlo en su propio nombre, resultando claramente identificable por el usuario.

Además, establece la obligación adicional a quien remita ofertas o concursos promocionales, (además de solicitar la autorización administrativa correspondiente), de garantizar que queden identificados como tales y que las condiciones de acceso y, en su caso, de participación sean fácilmente accesibles y se expresen de forma clara e inequívoca. Es decir, establece una obligación de comprobación, para quién proceda al envío de una oferta o concurso promocional, de la licitud de los contenidos que el usuario visite.  

Por otro lado, destaca la relevancia del nuevo concepto de "dirección electrónica válida", aportación hecha al artículo 21, la piedra angular en la regulación del email marketing, que establece que "cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección."

El significado concreto de "dirección electrónica válida" a tenor del espíritu de la Directiva 2009/136/CE, cabe ser interpretada como cualquier canal accesible a través de Internet y recibido en cada comunicación comercial, como una dirección de email o un enlace directo de "baja", que, a través de un proceso automático, garantice la satisfacción de la pretensión del usuario que no quiere recibir más comunicaciones comerciales.

Más duda genera el concepto "válido". A título de ejemplo, en un escenario donde ocurriera una incidencia de seguridad que inhabilitara la dirección electrónica, ¿debería considerarse que desaparece la propiedad de "validez" exigida? O en un escenario en que un tercero ofreciera el servicio y la tecnología para proceder al envío de emails, ¿debería ofrecer un servicio con una garantía de servicio e integridad totales para cumplir con este requisito?

Cabe preguntarse por qué el legislador ha introducido una obligación concreta de carácter técnico en lugar de mantener una obligación genérica de "garantizar" a los destinatarios un procedimiento gratuito y sencillo sobre el que se informara en cada comunicación, al amparo del tradicionalmente defendido principio de neutralidad tecnológica.

(II)           Regulación de las cookies: Obligación de solicitar consentimiento.  

Aún más inquietante es el régimen de las "cookies", recogido en el artículo 22.2 de la Ley 34/2002 tras la trasposición del artículo 5.3 de la Directiva 2009/136/CE, que crea en nuestro ordenamiento la obligación de obtener el consentimiento del usuario tras facilitar información clara y completa sobre las cookies.

El artículo 22.2 de la Ley establece que "los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos (...)".

Aún no se conoce con detalle cuál es el tipo de consentimiento exigido, ni quién el sujeto obligado a obtenerlo.

Es conocido el actual debate existente sobre el modelo de consentimiento expreso o reforzado ("opt-in") que defiende el Grupo de Trabajo del Artículo 29 (GT29) y el modelo propuesto por la industria publicitaria de consentimiento informado ("opt-out").

Por otro lado, y como excepción, la norma recoge una exención a la obligación de solicitar el consentimiento, cuya obtención no será necesaria cuando se utilicen las "cookies" "para efectuar la transmisión comunicaciones por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio expresamente solicitado por el usuario".

Sin embargo, ¿cuáles podrían ser los supuestos que se ampararían en esta excepción? Las "cookies" se emplean para multitud de finalidades: identificar una sesión de navegación; proceder al registro o mantener logado a un usuario; identificar usuarios únicos para determinar el tráfico de un Portal; contabilizar el tráfico de un portal o segmentar el comportamiento de navegación para discriminar la publicidad presentada (behavioural advertising o OBA).

No cabe duda que las "cookies" destinadas a mantener la sesión de un usuario y permitir el envío de emails sin tener que identificarse en cada paso está amparado por la exención. Pero cuando un usuario escribe la URL de un periódico, por ejemplo, ¿Podría considerarse que es una petición "expresa" del usuario, pudiendo el portal insertar una "cookie" en el terminal del usuario? Y teniendo en cuenta que el periódico se financia con la publicidad que aparece en la página que desea leer este usuario, ¿Podría considerarse que la instalación de "cookies" por parte de los servidores de publicidad o AdServers, (cuyas cookies sirven para medir la frecuencia de aparición de una determinada campaña), es "estrictamente" necesaria?

Por último, con respecto al consentimiento a través de los parámetros del navegador, como método alternativo para la obtención del consentimiento, el artículo 22.2 dispone que cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

La inserción en la norma de conceptos indeterminados como "cuando sea técnicamente posible y eficaz" resulta sorprendente. Actualmente, la implantación de un sistema de Do Not Track o la configuración de los parámetros de un navegador para limitar la instalación de cookies es perfectamente posible, como demuestran algunas de las versiones de navegadores comúnmente conocidos en el mercado.  ¿Eximiría esto de la obligación de obtención de consentimiento recogida en el artículo 22.2 de la Ley? ¿Quería el legislador, con esta redacción, trasladar la responsabilidad a los navegadores? Esto no parece plausible, siendo una opción de carácter totalmente "dispositivo". ¿Se consideraría cumplido el requerimiento de la acción expresa si el usuario utilizase una herramienta global como www.youronlinechoices.eu, de ámbito europeo y que permite la gestión de las preferencias de privacidad por parte del consumidor?

Pasará un tiempo antes de conocer la interpretación institucional y judicial de estas novedades legislativas. Esperemos, ante la inminente aprobación de un Reglamento relativo a la protección de datos armonizador en el marco europeo, los sistemas de autorregulación en creciente desarrollo (como los liderados por IAB y EASA) que no se genere un agravio comparativo para las empresas que operan en el mercado español, y sobre todo, de aquéllas que lo hacen cumpliendo con la Ley; y que se opte por un método de formación e información al usuario, permitiendo la evolución del mercado publicitario español.  

Imagen


Analore García Noblia,
Número de artículos del autor 1
Posicionamiento en el ranking de contenidos 1309

Su voto:
Resultado:
291 votos
  • Comparte esta noticia en yahoo
  • Comparte esta noticia en technorati
  • Comparte esta noticia en digg
  • Comparte esta noticia en delicius
  • Comparte esta noticia en meneame
  • Comparte esta noticia en linkedin

Comente este contenido

Comenta el artículo

  • Legal Today le informa que los mensajes están sujetos a moderación
  • Legal Today no se responsabiliza ni comparte necesariamente las opiniones expresadas por sus lectores
  • Legal Today excluirá los comentarios contrarios a las leyes españolas, injuriantes y los de índole publicitaria.

Sin comentarios

Te recomendamos

  • Westlaw Formularios

    Aranzadi Westlaw Formularios

    Base de datos compuesta por más de 2.000 formularios más utilizados, incluyendo los principales modelos de suministro oficial, todos ellos clasificados por áreas del derecho

Publique sus contenidos

Comparta opiniones, artículos y sentencias de actualidad con el resto de los profesionales del sector

publicar | ¿Estás registrado?| Registrate

Accesos adicionales:

© Editorial Aranzadi

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y poder ofrecerle las mejores opciones mediante el análisis de la navegación. Si continúa navegando, consideramos que acepta su uso. Para más información pulse aquí.   Aceptar

.