Tag Archives: LSSI

Nueva regulación para el comercio electrónico

El próximo 13 de junio entran en vigor nuevas obligaciones para los responsables de páginas web con comercio electrónico (y otras ventas a distancia). Las novedades vienen de la modificación de la Ley General para la Defensa de los Consumidores y Usuarios, llevadas a cabo por la Ley 3/2014, de 27 de marzo.

Las modificaciones son variadas, pero lo más significativo es probablemente lo relacionado con el derecho de desistimiento, puesto que se amplía el plazo de devolución a 14 días y se establecen más garantías para los consumidores.

Un análisis más amplio de estas modificaciones en la web en la sección Law&Tic de El Derecho, con la que comenzamos una nueva colaboración.

La AEPD sanciona a dos páginas web por no informar correctamente sobre las cookies

La Agencia Española de Protección de Datos ha impuesto la primera sanción en materia de cookies. En realidad son dos sanciones a sendas empresas, una de 3000 y otra de 500 euros. Las páginas web no informaban correctamente de las cookies utilizadas en su web.

Lo cierto es que esta resolución ha de servir de guía, a partir de ahora, para saber a qué atenerse en esta materia, puesto que explica qué información hay que facilitar y cómo ha de hacerse. Más información en mi blog Descargas Legales.

Colaboración con Anfix.TV

Comienzo una colaboración con Anfix.tv, con quienes, a través de una serie de vídeos, intentaremos aclarar algunas cuestiones jurídicas básicas para profesionales y empresas, sobre distintos temas: protección de datos, propiedad intelectual, propiedad industrial, redes sociales, etc.

El primero de los vídeos versa sobre la llamada «Ley de Cookies«, que está causando mucho revuelo por la gran confusión que existe a la hora de cumplir con ello.

Se necesita consentimiento para usar «cookies», pero si no se obtiene, no pasa nada

Comentábamos ayer en la anterior entrada las novedades legislativas producidas en la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) por el Real Decreto-ley 13/2012, de 30 de marzo. En materia de “cookies” se modifica la redacción del artículo 22.2 de esta norma, de forma que a partir de ahora “los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización”.

¿Qué sucede en caso de incumplimiento de este precepto? Hay que acudir para saberlo al Título VII de la LSSI, en el que se detallan las infracciones y sanciones y, en concreto, a los artículos 38.3.i y 38.4.g, que tipifican con infracción grave y leve, respectivamente, el incumplimiento (“significativo” para que sea grave) “de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22“.

El régimen sancionador no ha sido modificado por el Real Decreto-ley 13/2012, con lo que sigue vigente el mismo, en el que, como acabamos de ver, no se menciona la falta de consentimiento de los destinatarios, sino sólo la falta de información o del procedimiento de rechazo. Podría pensarse que no es necesario que se haga esta modificación, dado que puede entenderse incluido el incumplimiento de lo que consta en el artículo 22.2. Pero no debemos olvidar que nos encontramos dentro del ámbito del derecho sancionador, en el que rige, como uno de los principios fundamentales, el principio de tipicidad.

El principio de tipicidad conlleva que los hechos constitutivos de infracción y las sanciones han de estar explícitamente recogidos en la norma. Por tanto, para poder sancionar, es necesario que las acciones analizadas sean exactamente las mismas que las que señale el tipo legal. Así lo establece el artículo 129 de la Ley 30/1992: “sólo constituyen infracciones administrativas las vulneraciones del ordenamiento jurídico previstas como tales infracciones por una Ley […]. Únicamente por la comisión de infracciones administrativas podrán imponerse sanciones que, en todo caso, estarán delimitadas por la Ley […]. Las normas definidoras de infracciones y sanciones no serán susceptibles de aplicación analógica“.

En el caso que nos ocupa, como acabamos de ver, no se hace mención en el régimen sancionador de la LSSI al incumplimiento de la obligación de obtener el consentimiento, con lo que, ateniéndonos al principio de tipicidad, no será posible imponer sanciones por esta omisión. Quizá algún administrativista venga a enmendarme la plana, pero al menos lo que está claro es que resulta bastante chapucero por parte del legislador modificar las obligaciones y no adaptar el régimen sancionador de la ley a estas nuevas previsiones legales.

Nueva regulación de los emails comerciales y las cookies

El pasado viernes el Gobierno aprobó el Real Decreto-ley 13/2012, de 30 de marzo, por el que se realiza la transposición de varias a Directivas, entre otras, la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, (conocida como “Directiva de cookies“) y la Directiva 2009/140/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (Mejor Regulación en las comunicaciones electrónicas).

En materia de comunicaciones electrónicas, se realizan dos modificaciones en la LSSI, la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico:

Se prohíbe el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación, así como aquéllas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en el artículo 20 de la LSSI (nuevo apartado 4 del artículo 20). Esta prohibición no es muy relevante en la práctica, teniendo en cuenta que ya el apartado 1 de este artículo obliga a que se identifique claramente a la persona física o jurídica en nombre de la cual se realiza la comunicación comercial, es decir, si hay que identificarla “claramente”, evidentemente no es válido que se “disimule o se oculte la identidad del remitente”.

Las comunicaciones comerciales por correo electrónico deberán incluir necesariamente una dirección electrónica válida donde pueda ejercitarse el derecho a oponerse al tratamiento de sus datos con fines promocionales (nuevo párrafo en el apartado 2 del artículo 21). Sobre lo que supone esta nueva obligación, discrepo de lo que afirman los compañeros Campanillas y Prenafeta, que entienden que “no se podrán realizar campañas de email marketing desde cuentas de correo que no permitan la respuesta a los mismos, esto es, como aquellas que incluyen el mensaje “no-reply”». En mi opinión se podrán seguir enviando de esta forma comunicaciones comerciales, sólo que en todo caso debe indicarse una dirección de correo electrónico para oponerse, la cual no tiene por qué ser la misma desde la que se envía. Se trata de que no se limite la posibilidad de oposición, por ejemplo, a visitar una web determinada, incluso obligando al destinatario a acceder con su usuario y contraseña al apartado de registro de usuarios; en definitiva, que se más sencillo y rápido oponerse.

En cuanto al régimen de las “cookies“, el texto es el mismo que proyectó aprobar el anterior gobierno, con lo que lo que comentábamos en este mismo blog el año pasado sigue siendo plenamente válido. En resumen:

Sólo pueden usarse “cookies” si el afectado ha dado su consentimiento previo e informado (salvo que tengan por finalidad efectuar o facilitar técnicamente la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario).

Este consentimiento podrá entenderse otorgado mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Habrá que ver si la Agencia Española de Protección de Datos sigue el criterio del Grupo de Trabajo del Artículo 29, en cuyo caso para que pueda ser válido el consentimiento, será necesario que el navegador pida al usuario que entren en un asistente de privacidad la primera vez que instalen o actualicen, así como proporcionar un método fácil de ejercer su opción durante la utilización del producto. Sobre las opciones que dan actualmente los principales navegadores, pueden leer este interesante post de Santiago Bermell.

Para conocer el resto de novedades que trae esta norma, Gontzal Gallo nos las resume en su blog.

Sobre la entrada en vigor del procedimiento de la Ley Sinde

El pasado 31 de diciembre de 2011 se publicó en el BOE el texto del Real Decreto 1889/2011, de 30 de diciembre, por el que se regula el funcionamiento de la Comisión de Propiedad Intelectual. Dos meses después de la publicación*, según se preveía en la norma, debía entrar en vigor este “procedimiento de salvaguarda de los derechos de propiedad intelectual frente a su vulneración por los responsables de servicios de la sociedad de la información”.

La Sección Segunda de la Comisión de Propiedad Intelectual fue creada por el apartado cuarto de la disposición final cuadragésima tercera de la Ley 2/2011, de 4 de marzo, de Economía Sostenible (LES), disposición más conocida como “Ley Sinde”. La Ley Sinde entró en vigor, como el resto de lo previsto en la LES, el pasado 6 de marzo de 2011. Aunque estemos leyendo por muchos sitios que lo que entra en vigor es la propia Ley, lo que entra en vigor es el procedimiento regulado en el mencionado Real Decreto 1889/2011.

Sin ánimo de chafar tan insigne acontecimiento, es conveniente hacerse tres preguntas:

– ¿Quiénes van a ser los miembros que formen parte de la Comisión de Propiedad Intelectual?

Más allá de saber quiénes serán las personas concretas que compongan esta comisión, lo cierto es que mientras no se nombre (como no se ha hecho hasta ahora) a estas personas el procedimiento no puede avanzar. Según el artículo 17 del Real Decreto, la solicitud deberá dirigirse a la Secretaría de la Sección Segunda de la Comisión de Propiedad Intelectual, cuyo titular actuará como órgano instructor del procedimiento. No está nombrada esta persona, con lo que no se podrá instruir el procedimiento. Tampoco están nombrados los miembros de la comisión, con lo que la primera decisión que debe tomarse, que según el art. 17.3 es acordar el inicio del procedimiento, no puede tomarse. En fin, que cada día que pase más difícil (por no decir imposible, puesto que el procedimiento, si bien es más o menos rápido, no es fulgurante) es que se cumpla el sueño dorado de los que querían ver ya en marzo cerradas algunas páginas web.

– ¿Obligarán a las personas físicas a utilizar medios electrónicos para comunicarse con la Sección Segunda?

Según la Orden ECD/378/2012, de 28 de febrero, será obligatorio que los interesados en el procedimiento de salvaguarda de los derechos de propiedad intelectual, se comuniquen con la Sección Segunda de la Comisión de Propiedad Intelectual por medios electrónicos. Sin embargo, según el artículo 27.6 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, “las Administraciones Públicas podrán establecer la obligatoriedad de comunicarse con ellas utilizando sólo medios electrónicos, cuando los interesados se correspondan con personas jurídicas o colectivos de personas físicas que por razón de su capacidad económica o técnica, dedicación profesional u otros motivos acreditados tengan garantizado el acceso y disponibilidad de los medios tecnológicos precisos”. Es decir, una persona física, responsable de un servicio de la sociedad de la información que sea denunciado, no puede estar obligado a comunicarse con la Sección Segunda por medios electrónicos; estamos ante una disposición reglamentaria contraria a la ley y que, por tanto, no puede ser aplicada.

– ¿Qué pasará con las páginas web que están fuera del ámbito de aplicación de la LSSI?

Según el Anexo de definiciones de la Ley 34/2002, de Servicios de la Sociedad de la Información (LSSI), para que una actividad pueda ser considerada como servicio de la sociedad de la información y, por tanto, incluida en el ámbito de aplicación de la ley, ha de ser a título oneroso, es decir, que de alguna manera se obtenga un beneficio económico. Por tanto, una página web de una persona física, no profesional, que no contenga publicidad, no está dentro del ámbito de aplicación de la LSSI y, en consecuencia, tampoco de la Ley Sinde, puesto que es un procedimiento contra infracciones realizadas por prestadores de servicios de la sociedad de la información. Veremos qué hace la Sección Segunda cuando le llegue alguna denuncia contra una web de este tipo, que llegarán.

En fin, habrá que estar atentos a las decisiones que se tomen en relación con estas chapuzas, por otra parte bastante habituales en nuestro ordenamiento jurídico.

*Nota del autor: pese a que el presente artículo se ha publicado el día 1 de marzo, se comenzó a escribir el día anterior y creo conveniente aclarar que la entrada en vigor del Real Decreto se produjo el día 29 de febrero. El cómputo de los plazos por meses debe hacerse fecha a fecha y, no existiendo la fecha equivalente (31 de febrero), se entiende cumplido el plazo el último día del mes, en este caso 29 de febrero. Recomiendo, a este respecto, la lectura de esta entrada de Pablo Sanjuán en el blog vecino “Foro Público“.

Apuntes sobre el caso Megaupload

Se ha hablado tanto los últimos días sobre el asunto Megaupload o, como se dice en la acusación, la “Mega Conspiracy”, que puede ser difícil aportar algo nuevo. Pero también es cierto que, dado que se ha hablado tanto, se han producido muchas manifestaciones que, bien por la precipitación, bien por el desconocimiento, no está de más aclarar. Sobre todo afirmaciones que han tachado la operación de ataque contra la cultura, contra la libertad, “Guantánamo digital” y similares, o que consideran que se ha atentado contra la privacidad o los datos personales de los usuarios.

Lo primero que hay que recordar es que los cargos contra los responsables no son sólo por infracción de propiedad intelectual, sino que están acusados también de blanqueo de capitales y constitución de organización criminal. No obstante, nos centraremos en la infracción de propiedad intelectual.

Hay que tener en cuenta que (simplificando un poco) tanto en Estados Unidos (según la DMCA, Digital Millennium Copyright Act) como en Europa (en España según lo establecido en la LSSI, la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico), hay un régimen similar respecto a la responsabilidad que debe asumir un prestador de servicios de alojamiento por alojar en sus servidores contenidos ilegales. En caso de que el prestador conozca la ilicitud de ese contenido será responsable de la infracción si no lo retira, quedando indemne en caso de que sí que lo haga. Megaupload aparentemente lo hacía cuando era requerido por los titulares de los derechos, pero por lo que parece lo único que hacían era eliminar la URL concreta desde la que se podía descargar el contenido, generando en ese mismo momento otra u otras. Además, realizaban pagos a aquellos usuarios que subían las películas o series más demandas, y por los correos electrónicosintervenidos a los responsables de las páginas, se puede ver también que conocían perfectamente la existencia de archivos protegidos (lo cual a nadie le extraña, dicho sea de paso, pero les impide alegar desconocimiento). Es decir, había un incumplimiento claro, con lo que no se puede afirmar en ningún caso que se trata de una operación caprichosa y sin sustento legal.

Se han leído también muchas quejas por la supuesta violación de la intimidad o de la privacidad de los usuarios. Se trata de un procedimiento judicial, y como en cualquier procedimiento, las autoridades policiales y judiciales pueden tener acceso a esa información sin que estemos ante un ataque a los derechos de los usuarios.

Respecto al perjuicio que puedan sufrir los usuarios que legítimamente utilizaban el servicio para almacenar sus propios archivos, aunque parezca mentira hay que recordar que a quien hay que quejarse (y contra quien reclamar, en su caso), es a los responsables de estas páginas, que son los que supuestamente han delinquido y, en definitiva, con quienes se ha contratado, y no contra el FBI ni los jueces estadounidenses. Es más, aquellos que utilizasen un servicio como este para alojar datos profesionales en mi opinión no estaban siendo suficientemente responsables, y no sólo porque se borraban los archivos que no se descargaban en un periodo de tiempo determinado. Si alojaban datos de carácter personal, estarían incumpliendo la normativa española sobre protección de datos puesto que ninguno de ellos tendrá firmado un contrato de los que obliga el artículo 12 de la Ley Orgánica de Protección de Datos, y además estaría realizando una transferencia internacional de datos sin las exigencias que esta ley contempla. Y si no tenían datos alojados datos personales, aunque no inclumpieran normativa alguna, no está de más que se adopten precauciones similares.

En definitiva, que no conviene aseverar que cualquier actuación contra las descargas es un atentado a la libertad, a la difusión de la cultura o a la tecnología. Se puede estar en contra de la Ley Sinde, de la SOPA y la PIPA, o de la criminalización de los enlaces y a la vez aplaudir actuaciones contra infractores como los responsables de Megaupload.

Por otro lado, desde la web Practicopedia.com me consultaron sobre algunas cuestiones prácticas relativas a las consecuencias del cierre de Megaupload. Se pueden leer aquí.

A la cárcel porque los jueces confunden un enlace con un proxy

La Audiencia Provincial de Vizcaya ha dictado una sorprendente sentencia por la que se condena a un año de prisión a los administradores de unas páginas desde las que se facilitaban enlaces para la descarga de contenidos audiovisuales, al considerar que se ha cometido un delito contemplado en el artículo 270 del Código Penal.

Dejando a un lado algunas cuestiones controvertidas de carácter procesal, la sentencia es sorprendente y novedosa, por dos razones:
– Se trata de la primera sentencia de un tribunal en la que se considera que facilitar enlaces constituye un acto de comunicación pública. Hasta ahora ningún tribunal español había considerado que un enlace a un contenido supusiera una infracción de propiedad intelectual. Ni siquiera la famosa sentencia de elrincondejesus.com establecía eso, puesto que en los hechos probados de la misma consta que la web alojaba archivos, no sólo enlaces.
– Además de considerar que un enlace constituye un acto de comunicación pública, la sentencia tiene algo que deja atónito a cualquiera. Dado que esta página web es un prestador de servicios de la sociedad de la información, hay que acudir a la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), en la que se regulan una serie de exenciones de responsabilidad para los prestadores, en función del tipo de servicio que prestan. En el caso que nos ocupa, una página web en la que se suministran enlaces tiene cabida, evidentemente, en el artículo 17 de la LSSI, con un título más que descriptivo: “Responsabilidad de los prestadores de servicios que faciliten enlaces a contenidos o instrumentos de búsqueda”. Pues bien, los magistrados de Vizcaya han ido a aplicar el artículo 15, destinado a los “prestadores de servicios que realizan copia temporal de los datos solicitados por los usuarios”, es decir, lo que hacen los llamados “servidores proxy”, cuya funcionalidad está perfectamente descrita en este mismo artículo: almacenan datos en sus sistemas de forma automática, provisional y temporal, con la única finalidad de hacer más eficaz su transmisión ulterior a otros destinatarios que los soliciten.
Pues bien, según los magistrados de la Audiencia Provincial de Vizcaya, resulta que lo que hace una página web en la que se facilitan enlaces a contenidos (lo que dice el artículo 15 de la LSSI) en realidad es hacer copia temporal de datos, de forma automática, provisional y temporal. Es decir, que los acusados reciben una pena de prisión porque los magistrados no saben lo que es un “proxy”. No hay por dónde cogerlo, creo modestamente que es un grave error por parte de la Audiencia. Salvo que se nos haya olvidado leer, claro.

Twitter rechaza el cierre de perfiles que fomentan la anorexia

Hace unos días el Ministerio de Sanidad, Política Social e Igualdad pidió a Twitter que cerrara varios perfiles desde los cuales se fomentaban la anorexia y la bulimia. Unos días después esta petición fue rechazada, alegando desde la red social que el cierre de esos perfiles “podría causar en la práctica conflictos con la libertad de expresión“. El propio Ministerio de Sanidad sabía que le iban a contestar así, como se cuenta en la noticia, en la que se califica la respuesta de Twitter como “esperable”.

Efectivamente, no podría esperarse lo contrario. Tenemos como antecedente un caso mucho más significativo, el requerimiento (subpoena) que emitió el Departamento de Justicia de EEUU por el que solicitaban la identificación de los seguidores de la cuenta de Wikileaks en Twitter. No sólo no se dio la información, sino que Twitter apeló solicitando que se levantara la obligación de confidencialidad sobre ese requerimiento para poder informar de ello, apelación que fue estimada. Es decir, Twitter no sólo defendió a sus usuarios, sino que peleó por que conocieran el caso. Conociendo esto, es evidente que al Ministerio de Sanidad español no le iban a hacer mucho caso.

Viendo que la vía “amistosa” utilizada por nuestro Gobierno no es ni parece que vaya a ser efectiva (pese a que según dicen, seguirán enviando a Twitter información sobre esos perfiles), podemos preguntarnos si existen otras vías a las que se pudiera acudir. Pues bien, el artículo 8 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) permite que los órganos competentes adopten las medidas necesarias para que se interrumpa la prestación de un servicio o se retiren los datos que atenten o puedan atentar contra, entre otros principios, “la protección de la salud pública” y “la protección de la juventud y de la infancia“. Parece evidente que el fomento de la anorexia y la bulimia pueden afectar perfectamente a estos dos principios, con lo cual el gobierno podría actuar para adoptar estas medidas. En consecuencia se podría llegar, con la ley en la mano, a bloquear el acceso a Twitter desde España (dado que no es posible bloquear exclusivamente el acceso a determinadas cuentas). Pero no se preocupen, usuarios y fanáticos de Twitter, porque no parece que estemos ante un escenario que pueda ser factible en la práctica. El Ministerio de Sanidad tendrá que seguir informando y haciendo campañas contra estas peligrosas prácticas, pero restringir el acceso a un servicio como Twitter no sería ni recomendable, ni útil, ni necesario.

Consejos para el uso legal de las redes sociales

Los pasados días 15, 16 y 17 de junio se celebró en Valladolid, organizada por la Confederación Vallisoletana de Empresarios, la I Semana de las Redes Sociales de Castilla y León. El evento suscitó un gran interés con carácter previo y ha obtenido una gran repercusión con posterioridad. Contó con la participación de un buen número de profesionales conocedores de la materia, entre los que se encontraba el Director Comercial de Lex Nova, Jesús Cadenas.

Los organizadores amablemente me invitaron a tomar parte en una de las sesiones, con el objeto de informar a los asistentes sobre cuestiones de contenido jurídico relacionadas con el uso de las redes sociales.

La ponencia se centró en una serie de aspectos a tener en cuenta, entre muchos otros, a la hora de gestionar las redes sociales dentro la empresa. Seis son los puntos que tratamos:

La conveniencia de leer las condiciones de uso de los servicios de redes sociales. Si vamos a utilizarlos con una finalidad profesional, es fundamental conocerlas y saber qué está permitido o prohibido en cada servicio, de forma que podamos evitar problemas como que nuestro perfil sea cerrado por incumplimientos de los términos del servicio.
La organización de concursos, aun gratuitos, está sujeta a algunas obligaciones, como la comunicación de su celebración a Loterías y Apuestas del Estado y el pago de la tasa del juego.
A la hora de utilizar contenidos creados por terceros es necesario saber que, salvo que su autor permita otra cosa, está prohibida su reproducción y cualquier otra modalidad de explotación. Es interesante conocer las licencias Creative Commons tanto para poder utilizar obras de terceros como para licenciar las propias.
La responsabilidad sobre los comentarios que los usuarios introduzcan en nuestros blogs recae exclusivamente sobre ellos, salvo que no se tenga conocimiento efectivo sobre la ilicitud de los mismos o, teniéndolo, no se haya sido diligente en su retirada.
En caso de problemas de reputación online, con el objeto de no ser víctimas de lo que se conoce como “Efecto Streisand“, es conveniente ser precavido a la hora de actuar. Es recomendable acudir primero al autor de los contenidos que nos puedan perjudicar, así como a los titulares de los servicios utilizados, antes de acudir a reclamaciones administrativas o judiciales.
Por último, un aspecto importante es la conveniencia de que los empleados sepan qué uso pueden dar a las redes sociales en la horario laboral. Del mismo modo, en relación con los empleados o los profesionales o empresas externas encargadas de gestionar las redes sociales en las que tiene presencia una empresa, se recomienda que se pacten y consten por escrito las condiciones sobre qué actuaciones pueden y no pueden realizarse, de forma que se prevean problemas, tanto de reputación de la empresa, como de divulgación de información confidencial.

En definitiva, son muchas y cada vez más evidentes las oportunidades que se les presentan a las empresas con el uso profesional de los servicios de redes sociales, pero es a la vez necesario, como en cualquier otro ámbito, recordar que hay cuestiones legales que no deben dejarse de lado, tanto por la prevención de conflictos jurídicos, como por el daño que puede sufrir la propia imagen de la empresa.