Ayer entró en vigor la modificación de la LSSI (Ley 34/2002 de 11 de julio de servicios de la sociedad de la información y de comercio electrónico) concretamente los artículos 20, 21 y 22 con la finalidad de trasponer la denominada Directiva e-Privacy (Directiva 2009/136/CE).
Al igual que España, un gran número de países ha incumplido el plazo impuesto por la Directiva para ser incorporada a las normativas nacionales, y que finalizaba el mes de mayo de 2011. La principal novedad es la exigencia del consentimiento del usuario para la instalación de cookies en sus dispositivos. Su aplicación en la práctica está resultando de lo más difícil y en países como el Reino Unido se han otorgado plazos generosos para que los responsables de los sitios web puedan adaptarse.
Desde el punto de vista del regulador europeo el mensaje es claro, el consentimiento previo es un requisito fundamental, y así lo ha dejado claro en varias ocasiones a través del grupo de trabajo del art. 29. Algunos intentos de suavizar esta exigencia a través de mecanismos que informen al usuario con posterioridad a la instalación, no han sido de su agrado, y así, casos como el código de buenas prácticas presentado por el European Advertising Standards Alliance (EASA) y la IAB para el behavioural advertising o publicidad basada en el comportamiento, no han contado con su aprobación.
En realidad, esta regulación supone un choque frontal con todos aquellos modelos de negocio en internet basados en la publicidad online, es decir prácticamente toda la industria. Sus detractores critican, por ejemplo, que impedirá el desarrollo del comercio electrónico en Europa a diferencia de EEUU y también que afectará la usabilidad de los sitios web. Por el contrario, para el usuario supondrá la oportunidad de conocer quien está monitorizando su navegación y en su caso aceptarlo. Garantizar la privacidad y el control del usuario de sus datos frente a unas prácticas cada vez más invasivas en la privacidad, son los objetivos de esta Directiva así como el del nuevo marco regulador de la protección de datos presentado en marzo por la Comisión Europea. Si a esto añadimos, el revuelo que está causado en Europa la modificación de las políticas de privacidad de Google o la auditoria de protección de datos a la que se ha visto sometida Facebook en Irlanda, parece llevar a la conclusión que el tema va en serio y que la protección a la privacidad tendrá que ser un elemento estratégico para cualquier empresa.
Entrando en la valoración de las modificaciones sufridas en la LSSI podemos destacar lo siguiente:
En cuanto a las comunicaciones comerciales:
- En el envío de comunicaciones comerciales no se podrá disimular y/ocultar la identidad del anunciante.
- Tampoco se podrán incitar a los destinatarios a visitar páginas de internet sin identificar la comunicación como publicidad e identificar la persona física jurídica que la realiza.
- También se añade la exigencia de incluir una dirección electrónica valida donde se pueda ejercitar el derecho a no recibir comunicaciones comerciales.
- El destinatario puede revocar el consentimiento a recibir comunicaciones electrónicas con la simple notificación de su voluntad al remitente.
- Si las comunicaciones se hacen por correo electrónico, deberá incluirse una dirección electrónica válida donde pueda ejercitarse este derecho.
- Quedará prohibido el envío de comunicaciones si no se incluye está dirección.
- Deberá incluirse información accesible sobre estos procedimientos.
En cuanto a las cookies:
- En cuanto a la instalación de dispositivos de almacenamiento y recuperación de datos en equipos terminales de los usuarios, se podrá realizar a condición de que se haya dado el consentimiento después de que les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos podrá, con arreglo a la LOPD.
- Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquel deberá proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
- Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al sólo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas en la medida que resulte estrictamente necesario para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.
A priori, podemos concluir que es una regulación ambiciosa, decididamente en defensa de los intereses de los internautas pero que puede acabar en nada si no se establecen controles para garantizar su cumplimiento sobre todo a los grandes de la industria. De nada servirá si finalmente se acaba traduciendo en un párrafo más en la política de privacidad de una web. No es la lectura que parece extraerse de lo previsto en la Directiva y en la modificación de la LSSI pero deberá pasar cierto tiempo para ver realmente las consecuencias.
En cualquier caso, la recomendación sería realizar una revisión de los sitios web identificando las cookies utilizadas y ver que opciones pueden adoptarse para cumplir con la Ley.
