Legal Protect - Seguridad de la Informacion - Proteccion de Datos - LA DESCONOCIDA LEY DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y EL COMERCIO ELECTRÓNICO.

Según los datos de FRA “European Union Agency for Fundamental Rights” emanados de su último informe, el 70% de la ciudadanía de la unión conoce la existencia de las agencias estatales competentes para dar cumplimiento a las disposiciones legales que han sido las encargadas de transponer las directivas europeas sobre la protección de las libertades y derechos fundamentales del honor y la intimidad personal y familiar.

El ámbito subjetivo de la LOPD es claro, sus principales destinatarios son las personas jurídicas -empresas, asociaciones, fundaciones, sociedades y cooperativas, administraciones públicas y otras entidades que independientemente de la forma jurídica que adopten tienen personalidad jurídica propia, incluyendo autónomos- aunque las consecuencias de su incumplimiento son bien distintas. Para una empresa y análogas el incumplimiento de esta norma conlleva sanciones, que en el supuesto de las infracciones más graves, son ciertamente elevadas. El incumplimiento por parte de las administraciones no implica hacer frente a sanciones económicas, que no implica una potencial responsabilidad patrimonial por los daños y perjuicios que las personas pudieran sufrir. Sin embargo en ambos casos, existe la obligación de proteger los derechos de las personas físicas e impone entre otras, dos obligaciones conectadas pero independientes, recabar el consentimiento del particular para la recogida y tratamiento de los datos personales y la obligación de informar sobre este tratamiento.

La propia ley exime en ciertos supuestos coherentes, sobre la obligación de consentir, pero no exime del deber de informar, deber que ha sido en gran medida el responsable de las sanciones más elevadas impuestas por la Agencia Estatal de Protección de Datos.

Pues bien, si esta ley implica la protección de las personas físicas ante la indiscriminada y arbitraria actuación de las personas jurídicas respecto al poder que conlleva poseer datos de las personas físicas –incluyendo la venta de estos datos a empresas “especializadas” en marketing-, su hermana “pequeña” pretende en su espíritu el mismo fin –proteger a las personas físicas y la obligación de respetar sus derechos-.

La mayoría de las empresas, muy pocas de por sí, que han implantado e implementado las medidas precisas para cumplir con la LOPD, lo hacen no tanto por el necesario respeto a los derechos de las personas físicas, sino por evitar las sanciones que conllevaría una vulneración. Pero lo que pocas conocen es que la LSSI-CE establece sanciones de igual impacto económico por su incumplimiento. Y he aquí lo que pocas empresas conocen, el mero hecho de tener una página web o realizar comunicaciones comerciales conlleva la necesaria adopción de una serie de medidas descritas en la norma. Y no menos importante es conocer que aquellas personas físicas que actúan como intermediarios de la prestación de servicios de otros en la red, deben cumplir con esta norma.

Es evidente que el nivel de obligación difiere según lo que se incluya en las redes o quien sea el destinatario, y no se puede omitir la competencia de la Agencia Estatal de Protección de Datos para actuar frente a algunos de sus incumplimientos. A salvo de las potestades de control y vigilancia, la AEPD es competente para conocer e imponer sanciones por la inaplicación de algunas de las obligaciones impuestas por la LSSI-CE o la vulneración de la misma en determinados supuestos, porque esta competencia se reparte entre diferentes órganos. Y todo ello sin entrar a valorar lo descrito por la propia normativa, que no es más que la competencia por razón de la materia para conocer, realizar actuaciones de inspección o sancionar infracciones, lógica de nuestro ordenamiento jurídico en cualquier ámbito legal, y siempre con respeto a lo establecido en la ley 30/92.

En cuanto a la competencia sancionadora por infracciones de la LSSI-CE, y a salvo el procedimiento penal y la competencia por razón de la materia, corresponde a:

-Ministerio de Industria, Comercio y Turismo (MITyC) para infracciones muy graves y la Secretaria de Estado de Telecomunicaciones para infracciones graves y leves.

-Arbitraje de las Comunidades Autónomas: para infracciones cometidas frente a consumidores.

-AEPD, algunas infracciones graves y algunas leves, de las contenidas en la ley y siempre a salvo de su competencia respecto a la protección de datos de carácter personal en relación con actuaciones de prestadores de servicio de la sociedad de la información:

Infracciones graves

1.-Más de tres envíos de comunicaciones comerciales a través de las redes, en el plazo de un año, a una misma persona, incumpliendo las obligaciones del artículo 21.
Es decir ni las hemos solicitado ni las hemos autorizado, siempre que no tengamos una relación contractual previa en la que hemos facilitado nuestros datos de manera lícita y la información que nos envían es sobre productos o servicios de similares características a los ya contratados con esa empresa. Pero la empresa en cuestión, siempre debe darnos la opción gratuita y sencilla, de no recibir ese tipo de información, cuando damos nuestros datos inicialmente a la hora de contratar o durante la recepción de esos envíos posteriores a la contratación.
De manera conexa e ineludible deben recoger nuestros datos y tratarlos según lo dispuesto en la LOPD y darnos la opción de ejercer nuestros derechos ARCO –Acceso, rectificación, cancelación y oposición- de manera gratuita.

2.-No cumplir con el procedimiento de revocación del consentimiento del particular en éstos envíos de comunicación comercial según el artículo 22.1.
Es decir, no nos dan la opción de negarnos a seguir recibiendo esta información comercial simplemente diciendo, no quiero recibirla más. Sencillamente quien establece este sistema de “publicidad” vía redes de telecomunicación -email-sms- tiene que darnos la opción-sencilla y gratuita- de “darnos de baja” y no recibir más comunicaciones comerciales.

3-No poner a disposición del particular las condiciones generales de contratación según el artículo 27.
Es decir, por un lado deben cumplir las normas de contratación tradicionales pero además tienen que ofrecernos antes y por las mismas vías empleadas para la contratación, los trámites que se necesitan para realizarla, si el contrato electrónico se archivará y si se podrá acceder a él, así como los medios para conocer los errores y corregirlos, y la lengua elegida para la realización del contrato.

Pero eso si, toda esta información debe darse permanentemente, de manera fácil, con carácter gratuito, debe ser clara y comprensible para el particular y además no generar dudas. Lo que si puede realizar el prestador con el que vamos a celebrar el contrato, es colocar esta información en su página web –que suele ser lo más habitual- o en una ventana emergente.

Infracciones leves

1.- El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21 y no constituya infracción grave.
En este supuesto se han incluido básicamente, el envío de menos de tres comunicaciones comerciales al año.

2.- El incumplimiento de enviar “confirmación de aceptación del contrato” en los términos establecidos en el artículo 28.
Esto es, cuando realizamos por ejemplo una compra de un producto en una página web, deben enviarnos una copia del “pedido” que nos servirá a modo de confirmación de la compra-venta.
Siempre que las partes no lo hayan excluido expresamente, eso sí, no puede darse esta excepción si una de las partes tiene la consideración de consumidor.
Existe otra excepción, y es que toda la tramitación del contrato se haya realizado por medio de intercambios de correos electrónicos o análogos.
La confirmación debe hacerse en el plazo de 24 horas si se ha empleado un medio de comunicación electrónico –email o secciones web- o si se ha usado otro medio, en el plazo más breve posible siempre que podamos guardar copia de la confirmación.
En cualquiera de los dos supuestos debe poderse acreditar por ambas partes que se ha recibido esta confirmación y tener claro, que ante consumidores esta obligación es ineludible.

3.- El incumplimiento de la obligación del prestador de no facilitarnos siempre la opción de “darnos de baja” de las comunicaciones comerciales que nos están enviando, siempre que no sea constitutiva de infracción grave.
Y esto solo relativo a la competencia sancionadora de la Agencia Estatal de Protección de datos en relación a las sanciones graves y leves que puede conocer, sin comentar hacer mención a las infracciones muy graves o las restantes infracciones graves y leves que contempla la norma.

Pero lo realmente desconocido es que la horquilla prevista para las sanciones de estas infracciones no es para tomarse a la ligera esta “hermana pequeña” de la LOPD, porque se mueven entre los 600.000 € y el máximo de 30.000 € de las infracciones leves, cuyo mínimo no establece la norma, pero en cualquier caso para modular estas sanciones se establecen diferentes parámetros a tener en cuenta –el tiempo, intencionalidad, perjuicios causados, beneficios obtenidos-.