Cambios normativos: Políticas y brechas de
seguridad, cookies y spam
Cecilia
Álvarez Rigaudias / Reyes Bermejo Bosch
El 1 de abril de 2012 entró en vigor el Real Decreto-Ley 13/2012, de
30 de marzo, por el que se transponen un cierto número de directivas,
entre otras, en materia de comunicaciones electrónicas (“RDL 13/2012”).
En efecto, el RDL 13/2012 incorpora al ordenamiento jurídico
español, entre otras, las Directivas 2009/136/CE y 2009/140/CE, mediante
la modificación de la Ley 32/2003, de 3 de noviembre, General de
Telecomunicaciones (“LGTel”) y de la Ley 34/2002, de 11 de julio,
de servicios de la sociedad de la información y del comercio electrónico
(“LSSI”). Estas modificaciones afectan, entre otros, a cuestiones
relevantes en materia de protección de datos personales.
Modificaciones introducidas en la LGTel
Destacan las siguientes obligaciones para los operadores que exploten
redes públicas de comunicaciones electrónicas o que presten servicios de
comunicaciones electrónicas disponibles al público (art. 34):
(i) deber de notificación de violaciones de seguridad a la Agencia
Española de Protección de Datos (y, en algunos casos, al Ministerio de
Industria, Energía y Turismo) y a los abonados o particulares;
(ii) deber de implementación efectiva de políticas de seguridad
relativas al tratamiento de datos personales; y
(iii) deber de creación de procedimientos internos para responder a
las solicitudes de acceso a los datos personales de los abonados por
parte de las autoridades autorizadas, lo que incluye el deber de
facilitar información sobre dichos procedimientos, número de
solicitudes recibidas, motivación jurídica aducida y respuesta
ofrecida.
Asimismo, en lo que se refiere a derechos de los abonados a servicios
de comunicaciones electrónicas (art. 38.3), se requiere su
consentimiento previo (además de informado) para el uso de datos de
tráfico con fines de venta directa o de valor añadido y para recibir “llamadas
y comunicaciones automáticas sin intervención humana”.
Modificaciones introducidas en la LSSI
Las novedades introducidas afectan, casi en su totalidad, al
e-spam (esto es, las “comunicaciones comerciales por vía
electrónica”) y las cookies (modificando al efecto los arts. 20,
21 y 22 de la LSSI):
(i) se prohíbe el envío de comunicaciones comerciales en las que
(a) se disimule o se oculte la identidad del remitente por cuenta de
quien se efectúa la comunicación o que contravengan lo dispuesto en el
art. 20, así como aquéllas en las que se incite a los destinatarios a
visitar páginas de Internet que contravengan lo dispuesto en dicho
artículo; y (b) no se incluya una dirección electrónica válida donde
pueda ejercitarse el derecho de oposición o revocarse el
consentimiento prestado, si las comunicaciones hubieran sido remitidas
por correo electrónico;
(ii) se exige el consentimiento informado del usuario para la
instalación e utilización de archivos o programas informáticos en
equipos terminales (entre otras, las denominadas “cookies”),
pudiendo prestarse mediante los parámetros del navegador o de otras
aplicaciones, pero siempre que el usuario deba proceder a su
configuración durante su instalación o actualización mediante una
acción expresa a tal efecto (“cuando sea técnicamente posible y
eficaz”); y
(iii) se reconoce expresamente la legitimación activa para el
ejercicio de la acción de cesación (art. 31) a “aquellas personas
físicas o jurídicas que pudieran verse perjudicadas por infracciones
de las disposiciones contenidas en los artículos 21 y 22, entre ellas,
los proveedores de servicios de comunicaciones electrónicas que deseen
proteger sus intereses comerciales legítimos o los intereses de sus
clientes”.
volver al inicio