PRIVACIDAD

Lo que la LOPD se llevó

    Guardado en Categoria Modelo, Nueva LOPD, PRIVACIDAD, PROTECCION DATOS, seguridad información    |    Sin comentarios

Cuando una nueva ley entra en vigor se produce todo un maremoto de rumores y alarmas que es convenientemente aprovechado para generar negocio. Pero, ¿cuánto me cambia la vida la nueva LOPD? ¿Es realmente nueva? ¿Cómo me afecta si ya he realizado una adaptación al Reglamento europeo?

Lo primero que debemos destacar es la influencia de Internet y más concretamente de las redes sociales en el articulado. No solo por la inclusión expresa de los derechos digitales, sino también porque el uso generalizado de estas redes ha planteado nuevas situaciones que carecían de una respuesta legal satisfactoria, como es el caso de las publicaciones de personas ya fallecidas.

Por otra parte, esta ley sustituye y concreta el contenido del Reglamento Europeo, notablemente ambiguo en su redacción, y que ya había suprimido la exigencia del registro de ficheros de datos personales. Así por ejemplo, todo lo relativo a las definiciones y principios relativos al tratamiento de datos personales son un trasunto de la normativa europea, al igual que los derechos de los interesados. Por tanto, todas las empresas y entidades que ya hayan realizado una adecuada adaptación al Reglamento Europeo no van a ver alterada sustancialmente su operativa más allá de algunos retoques en sus políticas  o protocolos internos o la obligatoria designación de un delegado de protección de datos.

También se ha destacado el elevado número de leyes que se han visto modificadas por la aparición de la nueva Ley Orgánica 3/2018, de 5 de diciembre, desde la Ley Orgánica 5/1985 del Régimen Electoral General – y su ya muy conocido artículo 58.bis, que será objeto de otro post – a las leyes procesales, como la Ley de Enjuiciamiento Civil o de la Jurisdicción Contencioso Administrativa. Centrándonos hoy en el sector sanitario, destacan las previsiones en lo relativo a la gestión de las historias clínicas.

En la Ley 14/1986, de 25 de abril, General de Sanidad se introduce un nuevo articulo 105 bis en el Capítulo II relativo al tratamiento de datos de la investigación en salud:El tratamiento de datos personales en la investigación en salud se regirá por lo dispuesto en la Disposición adicional decimoséptima de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.

Por su parte, la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica se ve modificada en su artículo 16.3 relativo a los usos de la historia clínica»

  1. El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la legislación vigente en materia de protección de datos personales, y enla Ley 14/1986, de 25 de abril, General de Sanidad, y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clinicoasistencial, de manera que, como regla general, quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos.

Se exceptúan los supuestos de investigación previstos en el apartado 2 de la Disposición adicional decimoséptima de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.

Asimismo se exceptúan los supuestos de investigación de la autoridad judicial en los que se considere imprescindible la unificación de los datos identificativos con los clinicoasistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales en el proceso correspondiente. El acceso a los datos y documentos de la historia clínica queda limitado estrictamente a los fines específicos de cada caso.

Cuando ello sea necesario para la prevención de un riesgo o peligro grave para la salud de la población, las Administraciones sanitarias a las que se refiere la Ley 33/2011, de 4 de octubre, General de Salud Pública, podrán acceder a los datos identificativos de los pacientes por razones epidemiológicas o de protección de la salud pública. El acceso habrá de realizarse, en todo caso, por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta, asimismo, a una obligación equivalente de secreto, previa motivación por parte de la Administración que solicitase el acceso a los datos.

En este ámbito sanitario, nuestra LOPD da un paso más en relación con la exigencia del nombramiento de un Delegado de Protección de Datos y así, mientras el Reglamento europeo nada especificaba en su artículo 37 , nuestra LOPD obliga a su designación para:

l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

Por tanto, todos los centros sanitarios están obligados a nombrar un delegado de protección de datos en los términos de los artículos 34 y siguientes, salvo que ejerzan su actividad a título individual.

Más allá de los titulares: análisis de la Sentencia del Tribunal Constitucional sobre derecho a la intimidad en el trabajo

    Guardado en BLOG, EMPRESA, PRIVACIDAD, PROTECCION DATOS, seguridad información    |    Sin comentarios

Despido por uso indebido de correo electrónico corporativo

Despido por uso indebido de correo electrónico corporativo

Esta semana los titulares de los diversos medios anunciaban que el Tribunal Constitucional  más que dictar sentencia, había sentenciado el derecho a la intimidad de los trabajadores. Pero ¿qué dice realmente la Sentencia del Tribunal Constitucional de fecha 7 de octubre y dónde radica su novedad?

El supuesto de hecho es bien conocido; un trabajador es despedido de una empresa por enviar información sensible y confidencial  a la competencia, utilizando para ello el teléfono móvil y el correo electrónico corporativo.

Ante la sospecha de que así era, a requerimiento de la empresa, se había personado en su sede un notario, al que, por un lado, se pone a su disposición un teléfono móvil propiedad de la empresa, comprobándose el contenido de los mensajes SMS, y por otro, se le entrega en depósito un ordenador portátil, también propiedad de la empresa. Se procede después en la notaría y por parte de un técnico, a identificar el disco  duro y a efectuar una copia del mismo, sin posibilidad de modificación de datos.

Sobre la base de tal prueba, la empresa despide al trabajador, pero para éste la información extraída del ordenador se obtuvo por la empresa contraviniendo la doctrina contenida en la Sentencia del Tribunal Supremo de 26 de septiembre de 2007, que establece determinados límites para el registro del ordenador asignado empresarialmente a un trabajador, a fin de que no se afecte una expectativa razonable de intimidad, razón por la que considera que los correos electrónicos constituyen una prueba ilegítimamente obtenida que debe declararse nula.

El Juzgado de lo Social núm. 16 de Madrid desestimó la petición de nulidad de la prueba pericial aportada por la empresa en relación con los correos electrónicos, dado que su práctica, fundada en las sospechas de un comportamiento irregular del trabajador, quedaba amparada por el art. 20.3 de la Ley del Estatuto de los Trabajadores (LET), aduciendo además  – y esto es importante – que el Convenio colectivo aplicable sancionaba como falta leve la utilización de los medios informáticos propiedad de la empresa para usos distintos de los relacionados con la prestación laboral.

No obstante lo anterior, la Sentencia estimó la demanda y declaró el despido improcedente, por considerar desproporcionada la sanción impuesta frente a la gravedad de los hechos acreditados en el juicio recurso de suplicación por la empresa.

El trabajador denunció que la interceptación de mensajes SMS obtenidos del teléfono móvil constituye una vulneración del derecho constitucional al secreto de las comunicaciones reconocido en el art. 18.3 CE, y asimismo, en relación con los correos electrónicos extraídos del ordenador, indicó que en la empresa no existía protocolo ni instrucciones sobre los límites y condiciones de utilización de los ordenadores ni tampoco sobre los procedimientos de control de su contenido, exigencias que derivan de la doctrina contenida en la Sentencia del Tribunal Supremo de 26 de septiembre de 2007.  La Sala de lo Social del Tribunal Superior de Justicia de Madrid estimó el recurso de suplicación de la empresa, declarando procedente el despido.

A partir de la doctrina sentada por la Sentencia del Tribunal Supremo de 26 de septiembre de 2007 sobre control empresarial del uso de los ordenadores por los trabajadores, el Tribunal Superior de Justicia toma en consideración que el art. 59.11 del Convenio colectivo de la Industria Química aplicable a las partes tipificaba como falta leve sancionable la utilización de los medios informáticos propiedad de la empresa para fines distintos de los relacionados con la prestación laboral. Dado que esta prohibición del Convenio no hacía referencia a los  teléfonos móviles, la Sentencia entendió que, al no haber establecido previamente la empresa las reglas sobre su uso y control, las pruebas obtenidas de los mensajes de texto del teléfono móvil proporcionado al trabajador debían ser rechazadas por resultar contrarias a su derecho a la intimidad. Por el contrario, la citada prohibición convencional sí alcanzaba al uso del correo electrónico.

La controversia a resolver versa, por tanto, sobre la necesaria delimitación de bienes e intereses de relevancia constitucional en el marco de las relaciones laborales: los derechos del trabajador a la intimidad y al secreto de las comunicaciones (arts. 18.1 y 18.3 CE), y el poder de dirección del empresario. “

Por lo que se refiere, en primer lugar, al derecho al secreto de las comunicaciones, objeto directo de protección del art. 18.3 CE es el proceso de comunicación en libertad y no por sí solo el mensaje transmitido, cuyo contenido puede ser banal o de notorio interés público.

Establece la STC que en su labor de delimitación del ámbito de cobertura del derecho, se ha precisado que “el art. 18.3 CE protege únicamente ciertas comunicaciones: las que se realizan a través de determinados medios o canales cerrados―quedan fuera de la protección constitucional aquellas formas de envío de la correspondencia que se configuran legalmente como comunicación abierta, esto es, no secreta. Así ocurre―cuando es legalmente obligatoria una declaración externa de contenido, o cuando bien su franqueo o cualquier otro signo o de igual forma, en la STC 241/2012, de 17 de diciembre (FJ 7), también hemos excluido la protección constitucional de comunicaciones abiertas, que se realizan en un canal del que no puede predicarse su confidencialidad.

En la misma Sentencia seprecisa que, aun cuando la atribución de espacios individualizados o exclusivos -como la asignación de cuentas personales de correo electrónico a los trabajadores –puede tener relevancia sobre la actuación fiscalizadora de la empresa, ha de tenerse en cuenta que los grados de intensidad o rigidez con que deben ser valoradas las medidas empresariales de vigilancia y control son variables en función de la propia configuración de las condiciones de disposición y uso de las herramientas informáticas y de las instrucciones que hayan podido ser impartidas por el empresario a tal fin.

En el supuesto enjuiciado, las partes del proceso quedaban dentro del ámbito de aplicación del XV Convenio colectivo de la industria química, acordado por la Federación Empresarial de la Industria Química Española. En su art. 59.11 se tipificaba como falta leve la utilización de los medios informáticos propiedad de la empresa (correo electrónico, Intranet, Internet, etc.) para fines distintos de los relacionados con el contenido de la prestación laboral.

En atención al carácter vinculante de esta regulación colectivamente pactada, cabe concluir que, en su relación laboral, sólo estaba permitido al trabajador el uso profesional del correo electrónico de titularidad empresarial; en tanto su utilización para fines ajenos al contenido de la prestación laboral se encontraba tipificada como infracción sancionable por el empresario, regía pues en la empresa una prohibición expresa de uso extralaboral, no constando que dicha prohibición hubiera sido atenuada por la entidad.

Siendo este el régimen aplicable, el poder de control de la empresa sobre las herramientas informáticas de titularidad empresarial puestas a disposición de los trabajadores podía legítimamente ejercerse, ex art. 20.3 ET. De acuerdo con la doctrina constitucional expuesta, cabe entender también que no podía existir una expectativa fundada y razonable de confidencialidad respecto al conocimiento de las comunicaciones mantenidas por el trabajador a través de la cuenta de correo proporcionada por la empresa y que habían quedado registradas en el ordenador de propiedad empresarial.

En el supuesto analizado la remisión de mensajes enjuiciada se llevó pues a cabo a través de un canal de comunicación que, conforme a las previsiones legales y convencionales indicadas, se hallaba abierto al ejercicio del poder de inspección reconocido al empresario; sometido en consecuencia a su posible fiscalización, con lo que, de acuerdo con nuestra doctrina, quedaba fuera de la protección constitucional del art. 18.3 CE.

Rechazada la conculcación de este derecho fundamental ex art. 18.3 CE, expresamente hemos afirmado que el derecho a la intimidad es aplicable al ámbito de las relaciones laborales (SSTC 98/2000, de 10 de abril, FFJJ 6 a 9; 186/2000, de 10 de julio, FJ 5). Respecto a si la cobertura de este derecho fundamental se extiende al contenido de los mensajes electrónicos, en nuestra STC 173/2011, de 7 de noviembre, hemos puesto de manifiesto que el cúmulo de información que se almacena por su titular en un ordenador personal–entre otros datos sobre su vida privada y profesional–forma parte del ámbito de la intimidad constitucionalmente protegido. Nuestra doctrina ha establecido también ciertas matizaciones en cuanto al alcance de la protección del derecho a la intimidad reconocido en el art. 18.1 CE; el ámbito de cobertura de este derecho fundamental viene determinado por la existencia en el caso de una expectativa razonable de privacidad o confidencialidad.

Resumiendo, aun en defecto de política empresarial sobre el uso de medios tecnológicos en la empresa, como establecía hasta ahora la doctrina de la STS de 26 de septiembre de 2007, el Convenio Colectivo que tipifica como falta leve su utilización para fines distintos de los laborales viene a suplirla en tanto es conocido y vinculante para el trabajador.

No existe vulneración del art. 18.3 CE, porque la comunicación se realiza en lo que se considera el correo corporativo un canal abierto o no secreto, ni tampoco del art. 18.1 CE porque el trabajador no podía tener una expectativa razonable de confidencialidad al usar este medio.


«Image courtesy of Stuart Miles/ FreeDigitalPhotos.net».

La Videovigilancia que viene: cámaras privadas en espacios públicos

    Guardado en BLOG, PRIVACIDAD, PROTECCION DATOS, SEGURIDAD PRIVADA, VIDEOVIGILANCIA    |    Sin comentarios

Security Camera In Public Space IndoorSi la rápida evolución de la tecnología ha puesto en evidencia la necesidad de modificar y actualizar la regulación en materia de protección de datos y privacidad, no puede decirse menos del sector de la Seguridad Privada, cuya incidencia en el ámbito de tales derechos fundamentales es manifiesta. Por eso, resulta de interés el proyecto de Ley de Seguridad Privada y la idea principal de su texto; estrechar la colaboración y coordinación de los sectores público y privado encargados de mantener y garantizar nuestra seguridad.

Uno de los campos en los que el uso de tecnologías enfocadas a la seguridad viene planteando más incidencias y preocupación por parte de los defensores de la privacidad es, sin duda, el de la videovigilancia. Por este motivo, a la hora de considerar la regulación de su utilización y  salvaguardar el necesario respeto a los derechos fundamentales es necesario acudir tanto a la propia Ley de Seguridad Privada 23/1992, de 30 de julio, como a la normativa de protección de datos personales, en concreto, a la Instrucción 1/2006, de 8 de noviembre de la Agencia de Protección de Datos.

Este documento, pese a su brevedad, ha sido la guía para la correcta utilización de las videocámaras por el sector privado, en particular, por parte de las empresas de seguridad privada hasta que la Ley 25/2009, de 22 de diciembre, de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios y su ejercicio y su Disposición Adicional Sexta ampliaron la legitimación para la instalación de sistemas de videovigilancia a personas o entidades distintas de los profesionales de la seguridad.

Artículo 14.2. Disposición adicional sexta: Exclusión de las empresas relacionadas con equipos técnicos de seguridad

Los prestadores de servicios o las filiales de las empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación

En todo caso, fuesen empresas de seguridad u otras entidades o particulares los que procediesen a la instalación de sistemas de videovigilancia la legitimación para el uso de instalaciones de videovigilancia se ceñía a la protección de entornos privados, encomendando la prevención del delito y la garantía de la seguridad en las vías públicas en exclusiva a las Fuerzas y Cuerpos de Seguridad del Estado en los términos de la Ley Orgánica 4/1997, de 4 de agosto por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad del Estado en lugares públicos. Por tanto, la regla general es la prohibición de captar imágenes de la calle desde instalaciones privadas. Así el artículo 4.3 de la Instrucción 1/2006 establece que:

3. Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.”

El proyecto de Ley de Seguridad Privada aprobado el pasado 14 de junio dedica su artículo 42 a los servicios de videovigilancia y son numerosas las referencias que podemos encontrar a los aspectos de protección de datos. Sin embargo, resulta llamativo su párrafo segundo:

No se podrán utilizar cámaras o videocámaras con fines de seguridad privada para tomar imágenes y sonidos de vías y espacios públicos o de acceso público salvo en los supuestos y en los términos y condiciones previstos en su normativa específica, previa autorización administrativa por el órgano competente en cada caso. Su utilización en el interior de los domicilios requerirá el consentimiento del titular.”

Parece querer flexibilizarse la tajante prohibición de cámaras privadas en espacios públicos y decimos “parece querer” porque la redacción adolece de una imprecisión que permite tantas interpretaciones como lecturas: “en los supuestos y en los términos y condiciones previstos en su normativa específica, previa autorización administrativa por el órgano competente en cada caso.

¿Cuál es esa normativa específica, la Ley de Seguridad Privada o la normativa sobre Protección de Datos? ¿Cuáles son tales supuestos, términos y condiciones? ¿Cuál es el órgano competente en cada caso? ¿Corresponderá tal autorización a la Comisión de Garantías de Videovigilancia de manera análoga a los sistemas de videograbación de lugares públicos por las Fuerzas y Cuerpos de Seguridad?

Security Camera In Public Space Indoor» by Sira Anamwong

Guía de Cloud Computing para despachos de abogados

    Guardado en BLOG, CLOUD COMPUTING, INTERNET, PRIVACIDAD, PROTECCION DATOS, seguridad información    |    Sin comentarios

ID-100132579El Consejo General de la Abogacía en colaboración con la Agencia Española de Protección de Datos ha elaborado un informe que pretende constituir una guía para los despachos de abogados a la hora de utilizar el cloud computing. Y es que las ventajas de la gestión del despacho y sus expedientes en la nube son innegables, pero ello no debe hacernos olvidar la obligación no sólo de cumplir con la normativa de protección de datos, sino también de preservar el secreto profesional.

A lo largo de cinco puntos, este informe aborda cuestiones tan trascendentes como cuál sería la jurisdicción competente en caso de conflicto cuando los servidores en los que se alojan nuestros expedientes se ubican en países diferentes al nuestro. ¿Es competente el estado en el que físicamente se encuentran los servidores o aquel en el que radica nuestro despacho?

En este punto la respuesta es clara: la normativa aplicable es la ley del Estado donde está ubicado el responsable del tratamiento del fichero, en este caso el despacho de abogados. Por ello, los abogados deberán cerciorarse de que los proveedores de ‘cloud computing’ cumplen la normativa española de protección de datos personales (art. 20.2 del RLOPD). Las garantías exigibles son las establecidas en la LOPD y su reglamento de desarrollo y en ningún caso se podrá pactar la aplicación de una normativa distinta ni excluir la competencia de la AEPD.

Además debemos tener en cuenta que la normativa europea considera transferencia de datos personales la comunicación a países terceros – excepto en el territorio del Espacio Económico Europeo – y  señala que la transferencia ha de limitarse a naciones en las que los datos cuenten con lo que se define como “un nivel de protección adecuado”, salvo que se obtenga, previa la aportación de garantías adecuadas, la autorización del Director de la AEPD.

En el frecuente caso de que ese tercer país no comunitario sea Estados Unidos, si el proveedor se ha adherido voluntariamente al acuerdo de “puerto seguro”(safeharbor) en virtud del cual se obligan a cumplir requisitos equivalentes a los europeos en materia de protección de datos, no será necesaria la citada autorización, si bien siempre será necesario suscribir un contrato de prestación de servicios conforme a la LOPD (FAQ nº 10 de la Decisión 2000/520/CE).

¿Cómo conciliar las utilidades del cloud computing  con el cumplimiento del deber de secreto profesional? El artículo 9.1de la LOPD dispone que “El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado (…)” y a ese deber genérico de conservación se une el deber específico de secreto profesional por parte de los abogados.

Además es frecuente que por el tipo de asuntos profesionales gestionados en nuestros expedientes se encuentren  datos especialmente protegidos, entre los que se encuentran los relativos a salud, orientación sexual, ideología o religión, para los cuales las medidas de protección que debe adoptar el encargado del tratamiento del fichero son especialmente rigurosas. Por eso, los despachos de abogados deberán exigir a su proveedor el cumplimiento de las medidas de seguridad previstas en los art. 89 y siguientes del RD 1720/2007.

Por tanto, no sólo se debe cumplir con la normativa de protección de datos y suscribir el correspondiente contrato de encargado de tratamiento con el proveedor de servicios cloud (art. 12 LOPD), sino que además debemos incluir ciertas cláusulas relativas a aspectos esenciales para garantizar que el servicio se recibe con todas las garantías técnicas y legales y con pleno respeto al derecho a la protección de datos de carácter personal:

          Régimen de datos

          Cumplimiento de la normativa de protección de datos de carácter personal

          Seguridad en el acceso exclusivamente por los miembros del despacho

          Conservación e integridad de la información

          Disponibilidad del servicio

          Portabilidad de la totalidad de la información almacenada al término del servicio

          Consecuencias en caso de incumplimiento

 

 

 

Image courtesy of [image creator name] / FreeDigitalPhotos.net

Guía para el uso de cookies

    Guardado en BLOG, INTERNET, MARKETING ONLINE, PRIVACIDAD, PROTECCION DATOS, seguridad información    |    Sin comentarios
Guía uso de cookies

Cupcakes vs Cookies

A estas alturas todo el mundo sabe que las cookies han sido destronadas en el mundo de la repostería por los cupcakes. Tanto es así que su acepción más común se ha trasladado al universo de Internet, donde reinan sin competencia y se conocen como los archivos que se descargan desde el servidor en el terminal del usuario con la finalidad de recolectar información sobre la navegación del mismo, ya sea su usuario y contraseña, ya sean sus hábitos de navegación.  Pero, ¿saben los prestadores de servicios cuáles son los límites para utilizarlas en sus webs? ¿Conocen los internautas cómo controlar la descarga de cookies?

La aprobación del Real Decreto-ley 13/2012, por el cual se modifica el artículo 22 de la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico, supuso la obligación de exigir el consentimiento del usuario al instalar cookies.

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”

Así pues, la primera conclusión es que no podremos utilizar cookies si no hemos obtenido el consentimiento, previa información adecuada, del destinatario. En concreto, debemos facilitar de forma clara y completa información sobre los siguientes extremos:

-Existencia de cookies y fines de su utilización y tratamiento

– Procedimiento para revocar el consentimiento y, en su caso, eliminar las cookies.

Por tanto, debemos incorporar estos extremos a los clausulados informativos  o avisos legales de las páginas web y debemos  hacerlo de forma “clara”, es decir, visible, fácil de encontrar y de entender. Sin conocimiento no hay consentimiento válido. Necesitamos un consentimiento informado.

Ahora bien, existen cookies exentas de la obligación de información y consentimiento en determinadas circunstancias y siempre que no se utilicen para fines adicionales. Así lo determinó el Grupo de Trabajo del artículo 29 en un dictamen sobre la exención a la obtención del consentimiento para el uso de cookies el pasado mes de junio de 2012 en Bruselas;

1- Cuando se utilice «al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas«;

2-  «en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario”.

Por ejemplo, las cookies de identificación de sesión, las cookies de las sesiones de los reproductores multimedia y las cookies de personalización de la interfaz del usuario.

Dada la necesidad de conciliar el respeto al derecho a la privacidad con los legítimos intereses de la industria digital y la publicidad online, la Agencia de Protección de Datos en colaboración con Adigital, IAB Interactive Advertising Bureau, Autocontrol y la Asociación Española de Anunciantes ha elaborado la “Guía sobre el uso de las Cookies”, que hoy mismo ve la luz.  En esta se abordan de manera sencilla desde cuestiones terminológicas hasta la explicitación de qué  información y cómo debe ofrecerse al usuario, así como las modalidades de obtención de su consentimiento para el uso de las cookies. Constituye, por tanto, una lectura obligada tanto para los internautas como, muy especialmente, para los editores, anunciantes y agencias de medios, de análisis y de medición.

Para todos ellos:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_Cookies.pdf

Image courtesy of [image creator name] / FreeDigitalPhotos.net

Se triplican las denuncias por delitos contra el honor y la libertad en Internet

    Guardado en BLOG, DELITOS, INTERNET, PRIVACIDAD, PROTECCION DATOS, REDES SOCIALES    |    Sin comentarios

La noticia es reveladora; en el año 2012 750 personas fueron detenidas por injurias y amenazas en Internet, el triple que en 2011. Y eso en cuanto a las detenciones que se llevaron a cabo, sin contar aquellas denuncias en tramitación y todos aquellos hechos ilícitos que no llegan a denunciarse, normalmente porque la misma percepción social de impunidad que favorece su comisión lleva a la víctima a pensar que nada se puede hacer. La propia Elena Valenciano, vicesecretaria general del PSOE, cerró su cuenta de Twitter por las amenazas que recibían sus hijos y, aunque afirmaba que estaba estudiando presentar una denuncia, manifestó “que ve muy difícil que puedan prosperar, según le han dicho sus abogados. «La indefensión es total», afirmó.”

En otros casos, sí se denuncia y sí se obtienen condenas. Así ocurrió con Aaron B.R., condenado al pago de una multa de 200 euros por utilizar su perfil de Facebook para publicar una serie de amenazas en la página de Rosa Díez en la red social. Ahora la líder de UPyD ha denunciado que está recibiendo amenazas e insultos en las últimas horas en su teléfono móvil tras la filtración de su número en la red social Twitter.

Calumnias, injurias, amenazas, coacciones, descubrimiento y revelación de secretos, usurpación de identidad y otros delitos contra el honor y la intimidad se han disparado el pasado año en Internet, propiciado sin duda por el auge y por el acceso generalizado a las redes sociales. Pero no hace falta ser un personaje conocido. Como vemos a diario, nadie se salva de ser objeto de las iras, despechos, rencores, venganzas o simple mala baba del internauta que resulta ser una expareja, exempleado, examigo…Pero, ¿realmente hay impunidad?

En primer lugar, debemos entender qué es denunciable, es decir, qué es constitutivo de infracción penal. Dispone el artículo 205 de nuestro Código Penal que es calumnia «la imputación de un delito hecha con conocimiento de su falsedad o temerario desprecio hacia la verdad”, y el artículo 208 del mismo texto legal define las injurias como “la acción o expresión que lesionan la dignidad de otra persona, menoscabando su fama o atentando contra su propia estimación”, si bien “solamente serán constitutivas de delito las injurias que, por su naturaleza, efectos y circunstancias, sean tenidas en el concepto público por graves.” Por tanto, llamar a alguien  ladrón o maltratador puede ser constitutivo de calumnia, salvo que pueda probarse que lo sea, mientras que el insulto no alusivo a la comisión de delitos, el meramente descalificativo con saña, puede ser constitutivo de injurias.

Por otra parte, no todas las amenazas percibidas como tales en el lenguaje común lo son a efectos penales. Dispone el artículo 196 que “el que amenazare a otro con causarle a él, a su familia o a otras personas con las que esté íntimamente vinculado un mal que constituya delitos de homicidio, lesiones, aborto, contra la libertad, torturas y contra la integridad moral, la libertad sexual, la intimidad, el honor, el patrimonio y el orden socioeconómico” será castigado como autor de un delito de amenazas. Es decir, cuando el mal anunciado afecte a nuestra vida, integridad física, reputación o patrimonio.

Sin embargo, la amenaza, coacción, injuria o vejación injusta de carácter leve será castigada como falta, no como delito, estando penada con una pena de multa de 10 a 20 días, según dispone el artículo 620 del Código Penal. La diferencia entre ambos, en criterio del Tribunal Supremo, radica en la gravedad de la amenaza que deberá ser valorada en función de la ocasión en que se exterioriza, las personas que intervienen, los actos anteriores, simultáneos o posteriores, etc., por lo que la diferencia es circunstancial y radica en la mayor o menor intensidad del mal con que se amenaza el bien jurídico protegido.

En todo caso, la pena será mayor cuando calumnias e injurias se realicen con publicidad, lo que en términos del artículo 211 del Código Penal se dará “cuando se propaguen por medio de la imprenta, la radiodifusión o por cualquier otro medio de eficacia semejante.” No cabe duda de que Internet es el medio no sólo de eficacia semejante, sino mayor en cuanto a la difusión de un contenido, por lo que sería de aplicación este tipo agravado.

En segundo lugar, una vez aclarado qué hechos están tipificados, cabe preguntarse si más allá de su teórica calificación penal es posible en la práctica su denuncia, persecución, identificación del culpable, juicio y condena. En definitiva, si esa mencionada sensación de impunidad tiene base real. Sin ánimo de entrar en detalles sobre investigaciones o pruebas periciales que alienten futuras acciones, simplemente decir que la respuesta ha de ser positiva y así lo demuestra el titular con el que arrancaba este post.

Image courtesy of [image creator name] / FreeDigitalPhotos.net

Morosidad y errores de muerte

    Guardado en BLOG, EMPRESA, PRIVACIDAD, PROTECCION DATOS    |    Sin comentarios

Leo en prensa que aumenta el número de personas que son incluidas de forma incorrecta en archivos de deudores, según la Agencia de Protección de Datos. Tal vez con la crisis algunas empresas no dan abasto para incluir correctamente a los deudores o tal vez no es más que su tradicional indolencia por la privacidad, confianza e intimidad de sus clientes.

Sin duda la reclamación de cantidades no debidas afecta a nuestro honor y a nuestro humor. La calificación como moroso de quien cumple o todavía puede cumplir con sus obligaciones de pago resulta como poco ofensiva para su pundonor. Pero si además esa errónea imputación recae sobre quien ya no se puede defender, la inculpación errónea resulta directamente indignante.

Así ha ocurrido en mi reciente experiencia personal. Al fallecimiento de mi abuelo, cuyo sentido de la rectitud y del cumplimiento del deber hoy resultaría casi trasnochado, se siguieron las debidas y oportunas comunicaciones del deceso a las empresas con las que tenía contratados servicios y suministros a efectos de que tramitasen su baja como cliente y, por ende, como pagador.

Sin embargo, la compañía de seguros con la que tenía concertado su seguro de salud, cuyas primas de más de 300 euros mensuales se abonaron siempre con escrupulosa puntualidad, nos dirigió una carta contundente a través de su departamento legal en reclamación de dos meses impagados, advirtiéndonos de las serias consecuencias del impago. Huelga decir que esta compañía – por qué no decirlo, Sanitas – fue oportuna y debidamente informada de la “baja” de su cliente. Algo falla claramente en su organización y comunicación interna, denotando negligencia en el mantenimiento de sus bases de datos, en la protección de la confidencialidad de sus clientes y, por supuesto, desinterés en su trato. Corregido el desacierto, nunca se recibió disculpa alguna por una falsedad que lesionaba más que el honor y la cuenta corriente.

No menos cariñosa fue la empresa proveedora del servicio telefónico. Al parecer el óbito del titular no es motivo suficiente para querer dar de baja una línea de teléfono fijo, esa rara avis que Telefónica – vaya, ya dije su nombre – intenta por todos los medios que contratemos o mantengamos. Por eso no sólo intentó convencernos para mantener una línea que no usa ya nadie, sugiriéndonos que nos desplazásemos a un domicilio vacío para usar ese teléfono fijo unos cuantos minutos al mes, sino que unos días después una solícita operadora de allende los mares llamó preguntando por el fallecido para ofrecerle mejoras que evitasen su baja como cliente… Sin palabras. No obstante, para no perder el contacto, este mes se ha cobrado un recibo por importe de 27 euros de una línea que ya no existe.

Debemos recordar que ante estas situaciones no estamos indefensos, que tenemos mecanismos de reacción. Cuando la empresa o entidad nos requiera el pago indebido, nos tache de morosos y nos notifique que como tales seremos incluidos en los ya conocidos ficheros, disponemos del derecho de cancelación que la LOPD nos concede en su artículo 16;

El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días.

2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos.

El artículo 32.2 y 3 Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, determina:

“2. El responsable del fichero resolverá sobre la solicitud de rectificación o cancelación en el plazo máximo de diez días a contar desde la recepción de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la petición, el interesado podrá interponer la reclamación prevista en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre. En el caso de que no disponga de datos de carácter personal del afectado deberá igualmente comunicárselo en el mismo plazo.

¿Qué ocurre si transcurridos los diez días señalados nuestra solicitud de cancelación no ha sido atendida? Pues que sólo tendremos que ponerlo en conocimiento de la Agencia de Protección de Datos mediante un escrito simple que encontraremos en su propia web: http://sedeagpd.gob.es/sede-electronica-web/vistas/formReclamacionDerechos/reclamacionDerechos.jsf

El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de oposición, acceso, rectificación o cancelación, podrá ponerlo en conocimiento de la Agencia Española de Protección de Datos o, en su caso, del organismo competente de cada Comunidad Autónoma, que deberá asegurarse de la procedencia o improcedencia de la denegación.”

Así que el aumento de los errores en el tratamiento de los datos de clientes por parte de aquellas empresas con más capacidad para evitarlos, lejos de ser una noticia para mí, es la clara constatación de que la privacidad y la diligencia en el tratamiento de los datos personales sigue sin ser una prioridad, que siguen sin ver que para un cliente el respeto a su privacidad, a su dignidad y un trato considerado puede suponer un valor añadido equiparable a tarifas competitivas.

Image courtesy of FreeDigitalPhotos.net

Aspectos legales de las apps

    Guardado en BLOG, PRIVACIDAD, PROPIEDAD INTELECTUAL, PROTECCION DATOS, seguridad información    |    Sin comentarios

Legalidad y apps para móviles

Pese a que la palabra del año será “privacidad” – con el permiso de “crisis”, claro está – y que ello se debe en buena medida a la generalización de los smartphones  y sus variadas aplicaciones, resulta curioso comprobar cómo desde la perspectiva legal sus desarrolladores bajan la guardia. A la hora de crear y diseñar una página web o un programa de software surge la necesidad y la duda de cómo adaptarla a las exigencias legales en sus distintas vertientes, tanto para proteger el trabajo del programador como para evitar sanciones por el incumplimiento de normativas como protección de datos o comercio electrónico.

Sin embargo, este resorte no parece funcionar con la misma efectividad cuando se trata de las aplicaciones para móviles conocidas como apps. Parece que mientras por los usuarios se da por hecho que su gratuidad se debe al coste en privacidad, por los desarrolladores  a veces se asumen sus carencias casi como una marca de serie.

Sin embargo, a la hora de crear una aplicación para móviles las exigencias legales no difieren de las propias del software; propiedad intelectual, protección de datos, consideración de servicio de la sociedad de la información, comercio electrónico, etc.

Recientemente leíamos un estudio revelador; únicamente un 5% de todas las aplicaciones para dispositivos móviles tienen una política de privacidad en vigor que explique cómo se almacenan, se usan y se comparten los datos personales de los usuarios.

Por otra parte, las “grandes” – Apple, Microsoft, Google, Amazon, Black Berry y Hewlett- Packard – han aceptado en las últimas semanas someterse a los principios recogidos en la norma California Online Privacy Protection Act para fijar unos mínimos en materia de protección de datos para las aplicaciones en sus plataformas móviles. Puede que su motivación no sea la preocupación por nuestra privacidad, sino presentarse como garantes de la confidencialidad para fomentar la confianza de los usuarios, ya de por sí confiados, y con ello las descargas, pero aquí podría decirse eso de que bien está lo que bien acaba.

No existe por tanto razón alguna por la que los requisitos legales que debe cumplir un programa de software o una página web no sean extensibles a las apps. De este modo, a la hora de desarrollar estas aplicaciones deberemos plantearnos la siguiente checklist legal:

–          Privacidad y datos personales.  En este punto es frecuente entender que siendo datos facilitados voluntariamente por el usuario, podemos saltarnos la mayoría de las formalidades legales, tales como el deber de información – cuando no se copia sin más de otras aplicaciones, ignorando que ni son los mismos datos, ni la misma finalidad, ni el mismo deber de seguridad…-,  el registro de los correspondientes ficheros, la redacción del documento de seguridad, contratos con terceros que presten servicios accediendo a los datos,  etc. También existe una creencia errónea sobre qué datos debemos considerar personales y cuáles no. Aquí debemos recordar que serán no sólo los que identifiquen directamente a la persona, sino también aquellos que la hagan identificable.

Como ya comentamos, si en algún terreno los fallos de privacidad saltan a los titulares con la consiguiente erosión del valor de la marca y desconfianza de consumidores y usuarios ese terreno es éste.

–          Nombre de la aplicación. Su denominación, como marca o nombre comercial, el registro del dominio correspondiente en su caso o el diseño de un logo característico son aspectos de la comercialización de la aplicación que deben protegerse y tenerse en cuenta.

–          La autoría de la aplicación. Como programa informático o software, la aplicación se encuentra protegida por la ley y los derechos de propiedad intelectual que nos permitirán no sólo ser reconocidos como creadores, sino también beneficiarnos de las prerrogativas de su explotación comercial y protegernos frente a posteriores intentos de plagio.

–          La aplicación como servicio de la Sociedad de la Información y la consiguiente aplicación de la LSSI-CE.

Por tanto, estos son los aspectos mínimos que a la hora de desarrollar y comercializar las aplicaciones móviles creadas deberemos tener en cuenta no sólo para obtener los beneficios buscados, sino también para evitar los perjuicios indeseados.

Image: suphakit73 / FreeDigitalPhotos.net

CISPA, mucho más que SOPA

    Guardado en BLOG, INTERNET, neutralidad, PRIVACIDAD, PROPIEDAD INTELECTUAL, PROTECCION DATOS    |    Sin comentarios

CISPA, Cyber Intelligence Sharing and Protection ActRaro es el día en que no son noticia las amenazas a la privacidad. Tanto es así que a veces me pregunto si no estaremos exagerando y si la preocupación por la privacidad no esconderá realmente un mero interés comercial, visto que los usuarios ventilan, exponen y canjean su información en aplicaciones y redes varias.

Hablar de Internet como fenómeno, como origen de nuevas formas de comunicación, como instrumento de la sociedad 2.0 en la que todos podemos ser autores y destinatarios de información no es novedad. Considerar  la amenaza que esto supone para algunos intereses creados tampoco. Especular con que existen intentos de limitar, controlar o censurar semejante flujo de información menos aún.

Sin embargo, he de reconocer que los motivos para la inquietud son más que reales.  Hace apenas cuatro meses que los términos SOPA (Stop Online Piracy Acty) y PIPA  (Protect Intelectual Property Act) dejaron de ser una amenaza a la libertad en Internet para quedarse en posibles nombres de mascotas. Recordemos que se trataba de iniciativas legislativas americanas que, con el objetivo de proteger los derechos de propiedad intelectual, permitían la supervisión y bloqueo de páginas web por los proveedores de Internet, así como el cierre de webs, el bloqueo de dominios  o la desaparición en buscadores sin necesidad de orden judicial.

Dichas iniciativas no llegaron a convertirse en leyes, pero para aquellos que creían que ya podían respirar tranquilos, dos apuntes; primero, ninguna de estas leyes fueron necesarias para el cierre de Megaupload y para privar a millones de usuarios de sus  archivos allí almacenados (http://www.cristinanebot.es/?p=1383), y segundo, aquí llega CISPA (Cyber Intelligence Sharing and Protection Act o Ley de Intercambio y Protección de Información de Inteligencia Cibernética).

¿Su meta? La ciber amenaza, describiendo amenaza cibernética como » una vulnerabilidad de o una amenaza a un sistema o red de una entidad gubernamental o privada, incluyendo la protección de la información de un sistema o red frente a los intentos de degradar,  interrumpir o destruir tal sistema o red, así como el robo de información privada o gubernamental, propiedad intelectual o información personalmente identificable”.

Más que una iniciativa legislativa independiente, CISPA se presenta como una enmienda a la National Security Act, que no contiene referencia alguna a lo cibernético, digital o electrónico por ser de 1947. Así pues ahora ya no se trata sólo de proteger la propiedad intelectual, aunque también, sino de extender su ámbito de actuación a la protección de la seguridad, de la “ciberseguridad” frente a las “ciber amenazas” y, francamente, pocas han sido las iniciativas legislativas americanas en nombre de la Seguridad, nacional, cibernética o mundial, que no hayan tenido éxito.

Tal vez por eso, pese a las campañas ya existentes en Internet para la recogida de firmas en contra de su aprobación, en esta ocasión no soy tan optimista.

Image: Victor Habbick / FreeDigitalPhotos.net

Nuevos límites para la publicidad online: modificación de la LSSI

    Guardado en BLOG, EMPRESA, INTERNET, MARKETING ONLINE, PRIVACIDAD, PROTECCION DATOS    |    Sin comentarios
publicidad marketing online

marketing online y comunicaciones comerciales

Con la publicación en el BOE del Real Decreto-ley 13/2012, de 30 de marzo (www.boe.es/boe/dias/2012/03/31/pdfs/BOE-A-2012-4442.pdf), se realiza una nueva trasposición acelerada de varias Directivas europeas. En concreto, se trata del Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas.

Basándose en “la necesidad de origen de la norma haya de ser de tal naturaleza que no pueda ser atendida por la vía del procedimiento legislativo de urgencia, debido a la exigencia de su inmediatez”, este Real Decreto vienen a trasponer estas Directivas a fin de evitar las sanciones económicas derivadas del retraso en su aplicación.

Con estas prisas,  junto al sector eléctrico y al sector de hidrocarburos y con poco que ver con los mismos, se sitúa la trasposición de la normativa sobre comunicaciones electrónicas, incorporando al ordenamiento jurídico español el marco regulador europeo compuesto por la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (Derechos de los Ciudadanos), y la Directiva 2009/140/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (Mejor Regulación). Para ello se modifican la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones y la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico.

Artículo 4. Modificación de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

Se modifica la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, en los siguientes términos:

Uno. Se añade un nuevo apartado 4 al artículo 20, con el tenor siguiente:

«4. En todo caso, queda prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación o que contravengan lo dispuesto en este artículo, así como aquéllas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en este artículo.»

Dos. Se añade un nuevo párrafo al apartado 2 del artículo 21, con la siguiente redacción:

«Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.»

Tres. Se modifica el artículo 22, que queda redactado del siguiente modo:

«Artículo 22. Derechos de los destinatarios de servicios.

1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.

A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de lsociedad de la información expresamente solicitado por el destinatario.»

Cuatro. El párrafo a) del artículo 31 queda redactado de la manera siguiente:

«a) Las personas físicas o jurídicas titulares de un derecho o interés legítimo, incluidas aquéllas que pudieran verse perjudicadas por infracciones de las disposiciones contenidas en los artículos 21 y 22, entre ellas, los proveedores de servicios de comunicaciones electrónicas que deseen proteger sus intereses comerciales legítimos o los intereses de sus clientes.»

En conclusión:

–          Se prohíbe el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente.

–           Se prohíbe el envío de comunicaciones comerciales a través de las cuales se incite a los usuarios participar en promociones ilegales o en las que no identifique al anunciante.

–          Se prohíbe el envío de comunicaciones comerciales en las que se incite a los destinatarios a visitar páginas de Internet que contravengan las obligaciones de información.

–          Será obligatorio incluir una dirección de electrónica válida para oponerse al tratamiento de datos con fines comerciales.

–           Será necesario el consentimiento del usuario sobre los archivos o programas informáticos que almacenan información, como son las cookies. Se requerirá el consentimiento previo e informado del interesado, salvo que tengan por finalidad  facilitar técnicamente la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Así pues, con esta modificación de la Ley de Servicios de la Sociedad de la Información (LSSI -CE) se introducen nuevos límites para la publicidad digital y el marketing online en favor de una mayor protección de los consumidores y usuarios.

Image: KROMKRATHOG / FreeDigitalPhotos.net