Archivos de la etiqueta: LSSI

01Ene/15

El Gobierno reforma la LSSI por la vía de urgencia

El Gobierno reforma la LSSI por la vía de urgencia

Tal y como hemos venido informando en los últimos años (i, ii, iii…), desde el Parlamento Europeo se impone a los Estados Miembros determinados cambios en la normativa que regula los servicios de la sociedad de la información, fundamentalmente, el uso de cookies en páginas web.

El plazo para incorporar estos cambios al ordenamiento jurídico de cada Estado concluyó el 25 de mayo de 2011, momento en el cual se empezó a tramitar en España como anexo a un proyecto de reforma de la Ley General de Telecomunicaciones.

Tras varios meses de idas y venidas del texto, el Gobierno adelantó las elecciones y poco después se disolvió el Parlamento, por lo que todos los proyectos y propuestas de Ley caducaron… y una vez constituido el nuevo gobierno, vuelta a empezar.

Lo que ya estaba en fase de proyecto de ley, volvió a propuesta de ley, y durante varios meses se quedó así.

Finalmente, de forma imprevista, con 10 meses de retraso, y sin apenas repercusión mediática, el Gobierno ha aprobado por la vía de Real Decreto-ley (reservada a asuntos de urgente necesidad) la esperada, aunque no por ello deseada, reforma.

Juzgue el lector este ejemplo de “cajón de sastre” (y un poco desastre también) que ha sido aprobado, publicado y puesto en vigor el fin de semana antes de Semana Santa, pillándonos a todos con las maletas en el coche:

“Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista

Las novedades son pocas… Pero su desafortunada redacción, la dificultad de la implementación de las medidas que parecen deducirse, y su teórica exigibilidad desde el día siguiente a su publicación en BOE colocan a la inmensa mayoría de responsables de sitios web en situación de potencial infracción de la LSSI (con multas de hasta 150.000 euros).

La reforma fundamental, la encontramos en el Artículo 22 de la LSSI, cuya nueva redacción es la siguiente (destacamos en negrita las novedades):

“1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.

A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”

En resumen:

  1. El medio para darse de baja del envío de comunicaciones comerciales, debe ser necesariamente una “dirección electrónica válida”. ¿Y qué es una dirección electrónica válida? ¿Una URL es una dirección electrónica válida? ¿Un feedback a través de una web? ¿Un formulario web? A la espera de que la AEPD manifieste su criterio interpretativo al respecto, consideramos recomendable que, de forma paralela al clásico enlace de “unsuscribe”, se disponga una dirección de correo electrónico en la que se puedan recibir estas solicitudes de baja.
  2. Para todas aquellas cookies (o similares) cuya finalidad no sea exclusivamente la de permitir/facilitar la navegación, debe informarse y obtenerse el consentimiento. ¿Cómo? En la cabecera de la página del regulador inglés en materia de protección de datos, podemos ver un discreto ejemplo… Tan discreto que sospecho que nadie lo aceptará jamás.

Todas las empresas que a día 1 de abril de 2012 no tengan implantadas estas medidas (que no están nada claras) están incumpliendo la LSSI.

¿Y cuál es el riesgo derivado de dicho incumplimiento?

  1. No poner una “dirección electrónica válida” (signifique lo que signifique) para solicitar la baja del envío de comunicaciones comerciales, es una infracción leve o grave, dependiendo de la relevancia del incumplimiento, y lleva aparejada una posible multa de hasta 150.000 euros.
  2. Sin embargo, con respecto al consentimiento para instalar las cookies… con las prisas el Gobierno se ha debido olvidado de actualizar el régimen sancionador… de forma que a día de hoy, sólo es sancionable: (i) no ofrecer información, y (ii) no ofrecer un procedimiento de rechazo (a través del navegador, como se ha venido desde que se aprobó la LSSI). Las infracciones asociadas al artículo 22, no mencionan en ningún caso el consentimiento de los afectados (aunque si en algún momento se pudiera llegar a identificar a una persona física, se podría llegar a sancionar por LOPD).

Visto lo visto cabe concluir que, independientemente de la responsabilidad o madurez que se le presuponga a una persona… cuando las cosas se hacen por obligación y no por devoción… se dejan para el último momento, y se acaban haciendo rápido y mal.

 

01Ene/15

Los blogs también están sujetos a la normativa de cookies

Los blogs también están sujetos a la normativa de cookies

El pasado mes de mayo, la Agencia Española de Protección de datos emitió una resolución imponiendo una sanción de 25.000 € a la entidad GOOGLE INC, en condición de prestador de servicio de blog a través de los dominios blogspot.com y blogspot.com.es, por no recabar el consentimiento informado previo de los visitantes para la utilización de cookies.

La Agencia Española de Protección de datos, como autoridad competente en la materia, ha determinado que la entidad no ha cumplido con la obligación impuesta en la LSSI de informar al internauta a efectos de obtener su consentimiento previo a la instalación y uso por su parte de cookies analíticas y de publicidad, ni de la finalidad a la que responde el tratamiento de la información recogida, mecanismos de rechazo para su instalación ni medios previsto para la revocación del consentimiento. Asimismo, la Agencia ha estimado que la información proporcionada por la entidad no resulta directamente accesible, encontrándose ésta dispersa, fragmentada y bajo distintas rúbricas.

Al probarse el hecho denunciado, la Agencia ha estimado oportunamente que debía imputar a GOOGLE INC, por la infracción del artículo 22.2 de la LSSI, considerada como leve al no existir reincidencia en la comisión de la infracción (en cuyo caso estaríamos ante una infracción grave de acuerdo a la nueva redacción del artículo 38 LSSI publicado a fecha 10 de mayo de este año)

En este sentido, GOOGLE alegó que las cookies que se descargaban eran estrictamente necesarias para la navegación, argumento que la Agencia ha desestimado al no encontrarse en ninguno de los dos supuestos recogidos por la ley: que la cookie se utilice al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas; y que la cookie sea estrictamente necesaria a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario.

Áudea seguridad de la Información
www.audea.com
www.cursosticseguridad.com

01Ene/15

Consentimiento del uso de las Cookies

Consentimiento del uso de las Cookies

Parece ser que se van despejando los interrogantes que generó la transposición de la directiva europea sobre el uso de las cookies. Pero no podemos decir que tengamos buenas noticias. Las autoridades europeas de protección de datos (conocidas como el Grupo de Trabajo del artículo 29) se reunían hace unos días para adoptar un dictamen sobre la exención a la obtención del consentimiento para el uso de las cookies. Se trata de poder explicar que tipo de cookies se podrían utilizar sin necesidad de contar con el consentimiento del usuario que visita la web, y para cuales deberemos utilizarlo.

En primer lugar, y antes de crear más dudas sobre las cookies, creo necesario distanciar las cookies de la normativa de Protección de Datos. Su regulación depende de la Ley de Servicios de la Sociedad de la Información (más conocida como LSSI), que en ningún momento diferencia a aquellas cookies que recaban datos personales, de las que no lo hacen. Por tanto, aunque dispongamos de un tipo de cookies que únicamente recoja datos agregados o anónimos, deberemos disponer de un mecanismo que permita recabar el consentimiento del usuario antes de que éstas sean almacenadas.

La LSSI plantea únicamente dos criterios para exceptúan el uso de este consentimiento, que son aquellas utilizadas para:

Criterio A: “efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas”. –

Criterio B: “la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”. En estos casos, siempre que las cookies habilitadas tengan como objeto algunos de estos criterios, no se le aplicaría el consentimiento. No obstante, existen posibilidades de que una misma cookie pueda ser empleada con diferentes objetos. Únicamente podrá estar exenta del consentimiento si todas sus finalidades lo están de forma individual. Por ejemplo, si una misma cookie pudiera ser utilizada para recordar las preferencias del usuario y al mismo tiempo sea empleada para analizar el comportamiento del usuario, no podría verse exento del consentimiento. Esta última finalidad no cumpliría con ninguno de los criterios definidos anteriormente.

Los tipos de cookies que si cumplirían con estos criterios serían las siguientes:

  • User input cookies: son las usadas para facilitar la visita del usuario al sitio web, como pueda ser en la elección del idioma para todas las páginas que visite, o el uso del carrito de compra. Podemos catalogarla en el CRITERIO B.
  • Cookies de autenticación: aquellas usadas para poder identificar al usuario una vez se ha logueado correctamente en el sitio web. Son las empleadas por ejemplo en un banco online y por tanto, necesarias para la prestación de este servicio. CRITERIO B.
  • User centric security cookies: aquellas empleadas para la prevención de riesgos de seguridad en el sitio web, como puedan ser las que dispongan de un registro de intentos fallidos y repetidos en una web. Podemos catalogarlas en el CRITERIO B.
  • Cookies de multimedia: son aquellas que de forma técnica son necesarias para la reproducción de contenidos de video o audio, y que por tanto podemos catalogar en el CRITERIO B.
  • Cookies de balanceo de carga: el tipo de cookies que permiten la distribución del procesamiento web en varios servidores en lugar de uno solamente, que permiten una navegación más rápida. En este caso, nos encontramos con el CRITERIO A.
  • Cookies de customización: son las empleadas para la adaptación del sitio web a las preferencias del usuario, como puedan ser para la selección del idioma. Se podría justificar su utilización con lo dispuesto en el CRITERIO B.
  • Cookies de información social: son las cookies que utilizan las redes sociales para los integrantes puedan compartir información con sus contactos, como puedan ser los típicos comentarios en el tablón de Facebook; que funcionarían de acuerdo al CRITERIO B.

Por tanto podemos concluir de forma que quedarían excluidas de la utilización del consentimiento expreso solamente aquellas, que independientemente de que recojan datos o no, sean imprescindibles para la prestación del servicio del sitio web. Entre otras, deberemos modificar el sistema de configuración de las cookies y solicitar el consentimiento expreso para los tipos de analytics, para aquellas utilizadas con objeto publicitario, o simplemente para conocer el comportamiento del usuario durante la navegación web.