El pasado viernes, 27 de mayo, se publicó en el Boletín Oficial de las Cortes Generales el “Proyecto de Ley por la que se modifica la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones” cuyo principal objetivo es incorporar al Derecho español el "nuevo" marco europeo regulador de las comunicaciones electrónicas adoptado en 2009 y, en particular, la Directiva 2009/136/CE, por la que se modifican, entre otras, la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas y la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas. Aunque el Proyecto de Ley contempla una reforma de amplio alcance de la LGT, que afecta a aspectos de especial trascendencia con respecto a la prestación de servicios de Internet, como los nuevos artículos 34 (protección de los datos de carácter personal), 36 bis (integridad y seguridad de las redes y de los servicios de comunicaciones electrónicas) y 38 (derechos de los consumidores y usuarios finales) LGT; me voy a centrar ahora en que el proyecto incluye también la modificación de ciertas normas de la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).
Las modificaciones previstas de la LSSI se encuentran recogidas en la disposición final segunda del Proyecto. En primer lugar, se contempla añadir un apartado 4 en el artículo 20 LSSI, con el siguiente texto: “Asimismo, queda prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación o que contravengan lo dispuesto en este artículo, así como aquéllas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en este artículo.”. Esta norma tiene su origen en el artículo 13.4 Directiva 2002/58/CE modificada por la Directiva 2009/136/CE y, en principio, podría pensarse que no supone un cambio significativo, pues ya el propio artículo 20 LSSI deja claro que “las comunicaciones comerciales realizadas por vía electrónica deberán ser claramente identificables como tales y la persona física o jurídica en nombre de la cual se realizan también deberá ser claramente identificable”, en línea con el artículo 6 Directiva 2000/31/CE. Ahora bien, el inciso final del artículo 20.4 del Proyecto –que también figura en el artículo 13.4 Directiva 2002/58/CE modificada por la Directiva 2009/136/CE- puede resultar problemático en la medida en que contempla la prohibición de las comunicaciones comerciales en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en el propio artículo 20. Si quien envía la comunicación es el propio titular de la página de Internet, la conducta sancionable debería ser la que deriva directamente de la configuración de la propia página; si por el contrario, el remitente es un tercero la prohibición prevista en ese inciso final parece exigir por parte del remitente una supervisión del contenido de la página de Internet a la que va referida la comunicación que podría resultar excesiva (teniendo en cuenta que en cualquier caso esta norma no afecta a la eventual responsabilidad del propio titular de la página de Internet de que se trate).
Una segunda modificación es la relativa al artículo 21.2 LSSI, que es la norma que regula la posibilidad de enviar comunicaciones publicitarias por correo electrónico sin el consentimiento expreso del destinatario en ciertas situaciones en las que existe una relación contractual previa entre con el destinatario. En relación con la exigencia de que el prestador ofrezca al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, se contempla añadir la previsión de que “Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.” Una previsión similar con respecto a la disponibilidad de ese medio se incorpora en el artículo 22.1 LSSI con respecto a la posibilidad de revocar el consentimiento prestado a la recepción de comunicaciones comerciales cuando estas hubieran sido remitidas por correo electrónico. Estos añadidos también recogen en lo esencial una previsión contenida en el artículo 13.4 Directiva 2002/58/CE modificada por la Directiva 2009/136/CE.
Por último, el aspecto más relevante de la modificación propuesta, como destaca la propia Exposición de Motivos, es la reforma del artículo 22.2 LSSI en relación con el empleo de archivos o programas informáticos que almacenan y permiten el acceso a información en el equipo de usuario -como es el caso de las cookies o chivatos-, de gran importancia práctica para facilitar la navegación y la prestación eficiente de ciertos servicios en la Red, al tiempo que constituyen un instrumento básico del éxito de la llamada publicidad “comportamental” y plantean especiales riesgos en relación con el tratamiento de información personal sobre los usuarios de Internet (como puso de relieve el Grupo de Trabajo sobre protección de datos personales creado en virtud del artículo 29 Directiva 95/46/CE -GTPD- en su Dictamen 2/2010 sobre publicidad comportamental en línea). De acuerdo con la modificación del artículo 5.3 Directiva 2002/58/CE llevada a cabo por la Directiva 2009/136/CE, aspecto esencial de la reforma es dejar claro la necesidad de consentimiento de los destinatarios con respecto al uso de tales dispositivos.
En concreto, el texto previsto del nuevo párrafo primero del artículo 22.2 LSSI establece: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la LOPD”. Esta obligación de haber obtenido el consentimiento previo del destinatario va más allá de la obligación actualmente existente según la redacción vigente del artículo 22.2 LSSI (sin perjuicio de la exigencia ya de interpretación conforme con el Derecho de la UE incluida la Directiva 2009/136/CE y de que el GTPD había sostenido ya que el art- 5.3 debía interpretarse en el sentido de que imponía la necesidad de consentimiento informado). En todo caso, el texto actual del artículo 22.2 LSSI exige únicamente haber informado a los destinatarios de manera clara y completa sobre su utilización y finalidad, así como ofrecerles la posibilidad de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito, por lo que la nueva redacción resulta sin duda clarificadora con respecto a la necesidad de consentimiento previo. Ahora bien, cabe destacar que se mantiene la excepción prevista con respecto al “almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”, para lo que no se requiere consentimiento previo, lo que resulta de gran trascendencia habida cuenta del frecuente empleo de estos dispositivos en relación con ciertos servicios.
Como novedad frente a la situación anterior, el texto previsto del artículo 22.2 LSSI proporciona elementos adicionales con respecto a los medios para obtener el consentimiento. En concreto en el Proyecto de Ley se ha optado por recoger en el propio texto del artículo 22.2 LSSI ciertas aclaraciones sobre el modo de prestación del consentimiento que figuran en el Preámbulo de la Directiva 2009/136/CE, en cuyo considerando 66 cabe encontrar la referencia incluida ahora en el párrafo segundo del artículo 22.2 LSSI del proyecto en el sentido de que “Cuando sea técnicamente posible y eficaz, de conformidad con las disposiciones pertinentes de la LOPD, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto”. Por último, en el texto propuesto del artículo 22.2 LSSI se incluye también una referencia expresa a la importancia y el potencial de la autorregulación en este ámbito, a partir de lo dispuesto en el artículo 18 LSSI, al establecer que “podrán desarrollarse, en lo referido a lo dispuesto en este apartado, códigos de conducta voluntarios, preferentemente enmarcados en iniciativas de ámbito comunitario o internacional. Dichos códigos de conducta tratarán, en particular, sobre medidas dirigidas a que los destinatarios reciban una información clara, completa y fácilmente accesible y procurarán que el modo en que se facilite la información y se ofrezca el derecho de negativa sea el más sencillo posible para el destinatario, pudiendo desarrollarse, entre otros, iconos informativos normalizados”. En buena medida se tratan de afirmaciones de escaso valor normativo, en un ámbito en el que el propio proyecto parece ser consciente de sus limitaciones –vinculadas a las de la Directiva- para regular un aspecto en continua transformación y directamente condicionado por la evolución tecnología. Consecuencia del reconocimiento de esas limitaciones es la inclusión de un último inciso en el artículo 22.4 LSSI en el sentido de que “Lo dispuesto en este precepto podrá ser objeto de desarrollo reglamentario”.
