El Boletín Oficial del Estado en su edición de hoy recoge las modificaciones introducidas por el Real Decreto-ley 13/2012, de 30 de marzo, en
Las modificaciones de la LSSI se encuentran recogidas en el artículo 4 del Real Decreto-ley 13/2012. En primer lugar, se añade un apartado 4 en el artículo 20 LSSI, con el siguiente texto: “En todo caso, queda prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación o que contravengan lo dispuesto en este artículo, así como aquéllas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en este artículo”. Esta norma –que reproduce la contenida en el proyecto de Ley mencionado- tiene su origen en el artículo 13.4 Directiva 2002/58/CE modificada por la Directiva 2009/136/CE y, en principio, podría pensarse que no supone un cambio significativo, pues ya el propio artículo 20 LSSI deja claro que “las comunicaciones comerciales realizadas por vía electrónica deberán ser claramente identificables como tales y la persona física o jurídica en nombre de la cual se realizan también deberá ser claramente identificable”, en línea con el artículo 6 Directiva 2000/31/CE. Ahora bien, el inciso final del nuevo artículo 20.4 –que también figura en el artículo 13.4 Directiva 2002/58/CE modificada por la Directiva 2009/136/CE- puede resultar problemático en la medida en que contempla la prohibición de las comunicaciones comerciales en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en el propio artículo 20. Si quien envía la comunicación es el propio titular de la página de Internet, la conducta sancionable debería ser la que deriva directamente de la configuración de la propia página; si por el contrario, el remitente es un tercero la prohibición prevista en ese inciso final parece exigir por parte del remitente una supervisión del contenido de la página de Internet a la que va referida la comunicación que podría resultar excesiva (teniendo en cuenta que en cualquier caso esta norma no afecta a la eventual responsabilidad del propio titular de la página de Internet de que se trate).
Una segunda modificación es la relativa al artículo 21.2 LSSI, que es la norma que regula la posibilidad de enviar comunicaciones publicitarias por correo electrónico sin el consentimiento expreso del destinatario en ciertas situaciones en las que existe una relación contractual previa entre con el destinatario. En relación con la exigencia de que el prestador ofrezca al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, se añade un nuevo párrafo al apartado 2 del artículo 21, con el siguiente contenido: “Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.”. Al igual que sucedía en el proyecto de Ley de mayo de 2011, se introduce una previsión similar con respecto a la disponibilidad de ese medio en el artículo 22.1 LSSI en relación con la posibilidad de revocar el consentimiento prestado a la recepción de comunicaciones comerciales cuando estas hubieran sido remitidas por correo electrónico. Estos añadidos también recogen en lo esencial una previsión contenida en el artículo 13.4 Directiva 2002/58/CE modificada por la Directiva 2009/136/CE.
En línea también con el proyecto de Ley de mayo de 2011, el aspecto más relevante de la modificación de la LSSI llevada a cabo por este Real Decreto-ley, como destaca su Exposición de Motivos, es la reforma del artículo 22.2 en relación con el empleo de archivos o programas informáticos que almacenan y permiten el acceso a información en el equipo de usuario -como es el caso de las cookies o chivatos-, de gran importancia práctica para facilitar la navegación y la prestación eficiente de ciertos servicios en la Red , al tiempo que constituyen un instrumento básico del éxito de la llamada publicidad “comportamental” y plantean especiales riesgos en relación con el tratamiento de información personal sobre los usuarios de Internet (como puso de relieve el Grupo de Trabajo sobre protección de datos personales creado en virtud del artículo 29 Directiva 95/46/CE en su Dictamen 2/2010 sobre publicidad comportamental en línea). De acuerdo con la modificación del artículo 5.3 Directiva 2002/58/CE llevada a cabo por la Directiva 2009/136/CE, aspecto esencial de la reforma es dejar claro la necesidad de consentimiento de los destinatarios con respecto al uso de tales dispositivos.
En concreto, el texto previsto del nuevo párrafo primero del artículo 22.2 LSSI establece: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”. Esta obligación de haber obtenido el consentimiento previo del destinatario va más allá de la obligación actualmente existente según la redacción vigente del artículo 22.2 LSSI (sin perjuicio de la exigencia ya de interpretación conforme con el Derecho de la UE incluida la Directiva 2009/136/CE y de que el GTPD había sostenido ya que el art- 5.3 debía interpretarse en el sentido de que imponía la necesidad de consentimiento informado). En todo caso, el texto hasta ahora vigente del artículo 22.2 LSSI exige únicamente haber informado a los destinatarios de manera clara y completa sobre su utilización y finalidad, así como ofrecerles la posibilidad de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito, por lo que la nueva redacción resulta sin duda clarificadora con respecto a la necesidad de consentimiento previo. Ahora bien, cabe destacar que tras la reforma del artículo 22 se mantiene la excepción prevista con respecto al “almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”, para lo que no se requiere consentimiento previo, lo que resulta de gran trascendencia habida cuenta del frecuente empleo de estos dispositivos en relación con ciertos servicios.
Como novedad frente al contenido previo de la norma, el nuevo texto del artículo 22.2 LSSI proporciona elementos adicionales con respecto a los medios para obtener el consentimiento. En concreto, al igual que hacía el proyecto de Ley de mayo de 2011, en el texto del artículo 22.2 LSSI introducido por el Real Decreto-ley se ha optado por incluir ciertas aclaraciones sobre el modo de prestación del consentimiento que figuran en el Preámbulo de la Directiva 2009/136/CE, en cuyo considerando 66 cabe encontrar la referencia incluida ahora en el párrafo segundo del artículo 22.2 LSSI del proyecto en el sentido de que “Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.” El nuevo texto del artículo 22.2 LSSI no incorpora, sin embargo, la referencia a la importancia y el potencial de la autorregulación en este ámbito contenida en el proyecto de Ley de mayo de 2011, que incluía un conjunto de afirmaciones al respecto con escaso valor normativo.
Por último, la nueva redacción dada al párrafo a) del artículo 31 LSSI precisa quiénes gozan de legitimación activa para interponer acciones de cesación contra las conductas contrarias a la LSSI que lesionen intereses colectivos o difusos de los consumidores, de modo que quedan expresamente incluidos quienes “pudieran verse perjudicadas por infracciones de las disposiciones contenidas en los artículos 21 y 22, entre ellas, los proveedores de servicios de comunicaciones electrónicas que deseen proteger sus intereses comerciales legítimos o los intereses de sus clientes”.
