Novedades de la Ley 9/2014 de Telecomunicaciones en materia de servicios de la sociedad de la información

            Salvo los que consisten, “en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas”, los servicios de la sociedad de la información regulados por la Ley 34/2002 (LSSI) quedan excluidos del marco general de regulación de las telecomunicaciones, como reitera ahora el artículo 1.2 de la nueva Ley 9/2014,de 9 de mayo, de Telecomunicaciones (LT). No obstante, es claro que entre las normas de la LT algunas tienen particular importancia en la regulación de los contratos relativos a Internet y de cara a la posición de los internautas en tanto que usuarios de ciertos servicios. Tal es el caso, en particular de las normas ahora contenida en los artículos 47 (derechos específicos de los usuarios finales de redes y servicios de comunicaciones electrónicas disponibles al público) y 48 (derecho a la protección de datos personales y la privacidad en relación con las comunicaciones no solicitadas, con los datos de tráfico y de localización y con las guías de abonados) LT. Además, destaca en la LT la introducción de ciertas modificaciones en el régimen de los prestadores de servicios de la sociedad de la información, mediante la modificación de otras leyes, en concreto la LSSI y la Ley 13/2011, de regulación del juego (LRJ). A las novedades introducidas en estas dos leyes se limita la presente reseña.

I. Modificaciones de la Ley 13/2011, de regulación del juego

            La disposición final primera LT modifica diversas normas de la LRJ. Más allá de los cambios relativos al modo de hacer referencia a la autoridad encargada de la regulación del juego, las modificaciones van referidas fundamentalmente a introducir en el régimen legal el tratamiento de las llamadas redes publicitarias. A estos efectos se añade en el apartado 3 del artículo 7 LRJ una definición de red publicitaria, en los siguientes términos: “Se considera red publicitaria a la entidad que, en nombre y representación de los editores, ofrece a los anunciantes la utilización de espacios publicitarios en servicios de la sociedad de la información y la optimización de los resultados publicitarios al orientar los anuncios al público interesado por el producto o servicio publicitado.”

            En este sentido, el artículo 7.3 LRJ se modifica para aclarar que tales redes publicitarias se hallan –como las agencias de publicidad, prestadores de servicios de comunicación audiovisual o electrónica, medios de comunicación o servicios de la sociedad de la información - sometidas a la obligación de constatar que quien solicite la inserción de los anuncios o reclamos publicitarios dispone del correspondiente título habilitante expedido por la autoridad encargada de la regulación del juego y que éste le autoriza para la realización de la publicidad solicitada. Asimismo, el apartado 4 aclara que tales redes pueden ser destinatarias de los requerimientos de cese de la publicidad.

            Por su parte, la reforma del artículo 36.3 LRJ en relación con el régimen de responsabilidad administrativa en relación con las actividades publicitarias, extiende la consideración de responsable prevista para los “prestadores de servicios de comunicación audiovisual, de comunicación electrónica y de la sociedad de la información” también a los “los medios de comunicación, así como las agencias de publicidad y las redes publicitarias”. Además, con respecto al régimen de responsabilidad de las redes publicitarias establece lo siguiente: “…serán responsables de la infracción prevista en el artículo 40 d) las redes publicitarias que sirvan publicidad a prestadores de servicios de la sociedad de la información. La responsabilidad de los servicios de la sociedad de la información será subsidiaria de la de las agencias y redes publicitarias, siempre y cuando estas últimas sean adecuadamente identificadas por el servicio de la sociedad de la información, previo requerimiento de la autoridad encargada de la regulación del juego, y dispongan de un establecimiento permanente en España.”

            Entre las consideraciones que suscitan estas novedades, cabe reseñar las dudas que genera el presupuesto de la reforma que parece basarse en el criterio de que las redes publicitarias no son en ningún caso prestadores de servicios de la sociedad de la información. Sin perjuicio de la eventual justificación de la referencia específica a tales redes así como de su régimen particular, la idea de que las mismas en ningún caso son prestadores de servicios de la sociedad de la información puede resultar cuestionable, habida cuenta del amplio alcance de este concepto conforme al Derecho de la UE.  

II. Reforma de la LSSI en materia de obligaciones de información, códigos de conducta y comunicaciones comerciales

            Las modificaciones de la LSSI se hallan recogidas en la disposición final segunda LT. En primer lugar, con respecto a las obligaciones de información general impuestas en el artículo 10.1 LSSI, se reforma su apartado f), que queda de este modo: “Cuando el servicio de la sociedad de la información haga referencia a precios, se facilitará información clara y exacta sobre el precio del producto o servicio, indicando si incluye o no los impuestos aplicables y, en su caso, sobre los gastos de envío.” En consecuencia, la modificación consiste en la eliminación del inciso final, que añadía “o en su caso aquello que dispongan las normas de las Comunidades Autónomas con competencias en la materia”. Junto al respeto de la delimitación competencial derivada de la constitución, debe destacarse el carácter claramente distorsionador de la eventual imposición de requisitos adicionales de carácter autonómico, cuya exigibilidad –en particular a prestadores establecidos en otros Estados de la UE- podría plantear problemas de compatibilidad con la Directiva 2000/31 sobre el comercio electrónico.

            En materia de códigos de conducta las novedades se limitan a la introducción en el apartado 1 del artículo 18 LSSI de un párrafo que tiene un valor meramente informativo, en la medida en que se limita a señalar que: “Los códigos de conducta que afecten a los consumidores y usuarios estarán sujetos, además, al capítulo V de la Ley 3/1991, de 10 de enero, de competencia desleal.”. Cabe recordar que las normas de dicho capítulo regulan, entre otras, las acciones que pueden ejercitarse frente a los códigos de conducta que recomienden, fomenten o impulsen conductas desleales o ilícitas.

            En lo relativo a las comunicaciones comerciales, destaca que el nuevo apartado 1 del artículo 20 LSSI, si bien mantiene la obligación de que las comunicaciones comerciales realizadas por vía electrónica sean claramente identificables como tales, así como de que sea claramente identificable la persona en nombre de la cual se realizan, elimina la exigencia contenida hasta ahora en el párrafo segundo del artículo 20.1, que exigía que las comunicaciones comerciales mediante correo electrónico u otro medio equivalente incluyeran al comienzo del mensaje la palabra “publicidad” o la abreviatura “publi”. Además, en el apartado 3 del artículo 20, al hacer referencia a que esas normas de la LSSI acerca de la información exigida sobre las comunicaciones comerciales, ofertas promocionales y concursos deben entenderse sin perjuicio de las competencias de las CCAA, mantiene solo la referencia a “las competencias exclusivas sobre consumo”, eliminando la referencia previamente contenida al “comercio electrónico o publicidad”, lo que debe vincularse con lo señalado en el primer párrafo de este apartado.

III. Cookies

Dentro del artículo 22 LSSI, relativo a ciertos derechos de los destinatarios de los servicios destaca la modificación que la LT introduce en la regulación del artículo 22.2 en relación con el empleo de dispositivos, archivos o ficheros que permiten el acceso a información en el ordenador del usuario, como es el caso de las cookies. El párrafo segundo de esta norma introducida en la reforma de la LSSI llevada a cabo por el Real Decreto-ley 13/2012 se reduce tras la nueva reforma a lo siguiente: “Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.”. En consecuencia, se elimina la limitación existente hasta ahora, causa de una notable incertidumbre, según la cual, el empleo de esa vía para la prestación del consentimiento únicamente resultaba admisible cuando el destinatario debiera para ello proceder a la configuración del navegador u otras aplicaciones durante su instalación o actualización mediante una acción expresa a tal efecto. Además, se mantiene la exención a la obtención del consentimiento para el uso de cookies prevista en el último párrafo del artículo 22.2 LSSI.

Ahora bien, en esta materia destaca también la revisión del artículo 38.4.g) LSSICE, para incluir en su tipo sancionador la utilización de “dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario del servicio en los términos exigidos por el artículo 22.2.” Se trata con el nuevo texto de este precepto de superar las dificultades puestas de relieve en la práctica de la AEPD, en situaciones en las que habiendo quedado probado que  el uso de cookies se  llevaba a cabo sin mediar  el consentimiento informado al que se refiere el artículo 22.2 LSSI, debía concluir que la vulneración de este requisito  previo a la instalación de cookies  no resultaba sancionable en virtud de la redacción previa del artículo 38.4.g) LSSI.

III. Régimen de responsabilidad y sanciones en la LSSI

            Vinculado precisamente al artículo 38.4.g) LSSI y al incumplimiento de las obligaciones que establece el artículo 22.2 se encuentra el nuevo párrafo introducido en el artículo 37 LSSI, que contempla específicamente –con una redacción no exenta de dificultades interpretativas- el régimen de responsabilidad de los prestadores de servicios de la sociedad de la información, redes publicitarias o agentes en relación con el empleo de cookies en el marco de ciertos servicios publicitarios. Según esta norma: “Cuando las infracciones previstas en el artículo 38.3 i) y 38.4 g) se deban a la instalación de dispositivos de almacenamiento y recuperación de la información como consecuencia de la cesión por parte del prestador del servicio de la sociedad de la información de espacios propios para mostrar publicidad, será responsable de la infracción, además del prestador del servicio de la sociedad de la información, la red publicitaria o agente que gestione directamente con aquel la colocación de anuncios en dichos espacios en caso de no haber adoptado medidas para exigirle el cumplimiento de los deberes de información y la obtención del consentimiento del usuario.”

En materia de responsabilidad, destaca también la reforma del precepto que tipifica las conductas de spam, caracterizado previamente por una excesiva rigidez. La nueva redacción del artículo 38.3.c) es la siguiente: “El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente, o su envío insistente o sistemático a un mismo destinatario del servicio cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.”

En materia de sanciones mención especial merece la introducción de un nuevo artículo 39 bis en la LSSI que establece criterios de moderación de las sanciones, así como la revisión del artículo 40, relativo a la graduación de la cuantía de las sanciones.

IV. Autoridades de asignación y registros de nombres de dominio

            Destaca en la reforma muy especialmente la introducción de ciertos mecanismos tendentes a facilitar la efectividad de las medidas de cesación de la prestación de servicios de la sociedad de la información que realicen actividades ilícitas, contemplando la posibilidad de adoptar requerimientos dirigidos a la autoridad de asignación, a la que corresponde la gestión del registro de nombres de dominio de Internet bajo «.es». Se trata de una posibilidad existente ya previamente en el marco del ejercicio de ciertas acciones judiciales. El apartado cinco bis introducido por la LT en la disposición adicional sexta LSSI dispone:

“La autoridad de asignación suspenderá cautelarmente o cancelará, de acuerdo con el correspondiente requerimiento judicial previo, los nombres de dominio mediante los cuales se esté cometiendo un delito o falta tipificado en el Código Penal. Del mismo modo procederá la autoridad de asignación cuando por las Fuerzas y Cuerpos de Seguridad del Estado se le dirija requerimiento de suspensión cautelar dictado como diligencia de prevención dentro de las 24 horas siguientes al conocimiento de los hechos.

Asimismo, de acuerdo con lo dispuesto en los artículos 8, 11 y concordantes de esta Ley, la autoridad administrativa o judicial competente como medida para obtener la interrupción de la prestación de un servicio de la sociedad de la información o la retirada de un contenido, podrá requerir a la autoridad de asignación para que suspenda cautelarmente o cancele un nombre de dominio.

De la misma forma se procederá en los demás supuestos previstos legalmente.

En los supuestos previstos en los dos párrafos anteriores, sólo podrá ordenarse la suspensión cautelar o la cancelación de un nombre de dominio cuando el prestador de servicios o persona responsable no hubiera atendido el requerimiento dictado para el cese de la actividad ilícita.

En todos los casos en que la Constitución, las normas reguladoras de los respectivos derechos y libertades o las que resulten aplicables a las diferentes materias atribuyan competencia a los órganos jurisdiccionales de forma excluyente para intervenir en el ejercicio de actividades o derechos, sólo la autoridad judicial competente podrá requerir la suspensión cautelar o la cancelación. En particular, cuando dichas medidas afecten a los derechos y libertades de expresión e información y demás amparados en los términos establecidos en el artículo 20 de la Constitución solo podrán ser decididas por los órganos jurisdiccionales competentes.

La suspensión consistirá en la imposibilidad de utilizar el nombre de dominio a los efectos del direccionamiento en Internet y la prohibición de modificar la titularidad y los datos registrales del mismo, si bien podrá añadir nuevos datos de contacto. El titular del nombre de dominio únicamente podrá renovar el mismo o modificar la modalidad de renovación. La suspensión cautelar se mantendrá hasta que sea levantada o bien, confirmada en una resolución definitiva que ordene la cancelación del nombre de dominio.

La cancelación tendrá los mismos efectos que la suspensión hasta la expiración del período de registro y si el tiempo restante es inferior a un año, por un año adicional, transcurrido el cual el nombre de dominio podrá volver a asignarse.”

La experiencia internacional y en particular la práctica de EEUU han puesto de relieve la importancia práctica de adoptar medidas frente a los registros de nombres de dominio situados en el foro, en particular, para impedir el acceso a determinados sitios de Internet, cuyos responsables –y servidores- pueden encontrarse en terceros Estados. Esa práctica también es ilustrativa de los riesgos de “imperialismo jurisdiccional” inherente a la misma, en la medida en que puede proyectarse sobre nombres de dominio utilizados en relación con sitios de Internet que sólo están dirigidos y producen efectos significativos en terceros Estados. Por otra parte, la efectividad de tales medidas en España se halla limitada por el número de los registros de nombres de dominio establecidos en España. La LT introduce una disposición adicional octava en la LSSI, según la cual:

“1. Los registros de nombres de dominio establecidos en España estarán sujetos a lo establecido en el apartado cinco bis de la disposición adicional sexta, respecto de los nombres de dominio que asignen.

2. Las entidades de registro de nombres de dominio establecidas en España estarán obligadas a facilitar los datos relativos a los titulares de los nombres de dominio que soliciten las autoridades públicas para el ejercicio de sus competencias de inspección, control y sanción cuando las infracciones administrativas que se persigan tengan relación directa con la actividad de una página de Internet identificada con los nombres de dominio que asignen. Tales datos se facilitarán así mismo, cuando sean necesarios para la investigación y mitigación de incidentes de ciberseguridad en los que estén involucrados equipos relacionados con un nombre de dominio de los encomendados a su gestión. Dicha información será proporcionada al órgano, organismo o entidad que se determine legal o reglamentariamente. En ambos supuestos, la solicitud deberá formularse mediante escrito motivado en el que se especificarán los datos requeridos y la necesidad y proporcionalidad de los datos solicitados para el fin que se persigue. Si los datos demandados son datos personales, su cesión no precisará el consentimiento de su titular.”

Para concluir, cabe dejar constancia de que una nueva disposición adicional novena de la LSSI establece normas relativas a la gestión de incidentes de ciberseguridad que afecten a Internet, imponiendo a los prestadores de servicios de la sociedad de la información, los registros de nombres de dominio y los agentes registradores que estén establecidos en España la obligación de colaborar con el CERT competente.