Modificación de la LSSI.

Con la publicación en el BOE del Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen varias directivas europeas, se ha producido una serie de modificaciones en la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) que afectan al uso de cookies y a los envíos comerciales por correo electrónico.

En resumen las novedades son:

• Queda prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente.
• Se prohíbe el envío de comunicaciones comerciales a través de las cuales se incite a los usuarios participar en promociones ilegales o en las que no identifique al anunciante.
• Queda prohibido el envío de comunicaciones comerciales en las que se incite a los destinatarios a visitar páginas de Internet que contravengan las obligaciones de información.
• Será obligatorio incluir una dirección de electrónica válida para oponerse al tratamiento de datos con fines comerciales.
• Será necesario el consentimiento del usuario sobre los archivos o programas informáticos (por ejemplo las cookies) que almacenan información. Sólo podrán usarse si el afectado ha dado su consentimiento previo e informado (salvo que tengan por finalidad efectuar o facilitar técnicamente la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario).

Con estas modificaciones el Título III de la Ley 34/2002 (LSSI), quedaría redactado de la siguiente manera:

TÍTULO III.
COMUNICACIONES COMERCIALES POR VÍA ELECTRÓNICA.

Artículo 19. Régimen jurídico.

1. Las comunicaciones comerciales y las ofertas promocionales se regirán, además de por la presente Ley, por su normativa propia y la vigente en materia comercial y de publicidad.

2. En todo caso, será de aplicación la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y su normativa de desarrollo, en especial, en lo que se refiere a la obtención de datos personales, la información a los interesados y la creación y mantenimiento de ficheros de datos personales.

Artículo 20. Información exigida sobre las comunicaciones comerciales, ofertas promocionales y concursos.

1. Las comunicaciones comerciales realizadas por vía electrónica deberán ser claramente identificables como tales y la persona física o jurídica en nombre de la cual se realizan también deberá ser claramente identificable.

En el caso en el que tengan lugar a través de correo electrónico u otro medio de comunicación electrónica equivalente incluirán al comienzo del mensaje la palabra publicidad o la abreviatura publi.

2. En los supuestos de ofertas promocionales, como las que incluyan descuentos, premios y regalos, y de concursos o juegos promocionales, previa la correspondiente autorización, se deberá asegurar, además del cumplimiento de los requisitos establecidos en el apartado anterior y en las normas de ordenación del comercio, que queden claramente identificados como tales y que las condiciones de acceso y, en su caso, de participación sean fácilmente accesibles y se expresen de forma clara e inequívoca.

3. Lo dispuesto en los apartados anteriores se entiende sin perjuicio de lo que dispongan las normativas dictadas por las Comunidades Autónomas con competencias exclusivas sobre consumo, comercio electrónico o publicidad.

4. En todo caso, queda prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación o que contravengan lo dispuesto en este artículo, así como aquéllas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en este artículo.

Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.

1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Artículo 22. Derechos de los destinatarios de servicios.

1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.

A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Fuente: http://www.ayudaleyprotecciondatos.es/

Socorro: quiero salir de la Red.

Socorro: Quiero salir de la Red

A. S.

• Bruselas se propone armonizar las normas de protección de datos
• España no se verá apenas afectada, asegura la AEPD
• ¿Es posible disponer de los datos personales para desaparecer de la Red?
• El reto de establecer un 'derecho al olvido' tiene importantes límites

La Red es memoria. La capacidad que tiene Internet para retener datos y brindar acceso a ellos está afectando a todos, desde los usuarios de redes sociales que han volcado sus datos de forma voluntaria hasta quienes jamás se han asomado a Internet, pero encuentran sus datos ahí. Documentos, historias, rumores, fotografías, vídeos... Una avalancha de datos personales circula por Internet. Si quiero salir de aquí, ¿es posible escapar?

En general, la trasferencia de datos en Internet alcanzará en 2015 casi un zettabyte (un 1 seguido de 21 ceros). Es decir, 11 gigabytes anuales por usuario, según algunas proyecciones de Cisco. Sólo en Facebook, la red social más popular del planeta, hay más de 845 millones de usuarios activos que intercambian datos personales de forma voluntaria en más de 70 idiomas. Todo eso queda almacenado.

Una y otra vez el pasado vuelve a través de Internet. Una de las pruebas más claras es el llamado 'efecto Lázaro', 'noticias zombies' o informaciones obsoletas que vuelven a la vida y son masivamente leídas años después. El asunto es más serio cuando afecta a datos personales. El principal problema que plantea la Red sobre estos datos es, precisamente, la dificultad para controlarlos.

En este momento surge el llamado 'derecho al olvido digital'. El sociólogo y profesor de la Universidad de Oxford Viktor Mayer-Schönberger, autor del libro 'Delete: The Virtue of Forgetting in the Digital Age', recuerda que "la información digital casi nunca desaparece aunque queramos", por lo que "el resultado es la permanencia del pasado en el presente".

¿Por qué es tan importante olvidar? El propio Mayer-Schönberger da una respuesta en una reflexión. "El olvido es valioso" porque "nos permitetranscender los detalles y generalizar". "A medida que cierta información desaparece con el tiempo", añade, "el mundo se vuelve más comprensible porque tenemos la libertad de centrarnos en lo que es importante" y, además, "olvidar también nos permite perdonar a los demás".

Un continente, una norma

Dentro del amplio marco de la protección de datos, la Comisión Europea lleva tres años trabajando en actualizar la normativa que existe sobre estos asuntos -una directiva de 1995, con Internet recién nacido- y en enero lanzó su propuesta: un reglamento sobre protección de datos y una directiva más especifica sobre el asunto en el ámbito penal. La idea es que exista "un continente, una norma, una interpretación de esa norma", en palabras de su principal impulsora, la comisaría de JusticiaViviane Reding. Según ella, "el 72% de los europeos está preocupado por el modo en que sus datos personales son manipulados, no sólo en Internet sino en general".

La propuesta contiene cinco puntos fundamentales que afectan a los ciudadanos. Regula el 'derecho al olvido' para todos, de forma quecualquier usuario podrá pedir a cualquier compañía el borrado total de sus datos si no hay razones legítimas para retenerlos. Prevé también que el consentimiento para que los datos propios sean procesados tenga que ser explícito, y el dueño de los datos podrá llevarse fácilmente esos datos, de forma similar a lo que sucede ahora con la portabilidad del número telefónico.

Además, las empresas y organizaciones deberán ser más responsables: estarán obligadas a tener un responsable de tratamiento de datos y deberán informar en 24 horas de cualquier violación grave de seguridad, tanto a las autoridades reguladoras nacionales como a los dueños de los datos. Cualquier violación de normas sobre protección de datos podrá ser denunciada ante la autoridad nacional, aún cuando la compañía no tenga sede en el país. Y las normas de la UE serán de aplicación para cualquier compañía que opere en el mercado europeo.

Su régimen sancionador será muy severo. Para violaciones graves -como el procesamiento de los datos sin consentimiento- las autoridades de supervisión nacionales podrán imponer multas de hasta un millón de euros o hasta el 2% de la facturación de una compañía. Las faltas menos graves -como cobrar una tarifa a un usuario que haya pedido el acceso a sus datos- se multarán con 250.000 euros o el 0,5% de la facturación.

Esta propuesta, que entraría en vigor como pronto en primavera de 2014, era necesaria por dos razones fundamentales, comentaba Reding en un reciente seminario para periodistas en Bruselas. "Es un trabajo dearmonización, ya que la forma que cada estado ha aplicado la directiva anterior ha dado lugar a incoherencias y complejidades para las compañías, pero además es un trabajo importante de actualización y modernización, ya que la anterior normativa nació cuando no había Internet, ni redes sociales, ni la nube, ni nada de eso". "Queremos que esta normativa sea capaz de adaptarse a cualquier avance en el futuro sin necesidad de reformarla o modificarla cada cuatro años porque existe algo nuevo en Internet", explicaba Reding.

En España, el 'derecho al olvido' acapara un interés creciente con cada vez más denuncias y solicitudes de tutela (alrededor de un centenar en 2010), según los datos publicados por la propia Agencia Española de Protección de Datos (AEPD). Su director, José Luis Rodríguez Álvarez, afirma que la nueva normativa que propone Bruselas, de resultar aprobada, no afectará mucho a nuestro país -que cuenta con una de las normativas más duras de la UE- , y las atribuciones de la AEPD se verán "mínimamente modificadas".

Sentido común y derecho a olvidar

"Es posible salir de Internet en algunos casos, y no tiene por qué ser siempre lo conveniente", sostiene Rafael Gimeno-Bayon del Molino, jurista experto en reputación 'online'. Este abogado sugiere "analizar el contenido que afecta a la reputación 'online' negativa (injuria, calumnia, interés de la información, datos expuestos, temporalidad, etc.), cuáles son los intervinientes (autor, sitio web, servidor, ISP, etc.) y estudiar la mejor estrategia".

En cualquier caso, este experto recomienda "gestionar activamente la marca profesional en Linkedin -líder actual en España-, configurar Google Alerts para tener las notificaciones de la persona o marca indexadas en el buscador y visualizar los resultados por lo menos cada 15 días (el llamado 'ego surfing'), y, en general, tratar de gestionar los resultados; al fin, todos 'googleamos' a todo".

Jorge Campanillas, abogado experto en nuevas tecnologías, afirma que "un poco de sentido común, sensatez y leerse bien las políticas que implantan los portales en Internet nos pueden ahorrar más de un disgusto". No obstante, sostiene, hay que ser "conscientes que en mayor o menor medida somos nosotros los que tenemos el control de la información y ser beligerantes ante aquellas conductas, empresas y portales que pongan en riesgo nuestra privacidad".

Al final, lo que importa es valorar adecuadamente qué datos personales estamos dispuestos a dejar al alcance de cualquiera, hasta dónde llega nuestra intimidad y qué es lo que queremos dejar atrás. El historiador Luis Grau Lobo escribía en una reciente columnasobre la importancia de olvidar algunos recuerdos, a veces cedidos "con frivolidad y larguez" en redes sociales. "El derecho individual a arrepentirse, a rectificar, a cambiar, a ser redimido y perdonar, a una intimidad que es nuestro único patrimonio", comentaba; "ésa es tarea del olvido"

Fuente: ApCpD

El nuevo director de la AEPD, José Luis Rodríguez, aclara qué es -y qué no es- el 'derecho al olvido'.

Es uno de los retos que dejó el anterior director de la Agencia Española de Protección de Datos, Artemi Rallo. El llamado 'derecho al olvido' se entiende en España como una proyección de otros derechos que ya existen (como el de cancelación y el de oposición), y en ningún caso se trata de un derecho absoluto. En una entrevista, el nuevo director de la AEPD, José Luis Rodríguez, aclara qué es -y qué no es- el 'derecho al olvido' y cómo se puede ejercer de una forma efectiva. Cuando hablamos del 'derecho al olvido' hay que tener en cuenta que la expresión, que hemos tomado del ámbito anglosajón ('The right to be forgotten') es equívoca, en el sentido de que de alguna manera sugiere mucho más de lo que realmente se puede configurar como un derecho.

No tiene nada que ver con un derecho a reescribir la historia, un derecho a refutar la memoria o un derecho de alterar las bases documentales, ya sean textos de boletines oficiales, ya sean hemerotecas.

El 'derecho al olvido' lo entendemos como una proyección del derecho que ya tenemos, porque forma parte del derecho fundamental a la protección de los datos, sobre el poder de disposición que tenemos sobre nuestros propios datos personales. Es decir, el derecho de decidir qué usos pueden hacer otros de ellos. No es un derecho absoluto.

La Constitución reconoce a todos los ciudadanos el derecho a la protección de los datos personales. Ese derecho consiste en un poder de disposición, en un derecho a decidir sobre los usos que se hacen de nuestros propios datos personales, de tal forma que solo se podrán realizar aquellos usos para los que hemos dado el con sentimiento o aquellos amparados por una ley, la LOPD o cualquiera otra. Es decir, si no hay un amparo legal, es necesario el consentimiento.

Para garantizar su correcto ejercicio, el derecho a la protección de los datos en realidad se desglosa en cuatro:

Derecho de acceso: Nos permite dirigirnos a quien consideremos que está tratando datos personales y solicitarle que nos proporcione información sobre los datos que maneja. Hay que tener en cuenta que no es un derecho a acceder a los documentos de forma física, salvo que así se reconozca por una legislación específica -tal es el caso del acceso al historial clínico-. Pero con carácter general no es un derecho de acceso a documentos, sino a conocer qué datos personales tiene ese tercero, sea un particular, una empresa, etc. y tal tercero tiene la obligación de informarnos.

Derecho de rectificación: En el caso de que esos datos no sean correctos, tenemos derecho a pedir a quienes manejen esos datos a que los corrija y los ajuste a la verdad.

Derecho de cancelación: En el caso en el que ya no exista ningún motivo que permita y legitime a un tercero el tratamiento de nuestros datos, tenemos el derecho de exigirle que cancele dichos datos, es decir, que los borre. Esto puede pasar cuando ya no exista ninguna razón para seguir manejándolos, o bien cuando quien los maneja solo tenía nuestro consentimiento y revocamos este consentimiento; pero ojo, para retirar el consentimiento sobre el tratamiento de datos en un negocio o en relación contractual habría que poner fin a esa relación de negocios, y esto es importante destacarlo porque es un factor legitimador muy frecuente. Es decir, cuando uno tiene una cuenta con un operador de telefonía o un banco no puede pedir la cancelación de sus datos mientras siga siendo cliente.

Derecho de oposición: Es un poco más difícil de explicar. Consiste en que aun cuando existe un fundamento o una base legitimadora para el tratamiento de esos datos, o para seguir conservándolos por parte del tercero, podemos oponernos a determinados tratamientos. Por ejemplo, podemos oponernos a que se publiquen para determinados fines, o que se usen para fines publicitarios. En este caso no se cancelan, se permite que sigan en poder del tercero, pero se puede pedir que se impidan determinados usos. En este caso tenemos que invocar unos motivos.

Estos derechos son llamados "personalísimos" dado que solo los puede ejercer su titular. En este caso, el dueño de los datos debe ejercerlos en primer lugar directamente ante quien tiene en su poder estos datos, y estos tienen la obligación de contestar. La Agencia de Protección de Datos tutela a los titulares una vez que estos han tratado de ejercer sus derechos frente a quienes retienen sus datos y no han visto satisfechas sus demandas.

Así el 'derecho al olvido' realmente no incorpora nada nuevo sobre el contenido de estos derechos que ya estaban reconocidos en España -otra cosa son las dificultades que surgen a la hora de aplicarlos-, sino que puede ser entendido, y así lo entiende la AEPD, como una proyección del derecho de cancelación y el derecho de oposición, dependiendo de cada caso.

publicado en acal.es

enlace articulo: http://acal.es/actualidad-y-opinion/194-el-nuevo-director-de-la-aepd-jose-luis-rodriguez-aclara-que-es-y-que-no-es-el-derecho-al-olvido

 

Fuente: ApCpD