Cookies y comunicaciones comerciales electrónicas

A la espera de un nuevo marco legislativo en materia de protección de datos de carácter personal a partir de la Propuesta de Reglamento general de protección de datos personales presentada por la Comisión Europea el pasado 25 de enero, se ha publicado en el Boletín Oficial del Estado el Real Decreto-ley 13/2012, de 30 de marzo, que incorpora al ordenamiento jurídico español, entre otras, la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (conocida como “Directiva de cookies”) y la Directiva 2009/140/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009.

Hay que precisar que el Real Decreto-Ley tiene un objeto amplio, ya que asimismo se transponen directivas en el ámbito de mercados interiores de electricidad y gas, así como en materia de comunicaciones electrónicas, llevándose a cabo una reforma profunda de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, que afecta inter alia a aspectos relevantes con respecto a la prestación de servicios de Internet, en materia de protección de datos de carácter personal, gestión de riesgos de seguridad, y derechos de los consumidores y usuarios finales.

Ello no obstante, me voy a referir ahora a las modificaciones que introduce en la Ley 34/2002 de servicios de la Sociedad de la Información y el Comercio Electrónico (en adelante, “LSSI”), entre las que destaca, como especifica su Exposición de motivos, la nueva redacción del artículo 22.2 que establece la exigencia del consentimiento de los usuarios con relación al empleo en sus dispositivos de archivos o programas informáticos como las denominadas “cookies” de amplio espectro e instrumento básico de la publicidad basada en el comportamiento y, por extensión, del marketing digital. Por lo tanto, se evoluciona del conocido sistema “opt-out” (información y procedimiento posterior de baja u oposición), al sistema “opt-in”, es decir, la necesidad de contar con el consentimiento previo del destinatario.

Las modificaciones de la LSSI se han recogido en el artículo 4 del Real Decreto-ley 13/2012 y se indican a continuación:

1. La nueva redacción del artículo 22.2 exige el consentimiento previo del destinatario sobre los archivos o programas informáticos (a modo de ejemplo, las cookies) que almacenan información en el dispositivo del usuario y permiten posteriormente acceder a ellas con distintas finalidades. Ahora bien, hay que precisar que tras la reforma del artículo 22 se mantiene la excepción prevista con respecto al “almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”, para la que no se requiere consentimiento con carácter previo, lo que resulta de utilidad práctica habida cuenta del frecuente empleo de estos dispositivos con relación a ciertos servicios.
2. De acuerdo a lo que se establece en el artículo 20, se prohíbe el envío de comunicaciones comerciales vía electrónica (es decir, fundamentalmente, a través de SMS, MMS o correo electrónico) en las que se disimule o se oculte la identidad del remitente.
3. Asimismo, se añade un apartado 4 en el artículo 20, por el que se prohíbe el envío de comunicaciones comerciales vía electrónica en las que se incite a los destinatarios a visitar páginas de Internet que contravengan las obligaciones de información.
4. Se añade un nuevo párrafo al apartado 2 del artículo 21, incluyéndose la obligación de mostrar una dirección de correo electrónico válida para oponerse al tratamiento de datos con fines comerciales cuando las comunicaciones se emitan a través de correo electrónico o medios de comunicación electrónica equivalentes, prohibiéndose, el envío de comunicaciones electrónicas que no incluyan dicha dirección.
5. Por último, la nueva redacción dada al párrafo a) del artículo 31 amplía la legitimación activa, o locus standi, y permite interponer acciones de cesación a los proveedores de servicios de comunicaciones electrónicas que deseen proteger sus intereses comerciales legítimos o los intereses de sus clientes y que hayan sido perjudicados por conductas que no cumplan con la prohibición de comunicaciones comerciales vía electrónica o que conculquen los derechos de los destinatarios de servicios.

En todo caso, sigue siendo de aplicación la previsión del artículo 29 de la Ley 3/1991, de 10 de enero, de Competencia Desleal, que considera como una práctica desleal la realización de propuestas no deseadas y reiteradas entre otros, por correo electrónico u otros medios de comunicación a distancia, salvo que esté justificado legalmente para hacer cumplir una obligación contractual.

Finalmente, cabe añadir que las exigencias y garantías arriba referidas se aplican tanto cuando el destinatario de la comunicación es una persona física, como cuando es una persona jurídica, a diferencia de lo que sucede con las garantías de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que sólo protegen a personas físicas.