Enero 24, 2014

Cookies: Información y consentimiento (actualizado)

Archivado en: Actualidad, Comercio Electrónico, Informática, Protección de Datos — Etiquetas: , , — legisconsulting @ 10:29

La AGPD aclara finalmente, a través de una resolución, la forma correcta de plantear las cookies a los usuarios.

Hasta ahora teníamos claro cuál era la información que se debía proporcionar al usuario en cada momento porque así lo había manifestado la propia AGPD a través de un modelo que debía ser adaptado a cada circunstancia concreta. Y quedaba claro que debía plantearse  a través de lo que la propia AGPD llama ‘información por capas.

El problema era -proporcionando esa información y sabiendo el momento en que debía prestarse al usuario- saber si también era necesaria la previa autorización expresa del usuario para la instalación de cookies. Es decir, si era necesario plantear una pantalla en blanco pidiendo de forma previa la autorización expresa para la instalación de cookies o no.

La AGPD viene ahora, a través de la Resolución de 14 de enero de 2014, a decirnos que

  • la falta de información previa  la instalación de cookies SÍ es sancionable
  • que la falta de autorización previa a la instalación de cookies NO es sancionable

Así, la forma correcta de plantear el aviso de cookies queda como sigue

Información por capas

La AGPD se reitera en la presentación por capas de la Guía sobre el uso de las cookies publicado por la propia entidad hace ya un tiempo.

Así, se plantea la información en dos capas:

Primera capa: debe contener la siguiente  información mínima

  • Advertencia sobre el uso de cookies no exceptuadas que se instalan al navegar por los sitios web o al utilizar el servicio solicitado.
  • Identificación de las finalidades de las cookies que se instalan, con información sobre si se trata de cookies propias o de terceros.
    • Advertencia, en su caso, de que si se realiza una determinada acción se entenderá que el usuario acepta el uso de las cookies.
    • Un enlace a la segunda capa informativa en la que se indica una información más detallada.

Esta información –manifiesta la propia AGPD– es necesaria para que el usuario conozca el uso de estos dispositivos, su finalidad, los responsables de su utilización y la conducta de la que se inferirá la prestación del consentimiento, así como para que éste pueda obtener información adicional.

Segunda capa: debe contener la siguiente información

  • Definición y función de las cookies
  • Tipo de cookies que utiliza la página web y su finalidad.
    • Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado.
    • Identificación de quienes utilizan las cookies, incluidos los terceros con lo que el editor haya contratado la prestación de un servicio que suponga el uso de cookies.
    • Definición y función de las Cookies

Insiste la AGPD en la necesidad de que la información proporcionada en esta segunda capa sea ‘completa y clara’  e incluya en particular la ‘tipología de las cookies realmente utilizadas’, ‘finalidad de las mismas’ e ‘identidad de quienes instalan y utilizan las cookies

(Falta de) autorización no sancionable

De cumplirse estos requisitos de información, manifiesta la AGPD que se está cumpliendo la exigencia del Art. 22.2 de la LSSI del ‘consentimiento informado’. Y lo más importante, que la vulneración de ese requisito previo del ‘consentimiento informado’ no es sancionable de acuerdo con el Art 38.4.g) LSSI:

“Igualmente, ha quedado probado que el uso de cookies por las mencionadas entidades se lleva a cabo sin mediar el consentimiento informado al que se refiere el artículo 22.2 de la LSSI, aunque la vulneración de este requisito previo a la instalación de cookies no resulta sancionable en virtud de la redacción del artículo 38.4.g)”

Por el contrario, sí afirma en otro apartado de la misma resolución que la falta la información íntegra según el apartado anterior de este post, anula el consentimiento que se hubiera prestado y sería objeto de sanción

En conclusión, que la información completa por capas según se ha mostrado anteriormente en este Blog en la forma y con el  modelo de aviso de cookies de acuerdo con las directrices de la AGPD sugeridas en su momento no es sancionable según la AGPD.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Abril 18, 2012

Inseguridad Jurídica en sanciones a las Web

Archivado en: Comercio Electrónico, Informática — Etiquetas: , , , — legisconsulting @ 11:12

Ya se han tratado antes en este Blog las obligaciones que se tienen al prestar servicios a través de una Web, sea cobrando por ellos o no (Aviso Legal, Condiciones de Servicio, Política de privacidad). Pero resulta evidente que la obligación es efectiva sólo si su incumplimiento implica consecuencias.

Y es de estas consecuencias, de los posibles costes generados por desconocimiento de la ley o por un erróneo planteamiento de la Web, así como de la inseguridad jurídica en las sanciones, de lo que trata este post.

¿Quién pone las multas?

Para la explotación de este ‘filón’ recaudatorio de la administración se ha establecido un régimen sancionador fácil de incumplir y con demasiados órganos con capacidad para sancionar.

Las sanciones podrán ser impuestas

  • por la autoridad que dictó la resolución incumplida,
  • o por el órgano al que estén adscritos los inspectores,
  • o por el órgano correspondiente de consumo de las Comunidades Autónomas,
  • o por el ministro de industria caso de infracciones graves,
  • o por el Secretario de Estado en infracciones y leves,
  • o por la autoridad competente en función de la materia de que se trate,
  • o por la AEPD,
  • ¡… o por varios de ellos!

En teoría no se puede imponer más de una sanción administrativa por los mismos hechos, ¿pero se puede creer realmente que, por ejemplo el responsable de consumo de la provincia de Huelva –donde a pesar de que no preste servicio alguno la Web sí se tiene acceso a la misma– va llamar al Secretario de Estado, a su colega de Pontevedra y a la AEPD antes de imponer la multa para ver si ellos también han sancionado?

Con esta inseguridad en la potestad sancionadora, lo más razonable es intentar evitar las sanciones.

¿De cuánto son las multas?

Las sanciones vienen graduadas por la ley en función de las infracciones, que califica y penaliza la ley de la siguiente forma:

  1. Muy graves: multa de 150.001 hasta 600.000 euros.
  2. Graves, multa de 30.001 hasta 1 50.000 euros.
  3. Leves, multa de hasta 30.000 euros.

Infracciones

1. Leves:

Son infracciones relativas a:

1.1.                    Deberes de información:

  • En su caso, no informar sobre los datos de inscripción en el Registro (10.1b)
  • En caso de que su actividad estuviese sujeta a un régimen de autorización administrativa previa, los datos relativos a dicha autorización y los identificativos del órgano competente encargado de su supervisión.
  • Si ejerce una profesión regulada deberá indicar:
  1. Los datos del Colegio profesional al que, en su caso, pertenezca y número de colegiado.
  2. El título académico oficial o profesional con el que cuente.
  3. El Estado de la Unión Europea o del Espacio Económico Europeo en el que se expidió dicho título y, en su caso, la correspondiente homologación o reconocimiento.
  4. Las normas profesionales aplicables al ejercicio de su profesión y los medios a través de los cuales se puedan conocer, incluidos los electrónicos.
  • El número de identificación fiscal que le corresponda.
  • Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos electrónicamente.

1.2.                    Comunicaciones Comerciales

  • No haber solicitado en la propia Web en la forma correcta la autorización previa para comunicaciones comerciales. Y aún habiéndola obtenido, no Incluir la palabra ‘Publicidad’ ó ‘Publi’ al comienzo del mensaje.
  • Y también contando con la autorización citada, el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación lo incluso aquéllas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en este artículo.
  • Excepción a la autorización previa y expresa citada es que exista una relación contractual previa. Siempre dando la posibilidad, en cada comunicación, de oponerse al tratamiento de sus datos, de tal forma que también se encuadran en este grado de infracciones el ignorar la revocación del consentimiento prestado.

1.3.                    Contrato

En caso de que el servicio sea oneroso, las infracciones tendrán carácter leve si incumplen algunas de las siguientes condiciones

  • No informar, cuando se trate con un consumidor, de las condiciones de celebración del contrato, su archivo y su accesibilidad para este.
  • No confirmar a la contraparte de forma expresa la recepción de la aceptación del contrato.
  • No se incurrirá en infracción y no procederá la sanción cuando el contrato se haya pactado mediante el intercambio de correos electrónicos o cuando entre ambas partes hayan pactado que se necesita y ninguno tenga la condición de consumidor.

1.4.                    Derechos de los destinatarios de los servicios

  • Incumplimiento de las condiciones para el almacenamiento y tratamiento de datos exigidos por la LOPD. Incluido todo lo relacionado con el consentimiento.
  • No disponer de los medios para revocación de tal consentimiento en la forma legal establecida
2. Graves

En su mayor parte se trata de lo que la ley denomina como incumplimiento significativo o bien la comisión habitual o reiterada de las infracciones tipificadas como leves y anteriormente enumeradas.

Aunque sí cabe destacar entre ellas por su especialidad:

  • El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos.
  • No poner a disposición del destinatario del servicio las condiciones generales a que, en su caso, se sujete el contrato, en la forma prevista
  • La resistencia, excusa o negativa a la actuación inspectora de los órganos facultados para llevarla a cabo con arreglo a esta Ley.
3. Muy Graves

Tras la reforma del 2007, tan sólo queda graduada como muy grave la “el incumplimiento de la obligación de suspender la transmisión, el alojamiento de datos, el acceso a la red o la prestación de cualquier otro servicio equivalente de intermediación, cuando un órgano administrativo competente lo ordene”.

El hambre recaudatoria: un coste evitable

Se ha visto, por una parte, que es posible que una Web incompleta o erróneamente planteada genere costes adicionales no previstos y fácilmente evitables, simplemente cumpliendo la ley.

Y por otra parte, basta con navegar un poco para darse cuenta de que es sólo cuestión de tiempo que la administración encuentre un filón recaudatorio hasta ahora ‘infra explotado’ como este.

Una situación que, junto con sobre todo, la inseguridad ante quien ostenta la potestad sancionadora, hacen que la inversión en el asesoramiento profesional para la ‘Legalización’ de la Web sea un pequeño gasto con un gran retorno garantizado.

En Legisconsulting ofrecemos el servicio de ‘Legalización’ de su Web aportando seguridad a su inversión en este complejo y normalmente ignorado tema.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Marzo 21, 2012

La Web de la Sociedad: obligaciones y novedades

Archivado en: Comercio Electrónico, Organización de Empresa, Sociedades — Etiquetas: , , — legisconsulting @ 13:28

Esta semana ha entrado en vigor la última modificación que regula las Web de las Sociedades –entre otras– más extendidas en el mundo del Comercio Electrónico: las Sociedades Anónimas (S.A.), y sobre todo, las Sociedades de Responsabilidad Limitada (S.L.).

Obligaciones y novedades

En un plano práctico establece una serie de novedades interesantes para cualquier sociedad que disponga de una Web:

  • Autoriza a tener una “página web corporativa”. Algo que evidentemente no estaba prohibido con anterioridad, pero al que parece dar una cobertura legal expresa.
  • Se mantiene la obligación de que la creación de la web sea decidida por la Junta General, pero ahora esa obligación se hace más firme por cuanto
    • El punto debe figurar expresamente en la convocatoria de la junta en que se haya de aprobar
    • Y el acuerdo debe ser necesariamente inscrito  en el Registro Mercantil y publicado en el Boletín Oficial, cuando anteriormente se daba la posibilidad de que en lugar del registro, fuera “notificado a todos los socios”.
  • También se mantiene la facultad de los administradores (el órgano de administración) de acordar la supresión o traslado de la Web salvo disposición en contra de los Estatutos. Aunque también se establecen novedades en este punto:
    • Se incluye el término ‘modificación’ de la Web, con lo que los cambios en la Web requerirán las mismas condiciones que su supresión o su traslado.
    • El acuerdo de modificación, traslado o supresión se hará constar en el Registro Mercantil, se publicará en el Boletín Oficial y en la propia Web durante los 30 días siguientes a su adopción.
    • Y además de todos estos trámites, si los estatutos así lo fijan, cualquiera de estos acuerdos deberá ser notificado previa e individualizadamente a cada uno de los socios.
  • Se establece la obligación por parte de la Sociedad de: garantizar “la seguridad de la página web, la autenticidad de los documentos publicados en esa página, así como el acceso gratuito a la misma” . Pero además se exige que se permita la “descarga e impresión de lo insertado en ella”.
  • Y se establece a la responsabilidad directa y solidaria de los administradores entre sí y con la sociedad por los perjuicios causados por la interrupción temporal del acceso a la página.
  • Finalmente autoriza las comunicaciones a los socios por medios electrónicos cuando el socio lo hubiera aceptado expresamente.

Conclusiones

Si bien la posibilidad de comunicar a la sociedad con los socios mediante medios electrónicos parece facilitar la actividad de la sociedad, hay otras disposiciones que no parecen que vayan en esta línea ‘facilitadora’.

Viene a establecer de forma obligatoria nuevas obligaciones formales para la creación, traslado y supresión de la Web al tiempo que establece como novedad las mismas obligaciones para la ‘modificación’ de la misma. Algo que antes no existía y que habrá que esperar en la práctica para ver qué entienden los tribunales por ‘modificación’ a los efectos de la ley.

Y lo mismo se puede decir de la nueva responsabilidad solidaria atribuida a los administradores y la sociedad: habrá que esperar a que los tribunales delimiten en qué consiste el ‘caso fortuito o fuerza mayor’ que según la propia ley exime de tal responsabilidad.

La buena fe del legislador

Aunque sea un mero detalle formal, el legislador parece empezar a tomarse en serio esto de las páginas web y le otorga su propia Sección dentro de la ley cuando antes simplemente lo incluía dentro del apartado de Sucursales. ¿Pero facilita o fomenta su uso?

Parece que hay algún elemento que sí, pero en mi modesta opinión, la exigencia de nuevos requisitos formales no contribuyen a tal labor ni aportan mayor seguridad de la que ya tenían terceros, socios o la propia sociedad.

Entonces ¿esta última modificación legal favorecerá la llamada por algunos la ‘economía digital’ y la presencia de la empresa en la red?.  En principio, no lo parece.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Noviembre 30, 2011

Política de privacidad en las Web

Archivado en: Comercio Electrónico, Emprender, Informática — Etiquetas: , , — legisconsulting @ 11:34

Es necesario delimitar en cada Web, cual es la Política de Privacidad que será de aplicación a usuarios y visitantes de la misma. Y ello aparte de la evidente necesidad de cumplir las disposiciones relativas a Protección de Datos –que ya es–.

Con este fin, el texto incluido en la Web bajo el título de Política de Privacidad, contendrá una serie de elementos que vendrán condicionados por las características y objeto de la misma. De esta forma su contenido dependerá del objeto, las circunstancias o particularidades del servicio que se presta e incluso de las especificaciones técnicas de la misma.

Obviamente no es lo mismo una Web estática que una red social, pero en cualquier caso hay elementos a tener en cuenta.

Cumplimiento de la Ley

En todo caso es conveniente la declaración expresa por parte del prestador del servicio (el titular de la Web) la manifestación de voluntad de cumplimiento de la normativa aplicable.

Esta normativa puede referirse (y mencionarse en el texto), tanto al correcto uso y tratamiento de los datos que se vayan a obtener (LOPD), como a otras normas aplicables a la actividad de que se trate tal como –por ejemplo las de comercio electrónico (LSSI-CE) – a cualquier otra normativa específica que en función del contenido de la Web pueda ser de aplicación .

Aceptación de la Política

Como evidentemente resulta imposible obtener de cada usuario que visite la Web un contrato firmado ante notario en que acepta los términos y condiciones establecidos, lo normal es vincular tal aceptación con la mera  navegación por la página. Y para ello el texto con las condiciones deberá situarse ya en la home.

Es esta la única forma de obtener el fin buscado de obtener una aceptación personalizada e individualizada de cada visitante de la Web. Aunque sea esta una aceptación tácita prestada a través de la mera navegación.

Otros elementos

1.- Registro

Si además se requiriera el registro del usuario para alguna de las funcionalidades de la página se deberá hacer constar en tal caso elementos, entre otros, como

  • la razón de la necesidad de dicho registro,
  • la necesaria condicionalidad de la aceptación para el acceso a dichos servicios,
  • la finalidad que se va a dar a los datos obtenidos,
  • la manifestación de que se han tomado todas las medidas para la protección de dichos datos,
  • el responsable del fichero, los datos legalmente exigidos para hacer posible el ejercicio de los derechos de los usuarios de la web.

Y si bien la referencia a tales datos sí se debe incluir en el texto referido a la Política de Privacidad, el contenido concreto y específico con todos los elementos detallados debería serle proporcionado a cada usuario de forma individualizada al momento del registro haciendo condicionar el registro a la aceptación expresa de las condiciones expuestas en tal momento.

2.- Cookies

En el caso de utilización de cookies, se debería hacer constar su finalidad, así como hacer saber al usuario la facultad y posibilidad que tiene de bloquear dichas cookies a través de su navegador (no todo el mundo tiene tales conocimientos).

Asimismo, y caso de que sean terceros proveedores de servicios de la Web los que pudieran incluir cookies:

  • el titular de la Web debería dejar constancia al usuario de tal posibilidad y de su falta de control tanto de las cookies introducidas por dichos terceros como de la información a través de ellas obtenida ni de la utilización que se haga.
  • Y si ello fuera posible, debería proporcionar al usuario las direcciones donde consultar la política de privacidad de tales terceros (sirva como mero ejemplo por lo extendido las referencias a la Política de Privacidad de Adsense o Analytics)

3.- Información directa prestada a/por terceros

Los usuarios de la Web, registrados o no, puede darse el caso de que intercambien o aporten por sí información a través de la Web. Una información que puede no encajar dentro de los supuestos establecidos para la Privacidad.

Es esta una circunstancia que debería ser contemplada por la Política de Privacidad atendiendo en cada caso a la forma y situación concreta en que tal situación se produzca

Los trajes, a medida

No todos los elementos mencionados en este post ‘encajan’ en todos los casos. Y sin duda existen supuestos no contemplados. Es por ello que es fácilmente deducible que el texto que trate cada Política de Privacidad en cada Web debería estar diseñado expresamente, o al menos adaptados, para ella.

Así que los textos, también mejor a medida

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Noviembre 2, 2011

Aviso Legal en las webs: obligación y contenido

Archivado en: Comercio Electrónico, Emprender, Informática — Etiquetas: , , , — legisconsulting @ 12:02

La presencia y contenido del Aviso legal en las Web es, además de necesario, obligatorio. Y su contenido ‘conveniente’ que sea redactado por un profesional.

Obligatoriedad: ¿Por qué es obligatorio el Aviso Legal?

Pues simplemente porque es la forma más fácil y eficiente de cumplir lo que dice la ley.

Contenido: Qué obligaciones tiene el ‘prestador de servicios’ (el titular de la web)

El ‘prestador de servicios’ –como lo llama la ley– tiene la obligación de “disponer de los medios que permitan, tanto a los destinatarios del servicio como a los órganos competentes, acceder por medios electrónicos, de forma permanente, fácil, directa y gratuita, a la siguiente información” (traducción: tiene que facilitar la siguiente información en todos los casos):

  • Nombre o denominación social.
  • Residencia o domicilio o, en su defecto, la dirección de uno de sus establecimientos permanentes en España.
  • Dirección de correo electrónico y cualquier otro dato que permita establecer con él una comunicación directa y efectiva.
  • En su caso, los datos de su inscripción en el Registro Mercantil.
  • En el caso de que su actividad estuviese sujeta a un régimen de autorización administrativa previa, los datos relativos a dicha autorización y los identificativos del órgano competente encargado de su supervisión.
  • Si ejerce una profesión regulada deberá indicar:
    • Los datos del Colegio profesional y número de colegiado.
    • El título académico y donde se consiguió.
    • Las normas profesionales aplicables al ejercicio de su profesión.
  • El número de identificación fiscal.
  • Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos electrónicamente.

Cómo cumplir con esas obligaciones

“La obligación de facilitar esta información se dará por cumplida si el prestador la incluye en su página o sitio de Internet en las condiciones señaladas en el apartado 1”.

Es decir, incluyendo esa información en el ‘Aviso Legal’

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Mayo 8, 2009

Abogados e Internet

Archivado en: Otros — Etiquetas: , , , , , — legisconsulting @ 12:02

Acabo de descubrir que es más fácil encontrar en Internet a una polaca casada que ha cambiado de nombre después de 15 años que a un abogado que ejerce en España.

¿No me creen?. Pues prueben a introducir el nombre de un abogado en Google y verán que en una amplia mayoría de los casos lo que obtendrán no será nada más que su nombre en algún boletín oficial.

Esta semana, por circunstancias personales que no vienen al caso, he tenido que buscar a compañeros de facultad que en la mayoría de los casos no veía desde el ya lejano año de 1991. Y como me parecía lógico transcurrido tantos años, lo primero ha sido echar mano de Google.

Ya había buscado antes a ex compañeros (extranjeros en su mayoría) de un master en el extranjero y no había sido tan difícil contactar con la mayoría de ellos (incluida la polaca que mencionaba antes). Pero con los abogados en España ha sido imposible.

Sabía –como la mayoría de la población– que los abogados y la tecnología (nueva o vieja) no nos llevamos bien, así que no esperaba encontrar a ninguno en las web 2.0. Pero que tampoco estén en las web 1.0 y que los mejor colocados estén casi en una versión beta de Internet, reconozco que me ha sorprendido.

El sabio Perogrullo dice que el mundo está cambiando a una velocidad nunca vista anteriormente. Existe una realidad nueva al margen del mundo de nuestros padres y nuestros clientes que sí que están en ese mundo.

Este mundo cambiante genera nuevas formas de pensar, y de crear. Nuevos modelos de negocio que genera y necesita de nuevos tipos de contratos más flexibles, abiertos y creativos.

Si los abogados no conocemos y nos adaptamos a ese mundo, no lo entenderemos, ni entenderemos a nuestros clientes, ni entenderemos sus necesidades, no podremos entonces cubrir sus demandas. En conclusión: no haremos bien nuestro trabajo.

Ya he criticado en este blog anteriormente la calidad de los servicios jurídicos que se prestan en España, pero tras mi experiencia de esta semana, creo que esa brecha entre esta calidad y lo que se nos demanda se irá ampliando cada vez más si no nos esforzamos y ponemos remedio.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook