El nuevo régimen de las comunicaciones comerciales online (I): la obligación de información

Como consecuencia de la necesidad de transposición al odenamiento jurídico español de la Directiva europea 2009/136/CE, el pasado sábado 31 de marzo de 2012 se publicó el Real Decreto legislativo 13/2012, por el que se modifican algunos de los artículos de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (conocida como LSSI), en particular, los que se refieren al régimen de las comunicaciones comerciales por Internet, .

Uno de los aspectos afectados por dicha modificación es el relativo a las obligaciones de información que las comunicaciones comerciales online, las ofertas promocionales y los concursos deben necesariamente ofrecer al destinatario de las mismas, y que vienen contempladas en el artículo 20 de la citada LSSI.

En particular, dicha modificación proviene de la Directiva europea 2009/136/CE, en la que se contemplaba la siguiente prohibición a la hora de remitir comunicaciones comerciales a través de Internet:

"Se prohibirá, en cualquier caso, la práctica de enviar mensajes electrónicos con fines de venta directa en los que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación, o que contravengan lo dispuesto en el artículo 6 de la Directiva 2000/31/CE, o que no contengan una dirección válida a la que el destinatario pueda enviar una petición de que se ponga fin a tales comunicaciones o en los que se aliente a los destinatarios a visitar páginas web que contravengan el artículo 6 de la Directiva 2000/31/CE".

 ("In any event, the practice of sending electronic mail for the purposes of direct marketing which disguise or conceal the identity of the sender on whose behalf the communication is made, which contravene Article 6 of Directive 2000/31/EC, which do not have a valid address to which the recipient may send a request that such communications cease or which encourage recipients to visit websites that contravene that Article shall be prohibited").

Foto: Alberto Paredes (@AlbParedesPhoto)

　
　
De este modo, la transposición a la LSSI de la previsión recogida en la Directiva tiene lugar a través de la adición de un nuevo apartado 4 al artículo 20 de la LSSI, que queda redactado de la siguiente manera:

"1. Las comunicaciones comerciales realizadas por vía electrónica deberán ser claramente identificables como tales y la persona física o jurídica en nombre de la cual se realizan también deberá ser claramente identificable.

En el caso en el que tengan lugar a través de correo electrónico u otro medio de comunicación electrónica equivalente incluirán al comienzo del mensaje la palabra ''publicidad'' o la abreviatura ''publi''.

2. En los supuestos de ofertas promocionales, como las que incluyan descuentos, premios y regalos, y de concursos o juegos promocionales, previa la correspondiente autorización, se deberá asegurar, además del cumplimiento de los requisitos establecidos en el apartado anterior y en las normas de ordenación del comercio, que queden claramente identificados como tales y que las condiciones de acceso y, en su caso, de participación sean fácilmente accesibles y se expresen de forma clara e inequívoca.

3. Lo dispuesto en los apartados anteriores se entiende sin perjuicio de lo que dispongan las normativas dictadas por las Comunidades Autónomas con competencias exclusivas sobre consumo, comercio electrónico o publicidad.

4. En todo caso, queda prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación o que contravengan lo dispuesto en este artículo, así como aquellas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en este artículo".

A la vista de lo dispuesto en este nuevo apartado, se observa claramente cómo incluye tres prohibiciones claramente diferenciadas a la hora de realizar envíos de comunicaciones comerciales por vía electrónica. Tales prohibiciones son, en primer lugar, la de "disimular u ocultar" la identidad del remitente. La de infringir las previsiones del propio artículo. Y, en tercer y último lugar, la de enviar comunicaciones comerciales en las que se incite a los destinatarios a visitar páginas de Internet que infrinjan las restricciones contempladas en el artículo 20.

Lo primero que llama la atención de esta modificación es la referencia a que esta prohibición únicamente aplica a comunicaciones comerciales "enviadas". A la vista del precepto de la Directiva del que trae causa, podemos concluir que se refiere, exclusivamente, a un efectivo envío directo y personalizado con fines de venta directa o e-mail marketing, lo que nos lleva a preguntarnos si no hubiese sido más adecuado incluir este nuevo apartado dentro del artículo 21, que tiene por objeto el envío de comunicaciones comerciales por correo electrónico, y no del 20 cuyo redactado parece estar pensado para publicidad en general.

De ser correcta esta conclusión, ¿cuál es, entonces, la diferencia respecto del apartado 1, que exige identificar claramente la persona en nombre de la cual se realizan, con carácter general para todas las comunicaciones comerciales? Parece que ninguna.

En cualquier caso, y sin perjucio de la obligación de identificar claramente a la persona en nombre de la cual se realiza una comunicación comercial que contempla el artículo 20.1, el nuevo apartado 4 prohibe el envío de comunicaciones comerciales en las que se disimule u oculte el remitente por cuenta de quién se efectúa.

Respecto del segundo supuesto, no creo que valga la pena hace comentario alguno, más allá de que el hecho de indicar en un precepto legislativo de carácter sancionador que quedan prohibidas las prácticas que infrinjan las restricciones recogidas en el mismo, es de una calidad legislativa algo precaria, por obvia.

Algo más interesante es la última de las previsiones, cuya inclusión es novedosa, y que califica como ilícita a aquella comunicación comercial que incite a los destinatarios a dirigirse a una tercera página (bien mediante la inclusión de un enlace en la propia comunicación, bien a través de cualquier otra indicación) en la que se contravenga alguna de las previsiones contempladas en ese artículo 20. La dificultad que se antoja en lo que respecta a esta ilicitud radica en la valoración que deberá hacerse de forma casuística respecto de la interpretación de la actividad de "incitar" (la Directiva dice "alentar") a que se refiere ese apartado, y que no pocas dificultades ha traído en otros sectores, como el publicitario. Pensemos que, en la práctica, una incitación exige una actividad mucho más intensa que la simple invitación o recomendación, lo que puede hacer que en la práctica esta figura resulte, finalmente, de aplicación menor a la esperada.

Por último, llegado el caso de haberse superado el primero de los escollos (en forma de "incitación"), deberemos atender al hecho de ver si la página web de destino incumple alguno de los preceptos contemplados en el artículo 20. En este caso, tampoco el artículo nos ofrece una respuesta clara, más allá de aquellos casos en que la comunicación comercial incitara a remitirse a una página web en la que, por ejemplo, se desarrollasen juegos sin la debida autorización (aspecto éste que ya viene sancionado por la Ley del Juego), o se ofreciesen promociones sin las correspondientes condiciones de participación (aspecto éste ya recogido en el Texto Refundido de la Ley General de Consumidores y Usuarios).

Así pues, sintiéndolo mucho, no le auguro una aplicación masiva a esta previsión, a lo que hay que añadir los habituales problemas de extraterritorialidad derivados del envío de este tipo de comunicaciones desde terceros países.

La publicidad comportamental online: el libro

Posiblemente estamos ante una de las más poderosas herramientas de marketing que se han desarrollado en el mundo online, y que con toda seguridad marcará un antes y después en el mundo de la publicidad en Internet. Por ello es, precisamente, el momento propicio para analizar y comprender su potencial, como paso previo a lograr una regulación adecuada de dicha figura.

Las implicaciones comerciales que tiene la figura de la publicidad comportamental son inmensas, como también lo son las implicaciones jurídicas. Efectivamente, estamos ante una técnica que permite rastrear la navegación de los usuarios durante un periodo de tiempo indefinido, y extraer, gracias al análisis de esos datos, una segmentación de perfiles en base a los cuales poder predecir los gustos e intereses de un concreto navegador (e, indirectamente, de su usuario). Se trata, pues, del origen de una publicidad mucho más interesante para su destinatario y, por tanto, más eficaz. Es el sueño de todo anunciante: una publicidad cuasi personalizada.

El equivalente en el mundo off-line sería aquel en el que una persona nos fuese siguiendo noche y día, tomando nota de que periódicos leemos, dónde trabajamos, en qué escaparates nos paramos, qué coche tenemos...y al cabo de unas semanas enviarnos publicidad relacionada con nuestros hábitos.

Si logramos que el contenido del anuncio que recibe el destinatario durante su navegación le interese, las discusiones acerca de la relevancia del formato pasarán a un segundo plano, aunque no por eso dejará de ser, en cierta manera, importante a la hora de captar la atención del usuario y, por ende, mayor será la posibilidad de influir en su fase de deliberatio; esto es, en la toma de decisión de compra del consumidor.

Me gustó mucho un artículo de opinión publicado recientemente en prensa que, aún a pesar de pasar bastante inadvertido, decía acertadamente que "un anuncio en la red es, casi siempre, un estorbo insufrible que querremos esquivar".

Pero, aún así, nos esforzamos constantemente en tratar de comunicar lo contrario, alabando los incrementos de cifras de inversión publicitaria en Internet y repitiendo lo importante que son los anuncios para sostener el desarrollo de Internet y sufragar la gratuidad de los servicios ofrecidos a través de él, cosa esta última que -por otro lado- también tiene una gran parte de verdad.

Originariamente, la publicidad en Internet había sido masiva e indiscriminada. ¿Qué hombre no recuerda aquellos correos electrónicos en los que se nos promocionaban compresas y otros tipos de productos relacionados con la higiene íntima de la mujer? Poco a poco se fue acercando cada vez más a la realidad del consumidor destinatario de la misma, gracias a la posibilidad, entre otras, de poder segmentar por perfiles de usuario a grupos de personas diferenciándolas por diferentes aspectos. Hasta llegar a un punto en el que nos hemos dado cuenta de que la publicidad es cada vez más oportuna. Incluso, a veces, hasta nos persigue. Y eso nos demuestra que nos están observando. Y lo hacen, sencillamente, porque nuestra información personal es tremendamente valiosa para los anunciantes.

En este caso, no me importa cuán valiosa pueda ser, ni cuánto vale en el mercado mi dirección o el nombre de mis amigos del colegio. De lo que estamos hablando es de la necesidad de poner límites y de proteger la privacidad de esa información, garantizando -por lo menos- el derecho del afectado a conocer que está siendo observado, quién rastrea nuestra navegación y qué quieren hacer con esa información, al fin de que -como mínimo- se le ofrezca la oportunidad de oponerse a la intrusión que supone que un desconocido instale cookies en mi ordenador para recabar información sobre mis gustos, intereses, deseos, costumbres, o -porqué no- vicios o problemas.

De ahí que estemos en un momento clave en la regulación de lo que hemos denominado como "publicidad comportamental" y que consiste, precisamente, en lograr conocer -gracias al uso de la tecnología- qué quiere o qué necesita el usuario de Internet, para así poder ir mostrándole los anuncios adecuados a lo largo de las páginas web que vaya visitando durante su sesión de navegación.

Bien es cierto que la tecnología avanza a una gran rapidez, y que las previsiones normativas no pueden seguir ese ritmo. De hecho, en lo que respecta a la cookies, su regulación en la LSSI ha sido objeto de modificación por el Real decreto-ley 13/2012, por el que se transponen a nuestro ordenamiento interno -entre otras-  la Directiva 2009/136/CE (e-Directiva) a través de la modificación de la Ley General de Telecomunicaciones, tal y como avanzó el Consejo de Ministros del viernes 30 de marzo, y cuyo plazo de transposición había expirado el pasado 25 de mayo de 2011.

Sin embargo, la nueva regulación no ofrece, con la claridad que merecen los usuarios, hasta qué punto y con qué finalidades pueden ser utilizadas lícitamente las cookies por parte de una industria ávida por conocernos más y mejor, para poder -así- vendernos cada vez más productos.

En efecto, la nueva redacción del artículo 22.2 de la LSSI, que respeta la que en su día se propuso en el borrador de anteproyecto de modificación de la Ley General de Telecomunicaciones, dice lo siguiente:

"2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento de recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lso dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario".

Como puede observarse, la nueva redacción varía sustancialmente respecto de la antigua redacción del artículo 22.2 de la LSSI, pero sin que se haya establecido un criterio claro acerca de la necesidad de un consentimiento previo del usuario afectado, más o menos informado. El texto que ahora se sustituye por la nueva redacción era del siguiente tenor literal:

"Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales, informarán a los destinatarios de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de los datos mediante un procedimieno sencillo y gratuito. Lo anterior no impedirá el posible almacenamiento o acceso a datos con el fin de efectuar o facilitar técnicamente la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario".

Fruto de mi investigación sobre los orígenes y el desarrollo de la aplicación de la tecnología de cookies a la industria publicitaria, he publicado el libro titulado "la publicidad comportamental online", en la que analizo con mayor detalle cuál es la situación presente y futura de la regulación, tanto legal como deontológica, de esta actividad y de cuál es el camino que parece va a seguir en el futuro. Os invito a leerlo y a reflexionar sobre el tema.

El futuro de la privacidad y su regulación a nivel mundial

En fecha 19 de marzo de 2012 se celebró -simultáneamente en Bruselas y en Washington- la Conferencia Europea sobre Privacidad y Protección de Datos Personales, en la cual los representantes de la Unión Europa (entre otros la Vicepresidente de la Comisión Europea Viviane Reding), y de los Estados Unidos (entre los que se encontraban el Secretario de Comercio John Brison y la Comisaria de la Federal Trade Commission, Julie Brill), pusieron en común sus posturas en relación a cuál debe ser el futuro de la regulación de la privacidad y cómo afectará dicha regulación a las relaciones entre ambos continentes.

El momento histórico de dicho encuentro no podía ser más acertado, como lo demuestra el hecho de que, de un lado la Unión Europea hiciese público -en fecha 25 de enero de 2012- un borrador de propuesta de Reglamento sobre protección de datos de carácter personal, a través del cual se ofreciese una regulación unitaria a dicha materia para todo el territorio comunitario. Mientras que, de otro lado, el 23 de febrero de 2012 los Estados Unidos desvelaron su nueva política de privacidad, que tiene igualmente por objeto el de lograr una regulación completa y, asimismo, unificada para todo el territorio norteamericano en aspectos relacionados con los derechos de los usuarios de Internet y la protección de su privacidad online.

Foto Alberto Paredes (@AlbParedesPhoto)

No hay duda de que la situación óptima, en lo que se refiere a la regulación de la privacidad de los usuarios y la protección de sus datos personales, pasa por lograr un consenso lo más amplio posible entre los distintos estados y territorios del planeta. En efecto, la extraterritorialidad de las normas se ha convertido en unos de los mayores lastres al desarrollo de Internet. De este modo, los principales agentes y algunas de las mayores plataformas de Internet se han amparado en las normas que rigen en su lugar de origen para evitar tener que cumplir las normas de protección de los consumidores de aquellos territorios a los que, efectivamente, dirigían sus servicios. Y esta situación, si bien situaba a dichos agentes en una posición ventajosa de efectiva impunidad en la práctica, lo que en definitiva ha conseguido es potenciar, hasta llegar a niveles preocupantes y peligrosos para el desarrollo del comercio electrónico, el grado de desconfianza del usuario en el propio sistema. Y el comercio electrónico, sin la confianza de los usuarios, no puede sostenerse.

Con este encuentro bilateral se consigue poner sobre la mesa el mútuo compromiso tanto de la Unión Europea como de los Estados Unidos a la hora de enfocar las correspondientes reformas de sus respectivos sistemas de protección de la privacidad, así como el interés de ambas partes para lograr una regulación basada en similares principios y que, además, ofrezca herramientas eficaces a la hora de hacer cumplir las respectivas normas en un escenario de interoperabilidad y cooperación.

El reto es ambicioso e ilusionante. Imaginemos un escenario donde todos los países que componen la Unión Europea se vean sometidos a una misma regulación sobre protección de datos personales. De un lado, ello otorgaría de una amplia seguridad jurídica a los estados miembros que la compongan, pues todos dispondrían de una única y homogenea regulación. Y, de otro lado, aquellas plataformas y otros servicios originarios de Estados Unidos pero con interés en implantarse en el mercado comunitario, sabrían que existe una regulación estándar, consistente y unificada en todo el entorno europeo, lo que les permitiría cumplir, de un modo sencillo, la normativa europea relativa a esta materia, y no 27 diferentes regulaciones, lo que hasta el momento ha sido un claro obstáculo a estos efectos.

Creo que resulta enormemente representativa la nota de prensa publicada desde la Comisión Europea en relación al encuentro de hoy:

"Both parties are committed to working together and with other international partners to create mutual recognition frameworks that protect privacy. Both parties consider that standards in the area of personal data protection should facilitate the free flow of information, goods and services across borders. Both parties recognize that while regulatory regimes may differ between the US and Europe, the common principles at the heart of both systems, now re-affirmed by the developments in the US, provide a basis for advancing their dialog to resolve shared privacy challenges. This mutual interest shows there is added value for the enhanced EU-U.S.-dialogue launched with today's data protection conference".

De un lado, el acuerdo de puerto seguro suscrito entre la Unión Europa y los Estados Unidos (safe harbour) para operaciones comerciales, parece haber sido la semilla que ha permitido llegar a este acuerdo de colaboración futura, gracias al cual se pueden acercar las normativas europea y norteamericana en materia de protección de datos personales.

Por otro lado, la experiencia de la Federal Trade Commission norteamericana en los aspectos relacionados a hacer cumplir la normativa en materia de privacidad en el medio online, es innegable. La resolución de los conflictos con Facebook y con Google relacionadas con sus políticas de privacidad y el uso de los datos de sus usuarios, y su sometimiento a una auditoría independiente (con las dudas que siempre plantea el concepto "independiente") han sido tremendamente relevantes en el desarrollo de Internet en general y el comercio electrónico en particular.

Así pues, en aras de lograr esta necesaria cooperación internacional de exigencia de cumplimiento de las normas relativas a la privacidad, el organismo norteamericano se compromete a colaborar para lograr una efectiva interoperabilidad normativa al objeto de conseguir una vía efectiva de protección cuando usuarios europeos utilicen plataformas norteamericanas o servicios ofrecidos por ellas, partiendo de la positiva experiencia obtenida -a su juicio- con el desarrollo de códigos de conducta vinculantes tales como el Global Privacy Enforcement Network (GPEN) o con la Cross-border Privacy Enforcement Arrangement (APEC), en virtud de los cuales se podía lograr una adecuada protección legal transfronteriza en materia de privacidad.

En el caso que ahora nos ocupa, la postura con la que concluye la FTC es la siguiente:

"The privacy frameworks being developed in both the US and the EU feature codes of conduct for industry to follow. As a 20-year plus veteran of law enforcement, my instinctual reaction to codes of conduct is this: meaningful enforcement mechanisms are critical in order for a code of conduct to be worth the paper it is written on, or the screen or smartphone you’re reading it on".

A la vista de las declaraciones de ambas partes, no queda duda de las buenas intenciones que manifiestan en cuanto al fondo del asunto. Ahora queda lograr que se pongan de acuerdo en la forma. Pero desde luego que, si lo consiguen, el panorama legal en Internet va a sufrir un importante y positivo cambio.