lunes, 28 de noviembre de 2016

¿Realmente cambiará el Consentimiento el Reglamento Europeo?

En el Blog de Enatic que publica el Consejo General de la Abogacía Española han publicado mi último post, que expone una serie de reflexiones sobre el Consentimiento en el nuevo marco jurídico que rige con la aprobación del Reglamento Europeo de Protección de Datos (Reglamento (UE) 2016/679). 

Me atrevo a plantear, y a la espera de nuevas normas (como la Directiva de ePrivacidad) que pueden alterar estas conclusiones, que el régimen jurídico del consentimiento no varía sustancialmente, excepto en lo referente a la desaparición del denominado "consentimiento tácito". 

El enlace al post:

viernes, 18 de noviembre de 2016

Opinion of the European Supervisor on the ePrivacy Directive to come, related to the Advertising Bussiness

In this context of legal uncertainty, and due to the frenetic legislative activity that the European institutions are lately developing, one of those legal frameworks that is about to change: the ePrivacy Directive (Directive 2002/58/EC on privacy and electronic communications) that aims to update the provisions about cookies and commercial electronic communications.

This “updated” ePrivacy Directive is expected to be approved by January 2017.

On July 15th, the preliminary Opinion of the European Data Protection Supervisor (EDPS) on the review of the ePrivacy Directive was published, in response to a request of the European Commission. This Opinion is not binding, but it is foreseeable the legislator will take it into consideration and try to comply with it. 

This is a summary of the main points that could affect the Digital Advertising Businesses resulting from this Opinion that will, presumably, become the guidelines of the new ePrivacy Directive that should pass during next months. The European General Data Protection Regulation (Regulation EU 2016/679) has already been approved on April 2016, and both regulations will be, simultaneously, enforceable and relevant to the advertising businesses; the GDPR regulating all privacy issues and the new ePrivacy Directive protecting the fundamental “rights to the confidentiality of communications”.


(1) Main principle.

The main principle is that no communications should be subject to tracking and monitoring without freely given consent. Users must also have user-friendly and effective mechanisms to provide and revoke their consent within the browser (or other software / operating system).

Once said this, it is reminded that the current Directive already requires prior consent for storage and for accessing stored information on terminal equipments, and the EDPS claims this protection level must be, at least, preserved. 

In general terms, the current regulations protect the integrity of the users’ devices against all kinds of unauthorised manipulations (and attacks). At the same time, the EDPS claims users should be given real control on the use of cookies and similar tools. This includes in particular the choice of device and its features, its further enhancements with additional components and software and the configuration of any features that concern the operation of the device. This must also include the right to choose which elements of third party content are executed and block the others, for example scripts that launch interactions between the user device and ad-exchanges or other similar servers.

(2) Freely given consent.

As a key principle, the Opinion stands that consent must be freely given. 

Until now, consent mechanisms have been developed by businesses and other organizations with the objective of meeting the minimum legal requirements for compliance under the ePrivacy Directive, but failing to give users a genuine choice regarding what is happening to their data. The EDPS uses the example of the “cookie-wall”, where the user is obliged to provide its consent for cookies in order to access the sought service, including third-party tracking cookies, which are likely not necessary to the performance of the service concerned. 

Considering the operators and markets have not implement this real freedom of choice for individuals, the EDPS recommends that legislators consider a complete or at least a partial ban on the so-called “cookie walls”.

(i)             In case of a complete ban on cookie walls, the new provisions on ePrivacy should provide that no one shall be denied access to any information society services (whether these services are remunerated or not) on grounds that he or she has not given his or her consent.
(ii)            As an alternative, In case of a partial ban, the new regulations could provide a non-exhaustive list of situations where a choice will not be considered as freely given. One of the situations EDPS displays:  <<situations where a website or app auctions its advertising space and unknown third parties may track and monitor users through the website or app>>; The EDPS also includes <<Bundled consent for multiple purposes (e.g. where consent for marketing and for value added services cannot be given/withheld separately). >>

The EDPS recommends that the new provisions for ePrivacy further provide that irrespective of the market power of the service provider, it must (i) either provide a choice whether or not to provide consent to processing data not necessary for the provision of the service without any detriment, (ii) or at least, make available a paying service at a reasonable price (without behavioural advertising and collection of data), as an alternative to the services paid by users' personal information. 

(3) Mechanisms for providing and revoking consent.

Finally, the EDPS emphasizes that users must have user-friendly and effective mechanisms to provide and revoke their consent that could be expressed by using the appropriate settings of a browser or another application. 

This means that instead of merely relying on website operators to obtain consent on behalf of third parties (such as advertising and social networks), the new ePrivacy can require that browsers and other software or operating systems offer control tools within the browser (or other software or operating system) such as Do Not Track (DNT), or other technical means that allow users to easily express their consent or lack thereof. 

Such tools must be offered to the user at the initial set-up with privacy-friendly default settings. Adherence to accepted technical and policy compliance standards by all parties concerned, including the operators of the website, should become mandatory.


The EDPS highlights that the current protection level on unsolicited commercial communications should be maintained and the new ePrivacy Directive should <<protect against unsolicited communications and should be updated and strengthened, requiring prior consent of recipients for all types of unsolicited electronic communications, independent of the means.>>

The Directive should include prior consent for all types (email, text, direct-messaging, voice or video calls) of unsolicited electronic communications, and behavioral advertisement. 

And not only this, the EDPS proposes as an example of a forbidden practice, asking for bundled consent for multiple purposes(e.g. where consent for marketing and for value added services cannot be given / withheld separately).

On the other hand, the EDPS proposes to clarify the existing exception for the prior consent, (the existing relationship with the user and similar products and services).


The ePrivacy Directive has not been approved yet, and during this time, local regulations will apply in every european country, at least until 2017. 
Any interpretation of the provisions of the Directive will need to be done in accordance with the European General Data Protection Regulation. 
There is a conclusion that infers from the reading of the European Supervisor’s Opinion; the legal framework that regulates the digital marketing is getting harder, specifically on what is related to the individual consent, monitoring and behavioral advertising. 

viernes, 24 de abril de 2015

Reflexión sobre las TIC en la Ley de Sociedades de Capital

En el Blog de ENATIC, en Abogacía española me publican un post sobre el impacto de las Tecnologías de la Información y Comunicación en la actual regulación societaria, específicamente en la Ley de Sociedades de Capital.

Éste es el enlace:

Reflexión sobre las TIC en la Ley de Sociedades de Capital

viernes, 29 de noviembre de 2013

(3) El Proyecto de Ley General de Telecomunicaciones inventa una responsabilidad in vigilando de las redes publicitarias.

El sector del marketing digital, una vez más, en el “ojo del huracán”. 

Con este post termino mis reflexiones y críticas a las modificaciones que propone en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico el Proyecto de Ley General de Telecomunicaciones a través de su Disposición Final Segunda.

Una de las modificaciones más sangrantes consiste en la creación de un régimen de corresponsabilidad para las agencias o redes publicitarias, a través del artículo 37.
<< Cinco. El artículo 37 queda redactado como sigue:
«Artículo 37. Responsables. Los prestadores de servicios de la sociedad de la información están sujetos al régimen sancionador establecido en este título cuando la presente Ley les sea de aplicación.
Cuando las infracciones previstas en el artículo 38.3 i) y 38.4 g) se deban a la instalación de dispositivos de almacenamiento y recuperación de la información como consecuencia de la venta por parte del editor o prestador del servicio de la sociedad de la información de espacios propios para mostrar publicidad, será responsable de la infracción, además del editor o prestador del servicio de la sociedad de la información, la red publicitaria o agente que coloque anuncios en dichos espacios en caso de no haber adoptado medidas para exigir al editor o servicio de la sociedad de la información el cumplimiento de los deberes de información y la obtención del consentimiento del usuario

La redacción de este artículo no proviene de un precepto literal recogido en la Directiva 2009/136/CE, sino en la facultad que la misma delega en la potestad soberana de establecer un régimen sancionador o de responsabilidades agravadas en el escenario normativo nacional, para promover el cumplimiento de los valores y previsiones recogidas en la misma. La facultad expresa para el establecimiento de normas especificas sobre las sanciones aplicables a los proveedores de servicios de comunicaciones electrónicas que contribuyan, por su negligencia, a la comisión de infracciones está recogida en el artículo 13.5 de la Directiva, sección dirigida a las “Comunicaciones No Solicitadas” y no así a las llamadas “cookies”, que se recogen en el artículo 5. Por lo tanto, la sujeción de los intermediarios como corresponsables de la infracción debería ser, en aras de una sana competencia del mercado español con respecto al europeo, cuando menos, revisada.

Sería razonable la proposición de una obligación de colaboración de las redes publicitarias o agencias, así como de otros actores que participen en la comercialización de la publicidad en Internet, no así el establecimiento de un régimen de corresponsabilidad sancionable. 

Por otro lado, este artículo viene a penalizar la utilización de las cookies publicitarias, y al sector del marketing digital en especial, sobre cualquier otra cookie o dispositivo existente en el mercado, y cuya finalidad puede ser tan legítima como la cookie publicitaria (recordemos que la Directiva 2009/136/CE establece en su Exponendo (66) y (65) la legitimidad de algunas cookies frente a los virus o programas espía transfronterizos).

Deja fuera de su redacción muchos actores que intervienen en la comercialización publicitaria, al limitar las responsabilidades a las redes publicitarias y agencias, como por ejemplo, las plataformas de compra programática que comercializan el espacio publicitario de los Editores o las Webs, y que instalan cookies a través de las mismas.

De hecho, es muy poco frecuente que las redes publicitarias o agencias comercialicen la totalidad de los espacios publicitarios de los soportes con carácter exclusivo (por lo que la redacción propuesta permite deducir el desconocimiento del legislador del actual ecosistema publicitario en Internet). Resultaría injusto que los meros comercializadores de una parte del inventario publicitario respondieran por las infracciones de los soportes o editores del cumplimiento del artículo 22.2 cuando no instalan la totalidad de las cookies de una Web.

Cabe destacar que la Memoria de Impacto Normativo sobre el Anteproyecto de Ley General de Telecomunicaciones dictada por la Comisión Nacional de la Competencia hizo una referencia a este precepto, haciendo hincapié en que “se plasman, así, en la ley las obligaciones que la instalación de “cookies de terceros” conlleva para las redes publicitarias que son quienes las colocan en los equipos de los usuarios”. No deja de llamar la atención la reiteración de esta afirmación: las cookies analíticas, por ejemplo, no provienen de las redes publicitarias.

Y la redacción final que aquí se analiza en ningún caso distingue ni menciona concretamente la instalación o utilización de cookies de terceros.

Por último, la obligación de “exigir” al editor o soporte el cumplimiento de los deberes de información y la obtención del consentimiento del usuario convierte a estos sujetos en garantes del cumplimiento normativo de terceros, debiendo además valorar si los parámetros decididos por el Editor para garantizar la información y consentimiento del usuario final son los adecuados y se ajustan al criterio del legislador.

Como matiz final, destáquese que la redacción actual habla de dispositivos de almacenamiento y recuperación de datos; esta redacción deja fuera los ID de tracking o seguimiento de usuarios, los browser fingerprint (  o cualquier otra tecnología que obtenga información de sesiones de navegación o usuarios que no impliquen la instalación de cookies en el terminal del usuario.

Huelga decir que mi conclusión es que con la redacción propuesta del artículo 37 (i) algunos intervinientes en la comercialización publicitaria son discriminados con respecto a otros; (ii) España pretende imponer barreras al desarrollo del negocio digital que en otros países no se establecen; (iii) el carácter transfronterizo de Internet no se tiene en consideración; (iv) la tecnología, por delante del Derecho, ya ha creado medios para “saltarse” las obligaciones recogidas y (v) no se protegen los derechos de los usuarios con eficiencia. 

lunes, 11 de noviembre de 2013

(2) ¿Cómo propone modificar el régimen sancionador en materia de #Cookies, la Reforma de la Ley General de Telecomunicaciones?

Propuesta de modificación del artículo 38.3.i) de la Ley 34/2002.

Como ya indicaba en mi anterior post, el pasado 27 de septiembre se publicó en el Boletín Oficial de las Cortes Generales el Proyecto de Ley General de Telecomunicaciones. Si esta reforma se aprueba en los términos actualmente propuestos, modificará, a través de su Disposición Final Segunda,  la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.

Entre otros artículos se propone la modificación de artículo 38.3.i):
Siete. El apartado 3 i) del artículo 38 queda redactado como sigue:
«i) Ignorar deliberada y continuamente la voluntad manifestada por el destinatario para que no se instalen en su equipo terminal dispositivos de almacenamiento y recuperación de datos o seguir tratando los datos recabados después de que haya revocado su consentimiento.»

(1) Incongruencia entre el precepto normativo y el precepto infractor.

La infracción contenida en el artículo 38.3.i) propuesto recoge una vulneración del artículo 22.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información y comercio electrónico con carácter agravado, conferido por la actuación dolosa requerida al prestador, que deberá vulnerar el consentimiento del destinatario o usuario que no acepte la instalación de cookies en su dispositivo o terminal. Sin embargo cabe hacer una consideración de “correspondencia jurídica”.

El citado artículo 22.2 estipula que <<los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.>>

Sin embargo, la infracción recogida en el artículo 38.3.i) propuesto consiste en ignorar la voluntad del destinatario para que “no se instalen” estos dispositivos en su terminal, no siendo la “instalación” objeto de información o consentimiento requeridos por la redacción del artículo 22.2.

(2) La redacción del artículo 38.3.i) tipifica una conducta que no exige la norma en su parte normativa.

La redacción del artículo 5.3 de la Directiva 2009/136/CE es la siguiente: «3. Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario».

En la redacción de la Directiva la información debería ser facilitada bien para el almacenamiento de información, bien para el acceso a la información almacenada. En la redacción del artículo 22.2 de la Ley 34/2002 no se recoge la misma obligación, dado que el consentimiento del usuario o destinatario deberá conferirse para la utilización de la información almacenada, y no para su instalación en el terminal.

Por lo tanto, la redacción del artículo 38.3.i) tipifica una conducta que no exige la norma en su parte normativa.

(3) ¿No era más conveniente separar los requerimientos y exigencias normativas – y, por ende, las sancionadoras – en función de los fines de la información accedida o almacenada?

Por último, el legislador no debe olvidar el espíritu que promulga la Directiva en su Exponendo (66) que recoge: << Puede que haya terceros que deseen almacenar información sobre el equipo de un usuario o acceder a información ya almacenada, con distintos fines, que van desde los fines legítimos (como algunos tipos de cookies) hasta aquellos que suponen una intrusión injustificada en la esfera privada (como los programas espía o los virus). Resulta, por tanto, capital que los usuarios reciban una información clara y completa cuando realicen una acción que pueda dar lugar a dicho almacenamiento u obtención de acceso. El modo en que se facilite la información y se ofrezca el derecho de negativa debe ser el más sencillo posible para el usuario. Las excepciones a la obligación de facilitar información y proponer el derecho de negativa deben limitarse a aquellas situaciones en las que el almacenamiento técnico o el acceso sean estrictamente necesarios con el fin legítimo de permitir el uso de un servicio específico solicitado específicamente por el abonado o usuario. Cuando sea técnicamente posible y eficaz, de conformidad con las disposiciones pertinentes de la Directiva 95/46/CE, el consentimiento del usuario para aceptar el tratamiento de los datos puede facilitarse mediante el uso de los parámetros adecuados del navegador o de otra aplicación. La aplicación de estos requisitos debe ganar en eficacia gracias a las competencias reforzadas concedidas a las autoridades nacionales.>>

De la lectura del Exponendo de la Directiva, puede concluirse que el establecimiento de un régimen de información y consentimiento que garantice los derechos del usuario no necesariamente debe contener las mismas restricciones en todos los casos. Nótese que cita las “cookies” como fines legítimos, en contraposición con otros fines en la utilización o tratamiento de la información de los dispositivos del usuario.

Es importante recalcar que la regulación española no ha segmentado el tipo de información ni la finalidad de la misma en términos de cumplimiento normativo para las entidades ni como agravante en el régimen sancionador. Teniendo en cuenta que toda información que pueda almacenarse o utilizarse según el legislador español debe cumplir el mismo régimen, debería ser cuidadoso a la hora de establecer el rango sancionador independientemente del elemento subjetivo.

miércoles, 6 de noviembre de 2013

(1) ¿Cómo propone modificar la Reforma de la Ley General de Telecomunicaciones el régimen sancionador del “spam”?

Redacción propuesta para el hecho infractor del artículo 38.3.c) de la Ley 34/2002.

El pasado 27 de septiembre se publicó en el Boletín Oficial de las Cortes Generales el Proyecto de Ley General de Telecomunicaciones. Si esta reforma se aprueba en los términos actualmente propuestos, modificará, a través de su Disposición Final Segunda,  la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.

Entre otros artículos se propone la modificación de artículo 38.3.c):
Seis. El apartado 3 c) del artículo 38 queda redactado como sigue:
«c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente, o su envío insistente o sistemático a un mismo destinatario del servicio cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.»

Esta propuesta genera, al menos, las siguientes reflexiones:

1.- El análisis de los apartados 1 al 6 del artículo 13 de la Directiva 2009/136/CE establece que los Estados Miembro tomarán las medidas adecuadas para garantizar que no se permitan las comunicaciones no solicitadas con fines de venta directa en casos que no sean los exceptuados, bien sin el consentimiento del abonado o usuario, bien respecto de los abonados o usuarios que no deseen recibirlas.

Ahora bien, la Directiva 2009/136/CE establece la posibilidad del Estado Miembro de elegir una de las modalidades, con carácter gratuito para el destinatario o abonado. España ha optado por aplicar la protección del usuario a través de la implantación de las dos posibilidades propuestas en el artículo 13.3 de la Directiva 2009/13/CE.

Esto deriva en una doble tipificación del mismo hecho:
  1. El incumplimiento del artículo 21 debería consistir en realizar envíos que (a) no formen parte de la excepción recogida en el 21.2 en materia de consentimiento de clientes con una relación contractual previa, (b) no lleven la identificación adecuada del remitente, (b) no provean al destinatario de un procedimiento sencillo o gratuito para oponerse al tratamiento de los envíos de carácter comercial.
  2. El incumplimiento del artículo 22.1 ya figura en el vigente artículo 38.3.d) que lo sanciona: <<d) El incumplimiento significativo de la obligación del prestador de servicios establecida en el apartado 1 del artículo 22, en relación con los procedimientos para revocar el consentimiento prestado por los destinatarios.>>
  3. Por lo tanto, la nueva redacción del artículo 38.3. c) en su hecho tipificable segundo, es una duplicidad de la infracción tipificada en el vigente artículo 38.3.d).

2.- La Directiva 2009/136/CE recalca en sus Considerandos (68), (69) y (70) la voluntad y espíritu de la norma de luchar contra la práctica del “spam” en el sentido de aquellas entidades que, vulnerando los requerimientos y salvaguardas de la protección de la privacidad e intimidad de los usuarios, tratan de vulnerar estos derechos además para obtener rédito económico.

De ahí que el hecho considerado sancionable en el artículo 38.3.c) entendido como “envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación equivalente cuando en dichos servicios no se cumplan los requisitos establecidos en el artículo 21” pueda considerarse englobado en el espíritu de la lucha contra el spam.

Pero el concepto de “o su envío insistente o sistemático a un mismo destinatario” que viene a sustituir la redacción actual del <<envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21>> ya se protege por el actual precepto 38.3. d), aumentando sobre éste la arbitrariedad del órgano llamado a interpretar la comisión del hecho y, por consiguiente, la imposición de la sanción.

Además, el término “sistemático”, definido por la Real Academia Española como <<Que sigue o se ajusta a un sistema>> permitiría ampliar la interpretación de la conducta tipificable a conductas programadas o con una organización “técnica” o “lógica”. 

Imaginemos un supuesto donde el remitente del “envío de la comunicación comercial” procede a un envío incluyendo una dirección electrónica válida con un error tipográfico. Esta redacción propuesta podría concluir en la calificación de “sistemático” de un solo envío a un solo destinatario, por haber sido programado o enviado a través de sistemas automatizados, siendo por lo tanto considerado como hecho infractor en función de la redacción propuesta para este artículo 38.3.c), y calificado por lo tanto como “grave”.

De hecho, de esta redacción no cabe una consideración contundente de la tipificación como graves de aquéllos hechos infractores que vulneran los derechos generales de los usuarios o destinatarios, por contraposición de aquellos que vulneren el derecho de un solo consumidor o usuario, que debería, por la medida del daño causado, ser considerado en su grado inferior, como leve.