Novedades legislativas: obligaciones en marketing directo y cookies

El pasado 2 de abril de 2012 entró en vigor la última modificación de la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (conocida como LSSI), fruto de la publicación de un Real Decreto-ley por el que se transpone –entre otras- la directiva europea sobre protección de la intimidad en las comunicaciones electrónicas (Directiva 2009/136/CE).

A efectos prácticos, algunas de las modificaciones establecidas por dicha norma consisten en la previsión de nuevas obligaciones que deberemos tener presentes a la hora de llevar a cabo actividades publicitarias y promocionales a través de ese medio.

La primera de las novedades establecidas afecta al artículo 20 de la LSSI, que es el relativo a la información que debe ofrecerse al usuario sobre las comunicaciones comerciales que se le remiten por vía electrónica. En este caso, tal modificación consiste en la inclusión de un nuevo apartado 4, con el siguiente tenor literal: “En todo caso, queda prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación o que contravengan lo dispuesto en este artículo, así como aquéllas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en este artículo”.

Esto es, se añade una nueva prohibición a la hora de realizar actividades de marketing directo, que sanciona aquella práctica en la que la comunicación comercial electrónica que se envíe, disimule u oculte la identidad del responsable de la publicidad. Es decir, queda prohibido enviar correos electrónicos con fines de venta directa sin revelar con claridad quién es el anunciante o, por lo menos, la persona por cuenta de quien se efectúa esa comunicación, en el caso de que sean distintos. Asimismo, tal prohibición alcanza a un eventual envío de comunicaciones comerciales por vía electrónica en la que se incite al destinatario a visitar páginas en las que se infrinja lo dispuesto en ese artículo.

La segunda de las novedades introducidas por esta modificación normativa afecta al artículo 21.2 de la LSSI, que es el artículo que regula el spam, y cuyo párrafo segundo se refiere a la excepción por la cual únicamente se permite el envío de comunicaciones comerciales electrónicas sin el consentimiento del destinatario cuando éste sea un antiguo cliente y se cumplan, además, las condiciones exigidas en ese artículo. En particular, dicho párrafo segundo señala que “en todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija”.

En este caso, la novedad consiste en la inclusión de un nuevo párrafo tercero a dicho artículo, con la siguiente redacción: “Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección”.

Esta adición persigue la inclusión, en todo caso, de una dirección de correo electrónico habilitada, a la cual el antiguo cliente al cual remitimos e-mails comerciales de nuestra empresa, pueda dirigirse en cualquier momento al objeto de darse de baja de seguir recibiendo más comunicaciones de ese tipo. De este modo, se pretende desterrar la práctica consistente en el envío de comunicaciones comerciales por vía electrónica no solicitadas, en las cuales no se incluía la opción para el destinatario de oponerse a recibir ulteriores comunicaciones, o bien se incluía una dirección de correo electrónico o un enlace que no funcionaban.

Finalmente se modifica el artículo 22 de la LSSI (“derechos de los destinatarios de servicios”), al cual se le da una nueva redacción donde destacan dos aspectos. Un primer gran cambio, consistente en incluir una obligación como la señalada para el artículo 21.2 a los efectos de permitir al destinatario de comunicaciones comerciales revocar en cualquier momento el consentimiento prestado con la simple notificación de su voluntad al remitente. Y, a tal efecto, se obliga ahora a los prestadores de servicios a que habiliten procedimientos sencillos y gratuitos, los cuales, las comunicaciones hubieran sido remitidas por correo electrónico, deberán “consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección”.

Y una segunda gran modificación, que afecta a la utilización de cookies distintas de las meras cookies de sesión o las estrictamente necesarias para prestar un servicio de la sociedad de la información, como serían, por ejemplo, las cookies de rastreo o tracking cookies.

En relación a este extremo, la ley pasa de exigir una simple obligación de información al usuario afectado (“Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales, informarán a los destinatarios de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito”.), a exigir la obtención del consentimiento del usuario “después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.

En la práctica, los problemas se centran en clarificar de qué manera se debe obtener ese consentimiento previo del internauta, ya que la Ley condiciona la validez del uso de dichas herramientas a la efectiva obtención de la autorización del usuario. En relación a este extremo la propia Ley señala que “cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto”.

Ahora bien, hasta el momento en que la vía del navegador esté disponible con carácter general, deberán implantarse nuevas medidas, si bien a día de hoy desconocemos cuál es el criterio que va a imperar por parte de la administración competente en relación a la citada obtención del consentimiento de los usuarios a los que se les pretenda instalar ciertas cookies.