SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN (Comercio electrónico y protección de datos)
EMILIO DEL PESO NAVARRO
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN (Comercio electrónico y protección de datos)
© Emilio del Peso Navarro, 2003
Reservados todos los derechos. «No está permitida la reproducción total o parcial de este libro, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares del Copyright.»
© Ediciones Díaz de Santos, S. A. Doña Juana I de Castilla, 22 28027 MADRID E-mail:
[email protected] Internet: http://www.diazdesantos.es/ediciones ISBN: 84-7978-560-8 Depósito legal: M. 8.399-2003 Diseño de cubierta: Ángel Calvete Fotocomposición e impresión: Fernández Ciudad, S. L. Catalina Suárez, 19. 28007 Madrid Encuadernación: Rústica-Hilo
Acerca del autor
Licenciado en Derecho por la UCM y Licenciado en Informática por la UPM, con amplia experiencia en el Derecho de las Tecnologías de la Información y las Comunicaciones, está reconocido como un experto en la interrelación de las dos materias. Diplomado en Asesoría de Empresas, Derecho del Trabajo e Impuestos por la Escuela de Práctica Jurídica de la Facultad de Derecho de la UCM. Socio de IEE, Informáticos Europeos Expertos. Director del Aula de Informática Legal, profesor externo en el Centro de Formación de IBM, profesor invitado en el Máster de Tecnologías de la Información y las Comunicaciones del Instituto de Informática Jurídica de la Facultad de Derecho (ICADE) de la UPC, en el Máster de Informática y Derecho de la UCM y en el Curso de Especialista en Economía y Derecho de la UCLM. Experto en Derecho de las Nuevas Tecnologías de la Información y las Comunicaciones ha participado como conferenciante o ponente en numerosos congresos nacionales e internacionales. Ha impartido conferencias y seminarios sobre la materia en las principales instituciones del país. Ha escrito numerosos artículos sobre el tema en las principales revistas técnicas. Coautor de Confidencialidad y seguridad de la información: la LORTAD y sus implicaciones socioeconómicas. Díaz de Santos. Madrid, 1994. 2.a edición, 1998. Director y coautor de la obra: Manual de Dictámenes y Peritajes Informáticos. Díaz de Santos. Madrid, 1995. 2.a edición, 2001. Editor y coautor de Auditoría informática: un enfoque práctico (obra colectiva). RA-MA. Madrid, Bogotá y Ciudad de México, 1998. 2.a edición, 2000. VII
VIII
ACERCA DEL AUTOR
Coautor de LORTAD: Reglamento de Seguridad. Díaz de Santos. Madrid, 1999. 2.a edición, 2002. Autor de Ley de Protección de Datos: la nueva LORTAD. Díaz de Santos. Madrid, 2000. Autor de Manual de outsourcing informático. Análisis y contratación. Díaz de Santos. Madrid, 2000. Coautor de Seguridad en las bases de datos. Fundación Dintel. Madrid, 2001. Pertenece al Ilustre Colegio de Abogados de Madrid, a ISACA-España, ALI, ATI y AUI. Member of Information Systems Audit and Control Association (ISACA).
Cuando cuarenta años pasan como un soplo. Cuando todos los recuerdos agradables son. Cuando aún buscas el futuro con tu pareja. Eso es amor. Gracias, Asunción
«La cuestión es la siguiente: ¿A quién pertenezco? ¿A Dios o al mundo? Muchas de mis preocupaciones diarias me sugieren que pertenezco más al mundo que a Dios. Una pequeña crítica me enfada y un pequeño rechazo me deprime. Una pequeña oración me levanta el espíritu y un pequeño éxito me emociona. Me animo con la misma facilidad con la que me deprimo. A menudo soy como una pequeña barca en el océano, completamente a merced de las olas. Todo el tiempo y energía que gasto en mantener un cierto equilibrio y no caer, me demuestra que mi vida es, sobre todo una lucha por sobrevivir, no una lucha sagrada, sino una lucha inquieta que surge de la idea equivocada de que el mundo es quien da sentido a mi vida.» (El regreso del hijo pródigo. Henri J. M. Nouwen)
Agradecimientos
Quiero agradecer la colaboración de mis hijas Margarita, Nuria y María del Mar en la comprobación y corrección de esta obra. También quiero agradecer las preguntas de los asistentes a los seminarios y conferencias en los que he participado, que me obligan a perseguir continuamente la información más actual. Igualmente agradezco las críticas recibidas, pues ellas me animan a intentar realizar mi trabajo lo mejor posible. A todos, muchas gracias.
XIII
Índice
Acerca del autor ............................................................................
VII
Agradecimientos ............................................................................
XIII
Acrónimos ......................................................................................
XXIII
Prólogo ............................................................................................
XXV
Prefacio ...........................................................................................
XXXI
PRIMERA PARTE Introducción Capítulo 1. La sociedad de la información: una nueva dimensión .............................................................................
3
Generalidades .......................................................................... Concepto .................................................................................. Necesidad de un marco jurídico .............................................. Peligro de saturación en la elaboración de normas ................. Cuestiones ...............................................................................
3 7 9 12 12
Capítulo 2. El comercio electrónico ............................................
15
2.1. 2.2. 2.3. 2.4.
15 18 21 22
1.1. 1.2. 1.3. 1.4. 1.5.
Generalidades .......................................................................... Límites conceptuales ............................................................... La globalización de la economía ............................................. Tipos de comercio electrónico ................................................ XV
XVI
2.5. 2.6. 2.7. 2.8. 2.9.
ÍNDICE
La importancia de la confianza en el mundo de los negocios ..... Viabilidad del comercio electrónico en nuestra sociedad ....... Comercio electrónico versus comercio tradicional ................. Futuro del comercio electrónico .............................................. Cuestiones ...............................................................................
24 26 28 29 30
Capítulo 3. La seguridad: requisito necesario en la nueva sociedad de la información ..........................................
31
3.1. 3.2. 3.3. 3.4. 3.5. 3.6. 3.7.
Generalidades .......................................................................... Diferentes clases de seguridad ................................................ Principales características ....................................................... La seguridad en la sociedad de la información ....................... Necesidad de sentirnos seguros en el comercio electrónico ... La firma electrónica ................................................................ Cuestiones ...............................................................................
31 34 35 37 40 41 44
Capítulo 4. La auditoría como medida complementaria de la seguridad ...................................................................
45
4.1. 4.2. 4.3. 4.4. 4.5. 4.6.
Generalidades .......................................................................... Auditoría de los Sistemas de Información .............................. Auditoría de la Red ................................................................. Auditoría de la Seguridad ........................................................ Auditoría de los Datos de Carácter Personal ........................... Cuestiones ...............................................................................
45 46 49 51 53 55
Capítulo 5. Los datos de carácter personal ................................
57
5.1. Generalidades .......................................................................... 5.2. Necesidad de una protección jurídica ...................................... 5.3. La transferencia internacional de datos ................................... 5.3.1. Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos ............................................................................. 5.3.2. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal .............................. 5.3.3. Instrucción 1/2000, de 1 de diciembre, de la Agencia de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos ...........
57 61 62
63 67 71
ÍNDICE
XVII
5.3.4. Los principios de «puerto seguro» para la protección de la vida privada .............................................................. 5.4. Cuestiones ...............................................................................
81 90
Capítulo 6. Las medidas de seguridad de los datos de carácter personal .....................................................................
93
Generalidades .......................................................................... Los niveles de seguridad ......................................................... El Documento de Seguridad: obligación formal ..................... Medidas de seguridad de nivel básico ..................................... Medidas de seguridad de nivel medio ..................................... Medidas de seguridad de nivel alto ......................................... Cuestiones ...............................................................................
93 94 94 96 98 101 102
Capítulo 7. Vocabulario ...............................................................
103
6.1. 6.2. 6.3. 6.4. 6.5. 6.6. 6.7.
SEGUNDA PARTE Directiva Europea Capítulo 8. Estructura de la Directiva y Considerandos ...........
129
8.1. Estructura de la Directiva ........................................................ 8.2. Considerandos ......................................................................... 8.3. Cuestiones ...............................................................................
129 130 137
Capítulo 9. Disposiciones generales ............................................
139
9.1. 9.2. 9.3. 9.4.
Objetivo y ámbito de aplicación .............................................. Definiciones ............................................................................ Mercado interior ...................................................................... Cuestiones ...............................................................................
139 141 144 147
Capítulo 10. Régimen de establecimiento ..................................
149
10.1. 10.2. 10.3. 10.4. 10.5. 10.6.
149 150 151 152 153 153
Principio de no autorización previa ....................................... Información general exigida .................................................. Información exigida en las comunicaciones comerciales ..... Comunicación comercial no solicitada ................................. Profesiones reguladas ............................................................ Cuestiones .............................................................................
XVIII
ÍNDICE
Capítulo 11. Contratos por vía electrónica ................................
155
11.1. 11.2. 11.3. 11.4.
Tratamiento de los contratos por vía electrónica .................. Información exigida .............................................................. Realización de un pedido ...................................................... Cuestiones .............................................................................
155 157 158 158
Capítulo 12. Responsabilidades de los prestadores de servicios intermediarios .........................................................
161
12.1. 12.2. 12.3. 12.4. 12.5. 12.6.
161 162 162 163 164 165
Generalidades ........................................................................ Mera transmisión ................................................................... Memoria tampón (Caching) .................................................. Alojamiento de datos ............................................................. Inexistencia de obligación general de supervisión ................ Cuestiones .............................................................................
Capítulo 13. Aplicación de la Directiva ...................................... 13.1. 13.2. 13.3. 13.4. 13.5. 13.6.
Códigos de conducta ............................................................. Solución extrajudicial de litigios ........................................... Recursos judiciales ................................................................ Cooperación .......................................................................... Sanciones ............................................................................... Disposiciones finales ............................................................. 13.6.1. Reexamen ................................................................. 13.6.2. Trasposición .............................................................. 13.6.3. Entrada en vigor ........................................................ 13.6.4. Destinatarios ............................................................. 13.7. Cuestiones .............................................................................
167 168 169 169 170 171 171 172 172 172 172
TERCERA PARTE Ley de servicios de la sociedad de la información y de comercio electrónico Capítulo 14. Antecedentes ...........................................................
177
14.1. Generalidades ........................................................................ 14.2. Principales críticas al Proyecto de Ley ................................. 14.3. Enmiendas presentadas al Congreso .....................................
177 179 181
ÍNDICE
14.4. Enmiendas presentadas al Senado ......................................... 14.5. Cuestiones .............................................................................
XIX
183
Capítulo 15. La sociedad de la información contemplada en la LSSI .........................................................................
187
15.1. Exposición de Motivos de la Ley .......................................... 15.2. Disposiciones generales ........................................................ 15.2.1. Objeto ....................................................................... 15.2.2. Ámbito de aplicación ............................................... 15.3. Prestación de servicios de la sociedad de la información ..... 15.3.1. Principio de libre prestación de servicios ................. 15.3.2. Restricciones a la prestación de servicios ................ 15.4. Cuestiones .............................................................................
187 194 194 195 198 198 199 201
Capítulo 16. Obligaciones y responsabilidades de los prestadores de servicios de la sociedad de la información ..........
203
16.1. Obligaciones .......................................................................... 16.1.1. Constancia registral del nombre de dominio ............ 16.1.2. Información general ................................................. 16.1.3. Deber de colaboración de los prestadores de servicios de intermediación ..................................................... 16.1.4. Deber de retención de datos de tráfico relativos a las comunicaciones electrónicas .................................... 16.2. Régimen de responsabilidades .............................................. 16.2.1. Responsabilidad de carácter general de los prestadores de los servicios de la sociedad de la información ........................................................................ 16.2.2. Responsabilidad de los operadores de redes y proveedores de acceso ................................................... 16.2.3. Responsabilidad de los prestadores de servicios que realizan copia temporal de los datos solicitados por los usuarios ............................................................... 16.2.4. Responsabilidad de los prestadores de servicios de alojamiento o almacenamiento de datos ................... 16.2.5. Responsabilidad de los prestadores de servicios que faciliten enlaces a contenidos o instrumentos de búsqueda ........................................................................ 16.3. Códigos de conducta ............................................................. 16.4. Cuestiones .............................................................................
203 204 205 207 208 209 210 210 211 212 213 214 215
XX
ÍNDICE
Capítulo 17. Comercio electrónico en la Ley .............................
217
17.1. 17.2. 17.3. 17.4.
Generalidades ........................................................................ Comunicaciones comerciales por vía electrónica ................. Contratación por vía electrónica ........................................... Cuestiones .............................................................................
217 218 220 225
Capítulo 18. Regulación de conflictos e información y control ....
227
18.1. 18.2. 18.3. 18.4. 18.5. 18.6. 18.7.
La regulación de conflictos ................................................... Acción de cesación ................................................................ Solución extrajudicial ............................................................ Información de los órganos competentes .............................. Supervisión y control ............................................................ Deber de colaboración ........................................................... Cuestiones .............................................................................
227 227 233 233 234 235 236
Capítulo 19. Régimen sancionador .............................................
237
19.1. 19.2. 19.3. 19.4. 19.5. 19.6.
Régimen aplicable ................................................................. Infracciones ........................................................................... Sanciones ............................................................................... Otras medidas ........................................................................ Competencia sancionadora .................................................... Cuestiones .............................................................................
237 237 239 241 243 244
Capítulo 20. Disposiciones varias ................................................
245
20.1. 20.2. 20.3. 20.4. 20.5.
Enumeración de las disposiciones ......................................... Disposiciones adicionales ..................................................... Disposición transitoria ........................................................... Disposiciones finales ............................................................. Cuestiones .............................................................................
245 247 254 254 261
Capítulo 21. Conclusiones finales ...............................................
263
ANEXOS Anexo 1: Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico ............. Anexo 2: Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determina-
271
ÍNDICE
XXI
dos aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico) .......................................................
315
Anexo 3: Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) ........
347
Bibliografía ....................................................................................
381
Acrónimos
AELC ALI APEC ATI AUI B2A B2B B2C CE DINTEL EDI EEE FAQ FTC FOREDI G7 IBM ICADE ISACA ISAC Foundation LOPD
Asociación Europea de Libre Comercio Asociación de Doctores, Licenciados e Ingenieros en Informática Asia-Pacific Economic Cooperation Asociación de Técnicos en Informática Asociación de Usuarios de Internet Business to anonyme Business to business Business to consumer Comunidad Europea Fundación para la Difusión de las Ingenierías y las Telecomunicaciones Electronic Data Interchange Espacio Económico Europeo Frecuently Asked Questions Federal Trade Comission (Comisión Federal de Comercio) Foro EDI (Electronic Data Interchange) Grupo de los Siete International Business Machines Instituto Católico de Dirección y Administración de Empresas Information Systems Audit and Control Association Information Systems Audit and Control Association Foundation Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal XXIII
XXIV
LORTAD
LSSI OAI PNNDI PYME RD REA TIC TRAC UCLM UCM UE UPC UPM
ACRÓNIMOS
Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal Ley de Servicios de la Sociedad de la Información Organización Auditoría Informática Plan Nacional de Nombres de Dominio en Internet Pequeña y Mediana Empresa Real Decreto Registro de Economistas Auditores Tecnologías de la Información y las Comunicaciones Telefonía Rural de Acceso Celular Universidad Castilla-La Mancha Universidad Complutense de Madrid Unión Europea Universidad Pontificia Comillas Universidad Politécnica de Madrid
Prólogo
La lectura de todo libro precisa, para poder saborearla plenamente, hacer un alto en el camino, aislarse de cuanto nos rodea, y detenerse a reflexionar sobre lo que progresivamente se va entresacando de su contenido, paladeando, como si fuera un buen vino, las imágenes, ideas y planteamientos que conforman el relato, forjando mediante esta actividad intelectual un vínculo, personalísimo e intemporal, entre el esfuerzo creativo de su autor y la sensibilidad, necesariamente subjetiva, del lector. Los libros científicos presentan, por su parte, como característica esencial, la estructuración de su discurso a tenor de una metodología que, partiendo de la constatación del estado del arte, en lo que atañe a la materia que desarrollan, se adentran inmisericordes en las procelosas aguas de lo ignoto, mostrando, siempre desde la perspectiva del autor, los aspectos que precisan de un mayor desarrollo, debate o crítica, acompañando al lector en la comprensión del estudio o análisis de la argumentación que sirven de directriz para justificar las conclusiones a las que ha llegado el autor. La originalidad de las aportaciones presentadas tiene un valor añadido cuando el autor no rehuye del análisis de las causas y la presentación de propuestas basadas tanto en su experiencia y preparación técnica como en su percepción o intuición teleológica de los orígenes y devenir de las premisas, análisis y conclusiones plasmados en su obra. Cuando, como en el libro que tienen ahora entre sus manos, se conjuga el discurso científico con una amenidad en la forma, esencialmente coloquial, en la que se presenta la argumentación jurídica que le sirve de fundamento, sin perder ni un ápice de rigor, podemos afirmar que nos encontramos ante una «obra redonda», que cumple con el propósito, que a lo largo de la misma pone de manifiesto su autor, de sensibilizar a los lectores, en una forma seria XXV
XXVI
PRÓLOGO
y responsable, sobre las ventajas y riesgos reales que conlleva la consolidación de la Sociedad de la Información, y de participar en el debate sobre los objetivos perseguidos con su instauración como elemento que, respetando la diversidad de culturas y sensibilidades existentes en la denominada «aldea global», permita un mayor acercamiento entre los pueblos, una reducción de las desigualdades y un favorecimiento del desarrollo armónico del entramado social, económico y cultural de la humanidad. Antes de adentrarnos en el contenido del libro, debemos prestar una especial atención al título que, en un intento de abstracción, muestra aquello que se propone como tema fundamental del debate que nos brinda el autor, y en él encontramos, como elemento básico, con toda la carga socioeconómica que conlleva, el concepto a que hace referencia el término «Sociedad de la información». El desglose del mismo nos lleva a preguntarnos a qué sociedad, pretendidamente actual o futura, hace referencia y para responder a esta pregunta aprovechamos la reflexión que hace sobre la misma el autor al hacernos ver que, junto a los grandes avances tecnológicos generados por la progresiva incorporación de las nuevas Tecnologías de la Información y las Comunicaciones (TIC), aún persisten ingentes bolsas de extrema pobreza, y una gran parte de la humanidad vive en condiciones que distan mucho de ser las mínimas imprescindibles para poder acceder a las ventajas y oportunidades que brindan dichos avances tecnológicos. En cuanto al contenido otorgado al vocablo información cabe asimismo reflexionar sobre si no hay mayor desinformación que aquella consistente en suministrar ingentes volúmenes de datos en una forma tal que resulte imposible discernir entre aquellos que nos puedan ser de utilidad, para incrementar el conocimiento que tenemos sobre algo o alguien, y aquellos otros que resulta superfluos, cuando no objetivamente falsos, en razón de dicha finalidad. Los denominados servicios de la sociedad de la información inciden en esa problemática presentándonos una serie de ofertas cuyo sustento, dada la alta tecnificación que precisan para su idóneo desenvolvimiento en el mercado de productos y servicios basados en las TIC, necesita de la confianza de los consumidores o usuarios, razón por la cual el análisis de las ventajas y riesgos que conlleva su implantación y generalización debe realizarse desde una perspectiva realista, ajena tanto a los catastrofismos basados en miedos exacerbados que anulan la razón, como a las fantasías fomentadas por perspectivas inconsistentes que, como el humo, se desvanecen con el mero devenir del tiempo. Las aportaciones del autor incidiendo en la necesidad de abordar estos problemas desde un punto de vista sociológico son de agradecer, máxime,
PRÓLOGO
XXVII
cuando tras este planteamiento, expone los medios y procedimientos que, tanto desde los poderes públicos como desde el propio entramado comercial, deben establecerse para afianzar, asegurar y reafirmar esa confianza. Tras una evaluación, necesariamente crítica, basada en experiencias adquiridas a lo largo de su fecunda actividad profesional como experto en la resolución de los problemas jurídicos derivados de la utilización de las TIC, de la negativa incidencia que puede provocar, en el tejido económico, una indebida proliferación de textos normativos, que adolecen de una precisión y técnica jurídica acorde con las exigencias de lo que con ellos se pretende regular, el autor presenta su personalísima aportación sobre los problemas técnicos y jurídicos concomitantes a la cultura de la seguridad. La permanente atención que el autor ha prestado al estudio de los problemas relacionados con la seguridad de los servicios de la sociedad de la información, su aplicación a la búsqueda de soluciones a conflictos concretos de la vida real y la divulgación por medio de libros, artículos, conferencias y seminarios prácticos, del conocimiento así adquirido, queda plasmada por la claridad y concreción con que presenta, como sin darle importancia, su visión de las características de cada uno de los aspectos que pueden dar lugar tanto a fallos de seguridad como a implicaciones jurídicas derivadas de incumplimientos de la normativa legal reguladora de la materia, haciendo especial hincapié en aquellos, tales como la auditoría, que exigen de una especial experiencia, preparación y cualificación científico-técnica. Tras sentar las premisas de su discurso, nos muestra la implicación de las TIC en dos aspectos concretos, el comercio electrónico y la protección de las personas ante eventuales tratamientos automatizados de sus datos de carácter personal, cuestiones ambas en las que el autor es considerado, por la comunidad científica, como una autoridad en la materia, que presentan un especial interés por su incidencia en el desarrollo de la actividad de las PYMES (pequeñas y medianas empresas), con cuya problemática se siente plenamente identificado, quizás por haber conformado un excelente grupo de trabajo, entresacado del ambiente familiar, que funciona, en cuanto a su actividad y objetivos, en una forma similar a las mismas. Como era previsible, dada la idiosincrasia del autor, éste no elude el estudio del marco jurídico comunitario que afecta a la materia, prestando una detallada atención a la Directiva 2000/31/CE, de 8 de junio, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico), desde la premisa de la autolimitación de la Directiva derivada de la aplicación, en la Unión Europea, del principio de subsidiariedad, que habilita el desarrollo del acervo normativo Comunitario
XXVIII
PRÓLOGO
tan sólo en aquellos casos en los que se estime que, para el logro de unos determinados objetivos, pueda lograrse una mayor eficacia armonizando las legislaciones de los Estados miembros. Asimismo resalta, respecto al ámbito de aplicación de la Directiva, su limitación espacial, teniendo muy presente que su función armonizadora pretende incidir básicamente en la regulación jurídica del mercado interior de la Unión y, accesoriamente, en la convergencia normativa que exige la consolidación del desarrollo del mercado internacional de la información. Esta última limitación le obliga a atender la casuística que resulta de aplicar, en un determinado mercado (el mercado interior de la Unión) un alto nivel de exigencia, en cuanto a la protección de determinados derechos, que perjudica la competitividad de la industria europea en los mercados internacionales, a los que acceden terceros países con un inferior nivel de protección que, por ende, pueden verse beneficiados de esa circunstancia. Advierte de igual forma que las regulaciones establecidas en el ordenamiento jurídico comunitario pueden no ser aplicables en conflictos generados por actividades de explotación transfronterizas con terceros países ajenos a la Unión Europea, razón por la cual previene sobre ello, a efectos de que los titulares de los servicios de la sociedad de la información adopten las medidas necesarias de protección jurídica. Estas medidas deberán incorporarse a los procesos productivos en función de si el ámbito territorial en el que se tiene previsto desarrollar una determinada actividad se circunscribe o no al territorio de la Unión, habida cuenta que si los destinatarios de la Directiva son los Estados miembros de la Unión, las formas de explotación comercial, realizadas en el territorio de la Unión, quedarán regidas a tenor del contenido de los preceptos de la Directiva, mientras que, por el contrario, si dichas formas de explotación se realizan con terceros países, su regulación quedará regida por las normas del Derecho Internacional Privado. Por último, el discurso del autor se detiene en el análisis de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, que tiene por objeto incorporar al ordenamiento jurídico español tanto la Directiva antedicha de comercio electrónico como la Directiva 98/27/CE, de 19 de mayo, relativa a las acciones de cesación en materia de protección de los intereses de los consumidores, con la finalidad de armonizarlo con el del resto de ordenamientos de los Estados miembros de la Unión Europea. Para ello, tras una amplia referencia a los antecedentes de la ley, se adentra en su contenido entresacando y ordenando sistemáticamente los preceptos reguladores de los aspectos que se considera presentan una espe-
PRÓLOGO
XXIX
cífica relevancia jurídica, en una forma metódica y pedagógica, ampliando su estudio en aquellos casos que considera que éste queda, en la Ley, difuso o indeterminado. Como elemento complementario a dicha exposición, indica las deficiencias técnicas observadas en la Ley, pudiéndose citar como ejemplo el inidóneo reenvío a una norma no sancionada en el momento de su publicación, pone de manifiesto las lagunas que se observan, resaltando las incoherencias derivadas de la falta de regulación de premisas dejadas al lado por la propia Ley, e incide en las implicaciones que se derivan del aparente desconocimiento de los legisladores de la realidad del mercado en el que operan las TIC, que puede introducir un importante freno al desarrollo del comercio electrónico en España. Finaliza el autor el discurso, cual si de una tesis doctoral se tratara, con una generosa gama de conclusiones que sirven de reflexión última sobre las materias tratadas, con un afán concretizador digno de encomio, dado que con ello facilita la crítica y encauza futuros debates sobre los puntos puestos en cuestión sometidos a examen. No quisiera acabar este prólogo sin hacer una especial mención al curriculum que sobre el autor figura al nacer de la obra. Cierto es que con una discreción, digna de elogio, el autor ha reducido su extenso curriculum profesional a unos meros apuntes de su trayectoria, cosa que a los no avezados podría confundir, pero no entra en mi ánimo argüir y aún menos pretender ampliar aquello que es notorio y de general conocimiento, más, por el contrario, sí quisiera anotar, a modo de simple comentario, la suerte que hemos tenido, aquellos a los que nos ha brindado su amistad, de haber podido compartir con él tertulias, discusiones siempre inacabadas sobre cualquier tema profundo o banal, y momentos íntimos de paz, sosiego, calma y armonía, en un ambiente familiar lleno de chanza, cariño, simpatía y cordialidad, que ayudan a comprender la enorme categoría personal y humana de Emilio del Peso. JORGE PÁEZ MAÑÁ Consejero Técnico del Tribunal Supremo
Prefacio «Las diferentes sensaciones de contento o disgusto obedecen menos a la condición de las cosas externas que las suscitan que a la sensibilidad peculiar de cada hombre pese a ser grata e ingratamente impresionado por ellas.» (Lo bello y lo sublime, Kant)
El avance de las llamadas Tecnologías de la Información y las Comunicaciones en nuestra sociedad es un hecho imparable y si nos detuviésemos, algo bastante improbable, a mirar hacia atrás, nos asombraría el cambio experimentado por nuestro mundo en tan sólo un cuarto de siglo. Si a las TIC unimos otras tecnologías experimentadas en campos tales como la genética, la medicina espacial y otros el asombro sería aún mayor. Las innovaciones tecnológicas han ido transformando la sociedad desde la invención de la rueda, pero quizás hasta ahora no hayamos sido conscientes de todo lo que se puede lograr con la explotación de las nuevas tecnologías. La idea de aldea global introducida hace cuatro décadas por el pedagogo y ensayista canadiense Herbert Marshall McLuhan es ya una realidad en muchos aspectos de la sociedad. El concepto de aldea global económica del economista español Ramón Tamames aún lo es más. Pero junto a estos grandes avances no hemos de olvidarnos de que todavía gran parte de la humanidad vive en condiciones de extrema pobreza como hace varios siglos. Las imágenes de las ciudades, por llamarlas de alguna forma, de Afganistán nos remontan a la Edad Media. Hablar de las bondades de Internet y de la rápida extensión de conocimientos que por medio de esta red se puede lograr, así como de la eliminación del analfabetismo en el mundo parece un puro sarcasmo cuando sucede que la mayoría de los hogares africanos no disponen de teléfono, entre otras carencias aún más primarias. Podemos contemplar así la cara y la cruz de la globalización económica y mediática; algo que también podemos ver en nuestro mundo occidental y si nos molestamos un poco, es fácil de observar en nuestras propias ciudades. XXXI
XXXII
PREFACIO
Dos factores básicos han sido determinantes a la hora de explicar el aceleramiento del proceso globalizador: los avances tecnológicos y la liberación de los mercados de capitales. Algunos, entre ellos el filántropo y financiero George Soros 1, identifican globalización con libre movimiento de capitales y la creación de grandes mercados financieros globales y de poderosas empresas multinacionales con el consiguiente dominio de las economías nacionales y, a su vez, con la merma de poder de las instancias políticas locales. Desde este punto de vista consideran que la globalización es altamente positiva entendiendo que los beneficios que genera son superiores a los costes que ocasiona, pudiendo usarse para compensar las injusticias que ella misma pueda crear. La globalización es un hecho irreversible nos guste o no y podrán existir pequeños retrocesos temporales, pero después de breves descansos su caminar será más rápido. Esto es así tanto que hasta los grupos que predican en su contra, algunas veces de forma violenta, para los que en la mundialización de los mercados financieros está la raíz de nuestros males, demuestran por sí mismos la realidad de esa globalización dada la procedencia de sus miembros que pertenecen a diferentes razas y son originarios de prácticamente todos los países del mundo y, asimismo, la intercomunicación que hay entre los diferentes grupos existentes. Ahora bien, en el conjunto de la globalización debemos tener en cuenta la necesaria convivencia que debe existir entre la microsegmentación de los mercados locales y los conceptos de globalización o mundialización de la economía dentro de mercados totalmente maduros y tremendamente competidores. Es una lástima que no aprovechemos estos avances globalizadores para crear un mundo más justo, más culto y, en definitiva, más humano, algo que se podría lograr derribando las barreras de todo orden que existen entre los pueblos más poderosos y los pueblos más oprimidos. Indudablemente, se corre el riesgo de caer en lo que se viene denominando «macdonalización», la uniformación de las culturas, y contra ello hemos de luchar, tomando de la globalización lo mucho bueno que tiene y eliminando sus aspectos negativos. En la práctica, estamos viendo que estos avances tecnológicos, muchas veces, se convierten en una barrera más aun dentro de los propios países, entre aquellos que tienen acceso a esa nueva cultura y los que no pueden ac1
George Soros. Globalización. Planeta. Barcelona, 2002.
PREFACIO
XXXIII
ceder a ella, bien por su falta de formación, lo que les impide utilizar las herramientas necesarias, o por la carestía de los medios económicos precisos para acceder a ellas. La controversia no debe establecerse entre globalización sí o no, sino en globalización sí, pero repartiéndose sus beneficios entre todos, y en el plano cultural, como decíamos, con el debido respeto al pluralismo existente. La primera pregunta que nos viene a la mente ante una situación como la descrita es: ¿Qué ha sucedido en este pequeño período de tiempo para que se hayan producido cambios tan importantes en nuestro mundo? La respuesta debería ser: un gran avance tanto de la informática como de las comunicaciones y su fusión en lo que en un principio se quiso llamar Telemática y hoy día se conoce como Tecnologías de la Información y las Comunicaciones. Estos avances han propiciado que dos parámetros tan importantes como el tiempo y el espacio hayan desaparecido en la práctica y, por otro lado, la reducción de tamaño de los componentes de los ordenadores y el aumento de su velocidad de proceso han permitido el almacenamiento de grandes masas de información fácil y rápidamente accesibles, lo que permite su ulterior tratamiento. Esto ha dado lugar a un abaratamiento de los productos telemáticos, lo que ha traído consigo la creación de un potencial mercado cada día mayor, y a su vez ha impulsado la investigación de nuevas herramientas cada vez más potentes. Todo ello ha permitido la instalación de grandes intercomunicadores que envuelven el globo terráqueo como una gran tela de araña. El ejemplo más conocido y a su vez el más utilizado es Internet. Esta red de redes ha pasado de ser una gran desconocida en España, a mediados de los noventa, a ser ampliamente conocida y utilizada en el momento actual, aunque quede mucho camino por recorrer. Todavía hoy en día, cuando nos sentamos ante la pantalla de un ordenador y protestamos y nos enfadamos porque tarda en llegar, a veces tan sólo unos segundos, la información que habíamos pedido de bases de datos situadas en nuestras antípodas, pocos somos conscientes de que estamos asistiendo a un verdadero milagro de la tecnología, algo inimaginable para la mayoría de nosotros hace tan sólo unos pocos años. El avance en el sector de las comunicaciones ha sido espectacular y su enorme difusión y aceptación en la sociedad ha traído también consigo una reducción de precios, lo que hace que el número de personas que pueda acceder a estos servicios cada día sea mayor.
XXXIV
PREFACIO
Es verdad que la mayoría de las veces lo que recibimos es información redundante y a pesar de ello poco fiable, en definitiva, información basura, pero también es cierto que junto a esto podemos acceder a verdaderas joyas del conocimiento, unas veces de forma gratuita, algo cada vez menos frecuente, y otras pagando una pequeña cantidad. Con esta tela de araña telemática, que crece día a día, estamos estableciendo las vías de comunicación del futuro que traerán el progreso y la riqueza a los pueblos; pero, como sucedió ya en el pasado, también todo esto tiene su lado negativo: la atracción que la existencia de riqueza supone para la delincuencia. Vías de comunicación y comercio entre los habitantes de diferentes lugares de la Tierra siempre han ido unidos. En una primera época los seres humanos construyeron caminos y calzadas para, a través de ellos, poder desplazarse de forma más cómoda y más rápida entre unos y otros lugares y, asimismo, poder transportar e intercambiar mercancías; famosa por su importancia fue la ruta de la seda, hoy tristemente recordada por la guerra que está asolando desde hace varios años gran parte de su recorrido. Las vías fluviales cumplían ese cometido en los lugares que se podían comunicar a través de los ríos. La ruta de la seda sirvió para que, a través de ella, las caravanas transportasen mercancías de unos lugares a otros creando riqueza y prosperidad que creció a lo largo de la ruta naciendo bellas y prósperas ciudades. De esta manera los conocimientos y avances de una civilización tan rica como la china pudo llegar a Europa. El recorrido era largo y, por tanto, el tiempo necesario para recorrerlo era mucho, llegando a cuantificarse en meses y algunas veces en años. El lado negativo de este avance fue la aparición de los bandidos que al olor de la riqueza asaltaban las caravanas, por lo que éstas tenían que ir fuertemente custodiadas. Los comerciantes, en una primera época, no sentían ningún temor en las transacciones, pues imperaba el trueque, por lo que unas mercancías se intercambiaban por otras, eliminando en este aspecto cualquier riesgo. Poco a poco fueron apareciendo los primeros documentos mercantiles, pagarés, etc., que basaban su valor en la confianza que inspiraban los que los emitían, con lo que el comercio se agilizaba al no ser necesario cambiar una mercancía por otra. Posteriormente el ferrocarril fue otro gran avance para la interrelación entre los habitantes de distintos lugares. Del mismo modo que los caminos propiciaron el comercio y la prosperidad, el ferrocarril también facilitó el comercio y ayudó a la creación de nuevas ciudades en lugares anteriormente
PREFACIO
XXXV
desiertos creando riqueza alrededor de su trazado. El espacio entre los lugares, por supuesto, era el mismo, pero el tiempo en recorrerlo había disminuido, por lo que parecía que estaban más cerca. El intercambio de mercancías cada vez era mayor y el pago se realizaba bien en moneda bien en nuevos instrumentos mercantiles que eran aceptados, avalados por las entidades financieras que habían ido apareciendo. El nacimiento y la difusión de tecnologías como el telégrafo garantizaba, en cierto modo, las operaciones. El lado negativo seguía siendo la existencia de bandidos que asaltaban los trenes, lo que hacía necesaria su vigilancia, encareciendo con ello el transporte de las mercancías. En la época actual el avance ha sido la creación de estas grandes redes de comunicaciones, verdaderas autopistas de la información que, lógicamente, como ha venido sucediendo a través de los tiempos, ha traído una nueva forma de hacer negocios: el comercio electrónico. El espacio entre los lugares es el mismo pero el tiempo que se tarda en recorrerlo, a través de los numerosos caminos existentes, que son las redes de comunicaciones, se ha reducido considerablemente, por lo que da la apariencia de que el espacio y el tiempo han desaparecido. Lo que sí han aparecido han sido nuevos miedos tanto en los compradores como en los vendedores. El que compra teme que no le entreguen lo que compra en las debidas condiciones y también teme que al pagar por un medio electrónico, le engañen. El que vende teme que no le paguen la mercancía que entrega y en el caso de las PYME, y no hay que olvidar que en España hay muchas más de la primera parte del acrónimo que de la segunda, también temen el coste que aventurarse en el comercio electrónico les puede suponer. Es muy importante tener presente las características del comprador de Internet: éste suele tener un alto nivel de formación, con criterio, con personalidad, lo que se traduce en que es exigente. Este tipo de cliente sabe lo que busca, cómo lo quiere, dónde lo necesita, en qué condiciones y cuánto está dispuesto a pagar por ello. Otro problema que puede ralentizar la implantación del comercio electrónico es lo sucedido recientemente a importantes empresas que invirtieron grandes cantidades en Internet pensando obtener pingües beneficios y, pasado cierto tiempo, se han dado cuenta de que lo único que habían comprado era humo, eso sí, a gran precio. Producto de la ley del péndulo, ahora se salen de Internet y son reacios a volver a entrar. La verdad es que ni antes se debía haber invertido esas
XXXVI
PREFACIO
grandes sumas, ni ahora se debe demonizar todo aquello que, por no comprenderlo, no se ha sabido aprovechar. De igual forma que en el pasado aparecieron los bandidos al olor de la riqueza que creaban las nuevas formas de comercio, también ahora han surgido otros, si bien de forma mucho más sofisticada. Para buscar una salida a lo que está ocurriendo hemos de recordar que a través de los tiempos las relaciones entre los seres humanos las ha regulado el derecho, unas veces el derecho consuetudinario, y otras veces el derecho positivo; por ello ante el momento actual debe ser el derecho, una vez más, quien regule las diferentes situaciones que se pueden presentar. El miedo que puede dar es que el legislador elabore unas leyes tan restrictivas que ahogue algo tan prometedor como es el comercio electrónico, especialmente en un espacio como Internet, que no olvidemos nació como un espacio un tanto anárquico. Pero, en definitiva, como decía el poeta, no podemos poner puertas al campo y, se haga lo que se haga, lo que tenga que suceder, sucederá. La obra que viene a continuación está dividida en tres partes, seguidas de unos anexos, en total veintiún capítulos, terminados todos ellos con una serie de preguntas que pueden servir de repaso de lo estudiado en el caso de que el libro se utilice con un fin docente. La primera parte, que contiene la «Introducción», consta de siete capítulos, del primero al séptimo. El capítulo primero, dedicado a «La sociedad de la información: una nueva dimensión», comienza con una exposición del entorno en que aparece la sociedad de la información tratando de lograr un concepto de la misma para terminar llegando a la conclusión de que se precisa un marco jurídico que la regule, si bien se puede caer en el riesgo de elaborar demasiadas normas. El segundo capítulo trata de abarcar el comercio electrónico analizando el nuevo enfoque que el uso de medios electrónicos puede proporcionar a la forma tradicional de negociar, se estudian sus límites conceptuales, la influencia que tiene al respecto la globalización de la economía, los diferentes tipos de comercio, la importancia que tiene la existencia de confianza en las partes que intervienen en el mundo de los negocios, la viabilidad del comercio electrónico en nuestra sociedad, finalizando con un análisis del futuro de éste. El capítulo tercero trata de la seguridad como requisito necesario en la nueva sociedad de la información. Partiendo de las diferentes etapas que ha seguido la seguridad de la información en nuestro país y en los países de nuestro entorno se exponen las diferentes clases de seguridad, sus principales características, su importancia en la sociedad de la información, así
PREFACIO
XXXVII
como la necesidad de sentirnos seguros al utilizar el comercio electrónico, lo que podemos lograr, en parte, con la firma electrónica. El capítulo cuarto incorpora la auditoría como medida complementaria de la seguridad, analizándose la Auditoría de los Sistemas de Información, así como otras auditorías específicas: la Auditoría de la Red, la Auditoría de la Seguridad y la Auditoría de los Datos de Carácter Personal. El capítulo quinto se titula «Los datos de carácter personal», haciéndose hincapié en la especial relevancia de éstos, así como en la necesidad de que gocen de protección jurídica. Se estudia, por su enorme trascendencia en el comercio electrónico, la transferencia internacional de datos. El capítulo sexto está referido a las medidas de seguridad de los datos de carácter personal, estudiándose los niveles de seguridad, la necesidad del Documento de Seguridad como una obligación formal y las medidas de seguridad a implantar en los diferentes niveles: alto, medio y básico. El último capítulo de esta parte, el séptimo, tiene un vocabulario en el que figuran las definiciones que constan en la Ley del comercio electrónico, así como en las Directivas, Leyes, Reglamentos e Instrucciones relacionadas con ésta. La segunda parte es un análisis de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico), y consta de seis capítulos, desde el octavo al decimotercero. El capítulo octavo se titula «Estructura de la Directiva y Considerandos» y en él figuran la estructura de la Directiva y los diferentes Considerandos, verdadera exposición de motivos de ésta. El capítulo noveno comprende las disposiciones generales: objetivo y ámbito de aplicación, definiciones de los diferentes conceptos contenidos en la Ley y la prestación de servicios en el mercado interior. El capítulo décimo está dedicado al régimen de establecimiento, revisándose el principio de no autorización previa, la información general exigida, la información exigida en las comunicaciones comerciales, el caso de la comunicación comercial no solicitada y, finalmente, el tema de las profesiones reguladas. El capítulo undécimo se dedica a la regulación de los contratos por vía electrónica, desarrollándose el tratamiento de los contratos por vía electrónica, la información exigida en su caso y la forma de realizar un pedido. El capítulo duodécimo enumera las responsabilidades de los prestadores de servicios intermediarios, desde la mera transmisión hasta la memoria
XXXVIII
PREFACIO
tampón (Caching) y el alojamiento de datos, así como la inexistencia de una obligación general de supervisión. El capítulo decimotercero indica cómo se debe aplicar la Directiva analizando los códigos de conducta, la posibilidad de la solución extrajudicial de litigios, los recursos judiciales, la necesidad de cooperación y las soluciones establecidas para el caso de incumplimiento. La tercera parte tiene ocho capítulos, desde el decimocuarto al vigésimoprimero, y se titula «Ley de servicios de la sociedad de la información y de comercio electrónico». El capítulo decimocuarto analiza los antecedentes de la Ley, las principales críticas que se hicieron al Proyecto de Ley, así como las enmiendas presentadas durante la tramitación de la Ley, tanto en el Congreso como en el Senado. El capítulo decimoquinto se dedica a la sociedad de la información contemplada en la Ley y contiene la Exposición de Motivos, así como las disposiciones generales referidas al objeto y al ámbito de aplicación de la Ley, a la prestación de servicios de la sociedad de la información, en la que existe el principio de libre prestación de servicios, pero que, no obstante, también existen restricciones de la misma. El capítulo decimosexto está dedicado a las obligaciones y responsabilidades de los prestadores de servicios de la sociedad de la información, incluyéndose los códigos de conducta. El capítulo decimoséptimo, bajo el título «Comercio electrónico en la Ley», comprende la contratación electrónica y las comunicaciones comerciales por vía electrónica. El capítulo decimooctavo se dedica a la regulación de conflictos y a la información y control, desarrollándose la regulación de conflictos, la acción de cesación, la solución extrajudicial, la información de los órganos competentes, la supervisión y control y el obligatorio deber de colaboración. El régimen sancionador se estudia en el capítulo décimonoveno, que contiene el régimen aplicable, incluyendo las posibles infracciones así como las sanciones aplicables y otro tipo de medidas, estableciéndose quién tiene la competencia sancionadora. El capítulo vigésimo contiene las disposiciones adicionales, transitoria y finales. Por último, el capítulo vigesimoprimero se dedica a unas conclusiones finales. Los anexos están compuestos por las siguientes normas:
PREFACIO
XXXIX
— Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. — Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico). — Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Finalmente, figura una bibliografía de los libros que se han considerado más interesantes sobre el tema. Como siempre, queremos dejar constar que si el libro sirve tan sólo para ayudar a un directivo a resolver sus problemas en el momento de tomar una decisión, nos consideraremos suficientemente pagados por el esfuerzo realizado.
Primera parte Introducción
1 La sociedad de la información: una nueva dimensión «Las sociedades son como todos los demás sistemas del Universo, complejos de materia-energía enlazados por nexos de comunicación-información, organizados de diversas maneras en espacio-tiempo.» (Del Universo al ser humano, Rafael Rodríguez Delgado)
1.1. GENERALIDADES La repercusión que las Tecnologías de la Información y las Comunicaciones ha tenido en nuestra forma de vida es indudable. Esto fácilmente lo comprobamos si analizamos cómo ha cambiado la existencia del ser humano en las regiones más avanzadas del planeta en las últimas cuatro décadas, especialmente a partir del desarrollo del ordenador personal y últimamente de la explosión de Internet. Instrumentos que hace poco tardaban bastantes años en lograr su expansión en los mercados y muchos más en ser sustituidos por otros más sofisticados hoy día logran su colocación en este nuevo zoco mundial en algunos casos en horas; por ejemplo, algún sistema operativo que empezó a venderse en nuestro país a partir de las doce de la noche, ayudado, eso sí, por un gran despliegue de los medios de comunicación, que, con la televisión a la cabeza, influyen poderosamente en los gustos de los ciudadanos. El uso del teléfono móvil se ha generalizado en poco tiempo y se ha convertido ya en una necesidad, aunque debemos recordar que esto sucede sólo en una pequeña parte del mundo, lo que venimos considerando como mundo 3
4
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
civilizado, y que la mayor parte de los seres humanos carecen de él, entre otras muchas más cosas. Las llamadas «aplicaciones asesinas», aquellas que con su surgimiento hacen desaparecer del mercado herramientas que se venían utilizando, algo que en el pasado ocurría después de un largo período de uso de la aplicación a la que venían a sustituir, en el momento actual se suceden de una forma que podemos considerar vertiginosa. La sociedad está cambiando, y en países como el nuestro mucho más por razones obvias. Junto a esa revolución postindustrial, del conocimiento, del saber o simplemente de la información como la llaman algunos autores, nosotros hemos tenido una transición en la forma de gobierno que ha hecho que ese cambio sea aún más profundo. Agentes propulsores de este cambio son: la tecnología, los gobiernos, los agentes sociales, los competidores, los clientes, los ciudadanos, los nuevos mercados y las fluctuaciones económicas. No debemos olvidar que siempre es preferible cambiar por elección que tenerlo que hacer por necesidad. La pregunta que lógicamente nos hacemos es: ¿Estos cambios propiciados por este desarrollo tecnológico van a producir más bienestar, más igualdad entre los hombres, más seguridad o, por el contrario, lo que van a traer es más incertidumbre, más inseguridad, más diferencias sociales; en definitiva, peor calidad de vida? Entendemos que la elección de la contestación no tiene por qué reducirse a dos posibilidades: sí o no, blanco o negro, pues no debemos olvidar algo que muchas veces no tenemos en cuenta: que también existe el gris. Vamos a empezar analizando la parte negativa, la parte mala que acompaña a este avance, pues sin lugar a dudas es un avance de la civilización. La Historia de la Humanidad, en la parte del mundo que consideramos más avanzada, ha ido pasando desde el Antiguo Régimen, desde la monarquía absolutista, por diferentes etapas, con avances o retrocesos, hasta llegar a lo que se viene conociendo como democracias. En éstas el poder reside en el pueblo debidamente representado, más o menos, por unos ciudadanos elegidos cada cierto tiempo, que a su vez eligen un Gobierno que normalmente lo hace en nombre de todos los ciudadanos del país. El poder coactivo para imponer la ley y el orden lo tiene el Estado, que para eso dispone de unas Fuerzas de Seguridad y de unas leyes cuyo exponente máximo en este sentido es el Código Penal, considerado por algunos como una Constitución negativa, pues de igual forma que la Constitución es la norma que indica cómo se quiere regir una determinada sociedad, el Có-
LA SOCIEDAD DE LA INFORMACIÓN: UNA NUEVA DIMENSIÓN
5
digo Penal señala igualmente la manera de comportarse esa sociedad en un momento determinado. Después de esta exposición muy simple, que sólo trata de servir de introducción a lo que viene a continuación y que no debe ser juzgada nada más que como eso, pasamos a ver si en la realidad todo esto se cumple, si verdaderamente el poder emana del pueblo y a través de éste en un Gobierno; si el Estado, hoy día, realmente tiene el poder de coacción para poder hacer cumplir las leyes; si las Fuerzas y Cuerpos de Seguridad del Estado pueden actuar de igual forma en todos los lugares o si esto no es más bien una ficción y el ciudadano, si no se protege a sí mismo, se encuentra en determinados sitios indefenso ante la delincuencia. Alvin Toffler, en su obra El cambio del poder 1, siempre en el contexto en que escribe la mayoría de sus obras en que juega un papel importante la anticipación o la labor, en cierto modo profética, analiza la primera de las cuestiones preguntándose dónde realmente se encuentra hoy día el verdadero poder, en el que se confunde muchas veces el poder político y el económico. El cambio de poder, dice Toffler, que en el pasado suponía una simple transferencia del mismo de unas manos a otras, ya no es así; en el momento actual supone una transformación del propio poder y describir quién lo detenta puede resultar una ardua tarea y a veces imposible de lograr. El poder coactivo que ostenta el Estado para sancionar a los que no cumplen las normas establecidas existe, pero en la práctica podemos constatar que hay muchas posibilidades de que los delincuentes, especialmente cuando disponen de enormes fortunas o bien pertenecen a grupos organizados, fácilmente puedan eludir esas sanciones. Por último, la pregunta es: ¿Dentro del contexto en que nos movemos pueden las Fuerzas y Cuerpos de Seguridad actuar de la misma forma en todos los lugares o bien no es verdad que en ciertos guetos en realidad lo que existe es una impunidad total? La contestación inmediata a esta última pregunta es que no puede actuar en todos los lugares de la misma forma. Continuamente contemplamos en los medios de comunicación, especialmente en la televisión, escenas en las que la policía es acosada y apedreada por grupos, en algunos casos perfectamente organizados y ésta no hace más que defenderse. En estos casos se suele decir que «para evitar males mayores». ¡Pero qué mal mayor puede existir que la propia anarquía y la indefensión de los pobres ciudadanos que por sus circunstancias económicas no les queda más remedio que vivir en esos lugares! 1
Alvin Toffler. El cambio del poder. Plaza & Janés. Esplugues de Llobregat, 1990.
6
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Alain Minc, no olvidemos coautor con Simon Nora, en la década de los setenta, del célebre informe al Presidente de la República Francesa Giscard d’Estaign, La informatización de la sociedad 2, en un excelente libro titulado La nueva Edad Media 3, se pregunta si no estaremos, de algún modo, regresando a las condiciones sociopolíticas existentes en el medievo, con el inconveniente de carecer en nuestra época de unos ideales que en aquélla fueron debidamente cubiertos por el cristianismo. La lectura de este libro nos ha hecho reflexionar sobre lo que está sucediendo en el mundo que nos rodea y que en muy poco tiempo se ha implantado en nuestro país. La existencia en muchas ciudades de lo que Minc denomina «zonas grises», que podemos considerar barrios de marginación en los que prácticamente no se respeta la ley. En estos lugares la policía no se atreve a entrar y los pobres ciudadanos, y pobres en todos los sentidos de la palabra, que han de vivir en los mismos padecen el poderío de bandas de delincuentes que los tienen atemorizados. ¿Volveremos al medievo? Recordemos que en esos tiempos los más débiles tenían que buscar la ayuda del más fuerte, que normalmente era el señor feudal, pero no olvidemos también que esa protección era a cambio de su libertad. ¿Habrán transcurrido siglos para lograr esa ansiada y a menudo hipotética libertad, para que en esta sociedad supertecnificada que, en teoría, debía proporcionarnos más libertad y más igualdad vayamos a retroceder a épocas pretéritas, que a nuestros ojos se presentan llenas de oscuridad, aunque tengamos que reconocer que en otros aspectos fueron enormemente enriquecedoras? ¿Habrá que empezar una vez más de cero? Los avances tecnológicos suponen, y no nos cansaremos de decirlo, indudablemente mejoras, pero no debemos caer en la tentación de obviar, mirando hacia otro lado, que la zanja que se abre entre los que disponen de medios y de educación y los que no disponen de esas posibilidades cada vez es más ancha, y con los movimientos migratorios que se están produciendo hará que la misma aumente aún más. Por otro lado, estos mismos avances ponen en conocimiento de los habitantes de las zonas más desfavorecidas del mundo la forma de vida de los países más desarrollados y la visión que se les da no suele ser la real: esfuerzo, trabajo y sacrificio, sino una visión, en cierto modo, idílica, con lo 2
Simon Nora y Alain Minc. Informe NORA-MINC. La informatización de la sociedad. Fondo de Cultura Económica. México, 1980. 3 Alain Minc. La nueva Edad Media. Temas de Hoy. Madrid, 1994.
LA SOCIEDAD DE LA INFORMACIÓN: UNA NUEVA DIMENSIÓN
7
que les incitan a abandonar sus pobres países y venir a este nuevo y falso Eldorado. La solución para lograr una sociedad más justa no está en esos grandes desplazamientos de masas de población, que al provenir de culturas diferentes suelen crear conflictos con los naturales de los respectivos países, sino en ayudarles a crear riqueza dentro de su propio territorio. En muchos casos también sucede que los desplazados son los mejor preparados de cada país y los más dispuestos a trabajar, con lo que, al emigrar de sus lugares de origen, hacen que la posibilidad de desarrollo de los países que abandonan sea cada vez menor.
1.2. CONCEPTO «La idea de sociedad de la información engloba un conjunto de actividades industriales y económicas, comportamientos sociales, actitudes individuales y formas de organización política y administrativa, de importancia creciente en las naciones situadas en la vanguardia económica y cultural, a lo que no pueden sustraerse los poderes públicos» 4. Este concepto de sociedad de la información no está aún lo suficientemente difundido y en la práctica cada grupo facilita el concepto más afín con sus propios intereses. Por servicio de la sociedad de la información se entiende todo servicio prestado normalmente a cambio de una remuneración, a distancia, por vía electrónica y a petición individual de un destinatario de servicios 5. Los servicios de la sociedad de la información pretenden cubrir una amplia variedad de actividades económicas que se desarrollan en línea; dichas actividades en particular consisten en la venta de mercancías en línea 6. También lo son, en la medida en que representan una actividad económica, los servicios no remunerados por sus destinatarios, como aquellos que consisten en:
4
Real Decreto 1289/1999, de 23 de julio. Creación de la Comisión Interministerial de la Sociedad de la Información y de las Nuevas Tecnologías. Exposición de Motivos. 5 Directiva 98/48/CE del Parlamento Europeo y del Consejo, de 20 de julio de 1998, que modifica la Directiva 98/34/CE por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas. Artículo 1, punto 2. 6 Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular del comercio electrónico en el mercado interior (Directiva del Comercio Electrónico). Considerando 18.
8
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
a) ofrecer información en línea o b) comunicaciones comerciales o c) los que ofrecen instrumentos de búsqueda, acceso y recopilación de datos. Los servicios de la sociedad de la información cubren también servicios consistentes en transmitir información a través de una red de comunicación o albergar información facilitada por el destinatario del servicio. Según la Comunicación de la Comisión del Parlamento Europeo y el Consejo sobre el programa plurianual de la Comunidad para fomentar el desarrollo de la industria europea de los contenidos multimedios y la utilización de éstos en la naciente sociedad de la información (INFO2000), los contenidos informáticos son una de las dimensiones clave de la sociedad de la información. Por contenido se entienden los datos, textos, sonidos, imágenes o combinaciones multimedios de ello, representados en formato analógico o digital sobre diversos tipos de soportes, tales como papel, microfilm o dispositivos de almacenamiento magnético u óptico. Es importante tener una visión de la sociedad de la información y de la economía interrelacionadas a nivel mundial, fruto de la globalización, donde las Tecnologías de la Información y de las comunicaciones desempeñen un papel decisivo en la transformación en todos sus aspectos. Materia prima de esa sociedad de la información son los contenidos. La industria de los contenidos tiene tres actividades principales: a) creación, b) desarrollo, c) configuración y distribución de productos y servicios de contenidos. Se trata de uno de los sectores más importantes de la sociedad de la información. La Unión Europea, consciente de la importancia que tiene este tipo de industria a la hora de apoyar la transición de Europa a la sociedad de la información, ha tratado el tema en diferentes e importantes documentos, entre otros los siguientes: • Libro blanco de Delors sobre «Conocimiento, competitividad y empleo: retos y pistas para entrar en el siglo XXI». • Informe Bangemann sobre «Europa y la sociedad global de la información: recomendaciones al Consejo Europeo».
LA SOCIEDAD DE LA INFORMACIÓN: UNA NUEVA DIMENSIÓN
9
• Conclusiones de las Cumbres de Corfú y Essen. • Plan de Actuación de la Comisión «Europa en marcha hacia la sociedad de la información». • Papeles de la Reunión del G-7 en Bruselas dedicada a la sociedad de la información. La industria de los contenidos es un sector crucial para la sociedad de la información y la economía por las siguientes razones, expuestas en el Documento al que nos referimos anteriormente: 1. El empleo Desde el punto de vista del empleo, proporciona trabajos muy cualificados. 2. Competitividad Los servicios de la información son fundamentales para mejorar la competitividad de la economía europea, por cuanto la información es un factor cada vez más importante a la hora de determinar la eficacia y la productividad de las empresas y administraciones en todo el mundo. 3. Aspectos culturales Los servicios de la información constituyen un importante vehículo de la identidad cultural y la diversidad lingüística europea. La libre circulación de información contribuye al desarrollo cultural de los pueblos. Por todo ello, la función de la industria de los contenidos será cada vez más crucial en el futuro, dado que la expansión de la infraestructura de la información impulsará la demanda de servicios de calidad elevada, sencillos de utilizar y a los cuales sea fácil acceder, y aumentará la necesidad de empleos muy cualificados.
1.3. NECESIDAD DE UN MARCO JURÍDICO La regulación de la sociedad de la información se hace imprescindible ante la aparición de nuevas actividades y también de nuevos actores e intermediarios.
10
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Un cambio de estas características precisa de un marco jurídico apropiado, pero aquí tropezamos con un grave problema: tenemos que regular hechos propios del siglo XXI y las instituciones jurídicas en las que pretendemos acogerlos proceden del siglo I, y aun algunas de épocas anteriores del Derecho Romano. Sería pretencioso por parte del autor dar su opinión en esta materia, por lo que nos remitimos a lo dicho por otros autores en el mundo del derecho. El profesor Pérez Luño 7, en una magnífica obra, nos dice: «Los juristas debemos realizar un esfuerzo para superar la tendencia congénita a escanciar el vino nuevo de las cuestiones que emergen del cambio social y tecnológico en los odres viejos conceptuales y metódicos de la dogmática jurídica tradicional». La Unión Europea, a través de diferentes Recomendaciones, Decisiones del Consejo y Directivas, ha tratado, desde hace más de una década, de armonizar la legislación de los diferentes Estados miembros sobre las distintas materias que inciden sobre la sociedad de la información, unas veces con mayor y otras con menor fortuna. Dada la dificultad que en muchas ocasiones se presenta a la hora de legislar sobre hechos nuevos, pensamos que en algunos casos lo que se propone viene a ser una especie de globo sonda para, una vez visto el resultado que produce afinar más en la regulación conveniente; de ahí el carácter temporal de algunas disposiciones y la reserva de revisión pasado un cierto tiempo que se hace en otras. El hecho de que la Unión Europea sea tan sólo un espacio geopolítico, importante sí, pero sólo eso, dentro del mundo en el que existen otros espacios geopolíticos tan importantes o más, hace que lo que legisle tenga un ámbito de aplicación limitado. Es necesario crear un marco jurídico mundial que obligue a todos, pero mientras no se logra bueno es que, por lo menos en algunas partes del planeta, se tenga conciencia de la importancia que tiene fijar las reglas del juego en materias que nos afectan a todos los seres humanos. Ya en el año 1988, en la Unión Europea existía conciencia de la importancia de establecer un mercado de servicios de la sociedad de la información 8. 7
Antonio Enrique Pérez Luño. Manual de Informática y Derecho. Ariel Derecho. Barcelona,
1996. 8 Decisión 88/524/CEE del Consejo. Plan de acción por la creación de un mercado europeo de servicios de información. Decisión 91/691/CEE del Consejo, de 12 de diciembre de 1991, por la que se crea un programa destinado a establecer un mercado de servicios de la información.
LA SOCIEDAD DE LA INFORMACIÓN: UNA NUEVA DIMENSIÓN
11
Se pensaba que, debido a la importancia económica de la información, la creación de un mercado común de servicios de la sociedad de la información constituiría un elemento esencial en el fortalecimiento del mercado interior. Como siempre, existen barreras de índole legal, administrativa, fiscal y técnica que se oponen en los diferentes Estados miembros al desarrollo del mercado interior de la información y que, por consiguiente, impiden la creación de nuevos servicios provocando, en algunos casos, distorsiones en la competencia. Los diferentes ritmos de desarrollo de la prestación y utilización de los servicios de información en los distintos Estados miembros merecen una especial atención con miras a fortalecer la cohesión interna de la Unión y el funcionamiento del mercado interior. Para ello es necesario establecer el marco jurídico adecuado y crear los programas precisos a fin de establecer las condiciones necesarias para un óptimo funcionamiento del mercado de servicios de la sociedad de la información. En estos últimos años, la Unión Europea ha aprobado importantes planes, entre ellos el correspondiente a la acción comunitaria para propiciar una mayor seguridad en la utilización de Internet mediante la lucha contra los contenidos ilícitos y nocivos en las redes mundiales 9. Se han publicado importantes Directivas, entre ellas la relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información 10 y la relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior 11. Estas directivas afrontan nuevos problemas nacidos de la aparición de Internet y de su rápida difusión. Los derechos de autor aceptados y admitidos durante muchos años ahora están cuestionados al poder ser incorporadas y transmitidas las obras, tanto musicales como literarias o programas de ordenador, por la Red y fácilmente y sin ningún requisito bajadas de ésta. 9 Decisión n.o 276/1999/CE del Parlamento Europeo y del Consejo, de 25 de enero de 1999, por la que se aprueba un plan plurianual de acción comunitaria para propiciar una mayor seguridad en la utilización de Internet mediante la lucha contra los contenidos ilícitos y nocivos en las redes mundiales. 10 Directiva 2001/29/CEE del Parlamento Europeo y del Consejo, de 22 de mayo de 2001, relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información. 11 Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico).
12
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Los diferentes servicios de la sociedad de la información, así como el comercio electrónico, son objeto de otra directiva, como hemos dicho anteriormente. Aunque en todas las directivas se suele decir que la fiscalidad no es objeto de ellas, la verdad es que ésta planea sobre todos los temas que se tratan. El temor de los Estados miembros y de la propia Unión Europea a la pérdida del control sobre los impuestos por las transacciones realizadas en Internet indudablemente es una realidad, y esta preocupación hace que, poco a poco, la Red quede regulada olvidando muchas veces que su inicial atractivo fue su propia anarquía.
1.4. PELIGRO DE SATURACIÓN EN LA ELABORACIÓN DE NORMAS Si peligrosa es la inexistencia de normas que regulen la sociedad de la información, más aún nos parece que lo es una sobresaturación de éstas. Miedo nos da cuando oímos al representante de algún Ministerio Tecnológico decir que tienen pendientes de publicar numerosas disposiciones para regular todo lo habido y por haber relacionado con los servicios de la información. Se trata de un tema muy delicado y con la proliferación de nuevas normas, la mayoría ininteligibles para el común de los mortales, podemos asustar a aquellos que piensan en incorporarse a estos nuevos servicios o al comercio electrónico. En los momentos actuales, es preciso crear confianza, y ésta no se logra con normas en las que se establecen sanciones desproporcionadas. Éste es el mejor camino para asustar a los futuros comerciantes electrónicos y para hacerlos huir de estas nuevas formas de comerciar. A veces, cuando analizamos algunas de estas nuevas disposiciones con su alta complejidad técnica pensamos malévolamente que algunos pretenden que todo siga como está por temor a eso que se viene denominando nueva economía sin entender que esta nueva economía es perfectamente compatible con la economía tradicional.
1.5. CUESTIONES 1.5.00. ¿Cómo se puede definir la sociedad de la información? 1.5.01. ¿Qué es un servicio de la sociedad de la información?
LA SOCIEDAD DE LA INFORMACIÓN: UNA NUEVA DIMENSIÓN
13
1.5.02. ¿Qué es un contenido? 1.5.03. ¿Qué actividades principales tiene la industria de los contenidos? 1.5.04. ¿Cuáles son las razones por las cuales la industria de los contenidos es un sector crucial para la sociedad de la información? 1.5.05. ¿Qué problemas presenta encuadrar los nuevos hechos en el derecho? 1.5.06. Enumerar algunas Directivas europeas relacionadas con las Tecnologías de la Información. 1.5.07. ¿Qué problemas presenta Internet de cara a la fiscalidad de los Estados? 1.5.08. ¿Qué puede asustar a las empresas para participar en el comercio electrónico? 1.5.09. ¿A qué denomina Alain Minc «zonas grises» de las ciudades?
2 El comercio electrónico «Entonces comenzaron los sortilegios y los encantos; los embaucadores de la lluvia, que pretendían mandar a las nubes, llamaron a los huracanes y las lluvias de piedra en su socorro; para esto cogieron hojas de todos los árboles distintos del país y las hirvieron a fuego lento, mientras mataban un cordero, hundiéndole una larga aguja en el corazón, pero a pesar de sus ceremonias el cielo permaneció puro y de nada les sirvió su carnero, ni sus gestos.» (Cinco semanas en globo, Julio Verne)
2.1. GENERALIDADES La unión de la Informática y las Telecomunicaciones en lo que se ha venido en denominar Tecnologías de la Información y las Comunicaciones (TIC) ha abierto nuevos horizontes en diversos campos, y uno de ellos, y de los más importantes por su contenido, es el mercantil. Esta nueva forma de relación rápida y barata, que llega a todas partes del mundo, puede servir para abrir nuevos mercados impensables hasta hace poco tiempo y permitir el intercambio entre lugares lejanos y culturas diferentes. En algunas ocasiones, este intercambio se puede realizar en su totalidad por medios electrónicos, tal es el caso de los productos digitales en los que tanto las peticiones como los propios envíos de los productos pueden ser remitidos a través de las redes de comunicaciones. En principio, una de las ventajas que nos puede ofrecer este nuevo tipo de relación es la eliminación de intermediarios, lo que debería repercutir en una disminución de los costes. En la práctica, vemos que esto, en algunos casos, no es así, puesto que desaparece un tipo de intermediario y de pronto aparecen otros que, a veces, en lugar de abaratar los productos lo que hacen, en realidad, es encarecerlos. 15
16
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Nos encontramos en una época de tránsito, apasionante en sí misma, pero no olvidemos que, como toda época de cambio, está llena de incertidumbre y, en definitiva, es creadora por sí de nuevos problemas. Este nuevo tiempo opera de distinta forma sobre unas y otras profesiones y ello trae consigo la existencia de intereses cruzados que lo que hacen es enturbiar el ambiente y, en cierto modo, impedir que la deseable expansión de estos nuevos sistemas de relación mercantil se produzca de forma más rápida. Otro problema que entendemos no ayuda nada para el avance del comercio electrónico es la falta de una definición clara y precisa de lo que en realidad es, mezclándose muchas veces churras con merinas, para ofrecer cifras de uso no acordes, en ningún caso, con la realidad. Prueba de esa falta de definición es que la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior, que a sí misma se denomina Directiva sobre el comercio electrónico, en su artículo 2 define todo lo imaginable, pero no da una definición de lo que es el comercio electrónico. Creemos que el legislador debía haber afrontado el problema de cara, dando una definición que entendemos debería estar desligada de intereses particulares. El comercio electrónico, nos guste o no, nos interese o no, nos produzca beneficios o perjuicios, está ahí, y con poco que se lo permitan, los que de una u otra forma lo están ahogando, tiene un porvenir fabuloso. Ahora bien, el camino para que avance no es el seguido hasta hace poco tiempo, lleno de fantasías irrealizables, con costes faraónicos, que ha llevado a situaciones poco deseables, ni tampoco el que se está siguiendo ahora, en cierto modo, como lógico rechazo a todo lo anterior. Poner el comercio electrónico en manos de los negocios tradicionales no permitirá su lógica expansión, pues éstos tratarán de que el sistema se amolde a su forma de pensar, muy alejada, por supuesto, de lo que ellos entienden por aventuras ciberespaciales. En el pasado reciente, conceptos como empresa virtual o corporación virtual se han ido abriendo paso en el mundo de los negocios. Cambios estructurales, con la eliminación de los sistemas piramidales sustituidos por otros de carácter horizontal con la práctica eliminación de los mandos intermedios, también se han producido, pero todos ellos, admitiendo lo que han tenido de novedoso y las ventajas competitivas que han proporcionado, se han producido con una mentalidad que, en cierto modo, seguía siendo la
EL COMERCIO ELECTRÓNICO
17
de la empresa tradicional. El comercio electrónico tiene que ser algo totalmente distinto y por ello resulta muy difícil que pueda ser gestionado por los mismos que vienen organizando el mercado tradicional; los hechos nos lo están demostrando. En muchos casos, los que propiciaron esas aventuras ciberespaciales a los que nos referimos anteriormente tenían razón, en lo que no la tenían era en los grandes despilfarros realizados sin los necesarios análisis previos de la situación. Hasta ahora, lo que ha venido en llamarse comercio electrónico se ha dirigido a mantener el sistema EDI, a realizar lo que se viene denominando B2B, o sea, el comercio entre empresas; poco o nada, el B2C, es decir, el comercio con el consumidor, y menos aún el B2A, la venta anónima, que es la que más se utiliza en el mundo fuera de las redes de comunicaciones. Para algunos autores, el comercio electrónico se ha convertido en una especie de cajón de sastre en el que cabe todo aquello que no tiene un lugar propio en el ámbito mercantil del ordenamiento jurídico. Por ello, consideramos muy importante llegar a establecer unos límites precisos entre lo que realmente es comercio electrónico y lo que no lo es. No pretendemos en esta sencilla obra lograrlo, pero sí desearíamos dejar sentadas las bases para que la Doctrina se interese por el tema y logre el resultado deseado. No podemos olvidar, como se dice en uno de los Considerandos de la Directiva sobre el comercio electrónico, que «El desarrollo del comercio electrónico en la sociedad de la información ofrece importantes oportunidades para el empleo en la Comunidad, especialmente para las pequeñas y medianas empresas, que facilitará el crecimiento de las empresas europeas, así como las inversiones en innovación, y también puede incrementar la competitividad de la industria europea, siempre y cuando Internet sea accesible para todos». Esto es posible, pero no debemos repetir experiencias pasadas en las que intentamos gravar a la pequeña y mediana empresa con grandes inversiones en tecnología y el resultado fue el fracaso. No es el mejor camino para convencer a las pequeñas y medianas empresas para que se animen a entrar en el comercio electrónico la publicación de leyes restrictivas que levanten temores, en algunos casos infundados pero en otros no tanto, y amenazar con sanciones que en ocasiones, en el peor de los casos, pueden suponer la desaparición de las propias empresas. Actitudes así no son el mejor camino, repetimos, para expandir el comercio electrónico y lograr el desarrollo óptimo necesario.
18
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Consideramos que, entre los elementos necesarios que debemos cuidar para que el comercio electrónico se desarrolle debidamente, se encuentran: a) b) c) d) e) f) g) h) i)
autentificación y seguridad, confianza del consumidor, contenido de los sitios web dedicados al comercio, infraestructura de la información, derechos de propiedad intelectual, jurisdicción, responsabilidades, protección de los datos de carácter personal, tarifas e impuestos.
Estos elementos, que son claves para crear confianza en el consumidor, los podemos resumir en los siguientes: 1) transparencia, 2) privacidad, 3) seguridad. En cualquier caso, Internet y las demás redes que se implanten deben ser un medio barato para hacer negocio y todo lo que conduzca a lo contrario va, en definitiva, en contra de ese comercio electrónico del que todos hablan, pocos conocen y del que muchos desean obtener beneficios, algo, por otro lado, perfectamente lícito siempre que se haga dentro de las normas del mercado.
2.2. LÍMITES CONCEPTUALES Se pueden distinguir tres clases de comercio: Comercio de conveniencia En el que incluimos el pequeño comercio de barrio, en el que el cliente goza de privilegios como que le conozcan e incluso le fíen. Comercio como actividad social Se concibe como una actividad lúdica en la que el consumidor suele compaginar el paseo con la compra, siendo el terreno apropiado para esta concepción las grandes superficies.
EL COMERCIO ELECTRÓNICO
19
Comercio electrónico Éste se podría usar cuando al cliente no le apetece desplazarse, busca un mejor precio y no le importa esperar un cierto tiempo para recibir lo solicitado. Vamos a centrarnos en esta última clase de comercio. Lo primero que tenemos que hacer es llegar a definir lo que es comercio electrónico de la forma más clara y precisa posible, para así poder determinar sus límites y fijar qué es y qué no es comercio electrónico. No pretendemos aquí lograr ese objetivo, pero sí poner de relieve el problema y aportar lo que se pueda a su resolución. A estos efectos vamos a examinar una serie de definiciones facilitadas por diferentes autores y en distintos momentos en sus obras. En el libro editado por Otero Hidalgo 1, resultado del Proyecto FOREDI, aparecen varias definiciones de comercio electrónico desde perspectivas distintas: Desde una perspectiva de comunicaciones El Comercio Electrónico es la entrega de información, producto/servicios o pagos por medio de líneas telefónicas, redes de ordenadores o cualquier otro medio electrónico. Desde una perspectiva de procesos de negocios El Comercio Electrónico es la aplicación de la tecnología a la automatización de procesos de negocios y flujo de trabajo. Desde una perspectiva de servicio El Comercio Electrónico es una metodología de negocios que permite satisfacer a los proveedores y clientes, ahorrando costes, aumentando la calidad de los productos y la rapidez de su entrega. Desde una perspectiva on line El Comercio Electrónico es la capacidad para comprar y vender productos/servicios e información a través de Internet u otras redes que se encuentren interconectadas. 1 Carlos Otero Hidalgo. El Comercio Electrónico. Fundamentos y situación en España. Esín. Madrid, 1998.
20
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Según Muñoz Machado 2: «El comercio electrónico se refiere a una actividad mercantil en la que dos o más interesados se ponen de acuerdo en un intercambio y se reconocen mutuamente derechos y obligaciones relacionados con el mismo». Cuesta Fernández 3 lo define como «un sistema de venta a distancia en el cual el medio es la red, lo que aporta de forma muy especial es la componente de mundialización absolutamente acorde con los tiempos». En el Factbook Comercio Electrónico de Davara & Davara Asesores Jurídicos 4, que dirige el prestigioso abogado y catedrático Miguel Ángel Davara Rodríguez, figura la siguiente definición: «Por comercio electrónico podemos entender tanto la compra de productos o servicios por Internet como la transferencia electrónica de datos entre operadores de un sector en un mercado, o el intercambio de cantidades o activos entre entidades financieras, o la consulta de información, con fines comerciales, a un determinado servicio, o un sinfín de actividades de similares características realizadas por medios electrónicos; pero, para no perdernos en ambigüedades, entenderemos en un sentido amplio que es comercio toda aquella actividad que tenga por objeto o fin realizar una operación comercial y que es electrónico cuando ese comercio se lleva a cabo utilizando la herramienta electrónica de forma que tenga o pueda tener alguna influencia en la consecución del fin comercial, o en el resultado de la actividad que se está desarrollando. No se trata solamente de compras por Internet, ya que podemos tratar cualquier tipo de intercambio de información de entre los que destacamos, por parecer más propios de la contratación electrónica, el tema de las ofertas sin realizar la transición y la publicidad: ofertas para el conocimiento de los productos y publicidad para conocer las novedades del mercado en un ámbito o sector determinado que, incluso, se adapten a los gustos y necesidades de cada consumidor, en una oferta, y conocimiento de los bienes ofertados o anunciados, que se puede considerar dinámica o flexible, de acuerdo con el diálogo que se establezca entre el ofertante, o en su caso anunciante, y el consumidor». Comercio se suele definir como 5 «negociación que se hace comprando y vendiendo o permutando géneros, mercancías o valores para au2 Santiago Muñoz Machado. La regulación de la red. Poder y Derecho en Internet. Taurus. Madrid, 2000, pág. 122. 3 Félix Cuesta Fernández. La empresa virtual. Mc Graw Hill. Madrid, 1998, pág. 245. 4 Factbook Comercio Electrónico Davara & Davara Asesores Jurídicos. Aranzadi. A Thompson Company Elcano (Navarra), 2001. 5 Diccionario de la Lengua Española. Real Academia de la Lengua. Vigésima primera edición, 1992, pág. 365.
EL COMERCIO ELECTRÓNICO
21
mentar el caudal». Y negociar 6 es «tratar y comerciar comprando y vendiendo o cambiando géneros, mercaderías o valores para aumentar el caudal». Vemos, pues, que según la definición que analicemos, su contenido es más o menos amplio y que depende, en gran manera, de la perspectiva desde la que lo contemplemos, influyendo mucho si es desde el dominio jurídico o desde el técnico.
2.3. LA GLOBALIZACIÓN DE LA ECONOMÍA Es importante que antes de seguir reflexionemos, aunque sea brevemente, sobre uno de los fenómenos ocurridos en el tiempo en que nos ha tocado vivir y que tiene gran trascendencia para el tema que estamos tratando: la globalización de la economía en nuestros días. La idea de globalización de que hablaba hace más de cuatro décadas el pedagogo McLuhan, y a la que nos hemos referido anteriormente, en su aspecto económico ya es una completa realidad. Hasta hace pocos años, en nuestro país apenas nos importaba la cotización de los valores en otras Bolsas que no fuesen las españolas, y especialmente la de Madrid. Hoy, cuando la Bolsa de Nueva York sufre un pequeño resfriado, enseguida somos conscientes de que en nuestra Bolsa tendremos una pulmonía. Hasta tal punto ha llegado a producirse esa globalización que cualquier perturbación que se produzca en un mercado, rápidamente se traslada a los demás. En la actualidad, la inestabilidad existente en los mercados sudamericanos, principalmente en Argentina y Brasil, está ocasionando graves pérdidas en los mercados europeos, especialmente en el español. Cada vez más, las naciones no se pueden plantear una política autárquica y deben relacionarse más con otros países creando espacios geopolíticos y de moneda única que impliquen un mercado mayor y una mayor seguridad de las monedas. Así vemos que han ido apareciendo movimientos en diferentes partes del mundo en los que grupos de países se unen para crear mercados más amplios que los puramente nacionales. En el continente europeo la Unión Europea, que agrupa a los siguientes países: Alemania, Francia, Italia, Holanda, Bélgica, Luxemburgo, Reino 6
Obra citada, pág. 1.015.
22
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Unido, Irlanda, Dinamarca, España, Portugal, Grecia, Suecia, Finlandia y Austria, y están pendientes de ingresar: 1. Con condiciones favorables: Polonia, República Checa, Hungría, Eslovenia, Estonia, Chipre, Malta, Letonia, Lituania, Rumanía, Bulgaria y Eslovaquia. 2. Con condiciones: Turquía. 3. A largo plazo: Bosnia, Croacia, Macedonia y Albania. En el continente americano, en el norte: el Tratado de Libre Comercio de América del Norte, que comprende Canadá, Estados Unidos y México. En el sur: Mercosur, que agrupa los siguientes países: Argentina, Brasil, Paraguay y Uruguay. En el continente asiático se ha creado la organización Asia-Pacific Economic Cooperation (APEC), que integra los siguientes países: Australia, Chile, Indonesia, Malasia, Papua Nueva Guinea, Taiwan, Brunei, República Popular China, Japón, México, República de Filipinas, Tailandia, Canadá, Hong Kong, República de Corea, Nueva Zelanda, Singapur y Estados Unidos. Como vemos, los mercados nacionales se han quedado pequeños y hay que acudir a mercados supranacionales, pero pronto nos estamos dando cuenta de que esos nuevos espacios geopolíticos, esos mercados supranacionales creados tampoco son suficientes y hay que ir a mercados mayores debido todo ello a esa globalización creciente en la economía. En un mercado de esas características es de vital importancia la existencia de una forma de relación mercantil rápida, segura, en todos sus aspectos, para la que las fronteras prácticamente no existan.
2.4. TIPOS DE COMERCIO ELECTRÓNICO Podemos considerar diferentes tipos de comercio electrónico según el objetivo que persigamos: I) Por cómo se perfecciona el contrato a) Comercio electrónico perfecto Todas las fases de la contratación se realizan de manera electrónica, desde el perfeccionamiento del contrato hasta el pago del precio y la entrega de la cosa. b) Comercio electrónico imperfecto Todas las fases de la contratación se realizan de manera electrónica, excepto el pago y la entrega de la cosa que siguen sistemas tradicionales.
EL COMERCIO ELECTRÓNICO
23
II) Por el medio de pago a) Pago dentro de la red 1) dinero electrónico 2) tarjeta de plástico: – débito – crédito – empresa b) Pago fuera de la red 1) metálico 2) reembolso postal 3) transferencia bancaria 4) tarjeta de plástico: – débito – crédito – empresa III) Por el tipo de red a) Redes externas Cuando la operación se realiza a través de redes públicas externas. Ejemplo: Internet. b) Redes internas 1) Propiamente internas Cuando la operación se realiza a través de una red propia. 2) A través de una red pública protegida Cuando la operación se realiza a través de una red que, aunque es pública, facilita tal tipo de protección que resulta similar a una privada. IV) Por el ámbito de aplicación a) Nacional Cuando las partes contratantes operan dentro del territorio de un país determinado. b) Comunitario Cuando las partes contratantes operan dentro del territorio de la Unión Europea. c) Internacional Cuando las partes contratantes operan fuera del territorio nacional.
24
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
V) Por el resultado a) Válido Si no existe ninguna causa que lo invalide. b) No válido Cuando el contrato no reúne los requisitos necesarios. VI) Según las partes que intervienen a) B2B empresario y empresario Cuando los intervinientes son ambos empresas. b) B2C empresario y consumidor Cuando los intervinientes son empresario y consumidor y este último se puede determinar. c) B2A empresario y consumidor anónimo Cuando las partes son una empresa y un consumidor cuya identidad no se puede determinar. Como fácilmente se puede deducir, podríamos seguir enumerando otros tipos de comercio electrónico, pero los detallados son los más admitidos por los autores.
2.5. LA IMPORTANCIA DE LA CONFIANZA EN EL MUNDO DE LOS NEGOCIOS La confianza debe ser uno de los pilares en los que se sostenga la relación mercantil. La inexistencia de confianza en un mercado determinado fatalmente conduce a su desaparición. En nuestra vida cotidiana, en el mundo real, llamémosle así para diferenciarlo del mundo de las redes que podemos considerar virtual, cuando vamos a comprar, por ejemplo, pescado nos fiamos más de la persona que nos lo vende que de la visión del producto que tenemos ante nuestros ojos, del que desconocemos su deseada frescura y su calidad, pues normalmente no tenemos los conocimientos suficientes para apreciar esas cualidades del producto. En definitiva, es la confianza en el pescadero, en este caso, la que nos ayuda a decidirnos a efectuar la compra. En la Bolsa, si vemos que una Sociedad está bien gestionada y da buenos dividendos, nos inspira confianza y compramos sus acciones. Luego, si por el motivo que sea, comienza a ir mal, pronto aquella confianza que habíamos depositado en ella se pierde, y rápidamente intentamos vender las acciones.
EL COMERCIO ELECTRÓNICO
25
Recientemente hemos visto en la práctica que la desconfianza en los gestores de grandes empresas americanas, por el descubrimiento de los fraudes cometidos, ha tenido como consecuencia el derrumbe de los mercados bursátiles, que necesitarán mucho tiempo para poder recuperarse, pues una vez perdida por los inversores esa necesaria confianza tardarán años en olvidar lo ocurrido y encaminarán sus inversiones hacia otros objetivos que les merezcan más confianza y especialmente hacia bienes más tangibles, como la inversión inmobiliaria y el oro, siempre último refugio en épocas de crisis. Vemos, pues, que un factor importantísimo a la hora de tomar decisiones respecto a las relaciones mercantiles que pensamos realizar es la confianza en que todo va a ir bien. Pues bien, esa confianza, esa seguridad en el feliz término de nuestra relación mercantil, que normalmente existe en el mundo real, aunque en la práctica no siempre se llegue a ese final deseado, hoy día todavía no existe en el mundo electrónico virtual. Entendemos que esa creencia de la inseguridad de las relaciones mercantiles por las redes, especialmente por Internet, no basada siempre en hechos reales y muchas veces alimentada por quienes están interesados en expandir las medidas de seguridad, es algo irracional; y, por tanto, más que tratarlo implantando costosas medidas de seguridad sin ton ni son sería preciso un tratamiento en el que la sicología y la sociología tuviesen gran protagonismo. Que existe cierto grado de inseguridad en la Red es verdad, pero antes de seguir deberíamos contestarnos la siguiente pregunta: ¿es completamente seguro el mundo real? La contestación sería que no, ya que estamos conviviendo continuamente en nuestra vida cotidiana con un cierto grado de inseguridad que en algunos lugares de la Tierra alcanza altos niveles difícilmente soportables. Deseamos, y eso es bueno, que la Red sea totalmente segura, pero tendremos que reconocer que eso es una utopía ya que la Red simplemente es un reflejo de la sociedad en que vivimos, con sus virtudes y también con sus defectos. Por lo tanto, es un error tratar el tema de la seguridad en Internet como un problema exclusivamente tecnológico, olvidando sus aspectos sicológicos y sociológicos. Difícilmente se resolverá si el punto de partida no es la comunicación adecuada entre cuantos participan en las transacciones a través de las redes de comunicaciones. Esto no quiere decir que no haya que implantar las necesarias medidas de seguridad en Internet. Sí, hay que hacerlo, pero sólo en el nivel necesario y nada más. Resulta ridículo implantar costosas medidas de seguridad, como
26
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
muchas veces hemos visto, para proteger información que, en realidad, no valía nada. Las medidas de seguridad que se implanten deben ser las necesarias que se correspondan con la importancia de la información de que se trate y el nivel de confidencialidad que exija esa información no malgastando el patrimonio de las organizaciones con protecciones exageradas que no conducen a nada.
2.6. VIABILIDAD DEL COMERCIO ELECTRÓNICO EN NUESTRA SOCIEDAD La globalización de la economía ofrece a los compradores la posibilidad de acceder a múltiples ofertas y, con ello, poder elegir mejor y a menor precio. Esta circunstancia hace que los clientes sean, en la mayoría de los casos, poco fieles a una marca, algo que era habitual en un pasado próximo. Teniendo en cuenta que los clientes fieles se han convertido en un bien escaso, la fidelización de clientes es una de las principales fuentes de valor de las empresas. Si en el pasado la estrategia de las empresas estaba basada en el producto, en el precio o en la publicidad, en los momentos actuales empieza a estar basada en una filosofía orientada hacia el cliente. Para una buena marcha del negocio, es necesario conocer perfectamente los clientes que tenemos y, de ellos, cuáles son los más rentables y valiosos al objeto de mantenerlos fieles a nuestra marca. Hoy día, con las herramientas de almacenamiento que existen y las técnicas de minería de datos que, aunque aún se encuentran en período de investigación en las universidades, ya se están utilizando, ese seguimiento de nuestros clientes ya es factible. Con el empleo de estas técnicas ya podemos disponer de datos no a nivel de grupo o de sector, sino personalizados, cliente a cliente, con lo que esto puede suponer de ahorro en el marketing, eliminando tanta publicidad inútil que, en muchos casos, termina deteriorando la imagen de la marca. En una situación así, el comercio electrónico puede suponer la solución ideal dado su alto componente tecnológico, siempre y cuando avancen lo suficiente las medidas de logística en los casos en que los envíos tengan que realizarse fuera de la Red, algo que, por desgracia, no siempre está resuelto. Para lograr que ese comercio electrónico tan ansiado sea una realidad, hemos de lograr también que las leyes que lo vayan regulando no asusten
EL COMERCIO ELECTRÓNICO
27
con medidas excesivamente restrictivas, que lo que hacen es retraer al que estaba pensando en utilizarlo. No hay mejor método para evitar que cualquiera utilice un sistema nuevo que incluir en la ley que regule la actividad graves sanciones y cuantiosas multas. Muchas veces los legisladores se olvidan de que vivimos en un mundo globalizado y que si en un espacio geopolítico restringimos algo, basta con trasladarse fuera del mismo para poder seguir con la misma actividad y lo único que se consigue con ello es perder competitividad en ese gran zoco mundial. Con el comercio electrónico y el uso de las redes de interconexión a nivel mundial, se abren nuevos horizontes, nuevos mercados y, así, productos que pensamos que ya no interesaban o en los que la demanda era minoritaria se ve que en estas nuevas condiciones pueden entrar de nuevo en el mercado. Por ello es muy importante que todos pongamos nuestro granito de arena para lograr el avance del comercio electrónico; desterrando intereses espurios, que unas veces lo ofrecen como la panacea universal y otras exageran sus defectos, como en el caso de la inseguridad, en el que se olvida que una inseguridad igual o mayor existe en el llamado «mundo real», si es que admitimos esa idea tan extendida de dividir el mundo en real y virtual. Una de las dificultades que se suele presentar como de las más importantes a la hora de implantar el comercio electrónico en nuestro continente, y que diferencia a Europa de los Estados Unidos, es la derivada de las diferencias culturales existentes entre los pueblos europeos, especialmente a la hora de colaborar unos con otros. Fuera de los factores de tipo cultural, se consideran como impedimentos para una rápida expansión del comercio electrónico en el continente europeo: a) el alto coste necesario para su implantación, b) la inexistencia, en muchos casos, de estándares que faciliten el trabajo conjunto, c) la necesidad de crear una sólida infraestructura, d) las carencias funcionales de los propios productos. Otra diferencia entre lo que ocurre en los Estados Unidos y en Europa ha sido la forma de regular el comercio electrónico siguiendo dos caminos diferentes. En Estados Unidos se ha dado protagonismo a las empresas, lo que ha permitido un rápido desarrollo. En cambio, en Europa se está dando prioridad al establecimiento de un marco legal que impulse el comercio electrónico.
28
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Se han publicado directivas, como la del comercio electrónico, en las que se prevé la posibilidad de implantar códigos éticos de autorregulación y sistemas de arbitraje para la resolución de conflictos en la Red. Como podemos ver, existen dificultades para la expansión del comercio electrónico en Europa, pero ninguna de ellas es insalvable, por lo que, con el tiempo y buena voluntad, se pueden superar, siempre y cuando la legislación comunitaria sea coherente con ese deseo de implantación y no se convierta en una dificultad más a salvar. También es importante, y a veces nos olvidamos de ella, la experiencia que el comprador tenga en Internet y la manera como se le presente la posible transacción. Existen dos tipos de presentación: una que podemos denominar funcional y otra disfuncional. En la primera, la interfaz entre Internet y el comprador se percibe como fácil, amigable, ergonómica y que aporta altas cuotas de valor a éste ahorrándole esfuerzos, ansiedades e incertidumbres. En el segundo caso, al comprador se le pide más, pues de él depende que funcionen ciertos aspectos que no son fáciles de utilizar o comprender y, por lo tanto, se le obliga a invertir mayores cuotas de esfuerzo y energía para conseguir los objetivos. Desgraciadamente, son más frecuentes las experiencias de la segunda clase, lo que viene siendo un impedimento más a la hora de desarrollar esta nueva forma de negociar. Otro de los problemas que suele presentarse para el desarrollo del comercio electrónico, especialmente en nuestro país, es el de la distribución de los productos fuera de la Red, cuando ésta es necesaria por tratarse de productos que no son digitales. La solución que se podría dar vendría por ofrecer una logística especializada en tratamiento de pedidos, gestión de stocks, coordinación de proveedores y almacenaje y distribución eficientes.
2.7. COMERCIO ELECTRÓNICO VERSUS COMERCIO TRADICIONAL Algunos han presentado la nueva situación como una lucha fratricida entre el comercio electrónico y el comercio tradicional, olvidándose de los sucesivos cambios que ha experimentado el comercio a través de los siglos desde el simple trueque de mercancías entre habitantes de lugares próximos hasta las formas actuales.
EL COMERCIO ELECTRÓNICO
29
Auguraban algunos que el comercio electrónico traería consigo la desaparición del comercio tradicional, cosa que, por el momento, no ha ocurrido ni esperamos que suceda. Cada uno tiene su espacio propio, aunque, como siempre suele pasar, haya colisiones entre espacios de intersección entre ambos conjuntos. Entendemos que no se trata de iniciar una lucha de ningún tipo; en unos casos lo más interesante será utilizar las nuevas tecnologías y en otros casos no.
2.8. FUTURO DEL COMERCIO ELECTRÓNICO Tenemos la costumbre de leer, en algunos casos simplemente ojear, varios diarios, tanto de información general como dedicados a los temas económicos, y archivar los artículos y noticias que se refieren a las Tecnologías de la Información y las Comunicaciones y posteriormente, pasado algún tiempo, efectuar una selección de los mismos releyéndolos y eliminando los que ya consideramos que no merece la pena guardar. Solemos aprovechar para realizar esta tarea los descansos en los hoteles durante los viajes que realizamos y últimamente ha resultado muy curioso releer lo que decían algunos especialistas en el año 2000 sobre lo que iba a suceder en el futuro con el comercio electrónico. Rezumaban euforia y garantizaban un futuro esplendoroso para los que se subiesen a ese carro de prosperidad; del mismo modo, presagiaban todos los males para quien no lo hiciese, pues pronosticaban la desaparición del comercio tradicional; para ellos, todo iba a ser comercio electrónico. Los que siempre hemos mantenido la misma teoría dijimos que el comercio electrónico era importante, sí, pero que había que actuar con cautela; que no suponía la desaparición del comercio tradicional, sino que conviviría con él; que lo que sí iba a propiciar era la aparición de nuevos mercados y nuevos productos, como así ha sido; que era un comercio de euro a euro, entonces decíamos de peseta a peseta, más que de inversiones multimillonarias. Esas grandes inversiones, que se han hecho muchas veces sin ton ni son, han causado mucho daño a la progresión de este tipo de comercio, pues ahora, después de la decepción experimentada, los grandes inversores, muchos de los cuales han sufrido enormes pérdidas, recelan de invertir un euro más. Como se equivocaron antes al hacer caso de los consejos de algunos iluminados también se equivocan ahora al rechazar este nuevo modelo de negocio.
30
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
El futuro del comercio electrónico está asegurado, siempre y cuando se realice en debida forma, con la inversión necesaria pero ni un euro más, analizando previamente el negocio en el que nos vamos a meter y sin pensar que esto es la panacea universal que va a arreglar todos nuestros problemas. Entendemos, repetimos, que leyes como la que estamos analizando no ayudan precisamente a la progresión del comercio electrónico ni a la extensión del uso de Internet. Olvida muchas veces el legislador que incorporar a las leyes duras sanciones y cuantiosas multas sirve, en la mayoría de los casos, para asustar a la persona cumplidora de sus deberes, que se retrae de incorporarse al nuevo mercado; pero, sin embargo, no sucede así con el que no piensa en cumplir la ley y que buscará todo tipo de triquiñuelas para saltársela sin que le sancionen. Por lo tanto, sanciones sí, pero las mínimas y sin olvidar que con un pequeño traslado, el comercio electrónico se puede realizar desde otro país no sujeto a leyes restrictivas, con lo que esto tiene de perjudicial para nuestra economía. Hemos de ser conscientes de que el comercio electrónico en el que intervienen los consumidores aún está sin desarrollar y el que se viene realizando suele ser entre empresas. Cuando se consiga que el consumidor final intervenga, la explosión del comercio electrónico será un hecho.
2.9. CUESTIONES 2.9.00. Definir el comercio electrónico. 2.9.01. ¿Qué es el comercio electrónico desde una perspectiva de servicio? 2.9.02. ¿En qué consiste la globalización de la economía? 2.9.03. Tipos de comercio electrónico por el medio de pago. 2.9.04. Tipos de comercio electrónico por el ámbito de aplicación. 2.9.05. Tipos de comercio electrónico por las partes que intervienen. 2.9.06. ¿Para qué puede ser la solución ideal el comercio electrónico? 2.9.07. ¿Puede desaparecer el comercio tradicional por culpa del comercio electrónico? 2.9.08. ¿Cuáles han sido las causas que han motivado la desaceleración del comercio electrónico en España? 2.9.09. ¿Cuál puede ser uno de los motores del avance del comercio electrónico en nuestro país?
3 La seguridad: requisito necesario en la nueva sociedad de la información «La ley cristiana que prohíbe los juicios temerarios es no sólo ley de caridad, sino de prudencia y buena lógica.» (El Criterio, Balmes)
3.1. GENERALIDADES Antes de entrar en el tema, quisiéramos poner de relieve algo que, aunque resulta obvio, no por ello muchas veces se olvida. La implantación de medidas de seguridad en los sistemas de información siempre resulta cara y, por otro lado, la seguridad absoluta no existe. Cuanto más vayamos tratando de acercarnos a esta última, el coste crecerá aumentando de forma exponencial. En los últimos tiempos, y motivado por la publicación del RD 994/1999, de 11 de junio, por el que se aprobaba el Reglamento de medidas de seguridad de la LORTAD 1, desarrollando su artículo 9, parece que el tema de la seguridad ha adquirido mayor relieve y se le presta más importancia en las organizaciones tanto públicas como privadas. Pero, como casi siempre pasa, se llega a la exageración y así, en algunos foros, hemos tenido que advertir que, aunque la seguridad de los datos de ca1 Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.
31
32
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
rácter personal es importante, no debemos olvidar que se trata tan sólo de una parte de la Seguridad de los Sistemas de Información, y para muchas empresas no la parte más importante, pues en este caso se llegaba a confundir la parte con el todo. Algo parecido sucedía con la Auditoría de Seguridad de los datos de carácter personal, que parecía que era el todo y sólo es, asimismo, una pequeña parte de la Auditoría de los Sistemas de Información. Bienvenido sea el interés, aunque sea parcial, por la seguridad de la información, esperamos que pronto se llegue a comprender que es absurdo y caro contemplar la seguridad sólo de una parte de nuestro patrimonio informacional, olvidando el resto cuando, en la mayoría de los casos, esa parte que no contemplamos, repetimos, contiene la información más importante para la propia organización. En nuestro país no existe una cultura de la seguridad debidamente arraigada. Esto dicho así parece muy rotundo, demasiado fuerte. Pero si nos molestamos en analizar lo que sucede a nuestro alrededor, comprobaremos que efectivamente esto es así; tanto en el sector privado como en el público. Algunos, al leer lo anterior, protestarán y tendrán razón para molestarse, hay excepciones a esa falta de cultura de la seguridad, pero se trata sólo de eso: excepciones. Los asistentes a los seminarios que impartimos sobre estas materias rara vez discuten su importancia y necesidad, pero ven difícil trasladar su inquietud hacia arriba, a los directivos de las empresas o los gestores de la Función Pública, especialmente en una época de vacas flacas. Claro está que esto también sucede en épocas de vacas gordas. Las partidas correspondientes a la seguridad de la información son las que se eliminan con más facilidad de los presupuestos de las organizaciones, especialmente cuando no se trata de seguridad física, puesto que ésta parece que se entiende mejor. La información, en general, es un bien valioso. Para algunas empresas su bien más preciado sin el que prácticamente no podrían existir. Pero hemos de tener presente que no toda la información tiene la misma importancia; existe información con gran valor estratégico y también la hay con un valor muy reducido. En nuestro patrimonio particular, los bienes los tenemos generalmente clasificados según su valor y así protegemos mejor los más valiosos, por ejemplo: dinero, joyas o colecciones de sellos. Estos bienes llegamos hasta a depositarlos en un banco o bien los guardamos en una caja fuerte en nuestro propio domicilio. Según va descendiendo su valor, las medidas de seguridad igualmente van reduciéndose.
LA SEGURIDAD: REQUISITO NECESARIO EN LA NUEVA SOCIEDAD…
33
Esto que sucede a nivel privado pocas veces es aplicado en las empresas o instituciones públicas. Sólo algunas de las organizaciones tienen clasificados sus datos; la mayoría desconoce el distinto peso de cada dato dentro del sistema de información. Ello trae consigo, a la hora de elaborar un plan de seguridad, que tengamos que aplicar medidas de seguridad de alto nivel, que suelen ser caras, de forma indiscriminada para proteger, en algunos casos, una información que no se merece ese gasto. Con cierta ingenuidad por nuestra parte, cuando aparecía nuestra primera ley de protección de datos, la célebre LORTAD, pensamos que ésta iba a propiciar, de forma indirecta, el aprobado, por parte de nuestros empresarios y gestores públicos, de esa asignatura pendiente: la seguridad de la información. Craso error, y el tiempo ha venido a confirmarlo; pasan los meses y hasta los años y muchas organizaciones siguen sin aplicar las necesarias medidas de seguridad. La seguridad de la información en los países de nuestro entorno cultural y económico ha venido marcada por generaciones de protección que han coincidido más o menos con las conocidas generaciones informáticas y que, a su vez, han coincidido con las denominadas generaciones de leyes de protección de datos. En un principio, la informática estaba recluida en unas salas, verdaderos templos dentro de las empresas y de las Administraciones Públicas y oficiada por unos pocos «sacerdotes de esta nueva religión». Su protección era relativamente fácil, prácticamente consistía en defender físicamente el recinto del Centro de Proceso de Datos. Por otro lado, esa nueva casta depositaria del privilegio de acceder a los datos informatizados tenía pocos miembros y estaba bien pagada. En una segunda fase, la información empezó a salir de esos recintos cuasisagrados y a circular por toda la empresa a través de las redes de comunicaciones. Asimismo, el número de personas que podía acceder a los datos informatizados aumentó considerablemente; aunque aún con ciertas restricciones. La seguridad resultaba ya más costosa, pero ello no tuvo gran trascendencia en aquellos países que ya se habían acostumbrado a aplicar medidas de seguridad toda vez que no se partía de cero, y por ello su implantación fue relativamente fácil. También resultó un factor importante que los empresarios y gestores públicos contasen ya con esa cultura de la seguridad a la que antes nos referíamos. El tercer salto ocurrió con la aparición de los ordenadores personales y la utilización generalizada de las redes públicas. Como es fácil comprender, aquí el coste y la dificultad de las medidas a implantar crecieron de forma exponencial.
34
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Como en el caso anterior, a los países que ya tenían esa cultura y a la vez habían implantado una serie de medidas de seguridad, el paso a un orden superior de seguridad les fue menos costoso y más fácil. Ahora bien, ¿qué es lo que ocurre en nuestro país? Dejemos a un lado las excepciones: sencillamente que hemos partido de cero y el riesgo potencial que aparece en el horizonte es que queremos llegar en un corto período de tiempo al infinito. Sería un grave error tratar de implantar las medidas de seguridad de una vez, su implantación debe hacerse de forma paulatina. En definitiva, lo que hay que hacer es extender la simiente de esa cultura de la seguridad, a la que hemos aludido reiteradamente, para que fructifique tanto en el mundo empresarial como en el institucional al objeto de que la seguridad de la información sea una realidad y no simplemente, como viene sucediendo ahora, un tema de discusión en foros especializados, aunque algo se ha avanzado en los últimos tiempos. Todos debemos colaborar en esa tarea aportando nuestro granito de arena, aun a riesgo de equivocarnos: no debemos tener miedo a esto, pues del debate que se origine con toda seguridad, en este caso no de la información, saldrá la luz.
3.2. DIFERENTES CLASES DE SEGURIDAD Los diferentes tipos de seguridad de la información son: a) b) c) d)
seguridad física seguridad lógica seguridad organizativo-administrativa seguridad jurídica
La seguridad física comprende todas las medidas que tratan de proteger los sistemas de información de amenazas físicas originadas tanto en la naturaleza como en los propios medios y en el ser humano. Entre las amenazas posibles podemos citar: inundaciones, fuego, cortes del fluido eléctrico, interferencias, atentados, robos, hurtos, etc. La seguridad lógica pretende proteger el patrimonio informacional que se compone tanto de las aplicaciones informáticas como del contenido de las bases de datos y de los ficheros. La protección de este tipo se puede realizar a través de contraseñas, tanto lógicas como biométricas, conocimientos y hábitos del usuario, firmas digitales y principalmente la utilización de métodos criptográficos.
LA SEGURIDAD: REQUISITO NECESARIO EN LA NUEVA SOCIEDAD…
35
La seguridad organizativo-administrativa, la gran olvidada de muchos autores, pretende cubrir el hueco dejado por las dos anteriores y que viene, en cierto modo, a complementarlas. Difícilmente se puede lograr de forma eficaz la seguridad de la información si no existen claramente definidas: • • • • •
Políticas de seguridad. Políticas de personal. Políticas de contratación. Análisis de riesgos. Planes de contingencias.
Por último, la seguridad jurídica pretende, a través de la aportación de normas legales, fijar el marco jurídico necesario para proteger los bienes informáticos. Ejemplos de éstas son: • Ley Orgánica 10/1995, de 23 de noviembre, que aprueba el Código Penal. • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual. • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de los Datos de Carácter Personal. • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
3.3. PRINCIPALES CARACTERÍSTICAS Podríamos definir la seguridad de la información como el conjunto de sistemas y procedimientos que garantizan la confidencialidad, la integridad y la disponibilidad de la información. Éstas son las tres características que hasta el presente han venido definiendo lo que es la seguridad de la información, pero la irrupción de Internet ha hecho que estas características no sean ya suficientes y que, junto a ellas, aparezcan otras como: autenticación o autentificación; no repudio, tanto en origen como en destino; control de acceso y sellado de tiempo. Analicemos, a continuación, lo que significa cada una de ellas: La confidencialidad pretende que la información sea conocida exclusivamente por los usuarios autorizados en la forma y tiempo determinados previamente.
36
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
La confidencialidad se puede garantizar adoptando, entre otras, las siguientes medidas: • • • • • •
Políticas y procedimientos de creación. Políticas y procedimientos de acceso. Políticas y procedimientos de transmisión. Políticas y procedimientos de destrucción. Políticas de clasificación de la información. Responsables propietarios de la información.
En las Guías de Procedimientos se establecerán: la protección de los accesos; el control de los mismos, tanto válidos como anómalos; la inspección de las anomalías y la sanción de éstas. La integridad pretende que la información sea creada, alterada, modificada o borrada sólo por los usuarios autorizados. La integridad se puede garantizar adoptando, entre otras, las siguientes medidas: • • • • • • •
Políticas de procedimientos de análisis. Planes de pruebas. Separación de funciones. Separación de entornos de trabajos. Planes de recuperación. Simulación de recuperaciones. Auditorías.
La disponibilidad pretende que la información se pueda utilizar cuando y como lo requieran los usuarios autorizados. La disponibilidad se puede garantizar adoptando, entre otras, las siguientes medidas: • • • •
Copias de seguridad. Políticas y procedimientos de recuperación. Políticas y procedimientos de procesos alternativos. Centros de Procesos de Datos alternativos.
Con la autenticación se pretende acreditar que el remitente del mensaje es quien dice ser y no otra persona. La autenticación tiene dos funciones básicas: identificar al autor del mensaje y verificar que dicho autor se obliga legalmente con el mismo.
LA SEGURIDAD: REQUISITO NECESARIO EN LA NUEVA SOCIEDAD…
37
El no repudio, tanto en origen como en destino, previene que ni el remitente ni el destinatario puedan alegar que no han enviado o recibido unos datos cuando, en realidad, sí los han enviado o recibido. Con el control de accesos no se permite que los usuarios no autorizados accedan a los recursos del sistema. El sellado de tiempo nos permite verificar la fecha y el momento en que se ha enviado el mensaje. En resumen, podemos decir que lo que se pretende es que sea imposible alterar los mensajes y si lo son, quede constancia de ello, su autoría ha de ser inequívoca y deben tener valor probatorio en caso necesario.
3.4. LA SEGURIDAD EN LA SOCIEDAD DE LA INFORMACIÓN La información es la materia prima principal de la sociedad de la información con la que trabajan millones de ciudadanos de todos los países del mundo. Para las empresas y para la propia Administración del Estado, se ha convertido en un activo estratégico sin el cual difícilmente podrían subsistir. Buena prueba de ello han sido los temores sufridos no hace muchos años con el llamado «efecto dos mil». Si la información es tan importante para la existencia de la sociedad de la información, lógicamente debemos protegerla; pero ahí es donde empiezan a surgir los problemas. En una primera época de la informática, la información se encontraba recluida en unos grandes Centros de Datos, donde era relativamente fácil protegerla, pues su salida de esos lugares estaba claramente prefijada. Posteriormente, con la incorporación de las redes de comunicaciones, el problema creció, pero se podía solventar. La aparición de los ordenadores personales acrecentó el problema, pues la información ya no se encontraba tan sólo distribuida, sino que estaba prácticamente desparramada. La aparición y utilización masiva de Internet ha hecho que el tema de la seguridad en la sociedad de la información sea prioritario a la hora de buscar soluciones. Lo que sí es conveniente es hacer ver que no se debe caer en exagerados histerismos cuando tratemos de resolver este problema, ni entrar en el juego de aquellos que, con el afán de vender, nos quieren convencer de
38
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
que todo hay que protegerlo con medidas de seguridad excesivamente costosas. A la hora de implantar medidas de seguridad, es preciso tener hecha una clasificación de la información conociendo lo que realmente debemos proteger y lo que no, y no adoptando iguales medidas para todo nuestro patrimonio informacional, cuando, en muchos casos, parte de él no merece que realicemos ningún gasto en su seguridad. La Brigada de Investigación Tecnológica de la Comisaría General de Policía Judicial de la Dirección General de la Policía, bajo el título «Medidas preventivas para un uso seguro de Internet», ha publicado un folleto en el que, bajo los epígrafes que vienen a continuación, da una serie de medidas que se deben adoptar en los siguientes casos: a) b) c) d) e) f) g) h)
Medidas a adoptar por los padres respecto de sus hijos. Medidas a adoptar por los hijos. Precauciones en transacciones económicas. Precauciones sobre el correo electrónico. Medidas de seguridad para usuarios particulares. Medidas a adoptar por pequeñas empresas. Medidas a adoptar por grandes empresas. Medidas para evitar fraudes telefónicos.
Por su interés para el tema objeto de nuestro trabajo, transcribimos las medidas de los puntos c), d), e), f) y g). Precauciones en transacciones económicas • No abandonar las copias de los resguardos de compra en las proximidades de los Terminales de Punto de Venta (T. P. V.), pues contienen información sobre las tarjetas que puede ser utilizada tanto en Internet como fuera de la Red. • No utilizar la tarjeta, si el establecimiento no merece su confianza. Se conocen casos en los que se ha utilizado el número de la tarjeta y el nombre del titular por personal del propio establecimiento. • No introducir el número de la tarjeta en páginas de contenido sexual o pornográfico, en las que se solicita como pretexto para comprobar la mayoría de edad. • No facilitar datos personales si no existe una completa seguridad sobre quien los va a utilizar.
LA SEGURIDAD: REQUISITO NECESARIO EN LA NUEVA SOCIEDAD…
39
• No facilitar más datos personales de los necesarios. • Al enviar información, compruebe que, en la parte inferior del navegador Explorer, aparece un candado amarillo, o un candado cerrado en el caso de Netscape. Esto indica que sus datos viajan encriptados. • Compruebe que los cargos recibidos se corresponden con los realizados. Precauciones sobre el correo electrónico • No abrir mensajes de correo de origen desconocido. Eliminarlo directamente. • No ejecutar ningún archivo adjunto que venga con mensajes sugerentes. • Adopte las medidas necesarias, cuando le ofrecen «regalos» sustanciosos y, para recibirlos, tiene que llamar por teléfono a prefijos 906. • No facilitar la dirección electrónica con «demasiada» ligereza. • Tenga activado, constantemente, un antivirus. • Visite páginas especializadas sobre seguridad informática. • Para que sus datos viajen seguros, envíe sus mensajes cifrados. Medidas de seguridad para usuarios particulares • No facilitar datos personales si no existe una completa seguridad sobre quién los va a recibir. • No facilitar más datos personales que los necesarios. • Exigir, siempre, «conexiones seguras». Asegúrese de que, al transmitir datos sensibles, en la parte inferior del navegador Explorer, aparece un candado amarillo y, en el caso de Netscape, un candado cerrado. • Comprobar los certificados de seguridad, en páginas que requieren datos personales. • Utilizar un buen producto antivirus y actualizarlo frecuentemente. • Extremar la precaución en los archivos que reciben en sesiones de chat. • Actualizar los sistemas operativos y navegadores, con los parches que publican las firmas especializadas de software.
40
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Medidas a adoptar por pequeñas empresas • • • • • •
Cambiar las contraseñas periódicamente. Exigir contraseñas de calidad. No dejar las contraseñas guardadas en el disco duro. Confiar la gestión de la red a un responsable. Diseñar un protocolo del uso de la red. Controlar las operaciones y transacciones, en horario no habitual para ello. • Establecer una política adecuada de copias de seguridad.
Medidas a adoptar por grandes empresas • Confíe la seguridad informática a un responsable cualificado. • Control sobre personas externas a la empresa que, en determinadas ocasiones, tienen acceso a equipos informáticos por cuestiones de reparaciones, desarrollo, mantenimiento, etc. • Actualización constante del software. • Consultar con empresas especializadas del sector. Dado el meritorio esfuerzo que están realizando las Fuerzas y Cuerpos de Seguridad del Estado en la prevención y persecución del delito tecnológico con la publicación en esta obra de esta serie de recomendaciones, lo que pretendemos es colaborar con las mismas en las tareas de concienciación de la sociedad de lo importante que es aprender a tomar las necesarias medidas de seguridad de la información, algo que, desgraciadamente, en España continúa siendo, en la mayoría de los casos, como no nos cansamos de repetir, una asignatura pendiente, aunque poco a poco algunos la vayan aprobando.
3.5. NECESIDAD DE SENTIRNOS SEGUROS EN EL COMERCIO ELECTRÓNICO La complejidad de la seguridad del comercio electrónico requiere el desarrollo de estrategias que permitan la libre realización del comercio electrónico en el mercado único garantizando al mismo tiempo la seguridad de éste. Ahora bien, el principal problema que presenta el comercio electrónico en Internet es la falta de confianza que tenemos en que todo resulte como deseamos.
LA SEGURIDAD: REQUISITO NECESARIO EN LA NUEVA SOCIEDAD…
41
El consumidor teme que no le entreguen el producto comprado o que hagan un mal uso de los datos de su tarjeta de pago y el comerciante teme que no le paguen el producto que entrega. Como vemos, la falta de confianza al no verse físicamente las dos partes contratantes es el principal motivo de rechazo de este tipo de comercio. Confianza es «esperanza firme que se tiene de una persona o cosa» 2 y esperanza es «estado del ánimo en el cual se nos presenta como posible lo que deseamos» 3. El análisis de lo anterior nos lleva a la siguiente reflexión: ¿No estaremos siguiendo un camino equivocado al tratar de solucionar un problema que incide sobre el estado de ánimo de las personas con medidas de orden físico o lógico? Quizá éstas también sean necesarias, pero, sin lugar a ninguna duda, las que sí son necesarias serán aquellas medidas de carácter síquico. ¿Nos hemos parado a reflexionar siquiera un momento sobre la necesidad de contrarrestar todas esas campañas sobre la seguridad en Internet y en el comercio electrónico con otras en las que, con estadísticas fiables y no interesadas, se haga ver la verdad y mostrar el porcentaje real de transacciones en las que el consumidor es defraudado en relación con el total de éstas que se efectúa en la Red? En la introducción de este problema, junto a tecnólogos que cada día apliquen mayores medidas de seguridad tanto física como lógica, junto a los legisladores que regulen las transacciones económicas por la Red, son necesarios sicólogos y sociólogos que ayuden a eliminar ese histerismo colectivo que se ha apoderado de la mayoría de nosotros. Debemos ser conscientes de que ni Internet ni las redes que, en el futuro, la sustituyan nunca serán seguras totalmente, pues, como sabemos, la seguridad absoluta no existe y a lo más que debemos aspirar es a que sean igual de seguras que lo es el mundo real en que habitamos. Fuera, pues, histerismos, fuera condenas interesadas en demonizar el comercio electrónico y, entre todos, emprendamos la tarea de hacer esta nueva forma de negociar atrayente y mentalmente segura.
3.6. LA FIRMA ELECTRÓNICA Si bien no es el objeto de esta obra, no podemos dejar de referirnos, aunque sea brevemente, a la firma digital que se presenta como un sistema que 2 Diccionario de la Lengua Española. Real Academia Española. Vigésima primera edición. Madrid, 1992, pág. 379. 3 Obra citada, pág. 631.
42
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
puede fortalecer la seguridad en la contratación por medios electrónicos entre ausentes. La firma electrónica, según se recoge en el Borrador de Anteproyecto de Ley de firma electrónica, puede ser de tres clases: firma electrónica, firma electrónica avanzada y firma electrónica reconocida. Firma electrónica, según la definición que figura en el Anteproyecto citado es: «el conjunto de datos en forma electrónica, anejos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio de autenticación» 4. Firma electrónica avanzada: «Es la firma que está vinculada únicamente al firmante, permitiendo su identificación, ha sido creada por medios que éste puede mantener bajo su exclusivo control, y está vinculada a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior a éstos» 5. Firma electrónica reconocida: «Es la firma electrónica avanzada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma». La Unión Europea establece un marco jurídico comunitario para la firma electrónica en su Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999. Esta Directiva, según su artículo primero, tiene por finalidad facilitar el uso de la firma electrónica y contribuir a su reconocimiento jurídico. La comunicación y el comercio electrónico, como se dice en los Considerandos de la Directiva, requieren las firmas electrónicas y servicios conexos de certificación de datos. La firma electrónica se puede utilizar en múltiples circunstancias y aplicaciones, dando lugar a una gran variedad de nuevos servicios y productos relacionados con ella o que la utilicen. Las disposiciones sobre los efectos legales de la firma electrónica deberán entenderse sin perjuicio de los requisitos de forma establecidos por las legislaciones nacionales de celebración de contratos, ni para las normas que determinan el lugar en que se considere celebrado un contrato. 4 En el RD Ley 14/1999, de 14 de septiembre, artículo 2, se define de la siguiente manera: «Es el conjunto de datos en forma electrónica, anejos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge». 5 En el RD Ley 14/1999 se define como sigue: «Es la firma electrónica que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos».
LA SEGURIDAD: REQUISITO NECESARIO EN LA NUEVA SOCIEDAD…
43
La firma electrónica sirve para ser utilizada en el sector público y en el marco de las administraciones nacionales y comunitarias y en la comunicación entre dichas administraciones y entre éstas con los ciudadanos y agentes económicos, por ejemplo, en la contratación pública, la fiscalidad, la seguridad social, la atención sanitaria y el sistema judicial. Las firmas electrónicas avanzadas relacionadas con un certificado reconocido y creadas mediante un dispositivo seguro de creación de firma únicamente pueden considerarse jurídicamente equivalentes a las firmas manuscritas si se cumplen los requisitos aplicables a las firmas manuscritas. Debe garantizarse la admisibilidad de la firma electrónica como prueba en los procedimientos judiciales en todos los Estados miembros. Como se puede ver, en la Unión Europea existe conciencia de la importancia que puede llegar a tener la firma electrónica de cara a un mayor desarrollo del comercio electrónico en el mercado único. En el ordenamiento jurídico español, el Real Decreto Ley 14/1999, de 17 de septiembre, pretendía, como se dice en la Exposición de Motivos del Borrador de Anteproyecto de Ley de firma electrónica, incorporar al ordenamiento interno la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica, aunque en la fecha de publicación del Real Decreto Ley sólo se había adoptado una posición común sin haberse publicado la Directiva. Aparte de la norma anterior, también se ha publicado una Orden del Ministerio de Fomento, de 21 de febrero de 2000, por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica. En el tiempo en que se escriben estas líneas, se está estudiando un borrador de Anteproyecto de Ley de firma electrónica al que nos hemos referido con anterioridad. La utilidad de la firma electrónica la podemos contemplar desde dos vertientes distintas, pero coincidentes en el objetivo: dar un impulso al desarrollo del comercio electrónico aumentando las medidas de seguridad. Desde una vertiente vemos que se aumenta tanto la protección lógica como la jurídica y desde la otra de carácter sicológico, se potencia la esperanza, el estado de ánimo en el cual se nos presenta como posible lo que deseamos; en este caso, la seguridad en la Red. La firma manuscrita, desde hace muchos lustros, ha aparecido a nuestros ojos como una muestra de seguridad; al denominar firma, aunque sea electrónica, a este nuevo sistema de autenticación, inconscientemente trasladamos a él todas las virtudes que pensamos que tiene la firma manuscrita.
44
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
¡Bienvenida sea cualquier técnica que suponga un avance en el desarrollo del comercio electrónico!
3.7. CUESTIONES 3.7.00. ¿Qué hecho ha marcado el desarrollo de la seguridad de la información en los países de nuestro entorno cultural y económico? 3.7.01. Diferentes tipos de seguridad de la información. 3.7.02. ¿Qué es la seguridad organizativo-administrativa? 3.7.03. Principales características de la seguridad de la información. 3.7.04. ¿Qué es la integridad? 3.7.05. ¿Qué es la confidencialidad? 3.7.06. ¿Qué es la autenticación? 3.7.07. ¿Qué es una firma electrónica? 3.7.08. ¿Qué es una firma electrónica avanzada? 3.7.09. ¿Qué es una firma electrónica reconocida?
4 La auditoría como medida complementaria de la seguridad «Gracias a las redes, el viaje cibernético de los bites a través del nuevo espacio virtual, nos vemos sumergidos en una especie de diálogo universal y multiforma, sin aparentes fronteras, ni más limitaciones que las que nosotros mismos nos impongamos.» (La red, Juan Luis Cebrián)
4.1. GENERALIDADES Hace varias décadas, la auditoría se asociaba, casi en exclusiva, con la revisión de cuentas y estados financieros. En 1971 Thomas Porter escribía: «Auditoría es el examen de la información por terceras partes, distintas de quienes la generan y quienes la utilizan, con la intención de establecer su suficiencia y adecuación, e informar de los resultados del examen con objeto de mejorar su utilidad». El REA (Registro de Economistas Auditores) da otra definición, referida específicamente a los estados financieros: «El objetivo de la auditoría independiente de los estados financieros de una entidad es expresar una opinión sobre si los mismos presentan adecuadamente la situación financiero-patrimonial de dicha entidad, el resultado de sus operaciones y los cambios en su situación financiera, de conformidad con principios y criterios generalmente aceptados que guardan uniformidad con los aplicados en el ejercicio anterior». Como se puede observar, la segunda definición es mucho más completa y ya se refiere a auditoría de estados financieros en particular, por haber ido surgiendo otros tipos de auditoría. 45
46
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Para Hernández García 1, «conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas». Sus elementos fundamentales son: — — — — —
Contenido: una opinión. Condición: profesional. Justificación: sustentadas en determinados procedimientos. Objeto: una determinada información obtenida en un cierto soporte. Finalidad: determinar si presenta adecuadamente la realidad o ésta responde a las expectativas que le son atribuidas, es decir, fiabilidad.
A partir de ese origen de auditoría de cuentas o de estados financieros, se han ido creando diferentes tipos de auditorías, entre ellas las más interesantes para el objeto de esta obra son: Auditoría de los Sistemas de Información, Auditoría de la Red, Auditoría de la Seguridad y Auditoría de los Datos de Carácter Personal.
4.2. AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN Hasta no hace muchos años la comprobación de la gestión y control a posteriori de la actividad económico-financiera de cualquier organización, ya fuese ésta pública o privada, se hacía sólo mediante la Auditoría de Cuentas; sin embargo, debido al alto grado de informatización de las empresas y de las Administraciones Públicas, ésta ya no iba siendo suficiente. Se hacía preciso conocer qué ocurría dentro de esas enormes «cajas negras» que son los sistemas de información. Con la Auditoría de Cuentas tradicional se podía llegar a conocer la información de entrada al sistema informático y cuál era el resultado obtenido en el tratamiento, pero no lo que sucedía entre el momento de entrada de la información al sistema y el momento de salida del mismo, se conocían los inputs y los outputs, pero no cómo se habían generado estos últimos y si habían sido objeto o no de alguna manipulación antes de hacerse «visibles». 1
Alonso Hernández García. «La informática como herramienta del auditor financiero», en Auditoría informática: un enfoque práctico. Editores: Mario Piattini y Emilio del Peso. Editorial RAMA. 2.a edición. Madrid, 2001, pág. 4.
LA AUDITORÍA COMO MEDIDA COMPLEMENTARIA DE LA SEGURIDAD
47
El examen de lo que acontece en esas «cajas negras», que es lo que en realidad son los sistemas de información, se puede realizar gracias a la Auditoría de los Sistemas de Información. La primera misión del auditor de sistemas de información, por tanto, fue colaborar con el auditor de cuentas en los trabajos que este último realizaba. Antes de continuar, quisiéramos dejar sentados los parámetros entre los que entendemos se debe mover la Auditoría de los Sistemas de Información y para ello vamos a proponer varias definiciones. No existen definiciones «oficiales» de Auditoría de los Sistemas de Información, y algunas de las que aparecen en libros o se dan en cursos o seminarios no nos parecen las más adecuadas. Queremos dejar constancia de que la definición de Auditoría de los Sistemas de Información rara vez se encuentra libre de estar involucrada en los intereses del colectivo que la facilita y nosotros no vamos a ser una excepción. Una definición podría ser la siguiente: «Se entiende por Auditoría de los Sistemas de Información una serie de exámenes periódicos o esporádicos de un sistema de información cuya finalidad es analizar y evaluar la planificación, el control, la eficacia, la seguridad, la economía y la adecuación de la infraestructura informática de la empresa». Como fácilmente se puede comprender, esta definición reduce considerablemente el ámbito sobre el que puede trabajar la Auditoría de los Sistemas de Información y eso, como veremos más adelante, entendemos que no es conveniente. Para la Information Systems Audit And Control Foundation 2, la Auditoría de los Sistemas de Información «se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o alguna sección/área) de los sistemas automatizados de procesamiento de información, incluyendo procedimientos relacionados no automáticos y las interrelaciones entre ellos». Ramos González 3 propone la siguiente definición: «La Auditoría Informática comprende la revisión y la evaluación independiente y objetiva, por parte de personas independientes y teóricamente competentes del entorno informático de una entidad, abarcando todo o algunas de sus áreas, los estándares y procedimientos en vigor, su idoneidad y el cumplimiento de éstos, 2
Estándares generales para la Auditoría de los S. I. ISAC Foundation. Miguel Ángel Ramos González. Contribución a la mejora de las técnicas de Auditoría Informática mediante la aplicación de métodos y herramientas de Ingeniería del Conocimiento. Tesis doctoral. Universidad Politécnica de Madrid. Facultad de Informática. Madrid, 1990. 3
48
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
de los objetivos fijados, los contratos y las normas legales aplicables, el grado de satisfacción de usuarios y directivos, los controles existentes y el análisis de riesgos». Como juristas, somos partidarios de un concepto amplio de Auditoría de los Sistemas de Información, pues si ésta queda reducida a un control de los aspectos informáticos de los sistemas de información, difícilmente puede cumplir uno de los objetivos que esperamos de ella: la detección de delitos que se pueden producir tanto dentro de los sistemas de información como en la entrada y en la salida de éstos. Si admitimos un concepto amplio de Auditoría de los Sistemas de Información, los objetivos de ésta pueden ser los siguientes: a) Colaboración con la Auditoría de Cuentas Como hemos dicho anteriormente, la Auditoría de Cuentas tradicional ya no es suficiente para ejercer el control de la actividad económico-financiera de las organizaciones debido al alto grado de informatización de las mismas y, por eso, necesita de la Auditoría de los Sistemas de Información para llevar a cabo su cometido. b) Auditoría de los propios Sistemas de Información Este objetivo reduce la auditoría a los propios sistemas de información; pero no nos engañemos, pues en sí misma puede ser riquísima. Así nos encontramos con que puede haber auditoría del desarrollo, auditoría de la explotación, auditoría del mantenimiento, auditoría de la calidad, auditoría de la seguridad, etc. c) Colaboración del jurista en la detección de irregularidades Este último objetivo es el que, como juristas, más nos interesa, pues significa, entre otras cosas, una importantísima colaboración en la persecución del delito informático, en sus diferentes modalidades, algo difícil de conseguir, y, asimismo, puede servir de herramienta poderosa a la hora de obtener la prueba del delito detectado. Vemos, pues, que la Auditoría de los Sistemas de Información, que en principio nació como un apéndice de la Auditoría de Cuentas, adquiere una función propia independiente sin dejar, por ello, de seguir con la colaboración origen de su nacimiento. Al desarrollar la tercera de sus facetas, la colaboración con el mundo del derecho, el auditor de sistemas de información se encuentra, poco a poco y
LA AUDITORÍA COMO MEDIDA COMPLEMENTARIA DE LA SEGURIDAD
49
según se van regulando las diferentes materias de las TIC, en una situación parecida a la que vimos que se encontraba el auditor de cuentas cuando precisó la colaboración del auditor de sistemas de información. Éste, si quiere realizar bien su trabajo, precisa del jurista, naciendo un tipo de Auditoría que se viene conociendo como Auditoría Jurídica de los Sistemas de Información. Los problemas jurídicos que se van creando alrededor de las Tecnologías de la Información y las Comunicaciones precisan de unos nuevos especialistas en los que se dé la condición de tener tanto conocimientos jurídicos como tecnológicos. Fuentes de la Auditoría de los Sistemas de Información pueden ser las siguientes: — — — — — — — — — — — — — — —
Actas de reuniones. Contratos. Descripción de dispositivos. Documentación de aplicaciones. Documentación de planes de continuidad y sus pruebas. Entrevistas a diferentes niveles. Ficheros y programas. Informes de suministradores o consultores. Inventarios de soportes y de aplicaciones. Manuales técnicos de sistemas operativos o de herramientas. Organigrama y descripción de funciones. Planes de instalaciones. Planes de seguridad. Políticas, estándares, normas y procedimientos. Tipología de redes.
4.3. AUDITORÍA DE LA RED Las redes de comunicaciones de las empresas e instituciones públicas se han convertido en el sistema circulatorio de las mismas y, a través de ellas, fluye la información de las empresas, su verdadero patrimonio informacional. Dada su importancia de cara al correcto funcionamiento de las organizaciones, la seguridad de estas redes es un factor clave. Ahora bien, sólo con la implantación de las necesarias medidas de seguridad no es suficiente, hay que auditar las redes para comprobar si, efecti-
50
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
vamente, se cumplen y, en algunos casos, dentro de esas auditorías habrá que simular ataques a las mismas para detectar posibles agujeros en su seguridad. Tenemos que partir de la idea de que las redes son vulnerables y que las amenazas que se ciernen sobre ellas son de distinto tipo como veremos a continuación. Para desarrollar estos conceptos seguiremos lo que dice el profesor Ribagorda Garnacho 4: «Vulnerabilidad es la susceptibilidad de un sistema o componente a sufrir daños por un ataque específico, o equivalentemente una debilidad del sistema de protección de un recurso que puede ser explotado por un ataque». Ejemplos de vulnerabilidades pueden ser: la implantación en las redes de los sistemas abiertos, la extensión de las mismas o la falta de preparación específica y experiencia de los usuarios. Por amenaza se entiende la violación potencial de la seguridad de un sistema a diferencia de ataque, que es la materialización de una amenaza. Las amenazas pueden ser de varios tipos: — Pasivas, que son aquellas que atentan a la confidencialidad de la información, pero no la alteran. — Activas, que son aquellas que cambian el estado de la información o del sistema y pueden ser: la interrupción, la modificación y la generación. La interrupción consiste en intermitir una transmisión, lo que significa una amenaza a la disponibilidad de la información. La modificación consiste en alterar un mensaje, lo que es una amenaza a su integridad. La generación es la construcción de mensajes falsos, lo que, en definitiva, también es una amenaza a la integridad de la información. En la auditoría de las redes de comunicaciones se deben revisar, entre otros, los siguientes puntos: a) b) c) d) e)
Tipos y redes de conexiones. Tipos de transacciones. Información y programas transmitidos. Uso del cifrado. Tipos de terminales.
4 Arturo Ribagorda Garnacho. «La auditoría de las redes de ordenadores». Documentación Conferencia AUDISI’2000. IEE. Madrid, 2000.
LA AUDITORÍA COMO MEDIDA COMPLEMENTARIA DE LA SEGURIDAD
f) g) h) i) j) k) l) m) n) o) p) q) r)
51
Protecciones: físicas y lógicas. Protección de fax y voz, en caso necesario. Transferencia de ficheros y controles existentes. Conexiones externas a través de pasarelas (gateway) y encaminadores (routers) y controles existentes. Separación de dominios entre Internet e Intranet. Verificación de accesos no justificados. Utilización del correo electrónico. Protección de programas. Control de las páginas web. Quién puede modificar las páginas web y hasta dónde. Cumplimiento de la LSSI. Cumplimiento de LOPD. Verificación de los accesos a redes exteriores registrados.
Con esto no pretendemos hacer un análisis exhaustivo de lo que se debe tener en cuenta en una auditoría de las redes de comunicaciones, sino simplemente poner de relieve la importancia que tienen éstas en el funcionamiento normal de la empresa y, por lo tanto, la necesidad de verificar que se cumplen todas las medidas de seguridad propuestas respecto a las mismas.
4.4. AUDITORÍA DE LA SEGURIDAD La Auditoría de la Seguridad de la información es aquella que tiene por objeto verificar que se cumplen los controles estipulados. Esto puede hacerse bien en un Documento de Seguridad, en unas Políticas de Seguridad, en un Plan de Seguridad o en unos Objetivos de Control de carácter sectorial o general. Existen diferentes tipos de Auditoría de la Seguridad entre los que se encuentran los siguientes: 1) 2) 3) 4) 5) 6) 7)
Auditoría de la seguridad física. Auditoría de la seguridad lógica. Auditoría de la seguridad en el desarrollo de las aplicaciones. Auditoría de la seguridad en el área de producción. Auditoría de la seguridad de los datos. Auditoría de la seguridad en comunicaciones y redes. Auditoría de la continuidad de las operaciones.
52
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Como áreas sobre las que ha de actuar la auditoría informática podemos considerar las siguientes: a) Fundamentos de la seguridad: políticas, planes, funciones, existencia y funcionamiento de algún comité relacionado, objetivos de control, presupuesto, así como que existen sistemas y métodos de evaluación periódica de riesgos. b) Desarrollo de las políticas: procedimientos, posibles estándares, normas y guías. c) Amenazas físicas externas: inundaciones, incendios, explosiones, cortes de líneas de comunicaciones, terremotos, terrorismo, huelgas. d) Control de accesos adecuado, tanto físicos como lógicos, de forma que cada usuario pueda acceder a los recursos para los que esté autorizado y, asimismo, pueda realizar sólo las funciones permitidas: lectura, variación, ejecución, borrado o copia, debiendo quedar las pistas necesarias para que se pueda efectuar el control y la auditoría, tanto de los accesos que se han producido, al menos a los recursos más críticos, como de los intentos en determinados casos. e) Protección de datos: según lo que regula la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el Reglamento 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, todo ello respecto a los demás datos según estén clasificados. f) Comunicaciones y redes: topología y tipo de comunicaciones, uso de cifrado, protecciones ante virus. g) El entorno de Producción, entendiendo como tal la explotación más Técnica de Sistemas. h) El desarrollo de aplicaciones en un entorno seguro. i) Continuidad de las operaciones. Como fases de la Auditoría de la Seguridad, con carácter general, podemos considerar: 1) Concreción de los objetivos y delimitación del alcance y profundidad de la auditoría y del período cubierto, en su caso. 2) Análisis de posibles fuentes y recopilación de la información. 3) Determinación del plan de trabajo y de los recursos y plazos, en caso necesario, y comunicación a la entidad. 4) Adaptación de cuestionarios y consideración de herramientas o perfiles de especialistas necesarios, sobre todo en la auditoría externa.
LA AUDITORÍA COMO MEDIDA COMPLEMENTARIA DE LA SEGURIDAD
5) 6) 7) 8)
53
Realización de entrevistas y pruebas. Análisis de resultados y valoración de riesgos. Presentación y discusión del informe provisional. Informe definitivo.
La seguridad es necesaria para el desarrollo del comercio electrónico y la Auditoría de la Seguridad; asimismo, lo es para comprobar que las medidas que desarrolla aquélla verdaderamente se cumplen.
4.5. AUDITORÍA DE LOS DATOS DE CARÁCTER PERSONAL La Auditoría de los Datos de Carácter Personal toma especial relieve a partir de la publicación del Reglamento de medidas de seguridad de la LORTAD, aprobado por el Real Decreto 994/1999, de 11 de junio, ya que en su artículo 17 regula la auditoría que bienalmente deben pasar los ficheros de nivel medio o alto y aquellos otros que contengan un conjunto de datos de carácter personal suficientes que permitan obtener la evaluación de la personalidad de un individuo. En el dominio de los datos de carácter personal ya existían varias normas que se referían a la Auditoría de los Sistemas de Información. Así, en el artículo 28.1.e) del Estatuto de la Agencia de Protección de Datos, aprobado por Real Decreto 428/1993, de 26 de marzo, se dice, referido a las funciones inspectoras de la Agencia de Protección de Datos: «Realizar auditorías de los sistemas informáticos con miras a determinar su conformidad con las disposiciones de la Ley Orgánica 5/1992». La Instrucción 1/1995, de 1 de marzo, de la Agencia de Protección de Datos, relativa a prestación de servicios de información sobre solvencia patrimonial y crédito, regulaba la necesidad de auditar dichos sistemas al menos cada dos años. Así, en su norma cuarta, referida a las medidas de seguridad dice: «Forma de comprobación. 1. Los sistemas que almacenen o procesen información relativa al cumplimiento o incumplimiento de obligaciones dinerarias deberán acreditar la efectiva implantación de las medidas de seguridad exigidas por el artículo 9.1 de la Ley Orgánica dentro del año siguiente a la publicación de la presente Instrucción. Para los ficheros que se inscriban con posterioridad a esta Instrucción, el plazo se computará a partir de la fecha en que aquélla se haya efectuado en el Registro General de Protección de Datos.
54
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
2. La implantación, idoneidad y eficacia de dichas medidas se acreditará mediante la realización de una auditoría, proporcionada a la naturaleza, volumen y características de los datos personales almacenados y tratados, y la remisión del informe final de la misma a la Agencia de Protección de Datos. 3. La Auditoría podrá ser realizada: a) Por el departamento de auditoría interna del responsable del fichero, si cuenta con un departamento formalmente constituido, profesionalmente cualificado e independiente del órgano responsable del tratamiento y gestión de los datos. b) Por un auditor externo, profesionalmente cualificado e independiente del responsable del fichero. 4. La auditoría deberá ser realizada de acuerdo con las normas y recomendaciones de ejercicio profesional aplicables en el momento de su ejecución. 5. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles destinados a garantizar la integridad y confidencialidad de los datos personales almacenados o tratados, identificar sus deficiencias o insuficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basan los dictámenes alcanzados y recomendaciones propuestas. 6. Adicionalmente, los sistemas que almacenen o procesen información relativa al cumplimiento o incumplimiento de obligaciones dinerarias deberán someterse a una nueva auditoría tras la adopción de las medidas específicas que, en su caso, la Agencia determine, a resultas del informe inicial de auditoría. En todo caso, dichos sistemas deberán ser auditados periódicamente, a intervalos no mayores de dos años.»
El problema que se planteaba en aquellos momentos era que no existía ningún Reglamento de medidas de seguridad que desarrollase el artículo 9 de la Ley, que lógicamente tampoco era muy explícito. El artículo 9 de la LORTAD decía: «1. El responsable del fichero deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. 2. No se registrarán datos de carácter personal en ficheros automatizados que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
LA AUDITORÍA COMO MEDIDA COMPLEMENTARIA DE LA SEGURIDAD
55
3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros automatizados y las personas que intervengan en el tratamiento automatizado de los datos a que se refiere el artículo 7 de esta Ley.»
La LOPD, en este artículo, simplemente ha eliminado la condición de automatizados de los ficheros y ha incluido, entre quienes deben adoptar las medidas de seguridad junto al responsable del fichero, al encargado del tratamiento. El Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, aplicable en la actualidad por haber sido declarado subsistente hasta que el Gobierno apruebe o modifique las correspondientes disposiciones reglamentarias por la disposición transitoria tercera de la LOPD, en todo aquello que no se oponga a ésta, en su artículo 17, referido a la auditoría, la regula de la siguiente forma: «1. Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años. 2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles al presente Reglamento, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas. 3. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos.»
Vemos, pues, que este Reglamento es, en definitiva y hasta tanto no se apruebe por el Gobierno un nuevo Reglamento de medidas de seguridad que venga a sustituir al actual, la norma que regula la obligatoria auditoría bienal de los datos de carácter personal.
4.6. CUESTIONES 4.6.00. ¿Cuáles son los elementos fundamentales de una auditoría? 4.6.01. ¿Qué es una Auditoría de Sistemas de Información? 4.6.02. ¿Cuáles pueden ser las fuentes de la Auditoría de Sistemas de Información?
56
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
4.6.03. 4.6.04. 4.6.05. 4.6.06. 4.6.07. 4.6.08. 4.6.09.
¿Cómo se define vulnerabilidad? ¿Qué es una amenaza? Tipos de amenazas. Tipos de Auditorías de Seguridad. Áreas sobre las que puede actuar la Auditoría de la Seguridad. Fases de la Auditoría de la Seguridad. ¿En qué normas sobre la protección de los datos de carácter personal se regula o se menciona la auditoría?
5 Los datos de carácter personal «Había leído a menudo de ciertos grandes servicios hechos a los príncipes y Estados y deseaba conocer a las personas que los habían cumplido. Habiéndome informado, se me dijo que los nombres de quienes ejecutaron servicios tales no estaban registrados en lugar alguno, salvo cuando se les mencionaba en la historia como los más viles truhanes y traidores.» (Viajes de Gulliver, Jonathan Swift)
5.1. GENERALIDADES Los avances tecnológicos y su rápida implantación en nuestra sociedad están logrando en pocos años que ésta cambie, lo que nos permite presenciar, y en algunos casos ser protagonistas, de lo que para unos es la sociedad del saber, para otros la sociedad del conocimiento y para los más la sociedad de la información. Somos testigos del estallido de una nueva revolución, aún más fuerte de lo que fue la revolución industrial con la enorme diferencia de que aquélla sucedió en una parte del mundo y por ello sólo fue vivida por unos pocos, mientras que ésta tiene un carácter más universal y es percibida por muchos. En realidad, hoy la mayoría de nosotros no somos conscientes de lo que está pasando. La información, que siempre ha sido valiosa, en estos tiempos se ha convertido en un bien absolutamente necesario. Pocas empresas pueden hoy en día estar presentes en los mercados si previamente no han conseguido la debida información sobre la situación de éstos. Entre esta información cobran especial relevancia los datos de carácter personal. 57
58
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
La creación de nuevos mercados, inexistentes hace pocos años, como el de los teléfonos móviles, por ejemplo, y su rápido desarrollo hacen que el empleo de los medios tradicionales de captación y de fidelización de clientes ya no sean válidos y sea necesario emplear nuevas técnicas que nos permitan un tratamiento masivo, rápido y, a poder ser, barato. Esto da lugar a la creación de bases de datos en las que se almacenan cuantos más datos mejor para lograr con ello un perfil de quien nos compra o nos puede comprar en el futuro. Esto origina a su vez una masiva circulación de correspondencia, ya sea postal o electrónica, empezando esta última a tener un gran volumen. Indudablemente, con la existencia y el posible tratamiento de esas grandes bases de datos está cambiando la situación actual en el sector del marketing, pues se podrá lograr uno de los objetivos de éste: conseguir una publicidad personificada con el valor añadido de que aparte de ser más eficaz podrá también ser más económica. A todo ello también contribuirá la relación con los clientes a través de Internet. Gran importancia adquieren en ese masivo almacenamiento de datos los correspondientes a la salud de las personas físicas, que se consideran como datos especialmente protegidos. Ahora bien, mientras que lo descrito hasta ahora es ya una realidad en el horizonte planea el panóptico de que hablaba David Lyon 1 o el Big Brother descrito por George Orwell 2. Este hipotético peligro cada vez parece más probable y la intimidad de las personas queda con más facilidad al descubierto y la protección de sus datos de carácter personal cada vez resulta más difícil de realizar. Nos encontramos, una vez más, ante una posible colisión de derechos, algo que, por otra parte, no nos debe escandalizar, pues en otras áreas del derecho es habitual: el derecho a la intimidad de las personas, el derecho a la protección de sus datos de carácter personal y ese derecho a la libre circulación de mercancías, personas, servicios y capitales, lo que hace necesaria la libre circulación también de los datos personales. A partir de aquí, y refiriéndonos al caso español, vamos a hablar de la protección de los datos de carácter personal, que es lo que protege la ley española, y menos de derecho a la intimidad de las personas, que tiene otros medios legales de defensa. 1 David Lyon. El ojo electrónico. El auge de la sociedad de la vigilancia. Alianza Editorial. Madrid, 1995. 2 George Orwell. 1984. Destino (8.ª edición), Barcelona, 1987.
LOS DATOS DE CARÁCTER PERSONAL
59
La protección de los datos de carácter personal adquiere, a partir de la Sentencia 292/2000 3, de 30 de noviembre, del Tribunal Constitucional el carácter de derecho fundamental independiente del derecho a la intimidad. 3
Sentencia 292/2000, de 30 de noviembre. Fundamento jurídico n.º 5. «[...] La garantía de la vida privada de la persona y de su reputación poseen hoy una dimensión positiva que excede al ámbito propio del derecho fundamental a la intimidad (art. 18.1 C.E.), y que se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada “libertad informática” es así derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención (SSTC 11/1998, F.J. 5, 94/1998, F.J. 4). Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad del art. 18.1 C.E., con quien comparte el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar, atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos cuya concreta regulación debe establecer la Ley, aquella que conforme al art. 18.4 C.E. debe limitar el uso de la informática, bien desarrollando el derecho fundamental a la protección de datos (art. 81.1 C.E.), bien regulando su ejercicio (art. 53.1 C.E.). La peculiaridad de este derecho fundamental a la protección de datos respecto de aquel derecho fundamental tan afín como es el de la intimidad radica, pues, en su distinta función, lo que apareja, por consiguiente, que también su objeto y contenido difieran. 6. La función del derecho fundamental a la intimidad del art. 18.1 C.E. es la de proteger frente a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en contra de su voluntad (por todas STC 144/1999, de 22 de julio, F.J. 8). En cambio, el derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado. En fin, el derecho a la intimidad permite excluir ciertos datos de una persona del conocimiento ajeno, por esta razón, y así lo ha dicho este Tribunal (SSTC 134/1999, de 15 de julio, F.J. 5; 144/1999, F.J. 8; 98/2000, de 10 de abril, F.J. 5; 115/2000, de 10 de mayo, F.J. 4), es decir, el poder de resguardar su vida privada de una publicidad no querida. El derecho a la protección de datos garantiza a los individuos un poder de disposición sobre esos datos. Esta garantía impone a los poderes públicos la prohibición de que se conviertan en fuentes de esa información sin las debidas garantías; y también el deber de prevenir los riesgos que puedan derivarse del acceso o divulgación indebidos de dicha información. Pero ese poder de disposición sobre los propios datos personales nada vale si el afectado desconoce qué datos son los que se poseen por terceros, quiénes los poseen y con qué fin. De ahí la singularidad del derecho a la protección de datos, pues, por un lado, su objeto es más amplio que el del derecho a la intimidad ya que el derecho fundamental a la protección de datos extiende su garantía no sólo a la intimidad en su dimensión constitucionalmente protegida por el art. 18.1 C.E., sino a lo que en ocasiones este Tribunal ha definido en términos más amplios como esfera de los bienes de la personalidad que pertenecen al ámbito de la vida privada, inextricablemente unidos al respeto de la dignidad personal (STC 170/1987, de 30 de octubre, F.J. 4), como el derecho al honor, citado expresamente en el art. 18.4 C.E., e igualmente, en expresión bien amplia del propio art. 18.4 C.E., al pleno ejercicio de los derechos de la persona. El derecho fundamental a la protección de datos amplía la garantía constitucional a aquellos de esos datos que sean relevantes para o tengan incidencia en el ejercicio de cualesquiera derechos de la persona, sean o no derechos constitucionales y sean o no relativos al honor, la ideología, la intimidad personal y familiar a cualquier otro bien constitucionalmente amparado.
60
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
De este modo, el objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art. 18.1 C.E. otorga, sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así lo garantiza su derecho a la protección de datos. También por ello, el que los datos sean de carácter personal no significa que sólo tengan protección los relativos a la vida privada o íntima de la persona, sino que los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo. Pero también el derecho fundamental a la protección de datos posee una segunda peculiaridad que lo distingue de otros, como el derecho a la intimidad personal y familiar del art. 18.1 C.E. Dicha peculiaridad radica en su contenido, ya que a diferencia de este último, que confiere a la persona el poder jurídico de imponer a terceros el deber de abstenerse de toda intromisión en la esfera íntima de la persona y la prohibición de hacer uso de lo así conocido (SSTC 73/1982, de 2 de diciembre, F.J. 5; 110/1984, de 26 de noviembre, F.J. 3; 89/1987, de 3 de junio, F.J. 3; 231/1988, de 2 de diciembre, F.J. 3; 197/1991, de 17 de octubre, F.J. 3, y en general las SSTC 134/1999, de 15 de julio, 144/1999, de 22 de julio, y 115/2000, de 10 de mayo), el derecho a la protección de datos atribuye a su titular un haz de facultades consistente en diversos poderes jurídicos cuyo ejercicio impone a terceros deberes jurídicos, que no se contienen en el derecho fundamental a la intimidad, y que sirven a la capital función que desempeña este derecho fundamental: garantizar a la persona un poder de control sobre sus datos personales, lo que sólo es posible y efectivo imponiendo a terceros los mencionados deberes de hacer. A saber: el derecho a que se requiera el previo consentimiento para la recogida y uso de los datos personales, el derecho a saber y ser informado sobre el destino y uso de esos datos y el derecho a acceder, rectificar y cancelar dichos datos. En definitiva, el poder de disposición sobre los datos personales (STC 254/1993, F.J. 7). 7. De todo lo dicho resulta que el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos. En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que los rectifique o los cancele.»
LOS DATOS DE CARÁCTER PERSONAL
61
Para comprender lo que vamos a examinar posteriormente, hay que analizarlo desde dos perspectivas distintas: si lo contemplamos desde la perspectiva profesional toda esta regulación no nos va a traer más que nuevos trabajos, inconvenientes, gastos y posiblemente sanciones, aunque también deberíamos entender que nos puede ayudar a organizar mejor nuestra empresa o institución y a implantar las necesarias medidas de seguridad. Si lo miramos desde la perspectiva personal, podremos comprobar que la nueva regulación protege a la persona, ya que con ella no se encuentra indefensa como hasta ahora ante el mal uso de sus datos personales y que, merced a ese derecho a la autodeterminación informativa o libertad informática, puede conocer quién tiene sus datos, qué datos tiene, de dónde los ha obtenido, para qué los quiere, a quién se los ha cedido y, en determinadas circunstancias, puede pedir su rectificación y cancelación y oponerse a su uso.
5.2. NECESIDAD DE UNA PROTECCIÓN JURÍDICA La Unión Europea, consciente de la necesidad de proteger a las personas físicas respecto al tratamiento de sus datos de carácter personal y a la libre circulación de éstos, ha aprobado las siguientes Directivas: — Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. — Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones. — Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas). Las dos primeras Directivas han sido incorporadas ya al ordenamiento jurídico español no habiéndolo sido aún la tercera.
62
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
La transposición de la Directiva 95/46/CE ha dado origen a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. El Capítulo III de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones, titulado «Secreto de las comunicaciones y protección de los datos personales y derechos y obligaciones de carácter público vinculados con las redes y servicios de telecomunicaciones», incorpora al ordenamiento español la Directiva 97/66/CE, de 15 de diciembre. Según la disposición transitoria tercera de la LOPD y hasta tanto que el Gobierno apruebe o modifique las disposiciones reglamentarias necesarias para la aplicación y desarrollo de la LOPD continuarán en vigor, con su propio rango, las normas reglamentarias existentes y, en especial, los Reales Decretos 428/1993, de 26 de marzo; 1332/1994, de 20 de junio; y 994/1999, de 11 de junio, en cuanto no se opongan a la LOPD.
5.3. LA TRANSFERENCIA INTERNACIONAL DE DATOS El movimiento internacional de datos, tan importante para la prestación de servicios de la sociedad de la información y del comercio electrónico, dada la globalización que existe, tanto cultural como económica, que afecta a la mayoría de las transacciones electrónicas, se contempla en las siguientes disposiciones: 1. Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Considerandos y artículos 25 y 26). 2. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (artículos 33 y 34). 3. Instrucción 1/2000, de 1 de diciembre, de la Agencia de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos. 4. Los principios de «puerto seguro» para la protección de la vida privada. A continuación, examinaremos cada una de estas disposiciones.
LOS DATOS DE CARÁCTER PERSONAL
63
5.3.1. Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos En el año 1992, a la fecha de la redacción de la LORTAD ya existía un Proyecto de Directiva europea para la protección de las personas físicas en relación con sus datos personales, por lo que la LORTAD ya pudo seguir, en cierto modo, las directrices que después, en el año 1995, marcó la Directiva 95/46/CE (a partir de ahora, y dentro de este epígrafe, Directiva) al respecto. La Directiva, en sus Considerandos, pone especial énfasis en los siguientes objetivos definidos en el Tratado de la Unión Europea: a) una unión más estrecha entre los pueblos europeos; b) el establecimiento de relaciones más estrechas entre los Estados miembros de la Comunidad; c) el aseguramiento, mediante una acción común, del progreso económico y social, eliminando las barreras que dividen Europa; d) el fomento de la continua mejora de las condiciones de vida de sus pueblos; e) la consolidación de la paz y la libertad; f) la promoción de la democracia, basándose en los derechos fundamentales reconocidos en las constituciones y leyes de los Estados miembros y en el Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales. Para cumplir dichos objetivos, continúan los Considerandos, es preciso: 1. que los sistemas de tratamiento de datos estén al servicio del hombre; 2. que, con independencia de cuál sea la nacionalidad o la residencia de las personas físicas se deben respetar sus derechos fundamentales, en particular, la intimidad; 3. que se contribuya: — al progreso económico y social, — al desarrollo de los intercambios y — al bienestar de los individuos.
64
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Ahora bien, el establecimiento y funcionamiento del mercado interior dentro de la Unión obliga a garantizar la libre circulación en ese mercado de mercancías, personas, servicios y capitales. Los avances tecnológicos facilitan enormemente el tratamiento de intercambio de datos y, por consiguiente, su circulación. Por otro lado, y en esa misma línea de actuación, la integración económica y social resultante del establecimiento y funcionamiento del mercado común va a propiciar: a) un aumento de los flujos transfronterizos de datos personales entre todos los agentes de la vida económica y social de los Estados miembros; b) el desarrollo del intercambio de datos entre empresas situadas en diferentes Estados miembros; c) que las Administraciones nacionales estén destinadas a colaborar y a intercambiar datos personales a fin de cumplir su cometido. Esta circulación transfronteriza se ve fortalecida por la cooperación científica y técnica, así como por el establecimiento coordinado de nuevas redes de telecomunicaciones. Todo ello exige una legislación común en los Estados de la Unión a fin de evitar que la legislación de un determinado país pueda suponer, en aras a una desproporcionada defensa de la intimidad de sus nacionales, un obstáculo a esa necesaria libre circulación de datos. La presente Directiva trata de acercar las legislaciones de los distintos Estados miembros al objeto de hacer compatible algo que, en principio, parecía antagónico: — la libre circulación de datos personales y — la protección de los derechos fundamentales de las personas. Esta actuación se contempla dentro de los límites territoriales de la Unión, pero no se deben olvidar los intercambios que existen con países que no pertenecen a aquélla y la Directiva también lo tiene en cuenta. La Directiva, en el artículo 4 del Capítulo I, al hablar del «Derecho nacional aplicable», dice lo siguiente: «1. Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:
LOS DATOS DE CARÁCTER PERSONAL
65
a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable; b) el responsable del tratamiento no esté establecido en el territorio del Estado miembro, sino en un lugar en que se aplica su legislación nacional en virtud del Derecho internacional público; c) el responsable del tratamiento no esté establecido en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea. 2. En el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.»
En este artículo, ya se contemplan actuaciones fuera del territorio del Estado miembro. Este artículo influirá, como después veremos, en la normativa española debido a la transposición de la Directiva a nuestro ordenamiento jurídico. El Capítulo IV (artículos 25 y 26) de la Directiva se dedica a la «Transferencia de datos personales a países terceros». Dicha transferencia, según el artículo 25, únicamente podrá efectuarse cuando aparte de cumplir con todo lo dispuesto en el Derecho nacional de que se trate además el país tercero garantice un nivel de protección adecuado. El sistema de evaluación se describe en el punto 2 del artículo mencionado: — se atenderá a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias, en particular en: a) b) c) d) e) f)
la naturaleza de los datos; la finalidad; la duración del tratamiento o tratamientos previstos; el país de origen; el país de destino final; las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate; g) normas profesionales; h) medidas de seguridad en vigor en dichos países.
66
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Se creará una Comisión con la que los Estados miembros cambiarán información recíprocamente en los casos en que un tercer país no garantice un nivel de protección adecuado. En ese caso se suspenderán las transferencias de datos personales a dicho país y se iniciarán por la Comisión las negociaciones oportunas para remediar dicha situación. La Comisión podrá hacer constar que un tercer país garantiza el necesario nivel de protección y los Estados miembros deberán adoptar las medidas necesarias para ajustarse a la decisión de la Comisión. El artículo 26 está dedicado a las excepciones que permiten la transferencia a un tercer país que no garantice el nivel de protección necesario. Éstas son las siguientes: a) cuando el interesado haya dado su consentimiento inequívoco a la transferencia prevista, o b) cuando la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales tomadas a petición del interesado, o c) la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar en interés del interesado, entre el responsable del tratamiento y un tercero, o d) la transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público importante, o para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial, o e) la transferencia sea necesaria para la salvaguardia del interés vital del interesado, o f) la transferencia tenga lugar desde un registro público que, en virtud de disposiciones legales o reglamentarias esté concebido para facilitar información al público y esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo, siempre que se cumplan, en cada caso particular, las condiciones que establece la ley para la consulta. También se presenta una excepción cuando los Estados miembros autoricen una transferencia o una serie de transferencias a un país que no garantice un nivel de protección adecuado cuando: a) el responsable del tratamiento ofrezca garantías suficientes respecto a la protección de la vida privada, de los derechos y libertades funda-
LOS DATOS DE CARÁCTER PERSONAL
67
mentales de las personas, así como respecto al ejercicio de los respectivos derechos; b) dichas garantías podrán derivarse de cláusulas contractuales apropiadas.
5.3.2. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal La LOPD, al contemplar la transferencia internacional de datos, se separa, en parte, de la forma de afrontarla de la LORTAD y sigue el sistema que adopta la Directiva, como no podía ser de otra forma, ya que con la primera lo que se trata es de transponer la Directiva europea al ordenamiento jurídico español. La LOPD se refiere a las transferencias internacionales en tres lugares diferentes de su articulado: en el artículo 2 al referirse al ámbito de aplicación de la Ley, en el artículo 5, punto 1, al hablar de la obligación del responsable del tratamiento domiciliado fuera de la Unión Europea de nombrar un representante en España y por último en el Título V, artículos 33 y 34 bajo el epígrafe: «Movimiento internacional de datos». El ámbito de aplicación de la Ley que en la LORTAD no quedaba claro, en la LOPD se clarifica especificando una serie de supuestos en su artículo 2.1. Entra dentro de su ámbito de aplicación todo tratamiento de datos de carácter personal: 1. Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento. Éste es el caso más normal, en el que no tienen por qué producirse transferencias internacionales, y en el caso de que así sucediese se aplicarían los artículos 33 y 34. 2. Cuando el responsable del tratamiento: a) no esté establecido en territorio español y b) le sea de aplicación la legislación española en aplicación de normas de Derecho internacional público. 3. Cuando el responsable del tratamiento: a) no esté establecido en territorio de la Unión Europea y
68
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
b) utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito. El artículo 5, en su punto 1, al enumerar la información que el responsable del fichero debe facilitar al titular de los datos en el momento de su recogida aclara en referencia a los ficheros situados fuera del territorio de la Unión Europea: «Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.»
El artículo 33 de la LOPD comprende la norma general. No se pueden efectuar transferencias temporales ni definitivas de datos de carácter personal a: 1. países que no proporcionen un nivel de protección equiparable al nuestro; 2. la evaluación del nivel de protección corresponde realizarla a la Agencia de Protección de Datos que atenderá a todas las circunstancias que concurran en la transferencia, en especial a: a) b) c) d) e) f)
naturaleza de los datos, finalidad, duración del tratamiento o de los tratamientos previstos, país de origen, país de destino final, normas de derechos generales o sectoriales vigentes en el tercer país, g) contenido de los informes de la Comisión de la Unión Europea, h) normas profesionales, i) medidas de seguridad. No obstante lo anterior, se podrán efectuar las transferencias cuando: 1. habiéndose observado lo dispuesto en la Ley 2. se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.
LOS DATOS DE CARÁCTER PERSONAL
69
También existen, según el artículo 34, una serie de excepciones en las que no será de aplicación lo dispuesto en el artículo 33: 1. Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España. 2. Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional. 3. Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios. 4. Cuando se refiera a transferencias dinerarias conforme a su legislación específica. 5. Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista. 6. Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado. 7. Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero. 8. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias. 9. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. 10. Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro Público y aquélla sea acorde con la finalidad del mismo. 11. Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado. Vemos, pues, que no difiere mucho de lo dispuesto en la Directiva, si acaso en las excepciones, lo que no podría ser de otra forma porque, como hemos dicho anteriormente, se trata, no lo olvidemos, tan sólo de una transposición de ésta a nuestro ordenamiento jurídico interno.
70
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
En relación con todo lo anterior es digna de mención la aparición en la LOPD de una figura que no se contemplaba específicamente en la LORTAD aunque se permitía su existencia y es la del encargado del tratamiento que surge cuando se externaliza la prestación de servicios del tratamiento de datos de carácter personal. La LOPD define en su artículo 3 al encargado del tratamiento como: «persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento».
Asimismo, dedica el artículo 12 a la prestación de servicios por un tercero bajo el epígrafe: «Acceso a los datos por cuenta de terceros». La prestación de servicios por cuenta de terceros, lo que se viene conociendo como outsourcing 4; según dicho artículo, se regula de la forma siguiente: 1. No se considerará comunicación o cesión de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento. 2. La prestación de servicios se regulará necesariamente en un contrato del cual se deberá probar, en caso necesario, su existencia. En el mismo deberá establecerse lo siguiente: a) El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del fichero o tratamiento. b) No los aplicará o utilizará con fin distinto al que figure en dicho contrato. c) No los comunicará o cederá ni siquiera para su conservación a otras personas. d) Medidas de seguridad que se deben implementar. Los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, de igual forma que cualquier soporte o documento que los contenga, al término de la prestación contractual. El punto 4 del artículo 12 establece un desplazamiento de la responsabilidad desde el responsable del fichero, verdadero chivo expiatorio en la LORTAD, al encargado del tratamiento, nueva figura surgida en la LOPD. 4 Para más información sobre el outsourcing ver Emilio del Peso Navarro, Manual de Outsourcing Informático, Díaz de Santos. Madrid, 2000.
LOS DATOS DE CARÁCTER PERSONAL
71
En la LORTAD, el prestador del servicio no existía realmente para la Agencia de Protección de Datos y sólo respondía ante el responsable del tratamiento o fichero si así se había previsto contractualmente con anterioridad. En la LOPD esto cambia radicalmente, de forma que el encargado del tratamiento o prestador del servicio no sólo responde contractualmente, que aquí es obligatorio, sino que además responde ante la Agencia de Protección de Datos como si fuese realmente el responsable del fichero en los siguientes casos: 1. destine los datos a otra finalidad, 2. los comunique o ceda, 3. los utilice incumpliendo lo estipulado en el contrato. No se dice nada en el caso de que incumpla las medidas de seguridad, por lo que parece que en este caso sólo responderá contractualmente ante el responsable del fichero, pero no se desplazará la responsabilidad desde éste, como ocurría en los otros casos, ante la Agencia de Protección de Datos, aunque en el artículo 9.1 se dice que el responsable del fichero y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias. Utilizamos indistintamente responsable del fichero y responsable del tratamiento, que son la misma figura, y comunicación o cesión, que igualmente son lo mismo a fin de familiarizar al lector con esta dualidad de denominaciones que emplea la Ley.
5.3.3. Instrucción 1/2000, de 1 de diciembre, de la Agencia de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos El artículo 36 de la LORTAD, al enumerar las funciones de la Agencia de Protección de Datos en su apartado c), dice lo siguiente: «c) Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos automatizados a los principios de la presente Ley.»
El Estatuto de la Agencia de Protección de Datos aprobado por el Real Decreto 428/1993, de 26 de marzo, subsistente después de la derogación de
72
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
la LORTAD, según la disposición transitoria tercera de la LOPD en cuanto no se oponga a dicha Ley, en su artículo 5, bajo el epígrafe «Cooperación en la elaboración y aplicación de las normas», dice lo siguiente: «Artículo 5. La Agencia de Protección de Datos colaborará con los órganos competentes en lo que respecta al desarrollo normativo y aplicación de las normas que incidan en materia propia de la Ley Orgánica 5/1992, y a tal efecto: a) Informará preceptivamente los proyectos de disposiciones generales de desarrollo de la Ley Orgánica. b) Informará preceptivamente cualesquiera proyectos de ley o reglamento que incidan en la materia propia de la Ley Orgánica. c) Dictará instrucciones y recomendaciones precisas para adecuar los tratamientos automatizados a los principios de la Ley Orgánica. d) Dictará recomendaciones de aplicación de las disposiciones legales y reglamentarias en materia de seguridad de los datos y control de acceso a los ficheros.»
La LOPD no modifica la redacción del artículo 36.c) de la LORTAD; ahora bien, aparece como artículo 37.c), excepto que ha eliminado la referencia de que los tratamientos sean automatizados. Vemos, pues, que la Agencia de Protección de Datos tiene competencia para dictar instrucciones que tengan por objeto señalar los criterios orientativos seguidos por la Agencia de Protección de Datos en relación con un determinado asunto. En los últimos tiempos, y quizás porque la LORTAD era poco explícita en esta materia, una de las cuestiones, como se dice en la Introducción o Exposición de Motivos de la Instrucción 1/2000 (a partir de ahora Instrucción), que ha suscitado un mayor número de dudas por parte de los responsables de los ficheros y de la sociedad en general ha sido la transferencia internacional de datos. Durante los siete años de actuación de la Agencia de Protección de Datos se ha generado una abundante casuística relacionada con las transferencias internacionales de datos que hasta la fecha no venía recogida sistemáticamente en ningún texto. La finalidad de la Instrucción es aclarar y facilitar a todos los interesados, en un único texto, el procedimiento seguido por la Agencia para dar cumplimiento a las previsiones contenidas en la diversidad de normas que se refieren al movimiento internacional de datos. En esta línea, además de tener en cuenta las normas a las que nos hemos referido con anterioridad, debemos contemplar:
LOS DATOS DE CARÁCTER PERSONAL
73
a) Decisión de la Comisión de las Comunidades Europeas 2000/518/CE, de 26 de julio, que considera adecuado el nivel de protección de datos personales de Suiza. b) Decisión de la Comisión de las Comunidades Europeas 2000/519/CE, de 26 de julio, que considera adecuado el nivel de protección de datos personales de Hungría. c) Decisión de la Comisión de las Comunidades Europeas 2000/520/CE, de 26 de julio, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de los Estados Unidos de América. La Instrucción se divide en dos partes: la primera referida a las disposiciones generales (normas primera a tercera) y la segunda a las disposiciones aplicables a Transferencias concretas (normas cuarta a sexta). El ámbito de aplicación que figura en su norma primera abarca a cualquier supuesto de transferencia internacional de datos de carácter personal. Se aprovecha la norma para introducir en ellas tres nuevas definiciones: Transferencia internacional de datos Toda transmisión de los mismos fuera del territorio español. En particular, se consideran como tales las que constituyan una cesión o comunicación de datos y las que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero. Transmitente Persona física o jurídica, pública o privada, responsable del fichero o tratamiento de los datos de carácter personal que son objeto de transferencia internacional. Destinatario Persona física o jurídica, pública o privada, situada fuera del territorio español que recibe los datos transferidos.
74
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
El deber de información a los afectados se trata en la norma segunda. Deberá informarse de: a) destinatarios de los datos, b) finalidad que justifica la transferencia internacional, c) uso de los datos que podrá hacer el destinatario. Se exceptúa de ese deber de información al titular de los datos cuando la transferencia tenga por objeto la prestación de un servicio al responsable del fichero (art. 12 LOPD). En la norma tercera se desarrolla el procedimiento que hay que seguir para notificar las transferencias previstas al Registro General de Protección de Datos. Se pueden presentar los siguientes casos: — Fichero público: • Prevista en la creación del fichero. (Deberá figurar en la norma de creación y notificarse ésta al Registro de Protección de Datos.) • Surgida posteriormente. (Deberá figurar en la norma de modificación y notificarse ésta al Registro de Protección de Datos.) — Fichero privado: • Prevista en la creación del fichero. (Notificación en el modelo de inscripción.) • Surgida posteriormente. (Notificación de la modificación.) En la notificación, en cualquier caso, deberá comunicarse: a) el país de destino, b) motivos que habilitan para no necesitar la autorización expresa del Director de la Agencia de Protección de Datos. La Agencia podrá requerir al responsable del fichero para que, en el plazo de diez días, aporte:
LOS DATOS DE CARÁCTER PERSONAL
75
1. documentación para completar la información entregada y/o 2. identidad del receptor de la misma y/o 3. documentación acerca de la información que preceptivamente hay que facilitar a los afectados y/o 4. acreditación del consentimiento otorgado por el afectado y/o 5. relación contractual alegada y/o 6. documentación necesaria en el caso de tratarse de una transferencia específica de las que figuran en la Sección II de la Instrucción. Ante la negativa del Director de proceder a la inscripción cabe recurso previo de reposición ante la propia Agencia o recurso contencioso-administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional. La Sección II de la Instrucción está dedicada a Transferencias concretas: 1. Transferencias al territorio de Estados que otorguen un nivel adecuado de protección (norma cuarta). 2. Transferencias al territorio de otros Estados (norma quinta). 3. Transferencias que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero (norma sexta).
1. Transferencias al territorio de Estados que otorguen un nivel adecuado de protección (norma cuarta) I. Sistema de declaración de existencia de un nivel adecuado de protección La Agencia de Protección de Datos podrá: a) Requerir al responsable del fichero para que aporte la documentación relativa a la transferencia internacional así como la identidad del receptor de la misma (norma tercera, apartado segundo). b) Suspender temporalmente la transferencia de datos cuando concurran algunas de las circunstancias siguientes: 1. que las Autoridades de la Protección de Datos del Estado destinatario o cualquier otra, en caso de no existir las primeras, re-
76
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
suelvan que el destinatario ha vulnerado las normas de protección de datos de su derecho interno, 2. que existan indicios racionales de que se estén vulnerando las normas, 3. igualmente respecto a los principios de protección de datos por la entidad destinataria de la transferencia. En este último caso (apartados 2 y 3), se debe dar la circunstancia de que las autoridades competentes en el Estado en que se encuentre el destinatario no han adoptado o no van a adoptar en el futuro las medidas oportunas para resolver el caso en cuestión, habiendo sido advertidas de la situación por la Agencia de Protección de Datos. En este caso se podrá suspender la transferencia cuando su continuación pudiera generar un riesgo inminente de grave perjuicio a los afectados. La Agencia de Protección de Datos deberá notificar a la Comisión de las Comunidades Europeas esta decisión de su Director:
II. Sistema de autorregulación o condiciones similares a las contenidas en la Decisión 2000/520/CE a) Transferencia fundada en lo establecido en la Decisión 2000/520/CE de la Comisión de las Comunidades Europeas «sobre la adecuación de la protección conferida por los principios de puerto seguro». b) Nivel de protección adecuado declarado por la Comisión de las Comunidades Europeas en relación con un sistema de autorregulación o de condiciones similares a las contenidas en la Decisión 2000/520/CE. En ambos casos se deberá acreditar: 1. que el destinatario se encuentra entre las entidades que se han adherido a los principios, 2. que el mismo se encuentra sujeto a la jurisdicción de uno de los organismos públicos estadounidenses siguientes: a) Comisión Federal de Comercio, b) Departamento de Transporte de Estados Unidos de América.
LOS DATOS DE CARÁCTER PERSONAL
77
2. Transferencias al territorio de otros Estados no declarados de nivel adecuado (norma quinta) I. Se funda en los supuestos comprendidos en los apartados a) a j) del artículo 34 de la Ley Orgánica 15/1999 a) La transferencia sea resultado de la aplicación de tratados o convenios en que sea parte España. b) Se haga a efectos de prestar o solicitar auxilio judicial internacional. c) Sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios. d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica. e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista. f) Cuando sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado. g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero. h) Cuando sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias. i) Cuando sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. j) Cuando se efectúe, a petición de persona con interés legítimo, desde un Registro Público y aquélla sea acorde con la finalidad del mismo. La Agencia de Protección de Datos podrá requerir al responsable del fichero para que aporte la documentación que justifique su alegación. II. No se fundamente en alguno de los supuestos anteriores o no haya podido acreditarlo En estos casos será precisa la existencia de un contrato escrito celebrado entre el transmitente y el destinatario en que consten:
78
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
a) Garantías de respeto a la vida privada de los afectados. b) Garantías de respeto a sus derechos y libertades fundamentales. c) Se garantice el ejercicio de sus respectivos derechos. El contrato deberá contener, al menos, lo siguiente: a) b) c) d) e) f) g) h) i) j)
k) l) m) n)
Identificación del transmitente y destinatario de los datos. Indicación de la finalidad que justifica la transferencia. Datos objeto de la transferencia. Compromiso del transmitente de que en la recogida y tratamiento de los datos en territorio español se ha respetado la LOPD. Que el fichero en que se encuentran los datos de la transferencia se ha inscrito en el Registro General de Protección de Datos o se ha solicitado su inscripción. Compromiso del destinatario de que los datos recibidos serán tratados exclusivamente para la finalidad que motiva la transferencia. Que procederá a su tratamiento de acuerdo con las normas de protección de datos del derecho español. Que el destinatario se comprometerá a no comunicar los datos a ningún tercero en tanto no haya sido recabado el consentimiento del afectado para ello. El destinatario adoptará las medidas de seguridad requeridas por la normativa de protección de datos de carácter personal vigente en España. Que el transmitente y el destinatario responderán solidariamente frente a los particulares, a la Agencia de Protección de Datos y a los Órganos Jurisdiccionales españoles por los eventuales incumplimientos del contrato en que pudiera incurrir el receptor, cuando los mismos sean constitutivos de infracción de lo dispuesto en la Ley Orgánica 15/1999 o produzcan un perjuicio a los afectados. Que se indemnizará al afectado que resulte perjudicado como consecuencia del tratamiento efectuado por el destinatario. Garantía de que el afectado podrá ejercitar los derechos de acceso, rectificación, cancelación y oposición, tanto ante el transmitente como ante el destinatario de los datos. Que el interesado podrá recabar la tutela de la Agencia de Protección de Datos en los supuestos previstos en la Ley Orgánica 15/1999, en caso de que sus derechos no sean atendidos. Compromiso del destinatario de los datos de autorizar el acceso al establecimiento donde se estén tratando los mismos, así como a la
LOS DATOS DE CARÁCTER PERSONAL
79
documentación y a los equipos físicos y lógicos, de representantes de la Agencia de Protección de Datos o de quien ésta delegue, cuando la Agencia lo requiera con el fin de verificar el cumplimiento de las obligaciones derivadas del contrato. o) La obligación de que, una vez extinguida la relación contractual, los datos de carácter personal deberán ser destruidos o devueltos al transmitente, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto de la transferencia. p) Que los afectados podrán exigir el cumplimiento de lo estipulado en el contrato en todas aquellas cuestiones en que el mismo les resulte beneficioso. La Agencia de Protección de Datos podrá exigir que en el mismo se introduzcan las modificaciones necesarias para que se cumplan los requisitos a que se refieren los apartados 1 y 2 de esta norma en el plazo de diez días. El incumplimiento de lo anterior supondrá la denegación por parte del Director de la Agencia de Protección de Datos de la transferencia solicitada. La autorización de la transferencia se inscribirá en el Registro General de Protección de Datos y se comunicará a la Comisión de las Comunidades Europeas. Surtirán el mismo efecto jurídico los contratos que pudieran celebrarse en el futuro al amparo de lo que, en su caso, dispongan las Decisiones de la Comisión de las Comunidades Europeas que den cumplimiento a lo dispuesto en el artículo 26.4 5 de la Directiva 95/46/CE, siempre que se acredite su íntegro cumplimiento. No obstante lo anterior, la Agencia de Protección de Datos podrá denegar o suspender temporalmente, con audiencia del transmitente, la transferencia cuando concurra alguna de las siguientes circunstancias: a) que la situación de protección de los derechos fundamentales y libertades públicas en el país de destino impidan: 1. garantizar el íntegro cumplimiento del contrato, 2. el ejercicio por los afectados de los derechos que el contrato garantiza, 5 Artículo 26.4 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995. «Cuando la Comisión decida, según el procedimiento establecido en el apartado 2 del artículo 31, que determinadas cláusulas contractuales tipo ofrecen las garantías suficientes establecidas en el apartado 2, los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.»
80
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
b) que la entidad destinataria haya incumplido previamente las garantías establecidas en las cláusulas contractuales de este tipo, c) que existan indicios racionales de que las garantías ofrecidas por el contrato no están siendo o no serán respetadas por el destinatario, d) que existan indicios racionales de que los mecanismos de aplicación del contrato no son o no serán efectivos, e) que la transferencia, o su continuación, en caso de haberse iniciado, pudiera crear una situación de riesgo de daño efectivo a los afectados. La Agencia de Protección de Datos notificará a la Comisión de las Comunidades Europeas, cuando así sea exigible, las resoluciones de su Director por las que deniegue o suspenda una transferencia internacional. Contra las resoluciones del Director de la Agencia de Protección de Datos cabe interponer potestativamente recurso previo de reposición o recurso contencioso-administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional. III. Prestación de servicios en las transferencias De forma similar a como se puede realizar la prestación de servicios que regula el artículo 12 de la LOPD, dentro de España también se puede efectuar cuando media una transferencia internacional de datos. De forma que cuando la transferencia internacional de datos tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero, ésta debería estar regulada en un contrato en que deberá hacerse constar la responsabilidad directa del transmitente como consecuencia de cualquier incumplimiento de la Ley en que incurriera el destinatario. El contrato deberá constar por escrito estableciendo expresamente: a) que el destinatario únicamente tratará los datos conforme a las instrucciones del transmitente, b) no podrán aplicarse o utilizarse con fin distinto al que figure en dicho contrato, c) se adoptarán las medidas de seguridad exigibles al transmitente conforme a la protección de datos del Derecho español, d) se indicará que una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al transmitente, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto del tratamiento.
LOS DATOS DE CARÁCTER PERSONAL
81
La receptora no podrá comunicar los datos, ni siquiera para su conservación, a otras personas. Cuando el transmitente quiera que sean varias las entidades que le presten servicio fuera del territorio español de acuerdo con lo dispuesto en el artículo 12 de la LOPD deberá contratar dichos servicios con cada una de ellas. No será posible que la destinataria subcontrate una segunda actividad con otra empresa salvo que actúe en nombre y por cuenta del responsable del fichero. Cuando la transferencia se dirija a: a) un destinatario situado en un Estado no miembro de la Unión Europea respecto del que no se haya declarado la existencia de un nivel adecuado de protección b) no pertenezca al Espacio Económico Europeo en el contrato deberán constar cautelas semejantes a las indicadas en la norma quinta en lo referente al régimen sancionador y de indemnización a interesados, así como en lo relativo a las potestades de la Agencia de Protección de Datos para el caso en que el destinatario utilice los datos con fines distintos a los que motivó la transferencia o los emplee incumpliendo las estipulaciones del contrato.
5.3.4. Los principios de «puerto seguro» para la protección de la vida privada Decisión de la Comisión, de 26 de julio de 2000 (2000/520/CE), con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América. Según el Considerando 5: «El nivel adecuado de protección de la transferencia de datos desde la Comunidad a Estados Unidos de América, reconocido por la presente Decisión, debe alcanzarse si las entidades cumplen los principios de puerto seguro para la protección de la vida privada, con objeto de proteger los datos personales transferidos de un Estado miembro a Estados Unidos de América (en lo sucesivo denominados “los principios”), así como las pre-
82
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
guntas más frecuentes (en lo sucesivo denominadas “FAQ”), en las que se proporciona orientación para aplicar los principios, publicadas por el Gobierno de Estados Unidos de América con fecha 21 de julio de 2000. Además, las entidades deben dar a conocer públicamente sus políticas de protección de la vida privada y someterse a la jurisdicción de la Federal Trade Commission (Comisión Federal de Comercio, FTC) a tenor de lo dispuesto en el artículo 5 de la Federal Trade Commission Act, en la que se prohíben actos o prácticas desleales o fraudulentas en el comercio o en relación con él, o a la jurisdicción de otros organismos públicos que garanticen el cumplimiento efectivo de los Principios y su aplicación de conformidad con las FAQ.»
La presente Decisión sólo se aplicará a los sectores y tratamientos que estén sujetos a la jurisdicción de: 1. Comisión Federal de Comercio. 2. Departamento de Transporte de Estados Unidos de América. Para garantizar la correcta aplicación de esta Decisión, el Departamento de Comercio de Estados Unidos de América o su representante publicarán una lista de las entidades que autocertifiquen su adhesión a los principios y su aplicación de conformidad con las FAQ y que estén sujetos a uno de los organismos enumerados anteriormente. Los principios de «puerto seguro» (protección de la vida privada) publicados por el Departamento de Comercio de Estados Unidos de América el 21 de julio de 2000 son los siguientes: Notificación Las entidades informarán a los particulares: a) b) c) d)
de los fines con los cuales recogen y utilizan información sobre ellos, la forma de contactar con ellas para cualquier pregunta o queja, los tipos de terceros a los cuales se revelará la información, las opciones y medios que la entidad ofrece a los particulares para limitar su uso y su divulgación.
La notificación se hará en lenguaje claro y transparente la primera vez que se invite a los particulares a proporcionar a la entidad información personal o, posteriormente, tan pronto como sea posible, pero en cualquier caso antes de que la entidad use dicha información para un fin distinto de
LOS DATOS DE CARÁCTER PERSONAL
83
aquel con el que inicialmente la recogió o trató la entidad que la transfiere o la divulga por primera vez a un tercero. La notificación o la opción no son necesarias cuando la información se revela a un tercero que ejecute un cometido, como agente, en nombre y bajo instrucciones de la entidad. No obstante, en este caso sí se aplica el principio de transferencia ulterior. Opción Las entidades ofrecerán a los particulares la posibilidad de decidir (exclusión) si su información personal: a) puede divulgarse a un tercero o b) puede usarse para un fin incompatible con el objetivo inicial con el que fue recogida o c) no haya sido autorizado posteriormente por el particular. Se deben proporcionar a los particulares mecanismos claros y transparentes, fácilmente disponibles y asequibles para ejercer su derecho de opción. Si se trata de información delicada, como datos sobre: a) b) c) d) e) f)
estado de salud, origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, vida sexual de la persona,
la opción de participar debe ser afirmativa o explícita (aceptación) si la información va a revelarse a un tercero o a utilizarse para un fin distinto del que inicialmente motivó la recogida de información o de una manera distinta a la autorizada con posterioridad por éste al optar por la aceptación. En cualquier caso, una entidad debe tratar como delicada toda información recibida de un tercero cuando dicho tercero la identifica y la trata como información delicada. Transferencia ulterior Para revelar información a terceros deberán aplicar los principios de notificación y opción.
84
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Cuando una entidad desee transferir los datos a un tercero que actúe como agente, podrá hacerlo si previamente se asegura de que éste: a) suscribe los principios, b) si es objeto de una resolución sobre su «adecuación» con arreglo a la Directiva u otra disposición o c) si firma con él un convenio por escrito para que ofrezca como mínimo el mismo nivel de protección de la vida privada que el requerido por dichos principios. Si la entidad cumple estos requisitos, no será responsable (a menos que la propia entidad acuerde lo contrario) del tratamiento realizado por el tercero a quien haya transferido este tipo de información y que vulnere las limitaciones o estipulaciones establecidas, a menos que la entidad sepa, o debiera saber, que el tercero realizaría dicho tratamiento y no haya adoptado medidas razonables para impedir o detener el tratamiento. Seguridad Las entidades que: a) b) c) d)
creen, mantengan, utilicen o difundan
información personal tomarán precauciones razonables para evitar: a) b) c) d) e) f)
pérdida, mal uso, consulta no autorizada, divulgación, modificación, destrucción.
Integridad de los datos La información de carácter personal, de acuerdo con los principios, debe ser pertinente para los fines con que se utiliza.
LOS DATOS DE CARÁCTER PERSONAL
85
Una entidad no podrá tratar la información personal de manera incompatible con los fines que motivaron su recogida o aprobó posteriormente el particular. En la medida necesaria para alcanzar dichos fines, las entidades adoptarán medidas razonables para que los datos tengan fiabilidad para el uso previsto y sean exactos, completos y actuales. Acceso Los particulares deberán tener acceso a la información personal que las entidades tengan sobre ellos y poder: a) corregir, b) modificar, c) suprimir, dicha información si resultase inexacta excepto en los casos siguientes: 1. Cuando permitir el acceso suponga una carga o dispendio desproporcionado en relación con los riesgos que el asunto en cuestión conlleva para la vida privada de la persona. 2. Cuando puedan vulnerar los derechos de otras personas. Aplicación Se incluirán mecanismos para garantizar la conformidad con los principios. Tales mecanismos deben incluir: a) Una vía de recurso independiente, asequible e inmediatamente disponible para investigar y resolver con arreglo a los principios las denuncias y litigios de los particulares y otorgar daños y perjuicios donde determinen la legislación aplicable o las iniciativas del sector privado. b) Procedimientos de seguimiento para comprobar que los certificados y declaraciones de las empresas sobre sus prácticas en materia de vida privada se ajustan a la verdad y que dichas prácticas se aplican en consecuencia.
86
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
c) Obligación de subsanar los problemas derivados del incumplimiento de los principios para las entidades que se hayan adherido a ellos y las sanciones correspondientes contra ellas, que serán lo suficientemente rigurosas para garantizar su cumplimiento.
Preguntas más frecuentes (FAQ) FAQ núm. 1. Datos especialmente protegidos — P. ¿Debe una entidad ofrecer siempre de un modo explícito la opción de participar cuando se trate de datos especialmente protegidos? FAQ núm. 2. Excepciones del periodismo — P. Habida cuenta del amparo que la Constitución de los Estados Unidos de América ofrece a la libertad de prensa, así como de las excepciones que contempla la Directiva en materia de periodismo, ¿se aplican los principios de puerto seguro a la información de carácter personal recogida, mantenida o divulgada con fines periodísticos? FAQ núm. 3. Responsabilidad subsidiaria — P. Los proveedores de servicios Internet, los operadores de telecomunicaciones u otras entidades, ¿son responsables desde el punto de vista de los principios de puerto seguro cuando en nombre de otra entidad, se limitan a transmitir, encaminar, intercambiar o almacenar temporalmente información, contraviniendo sus preceptos? FAQ núm. 4. Bancos de inversiones y sociedades de auditoría — P. Las actividades de bancos de inversiones y sociedades de auditoría podrían suponer el tratamiento de datos personales sin autorización o conocimiento del interesado. ¿En qué circunstancias autorizan este proceder los principios de puerto seguro relativos a la notificación, la opción y el acceso? FAQ núm. 5. La función de las autoridades de protección de datos — P. ¿Qué forma adoptarán y cómo se aplicarán los compromisos de colaboración de las empresas con las autoridades de protección de datos (APD) de la Unión Europea?
LOS DATOS DE CARÁCTER PERSONAL
87
FAQ núm. 6. Autocertificación — P. ¿De qué modo una entidad autocertifica su adhesión a los principios de puerto seguro? FAQ núm. 7. Verificación — P. ¿Qué procedimientos ofrecen las entidades para verificar que los certificados y declaraciones que presentan las empresas sobre sus prácticas de protección de la vida privada de puerto seguro son ciertos y que estas prácticas se han aplicado de la manera indicada y de conformidad con los principios de puerto seguro? FAQ núm. 8. Acceso Principio de «acceso» Los particulares tendrán acceso a la información personal que sobre ellos detenten las entidades. Podrán corregirla o modificarla si es inexacta, excepto en dos casos: cuando ello suponga una carga o dispendio claramente desproporcionado en relación con los riesgos que el asunto conlleve para la intimidad de la persona o cuando puedan vulnerarse los legítimos derechos de otras personas. — P.1. ¿Es el derecho de acceso un derecho absoluto? — P.2. ¿Qué es la información comercial confidencial? ¿Pueden las entidades denegar el acceso para protegerla? — P.3. A la hora de proporcionar el acceso, ¿puede una entidad facilitar a los afectados la información personal de que disponga sobre ellos extraída de sus bases de datos o se exige el acceso a la propia base de datos? — P.4. ¿Deben las entidades reestructurar sus bases de datos para poder facilitar el acceso? — P.5. Estas respuestas aclaran que el acceso se puede denegar en determinadas circunstancias. ¿En qué otras circunstancias podrían las entidades denegar a los afectados el acceso a su información personal? — P.6. ¿Pueden las entidades cobrar una cuota para cubrir el coste del acceso? — P.7. ¿Deben las entidades proporcionar acceso a información personal extraída de registros públicos?
88
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
— P.8. ¿Debe aplicarse el principio de acceso a la información personal de dominio público? — P.9. ¿Cómo puede protegerse una entidad contra las peticiones de acceso repetitivas o vejatorias? — P.10. ¿Cómo puede protegerse una entidad contra las peticiones de acceso fraudulentas? — P.11. ¿Existe un plazo para responder a las peticiones de acceso? FAQ núm. 9. Recursos humanos — P.1. ¿Está cubierta por los principios de puerto seguro la transferencia de la Unión Europea a Estados Unidos de América de información personal obtenida en el contexto de la relación laboral? — P.2. ¿Cómo se aplican los principios de notificación y opción? — P.3. ¿Cómo se aplica el principio de acceso? — P.4. ¿Cómo se gestionará la aplicación forzosa de los principios de puerto seguro para los datos sobre los trabajadores? FAQ núm. 10. Contratos del artículo 17 — P. Cuando se transfieran datos de la Unión Europea a Estados Unidos de América exclusivamente para tratamiento, ¿es necesario un contrato, participe o no el encargado del tratamiento en el puerto seguro? FAQ núm. 11. Resolución de litigios y ejecución — P. ¿Cómo deberán cumplirse los requisitos de resolución de litigios impuestos por el principio de aplicación y cómo se deberá actuar ante el caso de que una entidad incumpla sistemáticamente los principios? FAQ núm. 12. Opción. Momento de la exclusión — P. ¿Permite el principio de opción que una persona ejerza su derecho de opción solamente al principio de una relación o en cualquier momento de la misma? FAQ núm. 13. Información sobre viajes — P. ¿Cuándo se puede transferir a entidades situadas fuera de la Unión Europea la información de las reservas de billetes de avión
LOS DATOS DE CARÁCTER PERSONAL
89
u otra información sobre viajes, por ejemplo, la relativa a personas con tarjetas de fidelidad o a reservas hoteleras y a necesidades especiales, como la dieta por motivos religiosos o la asistencia física? FAQ núm. 14. Productos médicos y farmacéuticos — P.1. Si se recogen datos personales en la Unión Europea y se transfieren a Estados Unidos de América con fines de investigación farmacéutica u otros, ¿se aplican las leyes de los Estados miembros o los principios de puerto seguro? — P.2. Los datos personales conseguidos en estudios de investigación médica o farmacéutica suelen desempeñar un valioso papel en futuras investigaciones científicas. Cuando se transfieren datos personales recogidos para un estudio de investigación a una entidad estadounidense acogida al puerto seguro, ¿podrá dicha entidad utilizar los datos en una nueva actividad de investigación científica? — P.3. ¿Qué ocurre con los datos de un particular si un participante decide voluntariamente o a petición del patrocinador retirarse de un ensayo clínico? — P.4. Las sociedades de productos farmacéuticos y médicos tienen autorización para facilitar datos personales obtenidos en ensayos clínicos realizados en la Unión Europea a las autoridades de regulación de Estados Unidos de América con fines de regulación y control. ¿Están autorizadas las transferencias similares a terceros que no sean las autoridades de regulación, como las filiales de las empresas u otros investigadores? — P.5. Muchas veces, para garantizar la objetividad de los ensayos clínicos, se priva a los participantes y, con frecuencia, también a los investigadores, de la información sobre el tratamiento. Este proceder podría poner en peligro la validez de los estudios de investigación y de sus resultados. ¿Tendrán los participantes en este tipo de ensayos clínicos (denominados «experimentos a ciegas») acceso a los datos sobre su tratamiento durante el ensayo? — P.6. ¿Tiene una empresa de productos médicos o farmacéuticos que aplicar los principios de puerto seguro, en lo relativo a la notificación, opción, transferencia ulterior y acceso, en las actividades
90
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
que realiza para garantizar la seguridad de los productos y controlar su eficacia, entre ellas la información sobre circunstancias adversas y el seguimiento de pacientes/individuos que utilicen determinadas medicinas o dispositivos médicos (por ejemplo, marcapasos)? — P.7. El investigador principal codifica siempre los datos de la investigación, en su origen, con una clave única, para que no se conozca la identidad de los interesados. Las empresas farmacéuticas que patrocinan la investigación no reciben la clave. El código original sólo lo conoce el investigador, de modo que sólo él puede identificar al sujeto de la investigación en determinadas circunstancias (por ejemplo, cuando es necesario un acompañamiento médico). Una transferencia de datos codificados de esta forma desde la Unión Europea a Estados Unidos de América, ¿constituye una transferencia de datos personales sujeta a los principios de puerto seguro? FAQ núm. 15. Información extraída de registros públicos e información de dominio público — P. ¿Deben aplicarse los principios de notificación, opción y transferencia ulterior a la información extraída de registros públicos y a la información de dominio público?
5.4. CUESTIONES 5.4.00. ¿Qué sentencia del Tribunal Constitucional imprime a los datos de carácter personal el carácter de derecho fundamental? 5.4.01. Directivas europeas sobre la protección de los datos de carácter personal. 5.4.02. ¿Qué norma española incorpora la Directiva 97/66/CE, de 15 de diciembre? 5.4.03. ¿Qué reglamentos de desarrollo de la LORTAD han quedado subsistentes según la disposición transitoria tercera de la LOPD? 5.4.04. ¿En qué disposiciones europeas y españolas se contempla la transferencia internacional de datos? 5.4.05. ¿Qué artículos de la Directiva se dedican a la transferencia de datos personales a países terceros?
LOS DATOS DE CARÁCTER PERSONAL
91
5.4.06. ¿Cuáles son las excepciones en que no será de aplicación lo dispuesto en el artículo 33 de la LOPD? 5.4.07. ¿Qué Instrucción ha publicado la Agencia de Protección de Datos acerca de los movimientos internacionales de datos? 5.4.08. ¿Qué es una transferencia internacional de datos? 5.4.09. ¿Qué son los principios de puerto seguro?
6 Las medidas de seguridad de los datos de carácter personal «Vivimos en el albor de una nueva era, donde el músculo es sustituido por el conocimiento, la presencia física de un objeto por lo intangible y la materialidad por la realidad virtual.» (Informe sobre el impacto del comercio electrónico en la fiscalidad española, Domingo Carbajo Vasco)
6.1. GENERALIDADES El Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, aprobado por el Real Decreto 994/1999, de 11 de junio, tiene por objeto el desarrollo de lo dispuesto en los artículos 9 y 43.3.h) de la Ley Orgánica 5/1992, hoy derogada por la Ley Orgánica 15/1999, de 13 de diciembre, que en sus artículos 9 y 44.3.h) prácticamente reproduce los anteriores. El Reglamento, según se expone en el Real Decreto, determina las medidas de índole técnica y organizativa que garanticen la confidencialidad e integridad de la información con la finalidad de preservar el honor, la intimidad personal y familiar y el pleno ejercicio de los derechos personales frente a su alteración, pérdida, tratamiento o acceso no autorizado. Las medidas de seguridad que se establecen se configuran como las básicas de seguridad que han de cumplir todos los ficheros que contengan datos de carácter personal, sin perjuicio de establecer medidas especiales para aquellos ficheros que por la especial naturaleza de los datos que contienen o por las propias características de los mismos exigen un grado de protección mayor. 93
94
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
6.2. LOS NIVELES DE SEGURIDAD El Reglamento contempla los niveles de seguridad en su artículo 3 y su aplicación en el artículo 4. Los niveles de medidas de seguridad son los siguientes: a) básico, b) medio, c) alto. Existe también un nivel intermedio entre el básico y el medio que debe garantizar, además de las medidas de nivel básico, algunas de nivel medio. Los niveles no se establecen atendiendo a la cantidad de datos, sino a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información. Las medidas de nivel básico se aplicarán a todos los ficheros que contengan datos de carácter personal. Además de las medidas de nivel básico, se establecerán las establecidas para el nivel medio en los artículos 17, 18, 19 y 20 cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo. Las medidas de nivel básico, junto a las de nivel medio, se deberán aplicar a los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el artículo 28 de la Ley Orgánica 5/1992 (hoy 29 de la Ley Orgánica 15/1999). Tanto las medidas de nivel básico como las de nivel medio y alto se tienen que aplicar a los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual, así como los que contengan datos recabados para fines policiales, sin consentimiento de las personas afectadas.
6.3. EL DOCUMENTO DE SEGURIDAD: OBLIGACIÓN FORMAL La LOPD ha incorporado como dato especialmente protegido la afiliación sindical, que no figuraba como tal en la LORTAD y, por lo tanto, no se contempla en el Reglamento de medidas de seguridad.
LAS MEDIDAS DE SEGURIDAD DE LOS DATOS DE CARÁCTER PERSONAL
95
El Documento de Seguridad, convertido en el punto sobre el que gira toda la seguridad de las organizaciones, se contempla en el artículo 8, para los ficheros de nivel básico, y en el artículo 15, en el que amplía su contenido para los de nivel medio y alto. Se trata de una obligación formal, pero su contenido ha de responder a una realidad práctica. No basta con preparar un documento que contenga todos los requisitos establecidos si luego no se cumple lo que en él figura. El responsable del fichero es quien debe elaborar e implantar la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los de los sistemas de información. El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo. El contenido del documento deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. Como mínimo, el documento deberá contener lo siguiente: a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. b) Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento. c) Funciones y obligaciones del personal. d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. e) Procedimientos de notificación, gestión y respuesta ante las incidencias. f) Los procedimientos de realización de copias de respaldo y de recuperación de datos. El artículo 15 amplía el contenido del documento para los ficheros de nivel medio y alto. a) Identificación del responsable o responsables de seguridad. b) Controles periódicos que se deben realizar para verificar el cumplimiento de lo dispuesto en el propio documento. c) Medidas que sea necesario adoptar cuando un soporte vaya a ser desechado o reutilizado.
96
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
6.4. MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO Las medidas de seguridad que se deben adoptar en el caso de los ficheros de nivel básico y, por tanto, de los de nivel medio y alto son las siguientes: a) Funciones y obligaciones del personal (art. 9) Deberán estar claramente definidas y documentadas las funciones de cada una de las personas que tengan acceso a los datos de carácter personal y a los sistemas de información. b) Difusión de las normas de seguridad (art. 9) El responsable del fichero debe adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias en que pudiera incurrir en caso de incumplimiento. c) Registro de incidencias (art. 10) Existirá un procedimiento de notificación y gestión de incidencias que tendrá necesariamente un registro de incidencias en el que constarán: 1) 2) 3) 4) 5)
tipo de incidencia, momento en el que se ha producido, la persona que realiza la notificación, a quién se le comunica, efectos que se hubieran derivado de la misma.
d) Identificación y autenticación (art. 11) El responsable del fichero se encargará de: 1) que exista una relación actualizada de usuarios que tengan acceso automatizado al sistema de información en la que conste el acceso autorizado para cada uno de ellos,
LAS MEDIDAS DE SEGURIDAD DE LOS DATOS DE CARÁCTER PERSONAL
97
2) establecer procedimientos de identificación y autenticación para dicho acceso. En el caso de que el mecanismo de autenticación se base en contraseñas, deberá tener en cuenta lo siguiente: 1) Existencia de un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. 2) Se cambiarán con la periodicidad que se determine en el Documento de Seguridad. 3) Se almacenarán de forma ininteligible mientras estén vigentes. e) Control de acceso (art. 12) Se aplicará el principio del mínimo privilegio, por lo que los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. Para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados, el responsable del fichero establecerá los mecanismos adecuados. Sólo el personal autorizado para ello en el Documento de Seguridad podrá, conforme a los criterios establecidos por el responsable del fichero: a) conceder, b) alterar, c) anular el acceso autorizado. f) Gestión de soportes (art. 13) Los soportes informáticos que contengan datos de carácter personal deberán: a) permitir identificar el tipo de información que contienen, b) ser inventariados, c) ser almacenados en un lugar restringido al personal autorizado. Sólo el responsable del fichero podrá autorizar la salida de soportes informáticos que contengan datos de carácter personal, fuera de los locales en los que esté ubicado el fichero.
98
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
g) Copias de respaldo y recuperación (art. 14) Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberán garantizar su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos. El responsable del fichero deberá verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.
6.5. MEDIDAS DE SEGURIDAD DE NIVEL MEDIO Las medidas de seguridad que se deben adoptar en el caso de los ficheros de nivel medio y, por tanto, de los de nivel alto son las siguientes: a) Responsable de seguridad (art. 16) Se crea esta nueva figura, que deberá designar el responsable del fichero y que podrá ser una o varias personas. Esta designación no supone una delegación de la responsabilidad, que siempre corresponderá al responsable del fichero. El responsable o responsables de seguridad se encargarán de coordinar y controlar las medidas definidas en el Documento de Seguridad. b) Auditoría (art. 17) Con carácter, al menos, bienal, se realizará una auditoría de los sistemas de información e instalaciones de tratamiento de datos. Dicha auditoría verificará que se cumple el Reglamento y podrá ser interna o externa. El informe deberá incluir lo siguiente: 1) Dictamen sobre la adecuación de las medidas y controles al Reglamento. 2) Identificación de sus deficiencias.
LAS MEDIDAS DE SEGURIDAD DE LOS DATOS DE CARÁCTER PERSONAL
99
3) Propuesta de las medidas correctoras o complementarias necesarias. 4) Incorporación de los datos, hechos y observaciones en que se basen los dictámenes alcanzados. 5) Exposición de las recomendaciones propuestas. El responsable o responsables de seguridad competentes analizarán el informe de auditoría y elevarán sus conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas. El informe de auditoría deberá quedar en la instalación a disposición de la Agencia de Protección de Datos. c) Identificación y autenticación (art. 18) El responsable del fichero establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado para ello. Quedará limitada la posibilidad de que un usuario intente, de forma reiterada, el acceso no autorizado al sistema de información. d) Control de acceso físico (art. 19) Sólo el personal autorizado, cuya relación debe constar en el Documento de Seguridad, tendrá acceso a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal. e) Gestión de soportes (art. 20) Se deberá establecer un sistema de registro de entrada de soportes informáticos que permita conocer directa o indirectamente: 1) 2) 3) 4) 5) 6) 7)
tipo de soporte, fecha y hora, emisor, número de soportes, tipo de información que contiene, forma de envío, persona responsable de la recepción que deberá estar debidamente autorizada.
100
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Se establecerá igualmente un sistema de registro de salida de soportes informáticos que permita, directa o indirectamente, conocer: 1) 2) 3) 4) 5) 6) 7)
tipo de soporte, fecha y hora, destinatario, número de soportes, tipo de información que contiene, forma de envío, persona responsable de la entrega que deberá estar debidamente autorizada.
En los casos de desecho o reutilización de soportes informáticos antes de ser dados de baja en el inventario se adoptarán las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él. En el caso de que, como resultado de operaciones de mantenimiento, los soportes informáticos tengan que salir fuera de los locales donde se encuentren ubicados los ficheros se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos. f) Registro de incidencias (art. 21) En este caso, en el registro de incidencias que se establece para los ficheros de nivel básico deberán consignarse los procedimientos realizados de recuperación de los datos. Se deberá indicar: 1) persona que ejecuta el proceso, 2) datos restaurados, 3) los datos que ha sido necesario grabar manualmente en el proceso de recuperación. Para la ejecución de los procedimientos de recuperación de los datos, será necesaria la autorización por escrito del responsable del fichero. g) Pruebas con datos reales (art. 22) No se deben realizar pruebas de las aplicaciones en los sistemas de información de datos de carácter personal con datos reales, salvo que se fije el nivel de seguridad correspondiente al tipo de fichero tratado.
LAS MEDIDAS DE SEGURIDAD DE LOS DATOS DE CARÁCTER PERSONAL
101
6.6. MEDIDAS DE SEGURIDAD DE NIVEL ALTO Las medidas de seguridad que se deben adoptar en el caso de los ficheros de nivel alto son las siguientes: a) Distribución de soportes (art. 23) Cuando se distribuyan soportes que contengan datos de carácter personal deberán cifrarse los datos o utilizarse cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte. b) Registro de acceso (art. 24) De cada acceso se guardarán, como mínimo: 1) 2) 3) 4) 5) 6)
identificación del usuario, fecha y hora en que se realizó, fichero accedido, tipo de acceso, si ha sido autorizado o denegado el acceso, información que permita identificar el registro accedido en el caso de que haya sido autorizado el acceso.
Estarán bajo el control directo del responsable de seguridad los mecanismos que permitan el registro de los accesos sin que se deba permitir la desactivación de éstos. El período mínimo de conservación de los datos registrados será de dos años. Al menos una vez al mes el responsable de seguridad competente se encargará de revisar periódicamente la información de control, debiendo elaborar un informe de las revisiones realizadas y los problemas detectados. c) Copias de respaldo y recuperación (art. 25) En un lugar diferente de aquel en que se encuentren los equipos informáticos, deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos.
102
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
En todo caso, se deberán cumplir las medidas de seguridad exigidas en el Reglamento. d) Telecomunicaciones (art. 26) Cuando se transmitan datos de carácter personal a través de redes de telecomunicaciones, deberán cifrarse dichos datos o bien se utilizará cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.
6.7. CUESTIONES 6.7.00. ¿Qué objeto tiene el Reglamento de medidas de seguridad de los ficheros automatizados de carácter personal? 6.7.01. ¿Cuáles son los niveles de seguridad? 6.7.02. ¿Atendiendo a qué característica se fijan los niveles de seguridad? 6.7.03. ¿Qué nivel de seguridad tienen los ficheros que permiten obtener una evaluación de la personalidad? 6.7.04. ¿A qué tipo de fichero se aplicarán las medidas de nivel básico? 6.7.05. ¿A qué tipo de ficheros se aplicarán las medidas de nivel medio? 6.7.06. ¿A qué tipo de ficheros se aplicarán las medidas de nivel alto? 6.7.07. ¿Qué medidas de seguridad se aplican a todos los ficheros? 6.7.08. ¿Qué medidas de seguridad se aplican a los ficheros de nivel medio? 6.7.09. ¿Qué medidas de seguridad se aplican a los ficheros de nivel alto?
7 Vocabulario «¿Puede ser el poeta uno y múltiple? Y cuando se disgregue de su envoltura carnal, ¿qué será de él? ¿Cómo será su espíritu solo, puro, prístino?» (El reverso del tapiz, Azorín)
A continuación figuran, por orden alfabético, las definiciones aparecidas en el Convenio 108 del Consejo de Europa; Decisión de la Comisión, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la Directiva 95/46/CE; Directiva 95/46/CE, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; Directiva 97/66/CE, de 15 de diciembre de 1997, relativa al tratamiento de datos personales y a la protección de la intimidad en el sector de las telecomunicaciones; Directiva 2000/31/CE, de 8 de junio, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior; Directiva 2002/58/CE, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas; Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal; Ley 26/1984, de 19 de julio, general para la defensa de consumidores y usuarios; Ley 11/1998, de 24 de abril, General de Telecomunicaciones; Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico; Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre (LORTAD); Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal e Instrucción 1/2000, de 1 de diciembre, de la Agencia de Protección de Datos relativa a las normas por las que se rigen los movimientos internacionales de datos. 103
104
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
A partir de ahora: Convenio, Decisión, Directiva protección datos, Directiva de Telecomunicaciones, Directiva comercio electrónico, Directiva sobre la privacidad y las comunicaciones electrónicas, LOPD, Ley Consumidores y Usuarios, Ley de Telecomunicaciones, LSSI, Reglamento, Reglamento de Seguridad e Instrucción. Abonado Persona física o jurídica que sea parte en un contrato con el proveedor en un servicio público de telecomunicaciones para la prestación de tales servicios (Directiva de Telecomunicaciones, art. 2.a). Accesos autorizados Autorizaciones concedidas a un usuario para la utilización de los diversos recursos (Reglamento de Seguridad, art. 2.4). Afectado o interesado Persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo (LOPD, art. 3.e) 1. Ámbito coordinado Los requisitos exigibles a los prestadores de servicios en los regímenes jurídicos de los Estados miembros aplicables a los prestadores de servicios de la sociedad de la información a los servicios de la sociedad de la información, independientemente de si son de tipo general o destinados específicamente a los mismos. i) El ámbito coordinado se refiere a los requisitos que debe cumplir el prestador de servicios en relación con: 1
Artículo 3. «c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.»
VOCABULARIO
105
— El inicio de la actividad de un servicio de la sociedad de la información, como los requisitos relativos a cualificaciones, autorizaciones o notificaciones. — El ejercicio de la actividad de un servicio de la sociedad de la información, como los requisitos relativos al comportamiento del prestador de servicios, los requisitos en relación con la calidad o el contenido del servicio, incluidos los aplicables a publicidad y contratos, o los requisitos relativos a la responsabilidad del prestador de servicios. ii) El ámbito coordinado no se refiere a los requisitos siguientes: — requisitos aplicables a las mercancías en sí, — requisitos aplicables a la entrega de las mercancías, — requisitos aplicables a los servicios no prestados por medios electrónicos (Directiva comercio electrónico, art. 2.h). Autenticación Procedimiento de comprobación de la identidad de un usuario (Reglamento de Seguridad, art. 2.6). Autoridad controladora del fichero Significa la persona física o jurídica, la autoridad pública, el servicio o cualquier otro organismo que sea competente con arreglo a la ley nacional para decidir cuál será la finalidad del fichero automatizado, cuáles categorías de datos de carácter personal deberán registrarse y cuáles operaciones se les aplicarán (Convenio, art. 2.d). Bloqueo de datos La identificación y reserva de datos con el fin de impedir su tratamiento (Reglamento, art. 1.1). Cesión de datos o comunicación de datos Toda revelación de datos realizada a una persona distinta del interesado (LOPD, art. 3.i).
106
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Toda obtención de datos resultante de la consulta de un fichero, la publicación de los datos contenidos en el fichero, su interconexión con otros ficheros y la comunicación de datos realizada por una persona distinta de la afectada (Reglamento, art. 1.2). Comunicación Cualquier información intercambiada o conducida entre un número finito de interesados por medio de un servicio de comunicaciones electrónicas disponible para el público. No se incluye en la presente definición la información conducida, como parte de un servicio de radiodifusión al público, a través de una red de comunicaciones electrónicas, excepto en la medida en que la información pueda relacionarse con el abonado o usuario identificable que reciba la información (Directiva sobre la privacidad y las comunicaciones electrónicas, art. 2.d). Comunicación comercial Todas las formas de comunicación destinadas a proporcionar directa o indirectamente bienes, servicios o la imagen de una empresa, organización o persona con una actividad comercial, industrial, artesanal o de profesiones reguladas. No se consideran comunicaciones comerciales en sí mismas las siguientes: — Los datos que permiten acceder directamente a la actividad de dicha empresa, organización o persona y, concretamente el nombre de dominio o la dirección de correo electrónico. — Las comunicaciones relativas a los bienes, servicios o a la imagen de dicha empresa, organización o persona, elaboradas de forma independiente de ella, en particular cuando éstos se realizan sin contrapartida económica (Directiva comercio electrónico, art. 2.f). Toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional. A efectos de esta Ley, no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes,
VOCABULARIO
107
los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica (LSSI, anexo f). Comunicación de datos o cesión de datos Toda revelación de datos realizada a una persona distinta del interesado (LOPD, art. 3.i). Consentimiento del interesado Toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan (Directiva protección datos, art. 2.h). Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen (LOPD, art. 3.h). Consentimiento de un usuario o abonado El consentimiento del interesado, con arreglo a la definición de la Directiva 95/46/CE 2 (Directiva sobre la privacidad y las comunicaciones electrónicas, art. 2.f). Consumidor Cualquier persona física que actúa con un propósito ajeno a su actividad económica, negocio o profesión (Directiva comercio electrónico, art. 2.e). A los efectos de esta Ley, son consumidores o usuarios las personas físicas o jurídicas que adquieren, utilizan o disfrutan como destinatarios finales, bienes muebles o inmuebles, productos, servicios, actividades o funciones, cualquiera que sea la naturaleza pública o privada, individual o colectiva de quienes los producen, facilitan, suministran o expiden. No tendrán la consideración de consumidores o usuarios quienes sin constituirse en destinatarios finales, adquieran, almacenen, utilicen o consuman bienes o servicios, con el fin de integrarlos en procesos de producción, transformación, comercialización o prestación a terceros (Ley Consumidores y Usuarios, art. 1.2 y 1.3). 2
Directiva 2.h.
108
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Persona física o jurídica en los términos establecidos en el artículo 1 de la Ley 26/1984, de 19 de julio, General para la Defensa de los Consumidores y Usuarios (LSSI, anexo e). Contraseña Información confidencial frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario (Reglamento de Seguridad, art. 2.7). Contrato celebrado por vía electrónica o contrato electrónico Todo contrato en el que la oferta y la aceptación se transmiten por medio de equipos electrónicos de tratamiento y almacenamiento de datos, conectados a una red de telecomunicaciones (LSSI, anexo h). Control de acceso Mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos (Reglamento de Seguridad, art. 2.7). Copia de respaldo Copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación (Reglamento de Seguridad, art. 2.12). Correo electrónico Todo mensaje de texto, voz, sonido o imagen enviado a través de una red de comunicaciones pública que pueda almacenarse en la red o en el equipo terminal del receptor hasta que éste acceda al mismo (Directiva sobre la privacidad y las comunicaciones electrónicas, art. 2.h). Datos de carácter personal Significa cualquier información relativa a una persona física identificada o identificable (persona concernida) (Convenio art. 2.a). Cualquier información concerniente a personas físicas identificadas o identificables (LOPD, art. 3.a)
VOCABULARIO
109
Toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable (Reglamento, art. 1.4). Datos de localización Cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público (Directiva sobre la privacidad y las comunicaciones electrónicas, art. 2.c). Datos de tráfico Cualquier otro dato tratado a efectos de la conducción de una comunicación a través de una red de comunicaciones electrónicas o a efectos de la facturación de la misma (Directiva sobre la privacidad y las comunicaciones electrónicas, art. 2.b). Datos personales Toda información sobre una persona física identificada o identificable (el «interesado»); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social (Directiva protección datos, art. 2.a). Déficit de acceso Es la parte de los costes de la red de acceso no cubiertos con los ingresos derivados de su explotación (Ley de Telecomunicaciones, anexo). Derechos especiales Los derechos concedidos a un número limitado de empresas por medio de instrumento legal, reglamentario o administrativo en una determinada zona geográfica (Ley de Telecomunicaciones, anexo).
110
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Derechos exclusivos Los derechos concedidos a uno o varios organismos públicos o privados mediante cualquier instrumento legal, reglamentario o administrativo, que les reserve la prestación de un servicio o la explotación de una actividad determinada (Ley de Telecomunicaciones, anexo). Destinatario La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que reciba comunicación de datos, se trate o no de un tercero. No obstante, las autoridades que puedan recibir una comunicación de datos en el marco de una investigación específica no serán considerados destinatarios (Directiva protección datos, art. 2.g). Persona física o jurídica, pública o privada, situada fuera del territorio español que recibe los datos transferidos (Instrucción, norma primera). Destinatario del servicio Cualquier persona física o jurídica que utilice un servicio de la sociedad de la información por motivos profesionales o de otro tipo y, especialmente, para buscar información o para hacerla accesible (Directiva comercio electrónico, art. 2.d). Destinatario del servicio o destinatario Persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información (LSSI, anexo d). Dominio público radioeléctrico Es el espacio por el que pueden propagarse las ondas radioeléctricas (Ley de Telecomunicaciones, anexo). Encargado del tratamiento La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento (Directiva protección datos 2.e).
VOCABULARIO
111
La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento (LOPD, art. 3.g). Equipo terminal Equipo destinado a ser conectado a una red pública de telecomunicaciones, esto es, a estar conectado directamente a los puntos de terminación de aquéllas o interfuncionar, a su través, con objeto de enviar, procesar o recibir información (Ley de Telecomunicaciones, anexo). Espacio público de numeración El conjunto de recursos numéricos y alfanuméricos necesarios para la prestación de determinados servicios de telecomunicaciones (Ley de Telecomunicaciones, anexo). Especificación técnica La especificación que figura en un documento que define las características necesarias de un producto, tales como los niveles de calidad o las propiedades de su uso, la seguridad, las dimensiones, los símbolos, las pruebas y los métodos de prueba, el empaquetado, el marcado y el etiquetado. Se incluyen dentro de la citada categoría las normas aplicables al producto en lo que se refiere a la terminología (Ley de Telecomunicaciones, anexo). Exportador de datos Se entenderá el responsable del tratamiento que transfiera los datos personales (Decisión, art. 3.d). Fichero Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso (LOPD, art. 3.b).
112
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Fichero automatizado Significa cualquier conjunto de informaciones que sea objeto de un tratamiento automatizado (Convenio, art. 2.b). Fichero de datos personales (fichero) Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica (Directiva protección datos, art. 2.c). Fuentes accesibles al público Aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación (LOPD, art. 3.j). Identificación Procedimiento de reconocimiento de la identidad de un usuario (Reglamento de Seguridad, art. 2.5). Identificación del afectado Cualquier elemento que permita determinar directa o indirectamente la identidad física, fisiológica, psíquica, económica, cultural o social de la persona física afectada (Reglamento, art. 1.5). Importador de datos Se entenderá el responsable del tratamiento que acepte recibir del exportador datos personales para su posterior tratamiento de conformidad con los
VOCABULARIO
113
términos de las presentes cláusulas y que no esté sujeto al sistema de un tercer país por el que se garantice su protección adecuada (Decisión, cláusula 1). Incidencia Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos (Reglamento de Seguridad, art. 2.9). Interconexión La conexión física y funcional de las redes de telecomunicaciones utilizadas por el mismo o diferentes operadores, de manera que los usuarios puedan comunicarse entre sí o acceder a los servicios de los diferentes operadores. Estos servicios pueden ser suministrados por dichos operadores o por otros que tengan acceso a la red. La interconexión comprende, asimismo, los servicios de acceso a la red suministrados con el mismo fin, por los titulares de redes públicas de telecomunicaciones a los operadores de servicios telefónicos disponibles al público (Ley de Telecomunicaciones, anexo). Interesado o afectado Persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo (LOPD, art. 3.e). Interferencia perjudicial Interferencia que compromete el funcionamiento de un servicio de radionavegación o de otros servicios de seguridad, o que degrada gravemente, interrumpe repetidamente o impide el funcionamiento de un servicio de radiocomunicación, explotado de acuerdo con el Reglamento de Radiocomunicaciones de la Unión Internacional de Telecomunicaciones (Ley de Telecomunicaciones, anexo). Llamada Una conexión establecida por medio de un servicio telefónico disponible para el público que permita la comunicación bidireccional en tiempo real (Directiva sobre la privacidad y las comunicaciones electrónicas, art. 2.e).
114
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Órgano competente Todo órgano jurisdiccional o administrativo, ya sea de la Administración General del Estado, de las Administraciones Autonómicas o de las Entidades Locales o de sus respectivos organismos o entes públicos dependientes, que actúe en el ejercicio de competencias legalmente atribuidas (LSSI, anexo j). Prestador de servicios Cualquier persona física o jurídica que suministre un servicio de la sociedad de la información (Directiva comercio electrónico, art. 2.b). Prestador de servicios o prestador Persona física o jurídica que proporciona un servicio de la sociedad de la información (LSSI, anexo c). Prestador de servicios establecido Prestador que ejerce de manera efectiva una actividad económica a través de una instalación estable y por un período de tiempo indeterminado. La presencia y utilización de los medios técnicos y de las tecnologías utilizadas para prestar el servicio no constituyen en sí mismos el establecimiento del prestador de servicios (Directiva comercio electrónico, art. 2.c). Procedimiento de disociación Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable (LOPD, art. 3.f). Profesión regulada Cualquier profesión en el sentido o bien de la letra d) del artículo 1 de la Directiva 89/48/CE del Consejo, de 21 de diciembre de 1988 3, relativa a un 3 Directiva 89/48/CE del Consejo, de 21 de diciembre de 1988, relativa a un sistema general de reconocimiento de los títulos de enseñanza superior que sancionen formaciones profesionales de una duración mínima de tres años.
VOCABULARIO
115
sistema general de reconocimiento de títulos de enseñanza superior que sancionen formaciones profesionales de una duración mínima de tres años, o de la letra f) del artículo 1 de la Directiva 92/51/CE del Consejo, de 18 de juArtículo 1. d) «Actividad profesional regulada»: una actividad profesional cuyo acceso, ejercicio o alguna de sus modalidades de ejercicio en un Estado miembro estén sometidas directa o indirectamente, en virtud de disposiciones legales, reglamentarias o administrativas, a la posesión de un título. Constituye, en especial, una modalidad de ejercicio de una actividad profesional regulada: — el ejercicio de una actividad al amparo de un título profesional, en la medida en que sólo se autorice a ostentar dicho título a quienes se encuentren en posesión de un título determinado por las disposiciones legales, reglamentarias o administrativas; — el ejercicio de una actividad profesional en el ámbito de la sanidad en la medida en que el régimen nacional de Seguridad Social supedite la remuneración y/o el reembolso de dicha actividad a la posesión de un título. Cuando el párrafo primero no sea de aplicación, se equiparará a una actividad profesional regulada, una actividad profesional ejercida por los miembros de una asociación u organización cuyo objetivo sea promover y mantener un nivel elevado en el ámbito profesional de que se trate y que, para alcanzar dicho objetivo, goce de un reconocimiento bajo una forma específica otorgada por un Estado miembro y — que expida un título a sus miembros, — dicte normas profesionales a las que habrán que atenerse sus miembros, y — confiera a éstos el derecho de ostentar un título, abreviatura o condición que correspondan a tal título. En el Anexo se incluye una relación no exhaustiva de asociaciones y organizaciones que, en el momento de adopción de la presente Directiva, reúnen las condiciones que se contemplan en el párrafo segundo. Cada vez que un Estado miembro reconozca una asociación u organización contemplada en el párrafo segundo, informará a la Comisión, que publicará esta información en el Diario Oficial de las Comunidades Europeas. ANEXO Lista de asociaciones y organizaciones profesionales que reúnen las condiciones del párrafo segundo de la letra d) del artículo 1. IRLANDA (1) 1. 2. 3. 4. 5.
The Institute of Chartered Accountants in Ireland (2) The Institute of Certified Public Accountants in Ireland (2) The Association of Certified Accountants (2) Institution of Engineers of Ireland Irish Planning Institute
REINO UNIDO 1. Institute of Chartered Accountants in England and Wales 2. Institute of Chartered Accountants of Scotland
116
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
nio de 1992 4, relativa a un segundo sistema general de reconocimiento de formaciones profesionales que completa la Directiva 89/48/CE (Directiva comercio electrónico, art. 2.g). 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26.
Institute of Chartered Accountants in Ireland Chartered Association of Certified Accountants Chartered Institute of Loss Adjusters Chartered Institute of Management Accountants Institute of Chartered Secretaries and Administrators Chartered Insurance Institute Institute of Actuaries Faculty of Actuaries Chartered Institute of Bankers Institute of Bankers in Scotland Royal Institution of Chartered Surveyors Royal Town Planning Institute Chartered Society of Physiotherapy Royal Society of Chemistry British Psychological Society Library Association Insitute of Chartered Foresters Chartered Institute of Building Engineering Council Institute of Energy Institution of Structural Engineers Institution of Civil Engineers Institution of Mining Engineers Institution of Mining and Metallurgy
(1) Los nacionales irlandeses también son miembros de las asociaciones y organizaciones siguientes del Reino Unido: Institute of Chartered Accountants in England and Wales Institute of Chartered Accountants of Scotland Institute of Actuaries Faculty of Actuaries The Chartered Institute of Management Accountants Institute of Chartered Secretaries and Administrators Royal Town Planning Institute Royal Institution of Chartered Surveyors Chartered Institute of Building (2) Únicamente para lo que se refiere a la actividad de control de cuentas. 4 Directiva 92/51/CE del Consejo, de 18 de junio de 1992, relativa a un segundo sistema general de reconocimiento de formaciones profesionales que completa la Directiva 89/48/CE. Artículo 1. f) «por actividad profesional regulada, una actividad profesional cuyo acceso o ejercicio, o una de sus modalidades de ejercicio en un Estado miembro, esté sometido directa o indirectamente, en virtud de las disposiciones legales, reglamentarias o administrativas, a la posesión de una titulación de formación o de un certificado de competencia. Constituye, en especial, una modalidad de ejercicio de una actividad profesional regulada:
VOCABULARIO
117
Toda actividad profesional que requiera para su ejercicio la obtención de un título en virtud de disposiciones legales o reglamentarias (LSSI, anexo g). Punto de terminación de la red Conjunto de conexiones físicas o radioeléctricas y sus especificaciones técnicas de acceso, que forman parte de la red pública y que son necesarias para tener acceso a ésta y a los servicios que la utilizan como soporte. El punto de terminación de la red es aquel en el que terminan las obligaciones de los operadores de redes y servicios y al que pueden conectarse los equipos terminales de telecomunicaciones (Ley de Telecomunicaciones, anexo). Radiocomunicación Toda telecomunicación transmitida por medio de ondas radioeléctricas (Ley de Telecomunicaciones, anexo). Recurso Cualquier parte componente de un sistema de información (Reglamento de Seguridad, art. 2.3). — el ejercicio de una actividad al amparo de una titulación profesional, en la medida en que sólo se autorice a ostentar dicha titulación a quienes se encuentren en posesión de una titulación de formación o de un certificado de competencia determinado por disposiciones legales, reglamentarias o administrativas; — el ejercicio de una actividad profesional en el ámbito de la sanidad en la medida en que el régimen nacional de seguridad social supedite la remuneración y/o el reembolso de dicha actividad a la posesión de una titulación de formación o de un certificado de competencia. Cuando el párrafo primero no sea de aplicación, se equiparará a la actividad profesional regulada la actividad profesional ejercida por los miembros de una asociación u organización cuyo objetivo sea, en particular, promover y mantener un nivel elevado en el ámbito profesional de que se trate y que, para alcanzar dicho objetivo, disfrute de un reconocimiento en una forma específica por un Estado miembro y que: — expida una titulación de formación a sus miembros; — dicte reglas profesionales a las que habrán de atenerse sus miembros, y — confiera a éstos el derecho de ostentar una titulación profesional, una abreviatura o una cualidad que corresponda a tal titulación de formación. Cada vez que un Estado miembro conceda el reconocimiento mencionado en el párrafo segundo a una asociación u organización que reúna las condiciones de dicho párrafo, informará de ello a la Comisión.»
118
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Red de acceso Es el conjunto de elementos que permiten conectar a cada abonado con la central local de la que depende. Está constituida por los elementos que proporcionan al abonado la disposición permanente de una conexión desde el punto de terminación de la red hasta la central local, incluyendo los de planta exterior y los específicos (Ley de Telecomunicaciones, anexo). Red de telecomunicaciones Los sistemas de transmisión y, cuando proceda, los equipos de conmutación y demás recursos que permitan la transmisión de señales entre puntos de terminación definidos mediante cable, o medios ópticos o de otra índole (Ley de Telecomunicaciones, anexo). Red privada de telecomunicaciones La red de telecomunicaciones que se utiliza para la prestación de servicios de telecomunicaciones no disponibles para el público (Ley de Telecomunicaciones, anexo). Red pública de telecomunicación Los sistemas de transmisión y, cuando proceda, los equipos de conmutación y otros recursos que permiten la transmisión de señales entre puntos de terminación definidos por cable, por medios radioeléctricos, por medios ópticos o por otros medios electromagnéticos que se utilizan, total o parcialmente, para la prestación de servicios públicos de telecomunicación (Directiva de Telecomunicaciones, art. 2.c). Red pública de telecomunicaciones La red de telecomunicaciones que se utiliza, total o parcialmente, para la prestación de servicios de telecomunicaciones disponibles para el público (Ley de Telecomunicaciones, anexo). Requisitos esenciales Los motivos de interés público y de naturaleza no económica que lleven a imponer condiciones al establecimiento o al funcionamiento de las redes
VOCABULARIO
119
públicas de telecomunicaciones o a los servicios de telecomunicaciones disponibles al público. Dichos motivos son la seguridad en el funcionamiento de la red, el mantenimiento de su integridad y, en los casos en que esté justificado, la interoperabilidad de los servicios, la protección de los datos, la protección del medio ambiente y el cumplimiento de los objetivos urbanísticos, el uso eficaz del espectro de frecuencias y la necesidad de evitar interferencias perjudiciales entre los sistemas de telecomunicaciones de tipo radio y otros sistemas técnicos de tipo espacial o terrestre. La protección de los datos podrá incluir la de los personales y la de los que afecten a la intimidad y la obligación de confidencialidad respecto de la información transmitida o almacenada (Ley de Telecomunicaciones, anexo). Responsable del fichero o tratamiento Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento (LOPD, art. 3.d). Responsable de seguridad Persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables (Reglamento de Seguridad, art. 2.11). Responsable del tratamiento La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario (Directiva protección datos, art. 2.d). Responsable del tratamiento o del fichero Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento (LOPD, art. 3.d).
120
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Servicio con valor añadido Todo servicio que requiere el tratamiento de datos de tráfico o datos de localización distintos de los de tráfico que vayan más allá de lo necesario para la transmisión de una comunicación o su facturación (Directiva sobre la privacidad y las comunicaciones electrónicas, art. 2.g). Servicios de intermediación Servicio de la sociedad de la información por el que se facilita la prestación o utilización de otros servicios de la sociedad de la información o el acceso a la información. Son servicios de intermediación: — La provisión de servicios de acceso a Internet. — La transmisión de datos por redes de telecomunicaciones. — La realización de copia temporal de las páginas de Internet solicitadas por los usuarios. — El alojamiento en los propios servidores de datos. — Aplicaciones o servicios suministrados por otros. — La provisión de instrumentos de búsqueda, acceso y recopilación de datos o de enlaces a otros sitios de Internet (LSSI, anexo b). Servicios de la sociedad de la información Servicios en el sentido del apartado 2 del artículo 1 de la Directiva 98/34/CE, modificada por la Directiva 98/48/CE (Directiva comercio electrónico, art. 2.a) 5. 5 Directiva 98/48/CE del Parlamento Europeo y del Consejo, de 20 de julio de 1998, que modifica la Directiva 98/34/CE por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas. Artículo 1, punto 2: «servicio», todo servicio de la sociedad de la información, es decir, todo servicio prestado normalmente a cambio de una remuneración, a distancia, por vía electrónica y a petición individual de un destinatario de servicios. A efectos de la presente definición, se entenderá por:
— «a distancia», un servicio prestado sin que las partes estén presentes simultáneamente; — «por vía electrónica», un servicio enviado desde la fuente y recibido por el destinatario mediante equipos electrónicos de tratamiento (incluida la comprensión digital) y de almacenamiento de datos y que se transmite, canaliza y recibe enteramente por hilos, radio, medios ópticos o cualquier otro medio electromagnético;
VOCABULARIO
121
Servicios de la sociedad de la información o servicios Todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario. El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios. — «a petición individual de un destinatario de servicios», un servicio prestado mediante la transmisión de datos a petición individual. En el anexo V figura una lista indicativa de los servicios no cubiertos por esta definición. La presente Directiva no será aplicable: — a los servicios de radiodifusión sonora, — a los servicios de radiodifusión televisiva contemplados en la letra a) del artículo 1 de la Directiva 89/552/CEE. ANEXO V Lista indicativa de los servicios no cubiertos por el párrafo segundo del punto 2) del artículo 1. 1. Servicios no ofrecidos «a distancia» — Servicios prestados en presencia física del prestador y del destinatario, aunque impliquen la utilización de dispositivos electrónicos: a) revisión médica o tratamiento en la consulta de un médico con utilización de equipo electrónico, pero con la presencia física del paciente; b) consulta en la tienda de un catálogo electrónico en presencia física del cliente; c) reserva de billetes de avión a través de una red de ordenadores realizada en un agencia de viajes en presencia del cliente; d) juegos electrónicos en un salón recreativo en presencia física del usuario. 2. Servicios no ofrecidos «por vía electrónica» — Servicios cuyo contenido es material, aunque se presten utilizando dispositivos electrónicos: a) expendeduría automática de billetes (billetes de banco, billetes de ferrocarril), b) acceso a redes de carretera, aparcamientos, etc., de pago, aun cuando en las entradas o salidas haya dispositivos electrónicos que controlen el acceso o aseguren el pago adecuado. — Servicios fuera de línea: distribución de CD-ROM o de programas informáticos en disquetes. — Servicios no prestados por medio de sistemas electrónicos de tratamiento o almacenamiento de datos: a) b) c) d) e) f)
servicios de telefonía vocal; servicios de fax y télex; servicios prestados por medio de telefonía vocal o fax; consulta médica por teléfono o fax; consulta jurídica por teléfono o fax; marketing directo por teléfono o fax.
122
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Son servicios de la sociedad de la información, entre otros, y siempre que representen una actividad económica, los siguientes: — la contratación de bienes o servicios por vía electrónica, — la organización y gestión de subastas por medios electrónicos o de mercados y centros comerciales virtuales, — la gestión de compras en la red por grupos de personas, — el envío de comunicaciones comerciales, — el suministro de información por vía telemática, — el vídeo bajo demanda, como servicio en que el usuario puede seleccionar a través de la red, tanto el programa deseado como el momento de su suministro y recepción, y, en general, la distribución de contenidos previa petición individual. No tendrán la consideración de servicios de la sociedad de la información los que no reúnan las características señaladas en el primer párrafo de este apartado y, en particular, los siguientes: — los servicios prestados por medio de telefonía vocal, fax o télex, — el intercambio de información por medio de correo electrónico u otro medio de comunicación electrónica equivalente para fines ajenos a la actividad económica de quienes lo utilizan, — los servicios de radiodifusión televisiva (incluidos los servicios de cuasivídeo a la carta), contemplados en el artículo 3.a) de la Ley 3. Servicios no prestados «a petición individual de un destinatario de servicios» — Servicios prestados mediante transmisión de datos sin petición individual y destinados a la recepción simultánea por un número ilimitado de destinatarios (transmisión «punto o multipunto»): a) servicios de radiodifusión televisiva (incluidos los servicios de cuasivídeo a la carta) contemplados en la letra a) del artículo 1 de la Directiva 89/552/CEE; b) servicios de radiodifusión sonora; c) teletexto (televisivo). Directiva 89/552/CEE del Consejo, de 3 de octubre de 1989, sobre la coordinación de determinadas disposiciones legales, reglamentarias y administrativas de los Estados miembros relativas al ejercicio de actividades de radiodifusión televisiva. Artículo 1, letra a): «Radiodifusión televisiva», la emisión primaria, con o sin hilo, por tierra o por satélite, codificada o no, de programas televisados destinados al público. Comprenderá la comunicación de programas entre empresas con miras a una radiodifusión televisiva destinada al público. No incluirá los servicios de comunicaciones que presten, previa petición individual, elementos de información u otras prestaciones, como servicios de telecopia, bancos de datos electrónicos y otros servicios similares.
VOCABULARIO
123
25/1994, de 12 de julio, por la que se incorpora al ordenamiento jurídico español la Directiva 89/552/CEE, del Consejo, de 3 de octubre de 1989, sobre la coordinación de determinadas disposiciones legales, reglamentarias y administrativas, de los Estados miembros relativas al ejercicio de actividades de radiodifusión televisiva o cualquier otra que la sustituya, — los servicios de radiodifusión sonora y — el teletexto televisivo y otros servicios equivalentes, como las guías electrónicas de programas ofrecidas a través de las plataformas televisivas (LSSI, anexo a). Servicio de telecomunicación Un servicio cuya prestación consiste, total o parcialmente, en la transmisión y el envío de señales a través de redes de telecomunicación, excepción hecha de la radiodifusión sonora y de la televisión (Directiva de Telecomunicaciones, art. 2.d). Servicio de telefonía disponible al público La explotación comercial para el público del transporte directo y de la conmutación de la voz en tiempo real con origen y destino en una red pública conmutada de telecomunicaciones entre usuarios de terminales tanto fijos como móviles (Ley de Telecomunicaciones, anexo). Servicios de telecomunicaciones Servicios cuya prestación consiste, en su totalidad o en parte, en la transmisión y conducción de señales por las redes de telecomunicaciones con excepción de la radiodifusión y la televisión (Ley de Telecomunicaciones, anexo). Sistemas de información Conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal (Reglamento de Seguridad, art. 2.1).
124
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Soporte Objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o recuperar datos (Reglamento de Seguridad, art. 2.10). Telecomunicaciones Toda transmisión, emisión o recepción de signos, señales, escritos, imágenes, sonidos o informaciones de cualquier naturaleza por hilo, radioelectricidad, medios ópticos u otros sistemas electromagnéticos (Ley de Telecomunicaciones, anexo). Tercero La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento (Directiva protección datos, art. 2.f). Transferencia de datos El transporte de datos entre sistemas informáticos por cualquier medio de transmisión, así como el transporte de soportes de datos por correo o por cualquier otro medio convencional (Reglamento, art. 1.6). Transferencia internacional de datos Toda transmisión de los mismos fuera del territorio español. En particular, se consideran como tales las que constituyan una cesión o comunicación de datos y las que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero (Instrucción, norma primera). Transmitente Persona física o jurídica, pública o privada, responsable del fichero o tratamiento de los datos de carácter personal que son objeto de transferencia internacional (Instrucción, norma primera).
VOCABULARIO
125
Tratamiento automatizado Se entiende las operaciones que a continuación se indican efectuadas en su totalidad o en parte con ayuda de procedimientos automatizados: registro de datos, aplicación a esos datos de operaciones lógicas aritméticas, su modificación, borrado, extracción o difusión (Convenio, art. 2.c). Tratamiento de datos Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias (LOPD, art. 3.c). Tratamiento de datos personales (tratamiento) Cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción (Directiva protección datos, art. 2.b). Usuario Persona que utiliza un servicio público de telecomunicación con fines privados o comerciales, aunque no haya contratado dicho servicio (Directiva de Telecomunicaciones, art. 2.b). Una persona física que utiliza con fines privados o comerciales un servicio de comunicaciones electrónicas disponible para el público, sin que necesariamente se haya abonado a dicho servicio (Directiva sobre la privacidad y las comunicaciones electrónicas, art. 2.a). Los sujetos, incluidas las personas físicas y jurídicas, que utilizan o solicitan los servicios de telecomunicaciones disponibles para el público (Ley de Telecomunicaciones, anexo). Sujeto o proceso autorizado para acceder a datos o recursos (Reglamento de Seguridad, art. 2.2).
Segunda parte Directiva Europea
8 Estructura de la Directiva y Considerandos «La técnica es una forma de imaginación, distinta de la poética, de la novelesca, de la filosófica, de la mítica; una forma particular que se desarrolla con desigual frecuencia y desigual genialidad; hay épocas de desarrollo técnico debido a una gran imaginación, y épocas de atonía técnica porque hay una deficiencia de esa imaginación.» (La justicia social y otras injusticias, Julián Marías)
8.1. ESTRUCTURA DE LA DIRECTIVA La Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (a partir de ahora Directiva) contiene sesenta y cinco Considerandos que vienen a ser su Exposición de Motivos. Consta de veinticuatro artículos divididos en cuatro capítulos y un anexo. El primer Capítulo, referido a las Disposiciones Generales, tiene tres artículos: el artículo 1, bajo el epígrafe «Objetivo y ámbito de aplicación»; el artículo 2, referido a las «Definiciones» de una serie de conceptos, siempre entendido que dichas definiciones son a los sólo efectos de la propia Directiva; y el artículo 3, que está dedicado al «Mercado interior». El segundo Capítulo comprende los artículos desde el 4 al 15, divididos en cuatro secciones: La primera, Régimen de establecimiento y de información, comprende dos artículos: el artículo 4, que contiene el «Principio de no autorización previa», y el artículo 5, «Información general exigida». 129
130
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
La sección segunda, Comunicaciones comerciales, contiene tres artículos: artículo 6, «Información exigida»; artículo 7, «Comunicación comercial no solicitada»; y artículo 8, «Profesiones reguladas». La sección tercera, Contratos por vía electrónica, dedica tres artículos: artículo 9, «Tratamiento de los contratos por vía electrónica»; artículo 10, «Información exigida»; y artículo 11, «Realización de un pedido». La sección cuarta, dedicada a la Responsabilidad de los prestadores de servicios intermediarios, tiene cuatro artículos: artículo 12, «Mera transmisión»; artículo 13, «Memoria tampón (Caching)»; artículo 14, «Alojamiento de datos»; y artículo 15, «Inexistencia de obligación general de supervisión». El tercer Capítulo, dedicado a Aplicación, tiene cinco artículos: artículo 16, «Códigos de conducta»; artículo 17, «Solución extrajudicial de litigios»; artículo 18, «Recursos judiciales»; artículo 19, «Cooperación»; y artículo 20, «Sanciones». El Capítulo cuarto, bajo el epígrafe Disposiciones finales, contiene los cuatro últimos artículos: artículo 21, «Reexamen»; artículo 22, «Trasposición»; artículo 23, «Entrada en vigor»; y artículo 24, «Destinatarios». El Anexo se refiere a las Excepciones al artículo 3.
8.2. CONSIDERANDOS Los Considerandos de la Directiva cumplen el objetivo de una Exposición de Motivos, y es conveniente conocerlos a la hora de interpretar algún artículo de aquélla. Uno de los defectos de nuestra Ley de Protección de Datos de Carácter Personal (LOPD) es precisamente carecer de una Exposición de Motivos, lo que, a diferencia de la LORTAD, que sí la tenía, dificulta muchas veces la interpretación de lo que quería decir el legislador al redactar la Ley. La Unión Europea, como sabemos, tiene como principal objetivo crear una unión cada vez más estrecha entre los Estados y los pueblos europeos, así como asegurar el progreso económico y social. Para ello es necesario que exista un espacio interior sin fronteras por el que puedan circular sin restricciones mercancías y servicios, y donde la libertad de establecimiento esté garantizada. Para eliminar las barreras existentes, es esencial el desarrollo de la sociedad de la información. El empleo en la Comunidad puede verse favorecido por el desarrollo del comercio electrónico, especialmente en el sector de las medianas y pequeñas empresas, cada vez más presentes en la Unión, lo que puede favorecer las in-
ESTRUCTURA DE LA DIRECTIVA Y CONSIDERANDOS
131
versiones en I+D y la competitividad de la industria europea, siempre y cuando el acceso a Internet sea una realidad para todos. La vía del Derecho comunitario es una baza fundamental a la hora de lograr que los ciudadanos y las empresas europeas dispongan de un espacio sin fronteras en el que se pueda desarrollar el comercio electrónico. Como otras veces, en distintos sectores, la Directiva sobre el comercio electrónico pretende garantizar la integración jurídica comunitaria en este sector. De igual modo que la Directiva 89/552/CEE del Consejo, de 3 de octubre de 1989 1, supuso la integración comunitaria en la coordinación de las actividades de radiodifusión televisiva, en este caso se pretende lo mismo respecto al comercio electrónico. Como en otras ocasiones, la disparidad de legislaciones de los Estados miembros, así como la inseguridad jurídica de la aplicación de las distintas legislaciones, son obstáculos importantes a la hora del desarrollo de la sociedad de la información a nivel comunitario. Es necesario suprimir dichos obstáculos para el buen funcionamiento del mercado interior de la Comunidad. La Directiva sólo trata algunos puntos específicos que plantean problemas para el mercado, siendo coherente con el principio de subsidiariedad que marca el artículo 5 del Tratado 2. Para garantizar la seguridad jurídica y la confianza de los consumidores, es necesario establecer un marco claro de carácter general para determinados aspectos jurídicos del comercio electrónico en la Comunidad. Con la Directiva se pretende crear ese marco jurídico que garantice la libre circulación de los servicios de la sociedad de la información entre los Estados miembros sin pretender interferir en la armonización de la legislación penal en sí misma. Las Directivas que traten de la prestación de servicios de la sociedad de la información deben garantizar que estos servicios se puedan desempeñar libremente de acuerdo con el principio más general de la libertad de expresión, que, de otro modo, podría ser conculcado. Las medidas previstas para el funcionamiento del comercio electrónico, de acuerdo con el principio de proporcionalidad, deben ser las míni1 Directiva 89/552/CEE del Consejo, de 3 de octubre de 1989, sobre la coordinación de determinadas disposiciones legales, reglamentarias y administrativas de los Estados miembros relativas al ejercicio de actividades de radiodifusión televisiva. 2 Artículo 5 del Tratado de la Unión Europea, de 7 de febrero de 1992. «Los Estados miembros adoptarán todas las medidas generales o particulares apropiadas para asegurar el cumplimiento de las obligaciones derivadas del presente Tratado o resultantes de los actos de las instituciones de la Comunidad. Facilitarán a esta última el cumplimiento de su misión. Los Estados miembros se abstendrán de todas aquellas medidas que puedan poner en peligro la realización de los fines del presente Tratado.»
132
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
mas necesarias. No obstante, deben garantizar un alto nivel de protección de los objetivos de interés general y, en particular, la protección de menores y la dignidad humana, la protección del consumidor y de la salud pública. Esta Directiva no pretende afectar al nivel de protección, en especial de la salud pública y de los intereses de los consumidores fijados en otras Directivas. Existen actividades que deben quedar excluidas en el momento presente, tales como las cuestiones fiscales, especialmente el impuesto sobre el valor añadido. La presente Directiva no tiene por finalidad el establecimiento de normas sobre obligaciones fiscales. No se aborda en esta Directiva la protección de las personas en relación con el tratamiento de datos de carácter personal, que se considera suficientemente protegido por otras Directivas comunitarias 3. Se deben respetar plenamente los principios relativos a los datos personales, en especial los relativos a las comunicaciones comerciales no solicitadas y a la responsabilidad de los intermediarios, no pudiéndose evitar el uso anónimo de redes abiertas, como Internet. Estando garantizada la confidencialidad de las comunicaciones, los Estados miembros deben prohibir cualquier forma de interceptación o vigilancia de estas comunicaciones, por parte de cualquier persona que no sea su remitente o su destinatario salvo que esté legalmente autorizada. Quedan excluidos de la aplicación de esta Directiva los juegos de azar, loterías y apuestas que impliquen una participación con valor monetario, no estándolo los concursos o juegos promocionales en que el objetivo sea la venta de bienes o servicios y en los que los pagos, si los hay, sólo sirven para adquirir los bienes o servicios publicitados. Los servicios de la sociedad de la información cubren también servicios consistentes en transmitir información a través de una red de comunicación, o albergar información facilitada por el destinatario del servicio. 3 Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la Protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones. Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas).
ESTRUCTURA DE LA DIRECTIVA Y CONSIDERANDOS
133
También son servicios de la sociedad de la información los servicios que se transmiten entre dos puntos, como el vídeo a la carta o el envío de comunicaciones comerciales por correo electrónico. Es necesario determinar el lugar de establecimiento del prestador de servicios a tenor de lo dispuesto en la jurisprudencia del Tribunal de Justicia, según la cual el concepto de establecimiento implica la realización efectiva de una actividad económica a través de un establecimiento fijo durante un período indefinido. Dentro del concepto destinatario de un servicio se incluyen todos los tipos de utilización de los servicios de la sociedad de información. El ámbito coordinado se refiere sólo a los requisitos relacionados con las actividades en línea. El control de los servicios de la sociedad de la información debe hacerse en el lugar de origen de la actividad, para garantizar que se protegen de forma eficaz los intereses generales. Esta protección debe alcanzar no sólo a los ciudadanos de dicho país, sino a todos los ciudadanos de la Comunidad. Las normas del Derecho internacional privado no podrán restringir la libre prestación de servicios de la sociedad de la información. No obstante, los Estados miembros podrán tomar medidas dirigidas a restringir la libre circulación de los servicios de la sociedad de la información en las condiciones establecidas en la Directiva. Igualmente, los tribunales nacionales pueden adoptar medidas que establezcan excepciones a la libertad de prestar servicios en el marco de la sociedad de la información siempre de conformidad con las condiciones establecidas en la Directiva. De igual modo, los Estados miembros, de conformidad con las condiciones establecidas en la Directiva, pueden aplicar sus normas nacionales sobre Derecho Penal y Enjuiciamiento Criminal para la averiguación y persecución de delitos. Esta Directiva, junto a la futura sobre comercialización a distancia de servicios financieros destinados a los consumidores, contribuye a la creación de un marco jurídico para la provisión en línea de servicios financieros. La importancia de las comunicaciones comerciales es vital para financiar los servicios de la sociedad de información y el desarrollo de una amplia variedad de servicios nuevos y gratuitos; sin embargo, en interés de los consumidores y en beneficio de la lealtad de las transacciones, las comunicaciones comerciales —incluidas las rebajas, ofertas y concursos o juegos promocionales— deben respetar algunas obligaciones en cuanto a su transparencia.
134
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
El envío por correo electrónico de comunicaciones comerciales no solicitadas puede trastornar el buen funcionamiento de las redes interactivas. Cuando se autoricen las comunicaciones comerciales por correo electrónico no solicitadas, se deberá fomentar y facilitar la creación de dispositivos de filtro y éstas han de ser, en todos los casos, claramente identificables como tales con el fin de mejorar la transparencia y facilitar el funcionamiento de los dispositivos creados por la industria. Cuando se permita el envío sin consentimiento previo del receptor, los prestadores de servicios deberán consultar periódicamente y respetar las listas de exclusión voluntaria en las que se podrán inscribir las personas físicas que no deseen recibir dichas comunicaciones comerciales. Es preciso que se respeten las normas profesionales, previstas para proteger especialmente a los consumidores o la salud pública a fin de suprimir los obstáculos que impiden el desarrollo en la Comunidad de los servicios transfronterizos que las personas que ejercen las profesiones reguladas puedan ofrecer en Internet. Con esta Directiva se complementa el Derecho comunitario y nacional respecto a las profesiones reguladas. Todas las fases y actos necesarios para realizar el proceso contractual, incluyendo el registro del contrato, deben examinarse a fin de posibilitar la celebración de contratos por vía electrónica. El acuse de recibo expedido por un prestador de servicios puede consistir en suministrar en línea un servicio pagado. Los Estados miembros tienen posibilidad de mantener o establecer regímenes jurídicos específicos o generales en contratos que pueden cumplirse por vía electrónica, en particular respecto a los requisitos en relación con la seguridad de la firma electrónica. Para los contratos electrónicos que requieran por Ley la intervención de los tribunales, las autoridades públicas o las profesiones que ejerzan una función pública, o bien si esto es necesario para surtir efecto frente a terceros, así como los contratos que requieran por Ley la certificación o la fe pública notarial se pueden mantener determinadas restricciones. La obligación de suprimir obstáculos para la celebración de los contratos electrónicos se entiende a los de régimen jurídico y no a los prácticos derivados de la imposibilidad de utilizar la vía electrónica en algunos casos. Las excepciones previstas en relación con la información exigida y la realización de un pedido en los contratos celebrados exclusivamente por correo electrónico o mediante comunicaciones individuales equivalentes no debe entenderse como una forma de eludir dichas disposiciones por los prestadores de servicios de la sociedad de la información.
ESTRUCTURA DE LA DIRECTIVA Y CONSIDERANDOS
135
La diversidad de normativa y de jurisprudencia nacional en el ámbito de la responsabilidad de los prestadores de servicios es un obstáculo para el correcto funcionamiento del mercado interior. Se deben elaborar mecanismos rápidos y fiables que permitan retirar información ilícita y hacer que sea imposible acceder a ella. Con esta Directiva se logra un justo equilibrio entre los diferentes intereses en presencia y se establecen los principios sobre los que se pueden basar acuerdos y normas industriales. Las exenciones de responsabilidad que se establecen sólo se aplican a los casos en que la actividad del prestador de servicios se limita al proceso técnico de explotar y facilitar el acceso a una red de comunicación mediante la cual la información facilitada por terceros es transmitida o almacenada temporalmente, con el fin de hacer que la transmisión sea más eficiente. Al tratarse de un proceso totalmente técnico, el prestador de servicios no puede tener conocimiento ni control de la información transmitida o almacenada. Para beneficiarse de las exenciones de responsabilidad, el prestador de servicios no debe tener ninguna participación en el contenido de los datos transmitidos. Este requisito no abarca las manipulaciones de carácter técnico que pueden tener lugar durante la transmisión, puesto que no alteran la integridad de los datos contenidos en la misma. Cuando un prestador de servicios colabora deliberadamente con uno de los destinatarios de su servicio, a fin de cometer actos ilegales, no puede beneficiarse, como es lógico, de las exenciones de responsabilidad establecidas. Las limitaciones de responsabilidad no afectan a la posibilidad de entablar acciones de cesación de distintos tipos, como órdenes de los tribunales o de las autoridades administrativas por los que se exija poner fin a cualquier infracción o impedir que se cometa. Para beneficiarse de una limitación de responsabilidad, se ha de actuar con prontitud a la hora de retirar los datos almacenados o al impedir el acceso a ellos cuando se tenga noticia de que se realizan actividades ilícitas. En todo caso, habrá que respetar el principio de libertad de expresión y los procedimientos establecidos a nivel nacional a tal fin. No se puede imponer a los prestadores de servicios una obligación de supervisión exclusivamente con respecto a obligaciones de carácter general. No obstante, se puede exigir a los prestadores de servicios un deber de diligencia a fin de detectar y prevenir determinados tipos de actividades ilegales. Los códigos de conducta, dentro de su voluntariedad, deben ser fomentados.
136
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
La coincidencia en el tiempo de esta Directiva y la correspondiente a la armonización de ciertos aspectos de los derechos de autor y derechos conexos de la sociedad de la información 4 es importante a fin de lograr el establecimiento de un marco jurídico respecto a la responsabilidad de los intermediarios por infracciones de los derechos de autor y derechos conexos. La utilización de soluciones extrajudiciales a los conflictos por vías electrónicas adecuadas debe ser posible de forma real y efectiva, tanto de derecho como de hecho, incluso en situaciones transfronterizas. Para garantizar el ejercicio efectivo de las libertades del mercado interior, es preciso que las víctimas puedan tener un acceso eficaz a los medios de resolución de litigios. La rapidez y la extensión geográfica influyen en la producción de daños y perjuicios por lo que se deben establecer las condiciones para que se puedan emprender los recursos judiciales pertinentes. Las acciones de cesación en materia de protección de los intereses colectivos de los consumidores ya están previstas en la normativa vigente 5, contribuyendo con ello a la libre circulación de los servicios de la sociedad de la información al garantizar un alto nivel de protección de los consumidores. Los consumidores no se verán privados de la protección que respecto a las obligaciones contractuales les otorgue su legislación nacional. Aparte de las sanciones previstas en esta Directiva, los Estados miembros pueden imponer cualquier otro tipo de sanción o reparación. Las obligaciones contractuales en los contratos celebrados por los consumidores deben incluir la información sobre elementos esenciales del contenido del contrato, incluidos los derechos del consumidor, que tengan una influencia determinante sobre la decisión de celebrarlo. Según el Tribunal de Justicia, un Estado miembro conserva el derecho de adoptar medidas contra un prestador de servicios establecido en otro Estado miembro, cuya actividad se dirige principalmente hacia el territorio del primero, cuando dicho establecimiento se haya realizado con la intención de evadir la legislación que se habría aplicado al prestador de servicios en caso de que se hubiese establecido en el territorio de aquél. Para evitar la fragmentación del mercado interior y establecer el adecuado marco regulador europeo es necesario coordinar las medidas regula4 Directiva 2001/29 del Parlamento Europeo y del Consejo, de 22 de mayo de 2001, relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información. 5 Directiva 98/27/CE del Parlamento Europeo y del Consejo, de 19 de mayo de 1998, relativa a las acciones de cesación en materia de protección de los intereses de los consumidores.
ESTRUCTURA DE LA DIRECTIVA Y CONSIDERANDOS
137
doras nacionales de las comunicaciones electrónicas a escala de la Unión Europea. El marco jurídico que se crea debe ser sencillo, claro, seguro y compatible con las normas vigentes a nivel internacional. Debe existir una concertación entre la Unión Europea y los grandes espacios no europeos respecto al funcionamiento del mercado por vía electrónica a fin de compatibilizar las legislaciones y los procedimientos. Debe reforzarse la cooperación con terceros países en el sector del comercio electrónico, especialmente con los países candidatos, los países en vías de desarrollo y los principales socios comerciales de la Unión Europea. El desarrollo de la sociedad de la información debe garantizar que los ciudadanos europeos puedan acceder al patrimonio cultural en un entorno digital. No debe existir obstáculo a que se tengan en cuenta las diferentes repercusiones sociales y socioculturales inherentes a la aparición de la sociedad de la información. Las comunicaciones electrónicas son una excelente vía para prestar servicios públicos en los ámbitos cultural, educativo y lingüístico. Por último, la protección de los consumidores debe ser objeto de especial atención en el marco de la sociedad de la información.
8.3. CUESTIONES 8.3.00. ¿Qué puede favorecer el desarrollo del comercio electrónico? 8.3.01. ¿Cuáles son los principales obstáculos al desarrollo de la sociedad de la información? 8.3.02. ¿Qué se pretende con esta Directiva? 8.3.03. ¿Qué actividades quedan excluidas? 8.3.04. ¿Cuáles son los servicios de la sociedad de la información? 8.3.05. ¿Qué se debe fomentar cuando las comunicaciones comerciales por correo electrónico no solicitadas están autorizadas? 8.3.06. ¿Cuándo se aplican las exenciones de responsabilidad? 8.3.07. ¿Cuándo no se puede beneficiar un prestador de servicios de la sociedad de la información de las exenciones de responsabilidad? 8.3.08. ¿Qué deben incluir las obligaciones contractuales? 8.3.09. ¿Qué se debe hacer para evitar la fragmentación del mercado interior?
9 Disposiciones generales «Volverán en su forma verdadera cuando vieren con presta diligencia derribar los soberbios levantados y alzar a los humildes abatidos, con poderosa mano para hacello...» (El casamiento engañoso, Miguel de Cervantes)
9.1. OBJETIVO Y ÁMBITO DE APLICACIÓN Con la presente Directiva se pretende contribuir al correcto funcionamiento del mercado interior creando el marco jurídico adecuado de forma que se garantice la libre circulación de los servicios de la sociedad de la información entre los diferentes Estados miembros (art. 1.1). Para lograr lo anterior, debe realizarse la aproximación entre sí de determinadas disposiciones nacionales aplicables a los servicios de la sociedad de la información relativas a (art. 1.2): a) b) c) d) e) f) g) h) i)
mercado interior, el establecimiento de los prestadores de servicios, las comunicaciones comerciales, los contratos por vía electrónica, la responsabilidad de los intermediarios, los códigos de conducta, los acuerdos extrajudiciales para la solución de litigios, los recursos judiciales, la cooperación entre Estados miembros.
El ordenamiento jurídico comunitario aplicable a los servicios de la sociedad de la información se trata de completar con esta Directiva sin perjui139
140
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
cio del nivel de protección, entre otros, de la salud pública y de los intereses del consumidor (art. 1.3). El Derecho internacional privado y la jurisdicción de los tribunales de justicia no quedan afectados por esta Directiva (art. 1.4). Quedan excluidos de la presente Directiva los siguientes temas: a) la fiscalidad; b) las cuestiones relacionadas con servicios de la información incluidas en las Directivas 95/46/CE y 97/66/CE 1; c) las cuestiones relacionadas con acuerdos o prácticas que se rijan por la legislación sobre carteles; d) a las siguientes actividades de los servicios de la sociedad de la información: • Las actividades de los notarios o profesiones equivalentes, en la medida en que impliquen una conexión directa y específica con el ejercicio de la autoridad pública. • La representación de un cliente y la defensa de sus intereses ante los tribunales. • Las actividades de juegos de azar que impliquen apuestas de valor monetario incluidas loterías y apuestas (art. 1.5). No se incluye en el ámbito de aplicación de la Directiva la fiscalidad, aunque entendemos que ésta es una de las principales razones por las que los Estados, preocupados ante los crecientes intercambios que se realizaban por Internet sin ningún tipo de imposición, tratan por todos los medios de regular la Red. Tampoco se incluyen los juegos de azar, loterías y apuestas, si bien sí se incluyen los concursos o juegos promocionales en que el objetivo sea fomentar la venta de bienes o servicios, y en los que los pagos, si los hay, sólo sirven para adquirir los bienes o servicios publicitados. Las medidas adoptadas en el plano comunitario o nacional que fomenten la diversidad cultural y lingüística y que garantizan la defensa del pluralismo no se ven afectadas por esta Directiva (art. 1.6). 1 Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la Protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones.
DISPOSICIONES GENERALES
141
9.2. DEFINICIONES A continuación figuran una serie de definiciones que, siempre dentro de la Directiva, aclaran los diferentes conceptos: a) Servicios de la sociedad de la información Servicios en el sentido del apartado 2 del artículo 1 de la Directiva 98/34/CE modificada por la Directiva 98/48/CE 2. 2 «Todo servicio de la sociedad de la información, es decir, todo servicio prestado normalmente a cambio de una remuneración, a distancia, por vía electrónica y a petición individual de un destinatario de servicios.» A efectos de la presente definición, se entenderá por:
— «a distancia»: un servicio prestado sin que las partes estén presentes simultáneamente; — «por vía electrónica»: un servicio enviado desde la fuente y recibido por el destinatario mediante equipos electrónicos de tratamiento (incluida la compresión digital) y de almacenamiento de datos y que se transmite, canaliza y recibe enteramente por hilos, radio, medios ópticos o cualquier otro medio electromagnético; — «a petición individual de un destinatario de servicios»: un servicio prestado mediante transmisión de datos a petición individual. Los siguientes servicios no serán cubiertos por esta definición: I. Servicios no ofrecidos «a distancia» Servicios prestados en presencia física del prestador y del destinatario, aunque impliquen la utilización de dispositivos electrónicos: 1) revisión médica o tratamiento en la consulta de un médico con utilización de equipo electrónico, pero con la presencia física del paciente; 2) consulta en la tienda de un catálogo electrónico en presencia física del cliente; 3) reserva de billetes de avión a través de una red de ordenadores realizada en una agencia de viajes en presencia física del cliente; 4) juegos electrónicos en un salón recreativo en presencia física del usuario. II. Servicios no ofrecidos «por vía electrónica» — Servicios cuyo contenido es material, aunque se presten utilizando dispositivos electrónicos: 1) expendeduría automática de billetes (billetes de banco, billetes de ferrocarril); 2) acceso a redes de carretera, aparcamientos, etc., de pago, aun cuando en las entradas o salidas haya dispositivos electrónicos que controlen el acceso o aseguren el pago adecuado. — Servicios fuera de línea: distribución de CD-ROM o de programas informáticos en disquetes. — Servicios no prestados por medio de sistemas electrónicos de tratamiento o almacenamiento de datos: 1) servicios de telefonía vocal; 2) servicios de fax y télex;
142
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
b) Prestador de servicios Cualquier persona física o jurídica que suministre un servicio de la sociedad de la información. c) Prestador de servicios establecido Prestador que ejerce de manera efectiva una actividad económica a través de una instalación estable y por un período de tiempo indeterminado. La presencia y utilización de los medios técnicos y de las tecnologías utilizadas para prestar el servicio no constituyen en sí mismos el establecimiento del prestador de servicios. d) Destinatario del servicio Cualquier persona física o jurídica que utilice un servicio de la sociedad de la información por motivos profesionales o de otro tipo y, especialmente, para buscar información o para hacerla accesible. e) Consumidor Cualquier persona física que actúa con un propósito ajeno a su actividad económica, negocio o profesión. 3) 4) 5) 6)
servicios prestados por medio de telefonía vocal o fax; consulta médica por teléfono o fax; consulta jurídica por teléfono o fax; marketing directo por teléfono o fax.
III. Servicios no prestados «a petición individual de un destinatario de servicios» Servicios prestados mediante transmisión de datos sin petición individual y destinados a la recepción simultánea por un número ilimitado de destinatarios (transmisión «punto o multipunto»): 1) servicios de radiodifusión televisiva (incluidos los servicios de cuasivídeo a la carta) contemplados en la letra a) del artículo 1 de la Directiva 89/552/CEE; Artículo 1.a). «La radiodifusión televisiva, la emisión primaria, con o sin hilo, por tierra o por satélite, codificada o no, de programas televisados destinados al público. Comprenderá la comunicación de programas entre empresas con miras a una radiodifusión televisiva destinada al público. No incluirá los servicios de comunicaciones que presten previa petición individual, elementos de información u otras prestaciones, como servicios de telecopia, bancos de datos económicos y otros servicios similares.» 2) servicios de radiodifusión sonora; 3) teletexto (televisivo).
DISPOSICIONES GENERALES
143
f) Comunicación comercial Todas las formas de comunicación destinadas a proporcionar directa o indirectamente bienes, servicios o la imagen de una empresa, organización o persona con una actividad comercial, industrial, artesanal o de profesiones reguladas. No se consideran comunicaciones comerciales en sí mismas las siguientes: • los datos que permiten acceder directamente a la actividad de dicha empresa, organización o persona y, concretamente, el nombre de dominio o la dirección de correo electrónico; • las comunicaciones relativas a los bienes, servicios o a la imagen de dicha empresa, organización o persona, elaboradas de forma independiente de ella, en particular cuando éstos se realizan sin contrapartida económica. g) Profesión regulada Cualquier profesión en el sentido o bien de la letra d) del artículo 1 de la Directiva 89/48/CE del Consejo de 21 de diciembre de 1988, relativa a un sistema general de reconocimiento de títulos de enseñanza superior que sancionen formaciones profesionales de una duración mínima de tres años, o de la letra f) del artículo 1 de la Directiva 92/51/CE del Consejo, de 18 de junio de 1992, relativa a un segundo sistema general de reconocimiento de formaciones profesionales que completa la Directiva 89/48/CE. h) Ámbito coordinado Los requisitos exigibles a los prestadores de servicios en los regímenes jurídicos de los Estados miembros aplicables a los prestadores de servicios de la sociedad de la información, independientemente de si son de tipo general o destinados específicamente a los mismos. 1) El ámbito coordinado se refiere a los requisitos que debe cumplir el prestador de servicios en relación con: • el inicio de la actividad de un servicio de la sociedad de la información: – cualificaciones, – autorizaciones, – notificaciones,
144
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
• el ejercicio de la actividad de un servicio de la sociedad de la información: – comportamiento del prestador de servicios, – calidad del servicio o contenido del servicio incluidos los aplicables a publicidad y contratos, – responsabilidad del prestador de servicios. 2) El ámbito coordinado no se refiere a los requisitos siguientes: • los aplicables a las mercancías en sí, • los aplicables a la entrega de mercancías, • los aplicables a los servicios no prestados por medios electrónicos.
9.3. MERCADO INTERIOR Los requisitos que forman parte del ámbito coordinado deben ser respetados por los prestadores de servicios de la sociedad de la información debiendo velar los Estados miembros por que esto se cumpla dentro de su territorio (art. 3.1). Un Estado miembro no puede, por razones inherentes al ámbito coordinado, restringir la libertad de prestación de servicios de la sociedad de la información de otro Estado miembro (art. 3.2). No se aplicará lo referido en los dos apartados anteriores a: a) Derechos de autor, derechos afines y derechos mencionados en la Directiva 87/54/CEE 3 y en la Directiva 96/9/CE 4, así como a los derechos de propiedad industrial. b) Emisión de moneda electrónica por parte de instituciones a las que los Estados miembros hayan aplicado una de las excepciones previstas en el apartado 1 del artículo 8 de la Directiva 2000/46/CE 5. 3 Directiva 87/54/CEE del Consejo, de 16 de diciembre de 1986, sobre la protección jurídica de las topografías de los productos semiconductores. 4 Directiva 96/9/CE, de 11 de marzo de 1996, del Parlamento Europeo y del Consejo sobre la protección jurídica de las bases de datos. 5 Directiva 2000/46/CE del Parlamento Europeo y del Consejo, de 18 de septiembre de 2000, sobre el acceso a la actividad de las entidades de dinero electrónico y su ejercicio así como la supresión cautelar de dichas entidades. Artículo 8, apartado 1. Exenciones. «1. Los Estados miembros podrán autorizar a sus autoridades competentes a eximir de la aplicación de todas o alguna de las disposiciones de la presente Directiva y de la aplicación de la Directiva 2000/12/CE a las entidades de dinero electrónico en los casos siguientes:
DISPOSICIONES GENERALES
145
c) Apartado 2 del artículo 44 de la Directiva 85/611/CEE 6. d) Artículo 30 y título IV de la Directiva 92/49/CEE 7, título IV de la Directiva 92/96/CEE 8, artículos 7 y 8 de la Directiva 88/357/CEE 9 y artículo 4 de la Directiva 90/619/CEE 10. e) Libertad de las partes de elegir la legislación aplicable a su contrato. f) Obligaciones contractuales relativas a contratos celebrados por los consumidores. g) Validez formal de los contratos por los que se crean o transfieren derechos en materia de propiedad inmobiliaria, en caso de que dichos contratos estén sujetos a requisitos formales obligatorios en virtud de a) cuando todas las actividades comerciales del tipo indicado en la letra a) del apartado 3 del artículo 1 que lleve a cabo dicha entidad generen unas obligaciones financieras derivadas del dinero electrónico en circulación cuyo importe total no exceda normalmente de 5 millones de euros y en ningún caso exceda de 6 millones de euros; o b) cuando el dinero electrónico emitido por la entidad sea aceptado como medio de pago únicamente por cualquier filial de la entidad que realice funciones operativas u otras funciones auxiliares relativas al dinero electrónico emitido o distribuido por la entidad, cualquier empresa matriz de la entidad o por cualquier otra filial de dicha empresa matriz; o c) cuando el dinero electrónico emitido por la entidad sea aceptado como pago únicamente por un reducido número de empresas que puedan identificarse claramente por: i) su ubicación en las mismas instalaciones u otras zonas locales delimitadas, o ii) su estrecha relación financiera o comercial con la entidad emisora, por ejemplo, un régimen de comercialización o distribución común. Las cláusulas contractuales deberán estipular que el dispositivo electrónico de almacenamiento a disposición de los portadores a los efectos de realizar pagos estará sujeto a un importe máximo de aprovisionamiento que no excederá de 150 euros.» 6 Directiva 85/611/CEE del Consejo, de 20 de diciembre de 1985, por la que se coordinan las disposiciones legales, reglamentarias y administrativas sobre determinados organismos de inversión coletiva en valores mobiliarios (OICVM). Artículo 44, apartado 2. «2. Cualquier OICVM podrá hacer publicidad en el Estado miembro de comercialización. Deberá respetar las disposiciones que regulan la publicidad en ese Estado.» 7 Directiva 92/49/CEE del Consejo, de 18 de junio de 1992, sobre coordinación de las disposiciones legales, reglamentarias y administrativas relativas al seguro directo distinto del seguro de vida y por la que se modifican las Directivas 73/239/CEE y 88/357/CEE (tercera Directiva de seguros distintos del seguro de vida). 8 Directiva 92/96/CEE del Consejo, de 10 de noviembre de 1992, sobre coordinación de las disposiciones legales, reglamentarias y administrativas relativas al seguro de vida y por la que se modifican las Directivas 79/267/CEE y 90/619/CEE (tercera Directiva de seguros de vida). 9 Segunda Directiva 88/357/CEE del Consejo, de 22 de junio de 1988, sobre coordinación de las disposiciones legales reglamentarias y administrativas relativas al seguro directo distinto del seguro de vida, por la que se establecen las disposiciones destinadas a facilitar el ejercicio efectivo de la libre prestación de servicios y por la que se modifica la Directiva 72/239 (CEE). 10 Segunda Directiva 90/619/CEE del Consejo, de 8 de noviembre de 1990, sobre la coordinación de las disposiciones legales, reglamentarias y administrativas relativas al seguro directo de vida, por la que se establecen las disposiciones destinadas a facilitar el ejercicio efectivo de la libre prestación de servicios por la que se modifica la Directiva 79/267/CEE.
146
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
la legislación del Estado miembro en el que esté situada la propiedad inmobiliaria. h) Licitud de las comunicaciones comerciales no solicitadas por correo electrónico (art. 3.3 y anexo). Los Estados miembros podrán tomar medidas que restrinjan la libertad de prestación de servicios de la sociedad de la información de otro Estado miembro cuando se cumplan las condiciones siguientes: a) Las medidas deberán ser: 1) necesarias por uno de los motivos siguientes: – orden público En particular la prevención, investigación, descubrimiento y procesamiento del delito, incluidas la protección de menores y la lucha contra la instigación al odio por motivos de raza, sexo, religión o nacionalidad, así como las violaciones de la dignidad humana de personas individuales. – protección de la salud pública, – seguridad pública, Incluidas la salvaguarda de la seguridad y la defensa nacionales. – protección de los consumidores, incluidos los inversores. 2) tomadas en contra de un servicio de la sociedad de la información que vaya en detrimento de los objetivos enunciados en el inciso anterior o que presente un riesgo serio y grave de ir en detrimento de dichos objetos; 3) proporcionadas a dichos objetivos. b) Antes de adoptar dichas medidas y sin perjuicio de los procesos judiciales, incluidas las actuaciones preliminares y los actos realizados en el marco de una investigación criminal, se deberá: – haber pedido al Estado miembro correspondiente que tome medidas y éste no haberlas tomado, o no haber sido suficientes, – haber notificado a la Comisión y a dicho Estado miembro su intención de adoptar dichas medidas (art. 3.4). En caso de urgencia se pueden establecer excepciones a estas condiciones, si bien se notificará con la mayor brevedad a la Comisión y al Estado miembro correspondiente indicando las razones que hacen necesario aplicar esa urgencia (art. 3.5).
DISPOSICIONES GENERALES
147
Con independencia de que un Estado tome dichas medidas, la Comisión deberá examinar la compatibilidad de las medidas notificadas y si se considera que son incompatibles con el Derecho comunitario, solicitará al Estado miembro que se abstenga de tomar ninguna de las medidas propuestas o que ponga fin lo antes posible a las mismas si ya las hubiese tomado (art. 3.6).
9.4. CUESTIONES 9.4.00. 9.4.01. 9.4.02. 9.4.03. 9.4.04. 9.4.05. 9.4.06. 9.4.07. 9.4.08. 9.4.09.
¿Cuál es el objetivo de la Directiva? ¿Qué servicios entran dentro de su ámbito de aplicación? ¿Qué queda excluido? Definición de servicio de sociedad de la información. ¿Qué es el ámbito coordinado? ¿Qué condiciones se deben cumplir para que un Estado miembro pueda restringir la libertad de prestaciones de servicios de la sociedad de la información de otro Estado miembro? ¿Qué procedimiento se ha de seguir para adoptar esas medidas restrictivas? ¿Cuándo se debe poner fin a las medidas restrictivas tomadas en un caso de urgencia? ¿Qué es una comunicación comercial? Definición de prestador de servicios.
10 Régimen de establecimiento «Atención, señoras mías; entre mentir o querer, ¿cuál será lo verdadero. si esto lo fingido es?» (No hay burlas con el amor, Calderón de la Barca)
10.1. PRINCIPIO DE NO AUTORIZACIÓN PREVIA La necesidad de una autorización previa de una determinada autoridad administrativa para el establecimiento de un prestador de servicios de la sociedad de la información en un Estado miembro viene a representar un control de la actividad y es un obstáculo para la libre prestación del servicio permitiendo, en determinados casos, una selección en función de las características que se fijen. Para evitar esto, el acceso a la actividad de prestador de servicios de la sociedad de la información no podrá someterse a autorización previa alguna ni a ningún otro requisito con efectos equivalentes (art. 4.1). Todo esto no podrá ir en perjuicio de los regímenes de autorización que no tengan por objeto específico y exclusivo los servicios de la sociedad de la información ni los regímenes cubiertos por la Directiva 97/13/CE del Parlamento Europeo y del Consejo, de 10 de abril de 1997, relativa a un marco común en materia de autorizaciones generales y licencias individuales en el ámbito de los servicios de telecomunicaciones.
149
150
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
10.2. INFORMACIÓN GENERAL EXIGIDA Los prestadores de servicios deberán cumplir todos los requisitos que en materia de información contempla el Derecho comunitario y, de forma específica, los que vienen a continuación. Éstos deberán figurar de manera que tanto los destinatarios de los servicios como las autoridades competentes puedan acceder a la información con facilidad y de forma directa y permanente (art. 5.1). Los datos mínimos deben ser los siguientes: a) nombre del prestador de servicios; b) dirección geográfica donde está establecido el prestador de servicios; c) señas que permitan ponerse en contacto rápidamente con el prestador de servicios y establecer una comunicación directa y efectiva con él, incluyendo su dirección de correo electrónico; d) si el prestador de servicios está inscrito en un registro mercantil u otro registro público similar, nombre de dicho registro y número de inscripción asignado en él al prestador de servicios, u otros medios equivalentes de identificación en el registro; e) si una determinada actividad está sujeta a un régimen de autorización, los datos de la autoridad de supervisión correspondiente; f) en lo que se refiere a las profesiones reguladas: — si el prestador de servicios pertenece a un colegio profesional o institución similar, datos de dicho colegio o institución; — título profesional expedido y el Estado miembro en que se expidió; — referencia a las normas profesionales aplicables en el Estado miembro de establecimiento y los medios de acceder a las mismas; g) si el prestador de servicios ejerce una actividad gravada por el Impuesto sobre el Valor Añadido (IVA), el número de identificación a que hace referencia el apartado 1 del artículo 22 de la Sexta Directiva 77/388/CEE 1 del Consejo, de 17 de mayo de 1977, en materia de ar1 Sexta Directiva 77/388/CEE del Consejo, de 17 de mayo de 1977, en materia de armonización de las legislaciones de los Estados miembros relativas a los impuestos sobre el volumen de negocios. Sistema común del Impuesto sobre el Valor Añadido: base imponible uniforme. Artículo 22, apartado 1: «Los sujetos pasivos estarán obligados a declarar la iniciación, la modificación y el cese de su actividad como tales sujetos pasivos».
RÉGIMEN DE ESTABLECIMIENTO
151
monización de las legislaciones de los Estados miembros relativas a los impuestos sobre el volumen de negocios. Sistema común del Impuesto sobre el Valor Añadido: base imponible uniforme. Cuando se haga referencia a precios, éstos se deben indicar claramente y se debe especificar si están incluidos dentro del mismo los impuestos y los gastos de envío (art. 5.2).
10.3. INFORMACIÓN EXIGIDA EN LAS COMUNICACIONES COMERCIALES El envío de comunicaciones comerciales a clientes o principalmente a clientes potenciales había alcanzado unas proporciones que lo estaban haciendo inviable para muchas organizaciones. Por un lado, la subida de las tarifas postales y demás gastos que conlleva un envío de tales características hacía que el presupuesto que se tenía que dedicar a tales menesteres cada vez era más elevado y, por otro lado, con los envíos indiscriminados los resultados obtenidos cada vez eran peores. Se hacía preciso, por un lado, sectorizar los envíos, evitar esas remesas incontroladas en las que la mayoría de los destinatarios ni leían lo que se les enviaba y, por otro lado, había que lograr rebajar los costes. Para conseguir ambos objetivos, especialmente el segundo, ha sido fundamental la posibilidad de enviar comunicaciones a través del correo electrónico. Las comunicaciones comerciales por vía electrónica son, sin lugar a dudas, importantes para el desarrollo de las relaciones comerciales; sin embargo, el abuso en que se cae en ciertos casos puede llegar a ser un grave obstáculo para el propio tráfico. Recibir multitud de comunicaciones, muchas de las cuales no nos interesan, nos produce un perjuicio que, en determinadas circunstancias, puede llegar a ser grave, debiendo dedicar parte de nuestro esfuerzo a recibirlas y, en la mayoría de los casos, desecharlas. Para paliar sus efectos, unos Estados miembros sólo permiten que se envíen las comunicaciones comerciales que el destinatario desee o las que haya solicitado. Otros Estados permiten el envío de cualquier comunicación comercial, haya sido solicitada o no; si bien ésta debe llevar información suficiente que la identifique, para que, sin necesidad de abrir el mensaje, se pueda detectar que se trata de una comunicación comercial y con ella permita su eliminación si no se desea recibirla.
152
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
En cualquier caso, las comunicaciones comerciales que forman parte o constituyen en sí mismas un servicio de la sociedad de la información deben cumplir las siguientes condiciones: a) las comunicaciones comerciales serán claramente identificables como tales; b) será claramente identificable la persona física o jurídica en nombre de la cual se hagan dichas comunicaciones comerciales; c) las ofertas promocionales, como los descuentos, premios y regalos, cuando estén permitidos en el Estado miembro de establecimiento del prestador de servicios, deberán ser claramente identificables como tales, y serán fácilmente accesibles y presentadas de manera clara e inequívoca las condiciones que deban cumplirse para acceder a ellos; d) los concursos o juegos promocionales, cuando estén permitidos en el Estado miembro de establecimiento del prestador de servicios, serán claramente identificables como tales las condiciones de participación; serán fácilmente accesibles y se presentarán de manera clara e inequívoca (art. 6).
10.4. COMUNICACIÓN COMERCIAL NO SOLICITADA Existen Estados en los que las comunicaciones comerciales no solicitadas por correo electrónico están permitidas. En estas circunstancias se debe garantizar que dicha comunicación comercial facilitada por un prestador de servicios establecido en su territorio sea identificable de manera clara e inequívoca como tal en el momento de su recepción (art. 7.1). A pesar de ello puede suceder que existan destinatarios que a pesar de esa identificación no deseen recibir dichas comunicaciones. Para estas personas deben existir las listas de exclusión voluntaria (optout), en las que se podrán inscribir las personas físicas que no deseen recibir dichas comunicaciones comerciales. Los prestadores de servicios que realicen comunicaciones comerciales no solicitadas por correo electrónico deberán consultar regularmente estas listas de exclusión voluntaria y respetar dicha decisión (art. 7.2).
RÉGIMEN DE ESTABLECIMIENTO
153
10.5. PROFESIONES REGULADAS Se entiende por profesión regulada cualquier profesión en el sentido o bien de la letra d) del artículo 1 de la Directiva 89/48/CEE del Consejo, de 21 de diciembre de 1988, relativa a un sistema general de reconocimiento de títulos de enseñanza superior que sancionan formaciones profesionales de una duración mínima de tres años o de la letra f) del artículo 1 de la Directiva 92/51/CEE del Consejo, de 18 de junio de 1992, relativa a un segundo sistema general de reconocimiento de formaciones profesionales que completa la Directiva 89/48/CEE. El uso de comunicaciones comerciales que en todo o en parte constituyan un servicio de la sociedad de la información facilitado por un miembro de una profesión regulada estará permitido siempre y cuando éste cumpla las normas profesionales, relativas principalmente a: a) b) c) d)
independencia, dignidad y honor de la profesión, secreto profesional, lealtad hacia clientes y colegas (art. 8.1).
Con independencia de la autonomía propia de los colegios y asociaciones profesionales se fomentará que éstos establezcan códigos de conducta comunitarios para determinar los tipos de información que pueden facilitarse a efectos de comunicación comercial (art. 8.2). A estos efectos la Comisión tendrá debidamente en cuenta los códigos de conducta aplicables en el plano comunitario y actuará en estrecha colaboración con las asociaciones y colegios correspondientes cuando se trate de elaborar propuestas de iniciativas comunitarias que puedan resultar necesarias para garantizar el funcionamiento adecuado del mercado interior en lo que se refiere a la información que se debe facilitar (art. 8.3). Como es lógico esta Directiva se aplicará junto a las distintas Directivas comunitarias relativas al acceso a las actividades de las profesiones reguladas y a su ejercicio (art. 8.4).
10.6. CUESTIONES 10.6.00. ¿Es necesaria una autorización previa para el establecimiento de un prestador de servicios en un Estado de la Unión Europea?
154
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
10.6.01. ¿De qué forma deben poder acceder los destinatarios de los servicios a la información que deben facilitar los prestadores de servicios? 10.6.02. ¿Qué datos como mínimo deben facilitar los prestadores de servicios? 10.6.03. ¿Cómo se deben especificar los precios? 10.6.04. ¿Qué se debe detectar al abrirse una comunicación comercial no solicitada? 10.6.05. ¿Qué condiciones deben cumplir las comunicaciones comerciales que formen parte o en sí mismas constituyan un servicio de la sociedad de la información? 10.6.06. ¿Qué es una lista de exclusión voluntaria? 10.6.07. ¿Qué deben hacer los prestadores de servicios que envíen comunicaciones comerciales no solicitadas respecto a las listas de exclusión voluntaria? 10.6.08. ¿Qué es una profesión regulada? 10.6.09. ¿Qué normas debe respetar el profesional que envíe comunicaciones comerciales?
11 Contratos por vía electrónica «Ha de considerarse que no hay cosa más difícil de emprender, ni de resultado más dudoso, ni de más arriesgado manejo, que ser el primero en introducir nuevas disposiciones.» (El príncipe, Niccolo Machiavelli)
11.1. TRATAMIENTO DE LOS CONTRATOS POR VÍA ELECTRÓNICA La Directiva objeto de nuestro análisis se autodenomina Directiva sobre el comercio electrónico; sin embargo, resulta curioso que en ninguno de sus artículos esté incluido este término, ni en su artículo 2, referido a las definiciones, aparezca lo que para esta Directiva es el comercio electrónico. En los Considerandos de la Directiva sí aparece este término en repetidas ocasiones, aunque después no esté en su articulado. Sucede algo parecido a lo que ocurrió con la LORTAD, que en su Exposición de Motivos desarrollaba una verdadera Teoría de la privacidad y luego en el articulado de la Ley esta palabra brillaba por su ausencia. En este último caso, se trataba de una postura lógica, pues este término era un anglicismo, en aquella época aún no aprobado por la Real Academia de la Lengua española. Se percibía cierto divorcio entre quienes redactaron la Exposición de Motivos y los letrados que revisaron el texto legislativo. En la LOPD no pudo suceder algo parecido, pues, como sabemos, desgraciadamente carece de Exposición de Motivos. Vemos, pues, que en los Considerandos de la Directiva sí encontramos el término comercio electrónico en varios considerandos. 155
156
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Así, en el Considerando 2 se hace hincapié en las oportunidades que el desarrollo del comercio electrónico en la sociedad de la información ofrece para el empleo en la Comunidad especialmente en las pequeñas y medianas empresas. El Considerando 7 se refiere a la necesidad de establecer un marco claro de carácter general para determinados aspectos jurídicos del comercio electrónico en el mercado interior para garantizar la seguridad jurídica y la confianza de los consumidores. El Considerando 13 excluye el aspecto fiscal del comercio electrónico de las finalidades de esta Directiva. En el Considerando 58 se tiene en cuenta el carácter global del comercio electrónico. La necesidad del desarrollo del comercio electrónico mediante un marco jurídico sencillo, claro y seguro, compatible con las normas internacionales se contempla en el Considerando 60. Por último, el reforzamiento de la necesaria cooperación con países fuera del espacio geopolítico de la Unión Europea, principalmente los países candidatos a entrar en ella y los países que efectúan transacciones económicas con ésta, se incluye en el Considerando 62. El tema, pues, se considera importante y se analiza, como podemos comprobar en diferentes Considerandos; sin embargo, después, en el articulado de la Directiva, no vuelve a aparecer. Lo más parecido a lo que por la Directiva se venía considerando como comercio electrónico son los contratos por vía electrónica desarrollados en la Sección 3 del Capítulo II, artículos 9, 10 y 11. Podríamos decir que la Sección 2 del mismo Capítulo, artículos 6 y 7, referidos a las comunicaciones comerciales, podrían incluirse dentro del comercio electrónico, siempre y cuando formasen parte de éste en calidad de oferta, y tuviesen su correspondencia en las otras fases del mismo: pedido, aceptación, entrega de la cosa y pago, y no actuasen de forma autónoma. Sin más dilación, y después de hechas estas salvedades, vamos a tratar de analizar los contratos por vía electrónica. Si de verdad se quiere impulsar la contratación por vía electrónica, o sea el comercio electrónico, se debe evitar que los diferentes Estados le pongan trabas en su legislación nacional, impidiendo en el proceso contractual la utilización real de este sistema de contratación. Esto se puede hacer de diferentes formas, entre ellas la de privar de efecto y validez jurídica en razón de su celebración por vía electrónica. Más de una vez hemos contemplado cómo se ha utilizado una norma adjetiva para neutralizar lo regulado por una norma sustantiva (art. 9.1).
CONTRATOS POR VÍA ELECTRÓNICA
157
Lo anterior no será necesariamente aplicable por los Estados en los contratos incluidos en una de las siguientes categorías: a) Los contratos de creación o transferencia de derechos en materia inmobiliaria, con la excepción de los derechos de arrendamientos. b) Los contratos que requieren la intervención de los tribunales, las autoridades públicas o profesionales que ejerzan una función pública. c) Los contratos de crédito y caución y las garantías presentadas por personas que actúan por motivos ajenos a su actividad económica, negocio o profesión. d) Los contratos en materia de Derecho de familia o de sucesiones (art. 9.2). Los Estados miembros deberán comunicar a la Comisión la lista de exclusión que establecen dentro de los casos anteriormente enumerados. Asimismo, cada cinco años los Estados miembros deberán enviar a la Comisión un informe sobre la aplicación de esta lista de exclusión explicando, en el caso de estar incluida en dicha lista la categoría especificada en el apartado b), los motivos por los que considera necesario mantener esta exclusión.
11.2. INFORMACIÓN EXIGIDA Se debe garantizar, excepto cuando las partes que no son consumidores así lo acuerden, que el prestador de servicios tiene que facilitar la información que después se indica de la forma siguiente: a) b) c) d)
de manera clara, comprensible, inequívoca, antes de que el destinatario efectúe el pedido.
Los datos mínimos a facilitar son los siguientes: 1) los diferentes pasos técnicos que deben darse para celebrar el contrato; 2) si el prestador de servicios va a registrar o no el contrato celebrado, y si éste va a ser accesible; 3) los medios técnicos para identificar y corregir los errores de introducción de datos antes de efectuar el pedido; 4) las lenguas ofrecidas para la celebración del contrato (art. 10.1).
158
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Igualmente, salvo cuando las partes que no son consumidores así lo acuerden, los prestadores de servicios deberán: 1) indicar los códigos de conducta a los que se acojan; 2) aportar información sobre la manera de consultar electrónicamente dichos códigos (art. 10.2). Las condiciones generales de los contratos facilitadas al destinatario deben estar disponibles de tal manera que éste pueda almacenarlas y reproducirlas (art. 10.3). Los contratos celebrados exclusivamente mediante intercambio de correo electrónico u otra comunicación individual equivalente no necesitan cumplir el deber de información del punto 1 de este artículo ni el referente a los códigos de conducta del punto 2 (art. 10.4).
11.3. REALIZACIÓN DE UN PEDIDO Salvo cuando las partes que no son consumidores así lo acuerden, en los casos en que el destinatario de un servicio efectúe su pedido por vía electrónica, se aplicarán los principios siguientes: 1) el prestador de servicios deberá acusar recibo del pedido del destinatario sin demora indebida y por vía electrónica, 2) se considerará que se han recibido el pedido y el acuse de recibo cuando las partes a las que se dirigen puedan tener acceso a los mismos (art. 11.1). Asimismo el prestador deberá poner a disposición del destinatario del servicio los medios técnicos adecuados, eficaces, accesibles que permitan identificar y corregir los errores de introducción de datos antes de realizar el pedido (art. 11.2). Cuando los contratos se celebren exclusivamente por intercambio de correo electrónico u otra comunicación individual equivalente, no será necesario aplicar los principios anteriormente expuestos ni poner a disposición del destinatario del servicio medio técnico alguno (art. 11.3).
11.4. CUESTIONES 11.4.00. ¿Dónde define la Directiva lo que es el comercio electrónico?
CONTRATOS POR VÍA ELECTRÓNICA
159
11.4.01. ¿Incluye esta Directiva los aspectos fiscales del comercio electrónico? 11.4.02. ¿Para qué es importante el desarrollo del comercio electrónico en la Unión Europea? 11.4.03. ¿Qué categorías de contratos pueden excluirse de la aplicación del punto 1 del artículo 9? 11.4.04. ¿De qué forma se debe facilitar información al consumidor que quiera formalizar una contratación? 11.4.05. ¿Qué datos mínimos le debe facilitar el prestador de servicios al destinatario? 11.4.06. ¿Quiénes pueden acordar que no se facilite información cuando se vaya a formalizar un contrato? 11.4.07. ¿De qué forma deben estar las condiciones generales de los contratos por vía electrónica? 11.4.08. ¿Qué principios deben aplicarse cuando se realice un pedido? 11.4.09. ¿Qué debe poner el prestador de servicios a disposición de un destinatario de un servicio?
12 Responsabilidades de los prestadores de servicios intermediarios «El ciberespacio ofrece algo novedoso a todas aquellas personas interesadas en la regulación y en la libertad. Requiere una nueva comprensión del modo en que funciona la regulación, así como de lo que regula la vida en ese espacio. El mismo tiempo nos impulsa a mirar más allá del campo de trabajo habitual de los juristas, más allá de las leyes, de las regulaciones y de las normas, y requiere una nueva descripción del nuevo tipo de regulador que fomenta.» (El Código y otras leyes del ciberespacio, Lawrence Lessig)
12.1. GENERALIDADES Si queremos lograr que los servicios de la sociedad de información se presten de manera adecuada, se ha de conseguir poder dilucidar en cada momento quién es el responsable de cada acto. En este capítulo nos vamos a referir concretamente a los prestadores de servicios intermediarios, que es a los que está dedicada la Sección 4 del Capítulo II de la Directiva. La responsabilidad de los prestadores de servicios intermediarios se puede originar en los siguientes casos: 1) Mera transmisión: a) Transmisión en una red de comunicaciones. Datos facilitados por el destinatario del servicio. b) Facilitar acceso a una red de comunicaciones. 161
162
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
2) Memoria tampón (Caching): a) Transmisión por una red de comunicaciones. Datos facilitados por el destinatario del servicio con almacenamiento automático, provisional y temporal de esta información, realizado con la única finalidad de hacer más eficaz la transmisión ulterior de la información a otros destinatarios del servicio. 3) Alojamiento de datos: a) Almacenamiento de los datos facilitados por el destinatario del servicio.
12.2. MERA TRANSMISIÓN Las condiciones para que el prestador de un servicio de la sociedad de la información consistente en la transmisión en una red de comunicaciones de datos facilitados por el destinatario del servicio o en facilitar el acceso a una red de comunicaciones no se pueda considerar responsable de los datos transmitidos son las siguientes (art. 12.1): a) no haya originado la transmisión, b) no seleccione al destinatario de la transmisión, c) no seleccione ni modifique los datos transmitidos. Las actividades anteriores de transmisión y concesión de acceso de datos anteriores engloban también el almacenamiento automático, provisional y transitorio de los datos transmitidos siempre que dicho almacenamiento sirva exclusivamente para ejecutar la transmisión en la red de comunicaciones y que su duración no supere el tiempo razonablemente necesario para dicha transmisión (art. 12.2). La posibilidad de que un tribunal o una autoridad administrativa, de conformidad con los sistemas jurídicos nacionales, exija al prestador de servicios que ponga fin a una infracción o que la impida no quedará afectada por lo que se dice en este artículo (art. 12.3).
12.3. MEMORIA TAMPÓN (CACHING) Las condiciones para que el prestador de un servicio que consista en la transmisión por una red de comunicaciones de datos facilitados por el destinatario del servicio no pueda ser considerado responsable del almacena-
RESPONSABILIDADES DE LOS PRESTADORES DE SERVICIOS...
163
miento automático, provisional y temporal de esta información, realizado con la única finalidad de hacer más eficaz la transmisión ulterior de la información a otros destinatarios del servicio son las siguientes: a) que el prestador de servicios no modifique la información; b) que el prestador de servicios cumpla las condiciones de acceso a la información; c) que el prestador de servicios cumpla las normas relativas a la actualización de la información, especificadas de manera ampliamente reconocida y utilizada por el sector; d) que el prestador de servicios no interfiera en la utilización lícita de tecnología ampliamente reconocida y utilizada por el sector, con el fin de obtener datos sobre la utilización de la información y e) que el prestador de servicios actúe con prontitud para retirar la información que haya almacenado, o hacer que el acceso a ella será imposible, en cuanto tenga conocimiento efectivo del hecho de que la información ha sido retirada del lugar de la red en que se encontraba inicialmente, de que se ha imposibilitado el acceso a dicha información o de que un tribunal o una autoridad administrativa ha ordenado retirarla o impedir que se acceda a ella (art. 13.1). De igual modo que en el caso del artículo anterior, la posibilidad de que un tribunal o una autoridad administrativa, de conformidad con los sistemas jurídicos nacionales, exija al prestador de servicios poner fin a una infracción o impedirla, no se verá afectada por lo dicho en este artículo (art. 13.2).
12.4. ALOJAMIENTO DE DATOS Las condiciones para que cuando se preste un servicio de la sociedad de la información que consista en almacenar datos facilitados por el destinatario del servicio, el prestador del servicio no pueda ser considerado responsable de los datos almacenados a petición del destinatario son las que vienen a continuación (art. 14.1): a) que el prestador de servicios no tenga conocimiento efectivo de que la actividad de la información es ilícita y, en lo que se refiere a una acción por daños y perjuicios, no tenga conocimiento de hechos o circunstancias por los que la actividad o la información revele su carácter de ilícito; o
164
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
b) que el prestador de servicios, en cuanto tenga conocimiento de estos puntos, actúe con prontitud para retirar los datos o hacer que el acceso a ellos sea imposible. Todo lo anterior no se aplicará cuando el destinatario del servicio actúe bajo la autoridad o control del prestador de servicios (art. 14.2). Se trata de evitar el posible fraude de crear un destinatario del servicio que sirva de testaferro y derivar así la posible responsabilidad del prestador del servicio. Como en los casos anteriores, la posibilidad de que un tribunal o una autoridad administrativa, de conformidad con los sistemas jurídicos nacionales, exijan al prestador de servicios poner fin a una infracción o impedirla, ni la posibilidad de que los Estados miembros establezcan procedimientos por los que se rija la retirada de datos o impida el acceso a éstos no se verán afectadas por lo dicho en este artículo (art. 14.3).
12.5. INEXISTENCIA DE OBLIGACIÓN GENERAL DE SUPERVISIÓN Una determinada interpretación de lo dispuesto respecto a la mera transmisión, la memoria tampón (Caching) o el alojamiento de datos podía llevarnos a la conclusión de que el prestador de servicios se debe convertir en un supervisor de todo lo que ocurre relacionado con el servicio prestado, lo que le obligaría a una serie de trabajos extra que al final redundaría en un mayor coste del servicio. No es éste el espíritu de la Directiva y para dejarlo claro, en su artículo 15.1 dice que respecto de los servicios contemplados en el artículo 12 («Mera transmisión»), artículo 13 («Memoria tampón [Caching]») y artículo 14 («Alojamiento de datos») no se impondrá a los prestadores de servicio lo siguiente: a) una obligación general de supervisar los datos que transmitan o almacenen; b) una obligación general de realizar búsquedas activas de hechos o circunstancias que indiquen actividades ilícitas. No obstante, sí se contempla que se les pueda exigir un deber de diligencia y de comunicación, de forma que los Estados miembros podrán establecer obligaciones tendentes a que los prestadores de servicios de la sociedad de la información:
RESPONSABILIDADES DE LOS PRESTADORES DE SERVICIOS...
165
a) comuniquen con prontitud a las autoridades públicas competentes: 1) los presuntos datos ilícitos, 2) las actividades ilícitas llevadas a cabo por destinatarios de su servicio, b) comuniquen a las autoridades competentes, a solicitud de éstas, información que les permita identificar a los destinatarios de su servicio con los que hayan celebrado acuerdos de almacenamiento (art. 15.2).
12.6. CUESTIONES 12.6.00. ¿Cuándo puede incurrir en responsabilidad un prestador de servicios de la sociedad de la información? 12.6.01. ¿Qué casos contempla la Directiva? 12.6.02. En una mera transmisión de datos, ¿cuándo no se puede eximir de responsabilidad al prestador de servicios por los datos transmitidos? 12.6.03. ¿En qué casos se le considerará responsable? 12.6.04. En el caso conocido como memoria tampón (Caching), ¿cuándo incurrirá en responsabilidad el prestador de servicios? 12.6.05. ¿En qué casos no puede afectar lo regulado en los artículos 12 y 13? 12.6.06. ¿Qué se considera una memoria tampón? 12.6.07. En el caso de un almacenamiento de datos facilitados por el destinatario del servicio, ¿cuándo puede incurrir en responsabilidad el prestador de servicios? 12.6.08. ¿Qué obligaciones generales de supervisión no se pueden imponer a los prestadores de servicios? 12.6.09. ¿Qué obligaciones de diligencia e información se les pueden imponer?
13 Aplicación de la Directiva «Si se considera la perversidad de la naturaleza humana, manifestada sin recato en las relaciones entre los pueblos libres –contenida, en cambio, y velada en el estado civil y político por la coacción legal del Gobierno– es muy de admirar que la palabra derecho no haya sido aún expulsada de la política guerrera por pedante y arbitraria.» (La paz perpetua, Kant)
13.1. CÓDIGOS DE CONDUCTA La palabra código 1, en una de sus acepciones, es «un conjunto de reglas o preceptos sobre cualquier materia». Conducta 2 se define como «parte o manera con que los hombres gobiernan su vida y dirigen sus acciones». En el contexto de la Directiva podemos definirlo como acuerdos sectoriales, comerciales, profesionales y de consumidores, en los que se establecen las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en los servicios, así como las garantías, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la presente Ley y sus normas de desarrollo. Por los Estados miembros y la Comisión se fomentará (art. 16.1): a) la elaboración de códigos de conducta a nivel comunitario, a través de asociaciones u organizaciones comerciales, profesionales o de con1 2
Diccionario de la Lengua Española. 21.a edición. Madrid, 1992, pág. 352. Obra citada, pág. 378.
167
168
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
b) c) d)
e)
sumidores con el fin de contribuir a que se apliquen correctamente los artículos 5 a 15; el envío voluntario a la Comisión de los proyectos de códigos de conducta a nivel nacional o comunitario; la posibilidad de acceder a los códigos de conducta por vía electrónica en las lenguas comunitarias; la comunicación a los Estados miembros y a la Comisión, por parte de las asociaciones u organizaciones profesionales y de consumidores, de la evaluación que éstas hagan de la aplicación de sus códigos de conducta y su repercusión en las prácticas, usos o costumbres relacionados con el comercio electrónico; la elaboración de códigos de conducta en materia de protección de los menores y de la dignidad humana.
Se fomentará igualmente la participación de las asociaciones u organizaciones que representan a los consumidores en la redacción y aplicación de los códigos de conducta que afecten a sus intereses. Dadas las características de los miembros de las asociaciones de discapacitados y de malvidentes, cuando sea adecuado, se consultará a las mismas, a fin de tener en cuenta sus necesidades específicas (art. 16.2).
13.2. SOLUCIÓN EXTRAJUDICIAL DE LITIGIOS Cada día viene siendo en nuestro país más corriente que los conflictos, principalmente en el área mercantil, se sustancien fuera de los tribunales de justicia mediante la mediación en unos casos y en la mayoría por el arbitraje. Las causas que llevan a esta situación son varias: lentitud de los tribunales, publicidad experimentada, y especificidad de los temas, lo que hace que los árbitros puedan parecer más idóneos que los jueces para resolver algunos casos, especialmente aquellos referidos a las Tecnologías de la Información y las Comunicaciones; también son importantes, a la hora de elegir un sistema u otro, los gastos de los procedimientos judiciales. La Directiva, teniendo en cuenta lo anterior, traslada la solución extrajudicial de litigios a aquellos casos en que exista desacuerdo entre un prestador de servicios de la sociedad de la información y el destinatario del servicio (art. 17.1). Por ello, las legislaciones nacionales no deben obstaculizar la utilización de los mecanismos de solución extrajudicial existentes en dichas legislaciones para la solución de litigios, incluso utilizando vías electrónicas adecuadas.
APLICACIÓN DE LA DIRECTIVA
169
Se debe alentar a los órganos responsables de la solución extrajudicial de litigios, en particular en el caso de la materia de productos de consumo, a que actúen de modo tal que proporcionen garantías de procedimiento adecuadas a las partes afectadas (art. 17.2). Estar al tanto de las decisiones más relevantes que se tomen es importante para ir teniendo cada vez más conocimiento sobre temas un tanto innovadores. Por ello los Estados miembros incitarán a los órganos responsables de la solución extrajudicial de litigios, entre los que, no olvidemos, tienen especial relevancia las Cortes de Arbitraje de las Cámaras de Comercio, a que informen a la Comisión de las decisiones relevantes que tomen en relación con los servicios de la sociedad de la información, y a que le transmitan todos los demás datos sobre prácticas, usos o costumbres relacionados con el comercio electrónico (art. 17.3).
13.3. RECURSOS JUDICIALES Los Estados miembros deberán velar para que los recursos judiciales existentes, en virtud de las diferentes legislaciones nacionales en relación con las actividades de servicios de la sociedad de la información, permitan adoptar de forma rápida medidas, incluso medidas de carácter provisional, destinadas a poner término a cualquier presunta infracción y a evitar que se produzcan nuevos perjuicios contra los intereses afectados (art. 18.1). En concordancia con lo anterior, se añadirá en la Directiva 98/27/CE 3, de 19 de mayo, relativa a las acciones de cesación en materia de protección de los intereses de los consumidores, el punto que viene a continuación: «11. Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico).»
13.4. COOPERACIÓN A efectos de la necesaria cooperación entre los distintos Estados miembros para la aplicación de la presente Directiva, éstos deberán realizar las acciones que figuran a continuación: 3 Directiva 98/27/CE del Parlamento Europeo y del Consejo, de 19 de mayo de 1998, relativa a las acciones de cesación en materia de protección de los intereses de los consumidores.
170
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
a) disponer de los medios de control e investigación necesarios para aplicar de forma eficaz la presente Directiva (art. 19.1); b) garantizar que los prestadores de servicios comuniquen la información requerida (art. 19.1); c) designar uno o más puntos de contacto de cooperación con los demás Estados miembros cuyas señas comunicarán a los demás y a la Comisión (art. 19.2); d) facilitar, a la mayor brevedad posible y de conformidad con la legislación nacional, la ayuda y la información que les soliciten otros Estados miembros o la Comisión, incluso utilizando las vías electrónicas adecuadas (art. 19.3); e) crear puntos de contacto accesibles, como mínimo, por vía electrónica y a los que los destinatarios de un servicio y los prestadores de servicios podrán dirigirse para: 1) conseguir información general sobre sus derechos y obligaciones contractuales, así como los mecanismos de reclamación y recurso disponibles en caso de litigio, incluidos los aspectos relativos a la utilización de tales mecanismos; 2) obtener los datos de las autoridades, asociaciones u organizaciones de las que pueden obtener información adicional o asistencia práctica (art. 19.4); f) velar por que se comunique a la Comisión toda decisión administrativa o resolución judicial de carácter relevante que se adopte en sus respectivos territorios sobre litigios relativos a los servicios de la sociedad de la información y a las prácticas, usos y costumbres relacionados con el comercio electrónico. La Comisión comunicará dichas decisiones o resoluciones a los demás Estados miembros (art. 19.5).
13.5. SANCIONES Lamentablemente siempre es necesario implantar un régimen sancionador que se pueda aplicar a las posibles infracciones que se cometan. Los Estados miembros deben determinar qué tipo de sanción se debe aplicar a las infracciones en las disposiciones nacionales que se apliquen al transponer la presente Directiva y deberán tomar todas las medidas necesarias para garantizar su aplicación.
APLICACIÓN DE LA DIRECTIVA
171
Las medidas deberán ser (art. 20): a) efectivas, b) proporcionadas, c) disuasorias. El problema surge normalmente a la hora de interpretar lo anterior, pues en algún caso en las leyes nacionales suele primar lo disuasorio sobre lo proporcionado, como es el caso de nuestro país.
13.6. DISPOSICIONES FINALES Los avances tecnológicos llevan consigo una continua evolución jurídica, técnica y económica en el ámbito de los servicios de la sociedad de la información, en particular en lo que respecta a la prevención del delito, protección de menores, de los consumidores y al buen funcionamiento del mercado interior, para ello se prevé su reexamen periódico.
13.6.1. Reexamen Antes del 17 de julio de 2003 y, a continuación, cada dos años, la Comisión presentará al Parlamento Europeo, al Consejo y al Comité Económico y Social un informe sobre la aplicación de la Directiva, que irá acompañado, en su caso, de propuestas para adaptarla a los continuos cambios de la sociedad de la información, especialmente en sus aspectos jurídicos, técnicos y económicos, y referido en particular a (art. 21.1): a) b) c) d)
prevención del delito, protección de menores, protección de los consumidores, buen funcionamiento del mercado interior.
En el informe se analizará la necesidad de presentar propuestas relativas a (art. 21.2): a) responsabilidad de los proveedores de hipervínculos y servicios de instrumentos de localización,
172
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
b) a los procedimientos de «detección y retirada», c) a la imputación de responsabilidad tras la retirada del contenido, d) establecer condiciones suplementarias para la exención de responsabilidad dispuesta en los artículos 12 (mera transmisión) y 13 (memoria tampón), en función del desarrollo tecnológico, e) posibilidad de aplicar los principios del mercado interior a las comunicaciones comerciales por correo electrónico no solicitadas.
13.6.2. Trasposición La Directiva deberá ser incorporada a los respectivos ordenamientos jurídicos de los diferentes Estados miembros antes del 17 de enero de 2002; dicha trasposición deberá ser comunicada inmediatamente a la Comisión. Por lo tanto, antes de dicha fecha los Estados miembros deberán adoptar las correspondientes disposiciones legales, reglamentarias y administrativas para dar cumplimiento a lo establecido en la presente Directiva (art. 22.1). Cuando los Estados miembros cumplan con lo determinado en el párrafo anterior, deberán incluir una referencia a esta Directiva o deberán acompañarla de dicha referencia en su publicación oficial (art. 22.2).
13.6.3. Entrada en vigor La presente Directiva entrará en vigor el día de su publicación en el Diario Oficial de las Comunidades Europeas (art. 23.1).
13.6.4. Destinatarios Los destinatarios de la presente Directiva serán los Estados miembros.
13.7. CUESTIONES 13.7.00. ¿Qué ventajas proporciona la existencia de códigos de conducta? 13.7.01. ¿Quiénes deben participar en la redacción de los códigos de conducta?
APLICACIÓN DE LA DIRECTIVA
173
13.7.02. ¿Qué causas llevan a que los litigios se solucionen extrajudicialmente cuando existe esa posibilidad? 13.7.03. ¿De qué forma deben cooperar los Estados miembros a fin de aplicar la presente Directiva? 13.7.04. ¿Qué sanciones se pueden imponer a los que infrinjan lo que regula la Directiva? 13.7.05. ¿Cómo deben ser las medidas sancionadoras que se tomen? 13.7.06. ¿Todos los Estados miembros deben imponer las mismas medidas sancionadoras? 13.7.07. ¿Qué fin se persigue con el preceptivo informe que hay que remitir cada dos años sobre los resultados de la aplicación de la Directiva? 13.7.08. ¿A qué puntos en concreto se deben referir las propuestas que se acompañen al informe? 13.7.09. ¿Se pueden imponer medidas de carácter provisional?
Tercera parte Ley de servicios de la sociedad de la información y de comercio electrónico
14 Antecedentes «Todo pasa y todo queda; pero lo nuestro es pasar, pasar haciendo caminos, caminos sobre la mar.» (Campos de Castilla, Antonio Machado)
14.1. GENERALIDADES El Anteproyecto de Ley de servicios de la sociedad de la información y de comercio electrónico ha tenido una amplia difusión y una tramitación participativa a través de un proceso de consulta pública y de expansión a través de la web del Ministerio de Ciencia y Tecnología y de otras muchas webs de Internet. Más de sesenta entidades, además de diferentes ministerios, han formulado comentarios a las distintas versiones del Anteproyecto de Ley, lo que ha permitido incorporar algunas de las cuestiones planteadas. Asimismo, el Anteproyecto de Ley ha recibido múltiples críticas tanto de Asociaciones Profesionales como de profesionales independientes pertenecientes al mundo jurídico y técnico, lo que ha ayudado a mejorar su contenido. El proyecto ha sido respaldado por varios organismos a los que se ha solicitado informe, entre ellos están el Consejo de Estado, el Consejo General del Poder Judicial, la Comisión del Mercado de las Telecomunicaciones y de la Sociedad de la Información, la Agencia de Protección de Datos y el Consejo de Consumidores y Usuarios. A su paso por el Congreso, recibió 345 enmiendas de los diferentes grupos políticos, algunas de las cuales fueron incorporadas al texto que se pasó al Senado, donde recibió 187 enmiendas, algunas de las cuales fueron igualmente incorporadas al texto definitivo. 177
178
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Los artículos que más enmiendas recibieron en el Congreso fueron: Exposición de Motivos Artículo 2. Prestadores de servicios establecidos en España Artículo 3. Prestadores de servicios establecidos en otro Estado miembro de la Unión Europea o del Espacio Económico Europeo Artículo 8. Restricciones a la prestación de servicios Artículo 9. Constancia registral del nombre de dominio Artículo 11. Deber de colaboración de los prestadores de servicios de intermediación Artículo 16. Responsabilidad de los prestadores de servicios de alojamiento o almacenamiento de datos Artículo 17. Responsabilidad de los prestadores de servicios que faciliten enlaces a contenidos o instrumentos de búsqueda Anexos
12 20 11 17 12 13 12 16 11
No recibieron ninguna enmienda: Artículo 7. Principio de libre prestación de servicios. Artículo 23. Validez y eficacia de los contratos celebrados por vía electrónica. Disposición adicional primera. Significado de los términos empleados por esta Ley. Disposición final tercera. Adición de una nueva disposición transitoria a la Ley 11/1998, de 24 de abril, General de Telecomunicaciones. En el Senado, los artículos que más enmiendas recibieron fueron los siguientes: Artículo 8. Restricciones a la prestación de servicios Artículo 9. Constancia registral del nombre de dominio Artículo 10. Información general Artículo 11. Deber de colaboración de los prestadores de servicios de intermediación Artículo 14. Responsabilidad de los operadores de redes y proveedores de acceso Artículo 15. Responsabilidad de los prestadores de servicios que realizan copia temporal de los datos solicitados por los usuarios Artículo 16. Responsabilidad de los prestadores de servicios de alojamiento o almacenamiento de datos
8 7 6 8 7 6 6
ANTECEDENTES
Artículo 17. Responsabilidad de los prestadores de servicios que faciliten enlaces a contenidos o instrumentos de búsqueda Artículo 37. Responsabilidades Artículo 38. Infracciones Anexo
179
7 8 6 8
No recibieron ninguna enmienda los siguientes artículos: Artículo 7. Principio de libre prestación de servicios. Artículo 22. Derechos de los destinatarios de comunicaciones comerciales. Artículo 28. Información posterior a la celebración del contrato. Disposición adicional primera. Significado de los términos empleados por esta Ley.
14.2. PRINCIPALES CRÍTICAS AL PROYECTO DE LEY La circunstancia de que el Anteproyecto de Ley de comercio electrónico fuese sometido a una amplia consulta pública durante un largo período de tiempo, se enviase a consulta a diferentes organismos del Estado, así como que fuese motivo de debate en numerosos foros de internautas, dio como fruto numerosas críticas, algunas de las cuales sirvieron para rectificar el Anteproyecto antes de pasar al Congreso y otras se convirtieron en enmiendas que fueron presentadas durante su tramitación en el Congreso y en el Senado. A continuación, enumeramos las principales críticas hechas al Anteproyecto por distintos colectivos: 1. Que el Ministerio de Ciencia y Tecnología, que propuso, en una iniciativa tan inédita como positiva, un debate abierto en Internet sobre la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI), no ha ofrecido a la opinión pública desde la web ministerial todos los sucesivos borradores del Anteproyecto de Ley. 2. Que una autoridad administrativa, incluso antes de iniciar el expediente sancionador, y por estimar que pueda atentar (no que atente o haya atentado) contra el principio de protección de la juventud, ordenará el cierre de un periódico que se difunda por Internet. De
180
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
3. 4. 5. 6.
7. 8. 9. 10.
11. 12. 13. 14. 15.
ello se deduce que estamos ante una alteración o restricción sustancial del contenido esencial de derechos fundamentales, y ello, de ser constitucionalmente posible en los términos establecidos en la Ley, sólo podría llevarse a cabo mediante Ley Orgánica. Que la Ley puede amparar actos de la Administración contra la libertad de expresión dado su ambiguo redactado que prevé actividades más allá de las transacciones económicas. Que el ámbito y objeto de la Ley resultan confusos y resultan extraordinariamente amplios. Que el régimen sancionador que figura en la Ley, para economías y empresas pequeñas, es inasumible. Que la aplicación de la LSSI supone un grave retroceso en el desarrollo de Internet en nuestro país y condena a su desaparición a numerosas y prometedoras iniciativas que estaban floreciendo en la Red. Que en el Anteproyecto hay determinados aspectos que pueden suponer un obstáculo para el desarrollo del comercio electrónico. Que las sanciones son desproporcionadas, siguiendo la pauta últimamente establecida en otras leyes de multas cuantiosas que siguen sin atemorizar al fuerte y prácticamente destrozan al débil. Que la inscripción del prestador de servicios en un registro público supone un coste económico. Que simplemente por incluir una sencilla pancarta (banner) de publicidad no gratuita en su página personal, el titular ya puede ser considerado prestador de servicios de la sociedad de la información. Que el Anteproyecto es técnicamente pobre y materialmente injusto. Que el Anteproyecto propone una nueva y diferente Teoría General del Contrato para los celebrados por medios electrónicos. Que Internet no es algo ajeno a la realidad, es la realidad misma y, por tanto, aun contando con la especificidad técnica precisa, no puede ser considerada como un gueto al margen de la realidad. Que la Directiva 2000/31/CE se debe transponer con modificaciones sectoriales de la legislación no con una Ley especial de Internet. Que se debe diferenciar claramente la regulación para el comercio electrónico con el derecho a la información y las publicaciones digitales.
Aunque las críticas que se han hecho al Anteproyecto han sido muchas, aquí sólo hemos querido dejar constancia de algunas de ellas.
181
ANTECEDENTES
14.3. ENMIENDAS PRESENTADAS AL CONGRESO Durante el tiempo habilitado para ello, fueron presentadas en el Congreso por los distintos grupos parlamentarios numerosas enmiendas que hemos clasificado por los artículos a que hacen referencia, siendo aceptadas algunas de ellas e incorporadas al texto de la Ley, que fue aprobado por el Congreso y remitido al Senado. Cuadro de enmiendas presentadas al Congreso Artículos Título de la Ley Exposición de Motivos Artículo 1 Artículo 2 Artículo 2 bis (nuevo) Artículo 3 Artículo 4 Artículo 5 Artículo 6 Artículo 7 Artículo 8 Artículo 9 Artículo 10 Artículo 11 Artículo 12 Artículo 13 Artículo 14 Artículo 15 Artículo 16 Artículo 17 Artículo 18 Artículo 19 Artículo 20 Artículo 20 bis (nuevo) Artículo 21 Artículo 22 Artículo 23 Artículo 24 Artículo 25 Artículo 26
Número de enmiendas 3 12 6 20 1 11 6 2 3 sin enmiendas 17 12 10 13 7 4 9 11 12 16 4 4 3 1 8 3 sin enmiendas 5 5 7
182
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Cuadro de enmiendas presentadas al Congreso (Continuación) Artículos Artículo 27 Artículo 27 bis (nuevo) Artículo 28 Artículo 28 bis (nuevo) Artículo 29 Artículo 30 Artículo 31 Artículo 32 Artículo 33 Artículo 34 Artículo 35 Artículo 36 Artículo 37 Artículo 38 Artículo 39 Artículo 40 Artículo 41 Artículo 42 Artículo 43 Artículo 44 Disposición adicional primera nueva Disposición adicional segunda Disposición adicional tercera Disposición adicional cuarta Disposiciones adicionales nuevas Disposición transitoria única Disposición final primera Disposición final segunda Disposición final tercera Disposición final cuarta Disposición final quinta Disposiciones finales nuevas Anexos
Número de enmiendas 7 1 2 2 1 2 1 4 6 8 6 1 11 11 2 4 1 8 1 2 sin enmiendas 1 4 2 2 4 3 3 sin enmiendas 2 3 10 11
Fuente: Boletines Oficiales de las Cortes Generales del Congreso de los Diputados. Serie A. Proyectos de Ley núm. 68-6 22 de abril de 2002 y núm. 68-8 29 de abril de 2002.
183
ANTECEDENTES
14.4. ENMIENDAS PRESENTADAS AL SENADO Durante el tiempo hábil para ello, fueron presentadas en el Senado por los distintos grupos parlamentarios diversas enmiendas que hemos clasificado por los artículos a que hacían referencia siendo aceptadas algunas de ellas en el texto final de la Ley que fue aprobado.
Cuadro de enmiendas presentadas al Senado Artículos
Número de enmiendas
Título de la Ley Exposición de Motivos Artículo 1 Artículo 2 Artículo 2 bis (nuevo) Artículo 3 Artículo 4 Artículo 5 Artículo 6 Artículo 7 Artículo 8 Título del Capítulo II del Título II Título de la Sección 1.a del Capítulo II del Título II Artículo 8 bis (nuevo) Artículo 9 Artículo 10 Artículo 11 Artículo 12 Artículo 13 Artículo 14 Artículo 15 Artículo 16 Artículo 17 Artículo 18 Artículo 19 Artículo 20 Artículo 20 bis (nuevo) Artículo 21 Artículo 22 Artículo 23
3 4 3 6 1 2 1 5 3 sin enmiendas 8 1 1 1 7 6 8 4 4 7 6 6 7 2 2 2 1 4 sin enmiendas 1
184
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Cuadro de enmiendas presentadas al Senado (Continuación) Artículos Artículo 24 Artículo 25 Artículo 26 Artículo 27 Artículo 27 bis (nuevo) Artículo 28 Artículo 29 Artículo 30 Artículo 31 Artículo 32 Artículo 33 Artículo 34 Artículo 35 Artículo 36 Artículo 37 Artículo 38 Artículo 39 Artículo 40 Artículo 41 Artículo 42 Artículo 43 Artículo 44 Disposición adicional primera Disposición adicional segunda Disposición adicional tercera Disposición adicional cuarta Disposición adicional quinta Disposición adicional nueva Disposición transitoria única Disposición final primera Disposición final segunda Disposición final tercera Disposición final cuarta Disposición final quinta Disposición final nueva Anexo
Número de enmiendas 3 1 2 5 1 sin enmiendas 2 3 2 2 3 5 4 1 8 6 2 4 2 5 1 1 sin enmiendas 2 2 2 1 4 5 2 1 1 1 3 8 8
Fuente: Boletín Oficial de las Cortes Generales del Senado. Serie II. Proyectos de Ley núm. 66 (d) 6 de junio de 2002.
ANTECEDENTES
185
14.5. CUESTIONES 14.5.00. ¿Qué ha diferenciado al Anteproyecto de Ley de Comercio Electrónico de otros similares? 14.5.01. ¿Qué artículo recibió más enmiendas en el Congreso? 14.5.02. Decir algún artículo que no recibió ninguna enmienda en el Congreso. 14.5.03. ¿Qué artículo recibió más enmiendas en el Senado? 14.5.04. Decir algún artículo que no recibió ninguna enmienda en el Senado. 14.5.05. ¿Cuántas enmiendas se presentaron en el Congreso? 14.5.06. ¿Cuántas enmiendas se presentaron en el Senado? 14.5.07. Justificar el motivo por el cual se consideran desproporcionadas las multas. 14.5.08. ¿Qué problemas presenta que una autoridad administrativa pueda ordenar el cierre de una web? 14.5.09. ¿Qué puede suponer la inscripción del prestador de servicios en un registro público?
15 La sociedad de la información contemplada en la LSSI «Cuando no hay alegría, el alma se retira a un rincón de nuestro cuerpo y hace de él su cubil.» (El espectador, José Ortega y Gasset)
15.1. EXPOSICIÓN DE MOTIVOS DE LA LEY En un capítulo anterior hemos examinado los Considerandos de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico), verdadera Exposición de Motivos de la Directiva. Aquí examinaremos y trataremos, en cierto modo, de analizar la Exposición de Motivos de la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico (LSSI). El objeto de la LSSI es incorporar al ordenamiento jurídico español la Directiva sobre el comercio electrónico más arriba mencionada. Asimismo, incorpora parcialmente la Directiva 98/27/CE del Parlamento Europeo y del Consejo, de 19 de mayo, relativa a las acciones de cesación en materia de protección de los intereses de los consumidores, al regular, de conformidad con lo establecido en ella, una acción de cesación contra las conductas que contravengan lo dispuesto en la LSSI. Se dice en la Exposición de Motivos que lo que la Directiva denomina sociedad de la información es el resultado de la extraordinaria expansión de 187
188
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
las redes de telecomunicaciones, y en especial de Internet, como vehículo de transmisión e intercambio de todo tipo de información. Las ventajas que todo esto ofrece en sus aspectos económicos y sociales pueden ser del siguiente orden: a) mejora de la eficiencia empresarial, b) incremento de las posibilidades de elección de los usuarios, c) aparición de nuevas fuentes de empleo. Sin embargo, la implantación de Internet y de las nuevas tecnologías tropieza con algunas incertidumbres jurídicas. Como vemos, la incertidumbre, como decíamos en un capítulo anterior, es algo consustancial con los tiempos que estamos viviendo. Para aclarar en lo posible esa incertidumbre, es necesario establecer un marco jurídico adecuado que sirva para generar en todos los actores intervinientes la confianza necesaria para el empleo de este nuevo medio. Esta Ley no pretende regular totalmente las actividades realizadas por medios electrónicos, sino completar las normas tanto generales como especiales existentes, que ya las regulan, ocupándose tan sólo de aquellos aspectos que, ya sea por su novedad o por las peculiaridades que implica su ejercicio por vía electrónica, no están cubiertos por dicha regulación. La Ley acoge un concepto amplio de servicios de la sociedad de la información que engloba: a) la contratación de bienes y servicios por vía electrónica, b) el suministro de información por vía electrónica (como la que efectúan los periódicos o revistas que pueden encontrarse en la Red), c) las actividades de intermediación relativas a la provisión de acceso a la Red, d) la transmisión de datos por redes de telecomunicaciones, e) la realización de copia temporal de las páginas de Internet solicitadas por los usuarios, f) el alojamiento en los propios servidores de información, servicios o aplicaciones facilitadas por otros, g) la provisión de instrumentos de búsqueda o de enlaces a otros sitios de Internet, h) cualquier otro servicio que se preste a petición individual de los usuarios (descarga de archivos de vídeo o audio…) siempre que represente una actividad económica para el prestador. Estos servicios son ofrecidos por:
LA SOCIEDAD DE LA INFORMACIÓN CONTEMPLADA EN LA LSSI
a) b) c) d) e)
189
operadores de telecomunicaciones, proveedores de acceso a Internet, portales, motores de búsqueda, cualquier otro sujeto que disponga de un sitio en Internet, a través del que realice alguna de las actividades indicadas, incluido el comercio electrónico.
La Ley, desde un punto de vista subjetivo, se aplicará con carácter general a los prestadores de servicios establecidos en España. Se entiende por establecimiento el lugar desde el que se dirige y gestiona una actividad económica, definición inspirada en el concepto de domicilio fiscal que figura en las normas tributarias españolas 1 y que resulta compatible con la noción de establecimiento del Derecho comunitario. 1 Ley 40/1998, de 9 de diciembre, del Impuesto sobre la Renta de las Personas Físicas y otras normas tributarias «Artículo 9. Residencia habitual en territorio español 1. Se entenderá que el contribuyente tiene su residencia habitual en territorio español cuando se dé cualquiera de las siguientes circunstancias: a) Que permanezca más de ciento ochenta y tres días durante el año natural, en territorio español. Para determinar este período de permanencia en territorio español se computarán las ausencias esporádicas, salvo que el contribuyente acredite su residencia fiscal en otro país. En el supuesto de países o territorios de los calificados reglamentariamente como paraíso fiscal, la Administración tributaria podrá exigir que se pruebe la permanencia en el mismo durante ciento ochenta y tres días en el año natural. Para determinar el período de permanencia al que se refiere el párrafo anterior, no se computarán las estancias temporales en España que sean consecuencia de las obligaciones contraídas en acuerdos de colaboración cultural o humanitaria, a título gratuito, con las Administraciones públicas españolas. b) Que radique en España el núcleo principal o la base de sus actividades o intereses económicos, de forma directa o indirecta. Se presumirá, salvo prueba en contrario, que el contribuyente tiene su residencia habitual en territorio español cuando, de acuerdo con los criterios anteriores, residan habitualmente en España el cónyuge no separado legalmente y los hijos menores de edad que dependan de aquél.»
Ley 41/1998, de 9 de diciembre, del Impuesto sobre la renta de no Residentes y Normas Tributarias «Artículo 10. Domicilio fiscal 1. Los contribuyentes no residentes en territorio español tendrán su domicilio fiscal, a efectos del cumplimiento de sus obligaciones tributarias, en España: a) Cuando operen en España a través de establecimiento permanente, en el lugar en que radique la efectiva gestión administrativa y la dirección de sus negocios en España. En el supuesto en que no pueda establecerse el lugar del domicilio fiscal de acuerdo con el criterio anterior, prevalecerá aquel en el que radique el mayor valor del inmovilizado.
190
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Se aplica también la Ley a aquellos prestadores de servicios que, sin ser residentes en España, presten servicios de la sociedad de la información a través de un establecimiento permanente situado en España. En este último caso, la sujeción a la Ley será únicamente parcial, respecto a aquellos servicios que se presten desde España. Elemento esencial de la Ley es el lugar de establecimiento del prestador de servicios, ya que de él depende el ámbito de aplicación no sólo de esta Ley, sino de todas las demás disposiciones del ordenamiento español que les sean de aplicación según la actividad a la que se dediquen. También el lugar de establecimiento determina la Ley y las autoridades competentes para el control de su cumplimiento, todo ello de acuerdo con el principio de la aplicación de la Ley del país de origen que inspira la Directiva del comercio electrónico. Sólo se permite restringir la libre prestación en España de servicios de la sociedad de la información procedentes de otros países pertenecientes al Espacio Económico Europeo 2 en los siguientes casos ya previstos en la Directiva: a) producción de un daño o peligro grave contra ciertos valores fundamentales como: 1) orden público 2) salud pública 3) protección de menores b) cuando afecten a algunas de las materias excluidas del principio de país de origen que la Ley concreta en su artículo 3, y se incumplan las disposiciones de la normativa española que, en su caso, resulte aplicable a las mismas. Cuando el prestador de servicios figure inscrito en un registro público, bien para adquisición de personalidad jurídica o bien sólo a efectos de publicidad, aquél deberá anotar el nombre o nombres de dominio que tenga en b) Cuando obtengan rentas derivadas de bienes inmuebles, en el domicilio fiscal del representante y, en su defecto, en el lugar de situación del inmueble correspondiente. c) En los restantes casos, en el domicilio fiscal del representante o, en su defecto, en el del responsable solidario. 2. Cuando no se hubiese designado representante, las notificaciones practicadas en el domicilio fiscal del responsable solidario tendrán el mismo valor y producirán iguales efectos que si se hubieran practicado directamente al contribuyente.» 2 El Espacio Económico Europeo comprende los países de la Unión Europea más los países de la AELC de los cuales Islandia, Noruega y Suiza no pertenecen a la U. E.
LA SOCIEDAD DE LA INFORMACIÓN CONTEMPLADA EN LA LSSI
191
Internet para garantizar que tanto los ciudadanos como la Administración pública conozcan de forma fácil la vinculación que existe entre: a) prestador de servicios, b) su establecimiento físico, c) su establecimiento o localización en la Red que proporciona la dirección en la Red. La Ley establece igualmente las obligaciones y responsabilidades de los prestadores de servicios que realicen las siguientes actividades de intermediación en la Red: a) b) c) d)
transmisión, copia, alojamiento, localización.
Las responsabilidades que pueden derivarse del incumplimiento de esta Ley, según los bienes jurídicos afectados y las normas que resulten aplicables, pueden ser del siguiente orden: a) administrativo, b) civil, c) penal. Con el fin de proteger los intereses de los destinatarios de los servicios a la hora de contratar un servicio o bien por Internet, se impone a los prestadores de servicios las siguientes obligaciones: a) facilitar el acceso a sus datos de identificación a cuantos visiten su sitio en Internet, b) informar a los destinatarios de los servicios sobre los precios que apliquen a sus servicios, c) permitir a los destinatarios de servicios visualizar, imprimir y archivar las condiciones generales a que se someta, en su caso, el contrato. En el caso de que la contratación se efectúe con consumidores, el prestador del servicio deberá además: d) guiar a los destinatarios de los servicios durante el proceso de contratación,
192
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
e) indicar a los destinatarios de los servicios los pasos que hay que dar, f) indicar a los destinatarios de los servicios la forma de corregir posibles errores en la introducción de datos, g) indicar a los destinatarios de los servicios la forma de confirmar la aceptación realizada una vez recibida, Respecto a las comunicaciones comerciales se obliga a que éstas deban identificarse como tales y prohíbe su envío por correo electrónico u otras vías de comunicación electrónica equivalentes, salvo que el destinatario haya prestado su consentimiento. La Ley, en su título, pone énfasis en el comercio electrónico y en ella se contempla la celebración de contratos por vía electrónica y, siguiendo el principio espiritualista que rige la perfección de los contratos en nuestro Derecho, favorece: a) la validez y eficacia del consentimiento prestado por vía electrónica, b) declarar que no es necesaria la admisión expresa de esta técnica para que el contrato surta efecto entre las partes, c) asegurar la equivalencia entre los documentos en soporte papel y los documentos electrónicos a efectos del cumplimiento del requisito de forma escrita que figura en diversas leyes. Se adopta una solución única, también válida para otros tipos de contratos celebrados a distancia, para fijar el momento y lugar de celebración de los contratos electrónicos unificando el criterio dispar contenido hasta ahora en los Códigos Civil 3 y de Comercio 4. Aun cuando ninguna de las partes tenga la condición de prestador o destinatario de servicios de la sociedad de la información les serán aplicables tanto las disposiciones contenidas en esta Ley sobre aspectos generales de la contratación electrónica como las relativas a la validez y eficacia de los contratos electrónicos o al momento de prestación del consentimiento. Se considera que los Códigos de Conducta son un instrumento de autorregulación especialmente apto para adaptar los diversos preceptos de la 3
Artículo 1.262 del Código Civil «El consentimiento se manifiesta por el concurso de la oferta y la aceptación sobre la cosa y la causa que han de constituir el contrato. La aceptación hecha por carta no obliga al que hizo la oferta sino desde que llegó a su conocimiento. El contrato, en tal caso, se presume celebrado en el lugar en que se hizo la oferta.» 4 Artículo 54 del Código de Comercio «Los contratos que se celebren por correspondencia quedarán perfeccionados desde que se conteste aceptando la propuesta o las condiciones con que ésta fuere modificada.»
LA SOCIEDAD DE LA INFORMACIÓN CONTEMPLADA EN LA LSSI
193
Ley a las características específicas de cada sector, por lo que se promueve la elaboración de códigos de conducta sobre las materias reguladas en la Ley. Dada la sencillez, rapidez y comodidad que representa para los usuarios el recurso al arbitraje y a los procedimientos alternativos de resolución de conflictos que puedan crearse mediante los códigos de conducta para dirimir las disputas que puedan surgir en la contratación electrónica y en el uso de los demás servicios de la sociedad de la información, se potencia la utilización de estos procedimientos. Igualmente se favorece el uso de medios electrónicos en la tramitación de dichos procedimientos, respetando, en su caso, las normas que sobre la utilización de dichos medios, establezca la normativa específica sobre arbitraje. Se regula la acción de cesación que podrá ejercitarse para hacer cesar la realización de conductas contrarias a la presente Ley que vulneren los intereses de los consumidores y usuarios; todo ello según lo dispuesto en las Directivas 2000/31/CE y del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior y 98/27/CE del Parlamento Europeo y del Consejo, de 19 de mayo de 1998, relativa a las acciones de cesación en materia de protección de los intereses de los consumidores. Para el ejercicio de la acción de cesación deberá tenerse en cuenta, además de lo dispuesto en esta Ley, lo establecido en la Ley 39/2002, de 28 de octubre de incorporación al ordenamiento jurídico español de las Directivas 98/27/CE5, 97/55/CE 6 y 98/7/CE 7. De acuerdo con lo indicado en la Directiva 2000/31/CE se establece un régimen proporcionado, pero eficaz, para disuadir a los prestadores de servicios de la sociedad de la información del incumplimiento de lo dispuesto en esta Ley. En la Ley se contemplan una serie de previsiones orientadas a hacer efectiva la accesibilidad de las personas con discapacidad a la información proporcionada por medios electrónicos y muy especialmente a la información suministrada por las Administraciones Públicas, compromiso al que se re5 Directiva 98/27/CE, de 19 de mayo, relativa a las acciones de cesación en materia de protección de los intereses de los consumidores. 6 Directiva 97/55/CE, de 6 de octubre, por la que se modifica la Directiva 84/450/CEE sobre la publicidad engañosa, a fin de incluir en la misma la publicidad comparativa. 7 Directiva 98/7/CE, de 16 de febrero, que modifica la Directiva 87/102/CEE, en lo referente al cálculo de la tasa anual equivalente.
194
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
fiere la resolución del Consejo de la Unión Europea de 25 de marzo de 2002, sobre accesibilidad de los sitios web públicos y de su contenido. La Ley, termina la Exposición de Motivos, ha sido elaborada siguiendo un amplio proceso de consulta pública y ha sido sometida al procedimiento de información en materia de normas y reglamentaciones técnicas previsto en la Directiva 98/34/CE del Parlamento Europeo y del Consejo, de 22 de junio de 1998, por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas y de las reglas relativas a los servicios de la sociedad de la información, modificada por la Directiva 98/48/CE del Parlamento Europeo y del Consejo, de 20 de julio de 1998, que modifica la Directiva 98/34/CE por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas, y en el Real Decreto 1337/1999, de 31 de julio.
15.2. DISPOSICIONES GENERALES El Título I de la Ley, Disposiciones generales, comprende dos Capítulos: el I referido al Objeto y el II al Ámbito de aplicación. El Capítulo I comprende el artículo 1.o titulado «Objeto» y el Capítulo II incluye cuatro artículos: artículo 2.o, «Prestadores de servicios establecidos en España»; artículo 3.o, «Prestadores de servicios establecidos en otro Estado miembro de la Unión Europea o del Espacio Económico Europeo»; artículo 4.o, «Prestadores establecidos en un Estado no perteneciente a la Unión Europea o al Espacio Económico Europeo»; y artículo 5.o, «Servicios excluidos del ámbito de aplicación de la Ley».
15.2.1. Objeto El objeto de la presente Ley es la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica en lo referente a: a) obligaciones de los prestadores de servicios incluidos los que actúan como intermediarios en la transmisión de contenidos por las redes de telecomunicaciones, b) las comunicaciones comerciales por vía electrónica, c) la información previa y posterior a la celebración de contratos electrónicos,
LA SOCIEDAD DE LA INFORMACIÓN CONTEMPLADA EN LA LSSI
195
d) las condiciones relativas a su validez y eficacia, e) el régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información (art. 1.1). Las disposiciones contenidas en esta Ley se entenderán sin perjuicio de lo dispuesto en otras normas estatales o autonómicas: a) ajenas al ámbito normativo coordinado b) que tengan como finalidad: 1) la protección de la salud, 2) la protección de la seguridad pública, 3) salvaguarda de la defensa nacional, 4) los intereses del consumidor, 5) el régimen tributario aplicable a los servicios de la sociedad de la información, 6) la protección de los datos personales, 7) la normativa reguladora de defensa de la competencia (art. 1.2).
15.2.2. Ámbito de aplicación La Ley se aplica a todas las actividades que se hagan por medios electrónicos y redes interactivas y que se considere que puedan tener un carácter comercial o persigan un fin económico. Se contemplan los siguientes casos: a) Prestadores de servicios establecidos en España (art. 2.1). b) Prestadores de servicios residentes o domiciliados fuera de España con establecimiento permanente en España (art. 2.2). c) Prestadores de servicios establecidos en otro Estado miembro de la Unión Europea o del Espacio Económico Europeo (art. 3). d) Prestadores de servicios establecidos en un Estado no perteneciente a la Unión Europea o al Espacio Económico Europeo (art. 4). Prestadores de servicios establecidos en España Se aplicará la Ley a los prestadores de servicios de la sociedad de la información establecidos en España y a los servicios prestados por ellos. Se considerará que un prestador de servicios está establecido en España cuando su residencia o domicilio social se encuentren en territorio español,
196
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
siempre que éstos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios. En otro caso, se atenderá al lugar en que se realice dicha gestión o dirección. Prestadores de servicios residentes o domiciliados fuera de España En este caso se les aplicará la Ley si los servicios de la sociedad de la información los ofrecen a través de un establecimiento permanente situado en España. Se entiende que un prestador opera mediante un establecimiento permanente situado en territorio español cuando disponga en el mismo, de forma continuada o habitual, de instalaciones o lugares de trabajo en los que realice toda o parte de la actividad. Presunción de establecimiento Se presumirá que el prestador de servicios está establecido en España cuando el prestador o alguna de sus sucursales se haya inscrito en el Registro Mercantil o en otro registro público español en el que fuera necesaria la inscripción para la adquisición de la personalidad jurídica. No servirá como criterio para determinar, por sí solo, el establecimiento en España del prestador la utilización de medios tecnológicos situados en España, para la prestación o el acceso al servicio. Sometimiento normativo Los prestadores de servicios de la sociedad de la información establecidos en España estarán sujetos a las demás disposiciones del ordenamiento jurídico español que les sean de aplicación, en función de la actividad que desarrollen, con independencia de la utilización de medios electrónicos para su realización. Prestadores de servicios establecidos en otro Estado miembro de la Unión Europea o del Espacio Económico Europeo Respetando lo dispuesto en los artículos 7.1 (principio de libre prestación de servicios) y 8 (restricción a la prestación de servicios), esta Ley se aplicará a los prestadores de servicios de la sociedad de la información estable-
LA SOCIEDAD DE LA INFORMACIÓN CONTEMPLADA EN LA LSSI
197
cidos en otro Estado miembro de la Unión Europea o del Espacio Económico Europeo cuando el destinatario de los servicios radique en España y los servicios afecten a las materias siguientes: a) Derechos de propiedad intelectual o industrial. b) Emisión de publicidad por instituciones de inversión colectiva. c) Actividad de seguro directo realizada en régimen de derecho de establecimiento o en régimen de libre prestación de servicios. d) Obligaciones nacidas de los contratos celebrados por personas físicas que tengan condición de consumidores. e) Régimen de elección por las partes contratantes de la legislación aplicable a su contrato. f) Licitud de las comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente no solicitadas. Los prestadores de servicios a los que se refiere este apartado quedarán sometidos a las normas del ordenamiento jurídico español que regulen las materias anteriormente descritas. La constitución, transmisión, modificación y extinción de derechos reales sobre bienes inmuebles sitos en España se sujetará a los requisitos formales de validez y eficacia establecidos en el ordenamiento jurídico español. No será aplicable todo lo anterior a los supuestos en que, de conformidad con las normas reguladoras de las materias anteriormente descritas, no fuera de aplicación la Ley del país en que resida o esté establecido el destinatario del servicio. Prestadores establecidos en un Estado no perteneciente a la Unión Europea o al Espacio Económico Europeo A estos prestadores de servicios les será de aplicación lo dispuesto en los artículos 7.2 (aplicación de los acuerdos internacionales) y 8 (restricciones a la prestación de servicios). Los prestadores que dirijan sus servicios específicamente al territorio español quedarán sujetos a las obligaciones previstas en esta Ley, siempre que ello no contravenga lo establecido en tratados o convenios que sean aplicables. Exclusión del ámbito de aplicación Se regirán por su normativa específica las siguientes actividades y servicios:
198
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
a) los servicios prestados por notarios y registradores de la propiedad y mercantiles en el ejercicio de sus respectivas funciones públicas, b) los servicios prestados por abogados y procuradores en el ejercicio de sus funciones de representación y defensa en juicio. La presente Ley, con excepción de lo establecido en el artículo 7.1 (principio de libre prestación de servicios), se aplicará a los servicios de la sociedad de la información relativos a juegos de azar que impliquen apuestas de valor económico, sin perjuicio de lo establecido en su legislación específica estatal o autonómica.
15.3. PRESTACIÓN DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Uno de los problemas más importantes que se planteaba a la hora de regular la prestación de servicios de la sociedad de la información era cómo evitar que los Estados miembros estableciesen trabas a la prestación de servicios bien de orden administrativo o de cualquier otro tipo. Para ello, en la Ley se dice de forma clara y rotunda (artículo 6) que la prestación de servicios de la sociedad de la información no estará sujeta a autorización previa. Se excluyen de esta libertad de prestación de servicios aquellos regímenes de autorización previstos en el ordenamiento jurídico que no tengan por objeto específico y exclusivo la prestación por vía electrónica de los correspondientes servicios.
15.3.1. Principio de libre prestación de servicios Los servicios de la sociedad de la información no necesitarán autorización previa y se prestarán con sujeción al principio de libre prestación de servicios. Se contemplan los siguientes casos: a) Prestadores de servicios establecidos en algún Estado miembro de la Unión Europea. La prestación se realizará en régimen de libre prestación de servicios, sin que pueda establecerse ningún tipo de restricciones a los mismos
LA SOCIEDAD DE LA INFORMACIÓN CONTEMPLADA EN LA LSSI
199
por razones derivadas del ámbito normativo coordinado, excepto en los supuestos previstos en los artículos 3 y 8. b) Prestadores de servicios establecidos en Estados no miembros del Espacio Económico Europeo. En este caso se estará a lo que se diga en los acuerdos internacionales que resulten de aplicación.
15.3.2. Restricciones a la prestación de servicios En el artículo 8 se enumeran las medidas de restricción que se pueden adoptar. Los órganos competentes previstos para la protección de los principios que vienen a continuación, en el ejercicio de las funciones que legalmente tengan atribuidas, podrán adoptar las medidas necesarias para la interrupción de la prestación de un servicio o para la retirada de los datos que vulneran dichos principios. Los principios aludidos son los siguientes: a) La salvaguarda de: 1) el orden público, 2) la investigación penal, 3) la seguridad pública, 4) la defensa nacional. b) La protección de la salud pública o de las personas físicas que tengan la condición de consumidores o usuarios, incluso cuando actúen como inversores. c) El respeto a la dignidad de la persona y al principio de no discriminación por motivos de raza, sexo, religión, opinión, nacionalidad, discapacidad o cualquier otra circunstancia personal o social. d) La protección de la juventud y de la infancia. En cualquier caso, se respetarán las garantías, normas y procedimientos previstos en el ordenamiento jurídico para proteger, cuando pudieran resultar afectados, los siguientes derechos: a) b) c) d)
a la intimidad personal y familiar, a la protección de los datos personales, a la libertad de expresión, a la libertad de información.
200
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Sólo la autoridad judicial competente podrá adoptar las anteriores medidas cuando sea atribuida competencia a los órganos jurisdiccionales para intervenir en el ejercicio de actividades o derechos por: a) la Constitución, b) las normas reguladoras de los respectivos derechos y libertades, c) las que resulten aplicables a las diferentes materias. Cuando el órgano competente estimara que para garantizar la efectividad de la resolución que acuerde la interrupción de la prestación de un servicio o la retirada de datos procedentes de un prestador establecido en otro Estado, fuese necesario impedir el acceso desde España a los mismos, podrá ordenar a los prestadores de servicios intermediarios establecidos en España que tomen las medidas necesarias para impedir dicho acceso, bien directamente o mediante solicitud motivada al Ministerio de Ciencia y Tecnología. Cuando los datos que deban retirarse o el servicio que deba interrumpirse procedan de un prestador establecido en España, éste deberá colaborar en la medida adoptada (art. 11). Las medidas de restricción más arriba enumeradas deberán ser: a) objetivas, b) proporcionadas, c) no discriminatorias. Dichas medidas se adoptarán de forma cautelar o en ejecución de las resoluciones que se dicten, según los procedimientos administrativos legalmente establecidos o a los previstos en la legislación procesal que corresponda. El procedimiento a seguir, fuera del ámbito de los procesos judiciales, cuando se establezcan restricciones que afecten a un servicio de la sociedad de la información que proceda de alguno de los Estados miembros de la Unión Europea o del Espacio Económico Europeo distinto de España, es el siguiente: a) Trámite ordinario. El órgano competente requerirá al Estado miembro en que esté establecido el prestador afectado para que adopte las medidas oportunas. Si no las adopta o resultan insuficientes, dicho órgano notificará, con carácter previo, las medidas que tiene intención de adoptar a la Comisión Europea o, en su caso, al Comité Mixto del Espacio Económico Europeo y al Estado miembro de que se trate.
LA SOCIEDAD DE LA INFORMACIÓN CONTEMPLADA EN LA LSSI
201
b) Trámite de urgencia. El órgano competente podrá adoptar las medidas oportunas con la condición de que en el plazo de quince días de su adopción se lo notifique indicando la causa de dicha urgencia a la Comisión Europea o, en su caso, al Comité Mixto del Espacio Económico Europeo y al Estado miembro de que se trate.
15.4. CUESTIONES 15.4.00. 15.4.01. 15.4.02. 15.4.03. 15.4.04. 15.4.05. 15.4.06. 15.4.07. 15.4.08. 15.4.09.
¿Cuál es el objeto de la LSSI? ¿Qué ventajas ofrecen las redes de telecomunicaciones? ¿Cuál es el ámbito de aplicación de la Ley? ¿Cuál es la presunción de establecimiento? ¿Qué régimen se aplica a los prestadores de servicios establecidos en un Estado no perteneciente a la Unión Europea o al Espacio Económico Europeo? ¿Qué actividades o servicios se regirán por su normativa específica? ¿Cuál es uno de los problemas más importantes a la hora de regular la prestación de servicios en la sociedad de la información? ¿Qué principio rige para la prestación de servicios en la sociedad de la información? ¿Qué derechos pueden verse afectados a la hora de aplicar medidas de restricción a la prestación de servicios? ¿Cómo deben ser las medidas de restricción aplicadas?
16 Obligaciones y responsabilidades de los prestadores de servicios de la sociedad de la información «La actual revolución electrónica en lo que hace al dinero promete incrementar, incluso más, el papel del dinero en nuestras vidas públicas y privadas, sobrepasando al parentesco, la religión, los oficios y la ciudadanía como elementos definitorios de la vida social. Nos hallamos en los albores de la era del dinero.» (La historia del dinero, Jack Weatherford)
16.1. OBLIGACIONES La Ley regula aquellos aspectos que no estaban contemplados en las normas existentes y que son propios de Internet. Las obligaciones de los prestadores de servicios de la sociedad de la información se concretan en las siguientes: 1) Constancia registral del nombre de dominio (art. 9). 2) Deber de información pública de sus datos (art. 10). 203
204
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
3) Deber de colaboración en el caso de los prestadores de servicios de intermediación (art. 11). 4) Deber de retención de datos de tráfico relativos a las comunicaciones electrónicas (art. 12).
16.1.1. Constancia registral del nombre de dominio El nombre de dominio para Carbajo Gascón 1 «a priori no es más que un expediente técnico mnemotécnico dentro de un sistema de comunicación telemático como es el Domain Name System». Se trata de una dirección electrónica alfanumérica que hace posible la comunicación entre distintos equipos informáticos conectados a la Red. Como dice este autor, el nombre de dominio cobra especial relevancia jurídica en el nuevo espacio virtual que se desarrolla en Internet. Posibles usos del nombre de dominio son: a) funciones de nombre civil (patronímico, seudónimo o denominación social); b) funciones de marca, denominación de origen o de indicación de procedencias; c) funciones de nombre comercial; d) funciones de título de obra. En definitiva, el nombre de dominio es la dirección en Internet donde se puede encontrar al titular del mismo, de ahí la importancia que tiene el conocimiento y la publicidad de ese dato. En el caso de los prestadores de servicios de la sociedad de la información establecidos en España, ese dato deberán comunicarlo al Registro Mercantil en el que se encuentren inscritos o a aquel otro registro público en el que lo estuvieran, bien para la adquisición de la personalidad jurídica o bien aunque sólo sea a efectos de publicidad. Deberá comunicar un nombre de dominio o dirección de Internet que, en su caso, utilice para su identificación en la Red: de igual modo deberá comunicar cualquier acto de sustitución o cancelación del mismo. Todo ello salvo que dicha información ya constase en el correspondiente registro (art. 9.1). 1 Fernando Carbajo Gascón. Conflictos entre Signos Distintivos y Nombres de Dominio en Internet. Aranzadi. Elcano (Navarra), 1999, pág. 44 y ss.
OBLIGACIONES Y RESPONSABILIDADES DE LOS PRESTADORES…
205
Cada registro hará constar los nombres de dominio, su sustitución y su cancelación, en su caso, de acuerdo con sus normas reguladoras. Las anotaciones que figuren en los Registros Mercantiles se comunicarán inmediatamente al Registro Mercantil Central para su inclusión entre los datos que son objeto de publicidad informativa (art. 9.2). El plazo para cumplir con la obligación de comunicación del nombre de dominio al Registro que corresponda será de un mes a partir de la fecha de obtención, sustitución o cancelación del correspondiente nombre de dominio o dirección de Internet (art. 9.3). El problema que se presenta es a qué Registro deben comunicar su nombre de dominio o dirección de Internet aquellos prestadores de servicio que, por su actividad, no tengan que inscribirse en ningún registro. En la fecha en que se escriben estas líneas, y a falta de un desarrollo reglamentario de la Ley, según aclaraciones del Ministerio de Ciencia y Tecnología a consultas realizadas por la Asociación de Usuarios de Internet, la obligación de inscribir sólo afecta a aquellas personas físicas o jurídicas que ya estuvieran inscritas en el Registro Mercantil o en cualquier otro registro público antes de la entrada de la Ley o, en su defecto, a aquellos que, en lo sucesivo, deban realizar este trámite de forma obligatoria para adquirir personalidad jurídica o iniciar legalmente sus actividades. Así, tanto autónomos no titulados como usuarios de Internet que dispongan de una página web o cualquier otra entidad que no necesiten ningún tipo de inscripción en registros para ejercer sus actividades comerciales, tampoco tendrán que cumplir esta obligación si se dedican a la prestación de servicios en Internet. Esto, por supuesto, no les exime de las demás obligaciones establecidas en la Ley.
16.1.2. Información general El prestador de servicios de la sociedad de la información, con independencia de la obligación que tiene de cumplir con los requisitos que en materia de información se establecen en la normativa vigente, estará obligado a disponer de los medios que permitan: a) a los destinatarios de los servicios, b) a los órganos competentes. acceder por medios electrónicos a la información que más abajo se indica de forma:
206
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
a) b) c) d)
permanente, fácil, directa, gratuita.
Se refuerzan las garantías respecto a la información y transparencia en las comunicaciones que se establezcan a través de Internet. Los prestadores de servicios de la sociedad de la información tendrán que mostrar en lugar visible de sus páginas web algunos datos básicos y los precios de los productos que ofrezcan de forma que los usuarios sepan en todo momento con quién están contratando. Dicha información es la siguiente (art. 10.1): a) Datos identificativos: • nombre o denominación social; • residencia o domicilio o, en su defecto, la dirección de uno de sus establecimientos permanentes en España; • dirección de correo electrónico; • cualquier otro dato que permita establecer con él una comunicación directa y efectiva. b) Los datos de su inscripción en el Registro correspondiente. c) En el caso de que su actividad estuviese sujeta a un régimen de autorización administrativa previa: • datos relativos a dicha autorización; • datos identificativos del órgano competente encargado de su supervisión. d) Si ejerce una profesión regulada deberá indicar: 1.o Los datos del Colegio profesional al que, en su caso, pertenezca y número de colegiado. 2.o El título académico oficial o profesional con el que cuente. 3.o El Estado de la Unión Europea o del Espacio Económico Europeo en que se expidió dicho título y, en su caso, la correspondiente homologación o reconocimiento. 4.o Las normas profesionales aplicables al ejercicio de su profesión y los medios a través de los cuales se puedan conocer, incluidos los electrónicos.
OBLIGACIONES Y RESPONSABILIDADES DE LOS PRESTADORES…
207
e) El número de identificación fiscal que le corresponda. f) Información clara y exacta sobre el precio del producto o servicio, indicando si incluye o no los impuestos aplicables y, en su caso, sobre los gastos de envío. g) Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos electrónicamente. Se considera que está cumplida la obligación de informar si el prestador incluye la información más arriba descrita en su página o sitio de Internet (art. 10.2).
16.1.3. Deber de colaboración de los prestadores de servicios de intermediación La ayuda de los prestadores de servicios de intermediación es vital en determinadas circunstancias para la persecución de un delito o para la averiguación del origen de contenidos ilícitos. Por ello, en el artículo 11 se dice que cuando por un órgano competente se hubiera ordenado la interrupción de un servicio de la sociedad de la información o la retirada de determinados contenidos provenientes de prestadores establecidos en España, y para ello fuese precisa la colaboración de los prestadores de servicios de intermediación, podrá ordenar a éstos bien directamente o bien mediante solicitud motivada al Ministerio de Ciencia y Tecnología, que suspendan: a) b) c) d)
la transmisión de datos, el alojamiento de datos, el acceso a las redes de telecomunicaciones, la prestación de cualquier otro servicio de intermediación que vengan realizando.
En cualquier caso, se deberán respetar las garantías, normas y procedimientos previstos en el ordenamiento jurídico para proteger los derechos que vienen a continuación cuando exista el riesgo de que fueran afectados: a) b) c) d)
la intimidad personal y familiar, la protección de los datos personales, la libertad de expresión, la libertad de información.
208
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Sólo la autoridad judicial competente podrá adoptar estas medidas en los casos en que la Constitución, las normas reguladoras de los respectivos derechos y libertades, o las que resulten aplicables a las diferentes materias atribuyan a los órganos jurisdiccionales competencia para intervenir en el ejercicio de actividades o derechos. Las medidas se adoptarán en forma cautelar o en ejecución de las resoluciones que se dicten conforme a los procedimientos administrativos legalmente establecidos o a los previstos en la legislación procesal que corresponda y deberán ser: a) objetivas, b) proporcionadas, c) no discriminatorias.
16.1.4. Deber de retención de datos de tráfico relativos a las comunicaciones electrónicas En el punto anterior hemos analizado la importancia que tiene la colaboración del prestador de servicios de intermediación de cara al futuro respecto a la suspensión de la transmisión de datos, al alojamiento de datos, al acceso de redes de telecomunicaciones o a la prestación de cualquier otro servicio equivalente de intermediación para la persecución de cualquier delito que se pueda producir en la Red. En el artículo 12 se contempla la necesidad de guardar determinados datos de las conexiones y tráfico generados durante un plazo determinado a fin igualmente de poder determinar y seguir la pista a los culpables de los hechos ilícitos que se puedan cometer. Están obligados a cumplir con este deber: a) los operadores de redes y servicios de comunicaciones electrónicas, b) los proveedores de acceso a redes de telecomunicaciones, c) los prestadores de servicios de alojamiento de datos. Todos ellos deberán guardar los datos de conexión y tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información por un período máximo de doce meses, en los términos establecidos en este artículo y en su normativa de desarrollo. Los operadores de redes y servicios de comunicaciones electrónicas y los proveedores de acceso a redes de telecomunicaciones sólo deberán conservar
OBLIGACIONES Y RESPONSABILIDADES DE LOS PRESTADORES…
209
los datos necesarios para facilitar la localización del equipo terminal empleado por el usuario para la transmisión de la información. Los prestadores de servicios de alojamiento de datos deberán retener sólo la información imprescindible para identificar los datos alojados y el momento en que se inició la prestación del servicio. Todo ello en ningún caso podrá afectar al secreto de las comunicaciones. No se podrán utilizar los datos retenidos para fines distintos de los que a continuación se exponen u otros que estén permitidos por la Ley, y se deberán adoptar las medidas de seguridad que sean apropiadas para evitar su pérdida o alteración y el acceso no autorizado a los mismos. Los datos estarán a disposición de los Jueces o Tribunales o del Ministerio Fiscal cuando así lo requieran, y se conservarán para su utilización en: a) el marco de una investigación criminal, b) salvaguardia de la seguridad pública y la defensa nacional. La comunicación de estos datos a las Fuerzas y Cuerpos de Seguridad se hará con sujeción a lo dispuesto en la normativa sobre protección de datos personales. Por vía reglamentaria se determinarán: a) las categorías de datos que deberán conservarse según el tipo de servicio prestado; b) el plazo durante el que deberán retenerse en cada caso dentro del máximo previsto en este artículo; c) las condiciones en que deberán almacenarse, tratarse y custodiarse; d) la forma en que, en su caso, deberán entregarse a los órganos autorizados para su solicitud y destruirse, transcurrido el plazo de retención que proceda, salvo que fueran necesarios para éstos u otros fines previstos en la Ley.
16.2. RÉGIMEN DE RESPONSABILIDADES Queda garantizada la seguridad jurídica de los prestadores de servicios respecto a los contenidos que circulan por Internet, sobre los que no tendrán que realizar ninguna actividad de supervisión o control. No obstante, deberán colaborar para poner fin a actividades delictuosas en la Red en cuanto tengan conocimiento de ellas. Las responsabilidades que se contemplan en la Ley son las siguientes:
210
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
a) Responsabilidad de carácter general de los prestadores de los servicios de la sociedad de la información (art. 13). b) Responsabilidad de los operadores de redes y proveedores de acceso (art. 14). c) Responsabilidad de los prestadores de servicios que realizan copia temporal de los datos solicitados por los usuarios (art. 15). d) Responsabilidad de los prestadores de servicios de alojamiento o almacenamiento de datos (art. 16). e) Responsabilidad de los prestadores de servicios que faciliten enlaces a contenidos o instrumentos de búsqueda.
16.2.1. Responsabilidad de carácter general de los prestadores de los servicios de la sociedad de la información Los prestadores de servicios de la sociedad de la información, sin perjuicio de lo dispuesto en esta Ley, están sujetos a las responsabilidades que después se indican establecidas con carácter general en el ordenamiento jurídico: a) responsabilidad civil, b) responsabilidad penal, c) responsabilidad administrativa. En los artículos 14 a 17 de la Ley se determina la responsabilidad de los prestadores de servicios por el ejercicio de actividades de intermediación (art. 13).
16.2.2. Responsabilidad de los operadores de redes y proveedores de acceso Los servicios de intermediación a los efectos del artículo 14 de la Ley consisten en: a) transmitir por una red de telecomunicaciones datos facilitados por el destinatario del servicio, b) facilitar el acceso a ésta.
OBLIGACIONES Y RESPONSABILIDADES DE LOS PRESTADORES…
211
Los operadores de redes de telecomunicaciones y proveedores de acceso a una red de telecomunicaciones que presten un servicio de intermediación de estas características no serán responsables por la información transmitida salvo en los siguientes casos: a) b) c) d)
que ellos mismos hayan originado la transmisión, que ellos mismos hayan modificado los datos, que hayan seleccionado los datos, que hayan seleccionado a los destinatarios de los datos.
No se entiende que exista una modificación de los datos cuando lo que se realice sea la manipulación estrictamente técnica de los archivos que alberguen los datos que tiene lugar durante su transmisión. Las actividades de transmisión y provisión de acceso incluyen el almacenamiento automático, provisional y transitorio de los datos siempre que se den las siguientes condiciones: a) sirva exclusivamente para permitir su transmisión por la red de telecomunicaciones, b) su duración no supere el tiempo razonablemente necesario para ello (art. 14).
16.2.3. Responsabilidad de los prestadores de servicios que realizan copia temporal de los datos solicitados por los usuarios Según el artículo 15, los prestadores de un servicio de intermediación que transmitan por una red de telecomunicaciones datos facilitados por un destinatario del servicio y los almacenen en sus sistemas de forma automática, provisional y temporal con la única finalidad de hacer más eficaz su transmisión ulterior a otros destinatarios que los soliciten no serán responsables por el contenido de los datos ni por la reproducción temporal de los mismos si: a) no modifican la información; b) permiten el acceso a ella sólo a los destinatarios que cumplan las condiciones impuestas a tal fin por el destinatario cuya información se solicita;
212
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
c) respetan las normas generalmente aceptadas y aplicadas por el sector para la actualización de la información; d) no interfieren en la utilización lícita de tecnología generalmente aceptada y empleada por el sector, con el fin de obtener datos sobre la utilización de la información y e) retiran la información que hayan almacenado o hacen imposible el acceso a ella, en cuanto tengan conocimiento efectivo de: 1.o que ha sido retirada del lugar de la red en que se encontraba inicialmente, 2.o que se ha imposibilitado el acceso a ella, o 3.o que un tribunal u órgano administrativo competente ha ordenado retirarla o impedir que se acceda a ella (art. 15).
16.2.4. Responsabilidad de los prestadores de servicios de alojamiento o almacenamiento de datos La intermediación a los efectos del artículo 16 de la Ley consiste en albergar datos proporcionados por el destinatario de este servicio de la sociedad de la información. Los prestadores de un servicio de intermediación de estas características no serán responsables por la información almacenada a petición del destinatario en los siguientes casos: a) Cuando no tengan conocimiento efectivo de: — que la actividad o la información almacenada es ilícita o — que lesiona bienes o derechos de un tercero susceptibles de indemnización. b) Si tienen conocimiento efectivo cuando actúan con diligencia para retirar los datos o hacer imposible el acceso a ellos. El conocimiento efectivo se entiende cuando el prestador de servicios tuviera conocimiento de la resolución de un órgano competente que haya: a) declarado la ilicitud de los datos, b) ordenado su retirada,
OBLIGACIONES Y RESPONSABILIDADES DE LOS PRESTADORES…
213
c) que se imposibilite el acceso a los mismos o d) se hubiera declarado la existencia de la lesión. Todo ello sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse (art. 16.1). Cuando el destinatario del servicio de intermediación actúe bajo la dirección, autoridad o control de su prestador de servicios no tendrá efecto la exención de responsabilidad a que nos venimos refiriendo (art. 16.2).
16.2.5. Responsabilidad de los prestadores de servicios que faciliten enlaces a contenidos o instrumentos de búsqueda Se exime de responsabilidad, siempre que cumplan las condiciones que más abajo se indican, a los prestadores de sociedad de la información que: a) faciliten enlaces a otros contenidos o b) incluyan en los suyos directorios o instrumentos de búsqueda de contenidos. Condiciones que deben cumplir para tener derecho a la exención de responsabilidad: a) no tengan conocimiento efectivo de que la actividad o la información a la que remiten o recomiendan es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización o b) si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace correspondiente. El conocimiento efectivo se presume cuando el prestador conociera la resolución de un órgano competente declarando la ilicitud de los datos, ordenando su retirada o que se imposibilite el acceso o declarando la existencia de la lesión. No se excluyen otros medios de conocimiento efectivo que pudieran establecerse. En el caso de que el destinatario del servicio actúe bajo la dirección, autoridad o control del prestador del servicio que facilite la localización de esos contenidos la exención de responsabilidad no operará (art. 17).
214
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
16.3. CÓDIGOS DE CONDUCTA En un capítulo anterior, al hablar de los códigos de conducta, decíamos que eran acuerdos sectoriales, comerciales, profesionales y de consumidores en los que se establecen las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en los servicios, así como las garantías, en su ámbito, para el ejercicio de los derechos de las personas. La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal en su artículo 32, apartado 3 dice: «Los códigos tipo tendrán el carácter de códigos deontológicos o de buena práctica profesional…». El Capítulo III de la LSSI está dedicado en su artículo único, el 18, a los códigos de conducta. Es deseable la existencia de códigos de conducta que acerquen más la Ley a los diferentes colectivos; por ello, las Administraciones Públicas, especialmente la Administración General del Estado en el ámbito internacional y comunitario, serán las impulsoras de su elaboración por parte de las corporaciones, asociaciones u organizaciones comerciales, profesionales y de consumidores. Los códigos de conducta podrán tratar, entre otras materias, de: a) procedimientos para la detección y retirada de contenidos ilícitos, b) protección de los destinatarios frente al envío por vía electrónica de comunicaciones comerciales no solicitadas, c) procedimientos extrajudiciales para la resolución de los conflictos que surjan por la prestación de los servicios de la sociedad de la información. La participación tanto de las asociaciones de consumidores y usuarios como de las organizaciones representativas de personas con discapacidades físicas o psíquicas debe quedar garantizada en cuanto los códigos de conducta afecten a sus respectivos intereses. Asimismo, cuando su contenido pueda afectarles, se tendrá en cuenta la protección de los menores y de la dignidad humana, pudiendo, si fuese necesario, elaborar códigos específicos sobre estas materias. El establecimiento de criterios comunes acordados por la industria para la clasificación y etiquetado de contenidos es deseable, por lo que los poderes públicos estimularán su creación así como la adhesión a los mismos de los prestadores de servicios.
OBLIGACIONES Y RESPONSABILIDADES DE LOS PRESTADORES…
215
Para su mayor difusión, los códigos de conducta deberán ser traducidos a otras lenguas oficiales de la Comunidad Europea, y asimismo ser accesibles por vía electrónica.
16.4. CUESTIONES 16.4.00. ¿Cuáles son las obligaciones de los prestadores de servicios de la sociedad de la información? 16.4.01. Funciones del dominio. 16.4.02. ¿Qué información debe facilitar el prestador de servicios de la sociedad de la información? 16.4.03. ¿En qué consiste el deber de colaboración de los prestadores de servicios de intermediación? 16.4.04. ¿En qué consiste el deber de retención de datos de tráfico relativos a las comunicaciones electrónicas? 16.4.05. ¿Qué régimen de responsabilidad se contempla en la LSSI? 16.4.06. ¿Qué es necesario para que se exima de responsabilidad a un operador de red y proveedor de acceso? 16.4.07. ¿Qué condiciones se deben cumplir para que se exima de responsabilidad a los prestadores de servicios que realizan una copia temporal de los datos solicitados por los usuarios? 16.4.08. ¿En qué casos se exime de responsabilidad a los prestadores de servicios de alojamiento o almacenamiento de datos? 16.4.09. ¿Qué es un código de conducta?
17 Comercio electrónico en la Ley «Ahora el mundo avanza según el tiempo que marca Internet.» (Andy Grove)
17.1. GENERALIDADES Entendemos que el comercio electrónico en la Ley se contempla en dos Títulos: el III y el IV. El primero, dedicado a las comunicaciones comerciales por vía electrónica, tiene cuatro artículos y refuerza la protección de los usuarios frente al envío de publicidad no solicitada por correo electrónico (spam), exigiéndose el consentimiento previo del destinatario para que pueda efectuarse el envío. El artículo 19 contiene la normativa aplicable y hace especial hincapié en la protección de los datos de carácter personal, remitiendo a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Así, los usuarios gozarán de los derechos de protección que figuran en esta Ley: derechos de acceso, rectificación, cancelación y oposición. El artículo 20 está referido a la información exigida sobre las comunicaciones comerciales, ofertas promocionales y concursos. La prohibición de comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes se contempla en el artículo 21. En el artículo 22 se incluyen los derechos de los destinatarios de comunicaciones comerciales. El Título IV está dedicado específicamente a la contratación por vía electrónica y tiene siete artículos. 217
218
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Se garantiza la plena validez de los contratos celebrados por esta vía, equiparando la forma electrónica a la forma escrita. Se clarifica también el momento en que entra en vigor la validez del contrato electrónico unificando los criterios, hasta ahora dispares, entre el Código Civil y el Código de Comercio. Para favorecer la confianza de los usuarios en el sistema en aquellos en los que intervenga un consumidor, se entenderán celebrados en el lugar de residencia de éste. El artículo 23 regula la validez y eficacia de los contratos celebrados por vía electrónica. Un tema fundamental como es la prueba de los contratos celebrados por vía electrónica se ve en el artículo 24. El artículo 25 contempla la intervención de terceros de confianza, dedicándose el artículo 26 a la ley aplicable a los contratos electrónicos. En el artículo 27 se especifican las obligaciones previas al inicio del procedimiento de contratación, indicándose en el artículo 28 la información posterior a la celebración del contrato. Por último, el artículo 29 establece algo tan importante como el lugar de celebración del contrato.
17.2. COMUNICACIONES COMERCIALES POR VÍA ELECTRÓNICA El régimen jurídico por el que se regirán las comunicaciones comerciales y las ofertas promocionales (art. 19) es: a) b) c) d)
la presente Ley, su normativa propia, normativa vigente en materia comercial y de publicidad, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su normativa de desarrollo.
En este último caso, en especial, se tendrá en cuenta en lo que se refiere a la obtención de datos personales: a) la información a los interesados, b) la creación y mantenimiento de ficheros de datos personales.
COMERCIO ELECTRÓNICO EN LA LEY
219
Las comunicaciones comerciales realizadas por vía electrónica deberán (art. 20.1): a) ser claramente identificables como tales, b) indicar la persona física o jurídica en nombre de la cual se realizan, c) incluir la palabra «publicidad» cuando tengan lugar a través de correo electrónico u otro medio de comunicación electrónica equivalente. Cuando se trate de ofertas promocionales: 1. descuentos, 2. premios y regalos, 3. concursos o juegos promocionales, además de contar con la correspondiente autorización previa deberán (art. 20.2): a) cumplir los requisitos del artículo 20.1 que más arriba figuran, b) cumplir los requisitos que figuran en las normas de ordenación del comercio, c) quedar claramente identificados como tales, d) expresar de forma clara e inequívoca las condiciones de acceso y, en su caso, de participación. Las comunicaciones publicitarias o promocionales enviadas por correo electrónico u otro medio de comunicación electrónica equivalente que no hubieran sido previamente solicitadas o expresamente autorizadas por los destinatarios de las mismas quedan prohibidas (art. 21). Si un prestador de servicios quisiera utilizar la dirección de correo electrónico facilitada por un destinatario de servicios durante un proceso de contratación o de suscripción de servicios para el envío de comunicaciones comerciales, deberá, antes de finalizar el procedimiento de contratación: a) poner en conocimiento de su cliente esa intención y b) solicitar su consentimiento para la recepción de comunicaciones comerciales. Dicho consentimiento podrá ser revocado por el destinatario en cualquier momento, con la simple notificación de su voluntad al remitente (art. 22).
220
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Para ello, los prestadores de servicios deberán: a) habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento prestado, b) facilitar información sobre dichos procedimientos accesible por medios electrónicos.
17.3. CONTRATACIÓN POR VÍA ELECTRÓNICA De nada valdría efectuar contratos por medios electrónicos si no está prevista su validez y eficacia de forma parecida a como sucede con los contratos efectuados por medios tradicionales.
Validez y eficacia de los contratos celebrados por vía electrónica Según el artículo 23, dichos contratos producirán todos los efectos previstos por el ordenamiento jurídico cuando concurran el consentimiento y los demás requisitos necesarios para su validez 1. Los contratos electrónicos se regirán por lo dispuesto en: a) b) c) d) e) f)
Este Título, Código Civil, Código de Comercio, Restantes normas civiles y mercantiles sobre contratos, Normas de protección de los consumidores, Normas de ordenación de la actividad comercial.
No será necesario el previo acuerdo de las partes sobre la utilización de medios electrónicos para que sea válida la celebración de contratos por vía electrónica (art. 23.2). 1 Código Civil. Artículo 1.261: «No hay contrato sino cuando concurren los requisitos siguientes: 1. Consentimiento de los contratantes. 2. Objeto cierto que sea materia del contrato. 3. Causa de la obligación que se establezca.» Artículo 1.278: «Los contratos serán obligatorios, cualquiera que sea la forma en que se hayan celebrado, siempre que en ellos concurran las condiciones esenciales para su validez.»
COMERCIO ELECTRÓNICO EN LA LEY
221
Todo contrato o información contenida en un soporte electrónico se considera que cumple el requisito de que conste por escrito cuando así lo exige la Ley (art. 23.3). Lo dispuesto en el presente Título de la Ley no será de aplicación a los contratos relativos al Derecho de familia y sucesiones (art. 23.4). Se regirán por su legislación específica aquellos contratos o actos jurídicos: a) en los que la Ley determine para su validez o para la producción de determinados efectos la forma documental pública, b) que requieran por Ley la intervención de: 1. 2. 3. 4.
órganos jurisdiccionales o notarios o registradores de la propiedad y mercantiles o autoridades públicas.
Prueba de los contratos celebrados por vía electrónica Según el artículo 24 la prueba de la celebración de un contrato por vía electrónica y la de las obligaciones que tienen su origen en él se regirán por: a) las reglas generales del ordenamiento jurídico, b) lo establecido en la legislación sobre firma electrónica 2. El soporte electrónico en el que conste un contrato celebrado por vía electrónica deberá ser admitido en juicio como prueba documental. Se equipara así a estos efectos el documento electrónico al documento papel y nos parece bien; pero, ¿podrán los soportes magnéticos actuales perdurar en el tiempo como hasta ahora nos lo ha demostrado el papel a través de los siglos? Sería interesante profundizar sobre el tema. Intervención de terceros de confianza En determinadas circunstancias será conveniente que alguien externo a las partes intervinientes en el contrato celebrado por vía electrónica pueda 2 Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre, por la que se establece un marco comunitario de firma electrónica. Real Decreto 14/1999, de 17 de septiembre, sobre firma electrónica. En los momentos en que se escribe esta obra se está debatiendo en nuestro país una Ley sobre la firma electrónica.
222
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
dar fe de la fecha y la hora en que las comunicaciones habidas con motivo de dicha celebración han tenido lugar. Para ello las partes podrán pactar que un tercero de confianza archive las declaraciones de voluntad que integran los contratos celebrados por vía electrónica consignando la fecha y la hora en que las comunicaciones hayan ocurrido. El tercero de confianza deberá archivar en soporte informático las declaraciones entre las partes realizadas a través de la vía electrónica por el período que se estipule que no podrá ser inferior a cinco años. En ningún caso, la intervención de los terceros de confianza podrá alterar o sustituir las funciones que corresponda realizar a las personas facultadas con arreglo al Derecho para dar fe pública (art. 25). Ley aplicable Se estará a lo dispuesto en las normas de Derecho internacional privado del ordenamiento jurídico español teniendo en cuenta lo establecido en los artículos de la Ley que vienen a continuación: Artículo 2. Prestadores de servicios establecidos en España. Artículo 3. Prestadores de servicios establecidos en otro Estado miembro de la Unión Europea o del Espacio Económico Europeo. Obligaciones previas al inicio del procedimiento de contratación El prestador de servicios de la sociedad de la información que realice actividades de contratación electrónica, además del cumplimiento de los requisitos que en materia de información se establecen en la normativa vigente, tendrá que informar al destinatario: 1. de manera clara, comprensible e inequívoca y 2. antes de iniciar el procedimiento de contratación. sobre los siguientes extremos: a) los distintos trámites que deben seguirse para celebrar el contrato, b) si el prestador va a archivar el documento electrónico en que se formalice el contrato y si éste va a poder ser accedido, c) los medios técnicos que pone a su disposición para identificar y corregir errores en la introducción de los datos y d) la lengua o lenguas en que podrá formalizarse el contrato.
COMERCIO ELECTRÓNICO EN LA LEY
223
El prestador de servicios queda exceptuado de facilitar la información que figura más arriba cuando se dé alguna de las siguientes circunstancias: a) ambos contratantes así lo acuerden y ninguno de ellos tenga la consideración de consumidor, o b) el contrato se haya celebrado exclusivamente mediante intercambio por correo electrónico u otro tipo de comunicación electrónica equivalente, cuando estos medios no sean empleados con el exclusivo propósito de eludir el cumplimiento de tal obligación. Las ofertas o propuestas de contratación realizadas por vía electrónica, sin perjuicio de lo dispuesto en la legislación específica serán válidas: a) durante el período que fije el oferente o, en su defecto, b) durante todo el tiempo que permanezcan accesibles a los destinatarios del servicio. El prestador del servicio, antes del inicio del procedimiento de contratación, tendrá que poner a disposición del destinatario las condiciones generales a las que deba sujetarse el contrato, de forma que las mismas puedan ser almacenadas y reproducidas por el destinatario (art. 27).
Información posterior a la celebración del contrato La contratación por vía electrónica genera una serie de obligaciones tanto para el oferente como para el destinatario del servicio. El oferente deberá confirmar la recepción de la aceptación al que la hizo por alguno de los siguientes medios: a) el envío de un acuse de recibo por correo electrónico u otro medio de comunicación electrónica equivalente a la dirección que el aceptante haya señalado en el plazo de veinticuatro horas siguientes a la recepción de la aceptación o b) la confirmación, por un medio equivalente al utilizado en el procedimiento de contratación, de la aceptación recibida, tan pronto como el aceptante haya completado dicho procedimiento, siempre que la confirmación pueda ser archivada por su destinatario.
224
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
El prestador deberá facilitar los medios necesarios al destinatario para que éste pueda efectuar la obligación de confirmación cuando ésta le corresponda. Esta obligación será exigible tanto si la confirmación debe dirigirse al propio prestador o a otro destinatario. Cuando las partes a que se dirijan la aceptación y su confirmación puedan tener constancia de ello, se entenderá que la han recibido. Si la recepción de la aceptación se confirma mediante acuse de recibo, se presumirá que su destinatario tiene constancia de ello desde el momento en que dicho acuse de recibo haya sido almacenado en el servidor en que esté dada de alta su cuenta de correo electrónico, o en el dispositivo utilizado para la recepción de comunicaciones. Se exceptúa de la necesidad de confirmar la recepción de la aceptación de una oferta en los siguientes casos: a) ambos contratantes así lo acuerden y ninguno de ellos tenga la consideración de consumidor o b) el contrato se haya celebrado exclusivamente mediante intercambio de correo electrónico u otro tipo de comunicación electrónica equivalente, cuando estos medios no sean empleados con el exclusivo propósito de eludir el cumplimiento de tal obligación (art. 28).
Lugar de celebración del contrato Con este artículo y la disposición adicional cuarta, por la que se modifican los artículos 1.262 del Código Civil y 54 del Código de Comercio, se logra unificar criterios que hasta ahora habían sido dispares entre ambos Códigos a la hora de determinar el momento y el lugar en que se presumía que se habían celebrado los contratos cuando éstos se realizaban encontrándose en lugares distintos el que hizo la oferta y el que la aceptó. Los contratos celebrados por vía electrónica en los que intervenga como parte un consumidor se presumirán celebrados en el lugar en que éste tenga residencia habitual. En el caso de que los contratos electrónicos se celebren entre empresarios o profesionales, en defecto de pacto entre las partes, se presumirán celebrados en el lugar en que esté establecido el prestador de servicios.
COMERCIO ELECTRÓNICO EN LA LEY
225
17.4. CUESTIONES 17.4.00. ¿Qué régimen jurídico regula las comunicaciones comerciales por vía electrónica? 17.4.01. ¿Qué características deben tener las comunicaciones realizadas por vía electrónica? 17.4.02. ¿Qué requisitos deben cumplir los contratos electrónicos para tener validez? 17.4.03. ¿Qué tipo de prueba es un soporte electrónico en el que conste un contrato? 17.4.04. ¿Qué es un tercero de confianza? 17.4.05. ¿Qué funciones tiene? 17.4.06. Obligaciones del prestador de servicios previas al inicio del procedimiento de contratación. 17.4.07. Obligaciones del prestador de servicios posteriores a la celebración del contrato. 17.4.08. En el caso de que sea parte un consumidor, ¿dónde se presume que se ha celebrado el contrato? 17.4.09. ¿Y cuando las partes sean profesionales o empresarios?
18 Regulación de conflictos e información y control «Me gustaría pasear los días de lluvia por las calles, pero sería necesario llevar un paraguas, abrirlo, cerrarlo, estar pendiente de no olvidarlo en algún lugar, esto significa un esfuerzo para el que no estoy preparado.» (Cuentos para dormir mejor, Gila)
18.1. LA REGULACIÓN DE CONFLICTOS La Ley contempla dos soluciones para la regulación de conflictos: judicial y extrajudicial. La solución judicial está regulada en los artículos 30 y 31, dedicado el primero a la acción de cesación y el segundo a establecer quién está legitimado para ejercer dicha acción. A la solución extrajudicial se dedica el artículo 32. La Ley impulsa las soluciones extrajudiciales, entre ellas el arbitraje, que pueden instaurarse mediante códigos de conducta, a los que nos hemos referido en un capítulo anterior, toda vez que estos códigos son un medio idóneo para fomentar la confianza de los usuarios.
18.2. ACCIÓN DE CESACIÓN La Comunidad Europea, consciente de su importancia, en los últimos años ha impulsado una política de protección de los intereses de los consumidores y usuarios. La idea de un mercado interior requiere la existencia de normas comunes de protección de los consumidores en una Europa sin fronteras interiores, en 227
228
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
la que las personas, las mercancías, los capitales y los servicios puedan circular libremente. En esa línea de actuación, el Parlamento Europeo y el Consejo aprobaron la Directiva 98/27/CE, de 19 de mayo, relativa a las acciones de cesación en materia de protección de los intereses de los consumidores. Dicha Directiva ha sido incorporada al ordenamiento jurídico español por la Ley 39/2002, de 28 de octubre, por la que se transpone a nuestro ordenamiento diversas directivas comunitarias en materia de protección de los intereses de los consumidores y usuarios. Cuando las conductas contrarias a la Ley lesionen intereses colectivos o difusos de los consumidores, podrá interponerse la acción de cesación. Con ello se pretende obtener una sentencia que condene al demandado a cesar en la conducta contraria a esta Ley y a prohibir su reiteración futura. La acción también podrá ejercerse para prohibir la realización de una conducta aunque ésta haya finalizado al tiempo de ejercitar la acción, si existen indicios suficientes que hagan temer su reiteración de modo inminente. Respecto a la forma de ejercer la acción de cesación, la Ley remite a las prescripciones de la Ley de Enjuiciamiento Civil 1 para esta clase de acciones. Están legitimadas para interponer la acción de cesación: a) Las personas físicas o jurídicas titulares de un derecho o interés legítimo. b) Los grupos de consumidores o usuarios afectados, en los casos y condiciones previstos en la Ley de Enjuiciamiento Civil. c) Las asociaciones de consumidores y usuarios que reúnan los requisitos establecidos en la Ley 26/1984, de 19 de julio, General para la Defensa de los Consumidores y Usuarios, o, en su caso, en la legislación autonómica en materia de defensa de los consumidores. d) El Ministerio Fiscal. e) El Instituto Nacional del Consumo y los órganos correspondientes de las Comunidades Autónomas y de las Corporaciones Locales competentes en materia de defensa de los consumidores. f) Las Entidades de otros Estados miembros de la Unión Europea constituidas para la protección de los intereses colectivos o difusos de los consumidores que estén habilitadas ante la Comisión Europea me1 Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, modificada por la Ley 39/2002, de 28 de octubre, de transposición al ordenamiento jurídico español de diversas directivas comunitarias en materia de protección de los intereses de los consumidores y usuarios.
REGULACIÓN DE CONFLICTOS E INFORMACIÓN Y CONTROL
229
diante su inclusión en la lista publicada a tal fin en el Diario Oficial de las Comunidades Europeas. Los Jueces y Tribunales aceptarán dicha lista como prueba de la capacidad de la entidad habilitada para ser parte, sin perjuicio de examinar si la finalidad de la misma y los intereses afectados legitiman el ejercicio de la acción. En la Exposición de Motivos de la Ley se dice que para el ejercicio de la acción de cesación deberá tenerse en cuenta, además de lo dispuesto en esta Ley en su ámbito sustantivo, lo establecido en la Ley general de incorporación de la Directiva 98/27/CE, de 19 de mayo, relativa a las acciones de cesación en materia de protección de los intereses de los consumidores. Curiosamente, en la fecha de publicación de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico no existía ninguna Ley general de incorporación de la Directiva 98/27/CE, pues es ésta: Ley 39/2002, de 28 de octubre, de transposición al ordenamiento jurídico español de diversas directivas comunitarias en materia de protección de los intereses de los consumidores y usuarios. De forma que ni en la fecha de publicación de la llamada Ley del comercio electrónico, 12 de julio de 2002, ni posteriormente en la fecha de su entrada en vigor, 14 de octubre de 2002, y aunque en su ámbito adjetivo remitía a la Ley de Enjuiciamiento Civil respecto a la forma de ejercer la acción de cesación, ésta tampoco había podido ser modificada. Como se dice en la Exposición de Motivos de la Ley 39/2002: «La modificación que la presente Ley instrumenta en la de Enjuiciamiento Civil establece ya el marco procesal adecuado para que, una vez introducidas las acciones de cesación en la legislación sustantiva 2 reguladora del ámbito referenciado, dicho instrumento de defensa de los intereses colectivos de los consumidores y usuarios pueda ser efectivamente utilizado». Las modificaciones que se efectúan en la Ley de Enjuiciamiento Civil son las siguientes: Artículo 6. Capacidad para ser parte Se adiciona un nuevo punto 8.o al apartado 1 con la siguiente redacción: «8.o Las entidades habilitadas conforme a la normativa comunitaria europea para el ejercicio de la acción de cesación en defensa de los intereses colectivos y de los intereses difusos de los consumidores y usuarios.» 2 Respecto a los servicios de la sociedad de la información y comercio electrónico ya se ha realizado con la Ley 34/2002, de 11 de julio.
230
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Artículo 11. Legitimación para la defensa de derechos e intereses de consumidores y usuarios Se añade un apartado 4 quedando redactado en los siguientes términos: «4. Asimismo, el Ministerio Fiscal y las entidades habilitadas a las que se refiere el artículo 6.1.8.o estarán legitimadas para el ejercicio de la acción de cesación para la defensa de los intereses colectivos y de los intereses difusos de los consumidores y usuarios.»
Artículo 15. Publicidad e intervención en procesos para la protección de derechos e intereses colectivos y difusos de consumidores y usuarios Se adiciona un apartado 4 al artículo con la siguiente redacción: «4. Quedan exceptuados de lo dispuesto en los apartados anteriores los procesos iniciados mediante el ejercicio de una acción de cesación para la defensa de los intereses colectivos y de los intereses difusos de los consumidores y usuarios.»
Artículo 52. Competencia territorial en casos especiales Se añade un punto 16.o al apartado 1 del artículo, quedando redactado del siguiente modo: «16.o En los procesos en los que se ejercite la acción de cesación en defensa de los intereses tanto colectivos como difusos de los consumidores y usuarios será competente el Tribunal del lugar donde el demandado tenga un establecimiento, y, a falta de éste, el de su domicilio, si careciere de domicilio en territorio español, el del lugar del domicilio del actor.»
Artículo 221. Sentencias dictadas en procesos promovidos por asociaciones de consumidores o usuarios Se adiciona un apartado 2 al artículo con la siguiente redacción: «2. En las sentencias estimatorias de una acción de cesación en defensa de los intereses colectivos y de los intereses difusos de los consumi-
REGULACIÓN DE CONFLICTOS E INFORMACIÓN Y CONTROL
231
dores y usuarios el Tribunal, si lo estima procedente, y con cargo al demandado, podrá acordar la publicación total o parcial de la sentencia o, cuando los efectos de la infracción puedan mantenerse a lo largo del tiempo, una declaración rectificadora.»
Artículo 249. Ámbito del juicio ordinario Se modifican los puntos 4.o y 5.o del apartado 1 del artículo, que quedan redactados del siguiente modo 3: «4.o Las demandas en materia de competencia desleal, propiedad industrial, propiedad intelectual y publicidad, siempre que no versen exclusivamente sobre reclamaciones de cantidad, en cuyo caso se tramitarán por el procedimiento que les corresponda en función de la cuantía que se reclame. No obstante se estará a lo dispuesto en el punto 12.o del apartado 1 del artículo 250 4 cuando se trate del ejercicio de la acción de cesación en defensa de los intereses colectivos y de los intereses difusos de los consumidores y usuarios en materia de publicidad. 5.o Las demandas en que se ejerciten acciones relativas a condiciones generales de contratación en los casos previstos en la legislación sobre esta materia, salvo en lo dispuesto en el punto 12.o del apartado 1 del artículo 250.»
Artículo 250. Ámbito del juicio verbal Se adiciona un punto 12.o al apartado 1 del artículo resultando del siguiente tenor: «12.o Las que supongan el ejercicio de la acción de cesación en defensa de los intereses colectivos y difusos de los consumidores y usuarios.»
3 Artículo 249.4.o, antigua redacción: «Las demandas en materia de competencia desleal, propiedad industrial, propiedad intelectual y publicidad, siempre que no versen exclusivamente sobre reclamaciones de cantidad, en cuyo caso se tramitarán por el procedimiento que les corresponda en función de la cuantía que se reclame». Artículo 249.5.o, antigua redacción: «Las demandas en que se ejerciten acciones relativas a condiciones generales de la contratación en los casos previstos en la legislación sobre esta materia». 4 Artículo 250, apartado 1, punto 12.o: «Las que supongan el ejercicio de la acción de cesación en defensa de los intereses colectivos y difusos de los consumidores y usuarios».
232
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Artículo 711. Cuantía de las multas coercitivas El artículo queda redactado como sigue 5: «Artículo 711. Cuantía de las multas coercitivas. 1. Para determinar la cuantía de las multas prevista en los artículos anteriores, el Tribunal mediante providencia tendrá en cuenta el precio o la contraprestación del hacer personalísimo establecidos en el título ejecutivo y, si no constaran en él o se tratara de deshacer lo mal hecho, el coste dinerario que en el mercado se atribuya a esas conductas. Las multas mensuales podrán ascender a un 20 por ciento del precio o valor y la multa única al 50 por ciento de dicho precio o valor. 2. La sentencia estimatoria de una acción de cesación en defensa de los intereses colectivos y de los intereses difusos de los consumidores y usuarios impondrá, sin embargo, una multa que oscilará entre seiscientos y sesenta mil euros, por día de retraso en la ejecución de la resolución judicial en el plazo señalado en la sentencia, según la naturaleza e importancia del daño producido y la capacidad económica del condenado. Dicha multa deberá ser ingresada en el Tesoro Público.»
Artículo 728. Peligro por la mora procesal. Apariencia de un buen derecho. Caución Se añade un nuevo párrafo al apartado 3 del artículo, con la siguiente redacción: «En los procedimientos en los que se ejercite una acción de cesación en defensa de los intereses colectivos y de los intereses difusos de los consumidores y usuarios, el Tribunal podrá dispensar al solicitante de la medida cautelar del deber de prestar caución, atendidas las circunstancias del caso, así como la entidad económica y la repercusión social de los distintos intereses afectados.»
5 Artículo 711, antigua redacción: «Para determinar la cuantía de las multas previstas en los artículos anteriores, el Tribunal mediante providencia, tendrá en cuenta el precio o la contraprestación del hacer personalísimo establecidos en el título ejecutivo y, si no constaran en él o se tratara de deshacer lo mal hecho, el coste dinerario que en el mercado se atribuya a esas conductas. Las multas mensuales podrán ascender a un 20 por ciento del precio o valor y la multa única al 50 por ciento de dicho precio o valor.»
REGULACIÓN DE CONFLICTOS E INFORMACIÓN Y CONTROL
233
18.3. SOLUCIÓN EXTRAJUDICIAL La solución extrajudicial de conflictos se regula en el artículo 32 de la Ley. Tanto el prestador como el destinatario de servicios de la sociedad de la información podrán someter sus conflictos a: a) los arbitrajes previstos en la legislación de arbitraje 6 y de defensa de los consumidores y usuarios 7; b) los procedimientos de resolución extrajudicial de conflictos que se instauren por medio de Códigos de Conducta; c) otros instrumentos de autorregulación. Asimismo, en el mencionado artículo se prevé la posibilidad de utilizar medios electrónicos en los procedimientos de resolución extrajudicial de conflictos enumerados anteriormente en los términos que establezca su normativa específica.
18.4. INFORMACIÓN DE LOS ÓRGANOS COMPETENTES Los destinatarios y prestadores de servicios de la sociedad de la información durante el desempeño de sus respectivas funciones pueden necesitar tener conocimiento de lo siguiente (art. 33): a) conseguir información general sobre sus derechos y obligaciones contractuales en el marco de la normativa aplicable a la contratación electrónica, b) informarse sobre los procedimientos de resolución judicial y extrajudicial de conflictos, y c) obtener los datos de las autoridades, asociaciones u organizaciones que puedan facilitarles información adicional o asistencia práctica. Para ello podrán dirigirse a las siguientes Instituciones: 1) Ministerio de Ciencia y Tecnología. 2) Ministerio de Justicia. 6
Ley 36/1988, de 5 de diciembre, de Arbitraje. Real Decreto 636/1993, de 3 de mayo, que regula el Sistema Arbitral de Consumo a través de medios telemáticos. 7 Ley 26/1984, de 19 de julio, General para la Defensa de los Consumidores y Usuarios.
234
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
3) 4) 5) 6)
Ministerio de Economía. Ministerio de Sanidad y Consumo. Órganos que determinen las respectivas Comunidades Autónomas. Órganos que determinen las respectivas Entidades Locales.
La solicitud de información con dichos órganos y su respuesta podrá hacerse por medios electrónicos. Los Órganos que vienen a continuación remitirán al Ministerio de Justicia sus resoluciones cuando se den las circunstancias que igualmente se indican: 1) Consejo del Poder Judicial En la forma y con la periodicidad que se acuerde mediante Convenio entre ambos órganos, todas las resoluciones judiciales que contengan pronunciamientos relevantes sobre: a) validez y eficacia de los contratos celebrados por vía electrónica, b) sobre su utilización como prueba en juicio, c) sobre los derechos, obligaciones y régimen de responsabilidad de los destinatarios y los prestadores de servicios de la sociedad de la información (art. 34.1). 2) Los órganos arbitrales y los responsables de los demás procedimientos de resolución extrajudicial de conflictos Comunicarán al Ministerio de Justicia los laudos o decisiones que revistan importancia para la prestación de servicios de la sociedad de la información y el comercio electrónico de acuerdo con los criterios que se especifican en el caso anterior. En cualquier caso, en dicha comunicación se tomarán las precauciones necesarias para salvaguardar el derecho a la intimidad y a la protección de los datos personales de las personas identificadas en ellos (art. 34. 2 y 3). Asimismo, el Ministerio de Justicia remitirá a la Comisión Europea y facilitará el acceso de cualquier interesado a la información recibida (art. 34.4).
18.5. SUPERVISIÓN Y CONTROL El control del cumplimiento de las obligaciones establecidas en esta Ley y en sus disposiciones de desarrollo, en lo que se refiere a los servicios propios de la sociedad de la información corresponde al Ministerio de Ciencia y Tecnología.
REGULACIÓN DE CONFLICTOS E INFORMACIÓN Y CONTROL
235
Sin embargo, las referencias a los órganos competentes contenidas en los artículos que vienen a continuación se entenderán hechas a los órganos jurisdiccionales o administrativos que, en cada caso, lo sean en función de la materia (art. 35.1). 1) Restricciones a la prestación de servicios (art. 8). 2) Información general (art. 10). 3) Deber de colaboración de los prestadores de servicios de intermediación (art. 11). 4) Responsabilidad de los prestadores de servicios que realizan copia temporal de los datos solicitados por los usuarios (art. 15). 5) Responsabilidad de los prestadores de servicios de alojamiento o almacenamiento de datos (art. 16). 6) Responsabilidad de los prestadores de servicios que faciliten enlaces a contenidos o instrumentos de búsqueda (art. 17). 7) Infracciones (art. 38). El Ministerio de Ciencia y Tecnología tiene la competencia para realizar las actuaciones inspectoras que sean necesarias para el ejercicio de su función de control. Los funcionarios que realicen estas inspecciones tienen la condición de autoridad pública en el desempeño de sus funciones (art. 35.2). No obstante lo expuesto hasta ahora, cuando las conductas realizadas por los prestadores de servicios de la sociedad de la información estuvieran sujetas, por razón de la materia o del tipo de entidad de que se trate, a ámbitos competenciales, de tutela o de supervisión específicos, con independencia de que se lleven a cabo utilizando técnicas y medios telemáticos o electrónicos, los órganos a los que la legislación sectorial atribuya competencias de control, supervisión, inspección o tutela específica ejercerán las funciones que les correspondan (art. 35.3).
18.6. DEBER DE COLABORACIÓN Los prestadores de servicios de la sociedad de la información tienen las siguientes obligaciones (art. 36.1): a) Facilitar al Ministerio de Ciencia y Tecnología y a los demás órganos competentes toda la información y colaboración precisas para el ejercicio de sus funciones.
236
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
b) Permitir a sus agentes o al personal inspector el acceso a sus instalaciones y la consulta de cualquier documentación relevante para la actividad de control de que se trate, siendo de aplicación, en su caso, lo dispuesto en el artículo 8.5 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa 8.
18.7. CUESTIONES 18.7.00. 18.7.01. 18.7.02. 18.7.03. 18.7.04. 18.7.05. 18.7.06. 18.7.07. 18.7.08. 18.7.09.
¿Qué soluciones se prevén para la resolución de conflictos? ¿En qué consiste la solución judicial? ¿En qué consiste la solución extrajudicial? ¿Qué es la acción de cesación? ¿Quiénes están legitimados para interponer la acción de cesación? ¿A quiénes se pueden someter extrajudicialmente los conflictos? ¿Qué información pueden solicitar los destinatarios y los prestadores de servicios de la sociedad de la información? ¿Quiénes pueden ejercer la función de control? ¿Qué deberes de colaboración tienen los prestadores de servicios de la sociedad de la información? ¿Qué deben hacer los inspectores en el caso de que en su inspección descubran hechos constitutivos de infracciones tipificadas en otras leyes?
8 Artículo 8.5. Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa: «Conocerán también los Juzgados de lo Contencioso-administrativo de las autorizaciones para la entrada en domicilio y restantes lugares cuyo acceso requiera el consentimiento de su titular, siempre que ello proceda para la ejecución forzosa de actos de la Administración Pública. Asimismo, corresponderá a los Juzgados de lo Contencioso-administrativo la autorización o ratificación judicial de las medidas que las autoridades sanitarias consideren urgentes y necesarias para la salud pública e impliquen privación o restricción de la libertad o de otro derecho fundamental».
19 Régimen sancionador «La esencia del particularismo es que cada grupo deja de sentirse a sí mismo como parte y, en consecuencia, deja de compartir los sentimientos de los demás.» (España invertebrada, José Ortega y Gasset)
19.1. RÉGIMEN APLICABLE La Ley dedica el Título VII (artículos 37 a 45) a las Infracciones y Sanciones. Los diferentes artículos tienen el siguiente contenido: Artículo 37. Artículo 38. Artículo 39. Artículo 40. Artículo 41. Artículo 42. Artículo 43. Artículo 44. Artículo 45.
Responsables. Infracciones. Sanciones. Graduación de la cuantía de las sanciones. Medidas de carácter provisional. Multa coercitiva. Competencia sancionadora. Concurrencia de infracciones y sanciones. Prescripción.
Como posibles responsables de las infracciones y objeto, por lo tanto, de sanción figuran los prestadores de servicios de la sociedad de la información que están sujetos al régimen sancionador establecido en la Ley cuando les sea de aplicación (art. 37).
19.2. INFRACCIONES Las infracciones se dividen en muy graves, graves y leves (art. 38). 237
238
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Son infracciones muy graves las siguientes: a) El incumplimiento de las órdenes dictadas en virtud del artículo 8 en aquellos supuestos en que hayan sido dictadas por un órgano administrativo. b) El incumplimiento de la obligación de suspender: — — — —
la transmisión, el alojamiento de datos, el acceso a la Red, la prestación de cualquier otro servicio equivalente de intermediación.
c) El incumplimiento de la obligación de retener los datos de tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información, prevista en el artículo 12. d) La utilización de los datos retenidos, en cumplimiento del artículo 12, para fines distintos de los señalados. Son infracciones graves las siguientes: a) El incumplimiento de lo establecido en los párrafos a) y f) del artículo 10.1. Estos párrafos se refieren a la información que deben facilitar los prestadores de servicios respecto a su nombre o denominación social, su residencia o domicilio o, en su defecto, la dirección de uno de sus establecimientos permanente en España, su dirección de correo electrónico y cualquier otro dato que permita establecer con él una comunicación directa y efectiva e información clara y exacta sobre el precio del producto o servicio, indicando si incluye o no los impuestos aplicables y, en su caso, sobre los gastos de envío. b) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente a destinatarios que no hayan autorizado o solicitado expresamente su remisión, o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando éste no hubiera solicitado o autorizado su remisión. c) No poner a disposición del destinatario las condiciones generales a que, en su caso, se sujete el contrato, en la forma prevista en el artículo 27. d) El incumplimiento habitual de la obligación de confirmar la recepción de una aceptación, cuando no se haya pactado su exclusión o el contrato se haya celebrado con un consumidor.
RÉGIMEN SANCIONADOR
239
e) La resistencia, excusa o negativa a la actuación inspectora de los órganos facultados para llevarla a cabo con arreglo a esta Ley. Son infracciones leves las siguientes: a) La falta de comunicación al registro público, en que estén inscritos, de acuerdo con lo establecido en el artículo 9, del nombre o nombres de dominio o direcciones de Internet que empleen para la prestación de servicios de la sociedad de la información. b) No informar en la forma prescrita por el artículo 10.1 sobre los aspectos señalados en los párrafos b), c), d), e) y g) del mismo. c) El incumplimiento de lo previsto en el artículo 20 para las comunicaciones comerciales, ofertas promocionales y concursos. d) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente a destinatarios que no hayan autorizado o solicitado expresamente su remisión, cuando no constituya infracción grave. e) No facilitar la información a que se refiere el artículo 27.1, cuando las partes no hayan pactado su exclusión o el destinatario sea un consumidor. f) El incumplimiento de la obligación de confirmar la recepción de una petición en los términos establecidos en el artículo 28, cuando no se haya pactado su exclusión o el contrato se haya celebrado con un consumidor, salvo que constituya infracción grave.
19.3. SANCIONES Las sanciones correspondientes a las infracciones que figuren anteriormente son las que vienen a continuación (art. 39): Infracciones muy graves. Multa de 150.001 hasta 600.000 euros. La reiteración en el plazo de tres años de dos o más infracciones muy graves, sancionadas con carácter firme, podrá dar lugar, en función de sus circunstancias, a la sanción de prohibición de actuación en España, durante un plazo máximo de dos años. Infracciones graves. Multa de 30.001 hasta 150.000 euros. Infracciones leves. Multa de hasta 30.000 euros.
240
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Las infracciones graves y muy graves podrán llevar aparejada la publicación, a costa del sancionado, de la resolución sancionadora en: a) Boletín Oficial del Estado o b) en el diario oficial de la Administración Pública que, en su caso, hubiera impuesto la sanción y c) dos periódicos cuyo ámbito de difusión coincida con el de actuación de la citada Administración Pública o d) página de inicio del sitio de Internet del prestador. Todo ello una vez que la sanción tenga carácter firme. Para la imposición de esta sanción se considerará: a) la repercusión social de la infracción cometida, b) el número de usuarios o contratos afectados, c) la gravedad del ilícito. En el caso de que las infracciones sancionables fueran cometidas por prestadores de servicios establecidos en Estados que no sean miembros de la Unión Europea o del Espacio Económico Europeo, el órgano que hubiera impuesto la correspondiente sanción podrá ordenar a los prestadores de servicios de intermediación que tomen las medidas necesarias para impedir el acceso desde España a los servicios prestados por aquellos por los siguientes períodos dependiendo de la infracción cometida: Infracciones muy graves, por un período máximo de dos años. Infracciones graves, un año. Infracciones leves, seis meses. El órgano competente para imponer la sanción podrá graduar ésta atendiendo a los siguientes criterios (art. 40): a) la existencia de intencionalidad, b) plazo de tiempo durante el que se haya venido cometiendo la infracción, c) la reincidencia por comisión de infracciones de la misma naturaleza, cuando así haya sido declarado por resolución firme, d) la naturaleza y cuantía de los perjuicios causados, e) los beneficios obtenidos por la infracción, f) volumen de facturación a que afecte la infracción cometida.
RÉGIMEN SANCIONADOR
241
19.4. OTRAS MEDIDAS Existen otras medidas complementarias de las sancionadoras: las medidas de carácter provisional (art. 41) y la multa coercitiva (art. 42). Cuando se trate de procedimientos sancionadores por infracciones graves o muy graves, se podrán adoptar las medidas de carácter provisional previstas en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común1 y normas de desarrollo que se estimen necesarias para asegurar: a) b) c) d)
la eficacia de la resolución que definitivamente se dicte, el buen fin del procedimiento, evitar el mantenimiento de los efectos de la infracción, las exigencias de los intereses generales.
En particular, podrán acordarse las siguientes: a) Suspensión temporal de la actividad del prestador de servicios y, en su caso, cierre provisional de sus establecimientos. b) Precinto, depósito o incautación de registros, soportes y archivos informáticos y de documentos en general, así como de aparatos y equipos informáticos de todo tipo. c) Advertir al público de la existencia de posibles conductas infractoras y de la incoación del expediente sancionador de que se trate, así como de las medidas adoptadas para el cese de dichas conductas. En cualquier caso, en la adopción y cumplimiento de las medidas de carácter provisional se respetarán las garantías, normas y procedimientos previstos en el ordenamiento jurídico para proteger, cuando pudieran resultar afectados, los derechos a: a) b) c) d)
la intimidad personal y familiar, la protección de los datos personales, la libertad de expresión o la libertad de información.
1 Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, artículo 136. Medidas de carácter provisional. Cuando así esté previsto en las normas que regulen los procedimientos sancionadores, se podrá proceder mediante acuerdo motivado a la adopción de medidas de carácter provisional que aseguren la eficacia de la resolución final que pudiera recaer.
242
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Sólo la autoridad judicial competente podrá adoptar las medidas de carácter provisional en los casos en los que la Constitución, las normas reguladoras de los respectivos derechos y libertades o las que resulten aplicables a las diferentes materias atribuyan competencia a los órganos jurisdiccionales para intervenir en el ejercicio de actividades o derechos. Las medidas provisionales podrán ser acordadas antes de la iniciación del expediente sancionador en los casos de urgencia para la inmediata protección de los intereses implicados. Dichas medidas deberán ser confirmadas, modificadas o levantadas en el acuerdo de iniciación del procedimiento, que deberá efectuarse dentro de los quince días siguientes a su adopción, el cual podrá ser objeto del recurso que proceda. Estas medidas quedarán sin efecto: a) si no se inicia el procedimiento sancionador en el plazo de quince días o b) cuando el acuerdo de iniciación no contenga un procedimiento expreso acerca de las medidas. El órgano administrativo competente para resolver el procedimiento sancionador podrá imponer multas coercitivas por importe que no exceda de 6.000 euros por cada día que transcurra sin cumplir las medidas provisionales que hubieran sido acordadas (art. 42). La posible concurrencia de infracciones y sanciones se contempla en el artículo 44. Suspensión del procedimiento No podrá ejercerse la potestad sancionadora cuando haya recaído sanción penal en los casos en que se aprecie identidad de sujeto, hecho y fundamento. Sin embargo, cuando se esté tramitando un proceso penal por los mismos hechos o por otros cuya separación de los sancionables por esta Ley sea racionalmente imposible, el procedimiento quedará suspendido respecto de los mismos hasta que recaiga pronunciamiento firme de la autoridad judicial. Concurrencia de procedimientos La imposición de una sanción prevista en esta Ley no puede impedir la tramitación y resolución de otro procedimiento sancionador realizado por los
RÉGIMEN SANCIONADOR
243
órganos u organismos competentes, en cada caso, cuando la conducta infractiva se hubiera cometido utilizando técnicas y medios telemáticos o electrónicos y resulte tipificada en otra Ley, siempre que no haya identidad del bien jurídico protegido. No procedencia de la imposición de sanciones No procederá la imposición de sanciones cuando los hechos constitutivos de infracción lo sean también de otra tipificada en la normativa sectorial a la que esté sujeto el prestador del servicio y exista identidad del bien jurídico protegido. Deber de información de hechos ilícitos Cuando, como consecuencia de una actuación sancionadora, se tuviera conocimiento de hechos que pudieran ser constitutivos de infracciones tipificadas en otras leyes, se deberá dar cuenta de los mismos a los órganos u organismos competentes para su supervisión y sanción. Los plazos de prescripción de las infracciones y sanciones son los siguientes: Infracciones Muy graves: tres años. Graves: dos años. Leves: seis meses. Sanciones Muy graves: tres años. Graves: dos años. Leves: un año.
19.5. COMPETENCIA SANCIONADORA Son competentes para imponer las sanciones previstas por el incumplimiento de esta Ley (art. 43):
244
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Infracciones muy graves: Ministro de Ciencia y Tecnología. Infracciones graves y leves: Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información. La imposición de sanciones por incumplimiento de las resoluciones dictadas por los órganos competentes en función de la materia o entidad de que se trate a que se refieren los párrafos a) y b) del artículo 38.2 de la Ley corresponderán al órgano que dictó la resolución incumplida. La potestad sancionadora regulada en esta Ley se ejercerá de conformidad con lo establecido al respecto en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, y en sus normas de desarrollo.
19.6. CUESTIONES 19.6.00. 19.6.01. 19.6.02. 19.6.03. 19.6.04. 19.6.05. 19.6.06. 19.6.07. 19.6.08.
¿Quiénes pueden resultar responsables de las infracciones? ¿Qué tipos de infracciones se pueden producir? ¿Cuáles son las infracciones muy graves? ¿Cuáles son las infracciones graves? ¿Cuáles son las infracciones leves? ¿Qué sanción corresponde a las infracciones muy graves? ¿Qué sanción corresponde a las infracciones graves? ¿Qué sanción corresponde a las infracciones leves? ¿Cuándo se puede imponer la sanción de prohibición de actuación en España durante un plazo máximo de dos años? 19.6.09. ¿En qué consiste una multa coercitiva?
20 Disposiciones varias «Es preciso tener muy claro que leer un periódico no es una forma como cualquier otra de enterarse de una noticia, sino un modo de relación específica con la actualidad y con la reflexión que la actualidad puede suscitar.» (Loor al leer, Fernando Savater)
20.1. ENUMERACIÓN DE LAS DISPOSICIONES Las disposiciones se dividen en: a) Disposiciones adicionales. b) Disposición transitoria. c) Disposiciones finales. Disposiciones adicionales Primera. Significado de los términos empleados en esta Ley. Segunda. Medicamentos y productos sanitarios. Tercera. Sistema Arbitral de Consumo. Cuarta. Modificación de los Códigos Civil y de Comercio. Quinta. Accesibilidad para las personas con discapacidad y de edad avanzada a la información proporcionada por medios electrónicos. Sexta. Sistema de asignación de nombres de dominio bajo el «.es». Disposición transitoria Única. Anotación en los correspondientes registros públicos de los nombres de dominio otorgados antes de la entrada en vigor de esta Ley. 245
246
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Disposiciones finales Primera. Modificación del artículo 37 de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones. Segunda. Modificación de la disposición adicional sexta de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones. Tercera. Adición de una nueva disposición transitoria a la Ley 11/1998, de 24 de abril, General de Telecomunicaciones. Cuarta. Modificación de la disposición derogatoria única de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones. Quinta. Adecuación de la regulación reglamentaria sobre contratación telefónica o electrónica con condiciones generales a esta Ley. Sexta. Fundamento constitucional. Séptima. Habilitación al Gobierno. Octava. Distintivo de adhesión a códigos de conducta que incorporen determinadas garantías. Novena. Entrada en vigor. Muchas veces se aprovechan las disposiciones adicionales de las leyes para regular en ellas no sólo aquellas materias que se ven afectadas por lo dispuesto en la nueva Ley, sino otras que, de algún modo, tienen cierta relación con aquélla. Este caso no iba a ser una excepción y así se aprovecha para regular, en su disposición adicional sexta, los principios inspirados del sistema de asignación de nombres de dominio bajo el código de país correspondiente a España «es». Es muy importante la modificación de los Códigos Civil y de Comercio unificando criterios respecto al momento y el lugar de la aceptación de la oferta. La Ley General de Telecomunicaciones también se ve afectada en algunos de sus artículos, como veremos más adelante. Los conflictos que surjan entre prestadores y destinatarios de servicios de la sociedad de la información se podrán someter al arbitraje de consumo. En resumen, los principales temas tratados en estas disposiciones podemos agruparlos de la siguiente forma: a) b) c) d)
Sistema Arbitral de Consumo. Sistema de asignación de nombres de dominio. Ley General de Telecomunicaciones. Modificación Códigos Civil y de Comercio.
DISPOSICIONES VARIAS
247
e) Definiciones. f) Varios. En este apartado de «Varios» englobamos el resto de las disposiciones.
20.2. DISPOSICIONES ADICIONALES Disposición adicional primera: Significado de los términos empleados en la Ley Remite al anexo en el que figura la definición que, a efectos de esta Ley, se hace de diferentes términos. Dichas definiciones las hemos incluido en el capítulo referido al vocabulario. Disposición adicional segunda: Medicamentos y productos sanitarios Remite a su legislación específica la regulación de la prestación de servicios de la sociedad de la información relacionados con los medicamentos y los productos sanitarios. Disposición adicional tercera: Sistema Arbitral de Consumo El prestador y el destinatario de servicios de la sociedad de la información, si se adhieren al Sistema Arbitral de Consumo, podrán someter sus conflictos al arbitraje de consumo. Según lo dispuesto en el Real Decreto 636/1993, de 3 de mayo, que regula el Sistema Arbitral de Consumo, la Junta Arbitral Nacional de Consumo y aquellas otras de ámbito territorial inferior, autorizadas para ello por el Instituto Nacional de Consumo, podrán dirimir los conflictos planteados por los consumidores a través de medios telemáticos. Disposición adicional cuarta: Modificación de los Códigos Civil y de Comercio Se unifican los criterios mantenidos hasta el momento en el Código Civil y en el de Comercio respecto al momento en que hay consentimiento en los con-
248
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
tratos en los que el que hizo la oferta y el que la aceptó se encuentran en lugares distintos y asimismo respecto al lugar en que se presume celebrado el contrato. El artículo 1.262 del Código Civil 1 queda redactado de la siguiente manera: «El consentimiento se manifiesta por el concurso de la oferta y de la aceptación sobre la cosa y la causa que han de constituir el contrato. Hallándose en lugares distintos el que hizo la oferta y el que la aceptó, hay consentimiento desde que el oferente conoce la aceptación o desde que, habiéndosela remitido el aceptante, no pueda ignorarla sin faltar a la buena fe. El contrato, en tal caso, se presume celebrado en el lugar en que se hizo la oferta. En los contratos celebrados mediante dispositivos automáticos hay consentimiento desde que se manifiesta la aceptación». El artículo 54 del Código de Comercio 2 queda redactado de la siguiente manera: «Hallándose en lugares distintos el que hizo la oferta y el que la aceptó, hay consentimiento desde que el oferente conoce la aceptación o desde que, habiéndosela remitido el aceptante, no pueda ignorarla sin faltar a la buena fe. El contrato, en tal caso, se presume celebrado en el lugar en que se hizo la oferta». Disposición adicional quinta: Accesibilidad para las personas con discapacidad y de edad avanzada a la información proporcionada por medios electrónicos Se fija el 31 de diciembre de 2005 como fecha límite para la adopción de las medidas necesarias para que la información disponible en las páginas de Internet pueda ser accesible a personas con discapacidad y de edad avanzada, de acuerdo con los criterios de accesibilidad al contenido generalmente reconocidos. Estas medidas deberán ser adoptadas: a) Por las Administraciones Públicas en sus respectivas páginas de Internet. b) Por aquellas organizaciones cuyas páginas de Internet sean financiadas por las Administraciones Públicas en su diseño o manteni1 Artículo 1.262 del Código Civil que se modifica: «El consentimiento se manifiesta por el concurso de la oferta y la aceptación sobre la cosa y la causa que han de constituir el contrato. La aceptación hecha por carta no obliga al que hizo la oferta sino desde que llegó a su conocimiento. El contrato, en tal caso, se presume celebrado en el lugar en que se hizo la oferta». 2 Artículo 54 del Código de Comercio que se modifica: «Los contratos que se celebren por correspondencia quedarán perfeccionados desde que se conteste aceptando la propuesta o las condiciones con que ésta fuere modificada».
DISPOSICIONES VARIAS
249
miento. En este caso, dichas Administraciones Públicas podrán exigir la adopción de las medidas. Asimismo, se promoverá la adopción de normas de accesibilidad para facilitar el acceso de las personas con discapacidad o de edad avanzada a los contenidos digitales: a) prestadores de servicios, b) fabricantes de equipos y software.
Disposición adicional sexta: Sistema de asignación de nombres de dominio bajo «.es» La Ley 17/2001, de 7 de diciembre, de Marcas, en su disposición adicional decimosexta habilita al Gobierno para que en el plazo oportuno y tras los estudios y consultas que fueren necesarios, remita al Congreso de los Diputados un proyecto de Ley sobre los nombres incluidos en el dominio en la red de país de primer nivel «.es». La regulación se debe inspirar, entre otros, en los criterios aplicados a los signos distintivos protegidos por la legislación de propiedad industrial. Esta disposición sexta de la Ley de comercio electrónico, en cumplimiento de lo dispuesto en las líneas que anteceden, regula los principios inspiradores del sistema de asignación de nombres de dominio bajo el código de país correspondiente a España «.es». Igualmente en la disposición adicional decimoctava de la Ley 14/2000, de 29 de diciembre, de Medidas Fiscales, administrativas y de orden social se dice que el procedimiento de asignación de nombres y direcciones de dominio de Internet bajo el código de país correspondiente a España (.es) se regulará por el Gobierno mediante Real Decreto, a propuesta del Ministro de Ciencia y Tecnología, tomando en consideración los criterios de los organismos de asignación de nombres y direcciones en Internet de la Unión Europea, así como las directrices y recomendaciones de los Organismos Internacionales competentes en la materia, aplicándose supletoriamente las disposiciones de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. En principio, no nos parece una buena técnica legislativa despachar un tema tan importante, como es el de asignación de nombres de dominio bajo el código de país «.es», en una disposición adicional de una ley cuando consideramos que tiene entidad suficiente como para tener una ley propia,
250
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
como entendemos que así se deduce de lo que el legislador quería al habilitar al Gobierno para ello en la Ley de Marcas. No debemos olvidar que con la regulación de la asignación de nombres de dominio «.es» se trata de poner algo de orden en el a veces anárquico mundo de Internet y de evitar los numerosos fraudes que se cometen con las llamadas ciberocupaciones. Creemos, repetimos, que un tema de esta importancia merecía ser regulado en una ley propia y no de tapadillo en una disposición adicional de otra Ley. La autoridad de asignación a la que corresponde la gestión del registro de nombres de dominio de Internet bajo el «.es» es la entidad pública empresarial Red.es, de acuerdo con lo establecido en la disposición adicional sexta de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones 3. La asignación de nombres de dominio de Internet bajo el «.es» se realizará de conformidad con los criterios que se establecen en: a) Plan Nacional de Nombres de Dominio de Internet (a partir de ahora PNNDI). b) Las demás normas específicas que se dicten en su desarrollo por la autoridad de asignación. c) Las prácticas generalmente aplicadas y las recomendaciones emanadas de las entidades y organismos internacionales que desarrollan actividades relacionadas con la gestión del sistema de nombres de dominio de Internet en la medida en que sean compatibles con lo anterior. Los criterios de asignación de nombres de dominio bajo el «.es» deberán garantizar: a) un equilibrio adecuado entre la confianza y seguridad jurídica precisas para el desarrollo del comercio electrónico y de otros servicios y actividades por vía electrónica; 3
Ley 11/1998, de 24 de abril, General de Telecomunicaciones. «Disposición adicional sexta. La entidad pública empresarial de la Red Técnica Española de Televisión. 1. La Red Técnica Española de Televisión se configura como entidad pública empresarial, conforme a lo previsto en el artículo 43.1.b) de la Ley 6/1997, de 14 de abril, de Organización y Funcionamiento de la Administración General del Estado. Dicha entidad queda adscrita al Ministerio de Fomento, a través de la Secretaría General de Comunicaciones. 2. La entidad pública empresarial de la Red Técnica Española de Televisión tiene personalidad jurídica propia, plena capacidad de obrar y patrimonio propio y se regirá por lo establecido en esta
DISPOSICIONES VARIAS
251
b) la flexibilidad y agilidad requeridas para posibilitar la satisfacción de la demanda de asignación de nombres de dominio bajo «.es». Con ello se contribuirá al desarrollo de la sociedad de la información en nuestro país. En los términos que se establezcan en el PNNDI, podrán crearse espacios diferenciados bajo el «.es» que faciliten la identificación de los contenidos que alberguen en función de su titular o del tipo de actividad que realicen. Por ejemplo: 1) educación, 2) entretenimiento, 3) adecuado desarrollo moral de la infancia y la juventud. En los términos que se establezcan en el PNNDI, podrán solicitar la asignación de nombre de dominio bajo «.es»: disposición adicional, en su propio Estatuto, en la citada Ley 6/1997 y en las demás normas que le sean de aplicación. 3. Constituye el objeto de la entidad pública empresarial, la gestión, administración y disposición de los bienes y derechos que integran su patrimonio, correspondiéndole la tenencia, administración, adquisición y enajenación de los títulos representativos del capital de las sociedades en las que participe o pueda participar en el futuro. La entidad pública empresarial actuará, en cumplimiento de su objeto, conforme a criterios empresariales. Para el cumplimiento de su objeto, la entidad pública empresarial podrá realizar toda clase de actas de administración y disposición previstos en la legislación civil y mercantil. Asimismo, podrá realizar cuantas actividades comerciales o industriales estén relacionadas con dicho objeto, conforme a lo acordado por sus órganos de gobierno. Podrá actuar, incluso, mediante sociedades por ella participadas. 4. El régimen de contratación, de adquisición y de enajenación de la entidad se acomodará a las normas establecidas en derecho privado, sin perjuicio de lo determinado en la Ley 13/1995, de 18 de mayo, de Contratos de las Administraciones Públicas. 5. El régimen patrimonial de la entidad pública empresarial se ajustará a las previsiones del artículo 56 de la Ley 6/1997. No obstante, los actos de disposición y enajenación de los bienes que integran su patrimonio se regirán por el derecho privado. 6. La contratación del personal por la entidad pública empresarial se sujetará al derecho laboral, de acuerdo con las previsiones contenidas en el artículo 55 de la Ley 6/1997. 7. El régimen presupuestario, el económico-financiero, el de contabilidad, el de intervención y el de control financiero de la entidad pública empresarial será el establecido en la Ley General Presupuestaria, de acuerdo con lo previsto en el artículo 58 y en la disposición transitoria tercera de la Ley 6/1997. 8. La entidad pública empresarial se financiará con cargo a los Presupuestos Generales del Estado y mediante los ingresos derivados del ejercicio de su actividad. 9. Por acuerdo del Consejo de Ministros, se podrá convertir la entidad pública empresarial en sociedad mercantil.»
252
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
1) personas o entidades con o sin personalidad jurídica, 2) con intereses o con vínculos con España, 3) que reúnan los demás requisitos exigibles para la obtención de un nombre de dominio. Se asignarán al primer solicitante que tenga derecho a ello, sin que pueda otorgarse, con carácter general, un derecho preferente para la obtención o utilización de su nombre de dominio a los titulares de determinados derechos. Con la asignación de un nombre de dominio se confiere a su titular el derecho a su utilización. Este derecho está condicionado a: 1) cumplimiento de los requisitos que en cada caso se establezcan, 2) su mantenimiento en el tiempo. En caso de incumplimiento, previa tramitación del procedimiento que en cada caso se determine en la que se garantice la audiencia de los interesados, se procederá a la cancelación del nombre de dominio. Los titulares de un nombre de dominio bajo el «.es» deberán respetar las reglas y condiciones técnicas que establezca la autoridad de asignación para el adecuado funcionamiento del sistema de nombres de dominio bajo «.es». La persona u organización para la que se haya registrado el nombre de dominio será la responsable de uso correcto del mismo, de acuerdo con las leyes, así como del respeto a los derechos de propiedad intelectual o industrial. La autoridad de asignación procederá a la cancelación de aquellos nombres de dominio cuyos titulares hayan infringido los derechos de propiedad intelectual o industrial o la propia Ley, siempre que así se ordene en la correspondiente resolución judicial o resolución extrajudicial de conflictos cuando se hubiese elegido esta segunda opción. En el PNNDI se establecerán mecanismos adecuados para prevenir: a) el registro abusivo o especulativo de nombres de dominio, b) el aprovechamiento indebido de términos de significado genérico o topónimos, c) los conflictos que se puedan derivar de la asignación de nombres de dominio, d) el riesgo de error o confusión de los usuarios en cuanto a la titularidad de los nombres de dominio.
DISPOSICIONES VARIAS
253
La entidad pública empresarial Red.es establecerá la necesaria coordinación con los registros públicos españoles. El acceso a dichos registros por parte de Red.es deberá ser facilitado por los titulares de los mismos y tendrá carácter gratuito. La asignación de nombres de dominio y tanto la presentación de solicitudes como la práctica de notificaciones se realizarán por vía electrónica, salvo en los supuestos en que así esté previsto en los procedimientos de asignación y demás operaciones asociadas al registro de nombres de dominio. De acuerdo con los requisitos y condiciones que determine la autoridad de asignación, que en cualquier caso deberán respetar el principio de libre competencia, los agentes registradores, como intermediarios en los procedimientos relacionados con el registro de nombres de dominio, podrán prestar servicios auxiliares para la asignación y renovación de éstos. A propuesta de Red.es el PNNDI se aprobará por Orden del Ministro de Ciencia y Tecnología. De acuerdo con la disposición adicional decimoctava 4 de la Ley 14/2000, de 29 de diciembre, de Medidas fiscales administrativas y del orden social, el Plan Nacional de Nombres de Dominio en Internet se completará con los procedimientos para la asignación y demás operaciones asociadas al registro de nombres de dominio y direcciones de Internet que establezca el Presidente de la entidad pública empresarial Red.es. La autoridad de asignación, en los términos que permitan las disposiciones aplicables, podrá establecer un sistema de resolución extrajudicial de conflictos sobre la utilización de nombres de dominio, incluidos los relacionados con los derechos de propiedad industrial. Este sistema se aplicará sin perjuicio de las eventuales acciones judiciales que las partes puedan ejercitar debiendo asegurar a dichas partes las garantías procesales adecuadas. La entidad pública empresarial Red.es, con el objetivo de impulsar el desarrollo de la Administración electrónica, podrá prestar el servicio de noti4
Ley 14/2000, de 29 de diciembre, de Medidas fiscales, administrativas y del orden social. «Disposición adicional decimoctava. Procedimiento de asignación de nombres y direcciones de dominio de Internet bajo el código de país correspondiente a España (.es). El procedimiento de asignación de nombres y direcciones de dominio de Internet bajo el código de país correspondiente a España (.es) se regulará por el Gobierno mediante Real Decreto, a propuesta del Ministro de Ciencia y Tecnología, tomando en consideración los criterios de los organismos de asignación de nombres y direcciones en Internet de la Unión Europea, así como las directrices y recomendaciones de los Organismos Internacionales competentes en la materia, aplicándose supletoriamente las disposiciones de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.»
254
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
ficaciones administrativas telemáticas y acreditar de forma fehaciente la fecha y hora de su recepción.
20.3. DISPOSICIÓN TRANSITORIA Disposición transitoria única. Anotación en los correspondientes registros públicos de los nombres de dominio otorgados antes de la entrada en vigor de esta Ley Se establece el plazo de un año a partir de la correspondiente entrada en vigor de la Ley para que aquellos prestadores de servicios que antes de dicha fecha vinieran utilizando uno o más nombres de dominio o direcciones de Internet puedan solicitar la anotación de, al menos, uno de ellos en el registro público en que figuraran inscritos a efectos constitutivos o de publicidad.
20.4. DISPOSICIONES FINALES Disposición final primera. Modificación del artículo 37 de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones Se modifica el párrafo a) del apartado 1 del artículo 37 de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones 5, que queda redactado en los siguientes términos: «a) Que los ciudadanos puedan recibir conexión a la red telefónica pública fija y acceder a la prestación del servicio telefónico fijo disponible para el público. La conexión debe ofrecer al usuario la posibilidad de emitir y recibir llamadas nacionales e internacionales y permitir la transmisión de voz, fax y datos a velocidad suficiente para acceder de forma funcional a Internet. A estos efectos, se considerará que la velocidad suficiente a la que se refiere el párrafo anterior es la que se utiliza de manera generalizada para 5 Ley 11/1998, de 24 de abril, General de Telecomunicaciones. Artículo 37, apartado 1), párrafo a), antigua redacción: «a) Que todos los ciudadanos puedan recibir conexión a la red telefónica pública fija y acceder a la prestación del servicio telefónico fijo disponible para el público. La conexión debe ofrecer al usuario la posibilidad de emitir y recibir llamadas nacionales e internacionales y permitir la transmisión de voz, fax y datos.»
DISPOSICIONES VARIAS
255
acceder a Internet por los abonados al servicio telefónico fijo disponible para el público con conexión a la red mediante pares de cobre y módem para banda local.» Disposición final segunda. Modificación de la disposición adicional sexta de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones Se modifica el apartado 10 de la disposición adicional sexta de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones que quedará redactado como sigue: «10. Tasa por asignación del recurso limitado de nombres de dominio y direcciones de Internet. a) Hecho imponible. El hecho imponible de la tasa por asignación de nombres de dominio y direcciones de Internet estará constituido por la realización por la entidad pública empresarial Red.es de las actividades necesarias para la asignación y renovación de nombres de dominio y direcciones de Internet bajo el código de país correspondiente a España (.es). b) Sujetos pasivos. Serán sujetos pasivos de la tasa los solicitantes de la asignación o renovación de los nombres y direcciones de Internet. c) Cuantía. La cuantía de la tasa será única por cada nombre o dirección cuya asignación o renovación se solicite. En ningún caso se procederá a la asignación o a la renovación del nombre o dirección sin que se haya efectuado previamente el pago de la tasa. Sólo podrán modificarse mediante Ley el número e identidad de los elementos y criterios de cuantificación con base en los cuales se determinan las cuotas exigibles. A los efectos previstos en el párrafo anterior, se consideran elementos y criterios de cuantificación del importe exigible por asignación anual inicial de los nombres de dominio o direcciones de Internet el número asignado, el coste de las actividades de comprobación y verificación de las solicitudes de asignación, así como el nivel en que se produzca la asignación y, en el caso de renovación anual en los años sucesivos, el coste del mantenimiento de la asignación y de las actividades de comprobación y de actualización de datos. Igualmente, se atenderá al número de nombres o direcciones de In-
256
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
ternet asignados y a la actuación a través de agentes registradores para concretar la cuantía de la tasa. El establecimiento y modificación de las cuantías resultantes de la aplicación de los elementos y criterios de cuantificación a que se refieren los párrafos anteriores podrá efectuarse mediante Orden ministerial. No obstante lo dispuesto en los párrafos anteriores de este apartado, en los supuestos de carácter excepcional en que así esté previsto en el Plan Nacional de Nombres de Dominio de Internet y en los términos que en el mismo se fijen, con base en el especial valor de mercado del uso de determinados nombres y direcciones, la cuantía por asignación anual inicial podrá sustituirse por la que resulte de un procedimiento de licitación en el que se fijará un valor inicial de referencia estimado. Si el valor de adjudicación de la licitación resultase superior a dicho valor de referencia, aquél constituirá el importe de la tasa. En los supuestos en que se siga este procedimiento de licitación, el Ministerio de Ciencia y Tecnología requerirá, con carácter previo a su convocatoria, a la autoridad competente para el Registro de Nombres de Dominio para que suspenda el otorgamiento de los nombres y direcciones que considere afectados por su especial valor económico. A continuación, se procederá a aprobar el correspondiente pliego de bases que establecerá, tomando en consideración lo previsto en el Plan Nacional de Nombres de Dominio de Internet, los requisitos, condiciones y régimen aplicable a la licitación. d) Devengo. La tasa se devengará en la fecha en que se proceda, en los términos que se establezcan reglamentariamente, a la admisión de la solicitud de asignación o de renovación de los nombres o direcciones de Internet, que no se tramitará sin que se haya efectuado el pago correspondiente. e) Exacción y gestión recaudatoria. La exacción de la tasa se producirá a partir de la atribución de su gestión a la entidad pública empresarial Red.es y de la determinación del procedimiento para su liquidación y pago, mediante Orden Ministerial. Los modelos de declaración, plazos y formas de pago de la tasa se aprobarán mediante resolución de la entidad pública empresarial Red.es. El importe de los ingresos obtenidos por esta tasa se destinará a financiar los gastos de la entidad pública empresarial Red.es por las actividades realizadas en el cumplimiento de las funciones asignadas a la misma en los párrafos a), b), c) y d) del apartado 4 de esta disposición, ingresándose, en su caso, el excedente en el Tesoro Público, de acuerdo con la proporción y cuantía que se determine mediante resolución conjunta de las Secretarías de Estado de Presupuestos y Gastos y de Telecomunicaciones y para la Sociedad de la Información, a propuesta de esta última.»
DISPOSICIONES VARIAS
257
Disposición final tercera. Adición de una nueva disposición transitoria a la Ley 11/1998, de 24 de abril, General de Telecomunicaciones Se añade a la Ley 11/1998, de 24 de abril, General de Telecomunicaciones, una nueva disposición transitoria duodécima, con la siguiente redacción: «Disposición transitoria duodécima. Criterios para el desarrollo del plan de actualización tecnológica de la red de acceso de la red telefónica pública fija. En el plazo máximo de cinco meses a partir de la entrada en vigor de esta disposición, el operador designado para la prestación del servicio universal presentará al Ministerio de Ciencia y Tecnología, para su aprobación en el plazo de un mes, previo informe de la Comisión del Mercado de las Telecomunicaciones, un plan de actuación detallado para garantizar que las conexiones a la red telefónica pública fija posibiliten a sus abonados el acceso funcional a Internet y, en particular, a los conectados mediante Telefonía Rural de Acceso Celular (TRAC). El desarrollo del plan estará sujeto a las siguientes condiciones: a) Incluirá soluciones tecnológicas eficientes disponibles en el mercado para garantizar el derecho de los usuarios a disponer, previa solicitud a partir de la aprobación del plan, de la posibilidad de acceso funcional a Internet en el plazo máximo de sesenta días desde la fecha de dicha solicitud en las zonas con cobertura. Estas soluciones tecnológicas deberán prever su evolución a medio plazo hacia velocidades de banda ancha sin que ello conlleve necesariamente su sustitución. b) La implantación en la red de acceso de las soluciones tecnológicas a las que se refiere el párrafo a) deberá alcanzar a los abonados al servicio telefónico fijo disponible al público que, en la fecha de aprobación del plan, no tienen la posibilidad de acceso funcional a Internet, de acuerdo con el siguiente calendario: 1.o Al menos al 30 por 100 antes del 30 de junio de 2003. 2.o Al menos al 70 por 100 antes del 31 de diciembre de 2003. 3.o El 100 por 100 antes del 31 de diciembre de 2004. En todo caso, esta implantación alcanzará, al menos, al 50 por 100 de los citados abonados en cada una de las Comunidades Autónomas antes del 31 de diciembre de 2003.
258
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
c) En el plan de actuación deberá priorizarse el despliegue al que se refiere el párrafo b) con arreglo al criterio de mayor densidad de abonados afectados. d) A los efectos de lo dispuesto en los apartados anteriores y en caso de que sea necesario, el operador designado para la prestación del servicio universal podrá concluir con otros operadores titulares de concesiones de dominio público radioeléctrico, contratos de cesión de derechos de uso de las bandas de frecuencias necesarias para el cumplimiento de los objetivos establecidos en esta disposición. Dichos contratos deberán ser sometidos a la previa aprobación por parte del Ministerio de Ciencia y Tecnología, que podrá establecer las condiciones de salvaguarda del interés público que estime necesarias.» Disposición final cuarta. Modificación de la disposición derogatoria única de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones Se modifica el último párrafo de la disposición derogatoria única de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones 6, que queda redactada de la siguiente forma: «Igualmente, quedan derogadas cuantas otras disposiciones de igual o inferior rango a la presente Ley se opongan a lo dispuesto en ella y, en especial, a lo dispuesto en el artículo 37.1.a), en lo relativo a la velocidad de transmisión de datos.» Disposición final quinta. Adecuación de la regulación reglamentaria sobre contratación telefónica o electrónica con condiciones generales a esta Ley El Gobierno, en el plazo de un año, modificará el Real Decreto 1906/1999, de 17 de diciembre, por el que se regula la contratación telefónica o electrónica con condiciones generales en desarrollo del artículo 5.3 6 Ley 11/1998, de 24 de abril, General de Telecomunicaciones. Disposición derogatoria única, último párrafo, antigua redacción: «Igualmente quedan derogadas cuantas otras disposiciones de igual o inferior rango a la presente Ley se opongan a lo dispuesto en ella.»
DISPOSICIONES VARIAS
259
de la Ley 7/1998 7, de 13 de abril, sobre condiciones generales de la contratación, para adaptar su contenido a lo dispuesto en esta Ley. En dicha modificación, el Gobierno tendrá especialmente en cuenta la necesidad de facilitar la utilización real de los contratos electrónicos, conforme al mandato recogido en el artículo 9.1 de la Directiva 2000/31/CE 8. Disposición final sexta. Fundamento constitucional Esta Ley se dicta al amparo del artículo 149.1.6.a, 8.a y 21.a de la Constitución 9, sin perjuicio de las competencias de las Comunidades Autónomas. Disposición final séptima. Habilitación al Gobierno Se habilita al Gobierno para desarrollar mediante Reglamento lo previsto en esta Ley. Disposición final octava. Distintivo de adhesión a códigos de conducta que incorporan determinadas garantías En el plazo de un año a partir de la entrada en vigor de esta Ley, el Gobierno aprobará un distintivo que permita identificar a los prestadores de 7
Ley 7/1998, de 13 de abril, sobre condiciones generales de la contratación, artículo 5.3: «5.3. En los casos de contratación telefónica o electrónica será necesario que conste en los términos que reglamentariamente se establezcan la aceptación de todas y cada una de las cláusulas del contrato, sin necesidad de firma convencional. En este supuesto, se enviará inmediatamente al consumidor justificación escrita de la contratación efectuada, donde constarán todos los términos de la misma.» 8 Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular al comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico), artículo 9.1: Tratamiento de los contratos por vía electrónica «9.1. Los Estados miembros velarán por que su legislación permita la celebración de contratos por vía electrónica. Los Estados miembros garantizarán en particular que el régimen jurídico aplicable al proceso contractual no entorpezca la utilización real de los contratos por vía electrónica, ni conduzca a privar de efecto y de validez jurídica a este tipo de contratos en razón de su celebración por vía electrónica.» 9 Constitución española, artículo 149.1.6.a, 8.a y 21.a: «1. El Estado tiene competencia exclusiva sobre las siguientes materias:
260
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
servicios que respeten códigos de conducta adoptados con la participación del Consejo de Consumidores y Usuarios, y que incluyan, entre otros contenidos, la adhesión al Sistema Arbitral de Consumo o a otros sistemas de resolución extrajudicial de conflictos que respeten los principios establecidos en la normativa comunitaria sobre sistemas alternativos de resolución de conflictos con consumidores, en los términos que reglamentariamente se establezcan. Disposición final novena. Entrada en vigor Esta Ley entrará en vigor a los tres meses de su publicación en el Boletín Oficial del Estado. No obstante, las disposiciones adicional sexta y finales primera, segunda, tercera y cuarta de esta Ley entrarán en vigor el día siguiente al de su publicación en el Boletín Oficial del Estado: Disposición adicional sexta. Sistema de asignación de nombres de dominio bajo el «.es». Disposición final primera. Modificación del artículo 37 de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones. Disposición final segunda. Modificación de la disposición adicional sexta de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones. Disposición final tercera. Adición de una nueva disposición transitoria a la Ley 11/1998, de 24 de abril, General de Telecomunicaciones. Disposición final cuarta. Modificación de la disposición derogatoria única de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones.
[...] 6.a. Legislación mercantil, penal y penitenciaria; legislación procesal, sin perjuicio de las necesarias especialidades que en este orden se deriven de las particularidades del derecho sustantivo de las Comunidades Autónomas. 8.a. Legislación civil, sin perjuicio de la conservación, modificación y desarrollo por las Comunidades Autónomas de los derechos civiles, forales o especiales, allí donde existan. En todo caso, las reglas relativas a la aplicación y eficacia de las normas jurídicas, relaciones jurídico-civiles relativas a las formas de matrimonio, ordenación de los registros e instrumentos públicos, bases de obligaciones contractuales, normas para resolver los conflictos de leyes y determinación de las fuentes del Derecho, con respeto, en este último caso, a las normas de derecho foral o especial. 21.a. Ferrocarriles y transportes terrestres que transcurran por el territorio de más de una Comunidad Autónoma; régimen general de comunicaciones; tráfico y circulación de vehículos a motor; correos y telecomunicaciones; cables aéreos, submarinos y radiocomunicación.»
DISPOSICIONES VARIAS
261
20.5. CUESTIONES 20.5.00. ¿Qué fundamento constitucional tiene esta Ley? 20.5.01. ¿Qué plazo tienen los prestadores de servicios que ya venían utilizando un nombre de dominio antes de la entrada en vigor de la Ley para efectuar la inscripción en el Registro? 20.5.02. ¿Quién debe aprobar el Plan Nacional de Nombres de Dominio de Internet? 20.5.03. ¿Qué función tiene la entidad pública empresarial Red.es? 20.5.04. ¿Qué fin se persigue con que Red.es pueda prestar el servicio de notificaciones administrativas? 20.5.05. ¿Cuáles son las modificaciones que se efectúan en el Código Civil y en el Código de Comercio? 20.5.06. ¿A qué entidad corresponde la asignación de nombres de dominio de Internet bajo «.es»? 20.5.07. ¿Qué debe prevenir el Plan Nacional de Nombres de Dominio de Internet? 20.5.08. ¿A quiénes identificará el distintivo que debe aprobar el Gobierno? 20.5.09. ¿Quién será el responsable del uso incorrecto del nombre de dominio?
21 Conclusiones finales «Conservar el pasado y cambiar por necesidad o crear el futuro, cambiando por elección.» (La empresa virtual, Félix Cuesta Fernández)
Cuando creíamos haber terminado con mayor o menor acierto la tarea emprendida, nos encontramos con que aún queda un capítulo pendiente, el correspondiente a las conclusiones. Siempre hemos pensado que esta tarea debería corresponder al amable lector, si ha sido capaz de llegar hasta aquí, pues él es más independiente a la hora de exponer unas conclusiones. No obstante, a pesar de ello, a continuación vamos a ir sacando algunas conclusiones de lo expuesto a través de la obra. Primera. Tenemos que ser conscientes de que vivimos una época de revolución en la que los cambios se suceden con una rapidez nunca conocida, afectando a las más diversas áreas y llevando sus consecuencias a prácticamente todos los lugares del mundo. La implantación en la sociedad de las Nuevas Tecnologías en su conjunto, y no sólo las de la Información y las Comunicaciones, hace que el cambio sea más profundo. La sociedad ha evolucionado en las últimas décadas del pasado siglo y el siglo XXI se presenta aún con más aires de cambio. El nombre que se le dé a esta nueva sociedad no tiene mayor importancia, para unos será la sociedad del saber; para otros, del conocimiento; y para la mayoría, de la información. Lo que tenemos que hacer es prepararnos para el mundo que viene, que como todas las cosas tendrá su parte buena y su parte menos buena, que con talante optimista no hemos de pensar que sea mala. 263
264
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Segunda. Unos momentos así precisan que el derecho, como siempre ha sucedido, regule las nuevas situaciones que, en muchas ocasiones, rompen con todo lo anterior, de ahí la dificultad de aplicar el derecho vigente a aquéllas. El peligro que se nos presenta es el de que no sepamos cómo hacerlo y caigamos en el riesgo de una saturación en la elaboración de nuevas normas. Leyes nuevas sí, pero las justas, y esto en los dos sentidos: de cantidad y justicia. Tercera. Se habla mucho de comercio electrónico, pero realmente no vemos aún una definición que marque de una manera clara sus límites conceptuales, más bien parece un cajón de sastre en el que prácticamente cabe todo. Sería de desear llegar a esa definición que, lejos de intereses sectoriales, marque, en cierto modo, el rumbo a seguir. Cuarta. El comercio electrónico, una vez se hayan aclarado las nubes que se ciernen sobre él, tiene un porvenir magnífico, pero no frente al comercio tradicional, sino complementándolo en áreas donde éste no puede llegar. Eso no quiere decir que no vayan a existir puntos de fricción en los que los intereses de ambos coincidan, pero este tipo de colisión no es nada nuevo en el mundo del derecho y éste habrá de encontrar la forma de regularlo. Quinta. La seguridad es tan necesaria o más en este mundo que viene como en el que vivimos; ahora bien, sin caer en histerismos absurdos, muchas veces propiciados por quienes tienen interés en vender seguridad. Seguridad sí, pero sólo la necesaria en función del valor que tratemos de asegurar. Sexta. De nada serviría adoptar medidas de seguridad si no tenemos un sistema que nos garantice que son efectivas y, más aún, cuando los sistemas tienden cada vez más a ser automatizados. Por ello, hemos de acostumbrarnos a que las auditorías sean algo habitual en todo tipo de empresa. Séptima. Lentamente, en nuestro país vamos dándonos cuenta de la importancia que tienen los datos de carácter personal, aunque queda mucho trabajo por hacer. Para el comercio electrónico, la transferencia de datos de unos lugares a otros es vital, pero ello no ha de ser óbice para que estos datos queden protegidos.
CONCLUSIONES FINALES
265
Los datos de carácter personal deben gozar de la protección que las leyes les otorgan. Octava. La Directiva Europea 2000/31/CE del Parlamento y del Consejo, de 8 de junio, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico) marca las directrices que deben seguir los Estados miembros al transponer la misma a sus ordenamientos jurídicos. Se autotitula de comercio electrónico, pero ni da una definición del mismo ni dedica muchos de sus artículos a su regulación. Novena. La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico es mucho más amplia de contenido que la Directiva. A pesar de haber sido una Ley que en su fase de Anteproyecto fue sometida ampliamente a consulta pública y a informe de numerosos organismos, no parece que termine de satisfacer. Indudablemente, esto último es siempre difícil, y más cuando se trata de regular algo tan nuevo y tan cambiante. Décima. La Ley, a falta de su desarrollo reglamentario, tiene muchas lagunas y, en algunos casos, parece que al modificarse la idea original, el resultado final no tiene mucho sentido. Por ejemplo, la inscripción de los nombres de dominio en un Registro Público presenta problemas, pues hay prestadores de servicios que no necesariamente tienen que estar registrados. Esto, más bien, parece la herencia del hecho de querer que todos los prestadores de servicios se inscribiesen en un Registro creado para ello, algo que no era factible hacer, pues podría atentar contra el principio de libre prestación de servicios. Undécima. La prohibición del envío de comunicaciones comerciales no solicitadas es positiva dado el alcance a que habían llegado, causando, en algunos casos, verdaderos problemas para el receptor, pues, debido a su facilidad y economía, se habían convertido en uno de los principales medios para el envío de publicidad. Duodécima. Las obligaciones que la Ley prevé para el prestador del servicio antes de la contratación y con posterioridad a la misma quizá sean excesivas para un medio como Internet, en el que, sobre todas las cosas, prima la rapidez.
266
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Decimotercera. Entendemos que es muy positiva la unificación que se hace de los criterios, hasta ahora dispares, en el Código Civil y el Código de Comercio, respecto al momento y el lugar en que se presume que se ha celebrado el contrato cuando el que hizo la oferta y el que la aceptó se hallan en lugares distintos. Decimocuarta. Curiosamente, la Ley 34/2002, de 11 de julio, para ejercer la acción de cesación remite a la Ley de Enjuiciamiento Civil, cuando ésta en dicha fecha no contemplaba esta acción. Fue la Ley 39/2002, de 28 de octubre, la que, incorporando al ordenamiento jurídico español la Directiva 98/27/CE, de 19 de mayo de 1998, relativa a las acciones de cesación en materia de protección de los intereses de los consumidores, en su Capítulo I (art. 1) modifica la Ley de Enjuiciamiento Civil. Decimoquinta. Las sanciones que se fijan en la Ley rozan el absurdo y pensamos que serán un grave freno para el desarrollo del comercio electrónico en nuestro país. No escarmentamos, pues ya hemos padecido la experiencia de la LOPD. Se dice que si las multas no son cuantiosas, no intimidan a los grandes empresarios, olvidando que para éstos la cuantía no es importante, siempre y cuando el beneficio de la infracción sea mayor; y, sin embargo, a la mediana y pequeña empresa las asusta. En un momento en que muchas PYMES estaban pensando si entrar o no en el nuevo modo de negociar, esta Ley ha sido un jarro de agua fría que seguramente hará desistir a muchas. Otros países no llegan a estas cifras en las sanciones. Parece que hay una obsesión: antes con los cien millones de pesetas y ahora con los 600.000 euros. Decimosexta. Dada la importancia que tiene el sistema de asignación de nombres de dominio bajo «.es», no parece adecuado el lugar elegido para regularlo una disposición adicional de una Ley sobre otra materia. Creemos que debería haber tenido una Ley propia. Decimoséptima. Aunque la Ley no tiene como objetivo la fiscalidad del comercio electrónico en Internet, indudablemente esta preocupación de los Gobiernos sobrevuela por encima de la Directiva europea y consiguientemente de la Ley española. Los gestores de la Hacienda Pública son conscientes de la pérdida sufrida de los controles fiscales clásicos, la facilidad existente para la ocultación, la
CONCLUSIONES FINALES
267
gran movilidad de las operadoras, la constancia de que los sujetos que intervienen en la operación pueden no estar identificados y se pueden camuflar fácilmente. Asimismo, se pueden utilizar identidades falsas para operar en la Red. Cuanto más se regule Internet, más fácilmente se podrán imponer tributos sobre los servicios realizados a través de ésta. Se podrían sacar bastantes más conclusiones y críticas de lo expuesto, pues, como siempre decimos, es más fácil criticar que crear; pero consideramos que con las que hemos hecho es suficiente para que, a partir de ellas, el lector pueda completarlas. Deseamos, en cualquier caso, estar equivocados en las críticas, en algunos casos pesimistas, que hemos hecho, pero nos tememos que no sea así y el deseado desarrollo del comercio electrónico se ralentice por el momento.
ANEXOS
Anexo 1 Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico
(BOE núm. 166, de 12 de julio de 2002) JUAN CARLOS I REY DE ESPAÑA
A todos los que la presente vieren y entendieren. Sabed: Que las Cortes Generales han aprobado y Yo vengo en sancionar la siguiente Ley. EXPOSICIÓN DE MOTIVOS I La presente Ley tiene como objeto la incorporación al ordenamiento jurídico español de la Directiva 2000/31/CE, del Parlamento Europeo y del Consejo, de 8 de junio, relativa a determinados aspectos de los servicios de la sociedad de la información, en particular, el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico). Asimismo, incorpora parcialmente la Directiva 98/27/CE, del Parlamento Europeo y del Consejo, de 19 de mayo, relativa a las acciones de cesación en materia de protección de los intereses de los consumidores, al regular, de conformidad con lo establecido en ella, una acción de cesación contra las conductas que contravengan lo dispuesto en esta Ley. 271
272
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Lo que la Directiva 2000/31/CE denomina «sociedad de la información» viene determinado por la extraordinaria expansión de las redes de telecomunicaciones y, en especial, de Internet como vehículo de transmisión e intercambio de todo tipo de información. Su incorporación a la vida económica y social ofrece innumerables ventajas, como la mejora de la eficiencia empresarial, el incremento de las posibilidades de elección de los usuarios y la aparición de nuevas fuentes de empleo. Pero la implantación de Internet y las nuevas tecnologías tropieza con algunas incertidumbres jurídicas, que es preciso aclarar con el establecimiento de un marco jurídico adecuado, que genere en todos los actores intervinientes la confianza necesaria para el empleo de este nuevo medio. Eso es lo que pretende esta Ley, que parte de la aplicación a las actividades realizadas por medios electrónicos de las normas tanto generales como especiales que las regulan, ocupándose tan sólo de aquellos aspectos que, ya sea por su novedad o por las peculiaridades que implica su ejercicio por vía electrónica, no están cubiertos por dicha regulación. II Se acoge, en la Ley, un concepto amplio de «servicios de la sociedad de la información», que engloba, además de la contratación de bienes y servicios por vía electrónica, el suministro de información por dicho medio (como el que efectúan los periódicos o revistas que pueden encontrarse en la red), las actividades de intermediación relativas a la provisión de acceso a la red, a la transmisión de datos por redes de telecomunicaciones, a la realización de copia temporal de las páginas de Internet solicitadas por los usuarios, al alojamiento en los propios servidores de información, servicios o aplicaciones facilitados por otros o a la provisión de instrumentos de búsqueda o de enlaces a otros sitios de Internet, así como cualquier otro servicio que se preste a petición individual de los usuarios (descarga de archivos de vídeo o audio...), siempre que represente una actividad económica para el prestador. Estos servicios son ofrecidos por los operadores de telecomunicaciones, los proveedores de acceso a Internet, los portales, los motores de búsqueda o cualquier otro sujeto que disponga de un sitio en Internet a través del que realice alguna de las actividades indicadas, incluido el comercio electrónico. Desde un punto de vista subjetivo, la Ley se aplica, con carácter general, a los prestadores de servicios establecidos en España. Por «establecimiento» se entiende el lugar desde el que se dirige y gestiona una actividad económica, definición esta que se inspira en el concepto de domicilio fiscal recogido en las
ANEXO 1
273
normas tributarias españolas y que resulta compatible con la noción material de establecimiento predicada por el Derecho comunitario. La Ley resulta igualmente aplicable a quienes sin ser residentes en España prestan servicios de la sociedad de la información a través de un «establecimiento permanente» situado en España. En este último caso, la sujeción a la Ley es únicamente parcial, respecto a aquellos servicios que se presten desde España. El lugar de establecimiento del prestador de servicios es un elemento esencial en la Ley, porque de él depende el ámbito de aplicación no sólo de esta Ley, sino de todas las demás disposiciones del ordenamiento español que les sean de aplicación, en función de la actividad que desarrollen. Asimismo, el lugar de establecimiento del prestador determina la ley y las autoridades competentes para el control de su cumplimiento, de acuerdo con el principio de la aplicación de la ley del país de origen que inspira la Directiva 2000/31/CE. Por lo demás, sólo se permite restringir la libre prestación en España de servicios de la sociedad de la información procedentes de otros países pertenecientes al Espacio Económico Europeo en los supuestos previstos en la Directiva 2000/31/CE, que consisten en la producción de un daño o peligro graves contra ciertos valores fundamentales como el orden público, la salud pública o la protección de los menores. Igualmente, podrá restringirse la prestación de servicios provenientes de dichos Estados cuando afecten a alguna de las materias excluidas del principio de país de origen, que la Ley concreta en su artículo 3, y se incumplan las disposiciones de la normativa española que, en su caso, resulte aplicable a las mismas. III Se prevé la anotación del nombre o nombres de dominio de Internet que correspondan al prestador de servicios en el registro público en que, en su caso, dicho prestador conste inscrito para la adquisición de personalidad jurídica o a los solos efectos de publicidad, con el fin de garantizar que la vinculación entre el prestador, su establecimiento físico y su «establecimiento» o localización en la red, que proporciona su dirección de Internet, sea fácilmente accesible para los ciudadanos y la Administración pública. La Ley establece, asimismo, las obligaciones y responsabilidades de los prestadores de servicios que realicen actividades de intermediación como las de transmisión, copia, alojamiento y localización de datos en la red. En general, éstas imponen a dichos prestadores un deber de colaboración para impedir que determinados servicios o contenidos ilícitos se sigan divulgando.
274
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Las responsabilidades que pueden derivar del incumplimiento de estas normas no son sólo de orden administrativo, sino de tipo civil o penal, según los bienes jurídicos afectados y las normas que resulten aplicables. Destaca, por otra parte, en la Ley, su afán por proteger los intereses de los destinatarios de servicios, de forma que éstos puedan gozar de garantías suficientes a la hora de contratar un servicio o bien por Internet. Con esta finalidad, la Ley impone a los prestadores de servicios la obligación de facilitar el acceso a sus datos de identificación a cuantos visiten su sitio en Internet; la de informar a los destinatarios sobre los precios que apliquen a sus servicios y la de permitir a éstos visualizar, imprimir y archivar las condiciones generales a que se someta, en su caso, el contrato. Cuando la contratación se efectúe con consumidores, el prestador de servicios deberá, además, guiarles durante el proceso de contratación, indicándoles los pasos que han de dar y la forma de corregir posibles errores en la introducción de datos, y confirmar la aceptación realizada una vez recibida. En lo que se refiere a las comunicaciones comerciales, la Ley establece que éstas deban identificarse como tales, y prohíbe su envío por correo electrónico u otras vías de comunicación electrónica equivalente, salvo que el destinatario haya prestado su consentimiento. IV Se favorece igualmente la celebración de contratos por vía electrónica, al afirmar la Ley, de acuerdo con el principio espiritualista que rige la perfección de los contratos en nuestro Derecho, la validez y eficacia del consentimiento prestado por vía electrónica, declarar que no es necesaria la admisión expresa de esta técnica para que el contrato surta efecto entre las partes, y asegurar la equivalencia entre los documentos en soporte papel y los documentos electrónicos a efectos del cumplimiento del requisito de «forma escrita» que figura en diversas leyes. Se aprovecha la ocasión para fijar el momento y lugar de celebración de los contratos electrónicos, adoptando una solución única, también válida para otros tipos de contratos celebrados a distancia, que unifica el criterio dispar contenido hasta ahora en los Códigos Civil y de Comercio. Las disposiciones contenidas en esta Ley sobre aspectos generales de la contratación electrónica, como las relativas a la validez y eficacia de los contratos electrónicos o al momento de prestación del consentimiento, serán de aplicación aun cuando ninguna de las partes tenga la condición de prestador o destinatario de servicios de la sociedad de la información.
ANEXO 1
275
La Ley promueve la elaboración de códigos de conducta sobre las materias reguladas en esta Ley, al considerar que son un instrumento de autorregulación especialmente apto para adaptar los diversos preceptos de la Ley a las características específicas de cada sector. Por su sencillez, rapidez y comodidad para los usuarios, se potencia igualmente el recurso al arbitraje y a los procedimientos alternativos de resolución de conflictos que puedan crearse mediante códigos de conducta, para dirimir las disputas que puedan surgir en la contratación electrónica y en el uso de los demás servicios de la sociedad de la información. Se favorece, además, el uso de medios electrónicos en la tramitación de dichos procedimientos, respetando, en su caso, las normas que, sobre la utilización de dichos medios, establezca la normativa específica sobre arbitraje. De conformidad con lo dispuesto en las Directivas 2000/31/CE y 98/27/CE, se regula la acción de cesación que podrá ejercitarse para hacer cesar la realización de conductas contrarias a la presente Ley que vulneren los intereses de los consumidores y usuarios. Para el ejercicio de esta acción, deberá tenerse en cuenta, además de lo dispuesto en esta Ley, lo establecido en la Ley general de incorporación de la Directiva 98/27/CE. La Ley prevé, asimismo, la posibilidad de que los ciudadanos y entidades se dirijan a diferentes Ministerios y órganos administrativos para obtener información práctica sobre distintos aspectos relacionados con las materias objeto de esta Ley, lo que requerirá el establecimiento de mecanismos que aseguren la máxima coordinación entre ellos y la homogeneidad y coherencia de la información suministrada a los usuarios. Finalmente, se establece un régimen sancionador proporcionado pero eficaz, como indica la Directiva 2000/31/CE, para disuadir a los prestadores de servicios del incumplimiento de lo dispuesto en esta Ley. Asimismo, se contempla en la Ley una serie de previsiones orientadas a hacer efectiva la accesibilidad de las personas con discapacidad a la información proporcionada por medios electrónicos, y muy especialmente a la información suministrada por las Administraciones públicas, compromiso al que se refiere la Resolución del Consejo de la Unión Europea de 25 de marzo de 2002, sobre accesibilidad de los sitios web públicos y de su contenido. La presente disposición ha sido elaborada siguiendo un amplio proceso de consulta pública y ha sido sometida al procedimiento de información en materia de normas y reglamentaciones técnicas previsto en la Directiva 98/34/CE, del Parlamento Europeo y del Consejo, de 22 de junio, modificada por la Directiva 98/48/CE, del Parlamento Europeo y del Consejo, de 20 de julio, y en el Real Decreto 1337/1999, de 31 de julio.
276
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
TÍTULO I. DISPOSICIONES GENERALES CAPÍTULO I OBJETO Artículo 1. Objeto. 1. Es objeto de la presente Ley la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica, en lo referente a las obligaciones de los prestadores de servicios incluidos los que actúan como intermediarios en la transmisión de contenidos por las redes de telecomunicaciones, las comunicaciones comerciales por vía electrónica, la información previa y posterior a la celebración de contratos electrónicos, las condiciones relativas a su validez y eficacia y el régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información. 2. Las disposiciones contenidas en esta Ley se entenderán sin perjuicio de lo dispuesto en otras normas estatales o autonómicas ajenas al ámbito normativo coordinado, o que tengan como finalidad la protección de la salud y seguridad pública, incluida la salvaguarda de la defensa nacional, los intereses del consumidor, el régimen tributario aplicable a los servicios de la sociedad de la información, la protección de datos personales y la normativa reguladora de defensa de la competencia. CAPÍTULO II ÁMBITO DE APLICACIÓN Artículo 2. Prestadores de servicios establecidos en España. 1. Esta Ley será de aplicación a los prestadores de servicios de la sociedad de la información establecidos en España y a los servicios prestados por ellos. Se entenderá que un prestador de servicios está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que éstos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios. En otro caso, se atenderá al lugar en que se realice dicha gestión o dirección. 2. Asimismo, esta Ley será de aplicación a los servicios de la sociedad de la información que los prestadores residentes o domiciliados en otro Es-
ANEXO 1
277
tado ofrezcan a través de un establecimiento permanente situado en España. Se considerará que un prestador opera mediante un establecimiento permanente situado en territorio español cuando disponga en el mismo, de forma continuada o habitual, de instalaciones o lugares de trabajo, en los que realice toda o parte de su actividad. 3. A los efectos previstos en este artículo, se presumirá que el prestador de servicios está establecido en España cuando el prestador o alguna de sus sucursales se haya inscrito en el Registro Mercantil o en otro registro público español en el que fuera necesaria la inscripción para la adquisición de personalidad jurídica. La utilización de medios tecnológicos situados en España, para la prestación o el acceso al servicio, no servirá como criterio para determinar, por sí solo, el establecimiento en España del prestador. 4. Los prestadores de servicios de la sociedad de la información establecidos en España estarán sujetos a las demás disposiciones del ordenamiento jurídico español que les sean de aplicación, en función de la actividad que desarrollen, con independencia de la utilización de medios electrónicos para su realización. Artículo 3. Prestadores de servicios establecidos en otro Estado miembro de la Unión Europea o del Espacio Económico Europeo. 1. Sin perjuicio de lo dispuesto en los artículos 7.1 y 8, esta Ley se aplicará a los prestadores de servicios de la sociedad de la información establecidos en otro Estado miembro de la Unión Europea o del Espacio Económico Europeo cuando el destinatario de los servicios radique en España y los servicios afecten a las materias siguientes: a) Derechos de propiedad intelectual o industrial. b) Emisión de publicidad por instituciones de inversión colectiva. c) Actividad de seguro directo realizada en régimen de derecho de establecimiento o en régimen de libre prestación de servicios. d) Obligaciones nacidas de los contratos celebrados por personas físicas que tengan la condición de consumidores. e) Régimen de elección por las partes contratantes de la legislación aplicable a su contrato. f) Licitud de las comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente no solicitadas.
278
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
2. En todo caso, la constitución, transmisión, modificación y extinción de derechos reales sobre bienes inmuebles sitos en España se sujetará a los requisitos formales de validez y eficacia establecidos en el ordenamiento jurídico español. 3. Los prestadores de servicios a los que se refiere el apartado 1 quedarán igualmente sometidos a las normas del ordenamiento jurídico español que regulen las materias señaladas en dicho apartado. 4. No será aplicable lo dispuesto en los apartados anteriores a los supuestos en que, de conformidad con las normas reguladoras de las materias enumeradas en el apartado 1, no fuera de aplicación la ley del país en que resida o esté establecido el destinatario del servicio. Artículo 4. Prestadores establecidos en un Estado no perteneciente a la Unión Europea o al Espacio Económico Europeo. A los prestadores establecidos en países que no sean miembros de la Unión Europea o del Espacio Económico Europeo les será de aplicación lo dispuesto en los artículos 7.2 y 8. Los prestadores que dirijan sus servicios específicamente al territorio español quedarán sujetos, además, a las obligaciones previstas en esta Ley, siempre que ello no contravenga lo establecido en tratados o convenios internacionales que sean aplicables. Artículo 5. Servicios excluidos del ámbito de aplicación de la Ley. 1. Se regirán por su normativa específica las siguientes actividades y servicios de la sociedad de la información: a) Los servicios prestados por notarios y registradores de la propiedad y mercantiles en el ejercicio de sus respectivas funciones públicas. b) Los servicios prestados por abogados y procuradores en el ejercicio de sus funciones de representación y defensa en juicio. 2. Las disposiciones de la presente Ley, con la excepción de lo establecido en el artículo 7.1, serán aplicables a los servicios de la sociedad de la información relativos a juegos de azar que impliquen apuestas de valor económico, sin perjuicio de lo establecido en su legislación específica estatal o autonómica.
ANEXO 1
279
TÍTULO II. PRESTACIÓN DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN CAPÍTULO I PRINCIPIO DE LIBRE PRESTACIÓN DE SERVICIOS Artículo 6. No sujeción a autorización previa. La prestación de servicios de la sociedad de la información no estará sujeta a autorización previa. Esta norma no afectará a los regímenes de autorización previstos en el ordenamiento jurídico que no tengan por objeto específico y exclusivo la prestación por vía electrónica de los correspondientes servicios. Artículo 7. Principio de libre prestación de servicios. 1. La prestación de servicios de la sociedad de la información que procedan de un prestador establecido en algún Estado miembro de la Unión Europea o del Espacio Económico Europeo se realizará en régimen de libre prestación de servicios, sin que pueda establecerse ningún tipo de restricciones a los mismos por razones derivadas del ámbito normativo coordinado, excepto en los supuestos previstos en los artículos 3 y 8. 2. La aplicación del principio de libre prestación de servicios de la sociedad de la información a prestadores establecidos en Estados no miembros del Espacio Económico Europeo se atendrá a los acuerdos internacionales que resulten de aplicación. Artículo 8. Restricciones a la prestación de servicios. 1. En caso de que un determinado servicio de la sociedad de la información atente o pueda atentar contra los principios que se expresan a continuación, los órganos competentes para su protección, en ejercicio de las funciones que tengan legalmente atribuidas, podrán adoptar las medidas necesarias para que se interrumpa su prestación o para retirar los datos que los vulneran. Los principios a que alude este apartado son los siguientes: a) La salvaguarda del orden público, la investigación penal, la seguridad pública y la defensa nacional. b) La protección de la salud pública o de las personas físicas que tengan la condición de consumidores o usuarios, incluso cuando actúen como inversores.
280
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
c) El respeto a la dignidad de la persona y al principio de no discriminación por motivos de raza, sexo, religión, opinión, nacionalidad, discapacidad o cualquier otra circunstancia personal o social, y d) La protección de la juventud y de la infancia. En la adopción y cumplimiento de las medidas de restricción a que alude este apartado se respetarán, en todo caso, las garantías, normas y procedimientos previstos en el ordenamiento jurídico para proteger los derechos a la intimidad personal y familiar, a la protección de los datos personales, a la libertad de expresión o a la libertad de información, cuando éstos pudieran resultar afectados. En todos los casos en que la Constitución, las normas reguladoras de los respectivos derechos y libertades o las que resulten aplicables a las diferentes materias atribuyan competencia a los órganos jurisdiccionales para intervenir en el ejercicio de actividades o derechos, sólo la autoridad judicial competente podrá adoptar las medidas previstas en este artículo. 2. Si para garantizar la efectividad de la resolución que acuerde la interrupción de la prestación de un servicio o la retirada de datos procedentes de un prestador establecido en otro Estado, el órgano competente estimara necesario impedir el acceso desde España a los mismos, podrá ordenar a los prestadores de servicios de intermediación establecidos en España, directamente o mediante solicitud motivada al Ministerio de Ciencia y Tecnología, que tomen las medidas necesarias para impedir dicho acceso. Será de aplicación lo dispuesto en el artículo 11 cuando los datos que deban retirarse o el servicio que deba interrumpirse procedan de un prestador establecido en España. 3. Las medidas de restricción a que hace referencia este artículo serán objetivas, proporcionadas y no discriminatorias, y se adoptarán de forma cautelar o en ejecución de las resoluciones que se dicten, conforme a los procedimientos administrativos legalmente establecidos o a los previstos en la legislación procesal que corresponda. 4. Fuera del ámbito de los procesos judiciales, cuando se establezcan restricciones que afecten a un servicio de la sociedad de la información que proceda de alguno de los Estados miembros de la Unión Europea o del Espacio Económico Europeo distinto de España, se seguirá el siguiente procedimiento: a) El órgano competente requerirá al Estado miembro en que esté establecido el prestador afectado para que adopte las medidas oportunas. En el
ANEXO 1
281
caso de que no las adopte o resulten insuficientes, dicho órgano notificará, con carácter previo, a la Comisión Europea o, en su caso, al Comité Mixto del Espacio Económico Europeo y al Estado miembro de que se trate las medidas que tiene intención de adoptar. b) En los supuestos de urgencia, el órgano competente podrá adoptar las medidas oportunas, notificándolas al Estado miembro de procedencia y a la Comisión Europea o, en su caso, al Comité Mixto del Espacio Económico Europeo en el plazo de quince días desde su adopción. Asimismo, deberá indicar la causa de dicha urgencia. Los requerimientos y notificaciones a que alude este apartado se realizarán siempre a través del órgano de la Administración General del Estado competente para la comunicación y transmisión de información a las Comunidades Europeas. CAPÍTULO II OBLIGACIONES Y RÉGIMEN DE RESPONSABILIDAD DE LOS PRESTADORES DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN SECCIÓN 1.a OBLIGACIONES Artículo 9. Constancia registral del nombre de dominio. 1. Los prestadores de servicios de la sociedad de la información establecidos en España deberán comunicar al Registro Mercantil en el que se encuentren inscritos, o a aquel otro registro público en el que lo estuvieran para la adquisición de personalidad jurídica o a los solos efectos de publicidad, al menos, un nombre de dominio o dirección de Internet que, en su caso, utilicen para su identificación en Internet, así como todo acto de sustitución o cancelación de los mismos, salvo que dicha información conste ya en el correspondiente registro. 2. Los nombres de dominio y su sustitución o cancelación se harán constar en cada registro, de conformidad con sus normas reguladoras. Las anotaciones practicadas en los Registros Mercantiles se comunicarán inmediatamente al Registro Mercantil Central para su inclusión entre los datos que son objeto de publicidad informativa por dicho Registro. 3. La obligación de comunicación a que se refiere el apartado 1 deberá cumplirse en el plazo de un mes desde la obtención, sustitución o cancelación del correspondiente nombre de dominio o dirección de Internet.
282
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Artículo 10. Información general. 1. Sin perjuicio de los requisitos que en materia de información se establecen en la normativa vigente, el prestador de servicios de la sociedad de la información estará obligado a disponer de los medios que permitan, tanto a los destinatarios del servicio como a los órganos competentes, acceder por medios electrónicos, de forma permanente, fácil, directa y gratuita, a la siguiente información: a) Su nombre o denominación social; su residencia o domicilio o, en su defecto, la dirección de uno de sus establecimientos permanentes en España; su dirección de correo electrónico y cualquier otro dato que permita establecer con él una comunicación directa y efectiva. b) Los datos de su inscripción en el Registro a que se refiere el artículo 9. c) En el caso de que su actividad estuviese sujeta a un régimen de autorización administrativa previa, los datos relativos a dicha autorización y los identificativos del órgano competente encargado de su supervisión. d) Si ejerce una profesión regulada deberá indicar: 1.o Los datos del Colegio profesional al que, en su caso, pertenezca y número de colegiado. 2.o El título académico oficial o profesional con el que cuente. 3.o El Estado de la Unión Europea o del Espacio Económico Europeo en el que se expidió dicho título y, en su caso, la correspondiente homologación o reconocimiento. 4.o Las normas profesionales aplicables al ejercicio de su profesión y los medios a través de los cuales se puedan conocer, incluidos los electrónicos. e) El número de identificación fiscal que le corresponda. f) Información clara y exacta sobre el precio del producto o servicio, indicando si incluye o no los impuestos aplicables y, en su caso, sobre los gastos de envío. g) Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos electrónicamente. 2. La obligación de facilitar esta información se dará por cumplida si el prestador la incluye en su página o sitio de Internet en las condiciones señaladas en el apartado 1.
ANEXO 1
283
Artículo 11. Deber de colaboración de los prestadores de servicios de intermediación. 1. Cuando un órgano competente por razón de la materia hubiera ordenado, en ejercicio de las funciones que legalmente tenga atribuidas, que se interrumpa la prestación de un servicio de la sociedad de la información o la retirada de determinados contenidos provenientes de prestadores establecidos en España, y para ello fuera necesaria la colaboración de los prestadores de servicios de intermediación, podrá ordenar a dichos prestadores, directamente o mediante solicitud motivada al Ministerio de Ciencia y Tecnología, que suspendan la transmisión, el alojamiento de datos, el acceso a las redes de telecomunicaciones o la prestación de cualquier otro servicio equivalente de intermediación que realizaran. 2. En la adopción y cumplimiento de las medidas a que se refiere el apartado anterior, se respetarán, en todo caso, las garantías, normas y procedimientos previstos en el ordenamiento jurídico para proteger los derechos a la intimidad personal y familiar, a la protección de los datos personales, a la libertad de expresión o a la libertad de información, cuando éstos pudieran resultar afectados. En todos los casos en que la Constitución, las normas reguladoras de los respectivos derechos y libertades o las que resulten aplicables a las diferentes materias atribuyan competencia a los órganos jurisdiccionales para intervenir en el ejercicio de actividades o derechos, sólo la autoridad judicial competente podrá adoptar las medidas previstas en este artículo. 3. Las medidas a que hace referencia este artículo serán objetivas, proporcionadas y no discriminatorias, y se adoptarán de forma cautelar o en ejecución de las resoluciones que se dicten, conforme a los procedimientos administrativos legalmente establecidos o a los previstos en la legislación procesal que corresponda. Artículo 12. Deber de retención de datos de tráfico relativos a las comunicaciones electrónicas. 1. Los operadores de redes y servicios de comunicaciones electrónicas, los proveedores de acceso a redes de telecomunicaciones y los prestadores de servicios de alojamiento de datos deberán retener los datos de conexión y tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información por un período máximo de doce meses, en los términos establecidos en este artículo y en su normativa de desarrollo.
284
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
2. Los datos que, en cumplimiento de lo dispuesto en el apartado anterior, deberán conservar los operadores de redes y servicios de comunicaciones electrónicas y los proveedores de acceso a redes de telecomunicaciones serán únicamente los necesarios para facilitar la localización del equipo terminal empleado por el usuario para la transmisión de la información. Los prestadores de servicios de alojamiento de datos deberán retener sólo aquéllos imprescindibles para identificar el origen de los datos alojados y el momento en que se inició la prestación del servicio. En ningún caso, la obligación de retención de datos afectará al secreto de las comunicaciones. Los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios a que se refiere este artículo no podrán utilizar los datos retenidos para fines distintos de los indicados en el apartado siguiente u otros que estén permitidos por la Ley, y deberán adoptar medidas de seguridad apropiadas para evitar su pérdida o alteración y el acceso no autorizado a los mismos. 3. Los datos se conservarán para su utilización en el marco de una investigación criminal o para la salvaguardia de la seguridad pública y la defensa nacional, poniéndose a disposición de los Jueces o Tribunales o del Ministerio Fiscal que así los requieran. La comunicación de estos datos a las Fuerzas y Cuerpos de Seguridad se hará con sujeción a lo dispuesto en la normativa sobre protección de datos personales. 4. Reglamentariamente, se determinarán las categorías de datos que deberán conservarse según el tipo de servicio prestado, el plazo durante el que deberán retenerse en cada supuesto dentro del máximo previsto en este artículo, las condiciones en que deberán almacenarse, tratarse y custodiarse y la forma en que, en su caso, deberán entregarse a los órganos autorizados para su solicitud y destruirse, transcurrido el plazo de retención que proceda, salvo que fueran necesarios para estos u otros fines previstos en la Ley. SECCIÓN 2.a RÉGIMEN DE RESPONSABILIDAD Artículo 13. Responsabilidad de los prestadores de los servicios de la sociedad de la información. 1. Los prestadores de servicios de la sociedad de la información están sujetos a la responsabilidad civil, penal y administrativa establecida con carácter general en el ordenamiento jurídico, sin perjuicio de lo dispuesto en esta Ley.
ANEXO 1
285
2. Para determinar la responsabilidad de los prestadores de servicios por el ejercicio de actividades de intermediación, se estará a lo establecido en los artículos siguientes. Artículo 14. Responsabilidad de los operadores de redes y proveedores de acceso. 1. Los operadores de redes de telecomunicaciones y proveedores de acceso a una red de telecomunicaciones que presten un servicio de intermediación que consista en transmitir por una red de telecomunicaciones datos facilitados por el destinatario del servicio o en facilitar acceso a ésta no serán responsables por la información transmitida, salvo que ellos mismos hayan originado la transmisión, modificado los datos o seleccionado éstos o a los destinatarios de dichos datos. No se entenderá por modificación la manipulación estrictamente técnica de los archivos que alberguen los datos, que tiene lugar durante su transmisión. 2. Las actividades de transmisión y provisión de acceso a que se refiere el apartado anterior incluyen el almacenamiento automático, provisional y transitorio de los datos, siempre que sirva exclusivamente para permitir su transmisión por la red de telecomunicaciones y su duración no supere el tiempo razonablemente necesario para ello. Artículo 15. Responsabilidad de los prestadores de servicios que realizan copia temporal de los datos solicitados por los usuarios. Los prestadores de un servicio de intermediación que transmitan por una red de telecomunicaciones datos facilitados por un destinatario del servicio y, con la única finalidad de hacer más eficaz su transmisión ulterior a otros destinatarios que los soliciten, los almacenen en sus sistemas de forma automática, provisional y temporal, no serán responsables por el contenido de esos datos ni por la reproducción temporal de los mismos, si: a) No modifican la información. b) Permiten el acceso a ella sólo a los destinatarios que cumplan las condiciones impuestas a tal fin, por el destinatario cuya información se solicita. c) Respetan las normas generalmente aceptadas y aplicadas por el sector para la actualización de la información. d) No interfieren en la utilización lícita de tecnología generalmente aceptada y empleada por el sector, con el fin de obtener datos sobre la utilización de la información, y
286
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
e) Retiran la información que hayan almacenado o hacen imposible el acceso a ella, en cuanto tengan conocimiento efectivo de: 1.o Que ha sido retirada del lugar de la red en que se encontraba inicialmente. 2.o Que se ha imposibilitado el acceso a ella, o 3.o Que un tribunal u órgano administrativo competente ha ordenado retirarla o impedir que se acceda a ella. Artículo 16. Responsabilidad de los prestadores de servicios de alojamiento o almacenamiento de datos. 1. Los prestadores de un servicio de intermediación consistente en albergar datos proporcionados por el destinatario de este servicio no serán responsables por la información almacenada a petición del destinatario, siempre que: a) No tengan conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o b) Si lo tienen, actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos. Se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el párrafo a) cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución, sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse. 2. La exención de responsabilidad establecida en el apartado 1 no operará en el supuesto de que el destinatario del servicio actúe bajo la dirección, autoridad o control de su prestador. Artículo 17. Responsabilidad de los prestadores de servicios que faciliten enlaces a contenidos o instrumentos de búsqueda. 1. Los prestadores de servicios de la sociedad de la información que faciliten enlaces a otros contenidos o incluyan en los suyos directorios o instrumentos de búsqueda de contenidos no serán responsables por la información a la que dirijan a los destinatarios de sus servicios, siempre que:
ANEXO 1
287
a) No tengan conocimiento efectivo de que la actividad o la información a la que remiten o recomiendan es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o b) Si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace correspondiente. Se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el párrafo a) cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución, sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse. 2. La exención de responsabilidad establecida en el apartado 1 no operará en el supuesto de que el destinatario del servicio actúe bajo la dirección, autoridad o control del prestador que facilite la localización de esos contenidos. CAPÍTULO III CÓDIGOS DE CONDUCTA Artículo 18. Códigos de conducta. 1. Las Administraciones públicas impulsarán, a través de la coordinación y el asesoramiento, la elaboración y aplicación de códigos de conducta voluntarios, por parte de las corporaciones, asociaciones u organizaciones comerciales, profesionales y de consumidores, en las materias reguladas en esta Ley. La Administración General del Estado fomentará, en especial, la elaboración de códigos de conducta de ámbito comunitario o internacional. Los códigos de conducta podrán tratar, en particular, sobre los procedimientos para la detección y retirada de contenidos ilícitos y la protección de los destinatarios frente al envío por vía electrónica de comunicaciones comerciales no solicitadas, así como sobre los procedimientos extrajudiciales para la resolución de los conflictos que surjan por la prestación de los servicios de la sociedad de la información. 2. En la elaboración de dichos códigos, habrá de garantizarse la participación de las asociaciones de consumidores y usuarios y la de las organiza-
288
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
ciones representativas de personas con discapacidades físicas o psíquicas, cuando afecten a sus respectivos intereses. Cuando su contenido pueda afectarles, los códigos de conducta tendrán especialmente en cuenta la protección de los menores y de la dignidad humana, pudiendo elaborarse, en caso necesario, códigos específicos sobre estas materias. Los poderes públicos estimularán, en particular, el establecimiento de criterios comunes acordados por la industria para la clasificación y etiquetado de contenidos y la adhesión de los prestadores a los mismos. 3. Los códigos de conducta a los que hacen referencia los apartados precedentes deberán ser accesibles por vía electrónica. Se fomentará su traducción a otras lenguas oficiales en la Comunidad Europea, con objeto de darles mayor difusión. TÍTULO III. COMUNICACIONES COMERCIALES POR VÍA ELECTRÓNICA Artículo 19. Régimen jurídico. 1. Las comunicaciones comerciales y las ofertas promocionales se regirán, además de por la presente Ley, por su normativa propia y la vigente en materia comercial y de publicidad. 2. En todo caso, será de aplicación la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y su normativa de desarrollo, en especial, en lo que se refiere a la obtención de datos personales, la información a los interesados y la creación y mantenimiento de ficheros de datos personales. Artículo 20. Información exigida sobre las comunicaciones comerciales, ofertas promocionales y concursos. 1. Las comunicaciones comerciales realizadas por vía electrónica deberán ser claramente identificables como tales y deberán indicar la persona física o jurídica en nombre de la cual se realizan. En el caso en el que tengan lugar a través de correo electrónico u otro medio de comunicación electrónica equivalente incluirán al comienzo del mensaje la palabra «publicidad». 2. En los supuestos de ofertas promocionales, como las que incluyan descuentos, premios y regalos, y de concursos o juegos promocionales, previa la correspondiente autorización, se deberá asegurar, además del cumpli-
ANEXO 1
289
miento de los requisitos establecidos en el apartado anterior y en las normas de ordenación del comercio, que queden claramente identificados como tales y que las condiciones de acceso y, en su caso, de participación se expresen de forma clara e inequívoca. Artículo 21. Prohibición de comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. Artículo 22. Derechos de los destinatarios de comunicaciones comerciales. 1. Si el destinatario de servicios debiera facilitar su dirección de correo electrónico durante el proceso de contratación o de suscripción a algún servicio y el prestador pretendiera utilizarla posteriormente para el envío de comunicaciones comerciales, deberá poner en conocimiento de su cliente esa intención y solicitar su consentimiento para la recepción de dichas comunicaciones, antes de finalizar el procedimiento de contratación. 2. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente. A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos. TÍTULO IV. CONTRATACIÓN POR VÍA ELECTRÓNICA Artículo 23. Validez y eficacia de los contratos celebrados por vía electrónica. 1. Los contratos celebrados por vía electrónica producirán todos los efectos previstos por el ordenamiento jurídico, cuando concurran el consentimiento y los demás requisitos necesarios para su validez.
290
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Los contratos electrónicos se regirán por lo dispuesto en este Título, por los Códigos Civil y de Comercio y por las restantes normas civiles o mercantiles sobre contratos, en especial, las normas de protección de los consumidores y usuarios y de ordenación de la actividad comercial. 2. Para que sea válida la celebración de contratos por vía electrónica no será necesario el previo acuerdo de las partes sobre la utilización de medios electrónicos. 3. Siempre que la Ley exija que el contrato o cualquier información relacionada con el mismo conste por escrito, este requisito se entenderá satisfecho si el contrato o la información se contiene en un soporte electrónico. 4. No será de aplicación lo dispuesto en el presente Título a los contratos relativos al Derecho de familia y sucesiones. Los contratos, negocios o actos jurídicos en los que la Ley determine para su validez o para la producción de determinados efectos la forma documental pública, o que requieran por Ley la intervención de órganos jurisdiccionales, notarios, registradores de la propiedad y mercantiles o autoridades públicas, se regirán por su legislación específica. Artículo 24. Prueba de los contratos celebrados por vía electrónica. 1. La prueba de la celebración de un contrato por vía electrónica y la de las obligaciones que tienen su origen en él se sujetará a las reglas generales del ordenamiento jurídico y, en su caso, a lo establecido en la legislación sobre firma electrónica. 2. En todo caso, el soporte electrónico en que conste un contrato celebrado por vía electrónica será admisible en juicio como prueba documental. Artículo 25. Intervención de terceros de confianza. 1. Las partes podrán pactar que un tercero archive las declaraciones de voluntad que integran los contratos electrónicos y que consigne la fecha y la hora en que dichas comunicaciones han tenido lugar. La intervención de dichos terceros no podrá alterar ni sustituir las funciones que corresponde realizar a las personas facultadas con arreglo a Derecho para dar fe pública. 2. El tercero deberá archivar en soporte informático las declaraciones que hubieran tenido lugar por vía telemática entre las partes por el tiempo estipulado que, en ningún caso, será inferior a cinco años.
ANEXO 1
291
Artículo 26. Ley aplicable. Para la determinación de la ley aplicable a los contratos electrónicos se estará a lo dispuesto en las normas de Derecho internacional privado del ordenamiento jurídico español, debiendo tomarse en consideración para su aplicación lo establecido en los artículos 2 y 3 de esta Ley. Artículo 27. Obligaciones previas al inicio del procedimiento de contratación. 1. Además del cumplimiento de los requisitos en materia de información que se establecen en la normativa vigente, el prestador de servicios de la sociedad de la información que realice actividades de contratación electrónica tendrá la obligación de informar al destinatario de manera clara, comprensible e inequívoca, y antes de iniciar el procedimiento de contratación, sobre los siguientes extremos: a) Los distintos trámites que deben seguirse para celebrar el contrato. b) Si el prestador va a archivar el documento electrónico en que se formalice el contrato y si éste va a ser accesible. c) Los medios técnicos que pone a su disposición para identificar y corregir errores en la introducción de los datos, y d) La lengua o lenguas en que podrá formalizarse el contrato. 2. El prestador no tendrá la obligación de facilitar la información señalada en el apartado anterior cuando: a) Ambos contratantes así lo acuerden y ninguno de ellos tenga la consideración de consumidor, o b) El contrato se haya celebrado exclusivamente mediante intercambio de correo electrónico u otro tipo de comunicación electrónica equivalente, cuando estos medios no sean empleados con el exclusivo propósito de eludir el cumplimiento de tal obligación. 3. Sin perjuicio de lo dispuesto en la legislación específica, las ofertas o propuestas de contratación realizadas por vía electrónica serán válidas durante el período que fije el oferente o, en su defecto, durante todo el tiempo que permanezcan accesibles a los destinatarios del servicio. 4. Con carácter previo al inicio del procedimiento de contratación, el prestador de servicios deberá poner a disposición del destinatario las condiciones generales a que, en su caso, deba sujetarse el contrato, de manera que éstas puedan ser almacenadas y reproducidas por el destinatario.
292
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Artículo 28. Información posterior a la celebración del contrato. 1. El oferente está obligado a confirmar la recepción de la aceptación al que la hizo por alguno de los siguientes medios: a) El envío de un acuse de recibo por correo electrónico u otro medio de comunicación electrónica equivalente a la dirección que el aceptante haya señalado, en el plazo de las veinticuatro horas siguientes a la recepción de la aceptación, o b) La confirmación, por un medio equivalente al utilizado en el procedimiento de contratación, de la aceptación recibida, tan pronto como el aceptante haya completado dicho procedimiento, siempre que la confirmación pueda ser archivada por su destinatario. En los casos en que la obligación de confirmación corresponda a un destinatario de servicios, el prestador facilitará el cumplimiento de dicha obligación, poniendo a disposición del destinatario alguno de los medios indicados en este apartado. Esta obligación será exigible tanto si la confirmación debiera dirigirse al propio prestador o a otro destinatario. 2. Se entenderá que se ha recibido la aceptación y su confirmación cuando las partes a que se dirijan puedan tener constancia de ello. En el caso de que la recepción de la aceptación se confirme mediante acuse de recibo, se presumirá que su destinatario puede tener la referida constancia desde que aquél haya sido almacenado en el servidor en que esté dada de alta su cuenta de correo electrónico, o en el dispositivo utilizado para la recepción de comunicaciones. 3. No será necesario confirmar la recepción de la aceptación de una oferta cuando: a) Ambos contratantes así lo acuerden y ninguno de ellos tenga la consideración de consumidor, o b) El contrato se haya celebrado exclusivamente mediante intercambio de correo electrónico u otro tipo de comunicación electrónica equivalente, cuando estos medios no sean empleados con el exclusivo propósito de eludir el cumplimiento de tal obligación. Artículo 29. Lugar de celebración del contrato. Los contratos celebrados por vía electrónica en los que intervenga como parte un consumidor se presumirán celebrados en el lugar en que éste tenga su residencia habitual.
ANEXO 1
293
Los contratos electrónicos entre empresarios o profesionales, en defecto de pacto entre las partes, se presumirán celebrados en el lugar en que esté establecido el prestador de servicios. TÍTULO V. SOLUCIÓN JUDICIAL Y EXTRAJUDICIAL DE CONFLICTOS CAPÍTULO I ACCIÓN DE CESACIÓN Artículo 30. Acción de cesación. 1. Contra las conductas contrarias a la presente Ley que lesionen intereses colectivos o difusos de los consumidores podrá interponerse acción de cesación. 2. La acción de cesación se dirige a obtener una sentencia que condene al demandado a cesar en la conducta contraria a la presente Ley y a prohibir su reiteración futura. Asimismo, la acción podrá ejercerse para prohibir la realización de una conducta cuando ésta haya finalizado al tiempo de ejercitar la acción, si existen indicios suficientes que hagan temer su reiteración de modo inminente. 3. La acción de cesación se ejercerá conforme a las prescripciones de la Ley de Enjuiciamiento Civil para esta clase de acciones. Artículo 31. Legitimación activa. Están legitimados para interponer la acción de cesación: a) Las personas físicas o jurídicas titulares de un derecho o interés legítimo. b) Los grupos de consumidores o usuarios afectados, en los casos y condiciones previstos en la Ley de Enjuiciamiento Civil. c) Las asociaciones de consumidores y usuarios que reúnan los requisitos establecidos en la Ley 26/1984, de 19 de julio, General para la Defensa de los Consumidores y Usuarios, o, en su caso, en la legislación autonómica en materia de defensa de los consumidores. d) El Ministerio Fiscal. e) El Instituto Nacional del Consumo y los órganos correspondientes de las Comunidades Autónomas y de las Corporaciones Locales competentes en materia de defensa de los consumidores.
294
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
f) Las entidades de otros Estados miembros de la Unión Europea constituidas para la protección de los intereses colectivos o difusos de los consumidores que estén habilitadas ante la Comisión Europea mediante su inclusión en la lista publicada a tal fin en el «Diario Oficial de las Comunidades Europeas». Los Jueces y Tribunales aceptarán dicha lista como prueba de la capacidad de la entidad habilitada para ser parte, sin perjuicio de examinar si la finalidad de la misma y los intereses afectados legitiman el ejercicio de la acción. CAPÍTULO II SOLUCIÓN EXTRAJUDICIAL DE CONFLICTOS Artículo 32. Solución extrajudicial de conflictos. 1. El prestador y el destinatario de servicios de la sociedad de la información podrán someter sus conflictos a los arbitrajes previstos en la legislación de arbitraje y de defensa de los consumidores y usuarios, y a los procedimientos de resolución extrajudicial de conflictos que se instauren por medio de códigos de conducta u otros instrumentos de autorregulación. 2. En los procedimientos de resolución extrajudicial de conflictos a que hace referencia el apartado anterior, podrá hacerse uso de medios electrónicos, en los términos que establezca su normativa específica.
TÍTULO VI. INFORMACIÓN Y CONTROL Artículo 33. Información a los destinatarios y prestadores de servicios. Los destinatarios y prestadores de servicios de la sociedad de la información podrán dirigirse a los Ministerios de Ciencia y Tecnología, de Justicia, de Economía y de Sanidad y Consumo, y a los órganos que determinen las respectivas Comunidades Autónomas y Entidades Locales, para: a) Conseguir información general sobre sus derechos y obligaciones contractuales en el marco de la normativa aplicable a la contratación electrónica. b) Informarse sobre los procedimientos de resolución judicial y extrajudicial de conflictos, y
ANEXO 1
295
c) Obtener los datos de las autoridades, asociaciones u organizaciones que puedan facilitarles información adicional o asistencia práctica. La comunicación con dichos órganos podrá hacerse por medios electrónicos. Artículo 34. Comunicación de resoluciones relevantes. 1. El Consejo General del Poder Judicial remitirá al Ministerio de Justicia, en la forma y con la periodicidad que se acuerde mediante Convenio entre ambos órganos, todas las resoluciones judiciales que contengan pronunciamientos relevantes sobre la validez y eficacia de los contratos celebrados por vía electrónica, sobre su utilización como prueba en juicio, o sobre los derechos, obligaciones y régimen de responsabilidad de los destinatarios y los prestadores de servicios de la sociedad de la información. 2. Los órganos arbitrales y los responsables de los demás procedimientos de resolución extrajudicial de conflictos a que se refiere el artículo 32.1 comunicarán al Ministerio de Justicia los laudos o decisiones que revistan importancia para la prestación de servicios de la sociedad de la información y el comercio electrónico de acuerdo con los criterios indicados en el apartado anterior. 3. En la comunicación de las resoluciones, laudos y decisiones a que se refiere este artículo, se tomarán las precauciones necesarias para salvaguardar el derecho a la intimidad y a la protección de los datos personales de las personas identificadas en ellos. 4. El Ministerio de Justicia remitirá a la Comisión Europea y facilitará el acceso de cualquier interesado a la información recibida de conformidad con este artículo. Artículo 35. Supervisión y control. 1. El Ministerio de Ciencia y Tecnología controlará el cumplimiento por los prestadores de servicios de la sociedad de la información de las obligaciones establecidas en esta Ley y en sus disposiciones de desarrollo, en lo que se refiere a los servicios propios de la sociedad de la información. No obstante, las referencias a los órganos competentes contenidas en los artículos 8, 10, 11, 15, 16, 17 y 38 se entenderán hechas a los órganos jurisdiccionales o administrativos que, en cada caso, lo sean en función de la materia. 2. El Ministerio de Ciencia y Tecnología podrá realizar las actuaciones inspectoras que sean precisas para el ejercicio de su función de control.
296
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Los funcionarios adscritos al Ministerio de Ciencia y Tecnología que ejerzan la inspección a que se refiere el apartado anterior tendrán la consideración de autoridad pública en el desempeño de sus cometidos. 3. En todo caso, y no obstante lo dispuesto en el apartado anterior, cuando las conductas realizadas por los prestadores de servicios de la sociedad de la información estuvieran sujetas, por razón de la materia o del tipo de entidad de que se trate, a ámbitos competenciales, de tutela o de supervisión específicos, con independencia de que se lleven a cabo utilizando técnicas y medios telemáticos o electrónicos, los órganos a los que la legislación sectorial atribuya competencias de control, supervisión, inspección o tutela específica ejercerán las funciones que les correspondan. Artículo 36. Deber de colaboración. 1. Los prestadores de servicios de la sociedad de la información tienen la obligación de facilitar al Ministerio de Ciencia y Tecnología y a los demás órganos a que se refiere el artículo anterior toda la información y colaboración precisas para el ejercicio de sus funciones. Igualmente, deberán permitir a sus agentes o al personal inspector el acceso a sus instalaciones y la consulta de cualquier documentación relevante para la actividad de control de que se trate, siendo de aplicación, en su caso, lo dispuesto en el artículo 8.5 de la Ley 29/1998, de 13 de julio, Reguladora de la Jurisdicción Contencioso-Administrativa. 2. Cuando, como consecuencia de una actuación inspectora, se tuviera conocimiento de hechos que pudieran ser constitutivos de infracciones tipificadas en otras leyes, estatales o autonómicas, se dará cuenta de los mismos a los órganos u organismos competentes para su supervisión y sanción.
TÍTULO VII. INFRACCIONES Y SANCIONES Artículo 37. Responsables. Los prestadores de servicios de la sociedad de la información están sujetos al régimen sancionador establecido en este Título cuando la presente Ley les sea de aplicación. Artículo 38. Infracciones. 1. Las infracciones de los preceptos de esta Ley se calificarán como muy graves, graves y leves.
ANEXO 1
297
2. Son infracciones muy graves: a) El incumplimiento de las órdenes dictadas en virtud del artículo 8 en aquellos supuestos en que hayan sido dictadas por un órgano administrativo. b) El incumplimiento de la obligación de suspender la transmisión, el alojamiento de datos, el acceso a la red o la prestación de cualquier otro servicio equivalente de intermediación, cuando un órgano administrativo competente lo ordene, en virtud de lo dispuesto en el artículo 11. c) El incumplimiento de la obligación de retener los datos de tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información, prevista en el artículo 12. d) La utilización de los datos retenidos, en cumplimiento del artículo 12, para fines distintos de los señalados en él. 3. Son infracciones graves: a) El incumplimiento de lo establecido en los párrafos a) y f) del artículo 10.1. b) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente a destinatarios que no hayan autorizado o solicitado expresamente su remisión, o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando éste no hubiera solicitado o autorizado su remisión. c) No poner a disposición del destinatario del servicio las condiciones generales a que, en su caso, se sujete el contrato, en la forma prevista en el artículo 27. d) El incumplimiento habitual de la obligación de confirmar la recepción de una aceptación, cuando no se haya pactado su exclusión o el contrato se haya celebrado con un consumidor. e) La resistencia, excusa o negativa a la actuación inspectora de los órganos facultados para llevarla a cabo con arreglo a esta Ley. 4. Son infracciones leves: a) La falta de comunicación al registro público en que estén inscritos, de acuerdo con lo establecido en el artículo 9, del nombre o nombres de dominio o direcciones de Internet que empleen para la prestación de servicios de la sociedad de la información. b) No informar en la forma prescrita por el artículo 10.1 sobre los aspectos señalados en los párrafos b), c), d), e) y g) del mismo.
298
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
c) El incumplimiento de lo previsto en el artículo 20 para las comunicaciones comerciales, ofertas promocionales y concursos. d) El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente a los destinatarios que no hayan solicitado o autorizado expresamente su remisión, cuando no constituya infracción grave. e) No facilitar la información a que se refiere el artículo 27.1, cuando las partes no hayan pactado su exclusión o el destinatario sea un consumidor. f) El incumplimiento de la obligación de confirmar la recepción de una petición en los términos establecidos en el artículo 28, cuando no se haya pactado su exclusión o el contrato se haya celebrado con un consumidor, salvo que constituya infracción grave. Artículo 39. Sanciones. 1. Por la comisión de las infracciones recogidas en el artículo anterior, se impondrán las siguientes sanciones: a) Por la comisión de infracciones muy graves, multa de 150.001 hasta 600.000 euros. La reiteración en el plazo de tres años de dos o más infracciones muy graves, sancionadas con carácter firme, podrá dar lugar, en función de sus circunstancias, a la sanción de prohibición de actuación en España, durante un plazo máximo de dos años. b) Por la comisión de infracciones graves, multa de 30.001 hasta 150.000 euros. c) Por la comisión de infracciones leves, multa de hasta 30.000 euros. 2. Las infracciones graves y muy graves podrán llevar aparejada la publicación, a costa del sancionado, de la resolución sancionadora en el «Boletín Oficial del Estado», o en el diario oficial de la Administración pública que, en su caso, hubiera impuesto la sanción; en dos periódicos cuyo ámbito de difusión coincida con el de actuación de la citada Administración pública o en la página de inicio del sitio de Internet del prestador, una vez que aquélla tenga carácter firme. Para la imposición de esta sanción, se considerará la repercusión social de la infracción cometida, el número de usuarios o de contratos afectados, y la gravedad del ilícito. 3. Cuando las infracciones sancionables con arreglo a lo previsto en esta Ley hubieran sido cometidas por prestadores de servicios establecidos en Estados que no sean miembros de la Unión Europea o del Espacio Eco-
ANEXO 1
299
nómico Europeo, el órgano que hubiera impuesto la correspondiente sanción podrá ordenar a los prestadores de servicios de intermediación que tomen las medidas necesarias para impedir el acceso desde España a los servicios ofrecidos por aquéllos por un período máximo de dos años en el caso de infracciones muy graves, un año en el de infracciones graves y seis meses en el de infracciones leves. Artículo 40. Graduación de la cuantía de las sanciones. La cuantía de las multas que se impongan se graduará atendiendo a los siguientes criterios: a) La existencia de intencionalidad. b) Plazo de tiempo durante el que se haya venido cometiendo la infracción. c) La reincidencia por comisión de infracciones de la misma naturaleza, cuando así haya sido declarado por resolución firme. d) La naturaleza y cuantía de los perjuicios causados. e) Los beneficios obtenidos por la infracción. f) Volumen de facturación a que afecte la infracción cometida. Artículo 41. Medidas de carácter provisional. 1. En los procedimientos sancionadores por infracciones graves o muy graves se podrán adoptar, con arreglo a la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, y sus normas de desarrollo, las medidas de carácter provisional previstas en dichas normas que se estimen necesarias para asegurar la eficacia de la resolución que definitivamente se dicte, el buen fin del procedimiento, evitar el mantenimiento de los efectos de la infracción y las exigencias de los intereses generales. En particular, podrán acordarse las siguientes: a) Suspensión temporal de la actividad del prestador de servicios y, en su caso, cierre provisional de sus establecimientos. b) Precinto, depósito o incautación de registros, soportes y archivos informáticos y de documentos en general, así como de aparatos y equipos informáticos de todo tipo. c) Advertir al público de la existencia de posibles conductas infractoras y de la incoación del expediente sancionador de que se trate, así como de las medidas adoptadas para el cese de dichas conductas.
300
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
2. En la adopción y cumplimiento de las medidas a que se refiere el apartado anterior, se respetarán, en todo caso, las garantías, normas y procedimientos previstos en el ordenamiento jurídico para proteger los derechos a la intimidad personal y familiar, a la protección de los datos personales, a la libertad de expresión o a la libertad de información, cuando éstos pudieran resultar afectados. En todos los casos en que la Constitución, las normas reguladoras de los respectivos derechos y libertades o las que resulten aplicables a las diferentes materias atribuyan competencia a los órganos jurisdiccionales para intervenir en el ejercicio de actividades o derechos, sólo la autoridad judicial competente podrá adoptar las medidas previstas en este artículo. 3. En todo caso, se respetará el principio de proporcionalidad de la medida a adoptar con los objetivos que se pretendan alcanzar en cada supuesto. 4. En casos de urgencia y para la inmediata protección de los intereses implicados, las medidas provisionales previstas en el presente artículo podrán ser acordadas antes de la iniciación del expediente sancionador. Las medidas deberán ser confirmadas, modificadas o levantadas en el acuerdo de iniciación del procedimiento, que deberá efectuarse dentro de los quince días siguientes a su adopción, el cual podrá ser objeto del recurso que proceda. En todo caso, dichas medidas quedarán sin efecto si no se inicia el procedimiento sancionador en dicho plazo o cuando el acuerdo de iniciación no contenga un pronunciamiento expreso acerca de las mismas. Artículo 42. Multa coercitiva. El órgano administrativo competente para resolver el procedimiento sancionador podrá imponer multas coercitivas por importe que no exceda de 6.000 euros por cada día que transcurra sin cumplir las medidas provisionales que hubieran sido acordadas. Artículo 43. Competencia sancionadora. 1. La imposición de sanciones por el incumplimiento de lo previsto en esta Ley corresponderá, en el caso de infracciones muy graves, al Ministro de Ciencia y Tecnología, y en el de infracciones graves y leves, al Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información. No obstante lo anterior, la imposición de sanciones por incumplimiento de las resoluciones dictadas por los órganos competentes en función de la
ANEXO 1
301
materia o entidad de que se trate a que se refieren los párrafos a) y b) del artículo 38.2 de esta Ley corresponderá al órgano que dictó la resolución incumplida. 2. La potestad sancionadora regulada en esta Ley se ejercerá de conformidad con lo establecido al respecto en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, y en sus normas de desarrollo. Artículo 44. Concurrencia de infracciones y sanciones. 1. No podrá ejercerse la potestad sancionadora a que se refiere la presente Ley cuando haya recaído sanción penal, en los casos en que se aprecie identidad de sujeto, hecho y fundamento. No obstante, cuando se esté tramitando un proceso penal por los mismos hechos o por otros cuya separación de los sancionables con arreglo a esta Ley sea racionalmente imposible, el procedimiento quedará suspendido respecto de los mismos hasta que recaiga pronunciamiento firme de la autoridad judicial. Reanudado el expediente, en su caso, la resolución que se dicte deberá respetar los hechos declarados probados en la resolución judicial. 2. La imposición de una sanción prevista en esta Ley no impedirá la tramitación y resolución de otro procedimiento sancionador por los órganos u organismos competentes en cada caso cuando la conducta infractora se hubiera cometido utilizando técnicas y medios telemáticos o electrónicos y resulte tipificada en otra Ley, siempre que no haya identidad del bien jurídico protegido. 3. No procederá la imposición de sanciones según lo previsto en esta Ley cuando los hechos constitutivos de infracción lo sean también de otra tipificada en la normativa sectorial a la que esté sujeto el prestador del servicio y exista identidad del bien jurídico protegido. Cuando, como consecuencia de una actuación sancionadora, se tuviera conocimiento de hechos que pudieran ser constitutivos de infracciones tipificadas en otras leyes, se dará cuenta de los mismos a los órganos u organismos competentes para su supervisión y sanción. Artículo 45. Prescripción. Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves a los seis meses; las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves a los dos años y las impuestas por faltas leves al año.
302
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Disposición adicional primera. Significado de los términos empleados por esta Ley. A los efectos de la presente Ley, los términos definidos en el anexo tendrán el significado que allí se les asigna. Disposición adicional segunda. Medicamentos y productos sanitarios. La prestación de servicios de la sociedad de la información relacionados con los medicamentos y los productos sanitarios se regirá por lo dispuesto en su legislación específica. Disposición adicional tercera. Sistema Arbitral de Consumo. El prestador y el destinatario de servicios de la sociedad de la información podrán someter sus conflictos al arbitraje de consumo, mediante la adhesión de aquéllos al Sistema Arbitral de Consumo. La Junta Arbitral Nacional de Consumo y aquellas otras de ámbito territorial inferior, autorizadas para ello por el Instituto Nacional del Consumo, podrán dirimir los conflictos planteados por los consumidores de acuerdo con lo dispuesto en el Real Decreto 636/1993, de 3 de mayo, que regula el Sistema Arbitral de Consumo, a través de medios telemáticos. Disposición adicional cuarta. Modificación de los Códigos Civil y de Comercio. Uno. Se modifica el artículo 1.262 del Código Civil, que queda redactado de la siguiente manera: «El consentimiento se manifiesta por el concurso de la oferta y de la aceptación sobre la cosa y la causa que han de constituir el contrato. Hallándose en lugares distintos el que hizo la oferta y el que la aceptó, hay consentimiento desde que el oferente conoce la aceptación o desde que, habiéndosela remitido el aceptante, no pueda ignorarla sin faltar a la buena fe. El contrato, en tal caso, se presume celebrado en el lugar en que se hizo la oferta. En los contratos celebrados mediante dispositivos automáticos hay consentimiento desde que se manifiesta la aceptación.» Dos. Se modifica el artículo 54 del Código de Comercio, que queda redactado de la siguiente manera: «Hallándose en lugares distintos el que hizo la oferta y el que la aceptó, hay consentimiento desde que el oferente conoce la aceptación o desde que,
ANEXO 1
303
habiéndosela remitido el aceptante, no pueda ignorarla sin faltar a la buena fe. El contrato, en tal caso, se presume celebrado en el lugar en que se hizo la oferta. En los contratos celebrados mediante dispositivos automáticos hay consentimiento desde que se manifiesta la aceptación.» Disposición adicional quinta. Accesibilidad para las personas con discapacidad y de edad avanzada a la información proporcionada por medios electrónicos. Uno. Las Administraciones públicas adoptarán las medidas necesarias para que la información disponible en sus respectivas páginas de Internet pueda ser accesible a personas con discapacidad y de edad avanzada, de acuerdo con los criterios de accesibilidad al contenido generalmente reconocidos, antes del 31 de diciembre de 2005. Asimismo, podrán exigir que las páginas de Internet cuyo diseño o mantenimiento financien apliquen los criterios de accesibilidad antes mencionados. Dos. Igualmente, se promoverá la adopción de normas de accesibilidad por los prestadores de servicios y los fabricantes de equipos y «software», para facilitar el acceso de las personas con discapacidad o de edad avanzada a los contenidos digitales. Disposición adicional sexta. Sistema de asignación de nombres de dominio bajo el «.es». Uno. Esta disposición regula, en cumplimiento de lo previsto en la disposición adicional decimosexta de la Ley 17/2001, de 7 de diciembre, de Marcas, los principios inspiradores del sistema de asignación de nombres de dominio bajo el código de país correspondiente a España «.es». Dos. La entidad pública empresarial Red.es es la autoridad de asignación, a la que corresponde la gestión del registro de nombres de dominio de Internet bajo el «.es», de acuerdo con lo establecido en la disposición adicional sexta de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones. Tres. La asignación de nombres de dominio de Internet bajo el «.es» se realizará de conformidad con los criterios que se establecen en esta disposición, en el Plan Nacional de Nombres de Dominio de Internet, en las demás normas específicas que se dicten en su desarrollo por la autoridad de asignación y, en la medida en que sean compatibles con ellos, con las prácticas
304
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
generalmente aplicadas y las recomendaciones emanadas de las entidades y organismos internacionales que desarrollan actividades relacionadas con la gestión del sistema de nombres de dominio de Internet. Los criterios de asignación de nombres de dominio bajo el «.es» deberán garantizar un equilibrio adecuado entre la confianza y seguridad jurídica precisas para el desarrollo del comercio electrónico y de otros servicios y actividades por vía electrónica, y la flexibilidad y agilidad requeridas para posibilitar la satisfacción de la demanda de asignación de nombres de dominio bajo el «.es», contribuyendo, de esta manera, al desarrollo de la sociedad de la información en España. Podrán crearse espacios diferenciados bajo el «.es», que faciliten la identificación de los contenidos que alberguen en función de su titular o del tipo de actividad que realicen. Entre otros, podrán crearse indicativos relacionados con la educación, el entretenimiento y el adecuado desarrollo moral de la infancia y juventud. Estos nombres de dominio de tercer nivel se asignarán en los términos que se establezcan en el Plan Nacional de Nombres de Dominio de Internet. Cuatro. Podrán solicitar la asignación de nombres de dominio bajo el «.es», en los términos que se prevean en el Plan Nacional de Nombres de Dominio de Internet, todas las personas o entidades, con o sin personalidad jurídica, que tengan intereses o mantengan vínculos con España, siempre que reúnan los demás requisitos exigibles para la obtención de un nombre de dominio. Los nombres de dominio bajo el «.es» se asignarán al primer solicitante que tenga derecho a ello, sin que pueda otorgarse, con carácter general, un derecho preferente para la obtención o utilización de un nombre de dominio a los titulares de determinados derechos. La asignación de un nombre de dominio confiere a su titular el derecho a su utilización, el cual estará condicionado al cumplimiento de los requisitos que en cada caso se establezcan, así como a su mantenimiento en el tiempo. La verificación por parte de la autoridad de asignación del incumplimiento de estos requisitos dará lugar a la cancelación del nombre de dominio, previa la tramitación del procedimiento que en cada caso se determine y que deberá garantizar la audiencia de los interesados. Los beneficiarios de un nombre de dominio bajo el «.es» deberán respetar las reglas y condiciones técnicas que pueda establecer la autoridad de asignación para el adecuado funcionamiento del sistema de nombres de dominio bajo el «.es». La responsabilidad del uso correcto de un nombre de dominio de acuerdo con las leyes, así como del respeto a los derechos de propiedad intelec-
ANEXO 1
305
tual o industrial, corresponde a la persona u organización para la que se haya registrado dicho nombre de dominio, en los términos previstos en esta Ley. La autoridad de asignación procederá a la cancelación de aquellos nombres de dominio cuyos titulares infrinjan esos derechos o condiciones, siempre que así se ordene en la correspondiente resolución judicial, sin perjuicio de lo que se prevea en aplicación del apartado ocho de esta disposición adicional. Cinco. En el Plan Nacional de Nombres de Dominio de Internet se establecerán mecanismos apropiados para prevenir el registro abusivo o especulativo de nombres de dominio, el aprovechamiento indebido de términos de significado genérico o topónimos y, en general, para prevenir los conflictos que se puedan derivar de la asignación de nombres de dominio. Asimismo, el Plan incluirá las cautelas necesarias para minimizar el riesgo de error o confusión de los usuarios en cuanto a la titularidad de nombres de dominio. A estos efectos, la entidad pública empresarial Red.es establecerá la necesaria coordinación con los registros públicos españoles. Sus titulares deberán facilitar el acceso y consulta a dichos registros públicos, que, en todo caso, tendrá carácter gratuito para la entidad. Seis. La asignación de nombres de dominio se llevará a cabo por medios telemáticos que garanticen la agilidad y fiabilidad de los procedimientos de registro. La presentación de solicitudes y la práctica de notificaciones se realizarán por vía electrónica, salvo en los supuestos en que así esté previsto en los procedimientos de asignación y demás operaciones asociadas al registro de nombres de dominio. Los agentes registradores, como intermediarios en los procedimientos relacionados con el registro de nombres de dominio, podrán prestar servicios auxiliares para la asignación y renovación de éstos, de acuerdo con los requisitos y condiciones que determine la autoridad de asignación, los cuales garantizarán, en todo caso, el respeto al principio de libre competencia entre dichos agentes. Siete. El Plan Nacional de Nombres de Dominio de Internet se aprobará mediante Orden del Ministro de Ciencia y Tecnología, a propuesta de la entidad pública empresarial Red.es. El Plan se completará con los procedimientos para la asignación y demás operaciones asociadas al registro de nombres de dominio y direcciones de Internet que establezca el Presidente de la entidad pública empresarial Red.es, de acuerdo con lo previsto en la disposición adicional decimoctava de la Ley 14/2000, de 29 de diciembre, de Medidas fiscales, Administrativas y del Orden Social.
306
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Ocho. En los términos que permitan las disposiciones aplicables, la autoridad de asignación podrá establecer un sistema de resolución extrajudicial de conflictos sobre la utilización de nombres de dominio, incluidos los relacionados con los derechos de propiedad industrial. Este sistema, que asegurará a las partes afectadas las garantías procesales adecuadas, se aplicará sin perjuicio de las eventuales acciones judiciales que las partes puedan ejercitar. Nueve. Con la finalidad de impulsar el desarrollo de la Administración electrónica, la entidad pública empresarial Red.es podrá prestar el servicio de notificaciones administrativas telemáticas y acreditar de forma fehaciente la fecha y hora de su recepción. Disposición transitoria única. Anotación en los correspondientes registros públicos de los nombres de dominio otorgados antes de la entrada en vigor de esta Ley. Los prestadores de servicios que, a la entrada en vigor de esta Ley, ya vinieran utilizando uno o más nombres de dominio o direcciones de Internet deberán solicitar la anotación de, al menos, uno de ellos en el registro público en que figuraran inscritos a efectos constitutivos o de publicidad, en el plazo de un año desde la referida entrada en vigor. Disposición final primera. Modificación del artículo 37 de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones. Se modifica el párrafo a) del apartado 1 del artículo 37 de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones, que queda redactada en los siguientes términos: «a) Que los ciudadanos puedan recibir conexión a la red telefónica pública fija y acceder a la prestación del servicio telefónico fijo disponible para el público. La conexión debe ofrecer al usuario la posibilidad de emitir y recibir llamadas nacionales e internacionales y permitir la transmisión de voz, fax y datos a velocidad suficiente para acceder de forma funcional a Internet. A estos efectos, se considerará que la velocidad suficiente a la que se refiere el párrafo anterior es la que se utiliza de manera generalizada para acceder a Internet por los abonados al servicio telefónico fijo disponible para el público con conexión a la red mediante pares de cobre y módem para banda vocal.»
ANEXO 1
307
Disposición final segunda. Modificación de la disposición adicional sexta de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones. Se modifica el apartado 10 de la disposición adicional sexta de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones, que quedará redactado como sigue: «10. Tasa por asignación del recurso limitado de nombres de dominio y direcciones de Internet. a) Hecho imponible. El hecho imponible de la tasa por asignación de nombres de dominio y direcciones de Internet estará constituido por la realización por la entidad pública empresarial Red.es de las actividades necesarias para la asignación y renovación de nombres de dominio y direcciones de Internet bajo el código de país correspondiente a España (.es). b) Sujetos pasivos. Serán sujetos pasivos de la tasa los solicitantes de la asignación o renovación de los nombres y direcciones de Internet. c) Cuantía. La cuantía de la tasa será única por cada nombre o dirección cuya asignación o renovación se solicite. En ningún caso se procederá a la asignación o a la renovación del nombre o dirección sin que se haya efectuado previamente el pago de la tasa. Sólo podrán modificarse mediante Ley el número e identidad de los elementos y criterios de cuantificación con base en los cuales se determinan las cuotas exigibles. A los efectos previstos en el párrafo anterior, se consideran elementos y criterios de cuantificación del importe exigible por asignación anual inicial de los nombres de dominio o direcciones de Internet el número asignado, el coste de las actividades de comprobación y verificación de las solicitudes de asignación, así como el nivel en que se produzca la asignación y, en el caso de renovación anual en los años sucesivos, el coste del mantenimiento de la asignación y de las actividades de comprobación y de actualización de datos. Igualmente, se atenderá al número de nombres o direcciones de Internet asignados y a la actuación a través de agentes registradores para concretar la cuantía de la tasa.
308
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
El establecimiento y modificación de las cuantías resultantes de la aplicación de los elementos y criterios de cuantificación a que se refieren los párrafos anteriores podrá efectuarse mediante Orden ministerial. No obstante lo dispuesto en los párrafos anteriores de este apartado, en los supuestos de carácter excepcional en que así esté previsto en el Plan Nacional de Nombres de Dominio de Internet y en los términos que en el mismo se fijen, con base en el especial valor de mercado del uso de determinados nombres y direcciones, la cuantía por asignación anual inicial podrá sustituirse por la que resulte de un procedimiento de licitación en el que se fijará un valor inicial de referencia estimado. Si el valor de adjudicación de la licitación resultase superior a dicho valor de referencia, aquél constituirá el importe de la tasa. En los supuestos en que se siga este procedimiento de licitación, el Ministerio de Ciencia y Tecnología requerirá, con carácter previo a su convocatoria, a la autoridad competente para el Registro de Nombres de Dominio para que suspenda el otorgamiento de los nombres y direcciones que considere afectados por su especial valor económico. A continuación, se procederá a aprobar el correspondiente pliego de bases que establecerá, tomando en consideración lo previsto en el Plan Nacional de Nombres de Dominio de Internet, los requisitos, condiciones y régimen aplicable a la licitación. d) Devengo. La tasa se devengará en la fecha en que se proceda, en los términos que se establezcan reglamentariamente, a la admisión de la solicitud de asignación o de renovación de los nombres o direcciones de Internet, que no se tramitará sin que se haya efectuado el pago correspondiente. e) Exacción y gestión recaudatoria. La exacción de la tasa se producirá a partir de la atribución de su gestión a la entidad pública empresarial Red.es y de la determinación del procedimiento para su liquidación y pago, mediante Orden Ministerial. Los modelos de declaración, plazos y formas de pago de la tasa se aprobarán mediante resolución de la entidad pública empresarial Red.es. El importe de los ingresos obtenidos por esta tasa se destinará a financiar los gastos de la entidad pública empresarial Red.es por las actividades realizadas en el cumplimiento de las funciones asignadas a la misma en los párrafos a), b), c) y d) del apartado 4 de esta disposición, ingresándose, en su caso, el excedente en el Tesoro Público, de acuerdo con la proporción y cuantía que se determine mediante resolución conjunta de las Secretarías de
ANEXO 1
309
Estado de Presupuestos y Gastos y de Telecomunicaciones y para la Sociedad de la Información, a propuesta de esta última.» Disposición final tercera. Adición de una nueva disposición transitoria a la Ley 11/1998, de 24 de abril, General de Telecomunicaciones. Se añade a la Ley 11/1998, de 24 de abril, General de Telecomunicaciones, una nueva disposición transitoria duodécima, con la siguiente redacción: «Disposición transitoria duodécima. Criterios para el desarrollo del plan de actualización tecnológica de la red de acceso de la red telefónica pública fija. En el plazo máximo de cinco meses a partir de la entrada en vigor de esta disposición, el operador designado para la prestación del servicio universal presentará al Ministerio de Ciencia y Tecnología, para su aprobación en el plazo de un mes, previo informe de la Comisión del Mercado de las Telecomunicaciones, un plan de actuación detallado para garantizar que las conexiones a la red telefónica pública fija posibiliten a sus abonados el acceso funcional a Internet y, en particular, a los conectados mediante Telefonía Rural de Acceso Celular (TRAC). El desarrollo del plan estará sujeto a las siguientes condiciones: a) Incluirá soluciones tecnológicas eficientes disponibles en el mercado para garantizar el derecho de los usuarios a disponer, previa solicitud a partir de la aprobación del plan, de la posibilidad de acceso funcional a Internet en el plazo máximo de sesenta días desde la fecha de dicha solicitud en las zonas con cobertura. Estas soluciones tecnológicas deberán prever su evolución a medio plazo hacia velocidades de banda ancha sin que ello conlleve necesariamente su sustitución. b) La implantación en la red de acceso de las soluciones tecnológicas a las que se refiere el párrafo a) deberá alcanzar a los abonados al servicio telefónico fijo disponible al público que, en la fecha de aprobación del plan, no tienen la posibilidad de acceso funcional a Internet, de acuerdo con el siguiente calendario: 1.o Al menos al 30 por 100 antes del 30 de junio de 2003. 2.o Al menos al 70 por 100 antes del 31 de diciembre de 2003. 3.o El 100 por 100 antes del 31 de diciembre de 2004. En todo caso, esta implantación alcanzará, al menos, al 50 por 100 de los citados abonados en cada una de las Comunidades Autónomas antes del 31 de diciembre de 2003.
310
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
c) En el plan de actuación deberá priorizarse el despliegue al que se refiere el párrafo b) con arreglo al criterio de mayor densidad de abonados afectados. d) A los efectos de lo dispuesto en los apartados anteriores y en caso de que sea necesario, el operador designado para la prestación del servicio universal podrá concluir con otros operadores titulares de concesiones de dominio público radioeléctrico, contratos de cesión de derechos de uso de las bandas de frecuencias necesarias para el cumplimiento de los objetivos establecidos en esta disposición. Dichos contratos deberán ser sometidos a la previa aprobación por parte del Ministerio de Ciencia y Tecnología, que podrá establecer las condiciones de salvaguarda del interés público que estime necesarias.» Disposición final cuarta. Modificación de la disposición derogatoria única de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones. Se modifica el último párrafo de la disposición derogatoria única de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones, que queda redactado de la siguiente forma: «Igualmente, quedan derogadas cuantas otras disposiciones de igual o inferior rango a la presente Ley se opongan a lo dispuesto en ella y, en especial, a lo dispuesto en el artículo 37.1.a), en lo relativo a la velocidad de transmisión de datos.» Disposición final quinta. Adecuación de la regulación reglamentaria sobre contratación telefónica o electrónica con condiciones generales a esta Ley. El Gobierno, en el plazo de un año, modificará el Real Decreto 1906/1999, de 17 de diciembre, por el que se regula la contratación telefónica o electrónica con condiciones generales en desarrollo del artículo 5.3 de la Ley 7/1998, de 13 de abril, sobre condiciones generales de la contratación, para adaptar su contenido a lo dispuesto en esta Ley. En dicha modificación, el Gobierno tendrá especialmente en cuenta la necesidad de facilitar la utilización real de los contratos electrónicos, conforme al mandato recogido en el artículo 9.1 de la Directiva 2000/31/CE. Disposición final sexta. Fundamento constitucional. Esta Ley se dicta al amparo del artículo 149.1.6.a, 8.a y 21.a de la Constitución, sin perjuicio de las competencias de las Comunidades Autónomas.
311
ANEXO 1
Disposición final séptima. Habilitación al Gobierno. Se habilita al Gobierno para desarrollar mediante Reglamento lo previsto en esta Ley. Disposición final octava. Distintivo de adhesión a códigos de conducta que incorporen determinadas garantías. En el plazo de un año a partir de la entrada en vigor de esta Ley, el Gobierno aprobará un distintivo que permita identificar a los prestadores de servicios que respeten códigos de conducta adoptados con la participación del Consejo de Consumidores y Usuarios, y que incluyan, entre otros contenidos, la adhesión al Sistema Arbitral de Consumo o a otros sistemas de resolución extrajudicial de conflictos que respeten los principios establecidos en la normativa comunitaria sobre sistemas alternativos de resolución de conflictos con consumidores, en los términos que reglamentariamente se establezcan. Disposición final novena. Entrada en vigor. Esta Ley entrará en vigor a los tres meses de su publicación en el «Boletín Oficial del Estado». No obstante, las disposiciones adicional sexta y finales primera, segunda, tercera y cuarta de esta Ley entrarán en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado». Por tanto, Mando a todos los españoles, particulares y autoridades, que guarden y hagan guardar esta Ley. Madrid, 11 de julio de 2002. JUAN CARLOS R. El Presidente del Gobierno, JOSÉ MARÍA AZNAR LÓPEZ
ANEXO DEFINICIONES A los efectos de esta Ley, se entenderá por: a) «Servicios de la sociedad de la información» o «servicios»: todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario.
312
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios. Son servicios de la sociedad de la información, entre otros y siempre que representen una actividad económica, los siguientes: 1.o La contratación de bienes o servicios por vía electrónica. 2.o La organización y gestión de subastas por medios electrónicos o de mercados y centros comerciales virtuales. 3.o La gestión de compras en la red por grupos de personas. 4.o El envío de comunicaciones comerciales. 5.o El suministro de información por vía telemática. 6.o El vídeo bajo demanda, como servicio en que el usuario puede seleccionar a través de la red, tanto el programa deseado como el momento de su suministro y recepción, y, en general, la distribución de contenidos previa petición individual. No tendrán la consideración de servicios de la sociedad de la información los que no reúnan las características señaladas en el primer párrafo de este apartado y, en particular, los siguientes: 1.o Los servicios prestados por medio de telefonía vocal, fax o télex. 2.o El intercambio de información por medio de correo electrónico u otro medio de comunicación electrónica equivalente para fines ajenos a la actividad económica de quienes lo utilizan. 3.o Los servicios de radiodifusión televisiva (incluidos los servicios de cuasivídeo a la carta), contemplados en el artículo 3.a) de la Ley 25/1994, de 12 de julio, por la que se incorpora al ordenamiento jurídico español la Directiva 89/552/CEE, del Consejo, de 3 de octubre, sobre la coordinación de determinadas disposiciones legales, reglamentarias y administrativas de los Estados miembros relativas al ejercicio de actividades de radiodifusión televisiva, o cualquier otra que la sustituya. 4.o Los servicios de radiodifusión sonora, y 5.o El teletexto televisivo y otros servicios equivalentes como las guías electrónicas de programas ofrecidas a través de las plataformas televisivas. b) «Servicio de intermediación»: servicio de la sociedad de la información por el que se facilita la prestación o utilización de otros servicios de la sociedad de la información o el acceso a la información. Son servicios de intermediación la provisión de servicios de acceso a Internet, la transmisión de datos por redes de telecomunicaciones, la realización de copia temporal de las páginas de Internet solicitadas por los usuarios,
ANEXO 1
313
el alojamiento en los propios servidores de datos, aplicaciones o servicios suministrados por otros y la provisión de instrumentos de búsqueda, acceso y recopilación de datos o de enlaces a otros sitios de Internet. c) «Prestador de servicios» o «prestador»: persona física o jurídica que proporciona un servicio de la sociedad de la información. d) «Destinatario del servicio» o «destinatario»: persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información. e) «Consumidor»: persona física o jurídica en los términos establecidos en el artículo 1 de la Ley 26/1984, de 19 de julio, General para la Defensa de los Consumidores y Usuarios. f) «Comunicación comercial»: toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional. A efectos de esta Ley, no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica. g) «Profesión regulada»: toda actividad profesional que requiera para su ejercicio la obtención de un título, en virtud de disposiciones legales o reglamentarias. h) «Contrato celebrado por vía electrónica» o «contrato electrónico»: todo contrato en el que la oferta y la aceptación se transmiten por medio de equipos electrónicos de tratamiento y almacenamiento de datos, conectados a una red de telecomunicaciones. i) «Ámbito normativo coordinado»: todos los requisitos aplicables a los prestadores de servicios de la sociedad de la información, ya vengan exigidos por la presente Ley u otras normas que regulen el ejercicio de actividades económicas por vía electrónica, o por las leyes generales que les sean de aplicación, y que se refieran a los siguientes aspectos: 1.o Comienzo de la actividad, como las titulaciones profesionales o cualificaciones requeridas, la publicidad registral, las autorizaciones administrativas o colegiales precisas, los regímenes de notificación a cualquier órgano u organismo público o privado, y 2.o Posterior ejercicio de dicha actividad, como los requisitos referentes a la actuación del prestador de servicios, a la calidad, seguridad y contenido
314
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
del servicio, o los que afectan a la publicidad y a la contratación por vía electrónica y a la responsabilidad del prestador de servicios. No quedan incluidos en este ámbito las condiciones relativas a las mercancías y bienes tangibles, a su entrega ni a los servicios no prestados por medios electrónicos. j) «Órgano competente»: todo órgano jurisdiccional o administrativo, ya sea de la Administración General del Estado, de las Administraciones Autonómicas, de las Entidades locales o de sus respectivos organismos o entes públicos dependientes, que actúe en el ejercicio de competencias legalmente atribuidas.
Anexo 2 Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico) EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA, Visto el Tratado constitutivo de la Comunidad Europea y, en particular, el apartado 2 de su artículo 47, y sus artículos 55 y 95, Vista la propuesta de la Comisión(1), Visto el dictamen del Comité Económico y Social(2), De conformidad con el procedimiento establecido en el artículo 251 del Tratado(3), Considerando lo siguiente: (1) La Unión Europea tiene como objetivo crear una unión cada vez más estrecha entre los Estados y los pueblos europeos, así como asegurar el progreso económico y social. De conformidad con el apartado 2 del artículo 14 del Tratado, el mercado interior supone un espacio sin fronteras interiores, en el que la libre circulación de mercancías y servicios y la libertad de establecimiento están garantizadas. El desarrollo de los servicios de la sociedad de la información en el espacio sin fronteras interiores es un medio esencial para eliminar las barreras que dividen a los pueblos europeos. 315
316
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
(2) El desarrollo del comercio electrónico en la sociedad de la información ofrece importantes oportunidades para el empleo en la Comunidad, especialmente para las pequeñas y medianas empresas, que facilitará el crecimiento de las empresas europeas, así como las inversiones en innovación, y también puede incrementar la competitividad de la industria europea, siempre y cuando Internet sea accesible para todos. (3) El Derecho comunitario y las características del ordenamiento jurídico comunitario constituyen una baza fundamental para que los ciudadanos y los agentes europeos puedan disfrutar plenamente, y sin tener en cuenta las fronteras, de las oportunidades que ofrece el comercio electrónico. La presente Directiva tiene, por consiguiente, como finalidad garantizar un elevado nivel de integración jurídica comunitaria con objeto de establecer un auténtico espacio sin fronteras interiores en el ámbito de los servicios de la sociedad de la información. (4) Es importante que el comercio electrónico pueda beneficiarse plenamente del mercado interior y que se alcance un alto grado de integración comunitaria, como en el caso de la Directiva 89/552/CEE del Consejo, de 3 de octubre de 1989, sobre la coordinación de determinadas disposiciones legales, reglamentarias y administrativas de los Estados miembros relativas al ejercicio de actividades de radiodifusión televisiva(4). (5) El desarrollo de los servicios de la sociedad de la información en la Comunidad se ve entorpecido por cierto número de obstáculos jurídicos que se oponen al buen funcionamiento del mercado interior y que hacen menos atractivo el ejercicio de la libertad de establecimiento y de la libre circulación de servicios. Dichos obstáculos tienen su origen en la disparidad de legislaciones, así como en la inseguridad jurídica de los regímenes nacionales aplicables a estos servicios; a falta de coordinación y ajuste de las legislaciones en los ámbitos en cuestión, hay obstáculos que pueden estar justificados con arreglo a la jurisprudencia del Tribunal de Justicia de las Comunidades Europeas y existe una inseguridad jurídica sobre el alcance del control que los Estados miembros pueden realizar sobre los servicios procedentes de otro Estado miembro. (6) Atendiendo a los objetivos comunitarios, a lo dispuesto en los artículos 43 y 49 del Tratado y al Derecho derivado comunitario, conviene suprimir dichos obstáculos coordinando determinadas legislaciones nacionales y aclarando conceptos jurídicos a nivel comunitario, en la medida en que sea necesario para el buen funcionamiento del mercado interior. La presente Directiva, al no tratar sino algunos puntos específicos que plantean problemas para el mercado interior, es plenamente coherente con la necesidad de respetar el principio de subsidiariedad de conformidad con el artículo 5 del Tratado.
ANEXO 2
317
(7) Es fundamental para garantizar la seguridad jurídica y la confianza de los consumidores que la presente Directiva establezca un marco claro y de carácter general para determinados aspectos jurídicos del comercio electrónico en el mercado interior. (8) El objetivo de la presente Directiva es crear un marco jurídico que garantice la libre circulación de los servicios de la sociedad de la información entre Estados miembros y no armonizar el campo de la legislación penal en sí. (9) La libre circulación de los servicios de la sociedad de la información puede constituir, en muchos casos, un reflejo específico en el Derecho comunitario de un principio más general, esto es, de la libertad de expresión consagrada en el apartado 1 del artículo 10 del Convenio para la protección de los derechos humanos y de las libertades fundamentales, ratificado por todos los Estados miembros; por esta razón, las Directivas que tratan de la prestación de servicios de la sociedad de la información deben garantizar que se pueda desempeñar esta actividad libremente en virtud de dicho artículo, quedando condicionada únicamente a las restricciones establecidas en al apartado 2 de dicho artículo y en el apartado 1 del artículo 46 del Tratado. La presente Directiva no está destinada a influir en las normas y principios nacionales fundamentales relativos a la libertad de expresión. (10) De conformidad con el principio de proporcionalidad, las medidas previstas en la presente Directiva se limitan al mínimo necesario para conseguir el objetivo del correcto funcionamiento del mercado interior. En aquellos casos en que sea necesaria una intervención comunitaria y con el fin de garantizar que realmente dicho espacio interior no presente fronteras interiores para el comercio electrónico, la Directiva debe garantizar un alto nivel de protección de los objetivos de interés general y, en especial, la protección de los menores y la dignidad humana, la protección del consumidor y de la salud pública. A tenor de lo dispuesto en el artículo 152 del Tratado, la protección de la salud es un componente esencial de las demás políticas comunitarias. (11) La presente Directiva no afecta al nivel de protección, en particular, de la salud pública y de los intereses de los consumidores fijados en los instrumentos comunitarios; entre otras, la Directiva 93/13/CEE del Consejo, de 5 de abril de 1993, sobre las cláusulas abusivas en los contratos celebrados con consumidores(5) y la Directiva 97/7/CE del Parlamento Europeo y del Consejo, de 20 de mayo de 1997, relativa a la protección de los consumidores en materia de contratos a distancia(6), constituyen un instrumento esencial para la protección del consumidor en materia contractual. Dichas Directivas se seguirán aplicando en su integridad a los servicios de la sociedad de la in-
318
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
formación; también forman parte de este acervo comunitario, plenamente aplicable a los servicios de la sociedad de la información, en particular, la Directiva 84/450/CEE del Consejo, de 10 de septiembre de 1984, sobre publicidad engañosa y publicidad comparativa(7), la Directiva 87/102/CEE del Consejo, de 22 de diciembre de 1986, relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros en materia de crédito al consumo(8), la Directiva 93/22/CEE del Consejo, de 10 de mayo de 1993, relativa a los servicios de inversión en el ámbito de los valores negociables(9), la Directiva 90/314/CEE del Consejo, de 13 de junio de 1990, relativa a los viajes combinados, las vacaciones combinadas y los circuitos combinados(10), la Directiva 98/6/CE del Parlamento Europeo y del Consejo, de 16 de febrero de 1998, relativa a la protección de los consumidores en materia de indicación de los precios de los productos ofrecidos a los consumidores(11), la Directiva 92/59/CEE del Consejo, de 29 de junio de 1992, relativa a la seguridad general de los productos(12), la Directiva 94/47/CE del Parlamento Europeo y del Consejo, de 26 de octubre de 1994, sobre el derecho de utilización de inmuebles en régimen de tiempo compartido(13), la Directiva 98/27/CE del Parlamento Europeo y del Consejo, de 19 de mayo de 1998, relativa a las acciones de cesación en materia de protección de los intereses de los consumidores(14), la Directiva 85/374/CEE del Consejo, de 25 de julio de 1985, relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros en materia de responsabilidad por los daños causados por productos defectuosos(15), la Directiva 1999/44/CE del Parlamento Europeo y del Consejo, de 25 de abril de 1999, sobre determinados aspectos de la venta y las garantías de los bienes de consumo(16), la futura Directiva del Parlamento Europeo y del Consejo relativa a la comercialización a distancia de servicios financieros destinados a los consumidores y la Directiva 92/28/CEE del Consejo, de 31 de marzo de 1992, relativa a la publicidad de los medicamentos para uso humano(17). La presente Directiva no debe afectar a la Directiva 98/43/CE del Parlamento Europeo y del Consejo, de 6 de julio de 1998, relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros en materia de publicidad y de patrocinio de los productos del tabaco(18), adoptadas en el marco del mercado interior ni a otras Directivas sobre protección de la salud pública. La presente Directiva completa los requisitos de información establecidos en las Directivas mencionadas y, en particular, en la Directiva 97/7/CE. (12) Es necesario excluir del ámbito de aplicación de la presente Directiva algunas actividades habida cuenta de que, en el momento presente, la libre circulación de servicios no puede quedar garantizar con arreglo al Tra-
ANEXO 2
319
tado o al actual Derecho comunitario derivado. Esta exclusión no va en perjuicio de los posibles instrumentos que puedan resultar necesarios para el buen funcionamiento del mercado interior; las cuestiones fiscales y, concretamente, el impuesto sobre el valor añadido -que grava gran número de los servicios objeto de la presente Directiva- deben excluirse del ámbito de aplicación de la presente Directiva. (13) La presente Directiva no tiene la finalidad de establecer normas sobre obligaciones fiscales; tampoco prejuzga la elaboración de instrumentos comunitarios relativos a aspectos fiscales del comercio electrónico. (14) La protección de las personas con respecto al tratamiento de datos de carácter personal se rige únicamente por la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos(19) y la Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones(20), que son enteramente aplicables a los servicios de la sociedad de la información. Dichas Directivas establecen ya un marco jurídico comunitario en materia de datos personales y, por tanto, no es necesario abordar este aspecto en la presente Directiva para garantizar el correcto funcionamiento del mercado interior, en particular la libre circulación de datos personales entre Estados miembros. La aplicación y ejecución de la presente Directiva debe respetar plenamente los principios relativos a la protección de datos personales, en particular en lo que se refiere a las comunicaciones comerciales no solicitadas y a la responsabilidad de los intermediarios, la presente Directiva no puede evitar el uso anónimo de redes abiertas como Internet. (15) La confidencialidad de las comunicaciones queda garantizada por el artículo 5 de la Directiva 97/66/CE; basándose en dicha Directiva, los Estados miembros deben prohibir cualquier forma de interceptar o vigilar esas comunicaciones por parte de cualquier persona que no sea su remitente o su destinatario salvo que esté legalmente autorizada. (16) La exclusión de las actividades relacionadas con los juegos de azar del ámbito de aplicación de la presente Directiva se refiere sólo a juegos de azar, loterías y apuestas, que impliquen una participación con valor monetario; ésta no se refiere a los concursos o juegos promocionales en que el objetivo sea fomentar la venta de bienes o servicios y en los que los pagos, si los hay, sólo sirven para adquirir los bienes o servicios publicitados. (17) La definición de servicios de la sociedad de la información ya existe en el Derecho comunitario, y se recoge en la Directiva 98/34/CE del
320
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Parlamento Europeo y del Consejo, de 22 de junio de 1998, por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas y de las reglas relativas a los servicios de la sociedad de la información(21) y en la Directiva 98/84/CE del Parlamento Europeo y del Conseje, de 20 de noviembre de 1998, relativa a la protección jurídica de los servicios de acceso condicional o basados en dicho acceso(22). Dicha definición se refiere a cualquier servicio prestado normalmente a título oneroso, a distancia, mediante un equipo electrónico para el tratamiento (incluida la compresión digital) y el almacenamiento de datos, y a petición individual de un receptor de un servicio; estos servicios a los que se hace referencia en la lista indicativa del anexo V de la Directiva 98/34/CE que no implica tratamiento y almacenamiento de datos no están incluidos en la presente definición. (18) Los servicios de la sociedad de la información cubren una amplia variedad de actividades económicas que se desarrollan en línea; dichas actividades en particular consisten en la venta de mercancías en línea. Las actividades como la entrega de mercancías en sí misma o la prestación de servicios fuera de la línea no están cubiertas. Los servicios de la sociedad de la información no se limitan únicamente a servicios que dan lugar a la contratación en línea, sino también, en la medida en que representan una actividad económica, son extensivos a servicios no remunerados por sus destinatarios, como aquéllos que consisten en ofrecer información en línea o comunicaciones comerciales, o los que ofrecen instrumentos de búsqueda, acceso y recopilación de datos. Los servicios de la sociedad de la información cubren también servicios consistentes en transmitir información a través de una red de comunicación, o albergar información facilitada por el destinatario del servicio. La radiodifusión televisiva según se define en la Directiva 89/552/CEE y la radiodifusión radiofónica no son servicios de la sociedad de la información, ya que no se prestan a petición individual; por el contrario, los servicios que se transmiten entre dos puntos, como el vídeo a la carta o el envío de comunicaciones comerciales por correo electrónico son servicios de la sociedad de la información. El uso del correo electrónico o, por ejemplo, de sistemas equivalentes de comunicación entre individuos, por parte de personas físicas que actúan fuera de su profesión, negocio o actividad profesional, incluso cuando los usan para celebrar contratos entre sí, no constituyen un servicio de la sociedad de la información. La relación contractual entre un empleado y su empresario no es un servicio de la sociedad de la información; las actividades que por su propia naturaleza no pueden realizarse a distancia ni por medios electrónicos, tales como el control legal de la contabilidad de las empresas o el asesoramiento médico que requiere el re-
ANEXO 2
321
conocimiento físico de un paciente, no constituyen servicios de la sociedad de la información. (19) Se debe determinar el lugar de establecimiento del prestador de servicios a tenor de lo dispuesto en la jurisprudencia del Tribunal de Justicia, según la cual el concepto de establecimiento implica la realización efectiva de una actividad económica a través de un establecimiento fijo durante un período indefinido. Este requisito se cumple también cuando se constituye una sociedad durante un período determinado; cuando se trata de una sociedad que proporciona servicios mediante un sitio Internet, dicho lugar de establecimiento no se encuentra allí donde está la tecnología que mantiene el sitio ni allí donde se puede acceder al sitio, sino el lugar donde se desarrolla la actividad económica. En el supuesto de que existan varios establecimientos de un mismo prestador de servicios es importante determinar desde qué lugar de establecimiento se presta un servicio concreto; en caso de especial dificultad para determinar a partir de cual de los distintos lugares de establecimiento se presta un servicio dado, será el lugar en que el prestador tenga su centro de actividades en relación con ese servicio en particular. (20) La definición del «destinatario de un servicio» abarca todos los tipos de utilización de los servicios de la sociedad de la información, tanto por personas que suministran información en redes abiertas tales como Internet, como las que buscan información en Internet por razones profesionales o privadas. (21) El ámbito de aplicación del ámbito coordinado no prejuzga la futura armonización comunitaria en relación con los servicios de la sociedad de la información, ni la futura legislación nacional adoptada con arreglo al Derecho comunitario. El ámbito coordinado se refiere sólo a los requisitos relacionados con las actividades en línea, como la información en línea, la publicidad en línea, las compras en línea o la contratación en línea, y no se refiere a los requisitos legales del Estado miembro relativos a las mercancías, tales como las normas de seguridad, las obligaciones de etiquetado o la responsabilidad de las mercancías, ni a los requisitos del Estado miembro relativos a la entrega o transporte de mercancías, incluida la distribución de medicamentos. El ámbito coordinado no afecta al ejercicio del derecho preferente de las autoridades públicas en relación con determinados bienes, tales como las obras de arte. (22) El control de los servicios de la sociedad de la información debe hacerse en el origen de la actividad para garantizar que se protegen de forma eficaz los intereses generales y que, para ello, es necesario garantizar que la autoridad competente garantice dicha protección no sólo en el caso de los ciudadanos de su país, sino en el de todos los ciudadanos de la Comunidad.
322
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Es indispensable precisar con claridad esta responsabilidad del Estado miembro de origen de los servicios para mejorar la confianza mutua entre los Estados miembros; además y con el fin de garantizar de forma eficaz la libre circulación de servicios y la seguridad jurídica para los prestadores de servicios y sus destinatarios, en principio estos servicios deben estar sujetos al régimen jurídico del Estado miembro en que está establecido el prestador de servicios. (23) No es objetivo de la presente Directiva fijar normas adicionales de Derecho internacional privado relativas a conflictos entre legislaciones y no afecta a la jurisdicción de los tribunales de justicia. Las disposiciones de la legislación aplicable determinada por las normas del Derecho internacional privado no podrán restringir la libre prestación de servicios de la sociedad de la información tal como se enuncia en la presente Directiva. (24) En el contexto de la presente Directiva, pese a la regla del control en el origen de los servicios de la sociedad de la información, resulta legítimo que, en las condiciones establecidas en la presente Directiva, los Estados miembros puedan tomar medidas dirigidas a restringir la libre circulación de los servicios de la sociedad de la información. (25) Los tribunales nacionales, incluidos los tribunales civiles, que conocen de controversias de Derecho privado pueden adoptar medidas que establecen excepciones a la libertad de prestar servicios en el marco de la sociedad de la información de conformidad con las condiciones establecidas en la presente Directiva. (26) Los Estados miembros, de conformidad con las condiciones establecidas en la presente Directiva, pueden aplicar sus normas nacionales sobre Derecho penal y enjuiciamiento criminal con vistas a adoptar todas las medidas de investigación y otras, necesarias para la averiguación y persecución de delitos, sin que sea necesario notificar dichas medidas a la Comisión. (27) La presente Directiva, junto con la futura Directiva del Parlamento Europeo y del Consejo relativa a la comercialización a distancia de servicios financieros destinados a los consumidores, contribuye a la creación de un marco jurídico para la provisión en línea de servicios financieros. La presente Directiva no impide futuras iniciativas en el campo de los servicios financieros, en particular en relación con la armonización de normas de conducta en este terreno. La posibilidad, establecida por la presente Directiva, de que los Estados miembros restrinjan, en determinadas circunstancias, la libre provisión de servicios de la sociedad de la información a fin de proteger a los consumidores comprende también medidas en el ámbito de los servicios financieros, en particular medidas destinadas a proteger a los inversores.
ANEXO 2
323
(28) La obligación de los Estados miembros de no someter el acceso al ejercicio de la actividad de prestador de servicios de la sociedad de la información a autorización previa no se refiere a los servicios postales recogidos en la Directiva 97/67/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa a las normas comunes para el desarrollo del mercado interior de los servicios postales de la Comunidad y la mejora de la calidad del servicio(23), consistentes en el reparto físico de mensajes impresos de correo electrónico y que no afecta a los regímenes de acreditación voluntaria, en particular para los prestadores de servicios de certificación de firma electrónica. (29) Las comunicaciones comerciales son esenciales para financiar los servicios de la sociedad de la información y el desarrollo de una amplia variedad de servicios nuevos y gratuitos. En interés de los consumidores y en beneficio de la lealtad de las transacciones, las comunicaciones comerciales —incluidas las rebajas, ofertas y concursos o juegos promocionales— deben respetar algunas obligaciones en cuanto a su transparencia; dichas obligaciones se entenderán sin perjuicio de lo dispuesto en la Directiva 97/7/CE. Lo dispuesto en la presente Directiva deberá entenderse sin perjuicio de las Directivas existentes sobre comunicaciones comerciales y, especialmente, la Directiva 98/43/CE. (30) El envío por correo electrónico de comunicaciones comerciales no solicitadas puede no resultar deseable para los consumidores y los prestadores de servicios de la sociedad de la información y trastornar el buen funcionamiento de las redes interactivas. La cuestión del consentimiento del destinatario en determinados casos de comunicaciones comerciales no solicitadas no se regula en la presente Directiva sino que ya está regulada, en particular, por las Directivas 97/7/CE y 97/66/CE. En los Estados miembros que autoricen las comunicaciones comerciales por correo electrónico no solicitadas, deberá fomentarse y facilitarse la creación por el sector competente de dispositivos de filtro; además, las comunicaciones comerciales no solicitadas han de ser en todos los casos claramente identificables como tales con el fin de mejorar la transparencia y facilitar el funcionamiento de los dispositivos creados por la industria. Las comunicaciones comerciales por correo electrónico no solicitadas no deberán redundar en gastos suplementarios para el destinatario. (31) Los Estados miembros que permiten el envío de comunicación comercial no solicitada por parte de prestadores de servicios establecidos en su territorio por correo electrónico sin consentimiento previo del receptor, deben garantizar que los prestadores de servicios consultan periódicamente las listas de exclusión voluntaria en las que se podrán inscribir las personas fí-
324
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
sicas que no deseen recibir dichas comunicaciones comerciales, y las respeten. (32) Para suprimir los obstáculos que impiden el desarrollo en la Comunidad de los servicios transfronterizos que las personas que ejercen las profesiones reguladas puedan ofrecer en Internet, es necesario que se respeten las normas profesionales, previstas para proteger especialmente a los consumidores o la salud pública, y que dicho respeto quede garantizado a nivel comunitario. Los códigos de conducta a nivel comunitario constituyen un instrumento privilegiado para determinar las normas deontológicas aplicables a la comunicación comercial; conviene impulsar en primer lugar su elaboración o, si procede, su adaptación, sin perjuicio de la autonomía de los colegios y asociaciones profesionales. (33) La presente Directiva complementa el Derecho comunitario y nacional en lo que respecta a las profesiones reguladas manteniendo un conjunto coherente de normas aplicables en la materia. (34) Todo Estado miembro debe ajustar su legislación en cuanto a los requisitos —y, especialmente, los requisitos formales— que puedan entorpecer la celebración de contratos por vía electrónica. Se debe examinar de forma sistemática qué legislaciones necesitan proceder a dicho ajuste y este examen debe versar sobre todas las fases y actos necesarios para realizar el proceso contractual, incluyendo el registro del contrato. El resultado de dicho ajuste debería hacer posibles la celebración de contratos por vía electrónica. El efecto jurídico de la firma electrónica es objeto de la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco común para la firma electrónica(24). El acuse de recibo expedido por un prestador de servicios puede consistir en suministrar en línea un servicio pagado. (35) La presente Directiva no afecta a la posibilidad que tienen los Estados miembros de mantener o establecer regímenes jurídicos específicos o generales en materia de contratos que pueden cumplirse por vía electrónica, en particular los requisitos en relación con la seguridad de las firmas electrónicas. (36) Los Estados miembros pueden mantener restricciones para el uso de los contratos electrónicos en lo que se refiere a los contratos que requieran, por ley, la intervención de los tribunales, las autoridades públicas o las profesiones que ejerzan una función pública. Esta posibilidad se aplica también a los contratos que requieren la intervención de los tribunales, autoridades públicas o profesiones que ejerzan una función pública para surtir efectos frente a terceros, así como también a los contratos que requieran, por ley, la certificación o la fe pública notarial.
ANEXO 2
325
(37) La obligación de los Estados miembros de suprimir los obstáculos por la celebración de los contratos electrónicos se refiere sólo a los obstáculos derivados del régimen jurídico y no a los obstáculos prácticos derivados de la imposibilidad de utilizar la vía electrónica en determinados casos. (38) La obligación de los Estados miembros de suprimir obstáculos para la celebración de contratos por la vía electrónica debe realizarse con arreglo al régimen jurídico relativo a los contratos consagrado en el Derecho comunitario. (39) Las excepciones a las disposiciones relativas a los contratos celebrados exclusivamente por correo electrónico o mediante comunicaciones individuales equivalentes previstas en la presente Directiva, en relación con la información exigida y la realización de un pedido, no deben tener como resultado permitir la elusión de dichas disposiciones por parte de los prestadores de servicios de la sociedad de la información. (40) La divergencia de las normativas y jurisprudencias nacionales actuales o futuras en el ámbito de la responsabilidad de los prestadores de servicios que actúan como intermediarios entorpece el correcto funcionamiento del mercado interior al obstaculizar, en especial, el desarrollo de servicios transfronterizos y producir distorsiones de la competencia. En algunos casos, los prestadores de servicios tienen el deber de actuar para evitar o poner fin a actividades ilegales. Lo dispuesto en la presente Directiva deberá constituir una base adecuada para elaborar mecanismos rápidos y fiables que permitan retirar información ilícita y hacer que sea imposible acceder a ella; convendría que estos mecanismos se elaborasen tomando como base acuerdos voluntarios negociados entre todas las partes implicadas y fomentados por los Estados miembros. Todas las partes que participan en el suministro de servicios de la sociedad de la información tienen interés en que este tipo de mecanismos se apruebe y se aplique. Lo dispuesto en la presente Directiva sobre responsabilidad no supone un obstáculo para que las distintas partes interesadas desarrollen y apliquen de forma efectiva sistemas técnicos de protección e identificación y de supervisión que permite la tecnología digital dentro de los límites trazados por las Directivas 95/46/CE y 97/66/CE. (41) La presente Directiva logra un justo equilibrio entre los diferentes intereses en presencia y establece principios sobre los que pueden basarse acuerdos y normas industriales. (42) Las exenciones de responsabilidad establecidas en la presente Directiva sólo se aplican a aquellos casos en que la actividad del prestador de servicios de la sociedad de la información se limita al proceso técnico de explotar y facilitar el acceso a una red de comunicación mediante la cual la información facilitada por terceros es transmitida o almacenada temporal-
326
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
mente, con el fin de hacer que la transmisión sea más eficiente. Esa actividad es de naturaleza meramente técnica, automática y pasiva, lo que implica que el prestador de servicios de la sociedad de la información no tiene conocimiento ni control de la información transmitida o almacenada. (43) Un prestador de servicios puede beneficiarse de las exenciones por mera transmisión (mere conduit) y por la forma de almacenamiento automático, provisional y temporal, denominada «memoria tampón» (Caching) cuando no tenga participación alguna en el contenido de los datos transmitidos; esto requiere, entre otras cosas, que no modifique los datos que transmite. Este requisito no abarca las manipulaciones de carácter técnico que tienen lugar en el transcurso de la transmisión, puesto que no alteran la integridad de los datos contenidos en la misma. (44) Un prestador de servicios que colabore deliberadamente con uno de los destinatarios de su servicio a fin de cometer actos ilegales rebasa las actividades de mero transporte (mere conduit) o la forma de almacenamiento automático, provisional y temporal, denominada «memoria tampón» (Caching) y no puede beneficiarse, por consiguiente, de las exenciones de responsabilidad establecidas para dichas actividades. (45) Las limitaciones de la responsabilidad de los prestadores de servicios intermediarios establecida en la presente Directiva no afecta a la posibilidad de entablar acciones de cesación de distintos tipos. Dichas acciones de cesación pueden consistir, en particular, en órdenes de los tribunales o de las autoridades administrativas por los que se exija poner fin a cualquier infracción o impedir que se cometa, incluso retirando la información ilícita o haciendo imposible el acceso a ella. (46) Para beneficiarse de una limitación de responsabilidad, el prestador de un servicio de la sociedad de la información consistente en el almacenamiento de datos habrá de actuar con prontitud para retirar los datos de que se trate o impedir el acceso a ellos en cuanto tenga conocimiento efectivo de actividades ilícitas. La retirada de datos o la actuación encaminada a impedir el acceso a los mismos habrá de llevarse a cabo respetando el principio de libertad de expresión y los procedimientos establecidos a tal fin a nivel nacional. La presente Directiva no afecta a la posibilidad de que los Estados miembros establezcan requisitos específicos que deberán cumplirse con prontitud antes de que retiren los datos de que se trate o se impida el acceso a los mismos. (47) Los Estados miembros no pueden imponer a los prestadores de servicios una obligación de supervisión exclusivamente con respecto a obligaciones de carácter general. Esto no se refiere a las obligaciones de supervisión en casos específicos y, en particular, no afecta a las órdenes de las
ANEXO 2
327
autoridades nacionales formuladas de conformidad con la legislación nacional. (48) La presente Directiva no afecta a la posibilidad de que los Estados miembros exijan a los prestadores de servicios, que proporcionan alojamiento de datos suministrados por destinatarios de su servicio, que apliquen un deber de diligencia, que cabe esperar razonablemente de ellos y que esté especificado en el Derecho nacional, a fin de detectar y prevenir determinados tipos de actividades ilegales. (49) Los Estados miembros y la Comisión fomentarán la elaboración de códigos de conducta; ello no irá en perjuicio del carácter voluntario de dichos códigos ni de la posibilidad de que las partes interesadas decidan libremente la adhesión a los mismos. (50) Es importante que la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la armonización de ciertos aspectos de los derechos de autor y derechos conexos en la sociedad de la información y la presente Directiva entren en vigor más o menos al mismo tiempo, para garantizar el establecimiento de un marco normativo claro relativo a la cuestión de la responsabilidad de los intermediarios por infracciones de los derechos de autor y los derechos conexos a escala comunitaria. (51) Corresponderá a cada Estado miembro, llegado el caso, ajustar aquellas disposiciones de su legislación que puedan entorpecer la utilización de los mecanismos de solución extrajudicial de conflictos por vías electrónicas adecuadas. El resultado de dicho ajuste debe hacer posible el funcionamiento de tales mecanismos de forma real y efectiva, tanto de derecho como de hecho, incluso en situaciones transfronterizas. (52) El ejercicio efectivo de las libertades del mercado interior hace necesario que se garantice a las víctimas un acceso eficaz a los medios de resolución de litigios. Los daños y perjuicios que se pueden producir en el marco de los servicios de la sociedad de la información se caracterizan por su rapidez y por su extensión geográfica. Debido a esta característica y a la necesidad de velar por que las autoridades nacionales eviten que se ponga en duda la confianza mutua que se deben conceder, la presente Directiva requiere de los Estados miembros que establezcan las condiciones para que se puedan emprender los recursos judiciales pertinentes. Los Estados miembros estudiarán la necesidad de ofrecer acceso a los procedimientos judiciales por los medios electrónicos adecuados. (53) La Directiva 98/27/CE, aplicable a los servicios de la sociedad de la información, establece un mecanismo relativo a las acciones de cesación en materia de protección de los intereses colectivos de los consumidores; este mecanismo contribuirá a la libre circulación de los servicios de la sociedad
328
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
de la información al garantizar un alto nivel de protección de los consumidores. (54) Las sanciones establecidas en virtud de la presente Directiva se entenderán sin perjuicio de cualquier otra sanción o reparación establecidos en virtud de la legislación nacional. Los Estados miembros no están obligados a establecer sanciones penales por infracción de las disposiciones nacionales adoptadas en aplicación de la presente Directiva. (55) La presente Directiva no afecta a la legislación aplicable a las obligaciones contractuales relativas a los contratos celebrados por los consumidores; por lo tanto, la presente Directiva no podré tener como efecto el privar al consumidor de la protección que le confieren las normas obligatorias relativas a las obligaciones contractuales que impone la legislación del Estado miembro en que tiene su residencia habitual. (56) Por lo que se refiere a la excepción prevista en la presente Directiva, se deberá interpretar que las obligaciones contractuales en los contratos celebrados por los consumidores incluyen la información sobre elementos esenciales del contenido del contrato, incluidos los derechos del consumidor, que tengan una influencia determinante sobre la decisión de celebrarlo. (57) El Tribunal de Justicia siempre ha sostenido que un Estado miembro conserva el derecho de adoptar medidas contra un prestador de servicios establecido en otro Estado miembro, cuya actividad se dirige principalmente o en su totalidad hacia el territorio del primer Estado miembro, cuando dicho establecimiento se haya realizado con la intención de evadir la legislación que se hubiera aplicado al prestador de servicios en caso de que se hubiera establecido en el territorio del primer Estado miembro. (58) La presente Directiva no será aplicable a los servicios procedentes de prestadores establecidos en un tercer país; habida cuenta de la dimensión global del comercio electrónico, conviene garantizar, no obstante, la coherencia del marco comunitario con el marco internacional. La Directiva se entenderá sin perjuicio de los resultados a que se llegue en los debates en curso sobre los aspectos jurídicos en las organizaciones internacionales (entre otras, la Organización Mundial del Comercio, la Organización de Cooperación y Desarrollo Económico y la CNUDMI). (59) Pese a la naturaleza global de las comunicaciones electrónicas, es necesario coordinar las medidas reguladoras nacionales a escala de la Unión Europea, con el fin de evitar la fragmentación del mercado interior y establecer el adecuado marco regulador europeo. Dicha coordinación deberá contribuir también al establecimiento de una posición común firme en las negociaciones en los foros internacionales.
ANEXO 2
329
(60) Para lograr un desarrollo sin trabas del comercio electrónico, es esencial que dicho marco jurídico sea sencillo, claro y seguro y compatible con las normas vigentes a escala internacional, de modo que no se vea afectada la competitividad de la industria europea y no se obstaculice la realización de acciones innovadoras en dicho ámbito. (61) Para el correcto funcionamiento del mercado por vía electrónica en un contexto mundializado, es precisa una concertación entre la Unión Europea y los grandes espacios no europeos con el fin de compatibilizar las legislaciones y los procedimientos. (62) Debe reforzarse la cooperación con terceros países en el sector del comercio electrónico, en particular con los países candidatos, los países en vías de desarrollo y los principales socios comerciales de la Unión Europea. (63) La adopción de la presente Directiva no impide a los Estados miembros tener en cuenta las diferentes repercusiones sociales y socioculturales inherentes a la aparición de la sociedad de la información y, en particular, no impide que los Estados miembros adopten medidas políticas de conformidad con la legislación comunitaria con el propósito de alcanzar objetivos sociales, culturales y democráticas en atención a su diversidad lingüística, sus peculiaridades nacionales y regionales y su legado cultural, así como con el fin de proporcionar y garantizar el acceso público a un abanico lo más amplio posible de servicios de la sociedad de la información. El desarrollo de la sociedad de la información debe garantizar en todos los casos que los ciudadanos europeos puedan acceder al patrimonio cultural europeo en un entorno digital. (64) La comunicaciones electrónicas brindan a los Estados miembros una excelente vía para prestar servicios públicos en los ámbitos cultural, educativo y lingüístico. (65) El Consejo de Ministros, en su Resolución de 19 de enero de 1999 sobre la dimensión relativa a los consumidores de la sociedad de la información(25), ha destacado que la protección de los consumidores merecía especial atención en el marco de dicha sociedad. La Comisión examinará en qué medida las actuales normas de protección del consumidor no proporcionan la protección adecuada en relación con la sociedad de la información y, si procede, señalará las posibles lagunas de esta legislación y los aspectos en los que podría resultar necesario tomar medidas adicionales; llegado el caso, la Comisión debería hacer propuestas específicas adicionales para colmar las lagunas que haya detectado.
330
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
HAN ADOPTADO LA PRESENTE DIRECTIVA: CAPÍTULO I DISPOSICIONES GENERALES Artículo 1. Objetivo y ámbito de aplicación. 1. El objetivo de la presente Directiva es contribuir al correcto funcionamiento del mercado interior garantizando la libre circulación de los servicios de la sociedad de la información entre los Estados miembros. 2. En la medida en que resulte necesario para alcanzar el objetivo enunciado en el apartado 1 mediante la presente Directiva, se aproximarán entre sí determinadas disposiciones nacionales aplicables a los servicios de la sociedad de la información relativas al mercado interior, el establecimiento de los prestadores de servicios, las comunicaciones comerciales, los contratos por vía electrónica, la responsabilidad de los intermediarios, los códigos de conducta, los acuerdos extrajudiciales para la solución de litigios, los recursos judiciales y la cooperación entre Estados miembros. 3. La presente Directiva completará el ordenamiento jurídico comunitario aplicable a los servicios de la sociedad de la información, sin perjuicio del nivel de protección, en particular, de la salud pública y de los intereses del consumidor, fijados tanto en los instrumentos comunitarios como en las legislaciones nacionales que los desarrollan, en la medida en que nos restrinjan la libertad de prestar servicios de la sociedad de la información. 4. La presente Directiva no establece normas adicionales de Derecho internacional privado ni afecta a la jurisdicción de los tribunales de justicia. 5. La presente Directiva no se aplicará: a) en materia de fiscalidad; b) a cuestiones relacionadas con servicios de la sociedad de la información incluidas en las Directivas 95/46/CE y 97/66/CE; c) a cuestiones relacionadas con acuerdos o prácticas que se rijan por la legislación sobre carteles; d) a las siguientes actividades de los servicios de la sociedad de la información; — las actividades de los notarios o profesiones equivalentes, en la medida en que impliquen una conexión directa y específica con el ejercicio de la autoridad pública,
ANEXO 2
331
— a representación de un cliente y la defensa de sus intereses ante los tribunales, — las actividades de juegos de azar que impliquen apuestas de valor monetario incluidas loterías y apuestas. 6. La presente Directiva no afectará a las medidas adoptadas en el plano comunitario ni nacional, dentro del respeto del Derecho comunitario, para fomentar la diversidad cultural y lingüística y garantizar la defensa del pluralismo. Artículo 2. Definiciones. A efectos de la presente Directiva, se entenderá por: a) «servicios de la sociedad de la información»: servicios en el sentido del apartado 2 del artículo 1 de la Directiva 98/34/CE, modificada por la Directiva 98/48/CE; b) «prestador de servicios»: cualquier persona física o jurídica que suministre un servicio de la sociedad de la información; c) «prestador de servicios establecido»: prestador que ejerce de manera efectiva una actividad económica a través de una instalación estable y por un período de tiempo indeterminado. La presencia y utilización de los medios técnicos y de las tecnologías utilizadas para prestar el servicio no constituyen en sí mismos el establecimiento del prestador de servicios; d) «destinatario del servicio»: cualquier persona física o jurídica que utilice un servicio de la sociedad de la información por motivos profesionales o de otro tipo y, especialmente, para buscar información o para hacerla accesible; e) «consumidor»: cualquier persona física que actúa con un propósito ajeno a su actividad económica, negocio o profesión; f) «comunicación comercial»: todas las formas de comunicación destinadas a proporcionar directa o indirectamente bienes, servicios o la imagen de una empresa, organización o persona con una actividad comercial, industrial, artesanal o de profesiones reguladas. No se consideran comunicaciones comerciales en sí mismas las siguientes: — los datos que permiten acceder directamente a la actividad de dicha empresa, organización o persona y, concretamente el nombre de dominio o la dirección de correo electrónico, — las comunicaciones relativas a los bienes, servicios o a la imagen de dicha empresa, organización o persona, elaboradas de forma independiente de ella, en particular cuando estos se realizan sin contrapartida económica;
332
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
g) «profesión regulada»: cualquier profesión en el sentido o bien de la letra d) del artículo 1 de la Directiva 89/48/CE del Consejo, de 21 de diciembre de 1988, relativa a un sistema general de reconocimiento de títulos de enseñanza superior que sancionen formaciones profesionales de una duración mínima de tres años(26), o de la letra f) del artículo 1 de la Directiva 92/51/CE del Consejo, de 18 de junio de 1992, relativa a un segundo sistema general de reconocimiento de formaciones profesionales que completa la Directiva 89/48/CE(27); h) «ámbito coordinado»: los requisitos exigibles a los prestadores de servicios en los regímenes jurídicos de los Estados miembros aplicables a los prestadores de servicios de la sociedad de la información a los servicios de la sociedad de la información, independientemente de si son de tipo general o destinados específicamente a los mismos. I)
El ámbito coordinado se refiere a los requisitos que debe cumplir el prestador de servicios en relación con: — el inicio de la actividad de un servicio de la sociedad de la información, como los requisitos relativos a cualificaciones, autorizaciones o notificaciones, — el ejercicio de la actividad de un servicio de la sociedad de la información, como los requisitos relativos al comportamiento del prestador de servicios, los requisitos en relación con la calidad o el contenido del servicio, incluidos los aplicables a publicidad y contratos, o los requisitos relativos a la responsabilidad del prestador de servicios. II)
El ámbito coordinado no se refiere a los requisitos siguientes:
— requisitos aplicables a las mercancías en sí, — requisitos aplicables a la entrega de las mercancías, — requisitos aplicables a los servicios no prestados por medios electrónicos. Artículo 3. Mercado interior. 1. Todo Estado miembro velará por que los servicios de la sociedad de la información facilitados por un prestador de servicios establecido en su territorio respeten las disposiciones nacionales aplicables en dicho Estado miembro que formen parte del ámbito coordinado. 2. Los Estados miembros no podrán restringir la libertad de prestación de servicios de la sociedad de la información de otro Estado miembro por razones inherentes al ámbito coordinado.
ANEXO 2
333
3. No se aplicarán los apartados 1 y 2 a los ámbitos a que se hace referencia en el anexo. 4. Los Estados miembros podrán tomar medidas que constituyen excepciones al apartado 2 respecto de un determinado servicio de la sociedad de la información si se cumplen las condiciones siguientes: a) Las medidas deberán ser: I)
necesarias por uno de los motivos siguientes:
— orden público, en particular la prevención, investigación, descubrimiento y procesamiento del delito, incluidas la protección de menores y la lucha contra la instigación al odio por motivos de raza, sexo, religión o nacionalidad, así como las violaciones de la dignidad humana de personas individuales, — protección de la salud pública, — seguridad pública, incluidas la salvaguarda de la seguridad y la defensa nacionales, — protección de los consumidores, incluidos los inversores; II) tomadas en contra de un servicio de la sociedad de la información que vaya en detrimento de los objetivos enunciados en el inciso i) o que presente un riesgo serio y grave de ir en detrimento de dichos objetivos; III) proporcionadas a dichos objetivos.
b) Antes de adoptar dichas medidas y sin perjuicio de los procesos judiciales, incluidas las actuaciones preliminares y los actos realizados en el marco de una investigación criminal, el Estado miembro deberá: — haber pedido al Estado miembro que figura en el apartado 1 que tome medidas y este último no haberlas tomado, o no haber resultado suficientes, — haber notificado a la Comisión y al Estado miembro mencionado en el apartado 1 su intención de adoptar dichas medidas. 5. En caso de urgencia, los Estados miembros podrán establecer excepciones a las condiciones estipuladas en la letra b) del apartado 4. Cuando así ocurra, las medidas se notificarán con la mayor brevedad a la Comisión y al Estado miembro a que hace referencia el apartado 1, indicando las razones de la urgencia según el Estado miembro. 6. Sin perjuicio de la posibilidad de un Estado miembro de tomar las medidas en cuestión, la Comisión deberá examinar la compatibilidad de las medidas notificadas con el Derecho comunitario en el más breve plazo; en caso de que llegue a la conclusión de que dichas medidas son incompati-
334
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
bles con el Derecho comunitario, la Comisión solicitará a dicho Estado miembro que se abstenga de tomar ninguna de las medidas propuestas o que ponga fin lo antes posible a las mismas. CAPÍTULO II PRINCIPIOS SECCIÓN 1: RÉGIMEN DE ESTABLECIMIENTO Y DE INFORMACIÓN Artículo 4. Principio de no autorización previa. 1. Los Estados miembros dispondrán que el acceso a la actividad de prestador de servicios de la sociedad de la información no pueda someterse a autorización previa ni a ningún otro requisito con efectos equivalentes. 2. Lo dispuesto en el apartado 1 no irá en perjuicio de los regímenes de autorización que no tengan por objeto específico y exclusivo los servicios de la sociedad de la información, ni de los regímenes cubiertos por la Directiva 97/13/CE del Parlamento Europeo y del Consejo, de 10 de abril de 1997, relativa a un marco común en materia de autorizaciones generales y licencias individuales en el ámbito de los servicios de telecomunicaciones(28). Artículo 5. Información general exigida. 1. Además de otros requisitos en materia de información contemplados en el Derecho comunitario, los Estados miembros garantizarán que el prestador de servicios permita a los destinatarios del servicio y a las autoridades competentes acceder con facilidad y de forma directa y permanente como mínimo a los datos siguientes: a) nombre del prestador de servicios; b) dirección geográfica donde está establecido el prestador de servicios; c) señas que permitan ponerse en contacto rápidamente con el prestador de servicios y establecer una comunicación directa y efectiva con él, incluyendo su dirección de correo electrónico; d) si el prestador de servicios está inscrito en un registro mercantil u otro registro público similar, nombre de dicho registro y número de inscripción asignado en él al prestador de servicios, u otros medios equivalentes de identificación en el registro;
ANEXO 2
335
e) si una determinada actividad está sujeta a un régimen de autorización, los datos de la autoridad de supervisión correspondiente; f) en lo que se refiere a las profesiones reguladas: — si el prestador de servicios pertenece a un colegio profesional o institución similar, datos de dicho colegio o institución, — título profesional expedido y el Estado miembro en que se expidió, — referencia a las normas profesionales aplicables en el Estado miembro de establecimiento y los medios de acceder a las mismas; g) si el prestador de servicios ejerce una actividad gravada por el impuesto sobre el valor añadido (IVA), el número de identificación a que hace referencia el apartado 1 del artículo 22 de la Sexta Directiva 77/388/CEE del Consejo, de 17 de mayo de 1977, en materia de armonización de las legislaciones de los Estados miembros relativas a los impuestos sobre el volumen de negocios — Sistema común del Impuesto sobre el Valor Añadido: base imponible uniforme(29). 2. Además de otros requisitos en materia de información establecidos en el Derecho comunitario, los Estados miembros garantizarán que cuando los servicios de la sociedad de la información hagan referencia a precios, éstos se indiquen claramente y sin ambigüedades, y se haga constar en particular, si están incluidos los impuestos y los gastos de envío. SECCIÓN 2: COMUNICACIONES COMERCIALES Artículo 6. Información exigida. Además de otros requisitos en materia de información establecidos en el Derecho comunitario, los Estados miembros garantizarán que las comunicaciones comerciales que forman parte o constituyen un servicio de la sociedad de la información cumplan al menos las condiciones siguientes: a) las comunicaciones comerciales serán claramente identificables como tales; b) será claramente identificable la persona física o jurídica en nombre de la cual se hagan dichas comunicaciones comerciales; c) las ofertas promocionales, como los descuentos, premios y regalos, cuando estén permitidos en el Estado miembro de establecimiento del prestador de servicios, deberán ser claramente identificables como tales, y serán fácilmente accesibles y presentadas de manera clara e inequívoca las condiciones que deban cumplirse para acceder a ellos;
336
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
d) los concursos o juegos promocionales, cuando estén permitidos en el Estado miembro de establecimiento del prestador de servicios, serán claramente identificables como tales las condiciones de participación; serán fácilmente accesibles y se presentarán de manera clara e inequívoca. Artículo 7. Comunicación comercial no solicitada. 1. Además de otros requisitos establecidos en el Derecho comunitario, los Estados miembros que permitan la comunicación comercial no solicitada por correo electrónico garantizarán que dicha comunicación comercial facilitada por un prestador de servicios establecido en su territorio sea identificable de manera clara e inequívoca como tal en el mismo momento de su recepción. 2. Sin perjuicio de los dispuesto en las Directivas 97/7/CE y 97/66/CE, los Estados miembros deberán adoptar medidas para garantizar que los prestadores de servicios que realicen comunicaciones comerciales no solicitadas por correo electrónico consulten regularmente las listas de exclusión voluntaria (opt-out) en las que se podrán inscribir las personas físicas que no deseen recibir dichas comunicaciones comerciales, y las respeten. Artículo 8. Profesiones reguladas. 1. Los Estados miembros garantizarán que esté permitido el uso de comunicaciones comerciales que en todo o en parte constituyan un servicio de la sociedad de la información facilitado por un miembro de una profesión regulada, condicionado al cumplimiento de normas profesionales relativas, en particular, a la independencia, dignidad y honor de la profesión, el secreto profesional y la lealtad hacia clientes y colegas. 2. Sin perjuicio de la autonomía de los colegios y asociaciones profesionales, los Estados miembros y la Comisión fomentarán que las asociaciones y colegios profesionales establezcan códigos de conducta comunitarios para determinar los tipos de información que puedan facilitarse a efectos de comunicación comercial, con arreglo a las normas a que se hace referencia en el apartado 1. 3. A la hora de elaborar propuestas de iniciativas comunitarias que puedan resultar necesarias para garantizar el funcionamiento adecuado del mercado interior en los que se refiere a la información a la que hace referencia el apartado 2, la Comisión tendrá debidamente en cuenta los códigos de conducta aplicables en el plano comunitario y actuará en estrecha cooperación con las asociaciones y colegios profesionales correspondientes. 4. La presente Directiva se aplicará además de las Directivas comunitarias relativas al acceso a las actividades de las profesiones reguladas y a su ejercicio.
ANEXO 2
337
SECCIÓN 3: CONTRATOS POR VÍA ELECTRÓNICA Artículo 9. Tratamiento de los contratos por vía electrónica. 1. Los Estados miembros velarán por que su legislación permita la celebración de contratos por vía electrónica. Los Estados miembros garantizarán en particular que el régimen jurídico aplicable al proceso contractual no entorpezca la utilización real de los contratos por vía electrónica, ni conduzca a privar de efecto y de validez jurídica a este tipo de contratos en razón de su celebración por vía electrónica. 2. Los Estados miembros podrán disponer que el apartado 1 no se aplique a contratos incluidos en una de las categorías siguientes: a) los contratos de creación o transferencia de derechos en materia inmobiliaria, con la excepción de los derechos de arrendamiento; b) los contratos que requieran por ley la intervención de los tribunales, las autoridades públicas o profesionales que ejerzan una función pública; c) los contratos de crédito y caución y las garantías presentadas por personas que actúan por motivos ajenos a su actividad económica, negocio o profesión; d) los contratos en materia de Derecho de familia o de sucesiones. 3. Los Estados miembros comunicarán a la Comisión las categorías a que hace referencia el apartado 2 a las que no se aplicará el apartado 1. Los Estados miembros enviarán a la Comisión cada cinco años un informe sobre la aplicación del apartado 2, explicando los motivos por los que consideran necesario mantener las categorías a que hace referencia la letra b) del apartado 2, a las que no aplicará el apartado 1. Artículo 10. Información exigida. 1. Además de otros requisitos en materia de información contemplados en el Derecho comunitario, los Estados miembros garantizarán, excepto cuando las partes que no son consumidores así los acuerden, que el prestador de servicios facilite al menos la siguiente información de manera clara, comprensible e inequívoca y antes de que el destinatario del servicio efectúe un pedido: a) los diferentes pasos técnicos que deben darse para celebrar el contrato; b) si el prestador de servicios va a registrar o no el contrato celebrado, y si éste va a ser accesible;
338
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
c) los medios técnicos para identificar y corregir los errores de introducción de datos antes de efectuar el pedido; d) las lenguas ofrecidas para la celebración del contrato. 2. Los Estados miembros garantizarán que, excepto cuando las partes que no son consumidores así lo acuerden, el prestador de servicios indique los códigos de conducta correspondientes a los que se acoja y facilite información sobre la manera de consultar electrónicamente dichos códigos. 3. Las condiciones generales de los contratos facilitadas al destinatario deben estar disponibles de tal manera que éste pueda almacenarlas y reproducirlas. 4. Los apartados 1 y 2 no son aplicables a los contratos celebrados exclusivamente mediante intercambio de correo electrónico u otra comunicación individual equivalente. Artículo 11. Realización de un pedido. 1. Los Estados miembros garantizarán que, excepto cuando las partes que no son consumidores así lo acuerden, en los casos en que el destinatario de un servicio efectúe su pedido por vía electrónica, se aplicarán los principios siguientes: — el prestador de servicios debe acusar recibo del pedido del destinatario sin demora indebida y por vía electrónica, — se considerará que se han recibido el pedido y el acuse de recibo cuando las partes a las que se dirigen puedan tener acceso a los mismos. 2. Los Estados miembros garantizarán que, excepto cuando así lo acuerden las partes que no son consumidores, el prestador de servicios ponga a disposición del destinatario del servicio los medios técnicos adecuados, eficaces, accesibles que le permitan identificar y corregir los errores de introducción de datos, antes de realizar el pedido. 3. El primer guión del apartado 1 y el apartado 2 del artículo 11 no se aplicarán a los contratos celebrados exclusivamente por intercambio de correo electrónico u otra comunicación individual equivalente. SECCIÓN 4: RESPONSABILIDAD DE LOS PRESTADORES DE SERVICIOS INTERMEDIARIOS Artículo 12. Mera transmisión. 1. Los Estados miembros garantizarán que, en el caso de un servicio de la sociedad de la información que consista en transmitir en una red de co-
ANEXO 2
339
municaciones, datos facilitados por el destinatario del servicio o en facilitar acceso a una red de comunicaciones, no se pueda considerar al prestador de servicios de este tipo responsable de los datos transmitidos, a condición de que el prestador de servicios: a) no haya originado él mismo la transmisión; b) no seleccione al destinatario de la transmisión; y c) no seleccione ni modifique los datos transmitidos. 2. Las actividades de transmisión y concesión de acceso enumeradas en el apartado 1 engloban el almacenamiento automático, provisional y transitorio de los datos transmitidos siempre que dicho almacenamiento sirva exclusivamente para ejecutar la transmisión en la red de comunicaciones y que su duración no supere el tiempo razonablemente necesario para dicha transmisión. 3. El presente artículo no afectará a la posibilidad de que un tribunal o una autoridad administrativa, de conformidad con los sistemas jurídicos de los Estados miembros, exija al prestador de servicios que ponga fin a una infracción o que la impida. Artículo 13. Memoria tampón (Caching). 1. Los Estados miembros garantizarán que, cuando se preste un servicio de la sociedad de la información consistente en transmitir por una red de comunicaciones datos facilitados por el destinatario del servicio, el prestador del servicio no pueda ser considerado responsable del almacenamiento automático, provisional y temporal de esta información, realizado con la única finalidad de hacer más eficaz la transmisión ulterior de la información a otros destinatarios del servicio, a petición de éstos, a condición de que: a) el prestador de servicios no modifique la información; b) el prestador de servicios cumpla las condiciones de acceso a la información; c) el prestador de servicios cumpla las normas relativas a la actualización de la información, especificadas de manera ampliamente reconocida y utilizada por el sector; d) el prestador de servicios no interfiera en la utilización lícita de tecnología ampliamente reconocida y utilizada por el sector, con el fin de obtener datos sobre la utilización de la información; y e) el prestador de servicios actúe con prontitud para retirar la información que haya almacenado, o hacer que el acceso a ella será imposible, en cuanto tenga conocimiento efectivo del hecho de que la información ha
340
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
sido retirada del lugar de la red en que se encontraba inicialmente, de que se ha imposibilitado el acceso a dicha información o de que un tribunal o una autoridad administrativa ha ordenado retirarla o impedir que se acceda a ella. 2. El presente artículo no afectará a la posibilidad de que un tribunal o una autoridad administrativa, de conformidad con los sistemas jurídicos de los Estados miembros, exija al prestador de servicios poner fin a una infracción o impedirla. Artículo 14. Alojamiento de datos. 1. Los Estados miembros garantizarán que, cuando se preste un servicio de la sociedad de la información consistente en almacenar datos facilitados por el destinatario del servicio, el prestador de servicios no pueda ser considerado responsable de los datos almacenados a petición del destinatario, a condición de que: a) el prestador de servicios no tenga conocimiento efectivo de que la actividad a la información es ilícita y, en lo que se refiere a una acción por daños y perjuicios, no tenga conocimiento de hechos o circunstancias por los que la actividad o la información revele su carácter ilícito, o de que, b) en cuanto tenga conocimiento de estos puntos, el prestador de servicios actúe con prontitud para retirar los datos o hacer que el acceso a ellos sea imposible. 2. El apartado 1 no se aplicará cuando el destinatario del servicio actúe bajo la autoridad o control del prestador de servicios. 3. El presente artículo no afectará la posibilidad de que un tribunal o una autoridad administrativa, de conformidad con los sistemas jurídicos de los Estados miembros, exijan al prestador de servicios de poner fin a una infracción o impedirla, ni a la posibilidad de que los Estados miembros establezcan procedimientos por los que se rija la retirada de datos o impida el acceso a ellos. Artículo 15. Inexistencia de obligación general de supervisión. 1. Los Estados miembros no impondrán a los prestadores de servicios una obligación general de supervisar los datos que transmitan o almacenen, ni una obligación general de realizar búsquedas activas de hechos o circunstancias que indiquen actividades ilícitas, respecto de los servicios contemplados en los artículos 12, 13 y 14. 2. Los Estados miembros podrán establecer obligaciones tendentes a que los prestadores de servicios de la sociedad de la información comuni-
ANEXO 2
341
quen con prontitud a las autoridades públicas competentes los presuntos datos ilícitos o las actividades ilícitas llevadas a cabo por destinatarios de su servicio o la obligación de comunicar a las autoridades competentes, a solicitud de éstas, información que les permita identificar a los destinatarios de su servicio con los que hayan celebrado acuerdos de almacenamiento. CAPÍTULO III APLICACIÓN Artículo 16. Códigos de conducta. 1. Los Estados miembros y la Comisión fomentarán: a) la elaboración de códigos de conducta a nivel comunitario, a través de asociaciones u organizaciones comerciales, profesionales o de consumidores, con el fin de contribuir a que se apliquen correctamente los artículos 5 a 15; b) el envío voluntario a la Comisión de los proyectos de códigos de conducta a nivel nacional o comunitario; c) la posibilidad de acceder a los códigos de conducta por vía electrónica en las lenguas comunitarias; d) la comunicación a los Estados miembros y a la Comisión, por parte de las asociaciones u organizaciones profesionales y de consumidores, de la evaluación que éstas hagan de la aplicación de sus códigos de conducta y su repercusión en las prácticas, usos o costumbres relacionados con el comercio electrónico; e) la elaboración de códigos de conducta en materia de protección de los menores y de la dignidad humana. 2. Los Estados miembros y la Comisión fomentarán la participación de asociaciones u organizaciones que representen a los consumidores en la redacción y aplicación de los códigos de conducta que afecten a sus intereses, y que se elaborarán de conformidad con lo dispuesto en la letra a) del apartado 1. Cuando resulte adecuado, a fin de tener en cuenta sus necesidades específicas, deberá consultarse a las asociaciones que representen a los discapacitados y a los malvidentes. Artículo 17. Solución extrajudicial de litigios. 1. Los Estados miembros velarán por que, en caso de desacuerdo entre un prestador de servicios de la sociedad de la información y el destinatario del servicio, su legislación no obstaculice la utilización de los mecanismos
342
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
de solución extrajudicial, existentes con arreglo a la legislación nacional para la solución de litigios, incluso utilizando vías electrónicas adecuadas. 2. Los Estados miembros alentarán a los órganos responsables de la solución extrajudicial de litigios, en particular de litigios en materia de productos de consumo, a que actúen de modo tal que proporcionen garantías de procedimiento adecuadas a las partes afectadas. 3. Los Estados miembros incitarán a los órganos responsables de la solución extrajudicial de litigios a que informen a la Comisión de las decisiones relevantes que tomen en relación con los servicios de la sociedad de la información, y a que le transmitan todos los demás datos sobre prácticas, usos o costumbres relacionados con el comercio electrónico. Artículo 18. Recursos judiciales. 1. Los Estados miembros velarán por que los recursos judiciales existentes en virtud de la legislación nacional en relación con las actividades de servicios de la sociedad de la información permitan adoptar rápidamente medidas, incluso medidas provisionales, destinadas a poner término a cualquier presunta infracción y a evitar que se produzcan nuevos perjuicios contra los intereses afectados. 2. En el anexo de la Directiva 98/27/CE se añadirá el punto siguiente: «11. Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico, en el mercado interior (“Directiva sobre el comercio electrónico”) (DO L 178 de 17.7.2000, p. 1).» Artículo 19. Cooperación. 1. Los Estados miembros dispondrán de los medios de control e investigación necesarios para aplicar de forma eficaz la presente Directiva y garantizarán que los prestadores de servicios comuniquen la información requerida. 2. Los Estados miembros cooperarán con los demás Estados miembros y, a tal efecto, designarán uno o más puntos de contacto cuyas señas comunicarán a los demás Estados miembros y a la Comisión. 3. Los Estados miembros facilitarán, a la mayor brevedad y de conformidad con la legislación nacional, la ayuda y la información que les soliciten otros Estados miembros o la Comisión, incluso utilizando las vías electrónicas adecuadas.
ANEXO 2
343
4. Los Estados miembros crearán puntos de contacto accesibles, como mínimo, por vía electrónica y a los que los destinatarios de un servicio y los prestadores de servicios podrán dirigirse para: a) conseguir información general sobre sus derechos y obligaciones contractuales así como los mecanismos de reclamación y recurso disponibles en caso de litigio, incluidos los aspectos prácticos relativos a la utilización de tales mecanismos; b) obtener los datos de las autoridades, asociaciones u organizaciones de las que pueden obtener información adicional o asistencia práctica. 5. Los Estados miembros velarán por que se comunique a la Comisión toda decisión administrativa o resolución judicial de carácter relevante que se adopte en sus respectivos territorios sobre litigios relativos a los servicios de la sociedad de la información y a las prácticas, usos y costumbres relacionados con el comercio electrónico. La Comisión comunicará dichas decisiones o resoluciones a los demás Estados miembros. Artículo 20. Sanciones. Los Estados miembros determinarán las sanciones aplicables a las infracciones de las disposiciones nacionales que se adopten en aplicación de la presente Directiva y tomarán todas las medidas necesarias para garantizar su aplicación. Las sanciones que establezcan deberán ser efectivas, proporcionadas y disuasorias. CAPÍTULO IV DISPOSICIONES FINALES Artículo 21. Reexamen. 1. Antes del 17 de julio de 2003 y, a continuación, cada dos años, la Comisión presentará al Parlamento Europeo, al Consejo y al Comité Económico y Social un informe sobre su aplicación, que irá acompañado, en su caso, de propuestas para adaptarla a la evolución jurídica, técnica y económica en el ámbito de los servicios de la sociedad de la información, en particular por lo que respecta a la prevención del delito, protección de menores, de los consumidores y al buen funcionamiento del mercado interior. 2. Al examinar la necesidad de adaptar la presente Directiva, el informe analizará especialmente la necesidad de presentar propuestas relativas a la responsabilidad de los proveedores de hipervínculos y servicios de instru-
344
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
mentos de localización, a los procedimientos de «detección y retirada» y a la imputación de responsabilidad tras la retirada del contenido. El informe analizará asimismo la necesidad de establecer condiciones suplementarias para la exención de responsabilidad, dispuesta de los artículos 12 y 13, en función del desarrollo tecnológico, así como la posibilidad de aplicar los principios del mercado interior a las comunicaciones comerciales por correo electrónico no solicitadas. Artículo 22. Trasposición. 1. Los Estados miembros adoptarán las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva antes del 17 de enero de 2002. Las comunicarán inmediatamente a la Comisión. 2. Cuando los Estados miembros adopten las disposiciones contempladas en el apartado 1, éstas incluirán una referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia. Artículo 23. Entrada en vigor. La presente Directiva entrará en vigor el día de su publicación en el Diario Oficial de las Comunidades Europeas. Artículo 24. Destinatarios. Los destinatarios de la presente Directiva serán los Estados miembros. Hecho en Luxemburgo, el 8 de junio de 2000. Por el Parlamento Europeo La Presidenta: N. Fontaine Por el Consejo El Presidente: G. d’Oliveira Martins (1) DO C 30 de 5.2.1999, p. 4. (2) DO C 169 de 16.6.1999, p. 36. (3) Dictamen del Parlamento Europeo de 6 de mayo de 1999 (DO C 279 de 1.10.1999, p. 389), Posición común del Consejo de 28 de febrero de 2000 (DO C 128 de 8.5.2000, p. 32) y Decisión del Parlamento Europeo de 4 de mayo de 2000 (no publicada aún en el Diario oficial). (4) DO L 298 de 17.10.1989, p. 23; Directiva cuya última modificación la constituye la Directiva 97/36/CE del Parlamento Europeo y del Consejo (DO L 202 de 30.7.1997, p. 60).
ANEXO 2
345
(5) DO L 95 de 21.4.1993, p. 29. (6) DO L 144 de 4.6.1997, p. 19. (7) DO L 250 de 19.9.1984, p. 17; Directiva cuya última modificación la constituye la Directiva 97/55/CE del Parlamento Europeo y del Consejo (DO L 290 de 23.10.1997, p. 18). (8) DO L 42 de 12.2.1987, p. 48; Directiva cuya última modificación la constituye la Directiva 98/7/CE del Parlamento Europeo y del Consejo (DO L 101 de 1.4.1998, p. 17). (9) DO L 141 de 11.6.1993, p. 27; Directiva cuya última modificación la constituye la Directiva 97/9/CE del Parlamento Europeo y del Consejo (DO L 84 de 26.3.1997, p. 22). (10) DO L 158 de 23.6.1990, p. 59. (11) DO L 80 de 18.3.1998, p. 27. (12) DO L 228 de 11.8.1992, p. 24. (13) DO L 280 de 29.10.1994, p. 83. (14) DO L 166 de 11.6.1998, p. 51; Directiva modificada por la Directiva 1999/4/CE (DO L 171 de 7.7.1999, p. 12). (15) DO L 120 de 7.8.1985, p. 29; Directiva modificada por la Directiva 1999/34/CE del Parlamento Europeo y del Consejo (DO L 141 de 4.6.1999, p. 20). (16) DO L 171 de 7.7.1999, p. 12. (17) DO L 113 de 30.4.1992, p. 13. (18) DO L 213 de 30.7.1998, p. 9. (19) DO L 281 de 23.11.1995, p. 31. (20) DO L 24 de 30.1.1998, p. 1. (21) DO L 204 de 21.7.1998, p. 37; Directiva modificada por la Directiva 98/48/CE (DO L 217 de 5.8.1998, p. 18). (22) DO L 320 de 28.11.1998, p. 54. (23) DO L 15 de 21.1.1998, p. 14. (24) DO L 13 de 19.1.2000, p. 12. (25) DO C 23 de 28.1.1999, p. 1. (26) DO L 19 de 24.1.1989, p. 16. (27) DO L 209 de 24.7.1992, p. 25; Directiva cuya última modificación la constituye la Directiva 97/38/CE de la Comisión (DO L 184 de 12.7.1997, p. 31). (28) DO L 117 de 7.5.1997, p. 15. (29) DO L 145 de 13.6.1977, p. 1; Directiva cuya última modificación la constituye la Directiva 1999/85/CE del Parlamento Europeo y del Consejo (DO L 277 de 28.10.1999, p. 34).
346
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
ANEXO: EXCEPCIONES AL ARTÍCULO 3 Tal como se establece en el apartado 3 del artículo 3, los apartados 1 y 2 del artículo 3 no se aplicarán a los ámbitos siguientes: — derechos de autor, derechos afines y derechos mencionados en la Directiva 87/54/CEE(1) y en la Directiva 96/9/CE(2), así como a los derechos de propiedad industrial, — emisión de moneda electrónica por parte de instituciones a las que los Estados miembros hayan aplicado una de las excepciones previstas en el apartado 1 del artículo 8 de la Directiva 2000/46/CE(3), — apartado 2 del artículo 44 de la Directiva 85/611/CEE(4), — artículo 30 y título IV de la Directiva 92/49/CEE(5), título IV de la Directiva 92/96/CEE(6), artículos 7 y 8 de la Directiva 88/357/CEE(7) y artículo 4 de la Directiva 90/619/CEE(8), — libertad de las partes de elegir la legislación aplicable a su contrato, — obligaciones contractuales relativas a contratos celebrados por los consumidores, — validez formal de los contratos por los que se crean o transfieren derechos en materia de propiedad inmobiliaria, en caso de que dichos contratos estén sujetos a requisitos formales obligatorios en virtud de la legislación del Estado miembro en el que esté situada la propiedad inmobiliaria, — licitud de las comunicaciones comerciales no solicitadas por correo electrónico. (1) DO L 24 de 27.1.1987, p. 36. (2) DO L 77 de 27.3.1996, p. 20. (3) No publicada aún en el Diario Oficial. (4) DO L 375 de 31.12.1985, p. 3; Directiva cuya última modificación la constituye la Directiva 95/26/CE (DO L 168 de 18.7.1995, p. 7). (5) DO L 228 de 11.8.1992, p. 1; Directiva cuya última modificación la constituye la Directiva 92/26/CE. (6) DO L 360 de 9.12.1992, p. 1; Directiva cuya última modificación la constituye la Directiva 95/26/CE. (7) DO L 172 de 4.7.1988, p. 1; Directiva cuya última modificación la constituye la Directiva 92/49/CE. (8) DO L 330 de 29.11.1990, p. 50; Directiva cuya última modificación la constituye la Directiva 92/96/CE.
Anexo 3 Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
(BOE núm. 298, de 14 de diciembre de 1999) JUAN CARLOS I REY DE ESPAÑA
A todos los que la presente vieren y entendieren. Sabed: Que las Cortes Generales han aprobado y Yo vengo en sancionar la siguiente Ley Orgánica. TÍTULO I DISPOSICIONES GENERALES Artículo 1. Objeto. La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. Artículo 2. Ámbito de aplicación. 1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de trata347
348
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
miento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal: a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento. b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público. c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito. 2. El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación: a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas. c) A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos. 3. Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de datos personales: a) Los ficheros regulados por la legislación de régimen electoral. b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública. c) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del régimen del personal de las Fuerzas Armadas. d) Los derivados del Registro Civil y del Registro Central de Penados y rebeldes. e) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.
ANEXO 3
349
Artículo 3. Definiciones. A los efectos de la presente Ley Orgánica se entenderá por: a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables. b) Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. e) Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo. f) Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. g) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. h) Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. i) Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado. j) Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.
350
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
TÍTULO II PRINCIPIOS DE LA PROTECCIÓN DE DATOS Artículo 4. Calidad de los datos. 1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. 2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos. 3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. 4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16. 5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados. Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos. 6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados. 7. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos. Artículo 5. Derecho de información en la recogida de datos. 1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
ANEXO 3
351
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento. 2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior. 3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban. 4. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo. 5. No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias. Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad
352
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten. Artículo 6. Consentimiento del afectado. 1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. 2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. 3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos. 4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado. Artículo 7. Datos especialmente protegidos. 1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo. 2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comuni-
ANEXO 3
353
dades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado. 3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente. 4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual. 5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras. 6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto. También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento. Artículo 8. Datos relativos a la salud. Sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad. Artículo 9. Seguridad de los datos. 1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que
354
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley. Artículo 10. Deber de secreto. El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Artículo 11. Comunicación de datos. 1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. 2. El consentimiento exigido en el apartado anterior no será preciso: a) Cuando la cesión está autorizada en una ley. b) Cuando se trate de datos recogidos de fuentes accesibles al público. c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique. d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
ANEXO 3
355
e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica. 3. Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar. 4. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable. 5. Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley. 6. Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores. Artículo 12. Acceso a los datos por cuenta de terceros. 1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento. 2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar. 3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. 4. En el caso de que el encargado del tratamiento destine los datos a otra
356
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. TÍTULO III DERECHOS DE LAS PERSONAS Artículo 13. Impugnación de valoraciones. 1. Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad. 2. El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad. 3. En este caso, el afectado tendrá derecho a obtener información del responsable del fichero sobre los criterios de valoración y el programa utilizados en el tratamiento que sirvió para adoptar la decisión en que consistió el acto. 4. La valoración sobre el comportamiento de los ciudadanos, basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado. Artículo 14. Derecho de consulta al Registro General de Protección de Datos. Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro General será de consulta pública y gratuita. Artículo 15. Derecho de acceso. 1. El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.
ANEXO 3
357
2. La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos. 3. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes. Artículo 16. Derecho de rectificación y cancelación. 1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días. 2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos. 3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión. 4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación. 5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado. Artículo 17. Procedimiento de oposición, acceso, rectificación o cancelación. 1. Los procedimientos para ejercitar el derecho de oposición, acceso, así como los de rectificación y cancelación serán establecidos reglamentariamente. 2. No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición, acceso, rectificación o cancelación.
358
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Artículo 18. Tutela de los derechos. 1. Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los interesados ante la Agencia de Protección de Datos, en la forma que reglamentariamente se determine. 2. El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de oposición, acceso, rectificación o cancelación, podrá ponerlo en conocimiento de la Agencia de Protección de Datos o, en su caso, del organismo competente de cada Comunidad Autónoma, que deberá asegurarse de la procedencia o improcedencia de la denegación. 3. El plazo máximo en que debe dictarse la resolución expresa de tutela de derechos será de seis meses. 4. Contra las resoluciones de la Agencia de Protección de Datos procederá recurso contencioso-administrativo. Artículo 19. Derecho a indemnización. 1. Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados. 2. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones públicas. 3. En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria.
TÍTULO IV DISPOSICIONES SECTORIALES CAPÍTULO I FICHEROS DE TITULARIDAD PÚBLICA Artículo 20. Creación, modificación o supresión. 1. La creación, modificación o supresión de los ficheros de las Administraciones públicas sólo podrán hacerse por medio de disposición general publicada en el «Boletín Oficial del Estado» o Diario oficial correspondiente.
ANEXO 3
359
2. Las disposiciones de creación o de modificación de ficheros deberán indicar: a) La finalidad del fichero y los usos previstos para el mismo. b) Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos. c) El procedimiento de recogida de los datos de carácter personal. d) La estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo. e) Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevean a países terceros. f) Los órganos de las Administraciones responsables del fichero. g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición. h) Las medidas de seguridad con indicación del nivel básico, medio o alto exigible. 3. En las disposiciones que se dicten para la supresión de los ficheros, se establecerá el destino de los mismos o, en su caso, las previsiones que se adopten para su destrucción. Artículo 21. Comunicación de datos entre Administraciones públicas. 1. Los datos de carácter personal recogidos o elaborados por las Administraciones públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo 1 cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. 2. Podrán, en todo caso, ser objeto de comunicación los datos de carácter personal que una Administración pública obtenga o elabore con destino a otra. 3. No obstante lo establecido en el artículo 11.2.b), la comunicación de datos recogidos de fuentes accesibles al público no podrá efectuarse a ficheros de titularidad privada, sino con el consentimiento del interesado o cuando una ley prevea otra cosa. 4. En los supuestos previstos en los apartados 1 y 2 del presente artículo no será necesario el consentimiento del afectado a que se refiere el artículo 11 de la presente Ley. 1 La Sentencia 292/2000, de 30 de noviembre de 2000, del Tribunal Constitucional eliminó el párrafo siguiente: «cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso, o».
360
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Artículo 22. Ficheros de las Fuerzas y Cuerpos de Seguridad. 1. Los ficheros creados por las Fuerzas y Cuerpos de Seguridad que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, estarán sujetos al régimen general de la presente Ley. 2. La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad. 3. La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos, a que hacen referencia los apartados 2 y 3 del artículo 7, podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales. 4. Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento. A estos efectos, se considerará especialmente la edad del afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de responsabilidad. Artículo 23. Excepciones a los derechos de acceso, rectificación y cancelación. 1. Los responsables de los ficheros que contengan los datos a que se refieren los apartados 2, 3 y 4 del artículo anterior podrán denegar el acceso, la rectificación o cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando. 2. Los responsables de los ficheros de la Hacienda Pública podrán, igualmente, denegar el ejercicio de los derechos a que se refiere el aparta-
ANEXO 3
361
do anterior cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras. 3. El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos mencionados en los apartados anteriores podrá ponerlo en conocimiento del Director de la Agencia de Protección de Datos o del organismo competente de cada Comunidad Autónoma en el caso de ficheros mantenidos por Cuerpos de Policía propios de éstas, o por las Administraciones tributarias autonómicas, quienes deberán asegurarse de la procedencia o improcedencia de la denegación. Artículo 24. Otras excepciones a los derechos de los afectados. 1. Lo dispuesto en los apartados 1 y 2 del artículo 5 no será aplicable a la recogida de datos cuando la información al afectado 2 o cuando afecte a la Defensa Nacional, a la seguridad pública o a la persecución de infracciones penales 3. CAPÍTULO II FICHEROS DE TITULARIDAD PRIVADA Artículo 25. Creación. Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas. 2 La Sentencia 292/2000, de 30 de noviembre de 2000, del Tribunal Constitucional eliminó el párrafo siguiente: «impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones públicas». 3 Asimismo eliminó: «o administrativas». Eliminó también el punto 2: «Lo dispuesto en el artículo 15 y en el apartado 1 del artículo 16 no será de aplicación si, ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante razones de interés público o ante intereses de terceros más dignos de protección. Si el órgano administrativo responsable del fichero invocase lo dispuesto en este apartado, dictará resolución motivada e instruirá al afectado del derecho que le asiste a poner la negativa en conocimiento del Director de la Agencia de Protección de Datos o, en su caso, del órgano equivalente de las Comunidades Autónomas».
362
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Artículo 26. Notificación e inscripción registral. 1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos. 2. Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros. 3. Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación. 4. El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles. En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación. 5. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos. Artículo 27. Comunicación de la cesión de datos. 1. El responsable del fichero, en el momento en que se efectúe la primera cesión de datos, deberá informar de ello a los afectados, indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario. 2. La obligación establecida en el apartado anterior no existirá en el supuesto previsto en los apartados 2, letras c), d), e) y 6 del artículo 11, ni cuando la cesión venga impuesta por ley. Artículo 28. Datos incluidos en las fuentes de acceso público. 1. Los datos personales que figuren en el censo promocional, o las listas de personas pertenecientes a grupos de profesionales a que se refiere el artículo 3, j) de esta Ley deberán limitarse a los que sean estrictamente necesarios para cumplir la finalidad a que se destina cada listado. La inclusión de datos adicionales por las entidades responsables del mantenimiento de dichas fuentes requerirá el consentimiento del interesado, que podrá ser revocado en cualquier momento.
ANEXO 3
363
2. Los interesados tendrán derecho a que la entidad responsable del mantenimiento de los listados de los Colegios profesionales indique gratuitamente que sus datos personales no pueden utilizarse para fines de publicidad o prospección comercial. Los interesados tendrán derecho a exigir gratuitamente la exclusión de la totalidad de sus datos personales que consten en el censo promocional por las entidades encargadas del mantenimiento de dichas fuentes. La atención a la solicitud de exclusión de la información innecesaria o de inclusión de la objeción al uso de los datos para fines de publicidad o venta a distancia deberá realizarse en el plazo de diez días respecto de las informaciones que se realicen mediante consulta o comunicación telemática y en la siguiente edición del listado cualquiera que sea el soporte en que se edite. 3. Las fuentes de acceso público que se editen en forma de libro o algún otro soporte físico, perderán el carácter de fuente accesible con la nueva edición que se publique. En el caso de que se obtenga telemáticamente una copia de la lista en formato electrónico, ésta perderá el carácter de fuente de acceso público en el plazo de un año, contado desde el momento de su obtención. 4. Los datos que figuren en las guías de servicios de telecomunicaciones disponibles al público se regirán por su normativa específica. Artículo 29. Prestación de servicios de información sobre solvencia patrimonial y crédito. 1. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito sólo podrán tratar datos de carácter personal obtenidos de los registros y las fuentes accesibles al público establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento. 2. Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley. 3. En los supuestos a que se refieren los dos apartados anteriores, cuando el interesado lo solicite, el responsable del tratamiento le comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan
364
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
sido comunicadas durante los últimos seis meses y el nombre y dirección de la persona o entidad a quien se hayan revelado los datos. 4. Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos. Artículo 30. Tratamientos con fines de publicidad y de prospección comercial. 1. Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas, utilizarán nombres y direcciones u otros datos de carácter personal cuando los mismos figuren en fuentes accesibles al público o cuando hayan sido facilitados por los propios interesados u obtenidos con su consentimiento. 2. Cuando los datos procedan de fuentes accesibles al público, de conformidad con lo establecido en el párrafo segundo del artículo 5.5 de esta Ley, en cada comunicación que se dirija al interesado se informará del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten. 3. En el ejercicio del derecho de acceso los interesados tendrán derecho a conocer el origen de sus datos de carácter personal, así como del resto de información a que se refiere el artículo 15. 4. Los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud. Artículo 31. Censo promocional. 1. Quienes pretendan realizar permanente o esporádicamente la actividad de recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial u otras actividades análogas, podrán solicitar del Instituto Nacional de Estadística o de los órganos equivalentes de las Comunidades Autónomas una copia del censo promocional, formado con los datos de nombre, apellidos y domicilio que constan en el censo electoral. 2. El uso de cada lista de censo promocional tendrá un plazo de vigencia de un año. Transcurrido el plazo citado, la lista perderá su carácter de fuente de acceso público.
ANEXO 3
365
3. Los procedimientos mediante los que los interesados podrán solicitar no aparecer en el censo promocional se regularán reglamentariamente. Entre estos procedimientos, que serán gratuitos para los interesados, se incluirá el documento de empadronamiento. Trimestralmente se editará una lista actualizada del censo promocional, excluyendo los nombres y domicilios de los que así lo hayan solicitado. 4. Se podrá exigir una contraprestación por la facilitación de la citada lista en soporte informático. Artículo 32. Códigos tipo. 1. Mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, los responsables de tratamientos de titularidad pública y privada, así como las organizaciones en que se agrupen, podrán formular códigos tipo que establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal, así como las garantías, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la presente Ley y sus normas de desarrollo. 2. Los citados códigos podrán contener o no reglas operacionales detalladas de cada sistema particular y estándares técnicos de aplicación. En el supuesto de que tales reglas o estándares no se incorporen directamente al código, las instrucciones u órdenes que los establecieran deberán respetar los principios fijados en aquél. 3. Los códigos tipo tendrán el carácter de códigos deontológicos o de buena práctica profesional, debiendo ser depositados o inscritos en el Registro General de Protección de Datos y, cuando corresponda, en los creados a estos efectos por las Comunidades Autónomas, de acuerdo con el artículo 41. El Registro General de Protección de Datos podrá denegar la inscripción cuando considere que no se ajusta a las disposiciones legales y reglamentarias sobre la materia, debiendo, en este caso, el Director de la Agencia de Protección de Datos requerir a los solicitantes para que efectúen las correcciones oportunas.
366
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
TÍTULO V MOVIMIENTO INTERNACIONAL DE DATOS Artículo 33. Norma general. 1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas. 2. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países. Artículo 34. Excepciones. Lo dispuesto en el artículo anterior no será de aplicación: a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España. b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional. c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios. d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica. e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista. f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
ANEXO 3
367
g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero. h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias. i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo. k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado. TÍTULO VI AGENCIA DE PROTECCIÓN DE DATOS Artículo 35. Naturaleza y régimen jurídico. 1. La Agencia de Protección de Datos es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus funciones. Se regirá por lo dispuesto en la presente Ley y en un Estatuto propio, que será aprobado por el Gobierno. 2. En el ejercicio de sus funciones públicas, y en defecto de lo que disponga la presente Ley y sus disposiciones de desarrollo, la Agencia de Protección de Datos actuará de conformidad con la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. En sus adquisiciones patrimoniales y contratación estará sujeta al derecho privado. 3. Los puestos de trabajo de los órganos y servicios que integren la Agencia de Protección de Datos serán desempeñados por funcionarios de las Administraciones públicas y por personal contratado al efecto, según la naturaleza de las funciones asignadas a cada puesto de trabajo. Este personal está obligado a guardar secreto de los datos de carácter personal de que conozca en el desarrollo de su función.
368
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
4. La Agencia de Protección de Datos contará, para el cumplimiento de sus fines, con los siguientes bienes y medios económicos: a) Las asignaciones que se establezcan anualmente con cargo a los Presupuestos Generales del Estado. b) Los bienes y valores que constituyan su patrimonio, así como los productos y rentas del mismo. c) Cualesquiera otros que legalmente puedan serle atribuidos. 5. La Agencia de Protección de Datos elaborará y aprobará con carácter anual el correspondiente anteproyecto de presupuesto y lo remitirá al Gobierno para que sea integrado, con la debida independencia, en los Presupuestos Generales del Estado. Artículo 36. El Director. 1. El Director de la Agencia de Protección de Datos dirige la Agencia y ostenta su representación. Será nombrado, de entre quienes componen el Consejo Consultivo, mediante Real Decreto, por un período de cuatro años. 2. Ejercerá sus funciones con plena independencia y objetividad y no estará sujeto a instrucción alguna en el desempeño de aquéllas. En todo caso, el Director deberá oír al Consejo Consultivo en aquellas propuestas que éste le realice en el ejercicio de sus funciones. 3. El Director de la Agencia de Protección de Datos sólo cesará antes de la expiración del período a que se refiere el apartado 1, a petición propia o por separación acordada por el Gobierno, previa instrucción de expediente, en el que necesariamente serán oídos los restantes miembros del Consejo Consultivo, por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena por delito doloso. 4. El Director de la Agencia de Protección de Datos tendrá la consideración de alto cargo y quedará en la situación de servicios especiales si con anterioridad estuviera desempeñando una función pública. En el supuesto de que sea nombrado para el cargo algún miembro de la carrera judicial o fiscal, pasará asimismo a la situación administrativa de servicios especiales. Artículo 37. Funciones. Son funciones de la Agencia de Protección de Datos: a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.
ANEXO 3
369
b) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias. c) Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley. d) Atender las peticiones y reclamaciones formuladas por las personas afectadas. e) Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal. f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones. g) Ejercer la potestad sancionadora en los términos previstos por el Título VII de la presente Ley. h) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley. i) Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones. j) Velar por la publicidad de la existencia de los ficheros de datos con carácter personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros con la información adicional que el Director de la Agencia determine. k) Redactar una memoria anual y remitirla al Ministerio de Justicia. l) Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección de datos personales. m) Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística Pública establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como dictar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficheros constituidos con fines exclusivamente estadísticos y ejercer la potestad a la que se refiere el artículo 46. n) Cuantas otras le sean atribuidas por normas legales o reglamentarias. Artículo 38. Consejo Consultivo. El Director de la Agencia de Protección de Datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros:
370
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Un Diputado, propuesto por el Congreso de los Diputados. Un Senador, propuesto por el Senado. Un representante de la Administración Central, designado por el Gobierno. Un representante de la Administración Local, propuesto por la Federación Española de Municipios y Provincias. Un miembro de la Real Academia de la Historia, propuesto por la misma. Un experto en la materia, propuesto por el Consejo Superior de Universidades. Un representante de los usuarios y consumidores, seleccionado del modo que se prevea reglamentariamente. Un representante de cada Comunidad Autónoma que haya creado una agencia de protección de datos en su ámbito territorial, propuesto de acuerdo con el procedimiento que establezca la respectiva Comunidad Autónoma. Un representante del sector de ficheros privados, para cuya propuesta se seguirá el procedimiento que se regule reglamentariamente. El funcionamiento del Consejo Consultivo se regirá por las normas reglamentarias que al efecto se establezcan. Artículo 39. El Registro General de Protección de Datos. 1. El Registro General de Protección de Datos es un órgano integrado en la Agencia de Protección de Datos. 2. Serán objeto de inscripción en el Registro General de Protección de Datos: a) Los ficheros de que sean titulares las Administraciones públicas. b) Los ficheros de titularidad privada. c) Las autorizaciones a que se refiere la presente Ley. d) Los códigos tipo a que se refiere el artículo 32 de la presente Ley. e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición. 3. Por vía reglamentaria se regulará el procedimiento de inscripción de los ficheros, tanto de titularidad pública como de titularidad privada, en el Registro General de Protección de Datos, el contenido de la inscripción, su modificación, cancelación, reclamaciones y recursos contra las resoluciones correspondientes y demás extremos pertinentes.
ANEXO 3
371
Artículo 40. Potestad de inspección. 1. Las autoridades de control podrán inspeccionar los ficheros a que hace referencia la presente Ley, recabando cuantas informaciones precisen para el cumplimiento de sus cometidos. A tal efecto, podrán solicitar la exhibición o el envío de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los equipos físicos y lógicos utilizados para el tratamiento de los datos, accediendo a los locales donde se hallen instalados. 2. Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior tendrán la consideración de autoridad pública en el desempeño de sus cometidos. Estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas. Artículo 41. Órganos correspondientes de las Comunidades Autónomas. 1. Las funciones de la Agencia de Protección de Datos reguladas en el artículo 37, a excepción de las mencionadas en los apartados j), k) y l), y en los apartados f) y g) en lo que se refiere a las transferencias internacionales de datos, así como en los artículos 46 y 49, en relación con sus específicas competencias serán ejercidas, cuando afecten a ficheros de datos de carácter personal creados o gestionados por las Comunidades Autónomas y por la Administración Local de su ámbito territorial, por los órganos correspondientes de cada Comunidad, que tendrán la consideración de autoridades de control, a los que garantizarán plena independencia y objetividad en el ejercicio de su cometido. 2. Las Comunidades Autónomas podrán crear y mantener sus propios registros de ficheros para el ejercicio de las competencias que se les reconoce sobre los mismos. 3. El Director de la Agencia de Protección de Datos podrá convocar regularmente a los órganos correspondientes de las Comunidades Autónomas a efectos de cooperación institucional y coordinación de criterios o procedimientos de actuación. El Director de la Agencia de Protección de Datos y los órganos correspondientes de las Comunidades Autónomas podrán solicitarse mutuamente la información necesaria para el cumplimiento de sus funciones.
372
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Artículo 42. Ficheros de las Comunidades Autónomas en materia de su exclusiva competencia. 1. Cuando el Director de la Agencia de Protección de Datos constate que el mantenimiento o uso de un determinado fichero de las Comunidades Autónomas contraviene algún precepto de esta Ley en materia de su exclusiva competencia podrá requerir a la Administración correspondiente que se adopten las medidas correctoras que determine en el plazo que expresamente se fije en el requerimiento. 2. Si la Administración pública correspondiente no cumpliera el requerimiento formulado, el Director de la Agencia de Protección de Datos podrá impugnar la resolución adoptada por aquella Administración.
TÍTULO VII INFRACCIONES Y SANCIONES Artículo 43. Responsables. 1. Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente Ley. 2. Cuando se trate de ficheros de los que sean responsables las Administraciones públicas se estará, en cuanto al procedimiento y a las sanciones, a lo dispuesto en el artículo 46, apartado 2. Artículo 44. Tipos de infracciones. 1. Las infracciones se calificarán como leves, graves o muy graves. 2. Son infracciones leves: a) No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda. b) No proporcionar la información que solicite la Agencia de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos. c) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.
ANEXO 3
373
d) Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley. e) Incumplir el deber de secreto establecido en el artículo 10 de esta Ley, salvo que constituya infracción grave. 3. Son infracciones graves: a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el «Boletín Oficial del Estado» o Diario oficial correspondiente. b) Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad. c) Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible. d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave. e) El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada. f) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara. g) La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo. h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen. i) No remitir a la Agencia de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así como no pro-
374
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
porcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos. j) La obstrucción al ejercicio de la función inspectora. k) No inscribir el fichero de datos de carácter personal en el Registro General de Protección Datos, cuando haya sido requerido para ello por el Director de la Agencia de Protección de Datos. l) Incumplir el deber de información que se establece en los artículos 5, 28 y 29 de esta Ley, cuando los datos hayan sido recabados de persona distinta del afectado. 4. Son infracciones muy graves: a) La recogida de datos en forma engañosa y fraudulenta. b) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas. c) Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artículo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidos en el apartado 3 del artículo 7 cuando no lo disponga una ley o el afectado no haya consentido expresamente, o violentar la prohibición contenida en el apartado 4 del artículo 7. d) No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares del derecho de acceso. e) La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia de Protección de Datos. f) Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales. g) La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artículo 7, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas. h) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición. i) No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.
ANEXO 3
375
Artículo 45. Tipo de sanciones. 1. Las infracciones leves serán sancionadas con multa de 100.000 a 10.000.000 de pesetas. (601,01 a 60.101,21 euros.) 2. Las infracciones graves serán sancionadas con multa de 10.000.000 a 50.000.000 de pesetas. (60.101,21 a 300.506,05 euros.) 3. Las infracciones muy graves serán sancionadas con multa de 50.000.000 a 100.000.000 de pesetas. (300.506,05 a 601.012 euros.) 4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora. 5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate. 6. En ningún caso podrá imponerse una sanción más grave que la fijada en la Ley para la clase de infracción en la que se integre la que se pretenda sancionar. 7. El Gobierno actualizará periódicamente la cuantía de las sanciones de acuerdo con las variaciones que experimenten los índices de precios. Artículo 46. Infracciones de las Administraciones públicas. 1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de los que sean responsables las Administraciones públicas, el Director de la Agencia de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera. 2. El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones públicas.
376
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
3. Se deberán comunicar a la Agencia las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores. 4. El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de los apartados anteriores. Artículo 47. Prescripción. 1. Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año. 2. El plazo de prescripción comenzará a contarse desde el día en que la infracción se hubiera cometido. 3. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reanudándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor. 4. Las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves a los dos años y las impuestas por faltas leves al año. 5. El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que adquiera firmeza la resolución por la que se impone la sanción. 6. La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor. Artículo 48. Procedimiento sancionador. 1. Por vía reglamentaria se establecerá el procedimiento a seguir para la determinación de las infracciones y la imposición de las sanciones a que hace referencia el presente Título. 2. Las resoluciones de la Agencia de Protección de Datos u órgano correspondiente de la Comunidad Autónoma agotan la vía administrativa. Artículo 49. Potestad de inmovilización de ficheros. En los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudada-
ANEXO 3
377
nos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia de Protección de Datos podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, la Agencia de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas. Disposición adicional primera. Ficheros preexistentes. Los ficheros y tratamientos automatizados inscritos o no en el Registro General de Protección de Datos deberán adecuarse a la presente Ley Orgánica dentro del plazo de tres años, a contar desde su entrada en vigor. En dicho plazo, los ficheros de titularidad privada deberán ser comunicados a la Agencia de Protección de Datos y las Administraciones públicas, responsables de ficheros de titularidad pública, deberán aprobar la pertinente disposición de regulación del fichero o adaptar la existente. En el supuesto de ficheros y tratamientos no automatizados, su adecuación a la presente Ley Orgánica, y la obligación prevista en el párrafo anterior deberán cumplimentarse en el plazo de doce años a contar desde el 24 de octubre de 1995, sin perjuicio del ejercicio de los derechos de acceso, rectificación y cancelación por parte de los afectados. Disposición adicional segunda. Ficheros y Registro de Población de las Administraciones públicas. 1. La Administración General del Estado y las Administraciones de las Comunidades Autónomas podrán solicitar al Instituto Nacional de Estadística, sin consentimiento del interesado, una copia actualizada del fichero formado con los datos del nombre, apellidos, domicilio, sexo y fecha de nacimiento que constan en los padrones municipales de habitantes y en el censo electoral correspondientes a los territorios donde ejerzan sus competencias, para la creación de ficheros o registros de población. 2. Los ficheros o registros de población tendrán como finalidad la comunicación de los distintos órganos de cada Administración pública con los interesados residentes en los respectivos territorios, respecto a las relaciones jurídico administrativas derivadas de las competencias respectivas de las Administraciones públicas.
378
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
Disposición adicional tercera. Tratamiento de los expedientes de las derogadas Leyes de Vagos y Maleantes y de Peligrosidad y Rehabilitación Social. Los expedientes específicamente instruidos al amparo de las derogadas Leyes de Vagos y Maleantes, y de Peligrosidad y Rehabilitación Social, que contengan datos de cualquier índole susceptibles de afectar a la seguridad, al honor, a la intimidad o a la imagen de las personas, no podrán ser consultados sin que medie consentimiento expreso de los afectados, o hayan transcurrido cincuenta años desde la fecha de aquéllos. En este último supuesto, la Administración General del Estado, salvo que haya constancia expresa del fallecimiento de los afectados, pondrá a disposición del solicitante la documentación, suprimiendo de la misma los datos aludidos en el párrafo anterior, mediante la utilización de los procedimientos técnicos pertinentes en cada caso. Disposición adicional cuarta. Modificación del artículo 112.4 de la Ley General Tributaria. El apartado cuarto del artículo 112 de la Ley General Tributaria pasa a tener la siguiente redacción: «4. La cesión de aquellos datos de carácter personal, objeto de tratamiento, que se debe efectuar a la Administración tributaria conforme a lo dispuesto en el artículo 111, en los apartados anteriores de este artículo o en otra norma de rango legal, no requerirá el consentimiento del afectado. En este ámbito tampoco será de aplicación lo que respecto a las Administraciones públicas establece el apartado 1 del artículo 21 de la Ley Orgánica de Protección de Datos de carácter personal.» Disposición adicional quinta. Competencias del Defensor del Pueblo y órganos autonómicos semejantes. Lo dispuesto en la presente Ley Orgánica se entiende sin perjuicio de las competencias del Defensor del Pueblo y de los órganos análogos de las Comunidades Autónomas. Disposición adicional sexta. Modificación del artículo 24.3 de la Ley de Ordenación y Supervisión de los Seguros Privados. Se modifica el artículo 24.3, párrafo 2.o de la Ley 30/1995, de 8 de noviembre, de Ordenación y Supervisión de los Seguros Privados, con la siguiente redacción:
ANEXO 3
379
«Las entidades aseguradoras podrán establecer ficheros comunes que contengan datos de carácter personal para la liquidación de siniestros y la colaboración estadístico actuarial con la finalidad de permitir la tarificación y selección de riesgos y la elaboración de estudios de técnica aseguradora. La cesión de datos a los citados ficheros no requerirá el consentimiento previo del afectado, pero sí la comunicación al mismo de la posible cesión de sus datos personales a ficheros comunes para los fines señalados con expresa indicación del responsable para que se puedan ejercitar los derechos de acceso, rectificación y cancelación previstos en la ley. También podrán establecerse ficheros comunes cuya finalidad sea prevenir el fraude en el seguro sin que sea necesario el consentimiento del afectado. No obstante, será necesaria en estos casos la comunicación al afectado, en la primera introducción de sus datos, de quién sea el responsable del fichero y de las formas de ejercicio de los derechos de acceso, rectificación y cancelación. En todo caso, los datos relativos a la salud sólo podrán ser objeto de tratamiento con el consentimiento expreso del afectado.» Disposición transitoria primera. Tratamientos creados por Convenios internacionales. La Agencia de Protección de Datos será el organismo competente para la protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal respecto de los tratamientos establecidos en cualquier Convenio Internacional del que sea parte España que atribuya a una autoridad nacional de control esta competencia, mientras no se cree una autoridad diferente para este cometido en desarrollo del Convenio. Disposición transitoria segunda. Utilización del censo promocional. Reglamentariamente se desarrollarán los procedimientos de formación del censo promocional, de oposición a aparecer en el mismo, de puesta a disposición de sus solicitantes, y de control de las listas difundidas. El Reglamento establecerá los plazos para la puesta en operación del censo promocional. Disposición transitoria tercera. Subsistencia de normas preexistentes. Hasta tanto se lleven a efectos las previsiones de la disposición final primera de esta Ley, continuarán en vigor, con su propio rango, las normas reglamentarias existentes y, en especial, los Reales Decretos 428/1993, de
380
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
26 de marzo; 1332/1994, de 20 de junio, y 994/1999, de 11 de junio, en cuanto no se opongan a la presente Ley. Disposición derogatoria única. Derogación normativa. Queda derogada la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del tratamiento automatizado de los datos de carácter personal. Disposición final primera. Habilitación para el desarrollo reglamentario. El Gobierno aprobará, o modificará, las disposiciones reglamentarias necesarias para la aplicación y desarrollo de la presente Ley. Disposición final segunda. Preceptos con carácter de Ley ordinaria. Los Títulos IV, VI excepto el último inciso del párrafo 4 del artículo 36 y VII de la presente Ley, la disposición adicional cuarta, la disposición transitoria primera y la final primera tienen el carácter de Ley ordinaria. Disposición final tercera. Entrada en vigor. La presente Ley entrará en vigor en el plazo de un mes, contado desde su publicación en el «Boletín Oficial del Estado». Por tanto, Mando a todos los españoles, particulares y autoridades, que guarden y hagan guardar esta Ley Orgánica. Madrid, 13 de diciembre de 1999. JUAN CARLOS R. El Presidente del Gobierno, JOSÉ MARÍA AZNAR LÓPEZ
Bibliografía
Firma electrónica y comercio electrónico Consejo General de los Colegios Oficiales de Corredores de Comercio. Madrid, 1999 Informe sobre el impacto del comercio electrónico en la fiscalidad española Instituto de Estudios Fiscales. Madrid, 2000 «Internet y el comercio electrónico» Revista Informática y Derecho. N.o 33 UNED. Mérida, 2000 ÁGUILA, ANA ROSA DEL Comercio electrónico y estrategia empresarial. Hacia la economía digital RA-MA. Madrid, 2000 ÁGUILA, ANA ROSA DEL Y PADILLA, ANTONIO (Coordinadores) E-Business y Comercio Electrónico. Un enfoque estratégico RA-MA. Madrid, 2001 ÁLVAREZ-CIENFUEGOS SUÁREZ, JOSÉ MARÍA La firma y el Comercio Electrónico en España. Comentarios a la legislación vigente Aranzadi. Elcano (Navarra), 2000 381
382
BIBLIOGRAFÍA
BARRIUSO RUIZ, CARLOS La contratación electrónica Dykinson. Madrid, 1998 BRIZ, JULIÁN Y LASO, ISIDRO Internet y Comercio Electrónico. Características, estrategias, desarrollo y aplicaciones Mundiprensa. Madrid, 2000 BUSTO LAGO, JOSÉ MANUEL «La responsabilidad civil de los prestadores de servicios de intermediación en la sociedad de la información» Actualidad Jurídica Aranzadi. N.o 542 Madrid, julio 2002 CANEL, MARÍA JOSÉ Comunicación política. Técnicas y estrategias para la sociedad de la información Tecnos. Madrid, 1999 CARIDAD SEBASTIANI, MERCEDES (Coordinadora) La sociedad de la información. Política. Tecnología e Industria de los contenidos Centro de Estudios Ramón Areces. Madrid, 1999 CASTELLS, MANUEL La era de la información. Vol. 1. La sociedad red Alianza Editorial. Madrid, 1998 La era de la información. Vol. 2. El poder de la identidad Alianza Editorial. Madrid, 1998 La era de la información. Vol. 3. Economía, sociedad y cultura. Fin de milenio Alianza Editorial. Madrid, 1997 La Galaxia Internet Areté. Barcelona, 2001
BIBLIOGRAFÍA
383
CAVANILLAS MÚGICA, SANTIAGO; TUR FERNÁNDEZ, M.a NÉLIDA; BENITO ROSER, M.a TERESA Y SUINAGA ROMERO DE TERREROS, COLUMBA Turismo y comercio electrónico. La promoción y contratación on line de servicios turísticos Comares. Granada, 2001 CHASE, LARRY Comercio electrónico. Tácticas probadas para hacer negocios en Internet Limusa Wiley. México, 1999 CHICO DE LA CÁMARA, PABLO Y CAZORLA PRIETO, LUIS MARÍA Los impuestos en el comercio electrónico Aranzadi. Elcano (Navarra), 2001 CREMADES, JAVIER El paraíso digital. Claves para entender la revolución de Internet y las telecomunicaciones Plaza y Janés. Barcelona, 2001 CUESTA FERNÁNDEZ, FÉLIX La empresa virtual McGraw-Hill. Madrid, 1998 DAVARA FERNÁNDEZ DE MARCOS, ISABEL «La firma electrónica» OTROSÍ. N.o 42 Madrid, diciembre 2002 DAVARA RODRÍGUEZ, MIGUEL ÁNGEL La protección de los intereses del consumidor ante los nuevos sistemas de comercio electrónico CEACCU. Madrid, 2000 Factbook. Comercio electrónico Aranzadi-A. Thomson Company. Elcano (Navarra), 2001 «Una fecha casi histórica para la regulación y el futuro normativo de las Tecnologías de la Información y las Comunicaciones» Actualidad Jurídica Aranzadi. N.o 542 Madrid, 25 julio 2002
384
BIBLIOGRAFÍA
DOWNES, LARRY Y MUL, CHUNKA Estrategias digitales para dominar el mercado Granica. Buenos Aires, 1998 ELZABURU MÁRQUEZ, FERNANDO Tiempos de cambio. Conciencia, tecnología y estrategia Ediciones 2010. Madrid, 1999 EMERY VINCE Negocios en Internet, expansión y crecimiento Anaya. Madrid,1998 FONT, ANDRÉS Seguridad y certificación en Comercio Electrónico. Aspectos generales y consideraciones estratégicas Fundación Retevisión. Madrid, 2000 FROSINI, VITTORIO Cibernética, derecho y sociedad Tecnos. Madrid, 1982 GÓMEZ SEGADA, JOSÉ ANTONIO; FERNÁNDEZ-ALBOR, BALTAR Y TATO PLAZA, ANXO Comercio electrónico en Internet Marcial Pons. Madrid, 2001 ILLESCAS ORTIZ, RAFAEL Derecho de la contratación electrónica Civitas. Madrid, 2001 ILLESCAS ORTIZ, RAFAEL (Director) Y RAMOS HERRÁN, ISABEL (Coordinadora) Derecho del comercio electrónico La Ley. Madrid, 2001 JOYANES AGUILAR, LUIS Cibersociedad. Los retos sociales ante un nuevo mundo digital McGraw-Hill. Madrid, 1997 JULIÁ BARCELÓ, ROSA Comercio Electrónico entre empresarios. La formación y prueba del contrato electrónico (EDI) Tirant lo Blanch. Valencia, 2000
BIBLIOGRAFÍA
385
KALBHEN, UWE; KRÜCKEBERG, FRITZ Y REESE, JÜRGEN Las repercusiones sociales de la tecnología informática Fundesco Tecnos. Madrid, 1983 KURZWEILL, RAY La era de las máquinas espirituales. Cuando los ordenadores superen la mente humana Planeta. Barcelona, 1999 MARÍAS, JULIÁN Cara y cruz de la electrónica Espasa Calpe. Madrid, 1986 MARTÍNEZ NADAL, APOL-LONIA Comercio electrónico, firma digital y autoridades de certificación Civitas. Madrid, 1998 La Ley de firma electrónica Civitas. Madrid, 2001 (2.a edición) NORA, SIMON Y MINC, ALAIN La informatización de la sociedad Fondo de Cultura Económica. México, 1983 OLIVER CUELLO, RAFAEL Tributación del Comercio Electrónico Tirant lo Blanch. Valencia, 1999 OTERO HIDALGO, CARLOS (Editor) El Comercio Electrónico. Fundamentos y situación en España ESIN. Madrid, 1998 PÉREZ LUÑO, ANTONIO ENRIQUE Nuevas Tecnologías, sociedad y derecho. El impacto socio-jurídico de las N. T. de la información Fundesco. Madrid, 1997
386
BIBLIOGRAFÍA
PESO NAVARRO, EMILIO DEL Ley de Protección de Datos. La nueva LORTAD Díaz de Santos. Madrid, 2000 «La seguridad de la información» Actualidad Informática Aranzadi. N.o 26 Elcano (Navarra), enero 1998 PESO NAVARRO, EMILIO DEL Y RAMOS GONZÁLEZ, MIGUEL ÁNGEL La seguridad de los datos de carácter personal Díaz de Santos. Madrid, 2002 (2.a edición) RIBAGORDA GARNACHO, ARTURO Master en Dirección de Sistemas y Tecnologías de la Información y las Comunicaciones. Seguridad de los Sistemas de Información CREI. Madrid, 1993 RIVAS ALEJANDRO, JAVIER Aspectos jurídicos del Comercio Electrónico en Internet Aranzadi. Pamplona, 1999 ROSELLÓ MORENO, ROCÍO DE El comercio electrónico y la protección de los consumidores Cedecs. Rubí, 2001 SÁEZ VACAS, FERNANDO Educación y tecnología América Ibérica. Madrid, 1999 SALAZAR RUIZ, BORJA Comercio Electrónico: Empresario Tecnológico. Aspectos estratégicos y tecnológicos de los negocios electrónicos Desclée de Brouwer. Bilbao, 2001 SARTORI, GIOVANNI Homo videns. La sociedad teledirigida Taurus. Madrid, 1999
BIBLIOGRAFÍA
387
SARZANA DI S. IPPOLITO, CARLO Y SARZANA DI S. IPPOLITO, FULVIO Profili giuridici del commercio via Internet Dott A. Giuffré Editore. Milano, 1999 SOROS, GEORGE Globalización Planeta. Barcelona, 2002 TERCEIRO, JOSÉ B. Sociedad digital. Del homo sapiens al homo digitalis Alianza Editorial. Madrid, 1996 TERCEIRO, JOSÉ B. Y MATÍAS, GUSTAVO Digitalismo. El nuevo horizonte sociocultural Taurus Digital. Madrid, 2001 VELEIRO REBOREDO, BELÉN «La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y el Comercio Electrónico» Actualidad Jurídica Aranzadi. N.o 542 Madrid, 25 julio 2002 VARIOS AUTORES Derecho Tributario e informática Tirant lo Blanch. Valencia, 2000 VARIOS AUTORES Notariado y contratación electrónica Colegios Notariales de España. Madrid, 2000 VÁZQUEZ GALLO, ENRIQUE Y BERROCAL COLMENAREJO, JULIO Comercio electrónico. Materiales para el análisis Centro de publicaciones del Ministerio de Fomento. Madrid, 2000