[Nota del autor: El presente artículo se presenta desde un punto de vista de consultor, más bien didáctico, no estrictamente jurídico ni demasiado técnico, con el fin de que sea entendido por cualquier persona sin profundos conocimientos sobre el marco legal español ni de la tecnología que utilizan las páginas web].
Seguramente usted habrá oído conversaciones del tipo:
«! Ya tengo página web ! Me la ha hecho gratis (ó por cuatro duros) mi primo que sabe de informática«, o bien «… mi vecino que sabe de ordenadores«, o bien «… la he hecho yo por Internet con cuatro clics«.
La cuestión es que esa persona que está tan feliz por estar presente en Internet puede estar creándose, sin saberlo, un serio problema si su página web no cumple una serie de requisitos legales, que dicho sea de paso, casi nadie conoce.
Los requisitos a los que me refiero son básicamente la Ley de Protección de Datos de Carácter Personal, su Reglamento de Desarrollo y la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, y de esta última, más concretamente las modificaciones realizadas sobre el artículo 22.2 por el Real Decreto-Ley 13/2012 para adaptarlo a la Directiva Europea 2009/136/CE.
Según la LSSI, en su artículo 2.1, «esta Ley será de aplicación a los prestadores de servicios de la sociedad de la información establecidos en España y a los servicios prestados por ellos», y en el apartado 2.3 aclara que «A los efectos previstos en este artículo, se presumirá que el prestador de servicios está establecido en España cuando el prestador o alguna de sus sucursales se haya inscrito en el Registro Mercantil o en otro registro público español en el que fuera necesaria la inscripción para la adquisición de personalidad jurídica«. Por otra parte, se entiende como prestador de servicios de la sociedad de la información a «las personas que realicen actividades económicas por Internet u otros medios telemáticos (correo electrónico, televisión digital interactiva…)» fuente: MINETUR. Y finalmente, sobre qué servicios están afectados dice que, «el criterio para determinar si un servicio o página web está incluido dentro del ámbito de aplicación de la Ley es si constituye o no una actividad económica para su prestador. Todos los servicios que se ofrecen a cambio de un precio o contraprestación están, por tanto, sujetos a la nueva Ley. Sin embargo, el carácter gratuito de un servicio no determina por sí mismo que no esté sujeto a la Ley. Existen multitud de servicios gratuitos ofrecidos a través de Internet que representan una actividad económica para su prestador (publicidad, ingresos de patrocinadores, etc.) y, por lo tanto, estarían incluidos dentro de su ámbito de aplicación«.
Por tanto, si usted tiene una página web del tipo blog personal, en el que simplemente se dedica a hablar de temas que no tienen ninguna finalidad comercial, ni obiene ingresos por publicidad a través de ella, ni realiza ningún tipo de comercio electrónico, ni recopila datos personales de sus usuarios, … entonces es muy probable que no necesite seguir leyendo este artículo.
Si por el contrario, su nueva página sirve como mínimo para dar a conocer su actividad profesional y usted es un autónomo ó empresa y espera obtener alguna rentabilidad económica al promocionarse con ella, y qué decir si además realiza actividades de comercio electrónico, publicidad, etc., entonces sí que tiene un serio problema delante, porque estará obligado a cumplir la legislación, y le aseguro que la ignorancia de las leyes no excusa de su cumplimiento (Art. 6 del Código Civil).
Y llegados a este punto usted, autónomo o responsable de una sociedad, reflexiona y dice, «yo lo tengo todo en regla, cumplo rigurosamente la LOPD y la LSSI«. Vale estupendo, usted piensa que su nueva página web tiene todo lo que tiene que tener, por lo menos desde el punto de vista legal. Pero resulta que, dependiendo de la plataforma en la que haya implementado su web o por el simple hecho de querer registrar estadísticas de uso con Google Analytics (por ejemplo), su web utilizará con total seguridad cookies, y ahí es donde está el gran problema, sobre todo si usted desconoce qué son las cookies y la trascendencia que ha tomado su empleo desde la publicación del RD 13/2012 mencionado arriba.
En este artículo no voy a explicar qué es una cookie, para ello le dejo el siguiente enlace (hay otros miles en la web). Lo esencial que debe saber sobre las cookies es que hay determinados tipos, particularmente las de terceros como Google Analytics, que antes de instalarlas debe informar sobre ellas y solicitar su consentimiento al visitante de la web, dándole la opción de no instalarlas o no continuar navegando por la página. En caso de no hacerlo, o de no hacerlo correctamente, estaría incumpliendo la Ley. Las consecuencias del incumplimiento pueden suponer multas de hasta 30,000 euros en infracciones leves, o de hasta 150,000 euros en infracciones graves.
Podemos pensar que «no tendremos tan mala suerte …», pero ésta es una cuestión que es mejor no dejarla al azar. De hecho, eso mismo pensarían los demandados en la reciente Resolucion R/02990/2013 de la AEPD (Agencia Española de Protección de Datos), condenados a multas de 3,000 euros y 500 euros por incumplir el artículo 22.2 de la LSSI. Cuando usted oiga hablar de la Ley de Cookies ó AntiCookies (según se mire), sepa que en realidad dicha Ley no existe como tal y simplemente se hace alusión a la nueva redacción dada por el RD 13/2002 al artículo 22.2 de la LSSI. Si desea ampliar conocimientos puede consultar los enlaces que dejo en el pie de este artículo, que tratan muy bien los aspectos jurídicos sobre el asunto expuesto.
Siguiendo con el problema en el que se acaba de meter y resumiendo, usted acaba de crear una web de la que es responsable a todos los efectos, dicha web tiene una finalidad comercial (entre otras) y además ignora si utiliza cookies, y en caso de tenerlas, desconoce si algunas de ellas es de las que le puede ocasionar sanciones. Como primera providencia, debería realizar una auditoría seria sobre su web. Lógicamente le recomiendo que se ponga en manos de un experto en el tema (probablemente su primo que está estudiando informática, o el vecino que sabe de ordenadores no lo sean).
Una vez auditada la web, si se verifica que no cumple con la legislación, tendría varias opciones:
- Considerar que puede prescindir de los beneficios que le aportan los servicios que usan las cookies y aplicar el principio de «muerto el perro se acabó la rabia», es decir, eliminemos toda posibilidad de que la página web genere cookies. Las consecuencias pueden ser terribles si usted, a su vez, presta servicios personalizados a través de su web, o vende productos con alguna herramienta de comercio electrónico, sencillamente no funcionará. Tendrá que dejar de prestar esos servicios. Tampoco podrá recopilar estadísticas sobre sus clientes ó visitantes, su lugar de origen, idioma, navegador, qué artículos o páginas visitan, cuándo se conectan, etc.
- En el extremo opuesto estaría la opción de «hacerse el loco» y no hacer nada al respecto. Pensar que «no tendremos tan mala suerte …» puede salirle caro o no. Todo es una cuestión de suerte, pero relativamente; suerte de que la competencia no encuentre su punto débil, de que un cliente insatisfecho no lo descubra, de que cualquier visitante de su web no le importe, de que algún vecino o familiar le quiera mal y decida hacerle daño por esta vía, … Obviamente, no se lo recomiendo.
- Existe una solución a medias, que es la que están aplicando muchas empresas, consistente en informar del uso de las cookies y de que si se continúa navegando se considera que se aceptan, pero sin que se bloqueen completamente antes de mostrar el aviso. En este caso se estaría incumpliendo la Ley de Cookies porque la instalación debe ser posterior al consentimiento, no anterior: «Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos [cookies] en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, …». Esta opción es discutible y tampoco lo recomiendo.
- Implementar todos los mecanismos de índole técnica necesarios para informar a los usuarios sobre el uso de cookies antes de que den su consentimiento para instalarlas y continuar navegando, o impedir su instalación en caso contrario. Si considera que las cookies son imprescindibles para que su negocio siga adelante, esta es la opción recomendada, lo cual significará tener que ponerse en contacto con técnicos especialistas en la plataforma en que se ha desarrollado su web para poder llevarla a cabo de forma correcta y eficiente, en todos los sentidos (legal, técnico, etc.).
En determinadas plataformas de alojamiento de páginas webs (Facebook, WordPress.com, etc) puede que no sea posible adaptar su portal a la Ley de Cookies, por lo que usted debería considerar cambiar de proveedor.
Mi opinión personal sobre todo este maremagnum en que se ha convertido la presencia en Internet, mezcla de Leyes-Tecnología-Comunicaciones-Marketing es que cada vez resulta más difícil ir por libre, y hacer lo de «Don Palomo, yo me lo guiso, yo me lo como». Si usted, antes de crear una empresa, tiene asumido que es necesario acudir a una asesoría para que le hagan todos los trámites de la nueva creación, las nóminas, seguros sociales, impuestos (IVA, IRPF, Sociedades), etc., deberá empezar a pensar también en la necesidad de asesorase en lo referente a su presencia en Internet y uso de las Tecnologías de la Información y Comunicaciones de su negocio. Cada vez se hace más necesario ir con paso firme y seguro para no llevarse sustos desagradables como los que estamos comentando. Acuda a especialistas en la materia, probablemente le saldrá más rentable de lo que piensa.
Para finalizar, les dejo unos cuantos enlaces donde podrán encontrar más información a cerca de la Ley de Cookies, cómo cumplirla y la primera sanción de la AEPD entre otras cuestiones, agradeciendo especialmente a Pablo Fernández Burgueño por el trabajo realizado en su blog, que no en vano le supuso el premio al mejor post jurídico de 2012 por Cómo cumplir la Ley de Cookies.
Espero que este artículo haya servido para arrojar un poco más de luz sobre un asunto al que aún no se le da la importancia que tiene.
Referencias:
- Pablo Fernández Burgueño: Cómo cumplir la Ley de Cookies
- Pablo Fernández Burgueño: Sanción por instalar cookies de Google Analytics (y otras)
- Abanlex: Primeras multas por vulnerar la Ley de Cookies. Explicamos el caso
- Nota de prensa del grupo de trabajo sobre el artículo 29 de Protección de Datos
- AEPD: Guía sobre el uso de las Cookies
- InterDigital: Cómo aplicar la Ley de Cookies en tu web (vídeo)