DERECHO MERCANTIL II - Protección de Datos - PDF

DEREITO MERCANTIL II Departamento Derecho Público Especial y de la Empresa TEMA 5. DEREITO PROTECCIÓN DE MERCANTIL DATOS PERSONALES ALCANCE TEMÁTICO 1. Concepto y características del derecho de protección de datos 2. Datos especialmente protegidos 3. Tratamiento y cesión de datos 4. Derechos de acceso, rectificación, cancelación y oposición (Derechos ARCO) 5. Derecho al olvido 6. El Delegado de protección de datos 7. Las autoridades de protección de datos I. BASES, CONCEPTOS Y PRINCIPIOS DEL DERECHO DE PROTECCION DE DATOS 1. Protección constitucional 2. Protección de datos personales en la Guía de Derechos Humanos en Internet 3. Marco normativo de la protección de datos 4. Reglamento General EU de protección de datos y Ley Orgánica 3/2018 de Protección de datos y garantía de derechos digitales 5. Conceptos legales básicos 6. Licitud del tratamiento 7. Protección de datos personales de menores 1. PROTECCIÓN CONSTITUCIONAL ARTÍCULO 18 1. 1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. (…) 4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. 1. PROTECCIÓN CONSTITUCIONAL Carta de Derechos Fundamentales de la Unión Europea Artículo 8, Protección de datos de carácter personal 1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan. 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a obtener su rectificación. 3. El respeto de estas normas estará sujeto al control de una autoridad independiente. 2. PROTECCIÓN DE DATOS PERSONALES EN LA GUÍA DE DERECHOS HUMANOS EN INTERNET El usuario de Internet debe tener en cuenta que, al utilizar Internet, sus datos personales son objeto de un tratamiento constante. Esto ocurre cuando utiliza servicios tales como navegadores, correo electrónico, mensajes instantáneos, protocolos de transmisión de voz por Internet, redes sociales, motores de búsqueda y servicios de almacenamiento de datos en la nube. Las autoridades públicas y las empresas privadas tienen la obligación de respetar normas y procedimientos específicos cuando tratan sus datos personales. Sus datos personales solo deberían ser objeto de tratamiento cuando la ley lo prevea o cuando el usuario haya dado su consentimiento. Al usuario se le debería informar sobre qué datos personales son objeto de tratamiento o transferencia a terceros, cuándo lo son, por quién y con qué propósito. Además debería poder ejercer un control sobre sus datos de carácter personal (verificar que sean exactos, solicitar que se corrijan o se eliminen, o pedir que no se conserven por más tiempo de lo necesario). 3. MARCO NORMATIVO DE LA PROTECCION DE DATOS ❖La primera ley (ya derogada) que se ocupó del tema fue la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del tratamiento automatizado de datos de carácter personal (desarrollo del art. 18.4 CE y de la jurisprudencia del TEDH) LOTRAD. ❖Después vino la Ley Orgánica 15/1999, de 13 de diciembre de Protección de datos de carácter personal, que adaptó nuestro ordenamiento a lo dispuesto por la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales. LOPD ❖Junto con el Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento LOPDCP. 4. REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS y LEY ORGÁNICA 3/2018 La Directiva 95/46/CE se ha derogado por el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) Y la Ley Orgánica 15/1999, se ha derogado por la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos de carácter personal y garantía de derechos digitales. 4. REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS y LEY ORGÁNICA 3/2018 Novedades para los titulares 1- Mayor TRANSPARENCIA e INFORMACIÓN a los ciudadanos por parte de las organizaciones al tratar sus datos personales, facilitando una mayor información sobre los periodos de conservación de los mismos, las finalidades de tratamiento y las entidades que van a participar en él. Consolidación, como variante del Derecho de rectificación o cancelación (supresión), del DERECHO AL OLVIDO. Los interesados podrán revocar el consentimiento prestado para el tratamiento de sus datos personales en cualquier momento, pudiendo exigir la supresión y eliminación de los datos que consideren oportunos en redes sociales o buscadores de Internet. 2 Se refuerza la protección sobre los menores. 3 Derecho a la PORTABILIDAD DE LOS DATOS. Se permitirá transferir los datos personales del interesado de la manera más sencilla de un proveedor de servicios en Internet a otro, siempre dando el control al ciudadano para que decida sobre su tratamiento final. 4. REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS y LEY ORGÁNICA 3/2018 Novedades para las empresas y demás personas físicas o jurídicas obligadas Se deber llevar un registro interno y por escrito de las diferentes actividades que conlleven un tratamiento de datos. ❖Suprime la obligatoriedad de inscripción del fichero ante el Registro de la Agencia Española de Protección de Datos (cuando se trata de ficheros de titularidad privada). ❖Establece la Responsabilidad de quienes efectúen los tratamientos de datos a fin de demostrar que se cumplen con las exigencias contempladas en el Reglamento. Se trata de una responsabilidad proactiva, es decir, se debe demostrar que la empresa o persona física o jurídica responsable del tratamiento ha materializado dichas exigencias a través de políticas, procedimientos, controles, auditorias de seguimiento, etc. (el llamado compliance de datos). 4. REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS y LEY ORGÁNICA 3/2018 Novedades para las empresas y demás personas físicas o jurídicas obligadas ❖El consentimiento para poder tratar datos de carácter personal ha de ser inequívoco, libre y revocable y deberá darse mediante “un acto afirmativo claro”. YA NO ES POSIBLE SU OBTENCIÓN POR ACTOS PRESUNTOS O INACTIVOS. ❖Previamente a efectuar determinados tratamientos (elaboración de perfiles, tratamiento a gran escala de las categorías especiales de datos, entre otros) las empresas y demás responsables del tratamiento deberán elaborar una evaluación de impacto, en la que se analicen los posibles riesgos que pudiera conllevar el nuevo tratamiento sobre los datos que se va a efectuar. 4. REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS y LEY ORGÁNICA 3/2018 Novedades para las empresas y demás personas físicas o jurídicas obligadas ❖ Se deberá llevar un registro interno y por escrito de las diferentes actividades que afecten al tratamiento y, en su caso, cesión de datos. ❖Las empresas y demás responsables que tratan datos personales deberán tener en cuenta todas las disposiciones de la normativa que puedan afectarles antes de efectuar el tratamiento, por ejemplo, antes de desarrollar una herramienta informática y, además, deberán aplicar las medidas técnicas y organizativas que correspondan, así como el nivel de seguridad requerido. ❖Se deberán tratar los datos imprescindibles para llevar a cabo un determinado tratamiento, garantizando que, por defecto, solo serán objeto de tratamiento aquellos datos que sean necesarios para los fines específicos del tratamiento. 4. REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS y LEY ORGÁNICA 3/2018 Novedades para las empresas y demás personas físicas o jurídicas obligadas ❖Posibilidad de presentar denuncias a través de asociaciones de usuarios y reconocimiento de la posibilidad de exigir daños y perjuicios, así como indemnizaciones derivadas del tratamiento ilícito de los datos personales. ❖Establecimiento de sellos de cumplimiento (Sello Europeo). ❖Las cuantías de las sanciones asociadas al incumplimiento de la norma pueden llegar a los 20 millones de euros o el 4% de la facturación general anual. 5. CONCEPTOS LEGALES BÁSICOS ❖ datos personales: toda información sobre una persona física identificada o identificable (“el interesado"); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como, por ejemplo, un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. El sujeto pasivo es solo la persona física. No la jurídica. Lo que no impide que los Estados miembros puedan establecer normas de protección de datos en favor de personas jurídicas. De otro lado, el dato personal no es necesariamente dato íntimo, es cualquier información de la persona. El dato íntimo será un dato personal protegido; ❖ fichero: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica. El fichero puede ser electrónico o en papel (ya no está limitado a la “informática” como prevé el art. 18.4 CE); ❖ consentimiento del interesado: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. La “clara acción afirmativa” impide el consentimiento tácito o negativo; 5. CONCEPTOS LEGALES BÁSICOS ❖datos genéticos: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona; son una novedad en el ámbito europeo, y el problema es que es muy fácil obtener datos genéticos sin consentimiento ni conocimiento del titular (un pelo, una gota de sangre…) y sirven para hacer perfiles de posible desarrollo de enfermedades, lo que entra a discriminación genética; ❖datos biométricos: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos; ❖datos relativos a la salud: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud; 5. CONCEPTOS LEGALES BÁSICOS ❖ elaboración de perfiles: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física (la técnica de big data permite la elaboración de estos perfiles, muchas veces inexactos, pero que la persona tiene que conocer y sobre la que puede ejercer su derechos ARCO- POL); ❖ seudonimización: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable; ❖ responsable del tratamiento o responsable: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros; 5. CONCEPTOS LEGALES BÁSICOS ❖ encargado del tratamiento o encargado: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento; (al responsable y al encargado se une ahora el delegado de protección de datos ); ❖ tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción; (“tratamiento de datos y transmisión o cesión de datos” son dos ámbitos distintos, que requieren específicamente de autorización legal o de consentimiento del titular. Así, tener el consentimiento o la autorización legal para el “tratamiento” no permite ”la cesión”, salvo que se obtenga un consentimiento específico para ello); ❖ normas corporativas vinculantes: las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta; 5. CONCEPTOS LEGALES BÁSICOS ❖ tratamiento transfronterizo: es ❖el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o ❖el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro; ❖violación de la seguridad de los datos personales: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. 6. LICITUD DEL TRATAMIENTO El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: ❖el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; ❖el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; ❖el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; ❖el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; 6. LICITUD DEL TRATAMIENTO ❖el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; ❖el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. 7. PROTECCIÓN DE DATTOS PERSONALES DE MENORES El artículo 8 del Reglamento General establece las condiciones aplicables al consentimiento del niño (menores de edad) en relación con los servicios de la sociedad de la información. El artículo 6 del Reglamento parte de que el tratamiento (es lícito) cuando es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, pero establece una condición, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño (como en el caso de los derechos fundamentales del menor y, en especial, su honor intimidad y propia imagen). Así, en este caso, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó. 7. PROTECCIÓN DE DATTOS PERSONALES DE MENORES Para el resto de supuestos, en los que no prevalezcan los intereses o los derechos y libertades fundamentales del menor: "Los Estados miembros podrán establecer, por ley, una edad inferior a tales fines, siempre que esta no sea inferior a 13 años.” España ha fijado con carácter general la edad de 14 años (artículo 7 LOPD-GDD), salvo que el actos requiera de asistencia de los titulares la patria potestad o tutela, como es el caso de la contratación electrónica (que requiere mayoría de edad, salvo emancipación) o el consentimiento médico informado (16 años). II. EJERCICIO DEL DERECHO DE PROTECCIÓN DE DATOS 1. Datos especialmente protegidos 2. Derecho de acceso 3. Derecho de rectificación y derecho de supresión ("derecho al olvido”) 4. Excepciones al derecho de supresión y “derecho al olvido” 5. Reconocimiento jurisprudencial del “derecho al olvido” 6. Notificación de violaciones de seguridad 1. DATOS ESPECIALMENTE PROTEGIDOS El artículo 9 establece el tratamiento de categorías especiales de datos personales. Así, 1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos gen ticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física. 3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h) (medicina laboral y asistencial), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes. 4. Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud. En el citado artículo 9 se establecen las condiciones y requisitos para que el tratamiento de estos datos especialmente protegidos sea lícito. 2. DERECHO DE ACCESO El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información: Los fines del tratamiento. Las categorías de datos personales de que se trate. Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales. De ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo. La existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento. El derecho a presentar una reclamación ante una autoridad de control. Cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen. 2. DERECHO DE ACCESO La existencia de decisiones automatizadas, incluida la elaboración de perfiles, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado. Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas relativas a la transferencia. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros. 3. DERECHO DE RECTIFICACIÓN Y DERECHO DE SUPRESIÓN (“DERECHO AL OLVIDO”) Derecho de rectificación El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional. 3. DERECHO DE RECTIFICACIÓN Y DERECHO DE SUPRESIÓN (“DERECHO AL OLVIDO”) Derecho supresión (“derecho al olvido”) El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes: los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo (base del derecho al olvido); el interesado retire el consentimiento en que se basa el tratamiento; el interesado se oponga al tratamiento; los datos personales hayan sido tratados ilícitamente; los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento; los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1, del Reglamento. 4. EXCEPCIONES AL DERECHO DEL “OLVIDO” Cuando haya hecho públicos los datos personales y esté obligado a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que están tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos. De todo modos, el Derecho de supresión y “derecho al olvido” no se aplicará cuando el tratamiento sea necesario: Para ejercer el derecho a la libertad de expresión e información. Para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable. Por razones de interés público en el ámbito de la salud pública. Con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones. 5. RECONOCIMIENTO JURISPRUDENCIAL DEL “DERECHO AL OLVIDO” Sentencia de 13 de mayo de 2014, asunto C-131/12, AEPD y Mario Costeja vs. Google Spain y Google Inc, La prevalencia del derecho de protección de datos de carácter personal (especialmente en lo que se refiere a sus derechos ARCO, esto es, acceso, rectificación, cancelación y oposición) sobre cualquier aspecto o limitación tecnológica. Los hechos enjuiciados eran muy sencillos. Una persona física pretendía que cuando se introdujese su nombre y apellidos en Google (como motor o instrumento de búsqueda más usado) no apareciese en primer lugar una información, publicada por la prensa digital, de que en un momento dado y ya superado había sido objeto de un embargo de bienes, situación que ya había superado y de hecho pretendía emprender nuevas actividades económicas, que se veían siempre dificultadas por la persistencia. Mediante resolución de 30 de julio de 2010, la AEPD desestimó la reclamación en la medida en que se refería a La Vanguardia, al considerar que la publicación que esta había llevado a cabo estaba legalmente justificada, dado que había tenido lugar por orden del Ministerio de Trabajo y Asuntos Sociales y ten a por objeto dar la máxima publicidad a la subasta para conseguir la mayor concurrencia de licitadores. 5. RECONOCIMIENTO JURISPRUDENCIAL DEL “DERECHO AL OLVIDO” Sentencia de 13 de mayo de 2014, asunto C-131/12, AEPD y Mario Costeja vs. Google Spain y Google Inc, Sin embargo, y por el contrario, se estimó la reclamación en la medida en que se dirigía contra Google España y Google Inc. A este respecto, la AEPD consideró que quienes gestionan motores de búsqueda están sometidos a la normativa en materia de protección de datos, dado que llevan a cabo un tratamiento de datos del que son responsables y actúan como intermediarios de la sociedad de la información. Y así, ya ante la negativa de Google, llega el caso, vía cuestión prejudicial, al Tribunal de Justicia de la Unión Europea. 5. RECONOCIMIENTO JURISPRUDENCIAL DEL “DERECHO AL OLVIDO” Sentencia de 13 de mayo de 2014, asunto C-131/12, AEPD y Mario Costeja vs. Google Spain y Google Inc, El Abogado General, en su informe previo, no vinculante pero seguido habitualmente por el TJUE, había dictaminado todo lo contrario, pues entendía que para ejercitar el ”derecho al olvido” no deben dirigirse contra el motor o instrumento de búsqueda, como Google, que tiene un funcionamiento automatizado y ajeno al tratamiento de la información, sino contra la persona o prestador de servicios que difunde o que aloja los datos con carácter provisional o permanente, ya que por el propio sistema tecnológico de funcionamiento de Google la desindexación o retirada de la información es inútil si no se retira o suprime la información contenida en origen. El TJUE, en la Sentencia de 13 de mayo de 2014, entiende que los instrumentos de búsqueda, como Google, realizan un tratamiento de datos personales y que por ello tienen que garantizar a toda el persona el ejercicio de su derechos de acceso, oposición y, como en este caso, rectificación y cancelación, sin poderse exonerar por su peculiar funcionamiento tecnológico y con independencia de que no haya desaparecido o se mantenga la información de origen, ya que puede conseguirse mediante la disociación entre la información y el nombre de la persona como término de búsqueda. 5. RECONOCIMIENTO JURISPRUDENCIAL DEL “DERECHO AL OLVIDO” Sentencia de 13 de mayo de 2014, asunto C-131/12, AEPD y Mario Costeja vs. Google Spain y Google Inc, Esta Sentencia, sienta la prevalencia de los Derechos Fundamentales y, en especial, el de protección de datos, sobre el funcionamiento de las nuevas tecnologías. Además, se aplica en el ámbito comunitario, pese a que la Directiva 2000/31/CE no había regulado ni establecido responsabilidad para los motores de búsqueda y, finalmente, no solo afecta a Google y al resto de motores o instrumentos de búsqueda, sino que afecta a cualquier plataforma tecnológica que permite el tratamiento de datos personales, como ocurre con muchas redes sociales y otros dispositivos tecnológicos. 6. NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD Comunicación de una violación de la seguridad de los datos personales al interesado Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida, en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas adoptadas. La comunicación al interesado no será necesaria si se cumple alguna de las condiciones siguientes: el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas, y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales o ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concrete el alto riesgo; suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados. 6. NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD Notificación de una violación de la seguridad de los datos personales a la autoridad de control En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación. III. CONTROL E INFRACCIÓN DEL DERECHO DE PROTECCION DE DATOS PERSONALES 1. Infracciones 2. Prevención de responsabilidad 3. Derecho a la indemnización y responsabilidad 4. Delegado de protección de datos 5. Autoridades de control 6. La Ley Orgánica 3/2018, de 5 de diciembre (LOPD-GDD) 1. INFRACCIONES Condiciones generales para la imposición de multas administrativas Las infracciones de los deberes y obligaciones básicos se sancionarán, con multas administrativas de 10.000.000 de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Pero las infracciones más graves a los derechos básicos se sancionarán, con multas administrativas de 20.000.000 de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Del mismo modo, el incumplimiento de las resoluciones de la autoridad de control, se sancionará de acuerdo con multas administrativas de 20.000.000 de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía 2. PREVENCIÓN DE RESPONSABILIDAD Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con la normativa. Dichas medidas se revisarán y actualizarán cuando sea necesario. Entre las medidas estarán las oportunas políticas de protección de datos. El responsable del tratamiento será responsable del cumplimiento de la aplicación de medidas y deberá ser capaz de demostrarlo (“responsabilidad proactiva”). La adhesión a códigos de conducta podrá ser utilizada como elemento para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento. 2. PREVENCIÓN DE RESPONSABILIDAD Corresponsables del tratamiento Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento, serán considerados corresponsables del tratamiento. Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el Reglamento. El acuerdo reflejará debidamente las funciones y relaciones respectivas de los corresponsables en relación con los interesados. Se pondrán a disposición del interesado los aspectos esenciales del acuerdo. Independientemente de los términos del acuerdo, los interesados podrán ejercer los derechos que les reconoce la normativa frente a y en contra de cada uno de los responsables. 3. DERECHO A LA INDEMNIZACIÓN Y RESPONSABILIDAD Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción tendrá derecho a recibir del responsable o del encargado del tratamiento una indemnización por los daños y perjuicios sufridos. Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable. El responsable o encargado del tratamiento estará exento de responsabilidad si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios. 3. DERECHO A LA INDEMNIZACIÓN Y RESPONSABILIDAD Cuando más de un responsable o encargado del tratamiento, o un responsable y un encargado hayan participado en la misma operación de tratamiento y sean responsables de cualquier daño o perjuicio causado por dicho tratamiento, cada responsable o encargado ser considerado responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado. Cuando un responsable o encargado del tratamiento haya pagado una indemnización total por el perjuicio ocasionado, dicho responsable o encargado tendrá derecho a reclamar a los demás responsables o encargados que hayan participado en esa misma operación de tratamiento la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados. Las acciones judiciales en ejercicio del derecho a indemnización se presentarán ante los tribunales competentes con arreglo al Derecho del Estado miembro. 4. DELEGADO DE PROTECCIÓN DE DATOS Artículo 37. Designación del delegado de protección de datos 1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales. El artículo 34 de la LOPD-GDD establece los supuestos en los que obligatoriamente debe tenerse un Delegado de Protección de Datos. 2. Un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento. 4. DELEGADO DE PROTECCIÓN DE DATOS 3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño. 4. En casos distintos, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados. 5. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones. 6. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñará sus funciones en el marco de un contrato de servicios. 7. El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicar n a la autoridad de control. 4. DELEGADO DE PROTECCIÓN DE DATOS Funciones del delegado de protección de datos Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben legalmente. Supervisar el cumplimiento de lo dispuesto la normativa y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditor as correspondientes. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación. Cooperar con la autoridad de control y actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento. 4. DELEGADO DE PROTECCIÓN DE DATOS Funciones de un DPO (Data Protection Officer) Adopción de procedimientos o redefinición de políticas corporativas. Elaboración y definición de mapas de riesgos conforme al sector de actividad. Asesoramiento en la realización de evaluaciones de impacto/riesgos, e implementación de procesos privacy by design o privacy by default. Formación de empleados sobre el cumplimiento de la nueva normativa. Realización de auditorías de cumplimiento. Prevención de infracciones a la compleja normativa de protección de datos. 5. AUTORIDADES DE CONTROL Cada Estado miembro establecer que sea responsabilidad de una o varias autoridades públicas independientes (en adelante autoridad de control ) supervisar la aplicación del Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión. Cada autoridad de control contribuirá a la aplicación coherente del Reglamento en toda la Unión. A tal fin, las autoridades de control cooperarán entre sí y con la Comisión. Cuando haya varias autoridades de control en un Estado miembro, este designará la autoridad de control que representará a dichas autoridades en el Comité, y establecerá el mecanismo que garantice el cumplimiento por las demás autoridades de las normas relativas al mecanismo de coherencia. Cada Estado miembro notificará a la Comisión las disposiciones legales que adopte. En España está al Agencia Española de protección de datos, y algunas Comunidades tienen una Agencia propia. En el ámbito Europeo se crea el Comité Europeo de protección de datos. 6. LEY ORGÁNICA 3/2018 (LOPD-GDD) Está jerárquicamente por debajo del RGPD o Ha incorporado una especie de “Carta de Derechos Digitales”, muy asistemática, ya que los mismos temas aparecen regulados de forma muy parecida en los distintos apartados de la Ley. Pero es una mera enunciación de Derechos. o Por ejemplo, añade una mención al supuesto ”testamento digital”, que solo existirá como tal si el testador manifiesta su voluntad de permanecer en la red, o en alguna red social o en algún servicio de la sociedad de la información y, en defecto de testamento, faculta a herederos o albacea para gestionar el patrimonio digital del difunto en redes de comunicación como se estime pertinente. o Desaparece el régimen de legalización de ficheros. Ya no es necesario que los ficheros privados se inscriban en el Registro de la AEPD, ni que los ficheros públicos de legalicen mediante su publicación en BOE o Diario Oficial. Pero todos los ficheros deben tener un “Registro de actividades de tratamiento”, conforme al RGPD. o Amplía el número de personas físicas y jurídicas obligadas a tener Delegado de Protección de Datos. o Se delimita el nuevo régimen administrativo sancionador. o Y para el sector público, como no puede ser sancionado económicamente, el artículo 77 LOPDGDD establece un régimen disciplinario tanto a la entidad como al infractor. DERECHO DE LAS SEGURIDAD DE LA NUEVAS TECNOLOGÍAS INFORMACIÓN DE LA INFORMACIÓN Y LA COMUNICACIÓN OBJETIVOS La delimitación de los conceptos legales propios de la sociedad de la información y del comercio electrónico. El marco normativo básico de los prestadores de servicios de la sociedad de la información, con especial atención al cierre o supresión de páginas web y espacios en las redes de comunicación. El marco normativo básico de los prestadores de servicios de intermediación. El régimen administrativo sancionador. OBJETIVOS o Conocer los principales conceptos de la LSSICE (comunicación comercial, contrato electrónico, prestador de servicios de la sociedad de la información, servicios de intermediación…). o Conocer las obligaciones principales de los prestadores de servicios de la sociedad de la información. o Conocer las obligaciones principales de los prestadores de servicios de intermediación. o Saber cuáles son los motivos y cuál es el procedimiento para restringir o impedir los servicios de la sociedad de la información (cerrar una página web) tanto en España, como en la Unión Europea. o Conocer el régimen sancionador (infracciones, sanciones, medidas cautelares y órgano competente). 1. CONCEPTOS LEGALES PROPIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y DEL COMERCIO ELECTRÓNICO 1. Concepto de servicio de la sociedad de la información 2. Concepto de contrato electrónico 3. Concepto de comunicación comercial 4. Concepto de servicios de intermediación 5. Concepto de prestador de servicios de la sociedad de la información y de prestador intermediario 6. Concepto de destinatario de servicios de la sociedad de la información y de consumidor 1. 1. Concepto de servicio de la sociedad de la información “Todo servicio prestado normalmente a título oneroso, a distancia y por vía electrónica y a petición individual del destinatario” REQUISITOS: que sea a distancia, esto es, sin presencia física simultánea; que sea por vía electrónica; a través del teléfono móvil (M- commerce), a través de la televisión (T-commerce) o a través del ordenador (E-commerce), accediendo a una red de comunicación (como Internet, que es la red de redes), o alguna red dentro de Internet (como las redes sociales); que sea a petición individual del destinatario (lo que en inglés se llama on demand), y que constituya una actividad económica para el prestador de servicios, lo que lleva a excluir aquellos servicios que consisten en prestación de información gratuita por particulares que no son comerciantes ni empresarios, ni actúan ocasionalmente en un ámbito Téngase en cuenta que el carácter oneroso del servicio no es consustancial al concepto de servicio de la sociedad de la información, en cuanto que comprende la simple información comercial o no comercial gratuita o las informaciones actualizadas a cada segundo por la prensa electrónica. 1. 1. Concepto de servicio de la sociedad de la información PRINCIPALES SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN (siempre que representen una actividad económica): La contratación electrónica de bienes o servicios. La organización y gestión de subastas por medios electrónicos o de mercados y centros virtuales electrónicos. La gestión de compras en la red por grupos de personas. El envío de comunicaciones comerciales. El suministro de información (comercial) a través de redes de comunicación. El vídeo bajo demanda y, en general, la distribución de contenidos previa petición individual. Servicios de (intermediación de) Internet (facilitando acceso, transmisión y alojamiento de contenidos, así como estableciendo enlaces y motores de búsqueda). 1. 1. Concepto de servicio de la sociedad de la información EXCLUSIONES: Servicios prestados por medio de telefonía vocal, fax o télex (salvo la telefonía móvil cuando se accede a la red). El intercambio de información por correo electrónico o equivalente para fines ajenos a una actividad económica. Servicios de radiodifusión televisiva o sonora. El teletexto televisivo 1. 2. Concepto de contrato electrónico “Todo contrato en el que la oferta y la aceptación se transmiten por medio de equipos electrónicos de tratamiento y almacenamiento de datos, conectados a una red de telecomunicaciones” Por contrato electrónico se entiende, según el Anexo de la LSSICE,todo contrato en el que la oferta y la aceptación se transmiten por medio de equipos electrónicos de tratamiento y almacenamiento de datos, conectados a una red de telecomunicaciones. El contrato electrónico es una modalidad o clase de contratación que participa de todos los requisitos legales del contrato y que requiere, básicamente, para ser catalogado como contrato electrónico, dos requisitos: 1. El primero es que tanto la oferta como la aceptación se produzcan a través de la red (y no solo la aceptación, como alguna redacción durante su elaboración sugirió), y 2. el segundo es que el acceso a la red se produzca por medios de equipos electrónicos que permitan el tratamiento y almacenamiento de datos, lo que incluye no solo el ordenador, sino también el teléfono móvil o la televisión, siempre que a través de ellos se acceda una red de telecomunicaciones. Además, participa de los requisitos antes referidos sobre los servicios de la sociedad de la información: de su carácter de «a distancia» y de su carácter «oneroso». 1. 2. Concepto de contrato electrónico Clases de contrato electrónico En atención a las distintas modalidades de comercio electrónico conocidas, podemos distinguir entre: 1. Contratos que se realizan entre empresarios (de empresario a empresario o business to business o B2B) de aquellos que se realizan con consumidores (business to consumer o B2C). 2. Contratos en los que el servicio de la información contratado se presta y adquiere directamente a través de la Red (comercio electrónico directo) (ej., la descarga legal de una película con el consiguiente pago) y contratos electrónicos que precisan actos de entrega posterior de los bienes o servicios contratados (comercio electrónico indirecto) (ej., el c.e. por el que se compran x botellas de vino, que requiere de una entrega posterior). 3. Contratos que se celebran desde una página web o los celebrados a través del correo electrónico. 1. 3. Concepto de comunicación comercial «Toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.» «Comunicación comercial», la LSSICE la define como: Clave: Es necesario tener consentimiento previo para poder enviar lícitamente comunicaciones comerciales. Problemas: El del envío de comunicaciones comerciales no solicitadas, conocido como SPAM (cuando se produce de manera reiterada o masiva), y del que se ocupa tanto el artículo 21 LSSICE, prohibiendo su envío si no hay consentimiento previo, como el artículo 38 LSSICE, estableciendo sanciones. La LSSICE no se ocupa del envío masivo de comunicaciones no comerciales, pero que causan daños; por ejemplo, el envío masivo de correos electrónicos de particulares de contenido no comercial, pero que por su elevadísimo número colapsa una web institucional. Esto se debe resolver por el puro derecho de daños y probando, en su caso, la relación de causalidad. 1. 4. Concepto de servicios de intermediación El servicio de intermediación es un concreto servicio de la sociedad de la información (como lo son la contratación electrónica o las comunicaciones comerciales) por el que se facilita la prestación o utilización de otros servicios de la sociedad de la información o el acceso a la información. En concreto, son servicios de intermediación la provisión de servicios de: Acceso a la red de comunicación, como Internet o red de telefonía móvil. Transmisión de datos por redes de telecomunicaciones. La realización de copia temporal de las páginas de Internet solicitadas por los usuarios. El alojamiento en los propios servidores de datos, aplicaciones o servicios suministrados por otros. La provisión de instrumentos de búsqueda, acceso y recopilación de datos; y Los enlaces a otros sitios de Internet. 1. 5. Concepto de prestador de servicios de la sociedad de la información y de prestador intermediario El prestador de servicios de la sociedad de la información se define como: «La persona física o jurídica que proporciona un servicio de la sociedad de la información.» A DESTACAR: No es prestador de servicios de la sociedad de la información cualquier persona física o jurídica que proporcione una información no comercial en la Red, sino que será necesario que esa información cumpla con los presupuestos legales de los servicios de la información descritos anteriormente. A DISTINGUIR: del «prestador de servicios de intermediación», como los «proveedores de servicios de Internet», que es la persona física o jurídica que ofrece servicios de acceso, transmisión y alojamiento en la red (por eso a este tipo de prestadores se les conoce como Internet Services Provides o prestadores de servicios de Internet). A CONSIDERAR: la figura del «destinatario del servicio de intermediación», que son tanto los particulares que no son propiamente prestadores de servicios de sociedad de la información (en tanto que la información que ofrecen no es comercial), como los propios prestadores de servicios de la sociedad de la información, que son destinatarios, cuanto menos, del servicio de alojamiento. 1. 6. Concepto de destinatario de servicios de la sociedad de la información y de consumidor «Destinatario» es: según el Anexo de la LSSICE, «toda persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información»; según la Directiva, «cualquier persona física o jurídica que utilice un servicio de la sociedad de la información por motivos profesionales o de otro tipo y, especialmente, para buscar información o para hacerla accesible». «Consumidor» es: según el Anexo de la LSSICE, «toda persona física o jurídica en los términos establecidos en el artículo 1 de la Ley 26/1984, de 19 de julio, General para la Defensa de los Consumidores y Usuarios» (la referencia debe entenderse hecha al vigente Real Decreto Legislativo 1/2007, de 16 de noviembre); según la Directiva, «cualquier persona física que actúa con un propósito ajeno a su actividad económica, negocio o profesión». A DESTACAR que los conceptos de destinatario y consumidor pueden confluir en una misma persona, pero son conceptos distintos y ello determinará la aplicación de un régimen jurídico distinto para cada caso concreto. SOLO se podrá aplicar la normativa de protección de consumidores y usuarios cuando el destinatario del servicio sea, además, consumidor o usuario. 2. ÁMBITO NORMATIVO COORDINADO Y ÁMBITO DE APLICACIÓN DE LA LSSICE 1. Concepto de ámbito normativo coordinado 2. Delimitación del ámbito de aplicación de la LSSICE 2. 1. Concepto de ámbito normativo coordinado Concepto: Requisitos aplicables a los prestadores de servicios de la sociedad de la información, ya vengan exigidos por la LSSICE o por otras normas que regulen el ejercicio de actividades económicas por vía electrónica, o por las leyes generales que les sean de aplicación, y que se refieran, bien al comienzo de la actividad, como las titulaciones profesionales o cualificaciones requeridas, la publicidad registral, las autorizaciones administrativas o colegiales precisas, los regímenes de notificación a cualquier órgano u organismo público o privado, o bien al posterior ejercicio de dicha actividad, como los requisitos referentes a la actuación del prestador de servicios, a la calidad, seguridad y contenido del servicio, o los que afectan a la publicidad y a la contratación por vía electrónica y a la responsabilidad del prestador de servicios. 2. 1. Concepto de ámbito normativo coordinado EXCLUSIONES: Las condiciones relativas a las mercancías y bienes tangibles, a su entrega y a los servicios no prestados por medios electrónicos. DESTACAR: Al comercio electrónico no solo le es aplicable su propia normativa específica, sino también el resto de normas que integran el comercio electrónico: normativa relativa a la contratación a distancia, protección de los consumidores, firma electrónica, pago electrónico y servicios financieros, propiedad intelectual y sociedad de la información, protección de la intimidad y frente al tratamiento de datos en las telecomunicaciones y régimen de nombres de dominio. 2. 2. Delimitación del ámbito de aplicación de la LSSICE 1. Determinante: EL LUGAR DE ESTABLECIMIENTO DEL PRESTADOR DE SERVICIOS La Ley se aplicará a: PRESTADORES DE SERVICIOS españoles, siempre que estos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios. La LSSICE resulta igualmente aplicable a quienes, sin estar domiciliados en España, prestan servicios de la sociedad de la información a través de un «establecimiento permanente» situado en España. PRESUNCIÓN: se presumirá que el prestador de servicios está establecido en España cuando el prestador o alguna de sus sucursales se hayan inscrito en el Registro Mercantil o en otro Registro Público español en el que fuera necesaria la inscripción para la adquisición de personalidad jurídica. ESTABLECIDOS EN ESPAÑA: Se entiende que estará establecido en España cuando su residencia o domicilio social se encuentren en el territorio. 2. 2. Delimitación del ámbito de aplicación de la LSSICE 2. A los PRESTADORES DE SERVICIOS ESTABLECIDOS EN OTRO ESTADO MIEMBRO DE LA UE O DEL ESPACIO ECONÓMICO EUROPEO se les aplicará la LSSICE cuando los servicios afecten a las siguientes MATERIAS: a) Derechos de propiedad intelectual o industrial. b) Emisión de publicidad por instituciones de inversión colectiva. c) Actividad de seguro directo realizada en régimen de derecho de establecimiento o en régimen de libre prestación de servicios. d) Obligaciones nacidas de los contratos celebrados por personas físicas que tengan la condición de consumidores. e) Régimen de elección por las partes contratantes de la legislación aplicable a su contrato. f) Licitud de las comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente no solicitadas. 2. 2. Delimitación del ámbito de aplicación de la LSSICE 3. Para los PRESTADORES ESTABLECIDOS EN UN ESTADO NO PERTENECIENTE A LA UE O AL EEE se atenderá a lo dispuesto en los ACUERDOS INTERNACIONALES aplicables. 2. 2. Delimitación del ámbito de aplicación de la LSSICE RESTRICCIONES A LOS SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN (cierre de páginas web) SUPUESTOS. Se puede conseguir el cierre de la página web y que cese la prestación de servicios de la sociedad de la información por los siguientes motivos: a) La salvaguarda del orden público, la investigación penal, la seguridad pública y la nacional. b) La protección de la salud pública o de las personas físicas o jurídicas que tengan la condición de consumidores o usuarios, incluso cuando actúen como inversores. c) El respeto a la dignidad de la persona y al principio de no discriminación por motivos de raza, sexo, religión, opinión, nacionalidad, discapacidad o cualquier otra circunstancia personal o social. d) La protección de la juventud y de la infancia. e) La salvaguarda de los derechos de propiedad intelectual: Controversia en cuanto que no se requiere que la infracción a los derechos de propiedad intelectual sea constitutiva de delito y se fracciona la jurisdicción, sustrayendo asuntos al conocimiento del juez mercantil, que es el especializado en la materia por una Comisión de Mediación de Propiedad Intelectual, cuyas decisiones se recurren en el orden contencioso-administrativo. 2. 2. Delimitación del ámbito de aplicación de la LSSICE Procedimiento intracomunitario para establecer restricciones que afecten a un servicio de la sociedad de la información que proceda de alguno de los Estados miembros de la Unión Europea (artículo 8 LSSICE) Requerimiento al Estado miembro en el que esté establecido el prestador afectado para que adopte las medidas oportunas. - Si no las adopta o son insuficientes. Notificación previa a la Comisión Previa o al Comité mixto del EEE y al Estado miembro de las medidas que tiene que adoptar. En casos de urgencia: adopción de las medidas, notificándolas a la Comisión Europea o al Comité Mixto del EEE a la mayor brevedad o en un máximo de 15 días desde su adopción. 2. 2. Delimitación del ámbito de aplicación de la LSSICE Obligaciones y deberes de información de los prestadores de servicios Disponer de los MEDIOS que permitan a los destinatarios y a los órganos competentes, ACCEDER fácilmente a: Datos identificativos y que permitan establecer con él una comunicación directa y efectiva. Datos de su inscripción en el Registro Mercantil. Datos relativos sobre la autorización y los identificativos del órgano competente encargado de su supervisión (si la actividad está sujeta a un régimen de autorización administrativa previa). El número de identificación fiscal. Información clara y exacta sobre el precio del producto o servicio (si el servicio de la sociedad de la información hace referencia a precios). Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos electrónicamente. Si ejerce una profesión regulada deberá indicar: los datos del Colegio profesional al que, en su caso, pertenezca y número de colegiado; el título académico oficial o profesional; el Estado de la UE o del EEE en el que se expidió dicho título y, en su caso, la correspondiente homologación o reconocimiento, y las normas profesionales aplicables al ejercicio de su profesión y los medios a través de los cuales se puedan conocer, incluidos los electrónicos. 2. 2. Delimitación del ámbito de aplicación de la LSSICE 1. Es objeto de la presente Ley la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica, en lo referente a las obligaciones de los prestadores de servicios incluidos los que actúan como intermediarios en la transmisión de contenidos por las redes de telecomunicaciones, las comunicaciones comerciales por vía electrónica, la información previa y posterior a la celebración de contratos electrónicos, las condiciones relativas a su validez y eficacia y el régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información. 2. 3 REGIMEN DE RESPONSABILIDAD ARTÍCULO 13. RESPONSABILIDAD DE LOS PRESTADORES DE LOS SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN 1. Los prestadores de servicios de la sociedad de la información están sujetos a la responsabilidad civil, penal y administrativa establecida con carácter general en el ordenamiento jurídico, sin perjuicio de lo dispuesto en esta Ley. 2. Para determinar la responsabilidad de los prestadores de servicios por el ejercicio de actividades de intermediación, se estará a lo establecido en los artículos siguientes. 2. 3 REGIMEN DE RESPONSABILIDAD ARTÍCULO 14. RESPONSABILIDAD DE LOS OPERADORES DE REDES Y PROVEEDORES DE ACCESO 1. Los operadores de redes de telecomunicaciones y proveedores de acceso a una red de telecomunicaciones que presten un servicio de intermediación que consista en transmitir por una red de telecomunicaciones datos facilitados por el destinatario del servicio o en facilitar acceso a ésta no serán responsables por la información transmitida, salvo que ellos mismos hayan originado la transmisión, modificado los datos o seleccionado éstos o a los destinatarios de dichos datos. No se entenderá por modificación la manipulación estrictamente técnica de los archivos que alberguen los datos, que tiene lugar durante su transmisión. 2. Las actividades de transmisión y provisión de acceso a que se refiere el apartado anterior incluyen el almacenamiento automático, provisional y transitorio de los datos, siempre que sirva exclusivamente para permitir su transmisión por la red de telecomunicaciones y su duración no supere el tiempo razonablemente necesario para ello. 2. 3 REGIMEN DE RESPONSABILIDAD Artículo 15. Responsabilidad de los prestadores de servicios que realizan copia temporal de los datos solicitados por los usuarios Los prestadores de un servicio de intermediación que transmitan por una red de telecomunicaciones datos facilitados por un destinatario del servicio y, con la única finalidad de hacer más eficaz su transmisión ulterior a otros destinatarios que los soliciten, los almacenen en sus sistemas de forma automática, provisional y temporal, no serán responsables por el contenido de esos datos ni por la reproducción temporal de los mismos, si: A) no modifican la información. B) permiten el acceso a ella sólo a los destinatarios que cumplan las condiciones impuestas a tal fin, por el destinatario cuya información se solicita. C) respetan las normas generalmente aceptadas y aplicadas por el sector para la actualización de la información. D) no interfieren en la utilización lícita de tecnología generalmente aceptada y empleada por el sector, con el fin de obtener datos sobre la utilización de la información, y E) retiran la información que hayan almacenado o hacen imposible el acceso a ella, en cuanto tengan conocimiento efectivo de: 1º que ha sido retirada del lugar de la red en que se encontraba inicialmente. 2º que se ha imposibilitado el acceso a ella, o 3º que un tribunal u órgano administrativo competente ha ordenado retirarla o impedir que se acceda a ella 2. 3 REGIMEN DE RESPONSABILIDAD ARTÍCULO 16. RESPONSABILIDAD DE LOS PRESTADORES DE SERVICIOS DE ALOJAMIENTO O ALMACENAMIENTO DE DATOS Documentos relacionados 1. Los prestadores de un servicio de intermediación consistente en albergar datos proporcionados por el destinatario de este servicio no serán responsables por la información almacenada a petición del destinatario, siempre que: a) No tengan conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o b) Si lo tienen, actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos. Se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el párrafo a) cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución, sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse. 2. La exención de responsabilidad establecida en el apartado 1 no operará en el supuesto de que el destinatario del servicio actúe bajo la dirección, autoridad o control de su prestador. 2. 3 REGIMEN DE RESPONSABILIDAD ARTÍCULO 17. RESPONSABILIDAD DE LOS PRESTADORES DE SERVICIOS QUE FACILITEN ENLACES A CONTENIDOS O INSTRUMENTOS DE BÚSQUEDA 1. Los prestadores de servicios de la sociedad de la información que faciliten enlaces a otros contenidos o incluyan en los suyos directorios o instrumentos de búsqueda de contenidos no serán responsables por la información a la que dirijan a los destinatarios de sus servicios, siempre que: a) No tengan conocimiento efectivo de que la actividad o la información a la que remiten o recomiendan es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o b) Si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace correspondiente. Se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el párrafo a) cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución, sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse. 2. La exención de responsabilidad establecida en el apartado 1 no operará en el supuesto de que el proveedor de contenidos al que se enlace o cuya localización se facilite actúe bajo la dirección, autoridad o control del prestador que facilite la localización de esos contenidos. 2. 4 CÓDIGOS DE CONDUCTA artículo 18 1. Las administraciones públicas impulsarán, a través de la coordinación y el asesoramiento, la elaboración y aplicación de códigos de conducta voluntarios, por parte de las corporaciones, asociaciones u organizaciones comerciales, profesionales y de consumidores, en las materias reguladas en esta Ley. La Administración General del Estado fomentará, en especial, la elaboración de códigos de conducta de ámbito comunitario o internacional. Los códigos de conducta que afecten a los consumidores y usuarios estarán sujetos, además, al capítulo V de la Ley 3/1991, de 10 de enero, de competencia desleal. Los códigos de conducta podrán tratar, en particular, sobre los procedimientos para la detección y retirada de contenidos ilícitos y la protección de los destinatarios frente al envío por vía electrónica de comunicaciones comerciales no solicitadas, así como sobre los procedimientos extrajudiciales para la resolución de los conflictos que surjan por la prestación de los servicios de la sociedad de la información. 2. En la elaboración de dichos códigos, habrá de garantizarse la participación de las asociaciones de consumidores y usuarios y la de las organizaciones representativas de personas con discapacidades físicas o psíquicas, cuando afecten a sus respectivos intereses. Cuando su contenido pueda afectarles, los códigos de conducta tendrán especialmente en cuenta la protección de los menores y de la dignidad humana, pudiendo elaborarse, en caso necesario, códigos específicos sobre estas materias. Los poderes públicos estimularán, en particular, el establecimiento de criterios comunes acordados por la industria para la clasificación y etiquetado de contenidos y la adhesión de los prestadores a los mismos. 3. Los códigos de conducta a los que hacen referencia los apartados precedentes deberán ser accesibles por vía electrónica. Se fomentará su traducción a otras lenguas oficiales, en el Estado y de la Unión Europea, con objeto de darles mayor difusión. 2. 5 COMUNICACIONES COMERCIALES Comunicaciones comerciales por vía electrónica y cookies Parte de la actividad de comercio electrónico consiste en la promoción o publicidad de los productos o servicios. La LSSICE recuerda que las comunicaciones comerciales y las ofertas promocionales se regirán, además de por la propia LSSICE, por su normativa propia, por la legislación en materia de publicidad, por la legislación de comercio y, en todo caso, por la legislación de protección de datos (cfr. art. 19 LSSICE). Las normas especiales de la LSSICE en esta materia se refieren, por una parte, a cierta información que deben contener las comunicaciones comerciales, ofertas promocionales y concursos (art. 20 LSSICE). En particular, las comunicaciones comerciales realizadas por vía electrónica deberán ser claramente identificables como tales, y la persona física o jurídica en nombre de la cual se realizan también deberá ser claramente identificable (art. 20.1). En los supuestos de ofertas promocionales, como las que incluyan descuentos, premios y regalos, y de concursos o juegos promocionales, previa la correspondiente autorización, se deberá asegurar también que se identifiquen claramente como tales y que las condiciones de acceso y, en su caso, de participación sean fácilmente accesibles y se expresen de forma clara e inequívoca (art. 20.2). Se prohíbe expresamente el envío de comunicaciones en las que se incite a los destinatarios a visitar páginas de Internet que contravengan las anteriores exigencias o incumplan las normas de ordenación del comercio (art. 20.4). Por otra parte, se establecen las condiciones para la licitud del envío de comunicaciones comerciales no solicitadas por medios electrónicos. Excepción Como excepción, se permite enviar dichas comunicaciones sin la previa solicitud o autorización, cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija. A tal efecto, cuando la comunicación se remita por correo electrónico, se deberá incluir una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección (art. 21.2). Uso de cookies La LSSICE incluye también el régimen del uso de cookies o instrumentos similares, que se establece en el artículo 22.2. La regulación procede de la Directiva 2002/58/CE, sobre la privacidad y las comunicaciones electrónicas, cuyo artículo 5.3 estableció algunas condiciones para la instalación y lectura de cookies y otras herramientas en los ordenadores de los usuarios. Para poder utilizar cookies o instrumentos similares (que la ley describe como “dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios”), es necesario que los destinatarios hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular sobre los fines del tratamiento de los datos de acuerdo con lo dispuesto en la normativa de protección de datos. Sin embargo, no será necesario el consentimiento para la instalación o lectura de ciertos tipos de cookies que por su naturaleza resultan necesarias para realizar una comunicación electrónica o para la prestación de un servicio de la sociedad de la información que el destinatario haya solicitado expresamente. En cuanto al modo de prestar el consentimiento, la norma prevé que “[c]uando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones” (art. 22.2). No se trata estrictamente de una norma de protección de datos, y por tanto, la exigencia de información y consentimiento previo se exigen con independencia de que los datos que se obtengan mediante las cookies sean o no de carácter personal. Sin embargo, la potestad sancionadora por el incumplimiento de estas obligaciones se atribuye a la Agencia Española de Protección de Datos (art. 43 LSSICE). El incumplimiento de estas normas constituye una infracción leve (art. 38.4.g), que puede llegar a ser grave en caso de reincidencia (art. 38.3.i). 2. 6 CONTRATACIÓN VIA ELECTRONICA. Obligaciones de información precontractual La LSSICE establece algunas obligaciones específicas para las fases previa y posterior a la celebración del contrato electrónico, que son aplicables solo a los casos en los que uno de los contratantes esté actuando como prestador de un servicio de la sociedad de la información y, por tanto, con carácter empresarial o profesional. En particular, con respecto a la fase previa a la celebración del contrato y siempre sin perjuicio de la aplicación de otras normas que también imponen obligaciones de información precontractual), se exige que antes de que se inicie el procedimiento de contratación, se ponga a disposición del destinatario información clara, comprensible e inequívoca sobre: a) los trámites que se deben seguir para celebrar el contrato; b) si el prestador archivará el contrato y si será accesible; c) los medios técnicos de los que dispone el destinatario del servicio para identificar y corregir errores en la introducción de los datos; d) la lengua o las lenguas en las que se podrá formalizar el contrato (cfr. art. 27.1 LSSICE). Esta información debe proporcionarse mediante técnicas adecuadas al medio de comunicación utilizado, y de manera permanente, fácil y gratuita. Se entenderá cumplida esta obligación si el prestador incluye la información en su página o sitio de Internet. En el caso de que la contratación se realice a través de dispositivos con pantallas de formato reducido (como teléfonos móviles u otros), se entenderá cumplida esta obligación si se facilita de manera permanente, fácil, directa y exacta la dirección de Internet en la que esta información se pone a disposición del destinatario (cfr. art. 27.1 LSSICE). No obstante (cfr. art. 27.2 LSSICE), no será necesario facilitar esta información previa si así lo acuerdan los contratantes, siempre que ninguno de los dos sea consumidor. Y tampoco será exigible si el contrato se ha celebrado exclusivamente mediante el intercambio de correo electrónico (o de una comunicación electrónica equivalente). Además, el prestador de servicios, también con anterioridad al inicio del procedimiento de contratación, tendrá que poner a disposición del destinatario de sus servicios las condiciones generales a las cuales se tendrá que sujetar el contrato, de tal modo que el destinatario pueda almacenarlas y reproducirlas. También en este caso la obligación rige solo para el caso de que una de las partes actúe como empresario o profesional y, por tanto, con la consideración de “prestador de servicios” (cfr. art. 27.4 LSSICE). Sobre la validez y la irrevocabilidad de la oferta del prestador, la LSSICE simplemente dispone que, sin perjuicio de la legislación específica aplicable, las ofertas o propuestas de contratación serán válidas durante el periodo que fije el oferente, y si no ha fijado ninguno, durante el tiempo que permanezcan accesibles a los destinatarios de los servicios (cfr. art. 27.3 LSSICE). Momento y lugar de celebración del contrato Nuestro sistema de perfección consensual del contrato (cfr. art. 1258 CC) requiere determinar en qué momento se entiende producido el consentimiento, que se manifiesta por el concurso de la oferta y la aceptación (cfr. art. 1262.1 CC). En la contratación entre presentes no suele haber dificultad para determinar el momento en el que dicho concurso se produce. Ahora bien, en los contratos celebrados entre personas físicamente distantes, necesitamos alguna regla que nos ayude a precisar este momento. Las soluciones legales y jurisprudenciales son variadas. En un extremo se encuentra la teoría de la cognición, según la cual la aceptación solo producirá efectos a partir del momento en el que el oferente la haya conocido. En el otro extremo se encuentra la teoría de la declaración o manifestación, que considera suficiente que el receptor de la oferta haya manifestado la declaración de voluntad de aceptarla. La LSSICE –a través de una disposición adicional– ha querido unificar los dos sistemas reformando la redacción de ambos artículos. Esta reforma establece, tanto para los contratos civiles como para los mercantiles, y sean o no contratos electrónicos, un criterio general y otro especial. El criterio general dispone que “[h]allándose en lugares distintos el que hizo la oferta y el que la aceptó, hay consentimiento desde que el oferente conoce la aceptación o desde que, habiéndosela remitido el aceptante, no pueda ignorarla sin faltar a la buena fe”, mientras que, para el supuesto especial de que los contratos se celebren “mediante dispositivos automáticos”, se dispone que concurre el consentimiento “desde que se manifiesta la aceptación” (cfr. disposición adicional 4 LSSICE). El criterio general recoge la teoría de la recepción. El contrato queda perfeccionado desde el momento en el que la aceptación llega a la esfera de control del oferente, de manera que este “no pueda ignorarla sin faltar a la buena fe”. No es necesario que la haya conocido efectivamente (aunque, si es así, con más razón deberemos tener el contrato por perfeccionado). La LSSICE, por otra parte, ofrece un criterio –ahora sí, referido únicamente a los contratos electrónicos– para determinar en qué momento se ha recibido la aceptación: se entenderá que se ha recibido cuando la parte a la que vaya dirigida pueda tener constancia de ello (cfr. art. 28.2 LSSICE). La ley no proporciona ningún criterio para saber qué significa “tener constancia” de la aceptación, pero quizá quepa aplicar por analogía el criterio que sí proporciona en cuanto a la constancia de la recepción de la confirmación: se entenderá que el destinatario tiene constancia de haber recibido la confirmación cuando esta haya sido almacenada en el servidor en el que tenga dada de alta su cuenta de correo electrónico, o en el dispositivo utilizado para la recepción de comunicaciones (cfr. art. 28.2.II LSSICE). Lugar en el que se entenderá celebrado el contrato la nueva redacción de los artículos 1262 CC y 54 CCom establece la regla general para los contratos entre ausentes, consistente en que el contrato se presume celebrado en el lugar en el que se hizo la oferta. Ahora bien, para el caso concreto de los contratos celebrados por vía electrónica, la LSSICE establece una regla específica en su artículo 29: si se trata de contratos entre empresarios o profesionales, se presumirán celebrados en el lugar de establecimiento del prestador de servicios; si se trata de contratos en los que una de las partes es un consumidor, se presumen celebrados en el lugar de residencia habitual de este último. Reglas para la fase posterior a la contratación La LSSICE exige que el oferente entregue a la otra parte una confirmación de haber recibido la aceptación (cfr. art. 28 LSSICE). De igual modo que para las obligaciones de información precontractual, se advierte aquí que no será necesario facilitar esta confirmación si así lo acuerdan los contratantes, siempre que ninguno de los dos sea un consumidor; y tampoco será necesario –una vez más– si el contrato se ha celebrado exclusivamente mediante el intercambio de correo electrónico o de una comunicación electrónica equivalente. La confirmación de recepción de la aceptación se podrá hacer por correo electrónico, u otro medio de comunicación electrónica equivalente, en la dirección indicada por el aceptante y dentro del plazo de veinticuatro horas desde que recibió la aceptación; o utilizando un medio equivalente al que se ha utilizado para la aceptación y haciendo la confirmación de manera inmediata, tan pronto como el aceptante haya finalizado el proceso y siempre que la confirmación pueda ser archivada por el destinatario. Este segundo supuesto es el caso, por ejemplo, de las operaciones en las que la aceptación se manifiesta haciendo clic sobre la página web en la que compramos, y acto seguido aparece una nueva pantalla que nos indica que la aceptación ha sido recibida correctamente. Ahora bien, esta manera de confirmar la aceptación solo resultará suficiente si es susceptible de ser archivada por el destinatario. La obligación de confirmar la recepción de la aceptación noconstituyeun requisitodevalidezdelcontrato. Se trata de una obligación establecida por la ley y la consecuencia de su omisión es la imposición de una sanción administrativa. La omisión habitual de esta obligación constituye infracción grave (art. 38.3.f LSSICE). La obligación de confirmar corresponde al oferente, pero téngase en cuenta que “oferente” no siempre lo será el vendedor, sino que lo puede ser también el comprador. El comprador es el “oferente” cuando responde con una oferta de compra a la invitatio ad offerendum del vendedor. En estos casos, por tanto, es al comprador a quien corresponde la obligación de confirmar. La LSSICE deja bien claro que la obligación de confirmar puede corresponder al destinatario del servicio y prevé para este caso que el prestador facilite el cumplimiento de dicha obligación poniendo a disposición del destinatario los medios oportunos (cfr. art. 28.1.II LSSICE). En cuanto a la prueba del contrato, la LSSICE simplemente se remite a las normas generales del ordenamiento, con una remisión especial a la Ley 59/2003, de firma electrónica, en el caso de que se trate de contratos firmados electrónicamente (cfr. art. 24 LSSICE). El derecho de desistimiento En términos generales y salvo una serie de excepciones, en los contratos a distancia –entre los que se incluyen los celebrados por vía electrónica–, la ley concede al comprador del bien, o destinatario del servicio, un breve plazo de tiempo para desistir del contrato libremente, esto es, sin necesidad de expresar o justificar causa alguna (ad nutum). Como fundamento de este derecho se suele señalar la dificultad que tiene el adquirente de valorar la adecuación del bien o servicio que está contratando a distancia, o simplemente la voluntad del legislador de proporcionar un plazo especial de reflexión. Este derecho es dispositivo en el caso de que se trate de comercio entre empresarios o profesionales, mientras que resulta imperativo en el caso de contratos celebrados con consumidores. El TRLDCU optó por establecer un régimen general o común del derecho de desistimiento de los consumidores y usuarios, que se ubica sistemáticamente en el título primero del libro segundo, y que sigue en lo esencial lo que ya disponía la LOCM. El capítulo II (“Derecho de desistimiento”) de este título I establece la disciplina común de este derecho, que define como: “la facultad del consumidor y usuario de dejar sin efecto el contrato celebrado, notificándoselo así a la otra parte contratante en el plazo establecido para el ejercicio de ese derecho, sin necesidad de justificar su decisión y sin penalización de ninguna clase” (art. 68.1.I TRLDCU). Se prohíben, con sanción de nulidad de pleno derecho, las cláusulas que impongan al consumidor y usuario una penalización por el ejercicio de este derecho (art. 68.1.II TRLDCU). La facultad para desistir del contrato no se da de manera general en todos los contratos en los que intervengan consumidores y usuarios, sino solo en aquellos supuestos en los que así se haya previsto legal o reglamentariamente, así como cuando este derecho se haya reconocido en el propio contrato o en la promoción o publicidad (art. 68.2 TRLDCU). En los casos en los que el derecho de desistimiento esté legalmente atribuido al consumidor y usuario, este derecho se regirá en primer lugar por las disposiciones legales que lo atribuyen, y de modo supletorio por las reglas generales de los artículos 68 a 79 TRLDCU (cfr. art. 68.3 TRLDCU). El caso de los contratos a distancia y contratos celebrados fuera de establecimiento mercantil constituye uno de los supuestos en los que legalmente se atribuye el derecho a desistir al consumidor y usuario, según dispone expresamente el artículo 102 TRLGDCU, con una serie de excepciones previstas en el artículo 103 TRLGDCU. Igual que en el régimen general supletorio, se sancionan con nulidad las cláusulas que impongan una penalización por el ejercicio de este derecho. Se califican también de nulas de pleno derecho las cláusulas que impongan la renuncia al desistimiento (art. 102.2 TRLDCU). No habrá derecho de desistimiento en los supuestos que recoge el artículo 103 TRLGDCU PLAZO El plazo para el ejercicio del derecho de desistimiento será de 14díasnaturales. Cuando se trate de servicios, dicho plazo se contará a partir del día de la celebración del contrato. En los contratos de venta, el plazo se contará, como regla general, a partir del día en el que el consumidor y usuario adquiera la posesión material de los bienes (art. 104 TRLGDCU), sin perjuicio de una serie de reglas especiales que establece el mismo precepto. Sin embargo, si el empresario no ha facilitado al consumidor y usuario la información sobre el derecho de desistimiento, el periodo de desistimiento se extiende hasta 12 meses después de la fecha de expiración del periodo de desistimiento inicial (art. 105.1). Si durante esos 12 meses el empresario facilita la información, el plazo finalizará a los 14 días naturales de la recepción de dicha información (art. 105.2). El consumidor y usuario debe comunicar al empresario su decisión de desistir del contrato antes de que finalice el plazo, ya sea mediante el formulario de desistimiento que se incluye en la ley o por otro tipo de declaración inequívoca (art. 106.1). El ejercicio del derecho de desistimiento extinguirá las obligaciones de las partes de ejecutar el contrato a distancia o celebrado fuera del establecimiento, o de celebrar el contrato, cuando el consumidor y usuario haya realizado una oferta (art. 106.5). El consumidor deberá devolver los bienes y deberá hacerse cargo de los costes directos de la devolución, salvo si el empresario aceptó asumirlos, o si no le informó de que le correspondería asumir dichos costes (art. 108.1). 3. REGIMEN ADMINISTRATIVO DE INFRACCIONES Y SANCIONES 1. Infracciones muy graves y graves (artículos 37 y siguientes de la LSSICE) 2. Infracciones leves(artículos 37 y siguientes de la LSSICE) 3. Sanciones (artículo 39 LSSICE) 3. 1. Infracciones muy graves y graves (artículos 37 y siguientes de la LSSICE) INFRACCIONES MUY GRAVES (PRESCRIPCIÓN: TRES AÑOS) El incumplimiento de la obligación de suspender la transmisión, el alojamiento de datos, el acceso a la red o la prestación de cualquier otro servicio equivalente de intermediación, cuando un órgano administrativo competente lo ordene. 3. 1. Infracciones muy graves y graves (artículos 37 y siguientes de la LSSICE) INFRACCIONES GRAVES (PRESCRIPCIÓN: A LOS DOS AÑOS): El incumplimiento significativo de las obligaciones de los prestadores de servicios de la sociedad de la información. El envío masivo de comunicaciones comerciales por correo electrónico o medio de comunicación electrónica equivalente o el envío, o su envío insistente o sistemático sin cumplir los requisitos establecidos en el artículo 21. El incumplimiento significativo de la obligación del prestador de servicios en relación con los procedimientos para revocar el consentimiento prestado por los destinatarios (artículo 22.1). No poner a disposición del destinatario del servicio las condiciones generales a que, en su caso, se sujete el contrato, en la forma prevista en el artículo 27. El incumplimiento habitual de la obligación de confirmar la recepción de una aceptación, cuando no se haya pactado su exclusión o el contrato se haya celebrado con un consumidor. La resistencia, excusa o negativa a la actuación inspectora de los órganos facultados. El incumplimiento significativo de lo establecido en el apartado 3 del artículo 10. La reincidencia en la comisión de la infracción leve prevista en el apartado 4.g) (cookies). 3. 1. Infracciones muy graves y graves (artículos 37 y siguientes de la LSSICE) INFRACCIONES LEVES (PRESCRIPCIÓN: A LOS TRES MESES): El incumplimiento de lo previsto en el artículo 12 bis. El incumplimiento de obligaciones de información cuando no constituya infracción grave. El incumplimiento de lo previsto en el artículo 20 para las comunicaciones comerciales, ofertas promocionales y concursos. El envío de comunicaciones comerciales que no cumplan los requisitos y cuando no constituya infracción grave. No facilitar la información a que se refiere el artículo 27.1 (información previa en la contratación electrónica), cuando las partes no hayan pactado su exclusión o el destinatario sea un consumidor. El incumplimiento de la obligación de confirmar la recepción de una petición en los términos establecidos en el artículo 28 (información posterior), cuando no se haya pactado su exclusión o el contrato se haya celebrado con un consumidor, salvo que constituya infracción grave. Utilizar dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario del servicio en los términos exigidos en el artículo 22.2 (cookies). El incumplimiento de la obligación del prestador de servicios en relación con los procedimientos para revocar el consentimiento prestado por los destinatarios cuando no constituya infracción grave. El incumplimiento de lo establecido en el apartado 3 del artículo 10, cuando no constituya infracción grave. 3. 3. Sanciones (artículo 39 LSSICE) Infracciones muy graves Multa de 150.001 hasta 600.000 euros La reiteración en tres años, de dos o más infracciones muy graves, sancionadas con carácter firme, podrá dar lugar a la sanción de prohibición de actuación en España, durante un plazo máximo de dos años. Infracciones graves Multa de 30.001 hasta 150.000 euros Las infracciones graves y muy graves podrán llevar aparejada la publicación, a costa del sancionado, de la resolución sancionadora en el «Boletín Oficial del Estado», o en el diario oficial de la Administración pública que, en su caso, hubiera impuesto la sanción; en dos periódicos cuyo ámbito de difusión coincida con el de actuación de la citada Administración pública o en la página de inicio del sitio de Internet del prestador, una vez que aquella tenga carácter firme. Para la imposición de esta sanción, se considerará la repercusión social de la infracción cometida, por el número de usuarios o de contratos afectados, y la gravedad del ilícito. Infracciones leves Multa de hasta 30.000 euros 3. 3. Sanciones (artículo 39 LSSICE) GRADUACIÓN DE LA CUANTÍA DE LAS SANCIONES, en atención a: ✓ la existencia de intencionalidad, ✓ el plazo de tiempo durante el que se haya venido cometiendo la infracción, ✓ la reincidencia por comisión de infracciones de la misma naturaleza, ✓ la naturaleza y cuantía de los perjuicios causados, ✓ los beneficios obtenidos por la infracción, o ✓ el volumen de facturación a que afecte la infracción cometida, entre otras. MEDIDAS PROVISIONALES, cuando sea necesario para: asegurar la eficacia de la resolución que definitivamente se dicte, el buen fin del procedimiento, evitar el mantenimiento de los efectos de la infracción y las exigencias de los intereses generales. 3. 3. Sanciones (artículo 39 LSSICE) Posibilidad de MULTAS COERCITIVAS: Importe máximo de 6.000 euros por cada día que transcurra sin cumplir las medidas provisionales que hubieran sido acordadas. COMPETENCIA PARA SU IMPOSICIÓN: Infracciones muy graves: Ministro de Industria, Energía y Turismo. Infracciones graves y leves: Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información. Excepción: La imposición de sanciones por incumplimiento de las resoluciones dictadas por los órganos competentes en función de la materia o entidad de que se trate a que se refieren las letras a) y b) del artículo 38.2 de esta Ley corresponderá al órgano que dictó la resolución incumplida. CONCLUSIONES PRINCIPALES ASPECTOS DE LOS SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Todo prestador de servicios de la sociedad de la información establecido en España tiene que cumplir con una obligaciones legales (artículo 10 LSSICE). Lo mismo ocurre con los prestadores de servicios establecidos en la Unión Europea o fuera del territorio español. Lo mismo ocurre con los prestadores de servicios de intermediación (artículos 11, 12 y 12 bis LSSICE). El incumplimiento de esos deberes puede suponer una infracción y sanción administrativa. Asimismo, es posible conseguir la interrupción de la prestación de servicios mediante el cierre de espacio en red por la causas del artículo 8 LSSICE. Incluso es posible hacerlo a través de un procedimiento especial cuando el prestador de servicios está establecido en la UE y afecte a destinatarios españoles (artículo 8 LSSICE). CONCEPTOS ESENCIALES PRINCIPALES ASPECTOS DE LOS SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN El concepto de servicio de la sociedad de información es: «Todo servicio prestado normalmente a título oneroso, a distancia, a través del teléfono móvil (M-commerce), a través de la televisión (T- commerce) o a través del ordenador (E-commerce); por vía electrónica y a petición individual del destinatario» (on demand). Que constituya una actividad económica para el prestador deservicios, lo que lleva a excluir aquellos servicios que consisten en prestación de información gratuita por particulares que no son comerciantes ni empresarios, ni actúan ocasionalmente en un ámbito comercial. CONCEPTOS ESENCIALES PRINCIPALES ASPECTOS DE LOS SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y que los servicios son: la contratación electrónica, las comunicaciones comerciales, el suministro de información comercial a través de redes de comunicación, los servicios de intermediación de Internet facilitando el acceso, la transmisión y el alojamiento de contenidos, así como estableciendo enlaces y motores de búsqueda DEREITO MERCANTIL II Departamento Derecho Público Especial y de la Empresa T. 6. DERECHO DE LA COMPETENCIA Y COMPETENCIA DESLEAL I. PANORÁMICA GENERAL: PLANO NORMATIVO Concepto de Derecho de la competencia Art. 38 CE: garantiza la libertad de empresa en el marco de una economía de mercado y la garantía y protección de la misma por los poderes públicos, de acuerdo con las exigencias de la economía en general. Principio de libre competencia I. PANORÁMICA GENERAL: PLANO NORMATIVO El derecho de la competencia tiene dos vertientes: 2. Derecho de la Competencia 1. Derecho de Defensa de la

DERECHO MERCANTIL II - Protección de Datos - PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue