Peligran los servicios SMS Premium

smspremiumHace 2 días, el pasado 22/06/2015 el Ministerio de Industria, Energía y Turismo ha modificado la regulación de los SMS PREMIUM.

Estos SMS son aquellos que activan una suscripción a algún sistema de alertas o mensajes periódicos, con un coste económico para el usuario. El principal problema radica en que muchos usuarios no son conscientes de su activación hasta que reciben una altísima factura de teléfono. La activación de este tipo de servicios suele producirse al descargar alguna aplicación o al ser invitados a introducir el número de teléfono móvil en alguna web para recibir algo “gratis”. Sigue leyendo

Consideraciones sobre la normativa italiana que regula las Cookies

Por cuanto atañe Italia, ha por fin llegado la fecha de la entrada en vigor de la resolución n. 229/14 de la Autoridad italiana competente en materia de protección de los datos personales, comparable a la Agencia española de Protección de Datos y que en dicho País se denomina Garante per la protezione dei dati personali (en adelante il “Garante”). A partir del próximo 2 de junio de 2015, las páginas web deberán cumplir con la nueva disciplina sobre el uso de las cookies, como traspuesta por el legislador italiano y la intervención aclaradora del Garante para no incurrir en la aplicación de las sanciones pecuniarias previstas que, según la infracción, van de un mínimo de 6.000 euros a un máximo de 120.000 euros. Sigue leyendo

Operaciones societarias – Supuestos en que no es necesario solicitar consentimiento.

En un post anterior denominado “Consentimiento para el Tratamiento de Datos de carácter Personal” comentaba la necesidad de que concurrieran 3 elementos para poder tratar datos personales:

1. Informar al afectado.

2. Obtener su consentimiento inequívoco que, salvo excepciones, puede ser tácito o expreso.

3. Poder probar la existencia del consentimiento. Sigue leyendo

Consentimiento para el envío de Comunicaciones Comerciales por Vía Electrónica

articulo19_lssi (copia)Conviene reflexionar sobre el tipo de consentimiento que se exige cuando lo que se realiza es el envío de comunicaciones comerciales por vía electrónica a datos que no tienen carácter de dato personal, por ejemplo, el envío de una comunicación a una cuenta de correo info@xxx.comcontacta@xxx.com, o direcciones que no se encuentran en el ámbito de la protección de datos.
 
En caso de tener dichos datos carácter de dato personal, nos encontraríamos ante la necesaria aplicación de la Ley Orgánica de Protección de Datos, así como su Reglamento de desarrollo que regula lo relativo al consentimiento para el tratamiento de los datos en los artículos 6 LOPD, y 12 ss RDLOP.
 
En caso de no estarlo, como en “info@xxx.com” o “contacta@xxx.com”, establece el artículo 21 LSSI que queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
 
Por tanto, parece claro que, de manera general, queda excluida la posibilidad de consentimiento tácito para el envío de este tipo de comunicaciones, que afecta principalmente al envío de email y SMS/MMS. Ahora bien, introduce este mismo artículo en su punto 2 que señala que lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

Consentimiento para el tratamiento de Datos de Carácter Personal

Son tres los elementos que deben concurrir para un correcto tratamiento de los datos de carácter personal:
  • Información suficiente y adecuada al afectado, titular de los datos personales que queremos tratar.
  • Consentimiento inequívoco del mismo a partir de la correcta información suministrada.
  • Prueba suficiente del consentimiento por parte del responsable del fichero.

El consentimiento ofrecido por el afectado ha de ser inequívoco,y puede otorgarse de manera expresa o tácita. La prueba de su existencia lógicamente corresponde al responsable de fichero, que no tendrá mayor problema a la hora de demostrar el consentimiento expreso (copia del documento donde el afectado lo otorga, por ejemplo). Ahora bien, cuando el consentimiento es tácito la problemática de demostrar su existencia siempre es mayor.
 
Habla el artículo 14 del RDLOPD sobre las formas de obtención del consentimiento, contemplando la posibilidad de obtener el consentimiento tácito. Establece este artículo en su punto 2 “El responsable podrá dirigirse al afectado, informándole en los términos previstos en los artículos 5 de la Ley Orgánica 15/1999, de 13 de diciembre y 12.2 de este reglamento y deberá concederle un plazo de treinta días para manifestar su negativa al tratamiento, advirtiéndole de que en caso de no pronunciarse a tal efecto se entenderá que consiente el tratamiento de sus datos de carácter personal.” y en su punto 3 “En todo caso, será necesario que el responsable del tratamiento pueda conocer si la comunicación ha sido objeto de devolución por cualquier causa, en cuyo caso no podrá proceder al tratamiento de los datos referidos a ese interesado.”
 
La gran problemática que acompaña la prueba del consentimiento tácito es el alto coste que puede suponer para el responsable de tratamiento, quien deberá probar que la comunicación enviada al afectado ha sido debidamente entregada y no devuelta, para poder someter a tratamiento sus datos en el plazo de treinta días. Dicha prueba únicamente podrá existir si se ha procedido al envío de cartas certificadas, o al uso de servicios de mensajería.
 
En cuanto al plazo de 30 días, si nos acogemos a lo dispuesto en el artículo 6 del RDLOPD, se refiere a 30 días hábiles. En caso de haber puesto 1 mes, se computaría de fecha a fecha.
 
Dados los tiempos en que vivimos, en los que la tecnología se configura en determinados sectores como el principal motor económico, parece incluso arcaico que sigamos hablando de envío de cartas certificadas, envíos a través de mensajería o, si nos ponemos extremadamente puristas envío de burofax con acuse de recibo y copia certificada para acreditar, además del envío y recepción de la comunicación, el contenido de la misma para poder acreditar también el correcto contenido de la información suministrada.
 
En cualquier caso, y en base a la aplicación de los principios generales del derecho procesal, la carga de la prueba corresponde al responsable de fichero y como tal, deberá acreditar su correcto envío, recepción y no devolución de la comunicación enviada al afectado.
 
En su párrafo segundo el punto 2 contempla la posibilidad de que “cuando se trate de responsables que presten al afectado un servicio que genere información periódica o reiterada, o facturación periódica, la comunicación podrá llevarse a cabo de forma conjunta a esta información o a la facturación del servicio prestado, siempre que se realice de forma claramente visible.”
 
En el último punto del artículo, punto 5, se introduce un límite al responsable de fichero “Cuando se solicite el consentimiento del interesado a través del procedimiento establecido en este artículo, no será posible solicitarlo nuevamente respecto de los mismos tratamientos y para las mismas finalidades en el plazo de un año a contar de la fecha de la anterior solicitud.” Parece ser que aquí lo que quiere impedirse es una solicitud reiterada y sistemática por parte del responsable de fichero que finalmente consiga que, por desgaste, el afectado preste su consentimiento al tratamiento de sus datos.