Blog de Internet Security Auditors

Blog de Internet Security Auditors: Modificación de la LSSICE

Escrito por Internet Security Auditors | May 27, 2014 4:00:00 AM
El pasado sábado 10 de mayo, se publicó en el Boletín Oficial del Estado (BOE), la nueva Ley de Telecomunicaciones (Ley 9/2014, de 9 de mayo), que introduce modificaciones a la vigente Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico, más conocida como LSSI o LSSICE.

En este artículo se realiza un análisis sobre los aspectos relevantes de dichas modificaciones, de manera que se tengan en cuenta para futuras interpretaciones de la ley.

Las modificaciones más destacables son las siguientes:
  • En el artículo 21, de Prohibición de las comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o equivalentes, se añade que dicha prohibición no será de aplicación cuando exista una relación contractual previa, siempre que el prestador haya obtenido los datos de contacto del destinatario de una forma lícita, y los emplee para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa, que sean similares a los inicialmente contratados por el cliente.
    A pesar de dicha excepción, el prestador debe ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de la recogida de los datos como en cada una de las comunicaciones comerciales realizadas. En el caso del uso del correo electrónico como medio para realizar la comunicación, éstos deberán incluir una dirección de correo electrónico donde el usuario pueda ejercitar dicho derecho.
  • En el artículo 22, de Derechos de los destinatarios de comunicaciones comerciales, se introduce la opción de uso de cookies de sesión en los terminales de los destinatarios por los prestadores de servicio, siempre que los destinatarios hayan dado su  consentimiento a dicho uso (por ejemplo a través de una aceptación en el navegador). En el momento que el destinatario dé su consentimiento, éste deberá ser informado de manera clara y completa sobre la utilización de dichas cookies, y en particular, sobre los fines del tratamiento de sus datos, en relación a lo dispuesto en la Ley Orgánica 15/1999, de tratamiento de datos de carácter personales, o LOPD.
  • En el artículo 38, de Infracciones y sanciones, se introduce como sanción leve el uso de cookies de sesión en los terminales de los destinatarios sin el consentimiento de los mismos, siempre que sea la primera vez en tres años. En caso de reincidencia de una sanción leve, y siempre que la reincidencia se efectúe en un periodo inferior a tres años, ésta pasaría a considerar-se una sanción grave.
  • Se introduce el nuevo artículo 39 bis, de Moderación de sanciones, en el que se indica que el órgano sancionador establecerá el valor de la sanción a la clase de infracciones que preceda de manera inmediata a la sanción vigente, es decir, que se introducirá una reducción de la cuantía de la sanción, en los casos siguientes:
    • a) Cuando exista una disminución de la culpabilidad del imputado como consecuencia de la concurrencia de alguno de los factores del artículo 40:
      • No existencia de intencionalidad en la infracción.
      • Plazo de tiempo de la infracción.
      • No reincidencia de infracciones de la misma naturaleza.
      • Naturaleza y cuantía de los perjuicios causados.
      • Beneficios obtenidos por la infracción.
      • Volumen de facturación que afecta a la infracción.
      • Adhesión a un código de conducta o sistema autoregulatorio publicitario aplicable a la infracción cometida.
    • b) Cuando la entidad infractora haya regularizado la situación irregular de sanción.
    • c) Cuando la conducta del afectado haya podido inducir la realización de la infracción.
    • d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
    • e) Cuando se haya producido un proceso de absorción entre entidades, no siendo imputable la entidad absorbente.
Además, los órganos sancionadores podrán acordar no iniciar la apertura del procedimiento sancionador, y en su lugar, apercibir al acusado, de manera que en el plazo determinado, éste acredite la adopción de las medidas correctoras adecuadas. Dicho caso solo se podrá dar en caso que el órgano competente no hubiese sancionado o apercibido con anterioridad al infractor por infracciones incluidas en ésta ley.
  • El artículo 40, de Competencia sancionadora, introduce a la Agencia de Protección de Datos como responsable de la imposición de sanciones por la comisión de infracciones relacionadas con los siguientes aspectos:
    • a) Envío masivo de comunicaciones comerciales por correo electrónico u otro medio equivalente (SPAM).
    • b) Incumplimiento habitual de la obligación de confirmar la recepción de una aceptación.
    • c) Resistencia, excusa o negativa a la actuación inspectora de los órganos autorizados a llevarlas.
    • d) Reincidencia en la comisión de infracciones leves en un plazo inferior a tres años desde la primera infracción.
    • e) Uso de cookies de sesión en los dispositivos de los destinatarios sin su previa autorización.
  • Se introduce el nuevo apartado 5 bis, en la disposición adicional sexta, de Sistema de asignación de nombres de dominio bajo el <<.es>>. En dicho apartado, se especifica que la autoridad de asignación de nombres de dominio de internet suspenderá cautelarmente, siempre que exista el requerimiento judicial correspondiente, los nombres de dominio mediante los cuales se esté cometiendo un delito o falta tipificada en el código penal. Dicha suspensión solo se podrá efectuar en el caso de que el prestador de servicios o persona responsable no haya atendido el requerimiento dictado para la interrupción de la infracción.
    Dicha suspensión consistirá en la imposibilidad de utilizar el nombre del dominio relacionado en efectos del direccionamiento en internet, junto con la prohibición de modificar la titularidad y los datos de registro del mismo.
  • Se introduce una disposición adicional octava, de Colaboración de los registros de nombres de dominio establecidos en España en la lucha contra actividades ilícitas. En dicha disposición, se establece que las entidades de registros de nombres en Internet están obligadas a facilitar los datos relativos a los titulares de los nombres de dominio, siempre que las autoridades públicas lo soliciten para el ejercicio de sus competencias de inspección, control y sanción, y siempre que las actividades que se persigan tengan relación con los nombres de dominio nombrados, como por ejemplo en el caso de investigación y mitigación de incidentes de ciberseguridad.
  • Se introduce una disposición adicional novena, de Gestión de incidentes de ciberseguridad que afecten a la red de Internet, en el que se establecen los siguientes principios:
    • a) Los prestadores de servicios implicados en la sociedad de la información, los registros de nombres de dominio y los agentes registradores están obligados a prestar su colaboración con el CERT competente, en la resolución de incidentes de ciberseguridad. Dicha colaboración puede incluir suministrar información implicada en el incidente, como direcciones IP o identificadores de usuarios, siempre que se respete el secreto de las comunicaciones.
    • b) En un plazo de seis meses, el gobierno pondrá en marcha un programa para impulsar un esquema de colaboración público-privada, con el fin de identificar los incidentes de ciberseguridad en España. En dicho programa, se elaborarán códigos de conducta en materias de ciberseguridad para los distintos prestadores de servicio relacionados con la sociedad de la información.
    • c) En caso de darse incidentes de seguridad, los prestadores de servicio deberán identificar a los usuarios afectados por los mismos, bajo notificación del CERT competente, e indicarles las acciones a tomar y los tiempos de actuación para la mitigación del incidente. En el caso que los usuarios no ejerciesen sus responsabilidades, los prestadores de servicio deberán aislar dichos equipos o servicios de la red.
    • d) La secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, garantizará un intercambio fluido de información con la Secretaría de Estado de Seguridad del Ministerio del Interior sobre incidentes, amenazas y vulnerabilidades, según lo contemplado en la ley 8/2001, de medidas de protección de las infraestructuras críticas, con el objetivo de garantizar una respuesta coordinada ante incidentes de ciberseguridad.

Como vemos, son bastantes las modificaciones y actualizaciones sufridas por la LSSICE con la nueva Ley de Telecomunicaciones, con el objetivo de adaptar-se a las nuevas necesidades de la sociedad, así como a las nuevas tecnologías presentes, y conseguir así una mayor protección de la sociedad de la información en España.

Referencias:

http://www.boe.es/boe/dias/2014/05/10/pdfs/BOE-A-2014-4950.pdf
https://www.boe.es/boe/dias/2002/07/12/pdfs/A25388-25403.pdf

Autor: Guillem Fàbregas - CISA, CISM, PCIP
Departamento de Consultoría.