Nueva regulación en materia de las comunicaciones electrónicas.
El objetivo de la nueva regulación en materia de comunicaciones electrónicas pasa por alcanzar mayores niveles de seguridad y normaliza la regulación del spam y el uso de cookies adaptándolo la normativa europea.

El pasado 31 de marzo se publicó en el BOE el Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen diversas Directivas comunitarias, entre ellas en materia de comunicaciones electrónicas, lo que supone la modificación de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones y una modificación concreta de la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico (LSSI/CE).

La nueva regulación, en lo que respecta al tratamiento de datos de carácter personal por parte de los operadores de telecomunicaciones exige extremar las cautelas en cuanto a su protección e informar sobre incidentes de seguridad, atribuyendo al Ministerio de Industria, Energía y Turismo la supervisión de las obligaciones que puedan imponerse en la materia, sobre las que a continuación mencionamos las más destacadas.

Entre los objetivos y principios de la Ley 32/2003 recogidos en su artículo 3, se encuentran defender los intereses de los usuarios y salvaguardar en la prestación del servicio del respeto a los derechos al honor, a la intimidad y a la protección de los datos personales. Con este fin el artículo 34 que especifica las medidas a adoptar ha sido modificado ampliando su contenido, especialmente en lo que se refiere a aquellas que garanticen la seguridad en el tratamiento de datos, además se añade un artículo 36 bis sobre integridad y seguridad de las redes y de los servicios de comunicaciones electrónicas.

Se recogen entre las redes públicas de comunicaciones a las que resultan aplicables dichas medidas las que den soporte a dispositivos de identificación y recopilación de datos y se exigen unas garantías mínimas en cuanto:

- al acceso a los datos que deberá realizarse por personal autorizado y para los fines autorizados por la Ley

- la protección de los datos en relación con su integridad, disponibilidad y confidencialidad tanto durante su almacenamiento como su transporte

- la aplicación efectiva de una política de seguridad

Respecto a las obligaciones de información y su contenido, por parte del operador se establecen las siguientes:

- a los abonados cuando exista un riesgo de violación de la seguridad

- a la Agencia Española de Protección de Datos en caso de violación de datos personales

- a los abonados o particulares en caso de violación de datos personales si ésta pudiera afectar negativamente a su intimidad o a sus datos de carácter personal

- al Ministerio de Industria, Energía y Turismo, sobre las violaciones de la seguridad o pérdidas de integridad que hayan tenido un impacto significativo en la explotación de las redes o los servicios

- al público en el caso en que sea exigido por el Ministerio de Industria, Energía y Turismo si estimase que la divulgación de la violación reviste interés público

- a los antiguos y nuevos abonados, cuando proceda y sea exigido por el Ministerio de Industria, Energía y Turismo, información de interés público sobre los medios de protección contra los riesgos para la seguridad personal, la privacidad, y los datos de carácter personal en el uso de los servicios de comunicaciones electrónicas (artículo 38 ter)

- a los usuarios finales por medio del contrato, la que reglamentariamente determine la autoridad competente en relación con el uso de las redes y servicios de comunicaciones electrónicas para desarrollar actividades ilícitas o para difundir contenidos nocivos, así como sobre los medios de protección frente a riesgos para la seguridad personal, la privacidad y los datos personales, siempre que sean pertinentes para el servicio prestado (artículo 38 bis)

Como obligaciones formales adicionales a las establecidas por el Título VIII sobre medidas de seguridad del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (RDLOPD) se añaden:

- un inventario de violaciones de los datos personales a disposición de la AEPD cuyo contenido permita verificar el cumplimiento de las obligaciones de notificación indicadas anteriormente, con un contenido más amplio por tanto que el tradicional registro de incidencias

- procedimientos a disposición de las autoridades competentes, para la atención a solicitudes de acceso a datos personales por parte de autoridades legalmente autorizadas de forma que se pueda verificar la legalidad y proporcionalidad de la cesión, lo que constituye una novedad al no existir una obligación previa en el RDLOPD sobre la elaboración de un procedimiento o registro de cesiones de datos, sin perjuicio de que en muchas ocasiones y teniendo el cuenta el volumen y complejidad de las mismas ya se estaba realizando en numerosas entidades

- La posibilidad de que reglamentariamente se exija a los operadores someterse a una auditoría de seguridad realizada por un organismo independiente o por una autoridad competente, y de poner el resultado a disposición del Ministerio de Industria, Energía y Turismo.

Por otra parte, se modifican los artículos de la LSSI, relacionados con el régimen de comunicaciones comerciales por vía electrónica, quedando prohibidas aquellas en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación, lo que no hace sino reforzar la obligación ya recogida en el artículo 20.1 de identificar claramente las comunicaciones comerciales como tales y la persona física o jurídica en nombre de la cual se realizan. Así mismo se le atribuye mayor trascendencia a la prohibición de incitar al destinatario a visitar páginas de Internet en las que se incumplan los requisitos de identificación y condiciones de acceso y participación en ofertas promocionales, de forma que se trate de eludir las obligaciones establecidas en dicha regulación.

Respecto a la oposición al tratamiento de datos con fines promocionales o la revocación del consentimiento prestado para el mismo, siempre que las comunicaciones hayan sido enviadas por correo electrónico, el medio para ejercitarlas deberá ser necesariamente mediante la inclusión de una dirección electrónica válida donde poder hacerlo.

Por otro lado se exige el consentimiento del usuario para proceder al uso de archivos o programas informáticos, cookies, que almacenan información en el equipo de usuario y permiten que se acceda a ésta, reforzando lo que en la anterior regulación requería información clara y completa sobre su uso y finalidad así como ofrecer la posibilidad de ser rechazadas. Estos dispositivos pueden facilitar la navegación por la red pero con su uso pueden desvelarse aspectos de la esfera privada de los usuarios, por lo que es importante que los usuarios estén adecuadamente informados y dispongan de mecanismos que les permitan preservar su privacidad, sin embargo se permite el almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Por último quedan legitimados para interponer la acción de cesación, con el fin de obtener una sentencia que condene al demandado a cesar en la conducta contraria a la LSSI y a prohibir su reiteración futura, quienes puedan verse perjudicados por infracciones de las disposiciones del régimen de comunicaciones comerciales por vía electrónica, y entre ellos, los proveedores de servicios de comunicaciones electrónicas que deseen proteger sus intereses comerciales legítimos o los intereses de sus clientes.