areatrabajo06



Protección de datos y LSSI

1. ADECUACIÓN A LA LEY DE PROTECCIÓN DE DATOS PARA EMPRESAS.

En este apartado, GERMAR le ofrece los servicios de asesoría para la adecuación y cumplimiento de la ley de Protección de Datos y de la LSSI.

  • Protección de Datos de carácter personal.

La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999, de 13 de Diciembre, (en adelante LOPD) impone una serie de obligaciones legales para aquellas personas físicas o jurídicas que posean uno o varios ficheros con datos de carácter personal, tanto en soporte informático como en papel.

img-proteccion-datos

Así mismo, desde el 26 de Junio de 1999 estaba en vigor el Reglamento de Seguridad contenido en el R.D. 994/99 de 11 de junio, que desarrolla la mencionada Ley Orgánica y que establece la obligación de las empresas de poner en marcha diversas medidas destinadas a garantizar la protección de dichos datos, afectando a sistemas informáticos, archivos de soportes de almacenamiento, personal, procedimientos operativos, etc.

Además, existen otras disposiciones legales que complementan y desarrollan las aquí mencionadas y que se deben de contemplar.

IMPORTANTE: El 19 de abril de 2009 ha entrado en vigor el nuevo Reglamento que simg-proteccion-datos1ustituye y deroga al Reglamento de Seguridad contenido en el R.D. 994/99 de 11 de junio.

El nuevo Reglamento está en el REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Hay una serie de novedades en el nuevo Reglamento, que es necesario tener en cuenta y que hay que trasladar a las medidas de seguridad y al Documento de Seguridad de los ficheros existentes en la actualidad.

En el nuevo Reglamento que desarrolla la Ley Orgánica de Protección de Datos de carácter personal, podemos destacar de forma resumida los siguientes aspectos:

  • La norma acrecienta la seguridad jurídica y resolverá determinadas cuestiones o lagunas interpretativas que actualmente existen.
  • Se aplica también a los ficheros y tratamientos no automatizados (papel) y se fijan criterios específicos sobre las medidas de seguridad de los mismos.
  • Se garantiza que las personas, antes de consentir que sus datos sean recogidos y tratados, puedan tener un pleno conocimiento de la utilización que se vaya hacer de estos datos.
  • El interesado dispondrá de un medio sencillo y gratuito, para ejercitar su derecho de acceso, rectificación, cancelación y oposición, sin tener que usar correo certificado ni otros medios que le supongan un gasto adicional.
  • A los ficheros de solvencia, se debe informar en la firma de los contratos la posible inclusión, cancelar inmediatamente cuando la deuda haya sido pagada y para ser incluido ésta debe ser cierta, vencida y exigible en su impago.
  • Aunque la norma no es de aplicación a personas fallecidas, para evitar situaciones dolorosas a sus allegados se prevé que éstos puedan comunicar al responsable del fichero el fallecimiento y solicitar la cancelación de los datos.
  • Se prohíbe pedir o tratar datos de menores de catorce años sin el consentimiento de sus padres Si son mayores de esa edad, no se exige dicho consentimiento, salvo que sean actos que los menores de dieciocho años no puedan realizar sin permiso paterno. Además, si se pretende recoger datos con información relativa a los miembros del grupo familiar o sus características, será necesario que los titulares de los mismos den su consentimiento.
  • Para facilitar la asistencia sanitaria por el Sistema Nacional de Salud y facilitar la utilización de la tarjeta sanitaria individual, expresamente se aclara que no es necesario el consentimiento del interesado para la comunicación de datos sobre la salud, incluso a través de medios electrónicos, entre los distintos centros, cuando se realice para la atención sanitaria de las personas.
  • Se establece un régimen sistemático de las Transferencias Internacionales de datos introduciéndose en el Reglamento la opción de suspensión o revocación de una determinada transferencia que hubiera sido previamente autorizada por parte del Director de la Agencia Española de Protección de Datos cuando se hubiera dado incumplimiento o falta de garantías.

 

  • Incremento de medidas de seguridad:

 

  • Todos los datos derivados de la violencia de género pasan del nivel básico de seguridad a un nivel alto.
  • Pasan de un nivel básico a un nivel medio los ficheros de los que son responsables los operadores de servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas sobre datos de tráfico y de localización. Se exige establecer un registro de acceso a tales datos para determinar quien ha intentado acceder a estos datos, fecha y hora en que se ha intentado este acceso y si ha sido autorizado o denegado.
  • Pasan de un nivel básico a un nivel medio los ficheros de Entidades Gestoras y Servicios Comunes de la Seguridad Social que tengan relación con sus competencias y las mutuas de accidentes de trabajo y de enfermedades profesionales de la Seguridad Social. También pasan al nivel medio de seguridad los ficheros que contengan datos de carácter personal sobre características o personalidad de los ciudadanos que permitan deducir su comportamiento.
  • Sobre los datos personales incluidos en un nivel alto de seguridad, se incorpora la obligación de cifrar estos datos si se encuentran almacenados en dispositivos portátiles.
  • Bastará con aplicar las medidas de seguridad de nivel básico, en lugar de nivel alto, respecto a datos especialmente protegidos cuando sólo se utilicen para el pago de cuotas a las entidades de las que los titulares de los datos sean miembros. Lo mismo se permite respecto a los datos referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez, cuando tengan por única finalidad cumplir una obligación legal. Esto es particularmente aplicable a los datos relativos a la afiliación sindical o respecto a la salud en los ficheros de nóminas.

img-proteccion-datos2Para el cumplimiento de las nuevas medidas de seguridad se establece un régimen transitorio de implantación de las mismas a los ficheros y tratamientos actualmente existentes. En este caso, para los ficheros en soportes no automatizados se fijan plazos de un año, dieciocho meses y dos años para los niveles básicos, medio y alto, respectivamente.

Todos los ficheros, ya sean automatizados o no, que sean creados con posterioridad a la entrada en vigor del presente Reglamento tendrán que cumplir las medidas previstas, sin que exista ningún plazo transitorio de adaptación.

Sobre la potestad sancionadora de la Agencia Española de Protección de Datos, no se modifican las infracciones, sanciones o cuantía de las multas, pero sí se introduce un límite temporal de doce meses a la duración de la incoación de un expediente sancionador. Transcurrido ese plazo sin un procedimiento sancionador, estas actuaciones previas se entenderá como caducadas.

2. OBLIGACIONES DE LOS RESPONSABLES DE LOS FICHEROS.
  • Inscripción de los ficheros en el Registro General de la Protección de Datos. Artículo 26 LOPD.
  • Los datos de carácter personal han de ser recogidos por medios legales, leales y lícitos, y sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Artículo 4 LOPD.
  • Los datos de carácter personal han de ser exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado, y no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. Estos datos serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. Artículo 4 LOPD.
  • Redacción del documento de seguridad. " El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información." R.D 1720/2007, de 21 de diciembre.
  • Redacción de cláusulas de protección de datos. Artículo 5 LOPD. Auditoría. Artículo 96 y 110 R.D. 1720/2007, de 21 de diciembre.
  • Demás medidas de seguridad de índole técnica y organizativas necesarias para garantizar la seguridad de los datos objeto de tratamiento. Artículos 9 y 10 LOPD y R.D 1720/2007, de 21 de diciembre.
  • Redacción de los contratos, formularios y cláusulas necesarias para la recogida de datos, los tratamientos por terceros y las cesiones o comunicaciones de datos.
3. DERECHOS QUE OTORGA LA NORMATIVA DE PROTECCIÓN DE DATOS A LOS USUARIOS.
  • Derecho de información. Artículo 5 LOPD.
  • Necesidad de solicitud de su consentimiento. Artículo 6 LOPD.
  • La impugnación de valoraciones. Artículo 13 LOPD.
  • Derecho de consulta al Registro General de Protección de Datos. Artículo 14 LOPD.
  • Derecho de acceso, rectificación y cancelación de datos. Artículos 15, 16 y 17 LOPD.
  • Derecho de oposición. Artículo 17 LOPD.
  • Tutela de los derechos. Artículo 18 LOPD.
  • Derecho de indemnización. Artículo 19 LOPD.
4. NIVELES DE SEGURIDAD.

La ley identifica tres niveles de medidas de seguridad, BÁSICO, MEDIO y ALTO, los cuales deberán ser adoptados en función de los distintos tipos de datos personales (datos de salud, ideología, religión, creencias, infracciones administrativas, de morosidad, etc).

  • NIVEL BÁSICO
TIPO DE DATOS
- Nombre
- Apellidos
- Direcciones de contacto (tanto físicas como electrónicas)
- Teléfono (tanto fijo como móvil)
- Nº cuenta corriente
- Otros
MEDIDAS DE SEGURIDAD OBLIGATORIAS
- Documento de seguridad
- Régimen de funciones y obligaciones del personal
- Registro de incidencias
- Identificación y autenticación de usuarios
- Control de acceso
- Gestión de soportes
Copias de respaldo y recuperación
  • NIVEL MEDIO
TIPO DE DATOS
- Comisión infracciones penales
- Comisión infracciones administrativas
- Información de Hacienda Pública
- Información de servicios financieros
- Entidades Gestoras de la Seguridad Social
- Conjunto de datos que permitan evaluar la personalidad
- Datos de tráfico y de localización que tengan los operadores que presten servicios de comunicaciones electrónicas
MEDIDAS DE SEGURIDAD OBLIGATORIAS
- Medidas de seguridad de nivel básico
- Responsable de Seguridad
- Auditoría bianual
- Medidas adicionales de Identificación y autenticación de usuarios
- Control de acceso físico
- Medidas adicionales de gestión de soportes
- Pruebas sin datos reales
  • NIVEL ALTO
TIPO DE DATOS
- Ideología
- Religión
- Creencias
- Origen racial
- Salud
- Vida sexual
- Datos para fines policiales sin consentimiento
- Datos relativos a actos de violencia de género
MEDIDAS DE SEGURIDAD OBLIGATORIAS
- Medidas de seguridad de nivel básico y medio
- Seguridad en la distribución de soportes
- Registro de accesos
- Medidas adicionales de copias de respaldo
- Cifrado de telecomunicaciones

 

5. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. SANCIONES.

Se establecen una serie de sanciones a los responsables de los ficheros y a los encargados del tratamiento de los ficheros que contengan datos de carácter personal. Estas se clasifican en leves, graves y muy graves, atendiendo a la infracción cometida.

  • SANCIONES
LEVES
- Multa de 601,01 € a 60.101,21 € (100.000 a 10.000.000 de pesetas)
GRAVES
- Multa de 60.101,21 € a 300.506,05 € (10.000.000 a 50.000.000 pesetas)
MUY GRAVES
- Multa de 300.506,05 € a 601.012,10 € (50.000.000 a 100.000.000 de pesetas)

Es de vital importancia que las empresas que recojan datos de carácter personal se adecuen a la normativa de protección de datos ya que la Agencia de Protección de Datos es muy estricta e impone multas de elevada cuantía a todas aquellas que no la cumplan.

6. SERVICIOS PRESTADOS POR GERMAR EN PROTECCIÓN DE DATOS.

Incluye, entre otras, las siguientes prestaciones:

  1. Análisis del estado en el que se encuentra su empresa en materia de protección de datos de carácter personal.
  2. Asesoramiento jurídico en lo relativo al tratamiento y recogida de los datos de carácter personal, así como la gestión de los derechos de los titulares de los mismos.
  3. Redacción de un informe relativo a los derechos de los usuarios en relación con sus datos personales, concretamente, los derechos de acceso, oposición, cancelación y rectificación de los mismos.
  4. Notificación y registro de ficheros de datos personales a la Agencia de Protección de Datos de Carácter Personal.
  5. Asesoramiento jurídico en materia de cesión y/o comunicación de datos de carácter personal con otras empresas.
  6. Redacción de la cláusula de protección de datos a incluir en el formulario de recogida de los datos de su página web.
  7. Asesoramiento jurídico en la redacción de las cláusulas necesarias en los contratos para los tratamientos de los datos por terceros.
  8. Asesoramiento jurídico en materia de Transferencia Internacional de Datos a países miembros de la Unión Europea y a terceros países.
  9. Asesoramiento jurídico en torno a las medidas técnicas necesarias para cumplir con los requisitos propios del nivel de seguridad adoptado.
  10. Asesoramiento jurídico en relación a la elaboración, desarrollo e implantación de un documento de seguridad acorde con las características y necesidades de su empresa.
  11. Llevar a cabo una labor de mantenimiento y puesta al día de todas aquellas cuestiones jurídicas surgidas como consecuencia de los cambios y novedades en la normativa de protección de datos de carácter personal.
  12. Auditoría: El equipo de especialistas de GERMAR, analiza y estudia las vulnerabilidades de su empresa en todos los temas jurídicos relacionados con el uso de las Nuevas Tecnologías y la Sociedad de la información.

 

7. AUDITORÍA DE PROTECCIÓN DE DATOS.

img-proteccion-datos3Todo fichero automatizado que contenga datos personales debe tener implantadas las medidas de seguridad correspondientes al nivel de sensibilidad de los datos personales que contenga, tal y como establece el artículo 9 de la Ley Orgánica 15/99,de 13 de Diciembre, de Protección de Datos de Carácter Personal.

Estas medidas de seguridad, técnicas y organizativas, están reguladas en el Real Decreto 1720/2007, de 21 de diciembre.

Entre las obligaciones para los ficheros con medidas de seguridad de nivel medio y alto es necesario hacer mención a una muy importante que es la AUDITORÍA de protección de datos.

Los sistemas de información e instalaciones de tratamiento de datos deberán someterse a una auditoría interna o externa, que verifique el cumplimiento de las obligaciones, los procedimientos e instrucciones vigentes en materia de seguridad.

Esta obligación deberá cumplirse, como mínimo, cada dos años.

Por lo tanto, el objeto de la auditoría es verificar la adaptación de los ficheros automatizados de datos personales a las obligaciones impuestas, no sólo por la LOPD, sino también por el Reglamento de Medidas de Seguridad y las restantes disposiciones normativas que resulten de aplicación, en especial, a las medidas de seguridad y a los procedimientos llevados a cabo para la recogida y tratamiento de los datos personales GERMAR ofrece entre sus servicios, la realización de dichas auditorías avalados por la experiencia de nuestros profesionales.

  • Toda Auditoría de Protección de Datos debe seguir un desarrollo, a través de distintas fases que a continuación exponemos:
  1. Fase: Identificación de los datos personales.
    En ella se obtiene el mayor volumen de información posible, necesaria para poder desarrollar y elaborar la Política de Seguridad a seguir, así como para desarrollar el resto de fases de la auditoria. Tanto en esta fase como en las demás, nuestro equipo se desplazará a sus oficinas las veces que sean necesarias para completar con eficacia el proceso de auditoría.
  2. Fase: Nivel y medidas de seguridad aplicables.
    Una vez analizada toda la información, se procede a la determinación del nivel de medidas de seguridad que debe ser adoptado, en función del tipo de datos personales contenidos en los ficheros.
  3. Fase: Entrega del informe de auditoría.
    Llegado este momento, se redacta el Informe General de la Auditoría, en el que se detallan las medias a adoptar.
  4. Fase: Ejecución de la auditoría.
    Por último, y como consecuencia lógica de la labor anteriormente descrita, se procederá a la puesta en práctica de las medidas necesarias para la correcta adecuación a la normativa sobre protección de datos.

 

8. DOCUMENTO DE SEGURIDAD LOPD.

img-proteccion-datos4El documento de seguridad es una de las partes fundamentales de la protección de datos. Se trata de un documento mediante el cual se elaboran y adoptan las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal. Su adopción es de obligado cumplimiento para el responsable de cualquier fichero que contenga datos de carácter personal, o en su caso, del encargado del tratamiento.

Además, el documento de seguridad debe mantenerse actualizado, y revisado en el momento en el que se produzca cualquier cambio que afecte a su contenido.

¿Cuándo es obligatorio adoptar el documento de seguridad?
El Real Decreto 1720/2007,de 21 de diciembre, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal (en adelante R.D), establece que es obligatoria su adopción siempre que se traten datos personales, cualquiera que sea el nivel de seguridad al que correspondan.

¿Constituye alguna infracción la inexistencia del documento de seguridad?
Se considera una infracción grave "Mantener lo ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen" Artículo 43.3.h) Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (en adelante LOPD).

¿Dónde se encuentra el fundamento legal de la obligatoriedad de adopción del documento de seguridad?
El artículo 9 de la LOPD, establece en su párrafo 1 que "El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural".

¿Es obligatorio que los empleados conozcan la existencia y contenido del documento de seguridad o sólo concierne al responsable del fichero?
“Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad”. Artículo 89.1. del R.D 1720/2007.

Además, es responsabilidad del Responsable del fichero adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias en que pudieran incurrir en caso de incumplimiento. Artículo 89.2. del R.D 1720/2007.

En GERMAR le asesoramos y elaboramos el documento de seguridad correspondiente al nivel de seguridad de sus ficheros. El contenido del documento de seguridad será distinto según el nivel de seguridad correspondiente a cada fichero.

A modo de ejemplo se muestra a continuación un resumen del contenido de un documento de seguridad:

  • Contenido del documento de seguridad de nivel básico:
  1. El responsable del fichero elaborará e implantará la normativa de seguridad, mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.
  2. El documento deberá contener, como mínimo, los siguientes aspectos: Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
    • Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en el Reglamento.
    • Funciones y obligaciones del personal.
    • Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
    • Procedimiento de notificación, gestión y respuesta ante las incidencias.
    • Los procedimientos de realización de copias de respaldo y de recuperación de los datos.
    • Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.
  3. Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo.
  4. El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.
  5. El contenido del documento deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.
  • Contenido del documento de seguridad de nivel medio:

La identificación del responsable o responsables de seguridad. El responsable del fichero designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso esta designación supone una exoneración de la responsabilidad, que corresponde al responsable del fichero de acuerdo con este Reglamento.

  1. Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento. Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años.
  2. Procedimiento de notificación, gestión y respuesta ante las incidencias.
  3. Deberá establecerse un sistema de registro de entrada y salida de soportes informáticos. Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él, previamente a que se proceda a su baja en el inventario.
  • Contenido del documento de seguridad de nivel alto:

Además de las medidas de nivel básico y medio, se adoptarán las siguientes:

  1. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos, o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte.
  2. Registro de accesos.
    • De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.
    • En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.
    • Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos.
    • El período mínimo de conservación de los datos registrados será de dos años.
    • El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.
  3. Copias de respaldo y recuperación.
    • Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos, en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento.

 

LEY DE LA SOCIEDAD DE LA INFORMACIÓN. LSSI.
  • ADECUACIÓN Y CUMPLIMIENTO DE LA LSSI. OBJETO DE LA LSSI

La llegada e implantación de Internet y las nuevas tecnologías tropieza con algunas incertidumbres jurídicas, que es preciso aclarar con el establecimiento de un marco jurídico adecuado, que genere en todos los actores intervinientes la confianza necesaria para el empleo de este nuevo medio.

La presente Ley tiene como objeto regular jurídicamente determinados aspectos de los servicios de la sociedad de la información, en particular, el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico). Asimismo, regula una acción de cesación contra las conductas que contravengan lo dispuesto en esta Ley acciones de cesación en materia de protección de los intereses de los consumidores, lo que la ley pretende es regular, en la mayor medida posible, las actividades de a sociedad de la información.

  • ÁMBITODE APLICACIÓN DE LA LSSI

La Ley se aplica a todas las actividades que se realicen por medios electrónicos y tengan carácter comercial o persigan un fin económico.

La Ley se aplica tanto a las páginas web en las que se realicen actividades de comercio electrónico como a aquéllas que suministren información u ofrezcan servicios de forma gratuita para los usuarios, cuando constituyan una actividad económica para su titular.

Existe actividad económica cuando su responsable recibe ingresos directos, por las actividades de comercio electrónico que lleve a cabo, o indirectos, ya sea por publicidad o patrocinio derivados de la actividad que realice por medios electrónicos.

En principio, la LSSI no se aplica a las actividades realizadas sin ánimo de lucro, como las de los partidos políticos, sindicatos, asociaciones, ONGs, etc, en cuanto no constituyan una actividad económica o comercial.

Desde un punto de vista subjetivo, la Ley se aplica, con carácter general, a los prestadores de servicios establecidos en España. La ley explica que se entiende por «establecimiento» y cómo afecta a los servicios de la sociedad de la información procedentes de otros países pertenecientes al Espacio Económico Europeo y no pertenecientes al Espacio Económico Europeo.

  • CONTENIDOS PRINCIPALES

Se acoge, en la Ley, un concepto amplio de «servicios de la sociedad de la información», que engloba, además de la contratación de bienes y servicios por vía electrónica, el suministro de información por dicho medio (como el que efectúan los periódicos o revistas que pueden encontrarse en la red), las actividades de intermediación relativas a la provisión de acceso a la red, a la transmisión de datos por redes de telecomunicaciones, a la realización de copia temporal de las páginas de Internet solicitadas por los usuarios, al alojamiento en los propios servidores de información, servicios o aplicaciones facilitados por otros o a la provisión de instrumentos de búsqueda o de enlaces a otros sitios de Internet, así como cualquier otro servicio que se preste a petición individual de los usuarios (descarga de archivos de vídeo o audio ... ), siempre que represente una actividad económica para el prestador.

Estos servicios son ofrecidos por los operadores de telecomunicaciones, los proveedores de acceso a Internet, los portales, los motores de búsqueda o cualquier otro sujeto que disponga de un sitio en Internet a través del que realice alguna de las actividades indicadas, incluido el comercio electrónico.

La Ley establece las condiciones en las que los prestadores de servicios deberán comunicar al Registro Público en que estén inscritos, el nombre de dominio o dirección de Internet que empleen para su identificación en Internet.

La Ley establece, asimismo, las obligaciones y responsabilidades de los prestadores de servicios que realicen actividades de intermediación como las de transmisión, copia, alojamiento y localización de datos en la red. En general, éstas imponen a dichos prestadores un deber de colaboración para impedir que determinados servicios o contenidos ilícitos se sigan divulgando.

Las responsabilidades que pueden derivar del incumplimiento de estas normas no son sólo de orden administrativo, sino de tipo civil o penal, según los bienes jurídicos afectados y las normas que resulten aplicables. Destaca, por otra parte, en la Ley, su afán por proteger los intereses de los destinatarios de servicios, de forma que éstos puedan gozar de garantías suficientes a la hora de contratar un servicio o bien por Internet.

Con esta finalidad, la Ley impone a los prestadores de servicios la obligación de facilitar el acceso a sus datos de identificación a cuantos visiten su sitio en Internet, la de informar a los destinatarios sobre los precios que apliquen a sus servicios y la de permitir a éstos visualizar, imprimir y archivar las condiciones generales a que se someta, en su caso, el contrato.

Cuando la contratación se efectúe con consumidores, el prestador de servicios deberá, además, guiarles durante el proceso de contratación, indicándoles los pasos que han de dar y la forma de corregir posibles errores en la introducción de datos, y confirmar la aceptación realizada una vez recibida.

En lo que se refiere a las comunicaciones comerciales, la Ley establece que éstas deban identificarse como tales, y prohíbe su envío por correo electrónico u otras vías de comunicación electrónica equivalente, salvo que el destinatario haya prestado su consentimiento.

Se favorece igualmente la celebración de contratos por vía electrónica, al afirmar la Ley, de acuerdo con el principio espiritualista que rige la perfección de los contratos en nuestro Derecho, la validez y eficacia del consentimiento prestado por vía electrónica, declarar que no es necesaria la admisión expresa de esta técnica para que el contrato surta efecto entre las partes, y asegurar la equivalencia entre los documentos en soporte papel y los documentos electrónicos a efectos del cumplimiento del requisito de «forma escrita» que figura en diversas leyes.

Se aprovecha la ocasión para fijar el momento y lugar de celebración de los contratos electrónicos, adoptando una solución única, también válida para otros tipos de contratos celebrados a distancia, que unifica el criterio dispar contenido hasta ahora en los Códigos Civil y de Comercio.

Las disposiciones contenidas en esta Ley sobre aspectos generales de la contratación electrónica, como las relativas a la validez y eficacia de los contratos electrónicos o al momento de prestación del consentimiento, serán de aplicación aun cuando ninguna de las partes tenga la condición de prestador o destinatario de servicios de la sociedad de la información.

La Ley promueve la elaboración de códigos de conducta sobre las materias reguladas en esta Ley, al considerar que son un instrumento de autorregulación especialmente apto para adaptar los diversos preceptos de la Ley a las características específicas de cada sector.

Por su sencillez, rapidez y comodidad para los usuarios, se potencia igualmente el recurso al arbitraje y a los procedimientos alternativos de resolución de conflictos que puedan crearse mediante códigos de conducta, para dirimir las disputas que puedan surgir en la contratación electrónica y en el uso de los demás servicios de la sociedad de la información.

Se favorece, además, el uso de medios electrónicos en la tramitación de dichos procedimientos, respetando, en su caso, las normas que, sobre la utilización de dichos medios, establezca la normativa específica sobre arbitraje.

De conformidad con lo dispuesto en las Directivas 2000/31/CE y 98/27/CE, se regula la acción de cesación que podrá ejercitarse para hacer cesar la realización de conductas contrarias a la presente Ley que vulneren los intereses de los consumidores y usuarios. Para el ejercicio de esta acción, deberá tenerse en cuenta, además de lo dispuesto en esta Ley, lo establecido en la Ley general de incorporación de la Directiva 98/27/CE.

La Ley prevé, asimismo, la posibilidad de que los ciudadanos y entidades se dirijan a diferentes Ministerios y órganos administrativos para obtener información práctica sobre distintos aspectos relacionados con las materias objeto de esta Ley, lo que requerirá el establecimiento de mecanismos que aseguren la máxima coordinación entre ellos y la homogeneidad y coherencia de la información suministrada a los usuarios.

Asimismo, se contempla en la Ley una serie de previsiones orientadas a hacer efectiva la accesibilidad de las personas con discapacidad a la información proporcionada por medios electrónicos, y muy especialmente a la información suministrada por las Administraciones públicas, compromiso al que se refiere la resolución del Consejo de la Unión Europea de 25 de marzo de 2002, sobre accesibilidad de los sitios web públicos y de su contenido.

  • INFRACCIONES Y SANCIONES

Finalmente, se establece un régimen sancionador proporcionado pero eficaz, como indica la Directiva 2000/31/CE, para disuadir a los prestadores de servicios del incumplimiento de lo dispuesto en esta Ley.

La imposición de sanciones por el incumplimiento de lo previsto en la LSSI corresponde al Ministerio de Industria, Turismo y Comercio en los términos previstos por el artículo 43 de la Ley. Las infracciones y sanciones previstas por el incumplimiento de las obligaciones establecidas en la LSSI son las que se recogen en el cuadro siguiente:

LEVES
- Multa hasta 30.000 euros
GRAVES
- Muelta de 30.001 a 150.000 euros
MUY GRAVES
- Multa de 150.001 a 600.000 euros

La Ley otorga las funciones de supervisión y control de la misma al Ministerio de Industria, Turismo y Comercio. En esta función de control podrá llevar a cabo las actuaciones inspectoras que sean precisas.

La potestad sancionadora viene atribuida por la Ley, en el caso de infracciones muy graves, al Ministro de industria, Turismo y Comercio, y en el caso de graves y leves al Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información.

Dicha potestad sancionadora se llevará a cabo de conformidad con el procedimiento establecido en la Ley 30/1992 de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, y en sus normas de desarrollo en la materia, especialmente el RD 1398/1993 que regula el procedimiento para el ejercicio de la potestad sancionadora.