Apliquem les lleis de LOPD, i el R.D.
La normativa d'aplicació obliga als titulars de fitxers registrats en l'agència a efectuar periòdicament una auditoria sobre els sistemes d'informació i instal·lacions de tractament de dades que verifiqui el compliment de les prescripcions legals, dels procediments i instruccions vigents en matèria de seguretat de dades.

El servei d'adaptació a la LOPD inclou:

• un diagnostico dels tipus de dades,
• l'assessorament,
• i establiment del pla d'actuació.

Espanya. Sanció per Spam. Cas real.
Inici
Reacció del destinatari
Breu anàlisi de la qüestió
Sanció imposada
Conclusió
Font: negocios.com

Llei de Serveis de la Societat de la Informació i el Comerç Eletrònic
Obligacions legals de la LSSI
Serveis prestats en assessoria de la LSSI
Infraccions
Sancionis
Prescripció
Font: www.delitosinformaticos.com

Com complir la LOPD?
Font: Auditoriasistemas

En aquest article anem a comentar un cas de recientísima resolució, espanyol, relacionat amb la LSSICE, en concret amb la sanció per enviament de spam.

Inici

L'empresa A, i amb data 19.9.3, remet un e-mail, entre unes altres, a l'empresa B. El contingut de l'e-mail versava sobre publicitat d'equips informàtics, per a la seva venda o lloguer, indicant-se en el mateix l'adreça del website d'aquesta empresa, juntament amb el seu e-mail, afegint al final d'aquest correu el següent text : "El seu e-mail prové d'una base de dades d'accés públic. Si no desitja rebre més informació de nosaltres, n'hi ha prou amb reexpedir aquest e-mail amb la paraula "eliminar de la seva base de contactes" en l'assumpte.".

Reacció del destinatari

L'empresa receptora i destinatària d'aquest correu electrònic, ni curta ni mandrosa, va interposar denúncia davant el Ministeri de Ciència i Tecnologia. El contingut d'aquesta denúncia, de forma sintètica, va anar el següent : Aportació de la capçalera de l'e-mail de l'empresa emissora de la publicitat ( per encapçalat ens referim al seu codi font ), i la següent manifestació ( la vam expressar literalment ) : "No he tingut cap relació amb aquesta empresa. No he sol·licitat mai que aquesta empresa m'enviï e-mails i en el propi l'autor reconeix que la meva adreça d'e-mail prové d'una base de dades pública".

Breu anàlisi de la qüestió

El Ministeri de Ciència i Tecnologia - MCyT des d'ara - va entendre que el fet il·lícit que es donava era el recollit en l'article 21º de la *LSSICE, el qual passem a transcriure literalment : "Queda prohibit l'enviament de comunicacions comercials o promocionals per correu electrònic o altre mitjà de comunicació electrònica equivalent que prèviament no haguessin estat sol·licitades o expressament autoritzades pels destinataris de les mateixes."

El precepte esmentat, encara que era el qual estava en vigor en l'època dels fets, ha estat modificat en l'actualitat, doncs la Llei General de Telecomunicacions li ha donat nova redacció - amb la finalitat d'adaptar-lo a la Directiva comunitària també en vigor -, consistint aquesta modificació, en síntesi, que aquesta publicitat serà lícita si l'adreça electrònica es va obtenir perquè el titular de la mateixa va ser client del remitent, i el contingut d'aquesta està relacionat amb l'activitat que va permetre la seva obtenció quan inicialment es van conèixer. A això s'afegeix que ha d'oferir-se al destinatari un mitjà gratuït i senzill per a oposar-se a seguir rebent més publicitat.

Encara que el remitent, en les seves al·legacions davant el MCyT esgrimeix i al·lega que amb la modificació de la LSSICE seria ja legal la seva conducta, la veritat és que no és així, doncs dita destinatària ha havia estat client anterior, amb la qual cosa no es dóna el supòsit que hagués convertit en legal aquesta actuació.

D'altra banda, al·lega igualment el denunciat que l'adreça es va obtenir de bases de dades d'accés públic, però la veritat és que la LSSICE no contempla dita suposada, i el més semblant que tenim en la nostra legislació és el previst en la LOPD ( Llei Orgànica de Protecció de Dades ) quan parla de les cridades fonts d'accés públic, però quan indica quins són no inclou a Internet, i a més, per si hagués dubte, ja la mateixa Agència de Protecció de Dades, en la seva Memòria anual de l'any 1.991 va afirmar el que hem acabat de dir : Internet no es considera font d'accés públic, però a més, encara que ho anés, això només convertiria en legal el tractament informàtic d'aquests e-mails, però no el seu ús per a enviament de publicitat.

Sanció imposada

En el procediment que comentem, cap interposar - si així s'optés per això, doncs no és obligatori, sinó una mera possibilitat que atorga la llei - un últim recurs davant el Ministeri, per a després d'ell, si es tornés a perdre, acudir a la via judicial.

De qualsevol forma, la sanció per la qual s'ha decantat el MCyT ha estat de 3.000 euros, la qual, si vam considerar que el fet considerat provat, l'enviament de spam conforme a l'article comentat, està previst en relació al mateix l'imposar una multa que podria arribar fins als 30.000 euros, es podria dir, en principi i amb matisos, que no ha estat una mica desproporcionat, encara que seria una mica opinable i més matizable, i se sortiria de l'objecte d'aquest article per l'extens.

No obstant, no està de més comentar o exposar els criteris que contempla la LSSICE amb vista a la graduació o aquilatamiento de l'import de les multes que si escau s'imposin, i aquests criteris són : existència o no d'intencionalitat; temps durant el qual s'ha estat cometent la infracció; reincidènciaa o no existent; naturalesa i quantia dels perjudicis causats; beneficis obtinguts per la infracció, i volum de facturació que afecti la infracció comesa.

Conclusió

Exceptuant el supòsit actual contingut en la modificació de la *LSSICE i exposat més amunt ( que hagin estat clients nostres amb anterioritat i la publicitat estigui relacionada amb el que va donar motiu a la contractació inicial, o bé - això no ha canviat - posseïm el seu consentiment exprés o autorització prèvia ), està clar que, almenys a Espanya, cal meditar més que molt l'enviament de publicitat via e-mail, sota pena de que puguem incórrer en infraccions d'enorme quantia. La comentada va ser petita ( 3.000 euros ) però unes altres podrien arribar als 30.000 ( sense entrar a analitzar altres circumstàncies que, també il·legals, podrien unir-se a l'enviament de dita *spam, les quals podrien incrementar fins a en 60 vegades l'import màxim indicat ). Conclusió : A qui prefereix pagar-li ?, al *MCyT o a un bon assessor legal que li informi de tot això i dels riscos ?. Jo sí sabria a qui ;)

Amb motiu de l'entrada en vigor de la Llei de Serveis de la Societat de la Informació i del Comerç Electrònic 34/2002, de11 de juliol, (des d'ara LSSI) sorgeixen una sèrie d'obligacions per a aquelles empreses que prestin serveis per les xarxes de telecomunicacions.

Aquesta Llei entrarà en vigor el 11 d'octubre , en virtut de l'establert en la Disposició Final Novena de la Llei.

Obligacions legals de la LSSI

Serveis prestats en l'asesoria de la LSSI

1. Anàlisis de l'estat en el qual es troba la seva empresa, examinar si s'adapta a les exigències de la LSSI.

2. Assessorament jurídic per a l'empreses s'adaptin a la LSSI.

3. Assessorament jurídic entorn de Responsabilitat dels Proveïdors de serveis d'Internet.

4. Redacció d'un informe relatiu als drets dels usuaris que accedeixen a aquests prestadors de serveis.

5. Assessorament jurídic en matèria de Contractació per via electrònica.

6. Assessorament jurídic en matèria de Comunicacions Comercials per via electrònica.

7. Assessorament jurídic en relació a l'elaboració, desenvolupament i implantació d'un document de seguretat d'acord amb les característiques i necessitats de la seva empresa.

8. Portar a terme una labor de manteniment i posada al dia de totes aquelles qüestions jurídiques sorgides com a conseqüència de la normativa de protecció de dades de caràcter personal.

Infraccions

Infraccions molt greus

• Incompliment de les ordres dictades pels òrgans competents quan un determinat servei de la societat de la informació atempti o pugui atemptar als principis recollits en l'art.8.
• L'incompliment de l'obligació de suspendre la transmissió, allotjament de dades accés a la xarxa...quan un òrgan competent ho ordeni, art.11.
• L'incompliment de l'obligació de retenir les dades de tràfic generats en les comunicacions electròniques, art.12.
• La utilització de dades retingudes, (art.12), per a fins distintes dels assenyalats.

Infraccions greus

• Incompliment del deure informació general (nom, denominació social, residència o domicili, adreça de correu electrònic, el preu del producte els serveis, impostos, despeses d'enviament).
• Enviament massiu de comunicacions comercials per correu electrònic o altre mitjà de comunicació electrònica, que els destinataris no hagin autoritzat.
• No posar a la disposició del destinatari les condicions generals a les quals se subjecti el contracte.
• Incompliment habitual de l'obligació de confirmar la recepció d'una acceptació. La resistència o negativa a l'actuació inspectora per part dels òrgans facultats.

Infraccions lleus

• No comunicar al registre públic el nom o noms de domini o adreces d'Internet.
• No informar de forma permanent, fàcil, directa i gratuïta sobre: les dades de la seva inscripció en el registre, les dades relatives a l'autorització en el cas d'estar subjecte, les dades en cas d'estar col·legiat, el nombre d'identificació fiscal, els codis de conducta.
• Incompliment de l'obligació que les comunicacions comercials siguin clarament identificables i que s'indiquin la persona física o jurídica en nom del com es realitzen, (contenir el començament del missatge la paraula "publicitat")
• L'enviament de comunicacions comercials no autoritzades o sol·licitades, quan no constitueixi falta greu.
• No facilitar la informació que es refereix l'article 27.1 en contractació per via electrònica.
• L'incompliment de l'obligació de confirmar la recepció en la contractació per via electrònica, quan no constitueixi una infracció greu.

Sancions

Les Sancions Greus i molt Greus: Publicació a costa del sancionat en el BOE, en dos periòdics.

Infraccions comeses per prestadors de serveis d'Estats no membres de la UE. : mesures necessàries per a impedir accés des d'Espanya màxim dos anys.

Prescripció

Infraccions

• Molt Greus: a els tres anys.
• Greus: a els dos anys.
• Lleus a els seis mesos

• Per faltes molt Greus: a els tres anys.
• Per faltes Greus: a els dos anys.
• Per faltes Lleus: a l'any.

Medides de carácter provissional

Supostes Infraccions Greus o Molt Greus

Finalitat Asegurar la eficacia de la resolució

Medidas

• Suspensió temporal de l'actividad, (o tancament provissional)
• Precinte, depósit o incautació de registres, soport i archius informàtics, aparells i equips informàtics.
• Advertir al públic de la incoació del expedient sancionador.

Adopció

• En casos d'urgencia es poden acordar abans de la iniciació del expedient sancionador.

Multa coercitiva

• L'órgan administratiu podrà imposar multes coercitives que no excedeixin de 6.000 euros por cada día que no es cumpleixin les medides provissionals.

Per a adaptar-se a les exigències legals es deuen realitzar diversos passos:

• Identificar els fitxers de dades que es manegen i determinar el nivell de seguretat aplicable.
• Redactar el Document de Seguretat en el qual es recullin les mesures adoptades en funció del nivell corresponent (el document de seguretat ha d'estar a la disposició de l'Agència de Protecció de Dades).
• Redactar i aplicar les clàusules i contractes que siguin necessaris en cas d'haver de recaptar el consentiment dels afectats o que existeixi tractament de dades per tercers.
• Notificar a l'Agència de Protecció de Dades l'existència del fitxer.

La finalitat de la auditoria és facilitar-li aquest procés indicant-li les mesures que deu adoptar i proporcionant-li els models de la documentació legalment exigida. D'aquesta manera Vè. podrà engegar la seva adaptació a les exigències legals sobre la base del material preparat per un equip d'advocats i experts informàtics que han realitzat nombrosos treballs d'implantació en empreses de la major complexitat.