Seguimos con la segunda parte de la trilogía sobre leyes, tras mi primer artículo Leyes I: Proyectos digitales y RGPD.

Un aspecto muy importante que tenemos que tener claro, a la hora de conocer qué leyes tenemos que cumplir, es la ubicación que se tiene en cuenta para su aplicación. Si se trata del lugar donde se encuentra nuestra empresa o si por el contrario, es donde se encuentra el cliente. Así, por ejemplo, la GDPR tiene en cuenta el país de residencia del usuario, no la sede de la compañía que da el servicio, ni siquiera, dónde están alojados sus servidores. Por tanto, una empresa americana, con un hosting ubicado en China, que de un servicio a un francés, tendrá que cumplir con la GDPR, que ampara a todos los ciudadanos europeos.

Además de la normativa europea anteriormente mencionada tenemos otras muchas directrices que tenemos que conocer y cumplir. Estos son algunos ejemplos de las Leyes españolas que pueden regir nuestro proyecto, dependiendo de la naturaleza del mismo.

La Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico

Sin duda es una de las leyes más importantes que tenemos que tener en cuenta. También es muy conocida como LSSI. Esta 100% enfocada a los proyectos digitales y creada expresamente para este ámbito.

En ella se determinan aspectos como la famosa política de Cookies. El origen de este artículo viene de una directiva de la Unión Europea del año 2009, Directiva 2009/136/CE, en la que recoge: “Puede que haya terceros que deseen almacenar información sobre el equipo de un usuario o acceder a información ya almacenada, con distintos fines, que van desde los fines legítimos (como algunos tipos de cookies) hasta aquellos que suponen una intrusión injustificada en la esfera privada (como los programas espía o los virus). Resulta, por tanto, capital que los usuarios reciban una información clara y completa cuando realicen una acción que pueda dar lugar a dicho almacenamiento u obtención de acceso“. En el año 2012 la LSSI lo incluye en el artículo 22.2 vía el Real Decreto 13/2012, con el siguiente texto: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos“.

Las cookies son unos ficheros de texto que se almacenan en el ordenador y que pueden tener información del usuario, por ejemplo, su nombre o un identificador en una página web. Muchas webs necesitan estos datos para poder operar, por ejemplo, para permitir el acceso a partes restringidas. La publicidad también lo usa con frecuencia, así puede saber que anuncios ha visto el usuario o que gustos tiene y que publicidad le tiene que mostrar. Los datos que almacenan normalmente son ofuscados y tan solo son accesibles por la página web que los ha creado. Por tanto, las cookies por si no son peligrosas.

Entonces, si no es peligroso, ¿no pasa nada si omitimos el aviso? Pese a tener un riesgo bajo, como todo en informática, siempre entraña algún riesgo y en consecuencia una sanción. En caso de incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos nos exponemos a una sanción leve de hasta 30.000 euros y en caso de un incumplimiento significativo, sería una sanción grave de hasta 150.000 euros.

Las multas por incumplimiento de la LSSI pueden llegar a 150.000 euros

La LSSI también rige la contratación electrónica y la publicidad digital, por correo electrónico o por cualquier otro medio análogo.

En al ámbito de la publicidad la norma especifica la información imperativa que se tiene que mostrar en las comunicaciones, indicando claramente que se trata de mensajes publicitarios. Además de dejar claro cómo se puede dar de baja un usuario para no recibir dichos envios. En este sentido se pueden producir infracciones como la de una discoteca de Madrid , querecibió una sanción de 600 euros por enviar publicidad por WhatsApp. Según la Agencia Española de Protección de Datos “en el WhatsApp mostrado por el denunciante no cumple con lo expuesto en el artículo 21.2 de la LSSI, que señala “el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija”.

Otro ejemplo de sanción por envío de publicidad no solicitada fue el caso de la empresa Easyvoyage SAS. Un usuario denunció que “está recibiendo correos electrónicos de Easyvoyage SAS negando haberse suscrito a ningún boletín alguno ni conocer previamente a la entidad.“, además “ha solicitado la cancelación de sus datos personales a Easyvoyage, solicitud que ha sido recibida por la entidad, pese a lo cual continúa recibiendo correos comerciales“, pese a lo cual seguía recibiendo un correo diario de la empresa francesa. Por todo esto la Agencia impuso por una infracción del artículo 21.1 de la LSSI, tipificada como grave en el artículo (38.3.c) de la LSSI, una multa de 20.000 euros.

Otras leyes además de la LSSI

La Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias (Real Decreto Legislativo 1/2007, de 16 de noviembre).

Si el sector es el de la salud, la Ley de garantías y uso racional de los medicamentos y productos sanitarios (Ley 29/2006, de 26 de julio).

Si el sector es el relativo al tabaco o tenemos publicidad sobre estos productos, la Ley de medidas sanitarias frente al tabaquismo y reguladora de la venta, el suministro, el consumo y la publicidad de los productos del tabaco (Ley 42/2010, de 30 de diciembre).

Si tenemos una página de apuestas o un casino, la Ley de 27 de mayo, de regulación del juego (Ley 13/2011).

Quiero montar un e-commerce, ¿qué leyes me afectan?

A grosso modo, si queremos iniciar, por ejemplo, una tienda online tendremos que tener presentes:

La GDPR en cuanto a los datos personales que estaremos tratando.

La Ley de Ordenación del Comercio Minorista que obliga a informar al cliente antes de hacer la compra de una serie de elementos, los cuales además tienen que ser aceptados por el usuario para finalizar el proceso.

Entre la información que se debe facilitar se encuentra los datos identificativos del vendedor junto con su dirección. Se tiene que indicar si el vendedor está adherido a una entidad de arbitraje extrajudicial de resolución de conflictos. Como puede ser el caso de Confianzaonline.es, una plataforma de resolución de disputas entre clientes y empresas.

Del producto tendremos que conocer sus características básicas. Su precio, además de indicar los impuestos correspondientes y en caso de contar con gastos de envío se tiene que especificar el importe, además de informar cómo se realiza el pago. Una explicación de cómo es el proceso de entrega y de las posibles alternativas.

Cual es el de derecho de desistimiento o resolución. En caso de tratarse de una oferta cual es su periodo de validez. En caso de tratarse de un contrato, cual es la duración mínima si se trata del suministro de productos de forma repetitiva.

Cuando el bien adquirido puede ser sustituido por parte del vendedor por uno de calidad y precio similar, como es el caso de los supermercados online, que ofrecen esta alternativa cuando no disponen de un producto en stock.

En mi experiencia he visto casos de sanciones por motivos tan banales como no indicar si el precio mostrado incluía los impuestos o no. Esto pese a a tratarse de una página informativa y no de una tienda online. Otra sanción fue impuesta argumentando la falta de claridad en la información de la compañía, pese a contar también con una sección describiendo las empresas que formaban el grupo que fue multado.

La Ley General de Defensa de los Consumidores y Usuarios deja clara una serie de practicas que son abusivas, como por ejemplo, permitir la modificación del precio al entregar un producto o elevar el coste del mismo a criterio del vendedor. Tampoco se permite penalizar al cliente por ejercitar su derecho desistimiento. El proporcionar fechas indicativas, que dejan al libre arbitrio de la empresa cuando se entrega el producto. Retener cantidades abonadas durante la compra si el usuario se echa para atrás sin proporcionar una cantidad equivalente al cliente en caso de ser el empresario el que desista.

La Ley de Servicios de la Sociedad de la Información, mencionada anteriormente, obliga a que el vendedor confirme al cliente que se ha realizado la operación y cuales son las condiciones. Esto se puede hacer mediante una página web, que permita su impresión o almacenamiento, o por correo electrónico, en un plazo máximo de 24 horas a la compra.

El “periodo de reflexión” de 14 días permite devolver cualquier compra sin justificación

Normativa de la Unión Europeaen referencia a las devoluciones. Dejando a un lado la obligación de reparar, sustituir, hacerte un descuento o reembolsarte el importe abonado, si el producto que has comprado está defectuoso o no es o no funciona según lo anunciado tenemos que prestar atención en el “periodo de reflexión” de 14 días, a los que todos los consumidores tienen derecho, pudiendo devolver cualquier compra sin justificación. Durante estas dos semanas cualquier compra realizada fuera de un establecimiento comercial, ya sea de forma online, por teléfono o por correspondencia, brinda al cliente la posibilidad de anular la compra y de proceder con la devolución. No tiene que justificarlo de ninguna manera, simplemente puede alegar que se lo ha pensado mejor. Si bien es cierto que este derecho no se aplica al 100% de los negocios. Existen excepciones. Algunas, sin ser todas, son los transportes, entradas a eventos, reservas de alojamiento o de alquiler de coches. También están excluidos los contenidos digitales, ya descargado o visualizados así como las compras entre particulares.

El Código Civil también recoge en sus artículos aspectos que son necesarios ser conocidos, como el momento exacto en que un contrato empieza a existir. También de la responsabilidad de las consecuencias, que de buena fe, conllevan todos los contratos. Como mencionaré más adelante, un contrato electrónico tiene la validez que uno fijo, con las mismas obligaciones, siempre que cumpla con el principio del Código Civil que indica que será así siempre que ésas no sean contrarias a las leyes, a la moral ni al orden público.

Se tiene que tener mucho cuidado con cumplir con todas las obligaciones de las devoluciones, ya que en caso de algún incumplimiento, como es el plazo de 30 días, el cliente puede solicitar que se le devuelva el doble de la cantidad adeudada, además de una indemnización por daños y perjuicios si fuera procedente, según la Ley sobre condiciones generales de contratación.

A todas estas, obviamente, toca sumar todas las regulaciones tradicionales que son inherentes a cualquier negocio.

Podemos ver como artículos de una ley modifican los de otra. Por ejemplo, cuando necesitamos definir la competencia judicial internacional y las leyes aplicables conforme al Derecho Internacional Privado, basándonos en el lugar donde se celebra el contrato electrónico podríamos entender, según el Código Civil y el Código de Comercio, que el contrato se presume celebrado en el sitio donde se hizo la oferta. Ahora bien, la LSSI modifica este precepto indicando que los contratos celebrados por vía electrónica con un consumidor, no entre empresas, presumirán como lugar de celebración aquel donde el cliente tenga su residencia habitual. Por esta complejidad de artículos y de correcciones entre ellos, es por lo que es muy aconsejable contar con el asesoramiento de profesionales del derecho.

Si incumplimos cualquiera de estas leyes nos podemos estar arriesgando a sanciones muy considerables (que pueden llevar a la quiebra a un negocio). Los organismos pueden actuar tanto por denuncias de usuarios como de oficio, sin necesidad de que medie denuncia alguna.

Un ejemplo de estas sanciones son las impuestas a dos subcontratas de Jazztel por llamadas reiteradas de los teleoperadores. Sendas multas de 30.000 euros. La primera, a raíz de la denuncia de un particular, quien pese a estar en la Lista Robinson y haber solicitado la exclusión de sus datos a la compañía, seguía recibiendo llamadas.

Fuera de nuestras fronteras, el caso más sonado de filtración de datos de los últimos años, se ha producido de la mano de Facebook. La red social hizo publico que los datos de 87 millones de usuarios se vieron comprometidos por el caso de Cambidge Analytica. Por este motivo, el organismo regulador de protección de datos de Reino Unido (ICO), ha multado con 500.000 libras a la compañía americana. Elizabeth Denham, Comisionada de Información, ha declarado que “Facebook no ha brindado los tipos de protecciones que se les exige que cumplan con las leyes de protección de datos“.

Tenemos que tener presente que un contrato que establecemos de forma online con un cliente tiene la misma validez que uno por escrito. Se trata por tanto de pruebas admisibles en un juicio siempre y cuando se presente de la forma adecuada. Es por tanto recomendable usar para este fin empresas certificadoras intermediaras. La contratación electrónica se rige por los principios de neutralidad tecnológica, de información, de libertad de forma, de equivalencia contractual, de buena fe y de libertad contractual

Deja un comentario