Introducción
El
enfoque de la legislación de las comunicaciones electrónicas no deseadas (Spam) apunta a cumplir
diversas finalidades. En el Perú, ha sido regulada desde una doble perspectiva:
a fin de regular la comunicación por correos
electrónicos no deseados, y vía otras disposiciones en materia comercial sobre publicidad y protección al consumidor. Contrariamente,
dos de las Directivas Europeas se han orientado a la regulación de la protección de los datos personales y
mediante diversas formas de comunicación
electrónica no deseada.
1. El Correo
electrónico no deseado (Spam) en el Perú.
La
Ley N° 28493, su modificatoria N° 29246 y
su Reglamento D.S Nº 031-2005-MTC han
regulado mas la forma - correo electrónico -, las actividades publicitarias y
el consumidor, que la persona a la cual son dirigidos los mensajes.
Estas normas han fijado
el: a.- Objeto, b.- Derechos, c.- Obligaciones, d.- Ilegalidades y
Prohibiciones, e.- Responsabilidad y Compensaciones, f.- Autoridad Competente, Infracciones y Sanciones[1]. Estas reglas merecen
un g. breve comentario.
a.- Objeto.-
La Ley y su Reglamento norman el envío de
comunicaciones comerciales publicitarias o promocionales no solicitadas,
realizadas por correo electrónico, sin perjuicio de la aplicación de otras
disposiciones vigentes en materia comercial sobre publicidad y protección al
consumidor.
La Ley diferencia el correo electrónico simple
del comercial por su contenido: “1/ de
información comercial publicitaria o promocional de bienes y servicios de una
empresa, organización, persona o cualquier otra, 2/ con fines lucrativos. El Reglamento incluye en la primera: la información sobre eventos, certámenes y/o
actividades, comercializados, ofrecidos, patrocinados u organizados por
personas naturales o jurídicas; precisando que: no serán considerados correos electrónicos comerciales aquellos
mensajes destinados a la promoción o fomento de actividades, eventos u otros
remitidos por las entidades públicas del Estado o los remitidos por las
asociaciones o fundaciones sin fines de lucro a sus asociados o miembros. (R-Artículo 5º).
Esta afirmación
puede ser objeto de controversia: aún sin que éstas actividades tengan fines
lucrativos, cómo discernir entre la información enviada por correo electrónico
no deseado orientado de promoción de actividades, eventos u otros remitidos por
entidades públicas del Estado, de mensajes políticos proselitistas, personales
o partidarios, y aquellas de eventos o actividades educativas o de promoción
social?
La
Ley determina el proveedor
del servicio de correo electrónico, como “toda persona natural o
jurídica que provea el servicio de correo electrónico y que actúa como
intermediario en el envío o recepción del mismo”.
También, define como dirección de
correo electrónico la: “serie de caracteres utilizado para identificar el
origen o el destino de un correo electrónico”.
El Reglamento agrega otras definiciones sobre los
sujetos de la relación: Beneficiario
de la publicidad o Anunciante; Remitente, persona natural o jurídica,
por cuenta e interés propio o intermediario; Proveedor del servicio de Internet
o de cuenta de Correo Electrónico; y Receptor, persona natural o jurídica que recibe uno o más mensajes
de correo electrónico. Pero también, sobre los Campos del Correo: Remitente (De o From), o Asunto (Subject).
Salvo prueba
en contrario, el Reglamento presume como Remitente a la persona natural o jurídica titular de la dirección de correo electrónico
que figura en el campo del remitente ("De" o "From") del
mensaje. Por el contrario, la definición de Proveedor del servicio de
correo electrónico no comprende a los Proveedores del medio de transmisión
(Telecomunicaciones) ni a los proveedores del servicio de conmutación de datos
por paquetes que permiten el acceso al servicio de Internet.
Finalmente,
es considerado como Correo Electrónico Comercial No Solicitado el que “ha
sido dirigido o enviado por el remitente sin que medie el pedido o
consentimiento expreso del receptor”.
La interpretación contrario sensu: será considerado como Correo Electrónico
Comercial Solicitado: el envío de mensajes de aquellos remitentes que tengan
una relación contractual previa con el receptor o usuario, siempre y cuando se
envíe comunicaciones comerciales referentes a bienes o servicios de la empresa
del remitente y tengan relación con los servicios inicialmente contratados.
b.-
Derechos.-
La Ley (L-Artículo 3º) reconoce como derechos de los usuarios:
a) Rechazar o no la recepción de correos electrónicos
comerciales. El Reglamento señala que éste debe ser: en forma expresa, utilizando
la dirección de un correo electrónico válido y activo de respuesta u otro
mecanismo basado en Internet o el medio que considere conveniente. Entiéndase
por rechazo de la recepción del correo electrónico al rechazo tanto al
remitente como al contenido del mensaje.
El simple reenvío del
correo electrónico comercial al remitente constituirá rechazo expreso. (R-Artículo 10º)
b) Revocar la autorización de
recepción (El R-Artículo 10º indica: en cualquier momento), salvo cuando
dicha autorización sea una condición esencial para la provisión del servicio de
correo electrónico. La interpretación de este inciso es discutible: si el envío de spam está condicionado al otorgamiento
de una dirección electrónica, es obvio que la autorización implica su uso;
contrariamente, en caso de revocación, se revocara el uso de la dirección
electrónica asignada, y consecuentemente la autorización de recepción de spam.
c) Disponer que el proveedor
de los servicios de correo electrónico cuente con sistemas o programas que
filtren los correos electrónicos publicitarios o promocionales no solicitados.
Pareciera una afirmación perversa: no habría mayor problema si el
remitente o el titular de la publicidad y el proveedor del correo electrónico
convergen en intereses o tienen lazos contractuales; si no es el caso, se
estaría obligando al proveedor del correo electrónico de buena fe, de cualquier
persona a establecer sistemas o aplicativos de filtro o bloqueo, con las
consecuentes lesiones previsibles de optar por seguir recibiendo spam, migrar a un proveedor de correo
electrónico que reúna estos requisitos o adquirir un programa informático Ad hoc.
La
ley N° 29246 modificatoria de la ley N° 28493, incluye un cuarto literal:
a) El reenvío del correo
electrónico al emisor del correo electrónico comercial no solicitado, con la
copia respectiva a la cuenta implementada por el INDECOPI.
Dicho reenvío sea considerado como prueba de que el usuario rechaza la recepción de correos electrónicos comerciales no deseados.
c.- Obligaciones.-
Todo correo electrónico comercial, no
solicitado, originado en el país, debe contener (L-Artículo 5º de la
Ley):
a) La
palabra PUBLICIDAD en el campo asunto (o subject) del mensaje. El R-Articulo 8º precisa que debe ser incluida: al inicio del texto; tratándose de correos electrónicos con
contenidos exclusivo para adultos, la mención: Publicidad para adultos; de manera clara, legible, sin errores ni defectos
ortográficos y sin la inclusión de caracteres ajenos a los mismos.
b) Nombre o denominación social, domicilio completo y dirección de correo
electrónico de la persona natural o jurídica que emite el mensaje. El R-Articulo 8º indica
que estos mismos datos deben ser consignados
en la parte inferior del mensaje de manera legible incluyendo necesariamente el
nombre de una persona de contacto.
c) La inclusión de una dirección de correo electrónico válido y activo de
respuesta para que el receptor pueda enviar un mensaje para notificar su voluntad
de no recibir más correos no solicitados o la inclusión de otros mecanismos
basados en Internet que permita al receptor manifestar su voluntad de no
recibir mensajes adicionales.
El
R-Artículo 8º ordena la aplicación de dos tipos de medidas,
sujeta a dos condiciones:
c.1. que
exista coincidencia entre el titular de la referida dirección de correo
electrónico o los mecanismos basados en Internet y el remitente del mensaje, y;
c.2. que los
mecanismos de respuesta implementados se encuentren operativos y en plena
capacidad de recibir la notificación de los usuarios de no recibir correos
comerciales no solicitados como mínimo dentro de los treinta (30) días hábiles
siguientes luego de enviado el mensaje, utilizando los mecanismos previstos por
ley.
El Reglamento afirma que esta es una
obligación de los remitentes, de los proveedores del servicio de correo
electrónico (R-Artículo 12º); y
en su caso de los beneficiarios de la publicidad, como también aquella de: Eliminar de su base de datos a los titulares
de cuentas de correo electrónico que rechazaron el mensaje o de aquellos que
habiendo dado su consentimiento manifiestan, posteriormente, su voluntad de no
seguir recibiendo ese tipo de mensajes. (Artículo 11º)
El
R-Artículo 6º libera de esta obligación a los remitentes que tengan una
relación contractual previa con el receptor o usuario y que cuenten con
autorización previa, expresa y por escrito para efectuar el envío de correos
electrónicos comerciales.
Ni
la Ley ni el Reglamento han previsto alternativas para los usuarios de correos
electrónicos y comerciantes nacionales respecto de competencia desleal, cuando
los contenidos de spam no son
originados en el país, aun cuando estos pudieran ser legales o autorizados
fuera del país.
d.- Ilegalidad y Prohibiciones.-
El artículo L-Artículo 6° establece, la ilegalidad del correo electrónico comercial no solicitado en los
siguientes casos:
a) Cuando no cumpla con alguno de los requisitos establecidos en el
artículo 5º de la presente ley;
b) Contenga nombre falso o información falsa que no identifique a la
persona natural o jurídica transmisora del mensaje; el Reglamento apunta que se refiere al
remitente de dicho mensaje (Artículo 9º).
c) Contenga información falsa o engañosa en el campo del “asunto” (o
subject), que no coincida con el contenido del mensaje.
d) Se envíe o transmita a un receptor que haya formulado el pedido para que
no se envíe dicha publicidad, luego del plazo de dos (2) días; según el Reglamento dos (2) días hábiles. (Artículo
9º).
La
modificatoria de la ley N° 28493, Ley N° 29246, adiciona en el art. 6°:
En este
caso, el receptor o usuario queda expedito para presentar su denuncia cuando reciba el correo electrónico
comercial no solicitado luego de haber expresado su rechazo mediante el reenvío
señalado en el literal d) del artículo 3° de la presente Ley, o por cualquier
otra forma equivalente, debiendo adjuntar a su denuncia copia del correo
electrónico de dicho rechazo y del nuevo correo enviado por el remitente.
El
Artículo 13º del Reglamento, Prohibiciones, establece cuales son éstas en aplicación de
la Ley y del propio Reglamento:
1.
El uso de medios que
permitan facilitar la recolección de direcciones electrónicas sin autorización
previa de sus dueños, tales como la comercialización de bases de datos de
direcciones de correo electrónico.
2.
Realizar
manipulaciones técnicas sobre el Campo del Asunto a fin de evitar los sistemas
y programas de bloqueo y/o filtro.
3.
La implementación y
uso ilegal de software, sistemas, programas o cualesquiera herramientas que
permitan crear, generar, compilar, recolectar, registrar o validar
automáticamente direcciones de correos electrónicos, así como recolectar
direcciones de correo electrónico de cualquier tipo de páginas web sin el
conocimiento previo y expreso de los titulares de cuentas de correo
electrónico.
4.
Entiéndase como
ilegal, la implementación y uso de software, sistemas o programas antes
señalados, con la finalidad de enviar correos electrónicos no solicitados -
Spam.
5.
Generar
automáticamente listas de contactos de correo electrónico mediante el empleo de
algoritmos u otras herramientas tecnológicas que combinen nombres, caracteres o
códigos.
6.
Falsear u ocultar
cualquier información que permita identificar el punto de origen del recorrido
o del trayecto de transmisión del mensaje de Correo Electrónico Comercial no
solicitado.
7.
Utilizar la dirección
o cuenta de Correo Electrónico de cualquier tercero sin su autorización previa,
expresa y escrita, con la finalidad de llevar a cabo el envío de mensajes a
través de dicha dirección de correo electrónico, o en su defecto, para
consignar tal dirección como la aparente dirección de envío del mensaje o, como
la dirección de respuesta a la cual se refiere el inciso "c" del
artículo 5º de la Ley.
e.- Responsabilidad y Compensaciones
Se
considerarán responsables de las infracciones detalladas en el L-Artículo 6º y
deberán compensar al receptor de la comunicación:
1.
Toda persona que envíe correos electrónicos no
solicitados conteniendo publicidad comercial y que infrinja la presente ley;
2.
Las empresas o personas beneficiarias de
manera directa con la publicidad difundida. El R-Artículo 15º precisa: siempre
que ésta haya solicitado y/o autorizado el envío del mensaje.
3. Los intermediarios de correos electrónicos no solicitados, tales como
los proveedores de servicios de correos electrónicos. El R-Artículo 15ºseñala,
siempre que se trate de la obligación de contar con sistemas o programas de
bloqueo y/o filtro.
f.- Autoridad
Competente, Infracciones y Sanciones
El
Instituto Nacional de Defensa de la Competencia y de la Protección de la
Propiedad Intelectual - INDECOPI, a través de la Comisión de Protección al
Consumidor y de la Comisión de Represión de la Competencia Desleal (L-Articulo 9°),
serán las autoridades competentes para conocer las infracciones contempladas en
el artículo 6º de la presente Ley, cuyas
multas se fijarán de acuerdo a lo establecido en el Decreto Legislativo Nº 691, Normas de la Publicidad en Defensa del
Consumidor.
- · Para los casos del inciso c) del Artículo 6º de la Ley, las sanciones previstas en el Decreto Legislativo N° 716, Ley de Protección al Consumidor (R-Articulo 16°)
- · Para los casos incisos a), b) y d) del Artículo 6º de la Ley las sanciones previstas en el Decreto Legislativo N° 691, (R-Articulo 16°).
Ambos
Decretos Legislativos fueron incluidos en el TUO Decreto Supremo Nº
039-2000-ITINCI, siéndoles aplicables un procedimiento único sancionador
regulado por el D. Legis. Nº 807, procedimiento especial considerado tanto para
la Protección al Consumidor como para la Competencia Desleal. Además de estas
fuentes, es de aplicación el Código de Protección y Defensa del Consumidor; Ley
29671, Capitulo I Derechos del Consumidor, Subcapítulo II Protección del consumidor frente a la
publicidad, arts. 12° al 17°; Capítulo
III Responsabilidad administrativa y Sub Capitulo II Procedimiento sancionador en materia de
protección al consumidor. Arts. 107°
al 123°[2].
En
cuanto al derecho a una compensación pecuniaria, (L-Articulo 8°, R-Articulo 17°) es de advertir que el receptor de correo
electrónico ilegal podrá accionar por vía de proceso sumarísimo contra la
persona que lo haya enviado (remitente y el beneficiario o anunciante) u
ordenado, a fin de obtener una compensación pecuniaria, la cual será equivalente
al uno (1) por ciento de la Unidad Impositiva Tributaria (S/. 38.00 en 2014)
por cada uno de los mensajes de correo electrónico transmitidos en
contravención de la presente Ley, con un máximo de tres (3) Unidades
Impositivas Tributarias[3] (S/. 11,400.00)
Para tales efectos,
el usuario afectado deberá adjuntar a su demanda copia certificada de la
resolución firme o consentida emitida por el órgano competente del INDECOPI,
donde se establezca la ilegalidad de la conducta del remitente del correo
electrónico recibido. Mientras no se expida resolución firme sobre dicha
infracción se suspende el plazo de prescripción para efectos de reclamar el
derecho a la compensación pecuniaria. (Previsto en la ley modificatoria N° 29246).
La Ley establece (L-Articulo 4°) que “Los proveedores de servicio de correo electrónico
domiciliados en el país están obligados a contar con sistemas o programas de
bloqueo y/o filtro para la recepción o la transmisión que se efectúe a través
de su servidor, de los correos electrónicos no solicitados por el usuario”.
Otra
obligaciones, fueron previstas en la Ley (L-Articulo
5°, Inciso c): La inclusión de una
dirección de correo electrónico válido y activo de respuesta para que el
receptor pueda enviar un mensaje para notificar su voluntad de no recibir más
correos no solicitados o la inclusión de otros mecanismos basados en internet
que permita al receptor manifestar su voluntad de no recibir mensajes
adicionales.
El
Reglamento reafirma esta obligación de la Ley (R-Articulo. 10º) que es un derecho de los receptores o
usuarios contar con sistemas o programas de filtro provistos por su proveedor
de correo electrónico. Pero escinde la
obligación, entre los remitentes de correo comercial no solicitado y en su
caso los beneficiarios de la publicidad (R-Articulo 11°): deberán asegurase que el correo de
respuesta u otro medio basado en Internet esté operativo conforme lo establece
el inciso c) del artículo 5°, y elimina de la base de datos a los titulares de
cuentas de correo electrónico que rechazaron
el mensaje, o de aquellos que habiendo dado su consentimiento manifiestan,
posteriormente, su voluntad de no seguir recibiendo ese tipo de mensajes. Y
las obligaciones del proveedor de servicio de correo electrónico, (R-Articulo
12°) además de las establecidas en el artículo
4[4] de la Ley, informa a los usuarios los alcances de los
sistemas de programas de bloqueo y/o filtros con los que cuentan así como las
condiciones de uso. Esta información adicionalmente deberá ser publicada en su
página web.
El
receptor de correo electrónico ilegal podrá accionar por la vía del proceso
sumarísimo contra la persona que lo haya enviado, (solo en el caso de spam enviado, no dirigido ni originado
en el país; no se precisa si contra la persona por cuenta e interés propio, por intermediario,
por un servicio de publicidad, de Internet o servicio de correo electrónico?) a fin de obtener
una compensación pecuniaria (El R-Artículo 10º anota por: daños y
perjuicios),
la cual será equivalente al uno por ciento (1%) de la Unidad Impositiva
Tributaria por cada uno de los mensajes de correo electrónico transmitidos en
contravención de la presente Ley, con un máximo de dos (3) Unidades Impositivas
Tributarias[5].
Finalmente, los L-Artículo 4° y R-Artículo 18° prevén
el requerimiento de información a entidades públicas y privadas para el
cumplimiento de la Ley y Reglamento, en el marco del respeto sobre la
información confidencial y la protección de los datos personales[6].
g. Breve comentario.
La Ley si bien define el concepto de dirección de
correo electrónico “serie de caracteres utilizado para identificar el origen
o el destino de un correo electrónico”, no determina de qué tipos de caracteres se trata: alfa numéricos u
otros; si se respetan las mismas autorizaciones y exclusiones practicadas en la
Netiquette; si son permitidos los nombres o denominaciones reales o virtuales de
las personas naturales o jurídicas, pseudos o anónimos, las reglas de la
propiedad intelectual,…
Tampoco precisa su referencia a un domicilio virtual,
entendiéndose que deben responder tanto al cumplimiento de prestaciones de
servicios de comunicaciones comerciales, publicitarias o promocionales no
solicitadas como a las amenazas o violaciones a los derechos relativos a los
servicios de Internet y de correo electrónico. Sí el servicio se presta a favor
de personas naturales o jurídicas domiciliadas en el Perú se entenderá que la
empresa proveedora de los servicios comerciales o promocionales y de correo
electrónico domiciliada en el Perú estará obligada a cumplir con la presente
ley tal como desprende del Artículo 2095º del Código Civil: “Las
obligaciones contractuales se rigen por la ley expresamente elegida por las
partes y, en su defecto, por la ley del lugar de su cumplimiento. (…).”.
por lo que estarían obligadas a disponer de los equipos exigidos por la
presente Ley.
La
Ley Nº 28493 al acuñar la expresión “correo electrónico comercial no
solicitado, originado en el país” dificulta su interpretación. El
ciberespacio no determina límites territoriales ni nacionales; ubicar el lugar
de origen de un mensaje requiere analizar o evaluar técnicamente su procedencia
en el territorio peruano. A ello se agrega las costas y costos procesales, que
si bien no han sido consideradas explícitamente en la noma, pudieran onerosos,
por su duración, contratación de especialistas, uso de instrumentos, programas
aplicativos, sistemas.
El
Reglamento de la Ley D.S. 031-05-MTC, estima que el no contar con sistemas o
programas de bloqueo y/o filtros constituye un ilícito administrativo, que
vulnera los principios administrativos de legalidad y tipicidad pues las
infracciones y sanciones deben regularse expresamente en las leyes (en este
caso en la Ley Nº 28493) y no en el Reglamento. Asimismo, se observa que las prohibiciones
reguladas en el Artículo 12º del Reglamento han debido ser reguladas en la ley
siguiendo en este sentido los lineamientos administrativos esbozados líneas
arriba. Ello no implica que estos supuestos no sean considerados un desamparo
al usuario o al afectado por un daño ocasionado al no ser aplicables pues
siempre que pueda acreditarlo podrá demandar por daños y perjuicios en la vía
civil.
Presentada
la denuncia ante la Comisión de Represión de la Competencia Desleal o la
Comisión de Protección al Consumidor que buscaría la compensación económica por
la infracción de las normas comentadas, el denunciante o demandante evaluará el
costo o beneficio de demandar al emisor del correo o la persona interesada por
la promoción o publicidad, pues tendrá que aportar la prueba que el mensaje se
originó en el país, y examinara, asimismo, si le serán reembolsados integral o
parcialmente los costos y costas procesales, incluidos estudios y peritajes.
Aparentemente, las multas no tienen el carácter disuasivo o coercitivo
esperado.
A
pesar de las falencias identificadas en la Ley Nº 28493 y su Reglamento, es
recomendable se cumpla con las exigencias de la presente norma, se incluyan las
omisiones, corrijan las defectos normativos, informando al Congreso de los
cambios necesarios a la Ley Nº 28493, recomendando al Ministerio de Transportes
y Comunicaciones, ente encargado de emitir la norma reglamentaria, incluyendo aquellas
instituciones propuestas en Directivas europeas y leyes transpuestas en los
Estados que integran la Unión Europea.
La localización y constitución administrativa, jurídica
de los proveedores productivos, publicitarios, informáticos en el Perú, tiene
aparentemente un idóneo y más rápido control, y consecuentemente, un sobrecosto
para el cumplimiento de la normativa que los proveedores ubicados en el
extranjero. Porque: primero, amplia las funciones y competencias
administrativas de INDECOPI, creando una dependencia encargada de ello, genera
una respuesta de la administración de justicia habilitando magistrados especialistas
en materia de comunicación electrónica, y específicamente en correo electrónico
no deseado, en virtud del principio jurídico de pluralidad de instancias.
Segundo, alienta la informalidad, pues supuestamente regula el correo originado
en el país pero no resuelve aquel procedente del extranjero, ni arregla los
temas referidos al uso de los nombres virtuales, incluidos pseudos y anónimos,
ni limita el estimulo a la usurpación de los mismos.
2. Comunicaciones
electrónicas no deseadas (Spam) en Europa
La Directiva
95/46/CE y la Directiva 2002/58/CE constituyen las normas de referencia en
materia de protección de los datos personales y de telecomunicaciones
aplicables a las comunicaciones electrónicas no deseadas. La primera Directiva establece un marco
reglamentario cuya finalidad es lograr un equilibrio entre un elevado nivel de
protección de la intimidad de las personas y la libre circulación de datos
personales en la UE. Este marco requiere de transponer la Directiva mediante
decretos, traduciendo
ésta a las leyes nacionales específicas en cada uno de los países que forman la
Unión Europea, ya que sólo las normas
aprobadas por el Parlamento pueden ser impuestas a los Estados y ciudadanos.
La segunda Directiva forma parte del grupo
de Directivas relacionadas a las telecomunicaciones, las mismas que reagrupan un conjunto de
disposiciones legislativas destinadas a regular el sector de las comunicaciones
electrónicas y a modificar a la normativa existente en el sector de las
telecomunicaciones.
Ambas Directivas regulan
así el tratamiento de datos de carácter personal, y las comunicaciones.
2.1. Consentimiento
a) Técnica «Opt-in»
La Directiva 2002/58/CE establece en relación a las comunicaciones electrónicas comerciales no
solicitadas que los usuarios han de dar su consentimiento[7]
previo antes de recibir este tipo de mensajes (técnica «opt-in»)[8], Este
sistema abarca también los mensajes de SMS (Short Message Service) y los demás
mensajes electrónicos recibidos en cualquier equipo terminal, fijo o móvil. No
obstante, la Directiva ha establecido algunas excepciones.
Artículo 10°:
Los Estados miembros velarán por que existan
procedimientos transparentes que determinen la forma en que el proveedor de una
red pública de comunicaciones o de un servicio de comunicaciones electrónicas
disponible al público podrá anular:
a) la supresión de
la presentación de la identificación de la línea de origen por un período de
tiempo limitado, a instancia de un abonado que solicite la identificación de
llamadas malevolentes o molestas; en tal caso, los datos que incluyan la
identificación del abonado que origina la llamada serán almacenados y
facilitados por el proveedor de la red pública de comunicaciones o del servicio
de comunicaciones electrónicas disponible para el público, de acuerdo con el
Derecho nacional;
b) la supresión de la presentación de la identificación
de la línea de origen y el rechazo temporal o la ausencia de consentimiento de
un abonado o un usuario para el tratamiento de los datos de localización, de
manera selectiva por línea, para las
entidades reconocidas por un Estado miembro para atender llamadas de urgencia,
incluidos los cuerpos de policía, los servicios de ambulancias y los cuerpos de
bomberos, para que puedan responder a tales llamadas.
b) «Chivatos» (cookies)
La Directiva 2002/58/CE prevé que los usuarios deben consentir para que se almacene información en su equipo terminal o para que se obtenga acceso a dicha información. En los Considerandos 24 y 25, la Directiva, toma en cuenta que los equipos terminales de los usuarios de redes de comunicaciones electrónicas, así como toda información almacenada en dichos equipos, forman parte del ámbito privado de los usuarios y, en consecuencia, deben ser protegidos de conformidad con el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales.
Los denominados "programas espía" (spyware),
web bugs, identificadores ocultos y otros dispositivos similares pueden
introducirse en el terminal del usuario sin su conocimiento para acceder a
información, archivar información oculta o rastrear las actividades del
usuario, lo que puede suponer una grave intrusión en la intimidad de dichos usuarios.
Sólo debe permitirse la utilización de tales dispositivos con fines legítimos y
con el conocimiento de los usuarios afectados.
Los «chivatos» (cookies)
son datos ocultos intercambiados entre un usuario de Internet y un servidor web
que quedan archivados en el disco duro del usuario. Su finalidad inicial fue de
conservar datos entre dos conexiones, aunque también constituyen un medio de
control de las actividades del internauta, la misma que ha sido objeto de
críticas.
Si los
"chivatos" (cookies), constituyen un instrumento legítimo y útil para
analizar la efectividad del diseño y de la publicidad de un sitio web y para
verificar la identidad de usuarios partícipes en una transacción en línea, debe
autorizarse su uso a condición de que se facilite a los usuarios información
clara y precisa al respecto, de conformidad con la Directiva 95/46/CE, para
garantizar que los usuarios conozcan la información introducida en el equipo
terminal utilizado, o la posibilidad de impedir se almacene en su equipo terminal
un "chivato" (cookie) o dispositivo semejante. Esto es
particularmente importante cuando otros usuarios distintos al usuario original
tienen acceso al equipo terminal y, a través de éste, a cualquier dato sensible
de carácter privado almacenado en dicho equipo. La información sobre la
utilización de distintos dispositivos que se vayan a instalar en el equipo
terminal del usuario en la misma conexión y el derecho a impedir la instalación
de tales dispositivos se pueden ofrecer en una sola vez durante una misma
conexión y abarcar asimismo cualquier posible utilización futura de dichos
dispositivos en conexiones posteriores. La presentación de la información y del
pedido de consentimiento o posibilidad de negativa deben ser lo suficientemente
accesible para el usuario.
c)
Guías
o Anuarios públicos
El Considerando 38 de la Directiva 2002/58/CE precisa que las guías de abonados a los servicios de comunicaciones electrónicas tienen amplia difusión y carácter público. Sin embargo, el derecho a la intimidad de las personas físicas y el interés legítimo de las personas jurídicas exigen que los abonados puedan decidir si hacen públicos sus datos personales en dichas guías y, en caso de hacerse públicos, cuáles entre ellos. Los proveedores de guías públicas deben informar a los abonados que vayan a incluirse en tales guías acerca de la finalidad de las mismas y del uso particular que pueda hacerse de las versiones electrónicas de las guías públicas, especialmente mediante funciones de búsqueda incorporadas al soporte lógico, tales como búsqueda inversa que permiten al usuario de la guía indagar por el nombre y la dirección del abonado a partir exclusivamente de un número de teléfono.
El Considerando 39 de
la misma Directiva afirma que debe imponerse a quien recoja datos a ser
incluidos en las guías públicas, en las que figuren los datos personales de los
abonados, tienen la obligación de informar a estos últimos acerca de las
finalidades de dichas guías. Cuando los datos puedan ser transmitidos a una o
más terceras partes, debe informarse al abonado de esta posibilidad, así como
acerca del destinatario o de las categorías de posibles destinatarios.
Cualquier transmisión debe estar sujeta a la condición de que los datos no
puedan utilizarse para otros fines sino para aquéllos a los cuales han sido
acopiados. Si alguien recoge datos del usuario, o cualquier tercero a quien se
hayan transmitido los datos, desea utilizarlos con un fin accesorio, la
renovación del consentimiento del abonado deberá obtenerla de quien recogió
inicialmente los datos o el tercero a quien hayan sido transmitidos.
El artículo 12° de la
Directiva recoge esas consideraciones:
Los Estados miembros
velaran:
1.
porque
se informe gratuitamente a los
abonados europeos,
2. tengan la opción de decidir si sus datos personales figuran en
una guía pública, y en su caso cuáles de ellos, acorde con la finalidad
prevista de la guía por su proveedor, y de comprobar, corregir o suprimir tales
datos.
3. se recabe el consentimiento previo y específico
de los abonados para que su número de teléfono (fijo o móvil), su
dirección electrónica y su dirección postal figuren en las guías o anuarios
públicos.
Los apartados 1 y 2
se aplicarán a los abonados que sean personas
físicas.
Los Estados miembros
velarán asimismo, en el marco del Derecho comunitario y de las legislaciones
nacionales aplicables, por la suficiente protección de los intereses legítimos
de los abonados que no sean personas
físicas en lo que se refiere a su inclusión en guías públicas.
2.2. Autorizaciones y Prohibiciones
La Directiva 2002/58/CE ha previsto en el artículo 13°:
1. Autorizar la
utilización de sistemas de llamada automática sin intervención humana (aparatos
de llamada automática), fax o correo electrónico con fines de venta directa
respecto de aquellos abonados que hayan dado su consentimiento previo, o
2. Habiendo dado su
consentimiento en el marco de la Directiva 95/46/CE, en el contexto de la venta
de un producto o de un servicio, podrá utilizar dichas señas para la venta
directa de sus propios productos o servicios de características similares, a
condición de que ofrezca con absoluta claridad a los clientes, sin cargo alguno
y de manera sencilla, la posibilidad de oponerse a dicha utilización en el
momento en que se recojan las mismas y, en caso de que el cliente no haya
rechazado inicialmente su utilización, cada vez que reciban un mensaje
ulterior.
3. Los Estados
miembros tomarán las medidas adecuadas para garantizar, que, sin cargo alguno,
no se permitan las comunicaciones no solicitadas con fines de venta directa en
casos que no sean los mencionados en los apartados 1 y 2, bien sin el
consentimiento del abonado, bien respecto de los abonados que no deseen recibir
dichas comunicaciones. La elección entre estas dos posibilidades será determinada
por la legislación nacional.
4. Se prohibirá, en
cualquier caso, la práctica de enviar mensajes electrónicos con fines de venta
directa en los que se disimule o se oculte la identidad del remitente por
cuenta de quien se efectúa la comunicación, o que no contengan una dirección
válida a la que el destinatario pueda enviar una petición de que se ponga fin a
tales comunicaciones.
5. Los apartados 1 y
3 se aplicarán a los abonados que sean personas físicas. Los Estados miembros
velarán asimismo, en el marco del Derecho comunitario y de las legislaciones
nacionales aplicables, por la suficiente protección de los intereses legítimos
de los abonados que no sean personas físicas en lo que se refiere a las
comunicaciones no solicitadas.
2.3. Características técnicas y normalización
La
Directiva 2002:58/CE ha previsto en el articulo 14°:
1. Al aplicar las
disposiciones de la presente Directiva, los Estados miembros velarán, sin
perjuicio de los apartados 2 y 3, por que no se impongan requisitos
obligatorios respecto de características técnicas específicas a los equipos
terminales u otros equipos de comunicaciones electrónicas que puedan
obstaculizar la puesta en el mercado de dichos equipos y su libre circulación
en los Estados miembros y entre estos últimos.
2. Cuando las
disposiciones de la presente Directiva sólo puedan aplicarse mediante la
implantación de características técnicas específicas en las redes de
comunicaciones electrónicas, los Estados miembros informarán a la Comisión de
conformidad con el procedimiento establecido en la Directiva 98/34/CE del
Parlamento Europeo y del Consejo, de 22 de junio de 1998, por la que se
establece un procedimiento de información en materia de las normas y
reglamentaciones técnicas y de las reglas relativas a los servicios de la
sociedad de la información.
3. Cuando proceda, se
podrán adoptar medidas para garantizar que los equipos terminales estén
fabricados de manera compatible con el derecho de los usuarios de proteger y
controlar el uso de sus datos personales, de conformidad con la Directiva
1999/5/CE y la Decisión 87/95/CEE del Consejo, de 22 de diciembre de 1986,
relativa a la normalización en el campo de la tecnología de la información y de
las telecomunicaciones.
Conclusiones
1.
El enfoque legislativo peruano resultante de la Ley N° 28493, su Modificatoria N° 29246 y su Reglamento D.S Nº 031-2005-MTC sobre comunicaciones
comerciales publicitarias o promocionales no solicitadas (Spam) realizadas por
correo electrónico es defectiva pues solo contempla ese aspecto de la
comunicación y no otras formas realizadas vía otros medios: mensajes SMS (Short Message Service), MMS (Multimedia
Messaging Service) y demás mensajes electrónicos emitidos/recibidos desde/en
cualquier equipo terminal, fijo o móvil; privilegiando la regulación de esta
forma particular de mensaje.
2. La regulación arriba anotada comprende SOLO el correo electrónico de información
comercial publicitaria o promocional de bienes y servicios de una
empresa, organización, persona o cualquier otra con fines lucrativos, incluyendo la información sobre eventos,
certámenes y/o actividades, comercializados, ofrecidos, patrocinados u
organizados por personas naturales o jurídicas. Aun cuando
existen otros medios de comunicación y que la finalidad no sea motivada por
fines lucrativos, sino altruistas, porque amenaza o viola los datos personales,
la privacidad e intimidad, su tiempo y recursos y pueden constituirse bases de
datos ilegales.
3. Será considerado, así mismo, como Correo Electrónico Comercial
Solicitado: el envío de mensajes
de aquellos remitentes que tengan una relación contractual previa con el
receptor o usuario, siempre y cuando se envíe comunicaciones comerciales
referentes a bienes o servicios de la empresa del remitente y tengan relación
con los servicios inicialmente contratados.
4. No se considera correos electrónicos comerciales
aquellos mensajes destinados a la promoción o fomento de actividades, eventos u
otros remitidos por las entidades públicas del Estado. Esta afirmación es controvertida por la
dificultad de distinguir entre mensajes políticos proselitistas personales o partidarios, y aquellos de promoción de eventos o
actividades educativas, sociales, de defensa y seguridad.
5.
Aun cuando son derechos de los usuarios:
- rechazo de recepción
o no de los correos electrónicos,
- simple reenvío al
emisor (incluida copia a la cuenta implementada por INDECOPI, como prueba de
rechazo de recepción de correos electrónicos comerciales no deseados) o
- revocación de la autorización;
incluido disponer que el
proveedor de los servicios de correo electrónico cuente con sistemas o
programas que filtren los correos electrónicos publicitarios o promocionales no
solicitados.
Salvo error de interpretación, este aparente último derecho resulta más bien una obligación ilegal de detrimento técnico y económico del usuario. Como resulta igualmente ilegal, la indefinición técnica de uso “Opt in”, de consentimiento previo por el usuario, para el envío de mensajes.
Salvo error de interpretación, este aparente último derecho resulta más bien una obligación ilegal de detrimento técnico y económico del usuario. Como resulta igualmente ilegal, la indefinición técnica de uso “Opt in”, de consentimiento previo por el usuario, para el envío de mensajes.
6.
Solo pueden ser materia de regulación los correos electrónicos comerciales, no
solicitados, originados en el país, los generados fuera del Perú, si
bien tienen un efecto sobre el comercio, la publicidad y los consumidores
innegable, ellos no son objeto de sanciones ni penalidades.
7. El incumplimiento de las obligaciones de:
7. El incumplimiento de las obligaciones de:
·
inclusión de una dirección de correo electrónico válido y activo
de respuesta, por parte de la persona natural o jurídica que emite el mensaje;
y/o
·
la eliminación
de la base de datos de los usuarios que rechazaron el mensaje, o que luego de
haberlo aceptado lo rechazan posteriormente; y/o
·
de envío
de correos ilegales
Son pasibles de denuncia por el receptor o usuario contra:
Son pasibles de denuncia por el receptor o usuario contra:
·
toda
persona que envíe correos electrónicos,
·
empresas
o personas beneficiarias de manera directa con la publicidad difundida y los
·
intermediarios
o proveedores de correos electrónicos no solicitados
Y son de conocimiento de las infracciones y
multas en UIT por la Comisión
de Protección al Consumidor y de la Comisión de Represión de la Competencia
Desleal de INDECOPI.
Contrariamente, las Directivas Europeas
95/46/CE y 2002/58/C, delegan estas funciones y competencias en las Autoridades
administrativas independientes a cargo de la Protección de Datos Personales en
cada Estado europeo. La protección de datos personales se amparan en la
Constitución y en las Leyes y Reglamentos específicos peruanos, cuya
ponderación axiológica es mayor que las libertades y derechos vinculados la
comunicación, comercio y/o protección del consumidor, potenciándose la amenaza
o violación por el uso de las tecnologías de la información y de las
comunicaciones, particularmente, Internet y telefonía.
8. Las
prohibiciones contemplan el uso de medios, falseamientos, ocultamientos, usos
desautorizados, manipulaciones que permiten emitir mensajes, eludir bloqueos o
filtros facilitando la generación de correos, listas de contactos, anuarios desde
direcciones o cuentas de terceros, o fijando aparentes direcciones de tratamiento
o de respuestas. Los spams que se
sustentan técnicamente en estos medios debieran ser considerados ilegales, o
menos de aportarse la prueba de su licitud. La ilicitud comprende también a
quienes remitieron los mensajes, u obtuvieron un beneficio de esas actividades;
o aquellos que utilizaron base de datos ilegales, actuando con negligencia y/o
dolo pudieran se pasibles de daños.
Sin embargo, estas prohibiciones no
contemplan:
· la utilización de sistemas de llamada
automática sin intervención humana (aparatos de llamada automática), fax o
correo electrónico con fines de venta directa respecto de aquellos abonados que
hayan dado su consentimiento previo,
·
el consentimiento dado en el marco de
la Ley 29733 y su Reglamento 003-2013-JUS, en el contexto de la venta de un
producto o de un servicio, si puede utilizarse dichas señas electrónicas para
la venta directa de sus propios productos o servicios de características
similares, a condición de que ofrezca con absoluta claridad a los clientes, sin
cargo alguno y de manera sencilla, la garantía, que, sin cargo alguno, no se
permitan las comunicaciones no solicitadas con fines de venta directa en casos
que no sean los mencionados en los párrafos precedentes, bien sin el
consentimiento del abonado, bien respecto de los abonados que no deseen recibir
dichas comunicaciones.
9. Sobre las características técnicas
y normalización, no ha sido previsto que el Estado vele:
· porque no se impongan requisitos obligatorios
respecto de características técnicas específicas a los equipos terminales u
otros equipos de comunicaciones electrónicas que puedan obstaculizar la puesta
en el mercado de dichos equipos y su libre circulación en los Estados miembros
y entre estos últimos.
· cuando sólo puedan aplicarse mediante la
implantación de características técnicas específicas en las redes de
comunicaciones electrónicas, deberá establecerse un procedimiento de
información en materia de normas y reglamentaciones técnicas y de reglas
relativas a los servicios de la sociedad de la información ente los Estados
miembros de grupos sub regionales o regionales a los cuales Perú es adherente;
· en este mismo orden de ideas, los Estados miembros de grupos sub regionales o
regionales a los cuales Perú adhiere podrán adoptar medidas para garantizar que
los equipos terminales se fabriquen de manera compatible con el derecho de los
usuarios de proteger y controlar el uso de sus datos personales.
10. Finalmente, son
dos concepciones de acentos diferentes las que intentan regular o proteger el spam:
ésta referida en el Perú al objeto comercial, publicitario, del consumidor, la
misma que utiliza una forma de comunicación, el correo electrónico y una
técnica “Opt out”; y aquella relativa
a Europa, vinculada a la prima
protección de los datos personales de la persona humana, sin descuidar los
aspectos comerciales, utilizando diversas formas de comunicación electrónica:
correo electrónico, fax, SMS, MMS, y una técnica “Opt in”, que implícitamente requiere de consentimiento previo.
Peo esto no es sino la consecuencia del enfoque
peruano, de haber fraccionado arbitrariamente la regulación de la protección de los datos
personales entre dos entes: la Autoridad Nacional de Protección de Datos Personales
(MINJUS) e INDECOPI para las Centrales de Riesgo[9], particularmente
en materia de información financiera, crediticia, comercial y de seguros de personas naturales y jurídicas,
la misma que exponen sensiblemente a la persona humana, y obtienen en muchos
casos, el perfil y comportamiento de las personas mediante asociación, cruce y/o
interconexión de archivos pemitidos por la ley que regula las Centales de riesgo en el Peru, peo que son considerados como métodos ilegales, reprensibles y punibles en
la legislación europea.
a) Correo electrónico, “Todo
mensaje, archivo, dato u otra información electrónica que se transmite a una o
más personas por medio de una red de interconexión entre computadoras o
cualquier otro equipo de tecnología similar. También se considera correo
electrónico la información contenida en forma de remisión o anexo accesible
mediante enlace electrónico directo contenido dentro del correo electrónico.”
b) Correo electrónico comercial: Todo correo
electrónico que contenga información comercial publicitaria o promocional de
bienes y servicios de una empresa, organización, persona o cualquier otra con
fines lucrativos.
Podemos aprehender entonces, que los elementos
del primero son: 1. Mensaje, archivo, dato u
otra información electrónica como la información
contenida en forma de remisión o anexo accesible mediante enlace directo
contenido dentro del correo electrónico. 2. Transmitido a una o más personas por medio de una red de interconexión entre
computadoras o cualquier otro equipo de tecnología similar. Y que los elementos del segundo
son: 3. Información comercial, publicitaria, promocional de bienes y servicios
de una empresa, organización, persona o cualquiera otra (¿?) 4. Con fines
lucrativos.
La Directiva 2002/58/CE en el Artículo
2, Definiciones, Inciso h):
h) "correo
electrónico": todo mensaje de texto, voz, sonido o imagen enviado a través
de una red de comunicaciones pública que pueda almacenarse en la red o en el
equipo terminal del receptor hasta que éste acceda al mismo.
[2] Por ejemplo, el artículo
112° de este Código sirvió como referencia para aplicar y graduar la primera
sanción contra el spam en 2009. Véase:
http://elcomercio.pe/lima/ciudad/indecopi-emitio-primera-sancion-enviar-spam-peru-noticia-340716
[3] La ley 28493 dispuso 2 %,
la ley modificatoria N° 29246 la elevó a 3%.
[4] Precísese que la definición de proveedor del
servicio de correo electrónico contenida en el inciso c) del artículo 2° de la
Ley e inciso 4) del artículo 3° del presente Reglamento, no comprende
proveedores del medio de transmisión ni
a los proveedores del servicio de conmutación de datos por paquetes que
permiten el acceso al servicio Internet.
[5] 3800 nuevos soles para
2014.
El Instituto Nacional de
Defensa de la Competencia y de la Protección de la Propiedad Intelectual -
Indecopi, cuando lo estime conveniente, podrá solicitar cualquier tipo de
información a entidades públicas o privadas para el
cumplimiento de la presente Ley y de su Reglamento, debiendo cumplir en lo que
resulte pertinente, con las normas sobre información confidencial y protección
de datos personales.
[7]
Directiva 95/46/CE Articulo 2, Definiciones, Inciso h) «consentimiento del
interesado»: toda manifestación de voluntad, libre, específica e informada,
mediante la que el interesado consienta el tratamiento de datos personales que
le conciernan.
[8] Si se utiliza la técnica de mercadeo opt-in
(también llamada “marketing de permiso”), el usuario debe consentir previamente
para ser incluido en la lista de destinatarios de la campaña publicitaria. Esto
se realiza mediante formularios disponibles en los sitios web de la empresa o
del publicista. Esta primera autorización puede requerir de un nuevo consentimiento,
solicitado mediante mensaje de correo, puede hablarse así de doble opt-in.
En cambio, en la técnica de opt-out
se presupone que el usuario pudiera está interesado en los anuncios a enviársele
y no se le pide autorización. En este
caso, el usuario sí está en condiciones de solicitar que se lo excluya de la
nómina. Ambas técnicas no permiten de generar una base de datos de destinatarios,
que puede ampliar el público potencial, y demandas a los publicistas. El valor
y la pertinencia de la base de datos pueden variar según los tipos de registro,
los rechazos, la reiteración o la
molestia causada. Perú no ha optado por una u otra técnica.
[9] Son instituciones de carácter público como privado que
constituyen un
sistema integrado de registro de riesgos financieros, crediticios, comerciales
y de seguros, cuyo objeto
es brindar información sobre el nivel de endeudamiento y antecedentes
crediticios de personas naturales y jurídicas. La Ley de Bancos peruana
establece que la Superintendencia de Banca, Seguros y AFP (SBS) “tendrá a su
cargo un sistema integrado de registro de riesgos financieros, crediticios,
comerciales y de seguros denominado ‘Central de Riesgos’, el mismo que contará
con información consolidada y clasificada sobre los deudores de las empresas”
que están bajo su supervisión. Precisa que la información que se registrará en
dicha Central de Riesgos corresponderá a “los riesgos por endeudamientos
financieros y crediticios en el país y en el exterior, los riesgos comerciales
en el país, los riesgos vinculados con el seguro de crédito y otros riesgos de
seguro, dentro de los límites que determine la Superintendencia.” Agrega que
esta información estará “a disposición de las empresas del sistema financiero y
de seguros, del Banco Central, de las empresas comerciales y de cualquier interesado
en general, previo pago de las tarifas que establezca la Superintendencia. De este
modo, las Centrales privadas acceden a la base de la SBS y la complementan con información
de diversas fuentes, como la Superintendencia de Administración Tributaria (Sunat),
la Cámara de Comercio de Lima así como de otras casas comerciales y empresas de
servicios públicos.
