miércoles, 29 de octubre de 2014

SPAM O LEGISLACION DEFECTIVA EN EL PERU



Introducció

El enfoque de la legislación de las comunicaciones electrónicas no deseadas (Spam) apunta a cumplir diversas finalidades. En el Perú, ha sido regulada desde una doble perspectiva: a fin de regular la comunicación por correos electrónicos no deseados, y vía otras disposiciones en materia comercial sobre publicidad y protección al consumidor. Contrariamente, dos de las Directivas Europeas se han orientado a la regulación de la protección de los datos personales y mediante diversas formas de comunicación electrónica no deseada.   

1. El Correo electrónico no deseado (Spam) en el Perú.

La Ley N° 28493,  su modificatoria N° 29246 y su Reglamento D.S Nº 031-2005-MTC han regulado mas la forma - correo electrónico -,  las actividades publicitarias y el consumidor, que la persona a la cual son dirigidos los mensajes.
     
Estas normas han fijado el: a.- Objeto, b.- Derechos, c.- Obligaciones, d.- Ilegalidades y Prohibiciones, e.- Responsabilidad y Compensaciones, f.- Autoridad Competente, Infracciones y Sanciones[1]. Estas reglas merecen un g. breve comentario. 

a.- Objeto.- 

La Ley y su Reglamento norman el envío de comunicaciones comerciales publicitarias o promocionales no solicitadas, realizadas por correo electrónico, sin perjuicio de la aplicación de otras disposiciones vigentes en materia comercial sobre publicidad y protección al consumidor.
La Ley diferencia el correo electrónico simple del comercial por su contenido:1/ de información comercial publicitaria o promocional de bienes y servicios de una empresa, organización, persona o cualquier otra, 2/ con fines lucrativos. El Reglamento incluye en la primera: la información sobre eventos, certámenes y/o actividades, comercializados, ofrecidos, patrocinados u organizados por personas naturales o jurídicas; precisando que: no serán considerados correos electrónicos comerciales aquellos mensajes destinados a la promoción o fomento de actividades, eventos u otros remitidos por las entidades públicas del Estado o los remitidos por las asociaciones o fundaciones sin fines de lucro a sus asociados o miembros. (R-Artículo 5º). 
Esta afirmación puede ser objeto de controversia: aún sin que éstas actividades tengan fines lucrativos, cómo discernir entre la información enviada por correo electrónico no deseado orientado de promoción de actividades, eventos u otros remitidos por entidades públicas del Estado, de mensajes políticos proselitistas, personales o partidarios, y aquellas de eventos o actividades educativas o de promoción social?  

La Ley determina el proveedor del servicio de correo electrónico, como “toda persona natural o jurídica que provea el servicio de correo electrónico y que actúa como intermediario en el envío o recepción del mismo”.

También, define como dirección de correo electrónico la: “serie de caracteres utilizado para identificar el origen o el destino de un correo electrónico”.

El Reglamento agrega otras definiciones sobre los sujetos de la relación: Beneficiario de la publicidad o Anunciante; Remitente, persona natural o jurídica, por cuenta e interés propio o intermediario; Proveedor del servicio de Internet  o de cuenta de Correo Electrónico; y Receptor, persona natural o jurídica que recibe uno o más mensajes de correo electrónico. Pero también, sobre los Campos del Correo: Remitente (De o From), o Asunto (Subject). 

Salvo prueba en contrario, el Reglamento presume como Remitente a la persona natural o jurídica  titular de la dirección de correo electrónico que figura en el campo del remitente ("De" o "From") del mensaje. Por el contrario, la definición de Proveedor del servicio de correo electrónico no comprende a los Proveedores del medio de transmisión (Telecomunicaciones) ni a los proveedores del servicio de conmutación de datos por paquetes que permiten el acceso al servicio de Internet.
Finalmente, es considerado como Correo Electrónico Comercial No Solicitado el que “ha sido dirigido o enviado por el remitente sin que medie el pedido o consentimiento expreso del receptor”.  

La interpretación contrario sensu: será considerado como Correo Electrónico Comercial Solicitado: el envío de mensajes de aquellos remitentes que tengan una relación contractual previa con el receptor o usuario, siempre y cuando se envíe comunicaciones comerciales referentes a bienes o servicios de la empresa del remitente y tengan relación con los servicios inicialmente contratados. 

      b.- Derechos.-

La Ley (L-Artículo 3º) reconoce como derechos de los usuarios
a)   Rechazar o no la recepción de correos electrónicos comerciales.  El Reglamento señala que éste debe ser: en forma expresa, utilizando la dirección de un correo electrónico válido y activo de respuesta u otro mecanismo basado en Internet o el medio que considere conveniente. Entiéndase por rechazo de la recepción del correo electrónico al rechazo tanto al remitente como al contenido del mensaje.
El simple reenvío del correo electrónico comercial al remitente constituirá rechazo  expreso. (R-Artículo 10º)

b)   Revocar la autorización de recepción (El R-Artículo 10º indica: en cualquier momento), salvo cuando dicha autorización sea una condición esencial para la provisión del servicio de correo electrónico. La interpretación de este inciso es discutible: si el envío de spam está condicionado al otorgamiento de una dirección electrónica, es obvio que la autorización implica su uso; contrariamente, en caso de revocación, se revocara el uso de la dirección electrónica asignada, y consecuentemente la autorización de recepción de spam.

c)   Disponer que el proveedor de los servicios de correo electrónico cuente con sistemas o programas que filtren los correos electrónicos publicitarios o promocionales no solicitados.  Pareciera una afirmación perversa: no habría mayor problema si el remitente o el titular de la publicidad y el proveedor del correo electrónico convergen en intereses o tienen lazos contractuales; si no es el caso, se estaría obligando al proveedor del correo electrónico de buena fe, de cualquier persona a establecer sistemas o aplicativos de filtro o bloqueo, con las consecuentes lesiones previsibles de optar por seguir recibiendo spam, migrar a un proveedor de correo electrónico que reúna estos requisitos o adquirir un programa informático Ad hoc.

La ley N° 29246 modificatoria de la ley 28493, incluye un cuarto literal:
a)   El reenvío del correo electrónico al emisor del correo electrónico comercial no solicitado, con la copia respectiva a la cuenta implementada por el INDECOPI.

Dicho reenvío sea considerado como prueba de que el usuario rechaza la recepción de correos electrónicos comerciales no deseados.

c.- Obligaciones.-
     
      Todo correo electrónico comercial, no solicitado, originado en el país, debe contener (L-Artículo 5º de la Ley):

a)   La palabra PUBLICIDAD en el campo asunto (o subject) del mensaje. El R-Articulo 8º precisa que debe ser incluida: al inicio del texto;  tratándose de correos electrónicos con contenidos exclusivo para adultos, la mención: Publicidad para adultos; de manera clara, legible, sin errores ni defectos ortográficos y sin la inclusión de caracteres ajenos a los mismos.

b)   Nombre o denominación social, domicilio completo y dirección de correo electrónico de la persona natural o jurídica que emite el mensaje. El R-Articulo 8º indica que estos mismos datos deben ser consignados en la parte inferior del mensaje de manera legible incluyendo necesariamente el nombre de una persona de contacto.

c)   La inclusión de una dirección de correo electrónico válido y activo de respuesta para que el receptor pueda enviar un mensaje para notificar su voluntad de no recibir más correos no solicitados o la inclusión de otros mecanismos basados en Internet que permita al receptor manifestar su voluntad de no recibir mensajes adicionales.

El R-Artículo 8º ordena la aplicación de dos tipos de medidas, sujeta a dos condiciones:
c.1. que exista coincidencia entre el titular de la referida dirección de correo electrónico o los mecanismos basados en Internet y el remitente del mensaje, y; 
c.2. que los mecanismos de respuesta implementados se encuentren operativos y en plena capacidad de recibir la notificación de los usuarios de no recibir correos comerciales no solicitados como mínimo dentro de los treinta (30) días hábiles siguientes luego de enviado el mensaje, utilizando los mecanismos previstos por ley.

El Reglamento afirma que esta es una obligación de los remitentes, de los proveedores del servicio de correo electrónico (R-Artículo 12º); y en su caso de los beneficiarios de la publicidad, como también aquella de: Eliminar de su base de datos a los titulares de cuentas de correo electrónico que rechazaron el mensaje o de aquellos que habiendo dado su consentimiento manifiestan, posteriormente, su voluntad de no seguir recibiendo ese tipo de mensajes. (Artículo 11º)

El R-Artículo 6º libera de esta obligación a los remitentes que tengan una relación contractual previa con el receptor o usuario y que cuenten con autorización previa, expresa y por escrito para efectuar el envío de correos electrónicos comerciales.

Ni la Ley ni el Reglamento han previsto alternativas para los usuarios de correos electrónicos y comerciantes nacionales respecto de competencia desleal, cuando los contenidos de spam no son originados en el país, aun cuando estos pudieran ser legales o autorizados fuera del país.

d.- Ilegalidad y Prohibiciones.-

      El artículo L-Artículo 6° establece, la ilegalidad del correo electrónico comercial no solicitado en los siguientes casos:

a)      Cuando no cumpla con alguno de los requisitos establecidos en el artículo 5º de la presente ley;

b)      Contenga nombre falso o información falsa que no identifique a la persona natural o jurídica transmisora del mensaje; el Reglamento apunta que se refiere al remitente de dicho mensaje (Artículo 9º).

c)      Contenga información falsa o engañosa en el campo del “asunto” (o subject), que no coincida con el contenido del mensaje.

d)      Se envíe o transmita a un receptor que haya formulado el pedido para que no se envíe dicha publicidad, luego del plazo de dos (2) días; según el Reglamento dos (2) días hábiles. (Artículo 9º).

La modificatoria de la ley N° 28493, Ley N° 29246, adiciona en el art. 6°:     

En este caso, el receptor o usuario queda expedito para presentar su denuncia cuando reciba el correo electrónico comercial no solicitado luego de haber expresado su rechazo mediante el reenvío señalado en el literal d) del artículo 3° de la presente Ley, o por cualquier otra forma equivalente, debiendo adjuntar a su denuncia copia del correo electrónico de dicho rechazo y del nuevo correo enviado por el remitente.
El Artículo 13º del Reglamento, Prohibiciones, establece cuales son éstas en aplicación de la Ley y del propio Reglamento:
1.      El uso de medios que permitan facilitar la recolección de direcciones electrónicas sin autorización previa de sus dueños, tales como la comercialización de bases de datos de direcciones de correo electrónico.
2.      Realizar manipulaciones técnicas sobre el Campo del Asunto a fin de evitar los sistemas y programas de bloqueo y/o filtro.
3.      La implementación y uso ilegal de software, sistemas, programas o cualesquiera herramientas que permitan crear, generar, compilar, recolectar, registrar o validar automáticamente direcciones de correos electrónicos, así como recolectar direcciones de correo electrónico de cualquier tipo de páginas web sin el conocimiento previo y expreso de los titulares de cuentas de correo electrónico.
4.      Entiéndase como ilegal, la implementación y uso de software, sistemas o programas antes señalados, con la finalidad de enviar correos electrónicos no solicitados - Spam.
5.      Generar automáticamente listas de contactos de correo electrónico mediante el empleo de algoritmos u otras herramientas tecnológicas que combinen nombres, caracteres o códigos.
6.      Falsear u ocultar cualquier información que permita identificar el punto de origen del recorrido o del trayecto de transmisión del mensaje de Correo Electrónico Comercial no solicitado.
7.      Utilizar la dirección o cuenta de Correo Electrónico de cualquier tercero sin su autorización previa, expresa y escrita, con la finalidad de llevar a cabo el envío de mensajes a través de dicha dirección de correo electrónico, o en su defecto, para consignar tal dirección como la aparente dirección de envío del mensaje o, como la dirección de respuesta a la cual se refiere el inciso "c" del artículo 5º de la Ley.

e.- Responsabilidad y Compensaciones
     
      Se considerarán responsables de las infracciones detalladas en el L-Artículo 6º y deberán compensar al receptor de la comunicación:

1.    Toda persona que envíe correos electrónicos no solicitados conteniendo publicidad comercial y que infrinja la presente ley;
2.    Las empresas o personas beneficiarias de manera directa con la publicidad difundida. El R-Artículo 15º precisa: siempre que ésta haya solicitado y/o autorizado el envío del mensaje.
3.    Los intermediarios de correos electrónicos no solicitados, tales como los proveedores de servicios de correos electrónicos. El R-Artículo 15ºseñala, siempre que se trate de la obligación de contar con sistemas o programas de bloqueo y/o filtro.

 f.- Autoridad Competente, Infracciones y Sanciones

 El Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual - INDECOPI, a través de la Comisión de Protección al Consumidor y de la Comisión de Represión de la Competencia Desleal (L-Articulo 9°), serán las autoridades competentes para conocer las infracciones contempladas en el artículo 6º de la presente Ley, cuyas multas se fijarán de acuerdo a lo establecido en el Decreto Legislativo Nº 691, Normas de la Publicidad en Defensa del Consumidor.
  1. ·         Para los casos del inciso c) del Artículo 6º de la Ley, las sanciones previstas en el Decreto Legislativo N° 716, Ley de Protección al Consumidor (R-Articulo 16°)
  2. ·         Para los casos incisos a), b) y d) del Artículo 6º de  la Ley las sanciones previstas en el Decreto Legislativo N° 691, (R-Articulo 16°).
Ambos Decretos Legislativos fueron incluidos en el TUO Decreto Supremo Nº 039-2000-ITINCI, siéndoles aplicables un procedimiento único sancionador regulado por el D. Legis. Nº 807, procedimiento especial considerado tanto para la Protección al Consumidor como para la Competencia Desleal. Además de estas fuentes, es de aplicación el Código de Protección y Defensa del Consumidor; Ley 29671, Capitulo I Derechos del Consumidor, Subcapítulo II Protección del consumidor frente a la publicidad, arts. 12° al 17°; Capítulo III Responsabilidad administrativa y Sub Capitulo II Procedimiento sancionador en materia de protección al consumidor. Arts. 107°  al 123°[2].

En cuanto al derecho a una compensación pecuniaria, (L-Articulo 8°, R-Articulo 17°) es de advertir que el receptor de correo electrónico ilegal podrá accionar por vía de proceso sumarísimo contra la persona que lo haya enviado (remitente y el beneficiario o anunciante) u ordenado, a fin de obtener una compensación pecuniaria, la cual será equivalente al uno (1) por ciento de la Unidad Impositiva Tributaria (S/. 38.00 en 2014) por cada uno de los mensajes de correo electrónico transmitidos en contravención de la presente Ley, con un máximo de tres (3) Unidades Impositivas Tributarias[3]  (S/. 11,400.00)

Para tales efectos, el usuario afectado deberá adjuntar a su demanda copia certificada de la resolución firme o consentida emitida por el órgano competente del INDECOPI, donde se establezca la ilegalidad de la conducta del remitente del correo electrónico recibido. Mientras no se expida resolución firme sobre dicha infracción se suspende el plazo de prescripción para efectos de reclamar el derecho a la compensación pecuniaria. (Previsto en la ley modificatoria N° 29246).

La Ley establece (L-Articulo 4°) que “Los proveedores de servicio de correo electrónico domiciliados en el país están obligados a contar con sistemas o programas de bloqueo y/o filtro para la recepción o la transmisión que se efectúe a través de su servidor, de los correos electrónicos no solicitados por el usuario”.

Otra obligaciones, fueron previstas en la Ley (L-Articulo 5°, Inciso c): La inclusión de una dirección de correo electrónico válido y activo de respuesta para que el receptor pueda enviar un mensaje para notificar su voluntad de no recibir más correos no solicitados o la inclusión de otros mecanismos basados en internet que permita al receptor manifestar su voluntad de no recibir mensajes adicionales.

El Reglamento reafirma esta obligación de la Ley (R-Articulo. 10º) que es un derecho de los receptores o usuarios contar con sistemas o programas de filtro provistos por su proveedor de correo electrónico. Pero escinde la obligación, entre los remitentes de correo comercial no solicitado y en su caso los beneficiarios de la publicidad (R-Articulo 11°): deberán asegurase que el correo de respuesta u otro medio basado en Internet esté operativo conforme lo establece el inciso c) del artículo 5°, y elimina de la base de datos a los titulares de cuentas  de correo electrónico que rechazaron el mensaje, o de aquellos que habiendo dado su consentimiento manifiestan, posteriormente, su voluntad de no seguir recibiendo ese tipo de mensajes. Y las obligaciones del proveedor de servicio de correo electrónico, (R-Articulo 12°)  además de las establecidas en el artículo 4[4] de la Ley, informa a los usuarios los alcances de los sistemas de programas de bloqueo y/o filtros con los que cuentan así como las condiciones de uso. Esta información adicionalmente deberá ser publicada en su página web.
  
El receptor de correo electrónico ilegal podrá accionar por la vía del proceso sumarísimo contra la persona que lo haya enviado, (solo en el caso de spam enviado, no dirigido ni originado en el país; no se precisa si contra la persona por cuenta e interés propio, por intermediario, por un servicio de publicidad, de Internet o servicio de correo electrónico?) a fin de obtener una compensación pecuniaria (El R-Artículo 10º anota por: daños y perjuicios), la cual será equivalente al uno por ciento (1%) de la Unidad Impositiva Tributaria por cada uno de los mensajes de correo electrónico transmitidos en contravención de la presente Ley, con un máximo de dos (3) Unidades Impositivas Tributarias[5].

Finalmente, los  L-Artículo 4° y R-Artículo 18° prevén el requerimiento de información a entidades públicas y privadas para el cumplimiento de la Ley y Reglamento, en el marco del respeto sobre la información confidencial y la protección de los datos personales[6].

g. Breve comentario. 

La Ley si bien define el concepto de dirección de correo electrónico “serie de caracteres utilizado para identificar el origen o el destino de un correo electrónico”, no determina de qué tipos de caracteres se trata: alfa numéricos u otros; si se respetan las mismas autorizaciones y exclusiones practicadas en la Netiquette; si son permitidos los nombres o denominaciones reales o virtuales de las personas naturales o jurídicas, pseudos o anónimos, las reglas de la propiedad intelectual,…

Tampoco precisa su referencia a un domicilio virtual, entendiéndose que deben responder tanto al cumplimiento de prestaciones de servicios de comunicaciones comerciales, publicitarias o promocionales no solicitadas como a las amenazas o violaciones a los derechos relativos a los servicios de Internet y de correo electrónico. Sí el servicio se presta a favor de personas naturales o jurídicas domiciliadas en el Perú se entenderá que la empresa proveedora de los servicios comerciales o promocionales y de correo electrónico domiciliada en el Perú estará obligada a cumplir con la presente ley tal como desprende del Artículo 2095º del Código Civil: “Las obligaciones contractuales se rigen por la ley expresamente elegida por las partes y, en su defecto, por la ley del lugar de su cumplimiento. (…).”. por lo que estarían obligadas a disponer de los equipos exigidos por la presente Ley.

La Ley Nº 28493 al acuñar la expresión “correo electrónico comercial no solicitado, originado en el país” dificulta su interpretación. El ciberespacio no determina límites territoriales ni nacionales; ubicar el lugar de origen de un mensaje requiere analizar o evaluar técnicamente su procedencia en el territorio peruano. A ello se agrega las costas y costos procesales, que si bien no han sido consideradas explícitamente en la noma, pudieran onerosos, por su duración, contratación de especialistas, uso de instrumentos, programas aplicativos, sistemas.

El Reglamento de la Ley D.S. 031-05-MTC, estima que el no contar con sistemas o programas de bloqueo y/o filtros constituye un ilícito administrativo, que vulnera los principios administrativos de legalidad y tipicidad pues las infracciones y sanciones deben regularse expresamente en las leyes (en este caso en la Ley Nº 28493) y no en el Reglamento. Asimismo, se observa que las prohibiciones reguladas en el Artículo 12º del Reglamento han debido ser reguladas en la ley siguiendo en este sentido los lineamientos administrativos esbozados líneas arriba. Ello no implica que estos supuestos no sean considerados un desamparo al usuario o al afectado por un daño ocasionado al no ser aplicables pues siempre que pueda acreditarlo podrá demandar por daños y perjuicios en la vía civil.

Presentada la denuncia ante la Comisión de Represión de la Competencia Desleal o la Comisión de Protección al Consumidor que buscaría la compensación económica por la infracción de las normas comentadas, el denunciante o demandante evaluará el costo o beneficio de demandar al emisor del correo o la persona interesada por la promoción o publicidad, pues tendrá que aportar la prueba que el mensaje se originó en el país, y examinara, asimismo, si le serán reembolsados integral o parcialmente los costos y costas procesales, incluidos estudios y peritajes. Aparentemente, las multas no tienen el carácter disuasivo o coercitivo esperado.  

A pesar de las falencias identificadas en la Ley Nº 28493 y su Reglamento, es recomendable se cumpla con las exigencias de la presente norma, se incluyan las omisiones, corrijan las defectos normativos, informando al Congreso de los cambios necesarios a la Ley Nº 28493, recomendando al Ministerio de Transportes y Comunicaciones, ente encargado de emitir la norma reglamentaria, incluyendo aquellas instituciones propuestas en Directivas europeas y leyes transpuestas en los Estados que integran la Unión Europea.

La localización y constitución administrativa, jurídica de los proveedores productivos, publicitarios, informáticos en el Perú, tiene aparentemente un idóneo y más rápido control, y consecuentemente, un sobrecosto para el cumplimiento de la normativa que los proveedores ubicados en el extranjero. Porque: primero, amplia las funciones y competencias administrativas de INDECOPI, creando una dependencia encargada de ello, genera una respuesta de la administración de justicia habilitando magistrados especialistas en materia de comunicación electrónica, y específicamente en correo electrónico no deseado, en virtud del principio jurídico de pluralidad de instancias. Segundo, alienta la informalidad, pues supuestamente regula el correo originado en el país pero no resuelve aquel procedente del extranjero, ni arregla los temas referidos al uso de los nombres virtuales, incluidos pseudos y anónimos, ni limita el estimulo a la usurpación de los mismos.

2.  Comunicaciones electrónicas no deseadas (Spam) en Europa

La Directiva 95/46/CE y la Directiva 2002/58/CE constituyen las normas de referencia en materia de protección de los datos personales y de telecomunicaciones aplicables a las comunicaciones electrónicas no deseadas. La primera Directiva establece un marco reglamentario cuya finalidad es lograr un equilibrio entre un elevado nivel de protección de la intimidad de las personas y la libre circulación de datos personales en la UE. Este marco requiere de transponer la Directiva mediante decretos,  traduciendo ésta a las leyes nacionales específicas en cada uno de los países que forman la Unión Europea, ya que sólo las normas aprobadas por el Parlamento pueden ser  impuestas a los Estados y ciudadanos.

    La segunda Directiva forma parte del grupo de Directivas relacionadas a las telecomunicaciones, las  mismas que reagrupan un conjunto de disposiciones legislativas destinadas a regular el sector de las comunicaciones electrónicas y a modificar a la normativa existente en el sector de las telecomunicaciones.

      Ambas Directivas regulan así el tratamiento de datos de carácter personal, y las comunicaciones.

2.1. Consentimiento

a)    Técnica «Opt-in»

La Directiva 2002/58/CE establece en relación a las comunicaciones electrónicas comerciales no solicitadas que los usuarios han de dar su consentimiento[7] previo antes de recibir este tipo de mensajes (técnica «opt-in»)[8], Este sistema abarca también los mensajes de SMS (Short Message Service) y los demás mensajes electrónicos recibidos en cualquier equipo terminal, fijo o móvil. No obstante, la Directiva ha establecido algunas excepciones.

Artículo 10°:

Los Estados miembros velarán por que existan procedimientos transparentes que determinen la forma en que el proveedor de una red pública de comunicaciones o de un servicio de comunicaciones electrónicas disponible al público podrá anular:

a) la supresión de la presentación de la identificación de la línea de origen por un período de tiempo limitado, a instancia de un abonado que solicite la identificación de llamadas malevolentes o molestas; en tal caso, los datos que incluyan la identificación del abonado que origina la llamada serán almacenados y facilitados por el proveedor de la red pública de comunicaciones o del servicio de comunicaciones electrónicas disponible para el público, de acuerdo con el Derecho nacional;

b) la supresión de la presentación de la identificación de la línea de origen y el rechazo temporal o la ausencia de consentimiento de un abonado o un usuario para el tratamiento de los datos de localización, de manera selectiva por línea, para las entidades reconocidas por un Estado miembro para atender llamadas de urgencia, incluidos los cuerpos de policía, los servicios de ambulancias y los cuerpos de bomberos, para que puedan responder a tales llamadas.

b)    «Chivatos» (cookies)

La Directiva 2002/58/CE prevé que los usuarios deben consentir para que se almacene información en su equipo terminal o para que se obtenga acceso a dicha información. En los Considerandos 24 y 25, la Directiva, toma en cuenta que los equipos terminales de los usuarios de redes de comunicaciones electrónicas, así como toda información almacenada en dichos equipos, forman parte del ámbito privado de los usuarios y, en consecuencia, deben ser protegidos de conformidad con el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales.

Los denominados "programas espía" (spyware), web bugs, identificadores ocultos y otros dispositivos similares pueden introducirse en el terminal del usuario sin su conocimiento para acceder a información, archivar información oculta o rastrear las actividades del usuario, lo que puede suponer una grave intrusión en la intimidad de dichos usuarios. Sólo debe permitirse la utilización de tales dispositivos con fines legítimos y con el conocimiento de los usuarios afectados.

Los «chivatos» (cookies) son datos ocultos intercambiados entre un usuario de Internet y un servidor web que quedan archivados en el disco duro del usuario. Su finalidad inicial fue de conservar datos entre dos conexiones, aunque también constituyen un medio de control de las actividades del internauta, la misma que ha sido objeto de críticas.

Si los "chivatos" (cookies), constituyen un instrumento legítimo y útil para analizar la efectividad del diseño y de la publicidad de un sitio web y para verificar la identidad de usuarios partícipes en una transacción en línea, debe autorizarse su uso a condición de que se facilite a los usuarios información clara y precisa al respecto, de conformidad con la Directiva 95/46/CE, para garantizar que los usuarios conozcan la información introducida en el equipo terminal utilizado, o la posibilidad de impedir se almacene en su equipo terminal un "chivato" (cookie) o dispositivo semejante. Esto es particularmente importante cuando otros usuarios distintos al usuario original tienen acceso al equipo terminal y, a través de éste, a cualquier dato sensible de carácter privado almacenado en dicho equipo. La información sobre la utilización de distintos dispositivos que se vayan a instalar en el equipo terminal del usuario en la misma conexión y el derecho a impedir la instalación de tales dispositivos se pueden ofrecer en una sola vez durante una misma conexión y abarcar asimismo cualquier posible utilización futura de dichos dispositivos en conexiones posteriores. La presentación de la información y del pedido de consentimiento o posibilidad de negativa deben ser lo suficientemente accesible para el usuario.

c)    Guías o Anuarios públicos

El Considerando 38 de la Directiva 2002/58/CE precisa que las guías de abonados a los servicios de comunicaciones electrónicas tienen amplia difusión y carácter público. Sin embargo, el derecho a la intimidad de las personas físicas y el interés legítimo de las personas jurídicas exigen que los abonados puedan decidir si hacen públicos sus datos personales en dichas guías y, en caso de hacerse públicos, cuáles entre ellos. Los proveedores de guías públicas deben informar a los abonados que vayan a incluirse en tales guías acerca de la finalidad de las mismas y del uso particular que pueda hacerse de las versiones electrónicas de las guías públicas, especialmente mediante funciones de búsqueda incorporadas al soporte lógico, tales como búsqueda inversa que permiten al usuario de la guía indagar por el nombre y la dirección del abonado a partir exclusivamente de un número de teléfono. 

El Considerando 39 de la misma Directiva afirma que debe imponerse a quien recoja datos a ser incluidos en las guías públicas, en las que figuren los datos personales de los abonados, tienen la obligación de informar a estos últimos acerca de las finalidades de dichas guías. Cuando los datos puedan ser transmitidos a una o más terceras partes, debe informarse al abonado de esta posibilidad, así como acerca del destinatario o de las categorías de posibles destinatarios. Cualquier transmisión debe estar sujeta a la condición de que los datos no puedan utilizarse para otros fines sino para aquéllos a los cuales han sido acopiados. Si alguien recoge datos del usuario, o cualquier tercero a quien se hayan transmitido los datos, desea utilizarlos con un fin accesorio, la renovación del consentimiento del abonado deberá obtenerla de quien recogió inicialmente los datos o el tercero a quien hayan sido transmitidos.

El artículo 12° de la Directiva recoge esas consideraciones:

Los Estados miembros velaran:     
1.   porque se informe gratuitamente a los abonados europeos,
            2.   tengan la opción de decidir si sus datos personales figuran en una guía              pública, y en su caso cuáles de ellos, acorde con la finalidad prevista de la guía por su proveedor, y de comprobar, corregir o suprimir tales datos.
           3.   se recabe el consentimiento previo y específico de los abonados para que su número de teléfono (fijo o móvil), su dirección electrónica y su dirección postal figuren en las guías o anuarios públicos.

Los apartados 1 y 2 se aplicarán a los abonados que sean personas físicas.

Los Estados miembros velarán asimismo, en el marco del Derecho comunitario y de las legislaciones nacionales aplicables, por la suficiente protección de los intereses legítimos de los abonados que no sean personas físicas en lo que se refiere a su inclusión en guías públicas.

2.2. Autorizaciones y Prohibiciones

La Directiva 2002/58/CE ha previsto en el artículo 13°: 
1. Autorizar la utilización de sistemas de llamada automática sin intervención humana (aparatos de llamada automática), fax o correo electrónico con fines de venta directa respecto de aquellos abonados que hayan dado su consentimiento previo, o
2. Habiendo dado su consentimiento en el marco de la Directiva 95/46/CE, en el contexto de la venta de un producto o de un servicio, podrá utilizar dichas señas para la venta directa de sus propios productos o servicios de características similares, a condición de que ofrezca con absoluta claridad a los clientes, sin cargo alguno y de manera sencilla, la posibilidad de oponerse a dicha utilización en el momento en que se recojan las mismas y, en caso de que el cliente no haya rechazado inicialmente su utilización, cada vez que reciban un mensaje ulterior.
3. Los Estados miembros tomarán las medidas adecuadas para garantizar, que, sin cargo alguno, no se permitan las comunicaciones no solicitadas con fines de venta directa en casos que no sean los mencionados en los apartados 1 y 2, bien sin el consentimiento del abonado, bien respecto de los abonados que no deseen recibir dichas comunicaciones. La elección entre estas dos posibilidades será determinada por la legislación nacional.
4. Se prohibirá, en cualquier caso, la práctica de enviar mensajes electrónicos con fines de venta directa en los que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación, o que no contengan una dirección válida a la que el destinatario pueda enviar una petición de que se ponga fin a tales comunicaciones.
5. Los apartados 1 y 3 se aplicarán a los abonados que sean personas físicas. Los Estados miembros velarán asimismo, en el marco del Derecho comunitario y de las legislaciones nacionales aplicables, por la suficiente protección de los intereses legítimos de los abonados que no sean personas físicas en lo que se refiere a las comunicaciones no solicitadas.

2.3. Características técnicas y normalización
La Directiva 2002:58/CE ha previsto en el articulo 14°:
1. Al aplicar las disposiciones de la presente Directiva, los Estados miembros velarán, sin perjuicio de los apartados 2 y 3, por que no se impongan requisitos obligatorios respecto de características técnicas específicas a los equipos terminales u otros equipos de comunicaciones electrónicas que puedan obstaculizar la puesta en el mercado de dichos equipos y su libre circulación en los Estados miembros y entre estos últimos.
2. Cuando las disposiciones de la presente Directiva sólo puedan aplicarse mediante la implantación de características técnicas específicas en las redes de comunicaciones electrónicas, los Estados miembros informarán a la Comisión de conformidad con el procedimiento establecido en la Directiva 98/34/CE del Parlamento Europeo y del Consejo, de 22 de junio de 1998, por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas y de las reglas relativas a los servicios de la sociedad de la información.
3. Cuando proceda, se podrán adoptar medidas para garantizar que los equipos terminales estén fabricados de manera compatible con el derecho de los usuarios de proteger y controlar el uso de sus datos personales, de conformidad con la Directiva 1999/5/CE y la Decisión 87/95/CEE del Consejo, de 22 de diciembre de 1986, relativa a la normalización en el campo de la tecnología de la información y de las telecomunicaciones.

Conclusiones

1. El enfoque legislativo peruano resultante de la Ley N° 28493,  su Modificatoria N° 29246 y su Reglamento D.S Nº 031-2005-MTC sobre comunicaciones comerciales publicitarias o promocionales no solicitadas (Spam) realizadas por correo electrónico es defectiva pues solo contempla ese aspecto de la comunicación y no otras formas realizadas vía otros medios: mensajes SMS (Short Message Service), MMS (Multimedia Messaging Service) y demás mensajes electrónicos emitidos/recibidos desde/en cualquier equipo terminal, fijo o móvil; privilegiando la regulación de esta forma particular de mensaje.

2. La regulación arriba anotada comprende SOLO el correo electrónico de información comercial publicitaria o promocional de bienes y servicios de una empresa, organización, persona o cualquier otra con fines lucrativos, incluyendo la información sobre eventos, certámenes y/o actividades, comercializados, ofrecidos, patrocinados u organizados por personas naturales o jurídicas. Aun cuando existen otros medios de comunicación y que la finalidad no sea motivada por fines lucrativos, sino altruistas, porque amenaza o viola los datos personales, la privacidad e intimidad, su tiempo y recursos y pueden constituirse bases de datos ilegales.

3. Será considerado, así mismo, como Correo Electrónico Comercial Solicitado: el envío de mensajes de aquellos remitentes que tengan una relación contractual previa con el receptor o usuario, siempre y cuando se envíe comunicaciones comerciales referentes a bienes o servicios de la empresa del remitente y tengan relación con los servicios inicialmente contratados. 

4. No se considera correos electrónicos comerciales aquellos mensajes destinados a la promoción o fomento de actividades, eventos u otros remitidos por las entidades públicas del Estado. Esta afirmación es controvertida por la dificultad de distinguir entre mensajes políticos proselitistas personales o partidarios, y aquellos de promoción de eventos o actividades educativas, sociales, de defensa y seguridad.  

5. Aun cuando son derechos de los usuarios:
- rechazo de recepción o no de los correos electrónicos,
- simple reenvío al emisor (incluida copia a la cuenta implementada por INDECOPI, como prueba de rechazo de recepción de correos electrónicos comerciales no deseados) o
- revocación de la autorización; incluido disponer que el proveedor de los servicios de correo electrónico cuente con sistemas o programas que filtren los correos electrónicos publicitarios o promocionales no solicitados.

Salvo error de interpretación, este aparente último derecho resulta más bien una obligación ilegal de detrimento técnico y económico del usuario. Como resulta igualmente ilegal, la indefinición técnica de uso “Opt in”, de consentimiento previo por el usuario, para el envío de mensajes.     
           
6. Solo pueden ser materia de regulación los correos electrónicos comerciales, no solicitados, originados en el país, los generados fuera del Perú, si bien tienen un efecto sobre el comercio, la publicidad y los consumidores innegable, ellos no son objeto de sanciones ni penalidades. 

7. El incumplimiento de las obligaciones de:

·         inclusión de una dirección de correo electrónico válido y activo de respuesta, por parte de la persona natural o jurídica que emite el mensaje; y/o
·         la eliminación de la base de datos de los usuarios que rechazaron el mensaje, o que luego de haberlo aceptado lo rechazan posteriormente; y/o
·         de envío de correos ilegales 

Son pasibles de denuncia por el receptor o usuario contra:

·         toda persona que envíe correos electrónicos,
·         empresas o personas beneficiarias de manera directa con la publicidad difundida y los
·         intermediarios o proveedores de correos electrónicos no solicitados 

Y son de conocimiento de las infracciones y multas en UIT por la Comisión de Protección al Consumidor y de la Comisión de Represión de la Competencia Desleal de INDECOPI.

Contrariamente, las Directivas Europeas 95/46/CE y 2002/58/C, delegan estas funciones y competencias en las Autoridades administrativas independientes a cargo de la Protección de Datos Personales en cada Estado europeo. La protección de datos personales se amparan en la Constitución y en las Leyes y Reglamentos específicos peruanos, cuya ponderación axiológica es mayor que las libertades y derechos vinculados la comunicación, comercio y/o protección del consumidor, potenciándose la amenaza o violación por el uso de las tecnologías de la información y de las comunicaciones, particularmente, Internet y telefonía.   

8. Las prohibiciones contemplan el uso de medios, falseamientos, ocultamientos, usos desautorizados, manipulaciones que permiten emitir mensajes, eludir bloqueos o filtros facilitando la generación de correos, listas de contactos, anuarios desde direcciones o cuentas de terceros, o fijando aparentes direcciones de tratamiento o de respuestas. Los spams que se sustentan técnicamente en estos medios debieran ser considerados ilegales, o menos de aportarse la prueba de su licitud. La ilicitud comprende también a quienes remitieron los mensajes, u obtuvieron un beneficio de esas actividades; o aquellos que utilizaron base de datos ilegales, actuando con negligencia y/o dolo pudieran se pasibles de daños. 

Sin embargo, estas prohibiciones no contemplan:

·     la utilización de sistemas de llamada automática sin intervención humana (aparatos de llamada automática), fax o correo electrónico con fines de venta directa respecto de aquellos abonados que hayan dado su consentimiento previo,
·      el consentimiento dado en el marco de la Ley 29733 y su Reglamento 003-2013-JUS, en el contexto de la venta de un producto o de un servicio, si puede utilizarse dichas señas electrónicas para la venta directa de sus propios productos o servicios de características similares, a condición de que ofrezca con absoluta claridad a los clientes, sin cargo alguno y de manera sencilla, la garantía, que, sin cargo alguno, no se permitan las comunicaciones no solicitadas con fines de venta directa en casos que no sean los mencionados en los párrafos precedentes, bien sin el consentimiento del abonado, bien respecto de los abonados que no deseen recibir dichas comunicaciones.

9. Sobre las características técnicas y normalización, no ha sido previsto que el Estado vele:
 
·    porque no se impongan requisitos obligatorios respecto de características técnicas específicas a los equipos terminales u otros equipos de comunicaciones electrónicas que puedan obstaculizar la puesta en el mercado de dichos equipos y su libre circulación en los Estados miembros y entre estos últimos.
·   cuando sólo puedan aplicarse mediante la implantación de características técnicas específicas en las redes de comunicaciones electrónicas, deberá establecerse un procedimiento de información en materia de normas y reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información ente los Estados miembros de grupos sub regionales o regionales a los cuales Perú es adherente;
·   en este mismo orden de ideas, los Estados miembros de grupos sub regionales o regionales a los cuales Perú adhiere podrán adoptar medidas para garantizar que los equipos terminales se fabriquen de manera compatible con el derecho de los usuarios de proteger y controlar el uso de sus datos personales. 

10. Finalmente, son dos concepciones de acentos diferentes las que intentan regular o proteger el spam: ésta referida en el Perú al objeto comercial, publicitario, del consumidor, la misma que utiliza una forma de comunicación, el correo electrónico y una técnica “Opt out”; y aquella relativa a Europa, vinculada a la prima protección de los datos personales de la persona humana, sin descuidar los aspectos comerciales, utilizando diversas formas de comunicación electrónica: correo electrónico, fax, SMS, MMS, y una técnica “Opt in”, que implícitamente requiere de consentimiento previo.  

 Peo esto no es sino la consecuencia del enfoque peruano, de haber fraccionado arbitrariamente la regulación de la protección de los datos personales entre dos entes: la Autoridad Nacional de Protección de Datos Personales (MINJUS) e  INDECOPI para las Centrales de Riesgo[9], particularmente en  materia de información financiera, crediticia, comercial y de seguros de personas naturales y jurídicas, la misma que exponen sensiblemente a la persona humana, y obtienen en muchos casos, el perfil y comportamiento de las personas mediante asociación, cruce y/o interconexión de archivos pemitidos por la ley que regula las Centales de riesgo en el Peru, peo que son considerados como métodos ilegales, reprensibles y punibles en la legislación europea.




[1] La ley N° 28493 precisa en su artículo 2° Definiciones:
a) Correo electrónico, “Todo mensaje, archivo, dato u otra información electrónica que se transmite a una o más personas por medio de una red de interconexión entre computadoras o cualquier otro equipo de tecnología similar. También se considera correo electrónico la información contenida en forma de remisión o anexo accesible mediante enlace electrónico directo contenido dentro del correo electrónico.” b) Correo electrónico comercial: Todo correo electrónico que contenga información comercial publicitaria o promocional de bienes y servicios de una empresa, organización, persona o cualquier otra con fines lucrativos.
Podemos aprehender entonces, que los elementos del primero son: 1. Mensaje, archivo, dato u otra información electrónica como la información contenida en forma de remisión o anexo accesible mediante enlace directo contenido dentro del correo electrónico. 2. Transmitido a una o más personas por medio de una red de interconexión entre computadoras o cualquier otro equipo de tecnología similar. Y que los elementos del segundo son: 3. Información comercial, publicitaria, promocional de bienes y servicios de una empresa, organización, persona o cualquiera otra (¿?) 4. Con fines lucrativos.
La Directiva 2002/58/CE en el Artículo 2, Definiciones, Inciso h):          
h) "correo electrónico": todo mensaje de texto, voz, sonido o imagen enviado a través de una red de comunicaciones pública que pueda almacenarse en la red o en el equipo terminal del receptor hasta que éste acceda al mismo.
[2] Por ejemplo, el artículo 112° de este Código sirvió como referencia para aplicar y graduar la primera sanción contra el spam en 2009. Véase: http://elcomercio.pe/lima/ciudad/indecopi-emitio-primera-sancion-enviar-spam-peru-noticia-340716
[3] La ley 28493 dispuso 2 %, la ley modificatoria N° 29246 la elevó a 3%.
[4] Precísese que la definición de proveedor del servicio de correo electrónico contenida en el inciso c) del artículo 2° de la Ley e inciso 4) del artículo 3° del presente Reglamento, no comprende proveedores del medio de transmisión  ni a los proveedores del servicio de conmutación de datos por paquetes que permiten el acceso al servicio Internet. 
[5] 3800 nuevos soles para 2014.
[6]  Artículo 18º.- Requerimientos de Información
El Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual - Indecopi, cuando lo estime conveniente, podrá solicitar cualquier tipo de información a entidades públicas o privadas para el cumplimiento de la presente Ley y de su Reglamento, debiendo cumplir en lo que resulte pertinente, con las normas sobre información confidencial y protección de datos personales.
[7] Directiva 95/46/CE Articulo 2, Definiciones, Inciso h) «consentimiento del interesado»: toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.
[8] Si se utiliza la técnica de mercadeo opt-in (también llamada “marketing de permiso”), el usuario debe consentir previamente para ser incluido en la lista de destinatarios de la campaña publicitaria. Esto se realiza mediante formularios disponibles en los sitios web de la empresa o del publicista. Esta primera autorización puede requerir de un nuevo consentimiento, solicitado mediante mensaje de correo, puede hablarse así de doble opt-in.
En cambio, en la técnica de opt-out se presupone que el usuario pudiera está interesado en los anuncios a enviársele y no se  le pide autorización. En este caso, el usuario sí está en condiciones de solicitar que se lo excluya de la nómina. Ambas técnicas no permiten de generar una base de datos de destinatarios, que puede ampliar el público potencial, y demandas a los publicistas. El valor y la pertinencia de la base de datos pueden variar según los tipos de registro, los rechazos,  la reiteración o la molestia causada. Perú no ha optado por una u otra técnica. 
[9] Son instituciones de carácter público como privado que constituyen un sistema integrado de registro de riesgos financieros, crediticios, comerciales y de seguros, cuyo  objeto es brindar información sobre el nivel de endeudamiento y antecedentes crediticios de personas naturales y jurídicas. La Ley de Bancos peruana establece que la Superintendencia de Banca, Seguros y AFP (SBS) “tendrá a su cargo un sistema integrado de registro de riesgos financieros, crediticios, comerciales y de seguros denominado ‘Central de Riesgos’, el mismo que contará con información consolidada y clasificada sobre los deudores de las empresas” que están bajo su supervisión. Precisa que la información que se registrará en dicha Central de Riesgos corresponderá a “los riesgos por endeudamientos financieros y crediticios en el país y en el exterior, los riesgos comerciales en el país, los riesgos vinculados con el seguro de crédito y otros riesgos de seguro, dentro de los límites que determine la Superintendencia.” Agrega que esta información estará “a disposición de las empresas del sistema financiero y de seguros, del Banco Central, de las empresas comerciales y de cualquier interesado en general, previo pago de las tarifas que establezca la Superintendencia. De este modo, las Centrales privadas acceden a la base de la SBS y la complementan con información de diversas fuentes, como la Superintendencia de Administración Tributaria (Sunat), la Cámara de Comercio de Lima así como de otras casas comerciales y empresas de servicios públicos.

1 comentario: