¿Quieres tener tu página web o e-Commerce adaptada a la nueva normativa?

Las medidas de seguridad de los ficheros son el conjunto de medidas de carácter técnico y organizativo que debe implantar el Responsable de ficheros automatizados de datos de carácter personal, a fin de garantizar la seguridad de estos, de los centros de tratamiento de los datos, de los locales en los que se ubican físicamente los ficheros de datos, de los equipos, sistemas informáticos y programas que se utilicen para su almacenamiento y tratamiento, y de las personas que realizan las labores de recogida y tratamiento de los datos.

El responsable del tratamiento deberá hacer efectivo y atender las solicitudes del afectado para el ejercicio de los siguientes derechos:

Derecho de acceso: El interesado tendrá derecho a solicitar y a obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de sus datos o que se prevén hacer con los mismos. Este derecho solo podrá ser ejercitado a intervalos no inferiores a doce meses.

Derecho de rectificación y cancelación: El responsable deberá así mismo hacer efectivo estos derechos en un plazo de diez días. Se deberá proceder a la rectificación y cancelación de los datos, en la forma legalmente recogida, siempre que los datos objeto de tratamiento no se ajusten a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos.

Derecho de oposición: Los interesados (titulares) pueden oponerse al tratamiento de sus datos, de conformidad con lo revisto en la Ley que establece:

En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.»

Habrá de tenerse en cuenta que el consentimiento es revocable, a salvo de las excepciones previstas por la Ley.

Los procedimientos para ejercitar los derechos del afectado serán establecidos reglamentariamente, facilitando la AEPD unos impresos para la solicitud de los mismos o pudiendo el afectado dirigirse a la dirección facilitada por el responsable del fichero.

Es un Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada. Actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones.

Su finalidad principal es velar por el cumplimiento de la legislación sobre protección de datos personales y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, oposición, rectificación y cancelación de datos.

La AEPD puede llevar a cabo inspecciones de oficio o a instancia de los afectados, dirigiéndose a los locales en los que se hallen los ficheros. El director de la AEPD ostenta entre sus funciones la potestad de iniciar, impulsar y resolver los expedientes sancionadores instruidos por la AEPD.

El ejercicio de la potestad sancionadora de la AEPD se determinará por la LOPD. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuricidad y de culpabilidad presentes en la concreta actuación del cliente. Es el órgano sancionador el que establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que proceda en relación con la gravedad de cada caso.

Cualquier persona, cliente, proveedor, empleado, vecino, competencia…, puede poner una denuncia (gratuita) en la Agencia Española de Protección de Datos y simplemente por no estar dado de alta en la Agencia ya tiene la primera sanción.

El envío de publicidad personalizada, requiere el consentimiento tanto de los clientes como de los que no lo sean, excepto si los datos son cogidos de fuentes accesibles al público (repertorios telefónicos) y no están registrados en las llamadas Lista Robinson (listas de exclusión publicitaria).

Obtener el consentimiento de los clientes para poder enviarles publicidad es un trabajo que requiere implementar las cláusulas oportunas en los formularios de recogida de datos o solicitarlo posteriormente.

Solo se puede enviar publicidad cuando tenemos el consentimiento de los clientes o se obtienen los datos de una fuente accesible al público

Esta pregunta que nos han hecho de vez en cuando, tiene varias respuestas según el contexto en el que se cuestiona la necesidad de indicar las cláusulas habituales en las comunicaciones que se realizan por parte de las empresas. Por ejemplo, cuando nos dirigimos a posibles clientes, de cuyos datos los hemos recabado de fuentes accesibles al público (normalmente repertorios telefónicos), tenemos la obligación de decirles quien está tratando sus datos, de donde los hemos sacado y donde pueden ejercer sus derechos).

En cualquier caso hablamos de uno de los principios de la LOPD, que nos indica el deber de información que tienen las organizaciones como responsables del fichero a informar de la existencia del fichero, el responsable del mismo, la finalidad, la dirección para el ejercicio de derechos, etc..

¿Podemos imaginar el enfado de los afectados, en caso de recibir 5, 10, 20 cartas al mes sin saber de dónde han sacado sus datos y quien los está tratando?

Es toda revelación de datos realizada a una persona distinta del interesado. La LOPD establece que los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

Un encargado del tratamiento es un servicio externo que realiza un tratamiento sobre los datos de nuestros ficheros, ya sea de forma gratuita o de pago, temporalmente o indefinidamente.

Por ejemplo:

Las gestorías/asesorías en el caso de la confección de las nóminas, contabilidades, etc…

Los administradores de fincas en su relación con las comunidades de propietarios.

Los servicios de hospedaje de bases de datos.

Los servicios de backup online (copia de seguridad remota).

Las empresas de formación que recaban los datos a través de las empresas y no directamente de los alumnos.

Es un documento que la nueva LOPD-GDD ya no es de carácter obligatorio, pero sí aconsejable tenerlo elaborado. En él se detallan las medidas de seguridad y las características del fichero o ficheros inscritos en la Agencia Española de Protección de Datos. Las empresas deben tenerlo y a mantenerlo actualizado.

El Real Decreto no determina un perfil o una titulación específica que pudiera ser necesaria para realizar la auditoría. No obstante, sí especifica que la auditoría puede ser interna o externa. Nuestra recomendación es que si la empresa no dispone de un experto en la materia, recurra a un auditor externo, que pueda acreditar la experiencia necesaria en proyectos similares, y que garantice un servicio personalizado y comprometido.

Para aquellas empresas que sea obligatorio, esta función la realizará el Delegado de Protección de Datos (DPD o DPO en inglés).

El objeto principal de la auditoría no es dictaminar si la empresa cumple o no con la LOPD y RGPD, sino identificar las posibles deficiencias en el tratamiento para implantar las medidas correctoras necesarias a fin de garantizar la seguridad de los datos personales, los Derechos de los afectados por el tratamiento y los Principios de la Protección de Datos.

Según el régimen sancionador de la LOPD-GDD, el incumplimiento del Deber de Seguridad, conllevaría una sanción de hasta 40.000 euros para SANCIONES LEVES, De entre 40.001€ y 300.000€ para SANCIONES GRAVES o de entre 300.001 y 20.000.000 euros o entre el 2%-4% de la facturación bruta anual para las SANCIONES MUY GRAVES para los Responsables de Ficheros de titularidad privada.

Se considera transferencia internacional de datos toda transmisión de los mismos fuera del territorio español. En particular se consideran como tales las que constituyan una cesión o comunicación de datos y las que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero.
A efectos de la Instrucción 1/2000, de 1 de diciembre de la A.E.P.D, relativa a las normas por las que se rigen los movimientos internacionales de datos, se entiende por transmitente la persona física o jurídica, pública o privada, responsable del fichero o del tratamiento de los datos de carácter personal que son objeto de transferencia internacional, y por destinatario la persona física o jurídica, pública o privada, situada fuera del territorio español que recibe los datos transferidos.

Si, es obligatorio en caso de tener empleados (Los datos de los empleados están igualmente protegidos) o sistema de video vigilancia con grabación de imágenes.

Únicamente quienes no tengan empleados, no tengan clientes particulares, ni de clientes, ni proveedores, ni video vigilancia con grabación, están exentos de cumplir con la LOPD.

La LOPD es de obligado cumplimiento. Inexcusablemente esta Ley le afecta desde el primer momento que usted empieza a tratar con datos de carácter personal.

El concepto de dato personal, según la definición de la Ley Orgánica 5/2018, de 3 de diciembre, de protección de datos de carácter personal, comprende cualquier información concerniente a persona física identificada o identificable, de donde se requiere la concurrencia de un doble elemento: por una parte la existencia de una información o dato y de otra, que dicho dato pueda vincularse a una persona física identificada o identificable.

En el supuesto de direcciones electrónicas la información está constituida por un conjunto de signos que cuando permiten la vinculación directa o indirecta con una persona física la convierte en un dato de carácter personal.

El tratamiento de datos personales (en este caso, la dirección del e-mail) requiere el consentimiento de los titulares de los datos o bien la existencia de una Ley que lo ampare. En consecuencia, la utilización de e-mail sin consentimiento podría ser vulneración de la normativa sobre protección de datos, siendo denunciable ante la Agencia Española de Protección de Datos.

La Ley entiende por fichero todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Los ficheros pueden ser tanto físicos (en soporte de papel), como informatizados (soporte automatizado).

Son aquellos datos que, por ser especialmente sensibles, afectan a la intimidad de las personas. La Ley considera especialmente protegidos los datos relativos a la ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual. Este tipo de datos requieren un nivel de seguridad alto.

Para los datos que se refieren a la comisión de infracciones penales o administrativas es necesario aplicar un nivel de seguridad medio.

No. La LOPD sólo se aplica a los datos que se refieren a las personas físicas, con el objeto de garantizar y proteger los derechos fundamentales de las personas y, especialmente, de su honor e intimidad personal y familiar.

Afecta tanto a ficheros informatizados como a los recogidos en papel u otro soporte.

Son dato de carácter personal es cualquier información numérica, alfabética, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables, tanto la relativa a su identidad (nombre y apellidos, domicilio, filiación, una fotografía o video, etc.) como la relativa a su existencia y ocupaciones (estudios, trabajo, enfermedades, etc.)

Ejemplos de datos de carácter personal son las direcciones postales, las cuentas de correo electrónico, el DNI, las altas y bajas médicas, la información financiera y fiscal o la afiliación política.
Los datos relativos a una persona jurídica (domicilio, denominación social, CIF, etc.) no tienen la consideración de datos de carácter personal, por lo tanto, no le será de obligada aplicación el Reglamento de Protección de Datos.

Si su empresa no está adaptada a la LOPD o la adaptación es incorrecta, la Ley de Protección de Datos (LOPD-GDD) estipula una serie de sanciones económicas que varían en función de la infracción realizada y que puedenser LEVES: hasta 40.000 euros, GRAVES: De 40.000 euros hasta 300.000 euros o MUY GRAVES: De 300.000 euros hasta 2.000.000.- euros o entre el 2% y 4% de la facturación bruta anual.

La normativa es de obligado cumplimiento para cualquier empresa o profesional y entidad pública o privada que disponga, acceda y trate datos de carácter personal, sea cual sea su volumen o actividad. El tener pocos datos o sólo datos identificativos (nombre, apellidos y e-mail) no excluye al cumplimiento de la norma.
Las excepciones:
• Tratamiento de datos con fines estrictamente domésticos. Por ejemplo: el tratamiento sobre la agenda de teléfonos particular no estaría dentro del ámbito de aplicación.

• Tratamiento de datos de empresarios individuales (autónomos), cuando se haga referencia a ellos en calidad de comerciantes, industriales o navieros.

• Tratamiento de datos que se limiten a los datos de las personas que presten servicios en empresas, cuando se limite a tratar nombre, apellidos, funciones o dirección, teléfono, número de fax.

• Ficheros sometidos a la normativa sobre protección de materias clasificadas.

Ficheros establecidos par al investigación del terrorismo y formas graves de delincuencia….

La Ley es de aplicación a las páginas web que ofrezcan mensajes publicitarios por los que el titular de la página perciba algún ingreso. Sin embargo, los únicos requisitos que establece la Ley en cuanto al contenido de las páginas de Internet consisten en incluir una información básica en la página web del prestador. Para una página web personal, la información que debe facilitarse es la siguiente:

• Su nombre
• Domicilio (indicando, al menos, la localidad y provincia de residencia)
• Dirección de correo electrónico.
• Número de Identificación Fiscal (NIF).
• Cualquier dato que permita establecer una comunicación directa y efectiva, como podría ser, por ejemplo, un teléfono o un número de fax.
• Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos electrónicamente.

La publicidad que se muestre en la página web deberá ajustarse a lo establecido en la Ley, la cual obliga a identificar al anunciante y a presentarla de manera claramente distinguible de los contenidos no publicitarios de la página. Así mismo, deberán respetarse las restantes normas sobre publicidad, recogidas en otras leyes.

Cuando éste percibe ingresos directos (por las actividades de comercio electrónico que lleve a cabo a través de la página, etc.) o indirectos (por publicidad, patrocinio, etc.) derivados de su página web, con independencia de que éstos permitan sufragar el coste de mantenimiento de la página, igualen esa cantidad o la superen.

Las obligaciones de los prestadores de servicios que realicen actividades económicas a través de Internet se concretan en dos grupos: obligaciones de información y obligaciones en relación con la contratación on-line. Por lo que se refiere a las obligaciones de información, la empresa debe incluir en su página web información básica que permita a los usuarios identificar quién es el titular de dicha página.

La información básica que se debe facilitar es, en síntesis, la siguiente:

Su denominación social, Número de Identificación Fiscal (NIF), domicilio y dirección de correo electrónico, así como cualquier otro dato que permita una comunicación directa y efectiva, como por ejemplo un teléfono o un número de fax.

Datos de inscripción, en el caso de que la empresa esté registrada en el Registro Mercantil o en cualquier otro registro público.

Información sobre el precio de los productos, indicando si incluye o no los impuestos aplicables, gastos de envío y cualquier otro dato que deba incluirse en cumplimiento de normas autonómicas aplicables.

Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos electrónicamente.

En los casos de que su actividad esté sujeta a autorización previa o ejerza una profesión regulada, deberá informar a los usuarios sobre los siguientes aspectos:

• Si ejerce alguna profesión regulada (abogado, médico, arquitecto, ingeniero), los datos básicos que acrediten su derecho a ejercer dicha profesión (colegio profesional al que pertenece, número de colegiado, título académico, Estado de la Unión Europea en que se expidió el título académico y, en su caso, la correspondiente homologación).

• Si su actividad estuviera sujeta a autorización administrativa, los datos de la autorización de que disponga y los identificativos del órgano encargado de su supervisión.

Además de la información básica señalada anteriormente:

Si la empresa realiza contratos en línea o por vía electrónica a través de su página web, deberá antes de iniciar el procedimiento de contratación: poner a disposición del usuario, mediante técnicas adecuadas al medio de comunicación utilizado, de forma permanente, fácil y gratuita, información clara, comprensible e inequívoca sobre:

• Los trámites o pasos que debe seguir para celebrar el contrato.

• Si va a archivar el documento electrónico del contrato y si va ser accesible.

• Los medios técnicos que pone a su disposición para identificar y corregir los errores en la introducción de los datos, antes de confirmarlos.

• La lengua o lenguas en las que puede formalizarse el contrato.

• Las condiciones generales de contratación que, en su caso, rijan el contrato.

Una vez que el consumidor haya enviado su aceptación: la empresa habrá de enviarle una confirmación sobre la recepción de su pedido.

Sí. La Ley se aplica a toda actividad con trascendencia económica que se realice por medios electrónicos. En este caso, la empresa sólo está obligada a facilitar, a través de su página web, los datos de información general establecidos en el artículo 10 y a asegurarse de que la publicidad de otras empresas que, en su caso, figure en la página web pueda distinguirse claramente del contenido propio de la página y esté identificado el anunciante.

• Revisar la información facilitada por su proveedor de acceso a Internet sobre herramientas que permitan el filtrado de contenidos no deseados.

• Poner filtros que eviten la recepción de comunicaciones comerciales no deseadas.

• Si considera que se ha cometido una infracción del artículo 21 o del artículo 22 de la LSSI, diríjase a la Agencia Española de Protección de Datos.(agpd.es).

• Si considera que se ha cometido una infracción del artículo 20 de la LSSI, diríjase al Ministerio de Industria, Energía y Turismo.

Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales:

• Deben recabar el consentimiento de los destinatarios después de que los mismos hayan sido informados de manera clara y completa sobre su utilización y finalidad, en particular sobre los fines del tratamiento de los datos.

• El consentimiento del destinatario podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél proceda a su configuración o actualización mediante una acción expresa a tal efecto.

• Lo anterior no impedirá el posible almacenamiento o acceso a datos con el fin de efectuar o facilitar técnicamente la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Los proveedores de acceso a Internet deberán, a partir del 29 de marzo de 2008:

• Informar a sus usuarios sobre los medios técnicos que permitan la protección frente a las amenazas de seguridad en Internet (virus informáticos, programas espías, spam) y sobre las herramientas para el filtrado de contenidos no deseados.

• Informar a sus clientes sobre las medidas de seguridad que apliquen en la provisión de sus servicios.

• Informar a sus clientes sobre las posibles responsabilidades en que puedan incurrir por el uso de Internet con fines ilícitos.

Los prestadores de servicios de correo electrónico deberán, a partir del 29 de marzo de 2008:

Informar a sus clientes sobre las medidas de seguridad que apliquen en la provisión de sus servicios.

Los prestadores de servicios de intermediación:

• No tienen obligación de supervisar los contenidos que alojan, transmiten o clasifican en un directorio de enlaces, pero deben colaborar con las autoridades públicas cuando se les requiera para interrumpir la prestación de un servicio de la sociedad de la información o para retirar un contenido de la Red.

• No son, en principio, responsables por los contenidos ajenos que transmiten, alojan o a los que facilitan acceso, pero pueden incurrir en responsabilidad si toman una participación activa en su elaboración o si, conociendo la ilegalidad de un determinado material, no actúan con rapidez para retirarlo o impedir el acceso al mismo.

La normativa española se aplicará a los contratos que los consumidores celebren con prestadores establecidos en España. El lugar de establecimiento en España de un prestador de servicios debe estar indicado en su página web y puede comprobarse mediante consulta al Registro Mercantil u otro en que el prestador esté inscrito.

También se aplicará la Ley española a las compras que efectúen a prestadores de servicios establecidos en otro Estado de la Unión Europea o del Espacio Económico Europeo (países de la Unión Europea más Noruega, Islandia y Liechtenstein), siempre que la normativa española sea más beneficiosa para el consumidor que la legislación del país en que resida el prestador de servicios.

Si la compra o la contratación del servicio se realiza a un prestador de servicios establecido en un país que no pertenezca al Espacio Económico Europeo, la legislación española sólo será aplicable si los consumidores españoles compran en tiendas virtuales que dirijan su actividad al mercado español o se hayan puesto en contacto con el consumidor a través de correo electrónico.

El consentimiento expreso del destinatario puede recabarse, en particular, de las siguientes maneras:

• En el marco de un procedimiento de contratación o suscripción a algún servicio que tenga lugar vía web y en el que el destinatario deba facilitar su dirección de correo electrónico, incluyendo en las condiciones generales de contratación una cláusula sobre el consentimiento del destinatario a la recepción de comunicaciones comerciales y solicitando su aceptación junto con el contrato, o bien formulando una pregunta concreta al usuario sobre si acepta el envío de comunicaciones comerciales.
• Ofreciendo a los usuarios la posibilidad de facilitar su dirección de correo electrónico para recibir información sobre los productos o servicios ofrecidos por la empresa mediante un mensaje y un formulario tipo incluido en su página de Internet.

El artículo 27 de la Ley indica que la información previa a la contratación ha de ser clara, comprensible e inequívoca y debe ponerse a disposición del usuario de forma permanente, fácil y gratuita, antes de iniciar el procedimiento de contratación, mediante técnicas adecuadas al medio de comunicación utilizado.

La obligación de poner a disposición la información se dará por cumplida si el prestador la incluye en su página o sitio web.

Cuando a los servicios se acceda mediante dispositivos que cuenten con pantallas de formato reducido (ej. móviles) se dará por cumplida la obligación si se facilita la dirección de Internet donde se encuentre dicha información.

En general, la LSSI no se aplica a las Administraciones Públicas, puesto que éstas no tienen el carácter de prestador de servicios de la sociedad de la información definido en su anexo. De esta forma, determinadas actividades típicas de las Administraciones, como la gestión electrónica de la recaudación de tributos o la información sobre los servicios de un tercero (como podría ser la mera información en la página web de un Ayuntamiento sobre las casas rurales existentes en el término municipal) se consideran como actividades públicas o de interés general distintas a la «actividad económica» a la que se refiere la LSSI.

Sin embargo, cuando la actividad de una Administración sí tenga un carácter económico (por ejemplo, la venta de libros turísticos por una entidad pública dependiente de un Ayuntamiento), le será aplicable la LSSI.

La prestación de consentimiento expreso exige la manifestación de una voluntad libre, informada, específica e inequívoca, que no deje lugar a duda, de aceptación del envío de comunicaciones comerciales realizadas por correo electrónico u otro medio de comunicación individual equivalente. Este requisito se entendería cumplido por ejemplo, si el prestador de servicios, después de informar al usuario sobre el uso al que destinará su dirección o número de teléfono, le ofrece la oportunidad de manifestar su conformidad con el envío de comunicaciones comerciales haciendo «clic» en una casilla dispuesta al efecto.

Este requisito no se cumple cuando, sin haber autorizado de forma expresa la recepción de comunicaciones comerciales, el destinatario tolera o no se opone a su envío, cuando no responde a los mensajes por los que se solicita su consentimiento y, por supuesto, cuando se ha opuesto a su recepción.

Para determinar la jurisdicción competente para la resolución de conflictos en materia contractual cuando un consumidor intervenga como parte en el contrato, es preciso acudir a las normas de Derecho Internacional privado, las cuales tienen en cuenta distintos puntos de conexión para fijar la extensión de la jurisdicción de los jueces y tribunales.

Con carácter general, un consumidor residente en España que haya celebrado un contrato on-line con un prestador establecido fuera de España sólo podrá ser demandado ante los tribunales españoles y podrá, a su vez, demandar al prestador ante los tribunales españoles cuando el contrato se haya celebrado gracias a una oferta que el prestador le hubiera dirigido personalmente (correo electrónico) o que hubiera dirigido al mercado español o a varios mercados, incluido el español.

En los demás casos, si un consumidor residente en España quisiera demandar a una empresa establecida fuera de nuestro país por el incumplimiento de un contrato celebrado por vía electrónica, sería necesario alegar otras circunstancias, por ejemplo, que la obligación que da lugar a la demanda debía cumplirse en España, para fundar la competencia de los tribunales españoles.

Como se ve, en la contratación transfronteriza, no siempre puede asegurarse que los jueces y tribunales españoles sean competentes para conocer de la demanda. Por eso, la Ley potencia los mecanismos de resolución extrajudicial de conflictos, y, en especial, aquéllos que se basen en la utilización de medios electrónicos y sean reconocidos en otros Estados.

Se refiere a aquéllos que permitan una comunicación individual entre el prestador y el destinatario de servicios, como, por ejemplo, los mensajes cortos (SMS) y los mensajes multimedia (MMS) dirigidos a terminales de telefonía móvil.

Al igual que para prestar servicios a través de Internet no se requiere ninguna clase de autorización administrativa, no existe ningún Registro en el que deban inscribirse los prestadores de servicios por el hecho de utilizar medios electrónicos para realizar su actividad.

El criterio para determinar si un servicio o página web está incluido dentro del ámbito de aplicación de la Ley es si constituye o no una actividad económica para su prestador. Todos los servicios que se ofrecen a cambio de un precio o contraprestación están, por tanto, sujetos a la nueva Ley.

Sin embargo, el carácter gratuito de un servicio no determina por sí mismo que no esté sujeto a la Ley. Existen multitud de servicios gratuitos ofrecidos a través de Internet que representan una actividad económica para su prestador (publicidad, ingresos de patrocinadores, etc.) y, por lo tanto, estarían incluidos dentro de su ámbito de aplicación. Ejemplos de estos servicios serían los habituales buscadores, o servicios de enlaces y directorios de páginas web, así como páginas financiadas con publicidad o el envío de comunicaciones comerciales.

La Ley permite la realización de comunicaciones comerciales mediante el uso de Internet u otros medios electrónicos, siempre que puedan identificarse como tales y a la persona o empresa en nombre del cual se realizan o anunciante.

Se permite el envío de mensajes publicitarios o comerciales por correo electrónico a aquellos usuarios que previamente lo hubieran solicitado o autorizado de forma expresa. No obstante, se permite el envío de comunicaciones comerciales a aquellos usuarios con los que exista una relación contractual previa, en cuyo caso el proveedor podrá enviar publicidad sobre productos o servicios similares a los contratados por el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija. La Ley obliga, además, a los prestadores de servicios a habilitar procedimientos sencillos y gratuitos para que los destinatarios puedan revocar el consentimiento que hubieran prestado, así como a facilitar información accesible por vía telemática sobre dichos procedimientos.

Estas reglas son también aplicables al envío de mensajes publicitarios por otros medios de comunicación electrónica individual equivalente, como el servicio de mensajería de la telefonía móvil.

La prestación de cualquier servicio a través de Internet u otros medios electrónicos puede realizarse libremente y no requiere ninguna autorización específica. Sin embargo, aquellas actividades o servicios que estén sujetos a autorización administrativa o a cualquier otro requisito estarán sometidos al régimen general que les sea aplicable por razón de las leyes y normas ya existentes, con independencia de que se presten a través de Internet.

Por ejemplo: la autorización general de tipo C necesaria para prestar servicios de acceso a Internet seguirá siendo exigible a los proveedores de acceso a Internet y las autorizaciones precisas para la apertura de determinado tipo de establecimientos, como las farmacias, o la necesidad de colegiarse para ejercer ciertas profesiones no resultan afectadas por esta Ley.

Las personas que realicen actividades económicas por Internet u otros medios telemáticos (correo electrónico, televisión digital interactiva…), siempre que:

• La dirección y gestión de sus negocios esté centralizada en España o posea una sucursal, oficina o cualquier otro tipo establecimiento permanente situado en territorio español, desde el que se dirija la prestación de servicios de la sociedad de la información.

Se presumirán establecidos en España y, por tanto, sujetos a la Ley a los prestadores de servicios que se encuentren inscritos en el Registro Mercantil o en otro Registro público español en el que fuera necesaria la inscripción para la adquisición de personalidad jurídica.

La utilización de un servidor situado en otro país no será motivo suficiente para descartar la sujeción a la Ley del prestador de servicios. Si las decisiones empresariales sobre el contenido o servicios ofrecidos a través de ese servidor se toman en territorio español, el prestador se reputará establecido en España.