PROPUESTA DE REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DEL PARLAMENTO EUROPEO Y DEL CONSEJO: Cuándo y cómo afectará a las empresas que tratan datos de carácter personal

El rápido desarrollo de las Tecnologías de la Información y Comunicación y su implantación en casi todas las esferas de la vida cotidiana (tanto económica o empresarial como social) han generado grandes retos para la protección de los datos de carácter personal. En este contexto, la Comisión Europea consideró necesario establecer un marco normativo más sólido y coherente con los últimos avances tecnológicos (cloud computing, redes sociales, smartphones, etc.) y presentó una propuesta legislativa dirigida a reformar la regulación aplicable a la protección de datos en Europa, siendo uno de los pilares fundamentales la “Propuesta de Reglamento General de Protección de Datos” de fecha 25 de enero de 2012 (en adelante, la “Propuesta de Reglamento”).

Sin ánimo de entrar en el análisis del complejo y extenso procedimiento legislativo en la UE, nos limitaremos a destacar que, previsiblemente, la Propuesta de Reglamento será objeto de aprobación definitiva a finales de este año 2014 o, como máximo, principios de 2015. Pero, siendo una norma de origen comunitario ¿cuándo resultará exigible su cumplimiento a las empresas españolas? Y, ¿Cuáles serán las novedades fundamentales? A continuación incluimos unos breves comentarios al objeto de dar respuesta a las citadas cuestiones:

1. ¿Cuándo habrá que cumplir el contenido de la Propuesta de Reglamento?

Una vez aprobado, a finales de 2014 o principios de 2015 tal y como adelantábamos, el Reglamento será de aplicación directa en todos los Estados de la Unión Europea a los dos (2) años de su entrada en vigor, la cual, se producirá el vigésimo día siguiente al de su publicación en el Diario Oficial de la UE. Es decir, no será necesaria la aprobación de ninguna norma de carácter nacional, ni la publicación del Reglamento en el BOE, para que el mismo resulte plenamente exigible en España.

2. ¿Qué empresas se verán afectadas?

Todas las empresas que traten datos de carácter personal y dispongan de un establecimiento en un Estado miembro deberán cumplir el Reglamento, aunque las operaciones materiales de tratamiento de la información se lleven a cabo fuera de la Unión Europea.

Del mismo modo, y esta es la novedad principal, las empresas no establecidas en Europa se verán obligadas a adecuarse a dicho Reglamento cuando traten datos personales de personas residentes en la UE en el ejercicio de actividades relacionadas con la oferta de bienes o servicios a tales sujetos.

3. ¿Cuáles serán las principales novedades?

A continuación se enumeran brevemente algunas de las novedades más significativas del Reglamento respecto de la normativa actual:

  • Nombramiento del Delegado de Protección de Datos – DPO (Data Protection Officer).

A pesar de que se trata de una obligación inexistente en nuestra legislación actual, de facto, las grandes empresas ya cuentan con figuras similares al denominado “Data Protection Officer”. Será a partir de la fecha en que resulte aplicable el Reglamento, cuando existirá la obligación legal de designar un Delegado de Protección de Datos en los siguientes supuestos:   

– Tratamiento de datos de más de 5.000 personas durante 12 meses consecutivos.

– Tratamiento de categorías especiales de datos como, por ejemplo, los relativos a la salud.

– Tratamiento de datos de localización.

– Tratamiento que consista en la monitorización del interesado (ej. navegación);

– Tratamiento de datos de menores y empleados a gran escala.

– Administraciones Públicas.

  • Deber de información y consentimiento.

La información que sobre el tratamiento de sus datos han de proporcionar los responsables a las personas afectadas, deberá ser más extensa, clara y comprensible. En esta línea, se deberá proporcionar información sobre la identidad y datos de contacto del Delegado de Protección de Datos.

Asimismo, destaca la inclusión del “interés legítimo” como supuesto legitimador para el tratamiento de datos, que en la LOPD se recoge con el requisito adicional de que los datos figuren en Fuentes Accesibles al Público. Pese a la anulación del Artículo 10.2.b) del Reglamento de la LOPD, el citado requisito sigue existiendo en la LOPD, pero el mismo debe interpretarse conforme a la conocida Sentencia del Tribunal de Justicia de la UE de 24 de noviembre de 2011 (aplicada en la Sentencia del Tribunal Supremo de fecha 8 de febrero de 2012). Es decir, realizando en cada caso concreto una ponderación entre el interés del Responsable del Tratamiento y los derechos fundamentales de los ciudadanos afectados, con el fin de determinar cuál prevalece atendiendo a las circunstancias concurrentes.

  • Medidas de seguridad.

La Propuesta de Reglamento no detalla los niveles ni las medidas de seguridad aplicables a los tratamientos de datos, tal y como hace la normativa española. De forma que, la obligación actual de implementar medidas concretas en función de la tipología de datos se sustituirá por la necesidad de una “evaluación de riesgos” para determinar las medidas a adoptar.

  • Auditorías de control.

Sera obligatorio realizar una auditoría bienal no solo de las medidas de seguridad, sino, del conjunto de obligaciones relacionadas con la protección de datos.

  • Deber de notificación de incidencias (Data Breach).

Será obligatorio notificar sin demora injustificada a las Autoridades de Control las incidencias que puedan afectar a la seguridad de los datos y, con carácter general, deberán comunicarse también a los afectados.

  • Sello Europeo de Protección de Datos.

Las empresas podrán solicitarlo a las Autoridades de Control que lo otorgarán mediante un proceso previo de certificación realizado por profesionales acreditados. Se podrán certificar tratamientos concretos (no el conjunto de tratamientos de una compañía) y su vigencia será de 5 años.

Es preciso destacar las ventajas que la obtención del Sello Europeo podrá tener en materia sancionadora, ya que, si se dispone del mismo la sanción económica por incumplimiento de las obligaciones previstas en el Reglamento (debemos entender que en relación con el tratamiento certificado y no otros realizados por el mismo responsable) solo podrá ser impuesta en los casos de incumplimiento intencionado o negligente.

  • Infracciones y sanciones.

Desaparece la graduación de sanciones (leve, grave y muy grave). Las multas podrán llegar hasta 100.000.000€, o bien, el 5% del volumen de negocios mundial (si es superior a esos 100 millones).

En nuestra opinión, si bien el contenido del Reglamento no puede calificarse de “revolucionario” en la materia, sí obligará a todas las entidades, públicas y privadas, a hacer un esfuerzo de adaptación real y no meramente conceptual o técnica. Por ejemplo, integrando en sus estructuras la figura del Delegado de Protección de Datos, revisando los supuestos legitimadores de sus tratamientos de datos, realizando la “evaluación de riesgos” con el objetivo de redefinir su riesgo en protección de datos, etc.

PRÓXIMAS MODIFICACIONES EN EL MARCO REGULATORIO DE LA CONTRATACIÓN ELECTRÓNICA

Proyecto de Ley de Modificación de la Ley General para la Defensa de los Consumidores y Usuarios.

Tras su aprobación por el Consejo de Ministros en octubre de 2013, el pasado 22 de enero el Congreso daba luz verde al Proyecto de Ley de Modificación de la Ley General para la Defensa de los Consumidores y Usuarios (en adelante, el “Proyecto”). En este sentido, se espera que la reforma de la Ley General para la Defensa de los Consumidores y Usuarios, con el objetivo de incorporar a la legislación española la Directiva 2011/83/UE, del Parlamento Europeo y del Consejo, cuyo plazo de trasposición finalizó el pasado 13 de diciembre de 2013, sea efectiva en los primeros meses de 2014. De hecho, en virtud de lo dispuesto en la referida Directiva, las medidas incluidas en la reforma deberían aplicarse a partir del 13 de junio de 2014.

Sin perjuicio del resto de disposiciones del Proyecto, a continuación nos centraremos en aquellas que afectarán al régimen jurídico de la contratación electrónica, incluyendo algunas implicaciones prácticas que la reforma tendrá para los titulares de páginas web de comercio electrónico. Así, los aspectos principales del marco regulador del comercio electrónico que se verán afectados son los siguientes:

  • 1.- Información precontractual.

Las obligaciones relativas a la información que debe facilitarse al consumidor antes de que quede vinculado por cualquier contrato a distancia, se incrementarán con la entrada en vigor del Proyecto.

A grandes rasgos, se amplían las obligaciones de información en relación con: (i) la identidad y datos de contacto del empresario, al objeto de que el consumidor pueda ponerse en contacto y comunicarse con él de forma rápida y eficaz, (ii) las obligaciones de pago del consumidor, de forma que conozca el precio total del contrato, (iii) el derecho de desistimiento o renuncia del contrato y (iv) la funcionalidad, interoperatibilidad y medidas técnicas de protección que les apliquen a los contenidos digitales que, en su caso, sean objeto del mismo.

Las nuevas exigencias informativas deberán recogerse adecuadamente en el Aviso Legal y las Condiciones de Venta de las páginas web de las sociedades que operen en el ámbito del comercio electrónico.

  • 2.- Requisitos formales de los contratos a distancia.

En línea con el carácter tuitivo y proteccionista del consumidor que inspira la reforma, el Proyecto impone al empresario la obligación de velar para que el consumidor, al efectuar el pedido, confirme expresamente que es consciente de que éste implica una obligación de pago.

En la práctica, y de conformidad con lo indicado en el Proyecto, será preciso etiquetar el botón de pedido o “checkbox” a través del cual se acepte el pedido por el consumidor, con la expresión “pedido con obligación de pago” o una referencia análoga, no ambigua, que indique que la realización del pedido lleva aparejada la obligación de pagar al empresario. Es decir, no será suficiente con incluir una referencia al precio u obligaciones de pago en las Condiciones de Venta o en el desglose del pedido. Este aspecto es importante, ya que, en caso contrario, el consumidor no quedará obligado por el contrato o pedido.

Asimismo, se incluyen disposiciones contra las llamadas “cargas encubiertas”, aplicables, con carácter general, a toda contratación con consumidores y no solo en el ámbito de la contratación electrónica. En virtud de la reforma, el consumidor tendrá que otorgar de forma expresa su consentimiento (sistema “opt-in”) para cualquier pago adicional a la remuneración acordada para la obligación contractual principal. Con esta disposición, se evitarán, por ejemplo, las habituales contrataciones involuntarias de seguros de viaje cuya aceptación se incluye por defecto (mediante casillas premarcadas o sistemas “opt-out”) en los procesos de compra online. En estos supuestos, en los que el pago adicional aparece seleccionado por defecto, el consumidor tendrá derecho al reembolso del mismo.

Además, en relación con el uso de medios de pago por parte de los consumidores y usuarios, se prohíbe a los empresarios el cobro de cargos que excedan del coste soportado por éstos por el uso de tales medios de pago. Entendemos que esta previsión evitará aquellos casos en los que el pago por cualquier medio que no sea la tarjeta de la empresa en cuestión aumenta considerablemente el coste del producto o servicio.

  • 3.- Derecho de desistimiento.

Las modificaciones previstas suponen una regulación más amplia del derecho de desistimiento o renuncia del contrato a favor del consumidor incorporando un formulario normalizado, que el consumidor podrá utilizar para estos casos, al tiempo que se amplía el plazo para su ejercicio de 7 a 14 días naturales. En caso de que el empresario no facilite al consumidor la información exigida sobre el derecho de desistimiento, se amplía el plazo para desistir del contrato hasta 12 meses.

Por otra parte, se contempla la posibilidad de que el empresario ofrezca al consumidor la opción de cumplimentar el formulario de desistimiento en línea, en cuyo caso deberá proporcionar sin demora indebida un acuse de recibo, por ejemplo, por correo electrónico.

Respecto a las consecuencias del ejercicio de tal derecho, es preciso tener en consideración que el consumidor tendrá obligación de soportar los costes directos de devolución de los bienes, salvo en los casos en los que el empresario haya aceptado asumirlos o no le haya informado previamente de que le corresponde abonarlos.

Por todo lo anterior, la reforma hace imprescindible una revisión de los procesos de contratación electrónica de las web dedicadas a esta actividad y, en concreto, de los Avisos Legales y Condiciones de Venta incluidos en las mismas. Todo ello, atendiendo a las consecuencias que prevé el Proyecto para los supuestos de incumplimiento de determinadas obligaciones y que se han comentado brevemente en el presente artículo (como, por ejemplo, la ampliación del plazo para el ejercicio del derecho de desistimiento del consumidor, no vinculación del consumidor por el contrato cuando las obligaciones de pago no hayan sido expresamente aceptadas, etc).

PRIMERA SANCIÓN DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (AEPD) EN MATERIA DE COOKIES

La AEPD ha impuesto la primera sanción por incumplimiento del artículo 22.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).

En virtud de la Resolución R/02990/2013, cuyo origen fue la denuncia presentada por una persona física, la AEPD ha impuesto las primeras sanciones a dos empresas, por importe de 3.000€ y 500€, respectivamente, por incumplimiento de las exigencias del artículo 22.2 de la LSSI en materia de cookies. Adicionalmente, la AEPD sanciona con 1.500€ a una de las empresas por incumplimiento del artículo 5 de la LOPD (Derecho de información en la recogida de datos), si bien, en esta nota nos referiremos únicamente al incumplimiento relativo al régimen legal de las cookies.

Con carácter previo, conviene realizar una breve referencia tanto al concepto de cookie como a las obligaciones legales que deben cumplirse para su utilización, de conformidad con lo dispuesto en el art. 22.2 de la LSSI tras su modificación por el Real Decreto Ley 13/2012, de 30 de marzo:

La “cookie” es un archivo o dispositivo que se descarga en el equipo terminal de un usuario con la finalidad de almacenar datos que podrán ser actualizados y recuperados por la entidad responsable de su instalación. Existen varias clasificaciones de cookies en función de distintos criterios como, por ejemplo, según quien sea la entidad que gestione el equipo o dominio desde donde se envían las cookies y trate los datos que se obtengan, podemos distinguir cookies propias o de terceros; según la finalidad para la que se traten los datos obtenidos encontramos cookies técnicas, de personalización, de análisis, publicitarias o de publicidad comportamental, etc.

En cuanto al régimen legal que resulta aplicable, a continuación se indican los requisitos previstos en el art. 22.2 LSSI:

  1. En primer lugar, se debe facilitar a los usuarios información clara y completa sobre la utilización de este tipo de dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos. En consecuencia, la información sobre las cookies facilitada debe ser suficientemente completa para permitir a los usuarios entender la finalidad para las que se instalaron y conocer los usos que se les darán. Además de facilitar la información necesaria para que los usuarios puedan prestar un consentimiento valido, es aconsejable que la citada información, y en particular la relativa a la forma a través de la cual pueden gestionar las cookies, esté a su disposición de forma accesible y permanente en todo momento a través la página web desde la que se presta el servicio.
  2. Una vez informado el usuario, para la instalación y utilización de las cookies será necesario, en todo caso, obtener su consentimiento. Este consentimiento podrá obtenerse mediante fórmulas expresas, como haciendo clic en un apartado que indique “consiento”, “acepto”, u otros términos similares. En todo caso la mera inactividad del usuario no implica la prestación del consentimiento por sí misma.

Pero, no todas las cookies se encuentran sometidas al régimen legal previsto en el artículo 22.2 de la LSSI, ya que, existen las denominadas “cookies exceptuadas”, para cuyo uso no sería necesario informar ni obtener el consentimiento del titular de los datos. Se trata de supuestos en los que el almacenamiento o acceso a los datos es de índole técnica y al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario. La Resolución comentada se refiere a cookies no exceptuadas y por tanto en el ámbito de aplicación de la LSSI.

Durante la tramitación del procedimiento, la AEPD observa que la información sobre el uso de cookies proporcionada por las titulares de las páginas web denunciadas es insuficiente. En este sentido, la Resolución destaca las siguientes carencias: (i) no se incluye una definición de las cookies, (ii) tampoco se detalla mínimamente el tipo de cookies utilizadas, (iii) ni se identifica si son propias o de terceros. Además, la AEPD considera que la citada información se facilitaba de forma poco accesible y sin suficiente visibilidad para el usuario.

Una vez notificado el acuerdo de inicio del procedimiento sancionador a las empresas denunciadas, éstas optan por utilizar el sistema de información por capas. Con carácter general, dicho sistema consiste en ofrecer una información esencial en una primera capa, cuando se accede al sitio web o aplicación, y una información adicional contenida en una segunda capa a la que se accede mediante un enlace.

Sin embargo, tras el análisis efectuado por la AEPD, se concluye que “el sistema de capas utilizado por ambas entidades no contiene la información que se considera necesaria para estimar que resulta completa y clara, en especial en cuanto a la tipología de cookies realmente utilizadas, finalidad de las mismas e identidad de quienes instalan y utilizan las cookies, lo que invalidaría el consentimiento que pueda ser prestado por los usuarios al “Aceptar” la “Política de Cookies” o seguir navegando por los sitios web”.

Finalmente, y aplicando lo dispuesto en el artículo 38.4.g) de la LSSI, se sanciona a ambas empresas por incumplimiento de los deberes de información previstos en el artículo 22.2. En este sentido, el art. 38.4.g) de la LSSI considera infracción leve: ”El incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22, cuando no constituya infracción grave”.

Cabe destacar que, habiendo quedado probado que el uso de cookies por las mencionadas entidades se lleva a cabo sin mediar el consentimiento informado al que se refiere el artículo 22.2 de la LSSI, la vulneración de este requisito previo a la instalación de cookies no resulta sancionable en virtud de la redacción del artículo 38.4.g).

A tenor del análisis efectuado por la AEPD y del contenido de la Resolución comentada, resulta evidente la complejidad de esta materia, ya que, a pesar de que ambas empresas adoptaron, después de recibir los requerimientos de información y las notificaciones sobre la incoación de procedimiento sancionador, una serie de medidas tendentes a introducir, modificar y actualizar la información facilitada sobre cookies y obtener el consentimiento informado para su instalación y utilización, tales modificaciones no resultaron suficientes y no pudieron evitar la imposición de las sanciones.

NORMATIVA SEPA: Novedades principales

¿Qué es SEPA? SEPA corresponde al acrónimo en inglés de Zona Única de Pagos en Euro (Single Euro Payments Area) y supone la culminación para completar el proceso iniciado en 2002 con la introducción de los billetes y monedas en Euro, que hacía posible realizar pagos en efectivo en la misma moneda con la comodidad y sencillez con la que se efectuaban anteriormente los pagos en las respectivas monedas nacionales, pero que no estaba previsto para aquellos pagos no realizados en efectivo.

De este modo, el proyecto SEPA hace posible homogeneizar, entre los países que integran la zona SEPA, los pagos que no se hagan en efectivo, atendiendo a un único conjunto de estándares y normas establecidos en el Reglamento CE 260/2012, y mejorando de este modo la eficiencia en los procesos de ejecución de pagos.

La adopción de los requisitos técnicos aplicables de acuerdo con el mencionado Reglamento, es obligatoria tanto para los proveedores de servicios de pago como para los usuarios, estando prevista la fecha límite para su implantación para el próximo 1 de febrero.

Pese a que, como hemos apuntado anteriormente, es obligatoria la adopción de lo establecido en el Reglamento, según fuentes del Banco de España, sólo el 55,30% ha llevado a cabo la migración al sistema SEPA, Por ello con el fin de evitar el riesgo de una perturbación en el sistema de pagos y sus potenciales consecuencias para consumidores y pymes, según nota de prensa del día 9 de enero del 2014 de la Comisaria Europea de Mercado Interior, se ha prolongado su implantación hasta el próximo 1 de agosto.

A continuación, se señalan las novedades prácticas más destacables que va a implicar la aplicación de esta nueva normativa:

  • Hasta la fecha las cuentas bancarias estaban identificadas por el CCC, desde febrero 2014, el IBAN será el identificador único de cualquier cuenta de pago en SEPA, debiendo comunicar el mismo a todas sus contrapartidas.
  • La Zona Única se basa en tres instrumentos de pago:
    • Transferencias SEPA: se sustituyen así a las actuales transferencias nacionales. Éstas se realizarán conforme al Código IBAN facilitado por usted, sin que sea exigibles verificaciones adicionales por parte de las entidades.
    • Adeudos directos SEPA: se producirán en lugar de las actuales domiciliaciones de recibos españolas. Será necesario contar con autorización expresa para que se pueda originar un cargo en una determinada cuenta.
    • Tarjetas bancarias de pago.
  • Conforme a lo comentado anteriormente, como emisor de recibos, en caso de no haberlo hecho hasta la fecha de acuerdo con la Ley de Servicios de Pago, se deberá obtener de cada cliente un mandato que actuará como orden de domiciliación; siendo obligación del emisor el archivo y custodia del mismo. Al hilo de lo anterior, cada vez que se emitan recibos se tendrá que adjuntar la información básica correspondiente al mandato, de forma que hay un mayor control antes de que se produzca el cargo en la cuenta.
  • La devolución de los adeudos se somete a la normativa de servicios de pago:
    • Plazo máximo de 13 meses para solicitar rectificación de operaciones incorrectas o no autorizadas.
    • El consumidor dispone de 8 semanas para devolver recibos que había autorizado previamente, siempre y cuando en el momento de la autorización de la operación no se especificase el importe exacto de ésta o el cargo realizado supere el importe que podía esperar razonablemente.
    • El plazo para que la entidad devuelva los cargos o rechace la devolución será de 10 días hábiles.

Como se ha podido observar, lo establecido por el Reglamento 260/2012 se complementa con la Ley 16/2009 de Servicios de Pago, siendo fundamental la aplicación de esta norma para el desarrollo de esta iniciativa europea.

A modo de conclusión, cabe destacar que la necesaria adaptación a la normativa SEPA reportará numerosos beneficios tanto a las PYMES, ya que se centralizarán los cobros y pagos, como al propio consumidor, debido a la transparencia y seguridad en sus pagos que promete la normativa. Por todo ello es importante llevar a cabo todas aquellas medidas necesarias para adaptarse a la nueva Zona Única de Pagos en Euro antes del próximo 1 de agosto.

¿ES RESPONSABLE EL TITULAR DE UNA WEB POR LOS COMENTARIOS PUBLICADOS POR USUARIOS ANÓNIMOS?

La reciente sentencia del Tribunal Europeo de Derechos Humanos (TEDH) en el caso DELFI AS contra el Estado de Estonia, ha atribuido al titular de un portal de noticias de Internet la responsabilidad derivada de las opiniones vertidas por usuarios anónimos en la citada web, ratificando la decisión adoptada por los Tribunales estonios que habían enjuiciado el caso.

Con carácter previo al análisis jurídico de la decisión adoptada, es necesario describir los hechos más relevantes, así como aquellas circunstancias que fueron tenidas en consideración por el TEDH en su valoración:

– La sociedad DELFI AS es una sociedad domiciliada en Estonia, titular de un conocido portal de noticias en el que, el 24 de enero de 2006, se publicó un artículo criticando la decisión de una empresa de transporte marítimo de modificar la ruta de sus embarcaciones. Esta desviación generó indirectamente retrasos en la construcción de algunas carreteras y, por tanto, el descontento de los usuarios de las mismas.

– El artículo provocó la publicación en la web titularidad de DELFI AS de 185 comentarios, 20 de ellos de carácter claramente ofensivo, esto es, insultos y expresiones difamatorias, contra la empresa de transportes y, en concreto, su accionista mayoritario.

– DELFI AS contaba con sistemas automáticos de detección de comentarios ofensivos y un procedimiento de denuncia de comentarios inapropiados al servicio de los usuarios. Asimismo, en sus condiciones de uso manifestaba no ser responsable por las opiniones vertidas por los usuarios.

– En marzo del mismo año los abogados de la empresa de transportes solicitan la retirada de los comentarios y una indemnización por los daños causados en el derecho al honor de su cliente por importe de 32.000€. Los comentarios son inmediatamente retirados, si bien, no se atiende a la reclamación económica.

– Posteriormente, los Tribunales estonios condenaron a DELFI AS a pagar la cantidad de 320€ como indemnización.

Ante la imposición de la referida sanción, DELFI AS acude al TEDH argumentando que se había producido una violación de su derecho a la libertad de expresión e información reconocido por el artículo 10 del Convenio para la Protección de los Derechos Humanos y Libertades Fundamentales. Del mismo modo, DELFI AS considera que su actividad estaría amparada por la exención de responsabilidad prevista en la Directiva 2000/31/CE, atendiendo al papel meramente automático y pasivo que realiza su portal. En este sentido, DELFI AS afirma que su actividad se limita a publicar noticias en el portal, permitiendo a los usuarios que cuelguen sus comentarios.

No obstante, el TEDH niega el carácter pasivo de su actuación, considerando que la empresa ejerce un importante grado de control sobre los comentarios publicados en su portal. A este respecto, es preciso tener en consideración que el apartado 42 de los antecedentes de la propia Directiva establece que “Las exenciones de responsabilidad establecidas en la presente Directiva sólo se aplican a aquellos casos en que la actividad del prestador de servicios de la sociedad de la información se limita al proceso técnico de explotar y facilitar el acceso a una red de comunicación mediante la cual la información facilitada por terceros es transmitida o almacenada temporalmente, con el fin de hacer que la transmisión sea más eficiente. Esa actividad es de naturaleza meramente técnica, automática y pasiva, lo que implica que el prestador de servicios de la sociedad de la información no tiene conocimiento ni control de la información transmitida o almacenada”.

Sentado el papel activo del titular de la web y, siguiendo con su argumentación, el Tribunal analiza los siguientes aspectos:

– La insuficiencia de las medidas adoptadas por DELFI AS para evitar la publicación de comentarios ofensivos.

– La obtención de ingresos económicos por la actividad desarrollada en su portal (por ejemplo, por la inclusión de publicidad).

– La dilatada experiencia en el sector por parte del titular del sitio web. A juicio del Tribunal, como consecuencia de la citada experiencia profesional, DELFI AS debió prever la reacción de los usuarios al artículo publicado.

– Irrelevancia de la exoneración de responsabilidad por comentarios de los usuarios incluida en las condiciones de uso de la web.

– Carácter desproporcionado de la imposición a la víctima de los comentarios de la carga de identificación de los autores. Recordemos además que únicamente el titular de la web puede retirar los comentarios publicados.

– Escasa cuantía de la sanción impuesta por el Tribunal estonio.

El TEDH concluye que los comentarios publicados eran difamatorios y humillantes en sí mismos y que dañaban el honor y la dignidad del destinatario, por lo que, la restricción a la libertad de expresión de DELFI AS tenía un objetivo legítimo consistente en la protección de la reputación y derechos de terceros. En consecuencia, el TEDH confirma la sanción impuesta por el tribunal estonio.

Una vez analizados, de forma sucinta, los criterios aplicados por el TEDH, en nuestra opinión, no es posible afirmar que el titular de una web sea, siempre y en todo caso, responsable de los comentarios ofensivos publicados en la misma por usuarios anónimos. Así, tal y como se ha expuesto, son varios los factores que han sido tenidos en consideración y valorados por el Tribunal para llegar, en este supuesto concreto, a tal conclusión.

En el ámbito nacional, encontramos sentencias de nuestros Tribunales en esta materia que, tras analizar las circunstancias concurrentes en cada caso, llegan a conclusiones dispares.

A modo meramente ejemplificativo, a continuación nos referimos a dos Sentencias del Tribunal Supremo (TS) sobre reclamaciones a prestadores de servicios de la sociedad de la información por opiniones de usuarios publicadas en sus web, alegando intromisiones ilegítimas en el derecho al honor de los demandantes. Ambos casos tienen en común la polémica surgida en torno a la Sociedad General de Autores (SGAE) y personas relacionadas con la misma:

– La STS 136/2012, en el caso de comentarios contra las actuaciones de la SGAE publicados en una web, afirma que la libertad de expresión debe, en ese supuesto, prevalecer sobre el derecho al honor de la demandante. Y ello, en base al interés público de los comentarios, al enmarcarse en el seno de un conflicto entre partidarios y detractores del cobro por parte de la SGAE de ciertas retribuciones por los derechos de propiedad intelectual que gestiona.

– Por su parte, la STS 72/2011, afirma el carácter ilegítimo de la intromisión en el derecho al honor de un conocido cantante, atribuyendo la responsabilidad al titular de la web en la que se publicó una fotografía trucada del mismo en la que aparece con la cabeza cortada.

Pero ¿qué factores hacen inclinar la balanza en uno y otro caso? En el segundo supuesto, la naturaleza de los mensajes, sumamente graves y claramente ofensivos, así como la pasividad del titular de la web ante los comentarios y fotografías publicados, quien hizo caso omiso a las diversas comunicaciones del demandante solicitando su retirada.

En conclusión, no es posible dar una respuesta universal a la pregunta planteada al inicio de estas líneas, ya que, la atribución o exoneración de responsabilidad de los prestadores de servicios de la información deberá ser determinada caso por caso, atendiendo a las circunstancias concurrentes.

A grandes rasgos, podríamos decir que en este tipo de conflictos, nuestros Tribunales analizan los siguientes aspectos:

-Tema al que se refiere el comentario y su posible contribución a un debate de interés general.  Conocimiento efectivo del titular de la web del carácter ofensivo de los comentarios.

– Medidas de diligencia adoptadas por el titular de la web para evitar intromisiones ilegitimas en el derecho al honor de terceros.

– Diligencia a la hora de retirar contenidos que puedan lesionar derechos de terceros.

– Valoración del peso de los derechos fundamentales que entran en colisión (libertad de expresión e información por un lado, y el honor y la propia imagen, por el otro). La denominada “Técnica de la ponderación”.

Únicamente tras el análisis de las circunstancias concurrentes en cada caso, podrá determinarse la existencia o ausencia de responsabilidad del titular de la web.