Por David López Jiménez
Uno de los elementos que más desconfianza suscita en Internet en general y en el comercio electrónico en particular es la eventual violación de la privacidad. Para hacer frente a esta situación, se crearon los códigos de conducta, que incluyen, además de la normativa en materia de protección de datos personales, un plus adicional especialmente sugerente para el usuario.
La protección de datos de carácter personal genera en la actualidad, en Internet en general y en la contratación electrónica y la publicidad interactiva en particular, una elevada incertidumbre. En efecto, aunque desde hace varios años existe una amplia normativa sobre la materia tanto a nivel nacional1 como comunitario2 e internacional3, es manifiesto, como ponen de relieve los estudios empíricos operados al respecto, un alto incumplimiento de la misma en los sectores apuntados.
Contextualización
Las actividades susceptibles de englobarse dentro del ámbito del comercio electrónico B2C -comercio electrónico entre empresarios y consumidores-, a diferencia del comercio electrónico B2B -de empresarios entre sí-, ofrecen ciertas dificultades específicas, como consecuencia de la tecnología empleada, ya que las redes abiertas de telecomunicaciones -como Internet, que interconecta grupos de redes de ordenadores conectados entre sí (Llaneza, 2000)- plantean importantes problemas en materia de seguridad y privacidad que, dicho sea de paso, están relacionados entre sí (Teo y Liu, 2007). La privacidad electrónica se encuentra indefectiblemente ligada a las medidas que en materia de instrumentos de seguridad electrónica decidan instaurarse para la protección, integral y continuada, de los datos de carácter personal de los potenciales consumidores o usuarios.
El papel que el Derecho vinculante establecido por el legislador debe desempeñar en toda esta cuestión es ciertamente relevante. Sin embargo, además del elevado incumplimiento de la normativa relativa a la privacidad que existe en Internet, en ciertas ocasiones se plantean, en la práctica, lagunas legales -pues como es sabido, el legislador suele ir por detrás de la realidad social y más, si cabe, en materia tecnológica-, cuya repercusión puede resultar verdaderamente significativa no solo para los directamente implicados sino también, y lo que es más importante, para la sociedad en general.
Frente a tal problemática se erigen como solución verdaderamente paradigmática y eficaz ciertas manifestaciones del soft law -o Derecho voluntario o no vinculante- puestas en práctica por la industria. En este último, como veremos, se incluyen los sistemas de autorregulación, integrados necesariamente por varios elementos. Hay dos de ellos que ostentan carácter constitutivo, a saber: el código de conducta y el organismo de control. Por un lado, los códigos de conducta garantizan, además del cumplimiento que en materia de privacidad se exige por la legislación aplicable al respecto, un plus adicional de protección en claro beneficio del consumidor o usuario. De esta manera, los prestadores de servicios que se adhieran a los mismos pondrán públicamente de manifiesto cumplir con las mejores prácticas imperantes en materia de privacidad. Para que la vigencia de las estipulaciones contempladas en el código de conducta no resulte meramente testimonial, ha de existir un organismo de control que actúe frente a los posibles incumplimientos imponiendo la sanción que en cada caso corresponda. Debe ponerse de relieve que los sistemas de autodisciplina constituyen un sugerente complemento de la normativa imperante.
Existen otras manifestaciones del soft law que merecen nuestra atención y que no tienen su origen en la propia industria. Nos referimos en concreto a la Propuesta Conjunta de Estándares Internacionales para la Protección de la Privacidad de fines de 2009, acogida favorablemente por las autoridades de protección de cincuenta países mediante la adopción de la Resolución de Madrid. Tal documento, que plasma los múltiples enfoques que admite la protección de este derecho, integra legislaciones de los cinco continentes. En realidad constituye una propuesta de mínimos internacionales que recoge un conjunto de principios y derechos que permitirán alcanzar el mayor grado de consenso internacional sobre la materia.
En todo caso, la autodisciplina de la contratación electrónica y de la publicidad interactiva se ha desarrollado, de manera exitosa, en el espacio comunitario. Aunque mencionaremos las diversas iniciativas que se han puesto en práctica en tal escenario, centraremos nuestra atención en los sistemas de autorregulación en Internet vigentes en España, con especial consideración hacia la regulación que opera en materia de privacidad. A tal efecto, realizaremos una tabla comparativa en la que veremos con detalle lo completos o incompletos que son frente a sus competidores, lo que nos permitirá tomar conciencia de su relevancia.
El derecho a la protección de datos de carácter personal en Internet
En la era electrónica existe una considerable preocupación por el derecho del individuo a la intimidad (Castillo, 2002; Enzmann y Roßnagel, 2002; Olivier, 2002; García, 2003; Martos, 2005; Arenas, 2006; Teti, 2009). Así, son muy numerosas las investigaciones, nacionales e internacionales, que precisamente analizan la incidencia que la privacidad representa sobre la adopción del comercio electrónico entre empresarios y consumidores -denominado B2C-, como alternativa para la compra de bienes y/o servicios (Friedman, Kahn y Howe, 2000; Lhose, Bellman y Jonson, 2000; Phelps, Nowak y Ferrel, 2000; Lawton, 2001; Phelps, D´Souza y Nowak, 2001; Corripio, 2003; Forsythe y Shi, 2003; Larson, Larson y Greenlee, 2003; Gritzalis, 2004; Ashrafi y Kuilboer, 2005; Bowie y Jamal, 2006; Pan y Zinkhan, 2006; Soler, 2006), llegándose a la determinación de que la preocupación o intranquilidad en materia de privacidad electrónica es uno de los factores que más repercute en la falta de confianza del consumidor o usuario del comercio electrónico (Kolsaker y Payne, 2002).
La sensación de libertad que el potencial consumidor o usuario experimenta en materia de comercio electrónico únicamente puede calificarse de falaz, pues es simple apariencia. En efecto, este no es consciente de que cualquier actividad que acometa en el mundo electrónico deja rastros que podrán seguirse (Ballesteros, 2005) y que en ocasiones serán aprovechados con fines ciertamente espurios (Álvarez-Cienfuegos, 1999). De hecho, como acertadamente pone de relieve la doctrina (Llaneza, 2008), el usuario de la Web 2.0, basada en la interacción, está, si cabe, más expuesto -a eventuales violaciones de la privacidad- que los usuarios ocasionales o solitarios que no exponen públicamente sus aficiones, gustos u otros datos.
Aunque la normativa legal busca garantizar la protección de los datos de carácter personal en las actividades susceptibles de ser englobadas en el ámbito del comercio electrónico -que comprenden tanto la contratación electrónica como la publicidad interactiva (López y Martínez, 2009)- la eficacia de tales medidas es insuficiente.
Siendo el legislador consciente de tal limitación, persigue, con buen criterio, fomentar la autorregulación de los agentes que interactúan en la materia que comentamos, en virtud de la cual se gestan ciertos documentos que representan un interesante complemento de la normativa legal. Nos referimos a los códigos de conducta.
Los códigos de conducta como instrumentos idóneos para garantizar el respeto absoluto de la privacidad
Sugerente manifestación del soft law
En los últimos años somos testigos -y en ciertos casos protagonistas- de un vigoroso impulso, fomentado desde diversas instancias -de carácter autonómico, nacional y comunitario-, del soft law o Derecho no vinculante, especialmente por lo que respecta a la protección de los consumidores y/o usuarios en Internet en general y en materia de privacidad en el ámbito del comercio electrónico en particular (Shapiro, 2002). El Derecho no vinculante o voluntario es el conjunto de instrumentos que, aunque no ostentan el carácter imperativo que caracteriza a las normas jurídicas, pueden afectar de manera significativa al panorama legislativo, promoviendo la estandarización de determinadas prácticas (Espinosa, 2001).
Tal aspecto resulta posible gracias al fenómeno de la autorregulación. La RAE define este concepto como la acción y el efecto de autorregularse, siendo este último vocablo el hecho de regularse por sí mismo. Dicho de otra forma, tal opción pasa por la ordenación de una determinada materia -en nuestro caso el comercio electrónico en general y la privacidad en particular- por parte de los diversos agentes que interactúan en la misma.
Las ventajas del sistema de autorregulación, entre otras, son: voluntariedad, lo que facilita considerablemente su aplicación práctica y su cumplimiento sin necesidad de intervención e imposición de los poderes públicos (Emiliani, 2005); flexibilidad y especialización (EASA, 2003); desarrollo de estándares que garantizan elevados niveles de corrección, y cubrir eventuales lagunas de carácter legal (Chissick y Kelman, 2002; Punzón y Sánchez, 2004; Bennet y Raab, 2006). Asimismo, es preciso tener en cuenta las ventajas de ahorro de tiempo y de recursos jurídicos y económicos para los poderes públicos que puede conllevar la potenciación de estas técnicas de autorregulación (González y Cantero, 2006). En definitiva, la presencia de tales aspectos constituye un sistema verdaderamente eficaz y aconsejable para la tutela de la privacidad en el comercio electrónico (Sirinelli, 1998; Edelstein, 2003).
Podemos afirmar, en cierto sentido, que la profesionalización del sector empresarial conduce a su autorregulación (Campuzano, 2000). En virtud del fenómeno de la autorregulación son posibles los códigos de conducta.
Concepto: observancia íntegra de la legalidad imperante más un plus adicional
Los códigos de conducta en materia de comercio electrónico pueden ser definidos como documentos de carácter voluntario que incluyen un conjunto de principios, reglas o, en definitiva, buenas prácticas, certificables por una tercera parte independiente que disciplinan todas las cuestiones directa o indirectamente vinculadas con el comercio electrónico -entre las que ocupa una posición de preeminencia la privacidad-, cuya finalidad es la instauración y consolidación de la confianza del potencial consumidor y usuario (López y Martínez, 2010). Las materias que abordan pueden apreciarse en la tabla 1.
Las normas que se recogen en estos códigos suelen estar mucho más adaptadas al problema concreto que quieren solucionar, ya que su elaboración se ha efectuado precisamente por las personas que se encuentran en una relación más cercana con la problemática a resolver. Incluyen, además de la normativa aplicable al escenario que reglamentan, una interesante mejora -permanentemente actualizada- de la propia legislación. En efecto, en materia de protección de datos en el ámbito del comercio electrónico, contendrán un conjunto de previsiones especialmente garantistas para los destinatarios de los mismos (consumidores y/o usuarios de las empresas adheridas a tales códigos).
No debe pasarse por alto que la adhesión de una empresa a un determinado código de conducta supone que aquella cumplirá, además de la legislación vigente, requisitos adicionales. La cuestión que planteamos no es baladí, pues numerosos estudios empíricos realizados (Penteo, 2004; Luna, Martínez y Martínez, 2005; Martínez Carballo et al., 2006; Soto y Meroño, 2006; Martínez Carballo et al., 2007; Instituto Nacional de Tecnologías de la Comunicación, 2008; Mallo, 2009) ponen de relieve una importante violación de la normativa legal vigente relativa a la privacidad en el ámbito del comercio electrónico. Esta cuestión es alarmante.
Procedimiento de adhesión
Como adelantamos en el apartado anterior, estamos ante normas de carácter voluntario. Son elaboradas por una determinada entidad promotora, estando el funcionamiento cotidiano del código de conducta a cargo de un organismo de control que verifica el pleno cumplimiento del mismo. Al ser de carácter opcional para el empresario que opera en Internet (prestador de servicios de la sociedad de la información [PSSI]) debe ser quien inste su adhesión.
El procedimiento, que se muestra en el gráfico 1, requiere la previa solicitud de adhesión del empresario. Posteriormente, se analiza la documentación aportada por el PSSI, procediéndose a evaluar la conformidad del sitio web a las estipulaciones contempladas en el código de conducta. De tal verificación se pueden derivar dos alternativas. La primera, que el sitio web sea plenamente garantista con el código de conducta -en cuyo articulado se incluyen rigurosas previsiones en materia de privacidad-; y la segunda, que no sea así y que, por consiguiente, haya que realizar algún cambio. Tras la actuación en este último sentido, la entidad promotora valorará si procede la concesión del sello de confianza acreditativo de la adhesión al código de conducta. Este último deberá constar en los diversos espacios que formen parte del sitio web. Es decir, resulta conveniente que, para desplegar toda su eficacia, figure no solo en la página de inicio, sino también en todos los apartados susceptibles de ser visualizados por el potencial consumidor y/o usuario. De otra manera no se garantizaría que este último visualizase la imagen integrante del sello de confianza y lo que ello supone en el campo concreto de la privacidad.
Presupuesto constituyente de los sistemas de autorregulación
La doctrina (Tato, 2001 y 2005; Patiño, 2007; Fernando, 2008a y 2008b; López, 2009) establece que los presupuestos para la existencia de un sistema de autorregulación son: aunque pueda parecer una obviedad, no por ello menos importante, es necesario el previo acuerdo de los miembros de la industria; la aprobación, a cargo del ente codificador, de un documento de referencia, denominado código de conducta, que incluya las disposiciones que serán aplicables a las entidades que voluntariamente se sometan al mismo; la existencia de un órgano que verifique el cumplimiento pleno y continuo del articulado del código de conducta -órgano de control- con capacidad de imponer sanciones; la concurrencia de una secretaría que gestione el sistema; y, si se estima oportuno, la creación de un sello o icono de confianza que identifique a las entidades adheridas. Aunque todos los requisitos son muy significativos, existen dos que, como bien manifiestan ciertos autores (Tato, 2001 y 2005), presentan carácter constitutivo: el código de conducta y el órgano de control. En cualquier caso, en el gráfico 2 se hace alusión a los presupuestos más comunes en el ámbito de los sistemas de autodisciplina que incluyen los dos presupuestos de carácter constitutivo.
Un rasgo distintivo de muchos organismos de autorregulación es el órgano codificador cuya principal función consiste, precisamente, en la aprobación -y eventual modificación- del código de conducta.
Enumeración de las diversas iniciativas destacables en el plano comunitario
Hemos optado por elaborar un cuadro en el que podrán visualizarse los países comunitarios que cuentan con organismos de autorregulación para el comercio electrónico en general -debiéndose considerar entender incluido la salvaguarda de la privacidad-, denominaciones, direcciones electrónicas, así como si cuentan o no con organismo de control o procedimiento extrajudicial de resolución de disputas (ver tabla 2).
En el supuesto de que el sistema de autodisciplina no cuente con órgano de control, la vigencia de las previsiones relativas a la privacidad en el código de conducta por parte de los adheridos parece más bien testimonial. En otras palabras, frente al incumplimiento del articulado incluido en el mismo, no cabrán sanciones, por lo que su fuerza vinculante es inapreciable. En esos casos podríamos afirmar que más que una herramienta de verificación real del respeto de la privacidad en Internet, representa una mera herramienta de marketing. No cabe olvidar que nos encontramos ante una sugerente manifestación de la responsabilidad social corporativa (López y Martínez, 2010) con caracteres muy precisos, que no debe verse desvirtuada por iniciativas como las últimas reseñadas.
Por otro lado, como puede observarse, a nivel europeo existe una notable multiplicidad de sistemas de autodisciplina, lo que también es aplicable al escenario español. Lo más recomendable en cualquier caso sería realizar un esfuerzo en beneficio de la racionalización del sistema.
Un sistema de autodisciplina podrá ser realmente eficaz cuando sea ampliamente conocido en la sociedad a la que se dirige. En este sentido, la existencia de un número relativamente reducido de iniciativas contribuiría, de manera relevante, a que estas fueran más y mejor conocidas. Por el contrario, la presencia de un elevado número de iniciativas -que no ha de olvidarse que es de carácter creciente, ya que cada vez se crean más- puede, en cierta medida, dar lugar a un panorama confuso y, en la misma medida, a un desconocimiento general de las mismas. A mayor abundamiento, el conjunto inconmensurablemente amplio de iniciativas puede terminar restando credibilidad al conjunto de los sistemas de autodisciplina.
Comparativa de los códigos de conducta que operan en España
A nivel nacional operan seis códigos de conducta diversos. Para tomar conciencia de las notas comunes y diferenciales imperantes, hemos optado por confeccionar dos tablas comparativas. En la primera de ellas (ver tabla 3) se exponen ciertos caracteres generales, mientras que en la segunda (ver tabla 4) se acomete la comparativa de un elenco suficientemente representativo de cuestiones sobre las que en materia de privacidad inciden los códigos de conducta.
En la tabla 3 hemos puesto de relieve ciertos datos de interés en relación a la identificación de los sistemas de autorregulación, así como al procedimiento de adhesión. Las variables referenciadas nos han permitido tomar conciencia de los caracteres de cada una de las entidades promotoras, así como de determinadas cuestiones especialmente sugerentes para los prestadores de servicios de la Sociedad de la Información (SI).
La mayoría de las entidades promotoras de los sistemas de autorregulación, salvo E-Confía -que es una entidad de consultoría y certificación-, son asociaciones sin ánimo de lucro. Tal aspecto podría resultar contradictorio, teniendo en cuenta las cantidades que algunas de ellas cobran por formalizar la adhesión. El precio de la adhesión al código de conducta es muy diferente. Se trata de una cuestión sujeta a la discrecionalidad de las entidades promotoras.
El sistema de certificación que cada una de las entidades promotoras ha puesto en práctica es el mismo. Todas han optado, con buen criterio, por implantar un régimen de evaluación previa y seguimiento. En este último sentido cabe señalar que el plazo que se establece para la revisión del cumplimiento del código de conducta por parte de las empresas adheridas difiere; la mayor parte de las entidades promotoras -Confianza Online, Optima Web, AENOR y Euro-Label- optan por la revisión anual, mientras que Agace y E-Confía verifican que el código se respete cada seis meses.
Asimismo, debemos poner de relieve la diversidad de entidades promotoras que hay detrás de los sistemas de autorregulación. Destaca en este sentido el caso de Confianza Online, en el que hay dos entidades privadas -AECEM y Autocontrol- y una pública, el Ministerio de Industria, a través de la entidad pública Red.es.
La vocación territorial de los sistemas de autorregulación en casi todos los supuestos es nacional, salvo en dos casos. La primera excepción viene marcada por Confianza Online, que es un código de conducta con tendencia internacional. La segunda estriba en el caso de Euro-Label, que tiene vocación comunitaria.
Por lo que se refiere a la sede de los sistemas de autorregulación nacionales, la mitad -Confianza Online, AENOR y E-Confía- están establecidas en la capital de España. La otra parte opera desde diferentes Comunidades Autónomas. Así, Agace lo hace desde Aragón y Óptima Web desde la Comunidad Valenciana. El código de conducta europeo tiene su sede en Bruselas.
Bibliografía
Álvarez-Cienfuegos Suárez, J. M. (1999) La defensa de la intimidad de los ciudadanos y la tecnología informática. Navarra: Aranzadi.
Arenas Ramiro, M. (2006) El derecho fundamental a la protección de datos personales en Europa. Valencia: Tirant lo Blanch.
Ashrafi, N. y Kuilboer, J. P. (2005). Online Privacy Policies: An Empirical Perspective on Self-Regulatory Practices. Journal of Electronic Commerce in Organizations, 3(4), 61-74.
Ballesteros Moffa, L. A. (2005). La Privacidad Electrónica. Internet en el centro de protección. Valencia: Tirant lo Blanch.
Bennet, C. J. y Raab, C. D. (2006). The Governance of Privacy: Policy Instruments in Global Perspective. Cambridge: The MIT Press.
Bowie, N. E. y Jamal, K. (2006). Privacy rights on the internet: self-regulation or government regulation? Business Ethics Quarterly, 16(3), 323-342.
Campuzano Tomé, H. (2000). Vida Privada Y Datos Personales. Madrid: Tecnos.
Castillo Jiménez, C. (2002). La sociedad de la información y los derechos fundamentales. Ley 34/2002 de servicios de la Sociedad de la Información y del comercio electrónico. Derecho y Conocimiento: Anuario jurídico sobre la sociedad de la información y del conocimiento, No. 2, 21-37.
Chissick, M. y Kelman, A. (2002). Electronic Commerce: Law and practice. 3a. ed. Londres: Thomson.
Corripio Gil-Delgado, M. R. (2003). Aplicación de la normativa de protección de datos al comercio electrónico dirigido a consumidores. Revista de la Contratación Electrónica, No. 40, 25-48.
EASA (2003). Advertising self-regulation. Bruselas: Geoffrey Draughn & Oliver Gray.
Edelstein, J. S. (2003). Self-Regulation on Advertising: An Alternative to Litigation and Government Action. IDEA: The Journal of Law and Technology, 43(3), 509-543.
Emiliani, M. L. (2005). Regulating B2B online reverse auctions through voluntary codes of conduct. Industrial Marketing Management, 34(5), 526-534.
Enzmann, M. y Roßnagel, A. (2002). Realisierter Datenschutz für den Einkauf im Internet. Computer und Rect., No. 2, 141-150.
Espinosa Calabuig, R. (2001). La publicidad transfronteriza. Valencia: Tirant lo Blanch.
Fernando Magarzo, R. (2008a). La consolidación de la autorregulación publicitaria en España: fomento normativo y reconocimiento jurisprudencial. Estudios sobre Consumo, No. 84, 71-83.
– (2008b). La consolidación de la autorregulación publicitaria en España: fomento normativo y reconocimiento jurisprudencial. Autocontrol, No. 135, 18-30.
Forsythe, S. M. y Shi, B. (2003). Consumer Patronage and Risk Perceptions in Internet Shopping. Journal of Business Research, 56(11), 867-875.
Friedman, B., Kahn, J. P. y Howe, D. C. (2000). Trust online. Communications of the ACM, 43(12), 34-40.
García Sisón, A. J. (2003). La ética en el comercio electrónico. En F. J. ROA (Coord.), Globalización, Internet y Marketing: una respuesta ética, pp. 441-483. Murcia: Servicio de Publicaciones de la Universidad Católica San Antonio.
González Carrasco, M. C. y Cantero Martínez, J. (2006). La producción normativa en materia de consumo. Técnica legislativa y regulación sectorial. Centro de Estudios de Consumo de Castilla La Mancha.
Gritzalis, S. (2004). Enhancing Web privacy and anonymity in the digital era. Information Management & Computer Security, 12(2-3), 255-288.
Instituto Nacional de Tecnologías de la Comunicación (2008). Estudio sobre el grado de adaptación de de las Pequeñas y Medianas Empresas españolas a la Ley Orgánica de Protección de Datos (LOPD) y el nuevo Reglamento de desarrollo (RDLOPD). Madrid: Observatorio de la Seguridad de la Información.
Kolsaker, A. y Payne, C. (2002). Engendering Trust in e-Commerce: A Study of Gender-based Concerns. Marketing intelligence and Planning, 20(4), 206-214.
Larson, L. Larson, R. y Greenlee, J. (2003). Privacy protection on the Internet. Strategic Finance, 84(2), 49-53.
Lawton, G. (2001). Is technology meeting the privacy challenge. IEEE Computer, 34(9), 16-18.
Lhose, G. L., Bellman, S. y Jonson, E. J. (2000). Consumer buying behaviour on the Internet: Findings from panel data. Journal of Interactive Marketing, 14(1), 15-29.
Llaneza González, P. (2000). Internet y comunicaciones digitales. Régimen legal de las tecnologías de la información y comunicación. Barcelona: Bosch.
– (2003). Planes de contingencia y regulación legal en materia de comercio electrónico y de protección de datos. Novática, No. 166, 33-39.
– (2008). La letra pequeña de la Web. Datospersonales.org: Revista de la Agencia de Protección de Datos de la Comunidad de Madrid, No. 36 [en línea]. Disponible en: http://www.madrid.org/cs/Satellite?c=CM_Revista_FP&cid=1142501208442&esArticulo=true&idRevistaElegida=1142493490721&language=es&pagename=RevistaDatosPersonales%2FPage%2Fhome_RDP&siteName=RevistaDatosPersonales.
López Jiménez, D. (2009). El sistema de autodisciplina europeo en materia de comercio electrónico: el código de conducta Euro-Label. ICADE: Revista de las Facultades de Derecho y Ciencias Económicas y Empresariales, No. 77, 263-280.
– y Martínez López, F. J. (2009). La formación del contrato electrónico. Revista de la Contratación Electrónica, N. 105, 3-48.
– y Martínez López, F. J. (2010). Nuevas tendencias en materia de responsabilidad social corporativa: los códigos de conducta reguladores del comercio electrónico. Revista de Responsabilidad Social de la Empresa, No. 4, 41-72.
Luna Huertas, P., Martínez-López, F. J. y Martínez López, F. J. (2005). Una metodología ad hoc para evaluar las prácticas de comercio electrónico en los mercados de consumo B2C. En A. M. Gutiérrez Arranz, M. J. Sánchez-Franco (Coords.), Marketing en Internet. Estrategia y empresa, pp. 39-139. Madrid: Pirámide.
Mallo, L. (2009). ¿Cumplimos la normativa en protección de datos? Revista Ays, No. 32, mayo, 118-120.
Martínez Carballo, M., Del Rió Rama, M. C., Guillén Solórzano, E. y Barbeito Roibal, S. (2006). Situación actual de la protección de datos de carácter personal en el ámbito privado. Suspenso generalizado en toda España. Harvard Deusto Marketing & Ventas, No. 75, 12-17.
Martos, J. J. (2005). DNI electrónico: obligaciones jurídicas para el titular y límites constitucionales en el derecho fundamental a la intimidad y a la protección de datos. Revista Aranzadi de Derecho y Nuevas Tecnologías, No. 9, 79-91.
Olivier Lalana, A. D. (2002). El derecho fundamental ‘virtual’ a la protección de datos. Tecnología transparente y normas privadas. La Ley, No. 5, julio, 1539-1546.
Pan, Y. y Zinkhan, G. M. (2006). Exploring the impact of online privacy disclosures on consumer trust. Journal of Retailing, 82(4), 331-338.
Patiño Alvés, B. (2007). La autorregulación publicitaria. Especial referencia al sistema español. Barcelona: Bosch.
PENTEO (2004). Estudio sobre el cumplimiento de la LOPD y de la LSSI. Grupo Penteo; Landewell-PWC.
Phelps, J., D´Souza, G. y Nowak, G. (2001). Antecedents and consequences of consumer privacy concerns: An empirical investigation. Journal of Interactive Marketing, 15(4), 2-17.
Phelps, J., Nowak, G. y Ferrel, E. (2000). Privacy concerns and consumer willingness to provide personal information. Journal of Public Policy & Marketing, 19(1), 27-41.
Punzón Moraleda, J. y Sánchez Rodríguez, F. (2004). El nuevo papel del Estado ante la regulación en Internet. Revista de la Contratación Electrónica, No. 55, 63-78.
Shapiro, A. (2002). Herramientas para la democracia. En P. Mayor Menéndez y J. Areilza Carvajal (Coords.), Internet, una profecía. Barcelona: Ariel, 15-32.
Sirinelli, P. (1998). L´adequation entre le village virtual et la creation remise en cause du role de l’Etat? En K. Boele-Woelki y C. Kesedjian (Eds.), Internet, Which Court Decides? Which Law Applies? Quel Tribunal Decide? Quel Droit S’applique?, pp. 1-22. La Haya : Kluwer Law Internacional.
Soler Matutes, P. (2006). La protección de datos de carácter personal. En P. Soler Matutes (Dir.), M. Piattini Velthuis e Ilustre Colegio de Ingeniería en Informática de Cataluña (Coords.), Manual de Gestión y Contratación Informática, pp. 467-482. Navarra: Thomson Aranzadi.
Soto Acosta, P. y Meroño Cerdán, A. (2006). ¿Se cumple la legislación sobre Sociedad de la Información?: Situación de las empresas murcianas. Universia Business Review, No. 9, 88-97.
Tato Plaza, A. (2001). Autorregulación publicitaria y Códigos de Conducta sobre publicidad en Internet. En J. A. Gómez Segade (Dir.), A. Fernández-Albor Baltar y A. Tato Plaza (Coords.), Comercio electrónico en Internet. Madrid: Marcial Pons.
– (2005). La autodisciplina publicitaria. Autocontrol, No. 102, 1-41.
Teo, T. S. y Liu, J. (2007). Consumer trust in E-commerce in the United States, Singapore and China. Omega, vol. 35, 22-38.
Teti, A. (2009). Il Futuro Dell’information & Communication Technology: Tecnologie, Timori E Scenari Futuri Della «Global Network Revolution. Milán : Springer.
Notas
1 Cabe en este sentido citar la Ley Orgánica, 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su Reglamento 1720/2007, de 21 de diciembre, de desarrollo de tal norma.
2 Sobre este particular, la Directiva 1995/46, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; la Directiva 2002/58, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, y la Directiva 2006/24, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, entre otras.
3 Así, por ejemplo, el Convenio 108, del Consejo de Europa de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y su Protocolo Adicional, relativo a las autoridades de supervisión y flujos internacionales de datos. Debe ponerse de relieve que el Consejo de Europa está a favor de la adhesión al Convenio 108 de Estados no miembros que cuenten con una adecuada legislación de protección de datos, y ha mostrado su determinación para promover este instrumento a nivel mundial. Asimismo, ha destacado la vocación potencialmente universal del Convenio 108, especialmente en la Cumbre Mundial de la Sociedad de la Información de Túnez (noviembre de 2005) y en el marco del Foro de Gobierno de Internet en Atenas (2006) y Rio de Janeiro (2007).
Como puede apreciarse, la operatividad de todos los sistemas arranca tras la aprobación de la Directiva de Comercio Electrónico del año 2000. La colaboración entre las entidades promotoras de los sistemas de autorregulación y las autoridades públicas es un elemento que puede dotar de mayor eficacia al sistema, ya que en tal caso contará con la aquiescencia de todos los agentes públicos y privados. Por otro lado, la participación de las asociaciones de consumidores y/o usuarios también, que existe en todos los códigos nacionales -salvo E-Confía- y en el europeo, es relevante en la elaboración del código de conducta.
Los códigos de conducta aprobados en materia de contratación electrónica y publicidad interactiva regulan, en distinto grado, diferentes extremos relativos a la privacidad. Esta última, junto con la seguridad, son dos de los elementos que más preocupan a los potenciales consumidores y/o usuarios. Conscientes de la importancia de ambas, así como de su influencia recíproca, los códigos de conducta, según puede observarse en la tabla 4, la reglamentan. Aunque el articulado de los mismos en el ámbito de la privacidad es sumamente amplio, hemos optado por referenciar solo algunas de las cuestiones que hemos reputado más relevantes, sin perjuicio de que existan más.
La comparativa realizada nos ha permitido tomar conciencia de lo completo o incompleto que cada uno de ellos es, tanto por materias como en términos generales, frente a sus homónimos. Aunque en cierta medida se complementan entre sí, el hecho de que en la actualidad algunos resulten, respecto a los demás, menos tuitivos para el consumidor no debe desmerecer, en términos generales, su importancia. En efecto, por poner un ejemplo, cabe referirse al caso de AENOR que, a pesar de parecer de los menos garantistas, marcó un hito sobre el particular. El código de buenas prácticas elaborado al respecto fue fruto de un dilatado estudio empírico sobre las diversas materias reglamentadas entre las que, naturalmente, se encontraba la privacidad.
Como no podía ser de otra manera, todos los códigos de conducta, con buen criterio, establecen expresamente la necesidad de respetar la normativa imperante en el ámbito de la privacidad. En línea con tal estipulación, es preceptivo que el personal esté suficientemente formado al respecto. Aunque podría reputarse de una cuestión obvia, no ha de desmerecerse su relevancia, ya que, como hemos visto, existe un alto porcentaje de sitios web que incumplen la legislación. De esta manera, cuando un potencial consumidor y/o usuario visualice en una página el icono acreditativo de la adhesión al documento de buenas prácticas, podrá tener garantías de que el prestador de servicios en cuestión respetará su privacidad.
Algunos de los códigos de conducta contienen ciertas previsiones de interés en el ámbito de la seguridad que repercuten en la privacidad. Así por ejemplo, entre otras, se dispone que han de realizarse auditorías previas en el ámbito de la privacidad y seguridad; fijarse un plan integral de seguridad considerando varias etapas; realizar pruebas periódicas y de rendimiento; políticas de seguridad en la transmisión de los datos; activación de antivirus; estrictas normas sobre el acceso físico a las instalaciones.
De manera acertada, los sistemas de autorregulación insisten, por un lado, en la obligación de proteger a los menores y a los incapacitados y, por otro, en la necesidad de fomentar políticas de educación de los usuarios en el ámbito de la privacidad. Existen numerosas materias sobre las que impera un enorme desconocimiento. Así, por ejemplo, deberá informarse sobre técnicas susceptibles de monitorizar el comportamiento con fines publicitarios. A este respecto, el uso de las cookies y de otros instrumentos técnicos -como los spyware– está restringido según lo establecido en el art. 5.3 Directiva de privacidad (Llaneza, 2003). Este último precepto debe considerarse según la redacción efectuada por la Directiva 2009/136. El actual art. 5.3 de la Directiva sobre privacidad incide en una cuestión sobre la que la versión anterior a la reforma no se pronunciaba. Nos referimos a que expresamente se dispone que el consentimiento se deberá otorgar después de que el prestador de servicios haya informado al usuario, de forma sencilla y completa, sobre los fines del tratamiento de los datos.
La práctica totalidad de los códigos de conducta prohíben la remisión de comunicaciones comerciales no solicitadas (spam). De la misma manera, se impide el recurso a técnicas ideadas para tal fin, cual la recopilación de direcciones electrónicas presentes en determinados canales (address harvesting), como la creación aleatoria de direcciones (dictionary attacks). Finalmente, no se permite, por sus efectos negativos sobre la privacidad, la publicidad potencialmente invasiva en foros, chats y otros canales específicos.
Artículo extraído del nº 89 de la revista en papel Telos
Comentarios