Modified by Royal Decree Law 34/2002, Information Society Services and Electronic Commerce (LSSICE).

Royal Decree Law 34/2002 has been recently published to adapt European Directives on electricity gas and electronic communications by adopting measures for correcting diversions from economic imbalances between costs and revenues of electricity and gas sectors.

Article 4.3 modifies the regulation of “cookies” set out in the Law 34/2002 about Information Society and Electronic Commerce Services (LSSICE) giving a new draft to Article 22.2 of the LSSICE, highlighting “the need for consent” in addition to the duty of information under the LSSICE. The new text reads: “Service providers will be able to use storage devices and information recovery in terminal equipment of the users, provided that they have consented after having received complete information about their use, in particular the purposes of processing data in accordance with the provisions of Law 15/1999, December 13, of Personal Data Protection.”

Article 5.3 of Directive 2002/58/EC, amended by Directive 2009/136/EC sets out:

5.3. State members shall allow the storage of information or the access to information already stored in the terminal equipment of a subscriber or user only when the user has consented it after having received comprehensive information, particularly about the purposes of processing data in accordance with provisions of Directive 95/46/EC. However, this will not prevent any technical storage or access of strictly technical nature to establish the transmission of a communication over an electronic communications network by a supplier of an information service to a company”.

 

 

Modificada por Real Decreto Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico (LSSICE). Nueva regulación de las Cookies en España.  ‏

Recientemente se ha publicado el “Real Decreto-Ley 13/2012”, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista”.

Dicho Decreto, recoge en su artículo 4 la modificación de la Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico (LSSICE) regulando lo referido a las cookies en el artículo 4.3 que da una nueva redacción al artículo 22.2 de la LSSICE, destacando como aspecto novedoso “la necesidad de consentimiento” además del de información previsto en la LSSICE. Al respecto, el nuevo texto señala lo siguiente: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.”

Articulado que se complementa, con el artículo 5.3 de la Directiva 2002/58/CE, redacción dada por la Directiva 2009/136/CE al contemplar lo siguiente: “5.3. Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario”.

 

Modified by Royal Decree Law 34/2002, Information Society Services and Electronic Commerce (LSSICE).

Royal Decree Law 34/2002 has been recently published to adapt European Directives on electricity gas and electronic communications by adopting measures for correcting diversions from economic imbalances between costs and revenues of electricity and gas sectors.

Article 4.3 modifies the regulation of “cookies” set out in the Law 34/2002 about Information Society and Electronic Commerce Services (LSSICE) giving a new draft to Article 22.2 of the LSSICE, standing out “the need of consent” in addition to the duty of information under the LSSICE. The new text reads: “Service providers will be able to use storage devices and information recovery in terminal equipment of the users, provided that they have consented after having received a complete information about their use, especially, in particular the purposes of processing data in accordance with the provisions of Law 15/1999, of December 13, of Personal Data Protection.”

Article 5.3 of Directive 2002/58/EC, amended by Directive 2009/136/EC sets out:

5.3. State members shall allow the storage of information or the access to information already stored in the terminal equipment of a subscriber or user only when the user has consented it after having received comprehensive information, particularly about the purposes of processing data in accordance with provisions of Directive 95/46/EC. However, this will not prevent any technical storage or access of strictly technical nature to establish the transmission of a communication over an electronic communications network by a supplier of an information service to a company”.

 

In relation to this paragraph referring to the rendering of a service expressly requested by the user, as it outlines (Bermell 2012), it will allow all the shops or webs in which the user is previously registered, the use of own cookies or variables of session, essential for the proper functioning of these services.

Notwithstanding, the user and the provider (especially the latter) have to establish measures to ensure that these session variables are deleted on logging-out. Unfortunately, this only happens when the user closes the navigator, rather than just the open tab of the page identified. It is possible to advance further by having the session close after several minutes of inactivity which is common in financial institutions (Bermell, 2012).

Finally it should be pointed out that against possible infractions by failure to fulfill the new regulation, the Competent body is the Spanish Agency of Data Protection (AEPD) under the provisions of its Article 43 of the LSSICE, on violations of Article 38.4.g ) of the aforementioned regulation.

It is therefore recommended that the AEPD establish examples of valid compliance mechanisms in accordance with the new legal framework, as ICO (British Data Protection Authority) has already done, implementing the Directive on its website, with a notice on the header of the website enabling users to choose whether to accept cookies (of their own, not third-parties). Substantial progress would be for CMS (software content maintenance such as wordpress, Joomla or Drupal) to facilitate business and web developers to incorporate appropriate adjustments. In any case, we must be attentive to the Agency´s reaction against the new regulation of cookies and take all the necessary measures to avoid any penalty.

 

• Source Bermell, S. (2012) “Nueva regulación de las Cookies en España, regulación adaptada a la legislación europea”. Articel available in: http//www.privacidadpractica.com Published date: 01/04/2012 Access date: 01/04/2012

En relación a este párrafo, referido a la prestación de un servicio expresamente solicitado por el usuario, tal como destaca (Bermell, 2012), permitirá a todos las tiendas o webs donde el usuario se registre previamente, y se identifique para poder acceder, la utilización de cookies propias o variables de sesión, imprescindibles para el buen funcionamiento de estos servicios. Pero tanto el usuario como el prestador (sobre todo este último), deben establecer medidas para que estas variables de sesión se eliminen al cerrar la sesión. Lamentablemente de forma muy extendida, esto solo sucede cuando el usuario cierra el navegador, no solo la pestaña abierta de la página en la que se identificó. Pero se puede avanzar un poco más, estableciendo el cierre de sesión tras varios minutos de inactividad como es habitual en entidades financieras (Bermell, 2012).

Por último destacar, que ante posibles infracciones por incumplimiento de la nueva regulación, el órgano competente de conocerlas es la Agencia Española de Protección de Datos, en virtud de lo previsto en el artículo 43 de la LSSICE, sobre las infracciones del artículo 38.4.g)[i] de la misma ley. En consecuencia, es recomendable que la AEPD, tal como lo ha hecho ICO (autoridad de protección de datos británica) que ya ha implementado la directiva en su web, con un aviso en su cabecera, para aceptar o no sus cookies (propias, no de terceros); estableciera ejemplos de mecanismos válidos para el cumplimiento del nuevo marco legal, y también sería un gran paso, conseguir que los CMS (software de mantenimiento de contenido, como wordpress, Joomla o Drupal) facilitaran a empresas y desarrolladores de webs incorporar las adaptaciones oportunas. En todo caso, habrá que estar atentos a la reacción de la Agencia frente a la nueva regulación de las cookies, y tomar todas las medidas necesarias para evitar cualquier sanción.

• Fuente: Bermell, S. (2012). “Nueva regulación de la  Cookies en España, regulación adaptada a la legislación europea”. Artículo disponible en: http://www.privacidadpractica.com  Fecha de publicación: 01/04/2012. Fecha de acceso: 01/04/2012

In relation to this paragraph referred to the rendering of a service expressly requested by the user, as it stands out (Bermell 2012), it will allow all the shops or webs in which the user is previously registered, the use of own cookies or variables of session, essential for the good functioning of these services.

Notwithstanding, the user and the provider (especially the latter) have to establish measures to ensure that these variables session are deleted at logout. Unfortunately, this only happens when the user closes the navigator, not only the open tab of the page that was identified. You can go further by setting the closing session after several minutes of inactivity which is common in financial institutions (Bermell, 2012).

Spanish Agency for Data Protection under the provisions of its Article 43 of the LSSICE, on violations of Article 38.4.g ) of the Law, is the competent Spanish Administrative Body (AEPD).

It is therefore recommended that the AEPD establish examples of valid compliance mechanisms with the new legal framework, as ICO (British Data Protection Authority) has already done which has published the Directive on its website, with a notice on its head, to accept or not their own cookies. A substantial progress would be that CMS (software content maintenance as wordpress, Joomla or Drupal) facilitate business and web developers to incorporate appropriate adjustments. In any case, we must be attentive to the Agency´s reaction against the new regulation of cookies and take all the necessary measures to avoid any penalty.

 

• Source Bermell, S. (2012) “Nueva regulación de las Cookies en España, regulación adaptada a la legislación europea”. Articel available in: http//www.privacidadpractica.com Published date: 01/04/2012 Access date: 01/04/2012