Df 2 Telecomunicaciones

La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, queda modificada como sigue:

Uno. Se modifica el apartado 1 f) del artículo 10, que queda redactado en los siguientes términos:

«f) Cuando el servicio de la sociedad de la información haga referencia a precios, se facilitará información clara y exacta sobre el precio del producto o servicio, indicando si incluye o no los impuestos aplicables y, en su caso, sobre los gastos de envío.»

Dos. Se modifica el apartado 1 del artículo 18, que queda redactado como sigue:

«1. Las administraciones públicas impulsarán, a través de la coordinación y el asesoramiento, la elaboración y aplicación de códigos de conducta voluntarios, por parte de las corporaciones, asociaciones u organizaciones comerciales, profesionales y de consumidores, en las materias reguladas en esta Ley. La Administración General del Estado fomentará, en especial, la elaboración de códigos de conducta de ámbito comunitario o internacional.

Los códigos de conducta que afecten a los consumidores y usuarios estarán sujetos, además, al capítulo V de la Ley 3/1991, de 10 de enero, de competencia desleal.

Los códigos de conducta podrán tratar, en particular, sobre los procedimientos para la detección y retirada de contenidos ilícitos y la protección de los destinatarios frente al envío por vía electrónica de comunicaciones comerciales no solicitadas, así como sobre los procedimientos extrajudiciales para la resolución de los conflictos que surjan por la prestación de los servicios de la sociedad de la información.»

Tres. Los apartados 1 y 3 del artículo 20 quedan redactados del siguiente modo:

«1. Las comunicaciones comerciales realizadas por vía electrónica deberán ser claramente identificables como tales, y la persona física o jurídica en nombre de la cual se realizan también deberá ser claramente identificable.»

«3. Lo dispuesto en los apartados anteriores se entiende sin perjuicio de lo que dispongan las normativas dictadas por las Comunidades Autónomas con competencias exclusivas sobre consumo.»

Cuatro. El apartado 2 del artículo 21 queda redactado del siguiente modo:

«2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.»

Cinco. El artículo 22 queda redactado en los siguientes términos:

«Artículo 22. Derechos de los destinatarios de servicios.

1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.

A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.»

Seis. Se modifica el apartado 1 del artículo 35, que queda redactado como sigue:

«1. El Ministerio de Industria, Energía y Turismo controlará el cumplimiento por los prestadores de servicios de la sociedad de la información de las obligaciones establecidas en esta Ley y en sus disposiciones de desarrollo, en lo que se refiere a los servicios propios de la sociedad de la información.

No obstante, las referencias a los órganos competentes contenidas en los artículos 8, 10, 11, 15, 16, 17 y 38 se entenderán hechas a los órganos jurisdiccionales o administrativos que, en cada caso, lo sean en función de la materia.»

Siete. El artículo 37 queda redactado como sigue:

«Artículo 37. Responsables.

Los prestadores de servicios de la sociedad de la información están sujetos al régimen sancionador establecido en este título cuando la presente Ley les sea de aplicación.

Cuando las infracciones previstas en el artículo 38.3 i) y 38.4 g) se deban a la instalación de dispositivos de almacenamiento y recuperación de la información como consecuencia de la cesión por parte del prestador del servicio de la sociedad de la información de espacios propios para mostrar publicidad, será responsable de la infracción, además del prestador del servicio de la sociedad de la información, la red publicitaria o agente que gestione directamente con aquel la colocación de anuncios en dichos espacios en caso de no haber adoptado medidas para exigirle el cumplimiento de los deberes de información y la obtención del consentimiento del usuario.»

Ocho. El apartado 3 c) del artículo 38 queda redactado como sigue:

«c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente, o su envío insistente o sistemático a un mismo destinatario del servicio cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.»

Nueve. El apartado 3 i) del artículo 38 queda redactado como sigue:

«i) La reincidencia en la comisión de la infracción leve prevista en el apartado 4 g) cuando así se hubiera declarado por resolución firme dictada en los tres años inmediatamente anteriores a la apertura del procedimiento sancionador.»

Diez. Se modifica el párrafo g) del artículo 38.4, que queda redactado como sigue:

«g) Utilizar dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario del servicio en los términos exigidos por el artículo 22.2.»

Once. Se introduce un nuevo artículo 39 bis con el siguiente contenido:

«Artículo 39 bis. Moderación de sanciones.

1. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:

a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el artículo 40.

b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.

c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.

d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.

e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.

2. Los órganos con competencia sancionadora, atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, podrán acordar no iniciar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable, a fin de que en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que, en cada caso, resulten pertinentes, siempre que concurran los siguientes presupuestos:

a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.

b) Que el órgano competente no hubiese sancionado o apercibido con anterioridad al infractor como consecuencia de la comisión de infracciones previstas en esta Ley.

Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado, procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.»

Doce. Se modifica el artículo 40, que queda redactado como sigue:

«Artículo 40. Graduación de la cuantía de las sanciones.

La cuantía de las multas que se impongan se graduará atendiendo a los siguientes criterios:

a) La existencia de intencionalidad.

b) Plazo de tiempo durante el que se haya venido cometiendo la infracción.

c) La reincidencia por comisión de infracciones de la misma naturaleza, cuando así haya sido declarado por resolución firme.

d) La naturaleza y cuantía de los perjuicios causados.

e) Los beneficios obtenidos por la infracción.

f) Volumen de facturación a que afecte la infracción cometida.

g) La adhesión a un código de conducta o a un sistema de autorregulación publicitaria aplicable respecto a la infracción cometida, que cumpla con lo dispuesto en el artículo 18 o en la disposición final octava y que haya sido informado favorablemente por el órgano u órganos competentes.»

Trece. Se modifica el artículo 43, que queda redactado como sigue:

«1. La imposición de sanciones por el incumplimiento de lo previsto en esta Ley corresponderá, en el caso de infracciones muy graves, al Ministro de Industria, Energía y Turismo, y en el de infracciones graves y leves, al Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información.

No obstante lo anterior, la imposición de sanciones por incumplimiento de las resoluciones dictadas por los órganos competentes en función de la materia o entidad de que se trate a que se refieren los párrafos a) y b) del artículo 38.2 de esta Ley corresponderá al órgano que dictó la resolución incumplida. Igualmente, corresponderá a la Agencia de Protección de Datos la imposición de sanciones por la comisión de las infracciones tipificadas en los artículos 38.3 c), d) e i) y 38.4 d), g) y h) de esta Ley.

2. La potestad sancionadora regulada en esta Ley se ejercerá de conformidad con lo establecido al respecto en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones públicas y del Procedimiento Administrativo Común, y en sus normas de desarrollo. No obstante, el plazo máximo de duración del procedimiento simplificado será de tres meses.»

Catorce. Se introduce un apartado Cinco bis en la disposición adicional sexta, que queda redactado de la siguiente forma:

«Cinco bis. La autoridad de asignación suspenderá cautelarmente o cancelará, de acuerdo con el correspondiente requerimiento judicial previo, los nombres de dominio mediante los cuales se esté cometiendo un delito o falta tipificado en el Código Penal. Del mismo modo procederá la autoridad de asignación cuando por las Fuerzas y Cuerpos de Seguridad del Estado se le dirija requerimiento de suspensión cautelar dictado como diligencia de prevención dentro de las 24 horas siguientes al conocimiento de los hechos.

Asimismo, de acuerdo con lo dispuesto en los artículos 8, 11 y concordantes de esta Ley, la autoridad administrativa o judicial competente como medida para obtener la interrupción de la prestación de un servicio de la sociedad de la información o la retirada de un contenido, podrá requerir a la autoridad de asignación para que suspenda cautelarmente o cancele un nombre de dominio.

De la misma forma se procederá en los demás supuestos previstos legalmente.

En los supuestos previstos en los dos párrafos anteriores, sólo podrá ordenarse la suspensión cautelar o la cancelación de un nombre de dominio cuando el prestador de servicios o persona responsable no hubiera atendido el requerimiento dictado para el cese de la actividad ilícita.

En todos los casos en que la Constitución, las normas reguladoras de los respectivos derechos y libertades o las que resulten aplicables a las diferentes materias atribuyan competencia a los órganos jurisdiccionales de forma excluyente para intervenir en el ejercicio de actividades o derechos, sólo la autoridad judicial competente podrá requerir la suspensión cautelar o la cancelación. En particular, cuando dichas medidas afecten a los derechos y libertades de expresión e información y demás amparados en los términos establecidos en el artículo 20 de la Constitución solo podrán ser decididas por los órganos jurisdiccionales competentes.

La suspensión consistirá en la imposibilidad de utilizar el nombre de dominio a los efectos del direccionamiento en Internet y la prohibición de modificar la titularidad y los datos registrales del mismo, si bien podrá añadir nuevos datos de contacto. El titular del nombre de dominio únicamente podrá renovar el mismo o modificar la modalidad de renovación. La suspensión cautelar se mantendrá hasta que sea levantada o bien, confirmada en una resolución definitiva que ordene la cancelación del nombre de dominio.

La cancelación tendrá los mismos efectos que la suspensión hasta la expiración del período de registro y si el tiempo restante es inferior a un año, por un año adicional, transcurrido el cual el nombre de dominio podrá volver a asignarse.»

Quince. Se introduce una nueva disposición adicional octava con el siguiente contenido:

«Disposición adicional octava. Colaboración de los registros de nombres de dominio establecidos en España en la lucha contra actividades ilícitas.

1. Los registros de nombres de dominio establecidos en España estarán sujetos a lo establecido en el apartado Cinco bis de la disposición adicional sexta, respecto de los nombres de dominio que asignen.

2. Las entidades de registro de nombres de dominio establecidas en España estarán obligadas a facilitar los datos relativos a los titulares de los nombres de dominio que soliciten las autoridades públicas para el ejercicio de sus competencias de inspección, control y sanción cuando las infracciones administrativas que se persigan tengan relación directa con la actividad de una página de Internet identificada con los nombres de dominio que asignen.

Tales datos se facilitarán así mismo, cuando sean necesarios para la investigación y mitigación de incidentes de ciberseguridad en los que estén involucrados equipos relacionados con un nombre de dominio de los encomendados a su gestión. Dicha información será proporcionada al órgano, organismo o entidad que se determine legal o reglamentariamente.

En ambos supuestos, la solicitud deberá formularse mediante escrito motivado en el que se especificarán los datos requeridos y la necesidad y proporcionalidad de los datos solicitados para el fin que se persigue. Si los datos demandados son datos personales, su cesión no precisará el consentimiento de su titular.»

Dieciséis. Se introduce una disposición adicional novena con el siguiente contenido:

«Disposición adicional novena. Gestión de incidentes de ciberseguridad que afecten a la red de Internet.

1. Los prestadores de servicios de la Sociedad de la Información, los registros de nombres de dominio y los agentes registradores que estén establecidos en España están obligados a prestar su colaboración con el CERT competente, en la resolución de incidentes de ciberseguridad que afecten a la red de Internet y actuar bajo las recomendaciones de seguridad indicadas o que sean establecidas en los códigos de conducta que de esta Ley se deriven.

Los órganos, organismos públicos o cualquier otra entidad del sector público que gestionen equipos de respuesta a incidentes de seguridad colaborarán con las autoridades competentes para la aportación de las evidencias técnicas necesarias para la persecución de los delitos derivados de dichos incidentes de ciberseguridad.

2. Para el ejercicio de las funciones y obligaciones anteriores, los prestadores de servicios de la Sociedad de la información, respetando el secreto de las comunicaciones, suministrarán la información necesaria al CERT competente, y a las autoridades competentes, para la adecuada gestión de los incidentes de ciberseguridad, incluyendo las direcciones IP que puedan hallarse comprometidas o implicadas en los mismos.

De la misma forma, los órganos, organismos públicos o cualquier otra entidad del sector público que gestionen equipos de respuesta a incidentes de seguridad podrán intercambiar información asociada a incidentes de ciberseguridad con otros CERTs o autoridades competentes a nivel nacional e internacional, siempre que dicha información sea necesaria para la prevención de incidentes en su ámbito de actuación.

3. El Gobierno pondrá en marcha, en el plazo de seis meses, un programa para impulsar un esquema de cooperación público-privada con el fin de identificar y mitigar los ataques e incidentes de ciberseguridad que afecten a la red de Internet en España. Para ello, se elaborarán códigos de conducta en materia de ciberseguridad aplicables a los diferentes prestadores de servicios de la sociedad de la información, y a los registros de nombres de dominio y agentes registradores establecidos en España.

Los códigos de conducta determinarán el conjunto de normas, medidas y recomendaciones a implementar que permitan garantizar una gestión eficiente y eficaz de dichos incidentes de ciberseguridad, el régimen de colaboración y condiciones de adhesión e implementación, así como los procedimientos de análisis y revisión de las iniciativas resultantes.

La Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información coordinará las actuaciones que se pongan en marcha derivadas de estos códigos de conducta.

4. Conforme a los códigos de conducta que se definan en particular, los prestadores de servicios de la sociedad de la información deberán identificar a los usuarios afectados por los incidentes de ciberseguridad que les sean notificados por el CERT competente, e indicarles las acciones que deben llevar a cabo y que están bajo su responsabilidad, así como los tiempos de actuación. En todo caso, se les proporcionará información sobre los perjuicios que podrían sufrir u ocasionar a terceros si no colaboran en la resolución de los incidentes de ciberseguridad a que se refiere esta disposición.

En el caso de que los usuarios no ejerciesen en el plazo recomendado su responsabilidad en cuanto a la desinfección o eliminación de los elementos causantes del incidente de ciberseguridad, los prestadores de servicios deberán, bajo requerimiento del CERT competente, aislar dicho equipo o servicio de la red, evitando así efectos negativos a terceros hasta el cese de la actividad maliciosa.

El párrafo anterior será de aplicación a cualquier equipo o servicio geolocalizado en España o que esté operativo bajo un nombre de dominio «.es» u otros cuyo Registro esté establecido en España.

5. Reglamentariamente se determinará los órganos, organismos públicos o cualquier otra entidad del sector público que ejercerán las funciones de equipo de respuesta a incidentes de seguridad o CERT competente a los efectos de lo previsto en la presente disposición.

6. La Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información garantizará un intercambio fluido de información con la Secretaría de Estado de Seguridad del Ministerio del Interior sobre incidentes, amenazas y vulnerabilidades según lo contemplado en la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la Protección de las Infraestructuras Críticas. En este sentido se establecerán mecanismos de coordinación entre ambos órganos para garantizar la provisión de una respuesta coordinada frente a incidentes en el marco de la presente Ley.»