El régimen de infracciones y sanciones en la Ley de Servicios de Sociedad de la Información y Comercio Electrónico (LSSICE)

Una pregunta recurrente de todo responsable de e-commerce cuando es informado de las obligaciones y requisitos legales que debe observar es: “¿Qué me puede pasar en caso de incumplimiento?” Pues bien, la LSSCIE regula en su Título VII el régimen de infracciones y de sanciones, que vamos a analizar brevemente en este artículo.

Con carácter previo, hay que señalar que está sujeto al régimen sancionador de esta disposición todo prestador de servicios de sociedad de la información (como es el caso del titular de un e-commerce) al que le sea aplicable la LSSICE.

Algunos ejemplos de sanciones en materia de comercio electrónico

Antes de entrar en materia, siempre viene bien acudir a efectos prácticos a las resoluciones judiciales que aplican este régimen sancionador. De esta manera, podemos tener una visión de cómo puede llegar a afectar la imposición de una sanción a un e-commerce.

1º) Infracción grave por envío masivo de comunicaciones comerciales no solicitadas:

En este caso, una conocida empresa dedicada al sector de loterías y apuestas fue sancionada por la Agencia Española de Protección de Datos con una sanción de 30.001 € (la menor cuantía posible en caso de una infracción grave), como consecuencia de haber enviado comunicaciones comerciales de forma sistemática o insistente sin cumplir los requisitos legales establecidos en el art. 21 de la LSSICE. Pues bien, la Sentencia de la Audiencia Nacional de 18 de octubre de 2013, confirmó en este caso la sanción de 30.001 € impuesta a esta mercantil por la infracción prevista en el art. 38.3 letra c) de la LSSICE. Merece la pena llamar la atención sobre el hecho de que en la sentencia se especifica que “aunque en este supuesto hubiese existido una relación comercial previa con la destinataria, ésta no le habilita a remitir publicidad comercial cuando el cliente ha manifestado, como es el caso que nos ocupa, su expreso deseo de no recibirla, pues la excepción prevista en el apartado segundo del citado art. 21 de la Ley 34/2002, de 11 de julio, establece expresamente la posibilidad de ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto  en  el  momento  de  recogida  de  los  datos  como  en  cada  una  de  las  comunicaciones  comerciales  que  le dirija". Es decir, es imprescindible cumplir con todos los requisitos establecidos en el art. 21 de la LSSICE y muy en particular con algo tan sencillo como facilitar los medios y respetar la decisión en el caso de que el usuario manifieste su oposición a recibir más comunicaciones comerciales. 

2º) Infracciones en materia de “cookies”

En la LSSICE se contempla los requisitos que se deben observar a la hora de instalar “cookies” en el navegador de los usuarios, dichos requisitos están previstos en el art. 22.2 de la LSSICE. En este supuesto, la Agencia Española de Protección de Datos impuso una sanción a dos joyerías por incumplir, tanto la Ley de Protección de Datos (que no es objeto de este artículo) como el citado art. 22.2 de la LSSICE en relación con los requisitos de información previa y consentimiento informado. Como consecuencia de ello, se impuso una sanción por infracción leve (art. 38.4 letra g) de la LSSICE) por importe de 3.000 € a una de las entidades y de 500 € a la otra. En vía judicial la Audiencia Nacional en su Sentencia 1932/2015 de 8 de mayo de 2015 ratificó dichas sanciones al constatar que “(…) las partes actoras utilizan "cookies" propios y de terceros en los terminales de los usuarios que acceden a los sitios web de su titularidad, sin informarles de forma clara y completa, sobre el uso de los "cookies" que se instalan y fines del tratamiento de la información recuperada a través de las mismas.” En este mismo sentido ha habido otra resolución de la Agencia Española de Protección de Datos en la que se impone al responsable de un portal de comercio electrónico una sanción de 3.000 € por este mismo motivo.

3º) Sanciones del Ministerio de Industrial por no incluir toda la información requerida en el Aviso Legal

Los sitios web dedicados a comercio electrónico deben cumplir con la obligación de publicar determinada información prevista en el art. 10 de la LSSICE. En algunos casos un autónomo o una pequeña empresa es reticente a incluir su NIF o CIF o no se incluye debidamente la información relativa a la inscripción de una sociedad en el Registro Mercantil. Pues bien, esta conducta se encuentra prevista como infracción en la LSSICE, como veremos más adelante, y no sólo eso, sino que el Ministerio de Industria ya ha impuesto sanciones de oficio al haber detectado incumplimientos en relación con este precepto. En concreto, se recoge como infracción "no ofrecer información general de forma permanente, fácil, directa y gratuita sobre los datos de su inscripción en el registro correspondiente [...]". Es el caso de esta resolución en la que sanciona con 600 € a una empresa que, si bien indicó en su aviso legal que estaba inscrita en el Registro Mercantil, no indicó expresamente en qué Libro, Tomo, Folio y Hoja. Parece increíble, pero es cierto.

Régimen legal de las infracciones en la LSSICE

Antes de entrar ya a exponer las infracciones hay que señalar que este régimen se ha visto afectado de forma considerable por las modificaciones introducidas por la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones. Es por esto que es muy importante consultar legislación actualizada en este sentido, y altamente recomendable hacerlo asesorado profesionalmente.

Pasando ya al estudio de las infracciones, la LSSICE establece una categorización diferenciando entre: leves, graves y muy graves.

En el caso de las infracciones muy graves nos encontramos que han sido derogadas por la Ley 9/2014, salvo la prevista en la letra b):

 “El incumplimiento de la obligación de suspender la transmisión, el alojamiento de datos, el acceso a la red o la prestación de cualquier otro servicio equivalente de intermediación, cuando un órgano administrativo competente lo ordene, en virtud de lo dispuesto en el artículo 11.”

Se trata de una infracción prevista para los prestadores de servicios de sociedad de la información que desatiendan requerimientos expresos por parte de órganos administrativos en relación con el cese o suspensión de transmisión de señal o alojamiento de datos.  Por ello, se trata de una infracción que, en condiciones normales, no va a ser de común aplicación para el caso de un responsable de un e-commerce.

La cuestión difiere en relación con las infracciones graves. En este caso nos encontramos con el siguiente catálogo de infracciones:

a) (Derogado)

b) El incumplimiento significativo de lo establecido en los párrafos a) y f) del artículo 10.1.

c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente, o su envío insistente o sistemático a un mismo destinatario del servicio cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.

d) El incumplimiento significativo de la obligación del prestador de servicios establecida en el apartado 1 del artículo 22, en relación con los procedimientos para revocar el consentimiento prestado por los destinatarios.

e) No poner a disposición del destinatario del servicio las condiciones generales a que, en su caso, se sujete el contrato, en la forma prevista en el artículo 27.

f) El incumplimiento habitual de la obligación de confirmar la recepción de una aceptación, cuando no se haya pactado su exclusión o el contrato se haya celebrado con un consumidor.

g) La resistencia, excusa o negativa a la actuación inspectora de los órganos facultados para llevarla a cabo con arreglo a esta ley.

h) El incumplimiento significativo de lo establecido en el apartado 3 del artículo 10.

i) La reincidencia en la comisión de la infracción leve prevista en el apartado 4 g) cuando así se hubiera declarado por resolución firme dictada en los tres años inmediatamente anteriores a la apertura del procedimiento sancionador.

Para empezar, nos encontramos con que se prevé como infracción grave el incumplimiento del deber de información previsto en el art. 10.1, es decir, el relativo al aviso legal y el contenido del mismo que debe estar presente en todo e-commerce.

A continuación, en los apartados b) y c)  nos encontramos con las infracciones relativas al envío masivo de comunicaciones comerciales no solicitadas, también conocida como SPAM (art. 21), y el incumplimiento significativo del régimen legal previsto en el art. 22.1 en relación con la posibilidad de revocar el consentimiento al envío de comunicaciones comerciales (es decir, la obligación de incluir un procedimiento gratuito y sencillo de comunicación de cese de envío de nuevas comunicaciones en cada envío que se realice al usuario).

Los apartados e) y f) se refieren a supuestos en los que se incumple, en primer lugar, la obligación de poner a disposición del usuario las condiciones generales de contratación o documento de condiciones de venta conforme al art. 27 LSSICE; y en segundo lugar, el incumplimiento de confirmación de la recepción de una aceptación de un pedido, salvo en el caso de que esto se haya excluido contractualmente o el contrato se celebre con un consumidor. Se trata de cuestiones de sencillo cumplimiento, pero que pueden tener consecuencias muy perjudiciales, como veremos a continuación.

Finalmente, las letras g) h) e i) se refieren a cuestiones específicas como negativas a colaboración con la administración que haya realizado un requerimiento o la obstaculización de su labor (apartado g)), el incumplimiento de obligaciones específicas impuestas en el art. 10 en el caso de servicios de tarificación adicional (apartado h)), o el incumplimiento reiterado en la comisión de la infracción leve prevista en el apartado 4 letra g) relativo a utilizar dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario, es decir, la instalación de “cookies” incumpliendo el régimen del art. 22.2 LSSICE.

a) El incumplimiento de lo previsto en el art. 12 bis.

b) No informar en la forma prescrita por el artículo 10.1 sobre los aspectos señalados en los párrafos b), c), d), e) y g) del mismo, o en los párrafos a) y f) cuando no constituya infracción grave.

c) El incumplimiento de lo previsto en el artículo 20 para las comunicaciones comerciales, ofertas promocionales y concursos.

d) El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21 y no constituya infracción grave.

e) No facilitar la información a que se refiere el artículo 27.1, cuando las partes no hayan pactado su exclusión o el destinatario sea un consumidor.

f) El incumplimiento de la obligación de confirmar la recepción de una petición en los términos establecidos en el artículo 28, cuando no se haya pactado su exclusión o el contrato se haya celebrado con un consumidor, salvo que constituya infracción grave.

g) Utilizar dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario del servicio en los términos exigidos por el artículo 22.2.

h) El incumplimiento de la obligación del prestador de servicios establecida en el apartado 1 del artículo 22, en relación con los procedimientos para revocar el consentimiento prestado por los destinatarios cuando no constituya infracción grave.                                                                                

i) El incumplimiento de lo establecido en el apartado 3 del artículo 10, cuando no constituya infracción grave.

La infracción prevista en el apartado letra a) se refiere únicamente los prestadores de servicios de sociedad de la información que faciliten el acceso a Internet y realicen servicios de intermediación similares, por lo que su aplicación se restringe a este tipo de sujetos. En relación con el apartado b) observamos cómo se tipifica como infracción leve el incumplimiento de las obligaciones de información que deben figurar en el aviso legal, como por ejemplo el caso de un autónomo titular de un e-commerce que omite la inclusión de su número de identificación fiscal, o una mercantil que no indica los datos de su inscripción en el Registro Mercantil.

En el apartado c) nos encontramos con el supuesto de incumplimiento de las condiciones específicas establecidas para el caso de promociones, concursos y ofertas desarrollados en el art.20 LSSICE.

Los apartados d), e), f), g), h) e i) se refieren a supuestos ya analizados como infracción grave, pero tratándose de conductas menos graves que las prevista en aquél caso. Merece la pena destacar que entre ellas se encuentran obligaciones tan relevantes y, que frecuentemente dan lugar a conflicto, como enviar comunicaciones comerciales sin contar con consentimiento previo del receptor, no facilitar la información precontractual al usuario, instalación de cookies sin consentimiento previo, expreso e informado, o no ofrecer la posibilidad de dar de baja la suscripción a un boletín publicitario.

Régimen legal de las sanciones en la LSSICE

El artículo 39 de la LSSCIE prevé el régimen sancionador de la siguiente manera:

a) Por la comisión de infracciones muy graves, multa de 150.001 hasta 600.000 euros.

La reiteración en el plazo de tres años de dos o más infracciones muy graves, sancionadas con carácter firme, podrá dar lugar, en función de sus circunstancias, a la sanción de prohibición de actuación en España, durante un plazo máximo de dos años.

b) Por la comisión de infracciones graves, multa de 30.001 hasta 150.000 euros.

c) Por la comisión de infracciones leves, multa de hasta 30.000 euros.

Como podemos ver, incluso en el caso de una infracción leve nos encontramos con sanciones de grandísimo impacto económico para la absoluta generalidad de los titulares de un e-commerce. Adicionalmente, se prevé la posibilidad de otro tipo de medidas, como, por ejemplo, la publicación de la resolución sancionadora en el BOE a costa del infractor o la imposición de multas coercitivas diarias de hasta 6.000 € en el caso de que se establezcan medidas provisionales en casos de expedientes sancionadores graves o muy graves y se produzca el incumplimiento de las mismas.

Dicho esto, hay que matizar que en el art. 40 de la LSSICE se contemplan una serie de criterios de graduación de la cuantía de las sanciones: intencionalidad, plazo de duración de la infracción, beneficios obtenidos o perjuicios ocasionados, etc. Criterios que se aplicarán para adecuar el importe de la sanción a la conducta específica, lo que atenúa, pero no elimina su rigor.

Por otra parte, la Ley 9/2014 introdujo el art. 39bis mediante el cual se abre la posibilidad de que se proceda, con carácter previo a iniciar el procedimiento sancionador, puede (si lo estima) proceder a realizar un apercibimiento al responsable para que en un determinado plazo acredite que ha adoptado una serie de medidas correctoras de la situación que ha dado lugar al incumplimiento. Para ello son necesarios dos requisitos: que los hechos sean constitutivos de infracción leve o grave (no muy grave), y que el sujeto no hubiese sido sancionado o apercibido por el órgano administrativo con carácter previo como consecuencia de las infracciones previstas en la LSSICE.

Finalmente, en relación con la prescripción de las infracciones y sanciones hay que tener en cuenta que las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves a los seis meses. Por su parte, las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves a los dos años y las impuestas por faltas leves al año.

Es por ello que, a modo de conclusión, se hace necesario dar la importancia debida al adecuado cumplimiento de las obligaciones previstas en la normativa de comercio electrónico, no sólo con el fin de evitar sanciones del importe de las aquí expuestas, sino para ofrecer un servicio de calidad y con garantías, que repercutirá sin duda de forma positiva en la cuenta de resultados de nuestro negocio online.