36ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad

Lunes, 20 de octubre de 2014

La semana pasada se celebró en Mauricio la 36ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad. Esta conferencia anual reúne a autoridades de protección de datos de todo el mundo, así como destacados profesionales del sector privado. En ellas se abordan una serie de cuestiones que son las que en los siguientes años son discutidas en los foros de esta materia y se aprueban resoluciones que han de ser implementadas por las autoridades.

De las reuniones mantenidas se han aprobado las siguientes resoluciones:

La unión de la Internet de las cosas y el Big Data hace de los problemas derivados de aquella más importantes. Es fundamental que los que comercializan dispositivos sean claros sobre qué datos recogen, con qué finalidades y durante cuánto tiempo los retendrán; sin embargo, a día de hoy no siempre se ofrece información adecuada, suficiente y comprensible. Por tanto, el consentimiento basado en esa información deficiente no puede considerarse un consentimiento informado.

La privacidad desde el diseño y por defecto (privacy by design y privacy by default) tiene que convertirse en un argumentos claves de venta de los dispositivos, lo que tiene consecuencias por ejemplo en las medidas de seguridad que deben aplicarse. En la medida de lo posible, es importante que los datos se traten en local y si no que se garantice el cifrado de los datos de punto a punto.

Las autoridades de protección de datos se comprometen a vigilar los desarrollos en este campo y llevar a cabo las medidas necesarias en caso de que incumplimientos legales. Hay que recordar que este asunto tiene especial relevancia, toda vez que el Grupo de Trabajo del Artículo 29 aprobó el pasado mes un Opinión sobre los recientes desarrollos de la Internet de las cosas.

La protección de los principios fundamentales sobre la privacidad es más importante que nunca cuando se recoge una cantidad cada vez mayor de datos personales. Pese a los beneficios que tiene el Big Data, también puede suponer problemas relacionados con derechos fundamentales, como pueden ser las actuaciones discriminatorias basadas en el tratamiento de datos.
Desde la Conferencia, con el objeto de reducir los riesgos derivados del uso del Big Data, se hace un llamamiento a aquellos que lo usen para que se lleven a cabo una serie de actuaciones como:
- Respetar el principio de determinación de la finalidad y limitar la cantidad de datos tratados.
- Obtener consentimiento para el uso de los datos con finalidad de análisis.
- Ser transparentes sobre el uso de los datos, garantizar el derecho de acceso a los datos por parte de los afectados y conocer qué decisiones se han tomado sobre ellos, así como los criterios utilizados para tomar estas decisiones.
- Llevar a cabo evaluaciones de impacto de la privacidad y utilizar las tecnologías de Big Data conforme a los principios de la privacidad desde el diseño.
- Analizar caso a caso qué soluciones de anonimización de datos se pueden llevar a cabo para mejorar la protección de datos, así como limitar y controlar los datos que se publiquen “pseudoanonimizados” o de forma que sean indirectamente identificables.
- Demostrar que las decisiones relacionadas con el Big Data sean justas, transparentes y sujetas a responsabilidad.

Por último se ha adoptado una resolución en la que se insta a las autoridades de protección de datos a aceptar el Acuerdo Internacional de Cooperación Transfronteriza liderado por la autoridad canadiense, como base para facilitar la cooperación internacional.

Lo más significativo de esta resolución, sin embargo, es el compromiso de apoyar el desarrollo de una plataforma de información internacional que ofrezca un espacio seguro para que los miembros de la conferencia internacional puedan compartir información confidencial y que facilite la puesta en marcha de acciones coordinada y complemente otros mecanismos de coordinación.

Protección de Datos

Acceso al correo electrónico de un empleado en un proceso penal

Jueves, 7 de agosto de 2014

En una reciente sentencia, el Tribunal Supremo ha aclarado que no puede accederse por parte de la empresa a las comunicaciones de los trabajadores, salvo resolución judicial.  Se trata de un procedimiento penal y, aunque no era necesario entrar a analizar este tema, puesto que no se tuvo en cuenta el contenido del correo electrónico (“no consta que se haya examinado ningún tipo de programa de correo electrónico privado, y tampoco consta que se haya examinado ningún tipo de programa o archivos temporales que supusiera injerir, intervenir o desvelar algún tipo de comunicación privada y confidencial de don (sic) Rodolfo”), la sala Penal del tribunal aprovecha para dejar clara su opinión. 

La sentencia hace mención a la primera sentencia determinante sobre el control de los medios informáticos del trabajador por parte de la empresa, pero en la jurisdicción laboral, la de 26 de Septiembre de 2007: “Por ello, lo que debe hacer la empresa de acuerdo con las exigencias de buena fe es establecer previamente las reglas de uso de esos medios -con aplicación de prohibiciones absolutas o parciales- e informar a los trabajadores de que va existir control y de los medios que han de aplicarse en orden a comprobar la corrección de los usos, así como de las medidas que han de adoptarse en su caso para garantizar la efectiva utilización laboral del medio cuando sea preciso, sin perjuicio de la posible aplicación de otras medidas de carácter preventivo, como la exclusión de determinadas conexiones”.

Tanto esta resolución como otras que menciona la sentencia, en realidad hacen mención al control de los medios informáticos, llegando a la conclusión de que se  puede acceder a la información con las garantías antes mencionadas. Esta información puede afectar a la intimidad, e incluir documentos,  datos de navegación en internet o de uso del equipo informático e incluso mensajes electrónicos, pero una vez hayan sido abiertos por parte del afectado. Si el mensaje ha sido abierto, se ve afectada la intimidad, pero no el secreto de las comunicaciones.

La sentencia recuerda que la Constitución Española “garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicialcon lo que no se prevé excepción alguna, ni se hace mención a la titularidad por parte de la empresa del ordenador o teléfono usado para la comunicación, ni al hecho de que se use en la jornada laboral ni a que se trate de correo corporativo. Es decir, no hay posibilidad alguna salvo que haya autorización judicial.

Lo que no se entiende es que el Supremo haga mención a las referidas sentencias de lo laboral, queriendo diferenciar el ámbito penal del laboral, puesto que afirma que los criterios mencionados anteriormente “han de quedar restringidos al ámbito de la Jurisdicción laboral [...] pero que, en modo alguno, procede que se extiendan al enjuiciamiento penal”. Sin embargo, como hemos comentado, en las sentencias de lo laboral mencionadas no se ve afectado el secreto de las comunicaciones, sino la intimidad, con lo que la “diferenciación” que parece que quiere hacer la sentencia no parece que tenga sentido realizarla.

En cualquier caso, a la vista de esta sentencia, no hay novedad en lo que hasta ahora parece claro: se puede acceder por parte del empresario a datos que afecten a la intimidad del trabajador si se cumplen una serie de condiciones, pero no se puede vulnerar su secreto de las comunicaciones salvo resolución judicial.

 

Delitos Informáticos

La disposición de una tienda de Apple podría ser registrada como marca

Jueves, 10 de julio de 2014

Hoy hemos conocido una interesante sentencia del Tribunal de Justicia de la Unión Europea por la cual se resolvía una cuestión prejudicial planteada por el Tribunal Federal de Patentes de Alemania, en un conflicto entre Apple y la Oficina Alemana de Patentes y Marcas. Apple tiene concedida como marca tridimensional en Estados Unidos el diseño y disposición de sus “tiendas insignia” (como se puede ver en la imagen) para servicios de comercio al por menor. Apple intentó extender la protección a otros países pero en Alemania la marca fue rechazada, basándose en que el consumidor no percibirá la disposición como una indicación del origen de los productos que se venden y que el espacio de venta representado no se distinguía suficientemente de las tiendas de otros suministradores de productos electrónicos (una marca ha de tener carácter distintivo). La resolución fue recurrida ante el tribunal alemán y este planteó una cuestión prejudicial ante el TJUE para resolver la cuestión.

La Directiva 2008/95, de Marcas, estipula que “pueden constituir marcas todos los signos que puedan ser objeto de una representación gráfica, especialmente [...] los dibujos y modelos [...] la forma del producto o de su presentación“. Por eso el TJUE considera que el dibujo en cuestión, “que representa visualmente la disposición de un espacio de venta mediante un conjunto continuo de líneas, contornos y formas, puede constituir una marca“. La Ley española (Ley 17/2001), lógicamente, también recoge esta posibilidad, especificando que pueden ser marcas “las formas tridimensionales, entre las que se incluyen los envoltorios, los envases y la forma del producto o de su presentación“.

Además el signo ha de tener carácter distintivo, y esto es lo más importante para Apple, puesto que la sentencia considera que si la disposición representada visualmente difiere de manera significativa de la norma o de los usos del ramo, aquella permitirá identificar los servicios para los que se solicita el registro.  Será el tribunal alemán el que tenga que determinar si la disposición de las tiendas de Apple es lo suficientemente diferente a lo habitual como para que la propia disposición permita diferenciar estas tiendas del resto, pero al menos el TJUE de momento ha concedido esta posibilidad.

Varios

¿Es legal compartir coche? Sí

Martes, 10 de junio de 2014

Ante la nota de prensa del Ministerio de Fomento al respecto de las plataformas de contratación de vehículos para transportes particulares, muchos se preguntan si ello hace ilegal actividades como las de Blablacar o Amovens (para compartir coche entre particulares) o Cabify o Uber (contratación de vehículos). El Ministerio recuerda que es necesaria una autorización para transportar viajeros por cuenta ajena a cambio de retribución económica y “amenaza” con multas tanto a titulares de los vehículos como a usuarios de los servicios.

Sin embargo, de acuerdo con la Ley 16/19987, de Ordenación de los Transportes Terrestres, los transportes privados particulares no están sujetos a autorización administrativa. Por tanto la clave está en determinar qué se entiende por transportes privados particulares. El artículo 101 de la Ley establece que se consideran como tales los que cumplen conjuntamente los dos siguientes requisitos:

a) Estar dedicados a satisfacer las necesidades de desplazamiento de carácter personal o doméstico del titular del vehículo y sus allegados.

b) Realizarse en vehículos cuyo número de plazas, o capacidad de carga, no exceda de los límites que reglamentariamente se establezcan.

Es importante el inciso que acompaña al punto a): “en ningún caso, salvo el expuesto de percepción de dietas o gastos de desplazamiento para su titular, el transporte particular puede dar lugar a remuneraciones dinerarias directas o indirectas“. Además, el artículo 156 del Reglamento de Ordenación Real Decreto 1211/1990, de 28 de septiembre, por el que se aprueba el Reglamento de la Ley de Ordenación de los Transportes Terrestres,  aclara qué debe entenderse por transportes privados, que son aquellos que “servirán necesidades personales del titular del vehículo y de sus allegados, entendiéndose que éstos son sus familiares u otras personas que convivan o tengan con aquél una relación de dependencia personal o laboral de carácter doméstico, así como aquéllos cuyo transporte se realice en base a una relación social de amistad o equivalente“.

A la vista de esto, en el caso de plataformas destinadas a personas que quieren compartir su coche (como Blablacar o Amovens), parece claro que estaríamos dentro del transporte privado, puesto que la cantidad que obtenga el conductor se pueden entender sin problemas como “percepción de dietas o gastos de desplazamiento” (no se trata de obtener ingresos adicionales a los meros gastos del desplazamiento) y porque además se puede entender que hay una “relación social de amistad o equivalente”.

Cuestión distinta es el caso de las otras plataformas mencionadas, como Cabify o Uber. Ahí sí que hay una verdadera contratación de un servicio con retribución económica y no una mera “percepción de dietas o gastos”. Por eso no podemos hablar de transporte privado y los titulares de los vehículos deberían contar con la correspondiente autorización para el arrendamiento de vehículos con conductor. En estos casos por supuesto sus titulares deberán limitarse a realizar las actividades que permite la licencia. Por ejemplo, tal como establece el artículo 182 del ROTT no podrán “aguardar o circular por las vías públicas en busca de clientes, ni realizar la recogida de los que no hayan contratado previamente el servicio” (lo cual sí que pueden hacer los taxis). Por eso la LOTT establece como sanción grave “la búsqueda o recogida de clientes que no hayan sido contratados previamente”.

En definitiva, en mi opinión la actividad de particulares que se ponen de acuerdo para compartir coches y gastos es perfectamente legal (aunque se pongan de acuerdo para ello a través de plataformas de terceros), pero en el caso de servicios en los que haya retribución, una “contratación real” de un servicio, será necesaria la correspondiente licencia. Es más, en el primer caso, incluso aunque interpretemos que no estamos ante transportes privados, el problema de prueba de la retribución sería tan importante que perseguir a los usuarios parece algo muy difícil.

Lea también “¿Es legal compartir coche? No“, por Rodrigo Caballero Veganzones.

 

 


Redes sociales, Varios

¿Es legal compartir coche? No

Martes, 10 de junio de 2014

Por Rodrigo Caballero Veganzones (@caballeroabog)
Abogado especialista en Derecho Administrativo
Director de Caballero Abogados 

Tal y como sucede en innumerables ocasiones, la polémica sobre la nota de prensa del Ministerio de Fomento respecto a las personas y empresas que realicen transportes de viajeros por cuenta ajena en vehículos de turismo mediante retribución económica, es decir, la amenaza anunciada para los usuarios y servicios de carpooling, nos pone de manifiesto el tradicional conflicto que se nos da en Derecho entre el ser y el deber ser.

El debate sobre si debe o no debe permitirse/regularse/tutelarse/intervenirse la actividad de los particulares que ofrecen sus vehículos para compartir gastos en plataformas como blablacar o amovens no es el que me interesa, pues me aleja del objetivo. Lo que debemos analizar es si con la legislación vigente esos servicios tienen cobertura suficiente. Y lo cierto es que simplemente la intuición jurídica me adelanta lo complicado de que una Ley de 1987 pueda regular correctamente una actividad que ha surgido entrado el siglo XXI. Como era difícil articular la contratación on – line, la publicidad on – line o el crowdfunding, hasta que ha sido regulado con instrumentos normativos nuevos. Y como no puede ser de otra forma, toda regulación supone la manifestación de un conflicto entre los operadores establecidos de ese sector económico, y los que nuevos operadores que quieren entrar en el sector: de nuevo la ley como barrera de entrada en un mercado, ya veremos si justificada o injustificada.

Simplificando, la cuestión jurídica estriba en si la actividad del particular que ofrece su coche para compartir a cambio de una cantidad de dinero es transporte privado en los términos de la Ley 16/1987, de Ordenación de los Transportes Terrestres (LOTT).  Y mientras que los defensores de estas plataformas se fijan en la inexistencia de retribución económica, que es lo que diferencia un transporte público de un transporte privado, conforme al art. 62 LOTT (y así se hace ver en las condiciones generales de uso de los principales servicios) para mí la clave está en los parámetros subjetivos de definición del transporte privado en el art. 101 LOTT.

El art. 101 LOTT establece:

101. 1. Se consideran transportes privados particulares los que cumplen conjuntamente los dos siguientes requisitos:

a) Estar dedicados a satisfacer las necesidades de desplazamiento de carácter personal o doméstico del titular del vehículo y sus allegados.

En ningún caso, salvo el supuesto de percepción de dietas o gastos de desplazamiento para su titular, el transporte particular puede dar lugar a remuneraciones dinerarias directas o indirectas.

b) Realizarse en vehículos cuyo número de plazas, o capacidad de carga, no exceda de los límites que reglamentariamente se establezcan.

2. Los transportes privados particulares no están sujetos a autorización administrativa, y la actuación ordenadora de la Administración únicamente les será aplicable en relación con las normas que regulen la utilización de infraestructuras abiertas y las aplicables por razón de la seguridad en su realización. Podrán darse, en su caso, asimismo, sobre dicho tipo de transportes, las actuaciones públicas previstas en el artículo 14.

Centrémonos en la letra a): ¿el usuario que ofrece su vehículo en carpooling está satisfaciendo la necesidad de desplazamiento de carácter personal o de sus allegados? Cierto es que ha habido muchos matrimonios surgidos de internet, pero parece excesivo dar el valor de allegado a una persona cuyo único vínculo con el conductor es que le parece bien pagar los euros publicados en una plataforma por ser viajero en ese vehículo.

No obstante, para clarificar la cuestión, el artículo 156 del Reglamento de la Ley (Real Decreto 1211/90) nos dice que se entiende por allegados del titular del vehículo a “sus familiares u otras personas que convivan o tengan con aquél una relación de dependencia personal o laboral de carácter doméstico, así como aquellos cuyo transporte se realice en base a una relación social de amistad o equivalente”. De nuevo, parece evidente que los parámetros de relación subjetiva exigidos por la norma entre el conductor y los usuarios no se dan en el caso del carpooling. No hay relación familiar, no hay relación de dependencia y no hay relación social de amistad, pues a quien se ofrece el servicio es a desconocidos. Y no creo que llevar a un desconocido se pueda considerar “equivalente” a una relación social de amistad. De hecho, lo equivalente a una relación social de amistad es llevar, por ejemplo, al sobrino de tu vecina que te cae mal, pero por compromiso debe ser llevado.

En definitiva, la nota subjetiva que establece la norma aplicable no se cumple, y por tanto, estamos fuera del transporte privado de viajeros. Y si no hay transporte privado de viajeros, entonces hay transporte público de viajeros, que requiere autorización, y otros muchos condicionantes previstos en la norma. Debemos recordar que en estos sectores regulados, la norma no describe ni clasifica la realidad, sino que es la realidad económica la que debe acomodarse a la clasificación impuesta por la norma; si no lo hace, estará prohibida.

Y aquí me quedo. Podría discutir si de verdad hay remuneración cuando se comparten gastos (que creo que sí). Podría discutir si está justificada la restricción a la libre actividad de los particulares, conforme a la Directiva de Servicios, en atención a principios de seguridad o al mantenimiento de un sector y un mercado regulado (donde tengo mis dudas). Pero al final, el texto de la norma es el que es, y solo un verdadero retorcimiento de la misma (tampoco sería la primera) al amparo de una cierta idea de liberalización de la actividad podría permitir esta actividad.

Lo que me temo es que seguiremos en un limbo jurídico hasta que haya un accidente de tráfico mortal en el que un seguro no se haga cargo de la indemnización, y entonces se clarificará el régimen con prisas. Así funcionan las cosas.

Lea también “¿Es legal compartir coche? “, por David González Calleja.

Redes sociales, Varios

Nuevos cambios en la LSSI respecto a “cookies” y “spam”

Martes, 20 de mayo de 2014

La Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, ha llevado a cabo una serie de cambios en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), que regula los servicios de Internet. Los principales cambios se llevan a cabo sobre la regulación de las comunicaciones comerciales por vía electrónica y las cookies, así como el régimen sancionador de la Ley.

En cuanto a las comunicaciones comerciales, ya no es necesario, cuando tengan lugar a través de correo electrónico u otro medio de comunicación electrónica equivalente, que incluyan al comienzo del mensaje la palabra “publicidad” o la abreviatura “publi“. No obstante, sigue siendo obligatorio que estén identificadas como comunicaciones comerciales, con lo que la inclusión de esos términos puede seguir siendo una práctica aconsejable. 

Se aclara que para manifestar la oposición a recibir más comunicaciones comerciales es válido tanto una dirección de correo electrónico como otra dirección electrónica válida. Hasta ahora no estaba explícitamente incluida la dirección de correo electrónico, con lo que podría entenderse que sólo se refería a ello y no a una URL, por ejemplo. Ahora queda claro que solicitarlo a través de un enlace es igualmente correcto.

En cuanto a las cookies, se facilita la obtención del consentimiento para su utilización. Hasta ahora, la LSSI establecía que se consideraba posible obtener el consentimiento para la utilización de cookies “mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones”, pero “siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto”. Ahora se elimina este último inciso, lo cual ha de interpretarse como que mientras el navegador o la aplicación permitan la configuración se entenderá otorgado el consentimiento, sin que sea necesario que lo haya tenido que configurar el usuario con anterioridad. Este cambio es muy importante puesto que la obtención del consentimiento era el principal caballo de batalla en cuanto al cumplimiento de la normativa sobre cookies.

Se establece la responsabilidad de las infracciones en materia de cookies no sólo del titular de la página web, sino también de la red publicitaria o agente que gestione la colocación de anuncios, siempre que no haya “adoptado medidas para exigirle el cumplimiento de los deberes de información y la obtención del consentimiento del usuario”. Parece difícil una aplicación práctica de esta exclusión, puesto que no es fácil, por la operativa habitual, que este tercero pueda adoptar ese tipo de medidas.

Hay además varios cambios en el régimen sancionador. La infracción grave por el envío de spam pasa a serlo, además de por el envío “masivo”, por el envío “insistente o sistemático a un mismo destinatario”, a diferencia de lo que sucedía hasta el momento, que lo era por en el envío de más de tres comunicaciones comerciales al año a un mismo destinatario. A primera vista puede ser menos rigurosa la tipificación, pero habrá que verlo, porque lo que sí que es evidente es que ahora está menos determinado, porque no sabemos qué entenderá la Administración (o los jueces, en su caso), por envío “insistente o sistemático”.

Se tipifica como infracción la utilización de cookies sin consentimiento. Como comentamos en este blog en su momento, el legislador olvidó modificar el régimen sancionador cuando introdujo la obligación de consentimiento para las cookies, con lo que no se podía sancionar la ausencia de este (como así sucedió en la primera sanción de la Agencia Española de Protección de Datos). Se tipifica como infracción grave la reincidencia en las infracciones sobre cookies (haber cometido otra infracción en los tres años anteriores).

Con carácter general para toda la norma, se modifica el régimen sancionador, de forma muy similar al de la LOPD, al permitir la imposición de sanciones de la escala inferior a la que corresponda en algunos casos, además de incorporar la posibilidad del apercibimiento para infracciones que no sean muy graves. La competencia sancionadora a partir de ahora será  sólo del Ministro de Industria, Energía y Turismo en el caso de infracciones graves, y en el de infracciones graves y leves, al Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información, salvo en el caso de las infracciones por comunicaciones comerciales y cookies, competencia de la AEPD, así como cuando se incumpla la obligación de suspender servicios de intermediación, que será competente el órgano que dictó la resolución incumplida.

En otro orden de cosas, los códigos de conducta que afecten a los consumidores y usuarios se sujetarán a la Ley 3/1991, de 10 de enero, de competencia desleal, y se incorpora la adhesión a un código de conducta o a un sistema de autorregulación publicitaria aplicable respecto a la infracción cometida como criterio para graduar las sanciones.

Por último, se introduce una inquietante posibilidad de cancelación o suspensión de nombres de dominio establecidos en España, sobre lo cual me remito a este comentario de Jorge Campanillas.

 

Comercio Electrónico

Google deberá someterse a la LOPD y eliminar resultados

Martes, 13 de mayo de 2014

Acabamos de conocer la sentencia del Tribunal de Justicia de la Unión Europea en el asunto conocido como Google y el “derecho al olvido“. El tribunal debía responder a una serie de preguntas que le planteaba la Audiencia Nacional en una cuestión prejudicial en relación con la aplicación de la normativa europea de protección de datos a Google y la obligación del buscador de eliminar información relacionada con personas físicas (datos personales) de sus resultados de búsqueda. La sentencia es más desfavorable para Google en lo relacionado con el “derecho al olvido”, pero coincide básicamente en lo más importante con la opinión que emitió el Abogado General hace unos meses. 

La primera decisión de la sentencia es que se determina que la actividad que realiza el buscador rastreando páginas web y ofreciendo resultados relacionados con la búsqueda realizada por el usuario supone un tratamiento de datos de carácter personal. A diferencia de la opinión del Abogado General, que estimaba que en principio no era responsable, el TJUE estima que el buscador sí que es responsable del tratamiento de datos, puesto que determina los fines y los medios de este tratamiento.

Una vez establecido esto, el TJUE considera que la Directiva Europea de Protección de Datos (y por tanto, las normativas nacionales, como la LOPD española) es de aplicación al buscador americano. Esta era la cuestión fundamental de este proceso, en mi opinión (pese a que el TJUE la analiza en segundo lugar) dado que en función de ella tendría sentido entrar a valorar o no las demás cuestiones planteadas por la Audiencia Nacional. En todo procedimiento Google alegaba que no había motivos para aplicarle la normativa europea, y con esta decisión la alegación decae y Google ha de someterse a esta regulación y por tanto asumir sus obligaciones.

Para ello, el Tribunal sólo necesita analizar un aspecto, y es el que procede considerar que “el tratamiento de datos personales realizado en orden al funcionamiento de un motor de búsqueda como Google Search, gestionado por una empresa que tiene su domicilio social en un Estado tercero pero que dispone de un establecimiento en un Estado miembro, se efectúa «en el marco de las actividades» de dicho establecimiento si éste está destinado a la promoción y venta en dicho Estado miembro de los espacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuesto por el motor”.

La cuestión más mediática es la relacionada con el llamado “derecho al olvido” y aquí el Tribunal coincide sólo en parte con el Abogado General, pero va un poco más allá. Para el AG, en general no podía solicitarse al buscador la eliminación de información, mientras que para el Tribunal es al revés: en general podrá solicitarse y deberá eliminarse la información, salvo en algunos casos, como puede ser el interés público en relación con la persona afectada. Es más, Google tendrá que dejar de ofrecer esos datos incluso aunque la información siga accesible en la web de origen y esta sea lícita.

En definitiva, los buscadores deberán atender las solicitudes que les lleguen y analizar caso a caso cada una de ellas para determinar si debe mantener o no esos datos entre sus resultados. Si no se ve atendido su derecho, el afectado podrá acudir a las autoridades de control, como la Agencia Española de Protección de Datos, para ver satisfecho su derecho. En último término, el buscador podrá ser sancionado en caso de no eliminar la información.

Protección de Datos

Novedades del Proyecto de reforma de la Ley de Propiedad Intelectual (II)

Miércoles, 30 de abril de 2014

Seguimos con el análisis de la futura reforma de la Ley de Propiedad Intelectual. A los pocos días de publicar la primera parte de este post, el anteproyecto se convirtió en proyecto de ley, publicado en el Boletín Oficial de las Cortes de 21 de febrero de 2014.

  • Obras huérfanas:

Se introduce un nuevo artículo 37bis, que regula las obras huérfanas, transponiendo lo establecido en la  Directiva 2012/28/UE del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre ciertos usos autorizados de las obras huérfanas. Se entiende por obras huérfanas aquellas “cuyos titulares de derechos no están identificados o, de estarlo, no están localizados a pesar de haberse efectuado una previa búsqueda diligente de los mismos”. 

Se permite la utilización de dichas obras y especialmente que instituciones culturales y organismo públicos puedan reproducir y poner a disposición del público este tipo de obras siempre que se haga sin ánimo de lucro.

    • Acciones y medidas cautelares:

Se considerará también como responsable de infracciones, con el objeto de poder adoptar medidas cautelares contra ellos,  a “quien induzca a sabiendas la conducta infractora; quien coopere con la misma, conociendo la conducta infractora o contando con indicios razonables para conocerla; y quien, teniendo un interés económico directo en los resultados de la conducta infrac

El problema es cómo se conjuga esto con las exclusiones de responsabilidad previstas en las LSSI para los intermediarios (como lo serían los titulares de estas páginas), puesto que, como la propia norma modificada dice, en caso de cumplir con los requisitos de la Ley no podrán ser considerados responsables. En mi opinión, esta previsión sólo podría entrar en funcionamiento una vez el prestador del servicio no haya cumplido con los requisitos para la exclusión de responsabilidad que establece la LSSI. Lo que haría esta norma es declarar su responsabilidad, pero sólo en caso de que previamente no deba ver su responsabilidad excluida por lo previsto en la LSSI. Hay que recordar que la LSSI no establece un régimen de atribución de responsabilidad, sino de exclusión, con lo que esta previsión entraría en este ámbito, en el de la atribución de responsabilidad.tora, cuente con una capacidad de control sobre la conducta del infractor”. Este añadido al artículo 138 está claramente previsto para las páginas de enlaces, en las que los infractores en principio no son los titulares de las páginas, sino que lo serían, en su caso, los usuarios.

  • Entidades de gestión:

Hay importantes modificaciones relacionadas con el régimen de las entidades de gestión, aunque se prevé en el texto una futura reforma en profundidad. Se establecen obligaciones relacionadas con la rendición de cuentas de estas entidades respecto a las administraciones públicas y respecto a sus propios asociados y una serie de infracciones y sanciones por el incumplimiento de sus obligaciones legales.

Además se amplían las competencias de la Comisión de Propiedad Intelectual para el control de las tarifas que establecen las entidades de gestión. 

  • Explotación de fonogramas:

Se amplían algunos plazos para la explotación de los fonogramas y se adoptan medidas adicionales para garantizar que los artistas intérpretes o ejecutantes se beneficien de esta ampliación.

Nos queda analizar los nuevos procedimiento establecidos en la normativa contra las infracciones de propiedad intelectual en internet, dirigidos básicamente contra las páginas de enlaces, que dejaremos para un próximo artículo.

fcb933e5-297a-3e75-b049-ed424ddbdc62

Propiedad Intelectual

Google, sancionada en Francia por la función autocompletar de su buscador

Miércoles, 19 de marzo de 2014

Google ha sido sancionada en Francia por incumplimiento de la Ley relativa a la Informática, los ficheros y las Libertades (el equivalente a la LOPD española), por el servicio “autocompletar” de su buscador (conocido como “Google suggest”). Lo más significativo es que el Tribunal de Comercio de París, en una sentencia de 28 de enero de 2014, ha declarado que esta función supone un tratamiento de datos de carácter personal y que la ley francesa se le aplica al buscador. Y dado que el afectado tiene motivos legítimos para oponerse a este tratamiento de datos, se obliga al buscador a cesar en la sugerencia negativa que facilita en relación con el nombre del afectado.

El Tribunal rechaza el argumento de Google de que no es responsable de ese tratamiento de datos puesto que se trata de un procedimiento automático. Para ello se basa en el artículo 3 de la ley francesa, que dice que el responsable es quien determina la finalidad y los medios del tratamiento y, puesto que Google ha elaborado el algoritmo, ha decidido qué datos se tratan y con qué finalidad, ha de ser considerado responsable.

También rechaza el argumento de Google de que la ley francesa no puede aplicarse a Google Inc., que es la responsable del buscador (y no Google France) puesto que, de acuerdo a la Directiva, cuando un responsable no establecido en territorio europeo recurre a medios situados en este, se le aplica la normativa europea, lo cual sucede cuando se utilizan cookies, dado que se instalan en el equipo del  usuario. En este punto el tribunal francés sigue la opinión del Grupo de Trabajo del Artículo 29 en su Dictamen 1/2008 sobre cuestiones de protección de datos relacionadas con motores de búsqueda. 

Por todo ello, y dado que la sugerencia que da el buscador en relación con esta persona es negativa, y por tanto perjudica su reputación y su imagen, el afectado tiene derecho a oponerse a este tratamiento y en consecuencia se ordena que Google cese en sugerir los términos negativos en relación con esta persona, además de imponer una multa de 1.000 euros y una indemnización de 10.000 euros al afectado. Google ha recurrido la sentencia, con lo que habrá que seguir el caso.

Es conveniente recordar que los argumentos del tribunal francés son plenamente coincidentes con los de la Agencia Española de Protección de Datos, que ya ha resuelto que en términos muy similares, como comentamos anteriormente en este mismo blog. En cuanto a la aplicación de la normativa europea sobre protección de datos a Google, también es importante destacar que coincide con la opinión del Abogado General del TJUE en sus conclusiones sobre el caso conocido como el del “derecho al olvido”, con lo que es posible que esta sentencia pese a su vez en la resolución final de este asunto.

Protección de Datos

Novedades del Anteproyecto de reforma de la Ley de Propiedad Intelectual (I)

Martes, 18 de febrero de 2014

El pasado viernes el Gobierno anunció la aprobación del Anteproyecto de reforma de la Ley de Propiedad Intelectual. Lo primero que debemos dejar claro es que cualquier comentario que se haga al respecto se basa en filtraciones, porque a día de hoy aún no ha sido publicado oficialmente el texto, con lo que nos tenemos que fiar de lo que han publicado los medios de comunicación (en este caso tomamos el texto publicado por El Mundo).

El texto reforma distintos aspectos de la Ley de Propiedad Intelectual. Sin meternos en consideraciones políticas y económicas (que las hay, y muchas), y con el objeto de centrarnos en las novedades de la Ley, podríamos resumir el anteproyecto así:

  • Copia privada:

Se recupera en el texto (art. 25) la compensación por copia privada. El llamado “canon” fue suprimido en 2011 y sustituido por una cantidad con cargo a presupuestos, lo cual queda consagrado en la LPI.

Por otro lado, se limita el derecho a la copia privada, puesto que hasta ahora el límite era el acceso legal a la obra (que podía realizarse de muy diversas maneras) y con el nuevo texto será necesario es necesario que parta de un soporte en propiedad o de una comunicación pública legítima (por ejemplo, una emisión de un programa de televisión).

  • Agregación de contenidos:
El punto más comentado es el relacionado con la agregación de contenidos de fragmentos no significativos (art. 32.2) de determinadas obras por parte de prestadores de servicios electrónicos, lo cual se podrá realizar sin autorización (hasta ahora en realidad no era lícita la reproducción de esos fragmentos). El primer problema es ver qué se acaba considerando por “fragmento no significativo”. Discrepo con algunos compañeros, como David Maeztu (en cuyo blog hay un recomendable análisis amplio de este punto), puesto que no creo que afecte a toda la web, o a todos los blogs, dado que la Ley dice que el sitio web debe tener “finalidad informativa, de creación de opinión pública o de entretenimiento”. Es cierto que hay también un problema importante en discernir cuándo una web puede tener este carácter o no, pero también lo es que cierta limitación hay. Por ejemplo, creo que este blog no estaría incluido en esa clasificación (lo cual, a su vez, impide que se puedan reproducir sin autorización fragmentos, aunque no sean significativos).
Correlativamente a esta posibilidad, se crea un derecho irrenunciable (a diferencia de lo que ocurre con el “press clipping”, art. 32.1.2), a favor de los editores de esos contenidos o titulares de otros derechos, a percibir una compensación equitativa, que se hará efectiva a través de las entidades de gestión.
En cuanto a quién afecta, aunque se piense sobre todo en servicios como “Google News” (de hecho, se está llamando a esta compensación, erróneamente en mi opinión, “tasa Google”), lo cierto es que esa actividad (agregación de contenidos de fragmentos no significativos) se realiza en muchos servicios en Internet, incluidos los servicios de redes sociales, aunque no sea el prestador del servicio quien realice la actividad, sino los usuarios. Curiosamente, se excluye la posibilidad de reproducir imágenes ni como parte de estos servicios, lo cual siempre requerirá autorización.
Por último, la norma parece que quiere excluir a los buscadores, puesto que el segundo párrafo de este artículo dice que no se necesita autorización ni se genera compensación si la actividad se realiza sin actividad comercial propia y se trata de un servicio de búsqueda de “palabras aisladas”. Aquí habrá que ver qué se entiende por estos conceptos, porque lo cierto es que en mi opinión un buscador por lo general no estaría incluido aquí. Nuevamente nos encontramos con conceptos jurídicos indeterminados que evidencian la mala técnica legislativa que se puede apreciar por todo el texto. 
 
  • Ilustración de la enseñanza:
El nuevo artículo 32.3 se centra ahora en la utilización no comercial de obras de carácter plástico o fotográfico figurativo por parte de profesores e investigadores universitarios, que se podrá realizar sin autorización bajo determinadas condiciones. Por su parte el, 32.3 recoge un texto similar para las obras o publicaciones impresas o susceptibles de serlo, pero con un añadido importante: si no hay acuerdo entre el titular de los derechos y el centro universitario o investigador, se genera un nuevo derecho de remuneración equitativa, irrenunciable, en favor de autores o editores, que se hará efectiva a través de las entidades de gestión (seguramente CEDRO, igual que en el caso de la agregación de contenidos).

Continúa aquí

Imagen: Visof bajo licencia CC-BY-SA-3.0.

Propiedad Intelectual