No uses mi imagen

Hace unos días conocíamos una sentencia del Tribunal Supremo que condenaba a un medio de comunicación por haber utilizado la foto del perfil de Facebook de una persona para ilustrar una noticia. La indemnización fijada lo fue de 15.000 €, a pesar de que la persona que aparecía en la fotografía estaba directamente relacionado con la noticia.

En este enlace comento para IDGtv por qué el Supremo entiende que el medio de comunicación no debía haber utilizado esa imagen y explico someramente cómo funciona el derecho a la propia imagen en Internet.

PerfilFB

Imagen de cabecera: Por asier_relampagoestudio en Freepik

Memes y memeces

El PP propone en el Congreso que los ‘memes’ sean delito”, “El Partido Popular quiere que el uso de memes sea delito. Aunque no siempre”, “El Partido Popular quiere los memes sean delito en España”, éstos son algunos de los titulares que se pueden leer hoy en algunos medios de comunicación.

Decididamente se nos va la pinza. A unos o a otros. A unos porque proponer tal cosa, así, literalmente, sería una auténtica barbarie inconstitucional. A otros porque, de no ser lo anterior, parece que se están cargando titulares con pólvora fabricada por la crisis del periodismo y comentarios que reflejan muy bien la moda de lo superficial y lo inmediato que me huelo está enfermando a esta sociedad.

De verdad, cada vez cuesta más encontrar, y mantener uno mismo, la mesura en estos días (acepciones 1 y 4, que ya hay que precisar).

Veamos. El Grupo Parlamentario Popular ha presentado en el Congreso de los Diputados una Proposición no de Ley, la nº 161/000740, que podéis leer íntegra aquí y que, en resumen, viene a solicitar que se debata en la Comisión Constitucional la necesidad de reformar la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.  Y justifica esta proposición, según se lee en la misma, en “la alta litigiosidad existente entre los “derechos fundamentales de la personalidad” del artículo 18 CE, con otros derechos constitucionalmente protegidos como son la libertad de información y la libertad de expresión” y en que “la indefinición, la falta de complitud y flexibilidad de esta norma da cabida a distintas interpretaciones jurisprudenciales sobre un mismo caso, algo que puede poner en peligro el principio de seguridad jurídica”.

Hace escasos días, en unas clases que impartía sobre derecho al honor, intimidad e imagen en Internet, precisamente comentaba a los alumnos el incremento de juicios en los que se encuentran en conflicto alguno de estos derechos:

hipfpieninternet_2016

Como se puede ver en la imagen superior (una de las diapositivas utilizada en las clases), realicé una búsqueda en la base de datos del CENDOJ, y el resultado fue que, entre los años 1980 a 2008, un período de 28 años, aparecen 4.182 sentencias del Tribunal Supremo, Audiencia Nacional, Tribunales Superiores de Justicia y Audiencias Provinciales, que hacen referencia al derecho al honor, a la intimidad y a la propia imagen y, en los siguientes casi 8 años (durante los que se ha producido el auge de las redes sociales y de las aplicaciones móviles de mensajería instantánea), son 4.578 las sentencias de dichos tribunales que se refieren a estos derechos, casi 400 sentencias más en un período de tiempo 3,5 veces menor.

Por lo tanto, no puedo si no compartir ese argumento del aumento de la litigiosidad. Sin embargo, no estoy tan segura de que sirva para justificar una modificación de la ley y menos aún para convertir en delito conductas que, pudiendo ser ilícitas, no conllevan una gravedad o un impacto tales que se vuelvan merecedoras de plasmarse en el Código Penal.

También es verdad que algunos memes pueden infringir algún derecho fundamental de quien aparece en la imagen. Ahora bien, me parece muy acertado, tal cual sucede hoy en día, que cuando el protagonista es un político (o cualquier otra persona con proyección o relevancia pública o social), se otorgue, como regla de partida, más fuerza a la libertad de expresión o al derecho a la información frente a sus derechos al honor, a la intimidad y a la imagen. De hecho, este último prácticamente decae, tal cual se recoge en el art. 8.2 de la Ley Orgánica 1/1982:

En particular, el derecho a la propia imagen no impedirá:

  1. a) Su captación, reproducción o publicación por cualquier medio cuando se trate de personas que ejerzan un cargo público o una profesión de notoriedad o proyección pública y la imagen se capte durante un acto público o en lugares abiertos al público.
  2. b) La utilización de la caricatura de dichas personas, de acuerdo con el uso social.
  3. c) La información gráfica sobre un suceso o acaecimiento público cuando la imagen de una persona determinada aparezca como meramente accesoria.

En las clases que comentaba, tuvimos oportunidad de debatir sobre la necesidad de que se delimiten con mayor precisión los casos que constituyen vulneración del derecho al honor, del derecho a la intimidad o del derecho a la imagen (tres derechos claramente diferenciados, dicho sea de paso, y no uno solo). Algunos alumnos percibían esa inseguridad jurídica a que se refiere el grupo parlamentario popular, ya que actualmente hay que ponderar los derechos en conflicto caso por caso y es un trabajo difícil de realizar, como tuvieron la oportunidad de comprobar con algunos ejemplos. No obstante, por regla general, soy reacia a que, como consecuencia de la tecnología que se emplee, deba legislarse de un modo u otro. Creo, además, que la ley y la jurisprudencia existentes ya nos proporcionan los criterios necesarios para enjuiciar estos supuestos de choque entre derechos fundamentales.

En todo caso, habrá que esperar a ver cómo evoluciona esta proposición no de ley y, si llega el momento, saber cuáles son exactamente las modificaciones que se pretenden introducir. Ahora bien, con independencia de ello soy de la creencia de que vale más destinar fuerza a dos líneas de actuación mucho más ambiciosas que una modificación legislativa:

  • La inclusión en las aulas de asignaturas donde, entre otras cuestiones, se inculque el conocimiento y el respeto a los derechos fundamentales (a todos).
  • La dotación a la administración de justicia de más personal, de especial formación en estos temas cuando interviene un componente TIC (me atrevo a decir que la excepción ahora es el caso en el que no encontramos un elemento tecnológico) y de mejores recursos técnicos y procesales que agilicen los litigios y posibiliten una justicia más rápida y efectiva.

 

Créditos: Imagen cabecera por usuario de Flickr Tina D

La regla de los pasos ¿hacia atrás?

Derecho TIC Derecho digital Abogado TIC

Hace mucho tiempo que ando con ganas de escribir este post, y más desde que Google anunció que cerraba en España su servicio Google Noticias, pero está claro que el tiempo es un bien de lujo.

¿Conocéis la historia de los cangrejos españoles en el cubo? Ahí va:

Un turista se acerca a un pescador que tiene cangrejos en dos cubos, uno tapado y otro sin tapar y le pregunta qué diferencia hay entre los cangrejos de uno y otro cubo.

– En el tapado –responde el pescador- tengo cangrejos japoneses y americanos y en el destapado, españoles. Los tres tipos son igual de inteligentes, grandes, fuertes e incluso el sabor es indistinguible.

– Y ¿por qué el de los japoneses y americanos lleva tapa y el de los españoles no?

– Los cangrejos japoneses y americanos se ayudan para escapar, hacen una torre uno encima de otro y el que llega arriba tira de todos los demás hasta sacarlos. El cubo de los cangrejos españoles no necesita tapa: en cuanto uno empieza a subir, los demás tiran de él para abajo.

Añado yo a esta historia que siempre habrá algún cangrejo (japonés, americano o español) que trepe sobre los demás y luego no ayude a los otros a salir y, francamente, eso está muy feo y sienta muy mal. Sin embargo, no cabe duda de los enormes beneficios de los modelos colaborativos o simbióticos.

Fijar los límites de lo que debe permitirse o no, en la práctica, no es sencillo. Y en materia de propiedad intelectual no es sólo que los límites sean difusos (lo son como niebla en la noche más tenebrosa del lado oscuro), es que entender bien hoy en día la propiedad intelectual y conjugarla a su vez con el derecho de acceso a la cultura y a la información, es un reto titánico.

No, no es fácil. Pero creo que estamos perdiendo oportunidades para hacerlo y, por tanto, para contribuir a salir del cubo. E incluso que estemos dando pasos hacia atrás.

En los USA tienen una cosa muy bonita que se llama “fair use”, que actúa como excepción al “copyright” permitiendo, en ciertos supuestos, un uso limitado de obras protegidas sin necesidad de tener la autorización de los titulares de los derechos. En otros países existen figuras similares. En Inglaterra, Canadá, Australia y Nueva Zelanda se conoce como “fair dealing”. En España lo más parecido que tenemos es la prueba o regla de los tres pasos, que deriva del art. 9.2 del Convenio de Berna para la Protección de las Obras Literarias y Artísticas (ratificado por España), y del art. 13 del Acuerdo sobre los Aspectos de los Derechos de Propiedad Intelectual relacionados con el Comercio (los ADPIC, firmado por España el 1 de enero de 1995). Dicha regla viene a decir que los límites o excepciones a los derechos de propiedad intelectual deberán permitirse:

– En determinados casos especiales (paso 1).

– Siempre que no se atente a la explotación normal de la obra (paso 2).

– Y no se cause con ello un perjuicio injustificado a los intereses legítimos del autor (paso 3).

Ahora bien, lo que Berna y el Acuerdo sobre los ADPIC vienen a decir a los países firmantes, es que las limitaciones o excepciones que cada uno establezca a los derechos de autor, deben ceñirse a esos tres pasos[1], pero no que cualquier uso de una obra protegida que cumpla con dichos tres pasos se convierta automáticamente en un uso legalmente permitido. Y hay una sutil pero gran diferencia a la hora de introducirlo en nuestra legislación.

Así, nuestra Ley de Propiedad Intelectual, después de enumerar los límites a los derechos de autor, en su art. 40 bis establece que aquéllos no podrán interpretarse de manera tal que permitan su aplicación de forma que causen un perjuicio injustificado a los intereses legítimos del autor o que vayan en detrimento de la explotación normal de las obras a que se refieran. De modo que lo que tenemos, si hacemos una interpretación exclusivamente literal de este art. 40 bis, no es una regla adaptable que fija los criterios con base a los cuales podamos concluir que cierta utilización de una obra protegida puede hacerse sin requerir la autorización del titular de los derechos de propiedad intelectual, sino que estamos ante una pauta para interpretar los límites a los derechos de propiedad intelectual que vienen regulados en la ley como “númerus clausus” (lo son exclusivamente los contemplados en los artículos 31 a 40 de la ley).

Merece especial atención la conocida Sentencia del Tribunal Supremo de 3 de abril de 2012, del caso “Megakini v. Google”, en el que el titular de una web de apuestas demandaba a Google y pedía una indemnización porque “no había autorizado la incorporación de su página electrónica ni la utilización de su contenido por parte de Google para que esta la comunicara indiscriminadamente a terceros” a través del buscador sin que dicha conducta, según el demandante, tuviera encaje en ninguno de los límites o excepciones a los derechos de autor.

No se refiere al servicio Google Noticias, sino al buscador, pero la considero especialmente relevante por la interpretación integradora que hace de la mencionada regla de los tres pasos:

“el art. 40 bis LPI (…) tiene un valor interpretativo no solo y exclusivamente negativo (… ), sino también positivo, en cuanto enuncia los principios que justifican la propia excepcionalidad de los límites o, si se quiere, la necesidad de la licencia del autor como regla general ( “perjuicio injustificado a los intereses legítimos” o “detrimento de la explotación normal de las obras” ). Esto permite que la denominada regla, prueba o test “de los tres pasos” contenida en el art. 40 bis pueda considerarse como manifestación especial en la LPI de la doctrina del ius usus inocui , del principio general del ejercicio de los derechos conforme a las exigencias de la buena ( art. 7.1 CC ), del principio asimismo general de la prohibición del abuso del derecho o del ejercicio antisocial del mismo ( art. 7.2 CC ) y de la configuración constitucional del derecho de propiedad como derecho delimitado”.

Lo que lleva a los magistrados del Supremo a concluir que:

“aun cuando los límites al derecho de autor deban interpretarse restrictivamente, ninguno de los dos artículos en cuestión de la LPI, el 31.1 o el 40 bis, es excluyente de la doctrina del ius usus inocui para permitir el uso inocuo con arreglo a los propios principios de la LPI ni, menos aún, de la consideración de los arts. 7 CC, 11 LOPJ y 247.2 LEC. Antes bien, la pretensión de que se cierre el buscador de Google o de que se condene a esta demandada a pagar una indemnización por una actividad que beneficia al demandante, al facilitar en general el acceso a su página web y el conocimiento de su contenido, debe considerarse prohibida por el apdo. 2 del art. 7 CC , como abuso del derecho de autor o ejercicio antisocial del mismo, por cuanto al amparo de la interpretación restrictiva de los límites al derecho de autor pretende perjudicar a Google sin obtener ningún beneficio propio, como no sea fama, notoriedad o la propia indemnización pedida en la demanda”.

Parece pues que con esta sentencia comienza a propiciarse un sistema flexible, que buena falta hace en este mundo tecnológico tan cambiante, para ayudarnos a definir cuándo un determinado uso de una obra protegida, sin la correspondiente autorización, será lícito y cuándo no, con independencia de que se encuentre o no expresamente recogido como excepción en la ley.

A partir del 1 de enero de 2015 entrará en vigor la mayor parte de la última reforma (o intento de parche) de la Ley de Propiedad Intelectual, cuyo nuevo artículo 31.2 se regula el que se ha dado en llamar “canon AEDE” o “tasa Google”. Dicha disposición, en mi opinión, constituye el ejemplo de lo que debemos huir: intenta regular de un modo exhaustivo un caso muy concreto, lamentablemente utilizando para ello conceptos indeterminados, con una redacción francamente desafortunada y difícil de entender, y sin fijar reglas válidas para otros supuestos.

Además, paradójicamente, hará inaplicable los criterios marcados en la sentencia comentada a los “prestadores de servicios electrónicos de agregación de contenidos” (quienes quiera que por tales se refiera) que ahora, en sustitución, deberán regirse por los nuevos criterios contenidos en ese artículo 32.2, los cuales difícilmente casarán en ocasiones con la interpretación de la sentencia del Tribunal Supremo. Como consecuencia, muchos agregadores de contenidos no necesitarán la autorización de los titulares de los derechos de propiedad intelectual de tales contenidos, pero deberán abonar una compensación.

Esto podría dar lugar a que ciertos agregadores de contenidos que reúnan los requisitos establecidos por nuestro Tribunal Supremo, se vean obligados a pagar la compensación (ya veremos cuál, cómo y por cuánto y si satisface a los titulares de los derechos o no), o negociar si es que finalmente es posible que una negociación evite el pago de la compensación, o se vean abocados al cierre.

Google ha cerrado Google Noticias en España. Hay quien piensa que a Google Noticias no le era aplicable la nueva norma. Yo creo que sí. En primer lugar porque reproducía las fotografías con que los medios ilustran sus noticias y con la reforma la “puesta a disposición del público” (sea lo que sea que esto sea) de esas imágenes siempre requerirá la autorización del titular de los derechos. Y en segundo lugar porque, aunque no tuviera finalidad comercial propia e incluyera un enlace al origen (dos de los tres requisitos para que no le fuera aplicable), no se limitaba a “lo imprescindible para ofrecer resultados de búsqueda a la petición del usuario” (tercer requisito), ya que, a diferencia del buscador, Google Noticias ofrecía una relación de noticias sin necesidad de que el usuario introdujera criterios de búsqueda sobre las mismas.

¿Que Google podía haber hecho cambios en su sistema para evitar que le fuera aplicable el “canon AEDE”? Fijo que sí. ¿Que cierra para echar un pulso a los medios de comunicación españoles? Pues ahí ya no estoy tan segura. Bien pudiera tratarse simplemente de que el cierre del servicio es lo más fácil y sencillo para no correr ningún riesgo y que no pierde nada con ello.

Sin embargo otros habrá a quienes la reforma sí haga mucha pupa. Merecida o no, yo no hago más que darle vueltas a los argumentos de la sentencia del Tribunal Supremo que os he comentado. A eso y a la historia de los cangrejos españoles en el cubo…

[1] Convenio de Berna para la Protección de las Obras Literarias y Artísticas, art. 9.2: “Se reserva a las legislaciones de los países de la Unión la facultad de permitir la reproducción de dichas obras en determinados casos especiales, con tal que esa reproducción no atente a la explotación normal de la obra ni cause un perjuicio injustificado a los intereses legítimos del autor.”
Acuerdo sobre los Aspectos de los Derechos de Propiedad Intelectual relacionados con el Comercio, art. 13: “Los Miembros circunscribirán las limitaciones o excepciones impuestas a los derechos exclusivos a determinados casos especiales que no atenten contra la explotación normal de la obra ni causen un perjuicio injustificado a los intereses legítimos del titular de los derechos.”

Cambios en la Ley de Internet sobre códigos de conducta, spam, cookies y más.

spam02

El 29 de abril el Congreso de los Diputados ha aprobado el texto definitivo de la nueva Ley General de Telecomunicaciones que, entre otras muchas cosas, modifica la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), también conocida como la Ley de Internet.

Los principales cambios que introduce, respecto a la LSSI, para los prestadores de servicios (quien realice actividad económica por Internet) son los que se recogen a continuación, y ¡ojo!, porque esta reforma entrará en vigor al día siguiente de que se publique en el BOE:

 1.- Promueve y refuerza sistema de códigos de conducta de calidad:

a).- Los promueve al serles de aplicación lo previsto para su fomento en la Ley de Competencia Desleal y al incluir como elemento de graduación de las sanciones la adhesión a un código de conducta o a un sistema de autorregulación publicitaria aplicable respecto a la infracción cometida.

b).- Y refuerza su calidad porque recoge expresamente la posibilidad de ejercitar las acciones de cesación y rectificación contra aquellos códigos de conducta que fomenten o impulsen conductas desleales o ilícitas, así como contra los empresarios o profesionales que incumplan los compromisos asumidos en códigos de conducta.

2.- Comunicaciones comerciales electrónicas:

a).- Desaparece la obligación de incluir la palabra “publicidad” o “publi” en las comunicaciones comerciales realizadas por vía electrónica, si bien tienen que continuar siendo perfectamente identificables como tal.

b).- Se contempla expresamente la posibilidad de que el mecanismo de baja u oposición a la recepción de comunicaciones comerciales por e-mail se efectúe mediante la indicación, para ello, de una dirección de correo electrónico.

c).- Se modifica el régimen sancionador del “spam”: El envío de comunicaciones comerciales no deseadas como mínimo es una infracción leve; para considerarla grave antes se exigía el envío masivo o que se hubiera dirigido “spam” al mismo destinatario más de tres veces en un año y ahora se sancionará como infracción grave el envío masivo o “su envío insistente o sistemático a un mismo destinatario”. Ahora habrá que ver qué se entiende por insistente y por sistemático, porque lo de más de tres veces en un año al mismo destinatario no daba lugar a muchas interpretaciones, pero esto… ¿Cuántas veces hace falta que se envíe spam para considerarlo insistente? Y ¿qué e-mail no se ajusta a un sistema?

3.- Mis queridas Cookies (nótese la ironía):

a).- Siempre que ello sea posible, el consentimiento del usuario para la instalación en su equipo de cookies y otros dispositivos de almacenamiento y recuperación similares, puede otorgarse “mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones”, sin que para ello se precise, como sí se hacía antes de la reforma, una acción expresa por el usuario.

b).- Amplía la responsabilidad por infracciones sobre cookies a las redes publicitarias o agentes que gestionan la colocación de los anuncios en virtud de la cual se instalan las cookies. Ello siempre y cuando no acrediten haber exigido al editor del sitio web el cumplimiento de los deberes de información y la obtención del consentimiento del usuario.

c).- Ya no hay dudas de que es infracción la no obtención del consentimiento para instalar cookies, al contemplarla expresamente como tal: Hasta ahora se hablaba de que constituía infracción (leve o grave según exista o no reincidencia) “el incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos”, a partir de la entrada en vigor lo será el uso de cookies y/o análogos“cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario”.

4.- Régimen sancionador:

a).- Se establece un sistema de moderación de las sanciones pudiendo pasar de muy graves a graves y/o de graves a leves, en determinados supuestos (entre otros, si se corrigió la situación diligentemente, si el comportamiento del afectado indujo a la infracción o si se ha dado el reconocimiento espontáneo de la culpa).

b).- Apercibimiento: Se incluye la posibilidad de no sancionar y en su lugar apercibir al sujeto responsable y requerirle para que adopte medidas correctoras, siempre que:

– Los hechos fuesen constitutivos de infracción leve o grave, no muy grave.

– No hubiese sido sancionado o apercibido con anterioridad por cometer cualquiera de infracciones previstas en la LSSI.

Aparte de esto, también se añade un procedimiento para la suspensión cautelar y la cancelación de nombres de dominio .es mediante los cuales se esté cometiendo un delito o falta tipificado en el Código Penal, se regula la obligación de colaboración de los registros de nombres de dominio establecidos en España en la lucha contra actividades ilícitas y se añade una disposición adicional relativa a la gestión de incidentes de ciberseguridad. Novedades todas éstas que intuyo darán mucho que hablar en su momento y respecto de las cuales considero que hubiera sido deseable una mayor concreción, como mínimo en cuanto a la información a facilitar y a lo que se entiende por “autoridades competentes”, máxime teniendo en cuenta las razones que han llevado recientemente al TJUE a declarar inválida la Directiva de Conservación de Datos. Pero en estas cuestiones no entraré, al menos no en este post para no hacerlo muy pesado ;)

El TJUE tumba la Directiva de Conservación de Datos

En el día de hoy se ha conocido Sentencia del Tribunal de Justicia de la Unión Europea (que tenéis disponible aquí -en inglés- gracias a Roberto Yanguas), por la que se declara inválida la Directiva 2006/24/EC de Conservación de Datos, que en España fue transpuesta a nuestro ordenamiento jurídico por la Ley 25/2007 de Conservación de Datos.

Entre otras cosas, se le pedía al Tribunal que analizara si la indicada Directiva podía ser contraria a los derechos de libertad de expresión, de privacidad (respeto a la vida privada y familiar) y de protección de datos personales contemplados en la Carta de los Derechos Fundamentales de la Unión Europea (articulos 11, 7 y 8 respectivamente). Llega el Tribunal a la conclusión de que efectivamente podría afectar a tales derechos y suponer una injerencia respecto a los mismos, principalmente en relación con la privacidad y la protección de los datos de carácter personal, llegando incluso a decir que puede ocasionar en los afectados el sentimiento de que sus vidas privadas son objeto de una constante vigilancia.

Sentado lo anterior, analiza la sentencia, cuál es la finalidad u objetivo perseguido por la Directiva sobre Conservación de Datos, entendiendo que lo es la lucha contra delitos graves, en particular contra el terrorismo y el crimen organizado, lo cual debe ser considerado de interés general y procede, por tanto, realizar una ponderación entre dicho interés general y los derechos afectados. Para ello examina si la conservación de los datos tal cual viene contemplada en la Directiva es una medida proporcional o no, en definitiva si se prevé mediante unas determinadas disposiciones y acciones que no excedan los límites necesarios para conseguir la finalidad perseguida.

Y es aquí donde la Sentencia da un verdadero repaso a la Directiva, pues mantiene que no se da la necesaria proporcionalidad y que la finalidad perseguida por la Directiva no justifica por sí misma, sin más criterios, la intromisión en los indicados derechos fundamentales de privacidad y protección de datos personales. A lo que añade, en apoyo a tal estimación, entre otras cosas, que:

1.- La Directiva no exige que exista nexo relacional entre los datos que se han de conservar y una amenaza a la seguridad pública en función, bien del momento o zona geográfica en que se produzcan las comunicaciones, bien de las personas que las realicen.

2.- La Directiva adolece de unos criterios objetivos que pudieran insuflar proporcionalidad en la conservación de datos, sino que al contrario:

  • Habla de “delitos graves” dejando al criterio de cada estado miembro de la UE lo que ha de entenderse por tal (con las consecuencias que, por ejemplo, en España hemos sufrido por ello).
  • No establece los procedimientos y condiciones en que las autoridades nacionales competentes puedan tener acceso a los datos almacenados.
  • No determina si tal acceso debe estar condicionado a la existencia de una previa investigación o procedimiento judicial.
  • Tampoco hace distinción entre las distintas categorías de datos en relación con el período en que deban ser conservados (entre 6 y 24 meses).

3.- Supone, la Directiva, una gran injerencia a los derechos fundamentales antes dichos, si que se condicione a disposiciones que aseguren que tal injerencia estará limitada a lo estrictamente necesario.

4.- Además la Directiva no contempla medidas que garanticen la protección efectiva de los datos personales contra los riesgos de abuso (por parte de quien deba conservarlos) y de acceso ilegal (por parte de terceros), y tampoco asegura la destrucción de los datos al finalizar el plazo de conservación de los mismos.

Por todo ello termina declarando a la Directiva sobre Conservación de Datos inválida y ahora habrá que ver cómo afecta esto a nuestra Ley 25/2007 de Conservación de Datos y qué va a hacer Europa para asegurar una regulación efectiva que persiga el objetivo que se había marcado con dicha Directiva.

En mi opinión, es necesario regular la conservación de ciertos datos relativos a las comunicaciones electrónicas y el acceso a los mismos, no sólo para la investigación de delitos graves, sino de cualquier delito, pues la inmensa mayoría de delitos cometidos a través de la red son difícilmente perseguibles sin tal información. Pero efectivamente, y aunque sea sumamente complejo, tal conservación de datos debe llevarse a cabo con el mayor respeto a la intimidad de las personas. Afortunadamente, aunque es pronto para valorarla con mesura, es posible que la propia sentencia nos de unas pautas que vayan indicando un poco el camino para ello.

La capa de Triky es larga

La actual normativa sobre cookies es absurda y un auténtico cachondeo. Sí. Pero es lo que tenemos. Nos ha tocado bailar con el más feo del baile o jugar al mus con las de alpedrete (el 4, el 5, el 6 y el 7).

triky

Para colmo, uno se lee el texto legal y, vaya, puede parecer “a priori” más o menos sencillo, pero, ¡ojo!, vete después a guías de agencias y dictámenes de Grupos, que nos obligan a ganarnos la vida poco menos que igual que en el circo, haciendo malabarismos y andando por la cuerda floja, como la risa que nos entra, porque, claro, tienes que informar exhaustivamente sobre las cookies -qué son, los tipos, si son tuyas o de terceros, sus finalidades, cómo desactivarlas…- pero has de hacerlo de forma clara que asegure que el usuario medio se queda enterado y bien enterado de algo que, en la mayoría de las ocasiones, ni el editor de la página sabía y le va a requerir un gran esfuerzo aprender.

Como me considero optimista (porque todos lo hacemos aunque luego realmente seamos unos amargados, no por otra razón), me dije a mí misma: “Mimisma, aquí hay que poner un poco de claridad”. Bien, ya quedó expuesto aquí y aquí el momento en el que pueden activarse las cookies, que resumidamente es una vez que el usuario haya consentido su instalación, previo a lo cual ha debido ser informado, y bien informado, sobre las las mismas.

Para cumplir con la actual normativa, entre otros posibles modelos, tenemos:

1.- Un aviso, que se active cuando se acceda a la web, en el que se suministre absolutamente toda la información sobre las cookies y se de la opción al usuario de aceptarlas o no. Esto sería algo así como las ventanitas o menús que nos aparecen cuando nos queremos instalar un software, con los términos  y condiciones, y la casilla o botón de “acepto” que todos pinchamos sin haber leído ni una línea. Paradojas.

2.- El famoso sistema de información en dos capas. Se encuentra detallado en la Guía sobre el Uso de las Cookies de la AEPD, y ha sido comentado en la primera sanción por ella impuesta en la materia. Esquemáticamente, la información que debe contener cada capa sería:

capa1

capa2

Quiero detenerme en este segundo modelo, el de la doble capa, por dos motivos: Me da la sensación de que está siendo el más utilizado y además, aunque aparentemente puede parecer sencillo, me da en la nariz que no lo es tanto.

En la propia guía de la AEPD que he mencionado y enlazado, se nos ofrece un ejemplo de cómo podría ser el aviso correspondiente a la primera de estas capas:

ejemplo_primera_capa_AEPD

Pues bien, en mi opinión, tal aviso resulta algo insuficiente. Veamos las posibilidades que tiene el usuario que se encuentra con esto:

1.- Continuar navegando: en este caso se podrán activar las cookies. Esto sería semejante a pinchar en un botón de “aceptar”, aunque no se haya accedido a toda la información, y entiendo que aquí es el usuario el responsable de tal aceptación. Se le dio la oportunidad de informarse y si él no lo ha hecho no puede responsabilizarse al editor de la web.

Ahora bien requerirá una navegación efectiva, no basta con que el usuario permanezca con la pantalla abierta estática sin mover siquiera el curso (que le puede haber dado un apretoncillo y ha tenido que salir disparado al WC). “En todo caso la mera inactividad del usuario no implica la prestación del consentimiento por sí misma” nos indica la Agencia en su guía.

En este supuesto, se suele dejar transcurrir cierto tiempo, que normalmente va de 10 segundos a 1 minuto, para que las cookies sean activadas, de modo que transcurrido ese tiempo, si el usuario ha continuado navegando de forma efectiva por la web, le serán instaladas las cookies.

2.- Absolutamente nada: Supongamos que le ha dado el apretoncillo… En teoría no podrían instalarse las cookies, que deberían permanecer en suspenso, por lo recién comentado, hasta que el usuario lleve a cabo algún otro tipo de acción.

3.- Pinchar el enlace para cambiar la configuración u obtener más información: ¿Y aquí qué sucede? Porque si entendemos que eso es navegar por la web, podríamos instalar las cookies transcurrido el tiempo que hayamos previsto para ello. Pero, ¿a alguien le da tiempo a leerse toda la información que nos obligan a suministrar sobre las cookies en un minuto? ¡Y encima entenderla! Menos aun en 10 segundos, ¿verdad?

De modo que si aplicamos la regla del punto nº 1 ante esta acción del usuario, le habremos “metido” las cookies en su dispositivo sin haberle dado la oportunidad de haberse informado debidamente cuando dicho usuario sí ha querido obtener tal información. Y esto, siguiendo los criterios de la Agencia, entiendo sería sancionable, pues no puede entenderse que haya habido consentimiento válido.

En mi opinión, en este último supuesto, se debería dejar en suspenso la instalación de las cookies y, bien al inicio del texto informativo de la segunda capa, bien al final, o incluso en ambas posiciones, volver a dar la oportunidad al usuario de aceptar (tanto pinchando en un botón de aceptar como si sale de esa capa sin haber pinchado el botón rechazar) como de rechazar la instalación de las cookies.

Divertido, ¿verdad?

No dejo de preguntarme en qué estaría pensando el legislador europeo…  Entiendo que al usuario hay que protegerlo y soy la primera en defender tal protección, pero lamentablemente suele ocurrir que se legisla sin tener en cuenta las consecuencias prácticas que se pueden derivar.  En este caso, además, resulta sangrante, ya que ese usuario al que los prestadores europeos van a proteger y evitar que se le instalen cookies sin su información previa y consecuente consentimiento, ése, no va a dejar de visitar multitud de páginas web a la que no resulta de aplicación la normativa sobre cookies y, por lo tanto, éstas continuarán instalándose en sus dispositivos.

Para terminar, les dejo el esquema de lo que, en mi opinión, se puede o no hacer en función de la acción elegida por el usuario en o tras el aviso que constituye la primera capa de información:

esquema_opciones_acciones

* Siempre que se haya avisado en la primera capa de que el acto de continuar navegando se entenderá como aceptación.

Foto y esquemas: Ruth Benito Martín

PD: No. Este blog no cumple estrictamente con la actual normativa de cookies. Primera y fundamental razón: no considero que estemos ante un prestador de servicios de la sociedad de la información, a pesar de que por los textos contenidos en algunas de sus páginas así pudiera entenderse (¿qué quieren?, finalmente no sería yo quien decidiera si se me ha de colgar tal etiqueta, así que al menos cumplir con lo que se pueda). Segunda razón: al parecer (carezco los conocimientos técnicos para asegurarlo), esta versión de wordpress no admite la instalación de pluggin alguno para ello, y como consecuencia no puedo paralizar la activación de las cookies de Automaticc Inc (wordpress) hasta obtener consentimiento del usuario. No obstante, si alguien tiene cualquier sugerencia o solución, le agradeceré enormemente me la haga llegar (abogada[arroba]ruthbenito.com).

Impresiones y recursos sobre el ciclo de charlas sobre menores y web 3.0

20131204_adolescencia_rrssEn el mes de septiembre fui invitada por el I.E.S. Andrés Laguna de Segovia, a cuya Dirección agradezco que contaran conmigo para ello, a participar en su programa TIC con una serie de charlas para los alumnos del centro sobre implicaciones legales del uso, o mejor dicho, ciertos usos de las redes sociales y smartphones. Mis seguidores de Twitter, Facebook y Linkedin estarán al corriente de estas sesiones, pues quizá me he puesto un poquito pesada con el tema, pero es que me parece muy loable este tipo de iniciativas desde los centros de educación.

Además tuvieron el acierto de extender el programa a padres y profesores, mediante una última ponencia, que tuvo lugar el pasado día 4 de diciembre y de la que adjunto a continuación la presentación que sirvió como apoyo ilustrativo:

Creo que esta última charla tuvo gran acogida, a juzgar por el número de asistentes. De este dato, así como de los comentarios y las diversas preguntas que se sucedieron tras mi exposición (ese debate final es siempre lo más interesante), deduzco que el tema preocupa, y no poco, tanto a padres como a profesores. Y es que, tal y como manifesté allí, nos ha tocado vivir el período de adaptación a estas nuevas tecnologías que constituyen la llamada web 3.0, y respecto a las cuales aún no sabemos muy bien, ni siquiera los adultos, cómo manejarlas y cuáles pueden ser sus implicaciones. Tampoco creo ser muy temeraria si digo que a buen seguro a muchos padres serán sus hijos quienes les enseñen a configurar su privacidad en Facebook.

Aunque con un enfoque distinto, tanto en las conferencias a los chavales, como en la dirigida a padres y profesores, se trataron cuestiones relativas a la propia privacidad y la de los demás, posibles conductas delictivas, responsabilidad de los menores y de los padres y herramientas para informarse y para protegerse.

No me llamó la atención que la inmensa mayoría de los chicos, de entre 12 y 14 años, tuvieran smartphone, cuenta en varias redes sociales y el whatsapp ardiendo. En cambio, al preguntar a los padres, fueron muchas menos las manos que se alzaron. En general los chavales conocen bien el funcionamiento de las redes sociales (por ejemplo, contestaron acertadamente a las preguntas del juego simulador de privacidad de tuenti) y fueron varios los que expusieron supuestos en los que un “primo” o una “amiga” había sido sujeto pasivo, e incluso activo, de alguna acción ilícita cometida a través de estos medios electrónicos.

También se comentaron diversos casos por parte de los padres y profesores. Imagino que lo que más les preocupará será el cyberbullying y el grooming, si bien, quizá por verlo como algo más probable de que les pueda suceder a sus hijos, muchas de las preguntas giraron en torno a cuestiones tales como el uso y/o divulgación de imágenes o vídeos por parte de las escuelas o institutos, como el comentado aquí, como sobre todo la difusión por parte de los propios menores de material íntimo respecto a sí mismos y a terceras personas (lo que, por otra parte, puede ser una manifestación más del cyberbullying).

Por último, no tengo datos suficientes para saber si estos adolescentes entendieron bien las consecuencias legales que se pueden derivar de ciertos actos, pero, tras hablarles sobre la Sentencia de la Audiencia Nacional que avala el acceso por parte de un colegio al teléfono móvil de un menor si su consentimiento, bien que comentó alguno “¡Anda, y ¿nuestra privacidad?” Y, ¿qué quieren que les diga?, no le falta razón.

Les dejo enlaces a vídeos y sitios web de interés que fueron expuestos o citados en estas charlas, así como la presentación para los alumnos:

Vídeos:

.- “Sexting, no lo provoques

.- “Redes sociales y privacidad. Cuida lo que publicas sobre los demás

.- “¿Tienes privacidad de verdad en las redes sociales?

Páginas web:

.- www.menores.osi.es

.- www.pantallasamigas.net

.- www.tudecideseninternet.es

.- www.cyberbullying.com

.- www.inteco.es