Un “que si que, que no que” sobre las #cookies

En el día de ayer tuve ocasión de leer una noticia de la Interactive Advertising Bureau de España (IAB Spain) respecto a la aplicación de la normativa sobre cookies en la que se recogen algunos interesantes aspectos prácticos sobre el cumplimiento de dicha normativa.

Vaya por delante que me gustaría que su interpretación fuera la que acogieran nuestras autoridades y tribunales (llegado el caso), muy en la línea de lo que concluía Héctor Guzmán en la anterior entrada de este blog y en concordancia también con la postura que parece haber adoptado la ICO (equivalente a nuestra AEPD en el Reino Unido), y es que resulta mucho más coherente con la realidad del funcionamiento de Internet.

Sin embargo, no puedo dejar pasar dos cuestiones:

1.- Se indica en la noticia que el criterio recogido por la AEPD en la Guía sobre el uso de las Cookies respecto al momento de instalación de las mismas “deja cierto margen de interpretación sobre las diferentes formas de prestar el consentimiento y el momento de instalación de las cookies”. Coincido con respecto a las diferentes formas de prestar el consentimiento, no así respecto al momento de instalación de las cookies. En concreto la mencionada Guía, en cuya elaboración ha sido parte activa, entre otros, la propia IAB Spain, en su apartado IV “Cuándo pueden instalarse las cookies,” indica (y transcribo íntegramente dicho apartado, si bien la negrita es mía):

Respecto al momento en el que hay que obtener el consentimiento para la instalación de la cookie debe recordarse que el artículo 22 de la LSSI señala que:

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

En consecuencia, la instalación de la cookie podrá tener lugar cuando el usuario disponga de la información preceptiva sobre las cookies y la forma de obtención del consentimiento y el mismo se preste de acuerdo con los procedimientos indicados. En este sentido, la instalación de las cookies debería ir acompañada por un consentimiento informado de los usuarios para tal instalación, de forma que los destinatarios tengan la oportunidad de examinar la información y decidir si permiten o no la implantación de estos dispositivos”.

En mi opinión la AEPD aquí no hace sino remitirse a la ley, cuyo tenor literal y cuyo espíritu ya expliqué que, en mi opinión, exigen (absurdamente) que el usuario preste su consentimiento para la instalación de las cookies en un momento anterior a que tal instalación se produzca, criterio éste que además  ha sido acogido por el Grupo de Trabajo del Art. 29.

E incluso el último párrafo transcrito así pareciera entenderlo también, si tomamos ese “cuando el usuario disponga” por un “una vez el usuario disponga”, y en todo caso se dice claramente que “la instalación de cookies debería ir acompañada por un consentimiento informado de los usuarios para tal instalación”, de lo que infiero que en ningún caso el consentimiento puede ser obtenido en un momento posterior a la instalación de estos dispositivos. Todo ello con independencia de la concreta forma en que se obtenga dicho consentimiento.

Me alegra, no obstante, la apreciación de la IAB Spain respecto a la sensibilidad supuestamente mostrada por la AEPD, por venir de quienes han dedicado muchas horas de trabajo y conversaciones con la Agencia al respecto, pero yo no veo una línea de defensa fuerte en este punto si finalmente la autoridad se posiciona claramente a favor del requisito del consentimiento previo.

Más dudas me plantea la segunda cuestión que quiero abordar.

2.- Indica la noticia, en su punto 4, que la actual redacción de la LSSI, no prevé como infracción, y por lo tanto no puede sancionarse, el hecho de no obtener el consentimiento del usuario, sino únicamente el incumplimiento de la obligación de informar. Algo que ya adelantó David González Calleja en su blog.

¿Esto qué es? ¿El principio de accountability llevado a su máxima expresión (queremos ser más papas que el papa e incluso que Europa)  o hacer un pan como unas tortas? Bueno, aquí en España muy posiblemente la primera opción se traduzca en la segunda…

Pero, como digo, este punto me suscita más interrogantes. Lo que dice la IAB Spain es lo que entendí yo en una primera lectura, tras la modificación del art. 22.2 relativo a las cookies, del art. 38.3 i) y 38.4 g) LSSI referente a las infracciones respecto a dicho precepto.

Art. 38.3 i) LSSI:

3. Son infracciones graves:

(…)

i) El incumplimiento significativo de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22.

El apartado 4 del art. 38 recoge como infracción leve el mismo supuesto cuando, por no ser significativo, no constituya infracción grave y viene redactado, a los efectos que aquí importan, en los mismos términos.

¿Existe o no, por lo tanto, tipicidad sobre la conducta de no recabar el consentimiento del usuario como infracción? Es cierto que no se recoge explícitamente, haciendo mención expresa de tal conducta concreta como infracción sancionable, pero ¿es preciso que conste así en la norma para poder decir que constituye infracción?

Nuestro Tribunal Constitucional entiende que se vulnera el principio de legalidad y de taxatividad de la norma cuando al aplicar ésta se carece “de tal modo de razonabilidad que resulte imprevisible para sus destinatarios, sea por apartamiento del tenor literal del precepto, sea por la utilización de pautas valorativas extravagantes en relación con el ordenamiento constitucional, sea por el empleo de modelos de interpretación no aceptados por la comunidad jurídica” (SSTC 185/2000 y 125/2001). En definitiva, y muy resumidamente, si estuviéramos ante un supuesto que, no mencionándose expresamente como infracción, no se espera que sea sancionado, podríamos decir que se vulneraría el principio de tipicidad y por lo tanto cabría anular la sanción. Pero ¿realmente nos sorprendería que nos sancionaran por no haber recabado el consentimiento del afectado para la instalación de las cookies cuando precisamente lo que pretende garantizar la modificación introducida es que el usuario pueda decidir si acepta o no dicha instalación y, en su caso, el tratamiento de sus datos?

Por otra parte, del sentido literal de los apartados 3 i) y 4 g) del art. 38 LSSI, podemos interpretar que las obligaciones que hay que cumplir son, de un lado la de información y de otro la de establecer un procedimiento de rechazo, ambas con arreglo a lo dispuesto en el art. 22.2. Podríamos entender que dicho procedimiento, con respecto a las cookies no exentas y muy resumidamente, consiste en los siguientes pasos y en dicho orden:

1º Informar al usuario, de forma clara y accesible, sobre las cookies que se van a utilizar.

2º Establecer un mecanismo adecuado para recabar el consentimiento del afectado (no entraré aquí a valorar cómo).

3º Si el usuario consiente, se podrán instalar las cookies.

En consecuencia, siguiendo esta argumentación, sí sería infracción, y por lo tanto sancionable, el no haber obtenido correctamente el consentimiento del usuario para la instalación de cookies no exentas. Ello siempre y cuando entendiéramos, como digo, que disponer de un mecanismo para obtener dicho consentimiento forma parte del procedimiento de rechazo al que se refiere el art. 38 y realmente se estuvieran recabando datos de carácter personal y esto, como muchos imaginarán, puede traer larga cola.

¡Me añusgo con las cookies! #DebateAbiertoCon @HectorGuzmanMx

Ruth: Hola Héctor,  ¿te enteraste de que la AEPD ha iniciado un expediente sancionador contra una empresa porque, aunque informa a los usuarios a efectos de obtener su consentimiento para la instalación de cookies, éstas ya se encuentran instaladas con anterioridad? Puedes leer al respecto en el blog de Pablo Fernández Burgueño, que ha escrito sobre ello y sabe bien de lo que escribe.

meañusgo

Héctor: Sí, he leído el blog y de nuevo me vienen a la cabeza antiguas dudas, por no hablar de mi posición en relación con la interpretación sobre el “consentimiento previo” a la instalación de las cookies y la posibilidad efectiva de poder cumplir con esa obligación en lo general.

Porque, a día de hoy, se sigue sosteniendo que dicho consentimiento debe ser previo, ¿verdad?

Ruth: Tal y como yo lo entiendo, . Intentaré resumirte los motivos por los que así lo creo:

1.- Por la literalidad de la norma: Tanto la Directiva como la LSSI indican que este tipo de dispositivos podrán utilizarse “a condición de que” el usuario “haya dado su consentimiento”

Actual Art. 5.3 de la Directiva 2002/58/CE:

«3. Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario».

Art. 22.2 1er párrafo de la LSSI:

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.

Es decir, no se expresa que podrán utilizarse “a condición de que el usuario otorgue su consentimiento” o “a condición de que se le de la opción de que lo pueda dar”, sino de que ya lo haya dado al momento de instalarse las cookies.

2.-  Por el espíritu de la Ley: Entiendo que lo que se persigue es proteger al usuario frente a posibles técnicas intrusivas e instalación en sus dispositivos de elementos no deseados (algo así como tener que pedir permiso antes de instalar un sensor de movimiento en casa ajena y no meterlo a hurtadillas por la ventana), así como frente a un posible tratamiento de sus datos personales, y desde esta óptica es más que razonable que el consentimiento del usuario deba ser previo. De lo contrario la normativa no cumpliría su finalidad, carecería de efectividad, pues si se permitiera el consentimiento “a posteriori”, desde que una persona se accede a un sitio web en el que se utilizan cookies hasta que el usuario opta por dar o no su consentimiento, ya se le habría instalado una cookie y ésta, dependiendo de su función, podría haber transmitido cierta información (entre la que podrían llegar a encontrarse datos personales) desde el dispositivo del usuario.

Si nos vamos, además, al Considerando 66 de la Directiva 2009/136/CE por la que se modifica la Directiva 2002/58/CE sobre la Privacidad y las Comunicaciones Electrónicas, veremos que habla de que el usuario debe poder ejercer su derecho de negativa a que se le instalen este tipo de dispositivos y es claro que si, nada más acceder a un sitio web, ya se encuentran operativos, se le está impidiendo tal derecho, incluso aunque sólo sea por un breve lapso de tiempo.

3.- Así lo ha interpretado el Grupo de Trabajo del Art. 29 en su Dictamen 15/2011, donde entiende que aunque la norma no emplee la palabra “previamente”, así se deduce lógicamente del texto de la Directiva.

Es de sentido común que el consentimiento ha de obtenerse «previamente» al inicio del tratamiento de datos. De otra forma, el tratamiento que se realizara durante el tiempo comprendido entre el momento en que comienza el tratamiento y el momento en que se obtiene el consentimiento sería ilegal por falta de base jurídica”.

De modo que el esquema de tiempos sería el siguiente:

meañusgoesquema

Ahora bien, que esta sea mi conclusión, no significa que no sea consciente de lo kafkianas que pueden ser ciertas situaciones. Y es que estoy de acuerdo con Amedeo Maturo cuando dice que esto se debe a un ataque de “lopdismo”. Así, sólo por poner un ejemplo, me pregunto cómo pueden cumplir los propietarios de sitios web creados gracias a las plantillas de wordpress (como este blog), por ejemplo, que vienen con sus cookies ya instaladas. Hay quienes dicen que existen plugins para cumplir con la Ley de Cookies, pero, al parecer, no aportan plena garantía de cumplimiento. De hecho en el propio post enlazado se avisa al final de que la mayoría de los plugins enumerados no bloquean las cookies, y por tanto no se estaría cumpliendo estrictamente la ley. Y yo misma, a día de hoy, no estoy muy segura de cuál elegir.

En definitiva, hay multitud de posibles prestadores de servicios de la sociedad de la información (y digo posibles porque un debate previo necesariamente debe ser a quién se considera prestador de servicios con arreglo a la LSSI, que es otra cuestión muy divertida), que no obtiene un beneficio económico, o al menos no directo, a través de sus sitios web a quienes se está exigiendo, bien unos conocimientos técnicos muy elevados -para saber qué es una cookie, cómo funciona, cuáles emplea en su sitio web y cómo bloquearlas hasta que, en su caso, el usuario consienta su instalación-, bien un desembolso económico para que otros lo hagan por él, a quienes no saldrá rentable la cuenta. Todo ello con la posibilidad de que el día de mañana, si no se ha inventado ya, aparezcan posibles sistemas de rastreo, que instalen terceros, que pasen inadvertidos para los bloqueadores elegidos por el editor del sitio web.

¿Se han ponderado debidamente los intereses en juego?

Héctor: Pues te voy a decir algo, muy a título personal, sobre el mentado “consentimiento previo”: Creo que tanto la Directiva sobre privacidad y comunicaciones electrónicas como la LSSI, en relación con este tema, se han ido por donde no, se han pasado de proteccionistas y han establecido una obligación que raya en lo imposible de cumplir (con la inseguridad jurídica que ello conlleva, precisamente, en la sociedad de la información).

Y es que, en el estado actual de las cosas, ¿existe algún sitio web que, debiendo cumplir con la LSSI, recabe el consentimiento del usuario ANTES de que cualquier cookie no exenta del consentimiento le haya sido instalada en su equipo?

De verdad, para cumplir con “la letra” de la ley, que, ahora con todo lo que me has dicho la entiendo mejor, ¿debe un prestador de servicios detener, poner en pausa, la instalación de cookies, hasta no haber obtenido el consentimiento del usuario? ¡Pero si no estamos hablando de un formulario! Así entiendo por qué Amedeo habla de ataque de lopdismo.

Por comparar posiciones y disposiciones que conozco, me viene a la cabeza lo que la Information Comissioner’s Office del Reino Unido (ICO) ha dicho en relación con el consentimiento previo en su Guía sobre el uso de cookies (EN).

Palabras más, palabras menos, la ICO ha reconocido que es difícil esgrimir un buen argumento para sostener que el consentimiento para la realización de una acción pueda obtenerse válidamente después de que dicha acción ya ha ocurrido. Reconoce además que esa no es la forma generalmente aceptada para obtener el consentimiento en otras áreas, y que eso no es lo que los usuarios esperarían al respecto.

Un poco aventurado decir eso en estos tiempos, pues adivinar o anticipar lo que los usuarios esperan de su visita a un sitio web puede diferir mucho en función del tipo de usuario de que se trate, pero digamos que es verdad, que los usuarios en general esperan ser debida y anticipadamente advertidos de que la visita a un sitio web conlleva la instalación de cookies en sus equipos.

En todo caso, lo que quiero resaltar es que a renglón seguido se indica que el Comisionado de Información reconoce, SIN EMBARGO, que actualmente muchos sitios web instalan las cookies tan pronto como el usuario accede al sitio. Reconoce además que esta situación dificulta la obtención del consentimiento antes de que las cookies sean instaladas.

En este escenario, la Guía ICO sobre el uso de las cookies indica que siempre que sea posible, deberá retrasarse la instalación de las cookies hasta que el usuario haya tenido la oportunidad de entender qué cookies son las que están siendo utilizadas y haya podido realizar su elección.

Pero más aún, en la Guía se indica que cuando esto no sea posible (o sea, retrasar la instalación de las cookies), los “sitios web” deberán ser capaces de demostrar que están haciendo todo lo posible para reducir el plazo de tiempo anterior al momento en que los usuarios reciben la información sobre las cookies y se les ofrecen opciones al respecto. Y cierra estas consideraciones diciendo que un punto clave al respecto, es asegurar que la información que se proporciona no sólo es clara y comprensible, sino además fácilmente disponible.

Así que, aún sin comprometer demasiado su criterio, en esa Guía la ICO al menos reconoce cómo operan “muchos sitios web” y la dificultad que conlleva cumplir con el “consentimiento previo”.

Para mí está claro que la ICO trata de desenredar el nudo, haciendo malabares con lo que tiene a la mano, pues no puede quitarse de encima el hecho de que el consentimiento debe ser “previo”, aclarado sin lugar a dudas por el GT29, como ya lo has mencionado.

Por otro lado, (y como podrás imaginar) no puedo dejar de mencionar la forma en que se regula la instalación de cookies en México.

Para empezar, el tema no se aborda en relación con la prestación de servicios de la sociedad de la información, sino a través de la normativa sobre protección de datos personales y, de forma particular, en relación con la solicitud y obtención del consentimiento.

Por un lado, el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (sí, así se llama, no me culpes a mí) estable en su artículo 14 (Solicitud del consentimiento tácito):

Cuando el responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento se deberá informar al titular sobre el uso de esas tecnologías, que a través de las mismas se obtienen datos personales y la forma en que se podrán deshabilitar“.

Los Lineamientos del Aviso de Privacidad que entraron en vigor en México hace poco (abril de 2013) repiten lo anteriormente dicho, pero clarifican el cómo:

Uso de cookies, web beacons u otras tecnologías similares

Trigésimo primero. En términos del artículo 14, último párrafo del Reglamento de la Ley, cuando el responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento deberá informar al titular, a través de una comunicación o advertencia colocada en un lugar visible, sobre el uso de esas tecnologías y sobre el hecho de que a través de las mismas se obtienen datos personales, así como la forma en que se podrán deshabilitar, esto último salvo que dichas tecnologías sean necesarias por motivos técnicos.

 Asimismo, el responsable deberá incluir en el aviso de privacidad la información a la que refiere el artículo 14 del Reglamento de la Ley y aquélla que deba ser informada en los términos de los presentes Lineamientos, entre ella, los datos personales que se recaban y las finalidades del tratamiento.

Pareciera poca cosa, pero creo que al menos podemos decir que estas disposiciones regulan la situación de forma un poco más acorde con la realidad. Vamos, que llevado a lo que estamos hablando, se reconoce que (algunas) cookies permiten recabar datos personales al tiempo que el titular hace contacto con un sitio web y que debe ser en ese momento cuando el responsable debe cumplir con el principio de información.

El consentimiento se obtendría si el usuario sigue usando el sitio después de haber recibido la información, no antes ni después de acceder al mismo, sino en el momento de hacerlo. Regularlo de otra forma te va a llevar a la situación (absurda) de la que estamos hablando, dará pie a “n” mil explicaciones sobre el estado actual de la tecnología y a concluir lo que el ala más radical sostiene —  Es lo que “dice” la ley  –, aunque después no haya prestador de servicios promedio que pueda cumplir con la exigencia legal.

Yo creo que el tema es mucho más amplio que el simple momento en el cual se obtiene el consentimiento, sino que abarca además los intereses jurídicos protegidos, las medidas adoptadas por los prestadores de servicios para informar a los usuarios, la tecnología utilizada en el sitio web, si éste está montado sobre una plataforma proporcionada a su vez por un prestador de servicios (típico caso de los blogs), quién instala o decide sobre el tipo de cookies a instalar, la finalidad que se persigue con la instalación de las cookies y demás aspectos teleológicos.

Luego, analizado lo anterior, ya podrá decirse si estamos frente a un “sucio infractor” o frente a una persona que ha hecho todo lo posible para cumplir con la letra y el espíritu de la normativa, dentro de todo aquello que “humana, técnicamente y de buena fe” le ha sido posible hacer.

Conclusión…

meañusgo01

Autores del post: Héctor E. Guzmán Rodríguez y Ruth Benito Martín.

Dropshipping, ¿lo hago bien? Brevísima referencia a ciertas cuestiones legales.

Observo que últimamente se está poniendo muy de moda el denominado dropshipping, un sistema de e-commerce que aparentemente proporciona grandes ventajas al minorista o dueño de la tienda on-line, tales como evitar el riesgo del stock y poder dedicarse de lleno a la venta, puesto que quien almacena los productos y gestiona su envío y entrega al cliente final lo es el dropshipper.

20130815-020856.jpg

Es cuestionable si este tipo de e-commerce resulta efectivamente rentable para el minorista o no, sobre todo si el dueño del comercio on-line opta por descargar directamente una de las plantillas de tienda on-line del propio dropshipper, pues esto le limita más aún la elección de los productos a poner en venta así como las capacidades de SEO. Además, en mi opinión, en este tipo de dropshipment resultan difusos los contornos del negocio jurídico que verdaderamente subyace, pues ¿quién es realmente el proveedor de quién?

En todo caso, el titular de la tienda virtual lo es el minorista y será éste el responsable de cumplir con los requisitos y obligaciones que en relación con el comercio electrónico la legislación vigente le imponen (LSSI, Ley de Ordenación del Comercio Minorista, normativa sectorial, etc). Así pues, entre otras cuestiones deberá facilitar al cliente una serie de información previa al proceso de compra (sobre su identidad, características del producto, precios impuestos y gastos de envío, y otras), prever el derecho de desistimiento del usuario y facilitar junto con el producto otra serie de información (resolución del contrato, dónde se pueden presentar reclamaciones, servicio post venta y garantías…). Por supuesto también deberá observar los aspectos legales sobre la utilización de cookies.

Por otra parte el dueño de la base de datos de los clientes lo es la tienda virtual, lo que le convierte en responsable de un fichero de datos de carácter personal y como tal debe observar igualmente una serie de obligaciones (deber de información, mantener la calidad de los datos, inscribir el/los correspondiente/s fichero/s, asegurar al afectado el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición e informarle sobre cómo puede ejercitarlos, adoptar las oportunas medidas de seguridad…). Y, al entregarle el minorista los datos de los pedidos necesarios para la posterior distribución de los productos, el proveedor de dropshipping se convierte en encargado del tratamiento de los datos de los clientes del minorista, con lo que entre ambos debe haberse suscrito un contrato donde se contemple lo dispuesto en el artículo 12 de la LOPD.

A nadie se le escapará, por tanto, que deben fijarse muy bien los compromisos y la coordinación entre el minorista y el dropshipper, y que el sistema elegido permita a aquel incorporar todos los elementos y textos necesarios en relación con lo expuesto en este post para que pueda transmitir verdadera confianza al internauta, cumplir con cuantas obligaciones le exige la normativa y no estar expuesto al riesgo de elevadas sanciones.

A vuelta con los enlaces y la propiedad intelectual (TusSeries.com)

Leo en ABC que el foro TusSeries.com cierra “por la Ley Sinde“. Al parecer se trata de la decisión que ha adoptado la administradora del sitio tras recibir un requerimiento del Ministerio de Educación solicitando que identificara al propietario del foro.

Con total franqueza lo digo, desconocía por completo la existencia y funcionamiento de este sitio web hasta la fecha. Según se indica en la noticia, así como en otros medios, se trataba simplemente de un foro a través del cual los usuarios intercambiaban enlaces a archivos (puede que algunos de creación propia), y la página web carecía de ánimo de lucro, no obteniendo ingresos ni de forma directa ni a través de publicidad, si bien era mantenida gracias a donativos que los propios usuarios realizaban (lo cual no puede ser considerado como intención de obtener lucro alguno).

Nos volvemos a encontrar con la problemática de los enlaces en relación con la propiedad intelectual, ¿constituye algún tipo de infracción de los derechos de autor? En mi opinión no. A tal respecto me remito a una reciente entrada en este mismo blog motivada por la publicación de un informe de la European Copyright Society, donde se detallan los motivos por los que un enlace no debería entenderse como comunicación pública, y por tanto no vulnera por sí derecho alguno de propiedad intelectual. Ello, sin perjuicio de que, como acababa indicando al final de dicho post, las webs de enlaces puedan incurrir, cumpliéndose determinadas condiciones, en competencia desleal.

Es discutible si la “piratería” perjudica o no a los derechos de autor. Hay autores que gracias a que sus creaciones están siendo compartidas por Internet se han dado a conocer y ello ha provocado que posteriormente parte de este “público” haya adquirido su obra, un público al que de otra forma hubiera sido mucho más complicado, o incluso imposible acceder, y que por lo tanto nunca habría llegado a comprar ninguna de sus canciones (o libros, o cuadros…). De hecho, hace tan sólo dos días, en El Blog Salmón se publicaba que “La UE es clara: la “piratería” de música no perjudica a los propietarios de los derechos de autor“.

En todo caso, en mi opinión, si el propietario del foro o web de enlaces no aloja contenidos protegidos por derechos de autor a los que no hubiera sido autorizado, difícilmente podemos encontrarnos ante un supuesto de infracción de derechos de propiedad intelectual, ni civil ni penal, y ello aún en el supuesto de que tuviera ánimo de lucro, pues el enlace no constituye ningún tipo de explotación de la obra. Recordar aquí que el Código Penal, a parte del ánimo de lucro y el perjuicio a tercero, requiere que la conducta punible consista en reproducir, plagiar, distribuir o comunicar públicamente “en todo o en parte, una obra literaria, artística o científica, o su transformación, interpretación o ejecución artística fijada en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus cesionarios“.

Podría ser responsable en virtud del Art. 17 de la Ley de Servicios de la Sociedad de la Información, pero para ello se requiere que hubiera tenido conocimiento efectivo de que el contenido al que remite el enlace es ilícito y que además no hubiera actuado con diligencia para retirar el/los enlace/s en cuestión una vez hubiera tenido dicho conocimiento efectivo.  Aunque aquí puede haber distintas interpretaciones (y de hecho hay sentencias de distintos colores), no quiero extenderme, así que resumo: Partiendo de que el administrador del foro o web no tiene la obligación de vigilar los contenidos o enlaces que terceras personas publican en su sitio, mientras no se dieran los dos requisitos previamente dichos, ninguna responsabilidad podría exigirse en este caso a TusSeries.com, y hubiera sido suficiente con que, una vez advertido de los enlaces que se consideraban ilícitos, los hubiera eliminado o inutilizado.

Pero ¿podríamos entender que TusSeries.com realizaba algún acto de competencia desleal? Para dar respuesta a esta pregunta me parece imprescindible tener en cuenta, entre otras cosas, que no se tenía ánimo de lucro, y por lo tanto no puede considerarse que llevara a cabo actividad comercial alguna, y también lo comentado en el párrafo cuarto de este post en relación a si la piratería provoca un perjuicio real a la industria.

Pero ni quiero extenderme demasiado ni tengo tiempo ahora mismo para ello, así que aquí lo dejo por ahora, con la intención de continuar en futuros posts.

Los enlaces, la opinión de la European Copyright Society y la competencia desleal

Isadora Lollo

Isadora Lollo

Los derechos de explotación que cualquier autor tiene sobre su obra son los de reproducción, distribución, comunicación pública y transformación. Siendo claro que un enlace no supone un acto de reproducción ni de distribución ni de transformación de una obra, no existe así unanimidad en cuanto a si se trata de un acto de comunicación pública o no.

El 18 de octubre de 2012 un Tribunal de Apelación sueco elevó consulta al Tribunal de Justicia de la Unión Europea (TJUE) en torno a si los enlaces a URL’s (links o hyperlinks) constituyen comunicación pública a efectos de propiedad intelectual y por lo tanto infringen derechos de autor si se carece de la correspondiente autorización.

Más nos vale armarnos de paciencia, pues el TJUE puede tardar en resolver esta consulta entre uno y dos años (a la vista del tiempo transcurrido para sus últimas sentencias), pero de momento me gustaría destacar la opinión de la European Copyright Society (ECS), emitida el pasado 15 de febrero al respecto de este caso, y cuya lectura recomiendo por el análisis que realiza sobre lo que se entiende por comunicación pública con base en la normativa y casuística existente.

Esta Asociación, constituida por varios académicos expertos en propiedad intelectual con el fin de evaluar la Directiva Europea 2001/29, sobre derechos de autor y sociedad de la información, concluye que un enlace no es una comunicación pública a efectos del art. 3 de la indicada Directiva, y que por lo tanto no infringiría en tal sentido los derechos de autor una persona que, sin el consentimiento de su autor, enlaza a una obra (texto, foto, vídeo, música…) que se encuentra alojada en otro sitio web.

La principal razón por la que llegan a tal conclusión es que consideran que por “comunicación” debe entenderse la transmisión de la obra y no el mero hecho de que se facilite el acceso al lugar desde donde el cual dicha transmisión se efectúa. En un enlace no se produce dicha transmisión, sino que se dirige al usuario al lugar desde el cual, si luego éste quiere, accede a la transmisión de la obra. En este sentido el enlace identifica y facilita el acceso a una dirección URL, pero no efectúa una transmisión de la obra y por lo tanto no hay comunicación pública.

A parte de lo anterior, a juicio de estos expertos, una infracción del derecho de comunicación pública debe implicar que la transmisión de la obra se realiza a un público nuevo, en el sentido de tratarse de un público distinto a aquel al que el autor ha autorizado a acceder a su obra o le cabe esperar razonablemente que pueda acceder a ella. De este modo, el autor que permite que su obra esté “en abierto” en Internet, está autorizando, en buena lógica, que se acceda a ella desde cualquier sitio y por múltiples herramientas de búsqueda y por lo tanto un enlace, incluso si se entendiera como transmisión de la obra, no implica que tal transmisión se realice a un público nuevo, pues en Internet el público es universal. Obviamente este argumento no cabría en los supuestos en que la obra hubiera sido inicialmente publicada en Internet sin consentimiento del autor.

Pero debo reconocer que lo que más me ha llamado la atención del informe de la ECS, por lo inspirador que me ha resultado, es su consideración respecto a que aunque un enlace tipo “frame” (lo entiendo por tanto también aplicable a un enlace embebido o seudoenlace) por lo expuesto no constituya un acto de comunicación pública, no podemos presuponerle siempre y en todo caso completa licitud pues, por ejemplo, si presenta la obra en un contexto distinto al pretendido por el autor podría estar vulnerando el derecho moral de éste a proteger la integridad de su obra, o también porque podría suponer una práctica de competencia desleal al inducir a confusión al usuario que piensa que está accediendo a la obra desde un sitio web cuando en realidad lo está haciendo desde otro distinto.

La ECS sólo hace mención en este documento a la competencia desleal refiriéndose a este concreto tipo de enlaces y en el Derecho español lo podríamos poner en relación con los arts. 5, 6 e incluso 7 de nuestra Ley de Competencia Desleal. Pero (aquí la inspiración) pienso que existe una vía de defensa para los autores y otros titulares de derechos de explotación de propiedad intelectual con base también en el resto de comportamientos contemplados en la ley como actos de competencia desleal, particularmente en los recogidos en el general del art. 4 y en los arts. 11 y 12 de la LCD.

Como digo, es algo que me queda por estudiar detenidamente, pero quizá merezca la pena dirigir los esfuerzos en este sentido antes que en modificar el Código Penal para criminalizar las webs de enlaces, máxime teniendo en cuenta que el TJUE puede responder con un no a la última de las cuestiones planteadas en la consulta del Tribunal sueco, que es: “¿Están facultados los Estados miembros para otorgar al autor una protección más amplia de su derecho exclusivo permitiendo que la comunicación al público comprenda más actos que los derivados del artículo 3, apartado 1, de la Directiva 2001/29/CE del Parlamento Europeo y del Consejo, de 22 de mayo de 2001, relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información?

Entradas relacionadas: Extraordinaria y urgente necesidad en materia de propiedad intelectual.

Divagaciones varias sobre el derecho al olvido


2013-01-27 - OLVIDO
Desde hace unos años se habla mucho sobre el derecho al olvido. Aun así, mi parecer es que todavía no entendemos muy bien lo que es, ni siquiera si existe o no, y menos aún, por lo tanto, tenemos una definición aceptada del mismo. Me sorprende, por tanto, saber que el 81% de los encuestados en un estudio sobre el derecho al olvido opina que en general no es respetado en Internet. Simpático, ¿verdad?

No sé, igual soy yo la única que no alcanzo a comprender bien esto del derecho al olvido. Hay quien tiene muy claro que tal derecho no existe, y entiendo sus argumentos, de modo que sencillamente estaríamos ante un derecho ya existente, o varios en mi opinión, pero que en el entorno digital quedan más expuestos a posibles vulneraciones y por lo tanto su desarrollo y aplicación alcanzan mayor relevancia. En este sentido, para algunos, formaría parte de lo que llaman la cuarta generación de derechos fundamentales.

Son varias las definiciones que se han dado para el derecho al olvido. La mayoría de las que conozco lo ponen en relación exclusivamente con la protección de los datos de carácter personal, así, por ejemplo la Comisión Europea lo definió en un principio, en su comunicación “A comprehensive approach on personal data protection in the European Union”, como the right of individuals to have their data no longer processed and deleted when they are no longer needed for legitimate purposes, que viene a ser algo así como el derecho de las personas a que sus datos dejen de ser procesados ​​y sean eliminados cuando ya no sean necesarios para fines legítimos, y que ha sido la idea esencial que ha acabado trasladándose al Proyecto de Reglamento Europeo.

En mi opinión esta definición, que además no hace distinción entre entorno on-line y entorno off-line, resulta verdaderamente pobre y triste, ¿el derecho al olvido se refiere sólo a los datos personales? Y además puede inducir a error, pues ¿acaso con anterioridad a que fuera recogido en el Reglamento no gozábamos ya de esa protección? ¿No tenemos desde hace años los concretos derechos de oposición y cancelación de nuestros datos personales?

También hay quien lo describe como el derecho a que los buscadores no localicen tus datos personales en la red. Y aquí nos metemos en arenas movedizas porque, para empezar, ¿tienen los buscadores derecho a tratar nuestros datos personales sin nuestro consentimiento? ¿Hay un interés legítimo que lo justifique? ¿El hecho de que ésa precisamente sea su actividad, su negocio, es suficiente para entender que están legitimados? (usted no puede tratar datos personales sin el consentimiento de su titular, salvo, claro está, que se dedique a localizar, recopilar y exponer toda la información y contenido existente en Internet, incluyendo datos personales sin el consentimiento de su titular). En mi opinión si los buscadores no estuvieran legitimados, se perdería gran parte de su esencia y de la Internet que actualmente conocemos y disfrutamos. Pero las preguntas continúan, obviamente: ¿tenemos derecho a exigir que los buscadores no localicen nuestros datos cuando el sitio web que originariamente los publica permite su indexación? ¿Lo tenemos frente al buscador aun cuando la lesión se produce en el sitio web concreto donde se han publicado nuestros datos? ¿Y con independencia o no de que exijamos también la retirada de nuestros datos respecto a la publicación en origen? ¿Incluso aunque dicho sitio web no haya ocasionado un perjuicio merecedor de reparo al titular de los datos? (Buena patata caliente tiene actualmente el TJUE).

En mi opinión lo que sucede es que, como apuntaba antes, hay una serie de derechos que quedan más expuestos en el entorno digital, pero no sólo los relativos a nuestros datos de carácter personal, sino que también podríamos hablar del derecho al olvido respecto al derecho al honor, la intimidad y la propia imagen, o en relación con la propiedad intelectual (art. 14.6º LPI), derechos todos ellos que guardan especial vinculación con lo que es nuestra identidad digital, de modo que eso que se ha dado en llamar derecho al olvido podría llegar a predicarse también de las personas jurídicas.

Pero volvemos de nuevo al punto de partida: ¿existe o es simplemente la aplicación de estos derechos en el ciberespacio y por lo tanto realmente no hay nada nuevo? Cuanto más pienso sobre ello más me voy convenciendo de que si existiera un derecho nuevo sería, en todo caso, porque estos derechos requieren un tratamiento distinto cuando los aplicamos al entorno on-line que cuando los aplicamos al entorno off-line. Todos ellos, en su aplicación, encuentran su límite en otros derechos (principalmente la libertad de expresión y el derecho de información) e intereses legítimos (como los que pueda haber tras la publicación en boletines oficiales), pero la cuestión es si debemos ponderar de forma distinta debido a ciertas características que influyen de forma relevante en Internet y que son la amplificación (repercusión, alcance, rapidez y facilidad en la transmisión de la información), la accesibilidad a la información (más fácil, cómoda y barata) y la permanencia de la misma.

Los boletines oficiales en papel, por poner un ejemplo, no tenían la repercusión que actualmente tiene un boletín oficial electrónico. Lo que se publicaba en un boletín oficial en papel o en un periódico en papel, dejaba pronto de ser fácilmente accesible y, dependiendo de la publicación o contenido y su relevancia pública o su interés, permanecía más o menos tiempo en la memoria de aquellos que hubieran accedido al contenido. Aquel que quería saber o investigar sobre el asunto concreto, transcurrido un tiempo, debía llevar a cabo una labor que generalmente implicaba mayor esfuerzo, tiempo y coste que lo que supone actualmente gracias a Internet. Ahora lo que se publica en un boletín electrónico o en un periódico digital queda de forma permanente e indefinida en Internet, a nuestra disposición en breves segundos cómodamente desde el sofá de nuestra casa. Internet se ha convertido así en una extensión de nuestra memoria. Qué quieren que les diga, visto así la denominación “derecho al olvido” o “derecho a ser olvidado” me resulta de lo más acertado.

Si concluimos que esos elementos que influyen poderosamente en el desarrollo de los derechos mencionados en el entorno digital justifican que éstos se apliquen de manera distinta en el mundo on-line que en el mundo off-line quizá sí podamos decir que estamos ante un nuevo derecho.

2013-01-27 - OLVIDO02

Yo, sinceramente, aún no lo tengo claro. Bien puede tratase sin más de que estos derechos se ejercitan más porque gracias a las tecnologías se vulneran más y/o su vulneración provoca un perjuicio mayor. Y paradójicamente, en principio, veo más clara la existencia de un nuevo derecho en el denominado derecho al recuerdo*, entendido, no como que exista un interés legítimo a no ser olvidado, sino como derecho a la integridad de la identidad digital que cada uno va creando de sí mismo, o derecho a tu vida digital.

En todo caso hay otra cuestión que bien pudiéramos plantearnos, y es que hablamos mucho de nuestros derechos, pero ¿nadie se ha detenido a observarlo desde la perspectiva de que quizá todos deberíamos estar obligados a desempeñar una especial cautela a la hora de acoger la información a la que accedemos en Internet?

Y ¿quién sabe? A lo mejor estamos equivocados y el derecho al olvido es un gran error, un parche, una máscara, y quizá fuera mejor dejar que la selección natural continúe haciendo su trabajo y de lugar a un desarrollo cognitivo que permita a nuestra especie convivir con tanta información, muchas veces descontextualizada, es decir que nos permita interpretar la información contenida en Internet, arrancarnos ciertos prejuicios, que no nos afecte tanto la opinión que los demás puedan tener de nosotros mismos, enterrar el morbo, esperar la condena en sentencia firme y creer después en la reinserción, aceptar que existen nombres duplicados, mirarnos los cuerpos y saber ser más animales, ser conscientes de que todos cometemos errores, convivir con las imágenes permanentes de nuestros difuntos…

Sea como sea y derive el derecho al olvido en lo que derive, es probable que las futuras generaciones de humanos sean, precisamente gracias a la tecnología, más humanos. O eso me gusta pensar.

*No sé cuánto tiempo estará disponible el contenido de este enlace debido a la reciente desaparición de la APDCM y en una especie de “metaderechoalrecuerdo” reivindico desde aquí su permanencia.

Extraordinaria y urgente necesidad en materia de propiedad intelectual.

En el día de ayer, 9 de noviembre de 2012, el café de media mañana se nos atragantó a algunos. Pirates de Catalunya colgaba en su blog el borrador de un Real Decreto-Ley por el que se adoptan medidas urgentes en materia de propiedad intelectual.

Son múltiples y variadísimos los comentarios que se pueden realizar sobre dicho borrador (recomiendo leer el del compañero David Maeztu), pero por ahora me centro en lo primero que me llamó la atención, aunque lamentablemente dado su uso cada vez más frecuente ya no sorprende tanto: la utilización de la figura del Decreto-Ley para acometer ciertas reformas, pues es éste un mecanismo legislativo que nuestra Constitución prevé que el Gobierno puede utilizar pero con carácter provisional y en casos de extraordinaria y urgente necesidad (y con ciertos límites en función de la materia a tratar).

Cuando un Real Decreto-Ley se somete al control jurídico del Tribunal Constitucional, éste ha de analizar la existencia de la extraordinaria y urgente necesidad desde el estudio del Preámbulo de la norma, a lo largo del debate parlamentario de convalidación, y en el propio expediente de elaboración de la misma.

Contamos tan sólo, en este caso y de momento, con el borrador de la norma. En su preámbulo, tras avanzar que será necesario abordar la elaboración de una nueva LPI debido a la incapacidad de la actual para adaptarse satisfactoriamente a los cambios “sociales, económicos y tecnológicos que se han venido produciendo en los últimos años”, se indica: “… existen problemas cuya solución no puede esperar a la culminación de esta tarea y que requieren la adopción de decisiones urgentes dirigidas a reforzar la protección de los derechos de propiedad intelectual. Concretamente, las medidas que recoge este Real Decreto-Ley se agrupan en tres bloques”, que son los siguientes:

             1.- Revisión del sistema de compensación equitativa por copia privada.

        2.- Fortalecimiento de los instrumentos de reacción frente a las vulneraciones de derechos que permita el impulso de la oferta legal en el entorno digital.

            3.- Diseño de mecanismos eficaces de supervisión de las entidades de gestión de los derechos de propiedad intelectual.

En mi opinión, resulta obvio que para que estas tres materias tan específicas puedan ser objeto de modificación legal por la vía de este Real Decreto-Ley, debe justificarse la extraordinaria y urgente necesidad para cada una de ellas. Excluiré del análisis el último de estos puntos, relativo a las entidades de gestión, pues este post se haría excesivamente largo y otros habrá, espero, que lo sometan a mejor análisis que el que pudiera hacer yo.

a).- En relación con el sistema de compensación equitativa por copia privada: En la Exposición de Motivos del Real Decreto-Ley se nos dice que son dos las principales modificaciones que se proponen: la revisión del concepto legal de copia privada y el procedimiento de la cuantificación y liquidación de la obligación compensatoria, y ello debido a que el TJUE ha introducido algunas precisiones sobre quién está obligado al pago de la compensación equitativa en sus sentencias de 21 de octubre de 2010 (caso Padawan) y de 16 de junio de 2011 (Sticthing de Thuiskopie).

A raíz de la sentencia del caso Padawan se suprimió el famoso canon digital, anterior sistema de compensación por copia privada, que pasaría a correr a cargo de los Presupuestos Generales del Estado, y esto se hizo mediante otro Real Decreto-Ley, el 20/2011, de 30 de diciembre de medidas urgentes en materia presupuestaria, tributaria y financiera para la corrección del déficit público, en cuya Disposición Adicional Décima se indica que “El Gobierno establecerá reglamentariamente el procedimiento de pago a los perceptores de la compensación equitativa por copia privada con cargo a los Presupuestos Generales del Estado”. Por cierto, se me puede haber pasado, pero yo no he encontrado justificación alguna, ni en la Exposición de Motivos del Real Decreto-Ley 20/2011 ni en su correspondiente sesión de convalidación en el Congreso de los Diputados, sobre la extraordinaria y urgente necesidad de la supresión del canon digital.

En todo caso la cuestión es que si ya cuando se aprueba este Real Decreto-Ley 20/2011 existían las circunstancias que ahora se alegan para introducir la revisión del sistema de compensación equitativa en el presente Real Decreto-Ley, ¿por qué no se incluyeron en aquél otro? Sólo me caben dos conclusiones lógicas: O bien no debe ser tan urgente, o bien la urgencia la provoca precisamente la propia extinción del canon, en cuyo caso estamos ante una fatal técnica legislativa. En mi opinión la precipitada eliminación del canon digital es un tremendo error, no sólo por acometerlo sin acompañarlo de los mecanismos que garanticen una adecuada alternativa, sino porque la alternativa apuntada me resulta aún más injusta e indiscriminada.

b).- Respecto al pretendido fortalecimiento de los instrumentos de reacción frente a las vulneraciones de derechos que permita el impulso de la oferta legal en el entorno digital: Las reformas contenidas en el borrador tienen por fin proteger los derechos de propiedad intelectual “frente a las vulneraciones que puedan sufrir en el entorno digital” y las medidas propuestas se consideran urgentes e imprescindibles para restablecer el equilibrio entre aquellos derechos y el derecho de acceso a la cultura y para fomentar los nuevos modelos de negocio en dicho entorno.

Pues bien, en primer lugar entiendo que no nos encontramos ante un panorama que se haya creado precisamente de la noche a la mañana. Muy al contrario, el debate sobre el deseado equilibrio que debería existir entre los derechos en juego es ya debate viejo, y se ha mostrado lo suficientemente complejo como para adoptar medida alguna al respecto con tal rapidez. Al igual que se alegó en su día en el segundo de los recursos de inconstitucionalidad presentados contra el Real Decreto-Ley 5/2002, de 24 de mayo, de Medidas urgentes para la reforma del sistema de protección por desempleo y mejora de la ocupabilidad (el famoso “decretazo” del Gobierno Aznar que derivó en una huelga general), respecto al empleo y a la protección por desempleo, cabría mantener ahora que no puede calificarse como urgente, en el sentido del Art. 86.1 C.E., lo que debe ser una acción permanente, constante, y sostenida del Gobierno en materia de propiedad intelectual y protección de los derechos de autor. De hecho la propia Exposición de Motivos del borrador menciona que “la implantación generalizada e intensiva de las nuevas tecnologías” demanda del legislador “un esfuerzo permanente para adaptar el marco legal vigente a las nuevas necesidades”.

A parte de lo anterior, no puedo evitar pensar que en marzo de 2011 entró en vigor la denominada Ley Sinde y tan sólo han pasado ocho meses desde la entrada en vigor de su Reglamento, de cuya Exposición de Motivos se infiere que contempla entre sus fines exactamente el mismo que el borrador del nuevo Real Decreto-Ley, llegando a decirse que “la protección de los derechos de autor en el entorno digital en línea constituye una preocupación persistente del ámbito internacional…”. Entiendo que nada nuevo ha sucedido en estos últimos meses y si las circunstancias han cambiado desde que se aplican estas dos normas, tal cambio se traduciría, en teoría, en un aumento de la protección de los derechos de autor y por lo tanto no existe una extraordinaria y urgente necesidad para adoptar nuevas medidas al respecto. A no ser, claro, que se estén reconociendo como ineficaces la Ley Sinde y su Reglamento.

11/11/2012 NOTA IMPORTANTE: Edito esta entrada para incorporar el comunicado que ha publicado el Ministerio de Educación Cultura y Deporte en su página web: http://www.educacion.gob.es/horizontales/prensa/notas/2012/11/20121110-cul-ley-propiedad-intelectual.html

En dicho comunicado se informa de que el borrador del Real Decreto-Ley filtrado no es el texto que el Gobierno está manejando en su reforma de la Ley de Propiedad Intelectual. Espero que dicha reforma no se efectúe finalmente por Real Decreto-Ley, que pueda ser abiertamente debatida y que en su proceso de elaboración se tenga en cuenta las opiniones de todos los sectores y ámbitos afectados por la reforma.