El Margen de la Ley :: El Blog de Audens
Audens >
Blog

Anteproyecto LOPD (volumen 1)

En el marco del V Congreso Nacional de Privacidad APEP organizado por la Asociación Profesional Española de Privacidad, presenté y moderé una mesa redonda que titulamos la “Implementación del Reglamento Europeo de Protección de Datos en España“. Los ponentes (José Amérigo Alonso, Leonardo Cervera-Navas, Artemi Rallo, José Luis Piñar y Ricard Martínez), plasmaron diversos escenarios sobre la situación de la confección y desarrollo del anteproyecto de aprobación de una nueva ley orgánica para reemplazar a la LOPD, aunque no dieron muchas pistas por estar limitados por la confidencialidad, unos, y el desconocimiento por no tener acceso al texto, otros.

Pero no fue una mesa redonda exenta de polémica. José Amérigo Alonso, Secretario General Técnico del Ministerio de Justicia, adelantaba que tendríamos un borrador del anteproyecto de la nueva LOPD antes de terminar junio (“en las próximas semanas“) y que se cumplirían los trámites para que fuera aprobado por las Cortes en mayo de 2018. Por su parte Artemi Rallo, Diputado por Castellón del Grupo Parlamentario Socialista y exdirector de la Agencia Española de Protección de Datos, puso en duda que Ley Orgánica pudiera ser aprobada en plazo, lo que provocaría una importante inseguridad jurídica.

Al margen de temas políticos, plazos administrativos y demás retórica parlamentaria, lo cierto es que ya tenemos el primer borrador del Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal (al que llamaré ALOPD, por aquello de no perder la costumbre de hacer acrónimos con todo). Por supuesto no es el texto definitivo, debe superar diversos informes preceptivos, ha de pasar por las Cortes con sus consiguientes enmiendas… y de hecho ya está abierto el trámite de audiencia e información pública, que termina el día 19 de julio; pero bueno, nos sirve para conocer el cauce que el gobierno pretende dar a la nueva normativa, ¡que no es poco!

Sin ánimo de ser muy exhaustivo (por el momento), aporto unas cuantas impresiones sobre la lectura que le he podido dar hasta ahora. Eso sí, prometo ir desgranando un poco más el ALOPD los próximos días.

Para empezar, ¡tiene exposición de motivos! Lo remarco porque la LOPD (sin la A delante) a pesar de ser una ley orgánica y de regular derechos fundamentales, no la tenía. No nos engañemos: ni pasará a los anales de la prosa ni aporta unos criterios novedosos, desconocidos de antemano, pero ahí está: que en España la protección de datos deriva del art. 18.4 de la Constitución y que fuimos pioneros, que el Tribunal Constitucional en su Sentencia 94/1998 señaló que existía el derecho fundamental a la protección de datos, y su Sentencia 292/2000 lo reconoció como derecho fundamental autónomo

Sí es interesante, eso sí, la justificación (a mi modo de ver, un poco cogida con pinzas) de por qué un Reglamento europeo necesita de una norma nacional que lo “desarrolle” en muchas cuestiones. Como sabemos, el RGPD contiene un buen número de habilitaciones a los Estados para que regulen ciertas materias y puedan especificar o interpretar su contenido; y así, el ALOPD justifica su existencia como un texto que “trata de clarificar sus disposiciones“. Algo que indudablemente me lleva a pensar que seguiremos teniendo que poner un ojo en las demás normativas internas de los países de la U.E., sus interpretaciones y criterios sobre el RGPD, para poder ofrecer seguridad jurídica a los responsables y encargados de tratamientos de datos con alcance europeo. O en otras palabras, que la armonización que se buscaba con el RGPD no será completa.

Entrando en el articulado, se conjugan criterios que nos resultan familiares, como que se presumirán exactos y actualizados los datos que el propio interesado aporte, con otros más novedosos: un catálogo de garantías sobre el principio de minimización de datos, una mayor concreción de las bases de legitimación, un refuerzo del deber de información (especificada para cada finalidad y plasmada “por capas”) o la confirmación del adiós al consentimiento tácito, que se ve desplazado por una declaración o una clara acción afirmativa del interesado, y por casillas no premarcadas. Otra novedad la encontramos en los menores de edad: se reduce de 14 a 13 la edad en la que un menor puede prestar su consentimiento; y sorprende enormemente el artículo dedicado… ¡a datos de personas fallecidas! El ALOPD tampoco es parco al abordar el equilibrio de intereses en la ponderación del interés legítimo como base jurídica para el tratamiento: otro nuevo reto por delante; y también regula con detalle ciertos tratamientos específicos que nos resultan familiares, como son los ficheros de morosos, las listas robinson o la videovigilancia.

Y si algo estábamos esperando los profesionales, era la regulación del delegado de protección de datos. Recordemos que el RGPD lo establece como obligatorio en aquellas organizaciones que realicen tratamientos de datos a gran escala… Pues bien, parece que la norma pretende aclarar este concepto, mediante un listado (desde la A hasta la Ñ) sobre qué tipo de responsables y encargados del tratamiento deberán designar un DPD. Algunos ejemplos: los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios (sea o no exigible el registro previo para su obtención), las entidades que desarrollen actividades de publicidad y prospección comercial… Menos mal que el Reglamento permite que el DPD sea externo, porque si no, cumplir esta obligación en los términos que exige la norma europea sería imposible para muchas PYMES.

He de reconocer, por lo demás, que el articulado se esfuerza en ofrecer unas pautas detalladas sobre cómo cumplir sus obligaciones… hasta el punto de pasarse un poco. No sólo deja claro lo que está prohibido, sino que también pretende listar lo que está permitido… algo que casa mal con el principio de libertad que nos enseñaron en la facultad. Pero al margen de esto, el ALOPD sí aclara definitivamente algunas dudas importantes: por ejemplo, los plazos de prescripción de las sanciones o de los procedimientos ante la Agencia Española de Protección de Datos.

No puedo terminar este breve resumen sin hablar del régimen sancionador previsto en el anteproyecto. Como sabemos, el RGPD trae dos tipos de multas: las muy graves (hasta 10 millones de euros o el 2% del volumen global de facturación) y las terribles (lo mismo multiplicado por dos). Pero no concretaba nada más. A nosotros, acostumbrados a un ordenamiento jurídico que ofrece detallados catálogos de sanciones, nos sonaba extraño y nos generaba dudas; y el ALOPD dedica un título entero (el VIII, sin naturaleza de ley orgánica) a desarrollar el régimen sancionador y propone infracciones consideradas leves, graves y muy graves. Como este artículo ya se alarga, prometo abordarlo en otro post… pero esto me lleva de nuevo a pensar sobre la armonización europea. Para un responsable o encargado de tratamientos español, cuya actividad esté restringida al mercado nacional, parece sencillo, pero… ¿y las empresas con mercados y tratamientos más amplios? 

No obstante, ¡ojo! Queda menos de un año para el 25 de mayo de 2018. Las empresas y organizaciones deben ir revisando sus tratamientos para determinar en qué medida el cambio normativo les afecta. Aunque sea un borrador, parece que pronto contaremos con una herramienta más para avanzar en ello. ¡Pero no lo olviden, tempus fugit!

Apps, publicidad y alcohol

Probablemente no les sorprenda saber que uno de los sectores sometidos a un mayor control publicitario es el de las bebidas alcohólicas, en especial cuando superan los 20º de graduación. De entrada, la emisión de anuncios de este tipo de productos por medio de la televisión está completamente vetada; y lo mismo sucede en aquellos lugares donde esté prohibida su venta o consumo (vía pública incluida, en multitud de autonomías y municipios). Con este panorama, no es raro que las empresas del sector hayan optado por volcar gran parte de sus esfuerzos promocionales en Internet, donde ya concentran en torno a un tercio de su inversión… y subiendo.

Para supervisar el cumplimiento de estas limitaciones en el ámbito televisivo, la autoridad competente es el “súper regulador”: la Comisión Nacional de los Mercados y la Competencia (CNMC); y la pasada semana, este organismo público aprovechó su blog para preguntarse: ¿Se puede hacer publicidad en apps de bebidas alcohólicas de más de 20º? Tanto su respuesta como, sobre todo, la interpretación de su contenido por varios medios de comunicación, nos han tenido ocupados en los últimos días. ¿Quiere saber cuáles han sido nuestras conclusiones?

Según la Organización Mundial de la Salud, el consumo abusivo de alcohol ocupa el tercer lugar entre los principales factores de riesgo de muerte prematura y discapacidad a nivel mundial, y provoca efectos perjudiciales en el consumidor, en quienes lo rodean y en toda la sociedad. Al mismo tiempo, su consumo responsable está plenamente normalizado, y la industria que lo produce, embotella y distribuye genera empleo, riqueza e importantes ingresos fiscales para los Estados. El legislador, consciente de ello, ha tratado de encontrar un equilibrio entre ambas realidades, endureciendo la normativa a partir de ciertos márgenes y en determinados entornos particularmente vulnerables.

La prohibición de la publicidad televisiva es un buen ejemplo de esta estrategia, avalado además por los tribunales. Figura en nuestra Ley General de Publicidad y, sobre todo, en la Ley General de Comunicación Audiovisual, dirigida principalmente a regular la actividad de las plataformas mediáticas de radio y televisión. Se trata de una norma relativamente reciente (2010), redactada a sabiendas del potencial de Internet y que incluye realidades como el “vídeo bajo demanda” o el disfrute de este tipo de contenidos a través de dispositivos móviles.

La CNMC, como organismo competente para aplicar esta norma, recibió una consulta en la que se le preguntaba, precisamente, por estos últimos dispositivos. Y su respuesta fue tan clara como lógica, y poco sorprendente, me atrevería a añadir:

“…si la prohibición de emitir comunicaciones comerciales de bebidas alcohólicas de más de veinte grados se predica de la televisión tradicional no se alcanza una razón que justifique la exclusión de esta prohibición en la televisión en movilidad, más aún en el contexto actual en el que los dispositivos móviles son cada vez más usados por la población para ver contenidos televisivos, y especialmente por los más jóvenes…”

Ahora bien, ¿quiere decir esto que la publicidad de estas bebidas espirituosas está prohibida en todo tipo de aplicaciones móviles?  Mi interpretación, en contraste con los titulares de gran parte de la prensa convencional, es que la respuesta a esta pregunta debe de ser negativa.

Si acudimos a la LGCA, veremos que la norma se aplica a los “prestadores de servicios de comunicación audiovisual” establecidos en España, que son las empresas que controlan la selección de contenidos que se ponen a disposición de los usuarios a través de un canal o de un catálogo de programas. Para que nos entendamos, está dirigida a las emisoras de radio, a las cadenas de televisión y a las plataformas que, como Netflix o HBO, permiten acceder “a la carta” a una oferta cerrada de contenidos (series, películas, eventos culturales o deportivos…). Y como dice la CNMC, sería absurdo limitar la publicidad de bebidas alcohólicas de estas plataformas cuando disfrutamos de su programación a través de la tele del salón, y no hacerlo cuando accedemos a esos mismos contenidos desde nuestra tableta o teléfono móvil.

Dicho lo anterior, la Ley no se aplica a aquellas personas que no presten servicios de comunicación audiovisual. Y para dejárnoslo más claro, incluso nos facilita un listado de ejemplos de empresas y particulares que no tienen que cumplir con sus limitaciones. Veamos algunos:

  • Todos aquellos que no sean un “medio de comunicación de masas”;
  • Todos aquellos sin “carácter económico”;
  • Los sitios web privados; o
  • Las plataformas que publican contenido audiovisual generado por sus propios usuarios.

Conociendo estas exclusiones, mi asombro fue mayúsculo ante titulares que afirmaban categóricamente que “no se puede hacer publicidad de bebidas alcohólicas de más de 20 grados en aplicaciones móviles”. Así ocurre, sin lugar a dudas, con las apps de las cadenas tradicionales, o de las plataformas digitales de contenidos a la carta; pero creo firmemente que la inmensa mayoría de las aplicaciones para móviles no se ven afectadas por esta prohibición.

Dicho esto, que la LGCA no se aplique a todas las apps no implica que exista un vacío legal, o que estén desreguladas: hay multitud de normas nacionales y autonómicas que limitan la publicidad de las bebidas alcohólicas (este informe de la AUC las resume estupendamente), en especial en relación con menores; y también existe un código de autorregulación publicitaria aprobado por la FEBE (y aplicado por Autocontrol), de obligado cumplimiento para las grandes empresas del sector. Por tanto, sean prudentes al emplear estas plataformas para anunciar espirituosos… y, en caso de duda, asesórense.

La formación, clave para el DPD

Facebook, las fotos y los medios

Les invito a ponerse en el lugar del periodista. Trabaja en una pequeña capital de provincia. Es un caluroso viernes de julio, y llega a la redacción una noticia impactante, de esas que raras veces ocurren en un lugar tan tranquilo. Un trágico suceso: una persona dispara a su hermano e, inmediatamente, se suicida con idéntica escopeta. Abrirá el diario, sin lugar a dudas, ¡y hay que buscar información! Hablar con los vecinos (“quién lo iba a pensar: era muy buen chico, saludaba todas las mañanas”), tratar de obtener algún detalle de la investigación… ¡y visitar el Facebook de la víctima! ¿Qué mejor forma de obtener una fotografía con la que ilustrar la noticia?

Pero he aquí que el herido, ya recuperado, no se toma muy bien eso de que su rostro presida todos los kioskos a la mañana siguiente de recibir un tiro. Y decide demandar al periódico. Tras las preceptivas sentencias de instancia y apelación, el caso llegó al Tribunal Supremo, que dictó sentencia el pasado día 15… con un aviso a navegantes para periodistas: publicar la foto de la víctima de un delito, obtenida de su Facebook sin su consentimiento, constituye una intromisión ilegítima en su derecho a la propia imagen. Que en el caso que nos ocupa se saldó con una indemnización de 15.000€, y la condena al periódico a retirar la fotografía y a publicar un resumen de la sentencia en sus páginas. Ahí es nada.

La propia imagen, tanto en España como en los demás países de nuestro entorno, está considerada un derecho fundamental. A pesar de su estrecha vinculación a la intimidad, el honor o la protección de datos personales, el Tribunal Constitucional dejó muy clara su naturaleza autónoma en una sentencia de 2001, que en su fundamento cuarto aclara lo siguiente:

“[El derecho a la propia imagen es] un derecho constitucional autónomo que dispone de un ámbito específico de protección frente a reproducciones de la imagen que, afectando a la esfera personal de su titular, no lesionan su buen nombre ni dan a conocer su vida íntima, pretendiendo la salvaguarda de un ámbito propio y reservado, aunque no íntimo, frente a la acción y conocimiento de los demás. Por ello atribuye a su titular la facultad para evitar la difusión incondicionada de su aspecto físico, ya que constituye el primer elemento configurador de la esfera personal de todo individuo, en cuanto instrumento básico de identificación y proyección exterior y factor imprescindible para su propio reconocimiento como sujeto individual.”

La sentencia del Tribunal Supremo que analizamos hoy razona que colgar una foto en una red social no implica autorizar a terceros “a reproducirla en un medio de comunicación sin el consentimiento del titular”. Y ello, aunque se publique de tal forma que cualquiera tenga la posibilidad de acceder a ella: como explica el ponente, “la finalidad de una cuenta abierta en una red social en Internet es la comunicación de su titular con terceros y la posibilidad de que esos terceros puedan tener acceso al contenido de esa cuenta e interactuar con su titular, pero no que pueda publicarse la imagen del titular de la cuenta en un medio de comunicación”. Una interesante reflexión, que complementa afirmando que el hecho de que colguemos una foto en una red social, o un blog o cualquier otra web, no puede entenderse como una autorización para que cualquier tercero la reproduzca o divulgue, “pues no constituye el «consentimiento expreso» que prevé el art. 2.2 de la Ley Orgánica 1/1982 como excluyente de la ilicitud de la captación, reproducción o publicación de la imagen de una persona”. Dicho de otra manera, el consentimiento otorgado para un uso público concreto de una fotografía no puede entenderse como una autorización implícita para cualesquiera otros usos de tal fotografía.

El razonamiento anterior se antoja impecable, desde el punto de vista del derecho a la propia imagen. Pero debe ser ponderado, en el caso que nos ocupa, con otro derecho fundamental: la libertad de información del medio, que le autoriza a publicar noticias veraces, de relevancia o interés público. Ambos requisitos se dan en el caso que nos ocupa, dada la gravedad de los hechos; pero no son suficientes, a juicio del Tribunal, para justificar la publicación de una imagen de la víctima del suceso, máxime cuando se obtiene de una red social y sin su consentimiento. De ahí la condena.

Ponderar derechos fundamentales es siempre complicado: trazar los difusos límites entre unos y otros preceptos constitucionales exige un análisis meticuloso de las circunstancias aplicables a cada caso concreto. De ahí que no siempre sea posible (ni recomendable) extraer reglas generales de sentencias como las que nos ocupan, pues tratan de arrojar luz sobre una situación única y específica que difícilmente se repetirá. ¿Que nos permiten inferir criterios útiles para el futuro? Sin duda. Pero alcanzar conclusiones maximalistas de esta resolución, como hemos visto en algunos titulares, se me antoja exagerado, máxime cuando el medio afectado todavía puede acudir al Tribunal Constitucional.

Entretanto, el consejo para los medios de comunicación debe ser el mismo que siempre aplicamos: prudencia. Las redes sociales son fuentes casi inagotables de información, sobre todo de tipo gráfico. Pero, si nos parece lógico identificar a las víctimas de un delito solo con sus iniciales, para evitarles perjuicios innecesarios, ¿es razonable acompañar una noticia de sucesos con la fotografía de su perfil de Facebook?

Va de enlaces

Todos los internautas sabemos que no es tan fácil como hace unos pocos años ver nuestra serie favorita en streaming. Las páginas que permitían encontrar obras alojadas en servicios de reproducción online, las llamadas páginas de enlaces, están en el punto de mira del regulador (atendiendo a la última reforma de la Ley de Propiedad Intelectual y del Código Penal) y de los jueces.

En los últimos años, son varios los asuntos en los que el Tribunal de Justicia de la Unión Europea (TJUE) ha tenido que lidiar con la legalidad de los enlaces de Internet. Mediante las correspondientes resoluciones, el TJUE ha ido perfilando cuándo enlazar constituye una infracción de derechos de propiedad intelectual y cuándo no. En particular, la cuestión que se trata de dilucidar en todos los asuntos es, fundamentalmente, si enlazar constituye o no un acto de comunicación pública. El derecho a comunicar públicamente una obra corresponde, casi siempre, a sus autores, por el mero hecho de haberla creado. Algunos ejemplos de comunicación pública son, entre otros, interpretar una canción en directo o publicar una fotografía en Internet.

Primero fue la sentencia Svensson (asunto C-466/12, de 13 de febrero de 2014), cuya principal conclusión es que enlazar desde un sitio web a un contenido publicado en otro sitio con el consentimiento del titular de los derechos sobre dicho contenido no es comunicación pública siempre que ello no implique que la obra sea accesible para un conjunto de personas distinto de aquél que el autor o el titular de derechos pretendió en origen. En concreto, se consideró que enlazar desde una web a unos artículos publicados en otro sitio web, con consentimiento de sus respectivos autores, no era comunicación pública. Y se entendió que, al haber consentido los autores la primera publicación, los artículos quedaban a disposición de todos los usuarios de Internet, y el hecho de enlazarlos desde otro sitio web no ampliaba el público al que iban dirigidos (que abarcaba al conjunto de los internautas).

En el auto Bestwater (asunto C-348/13, de 21 de octubre de 2014), el TJUE recurría a los argumentos expuestos en la sentencia Svensson para concluir que enlazar a un vídeo de Youtube publicado por sus autores o titulares no suponía un acto de comunicación al público, pues el público al que dicho vídeo iba dirigido en origen no se veía ampliado por el hecho de enlazarlo desde otro sitio web. Nuevamente, el contenido enlazado había sido publicado con consentimiento su titular, pero… ¿qué habría ocurrido si dicho consentimiento no existiese?

El TJUE tuvo por fin la ocasión de pronunciarse al respecto el pasado 8 de septiembre, en la sentencia GS Media (asunto C-160/15). Sin perjuicio de los criterios expuestos en los asuntos Svensson y Bestwater, se concluyó que hay comunicación pública si el sujeto tiene conocimiento de que los contenidos en la web enlazada infringen derechos de autor, presumiéndose dicho conocimiento si hay ánimo de lucro (si bien cabría prueba en contrario).

En un ejemplo, no habrá comunicación pública si una persona publica en su blog personal un enlace a un vídeo disponible en otro sitio web sin el consentimiento de sus autores, siempre que desconozca su ilicitud y que lo haya hecho sin ánimo de lucro. Sí habrá comunicación pública y, por tanto, infracción de derechos de propiedad intelectual, en el caso de casi todas las famosas webs de enlaces en las que muchos estamos pensando.

Esta última sentencia ha sido duramente criticada, no tanto por su sentido como por los fundamentos utilizados: Por un lado, resulta sorprendente que para determinar la existencia o no de comunicación pública no sólo se tomen en consideración circunstancias del propio acto, sino también circunstancias personales del sujeto que lo realiza (la existencia de ánimo de lucro y su conocimiento de la infracción). Es cierto que el conocimiento es un elemento importante en la responsabilidad de los intermediarios en Internet, pero nunca lo ha sido para determinar la existencia o no de la infracción de derechos de autor que puede originar tal responsabilidad.

Otro ejemplo: el titular de un foro en el que un usuario postea fotografías sin el consentimiento de su autor será responsable si tiene conocimiento efectivo de que una fotografía se ha comunicado al público a través de su foro, y no hace nada por impedirlo. No obstante, para dilucidar si dicha fotografía se ha comunicado públicamente o no, no es necesario recurrir al elemento del conocimiento.

Por otra parte, cabría discutir si la actividad de enlazar a una obra ilícitamente publicada supone hacerla accesible a un público nuevo (requisito exigido por la doctrina Svensson para considerar que existe comunicación pública), en la medida en que aquélla ya estuviese disponible en Internet, al margen del enlace. ¿Qué opinan ustedes?

Críticas aparte, tendremos que aguardar a las próximas resoluciones del TJUE sobre esta cuestión de cara a confirmar la doctrina del tribunal, así como para conocer posibles matices. Como ven, ¡toca esperar!

Página 1 de 24123...1020...Última »