El Margen de la Ley :: El Blog de Audens
Audens >
Blog

Aviso: le estamos grabando

Imaginen que van al cine a ver la ópera prima de uno de sus artistas preferidos: un creador que pega el salto de la pequeña a la gran pantalla, y que lleva promocionando semanas su obra en todos los medios. Imaginen que se presenta en un festival con más de cincuenta años de historia, referente en el cine fantástico y de terror. Imaginen que acuden al estreno, con las expectativas por las nubes… y se encuentran con que el film es una “troleada”: una misma escena repetida ad nauseam durante más de una hora, con pequeñas variaciones y protagonizada por diferentes actores, que se intercambian los papeles. E imaginen, finalmente, que les cuentan que no se trata de una broma, sino de la grabación de una obra diferente, de la que ustedes van a formar parte porque han cedido todos sus derechos, por el hecho de haber entrado en una sala en cuyos accesos se podía leer un cartel como este:

Cartel que se mostraba en los accesos a la sala donde se exhibió la película.

Algo parecido ocurrió estos días en Sitges, desatando la perplejidad de todos y la indignación de algunos. Si les interesa la historia, Romina Vallés da buena cuenta de ella en La Vanguardia; pero hoy no vengo a hablarles ni de la película (“Bocadillo”), ni de su director (el polémico y talentoso youtuber Ismael Prego, también conocido como Wismichu). Mi objetivo es tratar de dar respuesta a otra pregunta: ¿son legales las cesiones de derechos basadas en este tipo de carteles? Si nos atenemos a las airadas reacciones de algunos tuiteros, la respuesta debería ser rotundamente negativa, pero ya les adelanto que, en nuestro mundo, las cosas rara vez son blancas o negras.

El letrero anterior pretende establecer un contrato entre la productora y los asistentes a la proyección. A muchos les parecerá extraño, porque cuando pensamos en contratos, nos vienen a la cabeza folios y folios de texto que tenemos que leer con cuidado y firmar por duplicado; pero lo cierto es que la mayoría de los contratos que se concluyen en nuestro país no constan por escrito. Comprar el pan es un contrato de compraventa, instalar una app conlleva aceptar una licencia de uso… y podría seguir con la lista de ejemplos. En España rige el principio de “libertad de forma”, que permite que los contratos se celebren por cualquier medio: verbal, audiovisual, escrito… así que, en principio, un cartel en una puerta podría ser suficiente.

Asentado lo anterior, para que un contrato sea válido son precisas tres cosas: consentimiento, objeto y causa. En el caso que nos ocupa, dos de los requisitios parecen cumplirse: el acuerdo consiste en ceder los derechos de imagen (objeto) para grabar un documental (causa). Sin embargo, la tercera pata -el consentimiento- puede cojear un poco más.

De entrada, la captación de la imagen de una persona para su posterior publicación requiere de su autorización expresa. Esto no significa que tengamos que firmar un contrato cada vez que nos hagamos un selfie con un amigo y lo colguemos en Facebook o Instagram: hay ocasiones en las que esa autorización se desprende claramente de nuestras acciones, aunque nadie nos pregunte… pero en esos casos, contar con una información previa, clara y sencilla es fundamental para que el consentimiento así proporcionado sea válido.

El “aviso” colgado en la puerta del cine tiene por objeto, precisamente, facilitar esa información. A pesar de su excesivo tecnicismo, de sus carencias en materia de protección de datos y de sus errores de sintaxis, opino que en circunstancias normales podría cumplir con su objetivo. Pienso, por ejemplo, en el contexto de un concierto, en el que se pretendan grabar imágenes del público para incluirlas en un posterior videoclip: los asistentes saben qué se van a encontrar, y tienen una expectativa razonable del tipo de imágenes que se van a captar y emitir; y, de hecho, en el despacho hemos utilizado esta fórmula en múltiples contextos: eventos publicitarios, congresos, exposiciones… Sin embargo, esa “expectativa razonable” no está tan clara en el caso de esta película, porque era francamente difícil adivinar qué iba a ocurrir en esa sala de proyecciones.

Evidentemente, no me atrevo a afirmar que la grabación sea ilegal, ni mucho menos: ignoro si la organización facilitó información adicional al inicio de la exhibición o al adquirir la entrada, desconozco su protocolo de actuación si alguien se negaba a ceder sus derechos (¿se devolvería el dinero de la entrada?) y, por descontado, no sé qué planos prevén utilizar en el futuro documental. Pero el riesgo está ahí, y debe valorarse con cautela; especialmente, con los niños e incapaces, en los que se hace necesaria la autorización paterna… e, incluso, de la fiscalía de menores.

Afortunadamente para ellos, los creadores de esta ¿performance? cuentan con una baza importante a su favor: al grabar su obra, también ellos están ejercitando un derecho fundamental (la libertad de expresión y creación artística); y en estos casos entra en juego la regla de la ponderación, de la que hemos hablado en otras ocasiones y que puede librarles de más de un disgusto. ¡Veremos qué ocurre!

RGPD: transparencia por capas

El mundo [de la Protección de Datos] ha cambiado. Lo siento en el agua, lo siento en la tierra, lo huelo en el aire. El RGPD se acerca, el 25 de mayo está a la vuelta de la esquina y las autoridades de protección de datos están ultimando su llegada con pinceladas interpretativas que nos ayudan a conocer un poquito más lo que viene. Sin ir más lejos, el pasado día 13 de abril el Grupo de Trabajo del artículo 29 (GT29) actualizaba su Guía sobre transparencia.

¿En qué consiste este principio de transparencia, introducido por el RGPD? Pues en pocas palabras, es una nueva forma de referirnos al antiguo deber de información en la recogida de datos personales, evolucionado y adaptado a la realidad de Internet: el legislador es consciente de que nadie lee las políticas de privacidad, entre otros motivos porque son larguísimas e incomprensibles. Y exige un cambio de costumbres.

El artículo 12 del RGPD prevé que el responsable del tratamiento debe tomar las medidas oportunas para informar al interesado sobre cómo va a utilizar sus datos personales y del modo en que puede ejercitar sus derechos, de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Está previsión, a priori, parece completamente incompatible con la información mínima a proporcionar a un usuario, relacionada en los artículos 13 y 14 del RGPD. En resumen, se le debe informar acerca de la identidad del responsable, de los fines del tratamiento, de los destinatarios de los datos, de si existen transferencias internacionales, del plazo de conservación, de cómo ejercitar los derechos, del derecho a presentar una reclamación ante una autoridad de control y la base jurídica de las comunicaciones de datos… a lo que hay que añadir la preceptiva información en caso de existencia de decisiones automatizadas, y algunos aspectos más que no menciono aquí por falta de espacio. ¡Casi nada!

Como decíamos, así planteado, el principio de transparencia parece incompatible con el chorro de información que hay que proporcionar al interesado, de modo que tanto el GT29 como las autoridades nacionales de protección de datos, incluyendo nuestra Agencia Española de Protección de Datos (AEPD) o el Information Comissioner Office del Reino Unido (ICO), proponen un sistema de información por capas.

Este método de informar a los usuarios no es novedoso: ya se utiliza en relación con las cookies, y de hecho nos hemos acostumbrado a ver la información de la primera capa en la mayoría de páginas web. Pero sí es novedosa la lógica subyacente en este nuevo principio de transparencia: acompañado de la necesidad de recabar el consentimiento expreso y específico para todos los tratamientos de datos que realicemos, pretende acabar con una de las mentiras más extendidas del mundo digital. El “he leído y acepto la política de privacidad”.

La próxima aplicación del RGPD provocará que esta fórmula de aceptar el tratamiento de nuestros datos resulte insuficiente, especialmente cuando nuestra política de privacidad contemple varias finalidades. A esto hay que añadir las recomendaciones de la AEPD y del GT29, conforme a las cuales esta mentira piadosa debería ser sustituida por un texto más completo. ¿En que consistiría? Pues bien, la primera capa debe contener información básica sobre el tratamiento de datos personales del usuario, para permitirle evaluar las consecuencias de pulsar el botón “enviar”. En la Guía para el cumplimiento del deber de Informar de la AEPD, se propone que la primera capa consista en una tabla en la que se especifique: información del responsable, finalidad, base de legitimación, destinatarios, forma de ejecitar los derechos y fuente de los datos.

Sin embargo, tanto el proyecto de LOPD (actualmente en trámite parlamentario) como el GT29 prevén una alternativa más breve, indicando que la primera capa debería contener, al menos, información sobre la identidad del responsable del tratamiento y de su representante, la finalidad de cada tratamiento y el modo de ejercitar los derechos reconocidos por el RGPD a los ciudadanos. Algo que, afortunadamente, se puede resumir en unas pocas palabras.

Sin duda alguna, la aprobación de la futura LOPD debe ser la puntilla definitiva a la aceptación a ciegas de las políticas de privacidad. La pregunta ahora es, ¿logrará este objetivo? ¿Podremos olerlo en el aire de Internet?

Para ser legal, no basta con citar

Hace ya siete años opinaba, en mi antiguo blog personal, que un simple tuit podía bastar para violar los derechos de autor de alguien. Por entonces, la plataforma admitía únicamente texto y mantenía el límite de los 140 caracteres. Hoy podemos adjuntar contenido audiovisual, nuestros mensajes son el doble de largos e, incluso, podemos hilar mensajes en largas cadenas. Y es, precisamente, uno de estos hilos el que nos ha dado pie a publicar este artículo. Comenzó con la publicación de una fotografía por un usuario, y la inmediata reivindicación de su autoría por otro; y derivó en una animada discusión sobre el derecho de cita. En cierto momento, una usuaria pidió nuestra opinión… y como no cabía en 280 caracteres, ¡aquí la tienen!

Partamos de una base: cualquier fotografía está protegida, en mayor o menor medida, por derechos de autor. Sea más o menos original, artística o agraciada, basta con que una persona enfoque y dispare para que la imagen goce, al menos, de 25 años de protección. Es un proceso automático e instantáneo: no es preciso registrarla, ni publicarla acompañada de una © o de una marca de agua. Pulsamos un botón… et voilá, ya somos los legítimos titulares de una foto. Aparentemente, facílisimo; aunque comprender sus consecuencias sea algo más complicado.

En los tiempos de la Revolución Francesa, Isaac Le Chapelier se refería a los derechos de autor como “la más sagrada, la más legítima, la más personal de las propiedades”, pues provenía del talento de un creador. Mucho ha evolucionado la normativa desde entonces, pero todavía conserva el aura filosófica de la Ilustración, que toma forma en los llamados “derechos morales”: un conjunto de facultades irrenunciables e instransmisibles que, en palabras de nuestro legislador, “constituyen la más clara manifestación de la soberanía del autor”. Entre estas facultades se encuentra la de reclamar la autoría: la llamada “paternidad de la obra”, que subsiste indefinidamente aun cuando el creador haya fallecido.

Es curioso que, en una época en la que el respeto a los derechos de propiedad intelectual brilla por su ausencia, se mantenga la costumbre de mencionar al autor de una canción, un libro o un cuadro. Pero, si se fijan, con las fotografías no siempre ocurre lo mismo. ¿Por qué? Quizás porque no valoramos tanto el esfuerzo de los fotógrafos como el de otros artistas, o porque se encuentran al alcance de un simple clic en Google; o quizás porque algunas de ellas, las más sencillas y espontáneas (conocidas como “meras fotografías“), no gozan de este derecho, que sí ampara a las más creativas y originales. Personalmente, tengo la costumbre de referenciar siempre las fotos ajenas que utilizo (cuestión de prudencia y cortesía); pero, para su información, hacerlo no es siempre obligatorio, desde una perspectiva legal.

Dicho lo anterior, es obvio que la propiedad intelectual no se basa solo en aspectos “morales”. También genera derechos patrimoniales en favor del autor, con la intención de que su esfuerzo creativo le pueda reportar algún beneficio económico en el futuro. Entre ellos se encuentra la capacidad de permitir la reproducción de la obra, o de ponerla a disposición de los usuarios de Internet; y también la posibilidad de ceder o licenciar sus creaciones (gratis o cobrando), o la de reaccionar frente a su uso no consentido. Así, cuando compramos una entrada de cine o nos suscribimos a Spotify, estamos adquiriendo algunos de estos derechos. Y como los fotógrafos también se benefician de esta realidad, pueden decidir cómo se explotan sus imágenes, y a qué precio. De ahí que el simple reconocimiento de su autoría no baste para utilizar una imagen en Twitter, o en cualquier otro soporte: necesitamos autorización.

Tras contarles todo esto, permítanme regresar sobre el derecho de cita: deben saber que en España está muy limitado. Mientras territorios como los Estados Unidos reconocen el llamado “fair use”, que permite usar obras protegidas cuando no exista de ánimo de lucro, no se causen efectos negativos al titular de los derechos y el uso no sea sustancial (por ejemplo, una foto en baja resolución); en nuestro país, la normativa es mucho más restrictiva. La cita se limita a usos docentes y de investigación, y resulta, por tanto, de poca utilidad en redes sociales.

Si les interesa el tema, les dejo enlace a un vídeo donde explico algunas formas de utilizar legalmente contenidos protegidos por terceros, entre otros temas. Y si tienen alguna duda más, anímense a preguntar: con un poco de suerte, nos dan la excusa para escribir un nuevo post.

RGPD… en teoría

Por si viven en un mundo paralelo y no se habían enterado todavía, el 25 de mayo de 2018 será de aplicación el Reglamento General de Protección de Datos (RGPD), una norma que cambia por completo el cumplimiento normativo en privacidad y seguridad en el seno de los responsables y encargados de tratar datos. El llamado principio de responsabilidad activa (accountability), exigido a quienes tratan datos personales, hace que la protección de los derechos de las personas pase a estar en el centro de la toma de decisiones, y les obliga a velar de forma diligente por su respeto en todos los planos de actuación. Esa diligencia será la que, en teoría, pueda salvarles de situaciones incómodas.

También este mayo, la Directiva 95/46/CE quedará derogada, y dejarán de ser aplicables gran parte de nuestra actual LOPD y su reglamento de desarrollo, con los que nos sentíamos tan cómodos al contar con listados de medidas de seguridad categorizados por niveles (ya saben: básico, medio y alto) que nos hacían la vida más fácil. Ahora, en su lugar, tendremos una nueva Ley Orgánica de Protección de Datos (actualmente en tramitación parlamentaria) que vendrá a matizar algunos puntos de la norma europea; pero olvídense de registrar ficheros en la AEPD y de tener documentos de seguridad estáticos cogiendo polvo en una estantería. Este año, eso también se acaba… al menos en teoría, porque de esto último no estoy tan seguro.

La nueva normativa es sustancialmente más compleja que la anterior, quizás no tanto por su contenido (muchas de sus novedades ya las conocíamos por el Grupo del Artículo 29, futuro Comité Europeo de Protección de Datos) como por la forma en que debe aplicarse. Como ya veníamos advirtiendo, sus implicaciones legales y operativas son abundantes: por ejemplo, en la recogida de datos, en cuanto a información y legitimidad para su posterior tratamiento. Cambian también aspectos relativos a la atención de derechos de las personas (que se ven ampliados); se añaden nuevos requisitos a las relaciones entre responsables, encargados y subencargados; se crea la obligación implícita de contar con procedimientos sobre análisis de riesgos, evaluaciones de impacto, privacidad desde el diseño y por defecto o gestión de brechas de seguridad… y ya, si se debe nombrar un Delegado de Protección de Datos, ¡no digo nada! Y todo ello sin olvidar su impresionante régimen sancionador, con multas de hasta 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior (algo que suena más a responsabilidad pasiva o liability). Eso sí, las autoridades de control contarán con un amplio margen para ponderar las sanciones.

Quedan solo unas semanas para la aplicación del RGPD, y se presentan frenéticas. Sobre todo, en aquellas empresas que basan en el consentimiento tácito o implícito la recogida de datos: otro de los aspectos que desaparecen con la nueva norma. A partir de ahora, la legitimidad para usar datos basados en el consentimiento del usuario debe responder, como mínimo, a una clara acción afirmativa por parte del usuario; y además, los formularios con casillas premarcadas (por si todavía había alguna duda) y las políticas de privacidad escondidas e ininteligibles, en teoría, también habrán de pasar a mejor vida.

Si bien es cierto que nos han dado dos años de margen para ir adaptándonos, aunque no los hayamos aprovechado, el 25 de mayo tampoco se acaba el mundo… cuando menos, en teoría: por un lado, todavía queda tiempo para abordar las cuestiones más urgentes e importantes, y por otro, un proceso de cambio tan profundo como este no puede afrontarse de la noche a la mañana. Hay aspectos que requieren algo más de tiempo, especialmente cuando las modificaciones afectan a la organización interna; pero siempre que se vaya actuando con diligencia mientras se realiza la transformación, no debería haber problemas… en teoría. ¿Y si se hace después de mayo? Pues como buen gallego responderé que “depende” (del tratamiento de datos que haga, del grado de cumplimiento previo… del riesgo, al fin y al cabo).

Pero, en teoría, hasta el comunismo funciona; y a pesar de que este año, sobre el papel, todo cambia, muchas cosas no lo harán (al menos en el corto plazo). En la práctica, este  proceso de adaptación al cambio regulatorio se tendrá que hacer: con mayor o menor alcance, pero se hará. Unos, por convicción, al haber comprendido que, más que una carga, es una oportunidad de generar valor añadido; y otros, lamentablemente, llevados por el miedo a ser sancionados. En cualquier caso, este año ya está cambiando todo… en teoría.

Mucho RGPD y muchos datos

Si nos visitan con asiduidad, habrán notado que nuestro ritmo de publicación ha decrecido sustancialmente de un tiempo a esta parte. El motivo tiene cuatro letras: RGPD (o GDPR, como ustedes prefieran), el nuevo Reglamento de protección de datos de la Unión Europea que comenzará a aplicarse en unas semanas. Llevamos meses asesorando a empresas sobre cómo amoldar esta normativa a su negocio, y podemos confirmarles que el proceso es trabajoso (de ahí la desatención que sufre este blog) y no está exento de complejidades.

Como ya les contamos en otras ocasiones, para cumplir con este Reglamento es necesario adoptar un enfoque muy diferente al que nos tenía acostumbrados la LOPD, la Ley que todavía regula esta materia en nuestro país. Expresiones como “registrar los ficheros”, “pasar la auditoría obligatoria” o “cumplir las medidas de seguridad de nivel básico” acabarán desapareciendo de nuestro vocabulario, y serán sustuidas por figuras como el “análisis de riesgos”, la “protección de datos desde el diseño” o la “responsabilidad activa” en los tratamientos. Y no son cambios meramente terminológicos: el marco anterior, tan formalista y burocrático, ha evolucionado hacia un modelo dinámico, basado en procesos y que requiere de una permanente actualización.

La consecuencia más evidente de esta evolución se aprecia a la hora de implementar la normativa. Un consejo: si alguien les ofrece una adecuación rápida, sencilla y sin esfuerzo al RGPD, desconfíen (y mucho), porque cumplir con sus requerimientos es laborioso, exige implicación y puede conllevar cambios relevantes en el negocio, tanto operativos como estratégicos. Entre las muchas novedades que introduce, permítanme destacar tres, por su relevancia:

  • La responsabilidad de los prestadores de servicios (los llamados “encargados del tratamiento”) es mucho más acusada. Con la LOPD, para evitar una sanción les bastaba con ceñirse a las instrucciones recibidas e implantar ciertas medidas de seguridad. Ahora, además han de poder demostrar en todo momento que su labor es conforme a la nueva normativa: en caso contrario, se exponen a una sanción tanto ellos como quienes les elijan como proveedores.
  • El concepto de dato personal se ha expandido: hasta ahora, abarcaba cualquier información referida a una persona concreta, que pudiésemos identificar sin esfuerzos desproporcionados. A partir de mayo, los IDs únicos que se utilizan en marketing digital para inferir los gustos y preferencias de los usuarios pasan a ser considerados datos personales, aunque no desvelen la identidad concreta del sujeto en cuestión; lo que afecta de lleno a las herramientas de marketing digital y publicidad online, y a quienes las utilizan (apps, sitios web…).
  • Se difuminan los niveles de seguridad que fijaba nuestra normativa, basados en la tipología de datos y en la identidad del responsable de su tratamiento. Las medidas a adoptar pasan a ser discrecionales, en función del riesgo que el tratamiento pueda causar a los derechos y libertades de las personas; y su intensidad dependerá de criterios adicionales, como el volumen de información manejado, el período de conservación previsto o el número de personas con acceso a los datos, por poner tres ejemplos.

Si destacamos estas tres novedades es porque sus consecuencias estratégicas son más que notables: obligan a tomar decisiones que pueden abarcar desde el cambio de proveedores hasta la modificación de los procesos de recogida y utilización de datos, y que tienen implicaciones económicas y tecnológicas, además de jurídicas. No se trata, como ven, de rellenar unos documentos y dejarlos en una estantería, acumulando polvo.

Si se animan a implementar la norma por sí mismos en su organización, les mandamos mucho ánimo y les recomendamos visitar la web de la Agencia Española de Protección de Datos, donde pueden encontrar guías y recursos gratuitos para abordar algunos de los aspectos críticos del RGPD. Y si optan por buscar asesoramiento externo, sea el nuestro o el de otra empresa especializada, asegúrense de que la oferta que les presentan aporte soluciones realistas, que introduzcan la norma en los procedimientos habituales de la empresa de forma efectiva. En caso contrario, la labor realizada acabará, con suerte, en una carpeta perdida en un ordenador, sin proteger ni los datos ni a su empresa. Y para eso, mejor no gastar su dinero, ¿no creen?

TEMAS

Página 1 de 25123...1020...Última »