El Margen de la Ley :: El Blog de Audens
Audens
  1. Audens
  2. Blog

Cómo abordar el RGPD

Creo que mi fama de cocinillas está empezando a precederme. Quiero pensar que es por eso, por lo que mucha gente durante este último mes me pregunta por la receta de cómo abordar el Reglamento General de Protección de Datos (RGPD). Podían simplemente decir «y tú como lo ves», «cuál es tu opinión», «qué nos recomiendas»… pero no, preguntan por «recetas». ¡Está claro que es una indirecta para venir a desayunar al despacho!

Bromas aparte, apresurarse y afrontar ya una adaptación total a la nueva norma puede parecer, desde luego, muy loable, pero a mi modo de ver resulta inútil e ineficaz, al menos en estos momentos. A pesar de que el RGPD entró en vigor el pasado 25 de mayo, no será de aplicación hasta el 25 de mayo de 2018, lo que da un cierto margen para poder realizar todos los procesos de adaptación. Primero, porque se necesitará tiempo para migrar los tratamientos de una norma a la otra. Segundo, porque ese tiempo también es necesario para que el regulador y el legislador aclaren, interpreten y definan numerosas cuestiones bastante importantes: la legitimidad para el tratamiento de datos a partir de 2018, los criterios de ponderación para el interés legítimo, las notificaciones de brechas de seguridad, la concreción del estatuto del Delegado de Protección de Datos (DPO)… Todo ello, hace que ahora mismo sea tremendamente complicado abordar este cambio con seguridad jurídica.

Además, conviene recordar que el RGPD no derogará, hasta el día 25 de mayo de 2018, la actual Directiva 95/46/CE, transpuesta a nuestro ordenamiento por la Ley Orgánica de Protección de Datos y su reglamento de desarrollo (RD 1720/2007). ¡Pero ojo! No hará lo propio con las normas nacionales, por lo que, al menos durante un tiempo, tendremos que convivir con un Reglamento Europeo de aplicación directa en España y con la LOPD, en tanto en cuanto no se contradigan… Todo un reto, que esperamos ayude a abordar la Comisión General de Codificación, que está ya estudiando qué leyes y normativas se ven afectadas por el RGPD, y en su caso podrá proponer al legislador su derogación o modificación.

Como ya es bien sabido, el RGPD no establece obligaciones de registrar los ficheros en las autoridades de control, no define medidas de seguridad a aplicar en los tratamientos, no exige a recogerlas en un documento de seguridad ni las clasifica en función de niveles (básico, medio o alto), ni impone la realización auditorías bienales… Se centra en que se garanticen resultados de protección adecuada a la naturaleza del tratamiento, poniendo al interesado en el centro del sistema. Pero, como decía, al menos durante estos dos años conviviremos con la normativa nacional que sí obliga a todas esas cosas. Durante este periodo resultará clave conjugar el viejo modelo de protección de datos con el nuevo, primero para evitar desviaciones normativas y sus consecuencias de sobra conocidas por todos,y segundo para asegurar que los cambios en las políticas que se vayan introduciendo en este tiempo sirvan a partir de 2018, haciendo que las piezas del RGPD encajen. Aplicar criterios de prudencia y diligencia son sinónimos de madurez y fortaleza frente a los cambios.

Las empresas deberán adaptarse no sólo a una nueva norma, sino a algo más profundo: a un cambio en la forma de hacer las cosas, una modificación de procesos, de recursos y, todavía más importante, de mentalidad o de filosofía, porque el espíritu del legislador europeo en este Reglamento es ése: un cambio de concepto orientado a la cultura de la protección de datos a todos los niveles y a la responsabilidad proactiva (la famosa accountability). Un valor añadido, real y tangible, para las empresas que la asuman como piedra angular de sus negocios o procesos. Y es que el camino que queda hasta mayo de 2018 es corto y será sin lugar a dudas intenso. ¡Y no se puede dejar para el último momento!

Para esta planificación estratégica será clave contar con un adecuado profesional de la privacidad. Como siempre he dicho, los profesionales españoles estamos mejor preparados que otros compañeros europeos para asumir la nueva forma de asesoramiento que requerirá el RGPD. Sobre todo gracias, entre otras cosas, a que la norma europea bebe (en gran medida) de nuestra legislación nacional, al acervo de conocimiento adquirido gracias a la labor jurisprudencial de la Audiencia Nacional y del Tribunal Supremo en la materia, y por supuesto a la ingente actividad de la AEPD. También, no podemos obviar que llevamos años trabajando y asesorando sobre la privacy by design y by default, o de los Privacy Impact Assesments, por lo que estos nuevos conceptos forman parte de nuestro asesoramiento natural. Una correcta estrategia orientada al cambio resultará capital para lograr adecuadamente la adaptación.

Así las cosas, la calma, la prudencia y la planificación son parte de la receta de cómo abordar con entereza los retos e intensa labor a la que nos enfrentaremos durante los próximos años. Eso sí, comprendan que, como buen cocinero, ¡uno no puede desvelar de golpe todos los ingredientes!

Biografías no autorizadas

Uno, desde la perspectiva segura y confortable que tiene el que se considera, si no anónimo, si lo suficientemente poco relevante para no ser considerado “famoso” o “notorio”, puede caer en la tentación de creer que el manido dicho “que hablen de ti, aunque sea mal” tiene parte de razón. Y tal vez así sea, pero me resulta relativamente fácil entender el grado de frustración, enojo y hartazgo (lo que toda la vida hemos llamado cabreo mayúsculo, mala leche o similar) que debe producir encontrarte un día en Amazon, eBay o la Casa del Libro, una biografía entera sobre ti. Y ahí me da igual que seas elRubius, Belén Esteban, un Jonas Brother, Pedro Duque o Arturo Pérez Reverte (aunque no sé si con este último se atreverían…).

El asunto es el siguiente: una persona se hace “célebre”, en el más amplio sentido de la palabra, por el motivo que sea (de youtuber a astronauta) y en algún momento a otra se le ocurre que escribir un libro biográfico es una buena idea, en términos económicos. Por supuesto, se hace sin autorización o intervención alguna del desinformado protagonista, que no conocerá la existencia de la obra hasta, en la mayoría de los casos, su publicación… en ocasiones con airada reacción de por medio.

Sin dar más rodeos, ¿es legal hacer biografías no autorizadas (BNA)?

La respuesta es sí, siempre que se respeten unos límites. En este asunto entran en juego derechos tanto del escritor como del “biografiado”, que tienen que ver tanto con la libertad de expresión como con la autoría, la propiedad inteletcual, la propia imagen, el honor… y que permiten publicar la obra en cuestión, o actuar contra ella legalmente, en tanto en cuanto se respeten o no.

Tanto si estas pensando en escribir una BNA, como si has sido “víctima” de una de estas obras, es importante tener en cuenta algunos aspectos, que aprovechamos hoy para resumir:

  • Son NO autorizadas: Vale, ya sé que parece evidente, pero esta falta de autorización marca todo el resto de aspectos de la obra. Estar no autorizada implica que no ha habido cesión previa de ningún derecho, y como veremos esto influye, y mucho, en lo que podrá utilizarse en la BNA.
  • Libres de usar lo libre: Punto dos y sigo con las cosas obvias. Únicamente podrá utilizarse contenido de terceros, y esto incluye fotografías del protagonista, letras de canciones de las que sea autor, partituras, capturas de pantalla de vídeos, marcas… en tanto en cuanto su publicación sea permitida por sus autores o por los titulares de derechos de explotación, y siempre nombrando al autor original (este es un derecho moral irrenunciable). Con ciertas excepciones, utilizar material y contenidos sin autorización habilita a los autores de estos derechos para reclamar, también judicialmente, por el uso indebido.
  • Realidad, imaginación, inquina… El hecho de que sea una obra no autorizada no implica que sea ficción, y menos cuando trata de una persona real. Las falsedades, amenazas, injurias y calumnias suponen un límite infranqueable a la libertad de expresión, y permiten al afectado por ellas proteger sus derechos ante el causante (el autor) incluso desde la vía penal. Cuidado con inventar maldades sobre ese famoso que no nos cae bien…
  • Escribir con antifaz: seudónimos: Es perfectamente legal escribir bajo seudónimo, y se permite tanto en registros públicos (el de la propiedad intelectual, como ejemplo) como privados o sistemas equivalentes, pero esto no implica que ese nombre inventado sea una especie de escudo que proteja al autor ante cualquier reclamación o responsabilidad. La edición y publicación, así como la venta y comercialización de obras, exigirá que, en algún momento (contratos, facturas, administración de la S.L., obligaciones fiscales … ) se identifique la persona que está detrás del nombre del autor, lo que puede permitir actuar contra ella.
  • Cita, plagio e inspiración: El derecho a cita no es ilimitado, sino todo lo contrario: es difícil encajarlo fuera de ámbitos educativos o de investigación. Evidentemente, calcar textos de otros libros, transcribir audios o letras de canciones, requiere de un esfuerzo previo de análisis de riesgo legal. Los derechos de explotación de estos contenidos pueden (y suelen) estar también protegidos.

Las BNA se han convertido en un lucrativo negocio para un sector de la industria editorial que, en ocasiones, vende más cuanto mayor es la afrenta o disgusto del protagonista, en una suerte de efecto Barbra Streisand que multiplica las ventas y conocimiento de la obra cuando el famoso se queja de ella en redes sociales, TV…

En cualquier caso, y aunque el respeto a la libertad de expresión debe ser siempre una base fundamental, es importante recordar que no todo está permitido en las biografías no autorizadas, y que (ahora toca la metáfora, que ya era hora) si bien arrimarse a la hoguera de otros para conseguir algo de calor puede ser lícito, si pretendemos arrimarnos demasiado sin permiso podemos salir quemados.

La vis expansiva de la privacidad

Cara y cruz del software

Aunque en algunos países, como Estados Unidos, los programas de ordenador se protegen por medio de patentes, en España, y Europa en general, la normativa reconoce expresamente su protección por medio de los derechos de autor. Pero, ¿qué es exactamente lo que se protege? Para contestar a esta pregunta tendríamos que determinar primero qué es, desde la perspectiva de los derechos de autor, un programa de ordenador.

Por excéntrico que pueda sonar, los programas de ordenador son considerados obras literarias. Así lo establece expresamente la Directiva sobre programas de ordenador, y así viene a reconocerlo la Ley de Propiedad Intelectual que, sin indicarlo explícitamente, entiende por programa cualquier secuencia de instrucciones que permita realizar una determinada función en un sistema informático.

Aunque, como sabemos por algún post anterior, no es necesario el registro de una obra para protegerla por derechos de autor, si quisiésemos registrar un programa de ordenador en el Registro de la Propiedad Intelectual tendríamos que facilitar todo su código fuente. En otras palabras, se exige precisamente la obra literaria que supone la secuencia de instrucciones que permiten su funcionamiento.

¿Entonces, qué se protege? Según la citada Directiva, cualquier forma de expresión de los programas, así como la documentación y trabajos preparatorios que han servido para su creación. Lógicamente, se originó un cierto debate en torno a qué se refería la Directiva con forma de expresión y, en particular, sobre qué ocurre con los elementos gráficos que se integran en un programa, por ejemplo, la interfaz que permite al usuario interactuar con aquél.

Tal fue la primera pregunta que el Tribunal Supremo Administrativo checo planteó al Tribunal de Justicia de la Unión Europea, al hilo de un asunto que enfrentaba a la Business Software Alliance y al Ministerio de Cultura checo desde 2001, por haber denegado éste la autorización que aquélla solicitó para la gestión colectiva de los derechos de autor sobre programas de ordenador, alegando que las interfaces gráficas del software no eran protegibles. El 22 de diciembre de 2010, el Tribunal de Justicia concluía, a grandes rasgos y en relación con el tema que venimos tratando, que:

  • La interfaz no es una forma de expresión de un programa, sino el elemento a través del que sus usuarios lo utilizan en su dispositivo. Por tanto, efectivamente la interfaz no es objeto de protección de la normativa sobre programas de ordenador.
  • Ahora bien, ello no quiere decir que la interfaz no sea protegible. Cuando ésta sea el resultado de una actividad intelectual y sea original, podrá ser objeto de protección por derechos de propiedad intelectual conforme a la normativa que la regula de manera general.

En efecto, la interfaz por sí misma no permite hacer funcionar un programa de ordenador y no constituye una forma de expresión del mismo, por lo que no puede ser objeto de la protección que la normativa sobre programas de ordenador concede a éstos. No obstante, sí puede ser una obra protegible por derechos de autor en general, de manera independiente, si es el resultado de una actividad intelectual de su autor y goza de originalidad, como cualquier obra. Algo que no ocurrirá, por ejemplo, cuando sea sumamente simple o cuando se limite a incorporar elementos que resulten necesarios para dar respuesta a su función técnica.

En otras palabras, la interfaz y demás elementos gráficos de un programa de ordenador podrán quedar protegidas como obras gráficas, fotográficas o incluso obras multimedia, en virtud del artículo 10 de la Ley de Propiedad Intelectual; pero no como programas de ordenador o parte de éstos conforme a los artículos 95 y siguientes de la Ley de Propiedad Intelectual.

En este mismo sentido se volvió a pronunciar el Tribunal de Justicia de la Unión Europea el 2 de mayo de 2012 respecto de otros elementos que habitualmente acompañan a los programas de ordenador, tales como sus funcionalidades, sus lenguajes o el formato de sus archivos, por cuanto ello, sin perjuicio de poder ser protegible por otros medios, no constituye una forma de expresión del programa. ¡Ténganlo en cuenta a la hora de proteger sus creaciones de software!

Adecuar la web a la ley: indispensable

Si hace unas semanas decíamos que la protección legal empezaba por cuidar la marca, no cabe duda de que sigue por una debida adecuación legal de nuestra página web. Porque, sí, aparte de aparecer en redes sociales, todos y cada uno de los proyectos empresariales nuevos cuentan con un sitio web (o al menos, así suele ser). Y ello independientemente del tipo de negocio que se esté lanzando, ya tenga que ver con las nuevas tecnologías o simplemente haya previsto comercializar online sus productos y servicios.

En este contexto, la primera imagen que el público (y por el público me refiero a todos los potenciales clientes de la empresa) vana tener del proyecto va a ser, precisamente, la que ofrezca este sitio web, escaparate directo de nuestra empresa, nuestros valores, intenciones, productos, servicios, equipo… Todo lo que somos en un primer momento, y lo que pretendemos ser u ofrecer, se muestra como primera impresión desde la página web. ¿Cómo no va a ser indispensable que esta primera impresión se realice con el debido asesoramiento desde el plano legal?

Habitualmente dedicamos un gran esfuerzo (en términos económicos pero también temporales) a que la web sea atractiva, usable, innovadora, diseñada para promover la contratación, dinámica, llena de contenidos… El plan , habitualmente, no pasa únicamente por que nos contraten, sino por dar la imagen adecuada y conseguir una vía de contacto directa con los consumidores, a los que se les da la oportunidad de registrarse como usuarios, recibir newsletters (adoradas por el departamento de marketing, ¿verdad)?… y un sinfín de objetivos empresariales muy acordes con nuestro elaborado plan de empresa. Pero, ¿qué pasa si no prestamos atención a la parte jurídica?

En primer lugar estaremos incumpliendo numerosas obligaciones legales, cuyas consecuencias no se quedan simplemente en una posible multa (que también) sino que repercuten directamente en nuestro negocio. De este modo, si, por ejemplo, no ofrecemos la información adecuada respecto a los datos del titular de la web (habitualmente la empresa) y las condiciones de contratación (si las hay) correremos el riesgo de multiplicar innecesariamente los plazos en los que pueden devolvernos (sin causa ni justificación alguna) los productos adquiridos online. ¿Imaginan? Meses para poder recibir una devolución sin necesidad de alegar motivo alguno y otros muchos riesgos.

Lo mismo ocurre con el tema de la privacidad, la conocida Ley de Protección de Datos Personales: formularios, casillas de contacto, las citadas newsletters… requieren del cumplimiento de obligaciones en materia de privacidad para el responsable de tratamiento de estos datos personales (normalmente, el titular de la web) que van desde la simple información al ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición) de los usuarios, pasando por el necesario proceso de obtención del consentimiento. De la implementación, adecuada o no, de las diferentes obligaciones y medidas requeridas por la legislación dependerá nuevamente la posibilidad de incurrir en infracciones que acarren multas o expedientes por parte de la Agencia Española de Protección de Datos, pero también la posibilidad de usar o no (y en qué manera) los datos de los usuarios de la web o afiliados a la newsletter… y sus posibles usos. Si nuestra intención es utilizar estos datos con fines de publicidad o, más aun, cederlos o comunicarlos a terceros para que los utilicen, más vale que lo hagamos respetando escrupulosamente los fines exigidos por la Ley o puede que todo lo recopilado no podamos utilizarlo para nada.

Y hay más, que no podemos olvidarnos de la (relativamente) reciente normativa de cookies. También respecto a esta tecnología deberemos estar muy atentos, ya que estaremos obligados a avisar de las cookies que se instalan, su origen, finalidad, tipo… pues no podrán ser instaladas en el equipo del usuario que acceda a la web si no se la ha informado de ello previamente, y obtenido el correspondiente consentimiento.

Por supuesto, tanto para los avisos legales como en los aspectos de comercio electrónico, protección de datos o avisos de cookies, existen multitud de formas y métodos que nos permiten cumplir la regulación. Encontrar el que más se adecue a las necesidades de nuestra empresa (y web) en cada momento exige una estrecha colaboración entre los diseñadores de la propia web y el equipo jurídico, que deben trabajar en sintonía. Siempre es más recomendable programar y diseñar la web teniendo en cuenta desde el principio las exigencias legales, a que en posteriores revisiones se detecte que hay que hacer modificaciones que costarán tiempo y, probablemente, dinero, que podría haberse ahorrado con una adecuada planificación.

La página web (no nos cansaremos de repetirlo) es una de las más representativas imágenes de nuestra empresa y, como tal, debemos cuidarla hasta el más mínimo detalle, lo que hace muy poco aconsejable tirar de “contrl+c, control+v” para tratar de aprovechar textos legales de otras páginas que con casi total probabilidad no se ajustarán a nuestras necesidades, ni tendrían en cuenta aspectos de nuestro negocio que requeririán personalización.

Si, de paso, aprovechamos la adecuación legal para reducir posibles responsabilidades (uso inadecuado de elementos del sitio web por parte de terceros, links a contenidos inadecuados, daños por virus…), reforzar la protección de nuestros activos (marcas, obras, fotografías, textos) de posibles usos no autorizados y, en definitiva, establecer un contexto de seguridad jurídica que además nos permita transmitir al usuario la confianza que merece. Si vamos a poner nuestra empresa a navegar por Internet, mejor hacerlo sobre seguro ¡Sobrado motivo para ser uno de nuestros indispensables legales!