El Margen de la Ley :: El Blog de Audens
Audens
  1. Audens
  2. Blog

Transparente, ma non troppo

El pasado 2 de abril, en unas jornadas en México DF, tuve el privilegio de conocer al magistrado colombiano Ernesto Rey Cantor, uno de los próceres en materia de Derechos Humanos en Latinoamérica. Hablamos largo y tendido de privacidad, pero sobre todo de transparencia y acceso a la información. Con nuestra Ley en pañales y nuestra clase política felicitándose de los avances que suponía, compartir con un experto de su calibre la marcada insuficiencia del novísimo texto legal supuso a la par un alivio y un tormento. Alivio, por poder despacharme a gusto con sus muchas debilidades; tormento, por comprobar la ventaja que nos sacan, al menos sobre el papel, países como México o Colombia, que pocos pondrían como ejemplo en materia de derechos fundamentales.

Les cuento esto porque el «Global Right to Information Rating» acaba de situar a España en la 64ª posición de un ranking con 100 países. Logramos un ajustado empate a puntos con Angola, Tailandia y Costa de Marfil, nada menos. Los criterios empleados pueden comprobarlos en esta interesante tabla, que no hace sino demostrar que nuestra Ley flojea por los cuatro costados. Especialmente, en dos puntos:

El derecho de acceso a la información no se considera fundamental

A pesar de las sentencias del Tribunal Europeo de Derechos Humanos y de la previsible entrada en vigor del Convenio 205 del Consejo de Europa; a pesar de poder buscársele acomodo entre los derechos fundamentales reconocidos en nuestra Constitución, por la vía de los artículos 20.1.d. (comunicar o recibir libremente información) y 23.1. (participar en los asuntos públicos); a pesar de la tendencia normativa en multitud de países de nuestro entorno… el legislador decidió configurar el derecho a solicitar (y obtener) información de los poderes públicos como una facultad ordinaria, que no permite gozar de los medios de defensa de los derechos fundamentales que reconoce nuestra legislación.

Para quienes no comprendan esta repercusión, les pongo un ejemplo: en caso de que un Ministerio nos deniegue el acceso a cierta información y nos veamos obligados a acudir a la Justicia, tendríamos que plantear un recurso contencioso-administrativo, que tardaría unos 14 meses en resolverse (según datos del Poder Judicial). Si hablásemos de un derecho fundamental, podríamos optar por la vía del procedimiento especial para la protección de los derechos fundamentales, que se resuelve… en unos tres meses, ¡y sin necesidad de pagar tasas judiciales! Y, a la larga, podríamos acudir incluso al Tribunal Constitucional. Se hacen una idea de la repercusión, ¿verdad?

No se prevén sanciones en caso de incumplimiento

Se atribuye a Lincoln la frase: «Las leyes, sin sanciones, no son más que buenos consejos». Y en eso se queda, desgraciadamente, nuestra Ley de Transparencia. Sin una obligación de facilitar la información solicitada por el ciudadano (el silencio administrativo es negativo), y sin consecuencias adversas en caso de incumplimiento, ¿qué político en su sano juicio va a facilitar acceso a información que le comprometa? Porque, al fin y al cabo, lo bonito de la transparencia es que debe garantizar el acceso, precisamente, a aquéllo que al poder le interesa ocultar. En España, desgraciadamente, tales garantías brillan por su ausencia.

Si a todo esto le unimos que el plazo máximo de respuesta por parte de la Administración es de un mes, prorrogable en otro mes más en atención a criterios tan sólidos como «la complejidad de la información que se solicita» (frente a los 10 días que marca la ley colombiana); que la necesaria independencia del órgano supervisor se sustenta en un Real Decreto, modificable en cualquier momento por el Gobierno sin necesidad de trámite parlamentario alguno; o que los partidos políticos no están obligados a atender a las solicitudes de acceso planteadas por los ciudadanos… ¿qué nos espera?

El problema no son las manzanas…

Leía el otro día un artículo del profesor Urdánoz Ganuza titulado «No son las manzanas, es el cesto«, en el que se exponían, a raíz de la reciente entrada en vigor del núcleo fundamental de la Ley, algunas de las causas de la deriva ética y moral de nuestra clase política. Y señalaba a la insuficiencia de los mecanismos actuales de responsabilidad, de rendición de cuentas, como una de ellas.

En mi charla, en México, hablaba de la importancia del acceso a la información pública como elemento vertebrador de la democracia. De su papel crucial en la lucha contra la corrupción. De su relevancia capital a efectos de permitir el desarrollo una opinión pública libre. Aquí, por lo que parece, nos podemos permitir el lujo de prescindir de esta poderosa herramienta. ¿Ustedes lo entieden? Yo, sinceramente, tampoco.

Condiciones abusivas

Toca hablar de comercio electrónico, ya tras la resaca del black friday y el cyber monday, las dos últimas modas importadas de EE.UU. que empiezan a calar en el mercado nacional, impulsando el consumo y permitiendo al comercio remontar ventas también a nivel online, marcando el pistoletazo de salida para las compras de Navidad, con importantes rebajas. Y es que algunas plataformas han logrado batir records, destacando un incremento del 100% en las ventas online del otrora líder de la distribución nacional.

Aunque os sorprenda, bien por deformación profesional o porque ya estoy inmunizado de tanto redactarlas, me leo todas las condiciones de contratación o compra y de privacidad que me encuentro (aunque he de reconocer que lo hago en diagonal y yendo directamente a lo importante). Y es que, lejos de lo que podamos pensar (eso de que son todas iguales), nada más lejos de la realidad. Cada sitio web o cada aplicación móvil es un mundo, y sus condiciones legales deben estar adaptadas a sus particularidades. El número de páginas que se limitan a copiar y pegar los avisos legales de otras es sorprendente, y hay ejemplos de todo tipo: condiciones de compra en páginas que no venden nada, políticas de privacidad en páginas donde no se recogen datos… incluso algunas que ni cambian el nombre de la empresa a la que han copiado.

Que quede claro: no tener unos términos legales adaptados a los servicios y productos que se ofrecen, así como a la operativa del sitio web y de la empresa, pone al negocio online en un serio riesgo. Algunos ejemplos ya los hemos tratado en alguna ocasión en este blog temas como los errores tipográficos en los precios o el erróneo etiquetado de determinados productos. Hoy os hablaremos de las cláusulas abusivas en los contratos online.

Dejémoslo claro: el hecho de que los consumidores se limiten a marcar directamente la casilla de «he leído y acepto las condiciones legales», sin siquiera entrar a verlas, no puede servir de excusa para imponerles obligaciones excesivas o limitar sus derechos. Quien lo haga, puede encontrarse con la desagradable sorpresa de que la Administración le dé la vuelta a la tortilla: la legislación de consumidores protege (y mucho) a los consumidores, y la cláusula abusiva puede convertirse en una sanción contra el sorprendido vendedor. En dos palabras, si los términos y condiciones no son legales, el consumidor puede denunciarnos y el vendedor puede ser sancionado.

Es bastante común que el responsable de un ecommerce construya sus términos legales a partir de párrafos obtenidos de otras páginas, o de una rápida búsqueda en Google. Párrafos que parecen reforzar su negocio, por ejemplo, limitando su responsabilidad, endurenciendo las reglas para las devoluciones de productos, permitiéndole modificar los plazos de entrega… Pero que, lejos de reforzarlo, pueden acabar pasándole factura, ¡y suele ser elevada!

Y es que cualquier comunidad autónoma tiene la facultad de sancionar por la vulneración de los derechos de los consumidores, bien por no ofrecer información veraz o adecuada, por no atender derechos específicos o por establecer cláusulas abusivas. Para que os hagáis una idea, hace poco hemos llevado un procedimiento sancionador del Servicio de Consumo de la Junta de Andalucía a una tienda online gestionada por un autónomo, al que pretendían sancionar con 5.000 euros por haber introducido, según ellos, este tipo de cláusulas en las condiciones de contratación. Destacaban algunas como la no devolución de los gastos de envío o que, en caso de desistimiento, se entregaría un cheque regalo con el que se podría cambiar por otros productos de la tienda, en vez de dinero en efectivo.

Y es que la mejor medida para evitar este tipo de procedimientos administrativos (que pueden nacer de cualquier punto de España, se encuentre donde se encuentre la sede de la tienda online) así como problemas con los clientes, es contar con unas condiciones legales adaptadas a la legislación desde el inicio de la actividad. Dado que este verano se ha reformado la Ley de Defensa de Consumidores y Usuarios (LGDCU), introduciéndose algunos cambios importantes para los prestadores de servicios (especialmente los que se refieren a la forma y plazos de la devolución de productos), éste puede ser un buen momento para actualizar la información y los textos legales ya existentes. Eso sí, con soluciones personalizadas para cada web, pues como decía la canción cada página es igual, pero distinta a las demás.

Identificación y confianza

La pasada semana tuve el placer de participar en una mesa redonda organizada por la Asociación DENAE sobre el nuevo Reglamento Europeo de identificación electrónica y los servicios de confianza, en el que tratamos temas tan interesantes como el proceso de gestación de esta norma, sus implicaciones, los nuevos servicios que de ella se derivan o el nuevo marco jurídico para sus prestadores.

Dejando a un lado el instrumento normativo elegido (un Reglamento, con efecto directo y aplicabilidad inmendiata en toda la Unión), quizá uno de los objetivos más importantes del texto sea la interoperabilidad de los servicios de identificación y confianza. En otras palabras, que una firma electrónica o un sello electrónico reconocidos por un Estado miembro lo sean automáticamente en los demás, dotando de coherencia a un mercado digital único y permitiendo a ciudadanos y empresas realizar trámites ante la administración o gestiones privadas de forma más sencilla, de igual manera a la que lo harían en su país. No obstante, la Comisión se ha reservado más de veinticinco actos de ejecución para completar el Reglamento, por lo que no estará plenamente desarrollado hasta 2017: un buen margen de tiempo para que el mercado se adapte a la nueva regulación.

Precisamente sobre esta cuestión, la interoperabilidad europea, el Reglamento sienta las bases para una identificación electrónica reconocida por los Estados miembro, basada en normas comunes de notificación, seguridad y cooperación y responsabilidad, con el fin de permitir y generalizar que todos los ciudadanos de la UE puedan ser beneficiarios de la autenticación transfronteriza.

Respecto a los servicios de confianza, más allá del establecimiento de unos futuros requisitos técnicos llamados a estandarizar estos sistemas en toda la UE, destaca el cambio de nomenclatura: de «firma electrónica reconocida» (que, como sabemos, equivale a la firma manuscrita) a «firma electrónica cualificada«, que se define como la generada mediante un dispositivo cualificado de creación de firmas y basada en un certificado cualificado. También se sustituye el certificado electrónico de persona jurídica de nuestro ordenamiento jurídico por el «sello electrónico», y se reconocen otros servicios de confianza como el sellado de tiempo, la entrega electrónica certificada o la autenticación de sitios web, que podrán ser cualificados o no cualificados, en función de unos requisitos técnicos y de seguridad que serán comunes para todos los prestadores en la UE.

La interoperabilidad comunitaria deriva, eso sí, en un férreo control de los servicios cualificados y de aquellos prestadores cualificados de servicios de confianza, con el marcado objetivo de dar lugar a una mejora sustancial en este tipo de servicios y en los prestadores a nivel comunitario, y por ende en una mayor confianza. La idea: equiparar a todos los prestadores de servicios en materia de seguridad y rendición de cuentas sobre sus operaciones y servicios, tratando de dotar de mayores garantías a los usuarios. Entre las obligaciones, destacan auditorías bienales, requisitos de coordinación e información con el regulador… y un estricto régimen de responsabilidad que, eso sí, fija la carga de la prueba sobre quien alegue haber sufrido perjuicios.

Ahora bien, desde el punto de vista del usuario, esta nueva normativa pretende que estos sistemas, tan seguros y confiables, puedan generalizarse y ser usados por los ciudadanos: todo un reto. En este sentido, el Reglamento se apunta a la neutralidad tecnológica, pero… ¿bastará? En mi opinión, la usabilidad es crucial: si no se solucionan los problemas de compatibilidad de los certificados en lo referente a configuraciones con sistemas operativos, navegadores o drivers de dispositivos como lectores de tarjetas criptográficas o tabletas de firma; o se mantiene la dependencia de entornos como Acrobat o Java, que no se caracterizan por su robustez… la reforma fracasará y su uso no despegará. Como ha ocurrido con el DNI electrónico en España, un fracaso en toda regla motivado por su complejidad de uso, su baja compatibilidad y su pobre experiencia de usuario para con la administración electrónica. Será muy seguro, pero está completamente infrautilizado, hasta el punto de que la Agencia Tributaria se vio obligada a lanzar un sistema alternativo: el PIN24h (que con la denominación «Cl@ve» pretende extenderse a toda la eAdministración) para facilitar el uso de su sede electrónica.

Finalmente, debe hacerse mención al reto de reforzar la eficacia práctica de estos sistemas, en caso de conflicto. Las ventajas jurídicas que ofrecen, por ejemplo, una firma electrónica cualificada o un sello cualificado, deben poder ser reconocidas allá donde el usario desee utilizarlas, incluyendo ámbitos tan poco informatizados como nuestros juzgados y tribunales. Para que efectivamente un documento electrónico dotado de cualquiera de esos elementos, y aportado como prueba a un juicio, pueda tener la validez jurídica y fuerza probatoria que la legislación le reconoce, es necesario que el juez comprenda y reconozca su naturaleza, sin necesidad de costosos dictámenes periciales. En caso contrario, difícilmente será adoptado por un mercado abonado al «malo conocido», antes que al «bueno por conocer». Evidentemente, la mejor manera de fomentar su conocimiento es, precisamente, que lleguen a los tribunales con mayor regularidad… pero, sin confianza, será dificil que eso suceda, ¡y ya tenemos una nueva pescadilla que se muerde la cola! ¿Conseguirá solventarlo la nueva regulación?

Licencias de software

Puede que dos de las preguntas más repetidas a la hora de valorar un nuevo proyecto de software sea, ¿y cómo piensas monetizar esto? ¿Qué licencias de software vas a utilizar?

Sin entrar a valoraciones sobre si todos los proyectos deben ser ponderados en base a criterios de rentabilidad económica (y cómo conseguirla), lo cierto es que hay determinadas ocasiones en que esta pregunta es, cuanto menos, importante. De plantearse la elección de la oportuna licencia de software como una cuestión inicial puede depender, incluso, parte de la misma programación y diseño.

Supongamos que creamos un software que permita realizar, de forma rápida y eficiente (incluso muy bonita visualmente, ya que estamos) alguna tarea determinada. Hemos ideado, en fin, una nueva “criaturita” a la que hemos dedicado incontables horas de trabajo, esfuerzo y creatividad. Salvo que tengamos una firme vocación opensoftware y queramos liberar nuestro desarrollo para su libre uso y modificación por cualquiera, es muy probable que nuestra intención sea compensar ese esfuerzo realizado cobrando por el uso del programa.

¿Cómo hacerlo pues? En alguna ocasión hemos hablado de los riesgos de permitir un uso no regulado (o mal regulado) de los desarrollos de software, pero hoy nos centraremos en las principales formas de licenciamiento, entre las que podemos optar, al menos en un primer momento; y en los aspectos a tener en cuenta en cada una de ellas:

  • Licencia freeware: como su nombre indica, gratuita y libremente utilizable, sin limitaciones temporales.
  • Licencia freemium: gratis… pero sólo para algunos usos. Ejemplos clásicos son la licencia gratuita para uso personal, pero no para uso comercial; o la licencia «lite», con limitaciones de funcionalidad que pueden evitarse comprando la versión completa.
  • Licencia shareware: denominación inglesa para la «licencia de prueba». Ofrece casi todas las funcionalidades de forma gratuita, pero su uso se limita a un determinado tiempo (horas, días, semanas, meses…) y cuenta con sistemas que bloquean o imposibilitan usos posteriores.
  • Licencia de pago: la típica para monetizar. Como autores del software damos una autorización única (mediante usuario y contraseña) a cada usuario para que acceda y use el software. Suele adquirirse sin limitaciones temporales, a través de un pago único; o por suscripción mensual o anual.

Obviamente, cada desarrollo de software es un universo particular con muchísimos aspectos a tener en cuenta a la hora de otorgar las licencias, pero en general, e independientemente del tipo de licencia a utilizar, es preciso que tengamos en cuenta algunos aspectos sobre los que reflexionar antes de decantarnos por una en particular.

  • En primer lugar debemos procurar una adecuada protección de los derechos sobre el software. Aunque parezca una obviedad, delimitar claramente qué se puede y qué no se puede hacer por parte del usuario resulta indispensable para evitar acciones que afecten a la propiedad intelectual o industrial del desarrollo o sus contenidos.
  • Además, las funcionalidades deben ser claras y concretas. Aunque a los usuarios siempre les apetezca lo contrario, un software no sirve para todo, y mucho menos para “esa precisa cosa que el usuario tiene en mente aunque no sabe explicar muy bien” por lo que es preciso dejar claro qué hace el software y cual es su función específica, así como la fiabilidad de los resultados esperados. De este modo evitaremos un porcentaje elevado de reclamaciones… o al menos podremos defendernos adecuadamente de ellas. Las limitaciones al uso deben ser explicadas de forma que los usuarios puedan reconocerlas, entenderlas y actuar en consecuencia. Cuanto más trabajada esté una licencia de software en este sentido, más fuerte será la defensa del creador/comercializador del software ante posibles reclamaciones o pretendidas responsabilidades derivadas del uso o resultados del mismo.
  • De igual modo es preciso que tanto los conceptos por los que se cobra como, especialmente, las posibilidades de instalación, tipo de cuentas, número de usuarios o procesadores  a las que se puedan optar, y las obligaciones de pago derivadas de ello, sean explicadas al detalle y (en caso de que sea necesario) mediante un sistema de instalación en el que quede constancia de que han sido leídas, entendidas y aceptadas de forma definitiva. Una explicación oscura o enrevesada puede conducir a la nulidad de alguna cláusula, y perjudica claramente las posibilidades de defensa del vendedor.

Por supuesto, eso no son más que algunas valoraciones iniciales que deben tenerse en cuenta y que resulta imprescindible concretar en un texto legal sólido que permita cumplir con todas las exigencias legales al respecto. Aunque estos aspectos suelen salirse del espectro de experiencia del desarrollador, resulta muy importante dedicarles un poco de tiempo y esfuerzo y contar con asesoría adecuada al respecto.

Si París bien vale una misa, creerme si os digo que vuestra “criaturita” bien vale una charla con un abogado sobre licencias de software: además los abogados (normalmente) no pedimos conversión de fe, aunque la confianza será bien recibida.

Cookie sweep

A principios de este año, les anunciábamos desde este mismo blog que la Agencia Española de Protección de Datos acababa de imponer su primera sanción en materia de cookies, poniendo fin a un «período de gracia informal» que se alargó muchos meses. Desde entonces, la actividad de la AEPD en este campo ha sido intensa: una nueva sanción a principios del verano, tres informes jurídicos publicados en su web… y la participación en una acción coordinada a nivel europeo que se ha dado en llamar «cookie sweep day«.

El Grupo del Artículo 29, órgano consultivo que agrupa a las autoridades de protección de datos de la Unión Europea, anunciaba en su plan de trabajo 2014/15 que pretendía «intensificar sus esfuerzos para garantizar una actuación de control coordinada y coherente a los efectos de velar por una mejor aplicación de la legislación en toda la UE». Y, como se desprende de una nota de prensa publicada por la CNIL francesa (que ostenta la presidencia de este Grupo), nos encontramos ante la primera de dichas actuaciones, orientada a «verificar las modalidades de [facilitación de] información y de recabado del consentimiento de los internautas» en relación con la instalación de cookies.

Lanzado de forma simultánea en toda la Unión, el «cookie sweep day» es un nombre ciertamente inexacto, pues en realidad se desarrollará durante toda una semana: del 15 al 19 de septiembre de este año. La intención no es otra que comparar las prácticas implementadas en los distintos Estados de la Unión, para verificar el grado de cumplimiento con la normativa y poder adoptar ulteriores decisiones… por lo que, por el momento, no parece que las investigaciones que se realicen vayan a dar lugar a sanciones. Sin embargo, autoridades como la propia CNIL han anunciado ya que, a partir de octubre, intensificarán su vigilancia sobre el uso de cookies en soportes como sitios web o aplicaciones para móviles.

Puede parecer que la relevancia de esta actuación coordinada es escasa pero, en mi opinión, el toque de atención que de ella se desprende es evidente: por si alguien no se había enterado, las autoridades de protección de datos están lanzando un claro mensaje de que se les está agotando la paciencia, y el mercado no puede hacer oídos sordos a semejante advertencia. Dicho sin rodeos: parece que ahora sí que viene el lobo. El plazo para adaptar nuestros sitios web a la normativa de cookies toca a su fin.

Sobre cómo cumplir con la normativa, poco más podemos añadir a lo ya comentado en otros foros. Simplemente, permítanme aportar algunos consejos que les pueden resultar de utilidad:

  • El primero, y más importante: evitar aquellas cookies que no sean estrictamente necesarias. Por ejemplo, dando prioridad a herramientas (de vídeo, de mapas, de visualización de diapositivas…) cuya inclusión en un sitio web no implique la instalación de cookies.
  • El segundo, no inferir el consentimiento de una mera inacción. Permanecer en una página no es lo mismo que continuar navegando, no sé si me explico…
  • El tercero, no explusar a los usuarios de nuestro sitio web si no aceptan nuestra política de cookies, una práctica cada vez más común que va en contra del espíritu de la norma, como ha aclarado el Grupo del Artículo 29 en su Documento de Trabajo 2/2013.
  • Y, por último, no saturar al usuario con información: como ha recordado la AEPD en uno de sus informes más recientes, no es preciso detallar para qué sirve cada concreta cookie de las que instalemos: basta con agruparlas por funciones simulares, siempre que exista identidad entre ellas y no se produzca ambigüedad.

Dicho lo anterior, ¿se atreven a vaticinar en qué puesto quedará España en el cookie sweep day? ¡Hagan sus apuestas!