Mañana, 28 de enero, se celebra el Día de la Protección de Datos, y como en anteriores años participamos aportando unas líneas sobre este tema. Si en años anteriores me centraba en un repaso general sobre el derecho fundamental recogido en la  Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (o LOPD), tratando de contribuir a promover el conocimiento de esta normativa, éste toca abordar otros aspectos más particulares como el futuro de esta materia.

¿Cuál es el principal reto para el futuro de la privacidad? En un foro, recientemente, me lanzaron con efecto esta simple pregunta. Y está en singular: un sólo reto principal. Muy difícil elegir. Pero lo hice. Y con su permiso, y al amparo de que tengo líneas de sobra para tratar el tema, me mojo:

Como siempre en este mundo legal  -imperfecto-, los abogados TIC nos vemos abocados a lidiar en el día a día en situaciones punteras, nuevas o desconocidas hasta la fecha, claramente marcadas por la tecnología y firmadas por la genialidad de ingenieros e informáticos; y a tratar de encajarlos en normativas viejas, arcaicas o directamente desfasadas, en las que esas nuevas realidades tienen un encaje limitado, en el mejor de los casos. Todo un reto con leyes de finales de los 90 y principios del 2000 si a privacidad e Internet se refiere. Por ello, cuando tratamos temas de protección de datos en relación con las implicaciones legales de las ‘cookies’, el ‘cloud computing’ o con programas informáticos capaces de saber qué vamos a comprar en un e-commerce antes de saberlo nosotros mismos, se hace necesaria una actualización, quizá no en los principios básicos, pero sí en la aplicación de cuestiones específicas. De hecho, ya hay una propuesta de la Comisión Europea encima de la mesa.

De hecho, ¿qué ha sido de la actualización normativa marcada por el ‘futuro’ reglamento de la UE? Fuertes intereses contrapuestos (algunos venidos desde el otro lado del Atlántico) y opiniones encontradas, muchos objetivos ambiciosos y un enorme retraso en su tramitación han postergado el alumbramiento de una norma europea unificadora para los países miembros. A pesar de que la Comisión LIBE prevee para marzo de esta año su aprobación, ahora, con los comicios europeos a la vuelta de la esquina podría demorarse más.

Este Reglamento, que en sus últimos borradores trataba aspectos como la privacidad en el diseño (ver el estupendo artículo de Ricard Martínez), las transferencias internacionales de datos (en especial relación con el ‘cloud computing’), el derecho al olvido… u otros temas como la obligación (o no) de incorporar un ‘DPO’ en las empresas (del que ya he tratado en el boletín de la Asociación Profesional Española de Privacidad por estas fechas del año pasado), o la obtención por parte de éstas de una certificación adecuada, o el establecimiento de autorregulaciones como los códigos tipo que les permita aportar valor añadido al interesado y, de paso, reducir las cargas legales en protección de datos, no puede caer en el olvido. Dicho esto, esta necesidad de contar con una legislación más moderna, actualizada y eficaz, no es (para mí) el principal reto, si bien es uno de los principales.

El regulador no debe olvidar que habrá de conjugar, incluso haciendo malabarismo jurídico, dos aspectos sumamente importantes y potencialmente contrapuestos: el derecho fundamental de las personas a la protección de sus datos por un lado; y no cercenar la libertad de empresa y los intereses económicos de entidades (grandes y pequeñas) cada vez más globalizadas y necesitadas de que los datos circulen de forma fluida, por otro.

Quizá ese equilibrio entre el desarrollo y crecimiento económico (tan necesario hoy día y reclamado por la industria) y la protección de la intimidad y libertad de las personas sea, en último término, el gran reto de la privacidad para los próximos años.

Desde luego, tener que pagar 3.000 euros por unas cookies debe asustar de tal modo como para cortar la digestión a cualquiera. Y, desgraciadamente, alguno lo acaba de sufrir en sus propias carnes: hoy ha visto la luz la primera multa sobre cookies de la Agencia Española de Protección de Datos (AEPD) a dos empresas, por no ofrecer información sobre el uso de esta tecnología a los usuarios de Internet.

La denuncia de un ‘navegante’ y la instrucción del procedimiento son de mediados/finales de 2013, por lo que la resolución sólo sanciona la falta de información sobre la política de cookies, no considerando, por el principio de tipicidad normativa, la falta del consentimiento del usuario exigida por el art. 22.2 de la LSSI.

Básicamente, el hecho de usted tenga varias páginas web con cookies (ficherito de nada que se descarga automáticamente en el ordenador de los usuarios para almacenar datos durante la navegación), con finalidades de lo más variopintas (analítica y estadística, vídeos, localización, publicidad, rastreo de compras…), instaladas por usted o por otras empresas (Google, Youtube, Dobleclick, Facebook…), sin informar previa, específica, clara y adecuadamente de todo ello… puede dar lugar a un procedimiento sancionador. Y de aprobarse el actual texto del Proyecto de Ley General de Telecomunicaciones, si usted no ha obtenido el consentimiento (que podría ser tácito), tenga por seguro que la multa podrá ser mayor.

Cabe destacar que la AEPD permite (e incluso recomienda) que el editor de la web ofrezca información concreta y clara sobre el uso de esta tecnología por medio del sistema de ‘capas’: una información inicial básica, visible al ‘aterrizar’ en la web, que permita ampliar esa información en una segunda capa.

La multa en cuestión ha sido de 3.000 euros para una de las empresas (con 6 páginas web con cookies) y 500 euros a otra empresa (por una sola web con la misma tecnología). Aunque la AEPD no ha aplicado el apercibimiento a pesar de aceptar la falta de intencionalidad y que las empresas no habían sido sancionadas anteriormente (porque la LSSI no prevé tal posibilidad), sí ha graduado la sanción al entender que estas empresas no se han lucrado a raíz de la infracción, o en otras palabras: si una empresa utiliza cookies como forma de ganarse los cuartos, lo más probable es que la sanción sea mayor.

¿Cómo evitar ser sancionado por el uso de cookies?

Determinar la necesidad del empleo de estos ficheros en su web, priorizar el empleo de las cookies realmente necesarias y desechar las innecesarias o accesorias, es uno de los primeros ejercicios que debe realizarse.

También es conveniente analizar la página para saber exactamente qué cookies existen, pues a menudo son «una de esas cosas que hacen los informáticos» y que usted desconocía… y luego vienen los sustos.

La información: clara, por capas y huyendo de párrafos genéricos y sin detalles (como los que rezan «la web puede contar con cookies para facilitar la personalización y comodidad de la navegación...»).

Y dentro de poco, todo apunta a que deberá preocuparse también por tener el consentimiento del usuario prestado por medio de una acción específica para otorgarlo, como podría ser, simplemente, el continuar navegando (siempre y cuando la información sea correcta).

Cierto es que esta información resulta, en cierto modo, molesta… pero, viendo las consecuencias, ¿no creen que es momento de evitar atragantarse?

Cuando le cuentas a alguien que acabas de terminar un master en propiedad intelectual, inmediatamente surge tema de conversación: que si la SGAE, que si el canon digital, que si Seriesyonkis… En fin, de lo más complicado. Sin embargo, nadie me pregunta qué hay que hacer para proteger un relato, una composición o una foto con muchos filtros de nuestros pies en la playa. Se da por hecho que la protección de la propiedad intelectual conlleva multitud de trámites administrativos, tiempo y dinero. Y, sin embargo, no es así.

Desde 1987 no hace falta acudir al Registro de la Propiedad Intelectual (RPI) para que se nos reconozca la autoría de las obras que creamos. Ni canciones, ni películas, ni libros, ni cuadros… desde el momento en que creamos nuestra obra, somos titulares de derechos de propiedad intelectual y la Ley nos ampara por ello. Por si alguien todavía no se lo cree (no sería la primera vez que nos pasa), el artículo 1 de la Ley de Propiedad Intelectual (LPI) lo dice sin dejar lugar a las dudas.

Así como otro tipo de creaciones intelectuales, como las invenciones o novedades en el mundo científico o técnico o los nombres que damos a los productos o servicios, nacen como consecuencia de su registro ante la Oficina Española de Patentes y Marcas en la modalidad correspondiente, la propiedad intelectual nace con la creación de la obra, sin necesidad de casi ningún otro trámite más que su expresión externa en tanto que, como conviene siempre recordar, las meras ideas no se protegen.

Se requiere también, conforme al artículo 10 de la LPI, de originalidad. Ni tan siquiera la calidad es necesaria para que algo esté amparado por el régimen jurídico de la propiedad intelectual. Es, quizás, el elemento de más difícil valoración a la hora de determinar si algo ha de ser protegido o no: baste iniciar una discusión acerca de, por ejemplo, arte contemporáneo para sembrar la polémica al respecto (véase el ejemplo de “Cuadro blanco sobre fondo blanco”, de Malevich). Desde luego no se trata de un requisito plenamente objetivo y, al respecto, estoy bien segura de que hasta en la más mínima originalidad cabe defensa.

Tampoco podemos dejar de lado, llamémoslo tercer requisito, que ha de tratarse de una creación intelectual. En este sentido, no sería propiedad intelectual, por ejemplo, la Ciudad Encantada de Cuenca, por sorprendentes que sean sus formaciones rocosas, pero la fotografía de la escena sí estaría, en mayor o menor medida, protegida.

Ahora bien, si, por ejemplo, tenemos un grupo y hemos terminado de componer nuestras canciones, y como hemos visto no hace falta registrarlas para tener derechos sobre ellas… entonces, ¿por qué sigue existiendo el Registro de la Propiedad Intelectual? Pues, principalmente, porque, en caso de que posteriormente exista un conflicto sobre la autoría de la obra, conforme a la LPI se le da preferencia a quien aparece como autor en este Registro. Es decir, su principal consecuencia es que quien no aparezca en el Registro como titular tiene el deber de probar que la inscripción no es cierta, o que él o un tercero son los verdadero autores de la obra, desmontando así la presunción que supone la anotación que figura en el RPI.

Ante este riesgo, se suele optar, con acierto en mi opinión, por acudir al RPI para evitar problemas, dado que además el precio es más que razonable y se realiza un cierto control previo de la legalidad de la obra. El mayor inconveniente es, quizás, que el procedimiento es algo lento y burocrático. Es por ello que, simultánea o alternativamente, puede acudirse también a otros sistemas. La elección que tomemos dependerá normalmente del tipo de obra que queramos proteger y, por supuesto, de si queremos explotarla o no y en qué forma. Entre las más habituales encontramos:

• Fe pública notarial: consiste en algo tan simple como acudir a un notario para que de fe de que cierto día nos presentamos en su despacho como autores/titulares de derechos sobre una determinada obra. El notario levantará acta de ello, almacenando copia de la obra. Es más costoso que otros métodos pero otorga mayor seguridad.

• Carta certificada: consiste enviarnos a nosotros mismos una (o varias, por si acaso) cartas certificadas conteniendo nuestra obra (papel, CD, DVD, pendrive, etc) y almacenarlas, preferiblemente, sin abrir. Es un método muy rudimentario pero efectivo y es muy económico. Su mayor inconveniente es que no sirve para todo tipo de obras.

• Certimail: es un método similar al anterior pero en forma de correo electrónico y con el añadido de que se realiza depósito notarial por un año de una copia del mismo. Como en el caso anterior, es económico pero no sirve para todo tipo de obras y existen límites al tamaño de los archivos adjuntos que se permiten enviar.

Por último, señalar otra alternativa que está cobrando cada vez mayor importancia: los registros de propiedad intelectual 2.0. De manera alternativa al tradicional Registro de la Propiedad Intelectual han surgido bases de datos privadas en la nube que permiten almacenar, con fines probatorios y de una manera simple y rápida, creaciones intelectuales. Es el caso, por ejemplo, de SafeCreative, del que ya hablamos en otro artículo del blog, referido a cómo defendernos ante un plagio.

El mayor problema al que se enfrentan estos registros 2.0 es que, dado su corto tiempo de vida, todavía generan reticencias entre jueces y usuarios. No en vano, detrás de los mismos hay empresas privadas, lo cual genera incertidumbre sobre qué ocurriría si la empresa quebrara, se fusionara o, de cualquier forma, desapareciera. No ocurre así con la certificación del notario, pues la documentación pasa de unos a otros a medida que se suceden, ni tampoco con el RPI pues está respaldado por el Estado.

Para concluir, señalar que, de entre todos los medios de protección disponibles para la propiedad intelectual(incluido el no hacer nada), elegiremos los más convenientes en función de las modalidades de explotación a que destinemos la obra, lo que estemos dispuestos a pagar, el tiempo de que dispongamos, el tipo de obra, el grado de seguridad que deseemos obtener… Como en la vida misma.

Artículo publicado por Leandro Núñez en el blog de Enatic, publicado por el Consejo General de la Abogacía.

Lea el artículo completo [+]

Hace sólo unos días, el Consejo de Ministros aprobó la remisión a las Cortes del proyecto de Ley General de Telecomunicaciones, destinado a sustituir la vigente Ley de 2003 y que pretende modificar, de paso, unas cuantas leyes más. Entre ellas, la Ley de Servicios de la Sociedad de la Información (en cuanto a comunicaciones comerciales y cookies), la reciente Ley del Juego (que tiene poco más de dos años), la de Conservación de Datos de Comunicaciones Electrónicas (básicamente en su régimen sancionador)… y a saber cuántas más, una vez finalizada su tramitación.

Aunque no pretendo hacer un estudio profundo de este Proyecto, me gustaría detenerme en un aspecto que, en mi opinión, es abordado acertadamente en su texto: la reforma del régimen sancionador de la Ley de Servicios de la Sociedad de la Información, con un marcado toque flexibilizador.

Principalmente, la reforma consiste en introducir criterios que permitirían moderar las sanciones. Por un lado, se facultaría al órgano sancionador a rebajar en un grado la sanción prevista en la norma, aplicando las cuantías previstas para la inmediatamente inferior en gravedad. Ello, siempre que se den supuestos como que el infractor hubiera regularizado la situación irregular rápida y diligentemente; cuando la conducta del afectado hubiera inducido a la comisión de la infracción; cuando se reconozca espontáneamente la culpabilidad; en procesos de absorción o fusión (para no perjudicar a la parte compradora) o cuando se pudiese entender una cualificada disminución de la culpabilidad del infractor. Todo ello, a criterio del instructor, claro.

Por otro lado, se introduciría en el ámbito de la LSSI, la figura del apercibimiento, que vendría a suponer la no apertura de procedimiento sancionador, siempre que el infractor establezca medidas correctoras del hecho antijurídico, la infracción cometida no sea muy grave y que no haya sido sancionado o apercibido con anterioridad.

Cabe aplaudir esta propuesta de modificación, pues la actual normativa prevé unas sanciones elevadas que han provocado que numerosas empresas y páginas web hayan cerrado en los últimos diez años, o se hayan ido fuera de España. Una flexibilización que ya fue introducida con gran acierto en la Ley Orgánica de Protección de Datos, y que puede suponer un cierto desahogo para un sector cada vez más asfixiado. Especialmente si nos referimos a las Pymes.

Sin embargo, en otras cuestiones que aborda esta propuesta… en vez de avanzar, parece que se retrocede, como analiza la IAB en su web. Un evidente ejemplo es la tipificación como infracción de «utilizar dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado la información ni obtenido el consentimiento del destinatario del servicio«. El subrayado es mío y lo empleo para resaltar dos cosas: la primera, lo indeterminado del verbo ‘utilizar’, pues cabe cualquier comportamiento (instalar, analizar, acceder…). La segunda, la problemática que se deriva del momento a partir del cual se pueden empezar a usar ‘cookies’: ¿se pueden instalar tras informar al usuario, o hay que esperar a que éste manifieste su consentimiento?

Por cierto, os recomiendo el artículo de ayer de Analore García, que explica estos y otros aspectos de la reforma de forma muy detallada, y con quien comparto su reflexión final: hay que mejorar el texto para que no perjudique a los sectores implicados.