La emergencia sanitaria auspiciada por la virulenta irrupción del coronavirus SARS-CoV-2 se está convirtiendo en una crisis de salud pública sin precedentes. La aprobación del Real Decreto 463/2020, que declara el estado de alarma, permite vislumbrar la verdadera entidad de la situación y tomar conciencia de la multitud de sectores afectados por las medidas y restricciones. Y, como no podría ser de otra forma, el mundo jurídico y el de la abogacía, en todas sus esferas, también se encuentra sumido en la excepcionalidad.

Y no es para menos. Se ha decretado la suspensión de los plazos procesales, de los plazos administrativos y de los plazos de prescripción y caducidad; pero, además, la urgencia de la situación ha obligado a «desempolvar» figuras olvidadas y o poco extendidas como los ERTEs por fuerza mayor o el trabajo a distancia (en relación con esto último, hemos elaborado un modelo de contrato de teletrabajo que puede descargarse y utilizarse gratuitamente).

En esta ocasión, no obstante, nos centraremos en discernir qué ocurre con el tratamiento de datos personales relativos a la salud (que son datos sensibles o especialmente protegidos) en situaciones de emergencia sanitaria, protección de salud pública y vigilancia epidemiológica como la que nos atañe.

En este sentido, lo primero que hay que aclarar, tal y como sostiene la Agencia Española de Protección de Datos en un reciente informe, es que la declaración del estado de alarma no afecta al derecho fundamental a la intimidad ni a la protección de datos. Por tanto, tales derechos siguen plenamente vigentes. Sin embargo, esta vigencia no implica prevalencia, por lo que será preciso ponderarlos con los demás derechos o intereses que se encuentran en liza en la situación actual (derecho a la salud, integridad física y moral, interés público, tutela de la salud pública…).

Así pues, para realizar esta ponderación basta acudir a los criterios y preceptos previstos por la propia normativa de protección de datos (principalmente, RGPD y LOPDyGDD) junto con la normativa sectorial aplicable en materia sanitaria. Esto significa que, en principio, la licitud de un tratamiento de datos personales deberá valorarse caso por caso, atendiendo a las finalidades, la magnitud o las diversas vicisitudes o características que pueda entrañar. No obstante, como bien sostiene la AEPD, la normativa de protección de datos no debe ser contemplada como una rémora a la efectividad de las medidas de vigilancia y control epidemiológico ni como una merma de las facultades de tutela de la salud pública.

Consecuentemente, cabe realizar unas consideraciones generalmente aplicables a los tratamientos de datos personales, sin perjuicio de que, como hemos aseverado, deba valorarse en última instancia las características particulares del tratamiento en cuestión:

Si nos encontramos ante datos personales «no sensibles» podremos tratarlos, incluso sin consentimiento del interesado:

• Cuando el tratamiento de los datos sea necesario para cumplir con una obligación legal. Por ejemplo, cuando un Responsable del Tratamiento (empresario) trate los datos para cumplir deberes y obligaciones legales inherentes a la prevención de riesgos laborales de sus empleados (protección de la seguridad y salud del personal a su servicio).
• Cuando el tratamiento sea necesario para cumplir una misión realizada en interés público o en el ejercicio de poderes públicos. Esto es, cuando el Responsable trate los datos, por ejemplo, en el ejercicio de sus competencias o poderes de vigilancia y control de epidemias, salud pública o emergencias humanitarias (siempre que haya una norma que le confiera tales facultades).
• Cuando el tratamiento de los datos sea necesario para proteger intereses vitales del interesado o de otra persona física. Incluso aunque no haya una norma u obligación legal, podremos tratar los datos personales cuando sea imprescindible para proteger la vida o integridad física del propio interesado o incluso de otras personas físicas. Por ejemplo, para prevenir que un trabajador ya contagiado pueda transmitir el virus al resto de la plantilla.

No obstante, por la propia naturaleza que implican los tratamientos en tiempos de crisis sanitarias o epidemias, en la mayoría de casos nos encontraremos ante datos «sensibles» (v.g. datos genéticos o datos relativos a la salud). Por ejemplo, una información que identifica a un determinado empleado como contagiado es un dato, a todas luces, relativo a su estado de salud y, por ende, merece una especial protección. Así pues, en estos supuestos necesitamos una legitimación reforzada, que se producirá en casos como los siguientes:

• Cuando sea necesario tratar los datos para cumplir con las obligaciones legales de derecho laboral, seguridad y protección social. Por tanto, el empresario, en el ejercicio de sus obligaciones de prevención de riesgos laborales también podrá tratar datos de salud de sus trabajadores. Esto incluye también la obligación del trabajador de informar, motu proprio, al empleador de circunstancias que pudieran afectar a su salud y a las de sus compañeros y compañeras (por ejemplo, síntomas, sospechas o contacto con otros infectados).
• Cuando sea necesario tratar los datos para fines de medicina preventiva o laboral o evaluación de la capacidad laboral del trabajador o diagnóstico médico. Por ejemplo, cuando el médico o personal de seguridad de la empresa o externos realizan una evaluación o chequeo de un trabajador o toma su temperatura para comprobar su estado de salud y de dicha prueba se derivan tratamientos de datos personales.
• Cuando sea necesario tratar los datos por razones de interés público esencial o por razones de interés público en el ámbito de la salud pública. Por ejemplo, cuando las autoridades sanitarias o laborales traten datos personales de salud para proteger a la población frente amenazas transfronterizas graves para la salud (por ejemplo, una epidemia).
• Por último, cuando sea necesario tratar los datos de salud para proteger los intereses vitales del interesado o de otra persona física. Sin embargo, en este caso, será preciso que el interesado no esté física o jurídicamente capacitado para otorgar su consentimiento. Podríamos pues, acudir a esta legitimación como ultima ratio en caso de que no procedieran las anteriores. Por ejemplo, podríamos trasladar los datos sobre el contagio de una persona que se encontrase en estado crítico a los familiares o a personas que hubieran tenido contacto con la misma; pero únicamente para advertirles sobre la posibilidad de que también hubieran podido contraer la enfermedad y los riesgos para su salud e integridad.

En síntesis, la normativa de protección de datos ha previsto numerosos cauces para que podamos tratar datos personales en situaciones de emergencia sanitaria como la presente. Sin embargo, la habilitación legal para tratar los datos (sean sensibles o no sensibles) no implica una «carta blanca» para los Responsables, que deberán utilizar exclusivamente los datos estrictamente necesarios (minimización) y con la rigurosa finalidad de proteger la salud pública y la de los trabajadores con motivo de la epidemia (limitación de finalidad). De igual forma, será imprescindible controlar que no se realicen usos ulteriores de esos datos con finalidades incompatibles; sin perjuicio de que podrían llegar a utilizarse posteriormente con fines de investigación científica y de salud para, precisamente, evitar y prevenir nuevas situaciones como la que, desgraciadamente, hoy en día nos concierne.

Seguramente no les esté descubriendo nada si les digo que WhatsApp es una de las aplicaciones de mensajería más utilizadas en nuestro país, con unos 30,5 millones de usuarios en España y 1.500 millones en todo el mundo. ¿Pero nunca se han preguntado por qué no recibimos (tanto) spam a través de esta app como por otros canales, como por ejemplo, el correo electrónico o el SMS? ¿Se han olvidado los publicistas de WhatsApp?

Como es lógico, los expertos en marketing digital tienen en su radar a las aplicaciones de mensajería instantánea; pero las consecuencias prácticas de utilizarlas para enviar publicidad masiva son tales, que pocos se atreven a utilizar este tipo de canales con esa finalidad.

En España, el envío de comunicaciones comerciales por medios electrónicos se encuentra regulado en la Ley de Servicios de la Sociedad de la Información, o «LSSI». Esta norma prohíbe el envío de publicidad «por correo electrónico u otras vías de comunicación electrónica equivalente» si no ha sido solicitada o expresamente consentida por sus destinatarios. He aquí el primer escollo: de entrada, es necesario contar con el consentimiento expreso de los potenciales receptores.

Como alternativa, la LSSI también permite el envío de comunicaciones comerciales por medios electrónicos, sin necesidad del consentimiento que mencionábamos en el párrafo anterior, siempre que se den las siguientes condiciones:

• Que exista una relación contractual previa con el destinatario (es decir que sea o haya sido cliente del anunciante);
• Que la publicidad verse sobre productos o servicios propios, similares a los que fueron objeto de contratación; y
• Que hubiera dado al destinatario la posibilidad de oponerse a recibir esas comunicaciones.

El envío de comunicaciones comerciales no solicitadas, o remitidas sin cumplir con estos requisitos, es lo que conocemos como spam, y su realización puede constituir una infracción grave de la LSSI, sancionable con multas de hasta 150.000 euros.

Ahora bien, a pesar de las multas y de que la LSSI es aplicable a todo tipo de comunicaciones electrónicas (incluida la publicidad que recibimos por correo electrónico y por SMS), es obvio que no ha logrado su objetivo de evitar que nuestras bandejas de entrada se llenen de spam. ¿Por qué, entonces, se libra WhatsApp de esta molesta plaga? Tal vez, parte del secreto de la plataforma radica en sus propios términos y condiciones.

De entrada, WhatsApp manifiesta reiteradamente su voluntad de ofrecer una experiencia a sus usuarios en la que no reciban spam; y, en concreto, exige que las empresas usuarias de su modalidad Business garanticen que cuentan con las autorizaciones, consentimientos y permisos necesarios para comunicarse con sus clientes y usuarios por medio de la aplicación. También especifica que los las empresas usuarias no deberán enviar, distribuir o publicar spam, comunicaciones por correo electrónico no solicitadas, correspondencia en cadena o esquemas piramidales, entre otras comunicaciones ilegales o inadmisibles.

A partir de aquí, la plataforma se ha dotado de multitud de herramientas para combatir estos molestos envíos, basadas tanto en la tecnología (machine learning, big data, monitorización de tráfico…) como en las denuncias de sus propios usuarios. Así, combinando los esfuerzos de ingenieros y abogados han logrado dotarse de una fórmula eficaz para luchar contra los spammers, hasta el punto de convertir su actividad en residual.

A partir de aquí, el incumplimiento de estas u otras condiciones de Whatsapp podría llevar a la suspensión o cancelación de los servicios a la empresa incumplidora… algo que no parece particularmente grave, pero que puede tener serias consecuencias en el día a día de determinados negocios. ¡Y eso no es todo! La red social ha advertido a sus usuarios de su intención de adoptar medidas legales contra quienes vulneren sus términos y condiciones, realizando envíos automáticos o masivos.

Por el momento, no tenemos noticias de que esta intención se haya traducido en demandas formales pero, teniendo en cuenta el riesgo de sanción y las declaraciones de la propia compañía, ¿alguien se atreve?

Estamos creciendo y buscamos fortalecer nuestro equipo de Madrid con la incorporación de un/a abogado/a semi-senior con experiencia en derecho de las nuevas tecnologías.

Como boutique legal especializada en el asesoramiento a negocios tecnológicos y publicitarios, buscamos candidatos/as a los que les apasionen las nuevas tecnologías y los entornos digitales, el asesoramiento preventivo y proactivo y los retos jurídicos que ello conlleva.

Si tienes un buen nivel de inglés y ganas de aprender y desarrollar tu carrera profesional en un despacho joven, dinámico y en crecimiento, te puede interesar esta oportunidad. Déjanos conocer tu talento, escribiéndonos a través de nuestro formulario.

Funciones

Buscamos un candidato con conocimientos demostrables, preferiblemente, en varias de las siguientes áreas:

• Redacción y revisión de contratos tecnológicos y publicitarios
• Propiedad intelectual
• Derecho de patentes y marcas
• Defensa jurídica y litigación
• Protección de datos y privacidad
• Comercio electrónico y nombres de domino
• Asesoramiento y consultoría para empresas

Requisitos

• Titulación universitaria: grado o licenciatura en derecho.
• Indispensable realización de cursos de postgrado en materias de nuevas tecnologías y colegiación como abogado.
• Experiencia: entre 4 y 6 años en equipos jurídicos.
• Se valorará especialmente la experiencia específica en áreas de derecho de nuevas tecnologías, no limitadas a protección de datos personales.
• Habilidades de gestión de equipos.
• Idiomas: nivel muy alto de inglés.

Características del puesto

• Lugar de trabajo: Madrid;
• Tipo de contrato: laboral a tiempo completo;
• Remuneración: fija + variable, a convenir;
• Plan de Carrera Profesional;

Si te interesa, envíanos tu CV y nos pondremos en contacto contigo a la mayor brevedad.

¡Queda inaugurada la temporada de compras navideñas! En pleno Black Friday, y a las puertas del CiberMonday, los compradores se frotan las manos con el aluvión de descuentos ofertados por las tiendas. El Black Friday de 2018 movió en España 1.560 millones de euros en compras a través de Internet, y parece que este año el éxito será aún mayor: según asociaciones como Adigital, el impacto en las ventas electrónicas es muy positivo, ¡y subiendo!

Dicho lo anterior, un mayor número de ventas aumenta igualmente la exposición a recibir quejas o reclamaciones de los consumidores. Para ayudarles a evitarlo, o a salir airosos en caso de que se produzcan, resumimos a continuación algunos aspectos relevantes que los comerciantes deben tener en cuenta a la hora de vender productos en el mundo online.

Es muy importante que el vendedor facilite a los consumidores información clara y comprensible sobre los productos que oferta. Cualquier error en el precio, etiquetado o falta de información tiende ser interpretado a favor del consumidor; y con el auge de las redes sociales, este tipo de errores pueden costarnos muy caros. Existen plataformas con nombres como «chollometro», «cazachollos» y similares, que se dedican a localizar artículos por debajo de su precio habitual y compartirlos con el resto del mundo, por lo que, a la hora de publicar una oferta, es fundamental asegurarse de que toda la información ha sido transcrita de forma adecuada.

Como ya hemos comentado en otras ocasiones en este mismo blog, expresiones del estilo «salvo error tipográfico» o «existencias limitadas» pueden ser consideradas abusivas por las autoridades de consumo. Cuando se trate de un error de diseño en la publicidad, el comerciante debe aclarar que se trata de un fallo en la impresión e indicar cuál es el precio exacto del producto, apelando siempre al sentido común del comprador. Por ejemplo, si una lavadora se oferta a un precio de 6,90 euros, cuando realmente vale 690 euros, está claro que se trata de un error de diseño en la impresión. Además, en cuanto a la famosa coletilla «hasta fin de existencias», el establecimiento debe indicar el número concreto de productos en oferta, que siempre deben guardar proporción a las expectativas que se pretendan generar con esa publicidad, teniendo en cuenta la demanda que puede conllevar dicha oferta.

El comerciante ha de tener presente que las ofertas y promociones son vinculantes y que, por lo general, las excusas no valen ante fallos relacionados con el producto y el precio, ofertas o falta de información. Además, los folletos publicitarios también tienen carácter vinculante. Por tanto, si no queremos recibir una avalancha de consumidores enfurecidos reivindicando sus derechos, más vale hacer las cosas bien.

La información debe quedarle clara al consumidor, por lo que, a la hora de mostrar el precio de los productos y siempre que se oferten artículos con un importe rebajado, el vendedor deberá mostrar con claridad, el precio anterior junto con el precio reducido. Además, se ha de informar la usuario sobre la posibilidad de desistir del contrato y dejar sin efecto el contrato celebrado. A este efecto, la ley le otorga al consumidor que compra o contrata un bien o servicio online, un plazo de 14 días naturales para desistir del contrato sin tener que justificar su decisión. ¡Tengan en cuenta que el plazo puede verse ampliado a 12 meses en el caso de que el establecimiento no informe al consumidor de este derecho!

Ahora bien, el derecho de desistimiento no es absoluto y, por tanto, no todo vale. Existen algunas excepciones que permiten rechazar la devolución de un producto o servicio por el consumidor, aunque lo pretenda realizar en el plazo antes descrito. Por tanto, facilitar la información y documentación al consumidor resulta básico para que el vendedor pueda defenderse en caso de conflicto o denuncia por cualquier comprador indignado.

Para evitar problemas, las plataformas de venta online deben proporcionar al consumidor todo tipo de información requerida por la Ley General para la Defensa de Consumidores y Usuarios, la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico y el famoso Reglamento General de Protección de Datos, junto con Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales.

Por consiguiente, en plena oleada masiva de compradores online atraídos por el poder de atracción de las «gangas» y empeñados en buscar cualquier «chollo» o «despiste» por parte de los establecimientos, qué menos que vender sobre seguro y establecer un contexto de seguridad jurídica online que transmita confianza al comprador. ¡Motivo de más para tener la web al día y no sufrir sorpresas desagradables!

Mi amigo Nacho es un fenómeno. Es periodista, bloguero, y ha sido community manager de uno de los diarios más importantes de nuestro país. De esas personas que, cuando hablan, sube el pan, ya me entienden; y la semana pasada colgó en sus redes un mensaje clarísimo, que seguramente comparten muchos de ustedes. Copio y pego: «Estoy de “aceptar cookies” hasta el punto com«.

La verdad es que también formo parte del club de los haters de los avisos de cookies. Siempre he dicho que me parecían absurdos, molestos y contraproducentes; pero he aquí que llegó el Reglamento General de Protección de Datos (RGPD) y cambió las reglas establecidas para este tipo de tecnologías. Anoten dos modificaciones fundamentales: gran parte de la información captada por las cookies pasó a ser considerada dato personal, y los requisitos de transparencia y consentimiento se endurecieron significativamente. ¡Ahí es nada!

Fruto de la aplicación de esta norma, las actuaciones de las autoridades europeas de protección de datos se fueron sucediendo: Holanda consideró ilegales los «cookie walls» (que expulsan al usuario de la web si no acepta las cookies), Francia entendió que «continuar navegando» por un sitio web no se podía interpretar como un consentimiento válido… y entretanto, la Agencia Española de Protección de Datos permanecía callada, mientras anunciaba que estaba preparando una nueva edición de su «Guía sobre el uso de las cookies», en estrecha colaboración con las principales asociaciones empresariales del ámbito digital. Pues bien, esa guía ya está aquí, y nos da un montón de pistas sobre cómo instalar cookies sin enfadar al regulador. Veámoslas:

Transparencia

Quién, cómo y para qué. Si queremos instalar cookies, el usuario debe obtener respuesta clara a estas tres preguntas en cuanto acceda a nuestra web. ¡Y ojo con las frases vagas! Redacciones recurrentes, como «para mejorar nuestros servicios» o «para ofrecerle contenido de su interés» están condenadas a desparecer. La guía nos ofrece ejemplos como este:

«Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes obtener más información y configurar tus preferencias AQUÍ».

Este primer aviso debe enlazar a un texto más completo, donde se describan de forma detallada qué son las cookies, las tipologías utilizadas en la web, los períodos previstos de conservación, el listado de terceros a los que se facilitarán los datos y la forma de aceptarlas o rechazarlas. Si se utilizan para segmentar a los usuarios y ofrecerles contenidos personalizados, habrá que explicarlo detalladamente; y lo mismo ocurrirá cuando se tranfieran los datos obtenidos hacia fuera de la Unión Europea. En definitiva, toca retocar y completar las actuales políticas de cookies.

Consentimiento

Si están pensando establecer un panel de gestión de cookies en su sitio web, que permita a los usuarios elegir cuáles instalar y cuáles no, créanme: es una buena idea. La guía opta claramente por este sistema, y aunque no descarta otras alternativas (como la configuración del navegador), lo cierto es que somete su utilización a tales requisitos que los paneles de gestión se convierten en la solución más razonable. Observen el redactado:

«Será necesario que la información de la primera capa se complete con un sistema o panel de configuración en el que el usuario pueda optar entre aceptar o no las cookies de forma granular, o un enlace que conduzca a dicho sistema o panel».

La Agencia, por lo demás, entiende que continuar navegando puede servir para facilitar el consentimiento, siempre que el aviso sea claro y no pase desapercibido; y sobre el grado de granularidad, aboga por evitar la selección «cookie a cookie», recomendando agruparlas, cuando menos, por finalidad. Evidentemente, los botones que se utilicen para realizar esta selección no deberán estar premarcados; y dado que el consentimiento es revocable, el usuario debe poder acceder al panel fácilmente y modificar sus preferencias en cualquier momento, aún después de haber aceptado el uso de estas tecnologías.

Otros aspectos destacables

Y antes de concluir, permítanme destacar dos notas adicionales: la primera es que su alcance no se ciñe únicamente a las cookies, sino también a otras tecnologías similares que permiten la trazabilidad de los usarios, como el fingerprinting o los píxeles de seguimiento; y la segunda, que solo pueden instalarse una vez obtenido el consentimiento de los usuarios: todo un reto, desde el punto de vista técnico.

¿Mi opinión global? Que estamos ante una guía necesaria y bien trabajada, que define con detalle los roles de las partes implicadas y que trata de alcanzar el difícil equilibrio entre las legítimas aspiraciones de la industria y los derechos de los usuarios. Sin embargo, hechos como sus divergencias con documentos similares de otras autoridades europeas y la actual tramitación en Bruselas de una nueva regulación sobre la materia le auguran, en mi opinión, un corto recorrido.

Dicho esto, creo sinceramente que los paneles de control de cookies propuestos por la Agencia ofrecen un valor añadido real a los usuarios, y que la nueva regulación nos conduce realmente hacia un mayor control de nuestros datos. Seguramente, no tan eficaz como para que me haga fan de los avisos de cookies, pero va por el buen camino para lograr que abandone el club de haters. ¡No sé qué opinará mi amigo Nacho!