El Margen de la Ley :: El Blog de Audens
Audens
  1. Audens
  2. >
  3. Blog

Juego online y protección de datos

¡El auge de los casinos en línea no para! El 2º informe trimestral de 2019 la Dirección General de Ordenación del Juego (DGOJ), sobre la evolución del mercado de juego online, ha registrado un aumento en la contribución al margen de juego (GGR) del 6,69% respecto al mismo trimestre de 2018; y la lista de operadores con licencia publicada por la DGOJ continúa creciendo. De hecho, una simple búsqueda nos ofrece… ¡más de diez mil millones de resultados en Google para la palabra Casinos Online España! Y la tendencia sigue en aumento.

Para que un jugador se registre en una plataforma de juego debe facilitar una serie de datos personales, tales como su nombre, apellidos, documento nacional de identificación, sexo, fecha de nacimiento, teléfono, correo y contraseña, entre otros, para que el operador pueda verificar su mayoría de edad, identificarle adecuadamente, aplicar las medidas pertinentes de prevención del blanqueo de capitales y asegurarse de que no se encuentra adscrito a un fichero de exclusión, entre otras finalidades.

Pocos saben, que entre los requisitos exigidos a cualquier operador nacional o internacional que desee prestar servicios de juego online en España, y conforme a lo previsto en la Resolución del 2014 de la Dirección General de Ordenación del Juego, se encuentra la obligación de presentar un informe descriptivo del cumplimiento de la normativa de protección de datos de carácter personal firmado por el Delegado de Protección de Datos de su empresa ante la Agencia Española de Protección de Datos, para demostrar, así, que cumplen con la normativa. En este informe se deberá describir cómo ha abordado el operador el respeto a la normativa vigente, determinando la finalidad y la base jurídica del tratamiento de los datos, analizando la posible afectación de los derechos y libertades de los interesados como consecuencia de este tratamiento, describiendo las medidas adoptadas para facilitar el ejercicio de sus derechos previstos en la Ley y recogiendo cualquier otro aspecto relevante de la normativa de protección de datos que pudiera verse afectado por su actividad.

La realidad es que los jugadores españoles se sienten cada vez más confiados en apostar online, desde que en 2011 el Gobierno reguló el juego en línea a través de la Ley 13/2011, de 27 de mayo, de regulación del juego y creó la Dirección General de Ordenación del Juego encargada de supervisar el cumplimiento de esta ley por los operadores. A este respecto, una de las obligaciones de los operadores a fin de garantizar la seguridad de los participantes es verificar la información y comprobar la exactitud de los datos aportados. Por ello, el operador debe disponer de mecanismos de comprobación de identidad, a fin de identificar a los jugadores y evitar suplantaciones, falsedad documental o el acceso indebido de menores a sus actividades de juego en línea, dando cumplimiento a la Resolución de 12 de julio de 2012, de la Dirección General de Ordenación del Juego, por la que se aprueba la disposición que desarrolla los artículos 26 y 27 del Real Decreto 1613/2011, de 14 de noviembre, en relación con la identificación de los participantes en los juegos y el control de las prohibiciones subjetivas a la participación.

¿Todo esto es suficiente? Para nada. Antes de permitir a un usuario jugar online, el operador de juego también está obligado a comprobar su posible inscripción en el Registro General de Interdicciones al Juego, dependiente de la DGOJ. Por medio de este registro, en el que el jugador se puede inscribir a petición propia o por resolución judicial, se puede excluir la participación del usuario de los juegos online a fin de garantizar un mejor funcionamiento y control de las plataformas de juego.

Y… ¡cuidado! Existen más cuestiones relacionadas con la puesta en marcha de una plataforma de juego online que resultan fundamentales para adaptar una web a la normativa de protección de datos, y que conllevan una serie de obligaciones para el operador en su condición de responsable del tratamiento de los datos de los jugadores. De entrada, la página web deberá disponer de una política de privacidad clara y accesible al jugador que le permita comprender de una manera fácil y transparente cómo el operador trata los datos personales que son recopilados a través de su web. Asimismo, la plataforma deberá disponer de unos términos y condiciones que establezcan unas reglas claras sobre apuestas y juego online para el correcto funcionamiento de los servicios en línea.

En resumen, resulta esencial que el operador sea diligente y actúe bajo el principio de responsabilidad proactiva a la hora de tratar los datos personales de sus usuarios. Solo de esta manera, será capaz de demostrar que cumple con la normativa; y solo así podrá generar la necesaria confianza entre los consumidores, que podrán así distinguir a un operador comprometido con sus derechos fundamentales, de otro que no lo está. Y es que, a la hora de elegir, ¡es mejor no jugársela!

PSD2 y comercio electrónico

Una de las principales preocupaciones a las que se enfrenta el titular de un sitio web de comercio electrónico es el fraude con tarjetas de crédito. Según datos del Banco de España (2017), el importe anual de las operaciones fraudulentas realizadas por este canal superó los 18 millones de euros solo en nuestro país, lo que permite calibrar la magnitud del problema.

La Unión Europea decidió abordar la situación a través de la llamada Segunda Directiva sobre Servicios de Pago (más conocida como PSD2), en virtud de la cual se han introducido una serie de obligaciones de autenticación reforzada del cliente (SCA, por su acrónimo en inglés) a la hora de realizar pagos con tarjeta de crédito, que entraron en vigor el pasado 14 de septiembre. Sin embargo, el masivo desconocimiento de la norma por parte de los comerciantes y la complejidad del mercado de pagos han conducido a las autoridades a conceder a los operadores un «tiempo adicional limitado» para migrar a soluciones que cumplan con los requisitos de esta normativa. Todo indica que el Banco de España fijará esta «moratoria» en solo catorce meses: de ahí que sea fundamental que los sitios web se vayan adaptando con urgencia a esta nueva realidad.

Como decíamos, el objetivo de la Directiva es reforzar y actualizar cuestiones relativas a la seguridad de pagos online y a los derechos de los consumidores, aumentando así la protección contra fraudes en operaciones realizadas a través de Internet. Unos de los que más van a notar esta norma son los marketplaces que perciban pagos de los compradores y los entreguen a los vendedores, pues si no modifican su operativa, pueden llegar a convertirse en «proveedores de servicios de pago» y necesitar una licencia para desarrollar su actividad, con la complejidad que de ello se deriva; pero también se introducen obligaciones como la rectificación inmediata en operaciones no autorizadas adecuadamente por los usuarios, la integración de las plataformas de pago en las propias páginas de los eccommerce o la responsabilidad por operaciones no autorizadas (reduciéndose la cantidad máxima que deben soportar los usuarios / víctimas de 150 a 50 euros).

Sin embargo, el grueso de la regulación recae sobre las entidades bancarias y prestadores de servicio de gestión de pagos, como consecuencia de las obligaciones de SCA. En esencia, exige que la autorización de una determinada operación online venga condicionada a la comprobación de la identidad del usuario con al menos dos de los siguientes métodos:

  • Algo que el usuario tenga, como un teléfono móvil o una tarjeta física.
  • Algo que el usuario conozca, como una contraseña o un código PIN.
  • Algo que sea inherente al usuario, como su huella dactilar o el reconocimiento facial.

De este modo, puede afirmarse que esta Directiva trata de estandarizar los procesos de autenticación en las operaciones de pago online, estableciendo un marco común y aumentando su seguridad. No obstante, existen ciertas operaciones exentas de la doble comprobación, como pueden ser:

  • Las transacciones que no superen los 30€, siempre y cuando el importe de la última transacción autenticada sea inferior o igual a 100€ y el número de transacciones inferior o igual a cinco.
  • Los pagos periódicos o suscripciones, siempre y cuando el primer pago haya sido realizado mediante doble autenticación.

Si bien a priori puede parecer que estas cuestiones incumben únicamente a bancos o proveedores de pagos, como comentábamos se trata de una cuestión que afecta directamente a cualquier titular de un comercio electrónico, ya que en caso de fraude o falta de implantación de estas medidas, la responsabilidad recae sobre el propio titular. En consecuencia, es totalmente recomendable informarse acerca de los términos suscritos con nuestra entidad y consultar con ella el modo de realizar la implantación y de dar posterior cumplimiento a los requisitos exigidos normativamente.

¿Eso es todo? En absoluto. No queremos dejarnos en el tintero otras cuestiones que, directa o indirectamente, están relacionadas con la Directiva PSD2. Así, resulta fundamental adaptar el ecommerce a la normativa de protección de datos, que impone una serie de obligaciones al titular del sitio web, en su condición de responsable de tratamiento de los datos de sus clientes, entre otras cuestiones. Del mismo modo, es necesario cumplir con los deberes de información que la legislación de consumidores y usuarios y de sociedad de la información imponen, sin mencionar que también resulta imprescindible contar con unos buenos términos y condiciones generales de compra o contratación que establezcan unas reglas claras para la venta de productos y servicios en nuestra plataforma.

En resumen, son varias las cuestiones a tener en cuenta para dar cumplimiento a PSD2, y de entre ellas, destaca la necesidad de implantar un sistema eficaz de doble autenticación; no solo por cumplir con los estándares exigidos normativamente, sino también por tratarse de una cuestión inexcusable que tiene como objeto garantizar la integridad y seguridad de nuestro servicio. Ahora bien, sin dejar de lado el resto de obligaciones aplicables a nuestra plataforma, para evitar que la sorpresa legal nos llegue por otro cauce, y al final resulte que el incumplimiento de PSD2 no sea más que la punta del iceberg.

Un año de RGPD

Parece mentira que hayan pasado diez años desde la constitución de la Asociación Profesional Española de Privacidad (APEP). Los que participamos en su gestación recordamos con cariño el proceso de aglutinación de voluntades que desembocó en el nacimiento de una organización que, en la actualidad, representa a cerca de un millar de profesionales de la protección de datos en nuestro país. Una década después, estos profesionales han querido delegar en mí la enorme responsabilidad de presidir este gran proyecto durante los próximos tres años, junto con un equipo maravilloso que dedica su tiempo y esfuerzo a la tarea de poner en valor la profesión. A todos ellos, ¡gracias!

Si de esta larga década tuviese que destacar un momento clave, que haya marcado un antes y un después en nuestra labor, sin lugar a dudas sería la entrada en aplicación del Reglamento General de Protección de Datos, hace ya doce meses. Hoy, con un año de por medio, podemos mirar atrás con perspectiva y hacer balance de sus primeros coletazos, que recordamos con una mezcla de emociones: justo por estas fechas celebrábamos que el 25 de mayo no se había terminado el mundo, y que habíamos sobrevivido a la vorágine de su implementación; y de aquel estrés, hemos vuelto a una relativa calma… que podríamos calificar como falsa.

De entrada el RGPD trajo consigo un cúmulo de indefiniciones y un halo de inseguridad, que todavía hoy nos hacen recurrir al olvidado arte de la interpretación jurídica. Comenzó a aplicarse sin una normativa local que lo adaptase a nuestro ordenamiento, más allá de la antigua LOPD y su reglamento de desarrollo. Por diversos motivos, la nueva y esperada Ley Orgánica de Protección de Datos no llegó a tiempo: no fue hasta el 6 de diciembre de 2018 cuando se publicó la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que aporta algunos criterios de extraordinaria relevancia, como la necesidad de nombrar un delegado de protección de datos (DPD), y regula el procedimiento sancionador.

También han sido muy positivas las guías de la Agencia Española de Protección de Datos y las directrices del Grupo del Artículo 29, que aportaron cierta dosis interpretativa: aún estamos lejos de lograr la deseada seguridad jurídica, pero se han dado pasos importantes, en especial en lo relativo al nombramiento de DPDs o a la realización de evaluaciones de impacto. Pero como reconoce la Comisión, este esfuerzo es todavía insuficiente: de ahí que inste a los Estados miembros a «crear un entorno predecible y evitar una carga innecesaria para las partes interesadas, sobre todo las pymes«. Quizás está alertando sobre una futura gota fría que llegará en forma de procedimientos sancionadores (atención a España, donde se ha producido un incremento de reclamaciones superior al 33%, según la última memoria de la AEPD); o sobre el previsible lío que se formará en aquellos los procedimientos transfronterizos, donde intervienen varias autoridades de control con diferentes formas de imponer o graduar sanciones… Realmente, lo de «entorno predecible» suena a pronóstico meteorológico que recomienda el uso de bufanda y paraguas, mientras recorremos nuestro camino cargando con los bártulos de la inseguridad jurídica.

Pese a ello, la Comisión Europea valora positivamente este aniversario del RGPD, si bien reconoce que la puesta en práctica de la norma es «un proceso dinámico que no se produce de la noche a la mañana«. Y es un camino demasiado largo como para ir cargando con ese peso, aunque poco a poco vayamos obteniendo mapas o guías para el intenso camino. Tendremos que esperar que el Comité Europeo de Protección de Datos unifique criterios, lo que sin duda ayudará a esclarecer muchas cuestiones. Sin embargo, pasarán años hasta poder tener nueva jurisprudencia referente al RGPD que consolide ese recorrido, y no tener que depender de pronósticos, sino de pronunciamientos sólidos.

Entretanto, será crucial reconducir a quienes no llegaron a tiempo para, al menos, asumir las partes del RGPD más claras, urgentes y perentorias; y que ahora arrastran una herencia difícil de gestionar, en especial con aquellas bases de datos que, hoy por hoy, son potencialmente inservibles. Otros todavía siguen con la idea de que esto de la protección de datos no va con ellos: esa calma inconsciente es la más peligrosa.

Pero estoy seguro que en un par de cumpleaños más podremos tener una mayor certeza para que (aunque sea de vez en cuando), poder salir chanclas y camiseta sin necesidad de preocuparnos por un corte de digestión de RGPD. ¡Por lo menos hasta que nazca su primo, el futuro Reglamento e-Privacy!

El delegado de protección de datos

Siempre he abogado por abordar el cumplimiento de la normativa de protección de datos como un elemento estratégico, ligado a la toma de decisiones dentro de la organización y enfocado a favorecer y aportar valor añadido al negocio. Un planteamiento, que además, permite cumplir dos de los principios clave del RGPD: la responsabilidad activa y la gestión de riesgos.

El pasado miércoles el Senado aprobó el proyecto de Ley Orgánica de Protección de Datos y de Garantías de los Derechos Digitales (LOPD-GDD), y con él un aspecto importante para el adecuado cumplimiento del Reglamento General de Protección de Datos (RGPD): la designación de un delegado de protección de datos (DPD o DPO por sus siglas en inglés). De acuerdo con la norma europea, sus funciones se pueden dividir en tres vertientes:

  • Informar, asesorar y supervisar el cumplimiento de las las obligaciones que impone el RGPD a su empresa.
  • Formar y concienciar a la dirección y a los empleados sobre esta materia.
  • Cooperar con la Agencia Española de Protección de Datos (AEPD) y actuar como punto de contacto con ella.

Gracias a nuestro legislador nacional, las ventajas de nombrar un delegado de protección de datos se incrementan notablemente, hasta el punto de servir de primer parapeto en caso de procedimiento sancionador; y es que la AEPD, en caso de recibir una denuncia de un interesado, podrá remitirla directamente al DPD para que éste trate de resolver el conflicto, evitando así abrir procedimiento sancionador. Aparte de la descarga de trabajo para la administración pública que ello supone (una jugada magistral para que sea el sector privado quien asuma parte de su trabajo), lo cierto es que es una forma fantástica de que convertir el DPD en un perfil más útil y necesario para las empresas.

Su labor, por tanto, será crucial en empresas y entidades que empleen los datos personales para generar valor; pero también delicada, pues tendrá que encajar el desarrollo del negocio con una legislación compleja, que se ve modelada continuamente por los criterios de las autoridades de control y las directrices del Comité Europeo de Protección de Datos. Como he dicho en otras ocasiones, tanto el RGPD como su entorno normativo y aplicativo son tan complejos, que aunque el DPD no fuera obligatorio, sería necesario en muchos casos.

Pero, ¿quiénes deben nombrar un delegado de protección de datos? Como ya hemos tratado en el blog en otras ocasiones, el RGPD no es precisamente claro a la hora de definir quienes están obligados a nombrar un DPD: simplemente aporta criterios, basados en la naturaleza, alcance y/o fines del tratamiento, o en conceptos indeterminados como la «observación habitual y sistemática de interesados a gran escala» dentro de las actividades principales del responsable, o el tratamiento «a gran escala de categorías especiales de datos». Ahí es nada.

En cambio, la nueva LOPD sí aporta más de claridad, pues establece que, en todo caso, determinadas actividades habrán de nombrar un DPD: por ejemplo, clínicas y centros sanitarios (pero no cuando sean profesionales  individuales); aseguradoras, financieras y bancos; centros educativos, como colegios y universidades… pero también las empresas de juego online, las agencias de publicidad y marketing (cuando leven a cabo tratamientos basados en las preferencias de los afectados o elaboren de perfiles de los mismos), las redes de afiliación, o aquellas empresas digitales -comercios electrónicos, redes sociales, proveedores de contenidos online o cualquier otra actividad en Internet- que traten habitual y sistemáticamente datos personales a gran escala.

No se puede entender hoy día casi ningún negocio sin que explote de alguna manera datos personales; y cuantos más tratamientos se hagan, más categorías o tipos de datos (identificativos, económicos, de salud, de comportamiento…) se empleen, a más personas afecten o se utilicen tecnologías cada vez más disruptivas para llevarlos a cabo, mayor necesidad de prevención y control interno se habrá de tener, y más fácil será caer situaciones de riesgo elevado de incumplimiento. Por todo ello, entiendo absolutamente necesario que quienes traten datos de carácter personal, cuenten con expertos en privacidad en su día a día. Así, bien sea como delegado de protección de datos, o como abogado o asesor externo, se debe contar con profesionales cualificados y especializados, especialmente habida cuenta del riesgo que puede suponer no hacer las cosas bien y sus consecuencias. Y a partir de ahora, con la nueva LOPD, ya se acabaron las excusas.

Toca volver a revisar la obligatoriedad o necesidad de contar con estos perfiles y abanderar el cumplimiento de la protección de datos como un valor añadido, una confianza para unos interesados, clientes y usuarios, cada vez más conocedores de sus derechos y más preocupados por hacerlos valer frente a las intromisiones en su esfera personal, que detectan y denuncian con cada vez más frecuencia.

Keyword: marca registrada

Ayer me saltó a los ojos un titular de un periódico digital: «El «humillante» truco de Vodafone para robarle clientes a la ‘low cost’ de Telefónica». Nada como una frase con gancho para leerte toda la noticia, que narraba que Vodafone utilizaba como palabras clave o keywords de Google Adwords «O2 fibra» y «O2online»; todo ello, aderezado con un tweet de un ejecutivo de Telefónica que criticaba de forma bastante vehemente esta estrategia.

Dejando a un margen consideraciones éticas o morales, y sin ánimo de defender al operador británico, hemos de decir que esta práctica puede ser legal conforme a la vigente normativa de marcas… siempre que se cumplan una serie de condiciones.

Pongamos un poco de contexto: la marca registrada «O2» es titularidad de una de las empresas de Grupo Telefónica. El registro de una marca confiere a su titular el derecho exclusivo a usarla en el tráfico económico, y a prohibir, en particular, utilizar la marca en redes de comunicación telemáticas (como Internet) y como nombre de dominio. En este escenario, emplear una marca registrada por un competidor como keyword es, en principio, un uso en Internet, que podría considerarse ilícito.

Partiendo de esa base, la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE) establece que los derechos exclusivos otorgados por el registro de una marca se conceden para garantizar que pueda cumplir las funciones que le son propias, y más en concreto:

  • Para diferenciar los productos y servicios de una empresa de los de las demás (función de diferenciación).
  • Para identificar el origen comercial de un producto o servicio (función de indicación del origen).
  • Para informar de la calidad, naturaleza y características de un producto o servicio (función de garantía).
  • Para fomentar la venta del producto o la prestación del servicio asociado a la marca (función publicitaria).

Según el tribunal, cuando utilizamos términos idénticos a marcas registradas como palabra clave publicitaria en una determinada búsqueda, empleando herramientas como AdWords, podemos afectar a dos de estas funciones: la de indicación del origen y la publicitaria. Veamos hasta qué punto:

  • En lo relativo a la indicación del origen, el TJUE entiende que no se verá menoscabada si un internauta, normalmente informado y razonablemente atento, es capaz de determinar que el anunciante es una empresa tercera, no vinculada al titular de la marca. Para ello, tanto el título, la URL y la descripción del anuncio, como la página web a la que conduzca, deben dejar claro que estamos ante empresas diferentes.
  • En lo que respecta a la función publicitaria, defiende que «cuando el internauta introduce el nombre de una marca como término de búsqueda, la página de inicio del sitio promocional del titular aparece en la lista de resultados naturales, normalmente en uno de los primeros lugares»; y que, por tanto, el uso de la keyword no impide la localización ni el acceso a la web del titular de la marca, por lo que tampoco se menoscaba su función publicitaria.

Aunque utilizar marcas de competidores como keywords publicitarias en buscadores pueda parecernos poco elegante, lo cierto es que podemos calificarlo como legal, siempre que se cumplan los criterios arriba mencionados. Y de hecho, aunque parezca sorprendente, el TJUE entiende que esta práctica puede suponer una expresión de una competencia sana y leal en Internet y, que por lo tanto, se realiza con «justa causa» en el sentido de los -entonces vigentes- artículos 5.2 de la Directiva 89/104/CEE y 9.1.c) del Reglamento (CE) 40/94.

En el caso que nos ocupa, el enlace de O2 ocupaba el primer lugar en los resultados naturales, mientras que el contenido de la publicidad dejaba bastante claro que el anunciante era Vodafone, empresa abiertamente competidora de la filial de Telefónica. Dadas las circunstancias, coincidirán conmigo en que la multinacional española tendría pocas posibilidades si decidiese llevar este asunto a los tribunales, ¿verdad?

Resuelta la anterior cuestión en relación a la publicidad en buscadores (SEM), es posible que algún aficionado al SEO se pregunte si sería legal aprovechar los metadatos de una web para incorporar marcas registradas de competidores como keywords, y así mejorar el posicionamiento natural. Además de contraproducentes (pues son penalizadas por los algoritmos), este tipo de prácticas nos pueden meter en un problema: son varias las resoluciones judiciales que han declarado ilegal el metatagging, entre otros motivos, por atraer la atención del público de forma parasitaria, alterar los resultados naturales de los buscadores y menoscabar las funciones publicitaria y de garantía de la marca. Por tanto, ¡no se la jueguen con los metadatos!