Artículo publicado por Marcos Judel en la revista Red Seguridad.

Lea el artículo completo [+]

Les invito a ponerse en el lugar del periodista. Trabaja en una pequeña capital de provincia. Es un caluroso viernes de julio, y llega a la redacción una noticia impactante, de esas que raras veces ocurren en un lugar tan tranquilo. Un trágico suceso: una persona dispara a su hermano e, inmediatamente, se suicida con idéntica escopeta. Abrirá el diario, sin lugar a dudas, ¡y hay que buscar información! Hablar con los vecinos («quién lo iba a pensar: era muy buen chico, saludaba todas las mañanas»), tratar de obtener algún detalle de la investigación… ¡y visitar el Facebook de la víctima! ¿Qué mejor forma de obtener una fotografía con la que ilustrar la noticia?

Pero he aquí que el herido, ya recuperado, no se toma muy bien eso de que su rostro presida todos los kioskos a la mañana siguiente de recibir un tiro. Y decide demandar al periódico. Tras las preceptivas sentencias de instancia y apelación, el caso llegó al Tribunal Supremo, que dictó sentencia el pasado día 15… con un aviso a navegantes para periodistas: publicar la foto de la víctima de un delito, obtenida de su Facebook sin su consentimiento, constituye una intromisión ilegítima en su derecho a la propia imagen. Que en el caso que nos ocupa se saldó con una indemnización de 15.000€, y la condena al periódico a retirar la fotografía y a publicar un resumen de la sentencia en sus páginas. Ahí es nada.

La propia imagen, tanto en España como en los demás países de nuestro entorno, está considerada un derecho fundamental. A pesar de su estrecha vinculación a la intimidad, el honor o la protección de datos personales, el Tribunal Constitucional dejó muy clara su naturaleza autónoma en una sentencia de 2001, que en su fundamento cuarto aclara lo siguiente:

«[El derecho a la propia imagen es] un derecho constitucional autónomo que dispone de un ámbito específico de protección frente a reproducciones de la imagen que, afectando a la esfera personal de su titular, no lesionan su buen nombre ni dan a conocer su vida íntima, pretendiendo la salvaguarda de un ámbito propio y reservado, aunque no íntimo, frente a la acción y conocimiento de los demás. Por ello atribuye a su titular la facultad para evitar la difusión incondicionada de su aspecto físico, ya que constituye el primer elemento configurador de la esfera personal de todo individuo, en cuanto instrumento básico de identificación y proyección exterior y factor imprescindible para su propio reconocimiento como sujeto individual.»

La sentencia del Tribunal Supremo que analizamos hoy razona que colgar una foto en una red social no implica autorizar a terceros «a reproducirla en un medio de comunicación sin el consentimiento del titular». Y ello, aunque se publique de tal forma que cualquiera tenga la posibilidad de acceder a ella: como explica el ponente, «la finalidad de una cuenta abierta en una red social en Internet es la comunicación de su titular con terceros y la posibilidad de que esos terceros puedan tener acceso al contenido de esa cuenta e interactuar con su titular, pero no que pueda publicarse la imagen del titular de la cuenta en un medio de comunicación». Una interesante reflexión, que complementa afirmando que el hecho de que colguemos una foto en una red social, o un blog o cualquier otra web, no puede entenderse como una autorización para que cualquier tercero la reproduzca o divulgue, «pues no constituye el «consentimiento expreso» que prevé el art. 2.2 de la Ley Orgánica 1/1982 como excluyente de la ilicitud de la captación, reproducción o publicación de la imagen de una persona». Dicho de otra manera, el consentimiento otorgado para un uso público concreto de una fotografía no puede entenderse como una autorización implícita para cualesquiera otros usos de tal fotografía.

El razonamiento anterior se antoja impecable, desde el punto de vista del derecho a la propia imagen. Pero debe ser ponderado, en el caso que nos ocupa, con otro derecho fundamental: la libertad de información del medio, que le autoriza a publicar noticias veraces, de relevancia o interés público. Ambos requisitos se dan en el caso que nos ocupa, dada la gravedad de los hechos; pero no son suficientes, a juicio del Tribunal, para justificar la publicación de una imagen de la víctima del suceso, máxime cuando se obtiene de una red social y sin su consentimiento. De ahí la condena.

Ponderar derechos fundamentales es siempre complicado: trazar los difusos límites entre unos y otros preceptos constitucionales exige un análisis meticuloso de las circunstancias aplicables a cada caso concreto. De ahí que no siempre sea posible (ni recomendable) extraer reglas generales de sentencias como las que nos ocupan, pues tratan de arrojar luz sobre una situación única y específica que difícilmente se repetirá. ¿Que nos permiten inferir criterios útiles para el futuro? Sin duda. Pero alcanzar conclusiones maximalistas de esta resolución, como hemos visto en algunos titulares, se me antoja exagerado, máxime cuando el medio afectado todavía puede acudir al Tribunal Constitucional.

Entretanto, el consejo para los medios de comunicación debe ser el mismo que siempre aplicamos: prudencia. Las redes sociales son fuentes casi inagotables de información, sobre todo de tipo gráfico. Pero, si nos parece lógico identificar a las víctimas de un delito solo con sus iniciales, para evitarles perjuicios innecesarios, ¿es razonable acompañar una noticia de sucesos con la fotografía de su perfil de Facebook?

Todos los internautas sabemos que no es tan fácil como hace unos pocos años ver nuestra serie favorita en streaming. Las páginas que permitían encontrar obras alojadas en servicios de reproducción online, las llamadas páginas de enlaces, están en el punto de mira del regulador (atendiendo a la última reforma de la Ley de Propiedad Intelectual y del Código Penal) y de los jueces.

En los últimos años, son varios los asuntos en los que el Tribunal de Justicia de la Unión Europea (TJUE) ha tenido que lidiar con la legalidad de los enlaces de Internet. Mediante las correspondientes resoluciones, el TJUE ha ido perfilando cuándo enlazar constituye una infracción de derechos de propiedad intelectual y cuándo no. En particular, la cuestión que se trata de dilucidar en todos los asuntos es, fundamentalmente, si enlazar constituye o no un acto de comunicación pública. El derecho a comunicar públicamente una obra corresponde, casi siempre, a sus autores, por el mero hecho de haberla creado. Algunos ejemplos de comunicación pública son, entre otros, interpretar una canción en directo o publicar una fotografía en Internet.

Primero fue la sentencia Svensson (asunto C-466/12, de 13 de febrero de 2014), cuya principal conclusión es que enlazar desde un sitio web a un contenido publicado en otro sitio con el consentimiento del titular de los derechos sobre dicho contenido no es comunicación pública siempre que ello no implique que la obra sea accesible para un conjunto de personas distinto de aquél que el autor o el titular de derechos pretendió en origen. En concreto, se consideró que enlazar desde una web a unos artículos publicados en otro sitio web, con consentimiento de sus respectivos autores, no era comunicación pública. Y se entendió que, al haber consentido los autores la primera publicación, los artículos quedaban a disposición de todos los usuarios de Internet, y el hecho de enlazarlos desde otro sitio web no ampliaba el público al que iban dirigidos (que abarcaba al conjunto de los internautas).

En el auto Bestwater (asunto C-348/13, de 21 de octubre de 2014), el TJUE recurría a los argumentos expuestos en la sentencia Svensson para concluir que enlazar a un vídeo de Youtube publicado por sus autores o titulares no suponía un acto de comunicación al público, pues el público al que dicho vídeo iba dirigido en origen no se veía ampliado por el hecho de enlazarlo desde otro sitio web. Nuevamente, el contenido enlazado había sido publicado con consentimiento su titular, pero… ¿qué habría ocurrido si dicho consentimiento no existiese?

El TJUE tuvo por fin la ocasión de pronunciarse al respecto el pasado 8 de septiembre, en la sentencia GS Media (asunto C-160/15). Sin perjuicio de los criterios expuestos en los asuntos Svensson y Bestwater, se concluyó que hay comunicación pública si el sujeto tiene conocimiento de que los contenidos en la web enlazada infringen derechos de autor, presumiéndose dicho conocimiento si hay ánimo de lucro (si bien cabría prueba en contrario).

En un ejemplo, no habrá comunicación pública si una persona publica en su blog personal un enlace a un vídeo disponible en otro sitio web sin el consentimiento de sus autores, siempre que desconozca su ilicitud y que lo haya hecho sin ánimo de lucro. Sí habrá comunicación pública y, por tanto, infracción de derechos de propiedad intelectual, en el caso de casi todas las famosas webs de enlaces en las que muchos estamos pensando.

Esta última sentencia ha sido duramente criticada, no tanto por su sentido como por los fundamentos utilizados: Por un lado, resulta sorprendente que para determinar la existencia o no de comunicación pública no sólo se tomen en consideración circunstancias del propio acto, sino también circunstancias personales del sujeto que lo realiza (la existencia de ánimo de lucro y su conocimiento de la infracción). Es cierto que el conocimiento es un elemento importante en la responsabilidad de los intermediarios en Internet, pero nunca lo ha sido para determinar la existencia o no de la infracción de derechos de autor que puede originar tal responsabilidad.

Otro ejemplo: el titular de un foro en el que un usuario postea fotografías sin el consentimiento de su autor será responsable si tiene conocimiento efectivo de que una fotografía se ha comunicado al público a través de su foro, y no hace nada por impedirlo. No obstante, para dilucidar si dicha fotografía se ha comunicado públicamente o no, no es necesario recurrir al elemento del conocimiento.

Por otra parte, cabría discutir si la actividad de enlazar a una obra ilícitamente publicada supone hacerla accesible a un público nuevo (requisito exigido por la doctrina Svensson para considerar que existe comunicación pública), en la medida en que aquélla ya estuviese disponible en Internet, al margen del enlace. ¿Qué opinan ustedes?

Críticas aparte, tendremos que aguardar a las próximas resoluciones del TJUE sobre esta cuestión de cara a confirmar la doctrina del tribunal, así como para conocer posibles matices. Como ven, ¡toca esperar!

En pleno proceso de apaciguar fieras hambrientas de conocimiento sobre cómo les iba a afectar el entonces futuro Reglamento General de Protección de Datos (por aquel entonces, otra versión de un borrador que había que estudiar), en octubre de 2015 el Tribunal de Justicia de la Unión Europea tuvo a bien cargarse el acuerdo de Safe Harbor. Recuerdo que reinó el caos. Era como si para muchos el invierno hubiera llegado sin avisar, de golpe, sin cinco temporadas avisando de que sucedería… (lo siento, todavía estoy impactado por el último capítulo de Juego de Tornos).

Empiezo por el final y hago un spoiler: ¡El Privacy Shield ha llegado! O lo que es lo mismo, las empresas vuelven a tener el amparo de un acuerdo entre la Comisión Europea y el Departamento de Comercio de Estados Unidos para que los flujos de datos entre uno y otro lado del Atlántico vuelvan a producirse sin necesidad de complicadas y costosas cargas legales y administrativas.

Volviendo la vista atrás, el Tribunal de Justicia de la Unión Europea invalidaba el acuerdo al considerar que las garantías de protección en EE.UU. no eran adecuadas, lo que provocó un buen susto a las empresas de nuestro país (y a las europeas, en general) que, bien por formar parte de un grupo multinacional, bien por tener proveedores de cloud computing, hosting o servicios web al otro lado del Atlántico, realizaban estos flujos en forma de operaciones intragrupo o de prestaciones de servicios. Tras la sentencia, la AEPD anunció el cambio de criterio, dando de plazo hasta finales de enero de 2016 para comenzar a perseguir las posibles infracciones, tal y como se acordó en el seno del Grupo del Artículo 29. Y a partir de ahí reinó el caos, pues ello suponía, para muchísimas empresas, exponerse a importantes sanciones.

La movilización fue total. De esta forma y en tales plazos, no sólo se produjo un éxodo a proveedores de servicios Europeos (o de EE.UU. pero con instalaciones en la Unión) por parte de las empresas, sino que, en muchas ocasiones, los abogados tuvimos que actuar rápidamente en las tareas más engorrosas. Tratar de restablecer un marco de seguridad jurídica, perdido tras la sentencia, mediante un proceso mucho más complejo, caro y muchas veces ininteligible por parte de éstas, era necesario y urgente. Así que hubimos de volcarnos en la redacción de solicitudes de autorización al Director de la Agencia Española de Protección de Datos para realizar transferencias internacionales, o en proponer la ardua tarea de adoptar normas corporativas vinculantes («BCR») en el seno de organizaciones internacionales, un proceso todavía más complicado. Más caos.

Sin embargo, la maquinaria de la Comisión Europea se activó, y comenzó a negociar con el Departamento de Comercio estadounidense un nuevo acuerdo. Algo que creímos que sería rápido e indoloro para las empresas, y que llegaría a finales de enero, con el atratactivo nombre de Privacy Shield, apurando los plazos previstos por las autoridades de supervisión… pero que no se terminó de concretar, en gran medida por la airada reacción del Grupo del Artículo 29 al primer texto publicado desde Bruselas. Otro revés del guión que nos dejaba en vilo.

De hecho, no eran muy esperanzadoras las noticias que nos trasladaban desde la Comisión Europea nos trasladaron en el IV Congreso de Privacidad APEP. Al parecer la negociación estaba siendo larga, dura, e incluso la alargada sombra del acuerdo comercial TTIP (Tratado Transatlántico de Comercio e Inversiones) influía en el tira y afloja de las negociaciones. El segundo plazo para alcanzar un nuevo acuerdo (junio) no se iba a cumplir, y así nos lo pareció y nos lo creímos. Siendo sinceros, ¿cómo íbamos a imaginar que esta vez se cumplirían los plazos?

Llegó el 30 de junio y sin rastro del ansiado acuerdo. Pero finalmente, con algo de retraso sobre el plan previsto, han cumplido: bienvenida sea la Decisión de la Comisión de 12 de julio de 2016.

El invierno se aleja y vuelve la luz a las empresas, que desde hoy cuentan con un marco habilitante para transferencias internacionales sencillo, económico y adecuado para el desarrollo de los negocios digitales. Un nuevo acuerdo que comparte muchos principios con el Safe Harbour e incluye otros nuevos, tendentes a que exista una mayor protección de los datos de europeos que acaban en EE.UU. Si bien lo analizaremos con más detenimiento en un próximo artículo, la noticia debe ser entendida como motivo de alivio y satisfacción. Pero la vida real es como la ficción con la que encabezaba esta entrada, cuando ya parece que va a haber calma y las cosas vuelven a su sitio… ¡van los Británicos y hacen un BrexTICs! Otro giro de guión para mantener la tensión.

Por cierto, en respuesta a las preguntas que formulaba Eneko en su artículo, qué duda cabe de que cuando los británicos abandonen la U.E., los flujos de datos a este país serán transferencias internacionales. La verdadera cuestión es: ¿será preciso reconocer al Reino Unido como país adecuado? ¿Harán un acuerdo del tipo Beefeater Privacy? ¿O tendremos que volver a empezar a lidiar con la documentación legal, las policy y las autorizaciones, pero esta vez con los sajones originales? Lo que está claro es que esta serie sobre la protección de datos y su libre circulación da muchos giros, y nos tiene a todos pendientes.

Keep calm. Keeeeeep caaaaalmmmm… O, de una forma un poco más propia de nuestros lares, tranquilidad y buenos alimentos, porque ha ganado el «leave» en el referendum y, efectivamente, eso supone que (al menos sobre el papel) el Reino Unido ha decidido dejar de pertenecer a la Unión Europea.

Antes de la más que probable oleada de dudas respecto a “cómo afecta esto a mi empresa / start-up / ventas online a Londres / exportaciones / etc.” vamos a centrarnos en dar un mensaje claro: es el momento de que las decisiones sean tomadas con calma, tranquilidad y el máximo de información posible. Lo que viene a significar: tiempo y paciencia.

Sin pretender un análisis político (no estamos aquí para esos gigantes, Sancho), parece claro que algunas cosas cambiarán, pero no podemos saber hasta qué punto si no esperamos a conocer cuál va ser la consecuencia política en materia de aplicación de legislación comunitaria, directivas europeas, normas armonizadas…

Como los tiempos de cambios son, a la vez, tiempos de templanza pero también de audaces, me la juego en plan oráculo a adivinar las preguntas más habituales de los próximos días. Que no se diga: ¿Cómo afecta el Brexit a las TICS? ¿Tenemos BrexTIC?:

• ¿Seguirá aplicándose el mismo sistema impositivo a la compraventa de productos electrónicos (ebooks, software, videojuegos…) o será diferente?
• ¿Seguirán considerándose los tratamientos realizados en territorio de UK, a efectos de la normativa de protección de datos, como europeos? ¿Habrá que considerarlos transferencias internacionales? ¿Tendrá que solicitar el Reino Unido la adecuación?
• ¿Enviar productos comprados online a Londres desde mi tienda de Badajoz se considerará exportación? ¿Tendrán que pasar por una aduana?
• ¿Aplica el límite de valor de 150 euros por pedidos (típico inglés) para que me graven con aranceles, además de con impuestos de valor añadido? ¿Nos abocamos a un universo de productos a 149,99?

Todo esto y mucho más, casi seguro, llegará en forma de mails de clientes preocupados los próximos días, y es lógico que así sea porque la bolsa no es la única que se ve afectada por este tipo de noticias: la incertidumbre es como los caminantes blancos de Juego de Tronos: una vez que se libera no hay quien la pare (y los abogados no contamos precisamente con plumas de acero valyrio). Así que a todo esto y a mucho más, no puede por ahora darse una respuesta segura, ya que, literalmente, no podemos saberlo.

Los abogados no vamos a tener respuestas milagrosas: sin saber los acuerdos bilaterales que el Reino Unido mantenga (o cree) con la Unión Europea, resulta a todas luces complicado (decir imposible suena mal) que se pueda ofrecer un escenario de seguridad jurídica firme. Es posible que sea preciso hacer algunos cambios en condiciones legales de páginas web, y sin duda el escenario en materia de protección de datos variará sensiblemente, aunque el contexto tampoco es especialmente malo teniendo en cuenta que actualmente nos encontramos en pleno proceso de asimilación del Reglamento europeo (que en un mundo ideal, se debería interpretar para tener en cuenta el nuevo contexto, o al menos para ahorrarnos en parte las incertidumbres que ya hemos ofrecido con en el caso de los Estados Unidos).

Así que, por ahora, y como empezábamos, keep calm with BrexTIC, and trust your lawyer… que aún no ha cambiado nada, amigo Sancho.