El Margen de la Ley :: El Blog de Audens
Audens
  1. Audens
  2. >
  3. Blog

Delitos contra la propiedad intelectual

El viento aumentó hasta ser un aullido; las olas entrechocaron sus escudos: el chubasco entero rugió, se dividió y crepitó en torno a nosotros como un fuego blanco por la pradera, en que ardíamos sin consumirnos…». Pocos pasajes definen mejor la tormenta perfecta a la que se enfrentan las páginas de enlaces que este fragmento de Moby Dick, la obra maestra de Herman Melville. Si en el pasado les hablábamos de la reforma de la Ley de Propiedad Intelectual y sus consecuencias para este tipo de webs, en lo que supuso el primer embate serio contra su casco, en este año que comienza la nave hace aguas por sus cuatro costados. Las bombas de achique comienzan a no dar abasto… y, en muchos casos, la orquesta sigue tocando.

Primero vino la sentencia Svensson, y su intepretación sobre la posibilidad de que un simple enlace implique una comunicación pública no autorizada. Después, la reforma del Código Penal y su remozado artículo 270, que tipifica el hecho de facilitar «el acceso o la localización en internet de obras o prestaciones objeto de propiedad intelectual sin la autorización de sus titulares», cuando medie ánimo de lucro y se perjudique a un tercero. Y ahora ve la luz la Circular 8/2015, de 21 de diciembre, de la Fiscalía General del Estado (PDF), que analiza esta reforma y establece criterios comunes de actuación para los fiscales ante este tipo de conductas, y ante otras muchas que vulneran los derechos de los creadores y la industria cultural.

Antes de abordar el documento, permítanme tres apuntes: el primero, indefectiblemente, pasa por recordar la necesaria intervención mínima del derecho penal, que debe reservar su actuación a aquellas conductas más graves. Así lo recuerda la propia norma, al recoger en su exposición de motivos «que la Ley de Propiedad Intelectual es el instrumento de protección natural en esta materia y que es absolutamente necesario lograr un cierto equilibrio entre esa protección de la propiedad intelectual y la que también deriva del legítimo uso de las nuevas tecnologías de la información y comunicación». La segunda es el principio de legalidad, según el cual no se puede condenar a una persona por un delito que no estuviese tipificado y vigente en el momento de su comisión, por lo que esta nueva normativa no es aplicable a aquellas conductas anteriores al 1 de julio de 2015. Y la tercera, más política que jurídica, es destacar la celeridad de la fiscalía a la hora de abordar estas cuestiones: hacer público un análisis tan sólido pasados menos de seis meses de la entrada en vigor de la norma es más que elogiable, por la seguridad jurídica que aporta. Nuestras felicitaciones por ello.

Con la concisión implícita en el formato, me gustaría destacar algunos aspectos de la Circular que clarifican el panorama de los delitos contra la propiedad intelectual:

  • Ratifica la aplicación de la interpretación realizada en la sentencia Svensson al ámbito penal: aquellos enlaces que permitan acceder a una obra protegida a un público nuevo, distinto al previsto por los titulares de los derechos de autor cuando autorizaron la difusión inicial de la obra, constituyen una comunicación pública potencialmente delictiva.
  • Analiza el nuevo artículo 270.2 del Código Penal, que atañe tanto a las páginas de enlaces como a los servidores que alojan contenidos, y lo pone en relación con las exenciones de responsabilidad previstas en la Ley de Servicios de la Sociedad de la Información y con la regla del conocimiento efectivo. La fiscalía va a realizar una interpretación amplia de este concepto, basándose en la abundante doctrina del Tribunal Supremo que no considera imprescindible que medie notificación por la autoridad competente. En su opinión, basta con que se demuestre que el responsable del sitio web tenía conocimiento del hecho delictivo, algo bastante probable en una página que se titule «estrenos gratis» o similar.
  • Para que hablemos de delito se requiere un «beneficio económico directo o indirecto», que la fiscalía entiende que ha de tener escala comercial. El mero ahorro derivado de acceder gratuitamente a la obra no bastaría para incriminar, por lo que acceder a una película o un capítulo de una serie a través de una web de enlaces seguirá sin ser delito; pero sí sería penalmente reprobable el obtener ingresos publicitarios, fruto de publicarla en una web.
  • Recuerda que el Código Penal tipifica ahora la infracción de «prestaciones» objeto de propiedad intelectual, ya no solo de obras. Este matiz, aparentemente insignificante, permite perseguir acciones como retransmitir eventos deportivos a través de Internet, por poner un ejemplo.

La Circular no se detiene aquí: aborda otras novedades, como la nueva redacción del artículo dedicado a la eliminación o elusión de la protección de software u otras obras protegidas (chipeado de consolas, crackeado de licencias, descifrado de DVDs…), los subtipos agravados o las medidas (cautelares o definitivas) que se ponen a disposición de los jueces para luchar contra estas infracciones. Por limitaciones de espacio no podemos abordarlas hoy, pero esperamos poder hacerlo más adelante. Entretanto, les invito a hojear el documento o cuando menos, si no tienen tiempo para estudiar sus más de 70 páginas, sus conclusiones (páginas 62 y siguientes). Y si, por alguna casualidad, tienen una web de enlaces, ¡piénsenselo dos veces antes de seguir operando desde España! ¡Las penas son realmente elevadas!

El (supuesto) ultimátum de la AEPD

Dice la 22ª edición del Libro de Estilo de El País que «los titulares han de ser inequívocos, concretos, accesibles para todo tipo de lectores y ajenos a cualquier clase de sensacionalismo». Si bien es cierto que esta exhortación, tan lógica y cabal, se ve cuestionada día tras día por las imposiciones del marketing, la búsqueda del equilibrio entre lo atractivo y lo veraz debe de ser, en mi opinión, la meta de todo periodista al encabezar una noticia. Cuando ese equilibrio se rompe, puede suceder que te hagan un «zasca» en toda regla, y eso es lo que le ha pasado a El Confidencial en el día de ayer.

Partamos de una realidad: a raíz de la declaración de invalidez del marco Safe Harbor por el Tribunal de Justicia de la Unión Europea, la Agencia Española de Protección de Datos remitió una serie de requerimientos a aquellas entidades que, al declarar sus ficheros, manifestaron que transferían datos personales a empresas estadounidenses adheridas a los principios de Puerto Seguro. Básicamente, se les instaba a comunicar a la AEPD, antes del 29 de enero de 2016, si iban a continuar realizando las transferencias y, de ser así, cómo pretendían adecuarse a la normativa de protección de datos.

Partiendo de esta realidad, El Confidencial decidió titular: «Ultimátum de la AEPD a empresas españolas: prohibido usar Dropbox o Google Apps«… y, ante el revuelo formado (ni se imaginan la cantidad de llamadas recibidas ayer en el despacho), la propia Agencia se vio obligada a publicar un desmentido en su página web, que les invito a leer: ni existe tal ultimátum, ni oficialmente se prejuzga la adecuación a la legalidad de las herramientas en cuestión.

No es práctica de nuestro bufete criticar publicaciones ajenas pero, dadas las circunstancias, me van a permitir que les aclare un par de puntos sobre el resto del artículo, habida cuenta que el titular se cae por su propio peso. El cuerpo de la noticia comienza de forma impecable: si transferíamos datos a Estados Unidos amparados en que el destinatario estaba acogido al marco Safe Harbor, tenemos que buscar una nueva base legal para hacerlo de entre las que nos ofrece la Ley: autorización de la directora de la AEPD o encaje en alguna de las excepciones previstas (entre ellas, el consentimiento); y debemos informar a la Agencia de nuestra decisión, en el plazo indicado.

A partir de ahí, y a la hora de poner ejemplos, vuelven los deslices. El principal tiene que ver con Twitter, y aunque la explicación es un poco técnica, voy a tratar de exponerla de forma comprensible. La Agencia distingue entre dos tipos de «responsables» a efectos de la LOPD: por un lado, habla del «responsable del fichero», que básicamente es quien ostenta el control sobre el fichero en su conjunto; y por otro, de «responsable del tratamiento», que decide sobre concretas acciones que se realizan con los datos registrados en él. Habitualmente, ambas categorías confluyen en la misma persona, pero no siempre es así: piensen en la inclusión de un ciudadano en un registro de morosos. El responsable del fichero es la empresa que gestiona el listado como tal, mientras que el responsable del tratamiento es la entidad que toma la decisión de incribir al supuesto causante del impago, y la que responderá en caso de error. Gracias a esta construcción, empresas como Equifax o Experian apenas son sancionadas, mientras sus clientes (especialmente, empresas de telefonía) copan el podio de los infractores de la LOPD año tras año.

Pues bien, esta estructura es igualmente aplicable a plataformas sociales como Twitter: si una empresa española abre una cuenta en dicha red, el responsable del fichero será Twitter Inc., con sede en San Francisco, mientras la empresa será únicamente responsable de los tratamientos que realice con los datos de sus seguidores, por poner un ejemplo. Cada una responderá de aquellas áreas a las que alcance su capacidad de decisión, por lo que difícilmente se podrá obligar a la empresa de nuestro ejemplo a inscribir un fichero de la red social, adoptar ciertas medidas de seguridad o solicitar autorizaciones de transferencias internacionales, porque el responsable de asumirlas sería, en último caso, Twitter.

Aclarado este punto, y siguiendo con el ejemplo, ¿realiza Twitter transferencias internacionales de datos desde España a Estados Unidos? Aunque la respuesta a esta pregunta requeriría conocer mejor la infraestructura de servidores de esta plataforma, me inclino por el «no», por un motivo sencillo: quienes envían los datos al extrajero son los propios tuiteros, al editar sus perfiles, publicar sus actualizaciones, interactuar… Dicho de otra forma, son los usuarios quienes, voluntariamente, depositan sus datos en los servidores de Twitter.

Por todo lo anterior, afirmar (como parece hacer el artículo) que el simple uso de un widget de Twitter implica la necesidad de justificar exportaciones de datos ante la AEPD es, cuando menos, aventurado, incluso falto de prudencia, en el sentido que la RAE le atribuye en la primera de sus acepciones.

Y, si les interesa el tema, pueden profundizar en informes como este, o las páginas 340 y siguientes de la obra «Protección de datos: comentarios al reglamento«, editada por Lex Nova. ¡No tienen pérdida!

Black Friday. Guía para vendedores online.

Tras el «Single’s day», el «Black Friday» y el «Cibermonday» están ya a la vuelta de la esquina. Ambas, tradiciones importadas de EE.UU. (que da el pistoletazo de salida a las compras navideñas con descuentos especiales tras su día de Acción de Gracias) que en España calan cada vez más. Para este año, se prevén unas transacciones de 1.172 millones de euros en el entorno online, lo que de confirmarse implicará un nuevo récord de ventas. Al parecer, Seur realizó en 2014 un 33% más en envíos en estas fechas, y este año se prepara para un incremento del 25% respecto al año pasado… todo un indicador del éxito del comercio electrónico.

También cada vez son más las marcas, tiendas y marketplaces que se lanzan a promover el Black Friday con ofertas en sus páginas web y tiendas online. Aprovechando que el próximo viernes 27 de noviembre será uno de los días donde más transacciones se efectuarán, vamos a recordar algunas cuestiones que los vendedores deben tener en cuenta.

El gran aliciente de estas fechas son las rebajas. Cabe recordar que las ofertas y promociones son vinculantes y pocas excusas valen ante fallos al definir la oferta, las características del producto o su precio. Cualquier error en la publicidad se interpreta siempre a favor del consumidor o usuario, y como bien saben nuestros lectores, coletillas como el ya clásico «salvo error tipográfico» no cuelan.

La información facilitada por el vendedor debe ser muy clara y concisa respecto a su identidad, vías alternativas de contacto y ejercicio de derechos por parte de los usuarios. Y también debe ser precisa la indicación de los pasos para la contratación, de las condiciones legales aplicables a la misma, del tratamiento de datos personales (especialmente en cuanto a su finalidad publicitaria), del etiquetado o envasado, de las garantías, de los gastos de transporte, de la forma de pago… y, especialmente, de las condiciones de la promoción.

Y es que resulta muy relevante distinguir entre promociones aisladas o aquellas otras que afecten al menos a la mitad de los artículos puestos a la venta, pues las obligaciones publicitarias son distintas.  Las promociones globales requieren que se aporte mucha más información de lo habitual, como por ejemplo, los precios del descuento, la duración o las reglas específicas aplicables a las mismas (por ejemplo, el número de existencias si son limitadas, o las condiciones de las ofertas con regalos). En este sentido, contar con un texto legal específico para las promociones, que complemente el general dl sitio web, será sumamente útil para prevenir malentendidos y reclamaciones.

Otra duda recurrente en cuanto al comercio electrónico es el alcance del derecho de desistir del contrato que la ley otorga al consumidor o usuario que compra o contrata a través de Internet un bien o servicio. Desde verano de 2014 el derecho de desistimiento ha sido modificado, estableciendo nuevos plazos (se ha pasado de 7 a 14 días, que se amplían hasta 12 meses para los casos en los que el vendedor no facilite la información adecuada), o aclarando cuestiones relevantes sobre los gastos de devolución o las penalizaciones por el desistimiento. No basta, por tanto, con informar al consumidor en el entorno online, sino que deben establecerse también los procedimientos internos oportunos para atender las peticiones realizadas por los usuarios.

El desistimiento no es universal, y en algunas ocasiones el comprador puede no tener razón. En estos casos, es fundamental conocer el alcance y los límites del desistimiento en relación a los productos o servicios que se comercializan. De esta forma, tanto la información existente en la web de forma previa, como las posteriores comunicaciones con el comprador, deben ser lo suficientemente fundadas tanto desde el punto de vista técnico como del legal, para solucionar cualquier reclamación y evitar conflictos mayores. Además, dejar todo documentado servirá para defenderse de una propuesta de sanción por algún órgano competente que haya actuado de oficio, o de una denuncia de un comprador indignado.

En este sentido, en vísperas a una de las mayores campañas de venta onlinecabe aconsejar que se revisen los textos legales y los procedimientos de venta y contratación para adecuarlos, en su caso, a la normativa, especialmente a la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, a la Ley General para la Defensa de los Consumidores y Usuarios y a la Ley de Protección de Datos. Normativas, éstas,cuyas infracciones pueden ser perseguidas, según la materia, los casos y la gravedad, por la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, por el Ministerio de Industria, Energía y Turismo, por la Agencia Española de Protección de Datos o por el Instituto Nacional del Consumo, e incluso por cada uno de los órganos o entidades correspondientes de las comunidades autónomas y de las corporaciones locales competentes en materia de defensa de los consumidores y usuarios.

Desde luego, quien firma este artículo, comprará un año más a través de Internet el próximo viernes, y lo hará en páginas que ofrezcan toda esa información de forma adecuada, pues suelen ser sinónimo de garantía y éxito en la compra. Una garantía, además que hará que el sector del ecommerce se siga afianzando y creciendo.

Safe Harbor ha caído, ¿y ahora qué?

Puede que muchos de ustedes no hayan oído hablar nunca del «Acuerdo de Puerto Seguro» (Safe Harbor Agreement), pero es, probablemente, uno de los marcos internacionales que más influencia ha tenido en nuestras vidas. En esencia, simplificaba enormemente el flujo de datos personales entre Europa y los Estados Unidos, una necesidad incuestionable en la sociedad hipertecnificada y globalizada en la que vivimos. Y digo «simplificaba», en pasado, porque la Decisión de la Comisión que lo sostenía ha sido declarada inválida por el Tribunal de Justicia de la Unión Europea, retrotayendo las relaciones a ambos lados del Atlántico a los años 90, en lo que a tratamiento de datos se refiere.

Por ponerles en contexto, el Acuerdo de Puerto Seguro trae causa de la inflexibilidad de la normativa europea en lo que a enviar datos de carácter personal fuera de la Unión se refiere. La Directiva 95/46/CE, que armoniza la materia a nivel comunitario, no puede ser más clara al afirmar, en su considerando 58, que «cuando un país no ofrezca un nivel de protección adecuado debe prohibirse la transferencia al mismo de datos personales». Una afirmación categórica que, aplicada a los Estados Unidos, implica el veto al envío de datos a su territorio, porque su sistema jurídico (basado en el common law y firme partidario de la autorregulación) carece de una normativa unitaria de protección de la privacidad. Y no por descuido o dejadez, sino porque sus legisladores están convencidos de que las soluciones actuales funcionan, y no tienen intención alguna de cambiarlas. Algo que, por otra parte, es perfectamente lógico y legítimo.

La aprobación de la Directiva, sin embargo, trajo consigo un formidable problema: las multinacionales estadounidenses, con importantes intereses en Europa, se encontraban con que no podían utilizar los datos recabados en nuestro continente sin exponerse a graves sanciones (en nuestro país, de hasta 600.000 €), o someterse a largos procesos de autorización previa. Así, presionaron al Departamento de Comercio para que reclamase a sus colegas europeos alternativas viables, y la solución fueron los Principios de Puerto Seguro: un sistema de adhesión voluntaria por el que las empresas se comprometían a obedecer una serie de reglas en materia de privacidad, sometiéndose a la jurisdicción de la Federal Trade Commission para garantizar su cumplimiento. A pesar de la preocupación manifestada por el Grupo del Artículo 29 en varios de sus documentos, el interés político y económico en alcanzar un acuerdo en la materia dieron lugar al reconocimiento, por la Comisión Europea, de la adecuación de este sistema al derecho europeo. Dicho de otra manera: se admitió que las empresas adheridas a «Safe Harbor» ofrecían un nivel de protección adecuado, eliminando trabas burocráticas al flujo transatlántico de datos.

Cuando todo parecía solventado, gracias a una solución flexible e imaginativa venida de allende los mares, los atentados de las Torres Gemelas y la posterior guerra contra el terrorismo vinieron a complicar nuevamente el contexto normativo: los Estados Unidos comenzaron a generar normas y programas tendentes a vigilar de forma sistemática la información mantenida por sus empresas. Algo que, especialmente tras las revelaciones de Edward Snowden, puso en pie de guerra a activistas y defensores de los derechos humanos en todo el mundo, incluida Europa. ¿Cómo considerar «adecuado», desde el punto de vista de la privacidad, a un país que analiza sistemáticamente los datos personales de los europeos?

La sentencia publicada hoy no hace sino acoger esta preocupación, algo que desde el punto de vista de la protección de los derechos fundamentales debe ser calificado como un éxito, pero que complica inmensamente el comercio internacional y el funcionamiento de nuestro tejido económico, tan dependiente de empesas como Amazon, Google, Facebook, Microsoft, Apple… El Tribunal ha hecho nuevamente gala de su independencia de los poderes ejecutivo y legislativo, pero las consecuencias pueden ser tremendas, máxime en el marco de la negociación del Tratado de Libre Comercio (el famoso TTIP).

Entretanto, las empresas que transfieran datos a Estados Unidos se enfrentan a un formidable dilema. Con la declaración de invalidez de la Decisión, nuestra normativa de protección de datos obliga a buscar una base jurídica alternativa para la transferencia de datos a Estados Unidos. En ocasiones, esa base jurídica podrá encontrarse en alguna de las muchas excepciones previstas por la Ley, por lo que unos ligeros cambios en las políticas de privacidad pueden ser suficientes. Pero en otras, y en especial en aquellos casos en los que la transferencia se sustente en una simple prestación de servicios (por ejemplo, para utilizar cloud computing con servidores en EE.UU.), puede ser necesario obtener una autorización previa del Director de la Agencia Española de Protección de Datos. Un proceso que puede demorarse hasta tres meses, ni más ni menos.

Lo más probable es que la Comisión Europea busque una solución rápida a este entuerto pero, entretanto, las empresas se verán obligadas a buscarse la vida con una normativa que, como digo a menudo, no estaba diseñada para dar respuesta a situaciones como esta. ¡Abogados y asesores tenemos una ardua tarea de asesoramiento por delante!

Emails, publicidad, datos personales…