Se acaba de publicar el libro “Retos Jurídicos de la Inteligencia Artificial”, de la editorial Aranzadi. El profesor Agustí Cerrillo, catedrático de derecho administrativo de la Universitat Oberta de Catalunya, y yo mismo nos hemos encargado de la coordinación. Colaboran con diversos capítulos muchos profesores de los Estudios de Derecho y Ciencias Políticas de la UOC, además de otros profesores como Antoni Rubí Puig, la magistrada Yolanda Ríos López, o la experta en IA Lorena Jaume-Palasí.
El índice y el prólogo pueden descargarse aquí (pdf).
¿Qué obligaciones proactivas de control de contenidos es posible imponer a una red social como Facebook y, por extensión, a las demás plataformas que alojan contenidos subidos por sus usuarios? Se trata de una cuestión muy controvertida sobre la que deberá pronunciarse próximamente el Tribunal de Justicia de la UE (TJUE) a raíz de una cuestión prejudicial planteada por el tribunal supremo de Austria. Es el asunto Glawischnig-Piesczek v. Facebook Ireland (asunto C-18/18), en el que ya contamos con las conclusiones del Abogado General Szpunar, publicadas el pasado 4 de junio,
Los hechos son en síntesis los siguientes. Un usuario publicó en su cuenta de Facebook un enlace a un artículo sobre una diputada del parlamento austriaco. Con el enlace se generó una miniatura del artículo, incluyendo una fotografía de la diputada. El usuario escribió a continuación unas expresiones insultantes en contra de la política (“miserable traidora del pueblo”; “idiota corrupta”…). La interesada se dirigió a Facebook para que eliminara esos comentarios. Ante la negativa de la red social, presentó una demanda judicial. Los tribunales consideraron que las expresiones eran difamatorias y ordenaron a Facebook que dejara de mostrar fotografías de la demandante acompañadas de manifestaciones idénticas o de contenido similar a las denunciadas. La red social impidió entonces el acceso desde Austria al contenido inicialmente publicado por el usuario.
En apelación se confirmó la orden de detectar y retirar de la plataforma las expresiones idénticas a las declaradas difamatorias. En cuanto a las similares, el tribunal consideró que sólo se podía exigir la retirada de las que se pusieran en conocimiento de Facebook, sin imponer a la red social la obligación de detectar por su cuenta tales contenidos para su retirada. Por lo demás, el tribunal de apelación rechazó la pretensión de Facebook de que la retirada tuviera efectos solamente en Austria.
El asunto llegó al Tribunal Supremo de Austria, que elevó al TJUE varias cuestiones prejudiciales. En lo esencial, el tribunal austriaco pregunta si una orden judicial que exija retirar no sólo los contenidos notificados a la plataforma, sino también cualquier otro contenido idéntico o similar, publicado por cualquier usuario, es compatible con el artículo 15.1 de la Directiva de comercio electrónico (DCE), que prohíbe imponer obligaciones generales de supervisión de los contenidos almacenados. También pregunta al TJUE si puede exigirse la retirada de los contenidos con efectos en todo el mundo (y no sólo para un determinado Estado miembro). Ambas cuestiones tocan problemas particularmente sensibles.
Alcance extraterritorial
En cuanto a la cuestión sobre el alcance territorial, el AG señala que, desde el punto de vista de la competencia judicial, sería posible, en principio, que los tribunales de un Estado miembro ordenaran retirar contenidos fuera de dicho Estado (ap. 86). Ahora bien, en cuanto al fondo, el AG destaca, por una parte, que la Directiva de Comercio Electrónico no regula los efectos extraterritoriales de las órdenes dirigidas contra prestadores de alojamiento, las cuales, conforme al art. 14.3, se sujetan al Derecho nacional. Por otra parte, también en cuanto al fondo, advierte que la acción que se ejerce no se basa en el Derecho de la UE, sino en el Derecho nacional. En efecto se trata de una acción basada en las normas generales del derecho civil por atentado al honor (y no por protección de datos), y esta materia no se halla armonizada en el Derecho de la UE. Por ello, concluye que el alcance territorial de la orden debe analizarse a la luz del Derecho internacional público y privado no armonizado en el ámbito de la UE (ap. 92).
Aún así, el AG efectúa algunas consideraciones sobre el alcance territorial, para el caso de que el TJUE no siga la anterior argumentación. En este sentido apunta que los tribunales deberían en todo caso adoptar una posición comedida, y limitar en lo posible los efectos extraterritoriales, sin ir más allá de lo necesario para garantizar una protección que nunca puede ser absoluta, pues debe compaginarse con otros derechos fundamentales (ap. 100).
Supervisión general y supervisión en casos específicos
El art. 15.1 DCE prohíbe imponer a los prestadores de servicios de alojamiento de datos “una obligación general de supervisar los datos que transmitan o almacenen”, así como “una obligación general de realizar búsquedas activas de hechos o circunstancias que indiquen actividades ilícitas”. Ahora bien, el considerando 47 advierte que esa prohibición se refiere sólo a obligaciones de carácter general, y no a “obligaciones de supervisión en un caso específico”, ni a órdenes dictadas por las autoridades nacionales de conformidad con el derecho nacional.
¿Cuál es, sin embargo, la diferencia entre una obligación de supervisión general y una obligación de supervisión para un caso específico? ¿Dónde puede trazarse la línea divisoria? La Directiva no ofrece respuesta. Una obligación de evitar la presencia de cualesquiera contenidos ilícitos en la plataforma sería sin duda una obligación general de supervisión. Ahora bien, también la orden de impedir que un contenido ilícito concreto, que ya fue retirado, aparezca de nuevo en la plataforma, exigiría supervisar todos los contenidos que suben cualquiera de los usuarios, para poder detectar si alguno coincide con aquel cuya reaparición se desea evitar. Por tanto, un sistema de filtrado para detectar un material concreto (por ejemplo, una determinada obra protegida por derechos de propiedad intelectual), podría entenderse también como una obligación de carácter general, puesto que alcanza a todos los contenidos de la plataforma (si es que este es el criterio que determina la naturaleza general de la supervisión)
El TJUE no ha ofrecido, por ahora, criterios claros para determinar distinguir entre obligaciones de supervisión generales y específicas. Lo más que ha hecho es calificar algún caso como obligación general y apuntar algún ejemplo de supervisión específica.
En L’Oréal v. eBay (ap. 139), el TJUE declaró que entran dentro de la prohibición del artículo 15.1 DCE las órdenes que requieran que el intermediario supervise activamente los datos de cada uno de sus clientes para impedir cualquier futura infracción de derechos de propiedad intelectual. En el mismo sentido se pronunció el TJUE en Scarlet Extended (ap. 36) y en Sabam v Netlog (ap. 34). En este último caso, referido a los contenidos alojados por la red social Netlog, el TJUE apreció que la orden que se pretendía imponer supondría exigir a Netlog: (a) identificar entre todos los archivos almacenados por todos sus usuarios aquellos que pueden contener obras cuyos derechos de propiedad intelectual correspondan a los demandantes; (b) determinar si tales archivos se ponen a disposición ilícitamente; y (c) bloquear la puesta a disposición de los que estime ilícitos (ap. 36).
El TJUE concluyó que esta supervisión (aunque sólo persiga detectar los archivos cuya propiedad intelectual corresponde a los demandantes) sería incompatible con el art. 15.1 DCE (ap. 38). Además, no respetaría un justo equilibrio entre los derechos e intereses en presencia, ya que implicaría una vulneración sustancial de la libertad de empresa del prestador de servicios (ap. 46) al ser una carga excesivamente gravosa; vulneraría también el derecho a protección de datos personales (pues implicaría el tratamiento de la información relativa a los perfiles de la red social) (ap. 49); y podría violar también el derecho a recibir e impartir información, dado el riesgo de bloqueo de contenidos lícitos (ap. 50).
Por lo demás, el TJUE no ha declarado que cualquier otro caso que no reúna las características señaladas deberá considerarse una supervisión específica y admisible. Sí ha apuntado, sin embargo, un ejemplo de supervisión que le parece admisible. Me refiero a la mención que el TJUE hace L’Oréal v. eBay en el sentido de que se podría ordenar a eBay impedir futuras infracciones de marca por parte del mismo vendedor y en relación con las mismas marcas ya infringidas (ap. 141). No es muy claro a qué se refiere allí el Tribunal, porque habla de “suspender” al usuario en cuestión. Pero probablemente esté admitiendo que se puede obligar al prestador del servicio de alojamiento (en este caso eBay) a supervisar los contenidos que suba ese concreto usuario (no todos los contenidos de todos los usuarios de la plataforma), y sólo para evitar lesiones a las mismas marcas que ya fueron objeto de una infracción inicial por dicho vendedor.
En Tommy Hilfiger (un caso ulterior referido a un intermediario físico que gestiona un mercado presencial), el TJUE resume el contenido de la sentencia L’Oréal v. eBay, diciendo que en ella se estableció que “se puede obligar al intermediario a que adopte medidas que contribuyan a evitar que se produzcan nuevas infracciones de la misma naturaleza por parte del mismo comerciante” (ap. 34). La cita, en realidad, amplia considerablemente lo dicho en L’Oréal v. eBay, donde se exigía no sólo que se tratara de infracciones de la misma naturaleza, sino que fueran además “en relación con las mismas marcas” (ap. 141). Pero es este un modo de autocita creativa al que nos tiene acostumbrados el Tribunal, que a menudo justifica una posición dando a entender que ya la había sostenido en sentencias anteriores a base de citar estas de un modo libre y descontextualizado.
En todo caso, lo que tenemos son algunos ejemplos de supervisión general y un ejemplo de supervisión específica. Es ciertamente posible (aunque todavía no confirmado por el TJUE) que otros casos concretos de supervisión o control puedan considerarse respetuosos tanto con la prohibición 15.1 DCE como con el justo equilibrio de los intereses en juego de los afectados. En ese terreno se adentra el AG Szpunar.
Análisis del Abogado General Szpunar
El AG Szpunar conecta la prohibición de imponer una obligación general de supervisión con los requisitos exigidos para gozar de la exclusión de responsabilidad prevista en el art. 14 DCE. Si la exclusión de responsabilidad por los contenidos alojados se basa en la falta de conocimiento de la ilicitud de los contenidos, obligar al prestador a monitorizar los contenidos de su plataforma sería tanto como presumirle conocedor de todo lo que aloja, de modo que no habría espacio para la exclusión de responsabilidad (ap. 38). Por otra parte, entiende Szpunar que si un proveedor es obligado a supervisar los contenidos, probablemente no podrá considerarse que desempeña una actividad neutra, meramente técnica, automática, y pasiva, sin conocimiento ni control de los contenidos alojados, como ha venido a exigir el TJUE (aps. 36 y 39). De ahí pasa a concluir que no es posible imponer a un intermediario una obligación que implique la pérdida de esa neutralidad (ap. 40).
A la vez, el AG constata que debe existir un umbral de supervisión compatible con la prohibición del art. 15.1, teniendo en cuenta el ya citado considerando 47, y también el propio art. 14.3, que dispone que la exclusión de responsabilidad no afecta a la posibilidad de exigir a un prestador de servicios “poner fin a una infracción o impedirla”. Igualmente, el art. 18 exige a los Estados miembros el establecimiento de tutela judicial adecuada para “poner término a cualquier presunta infracción y a evitar que se produzcan nuevos perjuicios contra los intereses afectados”.
Apoyándose en el caso L’Oréal v. eBay, el AG sostiene que es posible imponer una obligación de detectar e impedir la difusión de información ilícita en el futuro, sin necesidad de ser notificado de la presencia de tales contenidos (ap. 44). Interpreta que la sentencia L’Oréal v eBay exige para ello que la obligación parta de una primera infracción reconocida y que las lesiones futuras a impedir sean “de la misma naturaleza, provengan del mismo usuario y vayan dirigidas contra los mismos derechos, en ese asunto, el derecho de marcas” (ap. 45). De modo similar a como vimos que hace el TJUE en Tommy Hilfiger, con este último requisito parece indicar el AG que bastaría con que se tratara de infracciones de la misma naturaleza (infracciones marcarias), cuando en realidad lo que dice L’Oréal v eBay es que se trate se trate de infracciones contra las mismas marcas (L’Oréal v eBay ap. 141).
Ciertamente L’Oréal v eBay se limita a indicar un supuesto que considera conciliable con el art. 15.1, sin que ello impida que pueda haber otros casos de supervisión igualmente amisibles. En cualquier caso, lo que el AG extrae de L’Oréal v eBay es que la supervisión “activa” centrada en el caso específico de una determinada lesión puede ser conciliable con la prohibición del art. 15.1 (ap. 46).
Obligaciones de supervisión de carácter específico
El AG señala que para apreciar si se trata de una obligación para un caso específico o bien de una obligación de carácter general y por tanto prohibida, debe tenerse en cuenta “la duración de dicha supervisión, así como las precisiones relativas a la naturaleza de las lesiones, su autor y su objeto” (ap. 50).
Aplicando estos criterios al caso de la obligación pretendida contra Facebook, el AG califica de supervisión “específica”, y por tanto compatible con el artículo 15.1, la obligación de buscar e identificar datos idénticos a los ya declarados ilícitos, tanto si los sube el usuario que cometió la lesión inicial como si los carga cualquier otro usuario de la plataforma. Aquí, el AG se aparta de un modo evidente del ejemplo proporcionado por L’Oréal v. eBay, que apuntaba sólo a contenidos procedentes del mismo usuario infractor. Admite Szpunar que se trataría, efectivamente, de una supervisión que comprendería todos los datos que se difundan a través de la plataforma (ap. 59). Aun así, el AG defiende que sería una obligación de supervisión admisible.
Argumenta por una parte que: (a) es una obligación “centrada en el caso específico de una lesión” (ap. 60); y (b) “puede detectarse con la ayuda de herramientas informáticas sin que el prestador de servicios de alojamiento de datos esté obligado a realizar un filtrado activo y no automático de la totalidad de los datos difundidos mediante su plataforma” (ap. 61). Aquí el AG introduce sutilmente un matiz novedoso, dando a entender que la prohibición del art. 15.1 se refiere a los sistemas no automáticos.
Por otra parte, considera que se respeta el equilibrio de intereses, porque: (a) no se requieren medios extraordinarios que puedan suponer una carga extraordinaria, y por tanto no hay una interferencia sensible con el derecho a la libertad de empresa de la plataforma (ap. 63); (b) es una medida necesaria para garantizar la protección eficaz de los derechos de la intimidad y personalidad en internet (ap. 64); (c) no interfiere en la libertad de expresión porque sólo alcanza a datos ya declarados ilícitos (ap. 65). En este último punto aclara, sin embargo, que aunque se trate de los mismos datos la ilicitud puede variar en función del contexto, y por tanto hay que ofrecer al tercero, que no fue parte en el procedimiento inicial en el que se dictó la orden de supervisión, la posibilidad de impugnar la retirada del contenido.
¿Es posible, además, obligar a la plataforma a detectar y retirar datos similares y no idénticos a los declarados ilícitos? Después de advertir que en todo caso el órgano judicial debería precisar qué se entiende por “datos similares” para respetar el principio de seguridad jurídica, el AG responde que es posible imponer esa obligación en relación con los datos que procedan del mismo usuario que cometió la ilicitud inicial, siempre que además se le permita impugnar judicialmente la retirada (ap. 72). En cambio, considera que una obligación de detectar y retirar datos similares procedentes de otros usuarios exigiría el empleo de soluciones sofisticadas, con lo que: (a) su papel dejaría de ser neutro; y (b) “al aplicar una forma de censura, pasaría a contribuir de forma activa” en la plataforma (ap. 73). Por otra parte, tal obligación no respetaría el equilibrio de intereses, pues: (a) el coste las soluciones requeridas afectaría seriamente a la libertad de empresa; y (b) implicaría una censura que limitaría la libertad de expresión y de información (ap. 74).
¿Cómo responderá el Tribunal?
Los planteamientos del AG Szpunar son en cierto modo novedosos. Trata de abrir camino en el terreno inexplorado de órdenes que vayan más allá de exigir la retirada de contenidos ya retirados y vueltos a subir por parte del mismo usuario. Para sostener sus conclusiones aporta diversos elementos. Viene a admitir cierto margen para imponer obligaciones de vigilancia que denomina “activa” y que entiende que serían compatibles con la neutralidad exigida por el TJUE para conceder la limitación de responsabilidad del art. 14. Serían supuestos que califica de vigilancia activa pero automática, que el AG parece ligar a la facilidad de detección del contenido. En cambio, sugiere que resultarían inadmisibles las obligaciones que exijan sistemas sofisticados, apuntando que el recurso a tales sistemas de detección implicaría un carácter activo (quizás hay que entender excesivamente activo), que acarrearía la pérdida de la neutralidad.
A la vez, supedita la admisibilidad al respeto del equilibrio de intereses, que parece concebir como un análisis ulterior, esto es, una vez que se ha determinado que la obligación no es de carácter general. A este respecto tiene en cuenta el coste que supondría para la plataforma (como interferencia a la libertad de empresa), y la afectación a los derechos de expresión e información. Parece sugerir que cuanto más sofisticado sea el sistema, o dicho de otro modo, cuanto más complejo sea discernir si el contenido debe ser retirado o no, por tratarse de un contenido no idéntico a uno ya declarado ilícito de modo expreso, mayor será la interferencia con la libertad de expresión e información. Y a la vez, deja claro que esta labor de detección más sofisticada, que no busca exclusivamente contenidos idénticos a los ya declarados ilícitos específicamente, debería limitarse a los contenidos subidos por el mismo usuario que cometió la infracción inicial.
Las conclusiones de Szpunar son sin duda relevantes. Habrá que esperar a conocer la sentencia para ver si el TJUE admite esta doble ampliación de lo que hasta ahora había admitido: la supervisión de contenidos de otros usuarios (aunque se limite a contenidos idénticos) y la supervisión de contenidos del mismo usuario de carácter similar al declarado ilícito (algo que cabe entender que va más allá del criterio apuntado en L’Oréal v. eBay).
La sentencia también será de gran importancia para ver en qué términos debe transponerse el artículo 17 la Directiva sobre derechos de autor en el mercado único digital, que exige, en la práctica, establecer sistemas de reconocimiento de contenidos (17.4), y a la vez declara sin empacho que no impone ninguna obligación general de supervisión (17.8).
La semana pasada tuvo lugar, durante varios días, la vista oral del caso SeriesYonkis, que ha quedado finalmente visto para sentencia. El asunto se refiere a la actividad que desarrollaron en su momento las conocidas páginas seriesyonkis y películasyonkis, en las que se podían encontrar enlaces para acceder a series y películas. Sus gestores –diversos a lo largo del tiempo–, están acusados de un delito contra la propiedad intelectual y se enfrentan a la petición de varios años de cárcel y de cantidades millonarias en concepto de indemnización por daños y perjuicios.
La vista oral se ha seguido con notable interés en los medios y en las redes sociales, donde se han abocado todo tipo de hipótesis y valoraciones. No estoy en condiciones de analizar con detalle los hechos del caso, pues no he presenciado las sesiones de la vista oral ni he tenido acceso a los escritos presentados.
Mi intención con esta entrada no es aventurar el sentido de la futura sentencia, que deberá tener en cuenta múltiples elementos objetivos y subjetivos del concreto caso enjuiciado. Sin embargo, sí me parece oportuno hacer algunas consideraciones generales sobre un caso que, de entrada, resulta algo anacrónico, tanto por el tiempo transcurrido desde el inicio del procedimiento, como por tratarse de unas páginas que abandonaron hace años la actividad que se les reprocha, como por el hecho de que entre tanto se han producido importantes cambios legislativos y jurisprudenciales.
Desde luego, no se trata –como algún medio ha titulado– del primer caso penal sobre páginas de enlaces a obras y prestaciones protegidas. Se trata más bien del enésimo caso. A lo largo de los años he recogido en este blog (pestaña “casos penales”) nada menos que 35 procedimientos distintos contra páginas de enlaces en vía penal (y con toda seguridad no es un listado exhaustivo), que han dado lugar a más de 80 resoluciones judiciales, entre autos y sentencias, muchas de los cuales han sido objeto de comentario en diversas entradas del blog. Por otra parte, un cierto número de casos ha tratado la cuestión desde la perspectiva puramente civil.
La posición de juzgados y tribunales ha sido dispar y ha ido variando a lo largo del tiempo. El elemento central de la discusión en estos procedimientos ha sido el de si la página de enlaces lleva a cabo un acto de comunicación pública del contenido enlazado, en su modalidad de puesta a disposición del público, de conformidad con el artículo 20.2.i) LPI. Son muchos los casos en que el juez o tribunal consideró que enlazar no constituye un acto de puesta a disposición del público, dando lugar al archivo de las actuaciones o bien a la absolución por no cumplir el tipo objetivo del delito contemplado en el artículo 270.1 CP en su redacción anterior a la reforma de 2015, que requiere reproducción, plagio, distribución o comunicación pública. En otros, en cambio, se llegó a la convicción contraria, llegando a dictarse algunas condenas. Un resumen detallado del estado de la jurisprudencia a septiembre de 2012 puede verse en este artículo.
Jurisprudencia del TJUE
Dos elementos modificaron radicalmente el panorama. Por una parte, la saga de sentencias del TJUE que abordaron la calificación jurídica de los enlaces, empezando por el caso Svensson (febrero 2014) y siguiendo por los no menos relevantes GS Media (septiembre 2016), Filmspeler (abril 2017), y Ziggo (The Pirate Bay) (junio 2017).
Estas sentencias son determinantes para apreciar si en un caso concreto existe comunicación pública. El TJUE llevó a cabo una interpretación expansiva de este concepto, que le llevó a considerar un enlace comunica la obra enlazada, y que constituye una comunicación al público (y por tanto sujeta a autorización) cuando el contenido enlazado se había puesto ilícitamente a disposición en internet, y además concurren determinados elementos subjetivos en quien proporciona el enlace (algo ciertamente difícil de anticipar antes de los pronunciamientos del TJUE).
En Filmspeler y en Ziggo el Tribunal fue incluso más allá y consideró comunicación pública el mismo hecho de vender un dispositivo que incorpora enlaces a contenidos infractores (Filmspeler), o la puesta a disposición y gestión en internet de una página web de The Pirate Bay, a la que los usuarios suben enlaces (archivos .torrent).
Las sentencias del TJUE vinculan sin duda al juez que debe determinar si se ha producido un acto de comunicación pública, en la medida en que fijan el modo en que debe interpretarse la normativa nacional que traspone la Directiva, si bien la valoración final, que debe tener en cuenta todos los elementos del caso, corresponde al juez nacional. Y la tarea que se le encomienda no es nada sencilla, si tenemos en cuenta la reiterada doctrina del TJUE según la cual, para la existencia de comunicación al público debe establecerse en un análisis caso por caso, y que para ello deben “tenerse en cuenta varios criterios complementarios, de naturaleza no autónoma y dependientes unos de otros”, y que “procede aplicarlos tanto individualmente como en sus interacciones recíprocas, bien entendido que, en las diferentes situaciones concretas, pueden darse con intensidad muy variable” (cfr. Ziggo, ap. 25 y muchas sentencias anteriores).
Los criterios que aporta el TJUE en sus sentencias sobre cuestiones prejudiciales no son en sentido estricto un nuevo Derecho, aplicable sólo a los hechos futuros, sino unas reglas para interpretar el Derecho ya vigente (o en vigor al tiempo de los hechos). Por ello, tales criterios deberán tenerse en cuenta al aplicar las normas afectadas, también cuando los hechos a los que se apliquen sean anteriores a las sentencias del TJUE. De hecho, ese es precisamente el sentido de las cuestiones prejudiciales: solicitar al TJUE la guía para interpretar las normas a fin de poderlas aplicar a un supuesto que pende ante el tribunal que eleva la cuestión al TJUE. Y los mismos criterios deberán emplearse en los casos en que se enjuicien conductas equiparables con la que motivó la petición.
Ahora bien, es obvio que en los casos citados el TJUE no interpretaba normas penales de un Estado miembro, y ni siquiera normas sobre responsabilidad civil. Y creo que a la hora de valorar si concurre el tipo objetivo previsto en el artículo 270.1 CP (en su versión anterior a 2015, que es la aplicable temporalmente) no puede desconocerse que al tiempo de los hechos que se enjuician en el presente caso la calificación de los enlaces como comunicación pública suscitaba dudas, por lo menos para buena parte de la doctrina (dudas de las que son buena prueba la propia formulación de las cuestiones prejudiciales), y que un buen número de sentencias españolas, tanto penales como civiles, habían rechazado categóricamente tal calificación.
Reforma del Código Penal
Tanto es así que, ante la realidad de esa jurisprudencia, y a pesar de los casos decididos en sentido contrario, el legislador español se vio en la necesidad no sólo de ampliar el tipo objetivo del art. 270.1 CP para incluir la conducta de quien “de cualquier otro modo explote económicamente” la obra o prestación protegida, sino también de introducir, como art. 270.2, un nuevo tipo penal para tipificar la actividad característica de las páginas de enlaces:
“La misma pena se impondrá a quien, en la prestación de servicios de la sociedad de la información, con ánimo de obtener un beneficio económico directo o indirecto, y en perjuicio de tercero, facilite de modo activo y no neutral y sin limitarse a un tratamiento meramente técnico, el acceso o la localización en internet de obras o prestaciones objeto de propiedad intelectual sin la autorización de los titulares de los correspondientes derechos o de sus cesionarios, en particular ofreciendo listados ordenados y clasificados de enlaces a las obras y contenidos referidos anteriormente, aunque dichos enlaces hubieran sido facilitados inicialmente por los destinatarios de sus servicios.”
Me parece que la reforma del CP de 2015, con la introducción del nuevo tipo específico es un sólido argumento para considerar que la actividad de las páginas de enlaces no estaba incluida en la redacción anterior del 270 CP. Y probablemente ofrece también argumentos para negar la relevancia penal de aquellas actividades basadas en la provisión de enlaces que no alcanzan la determinación y propósito de la actividad contemplada en el art. 270.2 CP.
Puerto seguro
Una última consideración, que sólo pretendo dejar apuntada, se refiere al alcance de la protección frente a la responsabilidad civil y penal que otorga el art. 16 LSSICE, que remite a la difícil cuestión de la neutralidad de la plataforma, como prerrequisito para la aplicación de la protección, y al grado de conocimiento relevante, también el adquirido sin necesidad de notificación. El hecho de que la actividad del prestador se califique de comunicación al público, y por tanto infracción directa, no debería ser obstáculo para acogerse a la protección si se cumplen las condiciones para su aplicación establecidas en la Directiva y en la LSSICE.
Las empresas con página en Facebook podrían ser corresponsables del tratamiento de datos de la red social.
[Miquel Peguera. 23 Nov. 2017]
Una empresa alemana del sector de la formación, Wirtschaftsakademie Schleswig-Holstein GmbH, abrió una “página de fans” en Facebook. En 2011, la autoridad regional de protección de datos le ordenó desactivar la página, porque ni dicha empresa ni Facebook advertían del uso de cookies mediante las que se recopilan y tratan los datos de los usuarios que acceden a la página. La empresa impugnó dicha resolución, alegando que no se le podía imputar ninguna vulneración de la normativa sobre protección de datos, ya que quien recopila y trata los datos mediante cookies es Facebook, si bien es cierto que la red social proporciona luego a la empresa unas estadísticas de audiencia con datos anónimos sobre el uso de la página. Se planteó, pues, la interesante cuestión de si quien abre una página en Facebook puede considerarse “responsable del tratamiento” que se lleva a cabo mediante dichas cookies, ya sea de modo conjunto con Facebook, ya sea en solitario (entendiendo entonces que Facebook trata los datos por cuenta de la empresa, actuando como un mero encargado del tratamiento).
Por una parte, es cierto que es Facebook quien, para sus propios intereses y fundamentalmente con fines de publicidad, decide depositar cookies para recopilar y tratar los datos de los visitantes de la página. Esto es algo que el administrador de la página no puede evitar, ya que suscribe con Facebook un contrato de adhesión en el que no tiene margen para negociar, y tampoco tiene ninguna posibilidad de control sobre el tratamiento que realiza Facebook. Por otra parte, es cierto también que el administrador de la página se beneficia de dicho tratamiento, al obtener las estadísticas de audiencia de la página, que incluyen datos demográficos que le permiten ajustar mejor su estrategia de comunicación.
El Tribunal Supremo de lo contencioso-administrativo examinó la cuestión y entendió que Wirtschaftsakademie no es responsable del tratamiento, puesto que no es quien “sólo, o conjuntamente con otros determin[a] los fines y medios del tratamiento de datos”, como establece la Directiva 95/46 (art. 2.d). Partiendo de esta premisa, formuló una cuestión prejudicial ante el TJUE en abril de 2016 (asunto C-210/16), preguntando, entre otras cosas, si la autoridad de protección de datos puede también actuar contra alguien que no es “responsable del tratamiento”, considerando que incurre igualmente en responsabilidad por haber contratado con Facebook sin asegurarse de que dicha red cumple con las normas de protección de datos.
El Abogado General (AG) Yves Bot ha presentado recientemente sus conclusiones sobre el caso. En ellas rebate el punto de partida del tribunal alemán y concluye que en realidad la empresa administradora de la página debe considerarse como “responsable del tratamiento”, conjuntamente con Facebook. Más específicamente, entiende que “debe considerarse que la Wirtschaftsakademie es responsable conjunta de la fase del tratamiento consistente en la recogida de datos personales por parte de Facebook.” (ap. 42). El AG ya avanza al principio de sus conclusiones el argumento de que si la empresa realizara por sí misma esa recopilación de datos de sus visitantes en una web propia, sin duda sería responsable de este tratamiento, y se pregunta si la decisión de abrir la página en Facebook para lograr en definitiva un resultado similar (aunque sea con datos anonimizados) basta para eludir toda responsabilidad en el tratamiento (ver ap. 11 y 65).
El AG recuerda que la jurisprudencia del TJUE interpreta el concepto de “responsable del tratamiento” en un sentido amplio, para garantizar el derecho fundamental a la protección de datos (así por ejemplo en el caso Google Spain, donde consideró que el buscador es responsable del tratamiento de los datos personales de los todos los sitios que indexa). Destaca también que el Grupo de Trabajo del Artículo 29 (Dictamen 1/2010) considera que “el concepto de responsable del tratamiento es un concepto funcional, destinado a asignar responsabilidades en función de la capacidad de influencia de hecho y, por tanto, está basado en un análisis de hecho más que formal”.
Pues bien, el AG considera que la empresa que abre la página de fans participa en la determinación de los fines y medios del tratamiento, y por ello debe considerarse también “encargada del tratamiento”. En este sentido destaca que el tratamiento que realiza Facebook no sería posible sin la decisión de la empresa de abrir la página, y que esta podría poner fin a dicho tratamiento cerrando la página. Señala además que Facebook permite al administrador de la página especificar el tipo de público al que desea dirigirse, y al hacerlo, este está ya predeterminando el conjunto de personas sobre las que se efectuará el tratamiento de datos. Concluye, por tanto, que el administrador de la página ejerce una influencia de hecho en la determinación de los fines y medios del tratamiento, lo que lleva a considerarle responsable conjunto de la fase del tratamiento consistente en la recogida de datos.
Habrá que ver si finalmente el TJUE convalida esta doctrina, lo que sin duda tendría relevantes repercusiones para las empresas que han decidido tener presencia en Facebook.
[Miquel Peguera. 1 agosto 2017] @MiquelP
El Abogado General Nils Wahl ha dado a conocer sus conclusiones en el asunto Coty Germany (C-230/16), en el que se debate si un proveedor de artículos de lujo puede prohibir que sus distribuidores autorizados, integrados en una red de distribución selectiva, vendan los productos a través de plataformas de comercio electrónico como eBay o Amazon.
Coty Germany GmbH es uno de los más importantes proveedores de perfumes y cosméticos de lujo en Alemania. Permite a sus distribuidores autorizados vender los productos por internet, pero con limitaciones. Concretamente, en 2012 revisó los términos de sus contratos con los distribuidores autorizados e incluyó una cláusula prohibiéndoles que, en las ventas a través de internet, recurran a los servicios de una tercera empresa de modo tal que resulte perceptible para los consumidores. Uno de los distribuidores, Parfümerie Akzente, que vende los productos tanto en su propia tienda online como a través de Amazon, se negó a aceptar esta cláusula. Coty entabló una acción judicial para impedir las ventas de Parfümerie Akzente en la plataforma Amazon.
Los sistemas de distribución selectiva de tipo cualitativo –en los que, para preservar la imagen de calidad o de lujo del producto, se seleccionan cuidadosamente los distribuidores autorizados y se les prohíbe suministrar a otros distribuidores fuera de la red– son en principio compatibles con el derecho de la competencia de la UE. A estos efectos, se tiene en cuenta que si bien se reduce la competencia interna, “intramarca”, se incrementa la competencia externa o “intermarcas”. El TJUE ha sancionado la admisibilidad de estos sistemas, en particular en la sentencia Metro, de 1977, siempre que la selección de los distribuidores se realice con arreglo a parámetros objetivos y uniformes, y de forma no discriminatoria. Así lo recuerda el AG, para concluir que el en el caso presente, el establecimiento de un sistema de distribución selectiva para productos de lujo es compatible con el art. 101.1 TFUE.
Se plantea también, de modo más concreto, la compatibilidad con el derecho de la competencia de la prohibición de vender online a través de terceros reconocibles (por ejemplo a través de Amazon). Así, se pregunta al TJUE si dicha cláusula constituye un acuerdo que tiene “por objeto” restringir la competencia conforme al artículo 101.1 TFUE, esto es, un acuerdo que por su propia naturaleza debe considerarse nocivo para la libre competencia, de tal modo que resulte innecesario examinar si despliega efectos anticompetitivos. El AG concluye que la prohibición que se examina no puede calificarse de restricción “por objeto” (ap. 117), en la línea de la jurisprudencia del TJUE, que considera que el concepto de restricción “por objeto” debe interpretarse restrictivamente (así en CB/Comisión, ap. 58).
Del mismo modo, el AG concluye que la cláusula no es subsumible en los supuestos de “restricciones especialmente graves” del artículo 4.b y 4.c del Reglamento de exención de restricciones verticales (Reglamento 330/2010, de 20 de abril de 2010), que impiden la aplicación de la exención por categoría. Dichos apartados se refieren a restricciones de la clientela del distribuidor o las ventas pasivas a usuarios finales.
Como pone de relieve el AG, el TJUE tiene la ocasión de precisar el alcance de la controvertida sentencia Pierre Fabre Dermo-Cosmétique, de 13 de octubre de 2011, que sostuvo que la prohibición de que el distribuidor autorizado venda a través Internet puede constituir una restricción “por objeto” si la misma no está objetivamente justificada habida cuenta del tipo de productos de que se trata (que eran también cosméticos), y que no puede ampararse en la exención por categoría del Reglamento 330/2010, de tal modo que sólo cabe acudir a una exención individual.
Derecho al olvido: ¿el buscador puede informar a la fuente de la eliminación de un enlace?
[Miquel Peguera. 4 marzo 2017] @MiquelP
El pasado mes de septiembre, la Agencia Española de Protección de Datos (AEPD) impuso a Goo
gle Inc. una sanción de 150.000 Euros, en una resolución que pasó relativamente desapercibida y que sin embargo afecta a un aspecto muy sensible del llamado derecho al olvido: la cuestión de si el buscador puede informar a los editores de los sitios webs afectados que, en respuesta a una petición de derecho al olvido, ha decidido eliminar enlaces a su contenido para ciertas búsquedas.
Comunicar la eliminación de enlaces a los webmasters parece ser una práctica habitual de los buscadores. Por lo menos así es en el caso de Google, que proporciona dicha información a los que se han dado de alta en la herramienta “Search Console” (anteriormente llamada “Webmasters Tools”). A raíz de tres algunas denuncias, la AEPD decidió examinar de qué modo Google realiza esta comunicación y si resulta conforme con la LOPD. La Agencia concluyó que dicha práctica constituye una vulneración del deber de secreto del art. 10 de la LOPD, tipificada como infracción grave.
El hecho de que el buscador informe a los editores es visto con desconfianza, como una argucia del motor de búsqueda para impedir que el afectado se salga con la suya. En efecto, existe el temor de que el editor del sitio web afectado –por ejemplo un periódico digital–, reaccione dando mayor publicidad y visibilidad a la información que se quiere ocultar, de modo que se frustre en la práctica el derecho del interesado que solicitó la eliminación del enlace. Un caso paradigmático fue el del sitio web de la BBC, que publicó la lista de las URL eliminadas de las búsquedas. Aunque se limitaba a listar las URL, sin ni siquiera incluir el título de la información, permitía fácilmente descubrir quien había solicitado la remoción de los enlaces.
En todo caso, un medio que recibe esa información puede en cierto modo “boicotear” la eliminación del enlace simplemente adjudicando una nueva URL al mismo contenido, lo que exigiría al interesado instar de nuevo el derecho al olvido ante el buscador respecto de esa nueva dirección.
No tengo constancia de reacciones de este tipo en medios o webs españoles. Google esgrime que en algunos casos, cuando el medio ha sabido de la eliminación de un enlace ha decidido anonimizar los datos que aparecían en la información publicada, fortaleciendo así el objetivo perseguido por el afectado. La AEPD no hace mucho caso a esta alegación, que entiende no probada y sugiere que podría haberse debido a que el interesado quizá ejercitó también su derecho de cancelación ante el medio. Sostiene que “son numerosos y conocidos los casos en que los editores, a partir de la comunicación recibida del motor de búsqueda, han actuado en formas que han vaciado de eficacia la decisión de bloquear: publicación de noticias relativas al bloqueo, con indicación de las personas afectadas, cambio de las URL, elaboración de listas con todas las URL bloqueadas en relación con un mismo editor, comunicación a terceros de las URL bloqueadas”.
Para corroborar esta afirmación la AEPD señala que ha conocido casos de este tipo en tres procedimientos de tutela de derechos. Sin embargo ninguno de los casos que cita permite concluir que el webmaster hubiera tomado medidas para obstaculizar la eficacia del derecho al olvido. Se trata simplemente de casos en los que la información es accesible en una URL distinta de la señalada inicialmente a Google.
En el caso TD/00583/2016, la reclamante afirmaba ante la AEPD que Google no había procedido a eliminar un enlace. Google señaló que sí se había eliminado la URL pedida por el interesado. La URL que el interesado indicó a la AEPD era otra distinta. Se desestimó la tutela, porque “la interesada no ha acreditado el ejercicio del derecho ante Google en el que especificara la url concreta sobre la que ha reclamado ante esta Agencia”. De hecho no hay nada en este procedimiento que permita afirmar que hubo una reacción del titular del medio, en este caso un blog, para frustrar el derecho al olvido.
El segundo caso (TD/00642/2016) es similar: una persona pide a Google la remoción un enlace, y luego acude a la Agencia quejándose de una URL distinta. La AEPD desestima la tutela. Pero viendo los detalles del caso es aún más sorprendente que se cite como un supuesto en el que el webmaster hubiera tratado de obstaculizar el derecho al olvido. En efecto, se trataba de un enlace al Boletín Oficial de la Junta de Andalucía, que quedó fuera de los resultados de búsqueda porque el propio Boletín incluyó la URL en el fichero robots.txt. Nada más lejos de una reacción para frustrar el derecho al olvido. De hecho, la URL dejó de aparecer en los resultados de búsqueda precisamente por las medidas adoptadas por el webmaster. La segunda URL ofrece la misma información, pero no fue reclamada ante el buscador y es difícil pensar que el webmaster haya querido asignar otra dirección para evitar la localización de la información después de haberse asegurado de aplicar el protocolo robots.txt para la primera URL. El último caso que cita la resolución, el procedimiento TD/00700/2016, se refiere a una treintena de URLs, sin ningún elemento que permita concluir que hubo obstrucción por parte de los webmasters afectados.
Parece claro, en todo caso, que si el editor adoptara alguna acción dirigida a frustrar el derecho al olvido, la responsabilidad de ese tratamiento seria imputable al editor, y el buscador debería atender la nueva petición de derecho al olvido.
Se trata de cualquier modo de un tema sensible. El Grupo de Trabajo del Artículo 29 (GT29) –que reúne a las Autoridades de Protección de datos de los Estados Miembros– se refirió a esta cuestión en un dictamen de 2014, en el que establecía criterios interpretativos comunes para la aplicación práctica del derecho al olvido. Sostuvo que los motores de búsqueda no deben, como práctica general, informar a los webmasters de que se han eliminado enlaces a sus páginas para determinadas búsquedas. El argumento principal era que dicha comunicación constituirá a menudo un tratamiento de datos personales y por tanto requerirá una base de legitimación. Para el GT29, el artículo 7 de la Directiva 95/46 no proporciona base legal para realizar de modo sistemático tales comunicaciones. El mismo dictamen admitía sin embargo que “puede ser legítimo para los motores de búsqueda contactar con los editores originales antes de tomar cualquier decisión sobre una solicitud de retirada, en casos especialmente difíciles, cuando sea necesario lograr una comprensión más completa sobre de las circunstancias del caso. En tales casos, los motores de búsqueda deben tomar todas las medidas necesarias para salvaguardar adecuadamente los derechos del titular de los datos afectado”.
Así pues, aunque no especifica cual sería la base de legitimación para llevar a cabo esa comunicación previa, el GT29 considera que puede ser legítima cuando resulte necesaria para una comprensión adecuada de las circunstancias que permita llevar a cabo el juicio de ponderación. En cambio, rechaza que el buscador pueda informar a posteriori, cuando ya se ha tomado la decisión de eliminar el enlace. O, más precisamente, rechaza que esta comunicación a posteriori pueda hacerse de modo sistemático como práctica general. Una vez decidida la eliminación ya no cabría ninguna justificación para esa comunicación, que es vista por tanto con especial recelo. De todos modos, desde el punto de vista de la valoración del riesgo que supone para el interesado, si el peligro es que el medio boicotee el derecho al olvido republicando la información, el problema se planteará igualmente si la comunicación es previa. Así que si la comunicación previa se considera legítima quizá quepa encontrar también argumentos que justifiquen la ulterior. Google ofrece unos cuantos, que son rechazados por la AEPD. Igual suerte corren las alegaciones de que en realidad la comunicación está ya autorizada o consentida por el interesado, o que es un tratamiento compatible con el solicitado por el mismo, o incluso que la comunicación no constituye en realidad un tratamiento de datos personales.
Este último argumento se basa en que Google se limita a indicar al editor las direcciones de las páginas (las URL) que se han visto afectadas, y esto no supondría la comunicación de ningún dato personal. Creo que la resolución de la AEPD es consistente con las nociones omnicomprensivas de “dato personal” y “tratamiento de datos” al concluir que a pesar de que en la propia URL no aparezca ningún nombre, se trata en todo caso de un tratamiento de datos personales, porque lo que se comunica es una información asociada a una persona identificable. La información es el dato de que se ha solicitado –y concedido– la supresión del enlace. Y esa información está vinculada a una persona (el solicitante), que puede ser fácilmente identificada por el editor aunque en la página aparezcan nombres de diversas personas. Es cierto que el editor ya disponía de los datos personales que aparecen en el contenido que se desenlaza, pero no disponía del nuevo dato personal que se le comunica: la información de que esa persona ha ejercitado el derecho al olvido. Por lo demás, alegar que la persona no es identificable para el editor no se compadece bien con argumentar que la comunicación se hace para que el editor pueda proporcionar más información para la ponderación de intereses, puesto que dicha ponderación incluye la valoración de las circunstancias del interesado, como su papel en la vida pública.
Por otra parte, parece difícil concluir que el solicitante ya consintió en la comunicación al editor de esa información. Ciertamente en el formulario de derecho al olvido advierte al solicitante que “Google puede proporcionar información a los webmasters de las URL que se hayan retirado de nuestros resultados de búsqueda.” No es una opción que pueda elegir o rechazar, es una mera información. Haber leído esta información y a pesar de todo enviar el formulario no equivale a prestar el consentimiento que exige la LOPD.
Mayor justificación podría encontrarse quizás en que precisamente para llevar a cabo lo solicitado por usuario, el buscador debe necesita recabar información de la fuente que publicó el contenido. Así, se trataría no sólo de un tratamiento compatible con el consentido, sino necesario para llevar a cabo lo solicitado. De todos modos, lo cierto es que la comunicación que realiza Google a través de la herramienta de webmasters no consiste en solicitar información sobre la circunstancias del caso, sino que se limita a informar sobre la eliminación del enlace. Y si el enlace ya se había eliminado, entonces la comunicación no seria estrictamente necesaria (pues su ausencia no impidió tomar una decisión, por lo menos una decisión provisional, de eliminación), aunque podría seguir siendo conveniente y en todo caso compatible con la cancelación.
Por lo demás, el hecho de la comunicación sea a posteriori no priva de la posibilidad de que el editor aporte de modo eficaz información sobre las circunstancias que permitan valorar la petición. Así lo argumenta Google, destacando que el editor puede también aportar información a posteriori, y que esos datos pueden hacer reconsiderar la retirada del enlace, mientras que podría ser perjudicial para el interesado demorar el juicio de ponderación hasta disponer de todos los datos. La AEPD niega que el buscador disponga de esta posibilidad de reconsiderar la remoción del enlace: “Es obvio que Google no tiene esa facultad de revisión para negar a posteriori un derecho que ya hubiese sido reconocido, y que esa revisión, de llevarse a efecto, llevaría a la entidad a tratar nuevamente los datos del afectado en contra de su expreso deseo, en clara vulneración de la LOPD.” A mi juicio, el argumento de la Agencia aquí es poco convincente. Del mismo modo que el buscador puede negarse a retirar un enlace si considera que el contenido es de interés público, y mantenerlo por tanto contra el expreso deseo del interesado, puede revisar una decisión inicial de retirada a la vista de una más completa información sobre las circunstancias del caso.
Otro de los argumentos de la discusión es que la comunicación de que se ha recibido y estimado una solicitud de cancelación, no es extraña a la Directiva, ni a la LOPD, ni al nuevo Reglamento General de Protección de datos.
En efecto, el art. 12 c) de la todavía vigente Directiva 95/46 dispone que los Estados miembros deben garantizar a los interesados el “derecho de obtener del responsable del tratamiento: (…) c) la notificación a los terceros a quienes se hayan comunicado los datos de toda rectificación, supresión o bloqueo efectuado de conformidad con la letra b), si no resulta imposible o supone un esfuerzo desproporcionado”, previsión que recoge la LOPD en su art. 16.4, al tratar sobre la rectificación o cancelación: “4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación.” Ambos preceptos establecen la obligación de informar sobre la rectificación o cancelación a los terceros a quienes se hayan comunicado los datos. Es oportuno notar la forma impersonal (“se hayan”) en ambos textos. El responsable deberá notificar por tanto, no sólo a los terceros a quienes el propio responsable hubiera comunicado los datos, sino a todos los que están tratando los datos, sin que necesariamente los hayan recibido por comunicación directa de ese responsable. La referencia a que los datos hayan sido comunicados puede dar a entender que el perímetro de sujetos a los que obligatoriamente debe notificarse la cancelación no incluye a quienes ya los estaban tratando antes. Sin embargo no parece que el objetivo del precepto sea excluir de la obligación la notificación ascendente, esto es, a la fuente de la que el responsable obtuvo los datos. En una cadena de múltiples responsables, la solicitud dirigida a uno que se halle a medio camino, y que quizás sea el más notorio, no tiene porqué implicar que la notificación no deba llegar a los que se hallan río arriba. El precepto busca en último término que todos los que tratan los datos sepan de la solicitud de cancelación y a su vez cancelen el tratamiento -salvo, claro está, que dispongan de una base de legitimación que les permita continuar con el mismo-.
En sentido similar, al tratar sobre el “derecho al olvido”, el art. 17.2 del Reglamento General de Protección de Datos (RGPD), que será de aplicación a partir de mayo de 2018, dispone: “Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.” De modo aún más amplio que en la Directiva y en la LOPD, se trata de notificar a todos los responsables que estén tratando los datos. Ya no se hace referencia a que se les hayan comunicado los datos. ¿Se incluirían entre los destinatarios de la obligada notificación los webmasters, que en todo caso son responsables que están tratando los datos objeto de la solicitud de derecho al olvido? La AEPD cree que no, porque el precepto se refiere al caso en que el responsable “hecho públicos los datos”, lo que no ocurriría con el buscador. Sin embargo, al margen de que puede entenderse que también el buscador hace públicos los datos, esta lectura supondría liberar al buscador de toda obligación de notificar la cancelación a otros responsables del tratamiento, lo que probablemente no responda al propósito de la norma.
Con independencia de la interpretación última que quiera darse a este precepto y a los anteriores (Directiva y LOPD), es de notar que estas normas imponen pacíficamente una comunicación que podría despertar los mismos recelos que la que es objeto de examen, ya que los responsables a quienes se notifique podrían también potencialmente reaccionar dando mayor publicidad a su propio tratamiento, obstaculizando así el derecho ejercitado.
Volviendo a la cuestión general, se trata en último término de saber si existe una legitimación para llevar a cabo el tratamiento de datos consistente en realizar esa comunicación al webmaster. La AEPD, siguiendo la posición fuerte del TJUE concede poca relevancia al posible interés legítimo del buscador. Y por otra parte niega que el editor pueda tener interés legítimo en recibir tal información, con el argumento de que el buscador no le reconoce un derecho a que sus contenidos sean indexados o aparezcan en un determinado orden de relevancia. Sin embargo, lo que el buscador reconozca o no al editor no debería ser un argumento concluyente para limitar los posibles derechos o intereses que le correspondan.
Por último, desde un punto de vista más técnico-jurídico, cabe notar que la Agencia concluyó que con esta comunicación al webmaster, Google vulnera el deber de secreto establecido en el art. 10 de la LOPD ([e]l responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos), lo que constituye una infracción grave de acuerdo con el art. 43.3.d). Descarta en cambio la AEPD que constituya un supuesto de comunicación ilícita de datos del art. 11. En efecto, en tal caso, la misma conducta daría lugar a dos infracciones distintas, esta última por el art. 43.3.k). Por ello la AEPD interpreta que la comunicación de datos del art. 11 se refiere sólo a los casos en que existe la voluntad de ceder los datos para que sean tratados de forma automatizada por el cesionario, lo que no se verificaría en este caso, que por tanto debe considerarse en el ámbito del deber de secreto. En realidad es difícil escapar al solapamiento de las conductas tipificadas como infracción, un problema que deriva del carácter omnicomprensivo de la noción de “tratamiento”. En efecto, la misma conducta aquí considerada –si se entiende que no está justificada– entraría también en la infracción tipificada en el art. 43.3.b), aunque parece obvio que una misma actividad no puede ser sancionada tres veces.
El caso es interesante y habrá que estar atentos a lo que en su momento dictamine la Audiencia Nacional en el previsible recurso de Google contra la resolución de la AEPD.
Malos tiempos para RojaDirecta
La sociedad que gestiona la web RojaDirecta, Puerto 80 Projects, S.L.U, así como su único socio y también administrador único, han sido condenados en vía civil por violación de los derechos de propiedad intelectual de Mediapro (Mediaproducción S.L.U.).
La sentencia dictada por el Juzgado Mercantil nº 2 de A Coruña el día 22 de noviembre de 2016 concluye que la actividad de la conocida página, que ofrece enlaces a retransmisiones de eventos deportivos en streaming, concluye que la actividad de la página constituye un acto no autorizado de comunicación pública.
La resolución cita la jurisprudencia del TJUE en materia de enlaces y propiedad intelectual, en particular los casos Svensson, BestWater y GS Media, y concluye que:
“lo que realiza rojadirecta es un acto de comunicación al público, así se infiere de la prueba practicada en relación particularmente con la sentencia Svensson y es un acto de comunicación además dirigido a un público nuevo en el sentido de la sentencia de GS Media ya que se dirige a la generalidad de los internautas, que no podrían visualizar los partidos en otro caso, cuando los partidos solo iban dirigidos a los abonados de las demandantes. Y son proporcionados por personas (las demandadas) que conocían o podían conocer razonablemente el carácter ilegal de la publicación.”
En cuanto a las exenciones de responsabilidad previstas en la LSSICE, la sentencia considera que Puerto 80 Projects no es un alojador de contenidos sino un editor, dado su papel activo, que le da conocimiento y control de los enlaces. Sigue así el criterio de la sentencia del Tribunal de Primera Instancia de París, de 19 de marzo de 2015, que cita expresamente, que consideró que la sociedad demandada no puede beneficiarse del estatuto de alojador (hébergeur), resaltando la actividad de organización y selección editorial de los enlaces. Uno de los argumentos de la defensa que la sentencia pone en duda es si realmente los enlaces son suministrados por usuarios de la web, concluyendo que “en el propio portal de rojadirecta no hay medios tecnológicos para que terceros suban enlaces por lo que se infiere que se suben de forma interna por rojadirecta”.
La posible vulneración de derechos de propiedad intelectual por parte de RojaDirecta ya se había avanzado al examinar el fumus boni iuris en los autos de medidas cautelares dictados Juzgado Mercantil nº11 de Madrid (auto de 16 de junio de 2015, aclarado por auto de 18 de agosto de 2015), y especialmente en el extenso auto de la Sección 28ª de la Audiencia Provincial de Madrid, de 15 de abril de 2016, que desestimó el recurso contra la adopción de dichas medidas. En aquel momento no se había dictado todavía la sentencia GS Media, pero la AP Madrid ya apuntó la posible violación de derechos siguiendo la doctrina del “público nuevo” establecida en el caso Svensson. De igual modo, la SAPM concluyó que faltaba el requisito de neutralidad exigido por la sentencia L’Oréal/eBay para la aplicación de las exenciones de responsabilidad. Así, señaló la SAPM (y la sentencia de A Coruña recoge la cita) que:
“Hay que tener presente que el titular del sitio enlazado responde de los contenidos que coloca en la red y si éstos están protegidos infringe la propiedad intelectual o el derecho ajeno digno de protección. Pero también será responsable el prestador del servicio de enlaces si éste ya no se mantiene en una postura de neutralidad, es decir, si colabora de algún modo con la actividad infractora o conoce de la ilicitud de los contenidos y no actúa para evitarla. Si éste es sabedor de que el contenido enlazado al que está facilitando el acceso ocasiona perjuicio a derechos de tercero incurrirá en responsabilidad (…) Conductas de esa índole, en las que el prestador del servicio despliega conductas activas de tratamiento, clasificación e indexación de la información, entrañan una ruptura de la neutralidad por parte de aquél y ello con independencia de quien le proporcione inicialmente el enlace y de la tecnología que luego se esté usando para el contacto entre los enlazadores (P2P, streaming, etc) si con ello lo que se produce es un mismo resultado.”
En cuanto a la responsabilidad de la persona física que es socio único y administrador único de la mercantil Puerto 80, la Juez de A Coruña rechaza la aplicación de la doctrina del levantamiento del velo. En cambio se apoya en el reconocimiento de la responsabilidad secundaria introducida en la reforma de la LPI, en vigor desde enero de 2015, concluyendo que de acuerdo con el artículo 138 LPI debe declararse también la responsabilidad de la persona física por su cooperación en la actividad infractora.
La sentencia de A Coruña puede considerarse la primera aplicación concreta en la jurisprudencia española de la doctrina contenida en la reciente sentencia del TJEU en GS Media (de septiembre de 2016).
Manual sobre Derecho TIC
Acaba de salir al mercado un manual sobre Derecho de las Tecnologías de la Información y de la Comunicación, en el que colaboro con un capítulo sobre el régimen de responsabilidad de los prestadores de servicios de Internet.
Como se señala en la introducción, el manual pretende acercar la materia a aquellas personas que se adentren por primera vez en la materia desde el punto de vista del estudiante, el académico o el profesional.
La obra, que publica Tirant lo Blanc, ha sido dirigida por Aurelio Lopez-Tarruella y coordinada por Carmen M. García Mirete, y se ha beneficiado de los años experiencia en la dirección del Módulo de Derecho TIC del Magister Lvcentinvs de la Universidad de Alicante.
Los contenidos del libro son los siguientes:
Capítulo 1. Fundamentos técnicos y organizativos de Internet.
Alejandro Bia / Aurelio Lopez-Tarruella
Capítulo 2. El sistema de nombres de dominio y sus aspectos jurídicos
Albert Agustinoy Guilayn
Capítulo 3. Los prestadores de servicios de Internet y la normativa sobre responsabilidad
Miquel Peguera Poch
Capítulo 4. Infracción de marca en Internet
Juan Luis Gracia / Ernesto Cebollero / Valentina Torelli
Chapter 5. Patents and Standards in the Telecommunication Industry
Claudia Tapia
Capítulo 6. El Derecho de autor en el entorno digital
Raquel Evangelio Llorca / Julián Lopez Richart
Chapter 7. Business-to-Business Contracts and eMarketplaces
Teresa Rodriguez de las Heras
Capítulo 8. Protección del consumidor en el entorno digital
Aurelio Lopez-Tarruella
Chapter 9. Electronic Payment Services
Teresa Rodriguez de las Heras
Capítulo 10. El régimen jurídico aplicable a la firma y sello electrónicos en la Unión Europea
Ignacio Alamillo Domingo
Chapter 11. Software Protection and Licensing
Malcolm Bain
Chapter 12. Service Contracts in the Information Technology Sector
Malcolm Bain
Chapter 13. Personal Data Protection
Cecilia Alvarez Rigaudias
Capítulo 14. Aspectos de Derecho internacional privado de las relaciones jurídicas en Internet
Carmen M. Garcia Mirete / Aurelio Lopez-Tarruella
Derecho al olvido y datos alojados en Blogger
- De acuerdo con una reciente sentencia de la AN, la AEPD no puede ordenar a Google, en el marco de un procedimiento de tutela de derechos, que retire datos de un blog alojado Blogger.
- Google, como titular de la plataforma Blogger de alojamiento de blogs, no es responsable del tratamiento de los datos personales que puedan aparecer en un blog.
Desde el pasado mes de diciembre, la Audiencia Nacional (AN) ha ido dictando sentencias en las que aplica ya la doctrina sobre el derecho al olvido que el TJUE estableció en el caso Google Spain. Se trata de recursos que Google planteó en su momento contra resoluciones de la Agencia Española de Protección de Datos (AEPD) que tutelaban a particulares en su “derecho al olvido”. En la mayoría de estas sentencias, la AN confirma la resolución de la AEPD, si bien modificando el alcance de la obligación establecida. En sus resoluciones, la AEPD ordenaba a Google “adoptar las medidas necesarias para retirar los datos su índice e imposibilitar el acceso futuro a los mismos”. Ahora, en línea con la sentencia del TJUE, la AN reformula esta orden, limitándose a ordenar a Google a adoptar las medidas necesarias para que los enlaces a las páginas que contienen los datos personales en cuestión no aparezcan en la lista de resultados cuando se realiza una búsqueda a partir del nombre de la persona afectada.
Pues bien, una de estas sentencias (conocida recientemente y ya accesible en la base de datos del Cendoj) resuelve un caso peculiar. Se trata de un típico supuesto de derecho al olvido: al buscar por el nombre de la persona aparece una información sobre un delito cometido años atrás. Ha transcurrido mucho tiempo, se han cancelado ya los antecedentes penales, y la persona en cuestión desea que la información no siga apareciendo en la red. Pero lo interesante del caso es que la información está publicada en un blog alojado en la plataforma Blogger (propiedad de Google). El interesado ejercitó sus derechos de cancelación/oposición frente a Google Spain SL, tanto para que eliminara la referencia en su buscador, como para que retirara los datos del blog por hallarse este alojado en la plataforma de su propiedad. Así lo estimó la AEPD, ordenando ambas cosas a Google Spain.
La sentencia de la AN solo confirma la resolución de la AEPD en cuanto al ejercicio del derecho al olvido en el buscador (y referido sólo a la supresión de enlaces en el caso de búsquedas realizadas por el nombre de la persona). Por el contrario, declara que este derecho no puede ejercitarse frente a quien aloja un blog.
La AEPD había declarado en su resolución que el blog alojado en Blogger “es un fichero automatizado de datos de carácter personal al contener informaciones relativas a personas físicas, del cual es responsable Google Spain, S.L”. La AN afirma en cambio que, de acuerdo con la LOPD, una plataforma de alojamiento de blogs no es responsable del tratamiento de los datos personales que aparecen en los blogs en ella alojados. Por tanto, no es posible acordar la retirada de datos en el marco de un procedimiento de tutela de los derechos de cancelación y oposición ejercidos frente al alojador. El derecho debe ejercitarse frente al responsable del tratamiento, esto es, frente al autor del blog (que no ha quedado acreditado que sea Google Spain)
La AEPD argumentaba que si bien Google, en cuanto alojador del blog, está cubierto por la exclusión de responsabilidad prevista en el artículo 16 LSSICE, la Agencia es órgano competente para ordenar la retirada de los datos personales (aplicando el artículo 16 en relación con el artículo 8, que permite la restricción de la prestación de servicios de la sociedad de la información cuando estos atenten contra determinados principios, entre los que se incluye la protección de la dignidad de la persona). La AN, sin embargo, rechaza que en el marco de un procedimiento de tutela de derechos, la AEPD pueda ordenar la retirada del material basándose en la LSSICE.
La Audiencia Nacional confirma una orden de retirada de enlaces dictada por la Comisión de Propiedad Intelectual
En una reciente sentencia (PDF), la Audiencia Nacional (AN) una resolución de la Comisión de Propiedad Intelectual (CPI) que ordenaba a la página elitetorrent la retirada de dos enlaces.
Se trata del primer caso en que la AN revisa una resolución de la CPI entrando a valorar el fondo del asunto. Su conclusión es que la página de enlaces incurrió en infracción de propiedad intelectual, por lo que desestima el recurso de los responsables de la web y confirma la resolución de la Sección Segunda de la CPI.
La AN sostiene que los enlaces a contenidos no autorizados constituyen un acto puesta a disposición del público, y por tanto requieren autorización de los titulares de derechos.
Para establecer dicha calificación, la AN se basa en la sentencia del caso Svensson. Allí, el TJUE consideró que un enlace es un supuesto de comunicación, si bien no requiere autorización si apunta a un contenido que los titulares de derechos han puesto a disposición sin restricciones en Internet, porque en tal caso el enlace no se dirige a un “público nuevo”, distinto del que ya tuvieron en cuenta los titulares al autorizar la comunicación inicial.
La AN declara que los criterios de Svensson son plenamente aplicables al caso concreto, y concluye que la página llevaba a cabo un acto de comunicación pública sujeto a autorización, puesto que los titulares de derechos “no habían autorizado la explotación libre de restricciones en internet de su obra”.
La sentencia afirma también que la actividad de la página constituye una “explotación” de la obra que de acuerdo con el artículo 17 de la LPI precisa de la autorización de los titulares de derechos.
Responsabilidad en Internet 