Skip to content

Las empresas con página en Facebook podrían ser corresponsables del tratamiento de datos de la red social.

23 November 2017

[Miquel Peguera. 23 Nov. 2017]

facebookUna empresa alemana del sector de la formación, Wirtschaftsakademie Schleswig-Holstein GmbH, abrió una “página de fans” en Facebook. En 2011, la autoridad regional de protección de datos le ordenó desactivar la página, porque ni dicha empresa ni Facebook advertían del uso de cookies mediante las que se recopilan y tratan los datos de los usuarios que acceden a la página. La empresa impugnó dicha resolución, alegando que no se le podía imputar ninguna vulneración de la normativa sobre protección de datos, ya que quien recopila y trata los datos mediante cookies es Facebook, si bien es cierto que la red social proporciona luego a la empresa unas estadísticas de audiencia con datos anónimos sobre el uso de la página. Se planteó, pues, la interesante cuestión de si quien abre una página en Facebook puede considerarse “responsable del tratamiento” que se lleva a cabo mediante dichas cookies, ya sea de modo conjunto con Facebook, ya sea en solitario (entendiendo entonces que Facebook trata los datos por cuenta de la empresa, actuando como un mero encargado del tratamiento).

Por una parte, es cierto que es Facebook quien, para sus propios intereses y fundamentalmente con fines de publicidad, decide depositar cookies para recopilar y tratar los datos de los visitantes de la página. Esto es algo que el administrador de la página no puede evitar, ya que suscribe con Facebook un contrato de adhesión en el que no tiene margen para negociar, y tampoco tiene ninguna posibilidad de control sobre el tratamiento que realiza Facebook. Por otra parte, es cierto también que el administrador de la página se beneficia de dicho tratamiento, al obtener las estadísticas de audiencia de la página, que incluyen datos demográficos que le permiten ajustar mejor su estrategia de comunicación.

El Tribunal Supremo de lo contencioso-administrativo examinó la cuestión y entendió que Wirtschaftsakademie no es responsable del tratamiento, puesto que no es quien “sólo, o conjuntamente con otros determin[a] los fines y medios del tratamiento de datos”, como establece la Directiva 95/46 (art. 2.d). Partiendo de esta premisa, formuló una cuestión prejudicial ante el TJUE en abril de 2016 (asunto C-210/16), preguntando, entre otras cosas, si la autoridad de protección de datos puede también actuar contra alguien que no es “responsable del tratamiento”, considerando que incurre igualmente en responsabilidad por haber contratado con Facebook sin asegurarse de que dicha red cumple con las normas de protección de datos.

El Abogado General (AG) Yves Bot ha presentado recientemente sus conclusiones sobre el caso. En ellas rebate el punto de partida del tribunal alemán y concluye que en realidad la empresa administradora de la página debe considerarse como “responsable del tratamiento”, conjuntamente con Facebook. Más específicamente, entiende que “debe considerarse que la Wirtschaftsakademie es responsable conjunta de la fase del tratamiento consistente en la recogida de datos personales por parte de Facebook.” (ap. 42). El AG ya avanza al principio de sus conclusiones el argumento de que si la empresa realizara por sí misma esa recopilación de datos de sus visitantes en una web propia, sin duda sería responsable de este tratamiento, y se pregunta si la decisión de abrir la página en Facebook para lograr en definitiva un resultado similar (aunque sea con datos anonimizados) basta para eludir toda responsabilidad en el tratamiento (ver ap. 11 y 65).

El AG recuerda que la jurisprudencia del TJUE interpreta el concepto de “responsable del tratamiento” en un sentido amplio, para garantizar el derecho fundamental a la protección de datos (así por ejemplo en el caso Google Spain, donde consideró que el buscador es responsable del tratamiento de los datos personales de los todos los sitios que indexa). Destaca también que el Grupo de Trabajo del Artículo 29 (Dictamen 1/2010) considera que “el concepto de responsable del tratamiento es un concepto funcional, destinado a asignar responsabilidades en función de la capacidad de influencia de hecho y, por tanto, está basado en un análisis de hecho más que formal”.

Pues bien, el AG considera que la empresa que abre la página de fans participa en la determinación de los fines y medios del tratamiento, y por ello debe considerarse también “encargada del tratamiento”. En este sentido destaca que el tratamiento que realiza Facebook no sería posible sin la decisión de la empresa de abrir la página, y que esta podría poner fin a dicho tratamiento cerrando la página. Señala además que Facebook permite al administrador de la página especificar el tipo de público al que desea dirigirse, y al hacerlo, este está ya predeterminando el conjunto de personas sobre las que se efectuará el tratamiento de datos. Concluye, por tanto, que el administrador de la página ejerce una influencia de hecho en la determinación de los fines y medios del tratamiento, lo que lleva a considerarle responsable conjunto de la fase del tratamiento consistente en la recogida de datos.

Habrá que ver si finalmente el TJUE convalida esta doctrina, lo que sin duda tendría relevantes repercusiones para las empresas que han decidido tener presencia en Facebook.

Distribución selectiva de artículos de lujo y venta en plataformas de Internet.

1 August 2017

[Miquel Peguera. 1 agosto 2017] @MiquelP

El Abogado General Nils Wahl ha dado a conocer sus conclusiones en el asunto Coty Germany (C-230/16), en el que se debate si un proveedor de artículos de lujo puede prohibir que sus distribuidores autorizados, integrados en una red de distribución selectiva, vendan los productos a través de plataformas de comercio electrónico como eBay o Amazon.

Coty Germany GmbH es uno de los más importantes proveedores de perfumes y cosméticos de lujo en Alemania. Permite a sus distribuidores autorizados vender los productos por internet, pero con limitaciones. Concretamente, en 2012 revisó los términos de sus contratos con los distribuidores autorizados e incluyó una cláusula prohibiéndoles que, en las ventas a través de internet, recurran a los servicios de una tercera empresa de modo tal que resulte perceptible para los consumidores. Uno de los distribuidores, Parfümerie Akzente, que vende los productos tanto en su propia tienda online como a través de Amazon, se negó a aceptar esta cláusula. Coty entabló una acción judicial para impedir las ventas de Parfümerie Akzente en la plataforma Amazon.

Los sistemas de distribución selectiva de tipo cualitativo –en los que, para preservar la imagen de calidad o de lujo del producto, se seleccionan cuidadosamente los distribuidores autorizados y se les prohíbe suministrar a otros distribuidores fuera de la red– son en principio compatibles con el derecho de la competencia de la UE. A estos efectos, se tiene en cuenta que si bien se reduce la competencia interna, “intramarca”, se incrementa la competencia externa o “intermarcas”. El TJUE ha sancionado la admisibilidad de estos sistemas, en particular en la sentencia Metro, de 1977, siempre que la selección de los distribuidores se realice con arreglo a parámetros objetivos y uniformes, y de forma no discriminatoria. Así lo recuerda el AG, para concluir que el en el caso presente, el establecimiento de un sistema de distribución selectiva para productos de lujo es compatible con el art. 101.1 TFUE.

Se plantea también, de modo más concreto, la compatibilidad con el derecho de la competencia de la prohibición de vender online a través de terceros reconocibles (por ejemplo a través de Amazon). Así, se pregunta al TJUE si dicha cláusula constituye un acuerdo que tiene “por objeto” restringir la competencia conforme al artículo 101.1 TFUE, esto es, un acuerdo que por su propia naturaleza debe considerarse nocivo para la libre competencia, de tal modo que resulte innecesario examinar si despliega efectos anticompetitivos. El AG concluye que la prohibición que se examina no puede calificarse de restricción “por objeto” (ap. 117), en la línea de la jurisprudencia del TJUE, que considera que el concepto de restricción “por objeto” debe interpretarse restrictivamente (así en CB/Comisión, ap. 58).

Del mismo modo, el AG concluye que la cláusula no es subsumible en los supuestos de “restricciones especialmente graves” del artículo 4.b y 4.c del Reglamento de exención de restricciones verticales (Reglamento 330/2010, de 20 de abril de 2010), que impiden la aplicación de la exención por categoría. Dichos apartados se refieren a restricciones de la clientela del distribuidor o las ventas pasivas a usuarios finales.

Como pone de relieve el AG, el TJUE tiene la ocasión de precisar el alcance de la controvertida sentencia Pierre Fabre Dermo-Cosmétique, de 13 de octubre de 2011, que sostuvo que la prohibición de que el distribuidor autorizado venda a través Internet puede constituir una restricción “por objeto” si la misma no está objetivamente justificada habida cuenta del tipo de productos de que se trata (que eran también cosméticos), y que no puede ampararse en la exención por categoría del Reglamento 330/2010, de tal modo que sólo cabe acudir a una exención individual.

 

Derecho al olvido: ¿el buscador puede informar a la fuente de la eliminación de un enlace?

4 March 2017

[Miquel Peguera. 4 marzo 2017] @MiquelP

googleEl pasado mes de septiembre, la Agencia Española de Protección de Datos (AEPD) impuso a Goo
gle Inc. una sanción de 150.000 Euros, en una resolución que pasó relativamente desapercibida y que sin embargo afecta a un aspecto muy sensible del llamado derecho al olvido: la cuestión de si el buscador puede informar a los editores de los sitios webs afectados que, en respuesta a una petición de derecho al olvido, ha decidido eliminar enlaces a su contenido para ciertas búsquedas.

Comunicar la eliminación de enlaces a los webmasters parece ser una práctica habitual de los buscadores. Por lo menos así es en el caso de Google, que proporciona dicha información a los que se han dado de alta en la herramienta “Search Console” (anteriormente llamada “Webmasters Tools”). A raíz de tres algunas denuncias, la AEPD decidió examinar de qué modo Google realiza esta comunicación y si resulta conforme con la LOPD. La Agencia concluyó que dicha práctica constituye una vulneración del deber de secreto del art. 10 de la LOPD, tipificada como infracción grave.

El hecho de que el buscador informe a los editores es visto con desconfianza, como una argucia del motor de búsqueda para impedir que el afectado se salga con la suya. En efecto, existe el temor de que el editor del sitio web afectado –por ejemplo un periódico digital–, reaccione dando mayor publicidad y visibilidad a la información que se quiere ocultar, de modo que se frustre en la práctica el derecho del interesado que solicitó la eliminación del enlace. Un caso paradigmático fue el del sitio web de la BBC, que publicó la lista de las URL eliminadas de las búsquedas. Aunque se limitaba a listar las URL, sin ni siquiera incluir el título de la información, permitía fácilmente descubrir quien había solicitado la remoción de los enlaces.

En todo caso, un medio que recibe esa información puede en cierto modo “boicotear” la eliminación del enlace simplemente adjudicando una nueva URL al mismo contenido, lo que exigiría al interesado instar de nuevo el derecho al olvido ante el buscador respecto de esa nueva dirección.

No tengo constancia de reacciones de este tipo en medios o webs españoles. Google esgrime que en algunos casos, cuando el medio ha sabido de la eliminación de un enlace ha decidido anonimizar los datos que aparecían en la información publicada, fortaleciendo así el objetivo perseguido por el afectado. La AEPD no hace mucho caso a esta alegación, que entiende no probada y sugiere que podría haberse debido a que el interesado quizá ejercitó también su derecho de cancelación ante el medio. Sostiene que “son numerosos y conocidos los casos en que los editores, a partir de la comunicación recibida del motor de búsqueda, han actuado en formas que han vaciado de eficacia la decisión de bloquear: publicación de noticias relativas al bloqueo, con indicación de las personas afectadas, cambio de las URL, elaboración de listas con todas las URL bloqueadas en relación con un mismo editor, comunicación a terceros de las URL bloqueadas”.

Para corroborar esta afirmación la AEPD señala que ha conocido casos de este tipo en tres procedimientos de tutela de derechos. Sin embargo ninguno de los casos que cita permite concluir que el webmaster hubiera tomado medidas para obstaculizar la eficacia del derecho al olvido. Se trata simplemente de casos en los que la información es accesible en una URL distinta de la señalada inicialmente a Google.

En el caso TD/00583/2016, la reclamante afirmaba ante la AEPD que Google no había procedido a eliminar un enlace. Google señaló que sí se había eliminado la URL pedida por el interesado. La URL que el interesado indicó a la AEPD era otra distinta. Se desestimó la tutela, porque “la interesada no ha acreditado el ejercicio del derecho ante Google en el que especificara la url concreta sobre la que ha reclamado ante esta Agencia”. De hecho no hay nada en este procedimiento que permita afirmar que hubo una reacción del titular del medio, en este caso un blog, para frustrar el derecho al olvido.

El segundo caso (TD/00642/2016) es similar: una persona pide a Google la remoción un enlace, y luego acude a la Agencia quejándose de una URL distinta. La AEPD desestima la tutela. Pero viendo los detalles del caso es aún más sorprendente que se cite como un supuesto en el que el webmaster hubiera tratado de obstaculizar el derecho al olvido. En efecto, se trataba de un enlace al Boletín Oficial de la Junta de Andalucía, que quedó fuera de los resultados de búsqueda porque el propio Boletín incluyó la URL en el fichero robots.txt. Nada más lejos de una reacción para frustrar el derecho al olvido. De hecho, la URL dejó de aparecer en los resultados de búsqueda precisamente por las medidas adoptadas por el webmaster. La segunda URL ofrece la misma información, pero no fue reclamada ante el buscador y es difícil pensar que el webmaster haya querido asignar otra dirección para evitar la localización de la información después de haberse asegurado de aplicar el protocolo robots.txt para la primera URL. El último caso que cita la resolución, el procedimiento TD/00700/2016, se refiere a una treintena de URLs, sin ningún elemento que permita concluir que hubo obstrucción por parte de los webmasters afectados.

Parece claro, en todo caso, que si el editor adoptara alguna acción dirigida a frustrar el derecho al olvido, la responsabilidad de ese tratamiento seria imputable al editor, y el buscador debería atender la nueva petición de derecho al olvido.

Se trata de cualquier modo de un tema sensible. El Grupo de Trabajo del Artículo 29 (GT29) –que reúne a las Autoridades de Protección de datos de los Estados Miembros– se refirió a esta cuestión en un dictamen de 2014, en el que establecía criterios interpretativos comunes para la aplicación práctica del derecho al olvido. Sostuvo que los motores de búsqueda no deben, como práctica general, informar a los webmasters de que se han eliminado enlaces a sus páginas para determinadas búsquedas. El argumento principal era que dicha comunicación constituirá a menudo un tratamiento de datos personales y por tanto requerirá una base de legitimación. Para el GT29, el artículo 7 de la Directiva 95/46 no proporciona base legal para realizar de modo sistemático tales comunicaciones. El mismo dictamen admitía sin embargo que “puede ser legítimo para los motores de búsqueda contactar con los editores originales antes de tomar cualquier decisión sobre una solicitud de retirada, en casos especialmente difíciles, cuando sea necesario lograr una comprensión más completa sobre de las circunstancias del caso. En tales casos, los motores de búsqueda deben tomar todas las medidas necesarias para salvaguardar adecuadamente los derechos del titular de los datos afectado”.

Así pues, aunque no especifica cual sería la base de legitimación para llevar a cabo esa comunicación previa, el GT29 considera que puede ser legítima cuando resulte necesaria para una comprensión adecuada de las circunstancias que permita llevar a cabo el juicio de ponderación. En cambio, rechaza que el buscador pueda informar a posteriori, cuando ya se ha tomado la decisión de eliminar el enlace. O, más precisamente, rechaza que esta comunicación a posteriori pueda hacerse de modo sistemático como práctica general. Una vez decidida la eliminación ya no cabría ninguna justificación para esa comunicación, que es vista por tanto con especial recelo. De todos modos, desde el punto de vista de la valoración del riesgo que supone para el interesado, si el peligro es que el medio boicotee el derecho al olvido republicando la información, el problema se planteará igualmente si la comunicación es previa. Así que si la comunicación previa se considera legítima quizá quepa encontrar también argumentos que justifiquen la ulterior. Google ofrece unos cuantos, que son rechazados por la AEPD. Igual suerte corren las alegaciones de que en realidad la comunicación está ya autorizada o consentida por el interesado, o que es un tratamiento compatible con el solicitado por el mismo, o incluso que la comunicación no constituye en realidad un tratamiento de datos personales.

Este último argumento se basa en que Google se limita a indicar al editor las direcciones de las páginas (las URL) que se han visto afectadas, y esto no supondría la comunicación de ningún dato personal. Creo que la resolución de la AEPD es consistente con las nociones omnicomprensivas de “dato personal” y “tratamiento de datos” al concluir que a pesar de que en la propia URL no aparezca ningún nombre, se trata en todo caso de un tratamiento de datos personales, porque lo que se comunica es una información asociada a una persona identificable. La información es el dato de que se ha solicitado –y  concedido– la supresión del enlace. Y esa información está vinculada a una persona (el solicitante), que puede ser fácilmente identificada por el editor aunque en la página aparezcan nombres de diversas personas. Es cierto que el editor ya disponía de los datos personales que aparecen en el contenido que se desenlaza, pero no disponía del nuevo dato personal que se le comunica: la información de que esa persona ha ejercitado el derecho al olvido. Por lo demás, alegar que la persona no es identificable para el editor no se compadece bien con argumentar que la comunicación se hace para que el editor pueda proporcionar más información para la ponderación de intereses, puesto que dicha ponderación incluye la valoración de las circunstancias del interesado, como su papel en la vida pública.

Por otra parte, parece difícil concluir que el solicitante ya consintió en la comunicación al editor de esa información. Ciertamente en el formulario de derecho al olvido advierte al solicitante que “Google puede proporcionar información a los webmasters de las URL que se hayan retirado de nuestros resultados de búsqueda.” No es una opción que pueda elegir o rechazar, es una mera información. Haber leído esta información y a pesar de todo enviar el formulario no equivale a prestar el consentimiento que exige la LOPD.

Mayor justificación podría encontrarse quizás en que precisamente para llevar a cabo lo solicitado por usuario, el buscador debe necesita recabar información de la fuente que publicó el contenido. Así, se trataría no sólo de un tratamiento compatible con el consentido, sino necesario para llevar a cabo lo solicitado. De todos modos, lo cierto es que la comunicación que realiza Google a través de la herramienta de webmasters no consiste en solicitar información sobre la circunstancias del caso, sino que se limita a informar sobre la eliminación del enlace. Y si el enlace ya se había eliminado, entonces la comunicación no seria estrictamente necesaria (pues su ausencia no impidió tomar una decisión, por lo menos una decisión provisional, de eliminación), aunque podría seguir siendo conveniente y en todo caso compatible con la cancelación.

Por lo demás, el hecho de la comunicación sea a posteriori no priva de la posibilidad de que el editor aporte de modo eficaz información sobre las circunstancias que permitan valorar la petición. Así lo argumenta Google, destacando que el editor puede también aportar información a posteriori, y que esos datos pueden hacer reconsiderar la retirada del enlace, mientras que podría ser perjudicial para el interesado demorar el juicio de ponderación hasta disponer de todos los datos. La AEPD niega que el buscador disponga de esta posibilidad de reconsiderar la remoción del enlace: “Es obvio que Google no tiene esa facultad de revisión para negar a posteriori un derecho que ya hubiese sido reconocido, y que esa revisión, de llevarse a efecto, llevaría a la entidad a tratar nuevamente los datos del afectado en contra de su expreso deseo, en clara vulneración de la LOPD.” A mi juicio, el argumento de la Agencia aquí es poco convincente. Del mismo modo que el buscador puede negarse a retirar un enlace si considera que el contenido es de interés público, y mantenerlo por tanto contra el expreso deseo del interesado, puede revisar una decisión inicial de retirada a la vista de una más completa información sobre las circunstancias del caso.

Otro de los argumentos de la discusión es que la comunicación de que se ha recibido y estimado una solicitud de cancelación, no es extraña a la Directiva, ni a la LOPD, ni al nuevo Reglamento General de Protección de datos.

En efecto, el art. 12 c) de la todavía vigente Directiva 95/46 dispone que los Estados miembros deben garantizar a los interesados el “derecho de obtener del responsable del tratamiento: (…) c) la notificación a los terceros a quienes se hayan comunicado los datos de toda rectificación, supresión o bloqueo efectuado de conformidad con la letra b), si no resulta imposible o supone un esfuerzo desproporcionado”, previsión que recoge la LOPD en su art. 16.4, al tratar sobre la rectificación o cancelación: “4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación.” Ambos preceptos establecen la obligación de informar sobre la rectificación o cancelación a los terceros a quienes se hayan comunicado los datos. Es oportuno notar la forma impersonal (“se hayan”) en ambos textos. El responsable deberá notificar por tanto, no sólo a los terceros a quienes el propio responsable hubiera comunicado los datos, sino a todos los que están tratando los datos, sin que necesariamente los hayan recibido por comunicación directa de ese responsable. La referencia a que los datos hayan sido comunicados puede dar a entender que el perímetro de sujetos a los que obligatoriamente debe notificarse la cancelación no incluye a quienes ya los estaban tratando antes. Sin embargo no parece que el objetivo del precepto sea excluir de la obligación la notificación ascendente, esto es, a la fuente de la que el responsable obtuvo los datos. En una cadena de múltiples responsables, la solicitud dirigida a uno que se halle a medio camino, y que quizás sea el más notorio, no tiene porqué implicar que la notificación no deba llegar a los que se hallan río arriba. El precepto busca en último término que todos los que tratan los datos sepan de la solicitud de cancelación y a su vez cancelen el tratamiento -salvo, claro está, que dispongan de una base de legitimación que les permita continuar con el mismo-.

En sentido similar, al tratar sobre el “derecho al olvido”, el art. 17.2 del Reglamento General de Protección de Datos (RGPD), que será de aplicación a partir de mayo de 2018, dispone: “Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.” De modo aún más amplio que en la Directiva y en la LOPD, se trata de notificar a todos los responsables que estén tratando los datos. Ya no se hace referencia a que se les hayan comunicado los datos. ¿Se incluirían entre los destinatarios de la obligada notificación los webmasters, que en todo caso son responsables que están tratando los datos objeto de la solicitud de derecho al olvido? La AEPD cree que no, porque el precepto se refiere al caso en que el responsable “hecho públicos los datos”, lo que no ocurriría con el buscador. Sin embargo, al margen de que puede entenderse que también el buscador hace públicos los datos, esta lectura supondría liberar al buscador de toda obligación de notificar la cancelación a otros responsables del tratamiento, lo que probablemente no responda al propósito de la norma.

Con independencia de la interpretación última que quiera darse a este precepto y a los anteriores (Directiva y LOPD), es de notar que estas normas imponen pacíficamente una comunicación que podría despertar los mismos recelos que la que es objeto de examen, ya que los responsables a quienes se notifique podrían también potencialmente reaccionar dando mayor publicidad a su propio tratamiento, obstaculizando así el derecho ejercitado.

 

Volviendo a la cuestión general, se trata en último término de saber si existe una legitimación para llevar a cabo el tratamiento de datos consistente en realizar esa comunicación al webmaster. La AEPD, siguiendo la posición fuerte del TJUE concede poca relevancia al posible interés legítimo del buscador. Y por otra parte niega que el editor pueda tener interés legítimo en recibir tal información, con el argumento de que el buscador no le reconoce un derecho a que sus contenidos sean indexados o aparezcan en un determinado orden de relevancia. Sin embargo, lo que el buscador reconozca o no al editor no debería ser un argumento concluyente para limitar los posibles derechos o intereses que le correspondan.

Por último, desde un punto de vista más técnico-jurídico, cabe notar que la Agencia concluyó que con esta comunicación al webmaster, Google vulnera el deber de secreto establecido en el art. 10 de la LOPD ([e]l responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos), lo que constituye una infracción grave de acuerdo con el art. 43.3.d). Descarta en cambio la AEPD que constituya un supuesto de comunicación ilícita de datos del art. 11. En efecto, en tal caso, la misma conducta daría lugar a dos infracciones distintas, esta última por el art. 43.3.k). Por ello la AEPD interpreta que la comunicación de datos del art. 11 se refiere sólo a los casos en que existe la voluntad de ceder los datos para que sean tratados de forma automatizada por el cesionario, lo que no se verificaría en este caso, que por tanto debe considerarse en el ámbito del deber de secreto. En realidad es difícil escapar al solapamiento de las conductas tipificadas como infracción, un problema que deriva del carácter omnicomprensivo de la noción de “tratamiento”. En efecto, la misma conducta aquí considerada –si se entiende que no está justificada– entraría también en la infracción tipificada en el art. 43.3.b), aunque parece obvio que una misma actividad no puede ser sancionada tres veces.

El caso es interesante y habrá que estar atentos a lo que en su momento dictamine la Audiencia Nacional en el previsible recurso de Google contra la resolución de la AEPD.

 

Malos tiempos para RojaDirecta

9 December 2016

roja-directa

La sociedad que gestiona la web RojaDirecta, Puerto 80 Projects, S.L.U, así como su único socio y también administrador único, han sido condenados en vía civil por violación de los derechos de propiedad intelectual de Mediapro (Mediaproducción S.L.U.).

La sentencia dictada por el Juzgado Mercantil nº 2 de A Coruña el día 22 de noviembre de 2016 concluye que la actividad de la conocida página, que ofrece enlaces a retransmisiones de eventos deportivos en streaming, concluye que la actividad de la página constituye un acto no autorizado de comunicación pública.

La resolución cita la jurisprudencia del TJUE en materia de enlaces y propiedad intelectual, en particular los casos Svensson, BestWater y GS Media, y concluye que:

“lo que realiza rojadirecta es un acto de comunicación al público, así se infiere de la prueba practicada en relación particularmente con la sentencia Svensson y es un acto de comunicación además dirigido a un público nuevo en el sentido de la sentencia de GS Media ya que se dirige a la generalidad de los internautas, que no podrían visualizar los partidos en otro caso, cuando los partidos solo iban dirigidos a los abonados de las demandantes. Y son proporcionados por personas (las demandadas) que conocían o podían conocer razonablemente el carácter ilegal de la publicación.”

En cuanto a las exenciones de responsabilidad previstas en la LSSICE, la sentencia considera que Puerto 80 Projects no es un alojador de contenidos sino un editor, dado su papel activo, que le da conocimiento y control de los enlaces. Sigue así el criterio de la sentencia del Tribunal de Primera Instancia de París, de 19 de marzo de 2015, que cita expresamente, que consideró que la sociedad demandada no puede beneficiarse del estatuto de alojador (hébergeur), resaltando la actividad de organización y selección editorial de los enlaces. Uno de los argumentos de la defensa que la sentencia pone en duda es si realmente los enlaces son suministrados por usuarios de la web, concluyendo que “en el propio portal de rojadirecta no hay medios tecnológicos para que terceros suban enlaces por lo que se infiere que se suben de forma interna por rojadirecta”.

La posible vulneración de derechos de propiedad intelectual por parte de RojaDirecta ya se había avanzado al examinar el fumus boni iuris en los autos de medidas cautelares dictados Juzgado Mercantil nº11 de Madrid (auto de 16 de junio de 2015, aclarado por auto de 18 de agosto de 2015), y especialmente en el extenso auto de la Sección 28ª de la Audiencia Provincial de Madrid, de 15 de abril de 2016, que desestimó el recurso contra la adopción de dichas medidas. En aquel momento no se había dictado todavía la sentencia GS Media, pero la AP Madrid ya apuntó la posible violación de derechos siguiendo la doctrina del “público nuevo” establecida en el caso Svensson. De igual modo, la SAPM concluyó que faltaba el requisito de neutralidad exigido por la sentencia L’Oréal/eBay para la aplicación de las exenciones de responsabilidad. Así, señaló la SAPM (y la sentencia de A Coruña recoge la cita) que:

“Hay que tener presente que el titular del sitio enlazado responde de los contenidos que coloca en la red y si éstos están protegidos infringe la propiedad intelectual o el derecho ajeno digno de protección. Pero también será responsable el prestador del servicio de enlaces si éste ya no se mantiene en una postura de neutralidad, es decir, si colabora de algún modo con la actividad infractora o conoce de la ilicitud de los contenidos y no actúa para evitarla. Si éste es sabedor de que el contenido enlazado al que está facilitando el acceso ocasiona perjuicio a derechos de tercero incurrirá en responsabilidad (…) Conductas de esa índole, en las que el prestador del servicio despliega conductas activas de tratamiento, clasificación e indexación de la información, entrañan una ruptura de la neutralidad por parte de aquél y ello con independencia de quien le proporcione inicialmente el enlace y de la tecnología que luego se esté usando para el contacto entre los enlazadores (P2P, streaming, etc) si con ello lo que se produce es un mismo resultado.”

En cuanto a la responsabilidad de la persona física que es socio único y administrador único de la mercantil Puerto 80, la Juez de A Coruña rechaza la aplicación de la doctrina del levantamiento del velo. En cambio se apoya en el reconocimiento de la responsabilidad secundaria introducida en la reforma de la LPI, en vigor desde enero de 2015, concluyendo que de acuerdo con el artículo 138 LPI debe declararse también la responsabilidad de la persona física por su cooperación en la actividad infractora.

La sentencia de A Coruña puede considerarse la primera aplicación concreta en la jurisprudencia española de la doctrina contenida en la reciente sentencia del TJEU en GS Media (de septiembre de 2016).

Manual sobre Derecho TIC

12 May 2016

derecho ticAcaba de salir al mercado un manual sobre Derecho de las Tecnologías de la Información y de la Comunicación, en el que colaboro con un capítulo sobre el régimen de responsabilidad de los prestadores de servicios de Internet.

Como se señala en la introducción, el manual pretende acercar la materia a aquellas personas que se adentren por primera vez en la materia desde el punto de vista del estudiante, el académico o el profesional.

La obra, que publica Tirant lo Blanc, ha sido dirigida por Aurelio Lopez-Tarruella y coordinada por Carmen M. García Mirete, y se ha beneficiado de los años experiencia en la dirección del Módulo de Derecho TIC del Magister Lvcentinvs de la Universidad de Alicante.

Los contenidos del libro son los siguientes:

Capítulo 1. Fundamentos técnicos y organizativos de Internet.
Alejandro Bia / Aurelio Lopez-Tarruella

Capítulo 2. El sistema de nombres de dominio y sus aspectos jurídicos
Albert Agustinoy Guilayn

Capítulo 3. Los prestadores de servicios de Internet y la normativa sobre responsabilidad
Miquel Peguera Poch

Capítulo 4. Infracción de marca en Internet
Juan Luis Gracia / Ernesto Cebollero / Valentina Torelli

Chapter 5. Patents and Standards in the Telecommunication Industry
Claudia Tapia

Capítulo 6. El Derecho de autor en el entorno digital
Raquel Evangelio Llorca / Julián Lopez Richart

Chapter 7. Business-to-Business Contracts and eMarketplaces
Teresa Rodriguez de las Heras

Capítulo 8. Protección del consumidor en el entorno digital
Aurelio Lopez-Tarruella

Chapter 9. Electronic Payment Services
Teresa Rodriguez de las Heras

Capítulo 10. El régimen jurídico aplicable a la firma y sello electrónicos en la Unión Europea
Ignacio Alamillo Domingo

Chapter 11. Software Protection and Licensing
Malcolm Bain

Chapter 12. Service Contracts in the Information Technology Sector
Malcolm Bain

Chapter 13. Personal Data Protection
Cecilia Alvarez Rigaudias

Capítulo 14. Aspectos de Derecho internacional privado de las relaciones jurídicas en Internet
Carmen M. Garcia Mirete / Aurelio Lopez-Tarruella

Derecho al olvido y datos alojados en Blogger

4 March 2015
  • De acuerdo con una reciente sentencia de la AN, la AEPD no puede ordenar a Google, en el marco de un procedimiento de tutela de derechos, que retire datos de un blog alojado Blogger.
  • Google, como titular de la plataforma Blogger de alojamiento de blogs, no es responsable del tratamiento de los datos personales que puedan aparecer en un blog.

Desde el pasado mes de diciembre, la Audiencia Nacional (AN) ha ido dictando sentencias en las que aplica ya la doctrina sobre el derecho al olvido que el TJUE estableció en el caso Google Spain. Se trata de recursos que Google planteó en su momento contra resoluciones de la Agencia Española de Protección de Datos (AEPD) que tutelaban a particulares en su “derecho al olvido”. En la mayoría de estas sentencias, la AN confirma la resolución de la AEPD, si bien modificando el alcance de la obligación establecida. En sus resoluciones, la AEPD ordenaba a Google “adoptar las medidas necesarias para retirar los datos su índice e imposibilitar el acceso futuro a los mismos”. Ahora, en línea con la sentencia del TJUE, la AN reformula esta orden, limitándose a ordenar a Google a adoptar las medidas necesarias para que los enlaces a las páginas que contienen los datos personales en cuestión no aparezcan en la lista de resultados cuando se realiza una búsqueda a partir del nombre de la persona afectada.

Pues bien, una de estas sentencias (conocida recientemente y ya accesible en la base de datos del Cendoj) resuelve un caso peculiar. Se trata de un típico supuesto de derecho al olvido: al buscar por el nombre de la persona aparece una información sobre un delito cometido años atrás. Ha transcurrido mucho tiempo, se han cancelado ya los antecedentes penales, y la persona en cuestión desea que la información no siga apareciendo en la red. Pero lo interesante del caso es que la información está publicada en un blog alojado en la plataforma Blogger (propiedad de Google). El interesado ejercitó sus derechos de cancelación/oposición frente a Google Spain SL, tanto para que eliminara la referencia en su buscador, como para que retirara los datos del blog por hallarse este alojado en la plataforma de su propiedad. Así lo estimó la AEPD, ordenando ambas cosas a Google Spain.

La sentencia de la AN solo confirma la resolución de la AEPD en cuanto al ejercicio del derecho al olvido en el buscador (y referido sólo a la supresión de enlaces en el caso de búsquedas realizadas por el nombre de la persona). Por el contrario, declara que este derecho no puede ejercitarse frente a quien aloja un blog.

La AEPD había declarado en su resolución que el blog alojado en Blogger “es un fichero automatizado de datos de carácter personal al contener informaciones relativas a personas físicas, del cual es responsable Google Spain, S.L”. La AN afirma en cambio que, de acuerdo con la LOPD, una plataforma de alojamiento de blogs no es responsable del tratamiento de los datos personales que aparecen en los blogs en ella alojados. Por tanto, no es posible acordar la retirada de datos en el marco de un procedimiento de tutela de los derechos de cancelación y oposición ejercidos frente al alojador. El derecho debe ejercitarse frente al responsable del tratamiento, esto es, frente al autor del blog (que no ha quedado acreditado que sea Google Spain)

La AEPD argumentaba que si bien Google, en cuanto alojador del blog, está cubierto por la exclusión de responsabilidad prevista en el artículo 16 LSSICE, la Agencia es órgano competente para ordenar la retirada de los datos personales (aplicando el artículo 16 en relación con el artículo 8, que permite la restricción de la prestación de servicios de la sociedad de la información cuando estos atenten contra determinados principios, entre los que se incluye la protección de la dignidad de la persona). La AN, sin embargo, rechaza que en el marco de un procedimiento de tutela de derechos, la AEPD pueda ordenar la retirada del material basándose en la LSSICE.

La Audiencia Nacional confirma una orden de retirada de enlaces dictada por la Comisión de Propiedad Intelectual

18 December 2014

En una reciente sentencia (PDF), la Audiencia Nacional (AN) una resolución de la Comisión de Propiedad Intelectual (CPI) que ordenaba a la página elitetorrent la retirada de dos enlaces.

Se trata del primer caso en que la AN revisa una resolución de la CPI entrando a valorar el fondo del asunto. Su conclusión es que la página de enlaces incurrió en infracción de propiedad intelectual, por lo que desestima el recurso de los responsables de la web y confirma la resolución de la Sección Segunda de la CPI.

La AN sostiene que los enlaces a contenidos no autorizados constituyen un acto puesta a disposición del público, y por tanto requieren autorización de los titulares de derechos.

Para establecer dicha calificación, la AN se basa en la sentencia del caso Svensson. Allí, el TJUE consideró que un enlace es un supuesto de comunicación, si bien no requiere autorización si apunta a un contenido que los titulares de derechos han puesto a disposición sin restricciones en Internet, porque en tal caso el enlace no se dirige a un “público nuevo”, distinto del que ya tuvieron en cuenta los titulares al autorizar la comunicación inicial.

La AN declara que los criterios de Svensson son plenamente aplicables al caso concreto, y concluye que la página llevaba a cabo un acto de comunicación pública sujeto a autorización, puesto que los titulares de derechos “no habían autorizado la explotación libre de restricciones en internet de su obra”.

La sentencia afirma también que la actividad de la página constituye una “explotación” de la obra que de acuerdo con el artículo 17 de la LPI precisa de la autorización de los titulares de derechos.

%d bloggers like this: