Entradas

Comunicaciones comerciales a raíz del RGPD

proteccion de datosHa pasado más de un mes desde aquel aluvión de emails a resultas del RGPD, y aun hoy siguen preguntándonos sobre la misma cuestión: las comunicaciones comerciales y su implicación con el RGPD.

 

Debemos partir de la definición de comunicación comercial, que es toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.

 

¿Qué no es comunicación comercial? Pues todos aquellos datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica.

 

El Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) define el consentimiento en su artículo 4.11 como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. Es decir, no cabe el consentimiento tácito.

 

Y el considerando 32 del RGPD establece lo siguiente: “El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.”

 

En consecuencia, los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa.

 

Por otro lado, al tratarse de comunicaciones electrónicas debe tomarse en consideración la aplicación de la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico (LSSICE), por ser norma especial, y por tanto, no podrá acudirse en este punto a las previsiones del RGPD. La LSSICE en su artículo 21 establece: “1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

  1. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente”.

 

Por tanto, en estos supuestos, la regla general es el consentimiento expreso del interesado, a menos que dichas acciones se refieran a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

 

Por otro lado, si los correos electrónicos que se envíen no tienen el carácter de comerciales, el tratamiento de los datos de las personas físicas (y no jurídicas), se encontrará sujeto a lo previsto en el RGPD.

 

El responsable del tratamiento debe encontrarse legitimado para llevar a cabo dichos tratamientos, encontrando dichas causas legitimadoras en el artículo 6 del RGPD, y entre ellas cabe destacar el interés legítimo, que viene de antiguo.

 

La determinación de si existe un interés legítimo requiere ponderar por el responsable, si dicho interés prevalece sobre los derechos y libertades fundamentales del interesado; en el caso de que el mismo prevaleciese, podría llevar a cabo tales tratamientos, pero en todo caso el interesado podrá oponerse a dichos tratamientos conforme a lo dispuesto en el artículo 21 del RGPD.

 

DPD Delegado Protección de Datos – Tratamiento a gran escala DPO Data Protection Officer – RGPD

¿Cómo interpretamos el concepto de tratamiento a gran escala a efectos de nombrar un DPD (Delegado de Protección de Datos – DPO Data Protection Officer)?

 

Según el artículo 37.1 del RGPD (Reglamento Europeo de Protección de Datos) el responsable y el encargado del tratamiento designarán un Delegado de Protección de Datos (DPD o DPO en sus siglas inglesas) siempre que:

 

  1. El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  2. Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
  3. Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo

 

Este precepto ha sido interpretado en el documento “Directrices sobre delegados de protección de datos” del Grupo de Trabajo del Artículo 29, que engloba a todas las autoridades europeas de protección de datos:

 

Así, el Grupo de Trabajo recomienda que se tengan en cuenta los siguientes factores, en particular, a la hora de determinar si el tratamiento se realiza a gran escala:

  • El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;
  • El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;
  • La duración, o permanencia, de la actividad de tratamiento de datos;
  • El alcance geográfico de la actividad de tratamiento.

 

Siguiendo con el citado dictamen, como ejemplos de tratamiento a gran escala cabe citar:

  • El tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital;
  • El tratamiento de datos de desplazamiento de las personas que utilizan el sistema de transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte);
  • El tratamiento de datos de geolocalización en tiempo real de clientes de una cadena internacional de comida rápida con fines estadísticos por parte de un responsable del tratamiento especializado en la prestación de estos servicios;
  • El tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de seguros o de un banco;
  • El tratamiento de datos personales para publicidad comportamental por un motor de búsqueda;
  • El tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o

 

Como casos que no constituyen tratamiento a gran escala cabe señalar:

  • El tratamiento de datos de pacientes por parte de un solo médico;
  • El tratamiento de datos personales relativos a condenas e infracciones penales por parte de un

 

Por último, el proyecto de Ley Orgánica de Protección de Datos que se está tramitando, contempla en su artículo 34.1 los siguientes supuestos de nombramiento de Delegado de Protección de Datos (DPD/DPO):

 

Artículo 34. Designación de un Delegado de Protección de Datos.

  1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:
  2. Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios
  3. Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y
  4. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones, cuando traten habitual y sistemáticamente datos personales a gran
  5. Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del
  6. Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  7. Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación
  8. Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
  9. Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
  10. Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de
  11. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
  12. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  13. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
  14. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  15. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
  16. Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.

 

Como ser YouTuber y no morir en el intento

Youtube

Youtube

Las redes sociales padecen las modas. Hoy se lleva ésta y mañana estará de moda otra.

 

Lo cierto es que cada vez escribimos y leemos menos. Nos gusta la inmediatez, y claro, YouTube cumple todas esas premisas. Que queremos saber cómo se hacen unos huevos fritos, pues en lugar de leer grandes e ilustrativas recetas, mejor ponemos un tutorial en YouTube que, cuanto más breve, mejor.

 

Y así nacen los Youtubers, que a base de seguidores terminan haciéndose profesionales y ganan dinero subiendo videos.

 

Pero como todo en la vida, no están exentos de asumir la ley, por mucho que siga pareciendo a la fecha en la que estamos que Internet sea un mundo sin ley. Que no señores, que hay que cumplir la ley aquí y en Pekín.

 

Así, es primordial para aquellos youtubers españoles cumplir con la normativa de los servicios de la sociedad de la información, recogido en la Ley 34/2002, ya conocida por todos como LSSI.

 

De este modo, los youtubers deben identificarse a fin de que los usuarios puedan comunicarse con ellos. Si el youtuber cuenta con una web (lo que ocurrirá en los casos de youtubers profesionales), con la remisión a dicha web donde conste los datos, es más que suficiente.

 

Si no es así, deberá mostrar los datos en algún momento del video, a modo de título de crédito, que animo a meter algo de creatividad al estilo de las mejores películas de cine, que todo suma a la hora de conseguir followers.

 

Si el youtuber es ya un profesional y tiene web propia, además de lo anterior deberá tener una política de privacidad, adecuar su actividad a la normativa sobre protección de datos personales, y una política de cookies.

 

En Internet se debe tener respeto por el contenido de terceros. Tendemos a creer que todo lo que está en Internet es de libre acceso y puedo disponer de ello como me plazca. Flaco error amigo. Hay que obtener el permiso de sus autores para poder disponer del contenido, a no ser que expresamente digan lo contrario.

 

A algunos les gusta que les copie, a otros no tanto. Y a estos últimos los juzgados les da la razón, y no sin motivos.

 

Otras de las normas que se debe cumplir es la Ley General de Publicidad, es decir, que no sea engañosa, ilícita, etc. Es precisamente en la publicidad donde los youtubers sacan tajada a su trabajo, al recomendar marcas y productos y recibir por ello una contraprestación, ya sea en efectivo o en especie.

 

Y cuidado con desprestigiar a la competencia de la marca o producto que anunciamos, ya que las personas jurídicas también tienen honor, pues bien caro le habrá costado tener una buena reputación en el mercado para que un influencer venga a calumniarla. Y eso se cuantifica, y bien caro.

 

El youtuber, al estar realizando una actividad económica, debe darse de alta como autónomo en la Seguridad Social y, lógicamente, en Hacienda, donde como mínimo va a tener la obligación de llevanza de los libros contables y la declaración trimestral de, al menos, el IVA.

 

Y si te animas a ser un youtuber de éxito, aquí tienes un video explicativo de cómo hacerlo:

 

 

El caso Blablacar

BlaBlaCar

BlaBlaCar

Los mandatos del derecho son éstos: vivir honradamente, no molestar a los demás, dar a cada cual lo suyo.

 

Así empieza los fundamentos de derecho de la sentencia conocida como el caso BLABLACAR, mediático donde los haya, para recordar a todos el principio constitucional de independencia de los jueces.

 

Desde que aparecieron las plataformas de economía colaborativa, ha habido mucho recelo por parte de los sectores de actividad más tradicionales (y también de Hacienda), que lo ven como una amenaza, sin contemplar soluciones más acordes a los tiempos actuales. Y es que, visto desde fuera, no se estima que sea tal amenaza, todo lo contrario.

 

Para aquellos que no lo sepan, la economía colaborativa comprende a todos aquellos modelos de negocios en los que las actividades se desarrollan a partir de plataformas colaborativas que proporcionan un mercado abierto para la utilización temporal de bienes o servicios, frecuentemente ofrecidos por entes privados.

 

Entre dichas plataformas se encuentra la muy popular BLABLACAR, que en mayo de 2015 se enfrentaba a una demanda por competencia desleal interpuesta por la Confederación Española de Transporte de Autobus (CONFEBUS), que pretendía su cierre en España.

 

Sin embargo, el Juzgado de lo Mercantil nº2 de Madrid, en su sentencia nº30/2017 de 2 de febrero de 2017, ha desestimado la demanda de CONFEBUS por entender que se trata de una actividad ajena a la regulada por la Ley de Ordenación de los Transportes Terrestres (LOTT), por lo que poco puede infringirla.

 

Argumenta que los usuarios de la plataforma son particulares que no están contratados por BLABLACAR, ni pertenecen a una empresa dedicada al transporte, amén de que lo que comparten son gastos, sin que exista ánimo de lucro.

 

Además, BLABLACAR impide el uso lucrativo de la plataforma. Así, el coste medio por kilómetro lo establece en 0,06 euros, cuando Hacienda entiende que el coste del uso de un vehículo privado es de 0,19 euros el kilómetro.

 

Llama la atención el informe pericial aportado por BLABLACAR donde se establece que el coste medio de viajar en un vehículo privado es de 0,332 euros el kilómetro, realista por cuanto no solo se consume combustible, sino que existe un desgaste de los componentes del vehículo. Entiendo que esto es conocido por la Hacienda Pública, quien hace oídos sordos y sigue con la media anterior indicada, que debe tener unos 20 años ya.

 

Como bien fundamenta la sentencia, la actividad de BLABLACAR es la propia de una sociedad de la información, que pone en contacto a personas, prestando un servicio de intermediación entre particulares, conforme establece el artículo 1 de la LSSICE.

 

En cuanto a la remuneración que recibe BLABLACAR por la intermediación entre usuarios, no es significativa como para incluirla dentro de las actividades reguladas por la LOTT, y son exclusivamente gastos de gestión por el control y gestión de la plataforma.

 

Otra cuestión debatida en la demanda es de índole fiscal, en cuanto a si el conductor debe pagar o no IVA, si bien no se ha pronunciado sobre la misma. Pero seguro que pronto Hacienda querrá llevarse parte del pastel, obviando la realidad cambiante de una sociedad que quiere compartir recursos, cada uno con sus motivos, económicos, sostenibilidad, ambientales, etc. Si no hay lucro y no se ejerce una actividad profesional, no debe generar IVA, pero como al final aquí se justifica todo…

 

 

 

Cómo quitar un contenido de Internet

InternetInternet se ha convertido en una ingente base de información, que en muchos casos desinforma. Pero sobre todo se ha convertido en un ágora donde la crítica resulta fácil, acompañada en muchas de las ocasiones por un desprestigio barato, injurioso y calumnioso en la mayoría de los casos, y donde compartir información, de lo más variopinta, es algo habitual, si bien no siempre lícito.

 

Una de las mayores infracciones que se comete en Internet es la vulneración de derechos de propiedad intelectual, motivo por el cual nació la famosa –siniestra- Sección Segunda y todas las modificaciones legales que al respecto se han producido, a fin de poner coto por vías menos ortodoxas que las judiciales.

 

También nos encontramos con blogs de autores “anónimos” que hacen crítica negativa a diestro y siniestro. Y claro, el problema está cuando te afecta. ¿Qué haces? Si te diriges a Google para ejercer el tan conocido “Derecho al olvido”, esta empresa te dirá, con total seguridad, que prima el derecho a la información y la libertad de expresión establecido en el artículo 20 de nuestra Constitución. Oiga! Pero es que la información no es veraz! –Me da igual. Y es que el derecho al olvido existe en el papel, pero no en la práctica.

 

Ante tal situación, recurrimos a la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE), que en su artículo 8 (Restricciones a la prestación de servicios y procedimiento de cooperación intracomunitario) estable la posibilidad de establecer restricciones frente a websites que atente contra el orden público, la dignidad de la persona, la protección de la juventud y de la infancia, la propiedad intelectual, entre otros principios. Debemos acudir a los juzgados en defensa de nuestros intereses, pues solo ellos –con excepción hecha de los condicionantes de la mencionada Sección Segunda– son los competentes para retirar un contenido de Internet. En nuestra denuncia debemos solicitar las medidas que se deben adoptar, de bloqueo total o retirada del contenido. Un consejo muy práctico es levantar un acta notarial del contenido ilícito que vayamos a denunciar, por aquello de que desaparezca en el transcurso de interposición de la denuncia y las medidas previas a adoptar.

 

En los blogs “anónimos” hay que solicitar que se requiera al proveedor del servicio a fin de que identifique al presunto responsable, siendo también fundamental la identificación de la IP infractora.

 

Y si no queremos acudir a los tribunales, siempre nos queda la Agencia Española de Protección de Datos (AEPD), que velará por que nuestros derechos de cancelación y oposición se cumplan.

 

 

 

¿Es delito enlazar?

AvezaliaEl artículo 270 del Código Penal castiga a quien, “con ánimo de lucro y en perjuicio de tercero, reproduzca, plagie, distribuya o comunique públicamente, en todo o en parte, una obra literaria, artística o científica, o su transformación, interpretación o ejecución artística fijada en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus cesionarios”.

 

Veamos los distintos elementos del tipo, pero antes pongámonos en el supuesto práctico: página web donde se pueden visualizar de manera gratuita contenido de tercero protegido por derechos de autor. El contenido estaba ordenado por género y por países, lo que facilitaba el acceso a los usuarios. No se pedía registro para entrar en la web, y el contenido podía ser visto en línea streaming- sin tener que descargarlo. La web alojaba temporalmente el contenido, permitiendo el acceso directo a los archivos a cualquier usuario de Internet.

 

¿Qué se entiende por comunicación pública? Aunque la Ley de Propiedad Intelectual lo define en su artículo 20, el Tribunal de Justicia Europea se ha pronunciado respecto a dicho concepto, en Sentencia de 13 de febrero de 2014, y en la que, básicamente, viene a decir que no es necesaria autorización cuando el contenido es abierto. Si el contenido es abierto, no se produce comunicación pública. Y será abierto cuando no haya que pagar por el mismo, aunque sea estando suscrito en la web que lo ofrece.

 

Es cierto que el hecho de facilitar enlaces, que conducen al contenido de tercero, se considera acto de comunicación, pues está poniendo a disposición del usuario ese contenido, pero como decimos, siempre que ese contenido no sea abierto. Pues siendo así, el que primero dispone libremente es el propio autor, y el usuario de la web que enlaza bien pudo ser usuario anteriormente del autor del contenido.

 

También es cierto que el artículo 17.1 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE) excluye la responsabilidad de aquellos “prestadores de servicios que faciliten enlaces a otros contenidos o los incluyan en los suyos siempre que no tengan conocimiento efectivo de que la actividad o la información a la que remiten o recomiendan es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización”. Pero el supuesto práctico que estamos analizando va más allá de la mera intermediación técnica o neutra, que establece el artículo 13.2 de la LSSICE, ya que introduce elementos de contenido propios. Estamos ante un delito contra la propiedad intelectual.

 

En cuanto al ánimo de lucro, es patente en el supuesto que analizamos, ya que la web en cuestión incluía publicidad tipo banners, videos pre-rol publicitarios, pop-ups o ventana emergentes. El ánimo de lucro, en el sentido de lucro comercial, es fácilmente probado por el beneficio económico que se obtiene a mayor número de visitas.

 

Por último, decir que el artículo 271 del Código Penal, en el apartado a), contempla un supuesto agravado de la pena de los delitos relativos a la propiedad intelectual. En concreto para el caso de que “el beneficio obtenido posea especial transcendencia económica”. Pero, ¿qué debemos entender por especial transcendencia económica? ¿De cuánto dinero hablamos? En mi opinión, deberíamos acudir a lo dispuesto para las estafas en el artículo 250.1.5º, que establece una mayor penalidad cuando el valor de la defraudación supere los 50.000 euros.