En esta infografía resumo los puntos que considero más importantes de la nueva Guía sobre el uso de cookies de la Agencia Española de Protección de Datos y las asociaciones adigital, Autocontrol e IAB, que ha sido publicada hoy.
Infografía Cookies 2013 en formato PDF
Para ampliar la imagen haz clic en la infografía
Infografía resumen de la Guía sobre el uso de cookies de la Agencia Española de Protección de Datos – Xavier Ribas
El Consejo de Ministros de ayer recibió un informe de la ministra de Sanidad, Servicios sociales e Igualdad sobre el Anteproyecto de Ley por el que se modifica el texto refundido de la Ley General para la Defensa de los Derechos de los Consumidores y Usuarios y otras leyes complementarias. Mediante esta Ley se transpondrá a la legislación española la Directiva comunitaria sobre los derechos de los consumidores.
Su objetivo principal es reforzar la seguridad jurídica de los consumidores y de las tiendas online, con medidas encaminadas a reducir la desigualdad de posiciones entre ambas partes.
Las principales novedades de la futura Ley son las siguientes:
1. Información
Se amplía la información precontractual que, por ley, habrá que facilitar a los consumidores y usuarios, en general y, en particular, cuando formalicen contratos a distancia. Tendrá que ser clara y comprensible.
2. Derecho de desistimiento
Se introducen nuevas garantías en cuanto a la posibilidad de renunciar o desistir del contrato. Asimismo, se amplía el plazo en el que se puede ejercer: de los 7 días hábiles actuales a 14 días naturales. En el caso de que no se hubiera informado al consumidor de que puede ejercer este derecho, el plazo queda automáticamente ampliado a 12 meses. La nueva norma, además, incorporará un formulario de desistimiento común en Europa, que facilita el ejercicio de este derecho y que se tendrá que facilitar junto con la información previa al contrato.
Cabe decir al respecto que en algunos sectores, como el de la moda online, la ampliación del plazo de desistimiento ha supuesto una ventaja competitiva para algunas empresas. Un plazo de 30 días, por ejemplo, unido a la asunción de los gastos de devolución, puede hacer que los consumidores adquieran tres tallas de una misma prenda (la propia, la superior y la inferior) con el fin de quedarse la que mejor le quede y devolver las dos restantes. Si el consumidor tiene 30 días para realizar la devolución, aumenta la posibilidad de que encuentre otro comprador entre familiares y amigos y al final no practique la devolución.
3. Nuevos derechos
El Anteproyecto dota a los consumidores de nuevos derechos, referidos a la forma y los plazos de entrega y el riesgo de pérdida o deterioro del bien adquirido, entre otros.
4. Cargos adicionales
El empresario tendrá que asegurarse de que el consumidor, al realizar un pedido a través de Internet, confirme que es consciente de que éste implica una obligación de pago. De este modo, el usuario siempre tendrá que aceptar el precio final antes de que concluya la transacción.
Si el empresario no obtiene el consentimiento expreso del consumidor para un pago adicional al acordado y, en su lugar, lo deduce utilizando opciones por defecto, el usuario tendrá derecho al reembolso del pago.
En el caso de que el empresario decida habilitar una línea telefónica para comunicarse con sus clientes en relación con el contrato, el uso de esta línea no podrá suponer un coste superior al de la tarifa básica.
Además, los empresarios no podrán facturar al consumidor cargos por el uso de determinados medios de pago que superen el coste al que tienen que hacer frente ellos por el uso de los mismos.
Esta mañana, al realizar una búsqueda en Google, ha aparecido en la zona previa a los resultados de la búsqueda un banner de aceptación de las cookies de Google. No recuerdo haberlo visto antes, por lo que desconozco el tiempo que lleva usándolo. Al hacer clic en el enlace «Más información» aparece el texto en el que Google explica cómo utiliza las cookies y dirige a varias páginas en las que el usuario puede ampliar la información.
En la página en la que explica los tipos de cookies que utiliza Google aparece una tabla en la que se relacionan las siguientes finalidades en el uso de las cookies por parte de Google:
En el apartado correspondiente a Google Analytics explica que «Google Analytics es una herramienta gratuita de análisis web de Google que principalmente permite que los propietarios de sitios web conozcan cómo interactúan los usuarios con su sitio web. Asimismo, habilita cookies en el dominio del sitio en el que te encuentras y utiliza un conjunto de cookies denominadas «__utma» y «__utmz» para recopilar información de forma anónima y elaborar informes de tendencias de sitios web sin identificar a usuarios individuales».
La lectura de esta explicación, unida a la frase del banner de aceptación de las cookies de Google, que dice: «Al utilizar nuestros servicios, aceptas el uso que hacemos de las cookies» permite que se planteen las siguientes cuestiones:
Desde el punto de vista de la LSSI, el artículo 22 no da una respuesta negativa a estas tres preguntas, aunque parece excesivo concentrar tantos consentimientos en un solo clic. Desde el punto de vista operativo podría ser una opción para exonerar a los administradores de sitios web que sólo utilizan esta cookie de solicitar el consentimiento de sus usuarios. Pero ello no es posible, ya que no se puede garantizar que todos los usuarios de un sitio web hayan hecho clic previamente en el banner de Google.
Desde el punto de vista de la LOPD, a la que el mismo artículo se remite, tendríamos que analizar la naturaleza de la relación entre Google y sus clientes. En mi opinión, Google actúa como encargado del tratamiento de las empresas que contratan el servicio Google Analytics, aunque he visto algún aviso legal en el que se afirma que la empresa no accede a los datos obtenidos por Google Analytics. ¿Para qué contrata entonces este servicio?
Cierto es que Google obtiene una información valiosa con Google Analytics y que, a la vista del uso que le da, actúa como responsable del fichero. Pero en el momento en que presta el servicio a sus clientes actúa como encargado del tratamiento. Ello le permitiría recabar el consentimiento en nombre del cliente y en nombre propio, aunque no he identificado esta función en los términos y condiciones del servicio. Pensemos que Google considera que no trata datos personales y por ello no configura la relación como un encargo de tratamiento. Sin embargo, si tenemos en cuenta el artículo 22 de la LSSI y aplicamos el criterio de la AEPD sobre la disociación irreversible al conjunto de datos que Google tiene sobre un usuario, será difícil determinar que no realiza un tratamiento.
Me gustaría mucho más que las cookies tuvieran otra regulación en Europa, ya que, además de ser excesiva, está creando una carga adicional a las empresas europeas, mientras nuestros competidores en los países que nos están empezando a superar en el mercado mundial no tienen obligaciones parecidas.
Acabo estas reflexiones que me ha suscitado el banner de Google con una referencia a la vinculación del consentimiento a la identidad del usuario cuando éste mantiene una sesión abierta en su cuenta de Google al tiempo que hace clic en el banner. Normalmente, la prueba de la aceptación de una cookie, cuando el usuario ha sido informado mediante un banner, puede ser la propia existencia de la cookie en el ordenador del usuario. Siempre claro, que la entrada de la cookie en el ordenador esté condicionada a la previa aceptación de la misma haciendo clic en el banner. Este consentimiento sólo vale para el navegador utilizado al hacer clic. Sin embargo, si el usuario está «logueado», Google podría asociar el consentimiento a la cuenta del usuario. No parece que sea ésta la intención de Google cuando afirma que la información recogida por las cookies no contiene datos que permitan determinar la identidad del usuario.
Además, ello sería fácil de comprobar, ya que, como las cookies de Google también se utilizan para adaptar la publicidad al perfil del usuario, sólo tenemos que comparar los anuncios que aparecen cuando la sesión está abierta y cerrada.
En la jornada sobre cloud computing que la Agencia Española de Protección de Datos (AEPD) organizó en enero de 2012 se llegó a la conclusión de que la computación en la nube había generado un cambio de paradigma en las subcontrataciones y en las transferencias internacionales de datos.
Este cambio de paradigma fue analizado posteriormente en este blog para comprobar cómo estaba actuando la oferta y la demanda en materia de subcontrataciones y transferencias internacionales.
En esta ocasión me gustaría analizar si este cambio de paradigma se ha manifestado en la tipología de las transferencias internacionales que fueron autorizadas por el Director de la AEPD durante 2012 y si la globalización y el abaratamiento de los servicios de hosting, unido a la aparición de nuevas categorías de servicios, está provocando una menor identificación de los supuestos en los que se produce una transferencia internacional de datos.
En relación a la primera cuestión, es fácil comprobar que las transferencias internacionales de datos autorizadas por el Director de la AEPD en 2012 se distribuyen en dos grandes tipologías:
– 122 transferencias internacionales realizadas en el marco de un contrato de prestación de servicios de encargado de tratamiento (call center, gestión de aplicaciones, gestión de bases de datos).
– 53 transferencias internacionales relativas a la gestión centralizada de datos de RRHH o de clientes en la sede central de una empresa multinacional.
En ninguna de ellas se identificó como destinatario de la transferencia internacional a alguno de los grandes proveedores que ofrecen servicios de hosting como prestación principal, es decir, como prestación no complementaria a los servicios de call center o gestión de bases de datos.
Tampoco se identificó como destinatario de la transferencia internacional a alguno de los grandes proveedores de cloud computing, en su modalidad de nube pública, ni a las principales redes sociales.
De este análisis rápido, basado exclusivamente en las transferencias internacionales autorizadas por el Director de la AEPD en 2012, extraigo las siguientes conclusiones:
Estas conclusiones me llevan a plantear si se están dando en el mercado circunstancias que dificultan la identificación de los supuestos en los que se produce una transferencia internacional de datos que exigiría la autorización del Director de la AEPD.
Todo parece indicar que efectivamente se está produciendo una progresiva pérdida de control por parte del responsable del fichero sobre los distintos encargados y subencargados del tratamiento que acceden a sus ficheros. Por otro lado, hay nuevos servicios en los que cuesta más identificar dónde están los datos a lo largo del ciclo de vida de la relación con el proveedor.
Agrupando estas nuevas circunstancias con las que ya pueden considerarse clásicas, podríamos enumerar las principales razones por las que no llegan al Director de la AEPD todas las transferencias internacionales que se están produciendo:
Además de estas razones, estamos asistiendo a un proceso de transformación de la manera en que vemos la información y su almacenamiento. Como decía Manuel Castells en 2001, la información ya no es un activo a almacenar, sino un flujo a optimizar, y hoy más que nunca cobra sentido esta afirmación.
Por ello, es comprensible que cada vez sea más difícil, y a la vez irrelevante, saber dónde están realmente los datos.
En la edición de hoy de El País se publica un artículo de Francisco Javier Martín del Barrio titulado «Mazazo a la segunda mano digital» en el que comenta una reciente decisión judicial que niega a la empresa ReDigi la posibilidad de ofrecer como usadas canciones de iTunes adquiridas previamente por otros usuarios.
El sistema diseñado por ReDigi es parecido al reivindicado por Amazon en su patente para la venta de eBooks de segunda mano. La diferencia es que Amazon es propietario de la plataforma que gestiona las licencias y ReDigi no, por lo que ha tenido que crear una nube propia en la que no se reproducen los elementos de control que Amazon tiene en relación a Kindle o Apple en relación a iTunes.
Tanto Amazon como Apple administran un conjunto de servidores en los que, si ententemos agotado el derecho de distribución a partir de la primera venta, podrían simular un entorno muy parecido al de la venta de libros, música y cine en soporte físico. Es decir, podrían asegurar al titular de los derechos que una obra digital adquirida de segunda mano pasa de la cuenta del primer usuario a la cuenta del segundo, de manera que el primero deja de tenerla de forma efectiva. Al menos online.
Tanto Amazon como Apple pueden aplicar un código único y un hash a cada canción, libro o película, con el fin de que en el mismo entorno no puedan coexistir dos archivos con el mismo hash y garantizando que el fichero transmitido de un usuario a otro sea el mismo, y que uno dejará de tenerlo en el momento en que sea transferido al nuevo usuario. Este sistema sería el más parecido a la venta de segunda mano de una obra en soporte físico. Un usuario pierde la posesión en favor de otro que la gana.
A pesar de todo, la ausencia de duplicados podría garantizarse a nivel cloud, pero no a nivel de dispositivos offline.
Ello es importante porque el juez del caso Capitol contra ReDigi ha entendido que en el sistema diseñado por esta empresa no se producía una transferencia física y que el segundo usuario obtenía una copia nueva de la obra.
Recordemos que una de las principales características de la tecnología digital es justamente la posibilidad de realizar una copia idéntica de una obra digital, sin merma alguna de calidad. Simplemente copiando el fichero. Por ello es importante determinar si el agotamiento del derecho de distribución que se produce en las obras analógicas o en las obras digitales en soporte físico se puede dar también en un entorno virtual como Internet. Aunque hay algunas sentencias a favor de esta tesis, el nuevo criterio aplicado en este caso podría suponer un obstáculo para la creación de un mercado de segunda mano digital.
Si al final se trata de evitar que se produzca una copia nueva, la solución pasaría por una combinación de elementos técnicos y jurídicos. Las garantías técnicas deberían asegurar el carácter único de la obra digital sin perjudicar al usuario, es decir, sin modificar el actual esquema que permite la reproducción online y offline en diversos dispositivos. Desde el punto de vista jurídico tal vez habría que unificar criterios en relación al concepto de reproducción, teniendo en cuenta, por ejemplo, que el paso a RAM en el momento de la audición o visualización también puede ser considerado como una reproducción en ciertas obras y jurisdicciones, ya que se crea una copia temporal en la RAM. No me extiendo más en este punto porque se me ocurren varias opciones técnicas y jurídicas para crear excepciones que deberían ser contempladas al diseñar un mercado de segunda mano virtual.
Desde un punto de vista empresarial, los autores y los titulares de los derechos de explotación deberán definir una estrategia en relación a un eventual mercado de segunda mano de obras digitales.
En una primera impresión, es comprensible que se vea como una amenaza para un modelo de negocio como el actual, basado en licencias intransferibles. Si miramos la disposición de las obras en ReDigi.com veremos que se da prioridad a las canciones de segunda mano. El botón correspondiente a las canciones «PreOwned» va en primer lugar, es más grande y de color verde. Es lógico que si al usuario se le da a escoger entre adquirir la versión nueva o la de segunda mano, que son idénticas en cuanto a calidad, pero con una diferencia de precio de casi el 50%, escoja la de segunda mano.
Algunos autores pueden verlo como una oportunidad, dado que en este tipo de obras no existe el llamado «droit de suite» de las obras plásticas, que permite al autor de un cuadro, por ejemplo, percibir un porcentaje de las sucesivas reventas que se produzcan del mismo.
Si Apple y Amazon llegasen a un acuerdo con los titulares de los derechos de explotación, éstos podrían percibir un porcentaje de las ventas de segunda mano en el mercado virtual que ahora no perciben en el mercado de segunda mano físico.
Mientras en los tribunales se intenta determinar si se produce el agotamiento del derecho de distribución con la primera venta de una obra digital y si la obra de segunda mano es una nueva reproducción o no, los titulares de los derechos deberán realizar las simulaciones económicas necesarias para comprobar si un mercado de segunda mano virtual es realmente una amenaza o una oportunidad. Un acuerdo rápido y uniforme en esta materia podría evitar pleitos, aunque la mera existencia de éstos en la actualidad ya parece indicar cuál ha sido la conclusión de este análisis en el sector.