Uso ilícito de las tarjetas de empresa

Artículo de opinión publicado en Expansión el 4 de octubre de 2014 (Página 50)

Las tarjetas de empresa son utilizadas habitualmente para el pago de los gastos que el directivo realiza en nombre de la empresa. En la mayoría de los casos se trata de gastos de viaje, alojamiento y manutención que deben estar directamente relacionados con la actividad de la empresa. En los casos en que no es así, o cuando se superan los límites legalmente establecidos, la tarjeta de la empresa puede convertirse en un instrumento remuneratorio.

Para que el uso corporativo de la tarjeta sea correcto, el directivo debe entregar al departamento de contabilidad la factura y el justificante del pago. Si la cuenta de cargo de la tarjeta es del directivo los pagos no justificados no serán reembolsados por la empresa. Pero si la cuenta de cargo es de la empresa y los cargos no se repercuten al directivo se habrá producido un beneficio para éste que resultará opaco para la Hacienda Pública.

Si el bien o servicio adquirido es para uso personal y el titular es el directivo, el cargo se producirá sobre unas cantidades que han pasado por nómina, han sufrido las correspondientes retenciones y se han integrado en la renta percibida por el directivo, sujeta a tributación por IRPF. En cambio, si el cargo se ha producido directamente en una cuenta de la empresa, el directivo habrá percibido una remuneración que será opaca para la Hacienda Pública. El mismo resultado puede obtenerse si el gasto personal es cargado en la cuenta del directivo y después es reembolsado íntegramente por la empresa. Si la cuantía de la cuota defraudada supera los ciento veinte mil euros podemos estar ante un delito fiscal.

Este medio de pago también puede escapar a los controles basados en la segregación de tareas. El directivo puede escoger al proveedor, acordar el alcance y el precio, aceptar la prestación, aprobar la factura y realizar el pago. Estas tareas acostumbran a estar segregadas en las empresas con el fin de evitar fraudes. El uso de la tarjeta corporativa por parte del directivo puede no estar sujeto a estos controles. En ciertos niveles, la factura presentada por el directivo no exige una aprobación adicional. El único control es cuantitativo, y consiste en establecer un tope anual para la tarjeta, que, en la práctica, puede ser superado.

Si sumamos la falta de control a la opacidad del medio de pago, el directivo puede disponer libremente de la tarjeta para usos personales o incluso para una finalidad similar a la de los famosos fondos reservados. El uso de este medio de pago podría ser utilizado entonces para agradecer a cargos públicos o clientes favores realizados o pendientes de realizar. En este caso podríamos estar ante un delito de corrupción pública o privada si las cantidades fuesen significativas.

Las empresas están actualmente en pleno proceso de transformación, adoptando los modelos de prevención y control exigidos en la reforma del Código Penal de 2010 y claramente definidos en el proyecto de reforma actual. En ellos se debe dotar de la máxima independencia al órgano individual o colegiado encargado de velar por el cumplimiento del modelo, con la difícil tarea de alertar del riesgo de incumplimiento de las normas de control a los propios directivos que las aprobaron.

La constante aparición en los medios de casos de corrupción y de comportamientos contrarios a la ética empresarial deberían provocar una aceleración en la tramitación de la nueva reforma con el fin de lanzar un mensaje al exterior y mejorar nuestra imagen como país en los mercados internacionales.

Debate sobre Uber en un taxi

PASAJERO 1: Ayer no había ni un taxi en toda la ciudad. ¿Cuál era exactamente el motivo de la protesta?

TAXISTA: Nos manifestamos en contra de estas aplicaciones que permiten a los particulares ponerse de acuerdo a través de Internet para realizar desplazamientos en las ciudades. El resultado final es que cualquier coche particular puede convertirse en taxi y nosotros nos quedaremos sin trabajo.

PASAJERO 1: Lo comprendo. En nuestra empresa desarrollamos un programa de ordenador muy popular que fue de los más compartidos en Internet. Primero con el P2P y ahora con las descargas directas. Ello nos obligó a transformarnos y ahora lo hemos convertido en un servicio.

TAXISTA: Pero en nuestro caso el particular necesita una licencia.

PASAJERO 1: En nuestro caso también. Aunque es el usuario final el que la necesita.

TAXISTA: Pero yo no puedo saber si un conductor particular lleva pasajeros en el coche o es su familia, porque no los conozco.

PASAJERO 1: Yo tampoco conozco a los que comparten mis programas gratuitamente por Internet, ni sé siquiera cuántos son.

TAXISTA: Pero no compare. Nosotros vivimos de esto. Bueno ustedes también. Pero hay muchos otros componentes, como la seguridad. Y nuestra actividad ya es un servicio actualmente. Podemos mejorarlo, pero no podemos servir cafés a los pasajeros al mismo tiempo que conducimos.

PASAJERO 1: Un programa bajado de Internet de una fuente desconocida también puede generar problemas de seguridad, pero tiene usted razón en que en el caso de un taxi la seguridad afecta mucho más al pasajero. En un taxi puedes tener una mayor certeza de que ha pasado inspecciones técnicas más exigentes que las de un coche particular, pero ello no impide que el taxista cometa imprudencias de vez en cuando. Y en cuanto al servicio he visto casos que son un modelo a seguir, en cuando a limpieza, temperatura, volumen de la música, elección de la ruta y muchos otros factores que influyen en la comodidad del pasajero. Lo que nosotros llamamos la experiencia de usuario.

PASAJERO 2: Yo trabajo en un hotel y estamos muy preocupados con las aplicaciones que permiten encontrar a particulares que alquilan pisos por días a través de Internet. Nuestro servicio está valorado con una media de 7,5 puntos por nuestros clientes, pero el que sólo se fija en el precio preferirá un piso particular.

PASAJERO 3: Yo trabajo en una empresa de transportes y mensajería y ya están empezando a salir aplicaciones como las que afectan a los taxis, que permiten localizar a particulares dispuestos a hacer de transportista o de mensajero.

TAXISTA: Pues si todos estos particulares no declaran estos ingresos la economía del país se va a resentir.

PASAJERO 1: Y si contamos el IVA que deja de recaudarse con las descargas de Internet también. Pero hay que tener en cuenta que no todas las descargas sustituyen a una compra. Muchos usuarios descargan porque es gratis. Si tuviesen que pagar no lo comprarían. Es posible que el usuario de un taxi particular sea distinto del usuario de un taxi profesional.

PASAJERO 2: Es cierto que el precio influye. En los comparadores online puedes escoger el hotel más barato.

PASAJERO 3: Y el viaje más económico.

PASAJERO 2: Y nada impide que, gracias a Internet, cientos de usuarios se pongan de acuerdo para comprar cualquier producto a precio de mayorista. Si el precio es lo que al final importa seguro que encuentran masa crítica para conseguir grandes descuentos.

PASAJERO 1: Es la llamada economía colaborativa y va a obligar a muchos negocios a adaptarse o desaparecer, como ha pasado con múltiples intermediarios: videoclubs, tiendas de discos, agencias de viajes. También hay aplicaciones que facilitan los préstamos entre particulares y sitios donde puedes obtener aportaciones voluntarias para financiar tu proyecto a cambio de ciertos privilegios en el producto final.

TAXISTA: Por suerte, en muchos sitios se han prohibido las aplicaciones que amenazan a nuestro sector.

PASAJERO 1: Es cierto, la cuestión es plantearse si el Estado tiene que intervenir para proteger a un sector o si, al contrario, tiene que dejar que los cambios se produzcan, aunque los efectos sean negativos. Al final, el dinero no se crea ni se destruye, sólo cambia de manos y, en este caso, de sector. Internet ha influido decisivamente en este cambio.

TAXISTA: Espero que no dejen morir este sector, del que viven muchas familias. Igual que no dejaron que el sector financiero se hundiese. Ya hemos llegado. Son 17,20.

PASAJERO 2: Tenga. Cobre 18.

TAXISTA: No tengo cambio de 50. No estamos obligados. Por cuestiones de seguridad.

PASAJERO 2: ¿Acepta tarjetas?

TAXISTA: No. Pero ahí tiene usted un bar. Y al lado un cajero.

PASAJERO 1: ¿Ahí no había un videoclub?

TAXISTA: No abra la puerta todavía que viene una moto.

PASAJERO 1: Esto también entra en el concepto seguridad.

TAXISTA: Ríase usted si quiere, pero es un reflejo que todavía no han adquirido los taxistas particulares.

Proyecto de modificación de la LSSI

El Consejo de Ministros ha aprobado esta mañana la remisión a las Cortes Generales del Proyecto de Ley General de Telecomunicaciones que modifica otros textos legales como la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, del 11 de julio de 2002, introduciendo, entre otros los siguientes cambios:

1. Se clarifican las obligaciones y los responsables de la correcta gestión de las cookies, como, por ejemplo, las redes publicitarias o agencias que no hubieran adoptado medidas para exigir del editor o prestador del servicio el cumplimiento de los deberes de información y la obtención del consentimiento del usuario. Sería muy interesante que en el debate del proyecto se clarificase la responsabilidad de las empresas con página corporativa en redes sociales como Facebook por el uso de cookies por parte de los propietarios de dichas plataformas.

2. Desaparece la exigencia de que el usuario realice una “acción expresa”, en el momento de instalar o actualizar el navegador, para manifestar su consentimiento al uso de cookies. En este caso sería muy recomendable que en el debate parlamentario se clarificase si es posible informar y obtener el consentimiento sobre el uso de cookies de manera simultánea o posterior a la instalación de la cookie. Especialmente en el caso de cookies estadísticas y analíticas, cuya mera instalación no puede considerarse como uso real.

3. Se subsana el lapsus de la inexistencia de régimen sancionador para el uso de cookies sin consentimiento, sancionando el hecho de ignorar la voluntad del usuario de no consentir el uso de cookies o seguir tratando sus datos tras la revocación del consentimiento.

4. El envío insistente de comunicaciones comerciales no solicitadas será una infracción grave. Se suaviza el régimen sancionador para el envío de comunicaciones comerciales no solicitadas, pues el envío de más de tres comunicaciones de esta clase en el plazo de un año constituye infracción grave, lo cual no es proporcionado por el número tan bajo que marca el umbral entre la infracción grave y la leve (artículos 38.3 c) y 38.4 d) de la Ley 34/2002, de 11 de julio). Dado que el envío masivo puede asociarse con el envío simultáneo de comunicaciones comerciales a múltiples destinatarios, se añade otra infracción grave consistente en el envío insistente de comunicaciones comerciales al correo del destinatario, para cubrir los supuestos de envío repetido a unos pocos destinatarios.

5. Se podrá apercibir al infractor en lugar de imponerle una sanción económica en el caso de infracciones graves y leves y cuando concurran ciertas circunstancias atenuantes como no haber cometido infracciones en el pasado.

6. Se suprime la obligación de identificar los e-mails o sms publicitarios con la palabra “publi” o “publicidad”.

7. En el caso de comunicaciones comerciales se aclara que los usuarios pueden utilizar el correo electrónico u otra dirección electrónica equivalente para revocar el consentimiento para la recepción de comunicaciones comerciales. Con ello se mejora una redacción que generaba dudas sobre el significado de “dirección electrónica”.

El texto cambia, a su vez, la Ley de firma electrónica, del 19 de diciembre de 2003, de forma que los certificados reconocidos utilizados en el DNI electrónico pasan a tener una duración de cinco años y no de dos años como hasta ahora.

La asociación adigital ha publicado una lista muy completa de las 10 principales modificaciones de la LSSI que puede ser consultada en esta dirección.

El consentimiento: ¿antes, durante o después de la cookie?

En mi opinión, la idea clave del debate suscitado a raíz de la noticia aparecida este verano sobre el inicio del primer procedimiento sancionador relacionado con cookies, es que el artículo 22.2 LSSI habla de consentimiento previo a la UTILIZACIÓN de cookies no exentas y no habla en momento alguno de consentimiento previo a la INSTALACIÓN.

La diferencia es importante en términos de interpretación, ya que él término “utilización” puede incluir tanto la instalación de la cookie como la posterior recogida de datos a través de la misma, que es lo que realmente tiene trascendencia jurídica.

Algo parecido ocurre en el caso de las direcciones IP de los visitantes de una página web.   En el aviso legal se informa sobre la recogida de este dato y la navegación se interpreta como una manifestación del consentimiento sobre su tratamiento, pero lo cierto es que la IP ha quedado registrada en el log del servidor desde el primer momento.

En cualquier caso, cabe resaltar, en relación a este debate, que tanto en el comunicado de IAB como en el de adigital se aclara que el procedimiento se refiere a un posible incumplimiento de las obligaciones de información y no de la obligación de obtener consentimiento.

Independientemente de lo que se substancie en este procedimiento, lo cierto es que la principal preocupación de las empresas es que puedan surgir de nuevo dudas sobre la forma y el momento en que se tiene que recabar el consentimiento. Algo que ya se consideraba resuelto tras la publicación de la Guía Y en este sentido considero que los dos comunicados son clarificadores.

A mi modo de ver, la secuencia cronológica es la siguiente:

1. El artículo 22.2 de la LSSI tiene una redacción confusa que impide saber de forma categórica si el consentimiento de una cookie (de Google Analytics, por ejemplo, que asocia los datos obtenidos a una dirección IP estática o dinámica), se refiere a la utilización (considerada en este caso como la captura acumulativa de datos útiles para el análisis estadístico) o afecta también la primera instalación de la cookie. Las dudas se extienden a otros puntos de la norma y surgen distintas interpretaciones.

2. Dada la incertidumbre, se produce una situación de espera en el mercado. Nadie quiere ser el primero, pero tampoco el último.

3. IAB, Autocontrol y aDigital acuerdan con la AEPD unos criterios de interpretación del artículo 22.2 que quedan plasmados en la “Guía sobre el uso de las Cookies”, dejando cierto margen de interpretación sobre las diferentes formas de prestar el consentimiento y el momento de instalación de las cookies.

4. La Agencia aclara que esta Guía contiene una interpretación de la ley, y que por lo tanto, puede haber otras. Con ello advierte en cierta forma que la Guía no es vinculante y que tanto la Agencia como la Audiencia Nacional, pueden aplicar un criterio distinto si en un caso concreto se fundamenta legalmente una interpretación que merece prevalecer sobre la de la Guía.

5. Si una empresa sigue la interpretación de la Guía y la Agencia o la Audiencia Nacional considera que ha cometido una infracción, podría esgrimir en su defensa el principio de confianza legítima mantenido por adigital en su comunicado, ya que la empresa habría actuado con la debida diligencia al seguir las indicaciones de una Guía avalada por la propia Agencia. Entiendo que ello tendría como consecuencia que no habría sanción, o ésta se aplicaría en su grado mínimo en el peor de los casos.

Como decía un cliente: “Se nota que estamos en el primer mundo”, ya que este debate está muy arriba en la pirámide de Maslow.

¿Cuánto cuesta el uso personal de Whatsapp a las empresas?

Son las 9:30 de la mañana. Rosa entra en la oficina con el iPhone en las manos y contestando a una pregunta que acaba de hacerle una amiga a través de Whatsapp. Rosa tiene 24 años, trabaja en una empresa de servicios y hace un uso intensivo de Whatsapp: 16 horas al día, 7 días a la semana, 365 días al año.

A Rosa le cuesta mucho concentrarse y su máximo nivel de rendimiento lo alcanza durante las cuatro primeras horas de la mañana, cuando todavía no acumula el cansancio del trabajo. Durante ese tiempo recibe una media de 70 mensajes de Whatsapp a la hora lo que produce un efecto de diente de sierra en su concentración y en su rendimiento.

Para que no se oiga el sonido de cada mensaje, Rosa tiene su iPhone en modo vibración, lo que produce un constante temblor en la mesa, a razón de unos 70 temblores a la hora. Cada temblor genera una curiosidad irrefrenable hacia el mensaje que acaba de llegar y ello hace que su nivel de concentración vuelva inmediatamente a cero.

Estas distracciones constantes influyen también en su tasa de error. Cada semana tiene algún incidente en las tareas repetitivas, sujetas a automatismos fatales. El error más habitual es enviar un presupuesto a un cliente con datos de otro cliente, lo cual molesta mucho a su jefe, que no entiende que se equivoque en algo tan importante.

En las reuniones con clientes Rosa pone el iPhone sobre la mesa y se aprovecha de que los mensajes de Whatsapp activan la pantalla, por lo que ha desarrollado la habilidad de leerlos de reojo mientras sigue la conversación. Por algo es una nativa digital, con multitarea de serie y full equip.

Sin embargo, de vez en cuando, hay un mensaje que tiene que responder. Ya que la interlocución con el cliente la lleva su jefe, no pasa nada si coge el iPhone y contesta. Hay cosas mucho más urgentes e importantes que el aburrido asunto que plantea el cliente. Comentar cotilleos, planificar el fin de semana, quedar para comer…

El único inconveniente son los temblores de la mesa. Rosa ya los ha incorporado a su umbral de consciencia y no los nota. Pero los clientes sí. Y cada vez que la mesa tiembla, a razón de 70 vibraciones por hora, miran su móvil por si acaban de recibir un mensaje.

Al acabar la reunión, el jefe de Rosa le pide un resumen de la reunión. Después recuerda que el último que le pidió tardó dos días en hacerlo y estaba incompleto debido a las constantes distracciones de Rosa. Rosa considera que su jefe es un poco cibergarrulo, porque teclea con dos dedos y no tiene Whatsapp, pero está encantada de que al final decida hacer él el resumen la reunión, porque en ese momento el iPhone le estaba quemando en las manos, con una pantalla llena de mensajes sin responder.

Rosa no es consciente de su adicción, ni del coste que su absentismo presencial supone para la empresa. Se trata de una empresa moderna, abierta a las redes sociales, con amplia experiencia en BYOD, satisfecha de las habilidades multitarea de sus jóvenes talentos y convencida de que cuando están en la empresa, están realmente en ella.

ACTUALIZACIÓN: 

Los resultados de una encuesta realizada a casi 4.000 personas y publicada hoy por Phone House, aunque no se refieren específicamente a la jornada laboral, confirman que “cerca de la mitad de los usuarios españoles (42%) no pasan ni una hora sin consultar su teléfono móvil, incluso en un 32% de los casos que no pueden evitar ojear su terminal cada 15 minutos”.

Y que “los españoles no podemos estar un momento sin mirar el teléfono móvil. La mitad lo consulta al instante de recibir un mensaje y ocho de cada diez no deja de prestarle atención pese a estar acompañados”

http://blog.phonehouse.es/index.php/2013/09/03/los-espanoles-prestamos-mas-atencion-al-smartphone-que-a-las-personas-que-nos-rodean/

ACTUALIZACIÓN:

Samsung se adelanta a Apple en el lanzamiento del reloj inteligente. Una fuente de interrupciones y distracciones instalada permanentemente en tu muñeca. Ya no hará falta tener el smartphone encima de la mesa para recibir mensajes de Whatsapp. ¿Prohibirán algunas empresas su uso en horario laboral al igual que han prohibido el uso privado del smartphone? ¿O por el contrario se utilizará como interfaz de los dispositivos BYOD?

ACTUALIZACIÓN:

Según este artículo de TICbeat, “ahora que nos vemos interrumpidos constantemente, tardamos mucho más tiempo en concluir cualquier tarea. El tiempo que se invierte de media en finalizar una tarea si no hay interrupciones es, según datos de un estudio realizado por la doctora Gloria Mark, de un minuto y medio. En cambio, en cuanto se producen una o varias interrupciones este plazo puede alargarse hasta los 25 minutos, acompañados, cómo no, de ese sentimiento de dispersión y de ¿qué estaba haciendo yo? por el que todos hemos pasado alguna vez”.

Viabilidad de un mercado de obras digitales de segunda mano

En la edición de hoy de El País se publica un artículo de Francisco Javier Martín del Barrio titulado “Mazazo a la segunda mano digital” en el que comenta una reciente decisión judicial que niega a la empresa ReDigi la posibilidad de ofrecer como usadas canciones de iTunes adquiridas previamente por otros usuarios.

El sistema diseñado por ReDigi es parecido al reivindicado por Amazon en su patente para la venta de eBooks de segunda mano. La diferencia es que Amazon es propietario de la plataforma que gestiona las licencias y ReDigi no, por lo que ha tenido que crear una nube propia en la que no se reproducen los elementos de control que Amazon tiene en relación a Kindle o Apple en relación a iTunes.

Tanto Amazon como Apple administran un conjunto de servidores en los que, si ententemos agotado el derecho de distribución a partir de la primera venta, podrían simular un entorno muy parecido al de la venta de libros, música y cine en soporte físico. Es decir, podrían asegurar al titular de los derechos que una obra digital adquirida de segunda mano pasa de la cuenta del primer usuario a la cuenta del segundo, de manera que el primero deja de tenerla de forma efectiva. Al menos online.

Tanto Amazon como Apple pueden aplicar un código único y un hash a cada canción, libro o película, con el fin de que en el mismo entorno no puedan coexistir dos archivos con el mismo hash y garantizando que el fichero transmitido de un usuario a otro sea el mismo, y que uno dejará de tenerlo en el momento en que sea transferido al nuevo usuario. Este sistema sería el más parecido a la venta de segunda mano de una obra en soporte físico. Un usuario pierde la posesión en favor de otro que la gana.

A pesar de todo, la ausencia de duplicados podría garantizarse a nivel cloud, pero no a nivel de dispositivos offline.

Ello es importante porque el juez del caso Capitol contra ReDigi ha entendido que en el sistema diseñado por esta empresa no se producía una transferencia física y que el segundo usuario obtenía una copia nueva de la obra.

Recordemos que una de las principales características de la tecnología digital es justamente la posibilidad de realizar una copia idéntica de una obra digital, sin merma alguna de calidad. Simplemente copiando el fichero. Por ello es importante determinar si el agotamiento del derecho de distribución que se produce en las obras analógicas o en las obras digitales en soporte físico se puede dar también en un entorno virtual como Internet. Aunque hay algunas sentencias a favor de esta tesis, el nuevo criterio aplicado en este caso podría suponer un obstáculo para la creación de un mercado de segunda mano digital.

Si al final se trata de evitar que se produzca una copia nueva, la solución pasaría por una combinación de elementos técnicos y jurídicos. Las garantías técnicas deberían asegurar el carácter único de la obra digital sin perjudicar al usuario, es decir, sin modificar el actual esquema que permite la reproducción online y offline en diversos dispositivos. Desde el punto de vista jurídico tal vez habría que unificar criterios en relación al concepto de reproducción, teniendo en cuenta, por ejemplo, que el paso a RAM en el momento de la audición o visualización también puede ser considerado como una reproducción en ciertas obras y jurisdicciones, ya que se crea una copia temporal en la RAM. No me extiendo más en este punto porque se me ocurren varias opciones técnicas y jurídicas para crear excepciones que deberían ser contempladas al diseñar un mercado de segunda mano virtual.

Desde un punto de vista empresarial, los autores y los titulares de los derechos de explotación deberán definir una estrategia en relación a un eventual mercado de segunda mano de obras digitales.

En una primera impresión, es comprensible que se vea como una amenaza para un modelo de negocio como el actual, basado en licencias intransferibles. Si miramos la disposición de las obras en ReDigi.com veremos que se da prioridad a las canciones de segunda mano. El botón correspondiente a las canciones “PreOwned” va en primer lugar, es más grande y de color verde. Es lógico que si al usuario se le da a escoger entre adquirir la versión nueva o la de segunda mano, que son idénticas en cuanto a calidad, pero con una diferencia de precio de casi el 50%, escoja la de segunda mano.

Algunos autores pueden verlo como una oportunidad, dado que en este tipo de obras no existe el llamado “droit de suite” de las obras plásticas, que permite al autor de un cuadro, por ejemplo, percibir un porcentaje de las sucesivas reventas que se produzcan del mismo.

Si Apple y Amazon llegasen a un acuerdo con los titulares de los derechos de explotación, éstos podrían percibir un porcentaje de las ventas de segunda mano en el mercado virtual que ahora no perciben en el mercado de segunda mano físico.

Mientras en los tribunales se intenta determinar si se produce el agotamiento del derecho de distribución con la primera venta de una obra digital y si la obra de segunda mano es una nueva reproducción o no, los titulares de los derechos deberán realizar las simulaciones económicas necesarias para comprobar si un mercado de segunda mano virtual es realmente una amenaza o una oportunidad. Un acuerdo rápido y uniforme en esta materia podría evitar pleitos, aunque la mera existencia de éstos en la actualidad ya parece indicar cuál ha sido la conclusión de este análisis en el sector.

¿Puede un periódico publicar las fotos que tuiteas?

La pregunta surge tras la reciente sentencia de un Juez de Distrito de Nueva York en la que declara que The Washington Post y la Agencia France-Press (AFP) infringieron los derechos de propiedad intelectual del fotógrafo Daniel Morel, al distribuir y publicar sin su autorización, fotografías que éste había tuiteado sobre el terremoto de Haití.

Los términos de servicio de Twitter establecen que:

  1. El usuario es el titular de los derechos que le amparan sobre cualquier contenido que envíe, reproduzca o exponga en Twitter.
  2. Al hacerlo, el usuario concede a Twitter una licencia mundial, no exclusiva y gratuita sobre el contenido publicado.
  3. Esta licencia permite a Twitter utilizar, copiar, reproducir, procesar, adaptar, modificar, publicar, transmitir, exponer y distribuir el contenido del usuario a través de cualquier medio o método de distribución presente o futuro.
  4. También permite a Twitter conceder sublicencias del contenido del usuario a terceros y permitir que las personas físicas o jurídicas asociadas a Twitter puedan sindicar, retransmitir, distribuir o publicar.

Ello significa que un periódico o cualquier otro sitio web no puede publicar una foto tuiteada sin la autorización del usuario o de Twitter, a través de un acuerdo de sublicencia o de asociación.

Sin embargo, John Herrman, de BuzzFeed plantea en un artículo de la semana pasada que no habría infracción de los derechos de autor si la fotografía se publica insertando el tuit en la página web. (Gracias a Patricia Ventura por la información facilitada).

Además de las funciones “Responder”, “Retwittear” y “Favorito” que ofrece Twitter en relación a cada mensaje, a través del menú “…Más” se puede acceder a las funciones “Enviar Tweet por correo electrónico” e “Insertar Tweet”. Esta última función permite acceder al código necesario para insertar el tuit en una página web, ofreciendo incluso una vista previa de cómo quedará la inserción.

Si consultamos el Centro de ayuda de Twitter, veremos las instrucciones para insertar un tuit en un sitio web o blog. En ellas se establece claramente la posibilidad de insertar cualquier tipo de tuit, incluyendo los tuits con fotos y vídeos. Además, en el apartado de preguntas frecuentes Twitter responde con un rotundo ¡SI! a la pregunta “¿Puedo insertar un Twet que contiene una foto, vídeo u otros medios?”. La única condición actual es que las fotos estén en pic.twitter.com y los vídeos en YouTube y que el tuit a insertar no haya sido protegido por el usuario.

Se trata por lo tanto, de un régimen parecido al de YouTube, en el que existe una autorización genérica para insertar vídeos en páginas web y blogs siempre que el usuario no hay protegido el vídeo. La autorización sigue el camino usuario-Twitter-tercero.

Este régimen puede no satisfacer a muchos usuarios, pero es el que teóricamente acepta al abrir una cuenta en Twitter o tras ser notificado sobre una modificación de los términos del servicio y mantener la cuenta. Para eludirlo, el usuario puede proteger sus tuits, pero entonces dejan de ser públicos, y sólo podrán acceder a ellos los seguidores aprobados de forma expresa por el usuario.

El problema puede surgir cuando el usuario borra o protege el tuit que ya ha sido insertado en otro sitio web. En estos casos, y según las FAQ de Twitter (al final de la página), “las marcas de Twitter y las acciones del Tweet (Responder, Retuitear, etc.) serán eliminadas del Tweet inserto, pero el contenido del Tweet aún será visible“. Sería interesante en este caso ponderar el derecho a mantener el contenido online por parte del medio que ha insertado el contenido de buena fe, de acuerdo con la expectativa generada por Twitter, y el derecho moral del autor a solicitar la retirada de la foto, en función de lo establecido en los puntos 1 y 6 del artículo 14 del Texto Refundido de la Ley de Propiedad Intelectual.

Por lo tanto, y respondiendo a la pregunta que da título a este post, un periódico podría publicar una foto tuiteada en los siguientes casos:

  1. Cuando disponga de la autorización del usuario que la publicó.
  2. Cuando obtenga una sublicencia de Twitter.
  3. Cuando sea un asociado de Twitter autorizado a publicar fotos.
  4. Cuando inserte un tuit con foto en su sitio web.

Si el usuario quiere evitar que sus fotos sean publicadas en otros sitios web a través de la inserción del tuit, tiene la opción evidente de no tuitearlas, o de proteger sus tuits al inicio, antes de que hayan sido insertados en otro un sitio web.

Cómo funciona MEGA, el nuevo Megaupload

Este fin de semana se lanza MEGA, la nueva apuesta del fundador de Megaupload, en la que pretende superar todos los obstáculos que tendría una versión funcionalmente idéntica a la anterior.

Los elementos clave de la nueva versión son los siguientes:

1. Documentos privados

El nuevo MEGA presenta como factor innovador un sistema de aseguramiento de la privacidad que no exige instalar software dedicado, ya que cifra y descifra los datos de forma transparente en el navegador del usuario a partir de una clave pública de 2.048 bits. El usuario es el único que tiene la clave de acceso a sus contenidos, alojados de forma cifrada en la nube de MEGA.

La estrategia de MEGA consiste en trasladar al usuario la responsabilidad de los contenidos almacenados en su nube, alegando que estos contenidos están cifrados y que, aunque quisiera, MEGA no podría conocer su nivel de legalidad, ya que no tiene acceso a ellos.

2. Fragmentación y dispersión

El sistema de almacenamiento de MEGA es multicéntrico, es decir, está distribuido en una larga serie de servidores en todo el mundo, que no son de su propiedad. Los contenidos que se alojen en la nube privada de cad usuario serán inmediatamente cifrados, fragmentados y distribuidos por todo el mundo. Ello significará que, a diferencia del P2P, un servidor nunca tendrá el fichero completo, ni siquiera un fragmento reconocible del fichero. Cada servidor tendrá una porción ininteligible que sólo podrá ser unido al resto del fichero a través de la plataforma de MEGA y con la clave del usuario.

Se trata del sistema de ofuscación que Google y otros proveedores de cloud computing ya utilizan para cumplir las exigencias de sus clientes en materia de confidencialidad de la información y protección de datos personales.

Según MEGA, el usuario tendrá el control absoluto sobre las personas que podrán acceder de forma cifrada y confidencial a sus carpetas compartidas, de manera que ningún otro usuario, incluido MEGA, podrá participar en las comunicaciones confidenciales ni acceder a los contenidos cifrados. Ello eliminaría la posibilidad de que MEGA pudiese supervisar dichos contenidos o atender requerimientos judiciales para acceder a ellos. Estos requerimientos deberían dirigirse al usuario.

Las dudas que surgen sobre la eficacia de este sistema tienen que ver con las páginas de enlaces que basan sus ingresos en la publicidad y, por lo tanto, en la afluencia masiva de visitantes. Se espera que MEGA aporte la solución definitiva para evitar la trazabilidad de las descargas directas, pero todo parece indicar que el nuevo sistema va dirigido a la creación de redes de confianza y al intercambio de ficheros entre conocidos.

En el momento en que un fichero privado se haga público para permitir la descarga directa de desconocidos, además de dejar de ser privado, se abrirá la posibilidad de conocer el contenido del fichero, el identificador del fichero en el sistema y el identificador del propietario o administrador del mismo. Se entiende que, en su afán de legalidad, y teniendo en cuenta su ubicación en Nueva Zelanda, MEGA deberá disponer de un servicio de atención de reclamaciones y de retirada de contenidos. Será interesante conocer la aplicación práctica del protocolo que MEGA ha diseñado para atender estos requerimientos y desviarlos hacia el usuario, o bien resolver los eventuales conflictos generados entre la entidad que reclame la retirada y el usuario que haya subido el fichero, suponiendo que éste haya permitido, en algún momento, desvelar su existencia y permitir un acceso al mismo.

Respecto a la posible responsabilidad de MEGA sobre los contenidos publicados en la plataforma, hay materia para dedicar un artículo específico. Cabe reflexionar sobre la aplicación de las siguientes figuras:

- El régimen de responsabilidad de los ISP.
- La ceguera intencional utilizada en el blanqueo de capitales.
- La inducción y la cooperación necesaria.

Todo ello sin descartar el triunfo de la ingeniería jurídica diseñada por Kim Dotcom para eludir la ley.

ACTUALIZACIÓN

Protocolo que seguirá MEGA en el caso de que reciba una denuncia de infracción de los derechos de autor

Formulario de denuncia de infracciones de los derechos de autor en MEGA

La parodia de la marca en Twitter

En las últimas campañas electorales han aparecido en España y en otros países cuentas de Twitter que parodiaban, a través del nombre y de los tweets, a políticos o a medios de comunicación. El tono crítico y a la vez humorístico de sus comentarios ha aportado una nota divertida a la campaña, aunque a sus opositores no les ha hecho tanta gracia, especialmente cuando la parodia estaba orquestada por un partido político que no ha tenido ningún reparo en seguir emitiendo críticas durante los días de reflexión y de votación.

Muchos famosos, cuyas parodias en Twitter han conseguido una gran popularidad, han aprendido la lección de que censurar estas iniciativas sólo ayuda a incrementar el número de réplicas y de seguidores.

La parodia también ha llegado a algunas marcas notorias, que han visto su nombre alterado para denunciar problemas de calidad o infracciones medioambientales, por ejemplo. También se han utilizado para iniciar campañas de descrédito o simplemente para hacer reír a sus seguidores.

Twitter permite crear cuentas de parodias y de imitaciones siempre que no engañe o confunda a otros usuarios. Para ello, la información del perfil debe dejar muy claro que el creador de la cuenta no es en realidad la misma persona o entidad que es sujeto de parodia o imitación.

Twitter propone la adopción de las siguientes medidas para diferenciar la cuenta destinada a la parodia:

1. El nombre de usuario no debe ser exactamente el mismo del sujeto de la parodia.

2. Hay que distinguir la cuenta con un calificativo tal como “cuenta no oficial” o “parodia”.

3. La biografía debe incluir una afirmación que se distinga de la identidad real, por ejemplo “Esto es una parodia”.

4. La cuenta no debe tratar de engañar o llevar a malas interpretaciones sobre la identidad de su titular a través de comunicaciones públicas o privadas con otros usuarios.

Twitter también ofrece un formulario para denunciar la suplantación de identidad y suspender la cuenta en el caso de comprobar que existe posibilidad de confusión.

Esta semana una parodia del New York Times (@NYTOnIt) ha estado suspendida durante 12 horas por no cumplir estos requisitos y las condiciones para restablecerla han sido que el usuario dejase de utilizar el logo del NYT y que especificase claramente en la cuenta que “Esta es una cuenta parodia que claramente no está asociada a ningún periódico”

Desde el punto de vista de la marca, existen dificultades para perseguir este tipo de usos si no comportan mala fe, ánimo de lucro, suplantación de identidad o confusión en la oferta de productos o servicios.

Por lo tanto, la posibilidad de suspensión de la cuenta se limitaría a los casos más graves, es decir, cuando la cuenta se utilizase para difundir mensajes injuriosos, calumniosos o falsos.

Las transferencias internacionales en el cloud computing

Esta semana ha tenido lugar en Bruselas una reunión plenaria del Grupo de Autoridades Europeas de Protección de Datos (Grupo de Trabajo del Artículo 29). Entre los asuntos incluidos en la agenda de la reunión se encontraba la discusión y posible adopción del dictamen sobre computación en la nube, así como del dictamen sobre reglas corporativas vinculantes para encargados de tratamiento de datos. Ello significa que queda poco para que estos dos documentos, que van a influir en el futuro del cloud computing en Europa, salgan a la luz.

Ambos documentos van a referirse ampliamente a uno de los asuntos que más preocupan en la actualidad a las empresas: la ubicación de los datos y la consiguiente transferencia internacional de los mismos. Dejo para el momento de su publicación un estudio más detallado del régimen que se propondrá aplicar a las transferencias internacionales en estos dictámenes y en el futuro Reglamento de la Unión Europea. Ahora me centraré en un supuesto que debería permitir eludir la figura de la transferencia internacional.

En el artículo dedicado a la subcontratación en el cloud computing analicé las condiciones en las que las empresas proveedoras de servicios en la nube gestionan el alojamiento de los datos y mencioné la posibilidad del cifrado, la disociación y la fragmentación de los datos entre distintos proveedores y países. respecto al cifrado, podemos encontrar un ejemplo específico para cloud computing en http://www.cipherdocs.com

Pero más allá del cifrado y la disociación existe la posibilidad de establecer en el contrato de cloud computing una serie de obligaciones, que algunos proveedores ya ofrecen como función por defecto u opcional:
1. El proveedor debe utilizar un sistema de ficheros distribuidos diseñado para alojar grandes cantidades de datos y un amplio número de servidores.
2. Los datos deben estar estructurados y almacenados en una base de datos construida en el nivel superior del sistema de ficheros.
3. Los datos deben ser fragmentados y replicados en múltiples servidores.
4. Los fragmentos o “chunks” deben tener nombres generados de forma automática y aleatoria.
5. Los fragmentos de datos no deben ser almacenados en texto claro sino en un formato ininteligible para el ser humano.
La AEPD se ha pronunciado en diversos foros sobre la transferencia internacional de datos en el cloud computing y ha mencionado dos puntos interesantes:
1. La disociación de datos debe ser irreversible, y ello no es posible en el cloud computing.
2. Por cuestiones de seguridad nacional las normas de ciertos países permiten a las autoridades requerir el acceso a los datos almacenados en servidores que se encuentren en su territorio.
Respecto a ello cabe decir que:
1. Debe tenerse en cuenta que la relación tiene tres partes: el cliente, el proveedor y las empresas de hosting distribuido.
2. Las empresas de hosting no alojan datos completos disociados, sino fragmentos ininteligibles de datos.
3. La irreversibilidad estaría garantizada por el proveedor en los países donde sólo se almacenen fragmentos cifrados de los datos.
4. La información sólo sería accesible de forma inteligible desde España.
5. Un requerimiento de acceso a datos a los proveedores de hosting sería inútil, ya que ninguno de ellos tendría datos completos e inteligibles.
En resumen, en el sistema descrito sólo hay acceso a datos personales en España. Los restantes países no alojan datos personales.
Como dije en mi anterior artículo, ello hace que el elemento débil de la cadena sean los puntos de acceso y la gestión de las contraseñas de los usuarios.
Este riesgo puede limitarse utilizando:
1. La doble autenticación que ofrecen algunos proveedores de cloud computing.
2. Certificados electrónicos que reproduzcan la jerarquía de privilegios de acceso de la empresa.
3. Limitación de acceso a un rango de direcciones IP de la empresa.
4. Limitación de acceso a los dispositivos de la empresa.
Sirvan estas notas como avance del análisis más profundo que precisará esta cuestión cuando se publiquen los dos documentos reseñados al principio de este artículo.