¿Puede un periódico publicar las fotos que tuiteas?

La pregunta surge tras la reciente sentencia de un Juez de Distrito de Nueva York en la que declara que The Washington Post y la Agencia France-Press (AFP) infringieron los derechos de propiedad intelectual del fotógrafo Daniel Morel, al distribuir y publicar sin su autorización, fotografías que éste había tuiteado sobre el terremoto de Haití.

Los términos de servicio de Twitter establecen que:

  1. El usuario es el titular de los derechos que le amparan sobre cualquier contenido que envíe, reproduzca o exponga en Twitter.
  2. Al hacerlo, el usuario concede a Twitter una licencia mundial, no exclusiva y gratuita sobre el contenido publicado.
  3. Esta licencia permite a Twitter utilizar, copiar, reproducir, procesar, adaptar, modificar, publicar, transmitir, exponer y distribuir el contenido del usuario a través de cualquier medio o método de distribución presente o futuro.
  4. También permite a Twitter conceder sublicencias del contenido del usuario a terceros y permitir que las personas físicas o jurídicas asociadas a Twitter puedan sindicar, retransmitir, distribuir o publicar.

Ello significa que un periódico o cualquier otro sitio web no puede publicar una foto tuiteada sin la autorización del usuario o de Twitter, a través de un acuerdo de sublicencia o de asociación.

Sin embargo, John Herrman, de BuzzFeed plantea en un artículo de la semana pasada que no habría infracción de los derechos de autor si la fotografía se publica insertando el tuit en la página web. (Gracias a Patricia Ventura por la información facilitada).

Además de las funciones “Responder”, “Retwittear” y “Favorito” que ofrece Twitter en relación a cada mensaje, a través del menú “…Más” se puede acceder a las funciones “Enviar Tweet por correo electrónico” e “Insertar Tweet”. Esta última función permite acceder al código necesario para insertar el tuit en una página web, ofreciendo incluso una vista previa de cómo quedará la inserción.

Si consultamos el Centro de ayuda de Twitter, veremos las instrucciones para insertar un tuit en un sitio web o blog. En ellas se establece claramente la posibilidad de insertar cualquier tipo de tuit, incluyendo los tuits con fotos y vídeos. Además, en el apartado de preguntas frecuentes Twitter responde con un rotundo ¡SI! a la pregunta “¿Puedo insertar un Twet que contiene una foto, vídeo u otros medios?”. La única condición actual es que las fotos estén en pic.twitter.com y los vídeos en YouTube y que el tuit a insertar no haya sido protegido por el usuario.

Se trata por lo tanto, de un régimen parecido al de YouTube, en el que existe una autorización genérica para insertar vídeos en páginas web y blogs siempre que el usuario no hay protegido el vídeo. La autorización sigue el camino usuario-Twitter-tercero.

Este régimen puede no satisfacer a muchos usuarios, pero es el que teóricamente acepta al abrir una cuenta en Twitter o tras ser notificado sobre una modificación de los términos del servicio y mantener la cuenta. Para eludirlo, el usuario puede proteger sus tuits, pero entonces dejan de ser públicos, y sólo podrán acceder a ellos los seguidores aprobados de forma expresa por el usuario.

El problema puede surgir cuando el usuario borra o protege el tuit que ya ha sido insertado en otro sitio web. En estos casos, y según las FAQ de Twitter (al final de la página), “las marcas de Twitter y las acciones del Tweet (Responder, Retuitear, etc.) serán eliminadas del Tweet inserto, pero el contenido del Tweet aún será visible“. Sería interesante en este caso ponderar el derecho a mantener el contenido online por parte del medio que ha insertado el contenido de buena fe, de acuerdo con la expectativa generada por Twitter, y el derecho moral del autor a solicitar la retirada de la foto, en función de lo establecido en los puntos 1 y 6 del artículo 14 del Texto Refundido de la Ley de Propiedad Intelectual.

Por lo tanto, y respondiendo a la pregunta que da título a este post, un periódico podría publicar una foto tuiteada en los siguientes casos:

  1. Cuando disponga de la autorización del usuario que la publicó.
  2. Cuando obtenga una sublicencia de Twitter.
  3. Cuando sea un asociado de Twitter autorizado a publicar fotos.
  4. Cuando inserte un tuit con foto en su sitio web.

Si el usuario quiere evitar que sus fotos sean publicadas en otros sitios web a través de la inserción del tuit, tiene la opción evidente de no tuitearlas, o de proteger sus tuits al inicio, antes de que hayan sido insertados en otro un sitio web.

Primer ciberataque a una infraestructura crítica

El servicio de distribución de agua de Illinois puede haber sido la primera infraestructura crítica norteamericana en sufrir un ciberataque desde el extranjero.

Los atacantes, que presumiblemente habrían utilizado un servidor ubicado en Rusia para acceder al sistema, utilizaron las claves de acceso que previamente habían obtenido de un proveedor relacionado con el sistema de control industrial que permite la automatización y la gestión remota de este tipo de infraestructuras.

El resultado del ataque fue la desactivación de una bomba del servicio de distribución de agua.

El proceso seguido para el ataque se aprovechó, supuestamente, de los eslabones más débiles de la cadena de seguridad siguiendo un plan que podría ser probablemente el siguiente:

1. Identificación de los proveedores que tienen acceso al sistema de control industrial (SCADA) o prestan servicios que exigen tener dicho acceso. A través de cualquier buscador se pueden localizar las páginas web de los proveedores que ofrecen estos servicios o productos.

2. Selección de los proveedores que pueden ser más vulnerables a un acceso no autorizado o a una estrategia de ingeniería social. Algunos indicadores externos pueden ser el haber realizado recientemente un ajuste de plantilla o haber aplicado un severo plan de austeridad presupuestaria (aunque ello no debería afectar teóricamente a la seguridad de sus sistemas).

3. Obtención de las claves de acceso mediante un ataque al sistema del proveedor o un engaño a sus empleados.

4. Selección de un servicio público como vía de acceso al sistema de control industrial por considerar que, al depender del sector público, estará afectado por restricciones presupuestarias y los sistemas de seguridad no estarán actualizados.

5. Acceso al sistema de la infraestructura crítica y obtención de los privilegios necesarios para actuar sobre los controles que permiten gestionar local y remotamente la infraestructura.

De confirmarse las características del ataque, el método utilizado y las vulnerabilidades explotadas por los atacantes, las conclusiones son obvias, y las recomendaciones a los operadores de infraestructuras, también:

1. La seguridad debe estar al margen de cualquier restricción presupuestaria, pública o privada.

2. El control en materia de seguridad debe extenderse a los proveedores, aplicando un estricto sistema de homologación y auditoría continuada.

3. El sistema de control SCADA debe ser objeto de una profunda revisión y actualización continuada en materia de seguridad, si se confirman sus posibles vulnerabilidades en relación al protocolo TCP/IP.

4. Debe acelerarse el desarrollo y la aplicación de los planes de protección de infraestructuras críticas.

5. Los operadores de infraestructuras críticas y sus proveedores deben aplicar normas internas y ampliar la formación de sus empleados en materia de seguridad e ingeniería social

Normas relacionadas

Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas

Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas

Resolución de la Secretaría de Estado de Seguridad por la que se acuerda la apertura del trámite de información pública respecto a las guías de contenidos mínimos del Plan de Seguridad del Operador y del Plan de Protección Específico como instrumentos de planificación del Sistema de Protección de Infraestructuras Críticas

Proyectos tecnológicos fallidos y marisco gallego (Relato corto)

Habíamos quedado a las 14:00 horas en la sede central de la empresa con el Director Financiero y el Consejero Delegado y mientras nos saludábamos, aparecieron sus secretarias y tres consejeros. A los dos minutos, todo el departamento de informática y el departamento jurídico al completo. Cuando pensábamos que ya estábamos todos, vimos como se acercaba muy despacio un señor de unos 80 años al que todos identificaron como el Presidente y fundador de la compañía, el Sr. García.

Al llegar, el Sr. García, que sigue liderando de forma honorífica la compañía a sus 86 años, nos dijo lo importante que había sido la firmeza de la sentencia para ellos. Por eso había convocado a la comida a las 16 personas afectadas directamente por el proyecto fallido.

La mesa estaba montada como si fuese una comida de Navidad. Inmediatamente nos sirvieron cava y brindamos por el éxito de la sentencia. Entonces empezaron las intervenciones.

El Consejero Delegado, hijo mayor del Presidente, dijo que la inversión realizada en el desarrollo del ERP y la duración de un proyecto tecnológico de tanta importancia había llegado a amenazar la continuidad de la compañía. “Cuando recibí los pagarés con la cantidad establecida en la sentencia fue como el fin de una larga pesadilla”. La secretaria del Director Financiero dijo:  “A mi este proyecto informático me afectó la salud. Me desesperaba ver la lentitud del sistema. El proceso de facturación duraba días. Por la noche soñaba que no podíamos atender los pedidos y perdíamos a los clientes.” “Además, nuestro negocio es el pescado y el marisco fresco que transportamos desde Galicia a toda España, y un ERP defectuoso puede provocar enseguida la pérdida de un producto tan efímero”.

Entonces llegaron las ostras. El hijo menor del Presidente era el experto. Nos explicó que se trataba de unas ostras muy apreciadas, que reservaban para grandes ocasiones. Nos pidió que diésemos la vuelta a la concha. El número de capas indicaba la edad de la ostra. Estas tenían siete años. Y había doce por persona. “Queremos mostrar nuestro agradecimiento en forma de comida. Dudo que volváis a comer un marisco tan fresco y de tanta calidad como el hoy” dijo el Sr. García, que se expresaba con una lucidez y un sentido del humor envidiables. No exageraba, cada ostra era como una bocanada de aire marino y un sorbo del Atlántico en nuestra boca.

Al acabar las ostras, sirvieron unas bandejas con los percebes más grandes y sabrosos que he visto en mi vida. “La tecnología no ha llegado todavía a la recolección del percebe. Los que lo cogen bajan a las rocas con unas cuerdas durante la marea baja. Los de arriba cuentan las olas y avisan cuando llega la ola grande. A veces no da tiempo a escapar. Por eso los percebes son tan caros”, dijo el hijo menor.

Cuando llegaron las almejas, el clima de confianza era tal que el Sr. García, entre chiste y chiste, fue contando la historia de la compañía. Desde que le llamaban “el rápido” cuando era estibador en los muelles del puerto de Barcelona hasta ser una de las primeras empresas españolas en utilizar barcos frigoríficos. Su hijo mayor le interrumpía sólo para aclarar algún error en las fechas, pero lo hacía con sumo respeto y después lo abrazaba y le cogía la mano. El hijo menor aprovechaba entonces para explicar algún detalle sobre lo que estábamos comiendo. “Esto son almejas babosas gallegas. Se diferencian de las del Carril en que las del Carril duran mucho más fuera del mar, te da tiempo a transportarlas lejos de la costa y a servirlas vivas. La almeja babosa, por el contrario, no aguanta, y hay que comerla cocida el mismo día en que se pesca.” Por eso el tiempo era crucial en su negocio, y el diseño del ERP no contemplaba las necesidades del negocio. El proveedor no había dedicado tiempo suficiente para conocer las prioridades de la empresa.

Los centollos iban rodeados de nécoras. Tal vez por la asociación de ideas que produjo verlos juntos, el Director Financiero comentó que lo que más le había impresionado de la preparación del juicio fue el trabajo codo con codo, de todo un equipo cohesionado. La fase de preparación de los testigos, el análisis de los informes periciales. “Era un asunto muy complejo y trabajar juntos nos permitió hacerlo sencillo”. “Juan, apura el carro del centollo”, dijo el Sr. García.

“Estas angulas son de Aguinaga. En esta época están muy tiernas. Su sabor tiene unos matices que exigen un tenedor de madera para no alterarlos y poderlos apreciar plenamente”, comentó el hijo menor. El Director Financiero siguió hablando: “Imagínate tener que demostrar quién es el responsable del fracaso de un proyecto informático tan complejo como éste. ¿Cómo puedes dedicarte al comercio mayorista de pescado fresco y marisco de primera calidad si tu sistema informático no te permite controlar de forma fiable las fechas de entrada y salida, ni el origen y el destino de cada partida?”. “Todavía recuerdo el latinajo: aliud pro alio. Nuestro proveedor informático nos entregó algo totalmente diferente a lo que habíamos pedido”.

Las bandejas siguieron llegando y continuaron las intervenciones en clave de humor del Sr. García. En la mesa había tres generaciones que representaban tres formas distintas de ver la empresa. Para nosotros era un ir y venir en el tiempo. El Sr. García nos llevaba a los años cincuenta, a las neveras de hielo y a las cajas de madera. Sus hijos nos traían a la actualidad, y nos hablaban de geolocalización de flotas, de optimización de rutas y de tracking a través de Internet. Fue una comida muy entrañable, que empezó con un apretón de manos y acabó con un abrazo. No creo que olvide nunca el clima de confianza y hermandad que se generó aquel día.

 A las siete de la tarde, después de cinco horas de comida, y no sé cuantos platos, el Sr. García, con la frescura de sus 86 años, se puso un poco más de sacarina en el café. “Me gusta el café dulce, pero los médicos me recomiendan que me porte bien”. Su hijo mayor comentó que cada sábado a las 10 de la mañana el Sr. García se juntaba con cuatro amigos de su edad y se zampaban un desayuno de cinco platos. “¿Mañana harás lo mismo, papá?”. “¿Tú que crees?” respondió el Sr. García.

Tu comunidad en Facebook no es tuya

¿Qué pasaría si una empresa quisiese contabilizar como activo inmaterial su comunidad de fans en Facebook (o en cualquier otra red social)?. Este ha sido uno de los temas que hemos comentado esta tarde en una interesante reunión con Eduard Ramos, emprendedor digital del sector editorial.

Desgraciadamente no hemos tenido tiempo de profundizar en el debate, por lo que me limito a enumerar alguna de sus ideas, que tienen contenido suficiente para escribir un artículo más extenso.

1. Muchas empresas, incluso medios de comunicación, consideran importante crear una comunidad de usuarios.

2. Facebook facilita mucho esta labor, y tras meses, a veces años de esfuerzo, la empresa ha conseguido una comunidad importante, con un tráfico envidiable.

3. Sin embargo, el verdadero propietario de esa comunidad es Facebook.

4. Por la vía contractual, así se deriva de las condiciones generales. Por la vía de facto, las dificultades para migrar una comunidad de Facebook (o de cualquier otra red social) a una comunidad propia van asociadas al hecho de no disponer de otro canal de comunicación con el fan que el facilitado por Facebook.

5. Al final, el esfuerzo de promoción de tu comunidad no se capitaliza en un nombre de dominio propio, en un tráfico propio, ni en un posicionamiento en buscadores propio. 

Has estado trabajando para Facebook.

Eso no es problema si tu estrategia es la externalización de ese recurso. El problema surge cuando la empresa que se plantea crear la comunidad en una red social no es consciente de que está renunciando a activos que pueden llegar a tener un gran valor en el futuro.

Indicadores y contratos tecnológicos

Siempre me había preguntado cómo saben los padres de varios polluelos repartir por igual la comida que llevan al nido. Un día tuve que alimentar a un gorrión y vi cómo, a medida que comía, el buche se iba hinchando, apartaba las plumas, y dejaba ver claramente lo lleno que estaba. El buche actúa como indicador y permite ver a los padres el nivel de comida que han suministrado a cada uno de sus polluelos.

Al igual que en la naturaleza, las empresas utilizan multitud de indicadores, desde el estratégico balanced scorecard hasta el medidor de humedad de un almacén. Estos indicadores pueden ser aplicados a cualquier actividad pero los abogados no estamos demasiado habituados a aplicarlos. Ni a nuestros servicios y al resultado de nuestros servicios.


Los contratos tecnológicos incluyen un buen número de prestaciones que pueden ser medidas de forma periódica y constante o en un momento determinado. Una de las funciones del abogado puede ser diseñar el contrato de forma que esté orientado a la creación y el seguimiento de esos indicadores.


También se puede medir el nivel de equilibrio de cada cláusula. En las obligaciones bilaterales el objetivo será que ambas partes ganen, pero el abogado también puede recibir el cargo de que la balanza se decante a favor de su cliente en una prestación determinada.


Una estrategia basada en indicadores permite:


– Medir el peso de cada cláusula, en función de su importancia en el contrato.
– Marcar un objetivo específico para cada cláusula.
– Establecer el umbral de la negociación para cada punto.
– Valorar en qué áreas podemos ceder y en cuáles no.
– Medir el nivel de éxito en la negociación.
– Valorar el balance final del contrato en su conjunto.
– Monitorizar el nivel de cumplimiento del contrato durante su vigencia.


La redacción, la negociación y el seguimiento de un contrato acostumbran a ser mucho más espontáneos e incluso viscerales, pero en la mayoría de los casos una metodología basada en indicadores puede permitir valorar mejor la posición que ocupa cada parte.


En los contratos tecnológicos, esa medición puede llegar a ser clave.

Cláusulas críticas en el contrato de cloud computing

El objetivo de ahorrar costes ha provocado un incremento del nivel de externalización de las empresas. La externalización de procesos y aplicaciones ha comportado también el desplazamiento de datos, información y servicios críticos al exterior de la empresa, convirtiendo a algunos proveedores en una extensión de los recursos corporativos.

Un claro exponente de este proceso en la actualidad es el cloud computing, por lo que el contrato que lo regula deberá tener en cuenta todas las cautelas que una empresa incluiría en sus procesos de control interno.


A continuación se enumeran algunas de ellas:


– Propiedad intelectual.

– Propiedad de la información.

– Confidencialidad de la información.

– Ubicación de los datos.

– Posibles transferencias internacionales de datos.

– Medidas de seguridad proporcionales al tipo de datos.

– Control de acceso y gestión de identidades.

– Copias de seguridad de los datos.

– Estándares e indicadores de calidad del servicio.

– Auditorías periódicas.

– Niveles de respuesta.

– Continuidad del servicio.

– Régimen de responsabilidades.

– Inclusión del proveedor en el plan de continuidad del negocio.

– Arbitraje tecnológico.

– Legislación y jurisdicción aplicables en el caso de proveedores extranjeros.

– Garantías postcontractuales: retorno ordenado de la información.


Las fronteras siguen siendo clave

En 1995, en una mesa redonda sobre el fenómeno Internet, comenté que la red y la globalización podían llegar a generar un proceso de ósmosis cultural y tecnológica, consciente de lo ingenuo y utópico que era el comentario. A pesar de que se han visto tímidos impulsos para ese intercambio transfronterizo, todavía existen obstáculos que parecen insalvables. Pero éstos no residen tanto en las fronteras idiomáticas o étnicas que favorecen la diversidad, sino en la compartimentación territorial que generan los acuerdos de propiedad intelectual y de transferencia de tecnología. Los titulares de derechos de autor y de patentes siguen viendo el mundo a través de sus fronteras, potenciando el poder disociador de las líneas más que imaginarias que lo seccionan. Los Estados son reacios a transferir e incluso a recibir tecnología. Esta semana, sin ir más lejos, RIM ha conseguido la autorización para vender BlackBerrys en China, tras ocho años de negociaciones. También parecen eternizarse los acuerdos de Apple para distribuir el iPhone en Europa. Las plataformas de streaming de cine a través de Internet respetan las mismas zonas territoriales que la distribución de películas en DVD… Al final, hay más oportunidades de ósmosis cultural en un chat entre quiceañeros de distintos países que en cien macrocontratos de distribución de propiedad intelectual.

Precios de transferencia y tecnología

Las transferencias de tecnología entre empresas vinculadas con sede en distintos países generan unos pagos que pueden encubrir supuestos de expatriación de capitales y de elusión de impuestos. Ello hace que los gobiernos exijan unas condiciones de ajuste a los precios del mercado y de documentación de dichos pagos. Según la enciclopedia Wikipedia, "las normas sobre precios de transferencia buscan evitar que empresas vinculadas o relacionadas (casa matriz y filiales, por ejemplo) manipulen los precios bajo los cuales intercambian bienes o servicios, de forma tal que aumenten sus costes o disminuyan sus ingresos gravables. Este concepto se conoce internacionalmente como Principio Arm’s Length, y ha sido adoptado por la mayoría de las economías del mundo y, en particular, por los países que integran la OCDE." Esta regulación se aplica especialmente a los pagos relacionados con activos inmateriales, debido a la dificultad para valorarlos a precios de mercado. Entre ellos cabe destacar los pagos realizados en concepto de:

  • Transferencia de tecnología
  • Derechos de propiedad intelectual
  • Derechos de propiedad industrial
  • Transferencia de know-how

El pasado mes de mayo el despacho Landwell – PwC fue designado por la International Tax Review como la mejor firma española y europea especializada en precios de transferencia. 

Precios de transferencia y tecnología

Las transferencias de tecnología entre empresas vinculadas con sede en distintos países generan unos pagos que pueden encubrir supuestos de expatriación de capitales y de elusión de impuestos. Ello hace que los gobiernos exijan unas condiciones de ajuste a los precios del mercado y de documentación de dichos pagos. Según la enciclopedia Wikipedia, "las normas sobre precios de transferencia buscan evitar que empresas
vinculadas o relacionadas (casa matriz y filiales, por ejemplo)
manipulen los precios bajo los cuales intercambian bienes o servicios,
de forma tal que aumenten sus costes o disminuyan sus
ingresos gravables. Este concepto se conoce internacionalmente como
Principio Arm’s Length, y ha sido adoptado por la mayoría de las
economías del mundo y, en particular, por los países que integran la OCDE." Esta regulación se aplica especialmente a los pagos relacionados con activos inmateriales, debido a la dificultad para valorarlos a precios de mercado. Entre ellos cabe destacar los pagos realizados en concepto de:

  • Transferencia de tecnología
  • Derechos de propiedad intelectual
  • Derechos de propiedad industrial
  • Transferencia de know-how

El pasado mes de mayo el despacho Landwell – PwC fue designado por la International Tax Review como la mejor firma española y europea especializada en precios de transferencia. 

Acceso al código fuente por parte del usuario

A pesar de que en algunos países las leyes concursales obligan a las empresas a depositar ante terceros el código fuente de las aplicaciones que comercializan, en España sigue sin apenas utilizarse el contrato de depósito del código fuente como garantía de acceso del usuario corporativo frente a supuestos de quiebra o suspensión del proveedor. Lo que en los países anglosajones se denomina contrato de escrow, en España es casi un desconocido. Es evidente que el software abierto (salvo en algunos casos) no precisa este tipo de acuerdos, pero los paquetes estándar y los proyectos de desarrollo en los que no se entrega el código fuente dejan al usuario en una situación precaria si el proveedor desaparece. A finales de los 80, desde la antigua SEDISI empezamos a ofrecer un servicio de depósito de fuentes que tuvo poco recorrido, a causa de la falta de demanda de este servicio. La conclusión fue que el usuario corporativo español vivía en la más absoluta felicidad. Años después, la implantación del euro hizo que muchas de esas aplicaciones cerradas sin proveedor localizable fueran sustituidas por nuevos programas, incapaces de aprovechar todos los datos que el usuario había ido generando con los años.

Modelo de contrato de escrow
Checklist