Nueva guía para la figura del Data Protection Officer

El Grupo de Trabajo del Artículo 29 (WP29) publica las principales guidelines sobre la nueva figura de DPO para las empresas.

Artículo de Jesús Martinell

No nos ha dado tiempo ni a empezar con los polvorones y los barquillos que el Grupo de Trabajo del Artículo 29 (WP 29) nos acaba de alegrar las Navidades al publicar, el pasado martes 13 de diciembre, un conjunto de directrices sobre el DPO. Es un buen regalo para las empresas de cara a la planificación del ejercicio 2017 ya que, hasta el momento, se había especulado sobre el papel y las funciones que debería desarrollar este nuevo cargo en la empresa pero el nivel de concreción era insuficiente.

Tal y como ya sabíamos, ¿cuándo las empresas deberán nombrar un DPO?

Existen 3 supuestos en los que deberá designarse un DPO:

  • Cuando el tratamiento se lleve a cabo por una autoridad u organismo público independientemente de que tipología de datos se estén tratando).
  • Cuando las actividades principales del responsable y el encargado del tratamiento consisten en operaciones de procesamiento que requieran un control periódico/habitual y sistemático.
  • Cuando las actividades principales del responsable y el encargado del tratamiento consistan en procesar datos a gran escala de categorías especiales de datos o datos personales relativas a condenas y delitos penales.

A pesar de ello, cabe recordar que tanto la legislación de la Unión Europea (UE) como la ley de cada Estado Miembro podrá exigir la designación de DPO en otras situaciones que lo estime necesario. Asimismo, las empresas, aunque el nuevo texto no obligue a designar tal figura en un supuesto concreto, si lo considera útil, podrá designarlo de manera voluntaria. De hecho, el mismo WP29 anima a hacerlo.

¿Qué significa la noción de “actividades principales” (Art. 37.1 apartado b) y c)?

El WP29 entiende que son aquellas operaciones clave o necesarias del responsable y del encargado del tratamiento para lograr sus objetivos. Ello incluye, también, todas las actividades en las que el tratamiento de los datos forma parte inextricable de la actividad del responsable o del encargado del tratamiento. Por ejemplo, el procesamiento de datos de salud, tales como la salud del paciente debe considerarse como una de las actividades básicas de cualquier hospital y, por ello, los hospitales deben designar a los DPO. Por otro lado, cualquier empresa lleva a cabo ciertas actividades de apoyo o auxiliares, por ejemplo, el pago a los empleados o el soporte de IT para determinadas actividades en la empresa. tales funciones son de apoyo y son necesarias para la actividad principal de la organización. Aunque estas actividades son necesarias o esenciales, por lo general se consideran funciones auxiliares en lugar de la actividad principal.

¿Qué se entiende por el término “a gran escala” (Art. 37.1 apartado b) y c)?

El nuevo texto no define lo que constituye el término “a gran escala”. Es por ello que el WP29 recomienda que se valoren los siguientes factores a la hora de determinar si el procesamiento de los datos es a gran escala:

  • El número de sujetos afectados, ya sea como número específico o como una proporción de la población relevante.
  • El volumen de datos y/o el rango de diferentes elementos de datos que se están procesando.
  • La duración o permanencia de la actividad de procesamiento de datos.
  • La extensión geográfica de la actividad de procesamiento de datos.

¿Qué se entiende por “monitorización habitual y sistemático” (Art. 37.1 apartado b)?

La noción de supervisión habitual y sistemático de los sujetos de los datos no está definida en el texto del Reglamento. A pesar de ello, sí incluye todas las formas de seguimiento y perfiles en Internet, incluso a efectos de publicidad según el comportamiento. Por otro lado, debemos tener claro que la noción de monitorización no se limita al entorno online. Así pues, el WP29 interpreta “habitual” como:

  • En curso o ocurriendo en intervalos particulares durante un período determinado.
  • Recurrente o repetido a tiempos fijos.
  • Constantemente o periódicamente teniendo lugar.

Asimismo, el WP29 interpreta “sistemático” como:

  • Ocurren según un sistema.
  • Organización previa, organizada o metódica.
  • En el marco de un plan general de recogida de datos.
  • Realizado como parte de una estrategia.

Un ejemplo serían los seguimiento de datos sobre el bienestar, la aptitud física y la salud a través de dispositivos portátiles (wearables).

¿Pueden las organizaciones designar conjuntamente un DPO? En caso afirmativo, ¿bajo qué condiciones (Artículos 37.2 y 37.3)?

El texto dispone que un grupo de empresas puede designar un único DPO siempre que

sea “fácilmente accesible desde cada establecimiento”. La noción de accesibilidad se refiere a las tareas del DPO como punto de contacto con respecto a los interesados, la Autoridad de Control y también internamente (dentro de la organización). Así pues, el DPO deberá estar en condiciones de comunicarse eficazmente con los interesados y de cooperar con las autoridades de Control. Esto significa que esta comunicación debe tener lugar en el idioma o idiomas utilizados por las autoridades de Control y los interesados afectados. La disponibilidad personal del DPO (ya sea físicamente en las mismas instalaciones o a través de medios de comunicación seguros) es esencial.

¿Es posible nombrar un DPO externo (art. 37.6)?

Sí, el DPO puede ser un miembro del personal del responsable o encargado del tratamiento (DPO interno) o «cumplir las tareas sobre la base de un contrato de servicios con un individuo o la» (DPO externo). En el caso del DPO externo, su función puede ejercerse sobre la base de un contrato de servicios contratando con un autónomo o un despacho (empresa).

Cuando la función del DPO es ejercida por un prestador de servicios externo, un equipo concreto de personas que trabajan para esa entidad pueden llevar a cabo efectivamente las tareas de DPO como un equipo. Asimismo, el WP29 recomienda una asignación clara de las tareas dentro del equipo externo de DPO así como también asignar un solo individuo como contacto principal y persona al cargo del cliente.

¿Cuáles son las cualidades profesionales que debería tener el DPO (art. 37.5)?

Como ya sabemos, deberá ser designado sobre la base de cualidades profesionales y, en concreto, conocimiento de la legislación y de las prácticas en materia de protección de datos así como la capacidad de cumplir las tareas del art.  39 del nuevo texto.

El nivel necesario de conocimientos especializados deberá determinarse de acuerdo con las operaciones de procesamiento de datos realizadas y la protección requerida para los datos personales que se están procesando. Por ejemplo, donde una actividad de procesamiento de datos es particularmente compleja, o cuando se tratan una gran cantidad de datos sensibles, el DPO necesitará un mayor nivel de experiencia y apoyo.

Las habilidades y conocimientos necesarios incluyen:

  • Experiencia en las leyes y prácticas nacionales y europeas en materia de protección de datos, incluido el nuevo Reglamento.
  • Comprensión de las operaciones de tratamiento realizadas.
  • Comprensión de las tecnologías de la información y la seguridad de los datos.
  • Conocimiento del sector empresarial y de la organización.
  • Capacidad para promover una cultura de protección de datos dentro de la organización.

¿Cuáles son los recursos que se deben proporcionar al DPO para llevar a cabo sus tareas?

La empresa deberá apoyar a su DPO mediante la facilitación de los recursos necesarias para llevar a cabo sus tareas, permitirle el acceso a los datos personales así como las operaciones de tratamiento y, también, para mantener su conocimiento de experto sobre la materia.

La empresa deberá analizar sus actividades, tamaño y la naturaleza de los tratamientos que llevan a cabo y, valorándolo en conjunto, deberá proporcionar los Los siguientes recursos al DPO:

  • Apoyo activo de la función del DPO por la alta dirección de la empresa.
  • Tiempo suficiente para que el DPO pueda cumplir sus obligaciones.
  • Apoyo adecuado en términos de recursos financieros, infraestructura (locales, instalaciones, equipo) y personal, cuando corresponda.
  • Comunicación oficial de la designación del DPO a todo el personal de la empresa.
  • Acceso a otros servicios dentro de la organización (p.e. Recursos Humanos IT, etc.) para que el DPO pueda recibir apoyo esencial o información de esos otros servicios.
  • Formación continua del DPO (p.e. asistir a workshops en materia de Protección de datos así como cursos o formaciones para que su experiencia vaya en aumento).

¿Cuáles son las garantías que permiten al DPO realizar sus tareas de forma independiente (artículo 38.3)?

Existen varias garantías para permitir que el DPO actúe de manera independiente según el considerando nº 97:

  • No deben haber instrucciones por los responsables o encargados del tratamiento sobre el ejercicio de las tareas del DPO.
  • No puede darse ningún despido o sanción por parte del responsable para el desempeño de las tareas del DPO.
  • No puede haber conflicto de intereses con otras posibles tareas y deberes.

¿Cuáles son las “otras tareas y deberes” de un DPO que pueden dar lugar a un conflicto de intereses (Art. 38.6)?

El DPO no puede ocupar un cargo dentro de la organización que lo conduzca a determinar los fines y los medios del tratamiento de los datos personales. Debido a la concreta estructura organizativa de cada organización deberá considerarse caso por caso. Como regla general, las situaciones de conflicto suelen incluir posiciones de alta gerencia, pero también otros roles de inferior rango en la organización pueden estar en la misma situación si su rol en la empresa conduce a la determinación de fines y medios de tratamiento.

¿Qué incluye la noción de “monitorizar el cumplimiento” del Reglamento (Art. 39.1 apartado b)?

Como parte de estas funciones para supervisar el cumplimiento, el DPO podrá:

  • Recopilar información para identificar las actividades de tratamiento de datos.
  • Analizar y verificar el cumplimiento de las actividades de tratamiento de datos.
  • Informar, aconsejar y emitir recomendaciones al responsable y/o encargado del tratamiento.

¿El DPO es personalmente responsable por el incumplimiento del Reglamento?

No, el DPO no es personalmente responsable por el incumplimiento del Reglamento. El texto deja claro que serán los responsables o los encargados del tratamiento quiénes deberán garantizar y poder acreditar que los tratamientos de datos se llevan a cabo de conformidad con el Reglamento.

¿Cuál es el papel del DPO con respecto a la evaluación de impacto de la protección de datos (art. 37.1 apartado c) y el registro de las actividades de tratamiento de datos personales (art. 30)?

En lo que respecta a la evaluación del impacto de la protección de datos, el responsable o encargado del tratamiento solicitará el asesoramiento del DPO, sobre las siguientes cuestiones, entre otras:

  • Realizar o no una evaluación de impacto en materia de protección de datos.
  • Qué metodología seguir cuando se lleva a cabo una evaluación de impacto.
  • Si se debe realizar la evaluación de impacto en la empresa o externalizarlo.
  • Qué garantías (incluidas las medidas técnicas y organizativas) deben aplicarse para mitigar los riesgos para los derechos e intereses de los interesados.
  • Si la evaluación del impacto han sido correctamente realizada (es decir, valorar si se sigue o no con el tratamiento en cuestión y qué garantías deberán aplicarse) así como así como verificar que las conclusiones cumplen con el Reglamento.

En lo que respecta al registro de las actividades de tratamiento, es el responsable o encargado del tratamiento, no el DPO, quién deberá mantener un registro de los diferentes tratamientos de datos personales que se hagan en la empresa. Sin embargo, del texto del Reglamento, nada impide que el responsable o encargado del tratamiento pueda asignar al DPO la tarea de mantener el registro de actividades del tratamiento,  bajo la responsabilidad del responsable del tratamiento. Este registro deberá considerarse como una de las herramientas que permitirán al DPO llevar a cabo sus tareas de vigilancia del cumplimiento, asesorando al responsable y al encargado del tratamiento.

Las empresas deberán ponerse las pilas en encontrar, ya sea en el seno de la misma o fuera, un perfil para llevar a cabo todas las funciones que hemos comentado en el artículo. Asimismo, no debemos olvidar que el nuevo Reglamento será de aplicación a partir del 25 de mayo 2018 y, cuanto antes las empresas tengan claro el perfil, antes podrán ponerse manos a la obra a planificar la adaptación de la empresa a las exigencias del nuevo Reglamento.

Jesús Martinell

El Safe Harbor y la hipocresía europea


La cultura norteamericana se está extendiendo como una mancha de aceite. Por imposición, ósmosis o mimetismo han llegado a nuestras vidas conceptos y costumbres que hace unos años sólo veíamos en las películas. Los términos Halloween, black friday, y el propio compliance han arraigado definitivamente en Europa. Pero lo que todavía no ha llegado, por ejemplo, es la confianza del legislador en el ciudadano, la eliminación de ciertas trabas legales que todavía existen para abrir una empresa y el justo equilibrio entre privacidad y negocio.

En mi opinión, al legislador europeo se le ha ido la mano al diseñar el modelo de protección de datos que actualmente tenemos y ello nos está pasando factura. Un ejemplo claro es la regulación de las cookies.

Es como si un legislador ocioso hubiese identificado un derecho a regular pero hubiese ampliado su alcance hasta crear en el ciudadano necesidades que antes no tenía, llevándonos todos a lo más alto de la pirámide de Maslow.

En el caso de la anulación de los acuerdos Safe Harbor, tengo una opinión que coincide con algunos de los criterios utilizados por el TJUE, pero no con la conclusión. Creo que al juzgador le ha faltado información y comprensión del verdadero problema que subyace en esta cuestión. Y si no es así, entonces le ha sobrado hipocresía al poner en la balanza valores que no son comparables.

Es evidente que la base de la Patriot Act es el miedo, y una persona no amenazada no puede criticar el miedo de la que sí lo está, salvo que el miedo sea excesivo. La causa o la provocación de la amenaza también deberían ser analizadas, pero en ese caso tendríamos que diferenciar entre gobernantes y gobernados.

Tras los atentados de París ya se está hablando de medidas restrictivas de la libertad de movimiento y del derecho a la intimidad que se acercan mucho a las contenidas en la Patriot Act y en normas posteriores. La pregunta es si estas medidas se intensificarán en el caso de que se produzcan más atentados, porque en tal caso las diferencias entre un Estado que espía y otro que está pensando en hacerlo serían meramente cuantitativas. Al final, la cruda realidad sería que el derecho a la intimidad depende exclusivamente del número de muertes y no de la diferencia de valores entre las dos culturas. No sería de extrañar, ya que la vida es más importante que la intimidad, pero en ese caso se produciría una homologación de facto entre la protección de la intimidad en Europa y en Estados Unidos.

Esperemos no tener que oír dentro de unos años la frase “Cómo se respetaba la intimidad en Europa hasta que llegó el miedo” igual que en su día oímos la frase “En España no había racismo, hasta que llegaron los inmigrantes”.

Hay que tener en cuenta también que no todo es blanco o negro. Ni unos son tan buenos ni otros tan malos. En Europa también ha habido gobiernos que han reconocido que espiaban a sus ciudadanos. Y también hay agencias que pueden realizar inspecciones y requerimientos de datos sin tutela judicial.

Ello nos lleva a la triste conclusión de que ni las cláusulas tipo, ni las normas corporativas vinculantes, ni siquiera un nuevo acuerdo Safe Harbor pueden impedir que un Estado espíe o requiera la entrega de datos a los encargados del tratamiento.

Tampoco sirve de nada que el servidor esté en Europa, ya que si el proveedor es norteamericano tendrá que suministrar igualmente a la agencia requirente los datos que gestiona, estén donde estén. Y si no lo es, seguramente subcontratará los servicios de una empresa norteamericana, aunque muy probablemente no lo sepa.

Como decía Manuel Castells en 2001, la información ya no es un activo a almacenar, sino un flujo a optimizar, y hoy más que nunca cobra sentido esta afirmación. Cada vez es más difícil, y a la vez irrelevante, saber dónde están realmente los datos. Cuando un Magistrado del TJUE envía un mail a su familia, es muy probable que los routers encuentren un camino más rápido por otros países que no protegen los datos como en Europa, porque a esa hora están menos activos.

Por todo ello, cuando Europa y EEUU se pongan en serio a negociar Safe Harbor 2, tal vez tengan en cuenta todos los factores que hacen que sus normas y su cultura estén cada vez más cerca, y recuerden que los datos no saben lo que son las fronteras.

ACTUALIZACIÓN:  “El Parlamento británico tramita un proyecto de ley que pretende facilitar a la policía acceso a los registros del uso de Internet de los ciudadanos, algo que el Gobierno considera esencial para combatir el crimen y la amenaza terrorista”.
Ver noticia completa

ACTUALIZACIÓN:  “Los ministros de Defensa presionan para imponer una nueva legislación (Francia quiere prohibir el acceso a TOR, según difundió Le Monde hace unos días) y los defensores de los derechos civiles empiezan a mostrar preocupación”.
Ver noticia completa

Un nuevo paso para la aprobación del Reglamento UE de Protección de Datos a final de año

El Consejo de Justicia de la UE, formado por los ministros de Justicia e Interior de la Unión Europea, llegó ayer en Luxemburgo a un acuerdo en ciertas materias que acercan las posiciones y permiten mantener la planificación inicial de aprobar el Reglamento a finales de año.

Las materias en las que hubo acuerdo son las siguientes:

1. Régimen de la transferencia de datos a terceros países o en el seno de organizaciones internacionales.

2. Aspectos relativos al ámbito territorial, que incluyen la aplicación de las obligaciones del Reglamento a todas las empresas que operen en el Mercado Único Europeo, aunque no sean europeas.

3. Definición del concepto Binding Corporate Rules.

4. Definición del concepto organizaciones internacionales.

Se debatieron también aspectos relativos al principio one-stop-shop, que incluye la posibilidad de que una empresa se dirija a una única autoridad nacional de protección de datos para negociar cuestiones relativas a su actuación en todo el Mercado Único Europeo. Este punto no está exento de polémica, ya que las empresas podrían dirigirse sistemáticamente a las autoridades nacionales menos exigentes en detrimento de las “Rottweiler authorities”. Este debate ha quedado aplazado para próximas reuniones.

En la actualidad hay tres puntos que actúan como aceleradores del proceso y que permiten pronosticar nuevos avances en la reunión del Consejo de la UE prevista para los días 26 y 27 de este mes.

Estos tres puntos son:

1. El caso Snowden y los escándalos de espionaje de EEUU
2. La sentencia del TJUE relativa al derecho al olvido
3. El mercado único digital

La comisaria europea de Justicia, Viviane Reding, principal impulsora de esta iniciativa legislativa, hizo ayer especial énfasis en la necesidad de que la UE apruebe el Reglamento lo antes posible y afirmó que, con los acuerdos alcanzados, esta aprobación estaba más próxima.

La reunión del Consejo de la UE de finales de este mes también permitirá ver la posición de Inglaterra y la influencia en ella de EEUU. Está previsto que la normativa norteamericana vaya alineándose progresivamente a la europea en materia de protección de datos y alejándose de la amenaza de suspensión de los acuerdos Safe Harbor originada tras los escándalos de espionaje.

Facebook for Business

Artículo de Marc Rius

La reciente adquisición de Whatsapp por parte de Facebook ha sido probablemente la noticia más importante del sector en lo que va de año por las implicaciones que puede conllevar en el ámbito del comercio electrónico, y está por ver si en los meses que quedan otra la iguala, por lo menos en lo que a trascendencia económica se refiere.

Sin embargo, en este artículo no entraré a valorar el impacto que esta operación pueda tener en materia de privacidad y protección de datos, porque desconocemos los términos exactos que esconde el acuerdo.

Un efecto colateral de esta noticia ha sido restar cuota de atención a una novedad importante en los servicios de Facebook que afecta a todos los anunciantes y, por ende, a todos los usuarios de esta red social. Hablamos de “Facebook for Business“, la nueva herramienta de centralización de contenidos, anuncios y promociones que Facebook ha puesto a disposición de pequeñas empresas y grandes marcas o agencias, desde el pasado 6 de diciembre de 2013 y que ya había lanzado previamente en Estados Unidos.

¿Y por qué esto es noticia precisamente ahora? Porque esta semana entró en vigor el primer cambio significativo que modifica radicalmente la forma en la que toda empresa que tenga una página en Facebook, puede comunicarse de forma efectiva con los usuarios -entendido como conseguir que sus publicaciones aparezcan en el news feed de sus seguidores-.

De esta forma, Facebook da una nueva vuelta de tuerca a la monetización del servicio publicitario a través de su red social, y es que según algunos expertos en marketing digital, con los últimos cambios el alcance orgánico será prácticamente residual. Básicamente se concluye que si las empresas quieren visibilidad, deberán pasar por caja.

Así pues, Facebook organiza ahora ya las campañas publicitarias en tres niveles, (i) campañas, (ii) ad set y (iii) ads. Hasta ahora, los anunciantes podían crear una campaña y vincular a ella distintos anuncios, pero ahora ya se pueden preparar los llamados ad set, que no son más que un punto intermedio dentro de una campaña para poder hacer distintas segmentaciones, cada una de ellas con sus anuncios propios.

Adicionalmente, se añaden nuevas opciones de segmentación, que permitirán centrar la audiencia según (i) ubicación, (ii) demografía, (iii) intereses, y (iv) comportamiento. De esta forma, se amplía la anterior segmentación por intereses (derivada de los “me gusta” y las páginas de empresa/producto/personaje), y se podrá dirigir la publicidad a los usuarios según el lugar desde el que se conecten, por características demográficas como cambios en el estado civil o educativo/laboral, y por el uso que el propio usuario esté dando a la red social.

En definitiva, hay algo que puede ser bueno, y es que buscan personalizar y orientar al máximo la publicidad que reciben los usuarios, pero que a su vez vuelve a poner de manifiesto la gran cantidad de datos que Facebook posee sobre todos sus usuarios y que seguro es muchísima más de la que podamos siquiera llegar a imaginar.

Y dándole la vuelta al artículo y volviendo a la compra de Whatsapp, cabe decir que es por lo menos curiosa esta ampliación en los parámetros de segmentación, en el momento en que se anuncia la compra de la aplicación líder en mensajería instantánea. Dicen desde Whatsapp y Facebook que nada cambiará, pero sinceramente, pagar 16.000 millones de dólares por una aplicación principalmente gratuita (no recuerdo la última vez que pagué por ella), ,no parece un simple capricho o un ambicioso plan de liderar el sector, sino que más bien parece responder a una necesidad imperiosa de mantener y ampliar el negocio ante los rumores del derrumbamiento del gigante americano.

Whatsapp es una fuente inagotable de valiosísima información. Sus usuarios más activos se conectan numerosas veces por hora, y seguro que son muchas más de las veces que abren Facebook a lo largo del día, por lo que de primeras, podrán realizar un tracking mucho más preciso de los lugares y momentos de conexión de cada usuario. Si por cualquier método terminan por vincular usuarios de Whatsapp con usuarios de Facebook (hay gente que comparte su teléfono móvil en la red social, pero aún así es muy probable que Facebook ya lo sepa por otras vías), está claro que podrán generar perfiles todavía más completos, aunque traten de convencernos con insistencia de que no pueden ni podrán acceder al contenido de las conversaciones. Ahora bien, esta postura nos resulta poco creíble y especialmente si recordamos las palabras premonitorias de Mark Zuckerberg cuando en su día afirmó que la privacidad había muerto.

En definitiva, el negocio de Facebook son los datos y su posterior explotación. Por tanto cuantos más se conozcan, mejor para el negocio. Bienvenidos definitivamente a la era del Big Data.

Presentación en vídeo sobre la Guía de Cookies

Vídeo de 35 minutos relativo a la Guía sobre el uso de cookies publicada en mayo de 2013 por la Agencia Española de Protección de Datos y las asociaciones aDigital, Autocontrol e IAB.

Se recomienda ver el vídeo en resolución 1.080 y a pantalla completa tras hacer clic en el icono de YouTube.

¿Puede un periódico publicar las fotos que tuiteas?

La pregunta surge tras la reciente sentencia de un Juez de Distrito de Nueva York en la que declara que The Washington Post y la Agencia France-Press (AFP) infringieron los derechos de propiedad intelectual del fotógrafo Daniel Morel, al distribuir y publicar sin su autorización, fotografías que éste había tuiteado sobre el terremoto de Haití.

Los términos de servicio de Twitter establecen que:

  1. El usuario es el titular de los derechos que le amparan sobre cualquier contenido que envíe, reproduzca o exponga en Twitter.
  2. Al hacerlo, el usuario concede a Twitter una licencia mundial, no exclusiva y gratuita sobre el contenido publicado.
  3. Esta licencia permite a Twitter utilizar, copiar, reproducir, procesar, adaptar, modificar, publicar, transmitir, exponer y distribuir el contenido del usuario a través de cualquier medio o método de distribución presente o futuro.
  4. También permite a Twitter conceder sublicencias del contenido del usuario a terceros y permitir que las personas físicas o jurídicas asociadas a Twitter puedan sindicar, retransmitir, distribuir o publicar.

Ello significa que un periódico o cualquier otro sitio web no puede publicar una foto tuiteada sin la autorización del usuario o de Twitter, a través de un acuerdo de sublicencia o de asociación.

Sin embargo, John Herrman, de BuzzFeed plantea en un artículo de la semana pasada que no habría infracción de los derechos de autor si la fotografía se publica insertando el tuit en la página web. (Gracias a Patricia Ventura por la información facilitada).

Además de las funciones “Responder”, “Retwittear” y “Favorito” que ofrece Twitter en relación a cada mensaje, a través del menú “…Más” se puede acceder a las funciones “Enviar Tweet por correo electrónico” e “Insertar Tweet”. Esta última función permite acceder al código necesario para insertar el tuit en una página web, ofreciendo incluso una vista previa de cómo quedará la inserción.

Si consultamos el Centro de ayuda de Twitter, veremos las instrucciones para insertar un tuit en un sitio web o blog. En ellas se establece claramente la posibilidad de insertar cualquier tipo de tuit, incluyendo los tuits con fotos y vídeos. Además, en el apartado de preguntas frecuentes Twitter responde con un rotundo ¡SI! a la pregunta “¿Puedo insertar un Twet que contiene una foto, vídeo u otros medios?”. La única condición actual es que las fotos estén en pic.twitter.com y los vídeos en YouTube y que el tuit a insertar no haya sido protegido por el usuario.

Se trata por lo tanto, de un régimen parecido al de YouTube, en el que existe una autorización genérica para insertar vídeos en páginas web y blogs siempre que el usuario no hay protegido el vídeo. La autorización sigue el camino usuario-Twitter-tercero.

Este régimen puede no satisfacer a muchos usuarios, pero es el que teóricamente acepta al abrir una cuenta en Twitter o tras ser notificado sobre una modificación de los términos del servicio y mantener la cuenta. Para eludirlo, el usuario puede proteger sus tuits, pero entonces dejan de ser públicos, y sólo podrán acceder a ellos los seguidores aprobados de forma expresa por el usuario.

El problema puede surgir cuando el usuario borra o protege el tuit que ya ha sido insertado en otro sitio web. En estos casos, y según las FAQ de Twitter (al final de la página), “las marcas de Twitter y las acciones del Tweet (Responder, Retuitear, etc.) serán eliminadas del Tweet inserto, pero el contenido del Tweet aún será visible“. Sería interesante en este caso ponderar el derecho a mantener el contenido online por parte del medio que ha insertado el contenido de buena fe, de acuerdo con la expectativa generada por Twitter, y el derecho moral del autor a solicitar la retirada de la foto, en función de lo establecido en los puntos 1 y 6 del artículo 14 del Texto Refundido de la Ley de Propiedad Intelectual.

Por lo tanto, y respondiendo a la pregunta que da título a este post, un periódico podría publicar una foto tuiteada en los siguientes casos:

  1. Cuando disponga de la autorización del usuario que la publicó.
  2. Cuando obtenga una sublicencia de Twitter.
  3. Cuando sea un asociado de Twitter autorizado a publicar fotos.
  4. Cuando inserte un tuit con foto en su sitio web.

Si el usuario quiere evitar que sus fotos sean publicadas en otros sitios web a través de la inserción del tuit, tiene la opción evidente de no tuitearlas, o de proteger sus tuits al inicio, antes de que hayan sido insertados en otro un sitio web.

La responsabilidad del retweet

Imaginemos un campo de fútbol con miles de personas insultando a un árbitro con las más graves injurias que se puedan imaginar. Ahora imaginemos que desaparecen todos y se queda absolutamente solo el que más gritaba. Lo más probable es que deje de gritar.

¿Qué ha ocurrido?, que mientras se sentía protegido por la masa, no tenía ningún reparo en acordarse de toda la familia del árbitro, pero en el momento en que se convierte en un sujeto único, identificable y desprotegido esa sensación de impunidad desaparece.

Cuando estamos ante un tweet, con toda la libertad del mundo para hacer clic en “retweet”, podemos tener varias motivaciones para hacerlo. Una puede ser la solidaridad o la afinidad con la idea que transmite el mensaje y en ese momento tenemos la oportunidad de participar en la conversación y la capacidad para expresarnos libremente, apoyando esa idea. Pero el retweet también puede ser un acto mimético, una simple gamberrada en la que el reemisor sólo pretende unirse a otras personas que están haciendo lo mismo en ese momento, o incluso un acto de cobardía, al sentirse protegido entre la masa, como en el campo de fútbol.

Según un reciente estudio, un porcentaje importante de los tweets son retuiteados sin leerlos, es decir sin hacer clic en el enlace que contienen y sin conocer a fondo el texto o contenido al que se refieren.

El acto de retuitear no debe ser automático e irreflexivo, ya que puede tener consecuencias para el emisor, para el receptor y para la persona que resulte perjudicada por la difusión del mensaje. Hay que tener en cuenta los distintos niveles de participación en un eventual delito: autor, cómplice, colaborador necesario…

En el Código Penal existe el tipo agravado de delito masa, que va referido a ciertos supuestos en los que existe una pluralidad de afectados por un mismo acto. Las nuevas tecnologías han hecho posible que se produzca el efecto inverso: que los actos de muchas personas perjudiquen gravemente a una sola persona.

¿Cómo debe actuarse en estos casos? Por el principio de intervención mínima tal vez no parezca lógico pensar que el legislador haya querido atribuir responsabilidad penal a un acto ilícito de escasa gravedad cometido simultánea o secuencialmente por miles de personas. Además, un espacio de escasos segundos entre la recepción y el reenvío del tweet sería una prueba de que no llegó a verse el contenido al que hacía referencia. Aunque también podría tratarse de un contenido viral cuya existencia se conocía por otros medios. En cualquier caso, el efecto acumulativo de miles de retweets encadenados puede ser devastador para la víctima. Y ello merece una reflexión.

En Inglaterra, Lord Alistair McAlpine, ex tesorero del Partido Conservador, se ha querellado contra más de 10.000 usuarios de Twitter por haber tuiteado o retuiteado mensajes calumniosos contra su persona. La indemnización solicitada es proporcional al número de seguidores de cada cuenta, llegando hasta un máximo de 45.000 euros. ¿Es ese el camino?

Entiendo que son escenarios nuevos a los que tendremos que ir adaptándonos, pero lo que está claro es que, antes de participar en la difusión de un mensaje, el usuario de Twitter, y cualquier usuario que participe en una conversación en Internet, debe reflexionar sobre las consecuencias de ese acto y sobre sus posibles responsabilidades.

eDNI para Facebook: solución desproporcionada

He estado analizando la noticia de ayer sobre la propuesta de exigir el DNI electrónico como prueba de la edad de los usuarios y me ha parecido realmente desproporcionada. Mis reflexiones son las siguientes:

Como padre

– Mis tres hijos tienen una gran actividad en Facebook desde los 16, 13 y 10 años respectivamente.

– Para darse de alta contaron con mi consentimiento expreso.

– Los tres utilizan la red social para comunicarse con sus amigos de clase, compartir contenidos, organizar deberes y preparar exámenes.

– El menor de ellos entró a los 10 años porque era el único de la clase que no tenía cuenta en Facebook y se sentía excluido.

– Me pidió que lo ayudase a darse de alta y fue muy gratificante para ambos configurar juntos la privacidad y los demás parámetros importantes de la cuenta: visualización de fotos, alta de amigos, etc.

– Ello me permitió sensibilizarle sobre los riesgos y hacerle comprender la necesidad de que tutelase su actividad hasta que tuviese 14 años, para lo cual acordamos que no cambiaría las claves de acceso, y así lo ha hecho hasta ahora.

– El sabe que tengo acceso a su cuenta y nos hemos reído juntos con los vídeos y chistes que han pasado por ella.

– Como padre he preferido siempre que mis hijos asuman responsabilidades desde pequeños y que conozcan los riesgos de lo que hacen, en vez de mantenerlos alejados de una realidad a la que podrían acceder igualmente, sin mi conocimiento y sin mis recomendaciones.

– Creo que la confianza genera responsabilidad y prefiero compartir y tutelar estas experiencias que reprimirlas y convertirlas en clandestinas, porque si sus amigos están ahí, ellos acabarán estando, por un medio o por otro.

– Si hubiese tenido que utilizar el DNI electrónico para cursar el alta, probablemente lo habría dejado para otro día.

– Entiendo como padre que la tutela no es algo ocasional, sino continuado. Pedir la intervención de los padres sólo en el momento del alta es como pensar que escogiendo un buen colegio para tus hijos ya es suficiente. Se entiende que la supervisión y el acompañamiento de la actividad de tu hijo es algo mucho más exigente y duradero.

Como observador

– La medida puede dar impulso al DNI electrónico, ya que los niños tendrán una motivación para que ellos y sus padres lo utilicen. Ya sabemos lo que pueden llegar a insistir hasta que consiguen lo que quieren.

– Lamentablemente, la experiencia es que la exigencia del DNI electrónico puede ser un obstáculo para el crecimiento de las actividades relacionadas con las redes sociales.

– En el comercio electrónico el eDNI ha sido rechazado sistemánticamente por las empresas y los usuarios. Cualquier paso o trámite adicional que se introduce en el proceso de compra es disuasorio e incrementa el número de transacciones frustradas.

– A todo ello se une el escaso uso de los lectores de eDNI, la caducidad de dos años del certificado electrónico y la habitual no renovación del mismo.

– Las redes sociales se han convertido en un nuevo motor para la economía y muchas empresas has diseñado una estrategia de marketing y publicidad adaptada a sus actuales presupuestos exiguos. Los menores de 14 años y sus padres son un público muy importante al que no tenemos que poner obstáculos para utilizar las redes sociales si los padres dan su consentimiento.

– Entiendo que exigir el DNI electrónico puede ser altamente disuasorio y es una medida desproporcionada que va a entorpecer y dificultar la entrada en una plataforma de comunicaciones que está aportanto muchos más beneficios que riesgos a nuestros hijos. No existe alarma social ni estadísticas negativas que aconsejen tal medida.

Mi propuesta es que estudiemos soluciones más imaginativas, que eduquemos a nuestros hijos ayudándolos a asumir responsabilidades, que definamos modelos de tutela colaborativa, que estemos más con ellos, que aprendamos juntos. Por muchos cerrojos que pongamos no conseguiremos que dejen de comunicarse. Sólo haremos que la brecha sea mayor.

En vez de contenerla, canalicemos esa ilusión.

Derechos ARCO y derechos AR

La búsqueda de lo simple y sencillo a veces viene determinado por el espacio disponible. Un ejemplo de ello es el esfuerzo histórico que hemos tenido que hacer para cumplir la obligación de información al interesado, establecida en el artículo 5 de la LOPD, en un espacio reducido como un ticket, un cupón, un anuncio, la pantalla de un móvil o una locución telefónica. La falta de espacio puede llegar al extremo de que el texto no quepa por dos palabras.

Algunas empresas han decidido que estas dos palabras sean “cancelación” y “oposición”, es decir, la C y la O de los derechos ARCO.

Pero el argumento principal de esta supresión no ha sido la falta de espacio, sino lo que podríamos llamar una adecuada gestión de las expectativas del cliente, dado el carácter vinculante del texto informativo y la imposibilidad de atender las solicitudes de cancelación y oposición en determinados casos.

El artículo 5 de la LOPD establece, entre otras obligaciones,  que los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. Ello puede entenderse como una obligación de informar al interesado que le corresponden estos cuatro derechos, pero también como la obligación de informar sobre los derechos que podrá ejercitar.

Esta segunda interpretación cubriría los supuestos en los que el interesado no pueda ejercitar algún derecho, en su totalidad, referido a determinados datos, o durante un plazo de tiempo.

Por ello, algunas empresas han decidido no crear una falsa expectativa al interesado sobre un derecho que no podrán ejercitar, o al menos de forma plena. Por ejemplo, en el caso de los tickets de compra con tarjeta, algunos comercios han suprimido el derecho de cancelación, por entender que los datos recogidos son exclusivamente los referidos a la transacción, y deberán ser conservados por motivos fiscales y contables, así como para poder acreditar el cumplimiento de las obligaciones contractuales con el cliente y con el emisor de la tarjeta de crédito.

Otras empresas han optado por informar sobre todos los derechos existentes y aplazar para el momento de la solicitud de acceso, rectificación o cancelación, la decisión de atenderla o no.

Cookies, publicidad contextual y publicidad basada en el comportamiento

El 24 de febrero de 2010, con motivo de mi participación como ponente en el I Congreso Internacional IAB Spain de regulación publicitaria en medios digitales, pude asistir a la ponencia de IAB UK en la que se presentaba una guía sobre Behavioral Advertising.

El ponente comentó que, en un estudio que habían realizado sobre la disposición de los usuarios a recibir publicidad online personalizada, se había confirmado que, a la hora de consumir contenidos en Internet, los usuarios preferían un modelo basado en la publicidad frente a un modelo basado en el pago por contenidos. Y puestos a aceptar la publicidad como contrapartida a la gratuidad del servicio, los usuarios preferían que esa publicidad se adaptase a sus gustos y preferencias.

Esta posición del consumidor queda patente en las revistas especializadas. Nunca veremos un anuncio de zapatos o de coches en una revista de informática, debido al rechazo que una publicidad descontextualizada tendría entre los lectores.

Esta adaptación de la publicidad a los gustos y preferencias del usuario puede hacerse de forma objetiva o subjetiva:

  • Objetiva: la publicidad se adapta al contexto, es decir, al tema tratado en la página web o a las palabras introducidas en un motor de búsquedas, en un mensaje o en un comentario. La selección del anuncio puede basarse en información facilitada en tiempo real por el usuario, a través de la que expresa un interés inmediato y tal vez efímero.
  • Subjetiva:  la publicidad se adapta a la información generada por el usuario de forma acumulativa, a través del comportamiento demostrado en una secuencia de tiempo que puede ser de horas, días, semanas e incluso meses. La selección de los anuncios se basa en el perfil del usuario, los intereses, gustos y preferencias que ha manifestado al visitar sitios web, realizar búsquedas y expresar opiniones. Ya no hablamos de intereses efímeros, sino de rasgos de personalidad.

Mientras la publicidad basada en el contexto puede prescindir de datos acumulativos, la publicidad basada en el comportamiento del usuario convierte la ruta seguida por el usuario en la clave de su efectividad. (NOTA: En este post utilizo el término “contextual” porque me gusta y no utilizo el término “comportamental” porque no me gusta, independientemente de que el primero esté en el diccionario de la RAE y el segundo no.)

El problema aparece cuando, aceptada la adecuación de la publicidad a mis gustos y preferencias, los anunciantes (o sus agentes o encargados del tratamiento) tienen que recogerlos y tratar estos datos para poder ofrecerme los anuncios más adecuados a ellos. No estamos hablando ya de segmentación o inclusión de mi perfil en una categoría donde puedo convivir con otros usuarios parecidos a mi. Estamos hablando de un segmento en el que sólo voy a estar yo y por lo tanto, de una publicidad basada en lo que he hecho en Internet durante los últimos meses.

Es en ese momento cuando, salvo que sea un nativo digital que publica en las redes sociales hasta la última radiografía de sus cervicales, me debería empezar a preocupar quién recaba esos datos, con qué finalidad y para quién.

Dado que estos datos se recogen a través de las cookies y de otros mecanismos análogos, es lógica la preocupación del legislador para regular su uso, y prueba de ello es la reciente modificación de la LSSI en este sentido.

Pero lo que no podemos hacer es tratar todos los tipos de cookies por igual. Analizando la normativa y las finalidades posibles, se me ocurren varias categorías:

1. Cookies orientadas a cuestiones técnicas de las comunicaciones: no necesitan consentimiento.

2. Cookies necesarias para la prestación de un servicio online: aceptación a través de las CGC que regulan el servicio.

3. Cookies orientadas a personalizar el diseño gráfico, mejorar la experiencia de usuario, realizar estadísticas y perfiles disociados de la actividad de los usuarios en ese sitio web únicamente y cualquier otra finalidad que pueda ser considerada no intrusiva: aceptación a través del aviso legal (consentimiento tácito)

4. Cookies obtenidas en las páginas web visitadas y orientadas a almacenar datos de navegación y datos del comportamiento del usuario a lo largo de las páginas que visita con fines de publicidad: necesitan consentimiento previo e informado. La cuestión es cómo se materializan tanto la información como el consentimiento, y cómo se obtienen y conservan las evidencias electrónicas de ambos actos. Si el navegador bloquea este tipo de cookies por defecto, la acción expresa de modificar esta configuración equivaldría a consentimiento, pero entonces el log del servidor debería conservar el tipo y versión del navegador como evidencia. Una combinación de aviso legal, configuración del navegador y log podría ser suficiente, pero las empresas más prudentes podrían recabar el consentimiento a través de un popup, un interstitial o un banner en la página web visitada.

5. Cookies de terceros, es decir, de páginas web no visitadas: implican un acuerdo de cesión de datos o de encargado del tratamiento entre los responsables de las páginas web visitadas y las no visitadas, y exigen un consentimiento previo e informado. Al no existir relación con el tercero, debería analizarse en profundidad el protocolo de aceptación de este tipo de cookies. Lo ideal sería que la configuración del navegador diferenciase entre cookies de páginas web visitadas y cookies de terceros para poder discriminar estas últimas. El navegador debería bloquear este tipo de cookies por defecto, requiriéndose una acción expresa del usuario para aceptarlas.

6. Cookies del proveedor de hosting: analizando el almacén de cookies de mi navegador he comprobado que todos los blogs que he visitado, incluido el mío propio, han instalado cookies en mi ordenador. En realidad no han sido los blogs, sino los proveedores del servicio de albergue del blog. Dado que las cookies de publicidad y de terceros están bloqueadas por defecto, entiendo que las cookies instaladas son meramente técnicas. En cualquier caso, sería recomendable confirmar este extremo con el proveedor, y modificar el aviso legal advirtiendo sobre sobre el origen y la finalidad de las cookies instaladas por el proveedor. En mi blog en WordPress y en Typepad no inserto publicidad, pero en el de Expansión, sí hay un banner que no gestiono ni exploto. Si los responsables del servicio instalan cookies y obtienen datos que van más allá de los meramente técnicos, entiendo que deben advertirlo a los usuarios en su aviso legal y comunicarlo a los bloggers que utilizan el servicio. Aunque estos proveedores pudiesen llegar a ser considerados encargados de tratamiento, es evidente que generan un nuevo vínculo con los usuarios y son responsables de los datos que recaben de ellos. Lo mismo sucede con los datos suministrados por los lectores del blog al publicar un comentario.

Las opciones de configuración de los navegadores en materia de cookies han tenido una gran evolución en los últimos años. De una lista original de dos opciones: bloquear o no bloquear, se ha pasado a la posibilidad de discriminar distintos tipos de cookies.

Mi navegador, por ejemplo, conserva la configuración de origen, de manera que por defecto bloquea las cookies de publicidad y de terceros. Prueba de ello es que, al visitar la sección de preferencias de la guía antes comentada, un popup me confirma que la configuración del navegador bloquea la instalación de cookies destinadas a realizar publicidad basada en el comportamiento. Esta página actúa como una especie de lista Robinson, en la que el usuario puede seleccionar los proveedores (encargados del tratamiento en su mayor parte) que pueden instalar cookies en su equipo por cuenta de sus cliente, y los que no.

Finalmente, cabe añadir que el GT29 se ha pronunciado recientemente en relación al protocolo DO NOT TRACK (DNT), recomendando un consentimiento basado en una opción informada y activa en el momento de configurar la función DNT en el navegador y estableciendo un sistema OPT-OUT que permita el borrado de toda la información almacenada en el caso de que el usuario decida aplicar la opción DNT para evitar el seguimiento o rastreo de su actividad en Internet.

Como todo lo relacionado con la red, la evolución es imparable y vamos a asistir a cambios ante los que, como usuarios, anunciantes, encargados del tratamiento y profesionales tendremos que tomar decisiones, aprendiendo a convivir con las nuevas formas de personalización de la publicidad. Y el legislador tendrá que hacer un esfuerzo para no convertirse en el amigo gordete y entrañable que nos acompañaba a todas partes cuando éramos niños y nos pedía que lo esperásemos cuando nos poníamos a correr.