Archivo de la categoría: Responsabilidad prestadores de servicios

Atrapados entre las reclamaciones de los interesados y las limitaciones de responsabilidad de los encargados del tratamiento

Posted on por

Si hacemos un análisis de las brechas de seguridad que se han conocido desde el 25 de mayo veremos que un gran número de ellas han tenido su origen en el proveedor que trataba los datos.

En el momento de distribuir las responsabilidades veremos que el incumplimiento de las obligaciones del proveedor encargado del tratamiento puede afectar al responsable del tratamiento que ha contratado sus servicios. 

El responsable del tratamiento tiene la obligación de contratar proveedores que ofrezcan garantía suficientes (culpa in eligendo) y controlar su actividad, llegando a auditarlos en el caso de los proveedores críticos (culpa in vigilando)

En la siguiente tabla se puede ver cómo podrían distribuirse las responsabilidades entre el responsable y el encargado del tratamiento en cada uno de los escenarios en los que puede incurrir un proveedor.

Esta tabla no contempla las posibles acciones penales derivadas de un eventual delito contra la intimidad en el caso de violación de la confidencialidad o de un delito de daños en el caso de violación de la integridad.

 

En la práctica, la empresa responsable del tratamiento será la que tendrá que hacer frente a las reclamaciones de los interesados, por ser la que tiene legitimación pasiva en virtud del contrato suscrito con ellos.

Salvo en el caso de las excepciones contempladas en la tabla anterior, el interesado no tiene acción directa contra el encargado del tratamiento, por lo que si quiere reclamar los daños y perjuicios sufridos tendrá que demandar al responsable del tratamiento, que es el que tiene una relación contractual con el interesado. 

El problema surge cuando el responsable del tratamiento quiere repercutir al encargado del tratamiento las sanciones de la AEPD y las indemnizaciones pagadas a los interesados, ya que puede encontrar limitaciones de responsabilidad en el contrato o limitaciones de cobertura en la póliza de seguros del proveedor.

La empresa responsable del tratamiento puede verse entonces atrapada entre las reclamaciones de los perjudicados y las limitaciones de responsabilidad del proveedor que ha incumplido el RGPD y ha causado el perjuicio a los interesados. 

La primera barrera, es decir, la limitación de responsabilidad por vía contractual puede ser de tres tipos:

  1. Cuantitativa: establecida en una cantidad determinada o en el resultado de multiplicar el coste del servicio por una cifra.
  2. Cualitativa: basada en la exclusión de unos supuestos determinados de responsabilidad.
  3. Indirecta: derivada del incumplimiento de otros requisitos o provocada de facto por la insolvencia del proveedor.

En el caso de que no existan limitaciones contractuales, o éstas sean anuladas tras una negociación con el proveedor o por vía judicial, aparece la segunda barrera, consistente en las limitaciones de la póliza de seguros de responsabilidad civil o en la de ciberriesgo. La limitación de responsabilidad en este caso también puede ser tres tipos:

  1. Cualitativa: supuestos excluidos de la cobertura.
  2. Cuantitativa individual: límite por siniestro.
  3. Cuantitativa anual: límite por la suma anual de siniestros.

Un ejemplo de supuesto excluido de la cobertura del seguro de responsabilidad civil son las sanciones de la AEPD, que acostumbran a formar parte de la cobertura del seguro de ciberriesgo.

La tercera barrera sería la solvencia económica del proveedor.

El análisis de la existencia y la dimensión de las tres barreras que pueden impedir la repercusión al proveedor de las sanciones impuestas por la AEPD y de las cantidades pagadas a los interesados en concepto de indemnización por daños y perjuicios, debe hacerse en la fase de selección y homologación de proveedores, es decir, en la fase previa a la contratación.

Si la empresa no hace sus deberes en esa fase previa, tendrá que hacerlos en un momento en que puede ser demasiado tarde:

  1. Durante la fase de negociación del contrato con el proveedor seleccionado.
  2. Durante la vigencia del contrato, tras una auditoría contractual, o de seguros, que evidencia la existencia de limitaciones a la responsabilidad.
  3. Tras la brecha de seguridad o el incidente o imcumplimiento que ha causado el perjuicio, negociando una distribución adecuada de responsabilidades en función del nivel de implicación en las causas del incidente o por vía judicial.

Una vez constatado el papel de los proveedores en las brechas de seguridad y en las infracciones del RGPD que se han producido hasta el momento, las empresas responsables del tratamiento deberán revisar su metodología de selección, homologación, contratación y control continuado de los proveedores que traten datos personales, con el fin de introducir medidas que permitan una distribución adecuada de las responsabilidades. 

Estas medidas deberán incluir una revisión del contrato, de la cobertura del seguro y de la solvencia del proveedor, con el fin de identificar, gestionar y tener en cuenta, en el proceso de toma de decisiones a aplicar en la fase de selección, las limitaciones que puedan existir a la responsabilidad del proveedor.

 

Responsabilidad por comentarios anónimos en foros – Sentencia del TEDH

Posted on por

Resumen realizado por Ricard Boned sobre la reciente sentencia del Tribunal Europeo de Derechos Humanos, en la que se considera responsable al titular de un portal de noticias por los comentarios ofensivos colgados por sus lectores.

Antecedentes

Delfi AS, es una sociedad registrada en Estonia que posee uno de los mayores portales de noticias del país. En 2006 publicó un artículo sobre una compañía de ferris criticando su decisión de cambiar la ruta de sus embarcaciones. Esta desviación había provocado que se pospusiera varias semanas la construcción de carreteras que llegaban a los mismos destinos que los ferris, pero de forma más rápida y económica.

A raíz del artículo varios usuarios indignados publicaron mensajes ofensivos contra la Compañía y su propietario. Éste demandó a Delfi en 2006 y obtuvo una sentencia condenatoria en junio de 2008. El Tribunal estonio encontró que los comentarios eran difamatorios y que Delfi era responsable de ellos. En 2009 Delfi apeló la sentencia pero su apelación fue desestimada. En particular, los tribunales nacionales rechazaron el argumento del Portal que en base a la Directiva de la UE 2000/31/CE sobre Comercio Electrónico, consideraba que su papel era meramente técnico, pasivo y neutral. Al rechazar este argumento, se consideró que el Portal tenía control sobre los comentarios y que por tanto, era responsable.

Delfi acudió al Tribunal Europeo de Derechos Humanos por violación del artículo 10 (libertad de expresión). No obstante, el Tribunal señaló que el artículo 10 permite que se interfiera la libertad de expresión cuando su finalidad sea proteger la reputación de una persona, y siempre que exista una proporcionalidad con las circunstancias que la justifiquen. La cuestión esencial era analizar si existía dicha proporcionalidad.

Valoración del TEDH

Al evaluar esta cuestión, el Tribunal tuvo en cuenta cuatro factores:

1. El contexto de los mensajes. Los comentarios fueron insultantes, amenazantes y difamatorios. Dada la naturaleza del artículo, Delfi debería haber esperado mensajes ofensivos, y además estableció abiertamente un grado extra de precaución a fin de evitar ser considerado responsable por los daños reputacionales causados a una persona.

2. Las medidas adoptadas por Delfi para impedir la publicación de comentarios difamatorios. El Portal establecía expresamente que los autores de los comentarios se harían responsables de su contenido, y advertía que los comentarios ofensivos no estaban permitidos. Asimismo, el Portal podía eliminar automáticamente insultos o palabras inadecuadas y, además, disponía de un sistema a través del que los usuarios podían denunciar este tipo de comentarios. Sin embargo, las advertencias no pudieron evitar que se publicaran un gran número de comentarios inapropiados, y los sistemas de filtrado y denuncia no fueron eficaces para evitarlos.

3. Análisis de si los autores de los comentarios realmente podrían haberse considerado responsables. Muchos de los autores de los comentarios los publicaron sin identificarse. Por lo tanto, hacer a Delfi legalmente responsable por los comentarios era, según el Tribunal, razonable, ya que permitió su publicación y recibió beneficios comerciales por esos comentarios.

4. La sanción impuesta por los tribunales estonios contra la empresa había sido mínima. Delfi estaba obligado a pagar una multa de 320 euros, pero no se exigieron medidas adicionales que pudieran vulnerar su libertad de expresión.

Resultado

El Tribunal sostuvo que la responsabilidad estaba justificada debido a que los comentarios fueron especialmente ofensivos, el Portal no evitó que se hicieran públicos, éste se benefició de su publicación, permitió que sus autores permaneciesen en el anonimato, la multa impuesta por los Tribunales de Estonia no fue excesiva, y no se exigieron medidas a futuro que pudieran vulnerar su derecho de expresión. Por tanto, al tratarse de una injerencia justificada y proporcionada se considera que no hay violación del artículo 10 (libertad de expresión) del Convenio Europeo de Derechos Humanos. La Sentencia aún es recurrible ante la Gran Sala del Tribunal.

Cabe añadir al resumen que el artículo 15 de la Directiva 2000/31/CE establece que los Estados miembros no impondrán a los prestadores de servicios una obligación general de supervisar los datos que transmitan o almacenen, ni una obligación general de realizar búsquedas activas de hechos o circunstancias que indiquen actividades ilícitas. Sin embargo esta exención se refiere solamente a las actividades de mera transmisión, caching y alojamiento de datos.

También se ha mencionado cierto paralelismo con la doctrina del reportaje neutral, pero ello exigiría que el medio de comunicación se limitase a reproducir las manifestaciones del tercero en un artículo periodístico y que el medio conociese la identidad del autor del comentario.

Lo que sí está claro es que los usuarios no deberán ser identificados de forma plena, ya que ello sería enormemente disuasorio y haría que se perdiesen buena parte de los comentarios. La gracia de publicar comentarios está justamente en el anonimato y en el uso de alias. Lo que sucede es que el medio asume la responsabilidad los comentarios anónimos prácticamente como si fuesen propios. Además, intentar identificar a los usuarios no sería efectivo, porque podrían crear falsas identidades como sucede en las redes sociales, salvo que se tratase de suscriptores o de usuarios autentificados. Los medios que han utilizado esta técnica han dejado los foros prácticamente desiertos.

Los foros disponen habitualmente de moderadores que realizan un control de los comentarios antes o después de su publicación. Los administradores de estos foros tendrán que decidir si el protocolo a aplicar por los moderadores se basa en una aprobación previa o en un control posterior. En cualquier caso, parece evidente que un foro no puede quedar abandonado, y que, como mínimo tienen que establecerse unas normas de uso y unas consecuencias para el incumplimiento de las mismas.

El momento de la verdad llegará cuando el moderador, siguiendo la línea editorial del medio, decida aprobar y mantener el comentario, con todas sus consecuencias.

Cómo funciona MEGA, el nuevo Megaupload

Posted on por

Este fin de semana se lanza MEGA, la nueva apuesta del fundador de Megaupload, en la que pretende superar todos los obstáculos que tendría una versión funcionalmente idéntica a la anterior.

Los elementos clave de la nueva versión son los siguientes:

1. Documentos privados

El nuevo MEGA presenta como factor innovador un sistema de aseguramiento de la privacidad que no exige instalar software dedicado, ya que cifra y descifra los datos de forma transparente en el navegador del usuario a partir de una clave pública de 2.048 bits. El usuario es el único que tiene la clave de acceso a sus contenidos, alojados de forma cifrada en la nube de MEGA.

La estrategia de MEGA consiste en trasladar al usuario la responsabilidad de los contenidos almacenados en su nube, alegando que estos contenidos están cifrados y que, aunque quisiera, MEGA no podría conocer su nivel de legalidad, ya que no tiene acceso a ellos.

2. Fragmentación y dispersión

El sistema de almacenamiento de MEGA es multicéntrico, es decir, está distribuido en una larga serie de servidores en todo el mundo, que no son de su propiedad. Los contenidos que se alojen en la nube privada de cad usuario serán inmediatamente cifrados, fragmentados y distribuidos por todo el mundo. Ello significará que, a diferencia del P2P, un servidor nunca tendrá el fichero completo, ni siquiera un fragmento reconocible del fichero. Cada servidor tendrá una porción ininteligible que sólo podrá ser unido al resto del fichero a través de la plataforma de MEGA y con la clave del usuario.

Se trata del sistema de ofuscación que Google y otros proveedores de cloud computing ya utilizan para cumplir las exigencias de sus clientes en materia de confidencialidad de la información y protección de datos personales.

Según MEGA, el usuario tendrá el control absoluto sobre las personas que podrán acceder de forma cifrada y confidencial a sus carpetas compartidas, de manera que ningún otro usuario, incluido MEGA, podrá participar en las comunicaciones confidenciales ni acceder a los contenidos cifrados. Ello eliminaría la posibilidad de que MEGA pudiese supervisar dichos contenidos o atender requerimientos judiciales para acceder a ellos. Estos requerimientos deberían dirigirse al usuario.

Las dudas que surgen sobre la eficacia de este sistema tienen que ver con las páginas de enlaces que basan sus ingresos en la publicidad y, por lo tanto, en la afluencia masiva de visitantes. Se espera que MEGA aporte la solución definitiva para evitar la trazabilidad de las descargas directas, pero todo parece indicar que el nuevo sistema va dirigido a la creación de redes de confianza y al intercambio de ficheros entre conocidos.

En el momento en que un fichero privado se haga público para permitir la descarga directa de desconocidos, además de dejar de ser privado, se abrirá la posibilidad de conocer el contenido del fichero, el identificador del fichero en el sistema y el identificador del propietario o administrador del mismo. Se entiende que, en su afán de legalidad, y teniendo en cuenta su ubicación en Nueva Zelanda, MEGA deberá disponer de un servicio de atención de reclamaciones y de retirada de contenidos. Será interesante conocer la aplicación práctica del protocolo que MEGA ha diseñado para atender estos requerimientos y desviarlos hacia el usuario, o bien resolver los eventuales conflictos generados entre la entidad que reclame la retirada y el usuario que haya subido el fichero, suponiendo que éste haya permitido, en algún momento, desvelar su existencia y permitir un acceso al mismo.

Respecto a la posible responsabilidad de MEGA sobre los contenidos publicados en la plataforma, hay materia para dedicar un artículo específico. Cabe reflexionar sobre la aplicación de las siguientes figuras:

– El régimen de responsabilidad de los ISP.
– La ceguera intencional utilizada en el blanqueo de capitales.
– La inducción y la cooperación necesaria.

Todo ello sin descartar el triunfo de la ingeniería jurídica diseñada por Kim Dotcom para eludir la ley.

ACTUALIZACIÓN

Protocolo que seguirá MEGA en el caso de que reciba una denuncia de infracción de los derechos de autor

Formulario de denuncia de infracciones de los derechos de autor en MEGA

La calidad de los proveedores como obstáculo para los emprendedores

Posted on por

Habría podido dedicar un blog exclusivo a los obstáculos que he encontrado desde que decidí tener de nuevo mi propio despacho. Los obstáculos burocráticos los conocía y resultaron fáciles de controlar. La selección y contratación de proveedores relacionados directamente con el negocio tampoco entrañó ninguna dificultad. El problema surgió, como siempre, con la ejecución de las obras de reforma de la oficina.

Estar en uno de los edificios más inteligentes de la ciudad, que también estaba siendo reformado, ha exigido una dosis terrible de paciencia, que tendrá que durar hasta marzo, cuando se espera que alcance el nivel de inteligencia y autonomía que se espera de él. Mientras, las obras han sido un magnífico escenario para comprobar los niveles de calidad y servicio de cada proveedor. Y los resultados han permitido confirmar algo que ya sabía, pero que pensaba poder evitar seleccionando a los mejores proveedores: lo mejor para un nuevo negocio es ocupar unas instalaciones que permitan centrarte desde el principio en tus objetivos y planes, sin distracciones inoportunas.

Las obras de reforma se iniciaron el 2 de julio y finalizaron el 15 de septiembre. Pero lo que más tiempo y atención ha exigido ha sido la subsanación posterior de los errores cometidos durante la obra. Defectos de instalación o ejecución que han afectado al aire acondicionado, la instalación eléctrica, la pintura, la telefonía IP, el acceso a Internet…

La gran paradoja es que cuanto más inteligente es una instalación, más errores da o más difícil es configurarla. Un ejemplo ha sido el aire acondicionado, que ha exigido la actualización del firmware de los equipos varias veces, hasta que ha aprendido lo que queríamos decir al ajustar el termostato. Tras cientos de horas dedicadas por el proveedor a enseñarle a combatir el calor, ahora llega el frío. Justo cuando había aprendido a decir pinícula, van y le llaman flin.

Resumen de la nueva ISO 22301 sobre gestión de la continuidad del negocio

Posted on por

La ISO 22301:2012 es el nuevo estándar internacional que especifica los requisitos para configurar y gestionar de forma eficaz un Sistema de Gestión de la Continuidad de Negocio (BCMS por sus siglas en inglés).

Podríamos decir que el BCMS es para la continuidad del negocio lo que el SGSI de la ISO 17799 y la ISO 27001 es la para la seguridad de la información. De hecho, el BCMS y el SGSI comparten el típico proceso continuado de mejora Plan-Do-Check-Act (PDCA) entre otros muchos puntos en común.

Con la implantación de un BCMS una empresa se planteará las siguientes metas:

1. Entender las necesidad de establecer una política y unos objetivos en relación a la gestión de la continuidad del negocio

2. Implantar controles y medidas dirigidas a gestionar la capacidad de la organización para atender incidentes que puedan tener un impacto significativo en la continuidad de su negocio

3. Monitorizar y revisar el rendimiento y la eficacia del BCMS

4. Mejorar continuamente el modelo de acuerdo con una medición objetiva de los resultados

El BCMS, como cualquier otro sistema de gestión, tiene los siguientes componentes:

1. Una política

2. Unas personas con responsabilidades definidas

3. Unos procesos de gestión relacionados con la política, la planificación, la implantación, la operativa, la valoración del rendimiento, la revisión de la gestión y la mejora contínua.

4. Unos documentos que suministren evidencias auditables

5. Cualquier proceso de gestión de la continuidad del negocio que sea relevante para la organización

La ISO 22301:2012 es aplicable a organizaciones de cualquier tipo y tamaño que deseen:

1. Establecer, implantar, mantener y mejorar un BCMS,

2. Asegurar la conformidad con políticas declaradas de continuidad de negocio

3. Demostrar la conformidad a terceros

4. Solicitar la certificación o registro de su BCMS por parte de una entidad de certificación

5. Realizar una autoevaluación o una autodeclaración de conformidad con este estándar internacional.

En mi opinión, la implantación de un BCMS conforme con esta ISO supone una prueba inequívoca de la diligencia debida y del esfuerzo realizado por una empresa para garantizar la continuidad de su negocio, contribuyendo al objetivo de minorar su responsabilidad por los daños causados a terceros a causa de la interrupción de su actividad, prestación de servicios o suministro de productos.

Al mismo tiempo, genera evidencias de la existencia de controles preventivos que pueden permitir enervar la responsabilidad penal en el caso de delitos directamente relacionados con la continuidad del negocio, como los delitos medioambientales, el delito de daños o los delitos los relacionados con la seguridad de la información.

Esta ISO es altamente recomendable para los proveedores de outsourcing, cloud computing y hosting, así como para las empresas que gestionan infraestructuras críticas.

Nuevas obligaciones en relación a las cookies

Posted on por

1. CAMBIO LEGISLATIVO

Tal como avanzamos en el post de 18 de noviembre de 2009, mañana entrará en vigor una modificación del artículo 22.2 de la Ley de servicios de la sociedad de la información y del comercio electrónico (LSSI) con el fin de adecuarlo a la nueva redacción dada por la Directiva 2009/136/CE a la Directiva 2002/58/CE.

La nueva redacción del artículo 22.2 exige el consentimiento del usuario sobre los archivos o programas informáticos que, como en el caso de las cookies, almacenan información en el equipo del usuario y permiten posteriormente acceder a ellas con distintas finalidades.

Como decíamos en el post de 12 de noviembre de 1997, estos dispositivos pueden facilitar la navegación por la red, pero también pueden desvelar aspectos de la esfera privada del usuario. Esta visión de las cookies, que entonces considerábamos exagerada, ha adquirido una nueva dimensión con el llamado behavioral marketing, o marketing del comportamiento y de las cookies flash o LSO.

2. NUEVO RÉGIMEN DE LAS COOKIES

1. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos (entre ellos las cookies) en los equipos de los destinatarios del servicio.

2. Previamente, los prestadores de servicios tendrán que haber facilitado información clara y completa sobre el uso de estos dispositivos.

3. Dicha información deberá incluir las finalidades del tratamiento de los datos obtenidos.

4. Una vez facilitada esta información, el usuario deberá dar su consentimiento.

5. Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

6. Para que este procedimiento sea válido, el usuario deberá proceder a la configuración de estos parámetros, permitiendo la entrada de cookies, en el momento de la instalación o actualización del navegador mediante una acción expresa a tal efecto.

7. Este nuevo régimen no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas.

8. Tampoco impedirá, en la medida que resulte estrictamente necesario, el posible almacenamiento o acceso para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

3. VÍAS PARA INFORMAR Y OBTENER EL CONSENTIMIENTO

1. Aviso legal

En mi opinión, sería desproporcionado exigir a los prestadores de servicios el cumplimiento de la obligación de información y la recogida del consentimiento mediante una ventana emergente o pop-up que con un texto informativo y un botón que el usuario debería aceptar. Ello sería alertar excesivamente al usuario, y podría tener un efecto disuasorio injustificado. Entiendo que resultará suficiente con incluir de forma destacada en el aviso legal del sitio web o en una sección específica para ello, la advertencia del uso de cookies, informando sobre las finalidades del tratamiento de los datos obtenidos.

El uso de un sitio web debe ser interpretado como un consentimiento para el tratamiento de los datos de los visitantes, dada la imposibilidad de obtener de forma individualmente el consentimiento de cada uno de ellos. Hasta ahora se ha considerado suficiente para el tratamiento de direcciones IP la información suministrada en el aviso legal o en la política de privacidad. Lo mismo debería suceder en el caso de las cookies, dado que el legislador habla de «facilitar» la información y no de entregarla con acuse de recibo, y no exige que el consentimiento sea expreso.

2. Configuración del navegador

En este caso el legislador sí exige una acción expresa, permitiendo la entrada de cookies en el equipo en el momento de la instalación o actualización del navegador. Ello significa que la configuración por defecto del navegador a partir de ahora debería impedir la entrada de cookies, y el usuario debería modificar dicha configuración de manera expresa para admitir cookies en el equipo.

3. Aceptación de CGC

El usuario también puede ser informado de las finalidades del uso de las cookies en las Condiciones Generales de Contratación del servicio solicitado, dando su consentimiento para su uso al hacer clic en el botón de aceptación.

En cualquier caso, recomendamos una revisión, caso por caso, del alcance y las finalidades en el uso de cookies y del protocolo de información y aceptación de las mismas, por parte de un experto en la materia.

Resumen de la sentencia L’Oreal vs eBay

Posted on por

1. Sentencia de referencia

Sentencia del Tribunal de Justicia de la Unión Europea de 12 de julio de 2011 en relación a la petición de cuestión prejudicial presentada en el marco de un litigio entre, por un lado, L’Oréal SA y sus filiales Lancôme parfums et beauté & Cie SNC, Laboratoire Garnier & Cie y L’Oréal (UK) Ltd (en lo sucesivo, conjuntamente, «L’Oréal») y, por otro lado, tres filiales de eBay Inc. [eBay International AG, eBay Europe SARL y eBay (UK) Ltd (en lo sucesivo, conjuntamente, «eBay»)], en relación con la comercialización, sin el consentimiento de L’Oréal, de productos de ésta a través del mercado electrónico gestionado por eBay.

2. Conclusiones

2.1 Productos situados en un tercer Estado

En el caso de que productos situados en un tercer Estado, designados con una marca registrada en un Estado miembro de la Unión o con una marca comunitaria y no comercializados anteriormente en el Espacio Económico Europeo o, tratándose de una marca comunitaria, no comercializados anteriormente en la Unión, sean vendidos por un agente económico a través de un mercado electrónico y sin el consentimiento del titular de esta marca a un consumidor que se encuentra en el territorio cubierto por dicha marca o sean objeto de una oferta de venta o de un anuncio en tal mercado destinados a consumidores situados en dicho territorio, el titular de la marca puede oponerse a esa venta, a esa oferta de venta o ese anuncio en virtud de las normas establecidas en el artículo 5 de la Directiva 89/104/CEE del Consejo, de 21 de diciembre de 1988, Primera Directiva relativa a la aproximación de las legislaciones de los Estados miembros en materia de marcas, en su versión modificada por el Acuerdo sobre el Espacio Económico Europeo, de 2 de mayo de 1992, o en el artículo 9 del Reglamento (CE) nº 40/94 del Consejo, de 20 de diciembre de 1993, sobre la marca comunitaria. Corresponde a los órganos jurisdiccionales nacionales apreciar en cada caso si existen indicios relevantes que permitan concluir que una oferta de venta o una publicidad presentada en un mercado electrónico al que se puede acceder desde dicho territorio está destinada a consumidores situados en este territorio.

2.2 Muestras gratuitas

El hecho de que el titular de una marca entregue a sus distribuidores autorizados productos designados por dicha marca, destinados a que los consumidores los prueben en los puntos de venta autorizados así como frascos de muestra, designados igualmente con esa marca, de los que pueden tomarse pequeñas cantidades para distribuir a los consumidores como muestra gratuita no constituye, a falta de elementos de prueba en sentido contrario, una comercialización en el sentido de la Directiva 89/104 o del Reglamento nº 40/94.

2.3 Productos a los que se ha retirado en embalaje

Los artículos 5 de la Directiva 89/104 y 9 del Reglamento nº 40/94 deben interpretarse en el sentido de que el titular de una marca puede, en virtud del derecho exclusivo conferido por ésta, oponerse a la reventa de productos como aquellos sobre los que versa el litigio principal por haber retirado el revendedor el embalaje externo de estos productos cuando esta retirada del embalaje tenga como consecuencia que no figuren informaciones esenciales, como las relativas a la identificación del fabricante o del responsable de la comercialización del producto cosmético. En el supuesto de que la retirada del embalaje externo no implique que se omitan tales menciones, el titular de la marca puede, no obstante, oponerse a que se revenda sin embalaje un perfume o un producto cosmético designado con la marca de la que es titular si demuestra que la retirada del embalaje menoscaba la imagen de dicho producto y, en consecuencia, la reputación de la marca.

2.4 Palabras clave que coinciden con marcas

Los artículos 5, apartado 1, letra a), de la Directiva 89/104 y 9, apartado 1, letra a), del Reglamento nº 40/94 deben interpretarse en el sentido de que el titular de una marca está facultado para prohibir al operador de un mercado electrónico hacer publicidad, a partir de una palabra clave idéntica a esa marca y que ha sido seleccionada por ese operador en el contexto de un servicio de referenciación en Internet, de productos de tal marca que se ponen a la venta en ese mercado electrónico cuando dicha publicidad no permite o apenas permite al internauta normalmente informado y razonablemente atento determinar si tales productos proceden del titular de la marca o de una empresa económicamente vinculada a éste o si, por el contrario, proceden de un tercero.

2.5 Símbolos idénticos o similares a marcas

El operador de un mercado electrónico no hace un «uso», en el sentido de los artículos 5 de la Directiva 89/104 y 9 del Reglamento nº 40/94, de signos idénticos o similares a marcas que aparecen en ofertas de venta presentadas en su sitio web.

2.6 Responsabilidad del operador de un mercado electrónico

El artículo 14, apartado 1, de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico), debe interpretarse en el sentido de que se aplica al operador de un mercado electrónico cuando éste no desempeñe un papel activo que le permita adquirir conocimiento o control de los datos almacenados.

Este operador desempeña tal papel cuando presta una asistencia consistente, en particular, en optimizar la presentación de las ofertas de venta en cuestión o en promover tales ofertas.

En el supuesto de que el operador del mercado electrónico no haya desempeñado un papel activo en el sentido descrito en el anterior párrafo y, en consecuencia, a su prestación del servicio le resulte de aplicación lo dispuesto en el artículo 14, apartado 1, de la Directiva 2000/31, ese operador no podrá, no obstante, en un asunto que puede concluir con una condena al pago de una indemnización por daños y perjuicios, acogerse a la exención de responsabilidad prevista en esa disposición cuando haya tenido conocimiento de hechos o circunstancias a partir de los cuales un operador económico diligente hubiera debido constatar el carácter ilícito de las ofertas de venta en cuestión y, en caso de adquirir tal conocimiento, no haya actuado con prontitud de conformidad con lo establecido en el apartado 1, letra b), de dicho artículo 14.

2.7 Actuación preventiva de los Estados miembros

El artículo 11, tercera frase, de la Directiva 2004/48/CE del Parlamento Europeo y del Consejo, de 29 de abril de 2004, relativa al respeto de los derechos de propiedad intelectual, debe interpretarse en el sentido de que exige a los Estados miembros velar por que los órganos jurisdiccionales nacionales competentes en materia de protección de derechos de propiedad intelectual puedan requerir al operador de un mercado electrónico la adopción de medidas que permitan no sólo poner término a las lesiones causadas a tales derechos por usuarios de dicho mercado electrónico sino también evitar que se produzcan nuevas lesiones de este tipo. Estos requerimientos deben ser efectivos, proporcionados, disuasorios y no deben crear obstáculos al comercio legítimo.