ISO 37001 – 01 Datos estadísticos de la corrupción en España

Primera entrega de la presentación que realicé el 12 de enero de 2017, en el primer acto de celebración de mis 30 años de especialización.

Deseo expresar mi más sincero agradecimiento a las más de cien personas que asistieron a este acto y a todos los que me han apoyado durante estos 30 años.

La presentación versa sobre la ISO 37001 y el sistema de gestión anticorrupción que permite a una empresa integrar medidas de prevención de la corrupción en el marco de un programa de compliance. Se muestran ejemplos de cómo gestionar las medidas anticorrupción mediante el uso de la aplicación Compliance 3.0 desarrollada por Ribas y Asociados.

ACTUALIZACIÓN – Nuevos datos de Transparencia Internacional sobre la percepción de la corrupción en 2016: https://xribas.com/2017/01/25/publicado-el-indice-de-percepcion-de-la-corrupcion-de-2016/

30 años de especialización

En abril de 2017 se cumplirán 30 años desde que decidí especializarme en Derecho Informático.

En este vídeo explico lo que pasó en 1987 y lo que va a pasar en 2017.

El primer acto de celebración de este 30 aniversario será el desayuno de trabajo que tendrá lugar el 12 de enero sobre la nueva ISO 37001 y los controles destinados a prevenir la corrupción en el seno de una empresa mediante el uso de una aplicación informática que ayude a gestionarlos dentro de un sistema anticorrupción..

Desde este blog seguiremos informando de las iniciativas y los actos previstos para 2017, entre los que destaca el lanzamiento de la nueva versión de nuestra aplicación Compliance 3.0.

 

 

Un nuevo paso para la aprobación del Reglamento UE de Protección de Datos a final de año

El Consejo de Justicia de la UE, formado por los ministros de Justicia e Interior de la Unión Europea, llegó ayer en Luxemburgo a un acuerdo en ciertas materias que acercan las posiciones y permiten mantener la planificación inicial de aprobar el Reglamento a finales de año.

Las materias en las que hubo acuerdo son las siguientes:

1. Régimen de la transferencia de datos a terceros países o en el seno de organizaciones internacionales.

2. Aspectos relativos al ámbito territorial, que incluyen la aplicación de las obligaciones del Reglamento a todas las empresas que operen en el Mercado Único Europeo, aunque no sean europeas.

3. Definición del concepto Binding Corporate Rules.

4. Definición del concepto organizaciones internacionales.

Se debatieron también aspectos relativos al principio one-stop-shop, que incluye la posibilidad de que una empresa se dirija a una única autoridad nacional de protección de datos para negociar cuestiones relativas a su actuación en todo el Mercado Único Europeo. Este punto no está exento de polémica, ya que las empresas podrían dirigirse sistemáticamente a las autoridades nacionales menos exigentes en detrimento de las “Rottweiler authorities”. Este debate ha quedado aplazado para próximas reuniones.

En la actualidad hay tres puntos que actúan como aceleradores del proceso y que permiten pronosticar nuevos avances en la reunión del Consejo de la UE prevista para los días 26 y 27 de este mes.

Estos tres puntos son:

1. El caso Snowden y los escándalos de espionaje de EEUU
2. La sentencia del TJUE relativa al derecho al olvido
3. El mercado único digital

La comisaria europea de Justicia, Viviane Reding, principal impulsora de esta iniciativa legislativa, hizo ayer especial énfasis en la necesidad de que la UE apruebe el Reglamento lo antes posible y afirmó que, con los acuerdos alcanzados, esta aprobación estaba más próxima.

La reunión del Consejo de la UE de finales de este mes también permitirá ver la posición de Inglaterra y la influencia en ella de EEUU. Está previsto que la normativa norteamericana vaya alineándose progresivamente a la europea en materia de protección de datos y alejándose de la amenaza de suspensión de los acuerdos Safe Harbor originada tras los escándalos de espionaje.

Nuevo Máster IT+IP de ESADE

El próximo mes de octubre se iniciará el nuevo Máster en Derecho de las TIC, Redes Sociales y Propiedad Intelectual de ESADE (IT+IP) en cuya dirección tengo el honor de participar.

Esta nueva responsabilidad es doblemente satisfactoria. En primer lugar porque supone una gran oportunidad para transmitir el conocimiento adquirido en los 27 años de especialización en esta materia, actualizado con el apasionante estudio de las redes sociales.

En segundo lugar porque dirigí la primera edición de este máster en 1998 y poder impartirlo de nuevo con el nivel actual de interés, experiencia, herramientas tecnológicas y salidas profesionales supone un gran reto.

Mi principal compromiso va a ser transmitir la experiencia práctica adquirida por dos despachos como el de Mario Sol Muntañola y el mío al plan de estudios, con una metodología basada en el estudio del caso, sin olvidar el rigor académico que sirva de fundamento teórico a los escenarios reales que los alumnos del máster van a estudiar.

Invito a conocer el contenido del máster en la página web de ESADE.

Muchas gracias

Muchas gracias de nuevo a todos los que, con vuestro apoyo y confianza, habéis conseguido que Expansión me haya seleccionado como uno de los 25 abogados que han sido referentes en sus respectivas áreas.

abogados2013

La selección se ha realizado sobre los 82 abogados que el directorio Best Lawyers ha nombrado como abogados del año en su especialidad. En mi caso, protección de datos en Barcelona.

bestlawyers2014

Best Lawyers

.

Un año más: muchas gracias

——————————————————————————————————————

Dear Xavier Ribas,

I would like to congratulate you on having been selected by your peers for inclusion in the fifth edition of the Best Lawyers in Spain in the practice areas of:

– Communications
– Information Technology
– Intellectual Property
– Media and
– Privacy & Data Protection.

The fifth edition is currently available on BestLawyers.com.

Selection to Best Lawyers is based on an exhaustive and rigorous peer-review survey comprising more than three million confidential evaluations by top attorneys. Because no fee or purchase is required, being listed in Best Lawyers is considered a singular honor.

Online, your legal practice area and contact information will be visible to all subscribers of BestLawyers.com. In addition, the 22,000 attorneys and 2,900 law firms that have linked their web pages to our website will be visible to all visitors to BestLawyers.com and dozens of other websites around the world.

Again, congratulations on being selected by your peers for inclusion in Best Lawyers.

Sincerely,

Steve Naifeh
President

Best Lawyers

http://www.bestlawyers.com

De la segmentación clandestina a la autosegmentación

1960

Javier acaba de llegar a casa tras un parto complicado y cuatro días de hospital junto a su madre, que ahora está cambiándole las gasas de algodón por primera vez. Los pañales todavía no se comercializan en España. Al menos en su barrio. Los pocos distribuidores que existen de este nuevo producto no saben que ha nacido, ni que es un niño, ni que pertenece a una familia de clase media baja, ni que vive en un barrio de clase media baja de una gran ciudad. No conocen la profesión de sus padres ni su poder adquisitivo. Javier no será objeto de segmentación por parte de un anunciante hasta dentro de unos años y gracias a Pepe, un funcionario del Instituto Nacional de Estadística que se saca un sobresueldo vendiendo listas. Las teclea con su Olivetti y sus dedos fuertes, que consiguen marcar hasta cuatro hojas de papel carbón.

1992

Paula llega a casa tras un parto sin complicaciones y tres días de hospital. Su madre está cambiándole los pañales por primera vez. Su padre (el mismo Javier de 1960 que ahora ya es un profesional liberal segmentado por los cuatro costados) acaba de abrir el buzón y ha encontrado una carta dirigida a Paula. Javier sonríe y le comenta a su mujer: “Mira, Paula acaba de nacer y ya recibe publicidad de pañales. Bueno, en realidad a Paula le dan la bienvenida, los destinatarios de la publicidad somos nosotros. Qué simpáticos. Por cierto, ¿estás contenta con estos pañales? Los de la foto parecen más cómodos”. Paula había recibido la carta gracias a Lola, una empleada del hospital que se sacaba un sobresueldo vendiendo los datos de los recién nacidos en papel pijama. Gracias a estos datos, el remitente de la carta tenía información suficiente del perfil de los padres de Paula para saber que valía la pena asumir los costes del envío.

2012

Ignacio llega a casa tras un parto con cesárea y cinco días de hospital. Su madre está cambiándole los pañales superabsorbentes, autoadaptables e hipersuaves por primera vez. Su padre ha publicado 32 fotos y cuatro vídeos de Ignacio a través de Facebook, Tuenti, Twitter, y Whatsapp con un total de 1.526 destinatarios. Además, los padres son seguidores de su fabricante de pañales favorito en Facebook y en Twitter, gracias a lo cual tienen acceso a información muy útil para el cuidado de su hijo y comparten experiencias con otros padres de perfil muy parecido. Gracias a sus preguntas y comentarios y a los datos facilitados al autorizar el acceso a su perfil de Facebook, a su muro, a sus fotos y a sus amigos, el fabricante de pañales puede efectuar una segmentación muy ajustada de los padres de Ignacio e indirectamente, del propio Ignacio. Mientras, a dos manzanas de la casa de Ignacio, Paula, que ya tiene 20 años, está comentando las vacaciones y el inicio del nuevo curso con sus amigas. Paula ha llegado a mencionar más de 14 productos diferentes en sus conversaciones online y ha visitado más de 30 páginas web relacionadas con sus aficiones. Todo ello bajo la atenta mirada de los sistemas de publicidad basada en el comportamiento.

Ni los anunciantes de 1960 ni los de 1992, en sus mejores sueños, habrían podido imaginar este paraíso.

Muchas gracias

En los últimos días he intentado responder todos los mensajes de felicitación que he recibido por la concurrencia de varias circunstancias: el premio al mejor abogado en Derecho Digital, otorgado por el Colegio de Abogados de Barcelona en el seno del Digital Law World Congress, los 25 años de dedicación a esta especialidad y la apertura de mi nuevo despacho.

Hace 25 años estas felicitaciones habrían llegado por carta, teléfono, télex, fax o telegrama. Hoy es una locura, ya que pueden llegar, además, por llamada al móvil, SMS, correo electrónico, Whatsapp, Twitter, Facebook, Linkedin, blog y otros medios, lo cual dificulta dar respuesta a todos los mensajes.

Quiero reiterar ahora mi agradecimiento a todas las personas que me han ayudado durante estos años, empezando por mi padre, que me regaló el ZX81 con el que aprendí Basic y que ahora me regala cada día su compañía, aunque ya no esté.

A todos los que son, o alguna vez han sido, clientes de mi despacho.

Hace 25 años muchos de ellos iban con bata blanca y hablaban un lenguaje que sólo comprendía un 1% de la población. Durante la burbuja tecnológica llevaban tejanos y hablaban de capital semilla y rondas de financiación. Ahora no paramos de hablar de redes sociales y de la oportunidad que nos han dado para aprender de nuestros hijos.

A todos los que son, o alguna vez han sido, miembros de mi equipo.

Con una mención especial a Assumpta Zorraquino, que se integró en el despacho en 1990 y Carlos Pérez Sanz, que se integró en 1991.

Gracias a todos ellos por aguantar mi presencia y a mi familia por aguantar mis ausencias.

A modo de tributo a Blade Runner podría decir que en estos 25 años he visto cosas que no creeríais: ataques de ciberpunks a servidores BBS más allá de los 1200 baudios, correo sin spam, cerca del puerto 25, secuencias de varias teclas para crear un acento, discos floppy de 5 pulgadas y cuarto grapados a los autos, jueces que pensaban que el plagio se comprobaba comparando los discos y no su contenido, alarmas de fin del mundo por el efecto 2000, mientras veíamos a los programadores de Cobol renacer tras su jubilación, accesos al BOE con un Minitel, negociar un contrato frente a una pantalla de fósforo verde, billetes de avión  para asistir a un congreso virtual…

Todos esos momentos se perderán, como lágrimas en la lluvia. Es hora de bajar de las nubes. O de guardar mis recuerdos en ellas.

Gracias a todos.

Prevención de riesgos jurídicos en el uso corporativo de dispositivos personales

1. La privatización de los dispositivos móviles

Si hasta ahora los CIOs y los CISOs tenían que lidiar con el uso privado de los dispositivos corporativos por parte de los usuarios, ahora tienen que hacer frente al uso corporativo de los dispositivos privados, mucho más potentes y versátiles que los que la empresa pone a su disposición.

¿Qué genera más riesgo para una empresa? ¿Que el usuario instale la aplicación de Facebook en la BlackBerry corporativa o que sus hijos jueguen con el iPhone o el iPad privado con aplicaciones y datos corporativos?

La conclusión a la que han llegado muchas empresas es que el mayor riesgo radica en que el usuario corporativo no haga ni una cosa ni otra, es decir, que esté desconectado de la empresa y desaproveche el potencial de sus aplicaciones y comunicaciones para su trabajo. Por ello un buen número de empresas han decidido aceptar que el usuario utilice su propio dispositivo móvil para fines corporativos.

Esta es la tendencia que se esconde tras las siglas BYOD (Bring Your Own Device), que invitan al usuario a llevar su propio dispositivo móvil a la empresa. Esta estrategia se suma a otra que recibe el nombre de “consumerización” y que consiste en que la empresa integra como propios dispositivos diseñados para el consumidor final.

2. La entrada de los nativos digitales en las empresas

Las empresas son conscientes de que será muy difícil eliminar los hábitos de comunicación, multitarea, mensajería instantánea, trabajo en grupo y networking adquiridos por los nativos digitales, intentando que se adapten a aplicaciones que consideran obsoletas y aburridas.

Pero lo más difícil será pedirles que se olviden de sus preciados smartphones. La primera pregunta que harán cuando reciban su dispositivo móvil corporativo será: ¿Dónde están mi Facebook y mis amigos?

Las empresas tendrán que aceptar que sus usuarios tengan dos dispositivos móviles o apostar por la alternativa de integrar las aplicaciones corporativas en los smartphones privados de los usuarios. Y si la empresa no los seduce con sus aplicaciones, los usuarios pueden llegar a comunicarse más entre ellos con redes y entornos externos que con el correo corporativo.

Cisco ha reconocido recientemente que el secreto está en los contenidos y en la aplicaciones que entusiasman a los usuarios de las redes digitales. En julio de 2010 lanzó Cius, un tablet destinado a usos corporativos que cumplía los estándares de seguridad más habituales en las empresas y ofrecía compatibilidad con los protocolos de videoconferencia y los entornos de colaboración corporativos. Antes de cumplir los dos años de vida, Cisco anunció la retirada de este tablet del mercado, siguiendo el mismo camino que han seguido o seguirán otros fabricantes de dispositivos móviles que no responden al criterio dominante de consumo de contenidos, uso aplicaciones y acceso a redes sociales.

Ante la irrupción de los Android, los iPhone y los iPad en los entornos corporativos, la conclusión parece ser que, si la empresa no ayuda a sus usuarios a tratar datos corporativos en estos dispositivos con la debida seguridad, acabarán tratándolos igualmente de forma no segura creando situaciones de riesgo.

3. Normas técnicas y de seguridad

Una de las primeras medidas que deberán adoptar las empresas será incluir en sus políticas, los requisitos técnicos y de seguridad que deberán cumplir los dispositivos privados que alojen aplicaciones y datos corporativos. Estos cambios tendrán que reproducirse en las normas y procedimientos y en el documento de seguridad, dado que estamos hablando de terminales que tendrán acceso a ficheros con datos personales. La empresa deberá destinar un capítulo específico en estos documentos para los dispositivos privados.

También tendrá que regular el procedimiento de homologación de los distintos modelos de tablets y smartphones que existen en el mercado, la actualización periódica de la lista de dispositivos homologados por la empresa y las personas autorizadas para realizar esta función.

Deberán instalarse en los dispositivos certificados electrónicos que los identifiquen y autentifiquen dentro de la red corporativa, ayudando a gestionar la identidad y los privilegios de cada usuario y aplicación móvil. Ello permitirá, y de hecho ya permite, el uso de firma electrónica en el caso de directivos que deben autorizar constantemente operaciones y transacciones que antes les exigían una firma manuscrita.

La configuración remota deberá permitir alterar parámetros básicos como la longitud de las contraseñas, su nivel de complejidad o robustez y la exigencia de un salvapantallas con contraseña, entre otras.

Los terminales deben disponer de acceso mediante a VPN a los servidores de la empresa, con un nivel de cifrado que garantice el flujo información confidencial e incluso de datos personales de nivel alto. En el caso de cloud computing, deberá analizarse la conveniencia del uso de VPN o protocolos SSL.

También habrá que crear en los terminales áreas seguras o contenedores cifrados en los que se alojen los datos corporativos, añadiendo la posibilidad de borrarlos remotamente en el caso de que el dispositivo se pierda o el usuario cause baja en la empresa. Ello obligará a las empresas al uso de aplicaciones multiplataforma o de soluciones cloud, para evitar el mantenimiento remoto y el esfuerzo de integración de los distintos sistemas operativos, modelos y marcas de dispositivo.

4. Normas de uso

Especial atención merece la redacción de las normas que los usuarios deberán cumplir, ya que hasta ahora todas las normas aceptadas se referían a dispositivos que eran propiedad de la empresa y puede causar extrañeza al usuario tener que aceptar normas para el uso de dispositivos que son suyos. En cualquier caso, esta obligación puede verse como la contrapartida a la enorme ventaja de no tener que llevar dos dispositivos móviles encima y es coherente con el hecho de que, a pesar de tratarse de un equipo propio, puede alojar datos personales de clientes e información crítica de la empresa.

Estas normas deberán ser aceptadas antes de la instalación de las aplicaciones corporativas en el dispositivo privado, sin perjuicio de la eventual aceptación a través de correo electrónico, en el momento de la instalación o a través del tradicional popup que ya incorporan algunas empresas en los ordenadores portátiles y de sobremesa para aceptar las normas en el momento del login.

Entre las obligaciones del usuario figurará la no modificación de los parámetros de seguridad, el mantenimiento y actualización del sistema operativo y de las aplicaciones, las limitaciones de uso, la realización de copias de seguridad y el cumplimiento de la normativa de protección de datos, entre otras. Si la empresa ha apostado fuertemente por el cloud computing será posible simplificar algunas obligaciones ya que, salvo en el caso de aplicaciones con sincronización en local, como el correo electrónico, la agenda y los contactos, el dispositivo carecerá de datos corporativos críticos, como los alojados en el ERP de la empresa. Pero ello obligará a seguir dando importancia a la prevención de la ingeniería social, mediante recomendaciones y formación que reduzcan los riesgos de phishing, pharming y cualquier otro engaño orientado a la obtención de contraseñas.

Las normas de uso deberán alertar al usuario sobre los posibles ataques a su privacidad que puedan afectar también a datos corporativos. El usuario tendrá la obligación de extremar la precaución en la descarga de aplicaciones para impedir la entrada de malware que pueda vulnerar la seguridad del dispositivo en sus cuatro capas: la propia aplicación, el hardware, la red y el sistema operativo. Las normas deben prohibir por lo tanto el jailbreak del dispositivo, es decir, la retirada de las limitaciones del sistema operativo para utilizar kernels modificados que posibiliten descargar aplicaciones no homologadas y alterar las medidas de seguridad establecidas por la empresa.

También deberá tenerse en cuenta que si el usuario le deja el iPad a sus hijos para que jueguen es muy probable que naveguen por Internet con criterios de prudencia muy distintos a los del usuario principal, lo cual tendrá sus consecuencias en materia de cookies y publicidad basada en el comportamiento (por ejemplo, el usuario empezará a recibir publicidad de videojuegos), pero también en materia de aceptación de condiciones generales de contratación, spam, malware y otras imprudencias propias de la cibercandidez.

5. Inspección de dispositivos móviles y obtención de pruebas

Otra cuestión a tener en cuenta es el progresivo traslado de los actos desleales, las infracciones y los delitos a los dispositivos móviles. Si un usuario ha decidido suministrar información confidencial a un competidor ya no tiene que extraerla de la empresa mediante acciones que pueden ser rastreadas. Sólo tiene que mostrar los datos en la pantalla de su tablet al comprador de la información.

La movilidad de los usuarios y de la información puede comportar nuevas amenazas y oportunidades. Actualmente, la localización de la información ha pasado a ser irrelevante. Como decía Manuel Castells en 2001, la información ya no es un activo a almacenar sino un flujo a optimizar.

Las características actuales de la información son, a los efectos de este apartado, las siguientes:

1. Puede ser generada en cualquier lugar y momento
2. Puede encontrarse en cualquier lugar: en la nube, en la empresa o en los dispositivos móviles
3. Puede ser compartida y reutilizada con mayor facilidad

Debido a estas características, el control y los esfuerzos destinados a la prevención e investigación de delitos e infracciones ya no recaerá tanto en los dispositivos como en la propia información, esté donde esté.

Un ejemplo claro de ello es la información que está en la nube. El cloud computing puede definir el escenario ideal de control e intervención, con un protocolo sencillo y unas medidas compatibles con el juicio de proporcionalidad. Sin embargo, la característica esencial de la dispersión hace difícil planificar que las pruebas de un delito estén en un entorno único y ordenado. Las pruebas pueden encontrarse en los servidores del proveedor, en los servidores del cliente, en los servidores del proveedor del cliente, en los servidores de la empresa y en los dispositivos de los usuarios. Por ello, habrá de actualizar los protocolos de investigación y obtención de pruebas para adaptarlos a este nuevo escenario, móvil, distribuido y cambiante.

El artículo 20 del Estatuto de los Trabajadores y la doctrina unificada del Tribunal Supremo permiten a la empresa aplicar su actividad de control a los recursos TIC corporativos utilizados por sus usuarios, pero habrá que ser muy prudentes en la extensión de este control a los dispositivos que son propiedad de los usuarios. La capacidad de control de la empresa deberá quedar limitada exclusivamente a las áreas, aplicaciones y contenedores de información corporativa, sin perjuicio del posible análisis forense de todo el contenido del terminal en el seno de una investigación judicial, o con el consentimiento del usuario.

La actividad de prevención y control de la empresa puede tener distintos niveles de proactividad, que van desde la simple conservación de logs hasta la captura secuencial de pantallas sin intervención humana. Esta actividad deberá ser informada a los usuarios y deberá ser proporcional, idónea y necesaria para las finalidades de control previstas en las normas internas y en el ordenamiento jurídico. Los últimos cambios legislativos, entre los que destaca la reforma del Código Penal para dar cabida a la responsabilidad penal de las personas jurídicas, así como las tendencias modernas en materia de seguridad, inspiradas por un criterio de “confianza cero” hacen prever un incremento del control de las empresas sobre sus usuarios y una mayor exigencia de información sobre dicho control.

6. Otras implicaciones jurídicas

Como epílogo a estas reflexiones sobre el uso de dispositivos privados en entornos corporativos cabe enumerar otras consecuencias de la consumerización y del BYOD.

– El cloud computing ofrece mayores garantías para la continuidad del trabajo del usuario, a pesar de que el terminal utilizado no sea de la empresa. Si el usuario ha hecho sus deberes, toda la información estará en el servidor y la baja del trabajador o la pérdida del terminal no impedirán que el trabajo pueda ser continuado por otro usuario. Ello obliga a informar previamente a los usuarios sobre esta posibilidad y a actualizar los protocolos orientados a garantizar la continuidad del trabajo.

– En algunas funciones basadas en la movilidad, las empresas han explotado la capacidad de saber la localización exacta del usuario en cada momento, e incluso de conocer en tiempo real lo que está haciendo. En el caso de dispositivos propios, los usuarios mantienen el control sobre el GPS y pueden gestionar los privilegios de acceso de cada aplicación a los datos de localización. Ello puede exigir la inclusión en las normas de uso de una obligación de permanecer localizables dentro del horario laboral. Esta obligación debe ir acompañada de la necesaria información sobre las posibles finalidades de la geolocalización: optimización de rutas, control de flotas, tracking del transporte de productos y pasajeros, control del absentismo laboral, detección de incumplimientos contractuales, etc.

– Las empresas van creando progresivamente manuales o guías donde recogen buenas prácticas en el uso de las redes sociales. El comportamiento de un usuario en las redes sociales puede cambiar en función de si el dispositivo utilizado es propio o de la empresa. Estos manuales deberán recordar que las obligaciones de confidencialidad respecto a información de la empresa y de sus clientes, no denigración de competidores, etc. no deben relajarse en ningún entorno.

– También hay que limitar la responsabilidad de la empresa respecto a los contenidos y aplicaciones que el usuario pueda alojar en la zona privada de su dispositivo personal. La empresa no tiene control sobre dicha área, pero el usuario debe ser consciente de que sus contenidos pueden llegar a ser asociados a la empresa, al coexistir con aplicaciones corporativas y al compartir una misma dirección IP. Puede ser recomendable pedir al usuario que respete en todo el dispositivo la normativa de propiedad intelectual e industrial y cualquier otra norma cuyo incumplimiento pueda generar responsabilidad para la empresa.

– En empresas multinacionales o en el caso de usuarios que viajen al extranjero, habrá que delimitar claramente las responsabilidades del usuario en relación al contrato que les une al operador, con el fin de evitar sorpresas por facturación adicional derivada de la itinerancia de datos.

Finalmente, y a pesar se ser algo ya mencionado en este artículo y presente en las medidas de los responsables de seguridad, es importante tener siempre a mano el “botón rojo”, es decir, la opción que va a permitir a la empresa desvincularse del dispositivo privado del usuario, borrando toda la información corporativa en el caso de pérdida, sustracción, baja del usuario en la empresa o mal uso del terminal.

Artículo publicado en e-Penteo

 


Enviar a un amigo

Aunque la sanción impuesta por el uso de la fórmula “enviar a un amigo” ha disuadido a algunas empresas, lo cierto es que una gran mayoría sigue optando por esta forma de marketing viral.

La recomendación de una persona de confianza consigue capturar nuestra atención y nos ayuda a descubrir nuevos contenidos, escapando de la saturación de información en la que vivimos. Actualmente la recomendación es una de las bases de Internet y de las redes sociales, por lo que nuestros esfuerzos deberían ir dirigidos a dar cabida en nuestro derecho a este tipo de fórmulas.

Un sistema que cumple los requisitos establecidos en la LSSI para las comunicaciones comerciales consiste en hacer que sea el usuario que recomienda el contenido el que envíe el mensaje al amigo desde su propia cuenta de correo electrónico. Pero esta fórmula encuentra oposición en los departamentos de marketing de las empresas, dado que exige al usuario esfuerzos adicionales, como tener configurado el correo electrónico en el ordenador utilizado.

La AEPD ha considerado que no existe comunicación comercial cuando el mensaje que surge de la plataforma de recomendación invita al amigo a hacer clic voluntariamente en un enlace que permita acceder a la recomendación del remitente. Este criterio, manifestado por la AEPD en la Resolución de archivo de actuaciones E/00269/2009, se basa en la exclusión contenida en la definición de comunicación comercial de la LSSI:

“No tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica“.

Además, en la citada resolución se declara que el contenido de los mensajes generados por la empresa denunciada contiene un link que apunta a un contenido concreto junto con un segundo link que apunta a la página inicial de la empresa, siendo el receptor del correo el que voluntariamente debe activar el link para acceder al contenido concreto.

La AEPD considera que dicha comunicación no puede ser calificada como “comunicación comercial”, a tenor de la definición contenida en el citado apartado f) del Anexo de la LSSI, pues no tiene por objeto “la promoción, directa indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona realice una actividad comercial, industrial, artesanal o profesional”, por lo que el envío de dicha comunicación queda excluido de la prohibición contenida en el artículo 21 de la LSSI.

La cuestión a resolver ahora es si este criterio ha quedado superado por la reciente modificación de la LSSI, y concretamente por la prohibición de enviar comunicaciones comerciales en las que se incite a los destinatarios a visitar páginas web que contravengan el régimen establecido para el envío de comunicaciones comerciales.

En mi opinión, el criterio de la AEPD es perfectamente válido, ya que:

1. La exclusión contenida en la definición de comunicación comercial (apartado f) del Anexo de la LSSI) no ha sido derogada.

2. La nueva prohibición se refiere a páginas web que contravengan el régimen establecido para las comunicaciones comerciales, pero no a los mensajes que voluntariamente envíen unos usuarios a otros, ni a los contenidos recomendados, siempre que éstos cumplan los requisitos establecidos en la LSSI para las comunicaciones comerciales.

En conclusión, y sin perjuicio de futuros cambios de criterio de la Agencia, la fórmula “enviar a un amigo” podría ser utilizada si se cumplen los siguientes requisitos:

1. Texto informativo clásico en el formulario de envío del mensaje de recomendación.

2. Envío al amigo de un mensaje que no contenga contenido publicitario.

3. Información al destinatario de los datos de identificación suministrados por el remitente, aunque utilice un alias si desea permanecer en el anonimato.

4. Información al destinatario de que el mensaje o el contenido recomendado por el remitente está accesible a través del enlace incluido en el mensaje, y que puede acceder a él haciendo clic en el enlace, si así lo desea.

5. Cumplimiento del régimen establecido para las comunicaciones comerciales en la página web a la que apunta el enlace, es decir, asegurando la identificación de los contenidos publicitarios, del anunciante, de las promociones y de las condiciones de acceso a las mismas.