jueves, 21 de julio de 2011

Sobre el control de las redes sociales por el Gobierno chileno

Por fin, mi salud me permite dedicarles la atención que se merencen como Lectores Premium de Ad Edictum. No obstante, como tampoco estoy para tirar cohetes, el post de hoy será breve.

No sé si han leído Ustedes las noticias publicadas sobre la vigilancia que lleva a cabo el Gobierno de Chile en redes sociales. Al parecer, la Secretaría de Comunicaciones ha puesto en marcha un plan para identificar los comentarios que se hagan en Internet sobre la administración de Sebastián Piñera. Lo justifican diciendo que quieren estar en sintonía con el ciudadano y saber sus preocupaciones.

No piensen que el escándalo ha saltado por una filtración. No hay nada de secreto en este proyecto. Han sacado un concurso público, adjudicado a la empresa Brandmetricel pasado 25 de abril,  por un costo anual de 14.388.000 pesos + IVA. Si quieren saber más sobre esta empresa y sobre el tipo de mediciones que realiza, les recomiendo este artículo.

Vivimos tiempos en los que cualquiera con cuenta en twitter es un Gandhi potencial. Parece lógido que el Gobierno se preocupe por conocer la opinión pública que se está formando en la red para así poder actuar en consecuencia. El de Chile ha hecho lo mismo que haría una empresa privada preocupada por su reputación on-line. Y lo ha presentado a los ciudadanos como algo natural. Sin embargo, como cabía esperar, la medida no ha gustado.

Les destaco algunas críticas que ha hecho la Presidenta del partido de la oposición, Carolina Tohá. Aunque cargadas de demagogia, estas palabras sirven para reflexionar sobre el futuro le espera a las redes sociales, cuando se prioriza sin límite la libertad de expresión, y se fomenta una falsa sensación de anonimato y "aquí todo vale":

Monitorear los contenidos en las redes sociales le da al gobierno una posibilidad de control sobre los movimientos ciudadanos equivalente a lo que hubiera sido años atrás monitorear todo lo que se imprimía en las imprentas y la distribución que se daba a los folletos, panfletos e informativos de las organizaciones sociales. Incluso en el caso que el gobierno no pretenda dar un uso abusivo a esta información, el sólo hecho que realice y anuncie este monitoreo tiene un efecto inhibitorio en las forma en que las personas se expresan en la web”.

No estaría de más que empezásemos a darnos cuenta de que lo que se escribe en Facebook o Twitter queda ahí: Puede ser consultado por terceros.

¡Bendita inhibición! ¿Es necesario que un Gobierno monitorice lo que se dice en estas plataformas para que pensemos antes de dar a "enter"? No les digo que esté de acuerdo con lo que va a hacer Piñera, pero si los contenidos se encuentan a la vista de todos, tampoco esperarán que el Gobierno cierre los ojos.

Este tema merece que lo analicemos con mayor detalle. Por hoy, tendremos que dejarlo aquí.

Buenas noches.

miércoles, 13 de julio de 2011

LOPD for Dummies: Derecho de acceso a datos que han sido bloqueados

Me permito abandonar el análisis del concepto de comunicaciones comerciales por hoy. La razón es que quiero comentarles una resolución de la AEPD que responde a una consulta que me han planteado ya en un par de ocasiones: ¿Qué hago si he cancelado los datos de una persona en cumplimiento del art. 4 de la LOPD y el interesado ejerce el derecho de acceso?

Como sabrán, la cancelación no da lugar a la supresión inmediata de los registros, sino a su bloqueo. El bloqueo implica que los datos se apartarán del tratamiento normal, y no podrán ser accedidos por los usuarios del fichero, quedando almacenados de esta forma por si fuera necesario ponerlos a disposición de Jueces, Tribunales o de la Administración. La AEPD ha emitido diversos informes jurídicos en este sentido. Disculpenme que no ponga la cita exacta, pero no me voy a levantar ahora a buscarlos.

Pues bien, como les decía, imagínense que, estando bloqueados los datos, el titular de los mismos ejerce el derecho de acceso. ¿Se puede levantar el bloqueo sobre los mismos para entregarle la copia que solicita? Yo veo claramente que no es posible atender tal petición, pero bueno, supongo que es necesario que Monsieur le Directeur ponga negro sobre blanco la solución a este problema para disolver las dudas del "enterao lopedé" que casi todos los españoles llevan dentro.

En esta resolución, podrán ver cómo se desestima la tutela que solicita una persona en relación a pólizas antiguas que su compañía de seguros, MAPFRE, había bloqueado en cumplimiento del art. 4.5 de la LOPD. 

Buenas noches.

martes, 12 de julio de 2011

Comunicaciones Comerciales (II)

Ayer veíamos que el concepto de comunicación comercial presenta muchas dificultades en su aplicación práctica, que no han sido aclaradas por la AEPD.

La referencia a mensajes que realizan una “promoción indirecta de imagen” da pie a que, potencialmente, cualquier envío realizado por una empresa quede sometido a las normas impuestas por la LSSICE. Resulta difícil encontrar ejemplos en el entorno empresarial en los que una organización privada actúe sin intentar promocionar indirectamente su imagen.

El simple hecho utilizar un logo en las comunicaciones, o de mencionar otros servicios que se pueden prestar a un cliente en una comunicación operativa, puede considerarse promoción indirecta de la imagen. Afortunadamente, el párrafo 2º de la definición de comunicación comercial establece algunas excepciones, como los envíos que únicamente contengan datos que permitan acceder directamente a su actividad, como el nombre de dominio o la dirección de correo electrónico. Sin embargo, vean cuán estricta es la interpretación de la Agencia del concepto que nos ocupa. En el Informe 0307/2009, señala:

"El logo de la empresa tiene así la finalidad de identificar a la empresa titular de dicha marca, distinguiéndola de otras, de manera que su presencia supone, obviamente, una promoción de la imagen de aquélla, por lo que las comunicaciones a que se refiere la consulta resultarán incluidas en el concepto de comunicación comercial contenido en el Anexo de la LSSI, salvo que pierda dicha consideración por encontrase en alguno de los supuestos del párrafo segundo de la letra f) antes transcrito.

A este respecto, debe señalarse que una marca comercial, por su propia naturaleza, no puede considerarse como un dato que permita acceder directamente a la actividad de la empresa, la propia Ley cita, a título de ejemplo, el nombre de dominio o la dirección de correo electrónico, datos dirigidos, no a la publicidad o promoción, sino a facilitar a la persona interesada la puesta en contacto con la empresa."

Además, la Agencia, siguiendo la interpretación del Grupo de Trabajo del art. 29, determina que, incluso organizaciones sin ánimo de lucro realizarán comunicaciones comerciales, cuando tengan la finalidad de promoción de su imagen o de la imagen, productos o servicios de terceros (por ejemplo, de los miembros del patronato de una fundación).

Si hacen Ustedes un repaso a la bandeja de entrada de su correo electrónico, verán que muchos de los correos que ha recibido hoy deberían cumplir las reglas de la LSSICE para el envío de comunicaciones comerciales, y no lo hacen.

Casi con toda seguridad, el emisor considera que no está realizando un envío publicitario. Sin embargo, les repito que la simple inclusión de logos de entidades colaboradoras puede convertir en comercial hasta el boletín electrónico de una ONG. Yo recibo muchísimos boletines informativos de temas muy diversos. Todos realizan una promoción más o menos directa de una organización (jornadas abiertas, cursos, noticias del sector, artículos publicados por abogados de la firma, etc…). Sólo uno de ellos aparece marcado como publicidad. El 60% no informan ni facilitan un medio sencillo para oponerse a seguir recibiendo estas comunicaciones. ¿Deben, realmente, considerarse estos mensajes comunicaciones comerciales en todo caso? Probablemente no, pero es díficil determinar lo contrario cuando la Agencia se ha pronunciado en los términos que les exponía más arriba.

Por si fuera poco, la situación se complica cuando uno tiene clientes (como es mi caso) que insisten en incluir publicidad en las comunicaciones operativas que dirigen a sus compradores o usuarios. Es muy posible que Ustedes hayan recibido también correos de este tipo. Son cada vez más frecuentes. Por ejemplo: Se confirma la contratación de un servicio (pongamos la compra de un libro), la fecha y el precio, y además, se añaden recomendaciones de otras obras que puedan ser de su interés ¿Son lícitos este tipo de envíos? ¿Se puede remitir un correo de este tipo automáticamente a cualquiera que compre un libro, aunque haya marcado la casilla rechazando la recepción de publicidad? Y aunque haya marcado la casilla, ¿señalamos el e-mail como “publicidad” o “publi” a riesgo de que el usuario no lo lea o lo elimine?

Creo que queda claro algo que otros dan por supuesto con una ligereza que me asombra: Comunicación comercial no es sólo el correo electrónico que dice “15% de descuento en todos nuestros productos”. Tengan en cuenta que las técnicas de publicidad y marketing son cada vez más sutiles y elaboradas. Digamos que hay pocos que envían ofertas a palo seco (tres o cuatro spammers rusos que venden viagra, no más). Si así fuera, la vida resultaría sencilla, fácil, y nadie necesitaría un abogado. Hasta mi tía Martina sabría, leyéndose la LSSICE en “Noticias Jurídicas”, qué tiene que hacer para cumplir la ley.

Pero, ¡ay!, el concepto del que partimos resulta muy complejo cuando intenta aplicarse a un caso concreto.  Por un lado, si se quiere cumplir de forma rigurosa la norma, pocos correos electrónicos de los que envía un trabajador en el desarrollo de sus actividades diarias quedarían excluidos del concepto de comunicación comercial. Por otro, las nuevas técnicas de publicidad indirecta hacen dudar del carácter promocional de la mayor parte de las comunicaciones que se envían.

No les voy a aburrir más con este asunto, porque, a pesar de la incertidumbre sobre el concepto de comunicación comercial, lo cierto es que la Agencia no se ensaña en la imposición de sanciones por incumplimiento de la LSSICE (todo lo contrario, se esfuerza por archivar expedientes...). En fin, es hora de que pasemos a analizar los requisitos que deben cumplirse en el envío de comunicaciones comerciales. Dichos requisitos aparecen fijados en el arts. 20 y 21 de la LSSICE.

1º. El art. 20.1 obliga a que las comunicaciones comerciales se realicen de forma que queden claramente identificadas como tales, y pueda identificarse también a la persona física o jurídica en nombre de la cual se realizan. En el caso de que estas comunicaciones se lleven a cabo a través de correo electrónico u otro medio de comunicación electrónica equivalente se indica que el carácter comercial de la comunicación se señalizará incluyendo "al comienzo del mensaje la palabra publicidad o la abreviatura publi."


2º. El art. 21 prohibe las comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes que no hayan sido consentidas o previamente autorizadas por el receptor de la mismas. El precepto citado concluye señalando que  "en todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija."

Como ven, estas normas están pensadas básicamente para los envíos de comunicaciones comerciales realizados por "correo electrónico o medios de comunicación electrónica equivalentes." Por si no lo sabían, existe un Dictámen del Grupo de Trabajo del art. 29 en el se explica qué debemos entender por correo electrónico y medios equivalentes:

"La definición de correo electrónico es la siguiente [véase la letra h) del artículo 2 de la Directiva 2002/58/CE]: «todo mensaje de texto, voz, sonido o imagen enviado a través de una red de comunicaciones pública que pueda almacenarse en la red o en el equipo terminal del receptor hasta que éste acceda al mismo». (...)

En otras palabras, este concepto de correo electrónico abarca cualquier mensaje enviado mediante comunicaciones electrónicas que no requiera la participación simultánea del emisor y el receptor. (...)

Por ejemplo, los servicios abarcados actualmente por la definición de correo electrónico incluyen: el correo basado en el protocolo SMTP (Simple Mail Transport Protocol), es decir, el «correo electrónico» clásico; el servicio de mensajes cortos SMS (el considerando 40 de la Directiva 2002/58/CE clarifica que el correo electrónico incluye los SMS); los servicios de mensajes multimedia MMS; los mensajes en contestadores; los sistemas de mensajería vocal incluidos en los servicios móviles; y las comunicaciones enviadas por Internet dirigidas directamente a una dirección IP. Los boletines enviados por correo electrónico también están incluidos en esta definición."

Aunque Grupo de Trabajo del art. 29 indica que "esta lista no puede considerarse exhaustiva y puede necesitar ser revisada habida cuenta de los avances del mercado y de la tecnología", les llamo la atención  sobre el hecho de que son características del correo electrónico y los medios equivalentes utilizar redes de comunicaciones públicas y no requerir la participación en tiempo real de emisor y receptor. Con esta reflexión, les dejo hasta mañana.

lunes, 11 de julio de 2011

Comunicaciones comerciales (I)

Como ya les venía advirtiendo, dedicarems los siguientes post al análisis del concepto de comunicación comercial recogido en la Ley 34/2002, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSICE).

Realizaremos este estudio en tres fases.

En primer lugar, examinaremos los elementos del concepto de comunicación comercial, según aparece definido en el Anexo de la LSSICE. En segundo lugar, veremos qué comunicaciones comerciales pretende limitar esta norma y qué régimen se establece para su envío. Para terminar, en tercer lugar, dedicaremos unas líneas al posible encaje tiene esta regulación en el entorno de las redes sociales (encaje que ya les adelanto que resulta difícil).

Me temo que, en alguno de estos tres puntos, me veré en la obligación de remitirme a los de interpretación de las normas jurídicas, lo cual puede resultar traumático para algunos espíritus sensibles. Advertidos quedan.

Sin más preámbulos, pasamos al primer punto de nuestra exposición.

El apartado f) del Anexo de la LSSICE define "comunicación comercial" indicando que es:

"Comunicación comercial: toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.

A efectos de esta Ley, no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica."
 
Esta definición, que en el papel parece tan sencilla, presenta múltiples complicaciones en la práctica. Desde luego, no resulta fácil determinar qué se considera promoción indirecta de imagen, bienes o servicios.
 
Si nos fijamos sólo en el primer párrafo, cualquier e-mail remitido por una empresa en el transcurso de una relación con un cliente, en la que se incluya un pie o firma con la web, el logo o la mención de los servicios que se realizan, es susceptible de ser considerado comunicación comercial, ya que promociona indirectamente del remitente. Por eso mismo, el segundo párrafo del apartado f) excluye los datos que permitan acceder directamente a la actividad del emisor como web o el correo electrónico.

También se exluyen las comunicaciones sobre servicios o bienes elaboradas por terceros que sin contraprestación económica. Es decir, los boletines de noticias de un sector profesional o recopilatorios de servicios no se considerarán comunicaciones comerciales enviadas por cuenta de las empresas que aparezcan en ellos, siempre que no hayan patrocinado su aparición en los mismos. 
 
Sin embargo, estas exclusiones no ayudan demasiado a fijar los límites del concepto que nos ocupa, ya que se refieren a dos supuestos muy concretos. Además, la Agencia ha optado interpretarlo en términos amplios.

En el Informe Jurídico 538/2008 se plantea si una fundación del sector público, que tiene por objeto la "promoción y difusión del software basado en fuentes abiertas", debe cumplir la LSSICE en los MMS que remite a sus contactos a sus contactos informando acerca de eventos y actividades organizados por ella. La AEPD determina:

"El hecho de que las comunicaciones sean remitidas por una entidad sin ánimo de lucro no implica necesariamente que las mismas no puedan ser consideradas comunicaciones comerciales a los efectos de la normativa reguladora de las comunicaciones comerciales no solicitadas. Debe en este sentido tenerse en cuenta que la definición contenida en la Ley 34/2002 no limita este tipo de comunicaciones a las empresas, sino a las organizaciones y a personas que realizan actividades industriales, comerciales, artesanales y profesionales, pudiendo además la comunicación no sólo referirse a productos y servicios, sino incluso a la "imagen" del remitente.

Teniendo esto en cuenta, en caso de que los eventos o actividades a los que se refiere la consulta puedan tener por objeto alguna actividad que pueda ser considerada de publicidad, promoción o prospección de la entidad consultante o de terceros, como por ejemplo, los miembros de su patronato, la remisión de los mensajes a los que se refiere la consulta podría ser considerado comunicación comercial a los efectos previstos en la Ley 34/2002, requiriéndose el consentimiento de los afectados para que la misma pueda tener lugar.

En definitiva, si la entidad sin ánimo de lucro envía comunicaciones que de forma directa, por ejemplo, pretenden recaudar fondos para sí misma o para un tercero, o de manera indirecta, promocionan su propia imagen, la de una empresa privada que la ha creado o la de los patronos, se le aplicarán las normas contenidas en la LSSICE.

Como se imaginarán, con esta interpretación, es difícil eludir la aplicación de las reglas establecidas en la referida ley. Les recuerdo que esto implica, entre otras cosas, marcar las comunicaciones con la palabra "Publi" o "Publicidad". Les pondré varios ejemplos dudosos. Probablemente Ustedes han recibido correos similares a los que les comento. Piensen si van señalizados debidamente como publicidad:

- Los boletines informativos de Amnistía Internacional en los que se denuncian situaciones de violación de Derechos Humanos, aunque no soliciten donativos directamente, pueden entenderse promoción de la imagen de la ONG.

- Más claro es el caso de una invitación remitida por la Fundación Mapfre para acudir a la exposición de Atget, donde se promociona a la compañía de seguros que titular de la misma marca que aparece en el nombre de la fundación.

- Por supuesto, los "Boletines de Actualidad Jurídica" que envían despachos de postín también realizan promociones indirectas de la imagen de la marca, aunque no incluyan noticias propia y se limiten a recopilar jurisprudencia y novedades legislativas. Generalmente, como sucede en los anteriores ejemplos, los e-mails, en este caso, no aparecen señalizados como publicidad.


Sí que hay dos supuestos en los que, claramente, la Agencia ha determinado que no existe comunicación comercial:

- Los envíos realizados por partidos políticos (sin ánimo de recaudar fondos, debo añadir). Para más información,  pueden leer la resolución de archivo de actuaciones E/01090/2008, sobre envío de correos electrónicos por Falange Española de la Jons.


- Los envíos realizados por sindicatos en el ámbito de las competencias que les atribuye la Ley Orgánica de Libertad sindical. Vean, entre otras, esta resolución.

Como ven, el concepto de comunicación comercial presenta muchas complicaciones. Desde luego, no es para despacharlo en un post. Lo dejo aquí. Mañana más veremos cómo interpreta la Comisión Europea y el Grupo de Trabajo del art. 29 la regulación del envío de comunicaciones comerciales.


Buenas noches.

miércoles, 6 de julio de 2011

Libro del Mes (Julio)

FARRÉ LÓPEZ, Pedro: El Derecho de Rectificación. Un instrumento de defensa frente al poder de los medios. Eidtorial La Ley. Grupo Wolters Kluwer. Madrid, 2008.

Si estaban pensando qué libro llevarse a Torremolinos este verano, permitánme aconsejarles un "must".

El libro recomendado de este mes analiza la Ley Orgánica 2/1984, de 26 de marzo, de regulación del Derecho de Rectificación.

Como ya sabrán, la LODR permite a toda persona, natural o jurídica "rectificar la información difundida, por cualquier medio de comunicación social, de hechos que le aludan, que considere inexactos y cuya divulgación pueda causarle perjuicio". La verdad, sorprende que no se recurra más a este instrumento jurídico en una época en la que el derecho al olvido ocupa portadas de los períódicos cada dos por tres.

El manual de FARRÉ LÓPEZ, además de explicar aspectos prácticos del ejercicio del derecho de rectificación,  contiene una introducción a la figura desde el punto de vista del derecho comparado y de su evolución histórica en nuestro ordenamiento jurídico.

Por si no lo sabían, el derecho de rectificación o de réplica tiene su origen en la Francia del siglo XVIII. En esta época, la libertad de prensa, que se consolidó tras la Revolución de 1789 y la Declaración de Derechos del Hombre y del Ciudadano, trajo consigo un aumento importante de las difamaciones contra organismos y parsonas físicas. Ante la falta de medios técnicos y económicos para contrastar debidamente las informaciones por parte de los periódicos, y a falta de censores que hicieran un trabajo de "depuración", se creyó justo proteger la reputación de instituciones y personas de relevancia dándoles la posibilidad de réplica en condiciones similares a las de la noticia difamatoria publicada. 

En España, se reconoce, en términos similares a los de Francia y con el nombre de derecho de contestación, desde 1837. La Ley Fraga de 1966, como probablemente Ustedes recuerden, ya que no son unos niños, le dedicaba los artículos 58 a 62.

En fin, no les voy a contar todo el libro. Cómprenlo al módico precio de 50,96 €, y podrán Ustedes disfrutar de 500 páginas de pasión arrellandados en su tumbona. Se leen en un ratito.

martes, 5 de julio de 2011

Lo dudo, lo dudo, lo dudo, cantaban Los Panchos

¿De verdad piensan Ustedes que el perfil de una empresa en Facebook es un fichero a efectos de la LOPD, independiente, autónomo, inscribible? ¿No se han parado a pensar que la capacidad de decisión de la empresa sobre la información de terceros contenida en él se encuentra seriamente limitada (por ejemplo, por las funcionalidades que decida implementar, o restringir Facebook o por la configuración de privacidad por la que opten los fans)? ¿No se dan cuenta de los problemas prácticos que implica la consideración de ese perfil como fichero?

Les menciono sólo dos:
- La declaración, en el momento del registro del fichero, de las Transferencias Internacionales de Datos (¿Dónde se encuentran almacenados los datos de sus fans? No lo sé, pero barrunto que no están en un CPD de Alcobendas).
 - La aplicación de medidas de seguridad a ese fichero (¿Cómo se las va a arreglar Usted para cumplir el título VIII del RLOPD?) y su inclusión en el documento de seguridad corporativo.

En fin, salvo que Usted extraiga los datos de la plataforma, lo más sensanto es considerar que la empresa es responsable del tratamiento pero no del fichero. El responsable del fichero (un fichero único) es Facebook, y la empresa realiza un tratamiento condicionado por las posibilidades que le permite la plataforma.

Y sí, ya sé que, siguiendo la "doctrina Lindqvist", la Agencia ha manifestado en distintas ocaciones que blogs y páginas webs son ficheros...Pero fíjense qué curioso, en el aviso legal del Facebook de la AEPD, no se menciona ningún fichero, sólo se hace referencia a tratamientos:

"Al hacerte fan de esta página, consientes: 1) en el tratamiento de tus datos personales en el entorno de Facebook conforme a sus políticas de privacidad; 2) el acceso de la AEPD a los datos contenidos en la lista de fans; y 3) a que las noticias publicadas sobre el evento aparezcan en tu muro.

La AEPD no utilizará los datos para otras finalidades ni para enviar información adicional. Si quieres darte de baja, sólo tienes que pinchar sobre el hipervínculo que aparece abajo a la derecha "Dejar de ser fan". Puedes ejercer los derechos de acceso, rectificación, cancelación y oposición en cualquier momento, mediante escrito, dirigido a la Agencia

Española de Protección de Datos, Secretaría General, C/ Jorge Juan n 6, 28001 Madrid o enviando un e-mail a la dirección privacyconference2009@agpd.es, acompañado de fotocopia de documento oficial que te identifique. En caso de ejercerse por correo electrónico el documento deberá firmarse digitalmente el mensaje o adjuntar un documento oficial escaneado.

En el contexto de este tratamiento debes tener en cuenta que la Agencia Española de Protección de Datos únicamente puede consultar o dar de baja tus datos como fan. Cualquier rectificación de los mismos debes realizarla a través de la configuración de tu usuario."

Como ven, Ad Edictum ha vuelto, en codificado y sin cortes publicitarios, para generar polémica. Espero sus comentarios. Eso sí, no me pidan que les haga un resumen de la Gran Cena Lopedé de ayer, porque sólo podría explicar lo que pasó en la consulta de un psiquiatra con marionetas.