¿Es la “Ley Sinde” contraria al Derecho de la Unión? (Un apunte a partir de las conclusiones en el asunto Bonnier)

La necesidad de respetar el derecho fundamental a la protección de datos personales condiciona de manera decisiva el ejercicio de acciones relativas a la tutela de la propiedad intelectual. Por ello, en relación con los mecanismos legales instaurados para combatir ciertas prácticas potencialmente infractoras de la propiedad intelectual en Internet y sancionar civilmente a los usuarios que participan en las mismas reviste especial importancia el control de los límites dentro de los cuales cabe requerir a prestadores de servicios de intermediación que proporcionen los datos que puedan conducir a la identificación de los usuarios a los que se pretende exigir responsabilidad. A esos efectos en la legislación española la llamada “ley Sinde” introdujo un nuevo apartado segundo en el artículo 8 LSSI. Precisamente, en relación con esta norma –clave para el funcionamiento del mecanismo sancionador establecido en dicha reforma legislativa- pueden resultar de particular interés las conclusiones que el Abogado General del Tribunal de Justicia Niilo Jääskinen ha presentado en el asunto C-461/10, Bonnier Audio y otros, que tiene su origen en un litigio relativo a la aplicación de la legislación sueca para combatir el intercambio de archivos a través de Internet. En sus conclusiones el Abogado General propone al Tribunal que detalle en su fallo los límites que el Derecho de la UE impone a las legislaciones nacionales que permiten que para identificar a un usuario en el marco de un proceso civil por infracción de la propiedad intelectual la autoridad judicial requiera a un proveedor de acceso a Internet para que facilite información relativa a la identidad del usuario.

Social Networking Sites: An Overview of Applicable Law Issues

I have just deposited in the institutional repository of the Universidad Complutense de Madrid my contribution to the XX AIDA Congress. The article “Social Networking Sites: An Overview of Applicable Law Issues” is forthcoming in the 2011 volume of Annali italiani del diritto d’autore, della cultura e dello spettacolo.

The abstract of the article reads as follows: “Social Networking Sites (SNS) as global providers of Internet services raise new challenges in the field of conflict of laws. The most prominent service providers have their headquarters in the US and their business models allow them to offer global services to users around the world under the same terms or conditions. SNS providers typically have recourse to standard terms intended to be applicable to all their users and include choice of forum and choice of law clauses in favour of US courts and US laws. Against this background, the present contribution analyzes applicable law issues raised by social networking sites from the perspective of the European Union (and its Member States). The article addresses the position of SNS providers in the light of the EU harmonization rules on e-commerce and the influence of the place of establishment in the scope of obligations imposed on them. Also the law applicable to the agreements concluded with users is discussed focusing on the implications of their possible characterization as consumer contracts and on the aspects related to the formation of the contract. Determining the law applicable to online activities involving SNS is also essential for the protection of rights and interests of third parties, in particular with regard to intellectual property and personality rights. Additionally, the effective enforcement of EU law to Internet activities in key areas such as data protection requires now determining the mandatory scope of international application of EU or national law with respect to the activities of SNS.”

The article is available here.

Facebook y otras redes sociales: aspectos jurídicos

Acaba de celebrarse el XX Congreso AIDA (Annali italiani del diritto d’autore, della cultura e dello spettacolo) sobre “Facebook et similia (profili specifici dei social network)”. Las sesiones, como de costumbre, se han desarrollado en el magnífico escenario del Aula Volta de la Universidad de Pavía, donde a finales del siglo XVIII impartía sus clases el físico Alessandro Volta. El completo programa del congreso ha hecho posible un análisis en profundidad desde la perspectiva de la Unión Europea del conjunto de cuestiones jurídicas asociadas a la expansión de las redes sociales. La reflexión ha resultado especialmente productiva, habida cuenta no sólo de la relevancia social y económica de tales redes y de la imperiosa necesidad del estudio de sus aspectos legales sino también porque el clarísimo predominio de empresas de EEUU como proveedores de estos servicios –y otros como motores de búsqueda- frente a la muy limitada presencia a escala global de las compañías europeas dota de una creciente importancia al análisis de en qué medida el Derecho (no sólo su contenido sino también la importancia atribuida al mismo por los operadores y usuarios así como su aplicación –o inaplicación- por las autoridades) ha podido contribuir y contribuye a esa situación.

Sobre el consentimiento en línea acerca del tratamiento de datos personales

Es bien conocido que entre los principales riesgos legales de buena parte de los prestadores de servicios de la sociedad de la información se encuentran los relacionados con el tratamiento de datos personales, ámbito en el que la concreción de sus obligaciones relativas a la captación y tratamiento de los datos –y la posibilidad de acreditar en el futuro su cumplimiento- son fundamentales, pero al mismo tiempo fuente de gran incertidumbre, en buena medida por lo habitual que resulta el empleo de mecanismos de captación de datos que no parecen respetar las exigencias legales. Se trata de un elemento clave en la configuración de muchos servicios. En este contexto, resulta de interés el esfuerzo clarificador llevado a cabo en su último dictamen por el llamado Grupo de Trabajo del artículo 29 constituido en el seno de la Unión Europea, pero su contraste con el contenido del Reglamento de desarrollo de la LOPD no parece estar exento de problemas. Ciertamente, este último Dictamen 15/2011 sobre la definición de consentimiento ha de constituir una referencia de obligada lectura tanto para quienes asesoran a los prestadores de servicios de la sociedad de la información que tratan datos personales, como para quienes defienden los derechos de los afectados, sin perjuicio de que haya sido elaborado en el marco del actual debate sobre la reforma de la legislación de datos personales en el seno de la Unión Europea e incluya importantes recomendaciones para la mejora de la legislación de la Unión. Por mi parte, me voy a ceñir a destacar algunos elementos de especial importancia en relación con la configuración de su actividad por parte de los prestadores de servicios de la sociedad de la información.

Datos personales e intercambio de archivos: las conclusiones en el asunto Scarlet

Hace un año dediqué una entrada al planteamiento de la cuestión prejudicial en el asunto C-70/10, Scarlet Extended SA v Société Belge des auteurs, compositeurs et éditeurs (SABAM), en la que puse de relieve cómo este asunto hace referencia a un aspecto de gran trascendencia para establecer límites a las medidas para la protección de la propiedad intelectual frente a las infracciones que puedan tener lugar mediante el intercambio de ficheros en Internet, habida cuenta de que tales medidas pueden requerir la imposición de sistemas de supervisión de las comunicaciones electrónicas de muy amplio alcance. Vuelvo ahora sobre este asunto pues hace unos días el Abogado General Cruz Villalón presentó sus Conclusiones sobre el mismo (aunque todavía no se hallan disponibles en español).

El lugar al que se dirige la actividad como criterio de aplicación de la legislación sobre datos personales

Uno de los aspectos más controvertidos de la legislación europea sobre protección de datos personales es el relativo a su ámbito de aplicación espacial, en particular con respecto a los supuestos en los que el responsable del tratamiento se encuentra establecido en un tercer Estado, lo que es frecuente en el caso de servicios de uso generalizado en la Red como buscadores o redes sociales. Para garantizar que el estándar de protección de la UE no deja de aplicarse cuando el responsable del tratamiento tiene su establecimiento en un Estado tercero, se prevé que la aplicación de la ley del Estado miembro en cuyo territorio se encuentren situados los medios -automatizados o no- a los que recurra el responsable para el tratamiento de datos personales, salvo que los utilice con fines de mero tránsito -arts. 4.1.c) Directiva 95/46/CE, 2.1.c) LOPD y 3.1.c) RPD -. Fundamental en la interpretación del significado del artículo 4.1.c) ha sido la labor del llamado Grupo de trabajo sobre protección de datos, creado en virtud del artículo 29 Directiva 95/46/CE (GTPD), por lo que su nuevo Dictamen 8/2010 sobre la ley aplicable reviste especial importancia en la medida en que propone la revisión de la situación actual para superar las carencias que derivan de la redacción actual del mencionado artículo 4.1.c) y de sus consecuencias conforme a los criterios previamente establecidos por el GTPD.

ACTA: ¿una oportunidad perdida?

Hace siete meses dediqué una entrada al Anti-Counterfeiting Trade Agreement, precisamente cuando se hizo público por primera vez de manera oficial un borrador del texto del Acuerdo, que se ha venido negociando desde 2007 entre un conjunto diverso de países -Australia, Canadá, Corea del Sur, EEUU, Japón, Marruecos, México, Nueva Zelanda, Singapur, Suiza, la Unión Europea y los Estados miembros de la UE-, con el propósito básico de reforzar el marco internacional de tutela de la propiedad intelectual, proporcionando medios más eficaces para combatir la proliferación de productos falsificados así como de servicios utilizados para la difusión de materiales que infringen derechos de propiedad intelectual. La falta de transparencia durante el proceso negociador y las filtraciones sobre algunas de las propuestas objeto de discusión contribuyeron a generar un intenso debate acerca de las eventuales implicaciones del Acuerdo y su impacto transformador de la protección internacional de la propiedad intelectual y de las legislaciones nacionales en la materia. El pasado día 15 se ha difundido por la Comisión la versión definitiva del Acuerdo.

Buscadores de Internet y protección de datos personales

El 26 de mayo el llamado “Grupo sobre protección de datos del artículo 29” (órgano consultivo creado en virtud del artículo 29 Directiva 95/46/CE e integrado básicamente por representantes de la Comisión y de las agencias nacionales de protección de datos de los Estados de la UE) hizo público un comunicado de prensa bajo el título “… Google, Microsoft y Yahoo! no cumplen con las normas sobre protección de datos”. El comunicado va unido a las cartas “enviadas” en esa misma fecha a los responsables de esos buscadores, así como a la Comisión y a la Federal Trade Commission de EEUU en relación con este asunto. En estos textos, el Grupo, tras reconocer que los buscadores han hecho ciertos esfuerzos en la dirección correcta, pone de relieve que tales esfuerzos no son suficientes para satisfacer las exigencias que de la legislación de la UE (básicamente la Directiva 95/46/CE sobre protección de datos) derivan para los buscadores de Internet, remitiéndose en particular a su interesante Dictamen 1/2008 sobre cuestiones de protección de datos relacionadas con motores de búsqueda, emitido el 4 de abril de 2008. En realidad, el fondo del asunto reviste una indudable complejidad técnica y jurídica y tiene gran trascendencia en el desarrollo y funcionamiento de Internet, lo que tal vez condicione las formas empleadas, que parecen basarse en una “aplicación blanda” (o “no aplicación temporal”) de la ley por parte de las autoridades (nacionales) de protección de datos de la UE (o al menos de la gran mayoría de ellas).

Intercambio de archivos P2P y protección de datos personales

La puesta en marcha de ciertos mecanismos de tutela de la propiedad intelectual para hacer frente a las infracciones que puedan tener lugar mediante el intercambio en Internet de ficheros utilizando programas peer to peer puede requerir la imposición de sistemas de supervisión de las comunicaciones electrónicas de muy amplio alcance. La localización de las posibles infracciones se ve facilitada por una supervisión de muy amplio alcance del tráfico de datos en Internet, en la medida en que para la persecución de esas conductas resulta de gran importancia conocer el contenido de los archivos objeto de intercambio así como obtener la información que permita eventualmente identificar a quienes introducen los archivos y los intercambian a través de Internet. Como ya he puesto de relieve en algunas entradas anteriores, la determinación de los límites de esa supervisión de amplio alcance de las actividades de los usuarios de Internet resulta controvertida a la luz de la normativa sobre protección de datos personales. Se trata además de un ámbito en el que entran en conflicto intereses muy diversos y las opciones de política legislativa tienen un extraordinario impacto social y económico. No se trata sólo del eventual conflicto entre usuarios de sistemas de intercambio P2P y titulares de derechos de propiedad intelectual, sino que también hay otros actores directamente implicados, muy especialmente, los prestadores de servicios de Internet, sobre los que se pretende hacer recaer la labor de supervisión. Una cuestión prejudicial recientemente planteada al Tribunal de Justicia por la Cour d'appel de Bruselas puede resultar clave para fijar los límites a la supervisión de las actividades de los usuarios de Internet en el marco de la tutela frente al intercambio de archivos protegidos utilizando programas P2P.

La Digital Economy Act del Reino Unido

La semana pasada quedó definitivamente aprobada la Digital Economy Act 2010 en el Reino Unido. Su aprobación ha provocado una fuerte reacción en parte de la opinión pública británica por las circunstancias de su tramitación parlamentaria –con especial urgencia y en el periodo entre el anuncio de las próximas elecciones y la disolución del Parlamento- y, sobre todo, por su contenido. Pese a su ambiciosa denominación, el núcleo de la nueva Ley –y el objeto de la polémica- es la introducción de normas destinadas a reforzar la protección de la propiedad intelectual fundamentalmente para luchar contra el intercambio de archivos y otras actividades similares en Internet (apartados 3 a 21 de su índice). Aunque en su aplicación práctica podría llevar a resultados en buena medida similares al criterio de los tres avisos adoptado por el legislador francés, la nueva legislación británica responde al menos en parte a un modelo propio. Igualmente, aunque los objetivos perseguidos son al menos parcialmente coincidentes, los mecanismos previstos también difieren de los que se contemplan introducir en España en el marco de de la disposición final segunda del Proyecto de Ley de Economía Sostenible (LES). Esta diversidad de mecanismos que están siendo adoptados en los Estados miembros de la UE resulta especialmente significativa, sobre todo porque pese a sus divergencias todos parten de la progresiva generalización de ciertas actividades privadas de supervisión del tráfico de la Red cuya compatibilidad con ciertas normas de Derecho comunitario, en particular sobre protección de datos personales, puede plantear dudas.

Redes sociales y otros sitios web: ¿cuándo hay que cumplir con la legislación europea de protección de datos?

El último número de Multimedia und Recht incluye un artículo de Florian Jotzo sobre el interesante tema del ámbito de aplicación de la legislación europea de protección de datos personales (MMR 2009 (4) pp. 232-237). Se trata de una cuestión polémica en el contexto actual de Internet especialmente con respecto a los sitios web cuyos titulares no se encuentren establecidos en la UE y que reviste una indudable trascendencia práctica. Tal importancia resulta de que la respuesta a esa cuestión condiciona, por una parte, la protección de los usuarios europeos de los diversos servicios de Internet que normalmente acceden a los sitios web con independencia de que los titulares de los sitios (y responsables del tratamiento de sus datos personales) se encuentren fuera de la UE, pues tal circunstancia por si sola no afecta a la disponibilidad del sitio web. Por otra parte, la respuesta a esa cuestión resulta también determinante del alcance de las obligaciones en materia de protección de datos de los titulares de sitios web establecidos fuera de la UE, pues la aplicabilidad del régimen comunitario impone que en la práctica deban cumplir con exigencias que con gran frecuencia son mucho más estrictas que las que imponga le legislación del Estado extracomunitario en el que esté establecido el titular del sitio web.