lunes, 12 de abril de 2021

Propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas: ámbito territorial

 

Como es  conocido, el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) no regula las obligaciones en materia de tratamiento de datos específicas de la prestación de servicios de comunicaciones electrónicas en redes públicas, regidas todavía por la Directiva 2002/58/CE (vid. cdo. 173 y art. 95 RGPD). La complementariedad entre la Directiva 2002/58 y la Directiva 95/46 justificaba que la adopción del RGPD fuera unida a una reforma en paralelo de la Directiva 2002/58. Por eso, ya en enero de 2017 la Comisión presentó una Propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas destinado a derogar la Directiva 2002/58/CE, que se configura como una lex specialis, que tiene por objeto precisar y completar el RGPD con respecto a los datos personales de comunicaciones electrónicas. La idea inicial de la Propuesta era que ese nuevo Reglamento fuera aplicable, al igual que el RGPD, a partir de mayo de 2018. Ahora bien, condicionada por la complejidad y relevancia de las cuestiones abordadas –confidencialidad de las comunicaciones electrónicas y requisitos de tratamiento de los datos y metadatos relativos a esas comunicaciones, tutela de la información en equipos terminales (por ejemplo, en relación con el empleo de cookies y técnicas similares), derechos de los usuarios finales en materia de envío y recepción de comunicaciones electrónicas, retención de datos de tráfico…-  la tramitación de la propuesta de Reglamento está resultando especialmente laboriosa y lenta. En este contexto, cabe reseñar la reciente adopción por el Consejo del texto con su posición como base para las futuras negociaciones con el Parlamento y la Comisión. Transcurridos cuatro años, el nuevo texto presenta diferencias significativas con respecto a la Propuesta inicial de la Comisión.

 

viernes, 9 de abril de 2021

La paradoja europea en materia de (transferencias internacionales de) datos personales

 

Hace unos días el Comité Europeo de Protección de Datos (más conocido por sus siglas en inglés como EDPB) publicó en su sitio web de manera muy destacada información relativa a la conclusión de un expediente por la autoridad bávara de protección de datos personales (“Bavarian DPA (BayLDA) calls for German company to cease the use of 'Mailchimp' tool”). El asunto, que va referido al empleo de un servicio ofrecido por un prestador estadounidense pero muy popular en la Unión Europea, se enmarca en el contexto de las exigencias derivadas de la conocida STJUE Facebook Ireland y Schrems, C-311/18, EU:C:2020:559. Ciertamente hace ya casi nueve meses que el Tribunal de Justicia no solo declaró la invalidez de la Decisión (UE) 2016/1250 de la Comisión sobre la adecuación de la protección conferida por el Escudo de la Privacidad UE-EEUU, sino que además constató que cuando se emplean cláusulas contractuales tipo para la transferencia de datos personales a terceros países debe asegurarse que las personas cuyos datos personales son objeto de transferencia gozan respecto de los datos transferidos de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión (apdo. 96 de la sentencia, a la que me referí en su momento aquí y  posteriormente aquí al hilo de las Recomendaciones del EDPB sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE y del Borrador de Decisión de la  Borrador de Decisión sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países en virtud del RGPD).

jueves, 25 de marzo de 2021

ILA-Kyoto Guidelines on Intellectual Property and Private International Law

Producto de una década de trabajos de su Comité sobre Propiedad Intelectual y Derecho internacional privado, la International Law Association en su septuagésima novena conferencia bianual celebrada (virtualmente) en Kyoto adoptó las Directrices sobre Propiedad Intelectual y Derecho Internacional Privado. Como punto de partida, el texto combina los logros de las principales propuestas anteriores en este ámbito (básicamente los conjuntos de principios adoptados una década antes por el American Law Institute, por el Grupo europeo Max-Planck (CLIP) y otros dos proyectos en Asía). Representantes de todos esos grupos han participado activamente en esta iniciativa, cuyos resultados incluyen además avances importantes en ámbitos especialmente controvertidos, como el relativo al régimen de Derecho internacional privado aplicable en relación con la titularidad originaria, o particularmente novedosos, como el tratamiento de las cuestiones de Derecho internacional privado que se suscitan en relación con la actividad de las entidades de gestión colectiva. A la espera de la inminente publicación de la versión completa de las Directrices y sus comentarios explicativos –de la que también daré cuenta-, el texto de las disposiciones y un breve comentario tal como han sido aprobados por la ILA están disponibles aquí.

Actualización 12 de abril de 2021 - La versión completa de las Directrices con sus comentarios explicativos está ya disponible en abierto aquí.

lunes, 15 de marzo de 2021

Eficacia de las medidas tecnológicas restrictivas de enlaces

 

En su sentencia en el asunto VG Bild-Kunst el Tribunal de Justicia desarrolla su jurisprudencia relativa al alcance del derecho de comunicación al público respecto de la utilización de enlaces de Internet. Lo hace básicamente para avalar que la adopción en páginas web de medidas tecnológicas de protección frente a ciertos tipos enlaces –los que permiten insertar un elemento de la página web enlazada como si formara parte del sitio del tercero en el que se incorpora el enlace- resulta determinante para apreciar que el titular se opone a tal práctica, de modo que la inserción en el sitio web del tercero de contenidos de la página enlazada con elusión de tales medidas de protección constituye un acto de comunicación al público que eventualmente infringe los derechos del titular, incluso aunque la página web enlazada esté libremente accesible en Internet.

sábado, 6 de marzo de 2021

El Tribunal Supremo (Sala de lo Contencioso) y los mandamientos de cesación frente a conductas ilícitas en plataformas de Internet

De llegar a buen puerto en su configuración actual la propuesta de Reglamento de la UE relativa a la Ley de servicios digitales, uno de sus efectos “colaterales” sería que al convertir en reglamento, con ligeras adaptaciones, el actual artículo 14 de la Directiva 2000/31 sobre el comercio electrónico implicaría la supresión de varías anomalías de nuestra legislación resultantes de la incorporación de esa norma en el artículo 16 de la Ley 34/2002 o LSSI. Una primera anomalía –mitigada con el paso del tiempo por la jurisprudencia (en particular de la Sala de lo Civil del TS)- es la derivada de la inclusión en esta norma del añadido según el cual, se entenderá que el prestador tiene el conocimiento efectivo (determinante de la pérdida de la exención de responsabilidad) “cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución, sin perjuicio…”, El conocimiento efectivo de la ilicitud es determinante de la pérdida de la exención de responsabilidad por el intermediario (aunque por sí solo no basta en principio para imputarle responsabilidad conforme a la legislación que resulte aplicable). Una segunda anomalía es que el legislador español eludiera incluir en los artículos 14, 15 y 16 (y 17) de la LSSI, lo que se dispone con respecto a las exenciones de responsabilidad en los artículos 12, 13 y 14 de la DCE, en el sentido de que las exenciones de responsabilidad de los prestadores de servicios de intermediación no afectan “la posibilidad de que un tribunal o una autoridad administrativa, de conformidad con los sistemas jurídicos de los Estados miembros, exijan al prestador de servicios poner fin a una infracción o impedirla…” (art. 14.3 DCE).

martes, 23 de febrero de 2021

Periódicos digitales y demandas por vulneración de derechos de la personalidad: competencia judicial, derecho aplicable y reconocimiento de resoluciones

 

              El asunto C800/19, Mittelbayerischer Verlag, sobre el que hoy ha presentado sus conclusiones el Abogado General Bobek, dará al Tribunal de Justicia la oportunidad de realizar precisiones adicionales sobre uno de los ámbitos en los que su jurisprudencia ha sido más relevante en la evolución de las normas de competencia judicial de la Unión, como es el relativo a los litigios derivados de lesiones de derechos de la personalidad a través de Internet, sector en el que como es bien conocido las aportaciones clave del Tribunal de Justicia se encuentran en sus célebres sentencias eDate Advertising y Bolagsupplysningen. Además, en la primera de esas sentencias el Tribunal de Justicia también realizó una importante aportación acerca del alcance del criterio de origen del artículo 3 de la Directiva 2000/31 sobre el comercio electrónico, cuestión sobre la que también vuelve hoy en la parte final de sus conclusiones el AG. El asunto C-800/19, que ciertamente va referido a un supuesto muy particular, plantea dos cuestiones relativas a la interpretación del artículo 7.2 del Reglamento 1215/ 2012 o RBIbis: en primer lugar, si cabe invocar el fuero del centro de intereses de la víctima en un supuesto como el del litigio principal; en segundo lugar, qué circunstancias deben ser tenidas en cuenta al concretar si un determinado lugar es “lugar donde se haya producido o pueda producirse el hecho dañoso” en el sentido del mencionado artículo 7.2. No obstante, el AG, al considerar que la interpretación del Tribunal de Justicia acerca del alcance de la competencia conduce a un criterio muy generoso para las supuestas víctimas de tales lesiones, complementa sus apreciaciones al respecto con un análisis de las restricciones que en materia de Derecho aplicable resultan del Derecho de la Unión en este ámbito e incluso con la referencia al eventual recurso al orden público como límite al reconocimiento de la resolución que se pueda adoptar en el litigio principal. Dividiré esta reseña al hilo de las conclusiones presentadas hoy por el Abogado General en cuatro apartados, en los que abordaré: la aplicabilidad del fuero del centro de intereses de la víctima (I), las circunstancias a tener en cuenta en la concreción de lugar de manifestación del daño a los efectos del artículo 7.2 RBIbis (II), los aspectos de la ley aplicable (III) y las cuestiones de reconocimiento de resoluciones (IV).

lunes, 15 de febrero de 2021

Datos personales y otros contenidos digitales de personas fallecidas: aspectos internacionales e interregionales


    Como deja claro su considerando 27, el RGPD no se aplica a los datos de personas fallecidas, de modo que los Estados miembros mantienen su competencia para establecer normas relativas al tratamiento de tales datos. En línea con esa exclusión, también la LOPDGDD establece en su artículo 2.2.b) que no es de aplicación al tratamiento de datos de personas fallecidas, sin perjuicio de lo establecido en su artículo 3, que introduce la posibilidad de que personas vinculadas al fallecido o sus herederos puedan solicitar el acceso a sus datos personales, así como su rectificación o supresión. Por consiguiente, el artículo 3 LOPDGDD tiene por objeto regular respecto de los datos personales concernientes a personas fallecidas los derechos de acceso, rectificación o supresión. En consecuencia, este artículo debe ser complementado con las disposiciones del RGPD (arts. 15 a 17) y de la LOPDGDD (arts. 12 a 15) que regulan tales derechos. El objeto del artículo 3 LOPDGDD es establecer que tales derechos son de aplicación respecto de las personas fallecidas –pese a que tales datos no se hallan regidos en todo lo demás por la LOPDGDD ni el RGPD- así como introducir ciertas reglas específicas –y no exentas de dificultades- acerca de quiénes pueden solicitar tales derechos.