Artículo 17 de la Directiva 2019/790 sobre derechos de autor: delimitación de los prestadores de servicios

 

Es conocido que en los últimos días se han hecho públicos documentos relevantes en relación con la aplicación del controvertido artículo 17 de la Directiva 2019/790 sobre los derechos de autor en el mercado único digital, que establece el régimen específico de autorización y responsabilidad de los prestadores de servicios para compartir contenidos en línea. Coincidiendo prácticamente con la expiración del periodo fijado para su transposición (7 de junio de 2021), sin que la misma se haya llevado a cabo en la gran mayoría de los Estados miembros, la Comisión publicó sus Orientaciones sobre la aplicación de este artículo previstas en su apartado 10, mientras que con posterioridad el Abogado General Saugmandsgaard Øe ha presentado sus conclusiones en el asunto Polonia / Parlamento y Consejo, C-401/19, EU:C:2021:613, al que ya me referí en una entrada anterior. El principal valor de las Orientaciones, así como, en parte, de la sentencia que eventualmente adopte el Tribunal de Justicia en el asunto C-401/19, ha de ser aportar ciertas claves para la interpretación de aspectos como el régimen de autorizaciones previsto en los apartados 1 y 2 del artículo 17; los tres requisitos cumulativos de los que el apartado 4 hace depender que el prestador de servicios pueda beneficiarse de la limitación de responsabilidad en ausencia de autorización (en particular, las categorías de “mayores esfuerzos por obtener una autorización”, “mayores esfuerzos por garantizar la indisponibilidad” de ciertas obras y otras prestaciones, y actuación expeditiva para inhabilitar el acceso a obras u otras prestaciones notificadas o para retirarlas de sus sitios web y “los mayores esfuerzos por evitar que se carguen en el futuro” ); la ponderación entre el derecho a la propiedad intelectual y otros derechos fundamentales, especialmente la libertad de expresión, concretando el alcance de las salvaguardas para las utilizaciones lícitas de contenidos (apartado 7) y los límites que de la prohibición de obligaciones generales de supervisión (apartado 8) derivan para la utilización de herramientas para combatir la presencia de contenidos ilícitos, especialmente en relación con los tres requisitos cumulativos previstos en el apartado 4. No obstante, no voy a centrarme ahora en ninguna de esas cuestiones sino en un aspecto previo relativo a qué prestadores de servicios pueden beneficiarse de lo dispuesto en el artículo 17, cuestión a la que en las Orientaciones aparecen dedicadas las páginas 4 a 6, 19 y 20.

Acciones por daños derivados de cárteles: precisiones sobre el lugar de manifestación del daño como criterio atributivo de competencia

 

        En su esperada sentencia de hoy en el asunto C-30/20, Volvo y otros, EU:C:2021:604 el Tribunal de Justicia precisa, en el contexto de la litigación civil en España derivada del llamado cártel de los camiones, cómo debe ser interpretado el fuero del lugar de manifestación del daño del artículo 7.2 del Reglamento 1215/2012 (RBIbis). Por una parte, frente al criterio adoptado por el Tribunal Supremo en demandas relativas a la litigación en este mismo ámbito (en particular en sus autos de 26 de febrero de 2019 -ES:TS:2019:2140A- y de 19 de marzo de 2019 -ES:TS:2019:3430A-), el Tribunal de Justicia establece que el artículo 7.2 RBIbis “atribuye directa e inmediatamente tanto la competencia internacional como la competencia territorial al órgano jurisdiccional del lugar donde haya sobrevenido el daño” (apdo. 33 de la nueva sentencia), lo que, desde luego, no constituye una sorpresa a la luz de la jurisprudencia previa del Tribunal de Justicia (vid. apdo. 40 de las conclusiones del Abogado General De la Tour en este mismo asunto, EU:C:2021:322). En todo caso, el Tribunal constata que si bien lo anterior implica que no se pueden aplicar criterios diferentes (previstos en la legislación nacional) para concretar la competencia territorial interna, no impide que en el marco de la autonomía para organizar sus sistemas jurisdiccionales los Estados miembros puedan concentrar en tribunales concretos el conocimiento de las demandas en esta materia, admitiendo que la especialización en esta materia puede resultar particularmente adecuada habida cuenta de su complejidad técnica (apdo. 37). Ahora bien, la principal aportación de la sentencia tiene qué ver con la concreción del lugar de manifestación del daño, como criterio atributivo de la competencia internacional y territorial.

Redes p2p, cesión de créditos indemnizatorios, trols de derechos de autor y protección de datos

 

               Más allá de la confirmación de que los usuarios de redes entre pares (peer-to-peer) que participan en la descarga y comparten fragmentos de archivos de obras protegidas típicamente llevan a cabo actos de comunicación o puesta a disposición del público de tales obras en el sentido del artículo 3 de la Directiva 2001/29 (I, infra), la sentencia del Tribunal de Justicia de 17 de junio de 2021, C-597/19, Mircom, EU:C:2021:492, realiza aportaciones de interés con respecto a la posición y los derechos de los cesionarios que prestan servicios de cobro de créditos indemnizatorios derivados de tales infracciones (II), así como al tratamiento de los datos personales de los usuarios de las mencionadas redes (III). El litigio principal tiene su origen en la demanda interpuesta ante los tribunales belgas por una entidad dedicada a reclamar una indemnización por la infracción de derechos de propiedad intelectual a usuarios de redes p2p, en tanto que cesionaria de tales derechos de indemnización. En concreto, la demanda tenía por objeto que se ordenara a un proveedor de acceso a Internet que proporcionara los datos de identificación de sus clientes cuyas conexiones habían sido supuestamente utilizadas para compartir películas a través de una red p2p por medio del protocolo BitTorrent.

Plataformas de intercambio de contenidos y tutela de los derechos de autor: la sentencia YouTube Cyando

 

La sentencia en los asuntos C‑682/18 y C‑683/18, YouTube Cyando,  era esperada con especial interés, en la medida en que entre las cuestiones planteadas al Tribunal de Justicia se encuentran algunas clave para la eventual caracterización de actividades de las plataformas de alojamiento e intercambio de contenidos como acto de comunicación al público (art. 3 Directiva 2001/29), así como en relación a la posibilidad de que tales plataformas se beneficien de la exención de responsabilidad establecida en el artículo 14 de la Directiva 2000/31 sobre comercio electrónico (DCE) a favor de los prestadores de servicios de alojamiento de datos (véase esta reseña acerca de las conclusiones del AG en estos asuntos). En su sentencia de anteayer la Gran Sala desarrolla su jurisprudencia previa, entre otras, sobre ambas cuestiones. Ahora bien, la evolución experimentada por la legislación de la UE en este ámbito supone que de cara al futuro en situaciones como las que son objeto de los litigios principales en esos dos asuntos deba estarse a lo dispuesto ya no en esas normas sino, en particular, en el artículo 17 de la Directiva 2019/790 sobre derechos de autor en el mercado único digital, la controvertida disposición relativa al uso de contenidos protegidos por parte de prestadores de servicios para compartir contenidos en línea, pendiente de transposición en nuestro ordenamiento. Además, es cierto que el Tribunal de Justicia precisa que las interpretaciones que proporciona “no conciernen al régimen que entró en vigor posteriormente establecido por el artículo 17 de la Directiva (UE) 2019/790”  (apdo. 59 de la sentencia). En todo caso, la sentencia reviste gran interés no solo porque puede condicionar la aplicación de esta norma (sobre la que el Tribunal está llamado a pronunciarse próximamente en el asunto C-401/19, al respecto vid. aquí), sino también porque constituye una aportación relevante de cara a precisar tanto el contenido del derecho de comunicación al público como el alcance del régimen general de exención de responsabilidad de los prestadores de servicios de alojamiento de datos. Este régimen general del artículo 14 DCE solo resulta desplazado por el régimen especial del artículo 17 de la Directiva 2019/790 para las situaciones a las que esta norma va referida. Además, dejando a un lado esas situaciones, la Propuesta de Reglamento sobre la Ley de Servicios Digitales (PRLSD) contempla mantener prácticamente inalterado en el futuro el contenido del artículo 14 DCE aunque incorporándolo a este nuevo reglamento (al respecto, vid. aquí). Dividiré esta entrada en dos apartados: plataformas y comunicación al público (I) y alcance de la exención de responsabilidad de los prestadores de servicios de alojamiento de datos (II).

 

Vulneración de derechos de la personalidad en Internet: precisiones en materia de competencia judicial internacional

 

La principal aportación de la sentencia de hoy del Tribunal de Justicia en el asunto C-800/19, Mittelbayerischer Verlag, EU:C:2021:489, es precisar que el criterio del centro de intereses de la víctima en aplicación del artículo 7.2 del Reglamento 1215/2012 (RBIbis) no puede ser invocado por un demandante que no es mencionado en modo alguno ni directa ni indirectamente en el contenido supuestamente lesivo para sus derechos de la personalidad difundido a través de Internet (apdo. 36 de la sentencia). O, en los términos del fallo, que ese criterio de competencia solo permite atribuir competencia cuando el contenido en cuestión “permite identificar, directa o indirectamente,… como individuo” a la persona cuyos derechos supuestamente han sido infringidos. Por consiguiente, el Tribunal de Justicia viene a rechazar que ese criterio –que, conforme a su jurisprudencia previa en eDate Advertising y en Bolagsupplysningen permite ejercitar una acción de responsabilidad por la totalidad del daño causado en ese lugar de manifestación- resulte típicamente de aplicación en un supuesto como el del litigio principal, en el que un ciudadano polaco, antiguo preso de Auschwitz, demandó ante los tribunales polacos a un periódico alemán por haber utilizado la expresión «campo de exterminio polaco» en un artículo digital para referirse a un campo de exterminio nazi situado en la Polonia ocupada, al considerar que ese contenido vulneraba sus derechos de la personalidad.

Tratamientos transfronterizos de datos personales y alcance del criterio de ventanilla única

Es conocido que frente a la situación existente en la Directiva 95/46, el RGPD introdujo un modelo llamado de ventanilla única como un régimen específico para la determinación de las autoridades de control competentes en ciertas situaciones vinculadas con dos o más Estados miembros, que evite el sometimiento cumulativo a varias autoridades de control, lo que facilita la actividad de los responsables o encargados pero no debe menoscabar la posición de los interesados ubicados en un Estado miembro distinto de aquel a cuya autoridad de control se atribuye la competencia. Ciertamente, ese modelo se basa en la atribución de una competencia general de la «autoridad de control principal» (en el sentido del art. 56 RGPD) sobre los «tratamientos transfronterizos» (como se definen en el art. 4.23 RGPD), sin perjuicio de ciertas excepciones.  Esa autoridad  de control desempeña una papel preponderante en los procedimientos de cooperación (art. 60) y coherencia en los que también pueden participar «autoridades de control interesadas». En su sentencia de ayer en el asunto C-645/19, Facebook Ireland, EU:C:2021:483, el Tribunal de Justicia aborda por primera vez la interpretación de las normas del RGPD relativas al modelo de ventanilla única y la interacción cuando en el marco de ese modelo en lo relativo al ejercicio de sus poderes entre la autoridad de control principal y autoridades de control interesadas. Entre otros aspectos, destaca que el Tribunal de Justicia establece que el reparto de competencias entre esas autoridades presupone la cooperación leal y efectiva entre las mismas, en particular por parte de la autoridad de control principal como fundamento de la restricción de las competencias de las demás autoridades de control (apdo. 72 de la sentencia).

Responsabilidad por productos: exclusión de los medios con información incorrecta

 

En su sentencia de hoy en el asunto KRONE — Verlag el Tribunal de Justicia no solo constata que la prestación de servicios –como el suministro de información o el asesoramiento- se encuentran excluidos del régimen específico de responsabilidad por los daños causados por productos defectuosos contenido en la Directiva 85/374/CEE sino también que esa conclusión no se ve modificada por la circunstancia de que el servicio se preste mediante la inclusión de la información incorrecta en un soporte que constituya un bien mueble, como un periódico impreso. En concreto, en el litigio principal la demandante pretende exigir responsabilidad a un editor a partir de la consideración como  producto defectuoso de un periódico en relación con la información errónea de un consejo de salud publicado en el mismo, con base en el criterio de que el suministro de información incorrecta cuando aparece recogida en un bien mueble –por ejemplo, en un periódico o un libro- puede dar lugar a que el estricto régimen de responsabilidad objetiva de la Directiva sea de aplicación al autor de la información y al editor del medio en el que se difunde.

Facebook, sus “new enforcement protocols” y los límites de sus “normas comunitarias”

 

            Cuando se trata de determinar qué contenidos de sus usuarios pueden tener cabida en una red social y cuáles pueden o incluso deben ser vetados por la propia red social, sin duda, un elemento relevante son las propias reglas que la entidad que presta el servicio –en ejercicio, entre otros de su derecho a la libertad de empresa- pueda haber establecido, siempre, por cierto, que el contenido de esas reglas y su aplicación sean conformes con la legislación nacional aplicable al caso concreto (y difícilmente podrá pretenderse que sean vinculantes las que al parecer ni siquiera se ponen a disposición del usuario en el idioma en el que se le presta el servicio, por ejemplo en https://www.facebook.com/communitystandards/introduction puede leerse: “Ten en cuenta que la versión en inglés estadounidense de las Normas comunitarias incluye el conjunto más actualizado de estas políticas, por lo que debería usarse como documento de referencia principal.”). Ahora bien, otro elemento determinante es que, al margen de los estándares fijados por la propia empresa, la red social debe respetar las prohibiciones que en cada caso resulten de la legislación nacional aplicable.

Reutilización de información por agregadores de Internet y límites del derecho sui generis sobre bases de datos: la sentencia CV-Online

 

               En su sentencia de hoy en el asunto CV-Online Latvia, C-762/19, EU:C:2021:434, el Tribunal de Justicia ha seguido fielmente los aspectos esenciales de la propuesta formulada por el AG Szpunar en sus conclusiones, a las que ya dediqué una reseña cuando fueron publicadas. El litigio principal tenía su origen en la demanda interpuesta por la sociedad que explota un sitio de Internet que contiene una base de datos con anuncios de empleo publicados por empresarios frente a la sociedad que explota un motor de búsqueda especializado en anuncios de trabajo. Como es propio de los agregadores, el funcionamiento del sitio de la demandada coincide con el de los motores de búsqueda, de modo que copia e indexa en su servidor el contenido de los sitios accesibles en Internet –como el de la demandante- cuya información utiliza para permitir seguidamente a sus usuarios realizar búsquedas en esas bases de datos en el propio sitio de Internet del agregador (apdo. 19 de la sentencia), que se caracteriza por indexar únicamente sitios de Internet de su concreto ámbito de especialización. La demandante considera que esa utilización de sus contenidos por parte del agregador constituye una vulneración de su derecho sui generis en tanto que fabricante de la base de datos en virtud del artículo 7 de la Directiva 96/9 (art. 133 TRLPI en el Derecho español). En virtud de esa norma el fabricante queda facultado para prohibir la extracción y reutilización de la totalidad o de una parte sustancial del contenido de la base de datos, evaluada cualitativa o cuantitativamente, cuando la obtención, la verificación o la presentación de dicho contenido representen una inversión sustancial desde el punto de vista cuantitativo o cualitativo. La sentencia de hoy resulta de interés respecto de una cuestión tan relevante en el entorno del llamado big data como la posibilidad de reutilización de información, datos y contenidos que figuran en bases de datos accesibles a través de Internet.

Reglamento (UE) 2021/784 sobre la lucha contra la difusión de contenidos terroristas en línea: primera parte

 

                Este nuevo instrumento regula las obligaciones de los prestadores de servicios de alojamiento de datos para hacer frente a la difusión entre el público a través de sus servicios de contenidos terroristas, como peculiar categoría de contenidos ilícitos asociada a singulares riesgos. El Reglamento incluye deberes de retirada o bloqueo rápido de tales contenidos y otros deberes de diligencia que se imponen a los prestadores de servicios; así como el régimen de adopción de medidas, incluyendo órdenes de retirada, por parte de los Estados miembros en relación con el uso indebido de los servicios de alojamiento de datos en este concreto sector. Esta reseña, tras una referencia a los elementos básicos del Reglamento (I, infra), aborda algunas de las cuestiones de interés que el nuevo instrumento, que será aplicable a partir del 7 de junio de 2022, plantea: ordenes de retirada (II), medidas específicas frente al uso indebido de los servicios de alojamiento (III), obligaciones adicionales de los prestadores de servicios (IV), interacción con otras normas reguladoras del régimen de los prestadores de servicios de alojamiento (V), ámbito territorial (VI) y aplicación por los Estados miembros (VII). 

Reglamento (UE) 2021/784 sobre la lucha contra la difusión de contenidos terroristas en línea: segunda parte

Como continuación de la entrada precedente, en esta se incluyen los apartados relativos a la interacción del nuevo Reglamento con otras normas de la UE reguladoras del régimen de los prestadores de servicios de alojamiento (V), así como al análisis de su ámbito territorial (VI) y de ciertas precisiones respecto de la aplicación por los Estados miembros (VII), junto con un breve epílogo (VIII).

Demandas de accionistas frente a sociedades cotizadas por información inexacta o engañosa: competencia internacional

 

La jurisprudencia del Tribunal de Justicia había reconocido la relevancia del lugar de establecimiento del banco o entidad en cuyo registro está inscrita la cuenta del inversor en la que se produce directamente el perjuicio económico derivado de la pérdida de valor de los activos que figuran en la cuenta, como elemento significativo al determinar el lugar de manifestación del daño a los efectos de atribuir competencia con base en el artículo 7.2 del Reglamento (UE) 1215/2012 o Reglamento Bruselas I bis (RBIbis). Ahora bien, lo había hecho en situaciones en las que la situación presentaba conexiones adicionales con el Estado miembro en el que se localizaba la cuenta. En particular, en la sentencia en el asunto Löber, EU:C:2018:701, en relación con demandas de responsabilidad civil interpuestas por inversores frente a emisores de bonos fundadas en el carácter supuestamente defectuoso del folleto, el Tribunal destacó (apdos. 31 a 35) que concurrían una serie de elementos relevantes al atribuir competencia a los tribunales de ese Estado miembro, en el que no solo se ubicaba el domicilio de la víctima, su cuenta bancaria personal, las cuentas de compensación destinadas a la ejecución de la inversión, sino que además la inversora demandante solo había tenido tratos con bancos de ese Estado miembro, en cuyo mercado secundario había adquirido los certificados con base en información que había sido notificada a la entidad supervisora de ese Estado miembro. Además, el Tribunal recordó que en su sentencia Kolassa, EU:C:2015:37, había atribuido relevancia a la vinculación entre la localización de la cuenta bancaria en la que se materializa directamente el daño y el lugar (o lugares) en los que el emisor decide que se difunda el folleto, al subrayar en su apdo. 56 que este elemento hace previsible para el emisor la posibilidad de ser demandado en ese lugar si no cumple sus obligaciones legales relativas al folleto (si bien esa vinculación entre ambos elementos no se recogió en el fallo de la sentencia ni en el resto de su fundamentación). Por otra parte, su jurisprudencia también había establecido en situaciones de ese tipo, en particular cuando el daño consiste exclusivamente en una pérdida económica que se materializa en la cuenta bancaria de la víctima pero es consecuencia directa de un acto ilícito cometido en otro Estado, que el domicilio de la víctima resulta insuficiente a los efectos de determinar el lugar de manifestación del daño con base en el artículo 7.2 RBIbis (sentencias Kronhofer, EU:C:2004:364, y Universal Music International Holding, EU:C:2016:449). En su sentencia de hoy en el asunto Vereniging van Effectenbezitters, C-709/19, EU:C:2021:377, el Tribunal de Justicia realiza aportaciones adicionales no solo acerca de la insuficiencia del lugar de establecimiento del banco o entidad en cuyo registro está inscrita la cuenta del inversor como elemento determinante del lugar de materialización del daño derivado de la difusión de información engañosa en demandas de accionistas frente a sociedades cotizadas, a los efectos del artículo 7.2 RBIbis, sino también acerca del elemento que por sí solo resulta determinante a efectos de fundamentar la atribución de competencia con base en esa norma en tales situaciones.

Comunicación de la Comisión rechazando la adhesión del Reino Unido al Convenio de Lugano

 

Hoy ha hecho público la Comisión el texto de su valoración respecto de la solicitud de adhesión al Convenio de Lugano relativo a la competencia judicial y a la ejecución de resoluciones judiciales en materia civil y mercantil presentada por el Reino Unido (RU) el 8 de abril de 2020 en la que proponía además la extensión a Gibraltar. Con carácter previo, cabe recordar que, conforme a los artículos 70 a 72 del Convenio de Lugano, tras su retirada de la Unión la adhesión del RU al Convenio solo es posible con el acuerdo unánime de todas las partes contratantes (art. 72.3 CL). Además, se prevé que la entrada en vigor del CL solo se producirá para las relaciones entre el Estado adherente y las Partes contratantes que no hayan formulado objeciones a la adhesión. Por lo tanto, la eventual participación del RU en el Convenio de Lugano requeriría la aceptación de su solicitud por parte de la UE (además de Suiza, Islandia y Noruega).

Propuesta de Reglamento sobre inteligencia artificial

 

El miércoles pasado la Comisión Europea presentó un conjunto de medidas en el ámbito de la inteligencia artificial. Desde la perspectiva regulatoria, destaca su Propuesta de Reglamento en la materia: Proposal for a Regulation laying downharmonised rules on artificial intelligence (Artificial Intelligence Act) andamending certain Union legislative acts (todavía no disponible en español). Esta breve reseña de la prolija Propuesta, junto a una síntesis de sus fundamentos y contenido tal como han sido presentados por la propia Comisión, pretende aportar una primera reflexión acerca del ámbito de aplicación del nuevo instrumento, su interacción con otras disposiciones del Derecho de la Unión, los peculiares mecanismos previstos para su aplicación y ejecución, así como ciertas cuestiones en la materia que quedan al margen de la Propuesta.

Precisiones sobre la ley aplicable a la acción rescisoria concursal

 

En su sentencia de hoy en el asunto C-73/20, Oeltrans Befrachtungsgesellschaft, el Tribunal de Justicia precisa la delimitación entre, de una parte, el alcance de la ley del Estado de apertura del procedimiento de insolvencia en tanto que Derecho que rige ese procedimiento y sus efectos, incluyendo el régimen de las acciones rescisorias concursales -artículo 7.2.m) del Reglamento 2015/848 sobre procedimientos de insolvencia (art. 4.1, del Reglamento 1346/2000)- y, de otra, el alcance de la ley que rige el acto perjudicial para los intereses de los acreedores a los efectos de la excepción prevista en su artículo 16 (art. 13 de la versión anterior del Reglamento). Como es conocido, en virtud de esa excepción, prevalece sobre la acción rescisoria de la ley de apertura del procedimiento de insolvencia lo previsto en la ley rectora del acto perjudicial si dicho ordenamiento no permite la impugnación.

Propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas: ámbito territorial

 

Como es  conocido, el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) no regula las obligaciones en materia de tratamiento de datos específicas de la prestación de servicios de comunicaciones electrónicas en redes públicas, regidas todavía por la Directiva 2002/58/CE (vid. cdo. 173 y art. 95 RGPD). La complementariedad entre la Directiva 2002/58 y la Directiva 95/46 justificaba que la adopción del RGPD fuera unida a una reforma en paralelo de la Directiva 2002/58. Por eso, ya en enero de 2017 la Comisión presentó una Propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas destinado a derogar la Directiva 2002/58/CE, que se configura como una lex specialis, que tiene por objeto precisar y completar el RGPD con respecto a los datos personales de comunicaciones electrónicas. La idea inicial de la Propuesta era que ese nuevo Reglamento fuera aplicable, al igual que el RGPD, a partir de mayo de 2018. Ahora bien, condicionada por la complejidad y relevancia de las cuestiones abordadas –confidencialidad de las comunicaciones electrónicas y requisitos de tratamiento de los datos y metadatos relativos a esas comunicaciones, tutela de la información en equipos terminales (por ejemplo, en relación con el empleo de cookies y técnicas similares), derechos de los usuarios finales en materia de envío y recepción de comunicaciones electrónicas, retención de datos de tráfico…-  la tramitación de la propuesta de Reglamento está resultando especialmente laboriosa y lenta. En este contexto, cabe reseñar la reciente adopción por el Consejo del texto con su posición como base para las futuras negociaciones con el Parlamento y la Comisión. Transcurridos cuatro años, el nuevo texto presenta diferencias significativas con respecto a la Propuesta inicial de la Comisión.

 

La paradoja europea en materia de (transferencias internacionales de) datos personales

 

Hace unos días el Comité Europeo de Protección de Datos (más conocido por sus siglas en inglés como EDPB) publicó en su sitio web de manera muy destacada información relativa a la conclusión de un expediente por la autoridad bávara de protección de datos personales (“Bavarian DPA (BayLDA) calls for German company to cease the use of 'Mailchimp' tool”). El asunto, que va referido al empleo de un servicio ofrecido por un prestador estadounidense pero muy popular en la Unión Europea, se enmarca en el contexto de las exigencias derivadas de la conocida STJUE Facebook Ireland y Schrems, C-311/18, EU:C:2020:559. Ciertamente hace ya casi nueve meses que el Tribunal de Justicia no solo declaró la invalidez de la Decisión (UE) 2016/1250 de la Comisión sobre la adecuación de la protección conferida por el Escudo de la Privacidad UE-EEUU, sino que además constató que cuando se emplean cláusulas contractuales tipo para la transferencia de datos personales a terceros países debe asegurarse que las personas cuyos datos personales son objeto de transferencia gozan respecto de los datos transferidos de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión (apdo. 96 de la sentencia, a la que me referí en su momento aquí y  posteriormente aquí al hilo de las Recomendaciones del EDPB sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE y del Borrador de Decisión de la  Borrador de Decisión sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países en virtud del RGPD).

ILA-Kyoto Guidelines on Intellectual Property and Private International Law

Producto de una década de trabajos de su Comité sobre Propiedad Intelectual y Derecho internacional privado, la International Law Association en su septuagésima novena conferencia bianual celebrada (virtualmente) en Kyoto adoptó las Directrices sobre Propiedad Intelectual y Derecho Internacional Privado. Como punto de partida, el texto combina los logros de las principales propuestas anteriores en este ámbito (básicamente los conjuntos de principios adoptados una década antes por el American Law Institute, por el Grupo europeo Max-Planck (CLIP) y otros dos proyectos en Asía). Representantes de todos esos grupos han participado activamente en esta iniciativa, cuyos resultados incluyen además avances importantes en ámbitos especialmente controvertidos, como el relativo al régimen de Derecho internacional privado aplicable en relación con la titularidad originaria, o particularmente novedosos, como el tratamiento de las cuestiones de Derecho internacional privado que se suscitan en relación con la actividad de las entidades de gestión colectiva. A la espera de la inminente publicación de la versión completa de las Directrices y sus comentarios explicativos –de la que también daré cuenta-, el texto de las disposiciones y un breve comentario tal como han sido aprobados por la ILA están disponibles aquí.

Actualización 12 de abril de 2021 - La versión completa de las Directrices con sus comentarios explicativos está ya disponible en abierto aquí.

Eficacia de las medidas tecnológicas restrictivas de enlaces

 

En su sentencia en el asunto VG Bild-Kunst el Tribunal de Justicia desarrolla su jurisprudencia relativa al alcance del derecho de comunicación al público respecto de la utilización de enlaces de Internet. Lo hace básicamente para avalar que la adopción en páginas web de medidas tecnológicas de protección frente a ciertos tipos enlaces –los que permiten insertar un elemento de la página web enlazada como si formara parte del sitio del tercero en el que se incorpora el enlace- resulta determinante para apreciar que el titular se opone a tal práctica, de modo que la inserción en el sitio web del tercero de contenidos de la página enlazada con elusión de tales medidas de protección constituye un acto de comunicación al público que eventualmente infringe los derechos del titular, incluso aunque la página web enlazada esté libremente accesible en Internet.

El Tribunal Supremo (Sala de lo Contencioso) y los mandamientos de cesación frente a conductas ilícitas en plataformas de Internet

De llegar a buen puerto en su configuración actual la propuesta de Reglamento de la UE relativa a la Ley de servicios digitales, uno de sus efectos “colaterales” sería que al convertir en reglamento, con ligeras adaptaciones, el actual artículo 14 de la Directiva 2000/31 sobre el comercio electrónico implicaría la supresión de varías anomalías de nuestra legislación resultantes de la incorporación de esa norma en el artículo 16 de la Ley 34/2002 o LSSI. Una primera anomalía –mitigada con el paso del tiempo por la jurisprudencia (en particular de la Sala de lo Civil del TS)- es la derivada de la inclusión en esta norma del añadido según el cual, se entenderá que el prestador tiene el conocimiento efectivo (determinante de la pérdida de la exención de responsabilidad) “cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución, sin perjuicio…”, El conocimiento efectivo de la ilicitud es determinante de la pérdida de la exención de responsabilidad por el intermediario (aunque por sí solo no basta en principio para imputarle responsabilidad conforme a la legislación que resulte aplicable). Una segunda anomalía es que el legislador español eludiera incluir en los artículos 14, 15 y 16 (y 17) de la LSSI, lo que se dispone con respecto a las exenciones de responsabilidad en los artículos 12, 13 y 14 de la DCE, en el sentido de que las exenciones de responsabilidad de los prestadores de servicios de intermediación no afectan “la posibilidad de que un tribunal o una autoridad administrativa, de conformidad con los sistemas jurídicos de los Estados miembros, exijan al prestador de servicios poner fin a una infracción o impedirla…” (art. 14.3 DCE).

Periódicos digitales y demandas por vulneración de derechos de la personalidad: competencia judicial, derecho aplicable y reconocimiento de resoluciones

 

              El asunto C‑800/19, Mittelbayerischer Verlag, sobre el que hoy ha presentado sus conclusiones el Abogado General Bobek, dará al Tribunal de Justicia la oportunidad de realizar precisiones adicionales sobre uno de los ámbitos en los que su jurisprudencia ha sido más relevante en la evolución de las normas de competencia judicial de la Unión, como es el relativo a los litigios derivados de lesiones de derechos de la personalidad a través de Internet, sector en el que como es bien conocido las aportaciones clave del Tribunal de Justicia se encuentran en sus célebres sentencias eDate Advertising y Bolagsupplysningen. Además, en la primera de esas sentencias el Tribunal de Justicia también realizó una importante aportación acerca del alcance del criterio de origen del artículo 3 de la Directiva 2000/31 sobre el comercio electrónico, cuestión sobre la que también vuelve hoy en la parte final de sus conclusiones el AG. El asunto C-800/19, que ciertamente va referido a un supuesto muy particular, plantea dos cuestiones relativas a la interpretación del artículo 7.2 del Reglamento 1215/ 2012 o RBIbis: en primer lugar, si cabe invocar el fuero del centro de intereses de la víctima en un supuesto como el del litigio principal; en segundo lugar, qué circunstancias deben ser tenidas en cuenta al concretar si un determinado lugar es “lugar donde se haya producido o pueda producirse el hecho dañoso” en el sentido del mencionado artículo 7.2. No obstante, el AG, al considerar que la interpretación del Tribunal de Justicia acerca del alcance de la competencia conduce a un criterio muy generoso para las supuestas víctimas de tales lesiones, complementa sus apreciaciones al respecto con un análisis de las restricciones que en materia de Derecho aplicable resultan del Derecho de la Unión en este ámbito e incluso con la referencia al eventual recurso al orden público como límite al reconocimiento de la resolución que se pueda adoptar en el litigio principal. Dividiré esta reseña al hilo de las conclusiones presentadas hoy por el Abogado General en cuatro apartados, en los que abordaré: la aplicabilidad del fuero del centro de intereses de la víctima (I), las circunstancias a tener en cuenta en la concreción de lugar de manifestación del daño a los efectos del artículo 7.2 RBIbis (II), los aspectos de la ley aplicable (III) y las cuestiones de reconocimiento de resoluciones (IV).

Datos personales y otros contenidos digitales de personas fallecidas: aspectos internacionales e interregionales

    Como deja claro su considerando 27, el RGPD no se aplica a los datos de personas fallecidas, de modo que los Estados miembros mantienen su competencia para establecer normas relativas al tratamiento de tales datos. En línea con esa exclusión, también la LOPDGDD establece en su artículo 2.2.b) que no es de aplicación al tratamiento de datos de personas fallecidas, sin perjuicio de lo establecido en su artículo 3, que introduce la posibilidad de que personas vinculadas al fallecido o sus herederos puedan solicitar el acceso a sus datos personales, así como su rectificación o supresión. Por consiguiente, el artículo 3 LOPDGDD tiene por objeto regular respecto de los datos personales concernientes a personas fallecidas los derechos de acceso, rectificación o supresión. En consecuencia, este artículo debe ser complementado con las disposiciones del RGPD (arts. 15 a 17) y de la LOPDGDD (arts. 12 a 15) que regulan tales derechos. El objeto del artículo 3 LOPDGDD es establecer que tales derechos son de aplicación respecto de las personas fallecidas –pese a que tales datos no se hallan regidos en todo lo demás por la LOPDGDD ni el RGPD- así como introducir ciertas reglas específicas –y no exentas de dificultades- acerca de quiénes pueden solicitar tales derechos.

Blogs: interacción entre la libertad de expresión y el derecho al honor

Aunque habida cuenta del nivel de desarrollo de la jurisprudencia española relativa a la ponderación entre, de una parte, el derecho a la libertad de expresión (e información) y, de otra, el derecho al honor respecto de la difusión de contenidos a través de Internet, su relevancia práctica en nuestro sistema no debe ser sobreestimada, merece una referencia la reciente sentencia del Tribunal Europeo de Derechos Humanos en el asunto Gheorghe-Florin Popescu c. Rumania. Ese interés se vincula en particular con que el TEDH proporciona una síntesis de los principales elementos que resulta necesario tomar en consideración al ponderar el derecho a la libertad de expresión (art. 10 CEDH) y el derecho a la vida privada (art. 8 CEDH), concluyendo que la ausencia de valoración de esas circunstancias por parte de los tribunales rumanos al considerar civilmente responsable a un bloguero y obligarle a pagar unos mil euros por daño moral a aquel cuyo honor había resultado menoscabado supone una vulneración del derecho fundamental a la libertad de expresión del mencionado artículo 10, en la medida en que los tribunales no habían proporcionado motivos suficientes que justificaran la injerencia en el citado derecho fundamental del bloguero.

Transferencias internacionales mediante cláusulas tipo de protección de datos

 

A pesar de que la sentencia del Tribunal de Justicia Facebook Ireland y Schrems, C-311/18, EU:C:2020:559, confirmó la validez de la Decisión de la Comisión 2010/87/UE relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, dejó claro la exigencia de asegurar que las personas cuyos datos personales son objeto de transferencia a un país tercero con base en tales cláusulas gozan respecto de los datos transferidos de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión (apdo. 96 de la sentencia). Cabe recordar que en la medida en que con respecto al tercer Estado destino de una transferencia de datos personales no exista una decisión de adecuación en virtud del artículo 45 RGPD, las transferencias solo pueden realizarse si existen garantías adecuadas conforme a lo previsto en el artículo 46.2 RGPD, como el empleo de cláusulas contractuales tipo adoptadas por la Comisión o, en su defecto, cuando sea aplicable alguna de las excepciones para situaciones específicas establecidas en el artículo 49 RGPD. La sentencia Facebook Ireland y Schrems puso de relieve que el empleo de cláusulas tipo no exime de la necesidad de valorar si, a la luz de las circunstancias que rodean la transferencia, las cláusulas tipo de protección de datos no se respetan o no pueden ser respetadas en el país tercero al que los datos van a ser transferidos, de modo que no puede garantizarse un nivel de protección equivalente al existente en la UE. En este contexto, tienen singular interés la presentación por la Comisión de un Borrador de Decisión sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países en virtud del RGPD (y su Anexo con el texto de las cláusulas contractuales tipo); así como la previa adopción por el EDPB de las Recomendaciones 01/2020, de 10 de noviembre de 2020, sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE; y la Declaración conjunta  EDPB - EDPS 2/2021 sobre el Borrador de Decisión de la Comisión (y su Anexo con ulteriores comentarios al texto de las cláusulas contractuales del documento de la Comisión).

Agregadores de Internet y derecho "sui generis" sobre bases de datos

 

               En la medida en que para permitir las búsquedas de sus usuarios un agregador de Internet típicamente reproduce e indexa los contenidos de otros sitios de Internet, cuando lo hace respecto de sitios web que reúnen los requisitos para ser objeto de protección en tanto que bases de datos cuyos fabricantes tienen atribuido un derecho sui generis en virtud del artículo 7 de la Directiva 96/9/CE (art. 133 TRLPI en el Derecho español), resulta preciso abordar si la actividad del agregador implica una extracción y/o reutilización de la base de datos, que el fabricante de la base de datos pueda prohibir con base en el mencionado artículo 7. En sus conclusiones de ayer en el asunto CV-Online Latvia, C-672/19, EU:C:2021:22, el Abogado General Szpunar propone que el Tribunal de Justicia adopte una interpretación del artículo 7 de la Directiva 96/9/CE que, con base en el potencial innovador y de creación de valor añadido de los agregadores a la luz de su relevancia en el funcionamiento de la economía digital, así como en la función de protección de la competencia inherente al mencionado artículo 7, limite la protección conferida por el derecho sui generis a aquellas situaciones en las que el órgano que conozca sobre el fondo del asunto compruebe que “la extracción o la reutilización de que se trate constituyan un perjuicio para la inversión en la creación o el funcionamiento de la base de datos… en el sentido de que constituyen un riesgo para las posibilidades de amortizar dicha inversión, en particular amenazando los ingresos procedentes de la explotación de la base de datos en cuestión” (apdos. 46 y 47 de las conclusiones). En realidad, se trata de una exigencia que en términos similares cabe encontrar ya en la jurisprudencia previa del Tribunal de Justicia (véase, en particular, el apdo. 37 de la STJUE de 19 de diciembre de 2013, C-202/12, Innoweb, con ulteriores referencias en ese mismo sentido).

La futura ley de mercados digitales de la Unión

A diferencia de la PRLSD, a la que dediqué la anterior entrada, la Propuesta de Reglamento relativa a una ley de mercados digitales (en adelante, PRLMD), presentada conjuntamente por la Comisión (y, de momento, tampoco disponible en español), se configura como un instrumento orientado a establecer un régimen de obligaciones específico para un grupo reducido de grandes prestadores de servicios de plataformas digitales, de cara a hacer frente a los desequilibrios económicos y las posibles prácticas desleales de ciertas grandes plataformas digitales. La PRLSD no pretende regular el régimen de responsabilidad de las plataformas en tanto que prestadoras de servicios de la sociedad de la información intermediarios y sus obligaciones en relación con la eventual difusión de contenidos ilícitos a través de sus servicios sino establecer mecanismos para hacer frente a los desequilibrios económicos y las posibles prácticas comerciales desleales de ciertas grandes plataformas online intermediarias entre empresas y usuarios finales que pueden restringir el acceso a los mercados de plataformas. En consecuencia, contempla la imposición de obligaciones específicas a un grupo reducido de “gatekeepers” o guardianes de acceso, cuya dimensión y volumen de usuarios determinan que desempeñen un papel clave en que sus usuarios profesionales (es decir, típicamente las empresas que comercializan sus bienes a través de la plataforma) puedan interactuar con los usuarios finales (potenciales clientes de esas empresas). Se configura como un instrumento complementario a los que proporciona ya el Derecho de competencia de la UE, con un elaborado régimen sancionatorio de Derecho público por parte de la Comisión.