Instrumentos financieros, mercado FOREX y cláusulas de jurisdicción: protección de consumidores

          La sentencia del Tribunal de Justicia en el asunto C-208/18, Petruchová, EU:C:2019:825 resulta de interés en la media en que contiene precisiones adicionales acerca de la inclusión de litigios relativos a instrumentos financieros dentro de la categoría “contratos celebrados por los consumidores” a efectos de los artículos 17 a 19 del Reglamento (UE) 1215/2012 o Reglamento Bruselas I bis. En síntesis, junto a la confirmación de que también en el ámbito financiero una persona física que actúa al margen e independientemente de toda actividad profesional –cualesquiera que sean, entre otros elementos, las cuantías implicadas y la frecuencia de su actuación- se beneficia en principio de la consideración como consumidor a los efectos del RBIbis, la aportación fundamental de la nueva sentencia es que esa categoría puede abarcar instrumentos financieros excluidos del ámbito de aplicación de la norma sobre protección de consumidores del Reglamento Roma I sobre la ley aplicable a los contratos (art. 6 RRI ), incluso en situaciones en las que la persona física implicada tiene la consideración de “cliente profesional” y no de “cliente minorista” a los efectos de la Directiva 2004/39 relativa a los mercados de instrumentos financieros.

Alcance de los mandamientos judiciales de retirada de contenidos ilícitos frente a redes sociales: la sentencia Glawischnig-Piesczek

Entre las varias sentencias pronunciadas ayer por el Tribunal de Justicia de especial interés en relación con las cuestiones tratadas en este blog, cabe destacar, en primer lugar, su sentencia en el asunto C-18/18, Glawischnig-Piesczek,  EU:C:2019:821, al que ya dediqué dos reseñas –aquí y aquí- en relación con las conclusiones del Abogado General (AG). Aunque en los medios de comunicación la sentencia parece haber tenido especial repercusión en lo relativo al complejo aspecto de la posibilidad de adoptar medidas de supresión de alcance mundial, sus principales aportaciones concretas se centran en la interpretación de los límites sustantivos (y no tanto territoriales) a las obligaciones de supervisión de contenidos de terceros que cabe imponer a los prestadores de servicios de alojamiento, como las redes sociales, en el marco del artículo 15 de la Directiva 2000/31 sobre el comercio electrónico (DCE). Como es conocido, pese a que el artículo 15 DCE no tuvo reflejo en la Ley 34/2002 (LSSI), su interpretación resulta también determinante de la aplicación de las exenciones de responsabilidad de los prestadores de servicios intermediarios previstas en dicha Ley. Dividiré esta reseña –basada en gran medida en los dos comentarios anteriores sobre este asunto- en tres apartados.

   

Precisiones acerca del consentimiento en materia de cookies

               La sentencia del Tribunal de Justicia de hoy en el asunto C-673/17, Planet49, EU:C:2019:801 aborda la ineficacia de las casillas marcadas por defecto como declaración del consentimiento en relación con el almacenamiento de información o el acceso a información almacenada en el equipo terminal del usuario de un sitio de Internet a través de cookies. En línea con el planteamiento adoptado hace ya años por el llamado Grupo de Trabajo del artículo 29, entre otros, en su Dictamen 15/2011 sobre la definición de consentimiento (al que me referí al tiempo de su publicación aquí), y avalado por el Abogado General en sus conclusiones en este asunto, el Tribunal de Justicia rechaza la eficacia de tales casillas, en las que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento, a los efectos del artículo 5.3 de la Directiva 2002/58 sobre la privacidad y las comunicaciones electrónicas (pendiente, por cierto, de revisión para su adaptación al marco del Reglamento (UE) 2016/679 o RGPD, respecto del que el Tribunal confirma que es claro que ese tipo de casillas no son eficaces para prestar el consentimiento en materia de tratamiento de datos personales, que conforme al RGPD requiere una manifestación de voluntad “libre, específica, informada e inequívoca” (apdos. 61 y 62 de la sentencia).

El botón “me gusta”: aspectos legales

          La sentencia del Tribunal de Justicia en el asunto Fashion ID, C-40/17, EU:C:2019:629 aborda en qué medida el administrador de un sitio web que incorpora el botón “me gusta”, facilitado por Facebook, es responsable del tratamiento de los datos personales de quienes visitan la página web que el navegador de cada visitante envía automáticamente a Facebook por el simple hecho de visitar la página web que incluye el botón (sin necesidad de que el visitante pulse el botón y con independencia de que sea o no usuario de Facebook). Habida cuenta de la configuración y funcionamiento de tales botones, así como de la jurisprudencia previa del Tribunal de Justicia acerca del concepto de responsable del tratamiento de datos personales, no resulta una sorpresa que el Tribunal de Justicia considere que el administrador de un sitio de Internet que inserta un botón de ese tipo puede ser considerado responsable del tratamiento. Ese enfoque suscita complejas cuestiones acerca de la delimitación entre la posición como responsable del administrador del sitio web y la del proveedor de la red social que facilita el botón y recibe los datos, sobre las que la sentencia aporta criterios muy relevantes. Además, de cara al futuro, el planteamiento adoptado por el Tribunal debe llevar a reflexionar no solo acerca de las obligaciones de administradores de sitios web y proveedores de redes sociales con respecto a los afectados por el tratamiento de datos, sino también acerca de las implicaciones del desequilibrio existente entre la posición de la red social y la de los administradores de sitios web que insertan ese tipo de botones a la hora de establecer el régimen de derechos y obligaciones de la relación existente entre estas dos partes, aspecto este último que desborda los límites de la sentencia pero resulta de gran importancia de cara al futuro a la luz precisamente del contenido de la sentencia.

Reglamento (UE) 2019/1150 sobre servicios de intermediación en línea: ámbito de aplicación

             En los esfuerzos de la Unión Europea por regular la que denomina “economía de plataformas en línea”, el reciente Reglamento (UE) 2019/1150, que se aplicará a partir del 12 de julio de 2020, constituye un hito de gran importancia. En concreto, se trata del Reglamento (UE) 2019/1150, de 20 de junio de 2019, sobre el fomento de la equidad y la transparencia para los usuarios profesionales de servicios de intermediación en línea. El nuevo Reglamento parte de que la posición que ocupan ciertas plataformas de intermediación en línea genera importantes riesgos de que los intereses legítimos de sus usuarios profesionales puedan verse perjudicados como resultado de prácticas que menoscaban la lealtad de las relaciones comerciales. Por ello, la UE ha considerado necesario complementar el acervo existente con reglas destinadas a tutelar a las empresas y profesionales frente a ciertas prácticas de esas plataformas, mediante normas que, entre otros aspectos, tendrán una notable repercusión en la presentación y contenido de las condiciones generales de tales plataformas, así como en lo relativo a la posibilidad de los usuarios profesionales afectados de reaccionar frente a las prácticas que puedan menoscabar sus intereses y resulten contrarias al Reglamento. En esta reseña me limitaré a hacer referencia a su contenido normativo básico y a abordar algunos aspectos relativos a su ámbito de aplicación y su interacción con otros instrumentos de la Unión.

Contratación a través de Internet: requisitos de información

La reciente sentencia del Tribunal de Justicia en el asunto C-649/17, Amazon EU, EU:C:2019:576, aborda la interpretación de la norma de la Directiva 2011/83, sobre los derechos de los consumidores, relativa a los requisitos de información que el comerciante debe facilitar al consumidor antes de la celebración de contratos a distancia, entre los que típicamente se incluyen los celebrados por medios electrónicos. Como es conocido, la Directiva 2011/83 lleva a cabo una armonización plena, de modo que excluye que sobre ese particular los Estados miembros puedan mantener o introducir disposiciones más o menos estrictas para garantizar un diferente nivel de protección de los consumidores (art. 4). Básicamente, la cuestión controvertida era si la regulación de los mencionados requisitos de información en el artículo 6 de la Directiva 2011/83 es compatible con una legislación nacional que exige que el comerciante en todo caso facilite un número de teléfono al consumidor, así como si esa disposición obliga al comerciante a instalar una línea telefónica o de fax o crear una dirección de correo electrónico para que los comerciantes se pongan en contacto con él. Las dudas acerca de la interpretación de la Directiva, especialmente en relación con supuesto de contratación a través de Internet, sin utilización de otros medios como el teléfono o el fax, están condicionadas por ciertas diferencias en la redacción de su artículo 6 en las versiones en diferentes idiomas de la Directiva, así como en el caso concreto por la transposición hecha por el legislador alemán a partir del texto de la Directiva en ese idioma. Desde la perspectiva española, la versión en español de la Directiva coincide con la alemana, a diferencia de otras; ahora bien, el legislador español en el artículo 97 TRLGDCU optó por una incorporación prácticamente literal de la norma, menos problemática a la luz de esta sentencia que la opción seguida por el legislador alemán.

Los contratos transfronterizos de suministro de contenidos y servicios digitales y de compraventa de bienes tras las Directivas 2019/770 y 2019/771

               En gran medida la Directiva (UE) 2019/770, de 20 de mayo, relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales, está destinada a hacer frente a las dificultades que para el comercio electrónico (intracomunitario) derivan del artículo 6 del Reglamento Roma I (593/2008), en relación con la fragmentación existente entre los Estados miembros en materia de normas imperativas sobre contratos de consumo. Lo mismo cabe decir de la Directiva (UE) 2019/771, de 20 de mayo, relativa a determinados aspectos de los contratos de compraventa de bienes y que deroga la Directiva 1999/44/CE. Es conocido que el régimen de Derecho aplicable previsto en el artículo 6 RRI determina que, para los contratos de consumo comprendidos en su ámbito de aplicación, cuando la empresa dirige su actividad a varios Estados miembros deba respetar las normas imperativas de protección de los consumidores de cada uno de esos Estados. En virtud de lo dispuesto en el mencionado artículo 6 RRI, aunque el comerciante pueda prever la elección de la ley de un único país como aplicable a todos sus contratos, esa elección no podrá acarrear, para el consumidor, la pérdida de la protección que le proporcionen aquellas disposiciones del país de su residencia habitual que no puedan excluirse mediante acuerdo. El considerando 4 de la Directiva (UE) 2019/770 y el considerando 7 de la Directiva (UE) 2019/771 hacen referencia a los costes que ello implica para las empresas que ofrecen contenidos y servicios digitales o comercializan productos en varios Estados miembros, en la medida en que requiere que tengan en cuenta una pluralidad de legislaciones nacionales.

“Smart contracts”, blockchain, derechos de autor y Derecho internacional privado

El congreso organizado hoy por ALAI Italia en el imponente marco de la Sala Spadolini del Ministerio de Cultura de Roma, bajo el título “La tecnologia blockchain e il diritto d’autore: Miraggio o Realtà” (aquí y aquí), ha constituido una nueva oportunidad para el debate sobre el estado actual de la tecnología blockchain (más ampliamente, Distributed Ledger Techonology o DLT), así como la eficacia jurídica de los denominados “smart contracts”, con especial referencia a su eventual empleo en el marco de la tutela y explotación de los derechos de autor. En el congreso se han abordado con rigor además de los aspectos tecnológicos, el potencial y la (eventual) utilización de esta tecnología en el sector audiovisual y musical, junto con ciertas cuestiones de su dimensión internacional. Todo ello previsiblemente tendrá su reflejo en el volumen que recogerá la versión escrita de las distintas ponencias. En relación con los aspectos de Derecho internacional privado de los “smarts contracts” –una de las varias aplicaciones de las DLTs-, resulta fundamental la caracterización de esos instrumentos.

Alcance territorial de los mandamientos judiciales de retirada de contenidos ilícitos frente a redes sociales

            En lo relativo al alcance territorial de las medidas, las cuestiones planteadas en el asunto C-18/18, Glawischnig-Piesczek, incluyen la de si el artículo 15 DCE se opone a que el mandamiento de retirada de contenidos a la red social vaya referido no sólo a datos del servicio en el Estado miembro cuyos tribunales conocen del litigio principal, sino en todo el mundo. Se trata de un aspecto especialmente controvertido,  al que me he referido aquí al hilo, entre otras, de las resoluciones canadienses y estadounidenses en el asunto Google v. Equustek, la STJUE en el asunto Bolagsupplysningen o las conclusiones del Abogado General en el asunto C-507/17, Google/CNIL relativo al alcance territorial del derecho al olvido. La aportaciones al respecto por parte del Tribunal de Justicia en una futura sentencia en el asunto C-18/18 tendrían gran relevancia. Ahora bien, la circunstancia de que la pregunta sobre el particular planteada por el Tribunal Supremo austriaco vaya referida a si medidas de alcance mundial serían contrarias al artículo 15 DCE limita el potencial de este asunto en relación con esa cuestión. Esta constatación se ve reforzada por la circunstancia de que la reclamación en el litigio principal va referida a una materia como la vulneración del derecho al honor y a la propia imagen, que no ha sido objeto de armonización en el seno de la UE a nivel material ni conflictual. De hecho, la principal conclusión alcanzada por el Abogado General es que sencillamente que se trata de un aspecto que no está regulado por el artículo 15 ni por ninguna otra disposición de la DCE, de modo que sus normas no se oponen a la adopción de medidas con ese alcance, pero tampoco resultan determinantes de la posibilidad de adoptarlas. Sin perjuicio de lo anterior, el análisis del resto de las conclusiones del Abogado General, para el caso de que el Tribunal de Justicia no siga su propuesta de responder en esos términos, resulta de interés en una materia tan controvertida y fuente de incertidumbre como el alcance territorial de las medidas de retirada de contenidos frente a prestadores de servicios en línea.

Alcance material de los mandamientos judiciales de retirada de contenidos ilícitos frente a redes sociales

          Tanto el alcance material como el territorial de las medidas de cesación susceptibles de ser adoptadas frente a prestadores de servicios de la sociedad de la información en relación con contenidos ilícitos alojados por terceros en sus servicios resultan cuestiones controvertidas. En lo relativo al alcance material  de las medidas que pueden adoptarse, es conocido que la ponderación entre los derechos fundamentales afectados (según los casos, el derecho al honor, el derecho a la protección de datos, la libertad de expresión, la libertad de información, el derecho de propiedad intelectual, el derecho a la libertad de empresa, etc.) exigen en la práctica un análisis casuístico, lo que se proyecta sobre la interpretación de las inmunidades de las que se benefician los intermediarios conforme a lo dispuesto en la Directiva 2000/31 sobre el comercio electrónico (DCE) y la Ley 34/2002 o LSSI, a lo que hay que sumar la incertidumbre existente acerca de las implicaciones precisas en el contexto actual de la prohibición de imponer a tales intermediarios obligaciones generales de supervisión que establece el artículo 15.1 DCE. Son cuestiones que han dado lugar ya a una notable jurisprudencia del TJUE e incluso del TEDH, y a las que ya me he referido, entre otras, en las reseñas aquí realizadas a SSTJUE como las pronunciadas en en los asuntos L’Oréal, SABAM, Scarlet Extended, UPC Telekabel Wien, o Mc Fadden y a SSTEDH como las recaídas en los asuntos Delfi c. Estonia o Magyar Jeti Zrt c. Hungria. De cara al futuro, revisten gran interés las cuestiones planteadas al Tribunal de Justicia en el asunto C‑18/18, Eva Glawischnig-Piesczek contra Facebook Ireland Limited, en el que el Abogado General Szpunar acaba de presentar sus conclusiones, que suscitan consideraciones de interés tanto en relación con el alcance material de las medidas de retirada como con su alcance territorial, si bien este último aspecto lo dejaré para la siguiente entrada.

Las nuevas directivas sobre propiedad intelectual (II): régimen de las plataformas de contenidos generados por los usuarios

            La repercusión mediática de la reforma de la legislación de derechos de autor recogida finalmente en la Directiva (UE) 2019/790 ha estado vinculada a la discusión acerca de su regla específica sobre plataformas para la difusión de contenidos generados por los usuarios. Finalmente, ese debate se ha traducido en el extensísimo  artículo 17 de la Directiva (UE) 2019/790, que aparece reproducido al final de esta reseña. Además, la Directiva dedica a este precepto sus considerandos 61 a 71. Se trata de una disposición que aborda una cuestión clave en la regulación de Internet y de algunos de sus operadores más relevantes, lo que justifica la trascendencia social del debate. Ahora bien, esta extensa norma, aunque incorpora innovaciones significativas, no implica realmente un cambio radical con respecto a la situación actualmente existente. En el marco previo a la reforma, resulta ampliamente aceptado que ese tipo de plataformas son, con respecto a los contenidos cargados por sus usuarios, proveedores de alojamiento de datos, de modo que pueden eventualmente beneficiarse de la exención de responsabilidad del artículo 14 de la Directiva 2000/31/CE sobre el comercio electrónico (DCE). Asimismo, es conocido que esa exención de responsabilidad en tanto que intermediarios sólo opera en la medida en que se limiten a una prestación neutra de su servicio, típicamente mediante un tratamiento meramente técnico y automático de los datos facilitados por sus usuarios (SSTJUE de 23 de marzo de 2010, Google France y Google, C‑236/08 a C‑238/08, apdos. 114 y 120; y de 12 de julio de 2011, L’Oréal, C-324/09, apdo. 113), y cumplan los requisitos establecidos en el mencionado artículo 14. Como se desprende de la jurisprudencia del TJUE e incluso del TEDH (en particular sus sentencias en el asunto Delfi AS c Estonia), la limitación de responsabilidad es compatible con la exigencia a los proveedores de alojamiento de ciertas obligaciones de control en función de la configuración y funcionamiento del servicio en el marco del cual se facilita a los usuarios la posibilidad de introducir contenidos. En este sentido, la diligencia que les es exigible a los prestadores de servicios de alojamiento para beneficiarse de la exención de responsabilidad se halla condicionada por los riesgos asociados al servicio que ofrecen. Este es un elemento clave que en ocasiones no parece tenerse debidamente en cuenta. La configuración de los servicios que facilitan esas plataformas –por ejemplo, la ausencia de control efectivo de la identidad de los usuarios con los que establecen una relación contractual- genera importantes riesgos, lo que condiciona la posibilidad de que se puedan beneficiar de exenciones de responsabilidad en relación con los actos ilícitos cometidos a través de sus servicios.

Las nuevas directivas sobre propiedad intelectual (I): aspectos internacionales de la Directiva 2019/790

            El pasado viernes se publicaron en el Diario Oficial las Directivas (UE) 2019/789 y 2019/790, cuyo plazo de transposición concluye el 7 de junio de 2021. La Directiva (UE) 2019/790 es el instrumento esencial de reforma de la legislación de la Unión sobre derechos de autor y derechos afines en el marco del mercado único digital. Su elaboración ha tenido especial repercusión mediática en lo relativo a las normas que regulan el uso de contenidos protegidos por parte de lo que la Directiva denomina “prestadores de servicios para compartir contenidos en línea”, es decir, básicamente las plataformas que hacen posible la difusión de contenidos generados por los propios usuarios, cuestión finalmente objeto de sus artículos 2.6 y, sobre todo, 17. Por su parte, la Directiva (UE) 2019/789 va referida a las transmisiones en línea de organismos de radiodifusión, con el objetivo básico de proporcionar un marco, en relación con el ejercicio de los derechos de autor y derechos afines, que facilite el acceso transfronterizo en línea a un mayor número de programas de radio y televisión. En esta entrada me limitaré a hacer una breve reseña de las principales peculiaridades que en lo relativo a la dimensión internacional presenta la Directiva (UE) 2019/790, si bien dejaré precisamente al margen su artículo 17, por justificar una entrada específica al igual que la Directiva (UE) 2019/789.

Las conclusiones en el asunto AIRBNB y la regulación de las plataformas de intermediación

         Tras sus dos sentencias relativas a Uber, el asunto C-390/180, AIRBNB Ireland, dará al Tribunal de Justicia la oportunidad de pronunciarse acerca de en qué medida una plataforma como AIRBNB se beneficia del principio de origen o criterio del mercado interior establecido en el artículo 3 de la Directiva 2000/31 sobre el comercio electrónico. La trascendencia de la cuestión se vincula con que resulta determinante de que, en el caso concreto, Francia no pueda restringir la libertad de prestación de servicios de la sociedad de la información de un prestador establecido en otro Estado miembro –como es el caso de AIRBNB Ireland, a través del cual el proveedor de la plataforma presta servicios en Francia- por razones inherentes al ámbito coordinado por la Directiva. En el litigio principal se aborda la oponibilidad a AIRBNB Ireland de normas relativas al ejercicio de la profesión de agente inmobiliario en Francia. Más allá de la peculiar normativa nacional considerada, que incluye sanciones penales, la cuestión relativa a si una plataforma de ese tipo incluye la prestación de servicios respecto de los que no se beneficia de la cláusula de mercado interior resulta relevante con respecto a cualquier normativa de un Estado miembro que suponga una restricción de la prestación de sus servicios. Según las conclusiones del Abogado General Szpunar, publicadas hoy  (aunque todavía no disponibles en español), en el caso de AIRBNB procedería un tratamiento distinto al de Uber, más favorable para la plataforma, en lo que tiene que ver con la calificación de sus servicios de intermediación como servicios de la sociedad de la información y la posibilidad, por tanto, de beneficiarse de la cláusula de mercado interior.

Ámbito de aplicación territorial del Reglamento UE sobre protección de datos: casos difíciles

Es conocido que entre las innovaciones significativas del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) se encuentran algunas de sus previsiones en relación con el ámbito de aplicación territorial de sus disposiciones, de gran trascendencia, habida cuenta del frecuente carácter transfronterizo de las actividades de encargados, responsables y afectados, en particular cuando se trata de actividades en línea. Es sabido también que en la interpretación de los criterios establecidos en esta materia por el RGPD son de especial interés ciertos pronunciamientos del Tribunal de Justicia en relación con la Directiva que el RGPD deroga, como sus sentencias Google Spain y Weltimo. A todas estas cuestiones ya me he referido en diversas ocasiones en este blog, y con más detalle fuera del mismo (por ejemplo, aquí), incluida la circunstancia de que próximamente está previsto que el TJ se pronuncie sobre aspectos muy relevantes del ámbito territorial del llamado derecho al olvido previsto en el RGPD (aquí).

Entre las Directrices sobre la interpretación del RGPD más relevantes adoptadas por la European Data Protection Board (EDPB) se encuentran precisamente las tituladas Guidelines3/2018 on the territorial scope of the GDPR (Article 3), del pasado 16 de noviembre. Por el órgano del que procede y por lo riguroso de su contenido, se trata de un documento de referencia imprescindible en la materia, como –salvando las distancias- sucedía antes con algunos de los documentos en esta materia del llamado Grupo del artículo 29 de la Directiva. Más allá del interés de las Directrices en tanto que presentación de un marco general en lo sustancial ya conocido, con la inclusión, eso sí, de algunos ejemplos muy didácticos, puede resultar de interés detenerse en que en ciertas situaciones algunos de los criterios de interpretación que pueden desprenderse de las Directrices parecen requerir precisiones adicionales o matizaciones. Por ejemplo, en lo relativo a la conexión de una interpretación amplia del criterio de que el RGPD se aplica al “tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión” (art. 3.1) con la idea de que al aplicar ese criterio la localización de los afectados es completamente irrelevante (pp. 8-9 de las Directrices), así como en lo que concierne a las pautas de interpretación de los criterios de localización empleados en el artículo 3.2 RGPD, al apreciar si existe en el caso concreto oferta de bienes o servicios a interesados en la Unión. Para plantear estas cuestiones en las siguientes líneas, reproduciré partes del texto de las Directrices en inglés e insertaré seguidamente mis comentarios en español.

La difusión de vídeos en plataformas de Internet como tratamiento de datos personales

           De las dos sentencias pronunciadas el jueves por el Tribunal de Justicia de especial interés en materias –aunque muy diferentes- de las que me ocupo en este blog, reseñaré en primer lugar la sentencia Buivids, C-345/17, EU:C:2019:122. La singular relevancia de esta sentencia tiene que ver con que aborda los límites derivados del derecho a la protección de datos personales en relación con una práctica relativamente habitual, como es la difusión a través de una plataforma de Internet –en el caso en cuestión, www.youtube.com- de imágenes tomadas por el usuario de la plataforma en las que aparecen otras personas. Se trata de situaciones diferentes a otras objeto de la reciente jurisprudencia del TS relativa a la redifusión de imágenes de una persona publicadas previamente en una red social por el propio interesado o con su consentimiento (como las SSTS 91/2017, de 15 de febrero, y  2748/2018, de 20 de julio).  Aunque la sentencia Buivids va referida a normas de la Directiva 95/46/CE, sustituida ahora por el Reglamento General sobre Protección de Datos (RGPD), la interpretación del Tribunal de Justicia resulta de indudable importancia también en relación con este último y se presta precisamente a la reflexión acerca de posibles carencias de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), como instrumento que pretende complementar en nuestro ordenamiento al RGPD.

Responsabilidad por enlaces y libertad de expresión: nueva sentencia del TEDH

            Es conocido que a pesar de que el artículo 21.2 de la Directiva 2000/31 sobre el comercio electrónico (DCE) hace referencia a la eventual revisión de su texto para regular “la responsabilidad de los proveedores de hipervínculos…”, transcurridos casi veinte años desde la adopción de esa Directiva, la UE no ha adoptado normas comunes en la materia. Por eso, frente a Estados miembros como España, que en el artículo 17 de la Ley 34/2002 (LSSICE) optó, al trasponer la DCE, por regular también la responsabilidad de los prestadores de servicios que facilitan enlaces a contenidos o instrumentos de búsqueda –aplicándoles un modelo de limitación de responsabilidad similar al previsto en la DCE respecto de los proveedores de alojamiento de contenidos-, otros Estados miembros carecen de normas específicas de limitación de responsabilidad de los proveedores de enlaces. Este contexto resulta relevante para apreciar que la sentencia de ayer del Tribunal Europeo de Derechos Humanos (TEDH) en el asunto Magyar Jeti Zrt v. Hungary, de indudable interés en la medida en que pone de relieve que un régimen de responsabilidad estricto en relación con los enlaces a contenidos de terceros puede vulnerar el derecho a la libertad de expresión establecido en el artículo 10 del Convenio Europeo de Derechos Humanos, tiene una trascendencia práctica limitada en un contexto normativo como el español. En realidad lo que llama la atención con respecto a los antecedentes del caso es la aplicación en Hungría de un régimen tan estricto de responsabilidad por enlazar a contenidos de terceros y tan alejado del que prevalece en España y que la DCE impone en relación con los (otros) prestadores de servicios de la sociedad intermediarios. En todo caso, habida cuenta de que en la aplicación de las limitaciones de responsabilidad de los intermediarios (y los proveedores de enlaces) prevalece en la DCE y la LSSI un enfoque basado en valorar las circunstancias del caso y el nivel de diligencia del intermediario (o proveedor de enlaces), algunos de los elementos que la nueva STEDH destaca como relevantes al valorar la responsabilidad de los proveedores de enlaces resultarán de interés en la interpretación del artículo 17 LSSI, al valorar si un proveedor de enlaces tiene o no conocimiento efectivo de la ilicitud del contenido enlazado y actúa con la diligencia exigible para beneficiarse de la limitación de responsabilidad.

Ventas realizadas por usuarios de plataformas en línea: alcance subjetivo de las obligaciones impuestas a comerciantes

               La sentencia del Tribunal de Justicia de anteayer en el asunto Kamenova, C-105/17, EU:C:2018:808, presenta el singular interés de abordar la delimitación del concepto de “comerciante” (o, a los efectos de ciertas normas de nuestro ordenamiento “empresario”) en relación con las ventas de usuarios de plataformas en línea, lo que resulta de gran trascendencia en la medida en que esa condición va unida a la imposición de importantes obligaciones en relación con la venta de bienes, entre otras, obligaciones de información previas a la contratación con consumidores. Es conocido que muchas de esas plataformas pueden ser utilizadas para la venta de productos por particulares, que ocasionalmente ofrecen algún bien al margen de una actividad económica, junto con comerciantes que utilizan esos canales para la comercialización de productos en el marco de su actividad empresarial. Ahora bien la delimitación entre unos y otros resulta compleja en muchas situaciones. En este contexto, la sentencia Kamenova trata de si a los efectos de la Directiva 2005/29 sobre prácticas comerciales desleales en las relaciones con los consumidores y la Directiva 2011/83 sobre los derechos de los consumidores debe ser considerado “comerciante” “una persona física, que está registrada en un sitio de Internet para la venta de bienes y ha publicado al mismo tiempo un total de ocho anuncios para la venta de distintos bienes en el sitio de Internet”. Esas Directivas definen “comerciante” en términos similares, como “toda persona física o jurídica, ya sea privada o pública, que actúe, incluso a través de otra persona en su nombre o siguiendo sus instrucciones, con un propósito relacionado con su actividad comercial, empresa, oficio o profesión…”. Esta definición ha sido básicamente recogida en nuestro ordenamiento al establecer el concepto de “empresario” en el artículo 4 del Texto Refundido de la Ley de la Ley General para la Defensa de los Consumidores y Usuarios y resulta determinante de la aplicación subjetiva de sus normas, en buena medida transposición de la Directiva 2011/83. Por su parte, la Ley de Competencia Desleal, que incorpora normas de la Directiva 2005/29 refiere su ámbito subjetivo “a los empresarios, profesionales y a cualesquiera otras personas físicas o jurídicas que participen en el mercado”.

Tutela colectiva de marcas frente a servicios de registro y arrendamiento de direcciones IP

La sentencia del Tribunal de Justicia 7 de agosto, SNB-REACT, C-521/17, EU:C:2018:639, aborda fundamentalmente dos cuestiones de interés. Por una parte, el régimen de reconocimiento en el seno de la UE de la legitimación de los organismos de gestión de representación colectiva de titulares de marcas para el ejercicio, en nombre propio, de acciones por infracción de derechos. Por otra, en relación con las normas sobre limitación de responsabilidad de los prestadores de servicios de la sociedad de la información intermediarios, establecidas en el Directiva 2000/31, analiza el Tribunal el tratamiento de un servicio de arrendamiento y de registro de direcciones IP que permite utilizar nombres de dominio de Internet de manera anónima, en relación con la supuesta infracción de marcas.

Webtracking y utilización de servicios de redes sociales: determinación de los responsables y de la competencia en materia de protección de datos personales

          Pese a ir referida al régimen de la Directiva 95/46/CE, sustituida desde el pasado día 25 por el ya muy popular RGPD, la esperada sentencia en el asunto C-210/16, Wirtschaftsakademie Schleswig-Holstein (ECLI:EU:C:2018:388), adoptada hoy por el Tribunal de Justicia, presenta también en alguna de las cuestiones que trata un gran interés de cara a la aplicación futura del RGPD. Básicamente, son tres los ámbitos que aborda la sentencia. Primero, la determinación de en qué medida los usuarios de servicios proporcionados por redes sociales a través de los cuales la red social capta mediante cookies datos personales de quienes acceden a los contenidos que difunde el usuario –en el caso concreto se trataba de una entidad que ofrecía servicios de formación mediante una página de fans alojada en Facebook- son responsables junto con la red social del tratamiento de los datos personales captados a través de dichas cookies. La trascendencia de esta cuestión es evidente, pues una respuesta afirmativa –como la que da el Tribunal- implica que los usuarios de tales servicios queden obligados en tanto que responsables y puedan eventualmente ser objeto de sanciones y de medidas para retirar los servicios que ofrecen a través de la red social. En segundo lugar, la sentencia concreta qué establecimientos pueden ser considerados relevantes en relación con la exigencia de responsabilidad a una red social con una estructura como Facebook, con una sociedad matriz de un tercer Estado (EEUU), pero con un establecimiento principal para Europa en un Estado miembro (Irlanda) y establecimientos con funciones mucho más limitadas en otros Estados miembros. Pese a que el RGPD altera radicalmente la situación previa, al unificar la normativa aplicable y adoptar un principio de ventanilla única, el criterio adoptado por el TJUE en lo relativo a la determinación del establecimiento de cara a la determinación de la autoridad de control competente en virtud del artículo 4 y concordantes de la Directiva ya derogada, resulta de interés, en particular, en la medida en que puede facilitar la interposición de demandas civiles transfronterizas frente a redes sociales en el marco del RGPD. Por último, la sentencia aborda también aspectos relativos al alcance de los poderes de las respectivas autoridades de control nacionales, cuestión que sí se ve radicalmente alterada en el nuevo RGPD.

Retirada y bloqueo de contenidos en Internet: implicaciones de la Recomendación de la Comisión

               La Recomendación (UE) 2018/334 de laComisión sobre medidas para combatir eficazmente los contenidos ilícitos enlínea da continuidad a la Comunicación que proporcionó principios y directrices a las plataformas en línea en lo relativo a la lucha contra los contenidos ilícitos, COM(2017) 555 final, y a la que me referí en una anterior reseña, que tomo ahora como referencia. En la medida en que esta Recomendación se centra en la posición de los prestadores de servicios de alojamiento de datos –como proveedores de redes sociales, plataformas de videos, servicios de blogs o microblogs…- y sus mecanismos de detección y retirada de contenidos ilícitos, este nuevo instrumento refleja la opción por no desarrollar mediante disposiciones vinculantes de la UE el marco normativo básico en la materia, contenido en la Directiva 2000/31/CE sobre el comercio electrónico (DCE), especialmente en sus arts. 14 y 15. Como es conocido, de acuerdo con el artículo 288 TFUE las recomendaciones no son vinculantes. Cabe reiterar que la ausencia de desarrollo legislativo transcurridos más de 17 años desde la adopción de las normas sobre limitación de responsabilidad de los intermediarios de la DCE es una carencia del Derecho de la Unión, en particular si se tiene en cuenta que ya la propia DCE previó en el artículo 21, relativo a su reexamen, “la necesidad de presentar propuestas relativas a la responsabilidad de los proveedores de hipervínculos y servicios de instrumentos de localización, a los procedimientos de «detección y retirada» y a la imputación de responsabilidad tras la retirada del contenido”.  El Preámbulo de la Recomendación 2018/334 constata que algunos Estados miembros han adoptado en los últimos años normas en la materia y que otros prevén adoptarlas (cdo. 11), al tiempo que recuerda que este es un sector sobre el que se proyecta el criterio del país de origen establecido en el art. 3 DCE (cdo. 9), ya que se encuentra comprendido dentro de su ámbito coordinado, de modo que en principio no cabe imponer a los prestadores establecidos en un Estado miembro restricciones adicionales establecidas en las legislaciones de otros Estados miembros. No obstante, cabe apuntar que las normas nacionales de desarrollo en este ámbito –por ejemplo, relativas a mecanismos de detección y retirada- no implican necesariamente restricciones adicionales, en la medida en que aunque puedan imponer obligaciones a los prestadores de servicios intermediarios las mismas sean susceptibles de ser consideradas como derivadas del contenido del propio artículo 14 DCE y ser exigibles también en otros Estados miembros en la medida en que su cumplimiento sea determinante para apreciar que el prestador actúa con la diligencia exigible para beneficiarse de la exclusión de responsabilidad conforme a esa norma. En este contexto, la Comisión ha optado por limitarse a adoptar una Recomendación con el propósito de establecer “ciertos principios fundamentales que deben guiar la acción de los Estados miembros y de los prestadores de servicios afectados” (cdo. 12). Desde la perspectiva española, ante la ausencia de normas de desarrollo, la Recomendación resulta de indudable relevancia para proporcionar pautas relevantes al valorar en el caso concreto si con respecto a ciertos contenidos de terceros un prestador de servicios de alojamiento se beneficia de la limitación de responsabilidad prevista en el artículo 16 (y 17) de la Ley 34/2002 o LSSICE, que incorpora a nuestro ordenamiento el art. 14 DCE. Cabe esperar que el incumplimiento de las pautas de conducta fijadas en la Recomendación pueda ser considerado un elemento relevante a la hora de apreciar que no ha respetado el nivel de diligencia exigible al apreciar si tenía conocimiento efectivo de la presencia del contenido ilícito en sus servicios a los efectos del artículo 14 DCE. Además, estas pautas resultan de aplicación mutatis mutandis a los prestadores de otras categorías de servicios de intermediación.