El artículo 29 de la Directiva 95/46/EC creó un ‘working party’ o grupo de trabajo con las máximas autoridades nacionales en protección de datos. Este equipo de trabajo lleva a cabo informes de importante repercusión en las políticas nacionales de protección de datos y en la interpretación y alcance de la directiva.
En una nota de prensa de la semana pasada este grupo de trabajo reclamó a la conocida paltaforma Facebook que no siga llevando a cabo modificaciones en su política de protección de datos con respecto a sus usuarios sin recabar previamente su consentimiento.
Como sabemos Facebook es una empresa norteamericana pero con millones de usuarios en la Unión Europea. Así pues, pese a tener el certificado ‘Puerto Seguro’ del departamento de comercio americano, es decir de empresa que actúa de arreglo con las normas europeas en protección de datos, sus políticas de privacidad han levantado mucho malestar últimamente.
Disponibilidad de los datos personales de los usuarios de Facebook en 2005
Disponibilidad de los datos personales de los usuarios de Facebook en 2010
Como vemos el tipo y la cantidad de de datos personales disponible a un círculo cada vez mayor de personas ha ido creciendo. Para poder verlo de forma dinámica , lo que han llamado la involución en la privacidad de los datos
No cabe duda que la red social con más de 400 millones de usuarios intenta redefinir, como ha señalado Zuckerberg, su CEO, un nuevo concepto de privacidad en el que las elecciones de lo usuarios son cada vez más limitadas.
Así y todo ya no se trata sólo de sus decisiones sino también de sus medidas técnicas las que están en tela de juicio al haberse mostrado como una de las diez compañías del mundo más afectadas por el phishing.
Entrando a comentar lo que es el comunicado de prensa, el grupo de trabajo advierte que el contenido de los usuarios no debe ser indexable, sin el consentimiento del usuario, por motores de búsqueda.
El otro aspecto reseñado por el WP ha sido el acceso a los datos privados por aplicaciones de terceras partes o el contenido de información de terceras partes en el perfil de usuarios y, en especial, su uso comercial, sin el consentimiento de las personas involucradas.
No sabemos si esta oleada de reclamaciones harán reflexionar a Zuckerberg y cía. de sus cambios, el caso es que entre los usuarios se han formado grupos que reclaman el derecho a sus datos privados o, directamente, piden de forma pública el abandono la red social.
Desde luego este es un debate que no sólo afecta a la privacidad de los usuarios singulares, sino que empieza a poner en juego los esfuerzos de diversos intereses por formar un modo de entender y participar en la web que van sin duda a seguir configurando nuestros conceptos de derechos individuales, de intimidad, y de interacción, al menos, virtual.
Uno de los casos que surge frecuentemente es la recepción de comunicaciones de empresas con las que el usuario no tenía ninguna relación previa. Es decir, una empresa a la que no hemos facilitado nuestros datos o email nos sorprende enviándonos comunicaciones a nuestro correo.
A menudo, una de las razones detrás de estas comunicaciones es la existencia de una relación interempresarial entre la empresa a la que hemos cedido nuestros datos y la que nos ofrece sus servicios o productos por correo. Según la doctrina de la Agencia Española de Protección de Datos, tal y como señala en su Informe Jurídico 494/2008, dicha cesión de datos entre empresas, pese a su poetenencia al mismo grupo, participación u otro tipo de relación mercantil, requiere del consentimiento explícito del usuario. Así se ha señalado también en la jurisprudencia:
“Si la recurrente ha preferido constituir dos sociedades y trabajar con ellas de manera independiente, beneficiándose así del mantenimiento de dos personas jurídicas distintas, no puede, al mismo tiempo, pretender justificar el conocimiento por parte de la matriz de los datos que le constan a la filial por las operaciones que esta última ha intervenido pues ello supone olvidarse de que se trata de personas jurídicas distintas”. (STSJ de
Madrid, de 16 de octubre de 2000)
En estos casos un simple acuerdo de procesamiento de datos no será suficiente para justificar el tratamiento de datos por una empresa del grupo, sino que requerirá del consentimiento explícito del usuario y se entenderá como una cesión en toda regla.
De esta forma, cada empresa será la responsable de su fichero y como tal la responsable de determinar las finalidades y usos del tratamiento.
“En consecuencia, cada empresa deberá proceder a notificar de manera independiente sus propios ficheros y cualquier acceso a los datos entre las diferentes sociedades que componen el grupo constituiría un supuesto de
cesión que requeriría el consentimiento del afectado o la habilitación legal para la misma.”
Así el acceso a los datos de una empresa del grupo a los de otra, por no hablar del tratamiento conjunto de datos recabados por cada una de las empresas, ha de ser considerada una cesión.
En el caso en que el encargado, parte del grupo de empresas, dedicase dichos datos a un fin diferente de aquél con el que fueron recabados, será a su vez responsable del tratamiento.
Por último recordar que el art. 44.4 de la LOPD señala la cesión de datos como infracción muy grave con la consecuente sanción de 300.000 a 600.000 Euros (art. 45.3).
Una reciente resolución de la AGPD ha vuelto a señalar la obligación que pesa sobre Google de eliminar los datos de su registro ante la petición de un titular haciendo valer su derecho de cancelación.
Google.es con razón se opone ante esta pretensión que de repetirse comúnmente con otros usuarios requeriría la manipulación del algoritmo con el que muestra los resultados a sus usuario.
La excepción principal que opone es que la información es recopilada y tratada por Google Inc con sede en California y que la filial en España no lleva a cabo tratamiento alguno de los datos.
Para la Agencia esto resulta inadmisible. No sólo porque Google tiene establecimiento en España y los proveedores de servicios de la sociedad de la información pueden verse sometidos a diversas jurisdicciones. La interpretación de la Agencia va más lejos y se centra en los robots o ‘spiders’ que utiliza cualquier servicio de búsqueda para obtener la información de los sitios webs que luego se encarga de ordenar automáticamente.
Para la Agencia existe un tratamiento de medios situados en territorio español y este tratamiento no se hace con simple finalidad de tránsito. De ahí la inaplicabilidad de la excepción:
“Cuando el proveedor de servicios de búsqueda es un responsable de tratamiento situado fuera del EEE, existen dos casos en los que se aplica la legislación comunitaria en materia de protección de datos. En primer lugar, cuando el proveedor de servicios de búsqueda cuenta con un establecimiento en un Estado miembro, de acuerdo con el artículo 4(1) (a). En segundo lugar, cuando el buscador recurre a medios situados en el territorio de un Estado miembro, de acuerdo con el artículo 4(1) (c). En este último caso, el buscador, de acuerdo con el artículo 4 (2), debe designar un representante en el territorio de dicho Estado miembro concreto.”
La Agencia fundamenta su decisión en la LSSI. Concretamente el artículo 8 c) prevee la protección del derecho a la intimidad de la persona ante un prestador de la sociedad de la información, e incluye la posibilidad de retirar datos que incumplan este precepto. Así, al encuadrar el servicio que presta Google en España dentro de prestador de servicios de la sociedad de información, se refiere al consabido artículo 17 de la LSSI que mantiene la doctrina de ‘safe harbor’.
“1. Los prestadores de servicios de la sociedad de la información que faciliten enlaces a otros contenidos o incluyan en los suyos directorios o instrumentos de búsqueda de contenidos no serán responsables por la información a la que dirijan a los destinatarios de sus servicios, siempre que:
a) No tengan conocimiento efectivo de que la actividad o la información a la que remiten o recomiendan es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o
b) Si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace correspondiente.”
Esta doctrina de gran calado en el derecho europeo y en el americano mediante el 47 USC 230 del Telecommunication Act de 1996, permite a los agregadores de contenido tener una salvaguarda en procesos automatizados de tratamiento de datos. Aún así dicha cláusula prevé la obligatoria remoción de contenido por parte del prestador de servicios en caso de que un órgano decrete su eliminación. Este fue el resultado de esta decisión por parte de la Agencia. Desde luego un quebradero de cabeza más para Google que habrá de velar por la eliminación de cualquier mención a Doña A.A.A. Pero, ¿es tecnológicamente posible una medida de este tipo?
En las últimas fechas se han suscitado diversas polémica en torno al servicio de Google ‘Street View’. En Suiza, de hecho, la administración pidió que se eliminase todas las vistas del país. En Alemania, Hufftington Post al respecto.
Entre estas imágenes se encuentran comportamientos sancionables y nuestro país no ha quedado indemne de este tipo de imágenes. ¿Podrán ser un día aportados como pruebas? Como muestra un par de botones.
En un post anterior discutíamos las recomendaciones a amigos. Hoy, a raiz de una reciente resolución, veremos esta práctica, harto habitual en la web 2.0, se trata, en este caso, de nutrir un servicio de potenciales clientes mediante los contactos aportados por los usuarios de éste. Esto es, se nos pide que incluyamos manualmente los correos de nuestos conocidos, en este caso, para obtener un premio. Frecuentemente esto se realiza mediante un API que permite recabar los correos personales de nuestra cuenta de correos, práctica insegura hoy por hoy con tanta contraseña de correo pululando por la red.
En este caso, la plataforma de venta de entradas Tick Tack Ticket (TTT) ofrecía la inocente promoción de dos entradas de concierto. Para conseguir tan exiguo premio, TTT solicitaba de los usuarios que incluyesen los correos de amigos y conocidos: cuantos más mejor. Hasta tal punto que, como se señala en las bases del concurso: “Ganará la persona que más veces reenvíe esta información”. Para más INRI, en dichas comunicaciones no se daba la posibilidad al receptor de la comunicación de oponerse al tratamiento.
El procedimiento es incoado por la FACUA, aunque el número de usuarios de los que se había registrado su dirección de correo mediante dicho proceder, ascendía a casi 40.000. Pese a la falta de reclamación individual por parte de sujeto alguno, la Agencia prosigue sus actuaciones de oficio, dada su naturaleza y el principio acusatorio que sustenta su actuación. Recuperemos su definición de spam de la Agencia:
“cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa”
Para la AEPD, TTT no había recabado el consentimiento tal como exige el art. 21 LSSI para el envío de comunicaciones promocionales. El presunto infractor alegaba que, en la sustanciación del procedimiento, se había producido una inversión de la carga de la prueba, ya que es TTT quien había de mostrar que el consentimiento no fue debidamente recabado. Para la Agencia, no obstante, las pruebas recogidas no son sólamente indiciarias, sino auténticas pruebas de cargo. La agencia se apoya en una columna de la tabla de la base de datos que incluía las direcciones de correo, marcado un ‘1 y valid’, y da por buena la presuposición de que se habrían enviado más de 3 comunicaciones, mínimo establecido por la LSSI para que la infracción sea considerada grave.
La propia TTT utilizó en su alegato lo frecuente de esta práctica como defensa de sus actividades. Lo que habrá que seguir con detenimiento es el número de expedientes que se abriran a raiz de esta decisión, una decisión que podría golpear fuertemente uno de los pilares de la captación de clientes llevada a cabo por muchas plataformas de internet.
Otro caso más para entretener a nuestra cada vez más nutrida audiencia. Hoy hablaremos de una sentencia del Tribunal Supremo de este año. Otra vez el marketing directo realizado por la empresa Peugeot está en el centro de la controversia. Como es costumbre en este sector, la realización de dicho marketing le es encargado a una empresa especializada en comunicaciones electrónicas. Así existe un responsable del fichero, Peugeot, y un encargado. Curiosamente el fichero posee el sugerente nombre de ‘Base de Datos de Conquista’.
El contrato entre responsable y encargado establece la propiedad exclusiva del fichero por parte del responsable, Peugeot. El responsable, a su vez, subcontrata la realización de tareas de encargado a una tercera empresa las actividades de hospedaje.
El problema surge en tanto los datos recabados en el formulario del sitio web son alojados en servidores en los EEUU sin obtener la autorización del Director de la AEPD para la transferencia internacional de ficheros y sin informar a los usuarios ni obtener su consentimiento. Al proveedor del hosting al no encontrarse acogido bajo los “principios de puerto seguro” (safe harbor) no se le aplica la excepción del art 34 k) “nivel de protección adecuado”. Por lo tanto, el encargado incumple con la normativa al tener el hospedaje de dicho contenido en un servidor fuera de España.
Es un claro aviso a navegantes para aquellos que se confían en tener un servicio de hosting fuera de España y cumplir con las normas de protección de datos. Hay que fijarse que el proveedor del servicio esté adscrito al programa ‘Safe Harbor’. Se trata de un trámite sencillo en el que la empresa encargada ha de llevar a cabo una declaración ante el Departament de Comercio y la adherencia a sus principios.
Y, de regalo, una cláusula que podemos ya ir incluyendo en cualquier contrato entre responsable y encargado por si no la habíamos hecho ya:
“El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación a otras personas.”
La Sala de lo Contencioso-Administrativo del Tribunal Supremo falló en 2004, hace la friolera de cinco años, este caso relativo a las comunicaciones de datos no autorizadas y el tipo de fuentes públicas admitidas en el ordenamiento jurídico. Un caso de extremo interés un día como hoy en el que salta a la prensa la infomación acerca de la falta de inscripción de ficheros ante la AEPD del 84% de las empresas patrias. Una muestra más de lo mucho que nos queda por andar en la senda de la protección de datos en este país.
Pongámonos en antecedentes: en el caso referido, la entidad infractora, de acuerdo con la AEPD, habría cometido una falta muy grave de acuerdo con la ya extinta LORTAD (LO 5/92) al haber comunicado datos sin la autorización del usuario. La entidad impugna la decisión y el TSJ de Cataluña entiende que la sanción impuesta por la AEPD ha de ser entendida solamente como ‘grave’ de acuerdo con el art. 43 de la citada LORTAD. Pese a la aminoración de la sanción, la entidad sancionada decide llevar el tema a casación ante el Tribunal Supremo aduciendo inversión de la carga de la prueba y haber desatendido a la presunción de inocencia. El abogado del estado, por su parte, solicita al Supremo que se restituya la sanción originalmente impuesta por el Director de la AEPD.
De acuerdo con los hechos relatados, la entidad sancionada habría utilizado los datos del censo electoral para elaborar su base de datos. Así habría recogido datos que excederían la simple finalidad comercial que tenían sus comunicaciones. Para mayor escarnio, la entidad sancionada opta por comunicar dichos datos a otra empresa sin el consentimiento del usuario. En definitiva, la entidad usa de los datos censales como base para crear un fichero con el que enviar comunicaciones de carácter comercial, fichero que posteriormente comunica a otras entidades.
El caso surge a partir de la recepción por parte de un usuario en su correo de diversas comunicaciones no solicitadas por parte de diversas empresas mediante los datos tratados por la entidad sancionada. Para su defensa, la entidad recurrente sostenía que el art. 39.3 de la Ley del Comercio Minorista permitía que la empresa utilizase fuentes de acceso público para realizar dichas comunicaciones comerciales. El Tribunal Supremo, por su parte, entiende que es necesario el consentimiento del usuario para poder utilizar dichos datos, ya que el art. 7 de la Directiva 95/46 de protección de datos, no prevée ningún tipo de legitimación basado en los intereses propios de la empresa.
Otra vía de defensa por parte de la entidad recurrente, basada en el carácter derivado de dichos datos personales, es desmantelada por el tribunal. Como señala la sentencia el “…carácter no originario de los datos del fichero en nada afecta a la calificación de los hechos realizada por el acto administrativo recurrido que sancionó la cesión o comunicación de datos…”
La única duda que surge a este respecto es acerca de si los datos cedidos sin consentimiento del usuario fueron recopilados directamente del censo electoral, tal y como parece dar a entender el error acerca del segundo apellido del usuario presente en la base de datos de la entidad demandada. Aún así, el censo electoral no es una fuente público en sentido estricto ya que su uso, a diferencia del ‘censo promocional’, requiere el consentimiento del afectado:
“…si al cumplimentar dicho documento de empadronamiento, que constituye la base para la formación del censo electoral, el ciudadano manifiesta su oposición a aparecer en el censo promocional, su nombre, apellidos y domicilio, aunque figuren en el censo electoral, no podrán incluirse en el “censo promocional”, único del que pueden servirse para sus lícitas actividades las empresas dedicadas a la recopilación de direcciones…” Sentencia de 18 de octubre de 2000 (RJ 2000, 9107)
Así pues, el Tribunal condena a la entidad infractora. Por un lado, hay un tratamiento de datos que no son públicos sin el consentimiento de los afectados. Por otro, hay una comunicación no autorizada por el usuario por parte de terceras partes fundada en este tratamiento de datos ilegítimo.
A este respecto, me parece interesante resaltar la precisión del concepto utilizado por el legislador: ‘comunicación‘, que es justamente interpretado por el Tribunal Supremo como cualquier acceso que tenga otra entidad a los datos tratados por la entidad comunicante, independientemente de la titularidad de éstos.
Esto conlleva una consecuencia práctica que considero importante: no importa en qué momento de la cadena de comunicaciones uno se encuentre, desde que comunique un fichero en su propiedad, independientemente de su origen o procedencia, el responsable del tratamiento es el único sancionable por cualquier transferencia o comunicación de datos.
Recientemente me han preguntado en diversas ocasiones acerca de las posibilidades de utilizar bases de datos ajenas de correos electrónicos de usuarios con fines comerciales.
Es un tema recurrente en una industria la del marketing que, en muchos casos, no se encuentra al día de las últimas decisiones tomadas por las agencias de protección de datos europeas y la legislación aplicable, y que sigue acudiendo a viejas formas de contactar a los usuarios, desconociendo el calado de la regulación actual al respecto.
El caso es que, hoy por hoy, como hemos apuntado en nuestras reseñas de los casos Tick Tack Ticket y la decisión del año pasado acerca de la invitación de amigos, utilizar correos sin la previa autorización del receptor, -las denominadas ‘comunicaciones no solicitadas’ del art. 21 de la LSSI-, está totalmente fuera de lugar en nuestro ordenamiento jurídico.
Aún así hay empresas que piensan monetizar sus bases de datos de clientes cediéndolas a cambio de alguna contraprestación. El riesgo lo corre el que utiliza las direcciones obtenidas para enviar comunicaciones no solicitadas bajo la creencia de que al ser correctamente recabadas por la empresa pueden ser utilizadas por cualquiera sin consentimiento ulterior por parte del usuario. Y es que, aunque hayan sido correctamente obtenidas, el usuario sólo permite a la empresa con quien contrata enviar dichas comunicaciones, pero no a otras ajenas a dicho consentimiento, a dicha relación contractual. Recordemos que la legislación, en este caso, obliga al que ha obtenido estos datos a solicitar el consentimiento expreso del usuario para transferir los datos del usuario a otra empresa con ‘fines directamente relacionados con la actividad del cedente’ (art. 11.1 LOPD). No cabe mención genérica de dicha comunicación, sino que el usuario ha de saber exactamente quién será el receptor de sus datos.
La posibilidad legal que queda expedita es que el usuario acepte que la propia empresa que recoge su correo lleve a cabo las comunicaciones de dichas terceras partes.
Finalizamos recordando que el artículo 30.1 de la LOPD es taxativo al permitir la utilización exclusiva, con fines de prospección comercial y publicidad, de las fuentes de acceso público (con el censo promocional en mente tras una década de espera) o cuando los datos “hayan sido facilitados por los propios intersados u obtenidos con su consentimiento.” Es decir, las comunicaciones o transferencias con fines publicitarios -finalidades propias de la empresas al fin y al cabo- sin mediar una relación directa con el usuario y sin su consentimiento han de quedar excluidas.
En esta ocasión quería comentar una decisión del año pasado de la Agencia de Protección de Datos sobre una de las funcionalidades más frecuentes de la web 2.0 y las redes sociales: la invitación a amigos para probar un servicio. Realmente se trata de uno de los grandes ganchos que tienen las redes sociales para ampliar su número de usuarios y conseguir la permanencia de los ya existentes. En definitiva, ¿qué sería de una red social desierta de amigos y conocidos? Hasta este punto, parecería que un mecanismo de este tipo sería totalmente legítimo.
Pues bien, en su resolución 139/2008 la Agencia resolvió en contra de Iniciativas Virtuales, una empresa de marketing digital. La empresa enviaba un correo para dar a conocer sus servicios una vez que un usuario ‘recomendaba’ a un amigo, incluyéndolo en una lista de distribución de correos que no era procesada hasta haber recibido la aceptación del receptor de la comunicación. La empresa entendía que el correo se trataba de una comunicación personal entre un usuario y un tercero, entre pariculares en definitiva. No obstante, nuestro sistema de protección de datos se basa en el consentimiento del usuario a la hora de recibir cualquier tipo de comunicación, convirtiéndose ésta en indeseada si procede de un desconocido sin haber sido solicitada. En este sentido, resulta fundamental el hecho de que el correo se enviase desde la IP de la empresa citada antes bien que desde una cuenta de correo del usuario que invitaba.
La Agencia se ratifica en una definición de spam ya consabida:
“De este modo se entiende por “spam” cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa.”
El fin comercial y el carácter no solicitado son las características definitorias de dicho tipo de comunicaciones prohibidas, tal como se desprende del art. 21.1 de la LSSI. De hecho, en este caso se incumple tanto la legislación de protección de datos como la referente a la prestación de servicios de la sociedad de información. Sólo en dos supuestos serían posibles estas comunicaciones: en el caso de que sólo se comunique la existencia ‘nuda’ de la empresa sin tono comercial alguno, o cuando se mantenga el carácter comercial pero las comunicaciones vengan ‘elaboradas por un tercero y sin contraprestación económica.’ Desde luego, una expresión un tanto amplia que seguro más de uno intentará explotar a su favor, pero que, nos parece referida prima facie a usuarios particulares.
En cuanto a la pena, la resolución multó solamente con 600 Euros a la empresa responsable de acuerdo con el art. 21 LOPD. Dicha sanción parece mantener la posibilidad abierta de mantener esta funcionalidad a aquellas empresas a las que no les importe asumir ciertos riesgos. Esto siempre que se entienda que la infracción caiga dentro del tipo 38.4 LOPD de infracciones leves y no en el 38.3 LOPD que eleva el grado de punibilidad cuando se da el carácter masivo de dichas comunicaciones a un número indefinido de personas o más de tres en un año a un solo destinatario.
Si bien la regla general para que las comunicaciones sean legítimas es la existencia de una prestación de servicios o contrato con un usuario, parece que una de las vías más frecuentes para la expansión de las redes sociales encuentra una piedra de toque a nivel legal que, pese a pasar frequentemente desapercibida, es ya todo un hecho.
Una sentencia reciente y novedosa en muchos de los aspectos analizados es la recaída en el litigio entre la empresa de vuelos low-cost Ryanair y el portal de Atrápalo, resuelto por el Juzgado Mercantil 2 de Barcelona.
Básicamente Ryanair sostiene en su demanda el aprovechamiento ilegítimo y sin autorización por parte de Atrápalo de su contenido web mediante la técnica de screen scraping, una forma de obtención de datos de webs ajenas nada inusual en servicios de agregación de contenidos e intermediación.
A partir de estos presupuestos el tribunal analiza cada una de las acciones propuestas por Ryanair desmantelando uno a uno sus fundamentos. Los argumentos esgrimidos por parte de Ryanair cabe agruparlos bajos tres rúbricas: en función de los términos del propio sitio web, de acuerdo con la Ley de Propiedad Intelectual (LPI) y según la Ley de Competencia Desleal (LCD). Examinamos cada uno de los tres aspectos por separado.
A) En base a las condiciones de uso del sitio de Ryanair
Las condiciones de uso del sitio de Ryanair impiden explícitamente el uso no autorizado de cualquier “sistema automatizado o software para extraer datos de este sitio web para mostrarlos en otro sitio web (screen scraping)”. En efecto, si Atrápalo hubiese hecho un tal uso se entendería como ‘usuario ilegítimo’ al haber incumplido con las condiciones contractuales existentes entre las partes. No obstante, según el tribunal, Atrápalo es un mero intermediario con respecto al usuario final que utiliza sus servicios para contratar con Ryanair y, por tanto, no queda sujeto como usuario final a las condiciones del sitio web. Esto parece suponer que el ‘agregador o intermediario’ no es un usuario propiamente dicho del sitio web, una afirmación que probablemente habrá que modular en futuros casos ya que supone una carta blanca a todo servicio de intermediación.
Es más, señala el tribunal, y esto es harto interesante para los que nos dedicamos al mundo de internet, el hecho de tener un página web de acceso público implica ciertas restricciones al propietario de dicha web.
Esto es, si RAYANAIR, para vender sus productos, ha optado por aprovecharse de las ventajas de internet mediante un sistema de acceso libre y gratuito, también debe soportar sus inconvenientes, como puede serlo una cierta perdida de control de los canales de comercialización. RYANAIR no puede discriminar según quien sea el usuario o según cual sea la finalidad perseguida por quien accede a su sitio web.
Es decir, se desprende que el hecho de tener un sitio web público no admite que se impida el uso a los denominados intermediarios de servicios. El propietario pierde el control directo sobre el origen de sus usuarios y de los posible intermediarios entre éstos. Termina su apreciación sobre un posible quebrantamiento de la relación contractual, vaciando éste de todo contenido: “En definitiva, el uso que la demandada realiza de la pagina web de RYANAIR sólo sera ilegítimo en la medida que infrinja preceptos concretos de Leyes Especiales…” A más ahondamiento, sobre la existencia de un usuario ilegítimo señalará “…siendo la pagina web de RYANAIR gratuita y de libre acceso, no cabe hablar, en principio, de “usuario ilegitimo””.
Al no causar perjuicio económico la actividad de Atrápalo sobre Ryanair ya que, a lo máximo, sirve de canal de clientes, y la comisión obtenida es repercutida directamente sobre el usuario, que libremente acepta las condiciones de Atrápalo, nada cabe aducir contra el portal web. Así señala, Ryanair “no puede imponer ese modelo, que pasa por impedir otros modelos de negocio…” Es decir, el modelo de agencia de viaje como intermediario no puede ser impedido por el modelo preferido por Ryanair, lo que fundamenta su demanda: la venta directa de billetes.
B) Específicas según la Ley de Propiedad Intelectual
El tribunal analiza los artículos 12 y 133 de la LPI para ver en qué caso encaja la base de datos de Ryanair y qué tipo de protección requiere. Al faltar el requisito de originalidad dentro del concepto de ‘creación intelectual’ del artículo 12, esta protección queda excluida.
Con respecto al art. 133 LPI, éste protege la inversión realizada por el fabricante a la hora de recopilar datos. Como señala el tribunal, esta inversión ha de gozar de un carácter autónomo, “independiente de los recursos uti1izados para la creación de los datos en cuestión”. No se da el caso, ya que lo que se recoge son los datos necesarios para el funcionamiento de la propia aerolínea (horarios de vuelos, precios, números de vuelos, destinos…).
No hay, pues, ni una recopilación valiosa de información, ni una verificación de datos que requieran una protección especial. Es decir, las bases de datos ‘primarias’ o referentes a la propia actividad del negocio no poseen protección por parte de la LPI. Esto en cuanto a la actividad por parte de Ryanair. Pero el otro criterio exigido por el art. 133 LPI tampoco se cumpliría. La extracción o reutilización de datos ha de ser sustancial y en el caso que nos atañe, la mera utilización de los concretísimos datos requeridos por parte de un usuario para adquirir un vuelo no cumplen con esta exigencia.
Ryanair también intenta buscar protección en el uso por parte de Atrápalo de su ’software’ pero esta posibilidad queda rápidamente excluida ya que Atrápalo utiliza su propio interfaz y aplicación web.
C) Recogidas en la Ley de Competencia Desleal
Finalmente, el tribunal examina la posibilidad de que Atrápalo incurriese en competencia desleal al beneficiarse del esfuerzo ajeno y/o imitase las prestaciones de la demandante pero, como se ha señalado en la jurisprudencia, ello requeriría la auténtica existencia de “meras copias sin esfuerzo intermedio” (Sentencia AP Barcelona 25 marzo 1998). Atrápalo ejerce una actividad diversa, de intermediación, y no cabe confusión de sus servicios.
Por último el ocultamiento de la compañía con la que el usuario final contrata, con la finalidad de que el usuario no se dirija directamente a la aerolínea frustrando los fines de intermediación de Atrápalo, no cabe afirmar que produce error con respecto de con quién el usuario contrata.
La incardinación del antijurídico mercantil en uno de los artículos de la Ley de Competencia Desleal precluye la utilización de la cláusula general del art. 5 que ha de servir como cláusula que permita la absorción de futuras acciones no previstas por el legislador y en base a un principio de especialidad de la norma (specialis derogat generalis). Al haber basado su demanda en la confusión que se puede crear en el consumidor y haber rechazado el tribunal dicha posibilidad queda excluida la posibilidad de buscar amparo en el art. 5 LCD.
Resumiendo, los aspectos a resaltar de esta sentencia son la libertad de los intermediarios en la utilización de información pública de un sitio web y la imposibilidad por parte del propietario de un sitio web de discriminar cierto tipo de usuarios. Por otro lado, la necesidad de un valor agregado en la base de datos par poder obtener la protección del art. 133 LPI y la ausencia de una protección de las bases de datos ‘primarias’ con meros datos para el funcionamiento del negocio. Por último, el artículo 5 de la Ley de Competencia Desleal es una cláusula genérica que sólo puede ser invocada si la acción no se ha subsumido bajo uno de los presupuestos recogidos en el artículo 6 y ss. Es decir, o bien se opta por una acción concreta o por una que habrá que decidir en cada caso pero ambas son mutuamente excluyentes.
Caso Monix: ¿el final de la protección de las marcas? O cuando el conocimiento de parte prevalece sobre la norma http://ow.ly/2yOeu 2010/09/02
Mucho antes del ebook, en el siglo de oro (XVI-XVII) las 'Novelas Ejemplares' de Cervantes salían a unos 60 Euros http://ow.ly/2yqdw 2010/09/02
En Francia los estafadores aún hacen su agosto a costa de los internautas y la ley Hadopi http://ow.ly/2xXCk 2010/09/01
En el blog: Estudio UE de la responsabilidad de los intermediarios de internet. Gracias @MiquelP por señalarme su publicación 2010/09/01
Ni siquiera a niveles cuánticos existe la seguridad en sistemas informáticos http://ow.ly/2xmuz 2010/08/31
@andrea_popa Qué tal www.derechoeinternet.com Gracias Andrea :) #BlogDay 2010/08/31
y 2 "En El Salvador, los conductores ebrios pueden ser castigados con la muerte ante un pelotón de fusilamiento" http://ow.ly/2wQMO 2010/08/30
Las leyes más absurdas del mundo: "En Indonesia, la masturbación está penada con la decapitación" http://ow.ly/2wQI3 2010/08/30
La matrícula de un vehículo, ¿es un dato personal? http://ow.ly/2uCgo 2010/08/25
RT@profesor4 CONFIRMADO: Nuevo virus en twitter, es una supuesta aplicación para twitter, el virus envia DMs a tus followers desde tu cuenta 2010/08/18
“Writing and drawing are thinking. We’re told in school that they are skills but that’s wrong. Drawing is a way of thinking.” Chris Ware 2010/08/17
RT @TRAranzadi: La AP de Girona concede la titularidad de un programa de gestión al funcionario que lo desarrolló http://bit.ly/bIJG6b 2010/08/16
Morosos públicos igual que los privados- Sentencia obliga a alcalde a pagar deuda pública o responder con sus bienes http://ow.ly/2pBbb 2010/08/14
Difundir Digital+ en la comunidad de vecinos no ha sido considerado delito, al tratarse de un 'ámbito doméstico' http://ow.ly/2phBn 2010/08/13
El Vendrell regulariza la venta ambulante de los 'manteros' "...compensa si a cambio nos tratan como a seres humanos""http://ow.ly/2o96S 2010/08/11
RT @nacionred: "El pacto entre Google y Verizon no es tan malo como temíamos, es mucho peor" http://bit.ly/aIoRfb 2010/08/09
Nueva entrada sobre 'La riqueza de las redes' de Yoachi Benkler http://ow.ly/2mDdL 2010/08/08
@irontec Gracias por el retweet, larga vida al software libre ;) 2010/08/06
@martinezroges la pública la puedes ver en http://www.myip.es/ la privada en el router, pero me da que buscas la pública :) 2010/08/06
El #softwarelibre reforzado por sentencia judicial en EEUU: hay que cumplir con las condiciones de las licencias #GPL http://ow.ly/2m11k 2010/08/06
