Derecho-e internet

Caso Telecinco v YouTube

Ya desde un principio, cuando salió esta sentencia, no le presté mucha atención. Me parecía tan evidente la decisión que el revuelo que se produjo en la web lo entendía más debido a las partes involucradas que a ningún fundamente jurídico novedoso o a situaciones de hecho peculiares.
Así es, el reciente caso decidido por el Juzgado 7 de lo Mercantil de Madrid presentado por una representación de Telecinco reclamaba el derecho de la cadena televisiva sobre sus contenidos frente a la plataforma de alojamiento de vídeos YouTube perteneciente a Google. La pregunta que se planteó y que a estas alturas me parece de una retórica vulgar es la siguiente: ¿Es posible que una plataforma como YouTube pueda ser encontrada responsable debido a unos vídeos alojados por sus usuarios? Y me parece vulgar porque la LSSI es tajante en este sentido:

Artículo 16. Responsabilidad de los prestadores de servicios de alojamiento o almacenamiento de datos.

1. Los prestadores de un servicio de intermediación consistente en albergar datos proporcionados por el destinatario de este servicio no serán responsables por la información almacenada a petición del destinatario, siempre que:

1. No tengan conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o
2. Si lo tienen, actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos.

Se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el párrafo a) cuando un órgano competente haya declarado la ilicitud de los dato…

¿Cómo revertir una definición de una claridad tan hiriente? Pues a éstas una de las escasas vías para el pataleo que articularon los representantes de Telecinco, rizando el rizo, fue afirmar que YouTube no es un simple ‘intermediario’ sino que se trata de un auténtico ‘proveedor de contenido’ para ello, cito la sentencia, YouTube “..acude a un lenguaje de tintes comunitarios, y de ideales comunes..”, dice la parte demandante, pero con la clara y avispada finalidad de infringir los derechos de propiedad intelectual de terceros.
Vamos que según TeleCinco, YouTube se dedica a aprovecharse de los vídeos alojados por los usuarios, con respectiva palmadita en la espalda digital por parte de la filial de Google, y hace dinero explotando dichos contenidos ‘subidos’ por los irresponsables usuarios. Y es que ¿qué más da que YouTube obtenga una licencia de sus usuarios con respecto al contenido albergado? La ley no entra a valorar la relación jurídica en virtud de la cual un usuario hace público su contenido a través de un intermediario, sino solamente que este intermediario cumpla con una serie de normas con respecto al contenido una vez requerido.
Otro de los puntos de ataque de la parte actora fue la denominada ‘labor editorial’, de selección de vídeos, que llevaría a cabo la plataforma. Como todos sabemos ésta se encuentra automatizada (los famosos algoritmos googelianos). De hecho, es públicamente notoria la imposibilidad una verificación editorial de los miles de vídeos que constantemente son añadidos por usuarios al servicio de YouTube.
De mayor interés me resulta el sistema VideoID de Google que permite al derechohabiente, en los casos de detectar contenido que infrinja sus derechos, optar por a) bloquear el vídeo , b) llevar un seguimiento del vídeo, c) insertar publicidad en el mismo. No hay duda en que Google no pierde una oportunidad para ofrecerles alternativas a los productores de contenido para rentabilizarlo y esto incluso en los casos que parten de un uso ilegítimo de dicho contenido.
Después de tanto despropósito en la argumentación de la parte demandante, vemos cómo, uno a uno, los argumentos son o bien extemporáneos, o erróneos, o dignos de una interpretación sui generis de los preceptos, y volvemos al punto de partida, el mencionado art. 16 LSSI y sus cláusulas de salvaguarda. De hecho, señala la sentencia, en las ocasiones en que Telecinco pidió la retirada de vídeos sobre los que poseía derechos, Google siempre actuó con una diligencia exquisita al eliminar los contenidos

Claro como el agua:

“YouTube no es un proveedor de contenidos y por tanto, no tiene la obligación de controlar ex ante la ilicitud de aquellos que se alojen en su sitio web; su única obligación es precisamente colaborar con los titulares de los derechos para, una vez identificada la infracción, proceder a la inmediata retirada de los contenidos.”

A todo esto, ¿qué pretendían conseguir los abogados de Telecinco en un caso que entra tan claramente en la definición propuesta por la LSSI? Una vez más la sentencia se refiere al ‘conocimiento efectivo’ que ya hemos tratado aquí aclarando que YouTube tendría que ser requerido por una autoridad judicial competente para que tuviese la obligación de actuar evitando la infracción de los derechos de terceras partes. La sentencia confirma otro extremo ya asentado: la parte agraviada debe dirigirse al intermediario con peticiones concretas acerca de los vídeos que vulneran sus derechos y no haciendo mención a un grupo genérico de vídeos que pudiesen dañar sus derechos de propiedad intelectual ya que, si así fuese, la actividad de monitorización correspondería al intermediario, siendo, en el marco legal actual, un deber del derechohabiente.
Lo que más me ha interesado de la sentencia es la postura que adopta el juez con respecto a la sociedad de la información. se refiere a la información como “…la mercancía más valiosa de un mundo digitalizado” y se observa un conocimiento de los desafíos jurídicos que plantea la cultura digital:

“El reto de los emprendedores en la nueva economía no consiste tanto en proteger los derechos adquiridos como en crear valor en la difusión de esos contenidos porque la marcha de los tiempos evidencia la esterilidad de toda frontera artificial.”

Por último, la representación de Telecinco se basa en la acción de cesación de la ley de propiedad intelectual para ir contra un intermediarios incluso cuando éste no es responsable directo de la acción. No obstante la LSSI es un límite a dicho ejercicio de derecho. Es decir, y esto me parece de sumo interés, el legislador entiende la brecha existente entre la economía digital y los modelos y formatos a los que se refiere la caduca propiedad intelectual tradicional.

Tanto despropósito y falta de acierto por los demandantes no pudo tener otro premio más que la imposición de las costas. No es para menos, porque perder el tiempo en reiterar un precepto claro como el señalado sólo representa una falta de conocimiento profunda del marco jurídico en que la prestación de servicios en internet se sustenta.
Sentencia YouTube Telecinco

Estudio UE de la responsabilidad de los intermediarios de internet

Se prepara la nueva directiva de comercio electrónico y la UE abre a consulta pública las inclusiones que se deben levar a cabo para potenciar el comercio electrónico en Europa. Esta reforma surge a raíz, como señala la Comisión, de la paupérrima parte que la venta por internet supone dentro del mercado de la venta minorista global en la Unión.

Esta consulta tiene como objetivo analizar las razones por las que el comercio electrónico sigue limitándose a menos del 2% del total de ventas de servicios minoristas en la UE, y alcanza el 4% en sólo cuatro Estados miembros, más de 10 años después de su inicio. El objetivo es identificar obstáculos para el desarrollo del comercio electrónico y evaluar el impacto de la Directiva sobre el comercio electrónico (2000/31/CE).

A la sazón se publica el tardío, pues se trata de una trabajo sobre la situación en 2007, estudio de la responsabilidad de los intermediatios de internet donde se analiza la situación en cada país de la Unión. Sin añadir gran cosa a lo consabido, es interesante ver la visión con la que desde hace tres años trabaja la Comisión en la profundización de la sociedad de la información.

Por lo que nos toca, el estudio señala la identidad que sostiene en España el art. 17 LSSICE entre los albergadores de contenido y los proveedores de enlaces y analiza la adaptación e implicaciones que ha tenido el concepto de ‘conocimiento efectivo’. Recordemos que para poder demostrar la culpa de un intermediario al ofrecer un contenido/enlace se requiere probar el conocimiento efectivo de éste de lo ilícito del contenido/enlace ya que de lo contrario, al intermediario le bastará, una vez informado por el órgano pertinente, con retirar el contenido/enlace una vez debidamente requerido.

Al referirse a las decisiones judiciales dos son las situaciones habituales: el sobreseimiento por falta de conocimiento efectivo o el requerimiento cautelar de la retirada del contenido/enlace. Es decir, no habría casos en los que se hubiese demostrado la culpabilidad del intermediario.

De hecho se muestra cómo la noción de conocimiento efectivo ha quedado ampliamente reducida en nuestro ordenamiento ya que ni siquiera una comunicación formal por parte del interesado en la retirada del contenido puede entenderse que dé lugar al conocimiento efectivo de la ilicitud del contenido. Es así que, sólo un órgano competente puede determinar la antijuricidad del contenido y, de esta forma, parece que sería siempre requisito indispensable de la retirada del contenido/enlace que así sea establecido por un órgano competente. Por lo tanto, los intermediarios que albergan contenido/enlaces se encuentran bien salvaguardados ante las amenazas que piden la retirada de éste ya que la falta de conocimiento efectivo resulta jurisprudencialmente una presunción, a día de hoy, inamovible.

La ausencia de procedimientos voluntarios de notificación y retirada de contenidos ilícitos podría entenderse debido a la interpretación española de la noción de “conocimiento real” que, como se ha explicado, es generalmente muy restrictiva.

Así las cosas, al ser prácticamente nulos los riesgos por parte del intermediario, nuestro ordenamiento permite al intermediario hacer oidos sordos a los interesados en la retirada de un determinado contenido/enlace a falta de una resolución efectiva. Por ello los procedimientos de ‘take-down’ o remoción de los contenidos/enlaces se reducen a los códigos éticos suscritos voluntariamente por los intermediarios. Es así que el carácter restrictivo de la aplicación del concepto de ‘conocimiento efectivo’ ha conllevado la impunidad de los intermediarios a cambio de una libertad de opinión y libre circulación de contenidos que parece ya claramente imparable.

Google España como reponsable del tratamiento

Una reciente resolución de la AGPD ha vuelto a señalar la obligación que pesa sobre Google de eliminar los datos de su registro ante la petición de un titular haciendo valer su derecho de cancelación.
Google.es con razón se opone ante esta pretensión que de repetirse comúnmente con otros usuarios requeriría la manipulación del algoritmo con el que muestra los resultados a sus usuario.
La excepción principal que opone es que la información es recopilada y tratada por Google Inc con sede en California y que la filial en España no lleva a cabo tratamiento alguno de los datos.
Para la Agencia esto resulta inadmisible. No sólo porque Google tiene establecimiento en España y los proveedores de servicios de la sociedad de la información pueden verse sometidos a diversas jurisdicciones. La interpretación de la Agencia va más lejos y se centra en los robots o ‘spiders’ que utiliza cualquier servicio de búsqueda para obtener la información de los sitios webs que luego se encarga de ordenar automáticamente.
Para la Agencia existe un tratamiento de medios situados en territorio español y este tratamiento no se hace con simple finalidad de tránsito. De ahí la inaplicabilidad de la excepción:

“Cuando el proveedor de servicios de búsqueda es un responsable de tratamiento situado fuera del EEE, existen dos casos en los que se aplica la legislación comunitaria en materia de protección de datos. En primer lugar, cuando el proveedor de servicios de búsqueda cuenta con un establecimiento en un Estado miembro, de acuerdo con el artículo 4(1) (a). En segundo lugar, cuando el buscador recurre a medios situados en el territorio de un Estado miembro, de acuerdo con el artículo 4(1) (c). En este último caso, el buscador, de acuerdo con el artículo 4 (2), debe designar un representante en el territorio de dicho Estado miembro concreto.”

La Agencia fundamenta su decisión en la LSSI. Concretamente el artículo 8 c) prevee la protección del derecho a la intimidad de la persona ante un prestador de la sociedad de la información, e incluye la posibilidad de retirar datos que incumplan este precepto. Así, al encuadrar el servicio que presta Google en España dentro de prestador de servicios de la sociedad de información, se refiere al consabido artículo 17 de la LSSI que mantiene la doctrina de ‘safe harbor’.

“1. Los prestadores de servicios de la sociedad de la información que faciliten enlaces a otros contenidos o incluyan en los suyos directorios o instrumentos de búsqueda de contenidos no serán responsables por la información a la que dirijan a los destinatarios de sus servicios, siempre que:
a) No tengan conocimiento efectivo de que la actividad o la información a la que remiten o recomiendan es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o
b) Si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace correspondiente.”

Esta doctrina de gran calado en el derecho europeo y en el americano mediante el 47 USC 230 del Telecommunication Act de 1996, permite a los agregadores de contenido tener una salvaguarda en procesos automatizados de tratamiento de datos. Aún así dicha cláusula prevé la obligatoria remoción de contenido por parte del prestador de servicios en caso de que un órgano decrete su eliminación. Este fue el resultado de esta decisión por parte de la Agencia. Desde luego un quebradero de cabeza más para Google que habrá de velar por la eliminación de cualquier mención a Doña A.A.A. Pero, ¿es tecnológicamente posible una medida de este tipo?

‘Envío a un amigo’ – Resolución de la AGPD ‘Tick Tack Ticket’

En un post anterior discutíamos las recomendaciones a amigos. Hoy, a raiz de una reciente resolución, veremos esta práctica, harto habitual en la web 2.0, se trata, en este caso, de nutrir un servicio de potenciales clientes mediante los contactos aportados por los usuarios de éste. Esto es, se nos pide que incluyamos manualmente los correos de nuestos conocidos, en este caso, para obtener un premio. Frecuentemente esto se realiza mediante un API que permite recabar los correos personales de nuestra cuenta de correos, práctica insegura hoy por hoy con tanta contraseña de correo pululando por la red.

En este caso, la plataforma de venta de entradas Tick Tack Ticket (TTT) ofrecía la inocente promoción de dos entradas de concierto. Para conseguir tan exiguo premio, TTT solicitaba de los usuarios que incluyesen los correos de amigos y conocidos: cuantos más mejor. Hasta tal punto que, como se señala en las bases del concurso: “Ganará la persona que más veces reenvíe esta información”. Para más INRI, en dichas comunicaciones no se daba la posibilidad al receptor de la comunicación de oponerse al tratamiento.

El procedimiento es incoado por la FACUA, aunque el número de usuarios de los que se había registrado su dirección de correo mediante dicho proceder, ascendía a casi 40.000. Pese a la falta de reclamación individual por parte de sujeto alguno, la Agencia prosigue sus actuaciones de oficio, dada su naturaleza y el principio acusatorio que sustenta su actuación. Recuperemos su definición de spam de la Agencia:

“cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa”

Para la AEPD, TTT no había recabado el consentimiento tal como exige el art. 21 LSSI para el envío de comunicaciones promocionales. El presunto infractor alegaba que, en la sustanciación del procedimiento, se había producido una inversión de la carga de la prueba, ya que es TTT quien había de mostrar que el consentimiento no fue debidamente recabado. Para la Agencia, no obstante, las pruebas recogidas no son sólamente indiciarias, sino auténticas pruebas de cargo. La agencia se apoya en una columna de la tabla de la base de datos que incluía las direcciones de correo, marcado un ‘1 y valid’, y da por buena la presuposición de que se habrían enviado más de 3 comunicaciones, mínimo establecido por la LSSI para que la infracción sea considerada grave.

La propia TTT utilizó en su alegato lo frecuente de esta práctica como defensa de sus actividades. Lo que habrá que seguir con detenimiento es el número de expedientes que se abriran a raiz de esta decisión, una decisión que podría golpear fuertemente uno de los pilares de la captación de clientes llevada a cabo por muchas plataformas de internet.

Tick Tack Ticket

El fin del negocio de las comunicaciones comerciales

Recientemente me han preguntado en diversas ocasiones acerca de las posibilidades de utilizar bases de datos ajenas de correos electrónicos de usuarios con fines comerciales.

Es un tema recurrente en una industria la del marketing que, en muchos casos, no se encuentra al día de las últimas decisiones tomadas por las agencias de protección de datos europeas y la legislación aplicable, y que sigue acudiendo a viejas formas de contactar a los usuarios, desconociendo el calado de la regulación actual al respecto.

El caso es que, hoy por hoy, como hemos apuntado en nuestras reseñas de los casos Tick Tack Ticket y la decisión del año pasado acerca de la invitación de amigos, utilizar correos sin la previa autorización del receptor, -las denominadas ‘comunicaciones no solicitadas’ del art. 21 de la LSSI-, está totalmente fuera de lugar en nuestro ordenamiento jurídico.

Aún así hay empresas que piensan monetizar sus bases de datos de clientes cediéndolas a cambio de alguna contraprestación. El riesgo lo corre el que utiliza las direcciones obtenidas para enviar comunicaciones no solicitadas bajo la creencia de que al ser correctamente recabadas por la empresa pueden ser utilizadas por cualquiera sin consentimiento ulterior por parte del usuario. Y es que, aunque hayan sido correctamente obtenidas, el usuario sólo permite a la empresa con quien contrata enviar dichas comunicaciones, pero no a otras ajenas a dicho consentimiento, a dicha relación contractual. Recordemos que la legislación, en este caso, obliga al que ha obtenido estos datos a solicitar el consentimiento expreso del usuario para transferir los datos del usuario a otra empresa con ‘fines directamente relacionados con la actividad del cedente’ (art. 11.1 LOPD). No cabe mención genérica de dicha comunicación, sino que el usuario ha de saber exactamente quién será el receptor de sus datos.

La posibilidad legal que queda expedita es que el usuario acepte que la propia empresa que recoge su correo lleve a cabo las comunicaciones de dichas terceras partes.

Finalizamos recordando que el artículo 30.1 de la LOPD es taxativo al permitir la utilización exclusiva, con fines de prospección comercial y publicidad, de las fuentes de acceso público (con el censo promocional en mente tras una década de espera) o cuando los datos “hayan sido facilitados por los propios intersados u obtenidos con su consentimiento.” Es decir, las comunicaciones o transferencias con fines publicitarios -finalidades propias de la empresas al fin y al cabo- sin mediar una relación directa con el usuario y sin su consentimiento han de quedar excluidas.

Decisión AGPD sobre invitar amigos

En esta ocasión quería comentar una decisión del año pasado de la Agencia de Protección de Datos sobre una de las funcionalidades más frecuentes de la web 2.0 y las redes sociales: la invitación a amigos para probar un servicio. Realmente se trata de uno de los grandes ganchos que tienen las redes sociales para ampliar su número de usuarios y conseguir la permanencia de los ya existentes. En definitiva, ¿qué sería de una red social desierta de amigos y conocidos? Hasta este punto, parecería que un mecanismo de este tipo sería totalmente legítimo.

Pues bien, en su resolución 139/2008 la Agencia resolvió en contra de Iniciativas Virtuales, una empresa de marketing digital. La empresa enviaba un correo para dar a conocer sus servicios una vez que un usuario ‘recomendaba’ a un amigo, incluyéndolo en una lista de distribución de correos que no era procesada hasta haber recibido la aceptación del receptor de la comunicación. La empresa entendía que el correo se trataba de una comunicación personal entre un usuario y un tercero, entre pariculares en definitiva. No obstante, nuestro sistema de protección de datos se basa en el consentimiento del usuario a la hora de recibir cualquier tipo de comunicación, convirtiéndose ésta en indeseada si procede de un desconocido sin haber sido solicitada. En este sentido, resulta fundamental el hecho de que el correo se enviase desde la IP de la empresa citada antes bien que desde una cuenta de correo del usuario que invitaba.

La Agencia se ratifica en una definición de spam ya consabida:

“De este modo se entiende por “spam” cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa.”

El fin comercial y el carácter no solicitado son las características definitorias de dicho tipo de comunicaciones prohibidas, tal como se desprende del art. 21.1 de la LSSI. De hecho, en este caso se incumple tanto la legislación de protección de datos como la referente a la prestación de servicios de la sociedad de información. Sólo en dos supuestos serían posibles estas comunicaciones: en el caso de que sólo se comunique la existencia ‘nuda’ de la empresa sin tono comercial alguno, o cuando se mantenga el carácter comercial pero las comunicaciones vengan ‘elaboradas por un tercero y sin contraprestación económica.’ Desde luego, una expresión un tanto amplia que seguro más de uno intentará explotar a su favor, pero que, nos parece referida prima facie a usuarios particulares.

En cuanto a la pena, la resolución multó solamente con 600 Euros a la empresa responsable de acuerdo con el art. 21 LOPD. Dicha sanción parece mantener la posibilidad abierta de mantener esta funcionalidad a aquellas empresas a las que no les importe asumir ciertos riesgos. Esto siempre que se entienda que la infracción caiga dentro del tipo 38.4 LOPD de infracciones leves y no en el 38.3 LOPD que eleva el grado de punibilidad cuando se da el carácter masivo de dichas comunicaciones a un número indefinido de personas o más de tres en un año a un solo destinatario.

Si bien la regla general para que las comunicaciones sean legítimas es la existencia de una prestación de servicios o contrato con un usuario, parece que una de las vías más frecuentes para la expansión de las redes sociales encuentra una piedra de toque a nivel legal que, pese a pasar frequentemente desapercibida, es ya todo un hecho.