Abanlex Abogados

Google Analytics es un servicio gratuito de Google, de uso muy extendido, que permite conocer cómo interactúa un usuario con una página web determinada a través de la localización y rastreo de la dirección IP del mismo. El motivo del registro de la dirección IP son fines estadísticos, obtención de informes de usuarios, análisis de navegación y seguimiento de datos de comercio electrónico en relación con la publicidad para analizar su rendimiento.

Las aguas ya estaban revueltas debido al conflicto del servicio Street View de Google con el ejecutivo alemán y parece que la tempestad no va a amainar. La Autoridad de Protección de Datos Alemana (APDA) ha estado manteniendo conversaciones con Google desde mediados de 2009 con el objeto de solventar las controversias suscitadas por este servicio respecto a la protección de datos, ya que el recabo de estas direcciones, bajo el criterio de APDA, supone una vulneración de la privacidad. El propósito de estas conversaciones era incluir una alternativa que ocultase parcialmente las direcciones IP o bloquear el funcionamiento del servicio desde el navegador, aunque existía el impedimento de que no todos los navegadores web lo permitían. Estas negociaciones no llegaron a buen puerto y en enero de 2011 se hizo pública la intención del ejecutivo alemán de multar a los administradores que hiciesen uso de Google Analytics en sus respectivas webs con cantidades que rondaban los 50.000 €.

La cuestión subyacente radica en que los administradores web de las páginas son los responsables del tratamiento de datos de los usuarios que acceden a su página web y Google Analytics cumple la función de encargado del tratamiento. La Autoridad de Protección de Datos de Hamburgo (APDH) ha creado una guía orientativa para facilitar a los administradores web sitos en Hamburgo el cumplimiento de estas obligaciones.

En concreto, el 15 de septiembre de 2011, APDH publicó una nota informativa explicando que Google había incrementado notablemente el cumplimiento de las obligaciones de protección de datos exigidas para los operadores de sitios web con sede en Hamburgo:

• Los usuarios de los principales navegadores web pueden oponerse a la recogida de sus datos utilizando el mecanismo “Google Analytics Opt-out Browser Add-on”, basado, según la definición oficial de Google, en un complemento que se comunica con el código JavaScript de Google Analytics para indicar que la información recopilada sobre la visita al sitio web no se envía a este programa.
• Los administradores de las páginas web podrán anonimizar las direcciones IP recogidas eliminando los últimos dígitos de la misma.
• Firma de un contrato de tratamiento de datos entre los administradores de las páginas web y la APDH, en cumplimiento con la normativa de protección de datos alemana. Este contrato podrá basarse en los modelos aprobados por la APDH y deberá incluir las obligaciones del responsable del tratamiento conforme a la normativa vigente. Asimismo, será necesario concretar la utilización de Google Analytics en la política de privacidad de la página web y ofrecer a los usuarios de la misma la posibilidad de oponerse utilizando el complemento “Google Analytics Opt-out Browser Add-on”, anteriormente citado.
• La eliminación permanente de toda la información almacenada durante el uso de la versión anterior de Google Analytics que no cumpla la normativa de protección de datos, el borrado de los perfiles antiguos y la creación de nuevos perfiles de Google Analytics.

Por último, la APDH menciona que en el futuro pueden surgir nuevas obligaciones respecto a esta materia, debido a la implementación del nuevo protocolo de internet IPv6 y las consecuencias de la normativa europea reguladora de las cookies.

Imagen: Darkside

Las soluciones cloud computing ofrecen seguridad y ahorro de costes

La implantación de soluciones cloud computing ofrece servicios de tecnologías de la información a un menor coste (alrededor de un 30% de ahorro estimado) y mayor seguridad, gracias a nuevos recursos tecnológicos como la virtualización de los CPDs y datacenters.

El pasado 5 de Mayo de 2011, abogados de Abanlex asistieron al evento One Cisco, One Cloud, organizado por Cisco Systems en Madrid. A lo largo de esta jornada, una de las más importantes de España en cuanto a cloud computing, se analizó el presente, pasado y futuro del servicio de computación en la nube o a través de Internet. El crecimiento de esta nueva tecnología es, sin duda, exponencial.

La concepción tradicional y más extendida del cloud es la de una estructura horizontal en la que se engloban todos los servicios. Sin embargo, una comprensión profunda la nube permite ver su verdadera estructura:  la nube está formada por un complejo entramado de “mini-clouds” que interactúan entre sí (ej. conjunto de sensores en los coches que se comunican y comparten información unos con otros), y gestionan sectores clasificados temáticamente. De esta manera, se genera una cloud más grande, con una estructura vertical, además de horizontal.

Existen varios tipos de nubes según el contenido que alberguen o su función. Durante los primeros años de implantación de soluciones cloud predominaron las “nubes privadas”, las cuales ofrecían una mayor precisión respecto al lugar donde se almacenaban los datos o se ejecutaban las aplicaciones. El siguiente paso de la evolución del sistema cloud, y en el que nos encontramos actualmente, es la implantación a gran escala de las “nubes híbridas” en las que se combinan características de la “nube pública” y la “nube privada”. Y sobre las perspectivas de futuro, estas parecen claras: la consolidación de las “nubes públicas”, donde el almacenamiento de datos en los servidores es totalmente compartido con otros usuarios.

Este proceso de transición de nube privada a pública encuentra su principal pilar en la búsqueda de una mayor seguridad. Pero no depende de si ésta es mayor o menor en la “nube”, sino del concepto que se tenga sobre aquella.

¿En qué sentido cambiará el concepto de seguridad? Según señalaron los ponentes propuestos por Cysco System, el actual “self-defending” pasará a ser una protección sin fronteras en la que se delegará la responsabilidad sobre la seguridad del contenido en la nube a las grandes corporaciones, con mayores recursos económicos y técnicos que el usuario.

Imagen cedidad por BasicGov (Flickr) bajo licencia Atribución-CompartirIgual 2.0 Genérica (CC BY-SA 2.0)

La cesión de datos personales entre empresas o instituciones para el cumplimiento de sus fines, ha de ser realizada siempre previo consentimiento del interesado, como indica el artículo 11 de la LOPD. Si bien, el apartado segundo de este mismo artículo establece varias excepciones que eximen del recabo del mencionado consentimiento como es, entre otros, que dicha cesión esté autorizada en una ley.

Llegado el momento, se plantea por parte de una Federación Deportiva Autonómica (valenciana) ante la Agencia Española de Protección de Datos una cuestión acerca de la necesidad o no de firmar un contrato de encargado de tratamiento con motivo de la cesión de los datos personales de los deportistas licenciados en su federación al objeto de la participación de estos en competiciones nacionales.

Se plantean dos implicaciones importantes en esta consulta. Por un lado, si existe habilitación legal que ampare esa cesión y, por otro, la consiguiente necesidad o no de articulación de los términos de la cesión entre federaciones mediante el contrato de encargado del tratamiento.

Lo primero que resuelve la AEPD es que la descrita comunicación de datos relativos a licencias constituye “una auténtica cesión de datos” con base en las definiciones del artículo 3. i) de la LOPD. Considerando esta cesión como tal habrá que ceñirse a lo que estipule el régimen general de cesión de datos del artículo 11: “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado“. Este artículo, como se dijo antes, contiene una excepción por la cual tal cesión no exigirá el consentimiento del interesado en aquellos casos en los que esté amparada por una ley.

Ahondando en la legislación que contempla emisión de licencias encontramos que este hecho se encuentra pevisto en la Ley 10/1990, de 15 de octubre, del Deporte. En concreto, el artículo 32 de la Ley del Deporte estipula: “1.Para la participación de sus miembros en actividades o competiciones deportivas oficiales de ámbito estatal o internacional, las Federaciones deportivas de ámbito autonómico, deberán integrarse en las Federaciones deportivas españolas correspondientes” (…) “4. Para la participación en competiciones deportivas oficiales, de ámbito estatal, será preciso estar en posesión de una licencia deportiva, expedida por la correspondiente federación deportiva española, según las condiciones y requisitos que se establecerán reglamentariamente. Las licencias expedidas por las federaciones de ámbito autonómico habilitarán para dicha participación cuando éstas se hallen integradas en las federaciones deportivas españolas, se expidan dentro de las condiciones mínimas de carácter económico que fijen éstas y comuniquen su expedición a las mismas“.

En estos dos epígrafes del texto legal deportivo nos hacen llegar a una conclusión: si la federación autonómica está integrada en la federación estatal, existe habilitación legal para la cesión de los datos personales “ya que la propia ley reconoce a la federación española la obligación de emitir las licencias para poder competir en pruebas oficiales, o que se les comunique las emitidas por las federaciones autonómicas“.

Queda resuelta de igual modo la consulta sobre la necesidad o no del contrato de encargado del tratamiento al tratarse de una cesión de datos legitimada por imperativo legal, de manera que no será necesaria la firma del referido contrato exigido por el artículo 12 de la LOPD.

Imagen de Miamiamia (sxc.hu)

La nueva regulación sobre publicidad en televisión obliga a reducir el tiempo de emisión de anuncios, a no pausar las películas en exceso y a permitir al espectador disfutar de los acontecimientos deportivos sin cortes publicitarios.

El 1 de enero de 2010  TVE1 se despidió definitivamente de la publicidad televisiva en cumplimiento de la Ley de Financiación de la Corporación RTVE y siguiendo esta estela el Gobierno ha limitado pocos meses después el contenido publicitario de la emisión de las demás cadenas por medio del texto recogido en la sección 2ª del Capítulo II del Título II de la nueva Ley 7/2010 General de la Comunicación Audiovisual, cumpliendo así con los criterios recogidos por la Directiva Comunitaria 2007/65/CE de Servicios de Comunicación Audiovisual del Parlamento Europeo y del Consejo de 11 de diciembre del 2007.

A partir de ahora los espectadores verán menos publicidad en los canales privados de televisión, habiéndose fijado por ley un máximo de 20 minutos por cada hora de emisión de los cuales 12 minutos serán de anuncios convencionales, 5 minutos como máximo de autopromoción y 3 minutos de telepromoción. Así lo recogen los artículos 13 y 14 de la ley 7/2010, que abren la sección 2ª dedicada al “Derecho de las comunicaciones comerciales”.

Con la intención de beneficiar al consumidor el legislador ha fijado una frecuencia menor de emisión de publicidad: cada 30 minutos como mínimo para el caso de la retransmisión de largometrajes, películas y programas informativos televisivos. De esta forma la ley de solidariza con la integridad de la obra o grabación audiovisual, que puede verse gravemente dañada si se intercala una infinidad de cortes publicitarios.

Gracias a la nueva regulación el espectador no volverá a perderse el punto decisivo del partido de Nadal o la rotura de motor de Massa; el artículo 14. 4 de la ley recoge la exigencia de que la retransmisión de eventos deportivos pueda ser interrumpida con motivo de pausas publicitarias “solo cuando el acontecimiento deportivo se encuentre detenido”, aunque será lícito insertar mensajes publicitarios siempre que se pueda seguir el evento.

Al contrario que los comentarios que han seguido a la publicación de la norma, vertidos por algunos medios de comunicación, las medidas no parecen ser en modo alguno dañinas para el enriquecimiento de los canales privados, que, además de redefinir su modelo de negocio, pueden crear sus propios canales de comunicación comercial alternativos, según dispone el artículo 13 de esta ley, y crear sus propios anuncios de “autopromoción” para informar de sus canales, programas y productos. Asimismo, los artículos 16 y 17 establecen el derecho al patrocinio y otorgan una novísima y esperada regulación al emplazamiento de productos (o product placement), como medidas adicionales a la emisión de publicidad, siempre que se ajusten a una serie de requisitos mínimos tales como que el público sea claramente informado de la naturaleza publicitaria de la emisión y que se respete el contenido del programa patrocinado.

El artículo 18, último de esta sección 2ª, hace una mención a las comunicaciones comerciales prohibidas, recogidas de forma más amplia y concreta en la Ley 34/1988, de 11 de noviembre, General de Publicidad a la que el mismo alude, de la siguiente manera:

Artículo 18. Comunicaciones comerciales prohibidas en cualquiera de sus formas.

1. Además de lo dispuesto en la Ley 34/1988, de 11 de noviembre, General de Publicidad, en relación con la publicidad ilícita, está prohibida toda comunicación comercial que vulnere la dignidad humana o fomente la discriminación por razón de sexo, raza u origen étnico, nacionalidad, religión o creencia, discapacidad, edad u orientación sexual. Igualmente está prohibida toda publicidad que utilice la imagen de la mujer con carácter vejatorio o discriminatorio.

2. Está prohibida la comunicación comercial encubierta y la que utilice técnicas subliminales.

3. Está prohibida la comunicación comercial que fomente comportamientos nocivos para la salud.

En general, la ley parece haber respetado la esencia de la Directiva europea antes citada en el sentido de crear “un instrumento de protección del consumidor frente a la emisión de mensajes publicitarios en todas sus formas en cuanto a tiempo y contenidos pero también con una normativa reguladora básica para impedir abusos e interpretaciones divergentes” (exposición de motivos de la Directiva), sin dejar de lado a los prestadores de estos servicios y sus legítimos intereses.

Hacía más de diez meses que habitaba en esta desdichada isla y parecía que cualquier posibilidad de salvación de esta condición me hubiera sido totalmente negada. Además, estaba convencido de que ningún ser humano había puesto un pie en este lugar. Ya me había asegurado perfectamente la habitación y ahora tenía grandes deseos de explorar la isla más a fondo para ver qué cosas podía encontrar que aún no conocía. Daniel Defoe, “Robinson Crusoe” (1719)

Imagen cedida por Martin BOULANGER

¿Cómo sería un mundo sin marketing? Quizás nos sintiésemos solitarios en una isla sin estímulos publicitarios, pero sin embargo hay cierto tipo de prácticas que son comúnmente rechazadas, especialmente las que se transmiten por medio de vías que consideramos privadas, las que llegan a nuestro correo o teléfono sin nuestro consentimiento y en ocasiones nos impiden “ver qué cosas podía encontrar que aún no conocía”.

Es notoria la insistencia de algunas compañías a la hora de presentar sus ofertas. En especial, las llamadas para ofrecer nuevas promociones son unos de los generadores de ruido más relevantes en la actualidad, celebrando las compañías de marketing que dispongamos de un terminal ligado a nuestra persona de forma permanente o un teléfono siempre activado en el hogar. La publicidad directa no solicitada es una de las prácticas comerciales intrusivas más relevantes y la recepción de llamadas publicitarias es “una de las preocupaciones que más afectan a los ciudadanos” según la Memoria de 2008 de la Agencia Española de Protección de Datos (AEPD).

No se trata de un fenómeno nuevo. Podemos encontrar las primeras referencias sobre correos publicitarios recibidos por vía postal sin autorización (también llamados junk mails) en 1954 tras muchos años de aplicación posiblemente a partir del desarrollo comercial de la máquina de escribir. El primer correo electrónico que podría denominarse spam fue enviado a todos los usuarios de ARPANET en la Costa Oeste en el año 1978 publicitando una reunión para la venta de un equipo informático. Este acto de comunicación fue definido por sus destinatarios como un abuso del directorio (base de datos con los e-mails de los usuarios), competencia desleal o uso ilegítimo de la red, teniendo en cuenta que ésta formaba parte de una Agencia del Departamento de Defensa de los Estados Unidos.

Desde entonces, el mero hecho de disponer de un buzón en el domicilio, un teléfono fijo o móvil, una dirección de e-mail o un número de fax nos sitúa como sujetos pasivos del marketing directo pudiendo ser receptores de innumerables mensajes, llamadas y panfletos. Esta situación ha sido en cierta parte paliada a través del artículo 18.4 de la Constitución limitando “el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos” así como la normativa sobre defensa de los consumidores con base en el artículo 51 de la Constitución.

…

[Ésta es la primera parte del artículo LA LISTA ROBINSON escrito por Jesús Martín para la revista Lex Nova. Para leer el artículo completo descárguelo gratis en PDF o acceda a la web de la revista (páginas 30 y 31)]