Case Study & Master
Class - RCW
La empresa
tecnológica X acaba de lanzar su solución de software "The red carpet
welcolme", un servicio de pago, bajo modelo de suscripción, destinado
a su comercialización inicialmente a empresas. Se trata de una solución que genera una capa o sayo
protector a nivel de LAN corporativa para
evitar que -en los ordenadores, smartphones , tabletas y resto de
objetos o instrumentos conectados a Internet (a partir de ahora
"terminales") e incluidos en la LAN del cliente- se puedan descargar e instalar las cookies
de navegación y con ello salvaguardar toda la información tanto técnica de
cada terminal, como comportamental de cada usuario. Para ello el software
"The red carpet welcolme" logra receptar las cookies y las nutre de falsos perfiles dotados todos ellos
de una mínima e inservible información, la suficiente para que las cookies
residenciadas puedan operar, si bien dicha información resulta a todos los
extremos inexacta e inveraz, amén de inútil para extraer conclusiones por parte
de las páginas y sites que las
envían, al igual que resultan inservibles para los buscadores (Google, Yahoo,
Bing... ) así como para aquellos "terceros" que sin ser las webs y sites que lanzan las cookies en cambio
se encargan de tratar los datos que las cookies capturan.
A la semana de su
lanzamiento en la sede central de la empresa se recibe una inesperada demanda
que pide el cese de inmediato de la promoción y comercialización de este
producto, así como su retirada del mercado y el resarcimiento por daños y
perjuicios que la comercialización y puesta en funcionamiento de la solución
haya podido ocasionar desde su lanzamiento.
1. ¿Sería
jurídicamente válido en términos de mercado y competencia un servicio como
"The red carpet welcolme"?
En términos de
mercado y competencia, debemos partir de la base que las cookies no se
convertirán en un activo empresarial propiedad de una entidad jurídica sin el
consentimiento de la persona afectada. En el momento en el cuál una persona
navega por Internet puede decidir hacerlo dejando un rastro digital o no. Los creadores de "The red carpet welcolme" no han realizado un acto de
competencia desleal por varios motivos. En primer lugar, puesto que su
software se dirige al uso a nivel de las LAN corporativas (red de área local),
por lo tanto no se puede considerar un
acto que se realiza en el mercado al no tener trascendencia externa ya que
nunca producirá efectos sustanciales en el mismo. En segundo lugar, la empresa
tecnológica pretende con esta solución de software que los usuarios de las
entidades a nivel interno no sean “trackeados”
por terceros ajenos a la red LAN. En consecuencia, no estamos ante un acto que se realiza con fines concurrenciales ya
que no nos encontramos ante un acto cuya finalidad sea promover o asegurar la
difusión en el mercado de las prestaciones propias o de un tercero. Por último,
la comercialización de este tipo de software no se puede considerar un acto contrario a la buena fe, ni que
afecte a la libre competencia en el mercado.
2. ¿La
solución "The red carpet welcolme" su funcionamiento es
conforme a la normativa en Protección de Datos?
Esta solución de
software manifestaría, en nombre de los usuarios de las entidades con una LAN corporativa,
que no desean ser rastreados, que no consienten la instalación de cookies. Por
tanto, la instalación del software se
podría traducir como una manifestación de no consentimiento debido a que
evita que terceras entidades usen información personal. A partir de esta premisa debemos responder positivamente a la cuestión
planteada. La normativa de Protección de Datos tiene como finalidad ofrecer
a las personas el derecho a controlar el destino de su información
personal, "The red carpet
welcolme" lo permite. En todo caso, la solución deberá asegurar en todo momento el cumplimiento de los principios que vertebran la normativa
recogidos en el Título II de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal y, fundamentalmente, los establecidos
en el artículo 4 (calidad), artículo 5
(derecho de información) y artículo 6 (consentimiento).
3.
¿Y conforme a la Ley de Servicios de la
Sociedad de la Información?
La solución
analizada tiene como objetivo que las personas no sean rastreadas por terceros
al navegar dentro de una LAN corporativa. Partiendo de esa base, el software analizado tiene un fin
radicalmente contrario al que originó el nacimiento de las obligaciones sobre
las cookies, pero ello no es óbice para que deba respetar las obligaciones que
dimanan de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de
la información y de comercio electrónico y que son relativas al deber de
información y la obtención del consentimiento. Debe cumplir con estos
requisitos, puesto que "The red
carpet welcolme", realiza un tratamiento sobre la información personal
que contienen las cookies. La obtención
del consentimiento puede darse a través de aplicaciones como la solución de
software estudiada. En consecuencia, solo faltaría asegurarnos que la solución recoge el consentimiento generando las
evidencias electrónicas adecuadas y, a su vez, que informa claramente de
todos los aspectos sobre la recogida,
tratamiento y destino de las
cookies. Dicha obligación, la vemos reflejada en el apartado segundo del
artículo 22.2 de la LSSI establece: “Los prestadores de servicios podrán utilizar dispositivos de
almacenamiento y recuperación de datos en equipos terminales de los
destinatarios, a condición de que los mismos hayan dado su consentimiento
después de que se les haya facilitado información clara y completa sobre
su utilización, en particular, sobre los fines del tratamiento de los datos,
con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal.”
4. ¿Dicha
demanda podría ser admitida actualmente en nuestros tribunales?
La admisión de la
demanda, al tratarse de responsabilidad extracontractual, dependerá del país donde se ha producido el daño directo (lex loci damni). Este hecho prevalece
sobre el lugar en el cuál se ha cometido el acto que genera el daño o los
lugares en los cuales concurran consecuencias indirectas. En todo caso, prevalecerá la Ley del país respecto al
cual el hecho dañoso presente vínculos más estrechos si no coincidiera con
el país donde efectivamente se produjo el daño. Aunque debemos señalar que, aun tratándose de responsabilidad
extracontractual, puede existir un pacto
entre la empresa tecnológica propietaria del software "The red carpet welcolme" y las empresas o terceros
perjudicados. Este acuerdo podría ser posterior
a la generación del hecho dañoso y permitiría decidir bajo que jurisdicción
se resolverá el conflicto. Este
pacto deberá ser expreso no pudiendo perjudicar a terceros. Por lo tanto, los tribunales españoles
podrían admitir el reto de resolver este conflicto.
Como hemos
observado en distintas resoluciones
de tribunales alemanes resultado de
reclamaciones de medios de comunicación germanos contra los programas que bloquean la publicidad (los
llamados Adblockers), éstos no han sido prohibidos puesto que los
mismos no eliminan la publicidad y lo que hacen es filtrarla. Además, se añade,
que corresponde al usuario el poder de decisión sobre el hecho de recibir
inputs publicitarios o no hacerlo. En este caso, nos topamos con un caso que en muchos aspectos es análogo, la
publicidad se basa en el análisis de la información personal de los usuarios al
navegar puesto que la misma incrementa la efectividad de las campañas
publicitarias al dirigirse a un público objetivo, interesado.
5. ¿Quién
se encargaría de valorar esos pretendidos perjuicios que la solución hubiese
producido al falsear, deformar y confundir la información recogida por las
cookies?
No sería una
misión fácil valorar económicamente los perjuicios que podría generar el uso de
este tipo de software por parte de las empresas. Un perito sería la persona elegida, aunque actualmente el mercado
carece de un perfil adecuado para valorar este tipo de asuntos por la
complejidad del mismo. Pero sin duda, debería tratarse de una persona con conocimientos en cuatro campos: técnicos,
jurídicos, marketing online y en operaciones de Data Brokers. Conocimientos técnicos para poder, en base a
evidencias electrónicas, decidir si la información que contiene una cookie ha
sido tratada, en qué momento, de qué forma, por medio de qué tipo de software,
etc.; Conocimientos jurídicos para
valorar si los tratamientos efectuados con la información personal son acordes
a las normativas que aplican como las de privacidad y de la Sociedad de la
Información; Conocimientos en marketing
online que servirían para que el perito pueda determinar desde el punto de
vista publicitario el valor de los datos que se están tratando; por último,
poseer experiencia y conocimientos de
proyectos u operaciones de empresas de Data
Brokers (como Acxiom, Corelogic, Datalogix, eBureau, ID Analytics,
Intelius, PeekYou, Rapleaf, Recorded Future,
etc.), sería un plus para cualquier perito en aras de valorar económicamente de forma adecuada los perjuicios empresariales
que se pueden haber producido en el mercado por el uso de la solución "The red carpet welcolme".
6.
¿Los buscadores (Google, Yahoo, Bing...)
pueden arrogarse la representación legal y procesal en la defensa de los
intereses de las webs y sites indexados por los propios buscadores, teniendo en
cuenta que nos referimos a las webs y sites a los que se ha navegado desde los
terminales de la LAN de la empresa X?
No pueden los buscadores apropiarse de la
representación legal debido a que, aunque ellos pueden considerarse perjudicados
por el uso de este tipo de software, no
son los únicos y sus ingresos proceden de diversas fuentes y no solo del
tratamiento de las cookies. Existen otros
intervinientes que podrían alegar un importante perjuicio en caso que este
tipo de soluciones se extendieran más allá de las redes LAN, al igual que se
están extendiendo los Adblockers. Se
trata de entidades cuyo núcleo de negocio es el tratamiento de las
cookies, como son las Redes
Publicitarias que ofrecen la posibilidad de obtener espacios publicitarios
o algún tipo de resultado concreto como clics, ventas o registros, a través de
la gestión y tratamiento de los datos obtenidos de la utilización de las
cookies descargadas o almacenadas en los equipos terminales de los usuarios; o
como son las Empresas de Análisis y Medición,
que son entidades que miden y/o analizan el comportamiento de la
navegación de los usuarios en la página web de un editor, actuando en su nombre
y representación, a través del análisis de los datos obtenidos con la
utilización de las cookies. Podrían concurrir otros terceros perjudicados, pero
al igual que los buscadores, no está considerado el núcleo de su negocio el
tratamiento de cookies, como son las Agencias de Publicidad y Agencias de
Medios; Anunciantes o los propios Editores (cualquier entidad prestadora de
servicios de la sociedad de la información titular de una página web a los que
puede acceder un usuario).
Diferentes objetivos, pero de naturaleza
común. Todas las cookies
son pequeños archivos que se instalan en nuestro ordenador al navegar por
determinadas páginas webs, pero sus finalidades son heterogéneas. Este hecho
influye en el tratamiento que la Ley establece. Sirven para intercambiar
información entre el equipo del usuario y el servidor de origen. Estos archivos
permiten el almacenamiento en el terminal del usuario de cantidades de datos
que van de unos pocos kilobytes a varios Megabytes. No todas las cookies están afectadas por las exigencias legales en
relación a la solicitud de consentimiento y a los requerimientos de información
a los usuarios.
Es factible
realizar diferentes clasificaciones
sobre las cookies, por ejemplo según la entidad que las gestiona (propias o
de terceros); según el tiempo que permanezcan activas (de sesión o persistentes);
según su finalidad (técnicas, de personalización, de análisis, publicitarias y
las comportamentales). Pero en este caso, hemos optado por categorizarlas entre
las que están afectadas por la Ley y las que están exentas del cumplimiento de
las obligaciones que marca la normativa.
1.- Están exentas del cumplimiento de la Ley:
- Las que sólo permiten la comunicación entre el
equipo del usuario y la red.
- Las necesarias
para la prestación de un servicio de la sociedad de la información expresamente
solicitado por el usuario.
En consecuencia,
nos referimos a las cookies técnicas, de personalización/configuración y las de
seguridad:
Técnicas: necesarias para navegar. Los websites no funcionarían correctamente
sin su participación (por ejemplo sirven para realizar el proceso de compra de
un pedido, realizar la solicitud de inscripción o participación en un evento,
etc.).
Personalización/Configuración: permiten al usuario acceder al servicio
con algunas características generales predefinidas en función de una serie de
criterios en el terminal del usuario (tipo de navegador, idioma, etc.).
Seguridad: evitan o dificultan los ataques dirigidos
a los usuarios o al website.
2.- Aplica la normativa a las cookies
analíticas, publicitarias y a las de seguimiento:
Analíticas: Posibilitan la medición de la actividad de
los usuarios y la elaboración de estadísticas de navegación. Es poco probable
que representen un riesgo para la privacidad de los usuarios siempre que se
trate de cookies de primera parte, que traten datos agregados con una finalidad
estrictamente estadística, que se facilite información sobre sus usos y se
incluya la posibilidad de que los usuarios manifiesten su negativa sobre su
utilización.
Publicitarias: Gestionan la frecuencia y el contenido de
los anuncios.
Seguimiento: Almacenan información sobre los usuarios
para ofrecerles publicidad personalizada.
Debemos señalar
que los usuarios disponen de un derecho llamado de revocación u oposición al uso de las cookies instaladas después de
haberlas consentido, pero este derecho es de
difícil ejecución por parte de los editores o propietarios de los websites.
Para acabar, y
como hemos podido comprobar estos archivos “dan mucho juego” a nivel legal,
pero desde un punto de vista práctico, el usuario medio continúa igual de
desorientado que antes de la aparición de las obligaciones de información sobre
las cookies debido a que en la gran mayoría de casos consideran una molestia el
tener que aceptar o eliminar la ventana emergente (pop-up) que les aparece en
los websites y acaban por no leerlo.
Como corolario a
este “Case Study”, se debe de tener
siempre presente, ante la idea de crear
una nueva solución de software, qué tipo de activos empresariales va a tratar dicho software y si estos
incluyen datos personales. En ese
caso, deberemos tener en cuenta que la
propiedad de los mismos no es nuestra, tan sólo será la posesión temporal de
los datos. El destino de ese capital de datos que poseemos siempre vendrá
supeditado por la decisión de la persona afectada. Por ello debemos tomar en
consideración como un riesgo empresarial
al lanzarnos con una nueva idea de negocio de este tipo que, aunque para
desarrollar y alcanzar éxito a nivel comercial con el nuevo software no sea
necesario respetar la privacidad desde el
diseño y por defecto, ésta debe
tenerse presente. Si no queremos que un negocio en apariencia viable naufrague al cabo de pocos meses o
años por no haber ponderado
convenientemente este riesgo legal, el riesgo a una elevada sanción administrativa por incumplir
las normativas sobre privacidad e Internet, o a la reclamación de una indemnización por el afectado o por parte de un
tercero perjudicado por el uso de una nueva solución de software.
ALBERTO CUESTA
Abogado-Director en URECA-Legal (nº32.435)
Vocal Sección TIC y Propiedad Intelectual del Ilustre Colegio de Abogados de Barcelona
Miembro Registro AULETEC – Abogados auditores de entornos tecnológicos (Lic.nº33)
Miembro del Observatorio Iberoamericano de Protección de Datos