Vídeo de 35 minutos relativo a la Guía sobre el uso de cookies publicada en mayo de 2013 por la Agencia Española de Protección de Datos y las asociaciones aDigital, Autocontrol e IAB.

Se recomienda ver el vídeo en resolución 1.080 y a pantalla completa tras hacer clic en el icono de YouTube.

En esta infografía resumo los puntos que considero más importantes de la nueva Guía sobre el uso de cookies (PDF) de la Agencia Española de Protección de Datos y las asociaciones adigital, Autocontrol e IAB, que ha sido publicada hoy.

Infografía Cookies 2013 en formato PDF

Para ampliar la imagen haz clic en la infografía

El Consejo de Ministros de ayer recibió un informe de la ministra de Sanidad, Servicios sociales e Igualdad sobre el Anteproyecto de Ley por el que se modifica el texto refundido de la Ley General para la Defensa de los Derechos de los Consumidores y Usuarios y otras leyes complementarias. Mediante esta Ley se transpondrá a la legislación española la Directiva comunitaria sobre los derechos de los consumidores.

Su objetivo principal es reforzar la seguridad jurídica de los consumidores y de las tiendas online, con medidas encaminadas a reducir la desigualdad de posiciones entre ambas partes.

Las principales novedades de la futura Ley son las siguientes:

1. Información

Se amplía la información precontractual que, por ley, habrá que facilitar a los consumidores y usuarios, en general y, en particular, cuando formalicen contratos a distancia. Tendrá que ser clara y comprensible.

2. Derecho de desistimiento

Se introducen nuevas garantías en cuanto a la posibilidad de renunciar o desistir del contrato. Asimismo, se amplía el plazo en el que se puede ejercer: de los 7 días hábiles actuales a 14 días naturales. En el caso de que no se hubiera informado al consumidor de que puede ejercer este derecho, el plazo queda automáticamente ampliado a 12 meses. La nueva norma, además, incorporará un formulario de desistimiento común en Europa, que facilita el ejercicio de este derecho y que se tendrá que facilitar junto con la información previa al contrato.

Cabe decir al respecto que en algunos sectores, como el de la moda online, la ampliación del plazo de desistimiento ha supuesto una ventaja competitiva para algunas empresas. Un plazo de 30 días, por ejemplo, unido a la asunción de los gastos de devolución, puede hacer que los consumidores adquieran tres tallas de una misma prenda (la propia, la superior y la inferior) con el fin de quedarse la que mejor le quede y devolver las dos restantes. Si el consumidor tiene 30 días para realizar la devolución, aumenta la posibilidad de que encuentre otro comprador entre familiares y amigos y al final no practique la devolución.

3. Nuevos derechos

El Anteproyecto dota a los consumidores de nuevos derechos, referidos a la forma y los plazos de entrega y el riesgo de pérdida o deterioro del bien adquirido, entre otros.

4. Cargos adicionales

 El empresario tendrá que asegurarse de que el consumidor, al realizar un pedido a través de Internet, confirme que es consciente de que éste implica una obligación de pago. De este modo, el usuario siempre tendrá que aceptar el precio final antes de que concluya la transacción.

Si el empresario no obtiene el consentimiento expreso del consumidor para un pago adicional al acordado y, en su lugar, lo deduce utilizando opciones por defecto, el usuario tendrá derecho al reembolso del pago.

En el caso de que el empresario decida habilitar una línea telefónica para comunicarse con sus clientes en relación con el contrato, el uso de esta línea no podrá suponer un coste superior al de la tarifa básica.

Además, los empresarios no podrán facturar al consumidor cargos por el uso de determinados medios de pago que superen el coste al que tienen que hacer frente ellos por el uso de los mismos.

Esta mañana, al realizar una búsqueda en Google, ha aparecido en la zona previa a los resultados de la búsqueda un banner de aceptación de las cookies de Google. No recuerdo haberlo visto antes, por lo que desconozco el tiempo que lleva usándolo. Al hacer clic en el enlace "Más información" aparece el texto en el que Google explica cómo utiliza las cookies y dirige a varias páginas en las que el usuario puede ampliar la información.

En la página en la que explica los tipos de cookies que utiliza Google aparece una tabla en la que se relacionan las siguientes finalidades en el uso de las cookies por parte de Google:

1. Preferencias
2. Seguridad
3. Procesos
4. Publicidad
5. Estado de la sesión
6. Google Analytics

En el apartado correspondiente a Google Analytics explica que "Google Analytics es una herramienta gratuita de análisis web de Google que principalmente permite que los propietarios de sitios web conozcan cómo interactúan los usuarios con su sitio web. Asimismo, habilita cookies en el dominio del sitio en el que te encuentras y utiliza un conjunto de cookies denominadas "__utma" y "__utmz" para recopilar información de forma anónima y elaborar informes de tendencias de sitios web sin identificar a usuarios individuales".

La lectura de esta explicación, unida a la frase del banner de aceptación de las cookies de Google, que dice: "Al utilizar nuestros servicios, aceptas el uso que hacemos de las cookies" permite que se planteen las siguientes cuestiones:

1. ¿Está Google solicitando la aceptación de las cookies de Google Analytics para todos los sitios web que utilicen este servicio?
2. ¿Sería válido un consentimiento dado a Google en relación a cookies instaladas a través de sitios web administrados por otras personas físicas o jurídicas que no han obtenido el consentimiento directo del usuario?
3. ¿Se extiende este consentimiento a las cookies que se generen en navegadores y ordenadores distintos al utilizado en la aceptación si en el momento de aceptar la política de cookies de Google estaba abierta la sesión de mi cuenta en Google?

Desde el punto de vista de la LSSI, el artículo 22 no da una respuesta negativa a estas tres preguntas, aunque parece excesivo concentrar tantos consentimientos en un solo clic. Desde el punto de vista operativo podría ser una opción para exonerar a los administradores de sitios web que sólo utilizan esta cookie de solicitar el consentimiento de sus usuarios. Pero ello no es posible, ya que no se puede garantizar que todos los usuarios de un sitio web hayan hecho clic previamente en el banner de Google.

Desde el punto de vista de la LOPD, a la que el mismo artículo se remite, tendríamos que analizar la naturaleza de la relación entre Google y sus clientes. En mi opinión, Google actúa como encargado del tratamiento de las empresas que contratan el servicio Google Analytics, aunque he visto algún aviso legal en el que se afirma que la empresa no accede a los datos obtenidos por Google Analytics. ¿Para qué contrata entonces este servicio?

Cierto es que Google obtiene una información valiosa con Google Analytics y que, a la vista del uso que le da, actúa como responsable del fichero. Pero en el momento en que presta el servicio a sus clientes actúa como encargado del tratamiento. Ello le permitiría recabar el consentimiento en nombre del cliente y en nombre propio, aunque no he identificado esta función en los términos y condiciones del servicio. Pensemos que Google considera que no trata datos personales y por ello no configura la relación como un encargo de tratamiento. Sin embargo, si tenemos en cuenta el artículo 22 de la LSSI y aplicamos el criterio de la AEPD sobre la disociación irreversible al conjunto de datos que Google tiene sobre un usuario, será difícil determinar que no realiza un tratamiento.

Me gustaría mucho más que las cookies tuvieran otra regulación en Europa, ya que, además de ser excesiva, está creando una carga adicional a las empresas europeas, mientras nuestros competidores en los países que nos están empezando a superar en el mercado mundial no tienen obligaciones parecidas.

Acabo estas reflexiones que me ha suscitado el banner de Google con una referencia a la vinculación del consentimiento a la identidad del usuario cuando éste mantiene una sesión abierta en su cuenta de Google al tiempo que hace clic en el banner. Normalmente, la prueba de la aceptación de una cookie, cuando el usuario ha sido informado mediante un banner, puede ser la propia existencia de la cookie en el ordenador del usuario. Siempre claro, que la entrada de la cookie en el ordenador esté condicionada a la previa aceptación de la misma haciendo clic en el banner. Este consentimiento sólo vale para el navegador utilizado al hacer clic. Sin embargo, si el usuario está "logueado", Google podría asociar el consentimiento a la cuenta del usuario. No parece que sea ésta la intención de Google cuando afirma que la información recogida por las cookies no contiene datos que permitan determinar la identidad del usuario.

Además, ello sería fácil de comprobar, ya que, como las cookies de Google también se utilizan para adaptar la publicidad al perfil del usuario, sólo tenemos que comparar los anuncios que aparecen cuando la sesión está abierta y cerrada.

En la jornada sobre cloud computing que la Agencia Española de Protección de Datos (AEPD) organizó en enero de 2012 se llegó a la conclusión de que la computación en la nube había generado un cambio de paradigma en las subcontrataciones y en las transferencias internacionales de datos.

Este cambio de paradigma fue analizado posteriormente en este blog para comprobar cómo estaba actuando la oferta y la demanda en materia de subcontrataciones y transferencias internacionales.

En esta ocasión me gustaría analizar si este cambio de paradigma se ha manifestado en la tipología de las transferencias internacionales que fueron autorizadas por el Director de la AEPD durante 2012 y si la globalización y el abaratamiento de los servicios de hosting, unido a la aparición de nuevas categorías de servicios, está provocando una menor identificación de los supuestos en los que se produce una transferencia internacional de datos.

En relación a la primera cuestión, es fácil comprobar que las transferencias internacionales de datos autorizadas por el Director de la AEPD en 2012 se distribuyen en dos grandes tipologías:

- 122 transferencias internacionales realizadas en el marco de un contrato de prestación de servicios de encargado de tratamiento (call center, gestión de aplicaciones, gestión de bases de datos).

- 53 transferencias internacionales relativas a la gestión centralizada de datos de RRHH o de clientes en la sede central de una empresa multinacional.

En ninguna de ellas se identificó como destinatario de la transferencia internacional a alguno de los grandes proveedores que ofrecen servicios de hosting como prestación principal, es decir, como prestación no complementaria a los servicios de call center o gestión de bases de datos.

Tampoco se identificó como destinatario de la transferencia internacional a alguno de los grandes proveedores de cloud computing, en su modalidad de nube pública, ni a las principales redes sociales.

De este análisis rápido, basado exclusivamente en las transferencias internacionales autorizadas por el Director de la AEPD en 2012, extraigo las siguientes conclusiones:

1. Sigue pareciéndome bajo el número de empresas que identifican y declaran como transferencia internacional los servicios contratados a proveedores que tratan datos en países con un nivel de protección no equiparable al de la UE. Según la Memoria de la AEPD de 2011, sólo se han autorizado 735 transferencias internacionales en total en 12 años, incluyendo las transferencias a la sede central de multinacionales.

2. No parece que exista una práctica generalizada de declarar como transferencia internacional los servicios de cloud computing en los que los datos son almacenados en países de protección no equiparable.

3. Lo mismo sucede con la contratación de servicios de mero hosting de datos.

4. Lo mismo sucede con el tratamiento de datos realizado por las empresas en las redes sociales.

Estas conclusiones me llevan a plantear si se están dando en el mercado circunstancias que dificultan la identificación de los supuestos en los que se produce una transferencia internacional de datos que exigiría la autorización del Director de la AEPD.

Todo parece indicar que efectivamente se está produciendo una progresiva pérdida de control por parte del responsable del fichero sobre los distintos encargados y subencargados del tratamiento que acceden a sus ficheros. Por otro lado, hay nuevos servicios en los que cuesta más identificar dónde están los datos a lo largo del ciclo de vida de la relación con el proveedor.

Agrupando estas nuevas circunstancias con las que ya pueden considerarse clásicas, podríamos enumerar las principales razones por las que no llegan al Director de la AEPD todas las transferencias internacionales que se están produciendo:

1. Tratamiento realizado aparentemente en la UE o en país con protección equiparable

2. Consentimiento del usuario final a través de los términos y condiciones del servicio

3. Desconocimiento de la obligación por parte del responsable del fichero

4. Falta de identificación de la transferencia internacional en ciertos serviciosImposibilidad de controlar la ubicación de los datos en ciertos servicios

5. Aplicación de técnicas de cifrado, ofuscación y fragmentación de datos

6. Dificultad para controlar las subcontrataciones en materia de hosting

Además de estas razones, estamos asistiendo a un proceso de transformación de la manera en que vemos la información y su almacenamiento. Como decía Manuel Castells en 2001, la información ya no es un activo a almacenar, sino un flujo a optimizar, y hoy más que nunca cobra sentido esta afirmación.

Por ello, es comprensible que cada vez sea más difícil, y a la vez irrelevante, saber dónde están realmente los datos.

En la edición de hoy de El País se publica un artículo de Francisco Javier Martín del Barrio titulado "Mazazo a la segunda mano digital" en el que comenta una reciente decisión judicial que niega a la empresa ReDigi la posibilidad de ofrecer como usadas canciones de iTunes adquiridas previamente por otros usuarios.

El sistema diseñado por ReDigi es parecido al reivindicado por Amazon en su patente para la venta de eBooks de segunda mano. La diferencia es que Amazon es propietario de la plataforma que gestiona las licencias y ReDigi no, por lo que ha tenido que crear una nube propia en la que no se reproducen los elementos de control que Amazon tiene en relación a Kindle o Apple en relación a iTunes.

Tanto Amazon como Apple administran un conjunto de servidores en los que, si ententemos agotado el derecho de distribución a partir de la primera venta, podrían simular un entorno muy parecido al de la venta de libros, música y cine en soporte físico. Es decir, podrían asegurar al titular de los derechos que una obra digital adquirida de segunda mano pasa de la cuenta del primer usuario a la cuenta del segundo, de manera que el primero deja de tenerla de forma efectiva. Al menos online.

Tanto Amazon como Apple pueden aplicar un código único y un hash a cada canción, libro o película, con el fin de que en el mismo entorno no puedan coexistir dos archivos con el mismo hash y garantizando que el fichero transmitido de un usuario a otro sea el mismo, y que uno dejará de tenerlo en el momento en que sea transferido al nuevo usuario. Este sistema sería el más parecido a la venta de segunda mano de una obra en soporte físico. Un usuario pierde la posesión en favor de otro que la gana.

A pesar de todo, la ausencia de duplicados podría garantizarse a nivel cloud, pero no a nivel de dispositivos offline.

Ello es importante porque el juez del caso Capitol contra ReDigi ha entendido que en el sistema diseñado por esta empresa no se producía una transferencia física y que el segundo usuario obtenía una copia nueva de la obra.

Recordemos que una de las principales características de la tecnología digital es justamente la posibilidad de realizar una copia idéntica de una obra digital, sin merma alguna de calidad. Simplemente copiando el fichero. Por ello es importante determinar si el agotamiento del derecho de distribución que se produce en las obras analógicas o en las obras digitales en soporte físico se puede dar también en un entorno virtual como Internet. Aunque hay algunas sentencias a favor de esta tesis, el nuevo criterio aplicado en este caso podría suponer un obstáculo para la creación de un mercado de segunda mano digital.

Si al final se trata de evitar que se produzca una copia nueva, la solución pasaría por una combinación de elementos técnicos y jurídicos. Las garantías técnicas deberían asegurar el carácter único de la obra digital sin perjudicar al usuario, es decir, sin modificar el actual esquema que permite la reproducción online y offline en diversos dispositivos. Desde el punto de vista jurídico tal vez habría que unificar criterios en relación al concepto de reproducción, teniendo en cuenta, por ejemplo, que el paso a RAM en el momento de la audición o visualización también puede ser considerado como una reproducción en ciertas obras y jurisdicciones, ya que se crea una copia temporal en la RAM. No me extiendo más en este punto porque se me ocurren varias opciones técnicas y jurídicas para crear excepciones que deberían ser contempladas al diseñar un mercado de segunda mano virtual.

Desde un punto de vista empresarial, los autores y los titulares de los derechos de explotación deberán definir una estrategia en relación a un eventual mercado de segunda mano de obras digitales.

En una primera impresión, es comprensible que se vea como una amenaza para un modelo de negocio como el actual, basado en licencias intransferibles. Si miramos la disposición de las obras en ReDigi.com veremos que se da prioridad a las canciones de segunda mano. El botón correspondiente a las canciones "PreOwned" va en primer lugar, es más grande y de color verde. Es lógico que si al usuario se le da a escoger entre adquirir la versión nueva o la de segunda mano, que son idénticas en cuanto a calidad, pero con una diferencia de precio de casi el 50%, escoja la de segunda mano.

Algunos autores pueden verlo como una oportunidad, dado que en este tipo de obras no existe el llamado "droit de suite" de las obras plásticas, que permite al autor de un cuadro, por ejemplo, percibir un porcentaje de las sucesivas reventas que se produzcan del mismo.

Si Apple y Amazon llegasen a un acuerdo con los titulares de los derechos de explotación, éstos podrían percibir un porcentaje de las ventas de segunda mano en el mercado virtual que ahora no perciben en el mercado de segunda mano físico.

Mientras en los tribunales se intenta determinar si se produce el agotamiento del derecho de distribución con la primera venta de una obra digital y si la obra de segunda mano es una nueva reproducción o no, los titulares de los derechos deberán realizar las simulaciones económicas necesarias para comprobar si un mercado de segunda mano virtual es realmente una amenaza o una oportunidad. Un acuerdo rápido y uniforme en esta materia podría evitar pleitos, aunque la mera existencia de éstos en la actualidad ya parece indicar cuál ha sido la conclusión de este análisis en el sector.

Facebook ha lanzado "públicos personalizados", una nueva herramienta de segmentación que permite a los anunciantes dirigir su publicidad a los usuarios de Facebook que tienen un perfil parecido al de los consumidores habituales de sus productos.

Hasta ahora, los anunciantes podían facilitar a Facebook datos identificativos de sus clientes, por ejemplo la dirección de correo electrónico, el teléfono o el identificador de usuario (UID), y Facebook mostraba los anuncios a los usuarios de Facebook que eran clientes del anunciante.

Esta función se extiende ahora a atributos demográficos y a intereses manifestados a través del botón "me gusta", por ejemplo, de manera que los destinatarios de la publicidad serán también los usuarios de Facebook que tengan atributos iguales o similares a las personas que actualmente están comprando los productos del anunciante o que han manifestado su interés en hacerlo.

El funcionamiento de este sistema es el siguiente:

1. Cuando un usuario se da de alta, Facebook cifra su dirección de correo electrónico y su teléfono y genera el hash de estos datos.
2. Cuando el anunciante inicia el uso de la herramienta "públicos personalizados", debe introducir la lista de direcciones de correo electrónico o de teléfonos de sus clientes en el editor múltiple de Facebook.
3. Según el manual, la lista se cifra antes de enviarla a Facebook.
4. Facebook compara el hash del correo electrónico de cada cliente del anunciante con el de los usuarios activos de Facebook y crea un público personalizado en la cuenta del anunciante con todos aquellos usuarios cuyo hash coincide con el de la lista del anunciante.
5. Al crear una campaña, el anunciante puede decidir si dirige sus anuncios solamente a los usuarios activos de Facebook que son sus clientes o también a los usuarios que tienen un perfil de intereses similar.

Riesgos jurídicos de este sistema

El potencial de esta herramienta es innegagle y por ello, el análisis jurídico de su funcionamiento se ha hecho desde una óptica posibilista. Nos obstante, se han detectado una serie de riesgos que merecen una especial atención.

1. Facebook explica que los "publicos personalizados" pueden ser creados utilizando datos de clientes actuales, clientes potenciales, miembros del club de fidelización, usuarios actuales o antiguos y de cualquier persona a la que el anunciante desee hacer llegar mensajes de segmentación precisa. Es posible, por lo tanto, que las direcciones de correo electrónico introducidas en el editor múltiple de Facebook no correspondan a clientes del anunciante ni a personas que hayan dado su consentimiento para recibir publicidad del anunciante.
2. Facebook asegura que cifra los datos personales facilitados por el anunciante y que la comparación con los datos de los usuarios activos sólo se realiza a nivel de hash. Dado que la introducción de datos en el editor múltiple se realiza en el servidor de Facebook, la Agencia Española de Protección de Datos (AEPD) podría considerar que se ha producido una cesión de los datos y una posterior disociación. El acceso previo, y el control del proceso de disociación por parte de Facebook podría hacer pensar a la AEPD que esta disociación no es irreversible, a pesar de que Facebook declare que lo es.
3. También podría entenderse aplicable a este proceso el artículo 47 del Reglamento de la LOPD, que establece que cuando dos o más responsables por sí mismos o mediante encargo a terceros pretendieran constatar sin consentimiento de los afectados, con fines de promoción o comercialización de sus productos o servicios y mediante un tratamiento cruzado de sus ficheros quiénes ostentan la condición de clientes de una u otra o de varios de ellos, el tratamiento así realizado constituirá una cesión o comunicación de datos.

Con el fin de evitar estos riesgos, Facebook exige al anunciante que, al realizar la introducción de los datos, acepte unas condiciones especiales para la creación y administración de "públicos personalizados", entre las que destacan las siguientes:

1. El anunciante ha informado y ha obtenido el consentimiento necesario de las personas a las que los datos corresponden.
2. En el caso de que los datos no provengan directamente de ellos, el anunciante debe declarar que tiene los derechos y autorizaciones necesarias para utilizar los datos.
3. Los datos no pertenecen a personas que han manifestado el deseo de no recibir publicidad.
4. La información generada para identificar correspondencias con usuarios activos de Facebook no será compartida por ésta con otros anunciantes y será destruida inmediatamente después de realizar el análisis comparativo.
5. Facebook aplicará medidas de seguridad y confiencialidad sobre los "públicos personalizados" creados por el anunciante.
6. Si una agencia crea y administra "públicos personalizados" por cuenta de un anunciante, la agencia deberá estar habilitada para utilizar los datos (contrato de encargado del tratamiento) y para vincular al anunciante en la aceptación de las condiciones aceptadas en su nombre.

Más allá de la interpretación estricta de la figura de la depuración de datos contenida en el artículo 47 del Reglamento de la LOPD, pueden identificarse en este proceso elementos característicos de un encargo de tratamiento. Si analizado el caso ello fuese así, y Facebook pudiese ser considerado como un encargado del tratamiento del anunciante, cuya función consiste en mostrar anuncios a los usuarios que cumplan determinados criterios de segmentación establecidos por el anunciante, este proceso no exigiría consentimiento del usuario. La cesión inicial podría quedar amparada con el contrato de encargado de tratamiento, salvo en el caso de que efectivamente se apreciase la existencia de un proceso de depuración de datos. La exhibición del anuncio estaría cubierta por el consentimiento dado por el usuario en el momento de aceptar los términos y condiciones de uso de Facebook, en la que se advierte que la publicidad es la contrapartida a la gratuidad del servicio.

Recomendaciones

Dada la acumulación de leyes estatales, normas generales de la red social y normas específicas de cada modalidad de campaña, la principal recomendación es contar con asesoramiento jurídico especializado en marketing en redes sociales. Este asesoramiento deberá dirigirse a comprobar, en cada caso específico:

1. Si es aplicable la figura del encargo de tratamiento.
2. Si es aplicable la figura de la depuración de datos.
3. Si se produce realmente una disociación irreversible.
4. Si el anunciante necesita un consentimiento específico para ceder datos antes de iniciar una campaña basada en segmentación de "públicos personalizados".

Me llamo Valentín. Soy consejero matrimonial. En mis 26 años de profesión he salvado muchos matrimonios pero el caso que recuerdo con más cariño es el de una pareja que visitó mi consulta en más de mil ocasiones. Se llamaban Marketing y Legal.

En cada sesión tratábamos los mismos problemas. Marketing siempre había visto a Legal como un obstáculo para su carrera profesional. El objetivo de Marketing era hacer crecer el negocio e invertía todos sus recursos en campañas que desbordaban ingenio y creatividad. Su peor pesadilla era que la máxima manifestación de su inspiración fuese anulada o mutilada por Legal.

Recuerdo un día con tormenta, en el que Marketing, terriblemente irritado, se quejaba de la falta de visión de negocio de Legal, que había quitado todo el encanto a una campaña que llevaba semanas preparando, con un aviso legal que destrozaba el diseño más espectacular y costoso que había concebido la agencia. Decía que era tan iconoclasta como estampar Las Partidas de Alfonso X El Sabio en un retrato de Wyndham Lewis.

Por su parte, Legal venía a la consulta abatido. Marketing no comprendía el esfuerzo que suponía encontrar un equilibrio entre los intereses del negocio y el cumplimiento de la ley. Alguna vez Marketing se había aventurado a organizar un concurso sin informar a los participantes sobre sus derechos y habían corrido un riesgo del que Marketing nunca llegó a ser consciente.

Legal se quejaba de que Marketing siempre le pedía la revisión de las campaña el día anterior a su lanzamiento y que a veces había creado un microsite sin comunicárselo.

La situación de la pareja empeoró cuando aparecieron las redes sociales. Los plazos de preparación de las campañas se acortaron dramáticamente y Marketing alegaba que Legal no había conseguido adquirir el conocimiento necesario para comprender las cambiantes normas que regulaban las promociones en Facebook.

Después de varias sesiones, entre los tres diseñamos un protocolo que está funcionando bastante bien. Se trata de vernos periódicamente para analizar escenarios, tendencias, nuevos formatos y anticiparnos a cualquier iniciativa que Marketing o la agencia puedan tener. El objetivo es la revisión temprana y la prevalidación de campañas.

Marketing y Legal han ordenado su casa y han creado un diálogo que les ha ayudado mucho a entenderse y a trabajar en un objetivo común, que es el que siempre habían tenido, aunque los diferentes lenguajes que utilizaban daban a entender lo contrario.

El alto nivel de externalización que actualmente tienen las empresas hace que compartan con sus proveedores la gestión de la reputación corporativa.

Cuando las hojas salariales de una empresa o las historias clínicas de un hospital aparecen en un contenedor, el nombre del proveedor al que se había encomendado su correcta destrucción, y que certificó que efectivamente lo había hecho, ni siquiera aparece. En cambio, el de la empresa que lo contrató y confió en que cumpliría el contrato es objeto de críticas en los medios y de denuncias ante la Agencia de Protección de Datos.

A ello se unen factores que configuran una tormenta perfecta. El proveedor está aplicando una política de ahorro de costes que puede influir en la calidad, y probablemente su capacidad de hacer frente a una reclamación de daños y perjuicios ha quedado limitada, al haber reducido la cobertura de su seguro de responsabilidad civil a causa de la misma política de ahorro de costes.

En 2012 varias empresas de diversos sectores tuvieron problemas en la calidad de sus productos o servicios y es razonable pensar que el origen de estos incidentes pudiera deberse, en cierta medida, al recorte presupuestario comentado.

Ante esta situación surge más que nunca la necesidad de establecer medidas de control y pruebas cronológicas sobre el esfuerzo realizado por la empresa para asegurar la calidad, el cumplimiento contractual y el cumplimiento normativo de los proveedores. Al igual que en las grandes empresas existe las funciones de auditoría interna y control interno, se hace necesario potenciar las funciones de auditoría y control externos.

Para analizar la política y los protocolos a seguir para prevenir supuestos de responsabilidad civil (culpa in eligendo y culpa in vigilando) derivados de las acciones u omisiones de los proveedores, vamos a relacionar los elementos más significativos de los modelos de control externo de dos grandes compañías como Inditex y Apple.

Modelo Inditex

La política de control de proveedores de Inditex se basa en los siguientes puntos:

Programa de cumplimiento

Programa de sensibilización

Código de conducta de fabricantes y proveedores

Autoevaluación de proveedores

Auditoría social

Asignación de rating

Monitorización permanente de los proveedores

Programas y auditorías de seguimiento

Aplicación de planes de acción correctivos

Acompañamiento en la mejora constante de las condiciones sociolaborales

Colaboración con organizaciones de referencia

Estrategia global de gestión del agua

Plan estratégico medioambiental 2011-2015

Compromiso de vertido cero

Modelo Apple

La política de control de proveedores de Apple se basa en los siguientes puntos:

Lista pública de proveedores (PDF)

Código de conducta para proveedores (PDF)

Programa de formación para toda la cadena de suministro

Política de protección de los derechos del trabajador

Política de seguridad e higiene en el trabajo

Política de protección del medioambiente

Cálculo de la huella ambiental y de carbono a nivel mundial

Auditorías presenciales

Investigaciones encargadas a asociaciones independientes

Publicación de los resultados de los controles

Sobre el papel ambos modelos son tan completos que si una empresa quiere saber si su modelo de control de proveedores es exhaustivo, sólo tiene que compararlo con los de Inditex y Apple. Incluso puede utilizar la lista de puntos anterior como checklist. En la práctica hay que saber distinguir entre maquillaje (makeup compliance) y control efectivo, por lo que es importante valorar los resultados y generar pruebas de la existencia y la eficacia de los controles.

Finalmente, cabe mencionar la reciente resolución de la AEPD (PDF), en la se se ha impuesto una sanción de 33.000 euros a una empresa por el mal funcionamiento del procedimiento de gestión de las solicitudes de baja cursadas por usuarios que no deseaban seguir recibiendo publicidad por correo electrónico. Este procedimiento estaba externalizado en una empresa especializada, y la AEPD considera que la empresa sancionada debía haberse asegurado del correcto funcionamiento de la operativa encomendada al proveedor. La resolución establece que la empresa desatendió su deber de cuidado de la labor del proveedor, que envió 23 mensajes publicitarios al usuario afectado, a pesar de haber comunicado éste que no deseaba recibir más publicidad.

Antecedentes

Uno de los principales riesgos reputacionales que las empresas asumen en la actualidad es el de sufrir un ataque contra la marca o contra alguno de sus productos en las redes sociales. El efecto multiplicador inmediato de una crítica destructiva o de una crisis reputacional mal gestionada puede influir decisivamente en la opinión y la voluntad de compra de un consumidor.

Objetivos

El objetivo básico de este curso es analizar estrategias preventivas y de defensa, aplicadas a casos prácticos, con el fin de ayudar a gestionar ataques contra la reputación de la empresa organizados desde una red social y para prevenir riesgos legales en colaboración con la Asesoría Jurídica de la empresa.

Programa

- Gestión de crisis en redes sociales
- El efecto viral negativo de un burofax
- Injurias y calumnias en foros y redes sociales
- Efectos negativos de una campaña de marketing online mal enfocada
- Efectos negativos de concursos y promociones mal planteados o mal resueltos
- Campañas virales fallidas
- Suplantación de identidad en redes sociales
- Prescriptores y detractores encubiertos
- Tipos ataques contra la empresa
- Tipos de atacantes
- Gestión del ataque con la matriz popularidad – gravedad
- La gestión de los activos intangibles en las redes sociales
- La parodia de la marca en Twitter y Facebook
- La responsabilidad del retweet
- Delitos en redes sociales
- Responsabilidad penal de la empresa
- Responsabilidad penal del Community Manager
- La prueba de la diligencia de la empresa y del Community Manager
- Recogida y tratamiento de datos personales de seguidores
- Análisis de preferencias y elaboración de perfiles
- Caso práctico 1: gestión de un ataque contra un producto
- Caso práctico 2: gestión de un boicot
- Caso práctico 3: gestión de un mensaje calumnioso

Manual de reputación 2.0

Al final del curso se entregará un manual para la gestión de ataques contra la reputación corporativa en la web 2.0 y las redes sociales.

Fecha

21 de febrero de 2013

Horario

18:00 – 21:00 (Tres horas lectivas)

Lugar

Diagonal 640 1C – Edificio Caja Madrid (delante de la Illa) Barcelona

También se pueden organizar sesiones in company o concertar sesiones individuales mediante Skype

Destinatarios

- Abogados de empresa
- Community Managers
- Departamentos de Comunicación
- Departamentos de Marketing
- Cualquier otra persona con interés en la materia

Número máximo de asistentes

El curso está limitado a 10 asistentes, con el fin de favorecer el debate y llegar a conclusiones útiles y enriquecedoras.

Recursos

- Pantalla LED HD
- Dos paredes Velleda para el análisis de los casos prácticos

Ponentes

Xavier Ribas

Gemma Escribano
Corporate Social Media Manager en Privalia

Inscripciones

Para formalizar la inscripción deberá enviarse un mensaje a anna.canadell@ribastic.com antes del 15 de febrero
Aforo limitado a 10 personas.

Precio

250 euros + IVA 21%

Certificado de asistencia

A los asistentes al curso se les entregará un certificado de asistencia para acreditar la formación recibida

Desde la última revisión de las normas de uso de los recursos TIC se han producido una serie de cambios que obligan a realizar una actualización.

Entre dichos cambios destacan los siguientes:

- Sentencia del Tribunal Constitucional comentada la semana pasada.
- Uso de dispositivos móviles personales para e-mail y aplicaciones corporativas (BYOD).
- Entrega de smartphones y tablets corporativos a los trabajadores.
- Incremento del nivel de externalización de funciones
- Mayor acceso de personal de los proveedores a los recursos TIC corporativos
- Incorporación de los nativos digitales al mundo laboral
- Mayor uso de redes sociales como Facebook y Twitter
- Incremento del efecto de Whatsapp en el rendimiento del trabajo.
- Incremento del número de trabajadores con blog propio.

La falta de actualización de estas normas puede ser interpretada como tolerancia de la empresa, con un efecto equivalente a la derogación de los controles existentes en materia de seguridad de la información, infracciones y absentismo presencial.

También es recomendable actualizar el protocolo de inspección del ordenador y el correo electrónico del trabajador, con el fin de incorporar los criterios derivados de la interpretación de la sentencia del Tribunal Constitucional, de forma directa y a contrario sensu, así como los de la doctrina unificada del Tribunal Supremo.

Dada la importancia y la necesidad de esta revisión, nuestro despacho ha diseñado un servicio de actualización de normas de uso de recursos TIC corporativos adecuado a la actual situación de restricciones presupuestarias.

Los honorarios correspondientes a este servicio son de 600 euros + IVA. Estos honorarios serán aplicables a un servicio prestado en las siguientes condiciones:

- La revisión se realizará por correo electrónico y sin desplazamiento a la empresa.
- Este servicio queda incluido en la cuota de asesoramiento continuado.
- En caso de que la empresa desee una revisión de las normas en sus oficinas, ésta será objeto de una propuesta personalizada.

La contratación de este servicio puede realizarse llamando al teléfono 934940748 o enviando un mensaje a anna.canadell@ribastic.com

Marc Rius
Ribas y Asociados

Este fin de semana se ha hablado mucho de las redes de cotilleos y rumores, capitaneadas por la aplicación de smartphone Gossip y las páginas de Facebook de los “Informers”, que se han popularizado con contenidos que van desde pueblos hasta institutos o empresas.

Dichas aplicaciones son el escenario perfecto para las injurias o calumnias, por lo que ya su propia existencia debería ser cuestionable (si bien nuestras televisiones y sus exitosos programas del corazón indican que existe mercado para ello). Sin embargo, existe un problema más grave que se está dando en escuelas, institutos y universidades.

Se trata del cyberbulling, o ciberacoso, y es un fenómeno que se extiende a gran velocidad. Por ello, me gustaría analizar brevemente la responsabilidad que tienen, o podrían tener, los responsables y administradores de este tipo de aplicaciones o páginas en Facebook (al propio autor del comentario, cotilleo o rumor, se le presupone responsable). Puesto que de momento se trata de plataformas informáticas, analizaré las responsabilidades desde un punto de vista de la Ley de la Sociedad de la Información (LSSI) y el Código Penal.

Responsabilidad vía LSSI:

a) Gossip: la aplicación de Gossip basa su funcionamiento en la existencia de “canales”, que son los que definen la temática concreta que se trata en él. Por ejemplo, el nombre del pueblo, instituto, universidad. La libertad para publicar es total, requiriendo únicamente el registro del usuario y publicándose cualquier comentario bajo pseudónimo y sin ningún tipo de moderación previa (aunque esto es relativo, ya que parece que desde Gossip están trabajando en métodos de control de este tipo de comentarios).
La responsabilidad de los administradores de Gossip tendría su cabida en el artículo 16 de la LSSI, sobre los prestadores de servicios de alojamiento o almacenamiento de datos, tal y como ocurre en los foros de internet y ya se debatió cuando se trataron las webs de enlaces a contenidos ilegales. En todo caso, nos dice el mencionado artículo que estos prestadores tendrán responsabilidad siempre que (i) No tengan conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o (ii) Si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace correspondiente.
Por tanto, desde el desconocimiento del sistema de control que pueda estar elaborando Gossip (o que ya haya implementado), y presuponiendo que aún no existe, debería descartarse su responsabilidad en caso de no existir solicitud para la eliminación del comentario por parte de un órgano competente, o “otros medios de conocimiento efectivo que pudieran establecerse” (¿los mecanismos de denuncia del propio comentario?). En caso de que se comunicara la ilicitud del contenido y los administradores de Gossip no actuaran de forma diligente para eliminarlo, sí serian responsables.

b) “Informers” de Facebook: El caso de los Informers es sustancialmente distinto. Si bien la finalidad es la misma, la publicación de forma anónima de cualquier tipo de comentario, rumor o cotilleo, funciona manera opuesta, ya que en este caso sí existe un control previo por parte de los administradores, puesto que el usuario manda un mensaje privado a la página y éstos lo publican de forma anónima.
Aquí por tanto, y amparándonos en el mismo artículo 16 de la LSSI (aún cuando la página de los Informers se encuentran dentro de la plataforma de Facebook, los responsables de sus contenidos son los administradores de dicha página), no puede en ningún caso considerarse que el administrador que ha publicado el comentario desconocía que éste podía ser susceptible de lesionar bienes y derechos.
Cierto es sin embargo que habría que estar un poco a cada caso concreto, ya que pueden haber comentarios que, fuera de contexto, no presuponen un carácter vejatorio, injurioso o calumnioso, y en cambio así lo puede interpretar el destinatario o las personas que sí conocen el contexto, pero por la forma de funcionar creo que la responsabilidad debería presuponerse de inicio para poder estudiar luego cada caso concreto.

A nivel penal, cabe indicar que nuestra intención era relacionar la existencia de estas plataformas y la responsabilidad de sus administradores, no de las personas titulares del comentario, si bien si sólo nos centráramos en injurias y calumnias, el artículo 212 del Código Penal establece que será responsable civil solidaria la persona física o jurídica propietaria del medio informativo a través del cual se haya propagado la calumnia o injuria.

En cuanto al ciberacoso, es más complicado establecer la responsabilidad de los administradores, puesto que el título que trata los delitos contra la integridad moral habla del responsable o autor, en un ejemplo de texto legal que ha quedado superado por la tecnología, ya que ni se prevé que pueda efectuarse por medios telemáticos ni tampoco con la ayuda de terceros. En todo caso, establece el artículo 173 del Código Penal pena de prisión de seis meses a dos años para el que infligiera a otra persona un trato degradante, menoscabando gravemente su integridad moral. Cabría a lo mejor aquí incluir el artículo 28 del mismo Código, según el cual, también serán considerados autores (b) los que cooperan a su ejecución con un acto sin el cual no se habría efectuado.

La pregunta surge tras la reciente sentencia de un Juez de Distrito de Nueva York en la que declara que The Washington Post y la Agencia France-Press (AFP) infringieron los derechos de propiedad intelectual del fotógrafo Daniel Morel, al distribuir y publicar sin su autorización, fotografías que éste había tuiteado sobre el terremoto de Haití.

Los términos de servicio de Twitter establecen que:

1. El usuario es el titular de los derechos que le amparan sobre cualquier contenido que envíe, reproduzca o exponga en Twitter.
2. Al hacerlo, el usuario concede a Twitter una licencia mundial, no exclusiva y gratuita sobre el contenido publicado.
3. Esta licencia permite a Twitter utilizar, copiar, reproducir, procesar, adaptar, modificar, publicar, transmitir, exponer y distribuir el contenido del usuario a través de cualquier medio o método de distribución presente o futuro.
4. También permite a Twitter conceder sublicencias del contenido del usuario a terceros y permitir que las personas físicas o jurídicas asociadas a Twitter puedan sindicar, retransmitir, distribuir o publicar.

Ello significa que un periódico o cualquier otro sitio web no puede publicar una foto tuiteada sin la autorización del usuario o de Twitter, a través de un acuerdo de sublicencia o de asociación.

Sin embargo, John Herrman, de BuzzFeed plantea en un artículo de la semana pasada que no habría infracción de los derechos de autor si la fotografía se publica insertando el tuit en la página web. (Gracias a Patricia Ventura por la información facilitada).

Además de las funciones "Responder", "Retwittear" y "Favorito" que ofrece Twitter en relación a cada mensaje, a través del menú "...Más" se puede acceder a las funciones "Enviar Tweet por correo electrónico" e "Insertar Tweet". Esta última función permite acceder al código necesario para insertar el tuit en una página web, ofreciendo incluso una vista previa de cómo quedará la inserción.

Si consultamos el Centro de ayuda de Twitter, veremos las instrucciones para insertar un tuit en un sitio web o blog. En ellas se establece claramente la posibilidad de insertar cualquier tipo de tuit, incluyendo los tuits con fotos y vídeos. Además, en el apartado de preguntas frecuentes Twitter responde con un rotundo ¡SI! a la pregunta "¿Puedo insertar un Twet que contiene una foto, vídeo u otros medios?". La única condición actual es que las fotos estén en pic.twitter.com y los vídeos en YouTube y que el tuit a insertar no haya sido protegido por el usuario.

Se trata por lo tanto, de un régimen parecido al de YouTube, en el que existe una autorización genérica para insertar vídeos en páginas web y blogs siempre que el usuario no hay protegido el vídeo. La autorización sigue el camino usuario-Twitter-tercero.

Este régimen puede no satisfacer a muchos usuarios, pero es el que teóricamente acepta al abrir una cuenta en Twitter o tras ser notificado sobre una modificación de los términos del servicio y mantener la cuenta. Para eludirlo, el usuario puede proteger sus tuits, pero entonces dejan de ser públicos, y sólo podrán acceder a ellos los seguidores aprobados de forma expresa por el usuario.

El problema puede surgir cuando el usuario borra o protege el tuit que ya ha sido insertado en otro sitio web. En estos casos, y según las FAQ de Twitter (al final de la página), "las marcas de Twitter y las acciones del Tweet (Responder, Retuitear, etc.) serán eliminadas del Tweet inserto, pero el contenido del Tweet aún será visible". Sería interesante en este caso ponderar el derecho a mantener el contenido online por parte del medio que ha insertado el contenido de buena fe, de acuerdo con la expectativa generada por Twitter, y el derecho moral del autor a solicitar la retirada de la foto, en función de lo establecido en los puntos 1 y 6 del artículo 14 del Texto Refundido de la Ley de Propiedad Intelectual.

Por lo tanto, y respondiendo a la pregunta que da título a este post, un periódico podría publicar una foto tuiteada en los siguientes casos:

1. Cuando disponga de la autorización del usuario que la publicó.
2. Cuando obtenga una sublicencia de Twitter.
3. Cuando sea un asociado de Twitter autorizado a publicar fotos.
4. Cuando inserte un tuit con foto en su sitio web.

Si el usuario quiere evitar que sus fotos sean publicadas en otros sitios web a través de la inserción del tuit, tiene la opción evidente de no tuitearlas, o de proteger sus tuits al inicio, antes de que hayan sido insertados en otro un sitio web.

Estás en un restaurante con la carta en la mano. Tu hijo, harto de comer siempre macarrones y pollo, siente curiosidad por "la carta de los mayores" y escoge dos platos. En ese momento debes tomar una decisión, ya que si le dejas dar ese paso, es muy probable que nunca quiera volver al menú infantil.

Es posible que en la actualidad esté pasando algo parecido con la enseñanza. Los niños de hoy en día tienen acceso a un caudal de recursos culturales y lúdicos tan enorme que hace que la oferta educativa clásica pierda gran parte del atractivo que los adultos podemos ver en ella.

Los padres, pertenecientes algunos de nosotros a la generación que creció traumatizada por la muerte de la madre de Bambi :-), hemos intentado proteger a nuestros hijos de los contenidos que puedan dañarles, y también de los excesos y las adicciones que estos nuevos recursos pueden generar. Pero es evidente que el atractivo de un videojuego, una serie de televisión o los vídeos de YouTube distan mucho de los TBOs que nosotros leíamos.

Si un niño se acostumbra al ritmo de las películas actuales, a la acción trepidante de un videojuego, o a las múltiples fuentes de diversión que ofrece la red, ir a clase cada mañana puede ser como volver a los macarrones y al pollo tras probar los suculentos manjares de la carta de los mayores.

Cuando el niño desconecta y deja de prestar atención puede ser por una falta de madurez, por dificultades en el aprendizaje, déficit de atención..., pero también puede deberse a un problema del formato, del contenido o del emisor de la información. Hay que analizar cada caso detenidamente para averiguarlo. Me refiero a que sería una muestra de incompetencia recetar medicamentos en la primera visita. Las causas de la pérdida de la atención en clase pueden ser muy variadas y hay que valorarlas todas en su conjunto. Existen niños con déficit de atención que no se pierden una coma en algunas asignaturas, por lo que si el grado de atención depende del interés o la motivación del niño por la materia, tal vez lo que hay que conseguir es desarrollar la habilidad, hábito, disciplina o paciencia que los adultos hemos aprendido a desarrollar para extender la atención a asuntos menos interesantes pero necesarios.

Además de los avances en el diagnóstico y el tratamiento del déficit de atención infantil, deberíamos esforzarnos todos en conseguir un mayor equilibrio entre el interés que ofrecen los recursos culturales y lúdicos que tenemos en casa y los que ofrece la escuela. Una opción es disminuir o dosificar la oferta de diversión en casa, un recurso que a veces se aplica erróneamente como castigo. Otras opción es hacer que las clases sean más atractivas e interactivas, como se defiende en el vídeo de Ericsson The future of learning, Networked Society. Si se está aplicando la gamificación en las empresas y en la relación con el cliente, supongo que alguien la estará aplicando también en la enseñanza.

Las empresas se han dado cuenta de que los trabajadores tienen dispositivos móviles más potentes, inteligentes y divertidos que los corporativos y que los nativos digitales están pidiendo el uso de herramientas colaborativas y sociales en su trabajo. Estas necesidades, unidas a las actuales políticas de ahorro, han generado la tendencia llamada BYOD (Bring your own device), que consiste en que las empresas están permitiendo el uso de smartphones y tablets personales para aplicaciones corporativas. Tal vez el camino consista en aplicar a la escuela nuevos formatos que ayuden al profesor a capturar la atención de unos niños que, para bien o para mal, tienen una estructura mental y unos hábitos e intereses distintos de los teníamos nosotros a su edad.

Según Don Tapscott, la actual es la primera generación que trabaja, juega, piensa y aprende de forma diferente a sus padres. Si el sistema educativo no se adapta a la nueva forma de aprender que los niños de hoy reclaman sin decirlo, es posible que el fracaso escolar aumente.

Todo ello sin menospreciar la posibilidad de aprovechar el contexto económico actual para recuperar los valores básicos y volver a un modelo de infancia clásica, en el sentido de menos dependiente de la tecnología y menos acelerada, que permita al niño y a sus padres saborear esta etapa efímera e irrepetible. Estas Navidades oí a un niño de 11 años decir que tenía prisa por tener 18, que se sentía como un adulto en un cuerpo de niño. ¿Ha llegado la hora de ralentizar el crecimiento cognitivo de nuestros hijos en las áreas que todavía no necesitan, para que disfruten de su infancia, o eso sería como si hubiésemos apartado al Mozart niño del clavicordio para que jugase más con la pelota?

Supongo que la respuesta está como siempre en el equilibrio. Y en este contexto surgen iniciativas realmente encomiables, como la de un profesor del colegio Pare Manyanet de Barcelona, que ha diseñado un juego de simulación empresarial en el que los niños forman grupos de cuatro componentes: un comercial, un jefe de compras, un contable y un directos de I+D+i. Cada día, estas pequeñas empresas de cuatro alumnos dedican una sesión a este juego, que les obliga a desarrollar de forma divertida habilidades relacionadas con la vida real, y con asignaturas, como las matemáticas, que tradicionalmente se han considerado menos accesibles que las otras.

Ese puede ser uno de los caminos a seguir. Seguro que hay muchos más.

En el BOE de ayer se publicó la Sentencia del Tribunal Constitucional de fecha 17 de diciembre de 2012, en la que se declara que no existe vulneración de los derechos a la intimidad y al secreto de las comunicaciones en la intervención empresarial de mensajes privados resultante de un hallazgo casual y que se efectúa sobre un programa instalado por el trabajador en un ordenador de uso común por todos los trabajadores.

Los puntos clave de las sentencia son los siguientes:

Hechos

1. En la empresa existía un ordenador que podía ser utilizado por todos los trabajadores.
2. El ordenador no tenía clave de acceso para acceder al disco duro e instalar programas.
3. La instalación de programas sin autorización de la empresa estaba prohibido expresamente.
4. Dos trabajadoras instalaron sin autorización de la empresa un programa de mensajería instantánea.
5. Las trabajadoras utilizaron este programa para enviar mensajes privados.
6. En estos mensajes se vertían comentarios despectivos e insultantes contra compañeros, superiores y clientes.
7. La empresa tuvo acceso a los mensajes y amonestó a las trabajadoras.
8. Las trabajadoras solicitaron la tutela de derechos fundamentales por violación de la intimidad y del secreto de las comunicaciones.

Fundamentos de la denegación del amparo

1. No hay vulneración del derecho a la intimidad.
2. Las trabajadoras realizaron actos dispositivos que eliminaron la privacidad de sus conversaciones.
3. Al incluirlos en un ordenador de uso común, las conversaciones podían ser leídas por cualquier otro usuario.
4. La empresa tuvo conocimiento de los mensajes a través de otro trabajador que los encontró casualmente.
5. Respecto al secreto de las comunicaciones, se reitera el poder de vigilancia y control de la empresa
6. Esta facultad está establecida en el artículo 20 del Estatuto de los Trabajadores.
7. Corresponde a cada empresa fijar las condiciones de uso de los medios informáticos asignados a los trabajadores.
8. Estas condiciones se plasman en normas de uso que deben ser cumplidas por los trabajadores.
9. En dichas normas había una prohibición expresa de instalar programas de ordenador no autorizados.
10. No existía una tolerancia a la instalación de programas ni al uso personal del ordenador.
11. No podía existir una expectativa razonable de confidencialidad derivada del uso del programa instalado.
12. El programa era de acceso abierto y estaba instalado en un ordenador de uso común por todos los usuarios.
13. La intervención empresarial se dirige a constatar el incumplimiento de las trabajadoras.

Conclusiones y recomendaciones

1. La existencia de ordenadores de uso común supone un riesgo para la empresa y dificulta la trazabilidad de las infracciones.
2. También puede producirse un incumplimiento de las medidas de seguridad establecidas en el Reglamento de la LOPD.
3. La existencia de normas de uso es clave para posibilitar el control de los recursos TIC asignados a los trabajadores.
4. Estas normas deben estar actualizadas y extenderse a smartphones y tablets corporativos y a las aplicaciones BYOD.
5. La tolerancia en el incumplimiento de estas normas puede generar una expectativa razonable de intimidad.
6. Antes de la intervención debe aplicarse un protocolo en el que se valore la proporcionalidad de la intervención.

Acceso a la Sentencia del Tribunal Constitucional

Comentarios a la sentencia del Tribunal Supremo de 27 de septiembre de 2007

La publicación de los Términos y Condiciones de la plataforma MEGA, ayer por la tarde permite comprobar que existen ciertas contradicciones entre lo que la plataforma ofrece en su publicidad y lo que realmente es. A continuación se apuntan algunas de estas contradicciones.

Privacidad

MEGA se presenta como la compañía de la privacidad, y en toda la campaña previa se ha dado a entender que la actividad del usuario quedaría protegida frente a cualquier investigación policial, pero en su política de privacidad establece que conserva la dirección IP del usuario, los logs de las comunicaciones, los datos de tráfico y los datos de registro, y que estos datos pueden ser transmitidos a las autoridades que lo requieran.

El almacenamiento más seguro del mundo

Frente a la promesa de seguridad y privacidad surge la amenaza de ser la plataforma vás vigilada del mundo. Si alguien quiere guardar un secreto, MEGA puede ser el peor lugar del mundo para esconderlo, ya que, al ser un sucesor de Megaupload, lo más probable es que esté monitorizado por EEUU. Por otro lado, la seguridad de MEGA depende de la clave maestra del usuario. Si ésta no es suficientemente robusta puede ser desvelada en un ataque de diccionario.

Trazabilidad

Se espera que MEGA aporte la solución definitiva para evitar la trazabilidad de las descargas directas, pero todo parece indicar que el nuevo sistema va dirigido a la creación de redes de confianza y al intercambio de ficheros entre conocidos. En el momento en que un fichero privado se haga público para permitir la descarga directa de desconocidos, además de dejar de ser privado, se abrirá la posibilidad de conocer el contenido del fichero, el identificador del fichero en el sistema y el identificador del propietario o administrador del mismo.

Denuncia de presuntas infracciones

Frente a las garantías de impunidad ofrecidas, la plataforma ofrece un formulario de denuncia de contenidos ilícitos. En la práctica el protocolo es tan oneroso para el denunciante que puede disuadirle de llegar hasta el final, pero si es voluntarioso, puede conseguir la eliminación del contenido supuestamente infractor. Entre los requisitos que debe cumplir el denunciante destaca la exigencia de firma física o electrónica del propietario del copyright o de una persona autorizada para actuar en su nombre.

Protocolo de eliminación de contenidos

MEGA se reserva el derecho a eliminar cualquier contenido supuestamente infractor sin previo aviso, a su discreción y sin ningún tipo de responsabilidad hacia el usuario. También cancelará la cuenta del usuario si se determina que es reincidente.

Contenidos inaccesibles

Según MEGA, el usuario tendrá el control absoluto sobre las personas que podrán acceder de forma cifrada y confidencial a sus carpetas compartidas, de manera que ningún otro usuario, incluido MEGA, podrá participar en las comunicaciones confidenciales ni acceder a los contenidos cifrados. ¿Cómo podrá borrarlos entonces?

Jurisdicción competente en las antípodas

Aunque técnicamente se cumple la promesa de la accesibilidad, jurídicamente no se cumple en absoluto. En caso de reclamación, el usuario debe presentar su demanda ante los tribunales de Nueva Zelanda y aceptar la aplicación de las leyes del país. Algo parecido, pero bastante más oneroso que el célebre "a reclamar a Melilla".

Arbitrariedad

El sistema puede borrar automáticamente un fichero cuando sea idéntico a otro alojado por otro usuario en el sistema.

Antecedentes

Uno de los principales riesgos reputacionales que las empresas asumen en la actualidad es el de sufrir un ataque contra la marca o contra alguno de sus productos en las redes sociales. El efecto multiplicador inmediato de una crítica destructiva o de una crisis reputacional mal gestionada puede influir decisivamente en la opinión y la voluntad de compra de un consumidor.

Objetivos

El objetivo básico de este curso es analizar estrategias preventivas y de defensa, aplicadas a casos prácticos, con el fin de ayudar a gestionar ataques contra la reputación de la empresa organizados desde una red social y para prevenir riesgos legales en colaboración con la Asesoría Jurídica de la empresa.

Programa

- Gestión de crisis en redes sociales
- El efecto viral negativo de un burofax
- Injurias y calumnias en foros y redes sociales
- Efectos negativos de una campaña de marketing online mal enfocada
- Efectos negativos de concursos y promociones mal planteados o mal resueltos
- Campañas virales fallidas
- Suplantación de identidad en redes sociales
- Prescriptores y detractores encubiertos
- Tipos ataques contra la empresa
- Tipos de atacantes
- Gestión del ataque con la matriz popularidad – gravedad
- La gestión de los activos intangibles en las redes sociales
- La parodia de la marca en Twitter y Facebook
- La responsabilidad del retweet
- Delitos en redes sociales
- Responsabilidad penal de la empresa
- Responsabilidad penal del Community Manager
- La prueba de la diligencia de la empresa y del Community Manager
- Recogida y tratamiento de datos personales de seguidores
- Análisis de preferencias y elaboración de perfiles
- Caso práctico 1: gestión de un ataque contra un producto
- Caso práctico 2: gestión de un boicot
- Caso práctico 3: gestión de un mensaje calumnioso

Manual de reputación 2.0

Al final del curso se entregará un manual para la gestión de ataques contra la reputación corporativa en la web 2.0 y las redes sociales.

Fechas

29 de enero de 2013
14 de febrero de 2013 

Horario

18:00 – 21:00 (Tres horas lectivas)

Lugar

Diagonal 640 1C – Edificio Caja Madrid (delante de la Illa) Barcelona

También se pueden organizar sesiones in company o concertar sesiones individuales de una hora mediante Skype

Destinatarios

- Abogados de empresa
- Community Managers
- Departamentos de Comunicación
- Departamentos de Marketing
- Cualquier otra persona con interés en la materia

Número máximo de asistentes

El curso está limitado a 10 asistentes, con el fin de favorecer el debate y llegar a conclusiones útiles y enriquecedoras.

Recursos

- Pantalla LED HD
- Dos paredes Velleda para el análisis de los casos prácticos

Ponentes

Xavier Ribas

Manuela Battaglini
Presidenta de AERCO
Consultora de Social Media Empresarial

Inscripciones

Para formalizar la inscripción deberá enviarse un mensaje a anna.canadell@ribastic.com antes del 20 de enero
Aforo limitado a 10 personas.

Precio

250 euros + IVA 21%

Certificado de asistencia

A los asistentes al curso se les entregará un certificado de asistencia para acreditar la formación recibida

Este fin de semana se lanza MEGA, la nueva apuesta del fundador de Megaupload, en la que pretende superar todos los obstáculos que tendría una versión funcionalmente idéntica a la anterior.

Los elementos clave de la nueva versión son los siguientes:

1. Documentos privados

El nuevo MEGA presenta como factor innovador un sistema de aseguramiento de la privacidad que no exige instalar software dedicado, ya que cifra y descifra los datos de forma transparente en el navegador del usuario a partir de una clave pública de 2.048 bits. El usuario es el único que tiene la clave de acceso a sus contenidos, alojados de forma cifrada en la nube de MEGA.

La estrategia de MEGA consiste en trasladar al usuario la responsabilidad de los contenidos almacenados en su nube, alegando que estos contenidos están cifrados y que, aunque quisiera, MEGA no podría conocer su nivel de legalidad, ya que no tiene acceso a ellos.

2. Fragmentación y dispersión

El sistema de almacenamiento de MEGA es multicéntrico, es decir, está distribuido en una larga serie de servidores en todo el mundo, que no son de su propiedad. Los contenidos que se alojen en la nube privada de cad usuario serán inmediatamente cifrados, fragmentados y distribuidos por todo el mundo. Ello significará que, a diferencia del P2P, un servidor nunca tendrá el fichero completo, ni siquiera un fragmento reconocible del fichero. Cada servidor tendrá una porción ininteligible que sólo podrá ser unido al resto del fichero a través de la plataforma de MEGA y con la clave del usuario.

Se trata del sistema de ofuscación que Google y otros proveedores de cloud computing ya utilizan para cumplir las exigencias de sus clientes en materia de confidencialidad de la información y protección de datos personales.

Según MEGA, el usuario tendrá el control absoluto sobre las personas que podrán acceder de forma cifrada y confidencial a sus carpetas compartidas, de manera que ningún otro usuario, incluido MEGA, podrá participar en las comunicaciones confidenciales ni acceder a los contenidos cifrados. Ello eliminaría la posibilidad de que MEGA pudiese supervisar dichos contenidos o atender requerimientos judiciales para acceder a ellos. Estos requerimientos deberían dirigirse al usuario.

Las dudas que surgen sobre la eficacia de este sistema tienen que ver con las páginas de enlaces que basan sus ingresos en la publicidad y, por lo tanto, en la afluencia masiva de visitantes. Se espera que MEGA aporte la solución definitiva para evitar la trazabilidad de las descargas directas, pero todo parece indicar que el nuevo sistema va dirigido a la creación de redes de confianza y al intercambio de ficheros entre conocidos.

En el momento en que un fichero privado se haga público para permitir la descarga directa de desconocidos, además de dejar de ser privado, se abrirá la posibilidad de conocer el contenido del fichero, el identificador del fichero en el sistema y el identificador del propietario o administrador del mismo. Se entiende que, en su afán de legalidad, y teniendo en cuenta su ubicación en Nueva Zelanda, MEGA deberá disponer de un servicio de atención de reclamaciones y de retirada de contenidos. Será interesante conocer la aplicación práctica del protocolo que MEGA ha diseñado para atender estos requerimientos y desviarlos hacia el usuario, o bien resolver los eventuales conflictos generados entre la entidad que reclame la retirada y el usuario que haya subido el fichero, suponiendo que éste haya permitido, en algún momento, desvelar su existencia y permitir un acceso al mismo.

Respecto a la posible responsabilidad de MEGA sobre los contenidos publicados en la plataforma, hay materia para dedicar un artículo específico. Cabe reflexionar sobre la aplicación de las siguientes figuras:

- El régimen de responsabilidad de los ISP.
- La ceguera intencional utilizada en el blanqueo de capitales.
- La inducción y la cooperación necesaria.

Todo ello sin descartar el triunfo de la ingeniería jurídica diseñada por Kim Dotcom para eludir la ley.

ACTUALIZACIÓN

Protocolo que seguirá MEGA en el caso de que reciba una denuncia de infracción de los derechos de autor

Formulario de denuncia de infracciones de los derechos de autor en MEGA

El BOE de hoy publica el RD 1657/2012, de 7 de diciembre, por el que se regula el procedimiento de pago de la compensación equitativa por copia privada con cargo a los Presupuestos Generales del Estado.

A continuación se resumen algunos aspectos del nuevo canon.

1. Beneficiarios

• Autores
• Editores
• Productores
• Intérpretes o ejecutantes
• El derecho al canon sigue siendo irrenunciable para los autores, intérpretes y ejecutantes

2. Obras

• Libros
• Fonogramas
• Videogramas
• Siguen excluidos los programas de ordenador y las bases de datos electrónicas

3. Cálculo del canon

La cuantía de la compensación se calculará sobre la base del perjuicio efectivamente causado a los titulares de los derechos de propiedad intelectual como consecuencia de la reproducción por personas físicas, en cualquier soporte, a partir de obras ya divulgadas a las que haya accedido legalmente.

Para la estimación de este perjuicio deberán tenerse en cuenta, entre otros, los siguientes criterios objetivos:

• La estimación del número de copias realizadas
• El impacto de la copia privada sobre la venta de ejemplares de las obras
• El precio medio de la unidad de cada modalidad reproducida
• El porcentaje del precio de la copia original que va destinado a remunerar los derechos de propiedad intelectual
• La vigencia de los derechos de propiedad intelectual
• El diferente perjuicio del establecimiento del límite de copia privada según, entre otros criterios, el carácter digital o analógico de las reproducciones efectuadas
• La disponibilidad y aplicación de medidas tecnológicas de protección

4. Asignación

La compensación equitativa por copia privada se hará efectiva a través de las entidades de gestión de derechos de propiedad intelectual, que actuarán como perceptores de la compensación, recibiendo los importes correspondientes durante el ejercicio presupuestario en el que se haya determinado la cuantía, para su distribución y reparto a los titulares beneficiarios de aquélla.

5. Reparto

El reparto de los importes abonados con cargo a los presupuestos del Ministerio de Educación, Cultura y Deporte en concepto de compensación equitativa por copia privada entre los titulares beneficiarios se realizará de conformidad con el artículo 154 del texto refundido de la Ley de Propiedad Intelectual.

Según este artículo, el reparto de los derechos recaudados se efectuará equitativamente entre los titulares de las obras o producciones utilizadas, con arreglo a un sistema predeterminado en los estatutos de las entidades de gestión y que excluya la arbitrariedad. Las entidades de gestión deberán reservar a los titulares una participación en los derechos recaudados proporcional a la utilización de sus obras.

6. Auditoría

La palabra "auditoría" sigue sin aparecer en la normativa reguladora del canon, a pesar de tener éste su origen en los Presupuestos Generales del Estado.

Antecedentes

La función de Community Manager se ha desarrollado en muchas empresas con un enfoque basado en la comunicación y el conocimiento de las redes sociales, pero en la práctica el Community Manager se encuentra con situaciones que pueden tener trascendencia jurídica e implicar riesgos para la empresa y a nivel personal.

Objetivos

El objetivo básico de este curso es dotar al Community Manager de una base jurídica suficiente para poder distinguir las situaciones que exigen una solución jurídica y para prevenir riesgos legales en colaboración con la Asesoría Jurídica de la empresa.

Programa

- Gestión de crisis en redes sociales
- El efecto viral negativo de un burofax
- Injurias y calumnias en foros y redes sociales
- Efectos negativos de una campaña de marketing online mal enfocada
- Efectos negativos de concursos y promociones mal planteados
- Campañas virales fallidas
- Suplantación de identidad en redes sociales
- Prescriptores y detractores encubiertos
- Tipos ataques contra la empresa
- Tipos de atacantes
- Gestión del ataque con la matriz popularidad - gravedad
- La gestión de los activos intangibles en las redes sociales
- La parodia de la marca en Twitter y Facebook
- La responsabilidad del retweet
- Delitos en redes sociales
- Responsabilidad penal de la empresa
- Responsabilidad penal del Community Manager
- La prueba de la diligencia de la empresa y del Community Manager
- Recogida y tratamiento de datos personales de seguidores
- Análisis de preferencias y elaboración de perfiles
- Caso práctico 1: gestión de un ataque contra un producto
- Caso práctico 2: gestión de un boicot
- Caso práctico 3: gestión de un mensaje calumnioso

Guía jurídica para Community Managers

Al final del curso se entregará una guía en la que se recopilarán todas las recomendaciones jurídicas incluidas en el curso.

Fecha

19 de diciembre de 2012

Horario

18:00 - 21:00 (Tres horas lectivas)

Lugar

Diagonal 640 1C - Edificio Caja Madrid (delante de la Illa) Barcelona

También se pueden concertar sesiones individuales de una hora mediante Skype

Destinatarios

- Community Managers
- Abogados de empresa
- Cualquier otra persona con interés en la materia

Número máximo de asistentes

El curso está limitado a 10 asistentes, con el fin de favorecer el debate y llegar a conclusiones útiles y enriquecedoras.

Recursos

- Pantalla LED HD
- Dos paredes Velleda para el análisis de los casos prácticos

Director del curso

Xavier Ribas

Inscripciones

Para formalizar la inscripción deberá enviarse un mensaje a anna.canadell@ribastic.com antes del 15 de diciembre

Aforo limitado a 10 personas.

Precio

- Curso presencial de tres horas: 250 euros + IVA 21%

- Sesión Skype individual de una hora: 150 euros + IVA 21%

Certificado de asistencia

A los asistentes al curso se les entregará un certificado de asistencia para acreditar la formación recibida