DIGITAL SERVICES ACT- Reglamento (UE) de Servicios Digitales

El llamado Digital Services Act, DSA, fue publicado en el DOUE el día 27 octubre 2022. Se trata del Reglamento (UE) 2022/2065 del Parlamento europeo y del Consejo de 19 de octubre de 2022 relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales)

Obrigado

El principal  objetivo del DSA es  mejorar el control de los contenidos ilícitos en las plataformas y redes sociales. Conforme a su Art 1: “contribuir al correcto funcionamiento del mercado interior de servicios intermediarios estableciendo normas armonizadas para crear un entorno en línea seguro, predecible y fiable que facilite la innovación y en el que se protejan efectivamente los derechos fundamentales amparados por la Carta, incluido el principio de protección de los consumidores”.

Se articula en torno a 5 capítulos. Entre ellos destacan por su contenido sustantivo el relativo a la responsabilidad (y a la exención de responsabilidad) de los intermediarios (capítulo 2), las obligaciones de los intermediarios (capítulo 3) y la supervisión y control por parte de las autoridades nacionales y de la comisión, entre las que se establecerán cooperaciones

Valporquero en León

 I Entidades a las que se aplica:

El DSA se aplica a los proveedores de servicios intermediarios con establecimiento o con residencia en la UE, en la medida que ofrezcan servicios en la UE.  Es decir, se aplica a entidades que ofrecen servicios de intermediación a destinatarios o usuarios finales ubicados en la UE (Art 2 DSA), sin perjuicio de la aplicación de otras normas sectoriales a esos mismos intermediarios, cuando resulte procedente (Art 2-4 DSA)

 Dentro de los intermediarios que quedan sujetos al DMA distinguimos:

  1. Servicios de intermediación:  Ponen a disposición de los usuarios las infraestructuras de red. Son proveedores de acceso a Internet y entidades de registro de nombres de dominio, entre otros.
  2. Servicios de alojamiento de datos: Almacenan información proporcionada por los destinatarios o clientes de su servicio. Incluyen, entre otros, servicios de computación en nube o de alojamiento web.
  3. Plataformas en línea: Redes sociales, mercados en línea, prestadores de servicios de alojamiento de datos, entre otros.
  4. Motores de búsqueda
  5. Plataformas en línea de muy gran tamaño y motores de búsqueda de muy gran tamaño. Determinados prestadores serán calificados así, y se les impondrán obligaciones adicionales (más estrictas). Su designación por parte de la Comisión se basa en que el umbral de usuarios supere el 10% de la población de la UE (45 millones). Dicho umbral podrá ser ajustado por la Comisión. //// La DSA clasifica plataformas o motores de búsqueda que tienen más de 45 millones de usuarios al mes en la UE como plataformas en línea de muy gran tamaño (VLOP) o motores de búsqueda en línea de muy gran tamaño (VLOSEs).Para ello, estas entidades, las plataformas y los motores de búsqueda, estaban obligados a publicar datos antes del 17 de febrero de 2023. Y,  deberán actualizar estas cifras al menos cada 6 meses (DSA: Orientación sobre el requisito de publicar números de usuario). Una vez designadas, la entidad tiene cuatro meses para cumplir con las normas  de la DSA que abordan los riesgos particulares que representan para los europeos y la sociedad tales grandes servicios en lo que respecta a los contenidos ilícitos, y su impacto en los derechos fundamentales, la seguridad pública y el bienestar.La Comisión revocará su decisión si la plataforma o el motor de búsqueda ya no alcanzan el umbral de 45 millones de usuarios mensuales durante un año completo.

Quedan fuera del ámbito de aplicación de la DSA los servicios de comunicaciones interpersonales, contemplados en la Directiva (UE) 2018/1972 del Parlamento Europeo y el Consejo (como los servicios de correos electrónicos y los servicios de mensajería privada). Sin embargo, es decir incluso en esos casos mencionados, las obligaciones de la DSA se podrían exigir a los prestadores de servicios que permitan poner información a disposición de un número potencialmente ilimitado de destinatarios, no determinado por el remitente de la comunicación.(considerando, 14)

  

II Obligaciones y responsabilidad de los prestadores intermediarios de servicios digitales

Visión general y relación con el régimen anterior

Hasta ahora, con la Directiva 2000/31/CE, Directiva de Comercio Electrónico, la responsabilidad de los prestadores de servicios digitales se asentaba en dos principios fundamentales. El primero, la ausencia de responsabilidad por los contenidos ilícitos que alojaban o transmitían siempre que no tuviesen conocimiento efectivo de los mismos. El segundo, la inexistencia de una obligación general de realizar seguimientos para impedir la publicación o transmisión de estos contenidos.

El DSA mantiene ambos principios (Art 4-mera trasmisión-; Art 5 -memoria caché; Art 6 -alojamiento de datos; Art 8- inexistencia de obligación general de monitorización).En suma, el DSA mantiene en buena medida el régimen de responsabilidad de los prestadores intermediarios, en tanto que conserva el régimen de exclusión de responsabilidad de los prestadores de servicios intermediarios de la Directiva 2000/31/CE, del Comercio Electrónico (safe harbour). Sigue impidiendo imponer a las plataformas una obligación general de supervisión de los contenidos subidos por los usuarios, es decir, no impone una obligación de verificar ex ante la legalidad de los contenidos subidos por los usuarios. En consecuencia, no impone responsabilidad directa respecto de estos contenidos. Las exenciones de responsabilidad de la DSA se aplican a cualquier tipo de responsabilidad, sea cual sea la materia o naturaleza precisa de las disposiciones legales, por ejemplo, derecho de marcas, patentes, publicidad, imagen, honor…

Por tanto, estos prestadores de estos servicios, cuando actúen como meros intermediarios, no serán responsables del contenido subido por los usuarios, si en el momento en el que tienen conocimiento efectivo del contenido ilícito, actúan de manera diligente para su retirada o inhabilitan el acceso. El prestador puede obtener dicho conocimiento efectivo a través de órdenes de los organismos competentes, investigaciones realizadas por iniciativa propia o notificaciones de los afectados, en la medida en que sean suficientemente precisas y estén bien fundamentadas.

  • Este régimen especial de exención de responsabilidad no será aplicable en ningún caso a la información generada por la propia plataforma, respecto de la cual los prestadores tendrán responsabilidad directa.
  • Además,  los intermediarios deben presentar la información de manera que no induzca a los consumidores a creer que ha sido facilitada por las propias plataformas y no por sus usuarios (por ejemplo, los mercados en linea deberán aclarar qué servicios son prestados por terceros a través de sus plataformas).

Aunque,  no afecta a la aplicación de la legislación europea que regula determinados aspectos sobre la prestación de servicios de la sociedad de la información, que tiene carácter de lex specialis como, por ejemplo, el artículo 17 de la Directiva 2019/790, sobre los derechos de autor y derechos afines en el mercado único digital (DMUD); la Directiva (UE) 2018/1808, sobre los prestadores de plataformas de intercambio de vídeos (DSCA 2018); el Reglamento (UE) 2019/1150, sobre el fomento de la equidad y la transparencia para los usuarios profesionales de servicios de intermediación en línea (Reglamento B2B2C) o el Reglamento (UE) 2016/679 de Protección de Datos (RGPD). Ciertamente, la interrelación de la DSA con otras normas del entorno online plantea cuestiones complejas

Nuevas obligacionesArija

El DSA introduce novedades importantes, en forma de obligaciones de los intermediarios. El Reglamento identifica las siguientes obligaciones aplicables a todos los servicios intermediarios:

  1. Establecer puntos de contacto que permitan la comunicación directa con los Estados miembros, la Comisión .
  2. Designar un punto de contacto único para los destinatarios de los servicios que permita una comunicación rápida, directa y eficiente.
  3. Designar a una persona para actuar como representante legal en un Estado miembro, cuando esos prestadores estén están establecidos en un tercer país.
  4. Indicar y actualizar en sus condiciones la información relativa a las medidas por las que pueden restringir la prestación de sus servicios.
  5. Indicar y actualizar en sus condiciones las normas del procedimiento de su sistema interno de tramitación de reclamaciones.
  6. Diversas obligaciones de transparencia informativa; incluyendo la publicación de informes sobre su actividad de moderación de contenidos (al menos, una vez al año) en un formato legible por máquina.
  7. Colaborar con las autoridades: Informar a las autoridades policiales de sospechas sobre la posible comisión de un delito por un destinatario.
Obligaciones adicionales aplicables a los prestadores de servicios de alojamiento, incluidas las plataformas en línea.
  • Moderación  de contenidos.
    • Establecimiento de mecanismos (NTDs) que permitan notificar la presencia de contenidos y productos presuntamente ilícitos (incluyendo productos falsificados). Salvo que se trate de una notificación de un delito, las plataformas deberán pedir al notificante que revele su identidad.
    • Suspensiones de cuentas. En determinadas condiciones, las plataformas en línea deberán suspender temporalmente sus actividades a la persona que muestre comportamientos abusivos. Se consideran comportamientos abusivos la publicación frecuente de contenidos manifiestamente ilícitos y el envío frecuente de avisos o reclamaciones manifiestamente infundados a través de los mecanismos y sistemas, respectivamente. La información debe tener la consideración de contenido manifiestamente ilícito cuando sea evidente para una persona lega en la materia, sin un análisis de fondo, que dicho contenido es ilícito o que los avisos o reclamaciones son infundados.
    • Establecer procesos específicos para permitir solicitar la retirada de contenidos ilícitos,
    • Establecer un sistema interno de tramitación de reclamaciones con respecto a las decisiones adoptadas por estas plataformas, con mecanismos para permitir que los usuarios puedan defenderse en caso de que entiendan que sus contenidos han sido retirados sin justificación infringiendo, por ejemplo, sus libertades de expresión e información
    • Transparencia informativa de los prestadores de servicios intermediarios y publicación de informes sobre cualquier actividad de moderación de contenidos.
  • Trasparencia en la publicidad que se aloje en los intermediarios (Art 26).
    • Los destinatarios del servicio deben tener información sobre los principales parámetros utilizados para determinar la presentación de la publicidad. Además, deberán ofrecer explicaciones de la lógica utilizada con ese fin. Los prestadores de estos servicios se asegurarán de que los destinatarios puedan conocer, por cada anuncio publicitario, de manera clara e inequívoca y en tiempo real:
      • a) que la información presentada es un anuncio publicitario;
      • b) la persona física o jurídica en cuyo nombre se presenta el anuncio publicitario;
      • c) información significativa acerca de los principales parámetros utilizados para determinar el destinatario al que se presenta el anuncio publicitario.
    • En relación con la publicidad, los destinatarios deben poder acceder directamente desde la interfaz donde se presente el anuncio a información sobre los principales parámetros utilizados, ofreciendo explicaciones útiles de la lógica utilizada con ese fin, también cuando se base en la elaboración de perfiles.
  • Transparencia en las recomendaciones (Art 27)
  • Protección de menores (Art 28)
  • Obligaciones especiales para las plataformas que permitan a los consumidores concluir contratos a distancia, (y que no sean PYMES) (Arts 29 yss). : Incluyen la trazabilidad de comerciantes; el disponer las interfaces para facilitar que los comerciantes puedan cumplir sus obligaciones (el llamado cumplimiento desde el diseño, Art 31 ), así  como a los consumidores, ejercer sus derechos de información (Art 32)
  • Cooperación con las autoridades de los Estados Miembros tanto en la retirada de contenidos ilícitos como en la identificación de determinados usuario
Obligaciones de las plataformas y motores en línea de gran tamaño

En relación con éstos plataformas, una de las cuestiones iniciales a tener en cuenta es la de su identificación. Véase esta entrada del Blog GARRIGUES: Las plataformas y buscadores deben publicar su número de usuarios antes del 17 de febrero: primer paso para saber si son de “muy gran tamaño”

  • La DSA impone obligaciones específicas a las grandes plataformas con el fin de evaluar los riesgos sistémicos que entraña el funcionamiento y uso de su servicio, así como los posibles usos indebidos por parte de los destinatarios (Arts 33 y ss).
  • Los principales riesgos sistémicos identificados por el DSA son los riesgos asociados al uso indebido de su servicio mediante la difusión de contenidos ilícitos, como la difusión de materiales de abuso sexual de menores o delitos de incitación al odio, y la realización de actividades ilícitas como la venta de productos o servicios prohibidos. También los efectos del servicio para el ejercicio de los derechos protegidos por la Carta de los Derechos Fundamentales, incluida la libertad de expresión e información, el derecho a la vida privada, el derecho a la no discriminación y los derechos del niño. Además, la manipulación deliberada con efectos para la salud, el discurso cívico, los procesos electorales, la seguridad pública y la protección de los menores. Por ejemplo, por la creación de cuentas falsas, el uso de bots y otros comportamientos total o parcialmente automatizados.
  • Adicionalmente, deben asumir la adaptación de los sistemas de moderación de contenidos o de recomendación, sus procesos decisorios, las características o el funcionamiento de sus servicios, o sus condiciones.
  • También han de detectar, analizar y evaluar con diligencia cualquier riesgo sistémico que se derive de su diseño, incluidos los sistemas algorítmicos, el funcionamiento y el uso que se haga de sus servicios.
  • Así mismo, tienen que establecer medidas selectivas dirigidas a limitar la presentación de anuncios publicitarios. En este sentido el art 39 exige trasparencia especial.
      • Art 99.1 : Los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño que presenten anuncios publicitarios en sus interfaces en línea recopilarán y harán público, en una sección específica de su interfaz en línea, a través de una herramienta de búsqueda fiable que permita realizar consultas en función de múltiples criterios, y mediante interfaces de programación de aplicaciones, un repositorio que contenga la información a que se refiere el apartado 2, durante todo el tiempo en el que presenten un anuncio y hasta un año después de la última vez que se presente el anuncio en sus interfaces en línea. Se asegurarán de que el repositorio no contenga ningún dato personal de los destinatarios del servicio a quienes se haya o se pueda haber presentado el anuncio y harán todos los esfuerzos que resulten razonables para garantizar que la información sea exacta y completa.
  • Estas grandes plataformas también deben reforzar los procesos internos o la supervisión de cualquiera de sus actividades, en particular en lo que respecta a la detección de riesgos sistémicos.
  • También deben ocuparse de la puesta en marcha o el ajuste de la cooperación con los llamados  alertadores fiables; así como de la puesta en marcha o el ajuste de la cooperación con otras plataformas en línea mediante los códigos de conducta y los protocolos de crisis. Finalmente, dada la necesidad de garantizar la verificación por expertos independientes, las plataformas en línea y los motores de búsqueda de muy gran tamaño deben rendir cuentas, mediante auditorías independientes.

Sin perjuicio de todo ello, el DSA contempla también posibles medidas voluntarias a adoptar por los proveedores de servicios, entre las que se encuentra la elaboración de un código de conducta relativo a materias concretas: publicidad, accesibilidad y protocolos de crisis.

 

III Otras cuestiones

 

A)   Doctrina del Buen Samaritano

La DSA reconoce expresamente la aplicación de la doctrina anglosajona del “Buen Samaritano” con el fin de no desincentivar las actividades destinadas a detectar, identificar y actuar contra contenidos ilícitos que se puedan llevar a cabo de forma voluntaria. Es decir, las plataformas no perderán las ventajas del régimen de exclusión de responsabilidad por actuar proactivamente en la lucha contra contenidos ilícitos.

B)   Trazabilidad: nuevos requisitos de información de los usuarios

Una importante novedad es que las plataformas en línea que permitan formalizar contratos a distancia deberán asegurarse de que los vendedores sean localizables. Para ello, deberán recabar información sobre los comerciantes y hacer esfuerzos razonables para verificar su fiabilidad, por ejemplo, mediante el uso de bases de datos, registros mercantiles y el sistema de intercambio de información sobre el IVA.

Esta información puede permitir a los titulares de derechos identificar al infractor, responsable directo del ilícito, y, por tanto, facilita el ejercicio de acciones legales contra el responsable principal de la infracción.

No obstante, las plataformas no estarán obligadas a realizar actividades excesivas o costosas de búsqueda de hechos, ni tampoco a realizar verificaciones sobre el terreno, si bien deberán hacer todo lo posible para evaluar la fiabilidad de la información.

C)   Alertadores o informadores fiables

Se crea la figura de los “alertadores fiables”, que permiten una especie de “fast track” a sus reclamaciones de infracciones en las plataformas. Dicha condición se otorgará solo a entidades que acrediten conocimientos para luchar contra los contenidos ilícitos, que representan intereses colectivos y que trabajan de manera diligente y objetiva.

Esta condición será otorgada por el coordinador de servicios digitales del Estado miembro donde el solicitante esté establecido y debe ser reconocida por todos los prestadores de plataformas en línea incluidos en el ámbito de aplicación del DSA.

D) Resolución de conflictos

La DSA contempla la vía de resolución extrajudicial de litigios por organismos certificados que posean la independencia, los medios y los conocimientos necesarios para desarrollar sus actividades con equidad, rapidez y eficacia en términos de costes. Además, deben ser complementarias a la posibilidad de recurso judicial. Por otra parte, los consumidores podrán retirarse del procedimiento en cualquier momento si no están satisfechos con el funcionamiento o la tramitación del procedimiento.

Los destinatarios del servicio podrán elegir entre el mecanismo interno de reclamación, la resolución extrajudicial de litigios y la posibilidad de iniciar, en cualquier momento, un procedimiento judicial.

ACTUALIZACIÓN:

  • Primera designación de Plataformas y Motores de Gran Tamaño Plataformas en línea de muy gran tamaño y motores de búsqueda de muy gran tamaño designados con arreglo al artículo 33, apartado 4, del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Ley de servicios digitales) (Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022 relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales) (DO L 277 de 27.10.2022, p. 1).) 2023/C 249/02

 

Comunicaciones comerciales de las actividades del juego

El 15 de enero de 2020 entró en vigor la modificación del Código de conducta de las comunicaciones comerciales de las actividades del juego. Esta modificación había sido aprobada el mes de noviembre por la “Comisión Mixta de Seguimiento del Código de Conducta sobre Comunicaciones Comerciales de las Actividades de Juego” a iniciativa del sector

En Vigo

En esta modificación se redefine el principio de veracidad, que pasa a expresar específicamente la obligación de incluir los elementos esenciales de los términos y condiciones de las promociones publicitadas. En segundo lugar, se apuesta por reforzar el juego responsable añadiendo nuevas obligaciones como, por ejemplo, la prohibición de realizar anuncios que difundan bonos o promociones durante la propia retransmisión en directo de eventos deportivos. En tercer lugar, se refuerza la protección de los menores, quedando prohibido que la publicidad sobre juego esté protagonizada por los menores de 25 años, deportistas en activo o personajes públicos que participen  en espacios infantiles

Este Código se aplicará a toda publicidad, promoción, patrocinio y  cualquier tipo de comunicación comercial difundida en España y regulada en la Ley 13/2011, de 27 de mayo, de regulación del juego que haya sido realizada por las empresas firmantes de este Código, que se comprometen a respetar las normas en él recogidas, así como a acatar y cumplir de forma inmediata el contenido de las resoluciones que el Jurado de la Publicidad de AUTOCONTROL pueda emitir en relación con dicho Código

Guía de Buenas Prácticas de Transparencia, Fraude Publicitario y Seguridad de Marca.

 

Primavera by M.A. Díaz

La Comisión de la Industria Publicitaria (CIP), creada en marzo de 2017, impulsada por la Asociación Española de Anunciantes (aea) e integrada por AUTOCONTROL, y las principales asociaciones del sector, como la Asociación de Agencias de Medios (AM), la Asociación Española de Agencias de Comunicación Publicitaria (AEACP), la Asociación para la Investigación de Medios de Comunicación (AIMC), la Asociación de Marketing Móvil (MMA), la Federación de Empresas de Publicidad y Comunicación (FEDE), el Interactive Advertising Bureau (IAB Spain) y la Oficina de la Justificación para la Difusión (OJD), ha públicado la Guía de Buenas Prácticas de Transparencia, Fraude Publicitario y Seguridad de Marca (aquí). Con ello se trata de conseguir que en el sector de la publicidad, y particularmente en el de la publicidad online,  se mejore la credibilidad, la seguridad, la eficacia y la transparencia.

A la vista del crecimiento vertiginoso que viene experimentando la inversión en publicidad digital la CIP ha ido formulando  guías que contienen recomendaciones y buenas prácticas para fomentar el desarrollo del sector digital, como la Guía de Estándares y buenas prácticas de Ad Viewability, publicada en julio 2017, posteriormente ampliada  mediante anexo publicado en julio de 2018.

Con la nueva guía, se trata de clarificar las áreas de transparencia (transparency), fraude publicitario (ad fraud) y seguridad de la marca (brand safety).

El propósito de esta guía es dotar a la industria publicitaria digital de herramientas que permitan a todos los agentes favorecer la actividad publicitaria en entornos cada vez más seguros y transparentes, y detectar y bloquear los posibles fraudes.

Respecto a la transparencia, considerada cada vez más como una auténtica necesidad, abarca el control del fraude publicitario (ad fraud), la seguridad de la marca (brand safety) y la visibilidad (viewability), temas todos ellos que los agentes de la industria han de conocer, ofrecer o tener acceso durante la ejecución de sus campañas. Esta transparencia, como advierte la guía tiene gran interés para todos los actores que actúan en este sector, incluidos los anunciantes, beneficiando a toda la industria publicitaria.

En cuanto al fraude publicitario (ad fraud) lo define como “una generación intencional de impresiones, clicks, leads y ventas fraudulentas para obtener ganancias financieras”. Se recogen en esta guía diversos tipos de malas prácticas para incrementar fraudulamente ingresos. Entre dichas prácticas figuran: Pixel Stuffing; Ad Stacking; Domain Spoofing; AdInjection; Proxy Servers; Click Farms.

Se recogen también una serie de buenas prácticas que se estiman adecuadas para combatir el fraude. Así:

  • Ads.txt.
  • Uso de herramientas de verificación que estén auditadas.
  • Detectar y bloquear las impresiones fraudulentas.
  • Labor humana de análisis de información que pueda detectar este tipo de tráfico.
  • Ads.cert.
  • En compra programática usar filtros de pre-bid (previo a las pujas) para no pujar por impresiones de fuentes ya identificadas como fraudulentas.
  • Trabajar con blacklist (listado de urls a excluir) y white-list (listado de urls a incluir).

En lo que concierne a la seguridad de la marca (Brand safety) comprende todas aquellas “consideraciones, prácticas y herramientas que garanticen que la publicidad de una marca no aparezca en un contexto que pueda ser inadecuado o contraproducente para la marca”.

Se pasa revista a los tipos comunes de riesgo de marca, especificando las categorías de riesgo y entornos de riesgo (redes sociales publicidad programática, targetización, noticias falsas (Fake News) e influenciadores (influencers).

Se trata de poder gestionar el posible riesgo de que una marca pierda valor o fracase en el mercado.

Se cifran como buenas prácticas para conseguir  que la marca permanezca fiel a su mensaje  las siguientes:

  • Utilizar white lists – black lists – keywords.
  • Segmentos “pre-bid”.
  • Educación.
  • Plataformas y proveedores verificados.

Se recogen igualmente recomendaciones para preservar la reputación de la marca

 

Sanción de 1.200.000 euros a Facebook por infringir la normativa de protección de datos.

 

A propósito de lo que Facebook sabe de nosotros…                              

Sanción de 1.200.000 euros a Facebook por infringir la normativa de protección de datos.

 

El 8 de marzo de 2016 la Directora de la Agencia Española de Protección de Datos (AEPD) ordenaba a la Subdirección General de Inspección de Datos que procediese a realizar la correspondiente investigación, en el marco de un expediente de actuaciones previas, en relación con las circunstancias puestas de manifiesto en el curso de una inspección de oficio a la red social FACEBOOK. Dicha Subdirección procedió a realizar estas actuaciones previas para esclarecer los hechos.

El 7 de marzo de 2017 la Directora de la Agencia acordó iniciar de oficio procedimiento sancionador a la entidad FACEBOOK, INC., para analizar y comprobar si el tratamiento de datos que realiza la red social se ajusta a la normativa de protección de datos o si se producen las siguientes presuntas infracciones de ciertos arts. de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), en concreto los siguiente

6.1, en relación con los arts. 5 y 4.1 y 2 de este mismo texto legal; infracción tipificada como grave en el art. 44.3.b) de la LOPD;

7, en relación con los artículos 5 y 4.1 y 2 de la misma Ley, infracción tipificada como muy grave en el art. 44.4.b) de la LOPD y

4.5 en relación con el art. 16, ambos de la LOPD; infracción tipificada como grave en el art. 44.3.c) de la LOPD.

  • En el marco de la investigación la Agencia constata que Facebook, mediante la interacción con sus servicios o desde páginas de terceros, recoge datos sobre ideología, sexo, creencias religiosas, gustos personales o navegación sin informar de forma clara al usuario sobre la finalidad pretendida y el uso y al que van destinados. En concreto, ha verificado que la red social trata “datos especialmente protegidos” con fines de publicidad, entre otros, sin obtener el consentimiento expreso de los usuarios que requiere la normativa de protección de datos. Incurre así Facebook en una infracción tipificada como muy grave en la LOPD.
  • Mediante la misma investigación la AEPD comprueba que Facebook no informa a los usuarios de forma minuciosa y clara –a través de la lista correspondiente- sobre los datos personales que va a recoger y cómo los va a tratar,  limitándose a ofrecer algunos ejemplos.
  • Se acredita que esta red social recoge otros datos derivados de la interacción que llevan a cabo los usuarios en la plataforma y en sitios de terceros sin que estos puedan cerciorarse de cuál es la información que Facebook recoge sobre ellos y con qué finalidad va a hacer uso de ella.
  • Igualmente, la AEPD verifica que no se informa a los usuarios de que se va a tratar su información mediante el uso de cookies -algunas de uso específicamente publicitario y alguna de uso declarado secreto por la propia compañía- cuando navegan a través de páginas ajenas a Facebook y que contienen el botón ‘Me gusta’. Y ello acontece asimismo tanto respecto a usuarios que, no siendo miembros de Facebook, han visitado alguna vez una de sus páginas, como respecto a usuarios que, estando registrados en Facebook, navegan por páginas de terceros, incluso sin iniciar sesión en Facebook. Lo que hace la plataforma es añadir la información recogida en tales páginas a la que figura asociada a su cuenta en la red social. La información ofrecida por la red social a los usuarios, como declara la AEPD, no respeta la normativa de protección de datos.
  • Otro de los extremos advertidos por la Agencia atañe a la política de privacidad de Facebook, donde se contienen expresiones genéricas y poco claras, y que obliga a acceder a multitud de enlaces para conocerla. Facebook alude de forma imprecisa al uso al que se destinan los datos que recoge, de modo que un usuario de Facebook con un conocimiento medio de las nuevas tecnologías no es consciente de la recogida de datos, ni de su almacenamiento y posterior tratamiento, ni de para qué van a ser utilizados. Y, en lo que respecta a los internautas no registrados, desconocen que esta red social recoge sus datos de navegación.

Teniendo en cuenta que Facebook no recaba de forma adecuada el consentimiento ni de sus usuarios ni de quienes no lo son −y cuyos datos también trata−, la AEPD considera que está cometiendo una infracción tipificada como grave.

  • Al margen de lo anterior, la AEPD constató también que Facebook no elimina la información recogida a partir de los hábitos de navegación de los usuarios, sino que la retiene y reutiliza posteriormente asociada al mismo usuario. Además, cuando un usuario de la red social ha eliminado su cuenta y solicita el borrado de la información, Facebook capta y trata información durante más de 17 meses a través de una cookie de la cuenta eliminada. Esta situación, de que los datos personales de los usuarios no se cancelan en su totalidad ni cuando han dejado de ser útiles para la finalidad que motivó la recogida ni cuando el usuario solicita explícitamente su eliminación, conforme a las exigencias de la LOPD, constituye, a juicio de la Agencia, una infracción tipificada como grave.
Así las cosas, el 21 de agosto de 2017 la AEPD ha dictado Resolución  en la que declara que Facebook incurre en dos infracciones graves y una muy grave de la LOPD. Por estas infracciones le impone una sanción total de 1.200.000 euros −300.000 por cada una de las primeras y 600.000 por la segunda−.

Contra esta Resolución, que pone fin a la vía administrativa, los interesados pueden, potestativamente, interponer: recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso- administrativo de la Audiencia Nacional, en el plazo de dos meses a contar desde el día siguiente a dicha notificación.

Esta Resolución representa un hito importante en materia de protección de datos. La investigación llevada a cabo por la AEPD y la Resolución resultante ha de ponerse en relación con los procedimientos de investigación iniciados por el Grupo de Contacto constituido por diversas Autoridades de Protección de Datos de la Unión Europea, entre las que se encuentra la AEPD. Este Grupo trata de coordinar sus actuaciones tras los cambios acometidos por Facebook en enero de 2015 en sus términos y condiciones de uso. Integran este Grupo de Contacto Autoridades de Protección de Datos de Bélgica, España, Francia, Hamburgo (Alemania) y Países Bajos. Dichas autoridades han iniciado también investigaciones nacionales relacionadas, entre otros aspectos, con la calidad de la información facilitada a los usuarios, la validez del consentimiento y el tratamiento de datos personales con fines publicitarios. Véase, al respecto, la Declaración común del Grupo de Contacto de las Autoridades de Protección de Datos de Holanda, Francia, España, Hamburgo y Bélgica (aquí). Tres de los miembros publicaron ya sus resultados (Francia, Bélgica y Holanda). Así, por ejemplo, en Francia se impuso una sanción de 150.000 euros a Facebook Inc. y Facebook Ireland Limited.

Es cierto que la Resolución de la AEPD que nos ocupa, ampliamente motivada a lo largo de 93 páginas, recoge una multa millonaria. Pero lo es también que todavía podría ascender a una cuantía mucho mayor a partir del 25 de mayo de 2018, fecha en la que resultará aplicable el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) .  Y ello porque con arreglo al art. 83.5 del mismo se le habría podido imponer una multa de hasta 20.000.000 euros o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Según informaciones aparecidas en medios de comunicación  (aquí y aquí) Facebook ha emitido un comunicado en el que “discrepa respetuosamente” de la decisión adoptada por la Agencia, mostrándose dispuesta a recurrir la Resolución.

Competencia desleal. Aspectos prácticos

Os dejo una reciente presentación realizada para el Curso organizado desde el Centro de Responsabilidad Social Gobierno Corporativo y Protección del Inversor (CERGI), en el que colaboramos ponentes de la Universidad de León. SOBRE EL CURSO Y OTRAS ACTIVIDADES DEL CENTRO DE RESPONSABILIDAD SOCIAL, GOBIERNO CORPORATIVO Y PROTECCIÓN DEL INVERSOR (CERGI) DE GALICIA, VER AQUÍ

 

Competencia Desleal_aspectos prácticos_epc

 

Autorregulación de contenidos televisivos e infancia. Requerimiento CNMC

Llamamos la atención sobre el requerimiento por parte de la CNMC a lo los pregatinbañostadores de servicios de comunicación audiovisual adheridos al Código de Autorregulación sobre contenidos televisivos e infancia   (CACTI) de 2004, para que cumplan sus  compromisos autoasumidos en relación con los “Contenidos Televisivos e Infancia” en la emisión de informativos. Enlace a la noticia de la CNMC, con más información.
Antecedentes:
  • Las autoridades de la UE, y en especial el Parlamento europeo vienen reiterando la necesidad de una autorregulación en materia de programación televisiva relacionada con menores, insistiendo en que los Códigos autoregulatorios impongan incluso sanciones en caso de incumplimiento. En España, el Art. 39.4 de la Constitución reconoce una protección de la infancia, al más alto nivel normativo; desarrollo del cual existe -entre otros, un Código de Conducta de autorregulación sobre contenidos televisivos e infancia. El CACTI contempla, por ejemplo, principios para mejorar la eficacia   de la protección legal de los menores respecto de la programación televisiva que se emita en dicho horario; diferenciando entre el público infantil -menor de 13 años- y el juvenil.
  • Las franjas de protección reforzada se sitúan entre las 8 y las 9 horas y entre las 17 y las 20 horas en el caso de los días laborables y entre las 9 y las 12 horas los sábados, domingos y fiestas de ámbito estatal, es decir, en momentos cuando el control parental puede ser menor,
  • El CACTI estipula, entre otros,  que sus firmantes evitarán la emisión de imágenes de violencia, tratos vejatorios, o sexo no necesarias para la comprensión de la noticia, así como  la emisión de secuencias particularmente crudas o brutales; y que en los casos de relevante valor social o informativo que justifiquen la emisión de las noticias o imágenes antes referidas, se avisará a los telespectadores de la inadecuación de las mismas para el público infantil. Además, los firmantes del CACTI se comprometieron a limitar la emisión de este tipo de imágenes en informativos que se puedan emitir en las franjas horarias de protección reforzada, procurando que la difusión de estas escenas se realice en los informativos emitidos fuera de la franja horaria de protección general de los menores. Igualmente, en aquellos programas que no son propiamente informativos se han de cumplir con las disposiciones de la Ley y  del Código de Autorregulación respecto a la calificación por edades y avisar, de la existencia de imágenes o secuencias especialmente duras que pueden afectar a la protección de los menores.

Publicidad engañosa. Publicidad Comparativa

El TJUE clarifica que publicidad engañosa y comparativa son autónomas, derivadas de hechos ilícitos diferentes entre si.

C-52/2013, Sentencia del Tribunal de Justicia (Sala octava) de 13 de marzo de 2014. Posteshop SpA – Divisione Franchising Kipoint contra Autorità Garante della Concorrenza e del Mercato y Presidenza del Consiglio dei Ministri: La Directiva 2006/114/CE del Parlamento Europeo y del Consejo, de 12 de diciembre de 2006, sobre publicidad engañosa y publicidad comparativa, debe interpretarse en el sentido de que, en lo relativo a la protección de los comerciantes, contempla la publicidad engañosa y la publicidad comparativa ilegal como dos infracciones autónomas y de que, a efectos de prohibir y sancionar una publicidad engañosa, no es necesario que ésta constituya igualmente publicidad comparativa ilegal.

Comentario Jesus Gomez Montero. El derecho.com