Marketing · Internet · IA | Riestra Abogados

¿A quién pertenece la creación con IA?

Inteligencia artificial y propiedad intelectual.La creación asistida por la inteligencia artificial (IA) es un auténtico reto para nuestro sistema normativo de derecho de propiedad intelectual tanto a nivel nacional, comunitario como internacional. A falta de una regulación específica, este nuevo mundo se rige a priori por los diferentes Términos y Condiciones que establecen las propias empresas de IA, los cuales son diversos, pero con algunos rasgos comunes.Propiedad del input.En general, se habla de input para referirse a los datos aportados por el usuario a la IA para que pueda generar el resultado, y output para el resultado del trabajo operado por la propia IA.En las normas de uso de cada plataforma analizada se establece el mismo régimen de propiedad intelectual para las informaciones dadas por el usuario (input). Lógicamente se pide que los datos o información que aportemos para generar un resultado no puedan vulnerar derechos de propiedad intelectual de terceros, derechos de imagen, de protección de datos personales o que infrinjan cualquier norma. Si la propiedad de los datos aportados son del usuario, éste se obliga a compartir con la plataforma unos derechos ilimitados e internacionales de uso, copia y modificación de tales datos para la consecución de los fines de dicha plataforma. Hasta aquí, previsible. Si lo que se genere en el resultado, la propiedad en sí, queda en manos del usuario, se le obliga a éste, igualmente, a compartir con la plataforma unos derechos ilimitados de uso, copia y modificación de los contenidos para la consecución de los fines de dicha plataforma. Por lo general tales fines suelen relacionarse con fines internos, como acciones de autopromoción y entrenamiento de sus algoritmos.Runway Gen-1, que produce videos nuevos a partir de los subidos por el usuario, deja claro que no tiene ningún tipo de derecho sobre este contenido originario. Al tratarse de inputs audiovisuales hubiese sido difícilmente justificable su apropiación No olvidemos que en sus comienzos las redes sociales, en especial Facebook en 2009 , pretendieron adquirir a través de sus términos y condiciones todos los derechos de los contenidos subidos por los usuario en su red, pero tras la polémica generada rectificaron.Propiedad del output.Respecto al output creado con la IA, los resultados, algunas empresas son más generosas que otras. Open AI, creador de ChatGPT, otorga la plena propiedad intelectual al usuario con el único requisito de indicar claramente la coautoría con la IA en caso de publicación del contenido. Es también la única plataforma que contempla la posible aparición de resultados idénticos por provenir del mismo algoritmo. En este caso, nadie tiene ningún derecho sobre la creación. Esto quiere decir que no hay una garantía total sobre el resultado generado, pero creo que eso no implicaría que terceros, sin autorización, pudieran utilizar libremente tales contenidos generados, porque la condición de autor no te la otorga una plataforma de IA si no la Ley. Se parece en cierto modo como cuando dos Obras sin haberse copiado coinciden en que son iguales o muy parecidas, ambas mantendrían la originalidad o autoría frente a terceros, pero lo complicado es demostrar que la segunda Obra aparecida no ha copiado a la primera. Antes de Internet era más sencillo, había que demostrar que por contexto ambos autores tenían un difícil acceso a la Obra del contrario. Sin embargo, actualmente no hay que demostrar nada, las Obras coinciden. Pensemos, por ejemplo, en un guion de un anuncio publicitario resultado de un algoritmo de una plataforma pública que es muy parecido con el de otra agencia, y que está además en la línea roja del plagio. ¿No tendría entonces ningún problema la segunda agencia que ha coincidido con la primera cuando afinaba el algoritmo? Parece que el sentido común indicaría que si la primera agencia ha emitido antes el anuncio se podría considerar plagio a la segunda, aunque sea resultado del algoritmo. En este sentido creo que los jueces no se complicarían demasiado. Y si ninguna agencia lo ha emitido previamente, y las dos lo producen en paralelo e independientemente sin conexión, seguramente no se trataría de un plagio. La polémica está servida. Runway Gen-1 deja también la propiedad del resultado al usuario con la condición de compartir con la empresa los derechos patrimoniales sobre el contenido. Aprovechándose de la ausencia de regulación que existe al respecto, Midjourney, que crea imágenes nuevas con una breve descripción, monetizó esos diferentes regímenes de propiedad intelectual. En cualquier caso, la empresa obliga a compartir con ella los derechos de explotación y distribución. Si el usuario utiliza la plataforma sin tener cuenta, solamente tendrá derecho a la distribución gratuita del resultado. Si tiene una cuenta “Pro” (de pago), se quedará con la propiedad intelectual del resultado (con el requisito previamente mencionado). Si, además de la cuenta “Pro”, suscribió a la opción “Stealth”, Midjourney se comprometerá a autolimitarse en la distribución del resultado para evitar coincidencias con terceros. Este ejemplo puede darnos pistas de por dónde puede evolucionar este modelo de negocio. Más restrictivo, el generador de textos especializados Essay Genius deja claro que los outputs generados sólo podrán usarse en el contexto personal que motivó el uso de la plataforma, por ejemplo, en un ensayo académico. Por otra parte, la plataforma Tome que permite crear presentaciones profesionales interesantes se limita a recordar que el contenido que pueda proporcionar la plataforma quedará siempre bajo su propiedad.Respecto a las posibles vulneraciones que puedan surgir contra la propiedad intelectual de terceros, es decir si los resultados vulneran tales derechos, las plataformas de IA dejan muy claro que en ningún caso se les podrá reclamar responsabilidad alguna. Por eso añaden en sus términos que respecto al contenido subido por el usuario no tienen obligación alguna de comprobar su legalidad ya que queda prohibido cualquier uso delictivo de sus servicios o que infrinjan derechos de terceros. En cuanto al contenido generado, todas estas plataformas usan una cláusula “as is” basis: lo creado por la IA y el usuario se da “tal cual”. Es decir, es el usuario quien tiene la obligación de comprobar que puede usar el nuevo contenido sin vulnerar la propiedad intelectual de nadie. Resumen tabla, propiedad y derechos de explotación. (Elaboración propia) Términos y condiciones de las empresas Propiedad de los inputs Propiedad de los outputs Derecho de explotación de los inputs Derecho de explotación de los outputs Open AI (ChatGPT) Usuario Usuario Si respuestas idénticas: nadie Usuario Usuario (con mención “hecho con ChatGPT”) Tome Usuario (impreciso) Usuario y empresa Usuario y empresa Midjourney Usuario Gratis: empresa Usuario Gratis: usuario (sólo distribución) y empresa Pro: usuario Pro: usuario y empresa (limitable) Runway Usuario Usuario Usuario Usuario y empresa EssayGenius Usuario Usuario Usuario Usuario (únicamente para un uso particular En resumen, la tendencia general respecto a los derechos sobre las creaciones asistidas por la IA parece ser, por un lado, dejar los derechos morales al usuario y, por otro lado, compartir los derechos de explotación. Llegados a este punto sería interesante ver qué entiende cada plataforma por compartir los derechos de explotación, ¿los de la agencia? cuando vende la Obra al anunciante (anuncio, diseños, textos, etc), o ¿los del anunciante? cuando comercializa tales Obras. Es, por lo tanto, el usuario quien tendrá que comprobar que puede usar el nuevo contenido sin vulnerar la propiedad intelectual de Ningún tercero. Y esto incluye propiedad intelectual generada por otras IIAA. Esta responsabilidad de “filtro” que incumbe al usuario tiene sentido cuando se trata de una creación forjada por su propia y exclusiva voluntad. Al contrario, hacerle responsable exclusivamente de la producción de una voluntad ajena puede resultar excesivo, Esta responsabilidad de “filtro” que incumbe al usuario tiene sentido cuando se trata de una creación forjada por su propia voluntad. Al contrario, hacerle 100% responsable de la producción de una voluntad ajena puede resultar cuestionable a nivel ético y legal, pero hacer corresponsables a las empresas de IA podría hacer inviables económicamente tales negocios, por el alto riesgo de conflictos e imprevisibilidad, pero claro, también en muchos casos estas empresas de IA quieren cobrar por los derechos de explotación. Es decir, las ganancias compartidas pero el riego para el usuario. Nos encontramos en los albores de este tipo de cooperación creativa máquina-ser humano que se irá regulando según la casuística. ¿Y qué dice la ley?La referencia principal es la regulación privada que cada una de las empresas de IA establecen con sus usuarios, tampoco la legislación en vigor ofrece muchas respuestas a la hora de saber qué pertenece a quién. Como se ha expuesto anteriormente, ninguna ley integra la producción intelectual asistida por IA. El marco actual queda escaso, pero la jurisprudencia nos ha ido aportando pistas que pueden servir como punto de partida.¿Y la jurisprudencia?En el ámbito español, la propiedad intelectual se rige por el Real Decreto Legislativo 1/1996 y que establece como objeto du su protección las “creaciones originales”. Dicho esto, no se sabe mucho más sobre lo que es una creación, y aún menos lo que se puede calificar como original. Lo puramente digital queda bastante abandonado en la lista de los tipos de Obras. En este ámbito, sólo las bases de datos quedan explícitamente protegidas por “la selección o disposición de sus contenidos” que constituyen una creación intelectual. La Audiencia Provincial de Navarra intentó aclarar lo que se podía entender por “creativo” y “original” para estimar si una producción será o no protegida por la propiedad intelectual. Da dos criterios para comprobar la originalidad: que no existía antes y que encierre la personalidad del autor . Sobre la creatividad, la Audiencia la equipara a un “esfuerzo intelectual” que permite pasar de la simple cosa a la “creación artística o intelectual” . Lo interesante en esta sentencia, es que la obra en cuestión se obtuvo por el empleo de un medio tecnológico (una cámara) y la existencia de derechos de autor no parece descansar en absoluto en la técnica usada para obtener el resultado. La jurisprudencia de la Corte de Justicia de la Unión va, de manera más simple, por el mismo camino. En un asunto de misma índole (otra fotografía), la CJUE descartó la relevancia de cualquier consideración del medio empleado por la persona para proteger una producción, bastando con que ésta “refleje su personalidad y exprese sus elecciones libres y creativas” . En definitiva, que apunte el objetivo y dispare. Si la cámara realiza una foto por si sola, por el motivo que sea, no se consideraría una Obra original al no haber intervención humana. Lo importante es que exista esa intervención humana aunque sea mínima, y esta idea puede quedar distorsionada en el caso de los asistentes de IA, porque la desproporción entre la intervención human y el resultado generado puede ser abismal. Así, si suponemos una producción intelectual generada con IA que no supone ninguna vulneración de derechos de autor preexistentes, se darían dos posibilidades. En la primera, se consideraría que la elección de los inputs por el individuo, la selección de los outputs y la manera de presentarlos, dejan ver el esfuerzo y la subjetividad del autor: la IA no sería más que un medio técnico y el humano será el único detentor de la propiedad intelectual. En la segunda, el resultado final se debería casi únicamente al algoritmo que encierra la IA sin que el individuo pueda reivindicar nada más que haberle dado una información mínima para que pueda funcionar: en este caso, la producción podrá tener un propietario que quedará por definir, pero no se podrá regular por la propiedad intelectual tal y como la entendemos actualmente, porque el resultado del algoritmo se ha alimentado de las aportaciones previas de miles o millones de usuarios. Conclusiones. Se podría extrapolar más y más de las leyes y sentencias existentes, pero serán solamente hipótesis. Hace falta una regulación al respecto, porque si la actual puede suplir un tiempo la ausencia de una más específica, el desarrollo rápido de IA va a crear cada vez más zonas legales grises y muchas controversias. La idea de dar personalidad a la IA no parece ser, de momento, la de Parlamento Europeo. Además, sería reconocer, si no inteligencia de algo no-humano en el sentido propio y definitorio del género humano, si una capacidad creativa, que todavía no estamos preparados para asumir . De cualquier forma, el Parlamento europeo apuesta por una regulación comunitaria del asunto que remitiría a un autor la propiedad de cada obra , lo que se entiende por autor bajo la normativa actual, pero la cuestión de fondo seguiría sin resolverse, si las leyes de propiedad intelectual del s.XX sirven para la IA del s. XXI. Aunque la regulación específica de la materia es deseable, tampoco supondrá el final de los conflictos al respecto por la dimensión internacional del mundo de la IA. En cada una de las páginas web de las empresas mencionadas, los Términos y Condiciones establecen claramente que cualquier conflicto relativo al uso de las IA se tendrá que resolver por arbitraje y, si no fructifica, por los tribunales del estado donde queda la sede de la empresa, en general, California. Entonces, por lo más que se quiera regular regionalmente la producción intelectual asistida por la IA, su presencia y la del usuario en sistemas legales diferentes desembocará en más dudas sobre dónde y con qué ley se deberán resolver los conflictos. Una verdadera respuesta sería la de un nuevo acuerdo internacional impulsado por la Organización Mundial de la Propiedad Intelectual para establecer unas reglas básicas de la co-creación con IA sin desincentivarla. Pero para ello, queda todavía un largo camino. En este artículo se ha pretendido aportar unas pautas generales para entender la lógica legal en este tipo de sistemas de creación asistida por IA. La información que aporta el usuario (input), el resultad del sistema (output), y el régimen de responsabilidad, que por lo general, recae sobre el usuario. Es por ello, que en el próximo artículo trataremos una serie de consejos prácticos legales a la hora de utilizar estos sistemas de IA en el diseño de campañas.  Riestra Abogados 2023

Smart contracts. Tecnología blockchain.

El origen: la tecnología blockchainAntes de empezar a hablar de smart contracts (contratos inteligentes) y de la oportunidad que suponen para los negocios del siglo XXI, cabe explicar la tecnología sobre la cual se basan: la blockchain (cadena de bloque). De manera simplificada, una blockchain es un registro de datos (bloques) compartido entre diferentes usuarios de una misma red (nodos). Como cualquier registro físico se puede modificar, con la diferencia de que se hace de manera simultánea para los usuarios sin entidad centralizadora; es decir, se trata de un sistema descentralizado. En una blockchain, los usuarios autorizados comparten un acceso directo a este registro para crear, modificar y ver aquellos datos. Cualquier acción sobre ellos se queda almacenado como “bloque” que viene añadirse de manera irreversible a la cadena formada por todas las acciones pasadas. Por lo tanto, la tecnología blockchain presenta una serie de beneficios relevantes por perseguir un fin esencial a los negocios: la confianza. Por ejemplo, a través de una red blockchain se podría dar fe de compraventas inmobiliarias con la misma garantía que un notario, ya que éstas quedarían registradas en la red impidiendo la intervención de cualquier tercero en la modificación del registro. Lo mismo implicaría para atestiguar cualquier derecho de propiedad ya que ese registro es inmutable. Las partes otorgadas, por lo tanto, gozan de igualdad absoluta con los mismos derechos de acceso y modificación directos sin tener que acudir a una autoridad centralizadora. Cada nuevo bloque creado se hace de manera pública y para integrarse a la cadena tiene que validarse por el resto de las partes; si no lo aceptan, el intento queda registrado como tal pero no el acto. Si las partes aceptan este nuevo bloque, se integra automáticamente a la cadena, lo cual constará en el registro compartido de cada uno. No existe marcha atrás. Cualquier modificación, adición o supresión de información es transparente y queda registrada como una información en sí misma. Hay que pensarlo como un libro cuyas páginas no se podrían separar: si a su autor le disgusta un capítulo ya escrito, sólo podrá indicar a sus coautores que decidió seguir la narración posterior sin tomarlo en cuenta, pero no arrancar las páginas correspondientes. De ahí la seguridad que genera este tipo de tecnología: aunque uno lograse modificar unilateralmente la blockchain, la desaparición de unos eslabones haría visible la manipulación por la falta de continuidad en la cadena. Esta tecnología abre la posibilidad a un amplio panorama de oportunidades, como en nuestro caso, los smart contracts. Ventajas de los smarts contractsSeguridad en el cumplimiento de los acuerdos porque actúa de forma automática. Rapidez en la ejecución del contrato, porque, por ejemplo, el pago es automático. Reducción de costes, ya que evita, si está bien articulado, demandas por falta de interpretación del contrato. Los smart contracts usan esta tecnología para limitar las discrepancias que puedan surgir en la ejecución de un contrato. Las partes se ponen de acuerdo sobre cada aspecto de un contrato que tomará la forma de un código informático negociado, aceptado por todos y subido a una red blockchain. Este código es inmutable y encierra cada cláusula pactada siguiendo un modelo de condiciones encadenadas “si/entonces” cuya ejecución se hace mediante la tecnología blockchain. Es decir, la partes prevén una serie de acontecimientos y “si/entonces” se producen se desencadenan una serie de consecuencias. La mecánica es la misma que la actual a la hora de redactar un contrato, prever casuística y regularla. Sin embargo, en el smart contract, el efecto es la automatización de la ejecución del contrato: si se integra al registro las informaciones necesarias al cumplimiento de una cláusula, el programa activará directamente las consecuencias correspondientes previamente establecidas. Tanto la información subida como el resultado generado por el código se unen a la cadena como nuevos bloques, impidiendo el retroceso. Las transacciones son públicas, pero su inicio se puede reservar a algunos usuarios mediante un sistema de clave publica/privada para asegurar la legitimidad de la acción. La clave privada permite al usuario crear un bloque de datos (como por ejemplo la recepción de la mercancía, estado de la misma, número de productos, etc.) y poner su “firma” cuya autenticidad se comprueba con la clave publica comunicada a todos.A priori, el ámbito de aplicación del smart contract es el mismo que un contrato normal; sin embargo, su utilidad se destaca más en algunos sectores. La internacionalización del sector financiero y bancario cuya regulación impone comprobar el origen de los movimientos de capitales puede automatizarse, bajando el coste de las transacciones y su control. Para una aseguradora, crear una red con su asegurado permite la recopilación de los datos y los informes periciales sobre un siniestro para automatizar el pago de la indemnización. En la logística, la tecnología blockchain permite el seguimiento transparente de los productos garantizando su trazabilidad total desde la producción hasta la entrega. Respecto a este ejemplo, se puede imaginar una cadena de suministro de alimentos desde el productor hasta el supermercado que lo recibe. Es decir, desde el momento que se compran las semillas y el material agrícola necesario para su producción, hasta la recolección, tratamiento, elaboración, distribución, y compra del producto por el propio consumidor, todo ello queda perfectamente trazado, teniendo conocimiento a través de la cadena de bloques de cómo se ha producido, por quién, dónde, quién lo ha distribuido, cómo y dónde. Por ejemplo, los supermercados subirían su pedido a la blockchain que sería automáticamente comunicado a los proveedores. Una vez entregado a los transportistas, el GPS informaría de la ubicación en tiempo real de los productos, pero también del respeto de la cadena del frío mediante la toma automática de temperatura. Si no se cumple este requisito higiénico, los supermercados estarían inmediatamente informados de cuáles son las mercancías afectadas y se otorgaría la indemnización correspondiente mediante las cláusulas previstas en el smart contract. Ejecuciones automáticas. Lo mismo pasa con los periodos pactados de entrega. Si las fecha y hora subidas por el transportista cumplen con el plazo preestablecido en el código, se otorgará automáticamente la transferencia bancaria del pago desde la cuenta del supermercado. En caso de demora, el código la detectaría y ejecutaría una cláusula de indemnización, si esta existiese.En teoría, cualquiera puede crear un smart contract siempre que tenga los conocimientos informáticos necesarios en programación, aunque ya existen aquellos que ofrecen tal posibilidad sin ser un experto técnico. Se desarrollan en plataformas de libre acceso que permiten la ejecución de blockchain. El más usado es Ethereum, pero se pueden citar también Hyperledger, Polkadot o Tron. Viendo las competencias necesarias para manejar la blockchain algunas empresas, como Santander con la ayuda de la plataforma we.trade (IBM blockchain) , desarrollaron un servicio de smart contracts para empresas. Futuro y límitesA pesar de esos numerosos usos que se pueden dar (y que ya se dan) a los smart contracts, los legisladores español y europeo apenas empiezan a interesarse. Por el momento, no existe una normativa nacional para los smart contracts; tampoco una lex cryptographia comunitaria o internacional cuyo ámbito de aplicación sería más adecuado a las características del comercio actual. De ahí el statu quo jurídico en el cual se encuentran hoy en día los smart contracts. Siguen rigiéndose por el Código Civil y la legislación comunitaria que desvinculan la obligatoriedad del contrato de su forma (siempre que se respeten los criterios de validez) y permiten su celebración a distancia.El principal problema del smart contract deriva de su mayor ventaja: la seguridad, al encerrar el contrato dentro de un código inmutable, Por un lado, se tiene que prever la totalidad de lo que podría ocurrir, de los distintos escenarios, y la respuesta que se tendría que dar, puesto que la modificación a posteriori del código es imposible. Entonces, no queda margen de maniobra en caso de cambio legislativo, o de cualquier otro evento que haría necesario la modificación del contrato y aunque todas las partes estén de acuerdo. El principio rebus sic stantibus no se puede ni concebir en una red blockchain. Por otro lado, un código informático no entiende que las partes puedan renegociar algunos aspectos con mayor o menor flexibilidad dependiendo de la confianza que tienen entre ellas (algo corriente en el trato con proveedores habituales). El contrato se cumple tal y como se había previsto, o no se cumple: no contempla la adaptabilidad que puedan necesitar las relaciones comerciales. El diseño del código impide cualquier estipulación que no tome la forma “si/entonces”. No es tanto que este tipo de contrato elimine la conflictividad por su absoluta previsibilidad, sino que excluye cualquier tipo de cláusula más subjetiva. Como toda tecnología emergente tendrá que consolidarse a través de un saber hacer. La Comisión Europea en 2019 pidió al Observatorio Europeo de Blockchain un informe para aclarar los retos de esta nueva tecnología y el papel que podría tener la Unión Europea en su desarrollo y regulación. Destacó varios problemas legales, casi todos en relación con la responsabilidad. Para comunicar con el mundo off-line, la blockchain on-line necesita un programa capaz de intercambiar la información: llamado el “oráculo”. ¿Cómo se elige? Y, sobre todo, ¿quién se responsabiliza en caso de error informático? Lo mismo pasa con el código en sí, ¿sobre quién recaen las consecuencias de un bug imprevisto? Tampoco se sabe muy bien si hay que considerar el programa automático de ejecución como parte o representante. Además, se identificaron riesgos de vulneración de los derechos digitales contenidos en el Reglamento General de Protección de Datos (RGPD). Por una parte, la encriptación que protege el acceso a la blockchain o incluso anonimiza sus usuarios impide identificar precisamente quién controla los datos que circulan en la red. Por otra parte, la inmutabilidad de los bloques que encierran los datos neutraliza el derecho de cada uno al olvido. Como era de esperar, las conclusiones del Observatorio descartan la regulación por cada país, prefiriendo la creación de un marco legal europeo más eficiente. Sin proponer uno en concreto, deja claro que aquel statu quo no puede permanecer y que, al menos, se tiene que reformar la legislación vigente en materia de contratos y obligaciones. Aconseja priorizar la regulación de los sectores en los cuales la blockchain está bien implementada y cuyo uso pueda suponer un riesgo para los intereses europeos: en concreto, el sector financiero y el control de las transacciones. En los demás casos, la legislación en vigor es suficiente para amparar el uso todavía limitado de los smart contracts, pese a la necesidad de construir un marco legal adecuado. Invita a observar cómo se desarrollan las prácticas en cada sector para no incurrir en una regulación precipitada que cortaría de raíz el uso de esta tecnología prometedora.Cómo aplica a una agencia de publicidad De cara al Cliente, lo más importante es recibir el pago en tiempo y forma, y no a discreción de aquel, aunque exista la obligación del pago a 60 días. Es decir, la Agencia debería cobrar de forma automática según se vayan ejecutando las fases de un proyecto. Y las fases se van aprobando a través de la cadena de blockchain. Gran parte de los conflictos entre Agencia y Cliente provienen, o bien de la falta de contrato, ya que operaba, en el mejor de los casos con una orden de compra, o que no quedaban suficientemente acreditadas las aceptaciones de las entregas. La Agencia dentro de este nuevo marco debería empezar a plantear sus propios smart contracts y prever la casuística. En cualquier caso, este tipo de contratos son mucho más simples que los que necesita el Cliente, ya que como decíamos para la Agencia lo importante es tener garantizado el pago, la duración del contrato y acotados los derechos de propiedad intelectual que se ceden. De cara a sus proveedores la Agencia tiene que fijar más la atención principalmente en la aprobación de las fases de los proyectos, calendario de entregas, y cesión de derechos de propiedad intelectual. Es imprescindible estar coordinados con las necesidades del Cliente, y las agencias son conscientes de ello, porque los cambios de opinión del Cliente o sus decesiones repentinas cargan de obligaciones a la Agencia con respecto a sus proveedores, por eso, y en la medida que la Agencia lo considere conveniente por el tipo de proyecto sería muy útil que las tres partes, Cliente, Agencia, Proveedor, formaran parte conjunta en un smart contract. ConclusionesLos smart contracts son sin duda otra aplicación derivada del blockchain con enormes oportunidades. Estamos entrando en una nueva etapa de automatización, y las obligaciones contractuales, como eje vertebrador de nuestra relaciones socio económicas, no podían ser ajenas a la misma, porque la ralentización, las demoras derivadas de nuestros sistemas burocráticos, el colapso y saturación de muchos organismos públicos, que dependen de la intervención humana para validar procesos se podrán realizar de forma automática, y no tener, por ejemplo, que esperar meses o años en cobrar una indemnización. En definitiva, se trata de automatización, y eso significa, rapidez, ahorro, seguridad, transparencia y eficacia.Riestra Abogados 2023Campus Blockchain, ¿Qué son los Smart Contracts? ¿Para qué sirven? [https://www.campusblockchain.es/que-son-los-smart-contracts-para-que-sirven]LÓPEZ RODRÍGUEZ, Ana Mercedes. “Ley aplicable a los smart contracts y Lex Cryptographia” en Cuadernos de Derecho Transnacional, vol.13, nº1, marzo 2021, pp.441-442 [https://doi.org/10.20318/cdt.2021.5966]FETSYAK, Ihor. “Contratos inteligentes: análisis jurídico desde el marco legal español” en REDUR, nº18, diciembre 2020, pp.202-203 [https://doi.org/10.18172/redur.4898]Ana Mercedes LÓPEZ RODRÍGUEZ, “Ley aplicable a los smart contracts y Lex Cryptographia” en Cuadernos de Derecho Transnacional, vol.13, nº1, Marzo 2021, p.446 [https://doi.org/10.20318/cdt.2021.5966]Real Decreto de 24 de julio de 1889 por el que se publica el Código Civil, última actualización publicada el 06/03/2022, Artículo 1278 [https://www.boe.es/eli/es/rd/1889/07/24/(1)/con]Ibid. Artículo 1262THE EUROPEAN UNION BLOCKCHAIN OBSERVATORY AND FORUM. Informe temático iniciado por la Comisión Europea, “Legal and regulatory framework of blockchains and smart contracts”, 27 de septiembre 2019 [https://www.eublockchainforum.eu/sites/default/files/reports/report_legal_v1.0.pdf?width=1024&height=800&iframe=true]Ibid. pp.23-25Ibid. pp.33-35Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia. https://www.boe.es/buscar/act.php?id=BOE-A-1996-8930 SAP Navarra, nº201/2014, FJ 2Ibid. FJ 4CJEU, 1 December 2011, C-145/10, Painer. Ruling §2Ley 17/2001, de 7 de diciembre, de Marcas. Artículo 6. Marcas anteriores. 1. No podrán registrarse como marcas los signos: a) Que sean idénticos a una marca anterior que designe productos o servicios idénticos. b) Que, por ser idénticos o semejantes a una marca anterior y por ser idénticos o similares los productos o servicios que designan, exista un riesgo de confusión en el público; el riesgo de confusión incluye el riesgo de asociación con la marca anterior.Italia bloquea el uso de ChatGPT por incumplir la normativa de protección de datos. https://elpais.com/tecnologia/2023-03-31/italia-bloquea-el-uso-de-chatgpt-por-incumplir-la-normativa-de-proteccion-de-datos.html Ley Orgánica 1/1982, de 5 de mayo. Artículo séptimo. Tendrán la consideración de intromisiones ilegítimas en el ámbito de protección delimitado por el artículo segundo de esta Ley: Artículo 7.6. La utilización del nombre, de la voz o de la imagen de una persona para fines publicitarios, comerciales o de naturaleza análoga

Recomendaciones legales en el uso IA en campañas publicitarias

Comentábamos en nuestro artículo anterior, “¿a quién pertenece la creación con IA?”, que el uso de este tipo plataformas de IA no estaba exenta de riesgos. Nadie duda de su potencial y del gran abanico de oportunidades, pero tras el análisis que realizamos de algunas de estas plataformas como ChatGPT, Tome, Midjourney, Runway, EssayGenius, la primera conclusión, común a todas ellas, es que la responsabilidad de los contenidos generados es exclusivamente del usuario, es decir, de quien maneja e introduce los datos (inputs), y en ningún caso de la plataforma, independientemente de la opinión que pueda tener este despacho sobre este tipo de cláusulas maximalistas. En cualquier caso, lo que nos preocupa y ocupa en este momento, es que una campaña de marketing y publicidad puede verse afectada, con graves consecuencias económicas y legales, si no se toman en cuenta una serie de precauciones básicas. No olvidemos que, si la campaña la diseña una agencia de publicidad, el cliente entiende que lo que se le presenta está acorde a derecho, porque de lo contrario será la agencia quien asuma la responsabilidad de la misma. Ninguna agencia desea que le retiren una campaña, asuma los gastos, pague las indemnizaciones que correspondieran, y de paso, pierda al cliente. Veamos una serie de ejemplos con chat GPT, siendo indiferente si es la agencia o directamente el cliente quien diseñe la campaña. Pedimos a chat GPT, algo sencillo, sin más detalles: Usuario: “Dame un claim para una campaña de publicidad de una hamburguesa de carne y queso”. ChatGPT: "La hamburguesa que te hace derretir de placer: deliciosa carne jugosa con el queso más cremoso, ¡pruébala ahora!"Usuario: “más corto”. ChatGPT: "La mejor hamburguesa con queso, ¡saborea el sabor!"Usuario: “dame más claims parecidos a ¡saborea el sabor!" Claro, aquí te van algunos ejemplos:- "El sabor que te hace decir 'mmm' en cada mordisco".- "La explosión de sabor que estabas buscando".- "El sabor auténtico que te transporta al paraíso".- "Sabor inigualable que te dejará con ganas de más".- "El sabor que nunca olvidarás".Usuario: “que el claim vaya a un público joven”. ¡Perfecto! Aquí van algunas opciones de claims para un público joven:- "Despierta tus sentidos con el sabor audaz de nuestra hamburguesa de queso".- "La hamburguesa más divertida que jamás hayas probado".- "La hamburguesa que enciende tu pasión por el sabor".- "La hamburguesa con queso que te da el poder de disfrutar".- "Descubre el sabor vibrante de nuestra hamburguesa con queso".Ahora le pedimos ideas para una campaña de automoción: Usuario: “Dame un claim para una campaña de publicidad de un vehículo para gente joven que se siente libre y viajera”,ChatGPT: "Explora el mundo a tu manera con nuestro vehículo: el compañero perfecto para tus aventuras llenas de libertad y emoción".ChatGPT: "La libertad no tiene límites cuando estás al volante de nuestro vehículo: aventúrate en cada camino y descubre tu espíritu viajero".Vemos que con un nulo esfuerzo intelectual tenemos una propuesta de eslóganes como: "La hamburguesa que te hace derretir de placer”, ¡saborea el sabor!", "El sabor que te hace decir 'mmm' en cada mordisco", "el sabor auténtico que te transporta al paraíso”, "sabor inigualable que te dejará con ganas de más", "el sabor que nunca olvidarás", "despierta tus sentidos”, "la hamburguesa más divertida”, "la hamburguesa que enciende tu pasión por el sabor", "la hamburguesa que te da el poder", y en automoción, “explora el mundo a tu manera con nuestro vehículo”, “el compañero perfecto para tus aventuras llenas de libertad y emoción", "la libertad no tiene límites cuando estás al volante de nuestro vehículo”, “aventúrate en cada camino y descubre tu espíritu viajero".En estos resultados, ¿dónde está la autoría del usuario?, ¿en el hecho de preguntar “Dame un claim para una campaña de publicidad de una hamburguesa de carne y queso”?, ¿dónde está la creatividad?, ¿la originalidad?, ¿la personalidad del autor?, ¿el esfuerzo intelectual? Recordemos, lo que ya adelantamos en nuestro artículo citado, que en nuestro ámbito jurídico la propiedad intelectual se rige por el Real Decreto Legislativo 1/1996 y que establece como objeto du su protección las “creaciones originales”. Dicho esto, no se sabe mucho más sobre lo que es una creación, y aún menos lo que se puede calificar como original. La Audiencia Provincial de Navarra intentó aclarar lo que se podía entender por “creativo” y “original” para estimar si una producción será o no protegida por la propiedad intelectual. Daba dos criterios para comprobar la originalidad: que no existía antes y que encierre la personalidad del autor. Sobre la creatividad, la Audiencia la equipara a un “esfuerzo intelectual” que permite pasar de la simple cosa a la “creación artística o intelectual”. La jurisprudencia de la Corte de Justicia de la Unión va, de manera más simple, por el mismo camino. La CJUE descartó la relevancia de cualquier consideración del medio empleado por la persona para proteger una producción, bastando con que ésta “refleje su personalidad y exprese sus elecciones libres y creativas”. Lo importante es que exista esa intervención humana, aunque sea mínima, pero esta idea puede quedar distorsionada en los ejemplos que hemos expuesto. En cualquier caso, este debate poco le importa al departamento de marketing y publicidad que son quienes diseñan las campañas. Estos lo que quieren, y con toda razón, es utilizar IA generativa para sus campañas con el menor riesgo. Es por ello que la tendencia de uso de estas plataformas de IA generativa como ChatGPT serán generalizadas.Le preguntamos a ésta última: Usuario: ¿puedes dar el mismo resultado a varios usuarios?ChatGPT: “Como modelo de lenguaje, mi respuesta a una pregunta específica puede ser la misma para varios usuarios, siempre y cuando la pregunta sea la misma y se proporcione la misma entrada de texto. Sin embargo, es posible que las respuestas varíen ligeramente debido a la aleatoriedad inherente en la generación de lenguaje natural en modelos como el mío. Además, mis respuestas pueden depender del contexto y de la información previa que tenga sobre un usuario específico, como su idioma o sus intereses”.El sistema reconoce que pueden coincidir resultados aunque creemos que las probabilidades de que existan coincidencias entre usuarios se irán reduciendo cuanta mayor intervención intelectual del usuario exista afinando los resultados. En cualquier caso, el riesgo de una plataforma de uso masivo existe. Las coincidencias pueden darse. Por ello, la plataforma de IA Midjourney, que crea imágenes nuevas con una breve descripción, monetiza el riesgo. Si, se dispone de la cuenta “Pro” y suscribió a la opción “Stealth”, Midjourney se comprometerá a autolimitarse en la distribución del resultado para evitar coincidencias con terceros. Una pista de cómo puede evolucionar este modelo de negocio. Mostraremos a continuación una serie de consejos legales básicos que debemos tener en cuenta a la hora de diseñar campañas publicitarias con IA generativa. Consejos: Propiedad Industrial. Una vez tengamos el listado de eslóganes seleccionados deberemos hacer una búsqueda de nombres o marcas comerciales iguales o similares. Nos podemos encontrar que ya esté registrada la denominación que queremos utilizar, y recordemos que no hace falta que sea exactamente igual para infringir los derechos de propiedad industrial de un tercero. Esta es una tarea que normalmente venimos realizando los departamentos legales en el desarrollo de campañas. Hay que tener en cuenta que un error en este sentido, te obliga a retirar la campaña y asumir la indemnización por daños y perjuicios que pudieran corresponder. Lo ideal, y siempre lo repetimos, para estar 100% cubiertos es solicitar el registro del claim que nos interese y no utilizarlo hasta que tengamos su concesión por parte de la Oficina de Registro, pero en la práctica parece ilusorio, por la velocidad y los tiempos de las campañas publicitarias. Recomendamos, por lo menos chequear si en el momento del lanzamiento de la campaña no hay nada que pueda generar conflicto. Propiedad Industrial. Cuando le pedimos resultados a la plataforma de IA, cuidado con hacer alusiones a marca de terceros del tipo, “dame un claim para una campaña de publicidad al estilo [marca comercial renombrada]”, porque nos puede dar resultados parecidos a marcas ya registradas de esa marca comercial renombrada. Hay que tenerlo en cuenta. Propiedad intelectual. Esta cuestión la veremos en próximos artículos porque se trata de un apartado muy controvertido. Lo importante cuando estamos diseñando campañas de publicidad con IA generativa es que nuestro resultado no coincida con el de un tercero por lo que no estaría de más dejar de alguna manera documentado el proceso de creación del resultado en la plataforma de IA. Al menos trataríamos de demostrar que no ha existido plagio si las dos campañas coinciden en el tiempo. Protección de datos personales. Especial atención con los datos personales aportados a la plataforma de IA. Recordemos que muchas de estas plataformas están en el punto de mira de entidades europeas de protección de datos, debido a que sus sedes están en E.E.U.U y no hay información acerca del tratamiento de esos datos personales. Las multas por el RGPD pueden ser importantes. Nunca en ningún caso deben introducirse bases de datos de carácter personal. Información confidencial. Tener en cuenta que la información que aportemos a la plataforma de IA para afinar el logaritmo puede estar clasificada como confidencial. Por ejemplo, un cliente solicita a una agencia una propuesta para una campaña. Ambos firman un acuerdo de confidencialidad (NDA) donde el cliente transmite información sensible a la agencia. Supongamos que la agencia se ayuda de una plataforma de IA y carga en ésta parte de esa información que le ha presentado el cliente. Estaríamos ante una vulneración del deber de confidencialidad dado que este tercero (la plataforma de IA) no tiene un deber de confidencialidad con la agencia, y más teniendo en cuenta que esa información se quedará en el sistema para seguir mejorando el algoritmo. Derechos de imagen. Si utilizamos los resultados donde aparece el nombre o la alusión muy evidente a un personaje público seguramente estaremos infringiendo sus derechos de imagen. Revisar los términos y condiciones de la plataforma de IA, porque irán cambiando paulatinamente, y donde los derechos antes eran del usuario, en una actualización de términos y condiciones, nos podemos encontrar que pueden ser compartidos cuando exista un fin comercial. La IA generativa es sin duda una herramienta imprevisible, aunque intuimos su gran potencial, es como cuando a finales de los noventa se intuía del gran potencial de Internet, pero nadie era consciente de lo que vendría después con las redes sociales. En el corto plazo, habrán muchos conflictos legales debido al choque de una legislación que no encaja y se contradice con una nueva mentalidad basada en la IA. En cualquier caso, nuestra obligación es aconsejar a nuestros clientes para que no infrinjan las normas actuales o al menos sean conscientes de ello. Riestra Abogados. 2023

La responsabilidad legal de la agencia frente a su cliente.

Riestra Abogados. ¿Conoce la agencia todas las implicaciones legales de las acciones que plantea a su cliente? El cliente así lo espera. En la concepción misma de la idea hay que tener claras las implicaciones legales. Un error legal en la campaña, además de perder la cuenta, hay que asumir responsabilidad por la sanción impuesta, hacer frente a demandas o asumir el gasto de retirar la campaña. ¿Utiliza bases de datos de su cliente? Si es así, según el art. 12 de la Ley Orgánica de Protección de Datos (LOPD) es obligatorio tener firmado un contrato de tratamiento de datos personales. Pero lo más importante para una agencia, es si a la vez subcontratamos a terceros proveedores la campaña, necesitamos previamente la autorización de nuestro cliente, debiendo firmar otro contrato de tratamiento de datos con ese proveedor. Recordemos que según la LOPD una cesión de datos sin consentimiento puede suponer una sanción entre 40.000 € y 300.000 €. ¿Utiliza imágenes de bancos de imagen? El cliente tiene que estar informado del alcance de la licencia de las imágenes que utiliza, tanto en el ámbito territorial, duración y usos previstos, de lo contrario la agencia podría asumir responsabilidad y tener que sufragar los importes necesarios para cubrir la licencia, y puede tratarse de importantes sumas. Para evitarlo, entender las condiciones de las licencias que se adquieren, y comunicárselo por escrito al cliente. ¿Contrata servicios de producción audiovisual con terceros? Lo mismo que en el párrafo anterior, hay que definir con el cliente el alcance de la producción, y reflejarlo en un contrato de producción audiovisual y de cesión de derechos de propiedad intelectual. Si se contratan actores, lo mismo con la cesión de sus derechos de imagen. ¿Encarga desarrollos de software? En este apartado es muy importante dejar claro a quién pertenece el código fuente. Sin él, de nada sirve un software que nos están desarrollando a la medida. Pero tan importante es dejarlo previsto en el contrato como la forma práctica que te lo entreguen, porque de poco me sirve si el proveedor está, por ejemplo, en Argentina o en India. ¿Está desarrollando un web site a su cliente?Hay dos cuestiones importantes que merecen destacarse: (i) Si utilizamos OPEN SOURCE en la programación leer bien las condiciones de uso, porque muchas veces lo limitan para usos comerciales (como sería el caso del web site de nuestro cliente), y este contrato muchas veces se rige por las leyes de USA, y allí se están está pagando como indemnización 50.000 dólares por cada página usada de open source sin la licencia correspondientes, es decir multiplica las páginas del web site por 50.000 dólares. (ii) El cliente es quien tiene que aportar los textos legales de su política de protección de datos en el web site. Si el cliente se lo pide a la agencia ésta deberá contar con asesoramiento legal, las consecuencias del copiar-pegar pueden ser nefastas. Formas de Publicidad y Protección de Datos.Riestra Abogados. Reglamento (UE) 2016/679Definiciones .Regulación básica. Comunicaciones comerciales y protección de datos.Aspectos relevantes sobre la publicidad por vía telefónica.Aspectos relevantes sobre la publicidad por vía electrónica.Marketing viral.El anonimato en internet.Las cookies.Publicidad online.Los nuevos medios de publicidad online, personalizados y basados en la identificación del usuario, ha supuesto que la normativa de protección de datos se actualice, como por ejemplo con el Nuevo Reglamento Europeo de Protección de Datos 2016/679, que en su artículo 7 establece las condiciones para el consentimiento de la siguiente manera:Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.”El presente artículo, trata de aportar una visión general de las modalidades de publicidad y su implicación en la protección de datos personales. Definiciones Hemos de tener presentes dos definiciones que serán las piedras angulares a lo largo del presente artículo.a. Se entiende por publicidad: “toda forma de comunicación realizada por una persona física o jurídica, pública o privada, en el ejercicio de una actividad comercial, industrial, artesanal o profesional con el fin de promover de forma directa o indirecta la contratación de bienes muebles o inmuebles, servicios, derechos y obligaciones.” (Art. 2 Ley 34/1988, 11 de noviembre, General de Publicidad)b. Comunicación comercial: “toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.” (Anexo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico)Es interesante destacar de la definición de publicidad la alusión “con el fin de promover de forma directa o indirecta la contratación de bienes muebles o inmuebles, servicios…”, así como de Comunicación comercial, “toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios…”. Es decir el término indirecto, prácticamente cubre toda forma de publicidad y comunicación comercial que podamos pensar que no está dentro del ámbito de la regulación, porque la simple comunicación de una marca estará dentro de la definición de publicidad o comunicación comercial, salvo que demostremos lo contrario. Por ejemplo, el envío de un correo electrónico solicitando a un cliente que se de alta en nuestro newsletter, es una comunicación comercial, y, salvo que tengamos su consentimiento, no se puede enviar. Regulación básicaCuando una empresa decide lanzar al mercado un nuevo producto y/o servicio, lleva implícito la toma de decisiones respecto a qué tipo de publicidad es la más adecuada para la acción que pretenden llevar a cabo y, para ello es preciso conocer si dicha publicidad lleva asociado tratamiento de datos personales o no, pues de ello dependerá que en el supuesto de recabar datos de carácter personal, se tengan que establecer diferentes medidas de seguridad para proteger los derechos de los usuarios.¿Qué tipo de publicidad implica tratamiento de protección de datos?La Publicidad a través de la televisión NO implica tratamiento de protección de datos:Si una empresa decide dar a conocer sus productos, promociones, etc a través de la TV, dicha publicidad no implicará la recabación directa de datos personales de los usuarios pues a través de dicho medio no es posible el feedback, entendido éste como la posibilidad de crear una base de datos personales, con el usuario o consumidor. Por tanto, la normativa básica que regulará dicha publicidad es: o Ley 7/2010, de 31 de marzo, General de la Comunicación Audiovisual.o Ley 34/1988, de 11 de noviembre, General de Publicidad.o Ley 3/1991, de 10 de enero, de Competencia Desleal.o Normativa sectorial.En cualquier caso, no olvidemos que si se trata de un concurso o sorteo televiso hay obligación de informar sobre el tratamiento de los datos, además del coste de la llamada y las características del servicio, entre otras obligaciones (art. 18 Orden PRE/361/2002, de 14 de febrero, de desarrollo, en lo relativo a los derechos de los usuarios y a los servicios de tarificación adicional, del título IV del Real Decreto 1736/1998, de 31 de julio, por el que se aprueba el Reglamento por el que se desarrolla el Título III de la Ley General de Telecomunicaciones; en connivencia con el art. 20 Ley General para la defensa de Consumidores y Usuarios). La publicidad a través del teléfono SÍ implica tratamiento datos personales:¿Cuántas veces no hemos recibido una llamada para ofrecernos un producto? Pues bien, en esas situaciones en las que la llamada es grabada, y te piden determinados datos como: nombre, apellidos, correo electrónico… se está procediendo a la recabación de datos de carácter personal y, se tendrá que tener en consideración la normativa de protección de datos al respecto. Por tanto, la normativa de referencia en estos casos es:o Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias. o Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal y su normativa de desarrollo.o Reglamento General de Protección de Datos 2016/679.La publicidad a través de vía electrónica o por medio de los servicios de la sociedad de la información SÍ implica tratamiento de datos personales:Con este tipo de publicidad, nos referimos a la transmitida a través de las páginas web, correos electrónicos, sms, etc. Por ejemplo, cuando se realiza la publicidad a través de páginas web (banners, pop ups, etc.) estamos utilizando la IP del usuario para a través de la misma colocar unas cookies que nos ayudan a generar una publicidad más certera y adecuada a las necesidades del usuario; por tanto, estamos tratando datos personales puesto que la IP del ordenador también es considerada un dato de carácter personal porque a través de ella podemos identificar al usuario de dicho terminal. La normativa que debemos tener en consideración es:o Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y comercio electrónico.o Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal y su normativa de desarrollo.o Reglamento General de Protección de Datos 2016/679.Comunicaciones comerciales y protección de datosa. ¿Qué hacer de forma previa al envío de comunicaciones comerciales?De forma previa a la realización de cualquier envío de comunicaciones comerciales, debemos prestar atención a los siguientes aspectos:Si no son clientes nuestros: - Ficheros comunes de exclusión de envío de comunicaciones comerciales (art. 49.4 RLOPD); estos ficheros también son conocidos como Lista ROBINSON. Actualmente, la llamada Lista Robinson de la Asociación Española de Economía Digital es el único fichero de exclusión existente en España.- Toda persona física inscrita en esta lista, manifiesta su oposición al envío de comunicaciones comerciales por medios digitales. Es decir, todas aquellas empresas que pretendan realizar envíos de comunicaciones comerciales deben consultar de forma previa esta lista, para excluir de sus envíos a todos aquellos usuarios que consten en sus bases de datos y se encuentren inscritos en dicha lista. En cualquier caso, recordemos que no podemos enviar comunicaciones comerciales por vía electrónica sin consentimiento expreso de los usuarios. Si son nuestros clientes: - Revisión de la lista de exclusión propia. Es decir, el listado relativo a la base de datos de la empresa en cuestión y que hayan manifestado su oposición al tratamiento de datos. A aquellos usuarios que consten en esa lista, se les deberá excluir del envío de comunicaciones comerciales; no obstante se permite conservar los datos realmente imprescindibles para identificar a dicho usuario y no mandarle información comercial.- También debemos verificar que se ha facilitado al usuario el derecho de oposición a recibir comunicaciones comerciales o, se ha recabado el consentimiento expreso para enviar comunicaciones comerciales (art. 15 Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos).b. Tras el envío- Tras el envío de las comunicaciones comerciales la empresa debe llevar un control de las solicitudes de oposición recibidas y proceder a la baja de dichos datos. Se debe ser diligente en cuanto a la gestión de los derechos ARCO y la elaboración y diseño de un procedimiento sencillo y gratuito para el ejercicio de los mismos y, cumplir taxativamente con la normativa manteniendo de esta manera un fichero actualizado.Aspectos relevantes sobre la publicidad por vía telefónicaLa reforma de la normativa sobre consumidores y usuarios ha derivado en la limitación de la posibilidad de realizar publicidad por vía telefónica; para ello hemos de atender a los arts. 96 y ss. de la Ley General para la Defensa de Consumidores y Usuarios por la cual se establece lo siguiente:- En ningún caso, las llamadas telefónicas deben hacerse al consumidor antes de las 9 horas ni más tarde de las 21 horas, tampoco podrán realizarse en festivos o en fines de semana.- Si se van a utilizar técnicas de comunicación que empleen un sistema automatizado de llamadas sin que exista la intervención de una persona, o el telefax, será requisito imprescindible el consentimiento expreso de forma previa por parte del consumidor.- Las llamadas de teléfono deberán llevarse a cabo desde un número de teléfono identificable; es decir; no se podrá emplear número oculto.- Deberá informarse de forma clara, al inicio de cualquier conversación, la identidad de la empresa y el fin comercial de la llamada. Así mismo, deberá informarse sobre la identidad de la persona que está realizando la llamada y el vínculo que tiene con la empresa en nombre de la cual está llamando.- Es muy importante saber que cuando el consumidor se pone en contacto con la empresa en relación a cualquier incidencia o reclamación, no debe ofrecérsele en la propia llamada nuevos servicios o productos.Aspectos relevantes sobre la publicidad por vía electrónicaTambién hemos de tener presente los aspectos formales recogidos en la Ley de Servicios de Sociedad de la Información y Comercio Electrónico (LSSI) relativos al contenido y el formato que debe cumplir la comunicación comercial por esta vía, entre los que destacamos los siguientes:- Las comunicaciones comerciales deben ser perfectamente identificables, para ello se utilizará la palabra: “Publicidad”, “Publi”, “Newsletter”, etc. (art. 20.1 LSSI).- La persona jurídica o física que realice el envío también debe ser claramente identificable en el mensaje (art. 20.1 LSSI).- Es recomendable incluir el acceso directo a las condiciones de uso y la política de privacidad del sitio web (art. 20.1 LSSI).- Se debe incluir la posibilidad de ejercitar los derechos ARCO de una forma sencilla y gratuita en cada envío (art. 21.2 LSSI)Marketing viralCada vez es más común oír el término marketing viral, vídeos que se convierten en contenido viral, etc y todo ello porque se difunden muy rápido. Por ello, podemos definir el concepto de “marketing viral” como: aquel que consigue generar un interés y la disposición de realizar compras potenciales de una marca o producto a través de mensajes que se extienden como si de un virus se tratara; se realiza de forma sencilla y rápida de persona a persona; de ahí que las redes sociales sean el medio idóneo para realizar dicha publicidad.Tomando como referencia el “Recomienda a un amigo” podemos observar:i. Problemas: La Agencia Española de Protección de Datos (AEPD) ha sancionado en diversas ocasiones esta actividad, sobre la base de que existe un tratamiento de datos por la compañía que pone a disposición del “remitente” un sistema para su envío a los “receptores”, al considerar que concurre un tratamiento de datos de carácter personal no consentido por estos últimos. (Procedimiento Sancionador/00183 /2009 y Procedimiento Sancionador/00323/2007). ii. Soluciones: El titular de la web no debe realizar un tratamiento de los datos personales (ni del emisor ni del receptor) y debe ser el usuario quien envíe la comunicación comercial por su cuenta y riesgo. Por ejemplo, técnicamente debe facilitarse un form-mail provisto por tercero que no recabe datos personales.Sin embargo esta práctica sancionada por la Agencia Española de Protección de Datos, consecuencia del abuso en determinados sorteos online, no deja de ser incoherente con una de las razones de ser de Internet, que es compartir noticias. El anonimato en InternetEl objetivo que se persigue con el anonimato es más ambicioso que la simple ocultación del nombre de la persona o el usuario por el que se identifica. Más bien, lo que se persigue es la confidencialidad en las actividades que realizamos en la red y, sobretodo, lo que se pretende proteger es por un lado la protección del discurso anónimo (libertad de expresión) y la protección de datos personales; sin embargo, la realidad es algo más complicada si tenemos en consideración que la mayoría de las veces, las operaciones que realizamos son grabadas.Por ejemplo, si usted mandan un correo electrónico a otra persona a través de un proveedor como Google o Yahoo revela que ambos estáis en contacto, y contiene una serie de metadatos como el lugar donde estuviste cuando se realizó el envío, la hora, el software utilizado, etc. Lo mismo acontecería cuando visitamos una página web, pues ésta suele tener instalada unas cookies por las cuales el sitio web podrá conocer el lugar donde estabas cuando visitaste la página, la hora y, si de forma previa utilizaste el mismo dispositivo para acceder a la web. Por tanto, al acceder a una página cualquier habrás dado casi con toda probabilidad esta información, entre otra, al proveedor de servicio de internet, al motor de búsqueda y a terceros que permiten nuestro uso diario de internet.Por ello, es importante que los usuarios (personas físicas o jurídicas) sean conscientes que las direcciones IP permiten identificar al terminal desde el que estás realizando las operaciones y, por tanto, son consideradas como datos personales (Informe 327/2003 AEPD).Por último, para generar una mayor confianza en los proveedores de servicios y en los intermediarios, se debe fomentar que por su parte exista una diligencia suficiente con respecto a los datos de carácter personal que manejan para salvaguardar los derechos de los usuarios.Las CookiesEn primer lugar, hemos de definir lo que se entiende por Cookies: “Son archivos permiten el almacenamiento en el terminal del usuario de cantidades de datos que van de unos pocos kilobytes a varios Megabytes” (definición dada por la Guía de Cookies de la AEPD accesible en esta guía).En otras palabras, son archivos que contienen pequeñas cantidades de información que se descargan en el dispositivo del usuario cuando visita una página web. Su finalidad principal es reconocer al usuario cada vez que accede a la página web.a. Tipo de cookies1. Cookies técnicas. Son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan.2. Cookies de personalización. Son aquéllas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario.3. Cookies de análisis. Son aquéllas que permiten al responsable de las mismas, el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas.4. Cookies publicitarias y de publicidad comportamental. Gestionan el espacio publicitario y las segundas además analizan la información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación.b. Regulación legalDebe aplicarse el artículo 22.2 de la Ley de Servicios de Sociedad de la Información y Comercio Electrónico (LSSI) (trasposición de la Directiva 2009/136/CE) conforme a la Guía de Cookies de la Agencia Española de Protección de Datos (AEPD) y en resumen:• Debe informarse a través de una primera capa (mediante “pop-up”, ventana emergente, etc.) sobre:- El uso que se da de las cookies y si son propias o de terceros. Sólo hace falta informar sobre aquellas cookies que no están exceptuadas, tal y como dispone el artículo 22.2 de la LSSI (cookies técnicas).- Son propias: aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio gestionado por titular del sitio web y desde el que se presta el servicio solicitado por el usuario.- Son de terceros: aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el titular del sitio web, sino por otra entidad que trata los datos obtenidos través de las cookies. Del mismo modo, las cookies que sean instaladas desde un equipo o dominio gestionado por el titular del sitio web pero la información que se recoja mediante éstas, sea gestionada por un tercero, no son consideradas como cookies propias.- En su caso, advertencia de que si se realiza una determinada acción, se entenderá que el usuario acepta el uso de las cookies (ej. mediante la navegación usted acepta la Política de Cookies).- Un enlace a una segunda capa informativa en la que se incluye una información más detallada.Publicidad onlinea. Tipos de publicidad Online:- Paid Search: enlaces patrocinados tipo adwords de Google.- Publicidad contextual (keywords.)- Publicidad personalizada: Ejm: Usuario registrado.- Geotargeting (IP).- Publicidad social: Facebook, Linkedin, Instagram…- Retargeting o remarketing.- Publicidad comportamental.b. Publicidad comportamental:i. Definición“aquella publicidad que se basa en la observación continuada del comportamiento (online) de los individuos” (Dictamen 2/2010 del Grupo de Trabajo del Art. 29 sobre publicidad comportamental en línea, de 22 de junio de 2010.)ii. Características- El rastreo de la navegación (tracking cookies);- La elaboración, por parte de empresas, de perfiles de navegación con base en determinados criterios;- La remisión de una determinada publicidad a un concreto navegador para que aparezca durante la navegación del usuario.iii. Intervinientes: • Los anunciantes.• Los editores web (web publisher): Publicidad “on site” (first party) o mediante intermediario (third party).• Los ad networks: intermediarios entre anunciantes y editores (Ejm. DoubleClick).• Los ad servers: envían la publicidad.iv. Indicaciones a tener en cuenta para la elaboración de perfiles (art. 22 Reglamento General Protección de Datos 2016/679):- Se deberá informar en la web sobre la posibilidad de elaboración de perfiles de usuarios para su segmentación, las herramientas que se utilizarán y la finalidad.- Recabar el consentimiento de forma clara y explícita- Ofrecer el derecho a ejercitar los derechos ARCOc. Códigos de conducta: conjunto de normas no impuestas legal ni reglamentariamente, en el que se definen determinados comportamientos o prácticas comerciales a los que se encuentran sometidas las empresas que deciden adherirse al mismo.- EASA Best Practice Recommendation on Online Behavioural Advertising Obligaciones de información según los códigos de conducta: -En su propio sitio web:- Quién es el responsable de las cookies- Qué datos captan.-Qué finalidad tiene el uso de los datos.-En la publicidad o alrededor de ella:- Icono informativo universal y que facilita el acceso a una herramienta para no permitir este tipo de publicidad. - http://www.youronlinechoices.com/es/

Contratos con freelance: la importancia de las cláusulas de cesión de derechos de propiedad intelectual.

Riestra Abogados. Hace unos días nos hacíamos eco de la noticia de que el propietario de la firma Kukuxumusu había interpuesto una demanda contra cinco antiguos dibujantes de la marca, en la que les instaba a no utilizar 15.000 dibujos debido a que fueron cedidos en su día a la firma.Se plantea la incógnita a la hora de diferenciar entre el estilo de los dibujantes y los 15.000 dibujos ya finalizados, ya que, al parecer, el estilo empleado podría identificarse con aquéllos hasta el punto de ser confundidos.En este escenario, es prudente tener en cuenta que a la hora de contratar a un ilustrador, dibujante, fotógrafo, etc. para la ejecución de unos servicios, es importante tener en cuenta las implicaciones relacionadas con la propiedad intelectual.Vamos a focalizar este artículo en una situación que vemos muy a menudo, en la que un anunciante o una agencia de publicidad contratan los servicios de un profesional para la elaboración de unas ilustraciones o de unas fotografías o de unos vídeos, que serán utilizados para la promoción de una determinada marca de un producto o servicio.Desde una perspectiva muy general, estamos hablando de un contrato de prestación de servicios en el que el objeto radica en la elaboración de un diseño, dibujo, o fotografía. En este punto debemos aclarar que el material encargado, ya sea por un cliente anunciante o por su agencia de publicidad, está amparado por le Ley de Propiedad Intelectual (Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual) al manifestar que la propiedad intelectual de una obra literaria, artística o científica corresponde al autor por el solo hecho de su creación. La propiedad intelectual está integrada por derechos de carácter personal y patrimonial, que atribuyen al autor la plena disposición y el derecho exclusivo a la explotación de la obra, sin más limitaciones que las establecidas en la Ley. Por esto, desde el momento en que una persona realiza una creación (obra literaria, artística o científica), dicha creación está protegida por derechos de propiedad intelectual. El autor, como creador de la obra, puede disponer libremente de los derechos de explotación y por tanto, está en disposición de ceder dichos derechos a un tercero.Planteado el fondo jurídico de la cuestión, a la hora de encargar una determinada obra, debemos plasmarlo en un contrato. En este contrato, por un lado detallaremos el alcance y características que queramos que la obra revista, así como el alcance de la cesión de los derechos de propiedad intelectual.Cláusulas de cesión de derechosA la hora de determinar el alcance de la cesión de derechos, en primer lugar debemos tener en cuenta que no se trata de una mera licencia de uso de la obra o del material encargado. Estamos hablando de un encargo a la medida, de un dibujo concreto, un diseño, una fotografía. El anunciante necesita disponer de la obra para la utilización para su beneficio propio. A continuación describimos qué elementos deben ser considerados a la hora de plantear una cesión de derechos de propiedad intelectual:- Originalidad. Para evitarnos sustos y para garantizar que la obra encargada es totalmente original, novedosa, debemos exigir expresamente esta característica de la obra. El autor debe comprometerse a ser original y creativo, a no imitar otras posibles obras titularidad de terceros. De esta forma, el cesionario estará cubierto frente a posibles reclamaciones de terceros.- Exclusividad. El incluir este término o no incluirlo, provocará que la obra pueda ser utilizada o no por el autor o por terceros ajenos a la relación comercial. Si incluimos este término la cesión de derechos de propiedad intelectual va a estar limitada exclusivamente a la entidad cesionaria. Es decir, ni el propio autor, ni otras entidades podrán disponer de los derechos de explotación de la obra. La LPI determina la exclusividad de la siguiente manera: La cesión en exclusiva deberá otorgarse expresamente con este carácter y atribuirá al cesionario, dentro del ámbito de aquélla, la facultad de explotar la obra con exclusión de otra persona, comprendido el propio cedente, y, salvo pacto en contrario, las de otorgar autorizaciones no exclusivas a terceros. Asimismo, le confiere legitimación con independencia de la del titular cedente, para perseguir las violaciones que afecten a las facultades que se le hayan concedido.- Facultad de cesión a terceros. En aquellos casos en que sea una agencia de publicidad la que contrata con el proveedor, aquélla debe asegurarse de que la cesión de derechos de explotación no se extingue en la propia agencia, sino que ésta debe estar facultada para poder cederlos igualmente a su cliente, al anunciante.- Derechos de explotación. Debemos tener claro en todo momento qué es lo que queremos hacer con el encargo. Es posible que únicamente queramos utilizarlo tal cual, sin modificaciones. A lo mejor necesitamos modificarlo un poco y adaptarlo a las necesidades del anunciante. Es posible que queramos incorporar la obra a otro material audiovisual o ponerlo a la venta, alquiler, o simplemente publicarlo. La LPI enumera en su artículo 17 los derechos de explotación: Corresponde al autor el ejercicio exclusivo de los derechos de explotación de su obra en cualquier forma y en especial, los derechos de reproducción, distribución, comunicación pública y transformación, que no podrán ser realizadas sin su autorización, salvo en los casos previstos en la presente Ley. Además, en caso de que no se determinen los derechos de explotación, la cesión quedará limitada a aquella que se deduzca necesariamente del propio contrato y sea indispensable para cumplir la finalidad del mismo.- Duración y ámbito territorial: Es importante determina un plazo en cuanto a la cesión de los derechos de explotación, así como acordar un ámbito de influencia. Esto es determinante si queremos difundir la obra con motivo de un evento determinado en un territorio determinado, como por ejemplo un spot publicitario. La LPI establece que los derechos de explotación de la obra pueden transmitirse por actos «inter vivos», quedando limitada la cesión al derecho o derechos cedidos, a las modalidades de explotación expresamente previstas y al tiempo y ámbito territorial que se determinen. La falta de mención del tiempo limita la transmisión a cinco años y la del ámbito territorial al país en el que se realice la cesión. ¿Y qué pasaría con los empleados?Aunque en el presente artículo nos hemos centrado en los contratos con profesionales autónomos, ¿cómo se regularía la cesión de derechos en el caso de un ilustrador en plantilla?Según la LPI, la relación entre empresa y autor y por tanto la transmisión de derechos, debe plasmarse en un contrato por escrito. En caso de que no haya contrato por escrito, se presume que los derechos se ceden en exclusiva y con el alcance necesario según la actividad del empresario: 1. La transmisión al empresario de los derechos de explotación de la obra creada en virtud de una relación laboral se regirá por lo pactado en el contrato, debiendo éste realizarse por escrito.2. A falta de pacto escrito, se presumirá que los derechos de explotación han sido cedidos en exclusiva y con el alcance necesario para el ejercicio de la actividad habitual del empresario en el momento de la entrega de la obra realizada en virtud de dicha relación laboral3. En ningún caso podrá el empresario utilizar la obra o disponer de ella para un sentido o fines diferentes de los que se derivan de lo establecido en los dos apartados anteriores.Por tanto, sea cual sea el planteamiento, freelance o personal asalariado, debemos tener muy claro previamente cuáles son las finalidades para las que se empleará el encargo realizado y antes de comenzar a trabajar, en la medida de lo posible, deberemos concretar en un contrato todos los aspectos relativos a la cesión de derechos de propiedad intelectual. No debemos dejar pasar el tiempo, sin atar fuertemente las obligaciones y responsabilidades de cada una de las partes a través del correspondiente contrato.

El consentimiento y tratamiento de datos con el nuevo Reglamento Europeo de Protección de Datos.

Riestra Abogados. Reglamento (UE) 2016/679Hay una novedad importante en el nuevo Reglamento Europeo de Protección de datos respecto a la acciones de Marketing, y esta es la obligación de obtener el consentimiento expreso cuando captamos datos. Veamos la definición del artículo 4.11: «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;Contundente la inclusión de “una declaración o una clara acción afirmativa”, es decir, una “acción”, y ésta se define en el diccionario de la RAE, segunda acepción, como el “resultado de hacer”, lo que significa que se necesita el consentimiento expreso, también conocido como opt-in, como por ejemplo, marcar una casilla, y ya no nos vale el consentimiento tácito u opt-out. Veamos el considerando (32) del Reglamento: “El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.” Añadiendo, además, que el consentimiento debe darse para cada una de las finalidades previstas, y recordemos que cuando captamos datos, tenemos finalidades de prospección comercial, cesión a terceros, elaboración de perfiles, etc. “El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta”.Recordemos que en la definición de consentimiento se incluyen los siguientes términos, libre, específica, informada, e inequívoca, que tantas veces han sido definidos por la Agencia Española de Protección de Datos, y por ejemplo en el considerando (43), se presume que el consentimiento no se ha dado libremente:“cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aún cuando este no sea necesario para dicho cumplimiento”.En el artículo 7 del Reglamento Europeo, se establecen las condiciones para el consentimiento: “1.Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales. 2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. 3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo. 4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato”. Y en cuanto a los menores, en el Real Decreto 1720/2007 de la Ley Orgánica de Protección de Datos, actualmente mantenemos la edad de 14 años para captar datos directamente del menor. Habrá que estar atentos a la reforma prevista de nuestra ley, y ver cómo lo adaptamos al Reglamento Europeo, porque independientemente de la edad (13 o 14), lo importante es pensar cómo obtendremos online el consentimiento expreso de los padres o tutores de los menores de 14 años. En el artículo 8 del Reglamento Europeo se establecen las condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información: “1. Cuando se aplique el artículo 6, apartado 1, letra a), en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó. Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que ésta no sea inferior a 13 años. 2. El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.3. El apartado 1 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño”.Y en cuanto a los datos sensibles, como los ideológicos, raciales, orientación sexual, salud… quedan más o menos como lo tenemos regulado en nuestra Ley en cuanto a la necesidad de obtener el consentimiento expreso. Artículo 9 del Reglamento Europeo, Tratamiento de categorías especiales de datos personales:“1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física”.“2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes: a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado”;ConclusiónEs un cambio importante al establecer el consentimiento expreso como la base de obtención del consentimiento. En cualquier caso estaremos pendientes de las actualizaciones en nuestra Ley Orgánica de Protección de Datos (15/1999) y normas de desarrollo, y de Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (34/2002), pero lo que es indudable que esto afecta a todos, ya que habrá que adaptar las cláusulas de protección de datos y dotarlas de las casillas necesarias, pero especialmente afecta a las empresas que comercializan bases de datos online, porque tendrán que cambiar sus estrategias de captación de datos e indudablemente perderán en cantidad, aunque no en calidad.

La codificación en el nuevo Reglamento Europeo de Protección de Datos.

Riestra Abogados. Las empresas, hoy más que nunca, necesitan proteger de forma contundente su información frente a posibles ataques o intromisiones en sus sistemas informáticos ante los riesgos que una posible brecha de seguridad acarrearía, tanto para la empresa como para sus clientes o potenciales; de ahí que el cifrado y el sistema de doble factor de autenticación (también conocido como 2FA) sean considerados los pilares básicos de la seguridad.No obstante, la idea preconcebida de sistemas complejos tanto de manejar como de implantar está, en la actualidad, obsoleta. Para ello hacemos referencia a lo destacado por D. Arturo Ribagorda, Catedrático Informático de la UC3M, quien afirma lo siguiente: “la idea de la dificultad en la aplicación de las medidas de seguridad en materia de Protección de Datos es una idea errónea y falaz”. Importancia del cifradoHoy en día ninguna empresa, por pequeña o grande que sea, puede asegurar que no ha sufrido o sufrirá un ataque a sus activos, entendiéndose por estos, los ficheros en soporte informático de los que dispone.Por ello, la AGPD en su informe nº 494/2009 destaca la importancia de llevar a cabo una protección adecuada de los datos: “La seguridad en el intercambio de información de carácter personal en la que hay que adoptar medidas de seguridad de nivel alto, en particular los requisitos de cifrado de datos, no es un tema baladí, ni un mero trámite administrativo ni una cuestión de comodidad. Es el medio técnico por el cual se garantiza la protección de un derecho fundamental y al que hay que dedicar el tiempo y los recursos que sean necesarios para su correcta implementación”. ¿De qué opciones de cifrado disponemos?Las opciones de cifrado a aplicar en España, se basan tanto en lo establecido por la normativa europea en dicha materia como en el art. 104 del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (RDLOPD); por tanto, las empresas que se encuentren obligadas por el volumen de activos, etc. a adoptar medidas de cifrado, podrán elegir entre:- Sistema profesional de cifrado robusto.- Cualquier otro sistema que garantice que la información no será inteligible ni exista posibilidad de manipulación por personas ajenas a la empresa.Artículo 104 del Reglamento de la LOPD:“Cuando, conforme al artículo 81.3, deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros”. Por tanto, las empresas se deben ceñir a dichos sistemas de cifrado y omitir aquellos que no garantizan la seguridad adecuada como por ejemplo son las diferentes herramientas para uso particular o la compresión de archivos. La AGPD se ha pronunciado al respecto diciendo lo siguiente: “Los productos que generan archivos PDF o el realizado por WinZip tienen vulnerabilidades conocidas y se disponen de herramientas de libre distribución que aprovechan dichas vulnerabilidades. Más concretamente, no sólo se pueden obtener en Internet fácilmente utilidades que rompen las protecciones de los archivos PDF o ZIP, sino que el propio algoritmo en el que descansa la cifra de documentos PDF, el algoritmo RC4, es manifiestamente vulnerable” (Informe 494/2009).Novedades que introduce el nuevo Reglamento de Protección de DatosCon motivo de la entrada en vigor del nuevo Reglamento General de Protección de Datos (UE) existen tres “grados” de cifrado:Cifrado obligatorio: - Viene establecido por imposición estatal; es decir, en España todas aquellas empresas u organismos que traten datos especialmente sensibles (origen étnico o racial, opiniones políticas, convicciones religiosas, …) y por tanto tengan que aplicar medidas de seguridad de nivel alto, se verán obligadas a adoptar sistemas de cifrado para proteger sus archivos.- Todas aquellas empresas que se hayan adherido a un código de conducta, deberán adoptar obligatoriamente un sistema de cifrado, en el supuesto de que dicho código así lo establezca.- Las empresas que traten datos biométricos u observen de forma sistemática zonas de acceso público, deberán cifrar los datos que recaban.- Si existe un riesgo cierto, la empresa u organismo en cuestión deberá adoptar un sistema de cifrado para mitigar el mismo, independientemente de la importancia de los datos manejados.Cifrado recomendado:- Todas las empresas, independientemente del volumen o importancia de los datos personales que traten deberían implementar un sistema de cifrado para salvaguardar los archivos en soporte informático de que dispongan y generar mayor seguridad a sus usuarios.Cifrado voluntario: - el sistema de cifrado será una medida opcional para aquellas empresas que traten datos disociados, puesto que a través de los mismos no sería posible identificar a una persona física.Obligaciones para el responsable y el encargado del tratamientoConforme a lo establecido en el art. 32 del RGPD (UE) tanto el responsable como el encargado del tratamiento deberán aplicar medidas técnicas y organizativas apropiadas como:- La seudonimización y el cifrado de datos personales;- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;- Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. ¿Qué obligaciones existen ante una brecha de seguridad?Según el RGPD (UE) TODAS las empresas están obligadas a notificar cualquier brecha de seguridad sufrida, por ínfima que sea y, comunicarla a los interesados. Por tanto, inmediatamente al conocimiento por parte de la empresa de dicha vulnerabilidad en el sistema de seguridad, se deberá notificar a la AGPD o a la autoridad de control que sea competente. Dicha notificación se deberá realizar con la mayor celeridad y, siempre que sea posible, dentro de las 72 horas posteriores al momento en el que se tiene consciencia de dicha brecha de seguridad.Como se puede dilucidar de todo lo anteriormente expuesto, el sistema de cifrado es una medida de seguridad en cierto modo obligada en determinados casos y, siempre recomendada desde las instituciones europeas y que la AGPD ha tomado como suya puesto que de forma diaria se producen millones de ataques a cualquier tipo de empresa u organización para acceder a datos personales; por tanto; el cifrado tiene como objetivo último proteger los derechos y libertades de las personas físicas. Por ello, las sanciones podrían versar entre multas administrativas de 10 millones de euros como máximo o, una cuantía equivalente al 2% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la cuantía más elevada (art. 83 RGPD (UE).

Cambian las cláusulas de protección de datos con el nuevo reglamento europeo.

Riestra Abogados. La vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal establece la obligación de incluir una cláusula informativa a la hora de recabar datos personales. Pensemos en las cláusulas que actualmente utilizamos en formularios web, soportes digitales, papel, o se locuten vía telefónica. El Reglamento Europeo de protección de datos incluye nuevas obligaciones, a las existentes actualmente, aunque recordemos que será aplicable a partir del 25 de mayo de 2018, pero es importante ir conociéndolo, porque habrá que realizar importantes revisiones y cambios a la política de protección de datos en las empresas.No hay más que decir que las multas por infracción en materia de protección de datos, si ya son considerables bajo nuestra Ley Orgánica de Protección de Datos, con el nuevo Reglamento se disparan. Por ejemplo el artículo 83.5 del Reglamento Europeo, prevé: 5. (…) multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. ¿Cuáles son las novedades?En cuanto a las novedades, que no son pocas, respecto a la información que debemos indicar en las cláusulas de protección de datos, cuando recabemos directamente de los usuarios y según el art. 13, son: a) Los datos de contacto del delegado de protección de datos, cuando proceda su designación. b) La base jurídica del tratamiento.c) Los destinatarios o las categorías de destinatarios de los datos personales.d) la intención del responsable de transferir datos personales a un tercer país u organización internacional, y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado. e) El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo.f) El derecho a la portabilidad de los datos.g) El derecho a presentar una reclamación ante una autoridad de control. h) Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos.i) La existencia de decisiones automatizas, incluida la elaboración de perfiles, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.¿Cómo serán entonces de extensas las cláusulas de protección de datos? Si ya con las obligaciones actuales, salen unas cláusulas extensas, pensemos cómo serán bajo el nuevo Reglamento. La Agencia Española de Protección de Datos, propone la idea de dos capas o dos niveles, que actualmente se está desarrollando para la información de cookies, y para ello, nos indica el siguiente ejemplo. ¿Dónde estaría la primera capa? Debe estar claramente identificada con un título tal como “Información básica sobre protección de datos”. • Por ejemplo, en un formulario de solicitud, la tabla con la información básica debería situarse en el mismo campo de visión que el lugar donde haya de manifestarse la conformidad con lo solicitado (la firma, si es en papel, o el botón de “enviar”, si es un formulario electrónico), formando parte de la copia que quede a disposición del interesado.• Si, por restricciones del diseño, no fuese factible, debe incorporarse una nota o llamada en el campo de visión de la firma, informando sobre dónde se sitúa la tabla con la información sobre protección de datos. Ejemplo: “antes de firmar la solicitud, debe leer la información básica sobre protección de datos que se presenta en (…el reverso, al pié, etc…)”. Como indica la Agencia Española de Protección de Datos, el texto legal de información debe ser claramente visible. Ejemplo,¿Y la segunda capa?Debe completar con todos los detalles la información de la primera capa, así como añadir la información adicional, requerida por el reglamento y que no estaba en la primera capa.¿Dónde podría mostrarse la segunda capa? • En un formulario en papel, podría ser el reverso del mismo. • En un formulario online a través de un hipervínculo. • En una locución telefónica, en la misma locución marcando una opción, u ofreciéndole la posibilidad que lo pueda recibir vía electrónica o postal. Tabla resumen de las dos capas:

Marketing · Internet · IA

Derecho y marketing, un equipo ganador

Asesores legales de la asociación de marketing de España.

¿A quién pertenece la creación con IA?

Smart contracts. Tecnología blockchain.

Recomendaciones legales en el uso IA en campañas publicitarias

La responsabilidad legal de la agencia frente a su cliente.

Contratos con freelance: la importancia de las cláusulas de cesión de derechos de propiedad intelectual.

El consentimiento y tratamiento de datos con el nuevo Reglamento Europeo de Protección de Datos.

La codificación en el nuevo Reglamento Europeo de Protección de Datos.

Cambian las cláusulas de protección de datos con el nuevo reglamento europeo.

Equipo

20 años de experiencia

Regulando campañas de marketing, publicidad y protección de datos.

Presupuesto

Rápidos y eficaces

Protege tu marca,
impulsa tu negocio.

Configuración de cookies