De los memes legales a los pastiches en las leyes

/0 Comentarios/en /por

Ha tardado, pero en España tenemos una nueva normativa de derechos de autor que hace hincapié en el ámbito digital de los mismos. Bueno, en realidad la transposición de la Directiva Europea de los Derechos de Autor en el Mercado Único Digital (DEMUD) ha llegado a nuestro país únicamente con cinco meses de retraso, todo un récord en comparación con los más de seis meses que tardamos en adaptar la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) en base al Reglamento General de Protección de Datos (RGPD), o los dos años que llegamos a necesitar para configurar la Ley Orgánica 7/2021 de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamientos de infracciones penales y de ejecución de sanciones penales, que respondía a las necesidades exigidas por la Directiva (UE) 2016/680, de 27 de abril de 2016, y que ha supuesto la penalización por parte de la Unión Europea con una sanción cercana a los 20 millones de euros a España. La siguiente que entra en juego es la transposición de la «Directiva Whistleblower» o Directiva (UE) 2019/1937, de 23 de octubre de 2019, relativa a la protección de las personas que denuncian infracciones de la legislación de la Unión y cuyo plazo de transposición finaliza el próximo 17 de diciembre de 2021, sin que dispongamos de demasiadas esperanzas para preparar su aterrizaje a nuestro país a tiempo, situación que nos podría servir en ENATIC para organizar una rifa entre nuestros asociados, apostando por el día en que dicha norma pueda llegar a la luz en nuestro país.

Dejando a un lado la pieza irónica de los retrasos en la composición de las distintas transposiciones y volviendo a la que da pie a este artículo, la reciente normativa referida a los derechos de autor o DEMUD, se consolida a través del Real Decreto Ley 24/2021 de 2 de noviembre, también conocido como “Ley Iceta” (en honor al ministro de cultura en el momento de la publicación de la normativa) o Ley “Pastiche” no únicamente por regular expresamente la situación de los memes en nuestro ordenamiento jurídico con tal designación (pastiches oigan), sino porque el Real Decreto no deja de ser una amalgama de trasposiciones entre las que se mezclan las directivas sobre datos abiertos y reutilización de la información del sector público, las del ejercicio de derechos de autor y derechos afines aplicables a determinadas transmisiones en línea, así como en programas de radio y televisión, o la propia relativa al derecho de autor y afines en el mercado único digital. En definitiva, un auténtico “pastiche”, señoras y señores.

La combinación de regulaciones que deberían de estar perfectamente diferenciadas en sus propias normas independientes, y actualizadas (aunque para ser justos, el Real Decreto las diferencia en distintos “Libros”, quizás por aquello de fomentar la cultura), la falta de transparencia en el proceso, y la bienvenida a la censura algorítmica por parte de la nueva regulación española, ha generado un intenso debate que lleva camino de prolongarse en el tiempo más allá de lo que hemos tardado en transponer la Directiva. Y es que en vez de abogar por un debate parlamentario, la aprobación del texto como pastiche de Real Decreto Ley ha permitido no tener que afrontar la opinión directa de los agentes sociales más activistas en materia de libertad de expresión y propiedad intelectual.

El artículo 73 del Real Decreto-Ley, que adapta el 17 de la directiva de copyright, es el que más polémica genera, al configurar a los prestadores de servicios para compartir contenidos en línea (es decir, los YouTube, Twich y compañía) cuando realizan un acto de comunicación al público o de puesta a disposición al público de obras protegidas por derechos de autor que hayan sido subidas por los propios usuarios de tales plataformas, se convierten en responsables directos del contenido compartido por los internautas, constando que tales plataformas «no se beneficiarán de la limitación de responsabilidad prevista en el artículo 16 de la Ley 34/2002, de 11 de julio».

Por lo tanto, las plataformas que antes eran intermediarias dejan de serlo para configurarse como responsables de aquellos actos no autorizados por la normativa, y los usuarios se pueden exonerar de responsabilidad. Independientemente de que la norma mencione que las plataformas deberán de procurar los “mayores esfuerzos” y de forma “proporcional”, al final en la práctica va a resultar imposible controlar el contenido que suban los usuarios a estas plataformas salvo que se recurra al uso de algoritmos bendecidos con procedimientos de Inteligencia Artificial. Es lo que se conoce como “censura algorítimica”.

Pero además, para rizar el rizo, la normativa española se pone más exigente que la Directiva Europea, y propone un cambio que puede atentar contra la cultura de nuestro país con efectos colaterales más agresivos que los fundamentos que intenta proteger: la posibilidad de que se puedan bloquear retransmisiones en directo en internet.

Y es que los Ibai y similares, parece que no merecen la libertad propia de este tipo de streamers. En Sevilla ya estamos bastante preocupados al tener que afrontar el temor de que por culpa de este inesperado revés, nos censuren los streamings a través de dispositivos digitales de las sevillanas que bailamos en el Real de la Feria de Abril, o las retransmisiones de los pasos de Semana Santa por las plataformas digitales porque los mismos sean bloqueados y censurados cuando empiecen a tocar las distintas bandas de música, interpretando composiciones musicales que en muchos casos tienen un difícil encaje en el repertorio de la SGAE. Y es que no deja de ser un delito que a mi madre le corten la retransmisión del paso del Gran Poder, por mucho que abran la puerta a la vuelta de Google News a España o que los internautas se queden tranquilos creando y compartiendo memes siempre que no generen confusión con la obra original.

¡Qué pastiche, Dios mío!

Jesús Fernández Acevedo
Abogado, Delegado de Protección de Datos y divulgador en Cumplimiento Digital
Vocal ENATIC.

Integración de la protección de datos personales en la gestión ordinaria de los responsables del tratamiento como requisito indispensable para garantizar los derechos y libertades individuales

/0 Comentarios/en /por

Hace dos semanas se publicó una resolución que sancionaba la falta de previa realización de evaluación de impacto de privacidad, que habría llevado al responsable del tratamiento a la conclusión que no se superaba la evaluación de necesidad y proporcionalidad y, por tanto, se hubiera abstenido de iniciar el tratamiento, incluso en modo de prueba voluntaria.

La guía publicada este verano por la Agencia Española de Protección de Datos, sobre gestión del riesgo y evaluación de impacto, dejaba meridianamente claro que se iniciaba una nueva fase en la que sería exigible a los responsables del tratamiento un mayor nivel de madurez en su proceder y acreditación de su responsabilidad proactiva.

En línea con lo que en su momento ya estableció el Grupo de Trabajo del Artículo 29 la mencionada guía, por un lado, nos recuerda que las evaluaciones de impacto se integran en la gestión ordinaria del riesgo de actividades de tratamiento, es decir, son actividades integradas y, por otro lado, que el enfoque debe centrarse, única y exclusivamente, en la gestión del riesgo para los derechos y libertades de las personas físicas. Es decir, son relevantes exclusivamente las amenazas para los derechos y libertades del interesado, de tal manera que la mitigación de las amenazas para el responsable del tratamiento -como la garantía de cumplimiento normativo a efectos de evitar sanciones- constituye un requisito previo indispensable a todo tratamiento de datos, pero no integra propiamente la gestión del riesgo de actividades de tratamiento.

Tanto el legislador como las autoridades de control tienen claro que el riesgo cero no existe y que todo tratamiento de datos personales -por mínimo, a modo de prueba o sencillo que sea- es susceptible de generar un riesgo para los derechos y libertades individuales y, por ello, la gestión de dicho riesgo debe integrarse, inexcusablemente, como un proceso transversal a toda la organización, resultando imprescindible el compromiso e impulso por parte del responsable del tratamiento por cuanto sobre él descansa, exclusivamente, la obligación de garantizar los derechos y libertades de los interesados.

Para conseguir que la protección de datos y su gestión del riesgo se integre en la gestión ordinaria es preciso alcanzar un nuevo nivel de madurez, distinguiendo claramente los roles que corresponden al delegado de protección de datos y al propio responsable del tratamiento. Ha sido relativamente habitual que, en una fase inicial en muchos casos superada, se considerara que “la protección de datos era cosa del delegado de protección de datos” y se le encomendara directamente tanto el diseño como la ejecución material de todas las tareas, tanto preventivas como reactivas.

Es preciso segregar, de forma efectiva, las funciones que corresponden al responsable del tratamiento y las que corresponden al delegado de protección de datos permitiéndole centrarse en su verdadero cometido: Asesorar, liderar la cultura de cumplimiento, detectar y alertar de riesgos, proponer medidas mitigadoras y supervisar su implantación y ser punto de contacto con las autoridades de control. Corresponde al responsable del tratamiento la toma de decisión y ejecución efectiva de todo cuanto sea preciso para cumplir con su obligación de garantizar los derechos y libertades de los interesados, implicando a todos sus profesionales de manera que se logre el convencimiento de que “la protección de datos es cosa de todos”.  

Solo con una adecuada segregación de las funciones que corresponden al delegado de protección de datos y al responsable del tratamiento, se puede lograr la efectiva incorporación de la protección de datos en la gestión ordinaria de toda organización y, con ello, la efectiva protección de los derechos y libertades de los interesados.

Isabel Mascaró Currás
Compliance Officer, Delegada de Protección de Datos y Vocal ENATIC.