Entradas

Cuantos más datos personales mejor: cuando los perfiles son necesarios

El Reglamento UE 2016/679 General de Protección de Datos está aquí para proteger nuestros datos pero no para impedir usarlos.

Este blog aborda las cuestiones más prácticas de la protección de datos y hablamos de eso; de proteger los datos, de cómo limitar para que no se hagan cosas que no se deben con los datos de salud o de preferencias, de cumplir con el RGPD y la minimización etc etc.

Sin embargo, nos olvidamos de cuántas cosas estupendas se pueden hacer si se recogen muchos datos y si son sensibles mejor. Me refiero a las situaciones de extrema dependencia, cuando uno no se puede defender y tiene que ser otra persona (a veces una fría institución tutelar) la que decida según qué cosas.

Hablo desde la experiencia personal: llevo años a cargo de una persona que no puede comunicarse, que depende al cien por cien de los demás y que no puede elegir si siquiera lo que come o si tiene frío o calor: si quien le viste tiene frío, toca abrigarse. Tampoco puede elegir qué programa ver en la televisión y si  quien le pone frente a la tele le gusta el fútbol o los culebrones, pues se los traga… aunque algún día los odió.

Qué decir de datos de salud que los historiales médicos no recogen (montones de detalles que no aparecen en los historiales médicos) o incluso preferencias sexuales o incluso cuestiones tan privadas como haber sido víctima de violencia de género… Y no queda nadie que lo pueda advertir.

En los historiales médicos no pone claramente si la persona habla, entiende o si puede tragar. Si nadie le acompaña en una urgencia… el problema se agrava.

Quiero decir con esto que puede llegar un momento en nuestras vidas en las que saber (y que sepan quienes nos cuidan) si nos gusta o no el pescado, si odiamos los toros o si nos encanta el olor a lavanda puede ser lo único que nos conecte con nuestra vida “normal” anterior. Muchos familiares de personas dependientes o con demencias me entenderán. A veces son pequeños detalles que hacen que esa persona conecte. O simplemente podamos arrancarle una sonrisa porque ha acariciado a un perro y ya no recuerda que adoraba a los animales…ni mucho menos que los tuvo y sus nombres…

Recopilar datos en estas situaciones puede ayudar mucho: se trata de dignidad, se trata de personalizar los tratamientos y hacerlos más humanos, se trata de no tener que contar la historia de la vida de esa persona “cada vez” que visitas un hospital o un centro asistencial. Se trata de ser humanos. La línea es delgada y se trata de uniformarnos a todos con un pijama y un puré o hacernos nuestros últimos años una continuación de lo que fuimos. ¿Cómo conseguirlo? Con datos, con información. Y todos nos echamos las manos a la cabeza cuando oímos de perfiles, de gustos y aficiones pero acaso no nos gustaría que en situaciones como las descritas, alguien hiciera sonar nuestra música favorita o nos vistiera como nos gustaba vestirnos?

El tratamiento de datos se justifica por la finalidad: hay miles de usos maravillosos que nos harán la vida mejor y más fácil. Si yo falto algún día sé que a mi padre le afeitarán, nadie le pondrá sus gafas y su gorra y le meterán la cuchara grande hasta el gaznate porque nadie sabrá quién fue ni cuál fue su identidad.

Por eso, tal vez deberíamos reflexionar sobre quién y cómo queremos que tenga nuestros datos y sobre todo si perdemos la memoria y no nos valemos por nosotros mismos, que alguien sea consciente que sobre esa cama, silla de ruedas o bajo esa máscara de oxígeno hay un ser humano con sus características, preferencias y en definitiva su perfil, un perfil, que a lo mejor, algún día, es lo único que queda para poder recordarnos lo que en su día fuimos…

He conocido a unas personas que están trabajando en una iniciativa maravillosa que tiene que ver con esto. No existe nada al respecto. Y no es publicidad pero creo que si en vez de volvernos paranoicos con los datos ponemos las neuronas al servicio de los más débiles y pensamos cómo hacer cosas buenas, tal vez eliminemos esa “mala imagen” que los tratamientos exhaustivos de datos y los perfilados tienen.

Se llaman ENVITA y espero que su proyecto sirva para humanizar la vida de los mayores y de los dependientes en centros asistenciales.

Si a alguien le interesa, que me pregunte. De momento yo ya estoy escribiendo mi “proyecto de vida” por si algún día, alguien que no me conoce, me tiene que peinar por las mañanas y me tiene que recordar que yo escribía un blog.

Paz Martin
#losdetallesimportan

27 de mayo de 2019

Canales de denuncias internas y denuncias anónimas en la nueva Ley Orgánica de Protección de Datos

En muchas empresas todavía choca la necesidad de contar con un canal de denuncias a través del cual los empleados, e incluso clientes y proveedores, puedan denunciar conductas contrarias a las leyes y a los códigos éticos.

La Ley Orgánica 3/2018 de 5 diciembre de Protección de Datos Personales y de garantía de derechos digitales (LOPDGDD) ha abordado específicamente este tema en lo que a los datos personales se refiere.

Estos canales de denuncias (pido perdón a aquellos que ya conozcan el porqué) son parte de los sistemas de cumplimiento normativo implantados a raíz de la modificación del Código Penal del 2015 (artículo 31 bis). En dicha modificación y con respecto a la posible responsabilidad penal de las personas jurídicas (sí las empresas también pueden ser responsables penalmente), sólo la implantación de un plan de prevención de riesgos penales y cumplimiento normativo  eficaz (modelos de organización y gestión según el texto del propio artículo) eximiría a la persona jurídica de la responsabilidad derivada de los delitos cometidos por sus trabajadores en su nombre. Esto es lo que se conoce como «compliance«.

Estos planes de prevención de riesgos penales (muy arraigados en el mundo anglosajón desde hace tiempo, pero muy recientes en nuestro sistema jurídico) incluyen canales de denuncias. Estos canales facilitan la puesta en conocimiento de la propia entidad si alguien comete un delito (u otra violación normativa o de código ético) con todas las garantías de confidencialidad y sin miedo a represalias.
Es decir, que si en mi empresa me entero que el Director Financiero está metiendo la mano en la “saca” pueda comunicarlo sin miedo al despido. ¿Fácil verdad?

Siendo como somos latinos y con una cultura del chivatazo vista como algo negativo, los canales de denuncias no suelen recibir muchas denuncias. Cuando se trata de cosas “graves” los empleados suelen temer por sus represalias y es comprensible que prime el interés personal en conservar el empleo o la tranquilidad por encima de convertirse en el “Quijote” de la entidad.

En la mayoría de las ocasiones, “radio macuto” funciona incluso mejor, especialmente si se trata de conductas en las que el denunciante sólo pone en conocimiento de la empresa la conducta ilícita y no es “víctima” directa de la misma. Si alguien se entera de que un delito, lo suelta en un círculo de confianza y tarde o temprano la información llega donde tiene que llegar… (esto es básicamente radio macuto que carece de garantías de cómo llegue la información. Es ilustrativo acordarse del juego del “teléfono escacharrado” donde desde la primera noticia a la última, cada “informante” suele poner algo de su cosecha. Como juego es desternillante, en el ámbito empresarial, es nefasto.)

Ya en su momento el Grupo de Trabajo del artículo 29 (hoy desaparecido y sustituidas sus funciones por el Comité Europeo de Protección de Datos) emitió un informe sobre este tema y en concreto insistía en la necesidad de garantizar la confidencialidad de los datos tanto de denunciante como de denunciado y de la propia investigación. Residualmente y como último recurso, se admitía la posibilidad de que la denuncia fuera anónima cuando fuera imposible garantizar dicha confidencialidad.

Pero dicho informe del Grupo de Trabajo del artículo 29 cuyo carácter no era vinculante por los estados miembros, encontró en la Agencia Española de Protección de Datos una objeción sobre el posible anonimato, considerándolo contrario a la propia normativa. Existe un informe específico del año 2007 que ilustra esta afirmación.

Ahora bien, puesto que las cosas han seguido evolucionando, el RGPD ha irrumpido en nuestras vidas con energía y más que nunca se han homogeneizado los criterios, en la nueva Ley Orgánica 3/2018 de 5 de diciembre de protección de datos personales y de garantía de los derechos digitales ya se contempla expresamente la denuncia anónima. En particular en el artículo 24 que dice:

“será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable.

Con lo cual, la restricción del anonimato desaparece.

En la práctica y tal y como están configurados la mayoría de los canales (direcciones de email, plataformas externas, etc) es prácticamente imposible denunciar de forma anónima, pues el origen del email siempre podría averiguarse. No obstante, a veces es la única forma de tomar conocimiento de delitos graves de los que un trabajador es conocedor porque trabaja en esa área específica en la que el delito se ha cometido.

El artículo 24 citado también contiene otras novedades, entre otras la constatación a través de la Ley Orgánica de:

  • Su licitud.
  • Del carácter restringido de la información que obre en el canal de denuncias (limitado a la propia investigación y control interno).
  • La obligación de garantizar la confidencialidad de la identidad de denunciantes y también de denunciados (cuidado con las denuncias falsas que pueden arruinar la reputación de una persona o crear falsos bulos).
  • La conservación durante el tiempo imprescindible y en general tres meses desde que se denuncia salvo que dichos datos sean necesarios para evidenciar el buen funcionamiento del propio canal de denuncias.
  • La posible anonimización de las denuncias no tramitadas sin que sea necesario el previo “bloqueo” establecido en la LOPDGDD como paso previo a la destrucción de los datos.

De lo que se trata en definitiva es

a) Que el canal de denuncias garantice la confidencialidad y permita la denuncia anónima.
b) Que en el canal de denuncias no se conserven datos personales más tiempo del imprescindibles (tres meses).
c) Que los registros antiguos se pueden anonimizar.
d) Y si es necesario guardar los datos porque se ha puesto en marcha una investigación, no deberían conservarse en el propio canal sino en aquél entorno donde se esté llevando a cabo la investigación.

Y por supuesto, el canal de denuncias tendrá que estar recogido como «actividad de tratamiento» en el propio registro de actividades de tratamiento de la entidad.

El compromiso con el cumplimiento normativo es un paso más que las empresas han adoptado no sólo para «eximirse» o mitigar su responsabilidad frente a una posible sanción, sino dentro de un marco de ética y de responsabilidad social a través de los cuáles, entre todos, podemos construir una sociedad mejor.

Paz Martín

#losdetallesimportan

26 de abril de 2019

Modificación de la Ley de Marcas: Real Decreto-ley 23/2018 de 21 de diciembre

En el Boletín Oficial del Estado del día 27 de diciembre se ha publicado el Real Decreto-ley 23/2018 de 21 de diciembre por el que se trasponen algunas Directivas, entre ellas, las de Marcas y en concreto la Directiva (UE) 2015/2436 cuyo plazo de trasposición expira el próximo 14 de enero de 2019.

Digamos que se trata de una trasposición «in extremis» con importantes novedades que comentaremos en los próximos días.

Despedimos el 2018 con un cambio legislativo de los muchos que en nuestro sector se han producido en este año que termina…

27 de diciembre de 2018

Paz Martin

#losdetallesimportan

Las tarjetas de visita y el RGPD

O de cómo el RGPD no se carga las tarjetas comerciales.

Pregunta recurrente: ¿ya no podremos entregar tarjetas de visita comerciales en las ferias o en los eventos profesionales? ¿Tendré que pedir un consentimiento con check-in o firmado para enviar información? ¿Qué haremos ahora?

La respuesta ha de ser rápida y sencilla: más o menos lo mismo.

Es decir, no es el fin de las tarjetas. Y la respuesta nos la da, entre otros, el artículo 19 del proyecto (en breve texto aprobado) de la nueva Ley Orgánica de Protección de Datos (y a lo mejor también de Derechos Digitales como título). También la Directiva de comercio electrónico que dio base a nuestra Ley 34/2002 de Servicios de la Sociedad de la Información y de comercio electrónico (la famosa LSSI).

Pero antes de entrar en materia pongamos sobre la mesa algo que si bien aparece en el Reglamento General de Protección de Datos (y por cierto, también en la normativa anterior) tenemos que explicar casi a diario. El consentimiento no es la única base jurídica que legitima un tratamiento de datos…

¿Qué significa esto?

Que a menudo tratamos datos y no es necesario pedir consentimiento: por ejemplo, para suscribir un contrato, por ejemplo, para poner una cámara de seguridad o por ejemplo, sin ir más lejos porque hay una ley que lo dice y son “lentejas”. Todos estos casos y algunos otros más están recogidos en el artículo 6 del RGPD, un artículo importante y que merece ser leído y releído por quienes se preguntan cosas como la que da título a este post.

Es decir, que si vamos a hacer un tratamiento de datos tenemos que tener claro por qué lo hacemos. Y ese por qué es la base jurídica que legitima el tratamiento. (El “porque me da la gana” no está definido como base, que conste).

¿Qué pasa con las personas de contacto de las personas jurídicas (p.e. El Director de tal empresa, su comercial o el administrativo a quien le tenemos que enviar las facturas….? ¿Tenemos que pedirle el consentimiento para contactar con ellos? La respuesta es no. Porque la base jurídica de esta relación no será el consentimiento sino el interés legítimo, ese agujero negro que casi nadie se atreve a traspasar pero que existe y no de ahora.

En una redacción inicial del proyecto de nueva Ley Orgánica de Protección de Datos apareció el artículo para regocijo de los profesionales que agradecemos claridad en este tipo de cuestiones. Posteriormente desapareció y en las últimas redacciones ha vuelto a aparecer.

Transcribimos a continuación para no dejarnos nada:

Artículo 19. Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales.

1. Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el artículo 6.1 f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:
a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

2. La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales, cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
3 (nuevo). Los responsables o encargados del tratamiento a los que se refiere el artículo 77.1 de esta ley orgánica podrán también tratar los datos mencionados en los dos apartados anteriores cuando ello se derive de una obligación legal o sea necesario para el ejercicio de sus competencias.

Como el interés legítimo (artículo 6.1.f) del RGPD) no es una base de legitimación absoluta (no en vano ya existía la prueba de sopesamiento), se somete, en este caso, a dos requisitos:

  • que el tratamiento se ciña a los datos necesarios para la localización (p.e. Email, teléfono, dirección) y
  • que la finalidad sea la de mantener relaciones de cualquier índole con la persona jurídica.

Es decir, que si como abogado me quiero dirigir al Director de una empresa para ofrecerle mis servicios y tengo su teléfono o su email no le pediré consentimiento sino que basaré el tratamiento en mi interés legitimo como responsable de dicho tratamiento.

Lo que no podré hacer es “machacarle” directamente a publicidad o a newsletter porque, aquí sí, entra en juego no tanto la legislación sobre protección de datos sino la famosa Ley de Comercio Electrónico (LSSI y próximamente el Reglamento e-privacy actualmente en el horno) que dice que no puedo enviar información comercial a quien no haya consentido salvo que exista una relación previa (p.e. Que sea un cliente).

Pero hablamos de publicidad, no de enviar un email de presentación, o una invitación a un evento o unas tarifas… A ver si vamos a ser más papistas que el papa. No está de más recordar aquí que la Directiva de comercio electrónico ya decía que No se consideran comunicaciones comerciales en sí mismas las siguientes:

a)  los datos que permiten acceder directamente a la actividad de dicha empresa, organización o persona y, concretamente el nombre de dominio o la dirección de correo electrónico,
b) las comunicaciones relativas a los bienes, servicios o a la imagen de dicha empresa, organización o persona, elaboradas de forma independiente de ella, en particular cuando estos se realizan sin contrapartida económica.

Hemos abordado el interés legítimo… pero acaso no es un consentimiento explícito entregar una tarjeta a una empresa, comercial o interlocutor que nos interesa? ¿No entra dentro de la definición de consentimiento como una «manifestación de voluntad libre, específica, informada e inequívoca» mediante una «clara acción afirmativa. ¿Podemos considerar vigente la Sentencia de la Audiencia Nacional de 17 de mayo de 2007 que afirmó: «Es de reseñar, frente a lo señalado en la resolución recurrida, que la entrega por una persona de una tarjeta de visita en la que consta su dirección de correo electrónico, en un contexto como es la feria del SIMO, a la que para promocionar su producto acudió el denunciado, con el que contactó la persona en cuestión por estar interesada en el mismo, impide que se pueda tener por acreditado a efectos sancionadores la falta del consentimiento. Además, con posterioridad se ha constatado la remisión de un email aludiendo a la conversación mantenida en dicha feria, lo que abona la conclusión de que, en el caso concreto atendiendo a las circunstancias existentes, existe un consentimiento previo o autorización expresa, que no es necesario que figure por escrito, para la remisión de una comunicación comercial relacionada con el producto promocionado en la citada feria.»?

Moraleja: sigamos utilizando tarjetas (ya en creciente desuso para dar paso a los contactos “electrónicos”), sigamos agradeciendo la visita al stand de la feria, sigamos contactando con las empresas y los profesionales pero… eso sí:

  • No pedir el consentimiento no significa que no informemos de lo que dispone el artículo 13 del RGPD. ¿Cuándo? Pues en ese primer email de cortesía por ejemplo. Algunos ya han colocado “atriles” con la cláusula de información a la vista en los propios stands… Es una idea..
  • Si queremos enviar información comercial de forma regular y en lo sucesivo, mejor pedir permiso pues el interés legítimo se nos quedaría un poquito corto en este caso aunque quién sabe…
  • El resto de las obligaciones del RGPD deberán cumplirse religiosamente.

El RGPD y la ahora nueva LOPD no han venido a fastidiar, han venido a dotar de garantías y de seguridad jurídica a las relaciones y a los tratamientos de datos.

Estamos ante un derecho fundamental que merece respeto y protección. Hacer interpretaciones sesgadas de la norma no beneficia a nadie. Seamos transparentes en los tratamientos y sigamos trabajando, vendiendo y entregando tarjetas, eso sí, cumpliendo la ley.

Paz Martin
#losdetallesimportan

Noviembre 2018

Cómo analizar los riesgos para cumplir con el RGPD

Todas las empresas (también las pequeñas) deben enfocar el cumplimiento de la privacidad desde el riesgo.

 

Se ha generado una pequeña confusión entre la obligación de hacer análisis de riegos y la obligación de hacer una evaluación de impacto.

Son dos conceptos diferentes: el análisis de riesgos será obligatorio en todo caso. La evaluación de impacto sólo será necesaria en determinados casos.

La Agencia Española de Protección de Datos acaba de publicar dos guías que forman parte del paquete de “ayuda” a los Responsables y Encargados de tratamiento, es decir a empresas, profesionales e instituciones (públicas o privadas) que realizan tratamiento de datos personales y deben cumplir con el Reglamento UE 2016/679 General de Protección de Datos (RGPD).

 

Las guías ayudan, aclaran algunos conceptos y pueden servir como herramientas metodológicas muy muy simples (al menos la de análisis de riesgos) para realizar el análisis de riesgos que en principio todo Responsable de tratamiento debería hacer en cumplimiento de dos principios acuñados por el RGPD: el de accountability o responsabilidad proactiva y el de privacidad desde el diseño y por defecto. Nos ofrece algunas pistas que nos pueden resultar útiles para abordar el cumplimiento del RGPD.

 

En efecto, el RGPD se refiere en diferentes artículos de su texto al riesgo, a la adopción de medidas de seguridad teniendo en cuenta el riesgo y en definitiva a un enfoque completamente distinto al que conocíamos hasta ahora. Enfoque en el que las exigencias de seguridad nos igualaban a todos “por arriba” sin tener en cuenta las circunstancias de una pyme o de una compleja multinacional.

 

Es evidente que hoy en día ninguna actividad se entiende sin la gestión de riesgos: económicos, patrimoniales, de negocio… La protección de datos no podía abstraerse a este escenario y exige que los responsables de tratamiento sean conscientes de lo que tienen entre manos para de esta forma actuar en uno u otro sentido.

 

Para gestionar riesgos (cualesquiera) hay que seguir tres pasos diferenciados:

  • Identificar amenazas
  • Evaluar los riesgos
  • Tratar los riesgos

Digamos que este es el esquema básico de cualquier tratamiento de riesgo.

En materia de protección de Datos podríamos movernos en los dimensiones:

A) Los riesgos asociados a la protección de la información

B) Los riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados.

A) Riesgos asociados a la protección de la información

 

Todos los esquemas de seguridad de la información suelen identificar las amenazas en tres planos:

  • La confidencialidad
  • La integridad
  • La disponibilidad

 

Es decir, pueden existir amenazas que afecten a la confidencialidad, a la integridad y a la disponibilidad independientemente o a la vez pero en definitiva habrá que adoptar aquellas medidas necesarias para garantizarlas.

 

Un simple ejemplo: una medida que garantiza confidencialidad será, por ejemplo, un acuerdo de confidencialidad que firma un trabajador pero también una política correcta de accesos.

 

La integridad se verá protegida con esa misma política de accesos y de roles en la organización para evitar que los datos sean alterados (imaginemos lo importante que puede ser que en un historial médico no se alteren por ejemplo los miligramos de un medicamento que se le está dispensando a un paciente de un hospital). Las medidas de seguridad que se adopten deberán garantizar el mínimo privilegio, el registro de los mismos y la trazabilidad de los accesos para que se deje constancia, en cada momento, de quién accede a qué.

La disponibilidad implica que el caso de un evento que implique una destrucción imaginemos de los datos, podamos garantizar que el negocio continúa (de ahí la importancia de las copias de seguridad) en el menor tiempo posible. En algunos negocios (cada vez menos) la copia semanal puede ser suficiente pero en la mayoría la copia diaria es imprescindible. También las pruebas periódicas de restauración son importantes no sea que descubramos que las copias de seguridad no se están haciendo correctamente…

 

Y para identificar esta amenazas tenemos que:

  • Conocer el negocio: volviendo al ejemplo no es lo mismo un hospital que una pequeña clínica
  • Conocer el sector
  • Conocer las medidas de seguridad

 

Las amenazas serán esas situaciones, eventos o hechos que puedan afectar a esos tres parámetros y de ellas se derivará un riesgo (con una valoración en términos de probabilidad e impacto) que habrá que tratar. Ni más ni menos.

 

Son especialmente útiles en este sentido los estándares de seguridad de la información (Esquema Nacional de Seguridad, ISO  27001 y similares) que permiten analizar y abordar esta parte de los riesgos desde el rigor y la objetividad.

B) Existirán por otro lado, los riesgos asociados al cumplimiento de requisitos regulatorios relacionados con los derechos y libertades de los interesados.

 

La propia Agencia sugiere dos amenazas en este sentido:

  • Procedimientos de satisfacción de derechos
  • Garantías de los principios:
    • Ausencia de legitimidad para el tratamiento de los datos personales
    • Tratamiento ilícito de los datos personales

 

Pero estas dos amenazas se han de traducir en un haz de cuestiones que todo responsable de tratamiento debe analizar:

 

  • Cómo se recogen los consentimientos
  • Cuáles son las bases jurídicas del tratamiento
  • Sus relaciones con terceros
  • Cómo se informa
  • Cómo se contesta a los derechos
  • Cómo se garantizan los principios recogidos en el artículo 5 RGPD

El análisis de riesgos puede ser tan simple o complejo como se quiera pero desde luego enfocado a un negocio concreto, a unas circunstancias concretas que cada asesor, auditor, responsable o DPO debe tener en cuenta.

 

Y ojo, que el análisis de riesgos puede ser una foto fija pero el tratamiento de los mismos no. Sólo en un proceso de comprobación, verificación y evaluación continua se conseguirá minimizar los riesgos y abordarlos de la forma más adecuada a cada organización.

 

Paz Martín

 

Abogado

CDPP

9 de marzo de 2018

 

 

 

 

El uso de una marca ajena como keyword ¿es infracción?

Las empresas siguen mostrando interés por estas conductas de uso de marcas ajenas como adwords que pueden ser o no ilegales en función de las circunstancias.

Según el perfil del lector que tenga curiosidad por el presente post, el primer pensamiento al leer el titular puede ser: por supuesto que no. Google lo permite y además es legal.

Y de hecho es así: utilizar una marca ajena como palabra clave de búsqueda en un buscador no constituye, en principio, infracción alguna. Con independencia de lo poco «elegante» de la práctica. Sin embargo, la cuestión no es tan sencilla.

Empecemos por el principio: Todos luchamos por posicionar nuestras webs en los primeros lugares de los buscadores, en particular Google. Google tiene además su sistema de anuncios, «Adwords», a través del cuál una empresa puede anunciarse de forma que cada vez que alguien busque, por ejemplo, la palabra «ABOGADOS», aparezca nuestro anuncio (aunque no es el caso, podría ser, LEGAL THINGS ABOGADOS). La cuestión estará en que la palabra «abogados» puede estar siendo utilizada por muchos otros despachos y el que nuestro anuncio aparezca en primer lugar puede costar bastante.

Pero ¿y si decidimos elegir la marca o el nombre de un despacho de nuestra competencia? Es decir, que cada vez que alguien busque por «MICOMPETENCIA» aparezca mi anuncio. Aunque a algunos nos sigue pareciendo una estrategia muy agresiva comercialmente y cercana a las prácticas desleales, esta es una práctica completamente lícita y ha sido abordada por los Tribunales.

Una de las primeras Sentencias al respecto la dictó el Tribunal de Justicia de la Unión Europea en el caso Marks & Spencer vs. Interflora (caso 323/09).

Esta Sentencia es la que ha marcado el criterio a seguir en estos casos. Lo que en realidad establece es que sólo existirá infracción cuando exista confusión en cuanto al origen de la oferta y en tal sentido, citamos literalmente, dice:
«El titular de una marca está facultado para prohibir que un competidor haga publicidad –a partir de una palabra clave idéntica a esa marca que el citado competidor seleccionó en el marco de un servicio de referenciación en Internet sin el consentimiento del titular– de productos o servicios idénticos a aquéllos para los que la marca esté registrada, cuando dicho uso pueda menoscabar una de las funciones de la marca.

Este uso:

a) menoscaba la función de indicación del origen de la marca cuando la publicidad mostrada a partir de la palabra clave no permite o permite difícilmente al consumidor normalmente informado y razonablemente atento determinar si los productos o servicios designados por el anuncio proceden del titular de la marca o de una empresa vinculada económicamente a éste o si, por el contrario, proceden de un tercero;

b) en el marco de un servicio de referenciación de las características del que se trata en el litigio principal, no menoscaba la función publicitaria de la marca, y;

c) menoscaba la función de inversión de la marca si supone un obstáculo esencial para que dicho titular emplee su marca para adquirir o conservar una reputación que permita atraer a los consumidores y ganarse una clientela fiel.»
Es decir, estaríamos ante una infracción cuando el consumidor no sea capaz de saber si la oferta del anuncio está, de alguna forma vinculada con el titular de la marca (cosa que puede suceder con las páginas que ofrecen falsificaciones o réplicas de una marca original).

En cambio, dice la propia Sentencia: cuando la publicidad que aparezca en Internet a partir de una palabra clave correspondiente a una marca de renombre proponga una alternativa frente a los productos o a los servicios del titular de la marca de renombre sin ofrecer una simple imitación de los productos o de los servicios del titular de dicha marca, sin causar una dilución o una difuminación y sin menoscabar por lo demás las funciones de la mencionada marca, procede concluir que este uso constituye, en principio, una competencia sana y leal en el sector de los productos o de los servicios de que se trate y, por lo tanto, se realiza con «justa causa» en el sentido de los artículos 5, apartado 2, de la Directiva 89/104 y 9, apartado 1, letra c), del Reglamento nº 40/94.

Puede no gustarnos la conclusión que además, hasta ahora, no ha sido contradicha por ningún otro tribunal, pero la realidad es que si no hay «dilución o difuminación» de la marca estamos ante una competencia «sana y leal».

Si exploramos en la jurisprudencia en otros países de nuestro entorno más allá de las fronteras de la Unión Europea, el criterio es bastante similar y los tribunales difícilmente restringen el uso de la marca ajena si queda claro que el anuncio resultado de la búsqueda es una «alternativa» a los productos o servicios buscados.

En el mismo sentido se ha pronunciado sin modificar un ápice el criterio, nuestro Tribunal Supremo en diferentes Sentencias, las más conocidas la del caso MASALTOS y la del caso ORONA que aunque con diferentes aproximaciones abordan el mismo tema. La Sentencia del Tribunal Supremo 620/2016 de 26 de febrero (caso MASALTOS), el alto Tribunal afirma:

la sentencia sí repara en dicha circunstancia, al afirmar que la ausencia de tales términos en el anuncio indica claramente a los consumidores que se trata de empresas distintas y competidoras de «Maherlo». Respetándose así la función de indicación del origen de la marca a que hemos hecho referencia cuando hemos compendiado los pronunciamientos del TJUE sobre el uso de marcas en buscadores de internet. Es decir, en los términos de la sentencia «Interflora», antes transcritos, no hay menoscabo de la función de la indicación del origen de la marca.

Por su parte, la Sentencia del Tribunal Supremo 541/2017 de 15 de febrero (caso ORONA), aunque aborda la perspectiva desde la posible deslealtad de la práctica desestimando la acción en aplicación de la doctrina de complementariedad relativa, se pronuncia al respecto del uso de las marcas ajenas en el mismo sentido.
Otras Sentencias ya firmes han admitido, en la línea jurisprudencial marcada, que existe infracción al no superarse esa inexistencia de confunsión en el origen empresarial. Nos referimos, entre otras, a la Sentencia del Juzgado de lo Mercantil num. 3 de Valencia de 30 de junio de 2016 (248/2016) en un conflicto por esta materia entre las compañías GEDESCO y FICOMSA.

Como conclusión debemos añadir que si bien la práctica habitual determina que si aparece la marca ajena en el texto del propio anuncio estamos ante una infracción y si no aparece, no; esta afirmación no puede ni debe ser taxativa al encontrarnos en situaciones en las que no apareciendo la marca ajena en el propio texto del anuncio, el origen empresarial es dudoso y ese usuario medio puede no tener claro dónde está entrando…
Muchas dudas se nos plantean: especialmente si todos los usuarios de los buscadores son «razonablemente atentos» o si este planteamiento favorece a las marcas menos conocidas que a las notorias y renombradas…

Si alguien se decide por esta práctica, no está de más consultar previamente con un abogado (además de con los correspondientes expertos en marketing digital) para determinar si la elección de las marcas de la competencia no le va a salir caro discutiendo su estrategia digital en los tribunales por una posible infracción de marca.

Paz Martín

Febrero 2018