Pero la realidad es que desde julio de 2023 ya una gran mayoría de webs usuarias de Google Analytics han tenido que dar el salto a su versión 4 si quieren seguir obteniendo datos. 

El cambio no ha sido repentino ya que Google lleva varios años ofreciendo la doble opción para hacer la transición más sencilla. 

1.- ¿Pero qué es Google Analytics 4?

Google lo ha bautizado como la nueva generación de Analytics para recoger datos basados en eventos tanto de apps como webs. En ese sentido, GA4 incluye un nuevo tipo de propiedad que permite comprender mejor el recorrido del cliente, recoger datos según eventos y no sesiones, posibilita medir sin usar cookies, incluye modelos de comportamiento o modelización de conversiones y se integra más con redes sociales para impulsar acciones en webs y apps.  

El nuevo tipo de propiedad propuesto por GA4 es tan distinto que pasar de un Analytics clásico a GA4 puede requerir cierto proceso de migración, ya sea uno cliente final o anunciante. 

Las diferencias entre GA4 y UA (que nació en 2012) son principalmente:

• GA4 mide con mucha más facilidad apps o webs en conjunto o por separado. UA necesitaba el extra de Firebase para las apps.
• UA estaba más sujeto a las cookies y su aceptación. GA4 recurre al aprendizaje automático para inferir los datos no compartidos por los usuarios, supuestamente cumpliendo con el RGPD.
• GA4 no recurre tanto al ID del dispositivo para medir lo que hace el usuario, que muchas veces usa múltiples dispositivos para ver lo mismo y por tanto generaba duplicados con UA.
• GA4 cambia el sistema de informes respecto a UA con el objetivo de conseguir métricas más personalizadas y generales. 
• GA4 abandona el sistema de sesiones por uno basado en eventos, y además cuenta con métricas específicas de comercio electrónico.

La realidad es que Google Analytics ha llegado a este cambio bajo una situación legal compleja dadas las numerosas resoluciones de agencias de protección de datos europeas contra sus prácticas en privacidad, especialmente debido a la anulación del Escudo de Privacidad en julio de 2020 y la casi imposibilidad legal de transferir datos personales fuera del Espacio Económico Europeo.

2.- ¿Qué problemas legales ha encontrado Google Analytics desde entonces?

Veamos brevemente algunas de las resoluciones que se han pronunciado sobre ello en los últimos años, especialmente del 2022 en adelante.

El primerísimo en abrir el melón fue la agencia de protección de datos federal de Alemania y la de Berlín en noviembre de 2019. Según las mismas, usar Google Analytics (en aquel momento UA) requería consentimiento según los criterios del caso Planet49 ya que Google usaba la monitorización para sus propias finalidades. Además, eran indiferentes los distintos servicios que pudieran ser activados al usar GA.

Post Schrems II, el 11 de enero de 2022 el primero que se pronunció fue el Comité Europeo de Protección de Datos sancionando al Parlamento Europeo por el uso de Google Analytics (y Stripe) en su web de tests COVID. Los argumentos fueron que la web estaba transfiriendo datos a los EE.UU. sin garantizar un nivel adecuado de protección de los mismos. Además, “El Parlamento no proporcionó ninguna documentación, pruebas u otra información sobre las medidas contractuales, técnicas u organizativas establecidas para garantizar una nivel de protección equivalente a los datos personales transferidos a los EE.UU. en el contexto del uso de cookies en el sitio web.”

La primera agencia en disparar con bala fue la agencia de protección de datos de Austria el 13 de enero de 2022 al resolver que el uso de Google Analytics vulneraba Schrems II ya que las medidas técnicas y organizativas adoptadas por Google (protecciones alrededor de los data centers, cifrado de base o análisis de solicitudes) eran completamente inútiles a efectos de la vigilancia realizada por EEUU de acuerdo a FISA 702 y la EO 12333.

La agencia de protección de datos de Francia se pronunció en el mismo sentido en febrero de 2022. Los principales argumentos fueron que Google Analytics generaba riesgos importantes a los usuarios franceses en cuanto al posible acceso de sus datos por parte de los servicios de inteligencia de EEUU. Google había adoptado medidas para evitarlo pero eran insuficientes y por tanto consideraba el uso de GA ilegal.

En julio de 2022 fue el turno de la agencia de protección de datos de Italia, sancionando también el uso de Google Analytics. Los motivos fueron que Google Analytics usaba cookies para recopilar datos personales, como la IP, que transfería a EEUU. En relación a la IP, mencionó que el hecho de anonimizarla (en principio) no bastaba ya que Google podía enriquecer esos datos con otra información que permitían la identificación. 

En septiembre de 2022 sería la agencia de protección de datos de Dinamarca. Los motivos para considerar su uso ilegal eran que las medidas de Google no ofrecían suficiente protección para la transferencia realizada a EEUU. En todo caso, la agencia danesa indicó que una medida de seudoanonimización como un proxy inverso podía ser una medida técnica suplementaria adecuada. 

La opinión de la autoridad danesa era también interesante ya que descartaba que el uso de Google Analytics 3 o 4 cambiara algo respecto al incumplimiento (profundizaremos más adelante). Algo con lo que posteriormente coincidió la agencia noruega.

En diciembre de 2022 la Agencia Española de Protección de Datos (AEPD) se convertía en la nota discordante y rechazaba que el uso de Google Analytics fuera ilegal. Los principales motivos eran que se había constatado que la RAE (en este caso el reclamado), una vez que se había publicado la sentencia de Schrems II dejó de usar Google Analytics. Además, la AEPD consideró que la RAE nunca utilizó información con la finalidad de identificar a los usuarios. Por tanto, archivó el expediente.

En julio de 2023 llegaría la primera sanción económica (de 1 millón de euros) por parte de la agencia de protección de datos de Suecia. Los sancionados fueron Tele2 (operador telefónico) y CDON (una tienda online). Las razones fueron que se recopilaban datos personales, se transferían a EEUU, se aplicaban medidas suplementarias insuficientes (como las Cláusulas Contractuales Estándar) y además se usaba GA desde hacía tiempo a pesar de conocerse sobre su problemática legal desde 2020. 

También en julio de 2023 llegaría la sanción de la agencia de protección de datos de Noruega, declarando su uso ilegal. Los principales motivos eran, en buena parte siguiendo la estela de la agencia danesa, que Google Analytics seguía captando datos personales y los transmitía a EEUU con medidas técnicas y organizativas insuficientes. Por tanto, el uso de GA era ilegal.

En todo caso, las agencias sueca y noruega coincidían en que la aprobación del nuevo marco de privacidad entre EEUU y Europa, el pasado 10 de julio, convertía a Google nuevamente en un proveedor adecuado.

Sea como sea, se sabe que la posibilidad de Schrems III es muy factible ya que el nuevo protcolo también será llevado al Tribunal de Justicia de la UE. Por tanto, veremos por allá 2025 – 2026 si esta historia se repite o no por tercera vez.

Hecho este breve repaso, veamos las particularidades legales de Google Analytics 4, qué ventajas presenta a priori en materia de privacidad y si son o no suficientes frente alguno de los retos de futuro.

3.- Particularidades legales de Google Analytics 4

Por allá marzo de 2022, cuando GA4 fue anunciando, decía Google que el mismo estaba diseñado con la privacidad como elemento básico, tanto para usuarios y clientes.

Ciertamente GA4 tiene nuevas características que ponen el foco en la privacidad. Por ejemplo:

• Anonimización de la IP: en UA las IPs se recopilaban por defecto a menos que el usuario del servicio cambiara la opción. En GA4 la anonimización de la IP va activada por defecto y en principio no es ajustable por el usuario.
• Conservación de los datos: al margen de alguna excepción técnica para grandes tratamientos, GA4 solo permite almacenar los datos 2 o 14 meses. Por su lado, UA daba más flexibilidad en ese sentido.
• Modo consentimiento en etiquetas: por allá 2020 Google introdujo el modo consentimiento para modificar las etiquetas de traqueo o tags en función de los permisos que daban o no los usuarios. En GA4 esa opción está todavía más presente en cualquier tag que se configure, posibilitando que el usuario rechace indicar su navegador o el sistema operativo, entre otros datos.
• Localización de los datos: GA4 sigue sin permitir elegir el servidor en el que se tratan y localizan los datos, que en su mayoría acaban en EEUU (de ahí la catarata de decisiones de la agencias). Así que aquí el avance es inexistente y se deben seguir aplicando medidas extra, si no interesa o es un problema.
• Eliminación de datos: con GA4 es más sencillo diferenciar datos por usuario y eliminarlos si hiciera falta o se hubiera ejercicio el derecho de supresión. En UA solo era posible la eliminación en una franja de tiempo concreta.
• Evitar información obviamente personal: GA4 está más pensado para evitar que se use Google Analytics para recopilar información identificable tipo emails, teléfonos, domicilios y demás en el ID del usuario.
• Integración con otros servicios: GA4 simplifica limitar que se comparta la información recopilada con otros servicios como Google Ads o desactivar la personalización de anuncios.

Entonces, ¿utiliza Google Analytics 4 cookies? Sí, las que Google denomina propias para distinguir entre usuarios únicos y sesiones únicas por usuario individual. Lo que no requiere ahora la clásica cookie ga_ es establecer cookies para transmitir datos a y desde Google. La librería de JaveScript gtag.js es la que hace innecesario eso.

Ahora bien, ¿es suficiente Google Analytics 4 para salvar los problemas comentados por las agencias de protección de datos? Después de todo, ahora anonimiza la IP por defecto, ¿verdad?

En realidad lo que permite que la transferencia de datos haya dejado de ser un problema (hasta un potencial Schrems III) es el nuevo protocolo entre EEUU y Europa para transferencias internacionales. Como indicó la agencia de Dinamarca en su resolución, si bien UA y GA4 funcionan de forma diferente, tiene una base común, principalmente la creación de un ID único de usuario que se alimenta de otra información recopilada.

Incluso si se usa GA4 es su versión más privada, ese ID único se seguirá asignando y alimentando de información personal como la ubicación aproximada, hora de visita o interacciones en web. Eso incluso aunque GA4 no capta la IP sino que usa la ubicación aproximada del usuario para asignar un centro de datos (luego descarta la IP y envía la versión “anonimizada” a EEUU).

Es decir, todo indicaría que con GA4 no hay conexión directa entre el centro de datos de Google y la IP del usuario.

Pero para ese proceso, dice la agencia danesa, Google ha implementado firewalls en sus centros de datos como medida de seguridad para controlar el tráfico entrante. Y ahí sí puede recoger la IP al completo. Por tanto, incluso si no la hubiera recogido vía Google Analytics, podría haberla captado mediante ese otro tratamiento que cruzado luego con los datos de GA acabara desvelando la IP del usuario de GA4.

Y si hay IP, policía o servicios de inteligencia de EEUU podrían potencialmente descubrir quién hay detrás de la IP.

Es una opción algo rebuscada, pero no deja de ser cierta.

Por tanto, si no tuviéramos nuevo protocolo de privacidad entre EEUU y Europa, GA4 tampoco sería suficiente a nivel de transferencias internacionales.  Lo que es interesante a efectos de un potencial Schrems III en 2-3 años.

En resumen: Google Analytics 4 es el presente y en especial el futuro de Google a nivel de medición estadística en webs y apps. Es bastante más pro-privacidad que su predecesor, hasta el punto de permitir medir sin instalar cookies de terceros tipo DoubleClick. Pero eso no implica que no cargue cookies y además sigue instalando otros trackers, el ID único de usuario, que no deja de ser un identificador sujeto al RGPD.

Google Analytics ha tenido múltiples reveses de las agencias de protección de datos europeas por la ilegalidad de las transferencias internacionales cuando cayó Privacy Shield, hasta que en julio de 2023 llegó la nueva decisión de adecuación entre Europa – EEUU. Pero es ese protocolo el que vuelve a simplificar las transferencias internacionales, no GA4, que incluso en su configuración más privada no sería suficiente sin protocolo.

Ese último detalle será interesante a 2-3 años vista ya que Max Schrems ha dicho que volverá a llevara  tribunales el nuevo protocolo y tiene argumentos interesantes para volver a ganar.

Así que veremos cuánto dura este periodo de paz analítica. :p

Mientras tanto, será cuestión de usar y aplicar GA4 lo que mejor que se pueda gracias a sus avances en materia de privacidad.

¡Hasta el próximo Schrems!

La entrada Retos y oportunidades de Google Analytics 4 en privacidad se publicó primero en Términos y Condiciones.

La misma establece por primera vez el concepto legal de startup o empresa emergente (en su traducción al castellano) para entender que lo será cualquier empresa cuyo objetivo sea desarrollar productos, servicios o procesos que mejoren sustancialmente el estado de la técnica o impliquen riesgo de fracaso.

Según la Exposición de Motivos de la ley, las startups o empresas emergentes tienen características específicas que hacen difícil su encaje en el marco normativo tradicional: A) alto riesgo derivado de su alto contenido innovador; B) la incertidumbre sobre el éxito de su modelo de negocio; C) dificultades para financiar las fases iniciales; D) el potencial de crecimiento exponencial condicionado a través de economías de escala; E) su dependencia de la captación y retención de trabajadores altamente cualificados y de alta productividad desde las fases iniciales de la empresa y F) la exposición a una fuerte competencia internacional por captar capital y talento extranjero.

Por todo ello las empresas emergentes encajan mal con los marcos normativos tradicionales en el ámbito fiscal, mercantil, civil y laboral. De ahí que se justifique un tratamiento diferenciado respecto a empresas con modelos de negocio convencionales.

La nueva Ley presenta novedades en tres grandes áreas con el objetivo de generar beneficios de distinto tipo para ellas: i) beneficios fiscales para los emprendedores, trabajadores e inversores; ii) reducción de trabas administrativas y facilitación de visados y iii) flexibilidad en la gestión de la empresa y en la aplicación de los principios mercantiles y concursales.

1.- Beneficios fiscales para emprendedores, trabajadores e inversores

– Mientras tengas la condición de empresa emergente, ya sea por impuesto de sociedades o no residentes, se tributa al 15% los 4 primeros periodos impositivos. Además, se puede pedir aplazamiento (12 y 6 meses) del pago de la deuda tributaria de los dos periodos con base imponible positiva.

– Se extiende el aplazamiento del pago de las deudas tributarias durante los dos primeros años de actividad.

– No se disuelve la startup por pérdidas que dejen el patrimonio neto por debajo de la mitad del capital social hasta que no hayan pasado 3 años desde la constitución.

– Creación de stock options hasta un máximo del 20% del capital para administradores, empleados o colaboradores. Los rendimientos del trabajo derivados de entregar stock options estarán exentos de IRPF hasta 50 mil euros.

– Se bonifica al 100% durante tres años la cuota de autónomos a los trabajadores autónomos que posean el control efectivo de una empresa emergente y que paralelamente sean trabajadores por cuenta ajena.

– El inversor extranjero solo necesita NIF, no NIE, y tiene deducción en el IRPF al 50% con un máximo de 100 mil euros anuales.

2.- Reducción de trabas administrativas

– Se crea ventanilla única para tramitar visados y permisos de residencia por razones de interés económico.

– Nace el régimen de impatriados: si adquieres residencia fiscal en España puedes tributar por impuesto de no residentes.

– Se regula el perfil de nómada digital, creándose una nueva categoría de visado y de autorización de residencia. Se permite entrar y residir en España durante un máximo de un año mientras que sus titulares trabajan para sí mismos o para empleadores en cualquier lugar del mundo.

3.- Flexibilizar la gestión de la empresa

– Se favorece la equivalencia de los documentos emitidos en otros países, por ejemplo poderes de representación de notarios no españoles.

– Las empresas emergentes que operen en sectores regulados podrán solicitar a la autoridad administrativa reguladora de su ámbito de actividad una licencia de prueba temporal para el desarrollo de sus actividades por 1 año.

– Las universidades podrán crear o participar en entidades y empresas. Las empresas de base tecnológica spinoff que se formen serán consideradas empresas emergentes.

– En la concesión de subvenciones las condiciones de prestación de garantías que se dispongan serán flexibles para las empresas emergentes, en tema de garantías, por ejemplo.

Eso entre otras mejoras y beneficios.

Ahora bien, ¿qué hace falta para acceder a esas ayudas y beneficios? Estar certificado por ENISA, o el organismo en quien se haya delegado, como startup o empresa emergente.

Ese proceso de certificación se esperaba para finales de marzo de 2023 pero finalmente llegó el 21 de julio de 2023.

4.- El certificado de startup o empresa emergente

Según la Orden PCM/825/2023, de 20 de julio, por la que se regulan los criterios y el procedimiento de certificación de empresas emergentes que dan acceso a los beneficios y especialidades reconocidas en la Ley 28/2022, de 21 de diciembre, de fomento del ecosistema de las empresas emergentes, el proceso de certificación presenta los siguientes requisitos:

4.1.- Proceso online

Todo el proceso de certificación es online y un dato importante, aplica silencio administrativo positivo. Es decir, si en 3 meses ENISA no ha dado señales de vida, la solicitud se entiende como admitida.

4.2.- Datos básicos

Quien solicite el certificado de startup debe ser una empresa de nueva creación o una que lleve activa entre 5 o 7 años, según la actividad, y deberá presentar la siguiente información de empresa, representante y persona de contacto: denominación social, NIF, domicilio, teléfono, CNAE, actividad, poder notorial de representación, nombre y apellidos, DNI, cuentas anuales, certificados de Agencia Tributaria y Seguridad Social, escritura de constitución, modelo de declaración responsable, etc.

Destacar también que los grupos de empresa también pueden hacer la solicitud, lo que implica algunas particularidades a nivel de información.

4.3.- Criterios del carácter de emprendimiento innovador

La orden ministerial dice en sus artículos 4 y 5 que la empresa solicitante del certificado de empresa emergente deberá cumplir con unos criterios que evalúan el carácter de emprendimiento innovador de la empresa.

Si la empresa tiene un préstamo con ENISA de no más de 3 años y el mismo está en orden, esos criterios se dan automáticamente por cumplidos (también los del carácter escalable).

Si no fuera el caso, la empresa deberá demostrar que cumple una serie de criterios:

• Criterios objetivos para evaluar el carácter innovador del emprendimiento (por ejemplo, ser beneficiario de ayudas o inversiones en I+D+i, haber obteniod premios o reconocimientos, informes del Ministerio de Ciencia e Innovación, bonificaciones por contratar personal investigador, el Sello de PYME innovadora, etc.).
•  Desarrollar o utilizar patentes (aunque se excluyen las marcas y nombres comerciales, se incluye la protección de modelos de utilidad, diseños industriales, el registro de software, bases de datos, la protección de secretos empresariales, etc).
• Utilizar tecnología propia (por ejemplo, que en los dos años previos el 15% de los gastos totales se dirigieran a investigación, desarrollo e innovación tecnológica).
• Diferenciación en procesos de empresa, producto, servicios o modelo de negocio (por ejemplo, implementar nuevos métodos de producción o entrega, incluido el software, cambios en los componentes, materiales o técnicas de un producto o servicio, estrategias de marketing que hacen más único al producto o servicio en el mercado, etc).

4.4.- Criterios del carácter de emprendimiento escalable

Como en el caso de los criterios de carácter innovador, disponer de un préstamo con ENISA de no más de 3 años y que esté en orden automáticamente da por cumplidos estos criterios.

Si no fuera el caso, se valorarán los siguientes elementos para obtener el certificado de startup:

• Grado de atractivo del mercado (por ejemplo, barreras de entrada, demanda actual, competencia existente, capacidad para crecer exponencialmente, etc).
• Fase de la vida de la empresa (por ejemplo, si se opera con o sin productos/servicios en el mercado, tiempo que lleva activa la empresa, productos o servicios en desarrollo y tiempo esperado de llegada al mercado, etc).
• Modelo de negocio (por ejemplo, con previsiones de los próximos 4 años o resultados del primero, así como la actividad de la empresa, antecedentes, inversiones previstas y realizadas, financiación a 18-24 meses, etc.).
• Competencia (por ejemplo, ventajas e inconvenientes de los competidores, diferenciación, principales competidores, directos y reales, etc.).
• Equipo directivo (por ejemplo, la experiencia, formación y trayectoria del equipo, pudiéndose utilizar fuentes externas como Linkedin y demás para comprobar lo indicado).
• Socios y accionariado (por ejemplo, experiencia de los socios, grado de implicación, potencial solvencia económica, etc).
• Proveedores (por ejemplo, los principales proveedores y su grado de importancia).
• Clientes (por ejemplo, si ya se tienen, cuáles son los principales o potenciales, concentración de los mismos, etc).

En conclusión, obtener el certificado de startup o empresa emergente puede ser muy beneficioso pero es un proceso que requiere múltiple documentación respecto a diferentes cuestiones y aspectos de la empresa.

Además, es un proceso que pone de manifiesto la importancia de regularizar cuestiones legales como el registro de software, la propiedad industrial o los secretos empresariales de la empresa.

En definitiva, una gran oportunidad que merece la pena aprovechar y en la que podemos ayudar, ya sea en el proceso completo o requisitos puntuales del mismo

¡Feliz certificación!

La entrada Cómo obtener el certificado de startup o empresa emergente se publicó primero en Términos y Condiciones.

Por otra parte, los actores del mundo de los videojuegos están preocupados ya que los modders (fans que modifican las características de juegos para crear nuevo contenido), están clonando sus voces con inteligencia artificial para dar mayor realismo a esos nuevos niveles, personajes o historias.

En ese sentido, HoYoverse, uno de las desarrolladores de videojuegos más grandes de China, creadores del altamente popular Genshin Impact, usó en 2022 la clonación para reemplazar con inteligencia artificial la voz de una vocalista en un nuevo evento de un juego, ya que la actriz original no estaba disponible para trabajar.

Por si fuera poco, uno de los motivos de la huelga de actores en EEUU es el temor a las inteligencias artificiales generativas, por ejemplo por la posibilidad de recrear su rostro, imagen o voz y dejar de depender de ellos con tanta regularidad. Por ejemplo, se sabe que los estudios de Hollywood ya estaban sugiriendo clonar a los extras y su fisionomia por algo más de 200$ el extra, y a perpetuidad, para poder incluirlos en las películas que hicieran falta sin tener que contratarlos.

En resumen, que el reciente capítulo de la sexta temporada de Black Mirror, “Joan is awful”, ya no es tan ciencia ficción como podía parecer…

De acuerdo, parece que esto es más real de lo que parecía, pero desde la perspectiva de la protección de datos personales, que es desde donde vamos a analizar el supuesto, ¿puedo clonar una voz mediante inteligencia artificial?

Veamos las posibilidades.

Dato personal y biométrico

Para empezar, ¿qué es la voz desde la perspectiva de la protección de datos? Es un dato de carácter personal de acuerdo a numerosas resoluciones e informes de la Agencia Española de Protección de Datos.

El Tribunal Constitucional vino a decir lo mismo en el año 2000 al considerar que instalar micrófonos en determinadas dependencias de un casino con la finalidad de aumentar la seguridad, suponía “una intromisión ilegítima en el derecho a la intimidad consagrado en el art. 18.1 CE, pues no existe argumento definitivo que autorice a la empresa a escuchar y grabar las conversaciones privadas que los trabajadores del casino mantengan entre sí o con los clientes”.

También el Tribunal Supremo se ha pronunciado, concretamente en 2020, indicando que la voz será un dato personal si está asociada a otro dato (un teléfono, por ejemplo) o es “puesta a disposición de otras personas que pueden identificar a quién pertenece”.

Por tanto, si bien podría haber casos extremos en los que la voz no fuera un dato personal (por ejemplo, un audio breve de mala calidad, sin metadatos y sin pista alguna en las palabras pronunciadas), lo mejor es considerar que en la mayoría de supuestos lo es.

Aclarado eso, hay que resaltar que la voz no es un dato personal cualquiera, ya que en principio será un dato de tipo biométrico ya que hace referencia a “las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona”, según el artículo 4.14 RGPD.

Ahora bien, aquí hay bastantes más matices a realizar.

Como bien explica Janvier Parewyck, una cosa es el habla (en la que por ejemplo alguien podría identificarse al iniciar un discurso, lo que obviamente convertiría a ese dato en personal) y otra la voz como tal (que no dejan de ser los sonidos que los humanos reproducimos, pero que no tienen porqué incluir el habla o la expresión).

Un grito será obviamente una voz, pero muchas veces no formaría parte del habla.

Uno de los elementos que sugiere la necesidad de entender la voz como un dato biométrico es que la misma puede identificar a una persona de forma individual (especialmente en el caso de voces características), pero también puede dar a conocer su origen étnico y localización por el acento, su estado de ánimo o incluso una enfermedad.

Pero es cierto que dependerá mucho del audio y la voz que en el mismo pueda escucharse, hablar o no de dato biométrico y por tanto de un dato de categoría especial.

En ese sentido, otro elemento importante es el Considerando 51 del RGPD, ya que señala que un dato potencialmente biométrico no siempre será de categoría especial, dependiendo en realidad de la finalidad:

“El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física“.

En el mismo sentido se pronuncian las Directrices 2/2021 sobre los asistentes de voz virtuales del EDPB, en su página 25:

“El RGPD considera que la mera naturaleza de los datos no siempre es suficiente para determinar si estos reúnen los requisitos para ser considerados categorías especiales de datos ya que «el tratamiento de fotografías […] únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física» (considerando 51). El mismo razonamiento se aplica a la voz.”

Es decir, que si alguien dice en un audio que va en silla de ruedas debido a una enfermedad, no significa que debamos tratar automáticamente ese dato como un dato biométrico y de categoría especial ya que la finalidad (presente o futura) al recoger ese audio quizá no era revelar, deducir o extraer esa particularidad que sí podría convertir al dato en especial.

La página 18 de las Directrices 3/2019 sobre el tratamiento de datos personales mediante dispositivos de vídeo del EDPB tienen más ejemplos en ese sentido.

Por tanto, ¿será la voz siempre un dato personal? En la mayoría de casos.

¿Será también un dato de categoría especial al consistir en un dato biométrico dirigido a identificar de manera unívoca a una persona física? Dependerá especialmente de la finalidad que demos a esa voz, y de los elementos que la compongan y puedan facilitar o no la identificación de la persona.

Como último apunte, la distinción que la AEPD venía haciendo desde hace un tiempo entre identificación y autenticación a efectos de determinar o no el carácter biométrico de un dato, se ha saldado con un claro “Es indiferente” según las Directrices 05/2022 sobre el uso de tecnología para reconocimiento facial por los cuerpos y fuerzas de seguridad del EDPB.

Según su Considerando 12: “Aunque ambas funciones -autenticación e identificación- son distintas, las dos se refieren al tratamiento de datos biométricos relacionados con una persona física identificada o identificable y, por lo tanto constituyen un tratamiento de datos personales, y más concretamente un tratamiento de categorías especiales de datos personales”.

Por tanto, a la hora de determinar la finalidad de la voz la diferencia entre identificación y autenticación pierde la importancia que le daba la AEDP.

Dicho esto, ¿a qué escenarios podríamos hacer frente al clonar una voz con inteligencia artificial y cuál sería la base legal más adecuada?

Escenarios y bases legales

1.- Clonar la propia voz

Empecemos por lo fácil :p

Clono mi propia voz para experimentar con ello. Seguramente es donde menos dolores de cabeza podemos tener: excepción doméstica del art. 2.2 c) RGPD y adelante.

Sí habría que tener en cuenta, que a menos que hayamos desarrollado nosotros el software que hace la clonación, la herramienta de tercero que usemos sí tiene obligaciones legales respecto a nosotros y por nuestro lado podremos ejercer los correspondientes derechos.

2.- Clonar la voz de terceros

Aquí pueden darse diferentes posibilidades:

A) Amigos, conocidos o familiares

En muchos casos seguramente podríamos estar ante un nuevo supuesto de excepción doméstica del art. 2.2 c) RGPD. Por ejemplo, clonar la voz de mi sobrino, un amigo o mi hermano para hacerle hablar Klingon o como Homer Simpson pero con su tono de voz.

Nuevamente hay que tener en cuenta los derechos propios y de terceros respecto al servicio usado para clonar la voz mediante inteligencia artificial.

Pero podría ser un caso más serio (por ejemplo, un mod para el videojuego Skyrim que publico online, que dobla un amigo en castellano y que se doblará al inglés artificialmente). Ahí tendría mucho sentido requerir el consentimiento de esa persona.

En este escenario también podríamos acabar con la clonación de la voz mediante inteligencia artificial de una persona fallecida (no tan de ficción como parece). Eso está excluido del ámbito de la protección de datos, pero la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, artículo 3.1, sí contempla que por parte de las personas vinculadas al fallecido se pueda acceder a los datos que pudiera tratar un responsable. Y ahí podríamos estar hablando de audios o vídeos con voz de una red social que quieran usarse para su clonación.

B) Colaboradores, proveedores o clientes (relación mercantil)

Aquí estaríamos hablando de alguno de los escenarios comentados al inicio: actores de doblaje de todo tipo (series, películas, videojuegos, documentales, vídeos explicativos, audioguías, etc), cantantes, voces para anuncios, trailers, gestión de eventos, conciertos, entre otras.

Lo normal será tener contrato regulando la prestación del servicio, por ejemplo doblar una serie. Luego, según la finalidad para la que queramos tratar la clonación de la voz en particular (por ejemplo, el doblaje a otros idiomas con el mismo tono, para un contenido de carácter global y en un margen de tiempo breve) ya es cuando deberíamos analizar la base legal a aplicar.

La base legal contractual podría ser una, sin olvidar los límites que ha establecido la autoridad irlandesa en la sanción a Meta por usar la base contractual para publicidad comportamental, de enero de 2023.

El interés legítimo, con la opción de oponerse, podría ser otra opción. Aunque sin olvidar que quizá hay alternativas más proporcionales (voces enlatadas o actores locales, por ejemplo).

Finalmente, quizá la más “sencilla” y menos problemática base legal sería el consentimiento expreso o explícito, según el caso, de la persona contratada.

En los anteriores casos, y para los supuestos en los que la voz sea un dato de categoría especial, tener en cuenta la particularidad del artículo 9.2 e) RGPD cuando dice que no estaría prohibido el tratamiento referido a datos personales que el interesado ha hecho “manifiestamente públicos”. ¿Los cantantes y actores podrían tener un problema con este apartado?

Todo ello sin olvidar lo previsto en el artículo 7.6 de Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, según la cuál: “Tendrán la consideración de intromisiones ilegítimas en el ámbito de protección delimitado por el artículo segundo de esta Ley: La utilización del nombre, de la voz o de la imagen de una persona para fines publicitarios, comerciales o de naturaleza análoga.”

C) Empleados (relación laboral)

Finalmente, el escenario relativo a los empleados es donde parece más difícil poder justificar una base legal que no sea un consentimiento expreso o explícito.

Y obviamente podría afectar a cualquier de los perfiles mencionados anteriormente, solo que cambia la relación de mercantil a laboral.

En resumen: una de las muchas variantes de la inteligencia artificial es cómo permite ya reproducir de forma muy verosímil algunas de nuestras características más únicas, el rostro, los ojos, formas de moverse o la voz.

Si eso ocurre y quiero clonar la voz de alguien mediante inteligencia artificial, desde la perspectiva de la protección de datos debo recordar que será casi siempre un dato personal. Además, puede también ser un dato de categoría especial por ser biométrico, aunque en ese caso será importante la finalidad que demos a ese tratamiento.

Finalmente, según el escenario en el que se produzca esa “clonación”, doméstico, mercantil o laboral, la base legal que deberé tenerse en cuenta para tratar ese dato de forma correcta puede cambiar bastante.

Una más de esas cuestiones vinculada a la inteligencia artificial que parece muy lejana pero que en realidad ya está muy presente.

¡Ojo con los copiones de voz! :p

La entrada ¿Es legal clonar la voz mediante inteligencia artificial? se publicó primero en Términos y Condiciones.

El modelo de Groupon y los cupones de descuento fue extremadamente popular durante esos años en Internet, generando gran cantidad de copias y variantes que buscaban explotar las ansias que siempre tenemos por conseguir los mejores chollos online.

Como todo modelo de éxito ampliamente copiado, el mismo ha generado versiones tenebrosas y no tan legales (y eso que las versiones iniciales de Groupon eran “vulneraciones generalizadas de la normativa sobre consumo”, como dijo la oficina nacional de UK en 2012).

Una de las versiones tenebrosas más populares durante estos últimos años han sido los sitios online que ofrecen cupones o bonos de descuento en viajes u hoteles, prometiendo packs de 10, 20 o 40 descuentos (de distinto porcentaje) aplicables en una amplia lista de hoteles a cambio de abonar por anticipado una cantidad que va de los 160 a los 300 euros, normalmente. Quizá la empresa más conocida respecto a esta práctica sea Ocio Hoteles, con múltiples denuncias y quejas a sus espaldas.

Pero no es para nada la única, empresas como Travel-Private, TuryPeople, BonosHoteles y tantas otras operan un modelo similar y también acumulan un considerable número de quejas. De hecho, muchas estaban centralizadas en Málaga, donde hace unos meses fueron detenidas 8 personas por la estafa de las “40 noches de hotel”, siendo acusados de estafar más de 2 millones de euros.

Una de las principales excusas legales que suelen usar estos servicios para intentar desanimar a la víctima cuando se da cuenta del timo y solicita la devolución de lo abonado, es que el usuario cuando compra los cupones de descuento está adquiriendo contenido digital.

Es decir, que de acuerdo al artículo 103 m) de la Ley General para la Defensa de los Consumidores y Usuarios (en adelante LGDCU), en esos casos no aplica el derecho a desistir (dar marcha atrás o rechazar la compra), al haber consentido el usuario previamente de forma expresa a perder ese derecho (normalmente durante la llamada telefónica inicial, que la empresa suele grabar a efectos de luego intentar probar ese hecho).

En los asuntos donde hemos tenido que gestionar este tipo de denuncias, la empresa ciertamente insiste muchísimo en la idea de que se ha adquirido contenido digital y que se ha  aceptado perder ese derecho.

¿Pero es legalmente correcta esa argumentación? La realidad es que no, por múltiples razones y ya entendamos el cupón de descuento como un contenido digital (normalmente en forma de código numérico proporcionado vía email) o como un medio de pago (que sería la interpretación más correcta actualmente, según la reciente Directiva 2019/770 relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales).

Si entendiéramos el bono o cupón de descuento como un contenido digital, normalmente proporcionado en forma de código numérico mediante email, la argumentación de este tipo de empresas es incorrecta por diversas razones:

1.- El artículo 103 m) de la LGDCU que se se suele citar en las condiciones legales de esas webs no es normalmente el correcto, ya que el mismo fue modificado el 28 de Mayo de 2022 por el Real Decreto 24/2021.

El actual es bastante más largo que el anterior.

Simplemente por ese error, ya podría considerarse que la cláusula de las condiciones es nula de acuerdo al artículo 86.1 LGDCU, que dice que serán abusivas: “En particular las cláusulas que modifiquen, en perjuicio del consumidor y usuario, las normas legales sobre conformidad con el contrato de los bienes o servicios puestos a su disposición”.

2.- Para que a un usuario que adquiere contenido digital se le aplique la excepción del artículo 103 m), el usuario debe haber consentido ese hecho ANTES de iniciarse la ejecución. Pero ese consentimiento no es uno cualquiera, debe ser expreso, tal y como indican los artículos 98.7 b) y 99.2 LGDCU.

Durante la conversación telefónica inicial, este tipo de empresas intentan conseguir esa renuncia y dejarla grabada para usarla en caso de queja. Pero suelen dar tanta información de golpe y a toda velocidad, para despistar al usuario, que raramente ese consentimiento es suficientemente expreso como para cumplir con la ley.

3.- La excepción del artículo 103 m) únicamente aplica cuando la ejecución haya comenzado. El enunciado del artículo en ese sentido es claro “El suministro de contenido digital que no se preste en un soporte material cuando la ejecución haya comenzado…”

A muchas de las víctimas de estos casos, la propuesta les empieza a oler mal mucho antes de usar los descuentos. Por tanto, no ha habido ejecución. La simple adquisición de la tarjeta/código nunca puede contar como ejecución.

Por tanto, esos serían algunos de los argumentos que usaríamos contra el discurso de la empresa de que se ha adquirido contenido digital y se ha renunciado al derecho de desistimiento al adquirir los cupones de descuento.

Ahora bien, si entendemos que los bonos o cupones de descuento como los comentados NO son contenido o servicios digitales, entonces no hay duda que lo argumentado por la empresa no tiene ningún sentido.

De hecho, la  Directiva 2019/770 relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales dice en su Considerando 23 que:

“Las representaciones digitales de valor, como los vales electrónicos o los cupones electrónicos, son utilizadas por los consumidores para pagar diferentes bienes o servicios en el mercado único digital. Tales representaciones digitales de valor son cada vez más importantes en relación con el suministro de contenidos o servicios digitales, por lo que deben considerarse un método de pago en el sentido de la presente Directiva. Las representaciones digitales de valor también debe entenderse que incluyen las monedas virtuales, en la medida en que estén reconocidas por el Derecho nacional. La diferenciación en función de los métodos de pago podría ser motivo de discriminación y ofrecer un incentivo injustificado a las empresas para orientarse hacia el suministro de contenidos o servicios digitales a cambio de representaciones digitales de valor. Sin embargo, dado que las representaciones digitales de valor no tienen otra finalidad que servir como método de pago, no deben ser consideradas por sí mismas un contenido digital o un servicio digital en el sentido de la presente Directiva.”

Es decir, los bonos o cupones de descuento son medios de pago (como las tarjetas prepago, tarjetas regalo, vales electrónicos y otros derivados). Por tanto, no son un contenido o servicio digital a los que aplique la excepción del artículo 103 m) LGDCU.

Con la Directiva 2011/83 y su definición de contenido digital en el Considerando 19 podía debatirse sobre si los cupones o bonos de descuento online eran o no un contenido o servicio digital. Pero ahora ya no hay duda.

Y esa normativa es aplicable en España desde el 28 de mayo de 2022.

En este caso, donde los cupones de descuento son medios de pago sin más, lo que debe aplicarse es el derecho de desistimiento puro y duro: 14 días para desistir, mediante el formato oficial o no, si se desiste en plazo pero se ha consumido en parte lo adquirido, normalmente aplicar el descuento correspondiente a la devolución.

En conclusión:

A) Ojo con las ofertas de cupones de descuento online o telefónicas para noches de hotel o viajes, ya que numerosas empresas lo que ofrecen son fraudes.

B) Si las has adquirido, tienes derecho a desistir o que te devuelvan lo abonado en los primeros 14 días.

C) Si la empresa argumenta que al ser contenido digital lo adquirido renunciaste a ese derecho, legalmente están equivocados por los argumentos expuestos anteriormente.

D) Si no aceptan la devolución denuncia ante tu organismo de consumo o incluso a la policía.

¡Suerte con ello!

La entrada El desistimiento en contenido digital y los cupones de descuento se publicó primero en Términos y Condiciones.

Esos términos y condiciones son lo que la ley llama “Condiciones generales de contratación”. Es decir, las cláusulas no negociables que se incorporan a un contrato (por ejemplo, al comprar unos zapatos o participar en un concurso online) normalmente por una de las partes (el vendedor o titular de la web o app), y que tienen como objetivo ser incorporadas en múltiples contratos (desde cientos a millones) de igual forma (sin posibilidad de negociación individual).

Esos términos y condiciones pueden aplicarse tanto a profesionales (una empresa que contrata el alojamiento de su web profesional) como a consumidores (un particular que se suscribe a Netflix). Para asegurar que esos términos y condiciones no son ilegales, la ley exige que puedan ser conocidos antes de contratar, que se redacten de forma transparente, clara, concreta y sencilla. Y en el caso de dirigirse a consumidores (alguien que usará lo adquirido para su disfrute personal, no para su actividad profesional), esos términos y condiciones no deben incluir cláusulas abusivas.

Por tanto, cuando estás creando tu app, web, tienda o evento online y simplemente copias los términos y condiciones de algo que se parece, es como intentar reutilizar un molde pensado para una receta y producto, pero en otro parecido aunque no exactamente igual.

Pero digamos que has tenido buen ojo y has encontrado un molde bastante ajustado a tu caso. Buen trabajo.

En todo caso, no hay que olvidar que a los términos y condiciones también se les llama comúnmente “la letra pequeña”. Eso se debe a que el molde tiene muchos más aristas y particularidades de las que podría parecer (legislación aplicable, tipo de producto o servicio o necesidades propias de negocio, entre otros).

Es en esa letra pequeña donde el molde puede empezar a bailar, desencajar y dar más problemas de los que aparentaba inicialmente.

Veamos 4 razones por las que la letra pequeña de ese molde en forma de términos y condiciones que has copiado puede darte más dolores de cabeza de los aparentes:

1.- Datos incorrectos

La normativa sobre condiciones generales de contratación, los términos y condiciones, obliga a identificar al titular de la web, app o tienda online, desde su nombre (ya sea particular o empresa), a su domicilio, NIF, datos del registro mercantil o correo de contacto, entre otros.

Si haces un simple copiar/pegar es posible que incluyas datos incorrectos, pero el error más típico en ese caso es olvidar algún dato que sí te correspondía incluir, por ejemplo los del registro mercantil si eres una empresa española. Como seguramente habrás copiado los términos y condiciones de una empresa extranjera y ahí no se les exige eso, tú no los incluirás y entonces tienes riesgo de ser sancionado con ello.

Los datos incorrectos o ausentes (pero exigidos por la ley) también pueden ser otros como autorizaciones, licencias administrativas, certificaciones o datos de contacto, entre otros.

Sea como sea, la no inclusión de los datos del registro mercantil en los términos y condiciones ha sido sancionado en los últimos años con multas que van de los 800 a los 1.200 euros.

2.- Normativa equivocada

Cuando copias los términos y condiciones de una web o app parecida, normalmente la empresa (o empresas, si usas términos y condiciones de varias webs) será de otro país. Por tanto esos términos y condiciones han sido elaborados teniendo en cuenta normativa de otros países. En ocasiones esas otras leyes pueden ser parecidas, si la empresa está en Europa, pero pueden ser muy diferentes si por ejemplo son de EEUU u otra región.

Un error muy típico cuando se copian términos y condiciones de webs o apps de otros países es el relativo a los tribunales aplicables en caso de conflicto. Si tu negocio se dirige a consumidor final, siempre deben aplicar los tribunales del domicilio del usuario (es decir, no puedes decir que aplicarán los tribunales de Madrid sin más, ya que es una cláusula abusiva según el artículo 90.2 de la Ley General de Defensa de los Consumidores y Usuarios). Además, debes informar sobre el sistema europeo online para resolución de conflictos.

Si unos términos y condiciones han sido copiados, muchas veces no se incluye mención al sistema europeo para resolución de conflictos y es habitual incluir cláusulas que hablan de tribunales o leyes aplicables. Es decir, cláusulas abusivas cuya inclusión nos puede costar dinero.

Ese tipo de infracciones suele sancionarse en la práctica con multas que van de los 2.000 a los 4.000 euros.

3.- Ventajas desaprovechadas

Si copias los términos y condiciones de tu web o app estás dejando pasar oportunidades y ventajas que la normativa te permite usar, siempre y cuando las regules en tus términos y condiciones.

Por ejemplo, cuando un usuario decide ejercer su derecho de desistimiento y quiere devolver algo adquirido (el libro que ha comprado en tu tienda online, por ejemplo) el empresario puede obligar a que el usuario asuma los costes de la devolución, pero para ello es necesario que lo incluya en los términos y condiciones (artículo 108.1, párrafo segundo de la Ley General de Defensa de los Consumidores y Usuarios).

Por no hablar de las exclusiones de responsabilidad, políticas de cancelación, gestión de derechos de propiedad intelectual u otras cuestiones que el titular de la web, tienda o app puede aprovechar en su favor si las regula en los términos y condiciones, como pide la normativa.

Sin embargo, si los términos y condiciones usados son copia de otros, muchas de esa ventajas individuales es probable que no se contemplen y se pierdan.

4.- Datos personales

Dos de los términos y condiciones más típicos son la Política de Privacidad y la Política de Cookies, dos textos que sirven para regular los datos personales captados, para qué se usan, qué puede hacer el usuario respecto a ellos y qué hará el titular de la tienda, web o app si recibe una solicitud del usuario. La Política de Cookies es similar pero en relación a las cookies que implementa la web o app, qué recogen y cómo limitar su impacto.

Sin embargo, si uno simplemente se dedica a copiar los términos y condiciones sin ajustarlos mínimamente a su proyecto, corre el riesgo de regular equivocadamente los datos personales que capta, cómo los usa, las bases legales que aplica y otros requisitos legales. Es decir, puede incumplir con el derecho de información que tiene el usuario del producto o servicio.

Eso normalmente es sancionado por la Agencia Española de Protección de Datos (AEPD) con sanciones que van de los 1.000 a los 3.000 euros. Como muestra un botón, resolución de la AEPD del 26 de abril de 2023 por la que sanciona con 1.000 euros a una web por política de privacidad deficiente.

En conclusión, ¿puedes copiar términos y condiciones? Claro, solo faltaría.

¿Implican un riesgo legal? Sí, por las razones indicadas. Además desaprovechas oportunidades que la ley te proporciona.

¿Esos riesgos cuánto pueden costarme? Con números realistas en la mano, no las estimaciones más grandes de la normativa, el riesgo económico de copiar unos términos y condiciones (incluyendo Política de Privacidad, Política de Cookies y Condiciones de Uso y Contratación) va de 2.500 a 7.000 euros.

Mientras tanto, ¿cuánto me costarían unos términos y condiciones propios? Ni la tercera parte de esos 2.500 euros (entre 500 y 800 euros en asuntos no comunes).

Por tanto la inversión en términos y condiciones es más rentable de lo que puede parecer, ahorrándote un buen dolor de cabeza y más de un disgusto económico.

Si necesitas unos, puedes contactarnos aquí.

La entrada 4 razones por las que no copiar términos y condiciones se publicó primero en Términos y Condiciones.

El chatbot es un gran modelo de lenguaje ajustado con técnicas de aprendizaje, tanto supervisadas como de refuerzo., que a partir del modelo GPT-3.5 de OpenAI, consigue respuestas sorprendentemente articuladas y detalladas.

De hecho, el Departamento de Educación de Nueva York ya ha prohibido su uso en los colegios por miedo a que sirva para hacer chuletas altamente sofisticadas.

Como el chatbot tanto te puede crear un programa informático sencillo, como escribir una redacción para la clase de inglés, hacer un poema o sugerirte cómo darte de baja en Netflix, he pensado que podía ser interesante ver cómo lo hace a la hora de redactar cláusulas de privacidad muy comunes, como las de alta, webinar, blog, newsletter, el aviso de cookies y otras parecidas.

Son cláusulas muy estándar que se repiten de forma regular. Por tanto, tendría sentido que ChatGPT para ese tipo de tarea pudiera ser una buena ayuda o incluso un sustituto.

¡Así que vamos a ello!

Empezamos con un clásico, el Aviso de Cookies.

Importante indicar que la primera consulta ha buscado siempre ser lo más genérica posible, sin dar muchas pistas.

En ese sentido, decir que mientras más se desarrolla la pregunta, mejor es la respuesta. De hecho, ChatGPT recuerda las indicaciones anteriores que se le dieron en la misma conversación, lo que se nota mucho a la hora de redactar las cláusulas.

Es decir, si uno hacía la misma pregunta en una conversación nueva y no siguiendo una conversación en la que se han realizado múltiples apuntes y ajustes, la falta de detalle y calidad en la respuesta se nota bastante.

Lo veremos luego en un ejemplo concreto.

La primera cláusula para el aviso de cookies es muy genérica y contiene un error que ya anticipo que no he conseguido deshacer, a pesar de los muchos ajustes: la inclusión del consentimiento tácito.

Todas las versiones generadas respecto al aviso de cookies, incluso la de inglés, siempre dicen que el uso de la web implica la aceptación de las cookies. Pero sabemos que ya no es el caso desde la llegada del RGPD.

Supongo que eso es un buen ejemplo de cómo un error legal muy común, ya que muchos avisos de cookies siguen diciendo eso, condiciona la veracidad y calidad del dataset en un asunto jurídico.

En materia legal esto es más común de lo que parece, donde existen creencias populares sobre cuestiones jurídicas comunes que en realidad son erróneas. Por tanto ojo, ya que cuando el dataset está basado en información pública mayormente, esos errores jurídicos comunes va a seguir extendiéndose.

Sea como sea, el recordatorio incluido en cada uno de los ejemplos una vez creada la cláusula, sí dice que debe recopilarse el consentimiento antes de usar las cookies. Así que en parte ChatGPT acierta.

La segunda versión del aviso de cookies, detallando el tipo de cookies y la posibilidad de rechazar y configurar:

El resultado es sorprendentemente bueno, sabiendo describir el tipo de cookie. Pero de nuevo falla con el tema del consentimiento tácito.

Un tercer intento con el aviso de cookies, detallando ahora que deben ser aceptadas o rechazadas antes de su instalación, que deben poder ser rechazadas todas y configuradas individualmente:

ChatGPT ofrece aquí la mejor versión sin duda. Pero a pesar de todos los ajustes, sigue insistiendo en que la navegación es igual a aceptar las cookies (aunque antes diga que no se instalarán sin haber sido consentidas).

Por ver si era un problema de idioma, también probé con una versión en inglés, pero seguía insistiendo en el mismo error del consentimiento tácito:

En general el aviso de cookies es más que correcto con el problema de la frase sobre el consentimiento tácito. Aunque al menos en la tercera versión están incluidas ambas opciones.

Probamos ahora con una cláusula de privacidad para un formulario de contacto:

La respuesta en sencilla pero correcta.

Como puede observarse, ChatGPT siempre incluye en todas las respuestas un recordatorio relativo a la necesidad de ser transparentes y requerir el consentimiento.

Una segunda versión del formulario de contacto, recordando que debe indicarse la base legal y los derechos a ejercer:

Sin que nadie le haya dicho nada, elige como base legal el interés legítimo, que podría ser perfectamente correcto en este caso, y enuncia correctamente todos los derechos del usuario.

Buena respuesta.

Probamos ahora con la cláusula de privacidad para un formulario de alta:

De nuevo, buena respuesta y sorprendente detalle al describir algunos de los datos que se recopilarán.

Nos deja con la duda de si aplica consentimiento o no para el envío de comunicaciones, pero el “Y en su caso” diría que da a entender que sí.

Probemos ahora con una cláusula para los comentarios en un blog:

Nuevamente, buena respuesta y razonando con bastante lógica las finalidades.

Probemos ahora ChatGPT con una cláusula de privacidad para un newsletter:

De nuevo, sorprendentemente buena. Quizá se viene algo arriba con lo del interés legítimo para personalizar el correo y ofrecer productos y servicios de interés, pero en lo básico está correcta.

Para demostrar la importancia de lo que enseñamos a ChatGPT y cómo recuerda lo que le vamos contando, aquí la diferencia al crear una cláusula para el alta en un webinar si se hace en una nueva conversación o en una conversación con muchos ejemplos y ajustes previos.

NUEVA CONVERSACIÓN

CONVERSACIÓN CON MUCHOS EJEMPLOS PREVIOS

Como puede observarse, la pregunta era la misma pero el resultado es muy diferente si ChatGPT ha tenido preguntas y apuntes previos que le permiten precisar mucho más y saber dónde ha fallado.

De hecho, la segunda respuesta es francamente buena.

Viendo que la cosa progresaba bien, decidimos subir un poco la dificultad y sugerirle que redactara una cláusula de privacidad para una tienda online, indicando el responsable del tratamiento, la base legal y la necesidad de configurar el envío de publicidad mediante un consentimiento opt-out.

De inicio tuvimos algunos fallos:

Pero tras algunos ajustes y esperar casi un minuto de reloj, conseguimos lo siguiente:

No empezó mal, pero a ChatGPT definitivamente se le atragantó el tema del consentimiento opt-out. Por tanto, aquí regular tirando a error.

Y ya que estábamos, le pedimos que nos redactara un contrato de encargado de tratamiento, pero sorprendentemente sugirió las pautas de lo que debería tener ese contrato (aunque en verdad eran cláusulas más propias de un contrato de prestación de servicios común).

También en inglés dio el mismo resultado.

Eso sí, nos recuerda que el contrato debería ser revisado por un abogado antes de su firma. :p

En resumen:

– Para ser un prototipo, tiene ya aciertos importantes (las cláusulas para newsletter, formulario de contacto, alta, webinar o blog eran correctas en su totalidad o mayoría).

– Guiarlo o darle pautas cada vez más concretas definitivamente ayuda en el resultado, ya que el sistema recuerda lo hablado. Lo que quiere decir que quizá ahora mismo sea mejor para abogados en prácticas que para emprendedores con ganas de gastar poco, ya que la falta de conocimiento previo condiciona bastante el resultado.

– A pesar de las pautas que uno introduzca, parece que hay errores jurídicos inevitables si la fuente usada está plagada de ese error: por ejemplo, el omnipresente consentimiento tácito en los avisos de cookies. Lo que pone de manifiesto la importancia del dataset y los datos de entrenamiento usados, y su corrección.

– A pesar de los éxitos, es obvio que cuando la dificultad de la tarea aumenta también empeora la respuesta, a pesar de los ajustes que se le den. De hecho, en algunas respuestas ni tan siquiera sugiere un modelo (el del contrato de encargado de tratamiento) sino las pautas del mismo (y las mismas no son correctas).

Por tanto, hoy por hoy ChatGPT seguramente no sustituya a ningún abogado en materia de privacidad, aunque sí puede ser útil para inspirarlos y ahorrarles algo de trabajo. Pero a medio – largo plazo no me cabe duda que Facilita RGPD y otras herramientas similares para generar la papelería más básica en privacidad serán reemplazadas por herramientas como ChatGPT.

Quién sabe, quizá ése también sea el futuro de algunas consultoras en privacidad que van a los más básico de lo básico, acabar siendo sustituidas por un chatbot.

La entrada ¿Sirve ChatGPT para redactar cláusulas de privacidad? se publicó primero en Términos y Condiciones.

Aunque hay formas de ver algunos partidos gratuitamente, por ejemplo los de la selección española a través de RTVE, si quieres ver los 64 partidos del Mundial solo puedes hacerlo adquiriendo el servicio de Mediaset, Gol Mundial.

Gol Mundial es una OTT (over-the-top) creada por Mediapro por y para el Mundial de Qatar 2022. Las OTT son servicios de transmisión libre​ de audio, vídeo y otros contenidos pero a través de internet. Es decir, sin la implicación de los operadores tradicionales en el control o la distribución del contenido.

En este caso, Gol Mundial se trata de un servicio de pago único que nació el 20 de noviembre y realizará su última transmisión el 18 de diciembre, con la final del Mundial.

El funcionamiento del servicio es sencillo: debes registrarte y hacer un pago único de 19,99 euros. Ello te da acceso a Gol Mundial. También puedes pagar por ver un partido puntual por 9,99 euros o adquirir un decodificador Android TV junto a la suscripción por 79,99€.

A este servicio se le aplican múltiples condiciones legales. Para empezar las de la propia web: Condiciones de Uso, Política de Privacidad y Política de Cookies.

Al leer la Política de Privacidad hay un primer punto que nos llama la atención: entre la información recopilada por Gol Mundial hay un “finger print” o huella digital que aparecerá periódicamente en pantalla cada vez que veas los partidos.  Consiste en un código de 8 caracteres (mezcla letras y números) que se muestra siempre al iniciar la visualización de un partido y aleatoriamente durante la retransmisión.

Según la Política de Privacidad, ese código sirve para poder identificar a aquellos clientes que hacen un uso indebido o fraudulento del servicio, siendo la base legal para el tratamiento de ese dato un interés legítimo basado en la investigación y prevención de transacciones fraudulentas, acceso indebido o no autorizado al servicio y otras actividades ilegales.

Es decir, no puedes piratear la señal. Por ejemplo, si la contratas a título personal pero luego la usas en tu bar, consulta o incluso el lugar de trabajo. Aunque no se explica el funcionamiento del sistema de “fingerprint”, lo normal es que el código se utilice para identificar si la cuenta está siendo usada en más de un lugar a la vez.

Hay que recordar que Gol Mundial solo puede contratarse para uso personal. Si uno quiere retransmitir legalmente el mundial en su bar, restaurante o local, debería hacerlo mediante la opción BarTV.

El sistema usado recuerda un poco al utilizado por LaLiga y su app para identificar la retransmisión de fútbol pirata mediante marcas de agua sonoras detectadas a través de los móviles de los usuarios de la app. Asunto que acabó con sanción de 250.000 euros y que ahora está camino del Tribunal Supremo.

En cualquier caso, los términos y condiciones indicados no son los únicos aplicables a Gol Mundial, a la que también aplican: unas Condiciones de Contratación Particulares, unas Condiciones de Contratación Generales y una Política de Privacidad específica.

Las Condiciones Particulares señalan que el uso no autorizado o ilícito del servicio por el cliente puede implicar la adopción de las medidas legales pertinentes por Media Producción. Y entre esas medidas, están las indicadas en el apartado 5.5 de las Condiciones Generales.

Ahí se encuentra la medida que da título a este artículo: una penalización mínima de 5.000 euros en “incumplimientos menos graves” y “a pequeña escala” si implican la comunicación pública de la señal de Gol Mundial. Es decir, la retransmisión de un partido en un bar, restaurante, centro comercial, hospital, autobús, tren, local o centro de trabajo, entre otros. 

Si bien es lógico que Gol Mundial dé por finalizado el servicio en esos casos, la penalización puede ser más problemática al tratarse con consumidores. Por ejemplo:

– Nunca se definen los conceptos de “incumplimiento menos grave” o “pequeña escala”, lo que siempre es problemático en condiciones generales de contratación.

– Además, el artículo 85.6 de la Ley General para la Defensa de Consumidores y Usuarios, indica que las cláusulas que impongan una indemnización desproporcionadamente alta al consumidor que no cumpla sus obligaciones, serán consideradas abusivas y por tanto nulas.

Gol Mundial solo existirá durante un mes y su coste es de 20 euros. Penalizar con mínimo 5.000 euros en casos no exactamente definidos de comunicación pública, podría tener la consideración de indemnización desproporcionada (en especial si el concepto de consumidor es aplicable).

En conclusión, si adquieres el servicio de Gol Mundial y ves un código apareciendo en tu TV o dispositivo, no es un error, es un identificador que el servicio asocia a tu cuenta para descubrir si pirateas la señal.

¿Quiero eso decir que no la puedo compartir con amigos o familiares? Se supone que eso también sería contrario a las Condiciones Particulares y Generales, pero seguramente en ese caso lo único que ocurra es que te quedes sin servicio.

Otra cosa es que contrates el servicio a título personal para usarlo luego en un local, bar, restaurante o cualquier otro espacio en el que pueda darse un caso de comunicación pública. En ese supuesto podrías enfrentarte a un mínimo de 5.000 euros de penalización, además de la cancelación del servicio. De todos modos, si la normativa sobre consumidores fuera aplicable en ese caso podría cambiar bastante las cosas.

¡Sea como sea, feliz Mundial!

La entrada Compartir tu acceso de Gol Mundial podría costarte 5.000€ se publicó primero en Términos y Condiciones.

En Top Gun: Maverick aparece el actor Val Kilmer volviendo a interpretar el papel de Iceman. Sin embargo, el actor se había retirado ya que perdió la voz en 2014 tras un cáncer de garganta. Entonces, ¿cómo es que lo vemos hablar con su voz original? Porqué clonaron su voz mediante inteligencia artificial, creando una réplica de la original.

Eso es un ejemplo de clonación digital, concretamente la recreación de audio o voces mediante inteligencia artificial, creando réplicas de los originales. Este año hemos tenido bastantes más ejemplos solo en esta área.

Ese ejemplo de Val Kilmer es una muestra de lo que está ocurriendo lenta pero inexorablemente desde hace años, la recreación digital de todo lo que somos y hacemos. En ocasiones para su análisis, otras para predecir su comportamiento o simplemente para extender artificialmente la vida de personas o cosas más allá del orden natural.

A esa corriente se le está llamando “Digital Cloning” o clonación digital, entendida normalmente como la manipulación de audio, vídeo, imágenes o datos de otro tipo para replicar de forma hiper realista algo o alguien.

Por ejemplo, a finales del mes de agosto todos pensamos que Bryant Cranston, el protagonista de Breaking Bad, estaba bailando el “Despechá” de Rosalía. En realidad era un deepfake o vídeo manipulado para generar una réplica hiper realista del rostro del actor. Eso es clonación digital.

Otro ejemplo, Sofi Stadium, el estadio de los LA Rams y Chargers en la NFL norteamericana, tiene un “digital twin” o gemelo digital. Es decir, un modelo digital hiper realista del estadio y el terreno a su alrededor para controlar en tiempo real el edificio, su mantenimiento o predecir su deterioro. Hasta los fans pueden interactuar con él mediante una app.

He ahí otro ejemplo de clonación digital.

Si nos vamos al ejemplo más extremo tenemos la iniciativa 2045, que persigue la inmortalidad cibernética mediante la transferencia de la personalidad y mente de un individuo más allá de su cuerpo, creando un clon digital hiper realista que pueda vivir para siempre.

Eso último puede sonar mucho a ciencia ficción, y en buena parte todavía lo es, pero paso a paso vamos hacia ese camino. Como muestra un botón, en junio de este año Amazon anunció que Alexa era ya capaz de hablar con la voz de alguien fallecido con poco más de 1 minuto de audio de muestra: “Alexa, ¿me cuentas un cuento con la voz del abuelo?”

Por tanto, la inmortalidad digital es otra variante de clonación digital.

Obviamente todo lo relacionado con la clonación digital engancha francamente bien con el metaverso, especialmente en aquellas versiones que buscan la recreación realista de nuestro mundo en otro universo.

Como puede observarse, la post-realidad ha llegado para quedarse (o sustituirnos, según se vea). Y sin duda dará mucho qué hablar.

Ahora bien, ¿cuáles son sus vertientes legales a valorar?

Simplemente introduzco los principales puntos, ya que los desarrollaré con mucho más detalle en los diferentes post dedicados a las múltiples vertientes de la clonación digital.

En primer lugar tenemos una cuestión de propiedad intelectual e incluso industrial. Desde el uso de las imágenes, audio u otro tipo de datos necesarios, a la titularidad de los desarrollos de software vinculados, la protección de los clones, su eventual licencia, etc.

En segundo lugar hay una obvia cuestión relativa a la gestión de datos personales. Para crear muchos de esos clones digitales se requieren datos personales y además normalmente muchos son biométricos (rostros, voces, gestos, etc). Si además entramos en materia de clonar mentes, ya el análisis de riesgos se nos dispara.

En tercer lugar el carácter anti discriminatorio de algunos de esos clones digitales, especialmente de aquellos que busquen simular modelos basados en comportamientos de personas y a través de los mismos se tomen decisiones con consecuencias jurídicas o similares.

En cuarto lugar la auditoría de los algoritmos, data sets, sistemas y demás elementos que conforman las múltiples inteligencias artificiales necesarias para crear la mayoría de esos clones digitales.

En quinto lugar todo lo vinculado al derecho al honor, intimidad y propia imagen, especialmente cuando el objetivo es replicar la imagen, voz o incluso pensamientos de personas fallecidas.

En sexto lugar, las obligaciones en materia de ciberseguridad vinculadas al alto nivel de sensorización que implican muchos proyectos de clonación digital, especialmente los que crean gemelos digitales de edificios o infraestructuras como sistemas de transporte, comunicaciones u hospitales, entre otros.

Finalmente, y en séptimo lugar, la publicidad e identificación de esos clones digitales, especialmente cuando están dirigidos al consumidor final. ¿Cómo sé que lo que veo, escucho o se comunica conmigo es real?

Todas estas cuestiones y otras muchas vinculadas a la clonación digital las iremos comentando en detalle en lo que queda de año a lo largo de varias publicaciones sobre gemelos digitales, deepfakes, clonación de pensamientos, influencers digitales, metaverso y demás.

Bienvenidos a la post realidad.

La entrada La clonación digital y sus aspectos legales se publicó primero en Términos y Condiciones.

Hoy vamos a hablar de la responsabilidad de los bancos cuando se produce un ciberdelito. Como sabemos, determinadas estafas informáticas engañan a la víctima y a la vez eluden las medidas de seguridad de las entidades bancarias. Este mal funcionamiento de los mecanismos de protección puede derivar en una responsabilidad para las entidades bancarias.

Este tipo de delitos se centran en obtener las credenciales bancarias del usuario a fin de poder realizar operaciones sin su consentimiento o inducirle a pensar que la operación es correcta. Pero en realidad está realizando operaciones equivocadas, enviando el dinero a otra cuenta de destino.

Con independencia del método empleado por el atacante (phishing, fraude al CEO y sus múltiples variantes) la clave de estas operaciones radica en que se producen operaciones no consentidas por el usuario y que las medidas de seguridad de la entidad bancaria no han sido capaces de reaccionar.

2.- ¿Hay responsabilidad del banco cuando se produce un ciberdelito o es responsable la víctima?

Aunque ésta es la primera pregunta que mucha gente se plantea ante estos supuestos, debemos recordar que el “el gran responsable” es el atacante y en general las acciones judiciales siempre deberían ir encaminadas a su localización y enjuiciamiento.

Si bien, siempre debemos tener en cuenta que el ordenamiento jurídico impone a los distintos operadores del mercado financiero una serie de obligaciones, proporcionales al rol que ocupan, que deben cumplir para el buen funcionamiento de este.

De esta forma, a pesar de que el atacante sea un tercero y su conducta sea perseguible y punible, en ocasiones debe analizarse si las acciones del resto de partes afectadas han sido correctas o bien, han podido propiciar, favorecer o permitir el daño.

3.- Responsabilidad de los bancos cuando se produce un ciberdelito

La responsabilidad en este tipo de asuntos y con respecto a las entidades bancarias es de carácter civil.  Que se define como la obligación de toda persona (física o jurídica) de pagar por los daños y perjuicios que cause (directa o indirectamente) en la persona o el patrimonio de otra. 

La responsabilidad civil puede surgir de muchísimas formas y tendrá un tratamiento distinto en función del ámbito o suceso. Así, no se aplican las mismas normas en los accidentes de tráfico o laborales que en negligencias médicas o estafas informáticas.

En el caso que abordamos en el presente artículo, la posible responsabilidad de los bancos cuando se produce un ciberdelito, surge de la obligación que la ley impone a estas entidades de autenticar las operaciones de pago y garantizar así que el cliente ha consentido dicha operación.

Estas obligaciones fueron reforzadas por el Real Decreto-ley 19/2018 el 25 de noviembre de 2018, de servicios de pago y otras medidas urgentes en materia financiera . En todo caso, conviene recordar que no son nuevas y que desde hace tiempo se ha condenado a los bancos a devolver las cantidades sustraídas en supuestos en los que habían desatendido sus obligaciones o no aplicado medidas de seguridad suficientes.

3.1.- ¿Cómo era anteriormente?

En concreto los artículos 30 y 31 de la ya derogada Ley 16/2009, de 13 de noviembre, de servicios de pago determinaba que:

– El proveedor de servicios de pago debe demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia.

– El mero registro de la utilización del instrumento de pago no es bastante para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste actuó de manera fraudulenta o incumplió deliberadamente o por negligencia grave una o varias de sus obligaciones.

– En caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante le devolverá de inmediato el importe de la operación no autorizada y, en su caso, restablecerá en la cuenta de pago en que se haya adeudado dicho importe el estado que habría existido de no haberse efectuado la operación de pago no autorizada.

Es decir, ya desde hace bastantes años se viene imponiendo a las entidades bancarias la obligación de demostrar la autenticación y exactitud de la operación y la obligación de devolver las cantidades si no puede demostrar ese cumplimiento de sus obligaciones.

Destacan por ejemplo las Sentencias de la Audiencia Provincial de Barcelona de 7 de marzo de 2013, la de la Audiencia Provincial de Zaragoza de 14 de mayo de 2013, la de la Audiencia Provincial de Valencia en su Sentencia de 26 de noviembre de 2014, la de Sección 9ª de la Audiencia Provincial de Madrid de 4 de mayo de 2015, la de la Audiencia Provincial de Badajoz, Sección 2ª de 7 de febrero de 2013 y la de la Audiencia Provincial de Albacete de 23 de febrero de 2016, coincidentes todas ellas en que la antigua ley ya establecía un sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio de pago y que “en este ámbito de la contratación electrónica, el prestador del servicio deberá reembolsar el importe de la sustracción a su cliente con el que tuviera contratado el servicio de pago electrónico en operaciones no autorizadas por éste, presumiéndose la falta de autorización si lo niega”, con las exclusivas salvedades de que el cliente haya actuado con negligencia grave o haya actuado fraudulentamente.

3.2.- ¿Cómo es ahora la legislación en materia de responsabilidad de los bancos cuando se produce un ciberdelito?

Actualmente esta norma ha sido sustituida por el El Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de Pago, que incorporó a nuestro ordenamiento interno la Directiva (UE) 2015/2366 del Parlamento y del Consejo, de 25 de noviembre, sobre Servicios de Pago en el Mercado Interior.

Esta nueva norma no hace sino reforzar la necesidad de que las entidades bancarias implementen las medidas de seguridad necesarias para asegurar la identidad del ordenante y la autenticación de la operación, generando un entorno más seguro y fiable para los usuarios, aprovechando las innovaciones tecnológicas producidas en los últimos años, con un marco de responsabilidad cuasi-objetiva para la entidad bancaria.

Así, esta normativa obliga a las entidades bancarias a que las órdenes de pago se realicen mediante una autenticación reforzada. Es decir, la autenticación que ya tradicionalmente se exigía, ahora debe ser doble, mediante el uso de la clave personal y, además un factor biométrico o una clave aleatoria que debe ser enviada al usuario para revalidar la operación.

Además, Reglamente Delegado (UE) 2018/389 establece que los bancos deben disponer de mecanismos de supervisión de las operaciones que les permitan:

• Detectar operaciones de pago no autorizadas o fraudulentas. 

• Poder detectar que los elementos de autenticación (las claves personales) han sido comprometidas o sustraídas.

• Deben detectar señales de infección por programas informáticos maliciosos en el proceso de autenticación. 

• Analizar las pautas o hábitos de consumo de los usuarios a fin de identificar operaciones sospechosas.

• Detectar si los comercios receptores de la operación son seguros.

• Bloquear la operación, en caso de detectar un fraude y ponerse en contacto con el usuario-consumidor.

De esta forma, en caso de una operación fraudulenta, la entidad bancaria deberá demostrar el cumplimiento de todas esas obligaciones y medidas de seguridad.

Aún así, en muchas ocasiones, cuando se produce una estafa informática tipo phishing,  advertiremos que la operación consta autenticada, registrada y contabilizada. El problema es que el cliente no fue quien autorizó la operación de forma expresa, consciente y voluntaria, sino que lo hizo un tercero.

En estos casos debemos recordar que según la Ley de Servicios de Pago, las operaciones de pago sólo se consideran autorizadas cuando el ordenante haya dado su consentimiento y que este consentimiento, al igual que todos en nuestro ordenamiento, no este viciado.

Sirva como ejemplo la Sentencia de la Audiencia Provincial de Alicante de 12 de marzo de 2018 estableció que:

“…la responsabilidad del proveedor de los servicios de banca online es de riesgo y consecuentemente, es por ley que a la entidad corresponde acreditar que la operación ordenada sí fue auténtica y que no estuvo afectada por un fallo técnico o por otra deficiencia como, por ejemplo, por un ataque informático de naturaleza fraudulenta al sistema bancario que hubiera permitido el acceso a las cuentas de sus clientes y disponer ilícitamente, de las mismas ordenando operaciones en detrimento de aquellos…

Las medidas de seguridad no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes sino que su eficacia exonera a las entidades de crédito de sus responsabilidades frente a las órdenes de pago no emitidas por sus clientes de tal forma que el incumplimiento de este específico deber de vigilancia da lugar a una responsabilidad por ”culpa in vigilando” o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica.”.

Además de lo anterior, debemos recordar que la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, establece en su artículo 2.1.a) la condición de sujetos obligados para las entidades de crédito, lo que conlleva un deber legal de cumplir con una serie de obligaciones en materia de prevención de blanqueo de capitales y de financiación del terrorismo que se detallan en dicha Ley y en las disposiciones reglamentarias de desarrollo. 

Entre estas obligaciones, el artículo 17 de la Ley 10/2010, de 28 de abril, establece que los sujetos obligados examinarán con especial atención cualquier hecho u operación, con independencia de su cuantía, que, por su naturaleza, pueda estar relacionado con el blanqueo de capitales o la financiación del terrorismo, reseñando por escrito los resultados del examen.

Así, las entidades bancarias, además de lo dicho, deben examinar con especial atención toda operación o pauta de comportamiento compleja, inusual o sin un propósito económico o lícito aparente, o que presente indicios de simulación o fraude, con el objetivo de evitar que los fondos que tengan su origen en actividades delictivas se canalicen a través del sector bancario. 

De esta forma, las entidades bancarias también desde el punto de vista de esta normativa deben aplicar medidas dirigidas a detectar las operaciones sospechosas antes de que se lleven a cabo, con el objeto de evitar que los fondos de procedencia ilícita se introduzcan en el sistema y en segundo lugar evitar que se realicen futuras operaciones con el mismo patrón.

4.- Responsabilidad del usuario

¿Puede tener responsabilidad el usuario? 

La respuesta es sí, aunque sólo en casos excepcionales. La ley indica que será responsable si actúa de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave (no basta la simple o leve falta de diligencia) una o varias de sus obligaciones.

De esta forma, el usuario/víctima, no tendrá ninguna responsabilidad de la operación en la mayoría de supuestos. Salvo casos en los que por ejemplo habiendo perdido el instrumento de pago y los credenciales no lo comunicara con prontitud.

Conclusiones

1.- El mercado financiero es un sector ampliamente regulado a fin de que sea seguro para los consumidores y usuarios.

2.- Esta legislación impone a las entidades bancarias y proveedores de servicios de pago la obligación de establecer medidas de seguridad suficientes para que los consumidores no realicen operaciones inconsentidas o indebidamente consentidas.

3.- En caso de fraude o estafa online, además de iniciar las correspondientes acciones para localizar y enjuiciar al culpable, en la mayoría de ocasiones puede reclamarse al banco la devolución de los importes.

4.- Aún así, el usuario siempre deberá velar por el cumplimiento de las obligaciones que le son propias y actuar con la diligencia que le es exigible.

La entrada Responsabilidad de las entidades bancarias en los ciberdelitos se publicó primero en Términos y Condiciones.

Hoy vamos a hablar de distintos supuestos de estafas con criptomonedas, si bien, antes de llegar a ello, revisaremos brevemente el concepto de estafa y las diversas formas de cometerla que ha ido recogiendo nuestra legislación Penal hasta la fecha.

El nombre de “estafa” aparece por primera vez en el Código Penal de 1822, cuyo artículo 766 contenía un concepto enumerativo atendiendo a las diversas formas o medios para cometerla, definiéndola así: 

“Cualquiera que con algún artificio, engaño, superchería, práctica supersticiosa y otro embuste semejante, hubiese sonsacado a otro, dinero, efectos o escrituras, o le hubiere perjudicado de otra manera en sus bienes, sin alguna circunstancia que le constituyere en verdadero ladrón, falsario o reo de otro delito especial”.

Esta fórmula, con más o menos medios comisivos o formas de ejecución, se mantuvo en el tiempo en los sucesivos códigos de 1848, 1870, 1928 y 1944. Después de los “parches” de 1963 y 1973 y siguiendo la definición acuñada por Antón Oneca se alcanzó en 1983 el concepto legal unitario de la estafa:

 “La conducta engañosa, con ánimo de lucro, propio o ajeno, que, determinando un error en una o varias personas, les induce a realizar un acto de disposición consecuencia del cual es un perjuicio en su patrimonio o en el de un tercero”.

De esta forma, el delito de estafa quedó configurado con una serie de elementos esenciales como son:

1) La utilización de un engaño previo, por parte del autor del delito, y bastante como para generar un riesgo no permitido para el bien jurídico.  La suficiencia, idoneidad o adecuación del engaño ha de establecerse con arreglo a un baremo mixto objetivo-subjetivo, en el que se pondere tanto el nivel de perspicacia o comprensión del ciudadano medio como las circunstancias específicas que individualizan la capacidad del sujeto pasivo en el caso concreto. 

2) El engaño ha de desencadenar el error del sujeto pasivo de la acción.

3) Debe darse también un acto de disposición patrimonial del sujeto pasivo, debido precisamente al error, en beneficio del autor de la defraudación o de un tercero. 

4) La conducta engañosa ha de ser ejecutada con dolo y ánimo de lucro. 

5) De ella tiene que derivarse un perjuicio para la víctima, perjuicio que ha de aparecer vinculado causalmente a la acción engañosa (nexo causal o naturalístico) y materializarse en el mismo, el riesgo ilícito que para el patrimonio de la víctima supone la acción engañosa del sujeto activo.

Estos elementos, aunque en apariencia, fáciles de interpretar, nunca han estado exentos de discusión. Destacando sobre todo la difícil concreción de lo que es un engaño y lo que se considera “bastante”.

Pues esa fórmula que hemos llamado “Baremo mixto objetivo-subjetivo” implica analizar, interpretar y ponderar en cada caso tanto el nivel de perspicacia o conocimiento del ciudadano medio como las circunstancias específicas que individualizan la capacidad del sujeto pasivo en el caso concreto.

Viendo a lo largo de la jurisprudencia histórica supuestos que no se han considerado estafa cuando las víctimas sean “profesionales expertos en la materia, conocedores de lo que compran (STS 156/1996, de 21 de febrero)”, que más que un engaño el perjuicio se deba a “la negligencia en informarse (STS 40/2003, de 17 de enero)” o que el engaño sea realmente burdo y torpe como en el caso de quien “acude a mediums, magos, poseedores de poderes ocultos, echadoras de cartas o de buenaventura o falsos adivinos, cuyas actividades no puedan considerarse como generadoras de un engaño socialmente admisible que origine o sean la base para una respuesta penal. En estos casos, por lo general, se considera que el engaño es tan burdo e inadmisible que resulta inidóneo para erigirse en el fundamento de un delito de estafa” (STS 89/2007, de 2 de febrero)

Si bien, esta concepción unitaria de la estafa, sin casuística o medios de comisión no nos duró demasiado.

Nuevas formas, nuevos delitos

En este sentido la STS de 19 de abril de 1991 estimó que la conducta del apoderado de una entidad financiera que, mediante la manipulación de las órdenes informáticas de transferencia, se apoderó de sumas de dinero de los clientes, no constituía estafa sino apropiación indebida:

“Mal puede concluirse la perpetración de un delito de estafa por parte del procesado, al impedirlo la concepción legal y jurisprudencial del engaño, ardid que se produce e incide por y sobre personas, surgiendo en el afectado un vicio de voluntad por mor de la alteración psicológica provocada. La «inducción» a un acto de disposición patrimonial sólo es realizable frente a una persona y no frente a una máquina, implica una dinámica comisiva con acusado substrato ideológico.”

Con razón se ha destacado que a las máquinas no se las puede engañar, a los ordenadores tampoco, por lo que los casos en los que el perjuicio se produce directamente por medio del sistema informático, con el que se realizan las operaciones de desplazamiento patrimonial, no se produce ni el engaño ni el error necesarios para el delito de estafa. Sin engaño, elemento cardinal de la estafa, no puede entenderse producida ésta”.

Del mismo modo, en la STS 1853/1993, de 21 de julio, ante la utilización de un artilugio consistente en introducir una moneda de cien pesetas que estaba sujeta con papel celofán a un hilo de pesca para reproducir la jugada innumerables veces hasta que la máquina daba el premio; acto calificado como un delito de robo.

Ante este tipo de nueva casuística, vinculada al desarrollo de la tecnología, se empezaron a realizar nuevas reformas en todos los Códigos Penales de Europa.

En concreto, la Decisión Marco del Consejo de Ministros de la Unión Europea, de fecha 28 de Mayo de 2001 “obligó” a realizar diversas reformas. Éstas, en cierta medida, volvían a introducir el tipo de redacción que incluye medios comisivos y tipificación de actos preparatorios.

En esta modalidad se dan todos los requisitos ya examinados a excepción de dos: el engaño y el error, habida cuenta de que la conducta del sujeto activo se despliega sobre una máquina, respecto de la cual no puede hablarse de engaño o de padecimiento de error y “Solventa la imposibilidad de la acusación de demostrar el uso posterior de esos concretos programas o ante los gravísimos problemas de prueba sobre la conexión del programa con estafas concretas posteriormente realizadas, pues el tipo anticipa la punición a un acto preparatorio.”

Con ello y tras algunos ajustes, se ha llegado a la redacción actual de la estafa. Recogiendo los anteriores requisitos esenciales y añadiendo supuestos en los que el error o el engaño se produce de manera indirecta a través de la tecnología:

“248.2. También se consideran reos de estafa:

a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.

b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo.

c) Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero.”

“Delito Mutante”

Estos cambios legislativos se deben sin duda a que la estafa es, por encima de casi cualquier otro delito, un delito sujeto a “mutaciones”, como si de un virus se tratara.

Así, lo normal es que las formas en las que se comete el engaño vayan mutando con el tiempo. Si se parecen a algo que conocemos serán más “creíbles”.

De esta forma, era habitual en el pasado, el “timo del falso pariente”, el timo del “príncipe nigeriano” o los famosos timos de la estampita. Si bien ahora ya raras veces surten efecto.

Sin embargo, ahora es fácil encontrar llamadas, correos electrónicos o SMS de quien simula ser una empresa con la que estemos familiarizado. Empresas de transporte/Correos indican que hay un problema o que falta por pagar gastos de envíos, aduanas, impuestos, etc.  Webs “raras” con precios especialmente bajos en Navidad, Black Friday, Ciber Monday, San Valentín… . Campañas para ayudar a “afectados por” el volcán de la Palma, Ucrania o similar. Mensajes falsos de Hacienda o de una entidad bancaria diciendo que van a bloquear nuestra cuenta y un largo etcétera.

Es decir, en la estafa, el engaño siempre aprovecha las circunstancias para aumentar sus posibilidades de éxito.

Nueva Variante: estafas de inversión en criptomonedas

Hoy por hoy, por su complejidad, número de personas afectadas y cantidad económica defraudada, podemos decir que tenemos una nueva variante dominante en el mundo de las estafas: las estafas de inversión en criptomonedas.

El número de estos “proyectos” de inversión en criptomonedas ha aumentado exponencialmente últimamente y algunos o muchos de ellos han desembocado en procedimientos judiciales de enorme envergadura donde se investiga si responden en realidad a una estafa.

Entre los más famosos están Nimbus, Kuailian, Mind Capital, Africrypt, Generación Zoe, Tokens de Squid Game o Algorithms Group, entre otros. Si bien son muchísimas las plataformas de este tipo que en los últimos años están desarrollando una operativa defraudatoria similar.

Esquema de funcionamiento de las estafas de inversión en criptomonedas:

– Utilizan la imagen de personajes famosos y medios de comunicación reconocidos para dar credibilidad al negocio. Sin embargo, seguramente la página web sea de reciente creación, el dominio lo acaban de comprar y las imágenes que utilizan son de “catálogo”.

– Van a prometer siempre unas ganancias de forma rápida y una rentabilidad muchísimo más alta que otro tipo de inversiones. En general utiliza términos complejos (para que creamos que son expertos) y presumir de una tecnología única (bots, high-frequency trading, índices sintéticos, etc.). Aunque si se pudiera comprobar, veríamos que no disponen de estudios claros que respalden su operativa. 

– En el primer momento, la inversión inicial que nos solicitan es baja (sirve como cebo). Suelen incluso ofrecerla como si fuera algo único o una oferta especial para nosotros. Con esto intentan que nos sintamos “afortunados” y actuemos de forma precipitada sin consultar o comparar con otras posibilidades del mercado.

Tampoco son raros los supuestos en los que se ofrece formación en productos financieros, asistencia a charlas o eventos. Tienen el objetivo de crear un “grupo” que comparta afinidades y que el estafado se sienta cómodo.

– En todo momento nos van a asegurar que es una operación sin riesgos. Algo expresamente prohibido por la ley en relación a este tipo de productos. Incluso nos compartirán historias de personas que se han hecho ricas con esta fórmula mágica.

– Una vez realizada la primera transferencia, lo más habitual, es que nos asignen un usuario y una contraseña para acceder a una página web. Ahí, podremos ver la supuesta  y maravillosa evolución de la primera inversión. 

En esa plataforma los estafadores nos mostrarán cómo se multiplica o triplica en un período muy corto de tiempo. Pero la realidad es que que no está realmente vinculada al mercado ni a ningún tipo de inversión. 

Con ello, sucederán una serie de acontecimientos importantísimos para el éxito de la estafa:

• Nos ofrecerán sacar la rentabilidad que hemos generado (para demostrar la seguridad de la operación y mantener la confianza que hemos depositado en ellos). A ellos no les preocupa ese porcentaje, no es una rentabilidad. Es una parte de lo que tú mismo les has dado, que te devuelven como si fuera una rentabilidad. Lo importante es que tú te quedes tranquilo para que el siguiente “golpe” surta efecto.

• A su vez, nos informarán de la posibilidad de reinvertir esa rentabilidad y empezar a generar rentabilidad sobre la base de un “interés compuesto”. Con esto normalmente consiguen una “jugada maestra”. Tú te has quedado tranquilo, porque podrías haber recuperado la rentabilidad prometida y feliz por esta nueva y mejor oportunidad de inversión. Ellos no han tenido que devolverte ni un céntimo.

• Te indicarán a su vez que si invitas a personas de confianza, tu recibirás comisiones y además podrás optar a una nueva forma de inversión. Esa nueva “oportunidad” es siempre “más rentable” pero “lógicamente” requiere que inviertas mucho más dinero. 

A través de ese esquema, lo que nos encontramos en realidad son diversas maniobras para conseguir una estafa a gran escala.

1. Basada en afinidades, afiliaciones e incluso creencias (algunos supuestos empiezan a ser conocidos como “criptosectas”).
2. Configuradas bajo un esquema piramidal (a través de la inclusión de nuevos inversionistas).
3. Con un funcionamiento tipo Ponzi (donde lo que recibes es en realidad una fracción de la aportación de los siguientes inversores).

Al final, en todos los casos ocurre algo similar: llega un momento en que la estructura piramidal es demasiado ancha como para que los nuevos inversores captados aporten capital suficiente como para cubrir esas rentabilidades prometidas. Comienzan los retrasos, los impagos, los problemas para retirar fondos e incluso que pagues comisiones para que te devuelvan el dinero.

Qué hacer para evitar caer en una estafa de inversión en criptomonedas y qué hacer si hemos confiado en alguna de estas empresas

En primer lugar, debemos tener claros los puntos anteriores, ya que todos ellos deben indicarnos que no estamos ante una empresa de confianza. Además, hay que considerar siempre que:

– Los instrumentos financieros como las criptodivisas, son instrumentos complejos, sujetos a gran riesgo y a una regulación muy específica. Nadie puede asegurar o prometer grandes rentabilidades.

– Nunca debemos tomar decisiones de inversión de manera precipitada, sin informarnos, contrastar y consultar. 

– No existen fórmulas mágicas en el mercado bursátil ni en el de criptomonedas. Si alguien presume de tenerlas, malo.

– Si nos solicitan dinero en efectivo o pagos a través de criptomonedas, es indicio de “no querer dejar rastro”.

– Todo este tipo de operaciones deben ser realizadas por entidades que cuenten con la correspondiente autorización de la Comisión Nacional del Mercado de Valores. Siembre podemos consultar si hay algún aviso en el siguiente enlace:  https://www.cnmv.es/Portal/BusquedaAdvertencias.aspx?lang=es

Si nos hemos visto afectados, debemos recabar y organizar toda la información de la que dispongamos: web, teléfonos, nombres, emails y justificantes de las inversiones.

Y con ello,  acudir a la policía o consultar con un despacho especializado en la materia para interponer la correspondiente denuncia o incluso acudir a tribunales para recuperar lo invertido o perdido.

La entrada Las estafas de inversión en criptomonedas se publicó primero en Términos y Condiciones.