Marcas, nombres de dominio y Facebook

La usurpación de nombres de dominio ha sido desde los comienzos de Internet una materia de gran preocupación para las empresas y grandes marcas que veían como, de una forma fácil, cualquiera podía adquirir dominios idénticos o similares a los suyos. El problema posterior no era sólo las sumas de dinero que tenían que pagar para poder recupéralos, sino también el coste en imagen que ello les suponía por cuanto muchos de estos dominios contenían páginas Web pornográficas y de otro tipo de contenidos que poco o nada tenían que ver con su actividad. De igual forma, no solo las empresas se han visto privadas de sus dominios, también celebridades y personajes públicos han tenido que ver como sus nombres eran “ciber ocupados”.

En la actualidad se está produciendo una nueva modalidad de usurpación o utilización no autorizada de nombres de personajes y marcas a través de las redes sociales mediante la creación de páginas, por ejemplo en Facebook, dedicadas a un personaje o marca en concreto.

Actualmente la mayoría de los  conflictos entre nombres de dominio genéricos (.com, net,), se resuelven a través del sistema de resolución de conflictos de la Organización Mundial de la  Propiedad Intelectual (OMPI) regulado en la Política Uniforme para la Resolución de Controversias en materia de nombres de dominio aprobado por el organismo encargado de la asignación de los nombres de dominio  (ICANN).  Respecto a los dominios: “.es”, también es posible recurrir al sistema de la OMPI, si bien también existen otros proveedores autorizados para la resolución de conflictos como el Consejo Superior de Cámaras de Comercio. El procedimiento, para los dominios .es, está regulado en el Reglamento de resolución extrajudicial de conflictos, aprobado el 7 de noviembre de 2005.

En ambos  supuestos, el procedimiento es rápido, relativamente poco costoso y básicamente, consiste en acreditar que:

1.        En primer lugar, el nombre de domino ha de ser idéntico o similar hasta el punto de crear confusión con respecto a una marca de productos o de servicios sobre la que el demandante tiene derechos.

2.        El demandado no ha de tener derechos o intereses legítimos respecto del nombre o de los nombres de dominio.

3.        El nombre o los nombres de dominio han sido registrados y se utilizan de mala fe.

Un panel de expertos se encarga de decidir en base a las pruebas presentadas por el demandante si procede no reasignar el nombre de dominio, siendo fundamental acreditar los tres puntos indicados anteriormente.

Atención especial merece el primero de los requisitos ya que es importante disponer de una marca o nombre comercial registrado previamente. En caso contrario deberá acreditarse la notoriedad de la marca en el mercado. En el supuesto de personajes famosos, deportistas profesionales, actores etc, deberá coincidir además,  el nombre de dominio con el nombre utilizado en el ámbito profesional en el cual sean conocidos. Casos como los de la actriz Julia Roberts o el futbolista Ronaldinho, son claros ejemplos de celebridades que han tenido que recurrir a la mediación de la OMPI  para recuperar su dominio. La notoriedad de ambos en sus respectivos ámbitos era suficiente para acreditar los derechos previos. En los casos en los que se aplique la normativa española, además de la normativa de marcas, la Ley Orgánica de Derecho al Honor, Intimidad, y Propia imagen otorga a los nombres de personas protección frente a la usurpación de la identidad en Internet.

Por otra parte, este riesgo de usurpación se está trasladando asimismo a las redes sociales convirtiéndose en una fuente de conflicto y de riesgo para las empresas, motivada por la facilidad con la que pueden crearse páginas, por ejemplo en Facebook, con el nombre de una marca, empresa o personaje famoso. Esta situación puede producir un perjuicio grave en la imagen y reputación por cuanto los contenidos generados, opiniones quedan directamente asociados a la marca y escapan al control “editorial” de la empresa. Por otra parte genera confusión entre los internautas e implica el desvío de usuarios a páginas no oficiales en Facebook que en su caso se pudiesen crear.

Internamente  Facebook dispone de mecanismos de denuncia que permite a quien se considere perjudicado en sus derechos de propiedad industrial e intelectual iniciar un procedimiento para eliminar la página en cuestión.

En sentido contrario, en ocasiones, estas páginas albergan verdaderas comunidades de usuarios, activas y bien administradas que pueden constituir una oportunidad para las empresas como “laboratorios” de opinión de sus productos o servicios. Llegar a acuerdos de colaboración con sus administradores puede constituir también una solución beneficiosa para las empresas.

Sin embargo la facilidad y rapidez con la que estas proliferan está obligando a las empresas a ampliar sus servicios de vigilancia de marcas tradicionales para que detecten y defiendan sus intereses en las redes sociales y en general en Internet.

Cambios en la normativa europea de protección de datos

El pasado 25 de enero la Comisión Europea presentó una propuesta de regulación de la protección de datos personales que modificará sustancialmente el panorama normativo sobre esta materia.

El aumento en el uso de Internet, la obsolencia de la Directiva actual, la fragmentación normativa existente en Europa, la necesidad de reforzar la protección del ciudadano, así como la reducción de las cargas administrativas que suponen para empresas y organizaciones la aplicación de la normativa son las principales causas que han motivado este profundo cambio.

El objetivo por tanto se centra en la aprobación de una normativa que resulte directamente aplicable a todos los países miembros, sin tener que pasar por una trasposición como en el caso de las Directivas, tal y como se produce en la situación actual, y que ha dado lugar a la existencia de 27 normas nacionales de protección de datos. Normativas diferentes en muchos casos en su desarrollo, complejas y de muy difícil aplicación en tratamientos realizados por grupos de empresa con presencia en diferentes países de la Unión.

Las cargas administrativas derivadas de las obligaciones de notificación de ficheros, la autorización para transferencias internacionales de datos, sin olvidar, la odisea administrativa que supone la aprobación de las denominadas “binding corporate rules” que en su origen pretendía facilitar la transferencia de datos entre grupos de empresa multinacionales, se eliminan o bien se limitan para determinados casos especiales.

Los derechos de los ciudadanos, y en particular su reforzamiento frente al desarrollo tecnológico, constituye también un elemento importante en el nuevo marco regulatorio.  Esta aspiración se traduce en la incorporación de nuevos principios como el de transparencia, “privacy by design”, “derecho al olvido” o “portabilidad”. Principios muy ligados a contrarrestar el poder de la tecnología y negocios relacionados con internet: buscadores, redes sociales, redes de publicidad, etc cuyo modelo de negocio está basado en la explotación de información personal. Una muestra de esta preocupación ya se vió plasmada en la modificación de la denominada Directiva Cookie, que obliga a obtener el consentimiento previo del usuario antes de introducir cookies en su equipo. Directiva no transpuesta en la mayoría de los países miembros de la UE y cuya aplicación está resultando más que conflictiva.

Ambicioso y de muy difícil aplicación resulta el principio del derecho al olvido sobre todo en información publicada en Internet, cuyo control por parte del responsable una vez colgado en la red resulta del todo imposible. Si gigantes como Google o Facebook no cumplen en la actualidad con la Directiva Europea, que son los que indexan y comparten la información, las empresas poco podrán hacer en este sentido.

El consentimiento, piedra angular del derecho a la protección de datos, también queda retocado añadiendo, por ejemplo, el carácter explícito a los requisitos que ha de reunir para otorgarle validez, eliminado otras opciones como el consentimiento tácito. Queda reconocido asimismo en la propuesta el carácter  especial del consentimiento otorgado en el entorno laboral otorgándole una legitimación limitada para determinados tratamientos de datos.

Las empresas y entidades que traten datos personales deberán por su parte adoptar medidas para asegurar y demostrar el cumplimiento de la normativa, estableciendo las políticas, controles y formación necesarias, haciendo accesibles a los sujetos las políticas de protección de datos. También deberán implantar medidas de seguridad adecuadas a la tipología de datos tratados. Respecto a ¿cómo? y ¿qué medidas?, y esto es una tónica en el redactado de la propuesta, se prevé un desarrollo separado para determinar el alcance de las mismas. Algunos términos como; estado de la técnica o coste económico van a permitir adaptar las medidas a la estructura de las empresas. Destacable además la obligación de notificar las violaciones de seguridad (Data Breach) a las agencias supervisoras en menos de 24 h y la posibilidad de comunicarlo también a los sujetos afectados.

Se crea asimismo la figura del “Data Privacy Officer”, de implantación obligatoria en el sector público y en empresas de más de 250 trabajadores. Deberá  ser experto en derecho de protección de datos y sus funciones detalladas quedan concretadas en la supervisión y cumplimiento de la regulación. Tendrá que comunicarse su identidad a la autoridad supervisora.

El sistema sancionador previsto intenta evitar que a las grandes compañías les compense  incumplir con la normativa y por ello se establecen multas en función del porcentaje del volumen de negocio, hasta el 5% en algunos casos.  Poco afortunado, en mi opinión, resulta el derecho que se reconoce a los sujetos a recibir una compensación por la entidad responsable en caso de infracción, si ya con la normativa actual se utiliza habitualmente como instrumento de amenaza, generar una expectativa económica supone abrir una puerta peligrosa.

En el supuesto de grupos de empresa con presencia en varios países miembros, la autoridad supervisora competente, será aquella donde se ubique el establecimiento principal. Con esta medida se prentende designar un único interlocutor. Las demás autoridades supervisoras deberán cooperar con aquella en las acciones que realice de control del cumplimiento de la regulación.

En definitiva nos encontramos ante una reforma ambiciosa en su alcance, con cambios importantes que afectaran a la forma no ya de cumplir sino de gestionar el cumplimiento de la normativa de protección de datos. Prueba del alcance y la importancia de la reforma es, como ha dicho la propia Comisaria Vivianne Reding la presión absolutamente feroz que han ejercido por parte de lobbies durante diseño de la misma.