Blog

  • ¿Nos están grabando la llamada? Guía práctica y marco legal en España para saberlo (y actuar)

    ¿Nos están grabando la llamada? Guía práctica y marco legal en España para saberlo (y actuar)

    En un contexto en el que la telefonía sigue siendo clave para la relación cliente-empresa y para la actividad profesional, crece la inquietud sobre si una conversación puede estar siendo grabada sin conocimiento de todos los interlocutores. Para un público jurídico, la cuestión exige separar señales técnicas verificables de mitos, y, sobre todo, encajar correctamente el tratamiento de esas grabaciones en el marco normativo español (Constitución, Código Penal y normativa de protección de datos), con impacto directo en cumplimiento, prueba y responsabilidad.

    Señales reales de que una llamada se está grabando

    1. Aviso audible al iniciar (y, según el caso, al finalizar).
      Cuando se emplean funciones nativas de grabación del propio teléfono, el sistema reproduce un aviso sonoro (tono o locución) para informar a todos los participantes de que la llamada va a registrarse. Es una salvaguarda de diseño que no puede desactivarse por el usuario. En algunos dispositivos Android, el sistema también notifica al detener la grabación.
    2. Botón/indicador en pantalla del dispositivo que “graba”.
      En iPhone (en modelos y regiones donde la función está disponible) la grabación puede iniciarse desde el menú de la llamada; en Android (con la app oficial de Teléfono y en países admitidos) aparece un botón “Grabar” o ajustes para grabación automática de determinados números. El archivo resultante queda guardado en el propio dispositivo del usuario que inició la captura (carpeta de grabaciones, historial de llamadas, notas, etc.).
    3. Lo que NO delata nada.
      Micro-cortes, ecos o ligeros retardos no son indicadores de grabación: forman parte del comportamiento normal de las redes. Tampoco existen “clics mágicos” que permitan detectar un registro externo en tiempo real.

    Conclusión técnica: la única señal fiable de una grabación nativa es el aviso audible. Si alguien graba por vías externas (otro dispositivo, hardware interpuesto), no existe un “chivato” técnico universal en tu teléfono que lo confirme durante la llamada.

    Cómo lo implementan hoy los móviles (en términos generales)

    • iPhone (iOS, disponibilidad por región/modelo): la grabación se inicia manualmente durante la llamada y el sistema avisa a los interlocutores. El audio (y, en algunos casos, su transcripción) queda en apps del sistema. El aviso forma parte del diseño y no se desactiva.
    • Android (app Teléfono de Google, restricciones por país y fabricante): se puede grabar de forma manual o, si la región lo permite, automática (p. ej., números desconocidos o contactos concretos). Al iniciar y, en su caso, al finalizar, se reproduce una notificación audible para ambas partes.
    • Apps de mensajería (WhatsApp, etc.): no ofrecen grabación nativa de llamadas de voz con notificación a terceros. Si alguien usa métodos externos (otro móvil, grabadora), tu dispositivo no puede delatarlo por sí solo.

    Claves legales en España: lo que un despacho debe tener claro

    1) Grabar tu propia conversación es lícito

    La doctrina consolidada distingue entre grabar una conversación propia (lícito y, en principio, utilizable como prueba) y captar conversaciones ajenas (ilícito). Cuando uno de los interlocutores graba, no se vulnera el secreto de las comunicaciones; se participa en la comunicación. Ahora bien, el uso posterior del audio debe respetar intimidad y protección de datos.

    2) Interceptar conversaciones de terceros es delito

    Captar, difundir o facilitar a otros la captación de comunicaciones ajenas sin consentimiento puede constituir delito (intrusión en la intimidad). Además de responsabilidad penal, generará responsabilidad civil y, con alta probabilidad, sanciones en materia de protección de datos si hay tratamiento de datos personales.

    3) Difusión ≠ Grabación

    Aunque sea lícita la grabación propia, su difusión pública (p. ej., redes sociales) sin base jurídica puede vulnerar derechos fundamentales e infringir la normativa de protección de datos (principios de minimización, limitación de finalidad, legitimación, etc.). El uso prudente es probatorio: conservar para ejercitar o defender reclamaciones.

    4) Protección de datos: base legal y principios

    Si la grabación identifica o hace identificables a las personas, hay datos personales:

    • Base jurídica: cumplimiento contractual, interés legítimo (con prueba de ponderación), obligación legal, o consentimiento válido cuando proceda.
    • Información: deber de transparencia; si se trata de call centers o atención al cliente, el aviso previo (“esta llamada puede ser grabada…”) es la vía estándar.
    • Minimización y retención: grabar lo necesario, por el tiempo imprescindible (política de conservación documentada).
    • Seguridad: medidas técnicas y organizativas (acceso restringido, cifrado, registro de accesos, trazabilidad).
    • Derechos: mecanismos para acceso, supresión, oposición y limitación; respuesta en plazos.
    • DPIA (evaluación de impacto) cuando el volumen, la naturaleza o el contexto lo exijan (p. ej., monitorización sistemática o datos sensibles).

    5) Entorno laboral y compliance

    El empresario puede adoptar medidas de control (incluida la grabación de llamadas en determinados puestos) siempre que cumpla principios de proporcionalidad, información previa, finalidad concreta (calidad, seguridad, cumplimiento) y respeto a la dignidad del trabajador. Conviene:

    • Regularlo en políticas internas y, si aplica, convenio o protocolos.
    • Informar de forma clara (y continuada) a los empleados.
    • Limitar el acceso a perfiles autorizados y documentar auditorías.
    • Evitar la captación de conversaciones privadas ajenas a la función (p. ej., pausas).
    • Revisar con DPO y laboral la proporcionalidad y la prueba de ponderación.

    Escenarios habituales (y cómo responder)

    • “No oí ningún tono, ¿me grabaron en secreto?”
      Si no se usó la función nativa (que avisa), no hay certeza técnica durante la llamada. Jurídicamente, grabar tu propia conversación es lícito; interceptar la de terceros, no. Si sospechas un uso indebido, documenta lo ocurrido y consulta antes de actuar.
    • “Quiero registrar una gestión con mi banco/aseguradora.”
      Puedes grabar tu conversación para acreditar lo hablado. Evita difundirla; consérvala bajo cadena de custodia razonable si prevés uso probatorio.
    • “El cliente me pide desactivar el aviso.”
      En las funciones nativas, el aviso no se desactiva. Intentar “burlar” ese aviso con métodos alternativos no solo es técnicamente frágil, sino riesgoso en términos de cumplimiento.

    Checklist de cumplimiento para despachos y empresas

    Antes de grabar

    • Definir finalidad (calidad, seguridad, prueba contractual, cumplimiento).
    • Elegir base legal y, si procede, consentimiento.
    • Redactar cláusula informativa y política de conservación.
    • Valorar DPIA (si hay alto riesgo).
    • Ajustar configuración técnica: aviso audible, entornos permitidos, perfiles con permisos.

    Durante

    • Garantizar avisos previos claros cuando grabe la empresa.
    • Minimización: evitar datos innecesarios; pausas para datos especialmente sensibles.

    Después

    • Retención y borrado conforme a política.
    • Control de accesos (necesidad de saber), registro y auditorías.
    • Procedimiento para atender derechos de los interesados.
    • Cadena de custodia si se prevé uso probatorio.

    Recomendaciones para usuarios particulares

    • Pregunta sin rodeos si sospechas que la llamada se está grabando. En el ámbito profesional, lo normal es informar.
    • No te fíes de “apps milagro” que prometen grabaciones silenciosas: además de poco fiables, te exponen a riesgos legales.
    • Si necesitas prueba, graba tu llamada y guárdala para ese fin; no la publiques.
    • Protege tu entorno: evita altavoz en lugares públicos y controla quién puede oír datos personales de terceros.

    Mensaje clave para un medio jurídico

    • Señal técnica fiable: solo el aviso audible cuando se graba con funciones nativas.
    • Marco legal español: lícito grabar propia conversación; ilícita la interceptación de terceros; difusión sujeta a límites estrictos de intimidad y datos.
    • Cumplimiento: avisos, base legal, minimización, retención, seguridad y derechos; en empresa, proporcionalidad e información previa.
    • Estrategia probatoria: si la grabación va a aportarse a un procedimiento, cuide autenticidad, integridad y cadena de custodia.

    La regla de oro, tanto para particulares como para organizaciones, es simple: informar cuando corresponde, grabar solo lo necesario y tratar la grabación con el mismo rigor que cualquier dato personal sensible. Con ello, es posible conjugar evidencia, calidad del servicio y respeto a los derechos fundamentales.

  • ¿Quieres usar WhatsApp para hablar con tus clientes? Esto es lo que permite la ley (y lo que no)

    ¿Quieres usar WhatsApp para hablar con tus clientes? Esto es lo que permite la ley (y lo que no)

    WhatsApp forma parte del día a día de millones de personas. Y cada vez más empresas consideran este canal para atender consultas, enviar avisos o cerrar ventas. La pregunta es inevitable: ¿pueden escribir por WhatsApp sin haber pedido antes permiso expreso? La respuesta, con carácter general, es no. Que una empresa tenga tu número de móvil no la autoriza a contactar contigo por WhatsApp. Son canales distintos y, por tanto, requieren consentimientos diferenciados.

    Este artículo repasa, en lenguaje claro y con ejemplos reales, qué se puede hacer, qué no, y cómo cumplir la normativa (RGPD y LOPDGDD) sin perder eficacia comercial.

    1) Número de móvil ≠ usuario de WhatsApp: el malentendido que lo complica todo

    La confusión arranca de un hecho técnico: WhatsApp vincula la cuenta a un número de teléfono. De ahí, muchas compañías deducen —erróneamente— que si tienen el número, pueden escribir por WhatsApp. No es así.

    • El número de móvil es un dato de contacto.
    • WhatsApp es una plataforma privada con su propia política de uso.

    A efectos de protección de datos, son canales distintos. El consentimiento que el usuario dio para recibir, por ejemplo, una llamada o un SMS no ampara enviarle mensajes por WhatsApp. Si no existe una base jurídica específica (consentimiento, contrato, obligación legal u otra legitimación del art. 6.1 RGPD), el contacto no es lícito.

    Conclusión: si una empresa quiere usar WhatsApp como canal de contacto, debe solicitar y registrar el consentimiento específico para ese canal. No vale un “tenemos su móvil”.

    2) ¿Se puede pedir el número de WhatsApp para informar sobre un servicio?

    Depende de la finalidad y del principio de minimización del RGPD: solo pueden pedirse los datos estrictamente necesarios.

    • No es legítimo exigir el número de WhatsApp por defecto para solicitar información general.
    • puede justificarse si el servicio se presta principalmente por WhatsApp (p. ej., soporte que se ofrece exclusivamente en ese canal). Aun así, hay que informar con claridad y recabar consentimiento expreso.
    • No es válido el “por si acaso”: pedir el dato sin usarlo, o usarlo sin autorización como canal adicional.

    3) WhatsApp Business: canal corporativo, no personal

    WhatsApp Business permite a las empresas tener un perfil verificado, respuestas automatizadas e integraciones con CRM. Pero hay reglas básicas para cumplir la ley y proteger datos:

    • La cuenta corporativa debe gestionarse con un único número de empresa y un panel centralizado.
    • Las personas empleadas no deben usar su WhatsApp personal para tratar con clientes: no puede garantizarse la seguridad ni el encargo de tratamiento.
    • Se admiten perfiles con roles dentro de la cuenta corporativa (accesos con privilegios), de forma trazable y segura.

    Este enfoque reduce riesgos de fuga de información, errores en la gestión de consentimientos y accesos indebidos.

    4) Escribir por WhatsApp sin permiso: tratamiento no autorizado

    Contactar por WhatsApp sin consentimiento específico equivale a un tratamiento ilícito de datos. No importa si el mensaje es comercial o “solo informativo”: sin base jurídica, no.

    Este criterio se extiende a otros canales: dar un correo no autoriza a la empresa a enviarte un mensaje directo por redes sociales, ni a escribirte en apps de terceros. Tu presencia en esas plataformas es privada, y su uso como canal corporativo requiere autorización.

    5) Novedad en camino: nombre de usuario sin número (más privacidad)

    WhatsApp prepara —aún en fase beta— una opción para crear un nombre de usuario único, de modo que no sea necesario compartir el número para chatear. La idea es romper la equivalencia entre número y cuenta, y reforzar la privacidad. Cuando se generalice, será posible contactar con alguien solo con su username.

    Este cambio subraya el principio de fondo: contar con el móvil no basta. Cada canal (llamada, SMS, WhatsApp, email) exige su consentimiento.

    Recordatorio: dar consentimiento para un canal no implica darlo para todos.

    6) Resoluciones reales: multas por usar WhatsApp sin permiso

    La AEPD ha sancionado a distintas organizaciones por contactar por WhatsApp sin consentimiento. Tres casos ilustrativos:

    • PS/00192/202470.000 € por contactar a una trabajadora por WhatsApp usando su número personal, sin permiso.
    • PS/00298/20233.000 € por incluir a más de 150 personas en un grupo de WhatsApp sin autorización previa.
    • PS/00472/20221.500 € por escribir a empleados por WhatsApp sin consentimiento.

    Estas prácticas vulneran el art. 6.1 RGPD: sin base jurídica (consentimiento, contrato, obligación legal o interés legítimo ponderado), no hay licitud.

    7) Lo que no pueden hacer las empresas

    Prohibido:

    • Usar WhatsApp sin permiso para contactar con clientes, potenciales clientes, alumnos, empleados o terceros.
    • Solicitar “Móvil y WhatsApp” en formularios sin permitir elegir canal ni rechazar uno de ellos.
    • Pedir el móvil y luego utilizarlo para escribir por WhatsApp sin consentimiento.

    La excusa habitual —“los jóvenes ahora solo usan WhatsApp”— no exime de cumplir: si ese es el canal, hay que pedir permiso.

    8) ¿Y si ya te han escrito sin permiso?

    Para usuarios:

    • Puedes reclamar ante la AEPD si te han contactado por WhatsApp sin tu consentimiento.
    • Conserva capturas, fechas y contexto del mensaje no autorizado.

    Para empresas:

    • Revisa tus formularios: separa móvil y WhatsApp con consentimientos independientes y claros (casillas no premarcadas).
    • Implementa un registro de consentimientos por canal, con prueba (fecha, origen, finalidad, base jurídica).
    • Añade mecanismos fáciles para retirar el consentimiento y dejar constancia.
    • Capacita a tu equipo: nada de usar WhatsApp personal y siempre a través de WhatsApp Business con perfiles y trazabilidad.

    Cumplir no es solo evitar sanciones: es proteger la privacidad, reducir riesgos y reforzar la confianza. Es, en definitiva, seguridad para el negocio.

    9) Buenas prácticas para usar WhatsApp de forma legal (y efectiva)

    1. Consentimiento granular por canal
      • Casillas separadas: Llamada / SMS / WhatsApp / Email.
      • Informar la finalidad (p. ej., soporte, marketing, avisos de servicio) y la base jurídica.
      • Nada de casillas premarcadas o “por defecto”.
    2. Doble capa informativa
      • Capa breve en el formulario (quién, para qué, cómo revocar).
      • Política de privacidad completa con derechos ARSULIPO y contacto del DPO/privacidad.
    3. WhatsApp Business con control central
      • Un número corporativo, acceso por roles, auditoría de conversaciones y retención definida.
      • Integración con CRM para trazar consentimiento, estado y canal preferido.
    4. Contenido ajustado al permiso
      • Si el usuario acepta avisos de servicio por WhatsApp, no envíes promociones (salvo consentimiento expreso para ello).
      • Incluir identificación de la empresa y método de baja (“responda BAJA para dejar de recibir mensajes”).
    5. Seguridad y confidencialidad
      • Evitar datos sensibles por chat; en su caso, redirigir a un canal seguro verificado.
      • Cifrado de dispositivos, MFA y políticas BYOD (si aplica) para quienes tengan acceso.
    6. Registros y retención
      • Define cuánto tiempo conservas las conversaciones y con qué finalidad.
      • Establece un procedimiento para atender derechos de acceso, rectificación o supresión relativos al canal.

    10) Ejemplos prácticos (sí y no)

    • : “Marcando esta casilla autorizas a Empresa X a contactarte por WhatsApp para soporte de tu pedido. Podrás revocar tu consentimiento en cualquier momento respondiendo BAJA o en [email protected].”
    • : permitir elegir canales (WhatsApp o Email o SMS) y respetar la elección.
    • No: escribir por WhatsApp “porque dieron su móvil en el formulario”.
    • No: crear un grupo de WhatsApp con clientes sin autorización (revelas números a terceros).

    11) ¿Qué cambios trae el “username” de WhatsApp?

    Cuando WhatsApp generalice los nombres de usuario sin exponer el móvil, el consentimiento por canal será si cabe más evidente: el número deja de ser la llave de acceso y cada usuario elegirá cómo quiere ser contactado. Una buena noticia para la privacidad… y un recordatorio para las empresas de que la regla de oro no cambia: pedir permiso específico.

    Conclusión

    • WhatsApp no es “otro SMS”: es un canal con consentimiento propio.
    • Tener el móvil no habilita a escribir por WhatsApp.
    • Existen resoluciones y sanciones por usarlo sin permiso (70.000 €, 3.000 €, 1.500 € en casos recientes).
    • Para empresas, el camino es claro: WhatsApp Business centralizado, consentimientos granulares, registro y trazabilidad, contenidos acorde a la finalidad y vías sencillas de baja.
    • Para usuarios, conservar pruebas y reclamar si se vulneran sus derechos.

    ¿Te han contactado por WhatsApp sin tu consentimiento? La normativa te ampara. Y si eres empresa, cumplir es más sencillo de lo que parece: pide permiso y respeta la elección del canal.

    Preguntas frecuentes (FAQ)

    ¿Puedo denunciar que me escriban por WhatsApp sin permiso?
    Sí. Puedes reclamar ante la AEPD. Guarda capturas, fechas y el contexto de los mensajes no autorizados. Si la empresa ofrece baja, úsala; si persiste, reclama.

    ¿Es legal pedir el número de WhatsApp en un formulario?
    Solo si es necesario para la finalidad y se informa con claridad, con consentimiento específico. No puede exigirse “por si acaso” ni condicionar información general a entregar ese dato.

    ¿Basta con tener el móvil del cliente para enviarle WhatsApp?
    No. Número y WhatsApp son canales distintos. El móvil no legitima usar WhatsApp sin consentimiento expreso para ese canal.

    ¿Puedo usar mi WhatsApp personal para hablar con clientes?
    No es recomendable ni conforme a la normativa. Debe usarse WhatsApp Business con control corporativo, acceso por roles y trazabilidad, garantizando la protección de datos y el encargo de tratamiento.

  • NIS2 para empresas: guía clara (y urgente) para saber qué hacer antes de que España la transponga

    NIS2 para empresas: guía clara (y urgente) para saber qué hacer antes de que España la transponga

    El 17 de octubre se cumple un año desde que terminó el plazo para que los países de la Unión Europea adaptaran a su derecho interno la Directiva NIS2. España aún no ha culminado la trasposición, pero su aprobación se considera inminente. Mientras tanto, las exigencias de NIS2 ya marcan el estándar europeo: más sectores afectados, más obligaciones de gobierno y control y sanciones elevadas. Para cualquier empresa —y, en especial, para los despachos que asesoran a compañías— el riesgo no está en equivocarse de coma con la futura ley española, sino en llegar tarde.

    Este artículo explica en lenguaje claro qué cambia con NIS2, a quién podría afectar, qué medidas conviene iniciar ya y cómo estructurar un plan de 90 días sin esperar al BOE.

    ¿Qué es NIS2 y por qué importa?

    NIS2 es la norma europea que busca reforzar la ciberseguridad de los servicios esenciales y de las empresas clave para el funcionamiento de la economía y la sociedad (energía, agua, transporte, salud, banca, digital, administración electrónica, proveedores de infraestructuras, etc.). Su filosofía es preventiva: obliga a las organizaciones a gestionar el riesgo, evitar incidentes y responder bien cuando ocurran.

    Novedades principales:

    • Más sectores y entidades: se amplía el perímetro respecto a la NIS original. La futura ley española definirá quién es “esencial” y quién “importante”.
    • Obligaciones de gobierno: la Alta Dirección (órganos de administración) debe implicarse, aprobar planes y responder por incumplimientos.
    • Medidas mínimas (art. 21) técnicas y organizativas, con foco en cadena de suministro y gestión de incidentes.
    • Sanciones: hasta 10 millones de euros o el 2 % de la facturación mundial anual (la cifra más alta). Además de multas, hay daño reputacional, pérdida de contratos, o problemas en licitaciones.

    Idea clave: NIS2 no es “otra norma”. Es un cambio cultural: la ciberseguridad deja de ser “tema del CISO” para convertirse en materia del Consejo.

    ¿A quién puede afectar en España?

    Hasta que se publique la trasposición, no hay lista cerrada. Pero la tendencia europea es clara: quedarán comprendidas entidades cuyo fallo afecte a servicios esenciales, cadenas críticas o dependencias digitales relevantes. Esto abarca tanto a grandes operadores como a proveedores de esos operadores. Por prudencia, conviene diagnosticar el encaje cuanto antes.

    Ejemplos típicos (orientativos): operadores de infraestructuras y servicios digitales, sanidad, financiero, energía, agua, transporte, residuos, fabricación con OT, cloud/centros de datos, servicios gestionados, plataformas digitales que soportan actividad crítica, administraciones y entes instrumentales, entre otros.

    Dos actitudes empresariales (y sus consecuencias)

    1) Proactivas: ya han hecho diagnóstico y puesto en marcha medidas en 2024–2025. Entendieron que esperar tiene coste y que los requisitos de NIS2 son buenas prácticas internacionales.

    2) Expectantes: aplazan decisiones hasta “ver la ley”. Este enfoque se vuelve caro si ocurre un incidente (paro de negocio, sanción contractual, perjuicio reputacional) o si el plazo de adaptación tras la trasposición es corto.

    Conclusión: con o sin BOE, el núcleo de NIS2 (riesgo, medidas mínimas, cadena de suministro, gobierno y respuesta) ya es aplicable como estándar de diligencia.

    Qué hacer ya (sin esperar la trasposición)

    A continuación, un plan práctico y entendible para cualquier empresa —y útil para abogados que asesoran—:

    1) Riesgo claro y priorizado

    • Haga un diagnóstico: qué activos son críticos, dónde están, quién accede, qué procesos dependen de ellos.
    • Cuantifique el riesgo: una estimación económica (impacto probable) ayuda a decidir inversiones y a explicar el problema al Consejo.
    • Fije prioridades: empiece por lo que más duele si falla (servicios esenciales, clientes clave, OT).

    2) Cadena de suministro bajo control

    • Identifique proveedores críticos.
    • Evalúe su ciberseguridad (cuestionarios, evidencias).
    • Incluya en contratos cláusulas mínimas (notificación de incidentes, medidas exigibles, derecho de auditoría proporcional).
    • Haga seguimiento: no basta con firmar; hay que verificar.

    3) Seguridad “desde el diseño”

    • Integre la seguridad desde el inicio en nuevos procesos y sistemas (no como pegote).
    • DevSecOps: pruebas de seguridad automatizadas en desarrollo, hardening y parches en producción.
    • Segmentación de redes (especialmente en OT), MFA, principio de mínimo privilegio.

    4) Medir si funciona

    • Políticas y procedimientos sirven si se cumplen.
    • Programe auditorías internas, test de intrusión, revisiones periódicas y KPIs (ej.: tiempo de parcheo, % MFA desplegado, resultados de simulaciones de phishing).

    5) Personas informadas (y el Consejo, primero)

    • Formación regular a toda la plantilla (phishing, contraseñas, reporting).
    • Sesiones específicas a la Alta Dirección: su responsabilidad y su papel aprobando y supervisando planes es central en NIS2.

    NIS2: amenaza o oportunidad real

    Si se gestiona solo desde el miedo a la multa, se cae en cumplimientos mínimos que no reducen el riesgo. En cambio, usar NIS2 como palanca permite:

    • Menos incidentes críticos y mejor respuesta cuando ocurren.
    • Ahorro al invertir donde más impacto tiene (priorización).
    • Confianza del mercado (clientes y socios piden pruebas de madurez).
    • Ventaja competitiva en licitaciones, auditorías y evaluaciones de terceros.

    Cómo empezar (o acelerar) en España

    Aunque falte la trasposición, hay referencias sólidas y guías para avanzar:

    • ENS (Esquema Nacional de Seguridad): el CCN ha indicado (nota de 3 de octubre de 2025) que el ENS y sus perfiles específicos serán piezas clave en la futura trasposición. Alinear con ENS ahorra trabajo cuando llegue la ley.
    • Guías de CCN, INCIBE y ENISA: material práctico, plantillas y buenas prácticas actualizadas.
    • Art. 21 de NIS2: tómelo como lista mínima de medidas técnicas y organizativas.

    Un plan de 90 días (realista y accionable)

    Días 0–30: ver y ordenar

    • Inventario de servicios esenciales y procesos críticos.
    • Análisis de riesgos básico (incluya impacto económico).
    • Gap vs. art. 21 y ENS.
    • Gobernanza: nombre responsables y active un comité (negocio, legal, riesgos y TI).

    Días 31–60: decidir y arrancar

    • Plan priorizado (identidad, red, endpoint, aplicaciones, datos, OT).
    • Proveedores: revisión y cláusulas mínimas.
    • Formación inicial (usuarios y Alta Dirección).
    • Playbooks de incidentes y comunicación; defina métricas.

    Días 61–90: ejecutar lo crítico y medir

    • Despliegue de MFA, hardening y segmentación en los puntos de mayor riesgo.
    • Pruebas de continuidad (BCP/DRP) y simulacros de incidentes.
    • Auditoría interna ligera y ajuste del plan.
    • Informe de riesgo y madurez al Consejo.

    Consejos para despachos que asesoran a empresas

    • Empezar por el “quién responde”: explique al cliente que el órgano de administración tiene obligaciones bajo NIS2 (aprobación, supervisión, responsabilidad).
    • Revisar contratos: añada obligaciones de ciberseguridad y notificación de incidentes a proveedores críticos; establezca matrículas de niveles de servicio y derechos de auditoría proporcionados.
    • Preparar la notificación de incidentes: plantillas, equipos responsables (legal, TI, comunicación) y plazos internos.
    • Alinearse con ENS: recomendar ENS como ruta rápida hacia NIS2.
    • Seguro ciber: revisar coberturas, condiciones de notificación y exigencias del asegurador.

    Errores típicos a evitar

    • Tratar NIS2 como un “proyecto del CISO”: sin patrocinio del Consejo, no hay cambio cultural.
    • Querer hacerlo todo a la vez: mejore por capas; empiece por lo crítico.
    • Olvidar la cadena de suministro: un tercero débil tira abajo cualquier inversión interna.
    • No medir: sin KPIs y revisiones periódicas, no hay evidencia de eficacia.
    • Dejar OT para el final: los entornos industriales requieren controles específicos.

    Qué vigilar (señales regulatorias)

    • Ley española de trasposición y reglamentos (clasificación, umbrales, plazos de notificación, régimen sancionador).
    • Perfiles ENS y nuevas guías del CCN.
    • Actualizaciones y toolkits de ENISA e INCIBE.

    Mientras tanto, ENS + art. 21 + guías CCN/INCIBE/ENISA son hojas de ruta suficientes para avanzar sin esperar.

    Conclusión

    NIS2 es exigente, pero también una oportunidad para ordenar la ciberseguridad, hablar con datos en el Consejo, y reducir de verdad la probabilidad e impacto de incidentes. Esperar a la trasposición no es neutral: aumenta la exposición y acorta su margen de maniobra. La pregunta no es si actuar, sino cuándo… y la respuesta, si su empresa depende de lo digital (como casi todas), es ahora.

    Preguntas frecuentes

    ¿Mi empresa no es “crítica”; también me afectará NIS2?
    Dependerá de la trasposición, pero NIS2 amplía sectores y puede alcanzar a proveedores de operadores esenciales. Además, muchos clientes exigirán pruebas de madurez NIS2. Es prudente diagnosticar el encaje y desplegar medidas mínimas ya.

    ¿Qué sanciones prevé NIS2 por incumplimiento?
    Hasta 10 millones de euros o el 2 % de la facturación mundial anual (la cifra mayor), además de efectos contractuales y reputacionales. El mayor coste, con todo, suele ser el impacto operativo de un incidente severo.

    ¿Cómo empiezo si soy pyme y no sé si entraré en NIS2?
    Con pasos de bajo arrepentimiento: análisis de riesgos, MFA, mínimo privilegio, segmentación básica, formación y playbooks de incidentes. Apóyese en ENS y guías CCN/INCIBE/ENISA. Si finalmente aplica NIS2, ya habrá recorrido media senda.

    ¿Qué papel jugará el ENS en la versión española?
    El CCN ha indicado que el ENS y sus perfiles específicos serán referencia clave en la trasposición. Alinear la seguridad con ENS acelera el cumplimiento efectivo de NIS2 cuando llegue el texto nacional.

  • CLOUD Act vs RGPD: choque de jurisdicciones, traslado internacional de datos y cómo aterrizar el cumplimiento en la nube

    CLOUD Act vs RGPD: choque de jurisdicciones, traslado internacional de datos y cómo aterrizar el cumplimiento en la nube

    A medida que más organizaciones europeas migran cargas a la nube, reaparece un dilema jurídico que no es teórico: ¿qué ocurre cuando una norma de EE. UU. ordena acceder a datos alojados en Europa y el RGPD lo prohíbe? Ese tirón de jurisdicciones tiene nombre y apellidos: CLOUD Act frente a RGPD. Entender el alcance real del conflicto —y cómo gestionarlo— es clave para evitar sanciones, litigios y pérdida de confianza.

    Qué es cada norma (y qué no)

    CLOUD Act (EE. UU.)

    El Clarifying Lawful Overseas Use of Data Act (2018) enmienda el Stored Communications Act y aclara que un proveedor sujeto a la jurisdicción de EE. UU. debe cumplir con una orden judicial válida (warrant/subpoena) aunque los datos estén almacenados fuera del país. Prevé:

    • Impugnación por “comity” si el cumplimiento entra en conflicto material con una ley extranjera.
    • Posibilidad de canalizar el acceso mediante acuerdos ejecutivos bilaterales y MLATs (asistencia judicial mutua).

    No autoriza un acceso “a voluntad”: requiere orden judicial, pero su extraterritorialidad crea fricciones en Europa.

    RGPD (UE)

    Regula el tratamiento de datos personales en la UE (y el de entidades extracomunitarias que dirigen servicios a residentes). Puntos críticos:

    • Principios (licitud, transparencia, minimización, limitación de conservación).
    • Transferencias internacionales: solo si hay un mecanismo válido (decisión de adecuación, cláusulas contractuales tipo –SCC–, normas corporativas vinculantes –BCR–, etc.) y garantías equivalentes.
    • Responsabilidad proactiva (DPIA, seguridad, privacidad desde el diseño).
    • Régimen sancionador: multas de hasta 20 M€ o 4 % del volumen global.

    Dónde chocan realmente

    1. Extraterritorialidad vs. limitación de transferencias
      El CLOUD Act puede obligar a un proveedor con casa matriz en EE. UU. a entregar datos alojados en la UE; el RGPD exige que cualquier transferencia a un país tercero se base en un mecanismo válido y garantice un nivel esencialmente equivalente de protección.
    2. Vigilancia gubernamental
      Tras Schrems II (TJUE, 2020) se invalidó Privacy Shield por la desproporción de la vigilancia estadounidense y la falta de recursos efectivos. En 2023 la Comisión aprobó el EU–US Data Privacy Framework (DPF), con nuevas salvaguardas. Aun así, el debate sobre accesos por seguridad nacional no está cerrado y varias autoridades recomiendan evaluaciones de impacto de transferencia (TIA).
    3. Riesgo para el responsable europeo
      Si el proveedor entrega datos bajo CLOUD Act sin base de transferencia válida, el responsable (y en su caso el encargado) podría incumplir el RGPD, incluso si nunca “movió” los datos fuera del EEE.

    El “puente” actual (y sus límites)

    • EU–US Data Privacy Framework (DPF): permite transferencias a entidades certificadas en EE. UU. (sujetas a nuevas salvaguardas y redress mechanism). No cubre a todas las entidades ni todas las categorías de tratamiento; además, es objeto de escrutinio y posibles impugnaciones.
    • SCC 2021 y TIA: las cláusulas tipo siguen siendo el mecanismo más usado. Exigen evaluar (caso por caso) riesgos derivados del acceso gubernamental y adoptar medidas complementarias (cifrado, seudonimización, partición).
    • Comity bajo CLOUD Act: permite impugnar órdenes si entran en conflicto con la ley extranjera, pero la protección es casuística y no elimina la incertidumbre.

    Implicaciones prácticas para empresas europeas

    • Inseguridad jurídica: responsables atrapados entre una orden extranjera y el RGPD.
    • Riesgo sancionador y reputacional: una entrega indebida puede desencadenar acciones de autoridades y reclamaciones de interesados.
    • Cadenas complejas: subencargados repartidos por varios países y procesos híbridos (cloud + on-prem) complican la trazabilidad.

    Además del RGPD, conviene cruzar con normativa sectorial:

    • NIS2 (seguridad de redes y sistemas) y DORA (resiliencia operativa digital en finanzas) introducen obligaciones de ciberseguridad, gestión de terceros y localización/continuidad que afectan a la elección de proveedores.
    • Esquemas de certificación en marcha (p. ej. EUCS) evalúan soberanía, ubicación de datos y control.

    Estrategias de cumplimiento (en castellano llano)

    1) Gobernanza y contrato

    • Mapeo de datos y flujos: qué datos, dónde residen, quién accede, con qué finalidad.
    • Cláusulas reforzadas con proveedores:
      • Residencia de datos (EEE) y subencargados preaprobados.
      • Notificación y desafío de solicitudes gubernamentales; uso de MLAT como canal preferente.
      • Transparencia (informes de solicitudes) y derechos de auditoría.
      • Compromiso de impugnar órdenes incompatibles (warrant canary y límites legales según jurisdicción).

    2) Transferencias internacionales

    • Verificar DPF (si aplica) o suscribir SCC (módulos 2021) y realizar TIA documentada.
    • Medidas complementarias:
      • Cifrado fuerte end-to-end con claves bajo control exclusivo del cliente (BYOK/HYOK, key splitting con custodios europeos).
      • Seudonimización/anonimización antes de la transferencia; minimización estricta.
      • Partición de datos y procesamiento local cuando sea viable.

    3) Seguridad y continuidad

    • DPIA para tratamientos de alto riesgo; planes de respuesta y registro de accesos.
    • Alineación con NIS2/DORA si afecta (gestión de TTP, continuidad, pruebas).
    • Formación y simulacros: saber cómo actuar ante una orden extranjera.

    4) Opciones arquitectónicas

    • Proveedor europeo o cloud soberano cuando la criticidad lo requiera.
    • Multicloud/híbrido: segregar tratamientos sensibles en entornos de control; usar gateways y confidencial computing para limitar exposición.
    • Localización selectiva: procesar atributos identificadores en la UE y derivar atributos no identificables para procesamiento global.

    Comparativa rápida

    AspectoCLOUD Act (EE. UU.)RGPD (UE)
    ÁmbitoExtraterritorial sobre proveedores sujetos a EE. UU.Territorial + extraterritorial por destino/targeting
    Acceso a datosOrden judicial puede obligar aunque residan en la UETransferencia solo con base válida y garantías
    FinalidadSeguridad e investigación penalPrivacidad y derechos fundamentales
    CompatibilidadPotencial conflicto con límites de transferenciaPotencial conflicto con órdenes extraterritoriales
    Vías de mitigaciónComity, MLAT, acuerdos ejecutivosDPF, SCC/BCR, medidas técnicas

    Lista de verificación (para el consejo y compliance)

    • ¿Tenemos inventario de tratamientos y mapa de transferencias?
    • ¿Nuestros contratos incluyen residencia, desafío de órdenes y transparencia?
    • ¿Hemos realizado TIAs y, si procede, DPIAs documentadas?
    • ¿Claves de cifrado bajo control exclusivo (no compartido con el proveedor)?
    • ¿Planes y playbooks ante solicitudes gubernamentales?
    • ¿Revisamos subencargados y ubicaciones de datos al menos anualmente?
    • ¿Alineación con NIS2/DORA y políticas de continuidad?

    Conclusión

    El enfrentamiento CLOUD Act vs RGPD no es una batalla académica: afecta a cada contrato y a cada flujo que cruce fronteras, incluso cuando los datos no se mueven físicamente del EEE. La buena noticia es que existe una caja de herramientas jurídica y técnica para reducir riesgos: mecanismos de transferencia bien elegidos, medidas criptográficas con control de claves, cláusulas contractuales que exijan impugnar solicitudes incompatibles y, donde proceda, opciones de soberanía (localización, proveedores europeos, segmentación de cargas).

    El reto para el responsable del tratamiento es documentar y demostrar que esas decisiones no solo existen, sino que funcionan. En un contexto de multas relevantes y litigios transatlánticos aún en evolución, la diligencia debida ya no es una ventaja competitiva: es la línea base.

    Preguntas frecuentes

    ¿Puedo “curarme en salud” alojando todos mis datos en la UE?
    Reduce riesgo, pero no lo elimina si el proveedor está sujeto a EE. UU. (matriz/filiales). La clave es quién controla el acceso (claves) y cómo se gestionan las órdenes.

    ¿Sirve con firmar SCC y ya?
    No. Las SCC exigen evaluación de impacto de transferencia y, si es necesario, medidas complementarias (cifrado, seudonimización, segmentación). Sin eso, las SCC son insuficientes.

    ¿El DPF resuelve el problema de forma definitiva?
    Aporta una base válida para transferencias a entidades certificadas, pero no es un salvoconducto universal y podría ser impugnado. Mantenga TIAs y medidas técnicas.

    ¿Qué hago si recibo (o mi proveedor recibe) una orden basada en CLOUD Act?
    Active el playbook: notificación (si es legalmente posible), impugnación por comity, solicitar canal MLAT, registro de la diligencia y consulta con asesoría. El objetivo es minimizar el conflicto con el RGPD y demostrar actuación responsable.

  • LaLiga pide a un medio que inste a su CDN a bloquear una IP compartida: claves jurídicas sobre medidas de bloqueo, proporcionalidad y daños a terceros

    LaLiga pide a un medio que inste a su CDN a bloquear una IP compartida: claves jurídicas sobre medidas de bloqueo, proporcionalidad y daños a terceros

    La Liga Nacional de Fútbol Profesional (LaLiga) ha remitido una carta a un medio digital español —no vinculado con emisiones ilícitas— para que solicite a su proveedor de CDN (Cloudflare) “dejar de compartir” una dirección IP desde la que supuestamente se facilitaría acceso no autorizado a partidos. La IP identificada (188.114.96.5) forma parte de una infraestructura compartida de la CDN. LaLiga adelanta además que pedirá a los operadores el bloqueo de IPs “donde se alojan páginas que violan nuestros derechos”, invocando una resolución del Juzgado de lo Mercantil nº 6 de Barcelona (18/12/2024).

    Más allá de la polémica técnica, el episodio plantea preguntas jurídicas relevantes para editores, proveedores y operadores: ¿cuándo procede ordenar bloqueos? ¿Qué estándares de proporcionalidad rigen? ¿Qué responsabilidades podrían derivarse de un bloqueo indiscriminado que afecte a terceros? A continuación, un análisis para juristas.

    1) Qué se está pidiendo y por qué importa

    La misiva traslada tres ideas:

    1. “Conocimiento efectivo”: LaLiga afirma que, durante jornadas de liga, desde la IP indicada se ha facilitado acceso ilícito.
    2. Requerimiento al editor: se le insta a “evitar compartir” esa IP con páginas presuntamente infractoras.
    3. Anuncio de bloqueo por IP: LaLiga solicitará a los ISP el bloqueo de direcciones asociadas a emisiones ilícitas, amparándose en la sentencia citada.

    El sitio afectado utiliza una CDN estándar: una misma IP pública puede servir múltiples dominios legítimos. La petición, por tanto, no va dirigida al presunto infractor, sino a un tercero ajeno que comparte infraestructura.

    2) Marco normativo: tutela de derechos vs. límites a la intervención sobre intermediarios

    • Directiva de Comercio Electrónico 2000/31/CE y LSSI: delimitan la responsabilidad de intermediarios (hosting, caching, mera transmisión) y prohíben obligaciones de vigilancia general.
    • DSA — Reglamento (UE) 2022/2065: refuerza los mecanismos de ordenes de retirada y transparencia, bajo autoridad competente y con exigencias de justificación y proporcionalidad.
    • InfoSoc art. 8.3 y jurisprudencia del TJUE (entre otras, UPC Telekabel Wien C-314/12; SABAM C-360/10; Scarlet Extended C-70/10; Glawischnig-Piesczek C-18/18): permiten injunctions contra intermediarios, pero sujetas a proporcionalidad, eficacia, ausencia de obligación de control general y respeto de derechos fundamentales (libertad de empresa, información, protección de datos).

    Idea clave: pueden dictarse medidas de bloqueo frente a infracciones, pero deben ser concretas, necesarias y proporcionadas, minimizando daños colaterales. Bloqueos genéricos por IP compartida son, por diseño, poco idóneos para identificar un contenido o sitio específico.

    3) Jurisprudencia española reciente: bloqueos “dinámicos” y exigencias de precisión

    Los juzgados mercantiles han autorizado bloqueos dinámicos en ventanas de partido para combatir emisiones no autorizadas. Con todo, la doctrina insiste en:

    • Especificidad del objeto (dominios/recursos concretos),
    • Temporalidad (ventanas acotadas y reversión),
    • Ejecución controlada (protocolos de revisión y mecanismos para levantar bloqueos erróneos),
    • y evitar perjuicios a terceros.

    En esta línea, véase la documentación accesible en el buscador del Consejo General del Poder Judicial:
    https://www.poderjudicial.es/search/AN/openDocument/766326fb999ba14aa0a8778d75e36f0d/20250331

    Consecuencia práctica: las órdenes deberían centrarse en dominios (FQDN) y, cuando sea viable, rutas o recursos, no en IPs de infraestructura compartida salvo justificación técnica rigurosa.

    4) ¿Puede un editor “dejar de compartir” una IP de su CDN?

    No. En redes anycast y CDN, la asignación de IP no es discrecional para el cliente. Pedir a un editor que “deje de compartir” esa IP es técnicamente inviable y jurídicamente ineficaz para atajar la infracción. Traslada una carga imposible al tercero y no actúa sobre el presunto infractor.

    5) Riesgos jurídicos de un bloqueo desproporcionado

    • Daños a terceros (art. 1902 CC; posible responsabilidad extracontractual si se acreditan perjuicios causados por una ejecución imprudente).
    • Libertad de empresa y derecho a la información (art. 38 y 20 CE) —bloqueos indiscriminados pueden tener efecto desaliento y generar reclamaciones.
    • Competencia desleal (si las medidas afectan a la capacidad de operar de terceros de forma injustificada).
    • Reputación y confianza en el ecosistema digital —inseguridad jurídica y operativa para pymes y medios.

    6) Buenas prácticas que deberían observarse en estas medidas

    1. Órdenes judiciales específicas, no requerimientos privados genéricos, cuando se pretenda afectar a intermediarios o operadores.
    2. Proporcionalidad y necesidad: intervención en el nivel mínimo eficaz (dominio/URL) y temporalidad acotada.
    3. Prueba robusta y reproducible: metodología, herramientas/ versiones, fechas (UTC), trazas verificables. Las capturas son insuficientes.
    4. Canal operativo (NOC-to-NOC) y SLA para retirada inmediata de falsos positivos.
    5. Transparencia ex post: informe de medidas aplicadas e incidencia en terceros.

    7) Qué puede hacer un medio o empresa que reciba una carta similar

    • Solicitar por escrito:
      • Lista detallada de indicadores (dominios, URLs, periodos) y ámbito del bloqueo.
      • Metodología y evidencia (trazas con host/SNI, timestamps, ASNs, criterios de inclusión/exclusión).
      • Referencia a la orden judicial concreta y medidas para evitar perjuicios a terceros.
      • Canal de contacto 24/7 y SLA de desbloqueo por error.
    • Ofrecer colaboración para identificar y retirar enlaces ilícitos en su propio dominio, si existieran, pero rechazar cargas imposibles (p. ej., “dejar de compartir” IPs de la CDN).
    • Documentar impactos (caídas de tráfico, interrupciones) y, en su caso, valorar acciones si se acredita daño por una ejecución negligente.

    8) Conclusión

    La tutela de derechos exige herramientas ágiles, pero su ejecución debe respetar los límites fijados por el Derecho de la UE y la jurisprudencia: proporcionalidad, precisión y evitar perjuicios a terceros. Pedir a un editor ajeno a la infracción que fuerce a su CDN a bloquear una IP compartida es, además de impracticable, una medida desalineada con esos estándares.

    Si la industria quiere proteger contenidos sin socavar la confianza en la infraestructura digital, el camino pasa por órdenes concretas, temporalidad acotada, pruebas verificables y coordinación técnica para que los bloqueos sean quirúrgicos y reversibles. Lo contrario convierte una herramienta excepcional en una malla de arrastre con costes jurídicos y económicos innecesarios.

    fuente: X @carrero y Noticias La Liga gate

  • Internet Archive y las discográficas firman la paz: un acuerdo confidencial que reabre el debate entre copyright y preservación cultural

    Internet Archive y las discográficas firman la paz: un acuerdo confidencial que reabre el debate entre copyright y preservación cultural

    Después de más de dos años de una batalla judicial que mantuvo en vilo a la comunidad de preservación digital, Internet Archive y varias discográficas lideradas por Universal Music Group y Sony Music Entertainment anunciaron el 15 de septiembre de 2025 que han alcanzado un acuerdo confidencial que pone fin al caso UMG Recordings, Inc. v. Internet Archive.

    El conflicto se centraba en el proyecto The Great 78, cuyo objetivo era digitalizar discos de 78 RPM de la primera mitad del siglo XX. Para los defensores de la preservación, se trataba de salvar grabaciones únicas de artistas como Ella Fitzgerald, Louis Armstrong o Miles Davis antes de que desaparecieran. Para las discográficas, en cambio, no era más que una “piratería disfrazada” que violaba de forma masiva los derechos de autor.

    El acuerdo: paz en los tribunales, incógnita en los archivos

    En el documento judicial presentado ante el Tribunal de Distrito del Norte de California, ambas partes notificaron que habían llegado a una “resolución confidencial de todas las reclamaciones”, solicitando suspender los plazos mientras se cumplen los términos pactados. Además, se comprometieron a presentar en un plazo de 45 días una desestimación voluntaria con prejuicio, lo que cerrará definitivamente el caso sin posibilidad de reabrirlo.

    Sin embargo, el hermetismo es total. Ni Internet Archive ni las discográficas han revelado si el acuerdo implica la retirada de grabaciones, compensaciones económicas o limitaciones futuras al proyecto. A día de hoy, el catálogo continúa disponible con más de 187.000 grabaciones digitalizadas, aunque muy por debajo de las más de 400.000 que se habían planteado inicialmente.

    Una batalla de cifras millonarias

    Cuando se interpuso la demanda en agosto de 2023, las discográficas reclamaban hasta 150.000 dólares por cada grabación digitalizada sin autorización, lo que podía alcanzar la astronómica cifra de 400 millones de dólares. Además de Internet Archive, la demanda apuntaba contra Brewster Kahle, fundador de la biblioteca digital, y contra la empresa George Blood LP, responsable de gran parte de las digitalizaciones.

    Más allá de la cuantía económica, lo que estaba en juego era un modelo de preservación cultural frente a la defensa estricta de los derechos de autor. El caso puso de manifiesto cómo la tecnología choca con la legislación de propiedad intelectual, especialmente cuando se trata de obras antiguas cuya explotación comercial es mínima, pero cuyo valor cultural es incalculable.

    Google Books y HathiTrust: los precedentes

    Este no es el primer pulso legal entre preservación digital y copyright. Existen precedentes que ayudan a entender la magnitud del caso.

    Google Books

    En 2004, Google lanzó un ambicioso proyecto para digitalizar millones de libros de bibliotecas de todo el mundo. Las editoriales reaccionaron con demandas que se prolongaron durante una década. Finalmente, en 2015, los tribunales estadounidenses fallaron a favor de Google, considerando que su proyecto constituía un “uso justo” (fair use) al ofrecer únicamente fragmentos de las obras y facilitar la búsqueda, sin sustituir el consumo de los libros originales.

    HathiTrust

    De forma paralela, la iniciativa HathiTrust, una alianza de universidades y bibliotecas, también enfrentó litigios por la digitalización de colecciones completas. En este caso, los jueces también reconocieron el uso justo, al entender que el objetivo principal era preservar el conocimiento y permitir búsquedas académicas, no reemplazar el mercado editorial.

    ¿Qué diferencia el caso de Internet Archive?

    A diferencia de Google Books o HathiTrust, el proyecto The Great 78 ofrecía descargas completas de las grabaciones, lo que debilitaba el argumento del uso justo frente a la ley estadounidense de copyright. Esta diferencia fue clave para que las discográficas vieran en el proyecto no una iniciativa cultural, sino una amenaza directa a su catálogo.

    Preservación cultural vs. derechos de autor

    El caso plantea una pregunta fundamental: ¿cómo equilibrar el derecho de acceso a la cultura con el respeto a la propiedad intelectual?

    Las grabaciones en discos de 78 RPM son frágiles y, en muchos casos, no han sido reeditadas en formatos modernos. Para los defensores de la preservación, dejar que se deterioren equivale a perder una parte de la historia cultural. En cambio, las discográficas sostienen que mientras las obras estén protegidas, solo ellas pueden decidir sobre su reproducción o difusión.

    El problema radica en que el copyright en Estados Unidos otorga protección incluso a grabaciones anteriores a 1972, muchas de las cuales difícilmente generan ingresos reales hoy en día. Así, la legislación se convierte en una barrera para proyectos de preservación digital.

    Impacto en la comunidad y en el futuro de Internet Archive

    Para Internet Archive, el acuerdo supone quitarse de encima un litigio que amenazaba su supervivencia financiera. La organización ya había recibido un fuerte revés en 2024, cuando perdió la apelación sobre su proyecto de préstamo de libros electrónicos durante la pandemia.

    Estos casos ponen de manifiesto la tensión constante entre los gigantes de la industria cultural y las iniciativas de acceso abierto, una tensión que probablemente seguirá marcando la agenda de los próximos años.

    En la comunidad, la noticia ha sido recibida con sentimientos encontrados. Por un lado, alivio porque el caso no derive en un cierre devastador para Internet Archive. Por otro, preocupación por la falta de transparencia del acuerdo y las posibles limitaciones futuras al acceso público.

    Europa y el acceso abierto: otro enfoque

    En contraste, la Unión Europea ha avanzado en marcos legales que permiten la digitalización y preservación de obras huérfanas (aquellas cuyo titular de derechos es desconocido o inlocalizable) y facilita el acceso con fines educativos y de investigación. Aunque no resuelve todos los problemas, muestra que existen modelos regulatorios más equilibrados que pueden servir de referencia.

    Conclusión: un debate que sigue abierto

    El final del litigio entre Internet Archive y las discográficas no cierra el debate, sino que lo amplifica. El acuerdo confidencial evita un juicio prolongado y daños irreparables para la biblioteca digital, pero deja en el aire preguntas fundamentales:

    • ¿Debe prevalecer el copyright absoluto incluso cuando la explotación comercial es mínima?
    • ¿Cómo garantizar el acceso público a obras que forman parte del patrimonio cultural de la humanidad?
    • ¿Qué papel deben jugar los Estados y las instituciones en la preservación digital?

    La paz firmada en septiembre de 2025 es, en realidad, solo una tregua. El verdadero campo de batalla seguirá siendo el equilibrio entre innovación tecnológica, derechos de autor y derecho de acceso a la cultura.

    Preguntas frecuentes

    ¿Qué es el proyecto The Great 78?
    Es una iniciativa de Internet Archive para digitalizar discos de 78 RPM producidos principalmente entre 1898 y los años 50, con el fin de preservar grabaciones que podrían perderse por el deterioro físico.

    ¿En qué se diferencia este caso del de Google Books?
    Mientras Google Books solo ofrecía fragmentos de obras bajo el principio de uso justo, Internet Archive ponía a disposición descargas completas de grabaciones, lo que reforzó la posición de las discográficas contra el proyecto.

    ¿El acuerdo implica que se retirarán las grabaciones de Internet Archive?
    No se sabe. El acuerdo es confidencial y no se han revelado las condiciones. Por ahora, el catálogo sigue accesible con más de 187.000 grabaciones.

    ¿Qué impacto tiene este caso en la preservación cultural?
    Muestra las limitaciones de los marcos legales actuales frente a los desafíos de la era digital. El caso refuerza la necesidad de políticas públicas que faciliten la preservación de obras sin uso comercial, pero con alto valor cultural.

    vía: blog.archive.org

  • Cómo certificar que tu web fue bloqueada por el fútbol: claves legales para reclamar daños

    Cómo certificar que tu web fue bloqueada por el fútbol: claves legales para reclamar daños

    Los bloqueos masivos que se aplican cada fin de semana durante los partidos de fútbol en España han convertido un problema técnico en un auténtico quebradero de cabeza jurídico. Decenas de miles de webs legítimas quedan inaccesibles, arrastrando pérdidas económicas, deterioro del posicionamiento SEO y un daño reputacional difícil de cuantificar.

    El fenómeno no es aislado: durante la jornada 31 de La Liga en abril de 2025, se contabilizaron más de 13.000 dominios .es afectados por el bloqueo de unas 800 direcciones IP de servicios como Cloudflare. Aunque la medida pretende combatir la piratería de contenidos deportivos, sus consecuencias recaen en negocios, comercios electrónicos y profesionales ajenos a esas prácticas.

    Ante esta situación, una pregunta surge con fuerza: ¿cómo acreditar legalmente que tu web ha sido bloqueada y reclamar daños?

    La certificación de bloqueos como prueba digital

    La iniciativa estalapagas.com ofrece una vía innovadora: monitorizar y certificar los bloqueos en tiempo real y generar un informe con validez probatoria.

    El sistema registra automáticamente la accesibilidad de las webs inscritas durante los partidos. Cada minuto, comprueba la conexión desde diferentes operadoras y genera un log. Al finalizar el encuentro, los registros se sellan criptográficamente en la blockchain de Bitcoin mediante:

    • OpenTimestamps: estándar abierto de sellado de tiempo.
    • OriginStamp: solución comercial que colabora gratuitamente en el proyecto.

    En ambos casos, se obtiene un hash inmutable introducido en blockchain que demuestra que los datos no han sido alterados desde su creación. El resultado es una prueba con presunción de autenticidad que puede utilizarse en sede judicial.

    Validez jurídica del sellado en blockchain

    La Regulación eIDAS (UE 910/2014) reconoce la validez de los sistemas de sellado de tiempo como medio de prueba. En España, la Ley 6/2020, de servicios electrónicos de confianza, refuerza este marco al equiparar las firmas y sellos electrónicos cualificados a las pruebas documentales tradicionales.

    En la práctica, esto significa que un hash inscrito en blockchain que corresponda a un archivo de monitorización es admisible como prueba digital en un litigio. Los tribunales españoles ya han empezado a admitir este tipo de evidencias en casos de propiedad intelectual, contratos electrónicos y, más recientemente, disputas tecnológicas.

    Jurisprudencia de referencia

    • STS 150/2020 (Sala de lo Penal): admite el valor probatorio de registros digitales siempre que se acredite la cadena de custodia y no se aprecien alteraciones.
    • SAP Madrid 26/2021: reconoce la validez de un registro en blockchain como prueba de autoría en un conflicto de derechos de autor.
    • TJUE, asunto C-610/15 (Stichting Brein): establece que los proveedores de servicios que bloquean contenidos ilícitos deben respetar la proporcionalidad y evitar daños colaterales a terceros.

    Estas resoluciones ofrecen un marco favorable para que las pruebas generadas con herramientas como estalapagas.com puedan sustentar una reclamación de responsabilidad patrimonial.

    Posibles vías de reclamación

    Un afectado que cuente con evidencias de este tipo podría plantear varias acciones jurídicas:

    • Reclamación individual por daños y perjuicios frente a la operadora que ejecutó el bloqueo o la entidad que lo ordenó (La Liga o la autoridad competente).
    • Acción colectiva: agrupando a múltiples perjudicados que acrediten bloqueos similares, lo que refuerza el impacto de la reclamación.
    • Recurso contencioso-administrativo: si se demuestra que la medida vulnera principios de proporcionalidad, seguridad jurídica o neutralidad de la red.

    En todos los casos, la prueba certificada en blockchain se convierte en una herramienta clave para acreditar el hecho del bloqueo, su duración y sus consecuencias económicas.

    Responsabilidad y debate regulatorio

    La cuestión central será determinar quién responde:

    • ¿La operadora que implementa el bloqueo?
    • ¿La entidad deportiva que lo solicita?
    • ¿El regulador que lo autoriza sin prever medidas para evitar daños a terceros?

    El marco actual no resuelve con claridad estas preguntas, lo que abre un vacío de seguridad jurídica. La acumulación de reclamaciones podría forzar al legislador a precisar responsabilidades y a establecer mecanismos compensatorios para los afectados.

    Conclusión

    El uso de herramientas de certificación digital y blockchain supone una oportunidad para los abogados que asesoran a negocios digitales. Permite aportar evidencias robustas y con reconocimiento legal en un terreno donde hasta ahora predominaban la indefensión y la dificultad de prueba.

    Más allá de lo anecdótico, este tipo de conflictos pone de relieve la necesidad de un equilibrio regulatorio: combatir la piratería sin sacrificar los derechos de empresas legítimas ni comprometer la neutralidad de internet.

    Más información en Esta La Pagas.

    Preguntas frecuentes

    ¿Tiene validez legal una prueba sellada en blockchain?
    Sí. El marco europeo eIDAS y la Ley 6/2020 en España reconocen el valor de los sellos de tiempo electrónicos como prueba válida en procedimientos judiciales.

    ¿Qué daños pueden reclamarse?
    Daños económicos (pérdida de clientes), daños reputacionales y perjuicios derivados de la caída en posicionamiento SEO.

    ¿Contra quién se reclama?
    Según el caso, contra la operadora que ejecutó el bloqueo, la entidad que lo solicitó o incluso la administración que autorizó la medida sin salvaguardas suficientes.

    ¿Es viable una demanda colectiva?
    Sí. Varios afectados podrían agrupar reclamaciones con pruebas similares, aumentando el impacto y las posibilidades de obtener compensación.

    vía: Noticias Teléfonos

  • La batalla legal por la IA: Anthropic, OpenAI, Stability AI y Midjourney frente al muro de los derechos de autor

    La batalla legal por la IA: Anthropic, OpenAI, Stability AI y Midjourney frente al muro de los derechos de autor

    La inteligencia artificial generativa vive un momento de auge, pero también de creciente escrutinio legal. Lo que empezó como una revolución tecnológica destinada a cambiar industrias enteras se ha convertido, en paralelo, en un campo de batalla entre tecnológicas y creadores. El motivo: el uso de material protegido por derechos de autor para entrenar modelos que hoy producen textos, imágenes, música y vídeos capaces de rivalizar con el trabajo humano.

    El último golpe lo ha recibido Anthropic, la startup creadora de Claude, que ha acordado pagar 1.500 millones de dólares para cerrar una demanda que la acusaba de entrenar su IA con millones de libros pirateados. El caso, protagonizado por escritores como Andrea Bartz, Charles Graeber y Kirk Wallace, no es un hecho aislado: se suma a un conjunto cada vez más amplio de litigios contra empresas como OpenAI, Stability AI o Midjourney, que están redefiniendo los límites legales de la innovación.

    El caso Anthropic: un acuerdo millonario y un precedente inquietante

    La denuncia contra Anthropic sostenía que la compañía había descargado más de 7 millones de libros sin licencia, creando una gigantesca biblioteca digital para alimentar su modelo Claude. Los demandantes señalaron que entre esas obras se encontraban tanto best sellers como libros académicos, todos protegidos por copyright.

    El acuerdo cerrado en septiembre de 2025 obliga a Anthropic a:

    • Pagar 1.500 millones de dólares como compensación.
    • Abonar 3.000 dólares adicionales por cada 500.000 libros descargados.
    • Eliminar todas las copias de las obras afectadas.

    Lejos de ser un cierre definitivo, este pacto podría abrir la puerta a nuevas demandas de otros autores y editoriales. Además, marca un precedente: los tribunales ya no solo analizan si las tecnológicas deben pagar, sino cuánto deben pagar por utilizar material sin permiso.

    OpenAI y la presión sobre ChatGPT

    Anthropic no es la única. OpenAI, la compañía detrás de ChatGPT, se encuentra en el centro de varias demandas en Estados Unidos. Entre las más destacadas:

    • El New York Times demandó a OpenAI y a Microsoft en 2023, acusándolas de utilizar millones de artículos periodísticos sin licencia para entrenar modelos como GPT-4. El medio alegaba que ChatGPT incluso podía generar textos casi idénticos a los publicados en su web, lo que equivalía a una competencia desleal.
    • Escritores de renombre como John Grisham, Jonathan Franzen y George R.R. Martin también se unieron a demandas colectivas, asegurando que sus libros fueron utilizados para entrenar los modelos sin autorización ni compensación.

    Aunque OpenAI ha intentado llegar a acuerdos privados con algunas editoriales, el frente legal sigue abierto y plantea una pregunta crucial: ¿deben las IAs pagar licencias de uso a los creadores de contenido?

    Stability AI y el arte generado por difusión estable

    En el terreno de la imagen, Stability AI, creadora de Stable Diffusion, ha sido uno de los blancos principales.

    • En 2023, artistas como Sarah Andersen demandaron a Stability AI, Midjourney y DeviantArt en un tribunal de California, alegando que sus obras habían sido utilizadas sin permiso para entrenar modelos de generación de imágenes.
    • El argumento de los artistas es que las imágenes generadas reproducen estilos reconocibles y, en algunos casos, partes sustanciales de sus obras originales.

    Stability AI ha defendido que su modelo se entrena sobre bases de datos públicas como LAION-5B, que recopila imágenes disponibles en internet. Sin embargo, los demandantes sostienen que “disponible públicamente” no significa “libre de derechos de autor”.

    Midjourney: creatividad y controversia

    Midjourney, una de las herramientas de generación de imágenes más populares, también ha sido arrastrada a los tribunales. Demandas recientes han señalado que la empresa entrenó sus modelos con material gráfico de artistas profesionales y compañías de entretenimiento sin obtener licencias.

    Incluso gigantes como Warner Bros. Discovery han demandado a generadores de imágenes, temiendo que se utilicen sus catálogos de películas y personajes para entrenar modelos que luego compitan con ellos en el mercado del entretenimiento digital.

    La cuestión de fondo es la misma: ¿es legal entrenar un modelo con millones de imágenes protegidas, aunque no se reproduzcan literalmente, sino que se usen para “aprender estilos”?

    El dilema legal: ¿uso justo o infracción masiva?

    Los tribunales están divididos. Algunas defensas se basan en la doctrina del fair use (uso justo) en EE.UU., que permite utilizar obras con copyright para ciertos fines transformativos, como la parodia o la investigación. Las tecnológicas argumentan que entrenar un modelo de IA es un proceso de análisis estadístico y que los resultados no reproducen literalmente las obras originales.

    Los demandantes, en cambio, sostienen que:

    • Las IAs pueden generar fragmentos casi idénticos a los textos, imágenes o melodías con los que fueron entrenadas.
    • El entrenamiento masivo sin licencias constituye una infracción sistemática de derechos de autor.
    • Este uso afecta directamente a los ingresos de los creadores, al permitir a cualquiera generar contenidos similares sin pagar por ellos.

    Europa y Estados Unidos: caminos legales distintos

    La batalla legal también refleja diferencias regulatorias entre regiones:

    • En EE.UU., el debate gira en torno al fair use. El desenlace de casos como el del New York Times contra OpenAI marcará la jurisprudencia en un país donde los jueces tienen un margen amplio de interpretación.
    • En Europa, la directiva de derechos de autor de 2019 ya establece restricciones más claras al uso de obras para entrenamiento de algoritmos, salvo que se trate de investigación científica. En teoría, las tecnológicas deberían obtener licencias explícitas en la UE, lo que complica sus modelos de negocio.

    El caso de Google y la reciente multa de la Comisión Europea por prácticas anticompetitivas en el sector publicitario refuerzan la idea de que Bruselas será más estricta que Washington en controlar a las grandes tecnológicas.

    Impacto en los creadores: ¿un nuevo equilibrio?

    Para escritores, músicos, artistas y periodistas, estas demandas son más que una batalla legal: representan la posibilidad de recuperar valor en la era de la IA. Si los tribunales obligan a pagar licencias, podría surgir un nuevo mercado en el que los creadores negocien con las tecnológicas el uso de sus catálogos.

    Sin embargo, algunos temen que solo los grandes grupos (editoriales, discográficas, estudios de cine) logren acuerdos lucrativos, mientras que los autores individuales continúen marginados.

    ¿Y el futuro de la IA generativa?

    El futuro se juega en dos frentes:

    1. Legal: los tribunales deberán decidir si entrenar modelos con obras protegidas es legal sin licencia. Los fallos que se dicten en EE.UU. y Europa podrían obligar a las empresas a cambiar radicalmente su forma de trabajar.
    2. Económico: si las tecnológicas deben pagar licencias masivas, el coste del desarrollo de modelos de IA podría dispararse, reduciendo el ritmo de innovación y encareciendo el acceso a estas herramientas.

    Algunos expertos señalan que el escenario más probable es un sistema híbrido, en el que parte del material de entrenamiento sea de dominio público o bajo licencias abiertas, y otra parte se adquiera mediante acuerdos comerciales.

    Preguntas frecuentes

    1. ¿Por qué Anthropic pagó 1.500 millones de dólares?
    Para cerrar una demanda que la acusaba de entrenar su modelo Claude con millones de libros pirateados, descargados sin licencia.

    2. ¿Qué otras empresas enfrentan demandas similares?
    OpenAI (ChatGPT), Stability AI (Stable Diffusion) y Midjourney son las más señaladas, junto con casos en el sector musical y cinematográfico.

    3. ¿Es legal usar material con copyright para entrenar una IA?
    Depende del país. En EE.UU. se debate bajo la doctrina del “fair use”, mientras que en Europa la legislación es más restrictiva y exige licencias explícitas.

    4. ¿Qué impacto tendrá en los creadores?
    Podría abrir la puerta a un mercado de licencias en el que artistas y escritores reciban compensación por el uso de sus obras. Sin embargo, no está claro si beneficiará a todos por igual o solo a los grandes grupos editoriales y de entretenimiento.

  • #LaLigaGate: el debate legal sobre los bloqueos masivos de IP en España

    #LaLigaGate: el debate legal sobre los bloqueos masivos de IP en España

    La lucha contra la piratería del fútbol en España ha entrado en un terreno delicado que va más allá de lo deportivo y económico. Desde finales de 2024, LaLiga aplica bloqueos masivos de direcciones IP para evitar retransmisiones ilegales de partidos en streaming. Sin embargo, el impacto colateral ha afectado a miles de webs legítimas —incluyendo servicios esenciales como correos.es— lo que ha generado un intenso debate jurídico conocido ya como #LaLigaGate.

    El marco legal de los bloqueos

    La base de esta actuación se encuentra en la Ley 13/2022, General de Telecomunicaciones, y en la legislación específica que transpone directivas europeas de protección de derechos de autor. En diciembre de 2024, el Juzgado de lo Mercantil nº 6 de Barcelona autorizó a LaLiga a ordenar a los principales operadores de telecomunicaciones el bloqueo dinámico de IPs y dominios vinculados con la piratería audiovisual.

    El concepto de bloqueo dinámico es clave: no se trata de listas cerradas de webs pirata, sino de bloqueos preventivos y en tiempo real que LaLiga comunica a los operadores durante los partidos. En la práctica, esto implica que una misma dirección IP puede ser bloqueada incluso si aloja múltiples servicios que no tienen relación alguna con el fútbol.

    El principio de proporcionalidad en entredicho

    El problema legal radica en la proporcionalidad de la medida. Según el artículo 52 de la Carta de Derechos Fundamentales de la UE, cualquier limitación de derechos debe ser proporcionada y necesaria.

    En este caso, la medida persigue proteger los derechos de propiedad intelectual de LaLiga, un fin legítimo. Pero el medio empleado —bloqueo de IPs compartidas— está provocando un daño colateral sobre derechos de terceros:

    • Libertad de empresa (art. 38 CE): compañías cuya web queda inaccesible en España pueden perder clientes y reputación sin relación con la piratería.
    • Derecho a la información (art. 20 CE): cuando medios digitales resultan bloqueados, se restringe el acceso de los ciudadanos a información legítima.
    • Neutralidad de la red (Reglamento (UE) 2015/2120): la actuación podría vulnerar este principio básico del derecho europeo de telecomunicaciones.

    Precedentes europeos

    El Tribunal de Justicia de la Unión Europea (TJUE) ya se ha pronunciado sobre casos similares. En la sentencia UPC Telekabel Wien (C-314/12), el TJUE avaló los bloqueos ordenados a proveedores de acceso a internet, pero estableció que debían ser “eficaces, proporcionados y no excesivamente costosos”. Además, no deben privar a los usuarios de un acceso legítimo a la información.

    El bloqueo indiscriminado de IPs compartidas podría interpretarse como una vulneración de este criterio jurisprudencial.

    El papel de los operadores

    Los operadores de telecomunicaciones se encuentran en una posición complicada. Por un lado, están obligados a cumplir las órdenes judiciales que LaLiga les transmite. Por otro, son conscientes de los riesgos legales y reputacionales de bloquear dominios legítimos.

    Algunos expertos plantean que los operadores podrían exigir órdenes judiciales individualizadas para cada IP, en lugar de aceptar bloqueos masivos dictados por un tercero privado. De lo contrario, se exponen a posibles reclamaciones de daños y perjuicios por parte de empresas afectadas.

    Posibles acciones legales

    Ante esta situación, se abren varias vías de actuación jurídica:

    1. Demandas de responsabilidad civil: empresas cuyos servicios han quedado inaccesibles podrían reclamar a LaLiga o a los operadores por los perjuicios sufridos.
    2. Recurso de amparo constitucional: usuarios o medios bloqueados podrían alegar vulneración de derechos fundamentales como la libertad de información.
    3. Quejas ante la CNMC y la UE: al tratarse de un posible caso de violación de la neutralidad de la red, la Comisión Nacional de los Mercados y la Competencia o la propia Comisión Europea podrían intervenir.
    4. Acciones colectivas: colectivos ciudadanos y asociaciones de internautas ya están planteando una demanda colectiva similar a la que, en su día, impulsó la tarifa plana de internet en España.

    Opiniones de expertos

    • Abogados especializados en telecomunicaciones sostienen que la orden judicial de 2024 no puede interpretarse como un cheque en blanco para bloquear infraestructuras críticas.
    • Juristas en propiedad intelectual defienden la legitimidad de proteger los derechos de retransmisión, pero alertan de que el método elegido puede resultar inconstitucional por desproporcionado.
    • Asociaciones de consumidores recuerdan que la Ley de Servicios de la Sociedad de la Información (LSSI) prohíbe limitar el acceso a contenidos sin garantías judiciales suficientes.

    Conclusión: un choque entre derechos

    El caso #LaLigaGate plantea un dilema clásico del derecho digital: el equilibrio entre la protección de la propiedad intelectual y la salvaguarda de los derechos fundamentales de los usuarios y empresas.

    El reto ahora es encontrar un marco legal que permita a LaLiga defender su negocio sin sacrificar principios como la neutralidad de la red y la proporcionalidad de las medidas judiciales.

    Si la situación persiste, es probable que el conflicto escale hasta los tribunales superiores españoles o incluso al TJUE, que tendrá la última palabra sobre la legalidad de estos bloqueos indiscriminados.

    Preguntas frecuentes (FAQ)

    1. ¿Qué es el caso #LaLigaGate?
    Es el nombre que recibe el conflicto generado por los bloqueos de IP aplicados por LaLiga para frenar la piratería, que han acabado afectando a webs y servicios legales en España.

    2. ¿Es legal que LaLiga ordene bloqueos masivos de IP?
    Existen resoluciones judiciales que lo autorizan, pero la proporcionalidad de la medida está en duda cuando afecta a dominios legítimos.

    3. ¿Qué derechos fundamentales pueden estar en juego?
    La libertad de empresa, el derecho a la información y la neutralidad de la red, además de la proporcionalidad exigida por la normativa europea.

    4. ¿Qué pueden hacer las empresas afectadas?
    Pueden interponer demandas por daños y perjuicios, recurrir a la CNMC, plantear recursos de amparo o sumarse a iniciativas de demandas colectivas.

    vía: La Liga Gate

  • La firma electrónica en el sector de la automoción puede reducir costes administrativos hasta en un 50%

    La firma electrónica en el sector de la automoción puede reducir costes administrativos hasta en un 50%

    La digitalización de las firmas puede reducir los costes administrativos de concesionarios y talleres hasta un 50% y eliminar toneladas de papel cada año, convirtiéndose en una pieza clave en la mejora de la sostenibilidad y la eficiencia en el sector de la automoción, permitiendo también otros ahorros indirectos como la eliminación de los espacios de almacenamiento.

    Nextlane, líder europeo en soluciones de software para la industria de la automoción, explica cómo su herramienta Digital Signature está ayudando a fabricantes y distribuidores a optimizar sus operaciones y cumplir con la normativa española y europea, como el Reglamento eIDAS y la Ley Orgánica de Protección de Datos (LOPDGDD).

    La firma digital permite un ahorro de costes, tiempo y espacio

    Como parte del proceso de digitalización de los concesionarios y talleres, incorporar la posibilidad de firmar digitalmente se ha convertido en un paso clave, no solo porque los clientes aprecian cada vez más tener la oportunidad de solucionar las gestiones administrativas en los procesos de compra y gestión de forma remota, sino también porque permite ahorrar tiempo y dinero, así como reducir los desplazamientos innecesarios.

    Gracias a la solución Digital Signature el usuario tiene la posibilidad de firmar de manera remota y desde cualquier dispositivo, sin tener siquiera que visitar el concesionario, ahorrando de esta manera toneladas de papel y horas de tramitación de los documentos; convirtiéndose en un factor decisivo en la reducción de la huella de carbono de concesionarios y talleres. Además, Digital Signature no requiere una inversión inicial en material para empezar a utilizarse, ni dispositivos necesarios o especiales para la firmabiométrica. 

    Gestiones de Digital Signature

    A través de la solución Digital Signature de Nextlane, la empresa de software ofrece diversas gestiones para las que la firma electrónica resulta de gran utilidad. Esta solución puede utilizarse a la hora de los contratos de venta ya que, acelera el ciclo de ventas y minimiza los errores de papeleo, garantizando una experiencia de compra fluida; así como, para la financiación de vehículos, permitiendo a las instituciones financieras validar y aprobar las solicitudes de financiación con mayor rapidez.

    Además, la solución sirve también para la gestión de pedidos de piezas, al aumentar la eficiencia en los talleres de reparación firmando electrónicamente los pedidos y las autorizaciones; y para el registro de vehículos, reduciendo los tiempos de tramitación y evitando errores de documentación.

    “En un mercado cada vez más competitivo, cada segundo cuenta. Digital Signature no solo agiliza las ventas y elimina errores, sino que nos acerca a un modelo de concesionario más sostenible y centrado en el cliente”, concluye Francisco López, VP Manager para Iberia de Nextlane.