Sobre la dificultad de celebrar Juntas Generales exclusivamente telemáticas en sociedades cotizadas

Tribuna de Marina Torres, abogada de ECIJA

La situación extraordinaria derivada de la pandemia de COVID-19 en España en 2020 y 2021 determinó la adopción de un conjunto de medidas excepcionales y temporales dirigidas a facilitar el desarrollo de la actividad económica en un contexto de restricción a la libertad de movimientos por razones de interés público. Entre esas medidas se permitió que las juntas generales se celebrasen por vía exclusivamente telemática, es decir, excluyéndose la asistencia física de los socios y sus representantes (artículo 41.1.d) del Real Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19 y artículo 3 del Real Decreto-Ley 34/2020, de 17 de noviembre), limitándose por tanto el derecho de asistencia de los socios a las juntas generales de las sociedades de capital.

A partir de la experiencia adquirida durante la pandemia, la Ley 5/2021 incorporó al texto refundido de la Ley de Sociedades de Capital, aprobado por el Real Decreto Legislativo 1/2010, de 2 de julio («LSC») la posibilidad de que, con carácter general y ya sin vinculación a circunstancias excepcionales, puedan celebrarse juntas generales exclusivamente telemáticas cuando ello esté expresamente previsto en los estatutos sociales (artículo 182 bis LSC). Ello se prevé con carácter general para todas las sociedades de capital, sean sociedades de responsabilidad limitada o sociedades anónimas, estas últimas tanto no cotizadas como cotizadas (artículo 521.3 LSC).

Esta tendencia ya había sido recogida en el Código de Buen Gobierno de las sociedades cotizadas reformado parcialmente por la CNMV en junio de 2020, que completó la Recomendación 7 del mismo, estableciendo que las sociedades cuenten con mecanismos que permitan la delegación y el ejercicio del voto por medios telemáticos e incluso, tratándose de sociedades de elevada capitalización y en la medida en que resulte proporcionado, la asistencia y participación activa en la Junta General.

Si bien la mayoría de las sociedades cotizadas han incorporado a sus estatutos en 2021 la posibilidad de celebrar juntas generales con asistencia telemática de los accionistas y sus representantes, así como juntas exclusivamente telemáticas, o lo van a hacer en sus juntas de 2022, lo cierto es que en la práctica se plantean numerosas dificultades para el cumplimiento de los requisitos establecidos en los artículos 182 bis y 521.3 LSC para la celebración de juntas exclusivamente telemáticas, que son más exigentes y técnicamente complejos que los previstos en la normativa excepcional aplicable en 2020 y 2021.

En este sentido, la LSC exige para celebrar juntas exclusivamente telemáticas que «todos los asistentes puedan participar efectivamente en la reunión mediante medios de comunicación a distancia apropiados, como audio o video, complementados con la posibilidad de mensajes escritos durante el transcurso de la junta, tanto para ejercitar en tiempo real los derechos de palabra, información, propuesta y voto que les correspondan, como para seguir las intervenciones de los demás asistentes por los medios indicado», debiendo los administradores «implementar las medidas necesarias con arreglo al estado de la técnica y a las circunstancias de la sociedad, especialmente el número de sus socios».

Dado que la convocatoria de la junta para su celebración de forma exclusivamente telemática impide que el socio pueda asistir físicamente, han de extremarse las medidas para facilitar que todos los socios puedan asistir por la única vía posible en ese caso, es decir, por medios de comunicación a distancia. De este modo, el órgano de administración ha de adoptar las medidas necesarias para garantizar que se ponen a disposición de todos los socios los mecanismos adecuados que les permitan asistir telemáticamente como si estuviesen físicamente presentes en la reunión. Adicionalmente, han de preverse también medios que permitan el envío y la recepción de mensajes en tiempo real (artículo 182 bis.3 LSC), una exigencia legal que sin embargo no se prevé en el supuesto de juntas «híbridas», es decir, con asistencia tanto física como telemática de los socios y sus representantes.

Precisamente porque los socios no tienen la alternativa de asistir físicamente, no se permite en el caso de las juntas exclusivamente telemáticas la restricción de los derechos de los socios que, en cambio, sí se admite en el supuesto de las juntas híbridas. En particular, mientras que el artículo 182 LSC permite que los administradores determinen que las intervenciones y propuestas de acuerdo que tengan intención de formular quienes vayan a asistir por medios telemáticos «se remitan a la sociedad con anterioridad al momento de la constitución de la junta», esta posibilidad no se admite en el caso de las juntas exclusivamente telemáticas en las que ha de posibilitarse al socio que pueda realizar sus intervenciones −incluyendo el ejercicio de su derecho de información durante la junta− y formular propuestas en tiempo real durante la celebración de la reunión (artículo 182 bis.3 LSC).

A su vez, los problemas técnicos que pueden plantearse durante la celebración de la reunión en relación con la conexión de los asistentes y su desconexión sobrevenida no voluntaria pueden afectar al propio desarrollo de la reunión y, eventualmente, también a la validez de los acuerdos que se adopten en la misma. En este sentido, las desconexiones sobrevenidas no deben asimilarse al abandono voluntario de la reunión. En este sentido, si a la Mesa le constase la imposibilidad transitoria de conexión por razones involuntarias de uno o varios de los asistentes, deberán realizarse los mejores esfuerzos para conseguir que la conexión se restablezca y todos los asistentes puedan seguir y participar en la reunión, pudiendo para ello proponer la prórroga de la reunión (artículo 195 LSC), todo ello para evitar que pueda considerarse como una privación del derecho del socio a asistir a la reunión que, en atención a las circunstancias del caso, pudiera permitir la impugnación de los acuerdos sociales.

En definitiva, en grandes sociedades con un elevado número de socios, y especialmente en las cotizadas, el cumplimiento de los requisitos establecidos legalmente para la válida celebración de una junta exclusivamente telemática plantea importantes problemas prácticos de tipo organizativo y operativo, con la consiguiente inseguridad jurídica que ello produce, razón por la que, junto con la ausencia hasta este momento de criterios judiciales en relación con la interpretación y aplicación del nuevo régimen legal, la mayor parte de las sociedades cotizadas están convocando sus juntas generales ordinarias de 2022 bajo la modalidad de junta híbrida.

Uso de tecnologías de reconocimiento facial de Clearview: de su prohibición en Italia a su despliegue en el conflicto ucraniano

Tribuna de Elena Peña, abogada de ECIJA, para The Law Clinic.

La controvertida startup estadounidense Clearview acumula sanciones en materia de privacidad en numerosos países mientras defiende su modelo de negocio y ofrece su uso de manera gratuita al gobierno de Zelenski. A continuación, analizamos su tecnología e implicaciones

Los usuarios estamos cada vez más acostumbrados al uso de tecnologías de reconocimiento facial en nuestro día a día, desde para desbloquear el teléfono hasta en el marco del proceso de control de pasaportes en los aeropuertos. Ello, unido a la creciente exposición en Internet de nuestra información, supone que surjan empresas que traten nuestros datos personales más allá de nuestras expectativas.

Un ejemplo claro es el de Clearview AI, una startup estadounidense de reconocimiento facial, que desde su creación en 2017 ha ido acumulando sanciones en materia de protección de datos en distintos países, desde Australia, a Canadá y, recientemente, Italia.

Desde su creación Clearview ha utilizado técnicas de web scraping para obtener imágenes faciales disponibles en Internet, gracias a lo cual ha llegado a construir una base de datos que ellos mismos cifran en alrededor de 10.000 millones de imágenes faciales. Estas imágenes las obtienen de perfiles abiertos en redes sociales como Facebook, Twitter, LinkedIn o Instagram, medios de comunicación, webs públicas e incluso de plataformas de vídeo como YouTube.

A partir de esta base de datos, Clearview ofrece a sus clientes un motor de búsqueda por reconocimiento facial. De esta forma, una empresa usuaria de su plataforma puede subir una foto de un individuo, que será tratada por la Clearview para obtener el patrón biométrico del individuo, y posteriormente comparar este con la base de imágenes obtenidas de Internet mediante un proceso de verificación 1 a N (uno a muchos). La empresa usuaria recibe como respuesta un listado de las coincidencias detectadas, acompañado de enlaces para acceder a la página donde las imágenes se encuentran publicadas, así como metadatos asociados que hubiera disponibles. Por ejemplo: el título de la imagen o página web, la geolocalización, el sexo o la fecha de nacimiento).

Aunque la compañía inicialmente comercializaba sus servicios a organismos policiales de todo el mundo (se calcula que alrededor de 1.800, entre los que destaca, por ejemplo, el FBI), ha ampliado su mercado y en la actualidad entidades privadas, tales como Walmart o Macy’s, se listan entre sus clientes.

A diferencia de otras herramientas de búsqueda a las que argumentan que se asimilan, como puede ser Google, el cotejo realizado por Clearview no es respecto a imágenes disponibles en Internet en el momento de la consulta, sino que se realiza respecto a su propia base de datos que alimenta progresivamente. De esta forma, Clearview conserva las imágenes faciales extraídas y las URL correspondientes incluso después de que la URL original de la imagen en línea o de la página web correspondiente haya sido eliminada. Esto supone, por ejemplo, que en el caso de un individuo que hubiera publicado una foto en su perfil público de Instagram, y que posteriormente borrara la foto o hiciera su perfil privado, la misma se mantendría almacenada en las bases de Clearview.

El modelo de negocio de Clearview ha sido analizado por numerosas autoridades de control en materia de protección de datos, tales como la francesa (CNIL), la británica (ICO, actualmente con un procedimiento sancionador abierto con una sanción potencial de 17 millones de libras), la australiana (OAIC), la sueca o la autoridad competente de Hamburgo. Encontrándose deficiencias en relación con el cumplimiento de sus respectivas normativas de aplicación en protección de los datos personales y la privacidad de sus ciudadanos.

Por ser la más reciente, y por la cuantía fijada como sanción, reviste especial relevancia el análisis realizado por la autoridad italiana, el Garante per la Protezione dei Dati Personali (en adelante, el “Garante”) en su Resolución contra Clearview AI de 10 de febrero de 2022.

Antes de profundizar en el detalle de los incumplimientos detectados, es interesante comentar la interpretación realizada por el Garante de la aplicabilidad del RGPD a Clearview, y su consiguiente competencia para sancionar a la entidad. Así, conforme Clearview alegó, la empresa no cuenta con establecimientos en la Unión Europea, y desde que en 2020 despertara las suspicacias de los reguladores y se le impusieran las primeras sanciones, Clearview no oferta sus servicios a clientes europeos, habiendo incluso adoptado medidas técnicas para evitar el acceso a su plataforma desde IPs europeas.

En este punto el Garante se acoge al denominado criterio de selección de destinatarios (art. 3.2 RGPD) para concluir que la actividad de Clearview se encuentra dentro del ámbito territorial del Reglamento General de Protección de Datos (RGPD). En primer lugar, considera que Clearview sí que ofrece sus servicios a interesados en la UE (art. 3.2.a) RGPD), ya que hasta 2020 existieron cuentas de prueba de agencias gubernamentales europeas, y en su propia política de privacidad hasta el inicio del procedimiento sancionador Clearview incluía información dirigida a ciudadanos europeos (información sobre transferencias de datos fuera del Espacio Económico Europeo, o sobre la posibilidad de interponer reclamaciones ante las autoridades europeas de protección de datos). En segundo lugar, conforme a la interpretación del Garante, Clearview realiza un control del comportamiento de personas en la UE (art. 3.2.b) RGPD), teniendo en cuenta que las imágenes faciales que almacena se enriquecen a lo largo del tiempo, reflejando los cambios físicos de una misma persona, y sobre todo considerando que la finalidad del tratamiento de datos realizado por Clearview es la de comparar, evaluando aspectos personales relativos a una persona física.

En consecuencia, el Garante concluye que Clearview lleva a cabo un tratamiento sometido al RGPD, lo que supone que esta autoridad tiene competencia para sancionar a la compañía.

Una vez solventada la problemática de la jurisdicción, el Garante aclara que, al contrario de lo defendido por Clearview y de conformidad por lo ya alegado por el Supervisor Europeo de Protección de Datos[1], la compañía actúa en todo caso como responsable del tratamiento, y no como encargado de tratamiento, ya que decide de forma autónoma sobre los fines y los medios del tratamiento.

Tras analizar el modelo de Clearview, el Garante detecta los siguientes incumplimientos de la normativa de protección de datos europea:

• Principio de lealtad y transparencia (art. 5.1.a) RGPD): las personas no son conscientes ni esperan que sus imágenes sean tratadas en el contexto del servicio provisto por Clearview, ni están informadas de sus actividades.
• Principio de limitación de la finalidad (art. 5.1.b) RGPD): el posible carácter público (accesible) de las imágenes faciales no es suficiente para considerar que las personas puedan esperar razonablemente que se utilicen con fines de reconocimiento facial, además por parte de una plataforma privada, no establecida en la UE y de cuya existencia y actividad la mayoría de los interesados no son conscientes.
• Principio de limitación del plazo de conservación (art. 5.1.e) RGPD): Clearview conserva la información en su base de datos de manera indefinida, procediendo a su borrado únicamente a petición expresa del interesado.
• Principio de licitud (arts. 6 y 9 RGPD): la compañía no cuenta con ninguna base de legitimación en la que amparar el tratamiento. Adicionalmente, son objeto de tratamiento datos biométricos que identifican de manera unívoca a una persona, y, por lo tanto, datos de categoría especial, sin que aplique ninguna de las circunstancias previstas en el art. 9 RGPD que permiten su tratamiento.
• Asimismo, se identifican deficiencias en la gestión de ejercicios de derechos, y se sanciona la falta de representante de Clearview en la Unión Europea, al no contar con establecimiento en el territorio.

Lo anterior resultó en la imposición por parte del Garante de una multa pecuniaria de 20 millones de euros, y la prohibición del tratamiento de datos de interesados en territorio italiano por parte de Clearview. Ello implica tanto que no se sigan tratando los datos existentes en la base de datos de Clearview, como la no recogida de imágenes y metadatos conexos relativos a personas que se encuentren en el territorio italiano.

A pesar de que el uso de esta polémica tecnología de reconocimiento facial está siendo perseguida en los países con normativas más robustas en materia de protección de datos, habiéndose detectado importantes riesgos para la privacidad y protección de datos, la realidad es que la entidad sigue creciendo, atrayendo numerosos y potentes inversores, y su uso se generaliza por los organismos policiales de algunos territorios.

Recientemente, en el contexto de la guerra en Ucrania, Clearview ha ofrecido el uso de su plataforma de manera gratuita al gobierno ucraniano. Las finalidades para las cuales el gobierno de Zelenski usará esta tecnología no son conocidas todavía, pero pueden abarcar desde fines menos peligrosos, como la identificación de fallecidos o reunir a familias de refugiados, a fines más controvertidos como la identificación de ciudadanos rusos. Contando Clearview con 2.000 millones de imágenes faciales obtenidas de la red social rusa VKontakte.

Tecnologías como la de Clearview pueden crearse con las mejores intenciones, pero teniendo en cuenta los riesgos para la privacidad y protección de datos que plantean, requieren de un marco legal definido y eficaz a nivel global del que en la actualidad se carece. Mientras tanto, los ciudadanos europeos podemos beneficiarnos del marco regulatorio más protector del derecho fundamental a la protección de datos, el cual gracias a sus mecanismos de aplicación extraterritorial puede mitigar los riesgos como los planteados por tecnologías como la de Clearview en el marco de la Unión.

[1] https://edps.europa.eu/system/files/2022-01/21-03-29_edps_opinion_2020-0372.pdf

Identificación previa para el registro en redes sociales: ¿fin del anonimato en internet?

Tribuna de Rubén Lahiguera, abogado de ECIJA, para The Law Clinic.

Todo son ventajas en Internet. O, al menos, eso parece. Acceso a información ilimitada, a recursos inimaginables. La fuente inagotable de contenido, pero también el altavoz más potente que existe, donde siempre importa lo que uno pueda decir o pensar…y donde, en consecuencia, encontraremos una (o más de una) respuesta, aunque no sea siempre de nuestro agrado.

 

En particular, las redes sociales han conseguido, entre otras cosas, modificar nuestra forma de relacionarnos, dar voz a multitud de personas y, además, generar ingentes cantidades de beneficios. Todo ello a cambio de un simple requisito: el registro del usuario a través de una cuenta o perfil. Como norma general, dicho registro se configura como gratuito, facilitando la popularidad de estos medios en Internet, lo cual los ha convertido en un catalizador de importantes movimientos sociales, culturales y, sobre todo, políticos.

En este sentido, han proliferado ciertas conductas en estas plataformas que pueden considerarse, como mínimo, reprochables en una sociedad democrática: descalificativos, insultos, humillaciones y, en muchos casos, verdaderas amenazas y agresiones verbales, por no hablar de conductas de suplantación de identidad a través de las conocidas como cuentas fake o cuentas falsas, gracias al fácil acceso de los usuarios a la imagen de terceros y otros datos personales (la denominada por algunos como “huella digital”).

A fin de combatir esta lacra, ha sido registrada en el Senado una Proposición de Ley con el objetivo de modificar la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico (“LSSI”), que contiene algunas de las propuestas que se detallan a continuación.

Deber de identificación

Esta Proposición obligaría a determinados prestadores de servicios a identificar a cada uno de los perfiles y cuentas de usuario, mediante el Documento Nacional de Identidad o el Pasaporte. Sin embargo, en el texto no se especifica el alcance de esta labor de identificación ni si dichos datos identificativos constarán accesibles al resto de usuarios de la plataforma correspondiente. Esta cuestión es esencial para determinar el impacto para la privacidad en los usuarios de dichas plataformas. De este modo, atendiendo al fin último de la proposición, esto es, identificar y, por tanto, poder atribuir a un sujeto concreto una conducta típica, atajando la impunidad en Internet, parecería suficiente con que, únicamente, la plataforma correspondiente llevara a cabo dicha identificación internamente sin su divulgación a terceros.

En este sentido, las técnicas de seudonimización se configurarían como idóneas para dar cumplimiento a la normativa sobre protección de datos, de modo que la información adicional que pudiera permitir una posible reidentificación fuese accesible, exclusivamente, con ocasión de la comisión de conductas ilícitas, sin perjuicio de que, para dotar de mayor seguridad a esta iniciativa, las conductas que pudieran activar este proceso fueran, necesariamente, objeto de mayor concreción.

Responsabilidad de los prestadores de servicios de almacenamiento de datos

El artículo 16 de la LSSI dispone ciertos supuestos de exención de responsabilidad de los prestadores de servicios de almacenamiento de datos fundamentados en el conocimiento efectivo de las actividades ilícitas y en la diligencia debida en su retirada o denegación de acceso cuando hubieran tenido conocimiento de aquellas. Sin embargo, con esta Proposición, se añaden ciertas circunstancias en las que no operará esta exención. A saber:

 

a) cuando la plataforma no disponga de la identificación del individuo que almacena los datos; o

 

b) cuando no disponga de los medios tecnológicos adecuados para identificar a dicho individuo.

Desde la perspectiva de privacidad, estos requisitos se sumarían a los que estos prestadores deben observar para dar cumplimiento a las obligaciones de protección de datos desde el diseño y por defecto, así como las relativos a la seguridad del tratamiento de datos personales.

 

Régimen sancionador

De acuerdo con la citada Proposición, la falta de identificación de los sujetos, según lo dispuesto anteriormente, está calificada como una infracción muy grave, la cual puede acarrear, según lo dispuesto en el artículo 39 de la LSSI, multas de hasta 600.001 €.

Sin duda, se trata de una calificación con un claro objetivo disuasorio, sin perjuicio de las dudas sobre la proporcionalidad en esta calificación, considerando el resto de las conductas tipificadas como infracción.

Conclusiones

Con la incorporación de esta obligación para los proveedores de servicios de almacenamiento se produciría, indudablemente, un tratamiento de datos personales por parte de estos derivado de la obligación a la que se encontrarían sujetos si la Proposición es aprobada finalmente. Sin embargo, contrariamente al impacto mediático de esta iniciativa, no parece llevarse a cabo un tratamiento de datos personales de naturaleza sensible, esto es, referidos a categoría especiales de datos (orientación sexual, salud, afiliación política o creencia religiosa, etc.) o relativos a infracciones penales.

Cuestión distinta es que la medida pueda considerarse desproporcionada atendiendo al principio de minimización de datos, siempre que existan métodos alternativos que supongan alcanzar la misma finalidad (poder atribuir una conducta concreta a un usuario) tratando menos datos personales.

Algunas voces consideran que esta medida supondría el fin del anonimato en internet, el cual, en algunos casos, se ha configurado como un verdadero derecho en la era digital, quizás confundido con el derecho de la protección de datos personales y, concretamente, a no verse sometido a tratamientos indeseados (tradicionalmente relacionados con el marketing directo)

Por su parte, muchas otras entidades del sector digital, sin embargo, incorporan ya este tratamiento para combatir el fraude y otras prácticas indeseadas, implementando las medidas de necesarias para garantizar la seguridad de los datos personales. Aplicaciones relacionadas con el sector financiero, de transporte colaborativo, e incluso del sector sanitario, solicitan el DNI como método de verificación del usuario en sus procesos de registro.

En definitiva, ante las numerosas dudas que despierta esta Proposición, cabe preguntarse, por una parte, ¿cuáles serán las consecuencias prácticas para el usuario declarado infractor de cualquier conducta delictiva, más allá de las propias en vía jurisdiccional? ¿se limitaría indefinidamente el acceso a redes sociales? Y por otra, ¿supone esta medida una colisión con el derecho a la libertad de expresión? ¿y con el derecho a la protección de datos? O incluso ¿la ausencia de anonimato constituye un límite a la libertad de expresión? Legisladores, hagan juego.