Cuando tu equipo personal entre por la puerta, la información saldrá por la ventana

Qué fácil era cuando todos teníamos Blackberry, pero ahora vemos una larga variedad de equipos móviles en la oficina: smartphones, tablets, netbooks y las laptops de toda la vida. Bien por el consumidor, que ahora tenemos muchas opciones y mejores precios. Pero, cuando lo analizamos desde el punto de vista corporativo, la cosa ya toma otro matiz.

Desde hace un tiempo las empresas están aceptando que sus trabajadores usen sus equipos personales en la oficina. Es decir, que configuren el correo corporativo en el smartphone personal, que guarden documentos de clientes en sus laptops o accedan a aplicativos de la empresa desde sus iPads. Si no es política de la organización entregar estos equipos a sus empleados, la alternativa viene siendo que traigan los suyos propios para trabajar. Así nace una tendencia a nivel mundial llamada BYOD (Bring Your Own Device).

Muchos la vienen adoptando con entusiasmo. Sin embargo, hay un potencial riesgo de seguridad y privacidad que puede resultar siendo más costoso. ¿Se han preguntado qué sucede con la información que contiene un smartphone cuando se pierde o es robado?

The Lost Smartphone Problem fue estudio realizado en organizaciones pertenecientes a diferentes sectores de la economía estadounidense. El mismo señala que al año se pierden o roban más de 140 mil smartphones, de los cuales el 47% de casos se ha dado cuando el trabajador está fuera de la empresa, 29% mientras estuvieron de viaje, 13% en la oficina y el 11% restante no sabe ni dónde ni cómo.

Por su parte, The Symantec Smartphone Honey Stick Project fue un interesante experimento que consistió en abandonar 50 smartphones en diferentes ciudades de los EE.UU, con mecanismos para monitorear qué pasaba con ellos luego de ser encontrados por extraños (ver infografía). Los resultados mostraron que el 83% de quienes los encontraron accedieron a información personal y corporativa, y sólo el 50% se pusieron el contacto con el dueño para devolverlo. ¿Qué pasaría en el Perú en un ejercicio como este?

El punto es que los dispositivos pueden ser reemplazados, pero la información almacenada en ellos se encuentra en riesgo a menos que se tomen las precauciones necesarias para protegerla. Lo más grave es que las empresas no son conscientes de ello dejando muchas veces la seguridad en manos de los dueños de esos equipos.

Políticas de seguridad

Particularmente, considero un riesgo utilizar equipos personales para el trabajo, debido que la empresa tiene restricciones sobre ellos, con respecto a la ejecución de mecanismos de seguridad. Si los equipos son de la empresa se podrían implementar medidas como:

  • Contraseñas de bloqueo cada cierto tiempo de inactividad.
  • Mecanismo para formatear el equipo remotamente.
  • Encriptación de la información (correos, documentos, etc)
  • Instalar y mantener actualizado el antivirus y antispam.
  • Mantener actualizado el sistema operativo y otras aplicaciones (parches de seguridad)
  • Limitar o controlar la instalación de aplicaciones (evitar programas maliciosos)
  • Rastrear el equipo a través de un GPS.

BYOD

Si la tendencia va por el lado de permitir un esquema BYOD, mi recomendación es configurar una conexión remota a través de una VPN (Virtual Private Network). Esto aseguraría que en el equipo se conserve la menor cantidad de información de trabajo.

Paralelamente, antes de lanzar el proyecto sería saludable responder a las siguientes interrogantes:

  • ¿Se permitirían todo tipo de modelos de smartphones o tablets?.
  • ¿La conexión a los recursos de la empresa sería directa (correo, agendas, aplicativos) o a través de VPN?
  • ¿La empresa estará en la capacidad de implantar una configuración básica, exigiendo tener instalado (y actualizado) un mínimo de aplicaciones a fin de resguardar la seguridad de la información?
  • ¿Se aceptará la posibilidad de formatear el equipo como consecuencia de alguna falla o aplicación maliciosa, sin que la empresa se haga responsable de la información o aplicaciones personales que no se puedan recuperar (fotos, videos, aplicaciones, etc)?
  • ¿Será posible comprometer al dueño del equipo que, por razones de seguridad, se limitará o bloqueará la descarga e instalación de archivos y aplicativos riesgosos o que infrinjan el derecho de propiedad intelectual?
  • En caso el trabajador deje la organización ¿cómo asegurar que la información corporativa no se vaya con él?
  • ¿Cuál sería el nivel de soporte informático que la empresa ofrecería para estos equipos? Estaría limitado sólo a aplicaciones de índole laboral (correo electrónico, agendas, etc)?
  • Para los casos de accidente, pérdida o robo ¿habrá reposición? Para los casos de desperfectos ¿se ofrecerán equipos temporales?

Pienso que aclarando estas dudas se puede llegar a tener un dimensionamiento claro sobre lo que puede significar, realmente, adoptar un esquema BYOD en la organización.

Sube a mi nube, Nubeluz

Seguro que el término Cloud Computing ya no es exclusivo de las conversaciones entre los “techies” de la oficina. Sospecho que pocos son quienes realmente saben de qué va la cosa y quizás los CSP (Cloud Service Providers) estén apostando a que mientras más familiar sea el término, más fácil será convencernos de que no hay nada por qué preocuparse.

No somos pocos los que pensamos que los principales puntos críticos de esta tecnología recaen en la confidencialidad de la información y la responsabilidad derivada de incidentes relacionados con este servicio. En este sentido, vale la pena dar un vistazo para ver si existe regulación o algún tipo de guía sobre la nube.

España y Europa

Hace unas semanas la Agencia Española de Protección de Datos junto al Consejo General de la Abogacía Española publicaron el informe titulado “Utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal” (aquí). Este documento ofrece orientación sobre los aspectos a tomar en cuenta en caso quisiéramos contratar estos servicios, considerando como base 3 aspectos claves:

  • Responsabilidad sobre el tratamiento de los datos, así como la normativa y jurisdicción aplicables.
  • Seguridad y confidencialidad de los datos.
  • Aspectos técnicos y jurídicos del contrato que debe firmarse.

Documento por demás valioso tomando en cuenta que los abogados son depositarios de la información de sus clientes, y como tales, tienen el deber de guardar la privacidad de la misma, así como el secreto profesional.

A principios de año la European Network and Information Security Agency (ENISA) publicó “A guide to monitoring of security service levels in cloud contracts” (aquí), una guía práctica para verificar que se cumplan todos los aspectos relacionados con la seguridad de la información. Si bien está enfocada al sector público, funciona perfectamente para el privado.

La misma Agencia publicó tiempo atrás la Cloud Computing Risk Assessment (tiene versión en español) que presenta un exhaustivo análisis de las ventajas, riesgos y vulnerabilidades de la nube (como para que no nos cuenten cuentos). Además, incluye criterios para evaluar riesgos, comparar ofertas de distintos CSP y asegurar un adecuado nivel de servicios. Muy didáctico, porque lo desarrollan tomando como escenario un caso de migración de una MYPE hacia la nube.

Vayan hasta el final de este documento, que trae como anexo un análisis de cinco cuestionamientos legales que suelen preocuparnos a quienes miramos con cierta expectativa a este nuevo paradigma, como son:

  • Protección de datos (disponibilidad, integridad y garantías)
  • Confidencialidad
  • Propiedad intelectual
  • Negligencia profesional
  • Servicios de subcontratación y cambios de control.

Estados Unidos

Desde 2010 EE.UU cuenta con un plan llamado Cloud First y la Federal Cloud Computing Strategy, enfocados a reducir la infraestructura informática tradicional en manos de las entidades de gobierno, migrándola a la nube en aquellos casos que sea más eficiente términos operativos y económicos.

En esa línea, The Federal Risk and Authorization Management Program (FedRAMP) es un programa creado por (y para) el gobierno estadounidense que responde a le necesidad de estandarizar criterios de evaluación y supervisión de servicios ofrecidos en la nube. Funciona así:

  • Los CSP deben implementar los requisitos de seguridad de la FedRAMP (basados en Federal Information Security Management Act – FISMA y la NIST 800-53)
  • Contratar los servicios de una empresa que audite sus servicios y productos (hay una lista de auditoras certificadas).
  • Luego de pasar la auditoría la FedRAMP incluye al CSP en su registro de proveedores homologados.

El objetivo es evaluar sólo una vez a los proveedores y que las agencias de gobierno utilicen estos resultados tantas veces como sea necesario, evitando repetir procesos de selección una y otra vez.

Si bien el enfoque es para las agencias de gobierno norteamericanas, se rescatan criterios interesantes que se pueden implementar en el sector privado.

Epílogo

En verdad el hemisferio norte siempre está a la vanguardia en temas tecnológicos, así que quienes tenemos en la mira cambiar nuestra “gestión de activos” por una “gestión de servicios” contamos con un material valioso y de lectura obligatoria. No hay pretextos.

Sin embargo, situándonos por este lado del hemisferio, la regulación es casi nula, por lo que habría que utilizar otras herramientas antes de tomar una decisión tan importante y de tanto impacto. Ya será para la próxima.

¿Y si el Perú apostara por la tecnología?

Es una de las grande preguntas que surgen cuando vemos (tal como hemos señalado aquí) a países vecinos como Colombia apostando firmemente por la tecnología como eje de desarrollo económico y social.

Hay posiciones que postulan que es necesario tener clara la política pública antes que la creación de burocracia, otros sostienen que es necesaria la creación de burocracia para que los temas de tecnología tomen la prioridad respectiva. Estoy de acuerdo con ambas posturas sin embargo es importante que, desde la cabeza (y no sólo a nivel sectorial), exista un real convencimiento de que la apuesta por un país promotor de la innovación tecnológica como eje transversal de desarrollo es necesaria.

Ahora, la creación de mayor burocracia genera costos y debemos partir de la idea de que si bien podemos crear un millón de ministerios de lo que querramos, el Estado no va a crear mercado allá donde éste no exista, sin embargo si puede contribuir a fortalecer y generar incentivos para la consolidación de mercados emergentes.  En línea con lo anterior imaginemos que el Estado peruano decida ponerse la camiseta de la tecnología y de pronto nuestro presidente se convierta en uno digital con HD y decida emprender la tarea de “tecnologizar” al país sobre la base de lo ya existente sin tener que incurrir en elevados costos. Esbozaremos algunas ideas.

En la “Hoja de Ruta” del entonces candidato y hoy Presidente de la República, Ollanta Humala, se mencionaba lo siguiente: “Revolución educativa que haga énfasis en la calidad y en el desarrollo de la Ciencia, la Tecnología y la Innovación“. En esa línea el gobierno actual promovió la Comisión de Ciencia, Innovación y Tecnología. Recientemente dicha Comisión propuso crear un Ministerio de Ciencia, Tecnología e Innovación. Como segunda opción se mencionó la idea de crear una Comisión Interministerial de CTI. “Dicha comisión interministerial estaría integrada por ministros y tendría su secretaría ejecutiva. Desde esa instancia, podría monitorear la gestión de todas las instituciones de ciencia y tecnología del Perú”, reveló Víctor Carranza, miembro de la referida Comisión. De acuerdo a lo anterior existirían tres iniciativas para dotar de  institucionalidad a la ciencia y tecnología en el país: (i) crear un nuevo Ministerio, (ii) crear una Comisión Interministerial y/o (iii) insertar las políticas de ciencia y tecnología en un Ministerio existente.

Veamos la estructura actual del gabinete:

  1. Ministerio de Relaciones Exteriores
  2.  Ministerio de Defensa
  3. Ministerio de Economía y Finanzas
  4. Ministerio del Interior
  5. Ministerio de Educación
  6. Ministerio de Salud
  7. Ministerio de Agricultura
  8. Ministerio de Trabajo y Promoción del Empleo
  9. Ministerio de la Producción
  10. Ministerio de Comercio Exterior y Turismo.
  11.  Ministerio de Energía y Minas
  12. Ministerio de Transportes y Comunicaciones
  13. Ministerio de Vivienda, Construcción y Saneamiento.
  14. Ministerio de la Mujer y Poblaciones Vulnerables
  15. Ministerio del Ambiente
  16. Ministerio de Cultura
  17. Ministerio de Justicia y Derechos Humanos
  18. Ministerio de Desarrollo e Inclusión Social

Parecería que la tercera opción dentro de la visión del Presidente y su Hoja de Ruta sería alojar las políticas públicas de ciencia y tecnología en el Ministerio de Educación. Mi voto es a favor de (ii) o (iii). No me desagrada la idea de una Comisión transversal y menos aún la idea de nuestro Presidente de alojar las políticas de ciencia e innovación y darles un enfoque desde la educación. Eso por el lado de la ciencia y la innovación.

Sin embargo hay otra área muy importante donde impacta la tecnología y es en el campo de lo que se denomina “tecnologías de la información y comunicaciones” (TIC). Acá el referente colombiano es muy relevante. Colombia transformó su antiguo Ministerio de Comunicaciones por Ministerio de TIC redistribuyendo funciones, deshaciendo algunas, incorporando otras. En síntesis Colombia modernizó una estructura ya existente. ¿Por qué no hacer lo mismo en Perú?¿Por qué no transformar nuestro Ministerio de Transportes y Comunicaciones en un Ministerio TIC?¿Cómo hacerlo? Mantener las funciones de telecomunicaciones (concesiones y autorizaciones) y gestión del espectro al tiempo de asumir la implementación de una agenda digital cuyos avances ya se han dado en el marco de la “Comisión Multisectorial para el Seguimiento y Evaluación del Plan de Desarrollo de la Sociedad de la Información en el Perú” (CODESI).   Es más la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) que lidera CODESI debería formar parte de la estructura del nuevo Ministerio TIC.

¿Qué hacer con todo el bloque de Transportes actualmente dentro del Ministerio de Transportes y Comunicaciones? Bueno bajo esta nueva visión de priorizar el desarrollo de TIC propondría la extracción de ese bloque para así crear un nuevo Ministerio de Transportes (aunque un concepto más inclusivo podría ser Ministerio de Transportes e Infraestructura). De esta manera el gobierno podría a través de este nuevo Despacho coordinar no sólo el ordenamiento del transporte sino además las vías por donde éste se desarrolla.

A fin de evitar el aumento del número de ministerios, como medida complementaria propondría la absorción del Ministerio de la Mujer por el Ministerio de Inclusión Social. No sólo es cuestionable eso de equiparar a la mujer con población vulnerable sino que, en mi opinión, bien pueden dichas funciones formar parte de una política nacional de inclusión social. En mi opinión no requieren de un Ministerio. Más razones para no contar con un Ministerio de la Mujer pueden encontrarse en esta nota bien lograda de Patricia del Río.

La nueva estructura del “gabinete tecnológico” podría quedar de la siguiente manera:

  1. Ministerio de Relaciones Exteriores
  2.  Ministerio de Defensa
  3. Ministerio de Economía y Finanzas
  4. Ministerio del Interior
  5. Ministerio de Educación, Ciencia y TecnologíaComisión Intersectorial)
  6. Ministerio de Salud
  7. Ministerio de Agricultura
  8. Ministerio de Trabajo y Promoción del Empleo
  9. Ministerio de la Producción
  10. Ministerio de Comercio Exterior y Turismo.
  11.  Ministerio de Energía y Minas
  12. Ministerio de Tecnologías de la Información y Comunicaciones
  13. Ministerio de Vivienda, Construcción y Saneamiento.
  14. Ministerio del Ambiente
  15. Ministerio de Cultura
  16. Ministerio de Justicia y Derechos Humanos
  17. Ministerio de Desarrollo e Inclusión Social
  18. Ministerio de Transportes e Infraestructura

Bien puede sonar esto a una reingenieria del gabinete (al estilo Rajoy en España) pero estas ideas podrían, al menos en este ejercicio hipotético, darle un rol protagónico a la tecnología desde el gobierno. Claro, siempre, como mencionaba antes, que exista un firme convencimiento y una hoja de ruta clara para la tecnología dentro del gobierno.

No queremos dejar de mencionar los esfuerzos del Consejo Nacional de la Competitividad que en su Agenda 2012-2013 ha incorporado a la tecnología como indicador y elemento importante para mejorar la competitividad de nuestro país.

¿Ideas?¿opiniones? Qué se abra el debate y la discusión.

Ver más al respecto en:
Sobre CyT posición dispar en Lex Digitalis
¿Habemus CTI? (1) en Techtulia

 

Hablando de protección de datos personales en serio: datosperu.org

Cualquiera que ha buscado en Internet el nombre una persona o empresa ha llegado alguna vez a una página como DatosPerú.org (o UniversidadPeru). Se trata de páginas que muestran bases de datos de personas y empresas, indicando en detalle su información legal y fiscal (gerentes, locales, vinculadas). Casi desde su inicio, estas páginas son vistas con preocupación por muchas personas que sienten vulnerada su privacidad viendo tanta información sobre uno mismo en Internet. En un país donde los secuestros y extorsiones son tan frecuentes, resulta una preocupación válida. ¿Son legales estas páginas? ¿Qué se puede hacer frente a ellas?

En principio, DatosPerú no contiene información secreta ni prohibida de ser publicada. De hecho, contiene información a la que cualquiera tiene acceso. Solo ha agrupado información que ya se encontraba disponible en SUNAT y en los portales de otras instituciones del Estado, es decir, información pública. La cantidad de información personal disponible públicamente es aún mayor que la mostrada en DatosPeru.

  • SUNAT (nombre, DNI, dirección, omisiones tributarias, teléfono),
  • ESSALUD (nombres, fecha y año de nacimiento),
  • INFOgob (fotografías, filiación política, declaración jurada y currículo, en el caso de candidatos), y,
  • Páginas Blancas (direcciones y teléfonos)

Todo eso sin pagar un sol. Porque si se dispone de dinero, están a nuestra disposición las bases de datos de Registros Públicos (propiedades, hipotecas, autos, empresas, accionistas), Reniec (registro civil) y la tan temidas centrales de riesgo como Infocorp. ¿Por qué es pública toda esta información? Todas estas bases de datos existen o están disponibles por disposición de alguna norma de orden legal, que ordena su publicidad para proteger la seguridad jurídica o el comercio.

Nuestra Ley de Protección de Datos Personales (.pdf) considera como dato personal a toda información sobre una persona natural que la identifica o la hace identificable, distinguiéndolo de los datos sensibles calificados como datos biométricos que por sí mismos pueden identificar al titular, raza, ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales, afiliación sindical e información relacionada a la salud o a la vida sexual.

Un tratamiento de datos personales como el que realiza DatosPerú debería de ser autorizado previamente por el titular. Sin embargo, el que realiza SUNAT, RENIEC o EsSalud no necesita de ninguna autorización porque se encuentra exceptuados del ámbito de aplicación de la Ley.

¿Qué pasa entonces con la información contenida en bases de datos públicas cuando son reproducidas por privados? El artículo 14 precisa que “no se requerirá consentimiento del titular cuando se  trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público“. En otras palabras, si algún dato personal ya está contenido en una “fuente accesible para el público”, no será necesario que el titular autorice su tratamiento. Las fuentes accesibles para el público son bancos de datos personales de administración pública o privada, que pueden ser consultados por cualquier persona, y que deberían de estar establecidas por el reglamento.

El problema es que la tan anunciada Ley de Protección de Datos Personales aún no tiene reglamento y, por ende, no sabemos cuáles serán las fuentes accesibles para el público. En julio se encargó su elaboración a una Comisión y se le otorgó un plazo de ciento viente (120 días), que venció a inicios de este año. Sin embargo, no resulta difícil imaginar que el Reglamento reconocerá la base de datos de SUNAT como una fuente accesible para el público. Lo que significa que, con o sin Ley, será poco lo que podamos hacer frente a páginas como DatosPerú.

La página del gobierno estadounidense que reúne a las iniciativas de Open Data gubernamentales alrededor del mundo la ha registrado como la iniciativa oficial del Estado Peruano. Frente a esto, dos entidades de la sociedad civil han hecho la consulta formal al Estado sobre si DatosPerú está gestionado por el Gobierno. Les adelanto la respuesta: no lo está. Lo que, como todo parece indicar, no significa que su actividad sea ilegal.

Actualización (14/03): En el Proyecto de Reglamento de la Ley de Protección de Datos se reconoce como una fuente de acceso público a la base de datos de SUNARP y a “todo otro registro o base de datos calificado como público”. Por tanto, todos los datos contenidos en estas bases de datos pueden ser tratados libremente.

Ilustración: Charlie Collins (CC BY-ND)

Analizando la controversia de Gerardolipe

YoTuve que dejar de subir videos

Muchos le debemos algo a Gerardo Nuñez así no sepamos quién es. Si eres de los que veía en Youtube las entrevistas de la última compaña electoral o los reportajes del fin de semana, es probable que hayas visto uno de los videos de gerardolipe. Desde hace varios años, este usuario de Youtube se toma la paciencia de grabar contenidos de la televisión y luego subirlos a su cuenta en Youtube sin mayor recompensa que el reconocimiento. Un reconocimiento que se ha visto reflejado en muchos comentarios e incluso reportajes donde lo llaman el Héroe Peruano del Youtube.

El asunto es que Gerardo Núñez y la periodista de ATV Mariella Patriau ayer intercambiaron varios mensajes a través de Twitter, en el que ella lo llamo “pirata” e invocó al público a preferir el nuevo servicio de videos de ATV. Este hecho rápidamente provocó una gran reacción en Twitter, donde incluso otros periodistas se pronunciaron a favor de Núñez. Situaciones como esta, donde parece haber una “verdad legal” en contra de cierta opinión pública mayoritaria son ideales para reflexionar sobre la forma en que las normas sobre derechos de autor pueden estar en contra de nuestro sentido común.

Las etiquetas de legal e ilegal se aplican según el uso que se le de a la obra. Se le permite a Gerardo grabar un programa para verlo en su casa, en su trabajo o en cualquier sitio entendido como doméstico. La ley le permite a Gerardo hacer su propio programa de televisión, comentando las noticias de actualidad e intercalando sus comentarios con extractos de entrevistas o reportajes y difundir su programa por Internet. Sin embargo, la ley le impide a Gerardo comunicar públicamente un programa a través de Internet sin tener la autorización de los productores. Ni siquiera el conductor, como ayer nos recordaba Rosa María Palacios, puede autorizar que su programa se copia o se difunda en otro medio si no es la productora o ha cedido esos derechos.

Estas normas están pensadas para reprimir a quienes hacen negocio copiando o redistribuyendo contenido ajeno. La actividad de muchos usuarios de Youtube, cuando sus cuentas carecen de publicidad, es sin fines de lucro y es sería más bien análoga a cuando nos prestábamos cintas de video con programas o películas grabados de la televisión. La ley, sin embargo, no distingue entre un fin de lucro o no. A nosotros nos suena descabellado porque, bien visto, es descabellado pensar que hay algo de malo en poner a disposición de más personas los contenidos de un tercero sin remuneración.

ATV se compra el pleito porque, pese a que en sus ratos libres disfrutan viendo Cuevana, ahora tienen un canal con el creativo nombre de TuTeve (¿YouTube?) y ven que los contenidos que suben otros usuarios a Youtube compiten directamente con la audiencia de su propio canal. Este un análisis erróneo de su compentencia, porque no es @gerardolipe sino Youtube como plataforma. Un consejo para ATV: Abran su propio canal de YouTube y, a través de él, atraigan audiencia a su servicio propio como lo hacen TVE o Hulu. Pelearte con tus consumidores ha demostrado ser un modelo de negocio equivocado. Un consejo para Gerardo: Deja de subir los contenidos de ATV, que ellos mismos busquen su propia audiencia.

También:
Decreto Legislativo 822, Ley sobre el Derecho de Autor en el Perú
Es la piratería el futuro de la televisión
Henry Spencer y los derechos de autor en Internet
Más sobre Derechos de autor en Blawyer

Ilustración: Héctor Milla (CC BY-NC)

El concepto de “conocimiento efectivo” en el caso L’Oreal vs. Ebay

Estos casos de ropa, carteras, perfumes y demás chucherías de alta gama no dejan de ser interesantes. En Blawyer hemos dado cuenta de algunos de ellos (eBay y la responsabilidad de los eMarkets por productos falsos). En esta oportunidad prestaremos atención a la reciente sentencia (aquí) del Tribunal de Justicia de las Comunidades Europeas en un caso (Asunto C‑324/09) de petición prejudicial presentada por un tribunal británico por un litigio seguido entre por un lado L’Oréal SA y sus filiales Lancôme parfums et beauté & Cie SNC, Laboratoire Garnier & Cie y L’Oréal (UK) Ltd y, en la otra esquina por el batallón de tres filiales de eBay Inc. (eBay International AG, eBay Europe SARL y eBay (UK) Ltd). En resumen, L’Oréal acusa a eBay de no hacer lo suficiente para evitar la comercialización de productos falsificados a través de su sitio de subastas electrónicas.

Como antecedente, podemos señalar que L’Oreal (titular de varias marcas en el Reino Unido y comunitarias) fabrica y comercializa perfumes, cosméticos y productos para el cuidado del cabello. Además, vende sus productos a través de una red cerrada donde los distribuidores autorizados no pueden vender los productos a otros suministradores. Por su parte, eBay explota un sitio de subastas electrónicas en el que muestra anuncios de productos ofrecidos en venta por usuarios registrados y cobra por ello un porcentaje sobre el valor de las transacciones llevadas a cabo. Los usuarios registrados en eBay deben aceptar las condiciones de la plaza, entre las cuales se encuentra la prohibición de vender artículos falsificados y vulnerar derechos de marca.

L’Oreal, argumenta que eBay es responsable de la falsificación de los productos vendidos por sus usuarios en su sitio de subastas electrónicas, y por lo tanto debe hacer bastante más para impedir la venta de mercancías infractoras.

La cuestión fundamental que debió decidir el Tribunal estuvo relacionada con los límites de la exención de responsabilidad de los intermediarios cuando, a la vez que desempeñan un papel pasivo, se encargan únicamente de transportar información procedente de terceros. Actividad que se encuentra regulada en la Directiva 2000/31/CE sobre Comercio Electrónico.

El artículo 14 de la Directiva señala que cuando se presta un servicio de la sociedad de la información consistente en almacenar datos facilitados por el destinatario del servicio, el prestador de servicios puede estar exonerado de responsabilidad respecto de los datos almacenados a petición del destinatario. Esta exención opera siempre y cuando: (i) El prestador de servicios no tenga conocimiento efectivo de la actividad o la información ilícita; y, (ii) En cuanto tenga conocimiento de ello, el prestador de servicios actúe con prontitud para retirar los datos o hacer que el acceso a ellos sea imposible.

La Sentencia concluye en el sentido que estas exenciones se aplican siempre que dicho operador no desempeñe lo que viene a llamar “un papel activo” que le permita adquirir determinado conocimiento o control de los datos relativos a las ofertas que se realizan en el mercado de subastas electrónicas. Se entiende que el operador desempeña papel activo “cuando presta una asistencia consistente, en particular, en optimizar la presentación de las ofertas de venta en cuestión o la promoción de tales ofertas”. No se aplicará la exención de responsabilidad cuando el intermediario ha tenido conocimiento de hechos o circunstancias a partir de los cuales un operador diligente hubiera debido constatar el carácter ilícito de las ofertas de venta y, en caso de adquirir tal conocimiento, no haya actuado con prontitud.

Sin embargo, el Tribunal es claro al señalar que las medidas que pueden exigirse al prestador del servicio en línea no pueden consistir en una supervisión activa del conjunto de datos de cada uno de sus clientes dirigida a evitar cualquier futura lesión de derechos de propiedad intelectual. Asimismo, en caso de los requerimientos judiciales éstos deben velar por que las medidas ordenadas no creen obstáculos al comercio legítimo. Ello implica que, el requerimiento que se dirija a este operador no puede tener por objeto o efecto imponer una prohibición general y permanente de poner a la venta, en este mercado electrónico, productos de estas marcas.

Si el operador del mercado electrónico no decide motu proprio suspender la cuenta de quien vulneró los derechos de propiedad intelectual para evitar que el mismo comerciante vuelva a cometer infracciones de esta naturaleza en relación con las mismas marcas, podrá ser obligado a ello mediante un requerimiento judicial.

Algunos análisis del caso: Xavier Ribas (Resumen de la sentencia L’Oreal vs eBay), The IPKat (Background to this morning’s ruling, What the Court says y what the world says …) SIB on line (Court of Justice Ruling in L’Oreal vs. eBay) y Abanlex Abogados (Estimación del “conocimiento efectivo” en el reciente caso L’Oreal vs. Ebay).

¿Quién es quién en el caso de los kilómetros extra de LANPASS?

La semana pasada, los usuarios de las tarjetas BCP LANPASS encontraron un incremento considerable en los kilómetros acumulados en sus cuentas. Durante el mes de mayo, el Banco de Crédito había lanzado una promoción que les permitía acumular el doble de kilómetros por las compras hechas con las tarjetas BCP LANPASS. Sin embargo, el último martes hubo quienes encontraron hasta millones de kilómetros extra en sus cuentas. Según lo reportado, alrededor de 500 personas alcanzaron a canjear pasajes durante la mañana de ese día. Acto seguido, las empresas detectaron que había pasado algo raro y cancelaron temporalmente el acceso a todas las cuentas LANPASS.

LAN Perú fue la primera en reaccionar. Esa misma tarde, a través de su cuenta en Facebook, publicó un escueto comunicado en el que responsabilizaba al BCP del “error operativo” producto del cual se habían abonado los kilómetros. A la mañana siguiente, el Banco de Crédito publicó en los diarios una nota de prensa en el que reconocía la “falla operativa involuntaria” y se comprometía a solucionar los inconvenientes producidos. Al mismo tiempo, señalaba que rastrearía la validez de cada canje y tomaría las medidas legales y correctivas necesarias.

Queda claro que la responsabilidad es del BCP. A través de las tarjetas BCP LANPASS, en buena cuenta el BCP le compra kilómetros a LAN para regalárselos a sus usuarios, regularmente a razón de 1.5 kilómetros por cada sol. Siempre, es el BCP quien le dice a LAN a qué usuario asignarle cuántos kilómetros. En el caso de la Promoción Duplica de mayo, el Banco asignaba los kilómetros regularmente y, hacia fin de mes, regalaba nuevamente el mismo número de kilómetros otorgados previamente durante el mes. Según las propias condiciones de la promoción, en esta segunda asignación solo se podían entregar hasta 30 mil kilómetros extra por usuario. El error aparentemente se produjo cuando el BCP entregó esta segunda tanda de kilómetros. Lo único que hizo LAN fue obedecer lo que el BCP le dictó (aunque, si estaba estipulado en el contrato, podría haber desconocido alguna obligación al entregar más de 30 mil kilómetros).

Por el lado del usuario, existen dos relaciones jurídicas relevantes. Una entre el Banco y el usuario, mediante un contrato de tarjeta de crédito, en cuyo marco el Banco otorga los kilómetros LAN como una bonificación. Recordemos que lo que el Banco regala son kilómetros, no pasajes. En este caso, los usuarios recibieron los kilómetros en el marco de una promoción por lo que muchos pudieron haber pensado que el aumento se debía a la promoción misma y no a un error.

Existe una segunda relación contractual entre el usuario y LAN, materializada en el canje de kilómetros por pasajes pero que se enmarca en el contrato de Programa de Pasajero Frecuente de LAN. Aquí el usuario utiliza sus kilómetros para solicitar el canje de pasajes “premios”, los que son inmediatamente emitidos tras la transacción. En sentido estricto, la tabla de premios de LAN no es una oferta sino una invitación a ofrecer sujeta a reserva. Es el usuario quien formula la oferta y esta queda consentida cuando se llega a emitir el pasaje “premio”. Tan así que los propios Términos y Condiciones, en su Sección 9, hablan de que los socios “solicitan un premio” y LAN se reserva el derecho de negarse a otorgar o retener algún premio.

Si es que algunos de los kilómetros utilizados para canjear pasajes fueron indebidamente endosados por el BCP, creo que tranquilamente podría anularse los premios otorgados aun si los pasajes aún no fueron emitidos. En el caso de las personas que recibieron los kilómetros pero no llegaron a canjearlos, LAN podría descontarlos a solicitud del BCP según lo señala la Sección 8.14 de sus Términos y Condiciones. Distinto es los pasajes que llegaron a emitirse, en cuyo caso el negocio jurídico quedó perfeccionado ya que se aceptó la oferta sin oponer reserva. En ese supuesto, será el Banco quien tendrá que responder ante LAN por los kilómetros extra utilizados.

Nuevamente estamos frente a un caso en donde la letra pequeña tiene la respuesta. ¿Cuántos de los usuarios que canjearon los premios de LAN la conocían? Seguramente pocos. Los Términos y Condiciones, aceptados por el usuario en el momento de su afiliación al programa LANPASS, tienen la validez de un contrato para nuestro sistema jurídico. Para ampliar, puede revisarse el caso de Dell en Chile, que por un error “vendió” computadoras a poco más de cien dólares por su página web, resumido en un excelente artículo de Íñigo de la Maza.

Avanza la Ley de Protección de Datos Personales

Existe un género de leyes en Perú que nunca llegan a aprobarse. Entre ellas, junto a la Ley Orgánica de Bases de la Administración Pública o la Ley General del Trabajo, hasta hace unos meses descansaba la Ley de Protección de Datos Personales. El año pasado, sin embargo, saludamos con entusiasmo que por fin haya una voluntad firme desde el Ejecutivo por lograr su aprobación y se lleve la discusión al Congreso. Actualmente, el Proyecto se ha nutrido de algunos comentarios y la Comisión de Justicia y Derechos Humanos del Congreso ha emitido un dictamen favorable y publicado el texto sustitutorio [pdf], que está pendiente de discusión en el Pleno del Congreso.

Qué es y qué no es

No voy a explayarme sobre el contenido y finalidad de este Proyecto de Ley. Basta decir que, en esencia, pretende establecer la obligación legal para todo aquel agente público o privado que trate información personal (números de teléfono, correos electrónicos, entre otros) de informar y transparentar sus prácticas con el mercado. Para mayores señas, sugiero leer los varios artículos de Oscar Montezuma al respecto.

Creo que su promulgación ayudará a ordenar nuestro sistema legislativo sobre el tema y nos pondrá al nivel de nuestros socios comerciales. Actualmente, la preocupación por estos temas es absolutamente formal y no hay mayor conciencia sobre su importancia. De aprobarse, agentes públicos y privados serán más cautelosos con lo que hacen y no hacen con nuestros datos privados y la forma en la que redactan sus contratos. Intenten googlear parte de los Términos de Uso de El Comercio y se darán cuenta de que son las mismas que hay en otros cientos de páginas web. Además, dará un marco legal a una serie de iniciativas de modernización del Estado, interoperabilidad e interacción entre públicos y privados para lograr un mejor servicio al ciudadano.

Pero tampoco es que estemos descubriendo la pólvora. Como sucedió en el caso de la tristemente celebrada Ley Antispam, la promulgación de esta Ley no cambiará nada si no existe la voluntad política y la capacidad institucional de hacerla cumplir. ¿O acaso desde que tenemos una Ley Antispam dejamos de recibir SPAM? De hecho, la única sanción por SPAM impuesta en Perú demoró dos años en tramitarse ante Indecopi solo fue de 5 mil dólares. Con ese precedente, y las herramientas tecnológicas necesarias, hay un gran espacio para el incumplimiento eficiente de la norma.

De la misma forma, esta Ley es y no es lo que dice ser. Para empezar, actualmente ya es posible iniciar un poceso de hábeas data ante cualquier amenaza o violación del derecho a la privacidad de datos personales. Es decir, no viene a defendernos de nada de lo que no podamos defendernos actualmente. El propio Proyecto de Ley lo reconoce y señala que el nuevo procedimiento administrativo ante la Autoridad Nacional de Protección de Datos Personales no constituirá una vía previa. Probablemente, esta Autoridad no será más que una oficina lúgubre dentro del Ministerio de Justicia, sin una partida presupuestal propia ni mayores fondos que las multas que imponga. ¿En esas condiciones hará cumplir la norma?

La polémica con Google

Esta semana, han aparecido en varios medios las declaraciones de Pedro Less, representante de Google en Latinoamérica, manifestando su disconformidad con el Proyecto de Ley. Concretamente, lo que a Less le parece cuestionable es que se requiera del consentimiento previo y expreso por parte de cada persona respecto de las condiciones en que se tratarán sus datos. Cabe señalar que este artículo no ha sido introducido de contrabando, sino que se encuentra desde sus primeras versiones.

Artículo 13.— Alcances
(…)
13.5. Los datos personales sólo pueden ser objeto de tratamiento con consentimiento de su titular, salvo ley autoritativa al respecto. El consentimiento debe ser previo, informado, expreso e inequívoco.

Esto significa que todo sitio web que intente tratar mis datos personales (que pueden ir desde correos electrónicos hasta información sobre IPs y preferencias) deberá de contar con mi consentimiento expreso. Conforme al Código Civil, donde la ley dice expreso no puede operar un consentimiento tácito. A Google, este asunto le preocupa porque significa que necesaitará de que los usuarios hagan clic en “Aceptar” antes de que ofrezcan sus servicios de búsqueda y eso, obviamente, le quitaría toda la gracia a su servicio.

Pero las cosas no son tan malas como las pintan. Para empezar, la norma solo será aplicable a quienes realicen el tratamiento de datos personales en el territorio nacional. Es decir, ni Facebook, ni Twitter, ni Foursquare, ni ninguna empresa domiciliada legalmente y cuyos servidores están en el extranjero será obligada a cumplirla (a diferencia de la norma europea, que sí amplía su aplicación a otros territorios). En el caso de que algún sitio en Internet trate los datos en Perú, le será de aplicación el artículo 18 del propio Proyecto, que establece una excepción interesante.

Artículo 18.— Derecho de Información
(…)
Si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones del presente artículo pueden satisfacerse mediante la publicación de políticas de privacidad, las que deben ser fácilmente accesíbles e identificables.

Es decir, el derecho de información del usuario puede verse satisfecho con la publicación y puesta a disposición de Políticas de Privacidad accesibles e identificables en el sitio. Al existir una disposición particular para Internet, creo que se cumple el requisito de contar con una “ley autoritativa al respecto” para exceptuarnos de recabar un consentimiento expreso señalado en el Artículo 13.

En el caso particular de Google, existen dos escenarios. Los usuarios que acceden estando logueados con su cuenta Google y aquellos que acceden libremente. En el caso de los usuarios registrados, esta autorización ya se dio en forma expresa e inequívoca al aceptar las Políticas de Privacidad durante el procedimiento de registro (contrato click). Por otro lado, los usuarios que entran libremente a usar sus servicios tienen a su disposición como uno de los pocos links de la página las Políticas de Privacidad (contrato browse). Esto, en mi interpretación, también significaría cumplir con la norma. Además, según el artículo 14.8 del Proyecto, Google podría optar por anonimizar los datos recopilados de los usuarios no registrados (enmascarar el IP o disociarlo de la fecha, búsqueda, navegador y OS) y, de esa forma, no necesitar de autorización expresa del titular de los datos personales.

Tanto la ley chilena como la argentina exigen un consentimiento expreso, por lo que no veo cuál es la gran preocupación dado que Google ha establecido su operación en ambos países. El problema de permitir que basta con una autorización tácita para el tratamiento de datos personales es la posibilidad de que se cometan abusos. Si actualmente nadie lee las Políticas de Privacidad, peor sería la situación si las empresas ni siquiera están obligadas a publicarlas o informar que se hará el tratamiendo de datos. De la misma forma en que no puede haber una autorización tácita para usar mi propia imagen o voz, no puede existir una autorización tácita general para tratar datos personales. A este respecto, el nivel de protección impuesto por la ley me parece el adecuado con la flexibilidad señalada para sitios web.

Foto: Luca Cerabona (CC BY-NC-ND)

¿Sobrevivirán las tiendas de libros?

Hace unos años Sean Dodson de The Guardian publicó una lista de las que a su juicio eran las diez librerías más bellas del mundo (Top shelves). Dodson situó a la cabeza de la lista a la Boekhandel Selexyz Dominicanen, en Maastricht. La antigua iglesia del siglo XII -hasta hace no mucho convertida en un patio de bicicletas- es ahora una preciosa librería que alberga infinidad de libros cuyas estanterías se entremezclan con la arquitectura gótica del lugar. Para Cristina Crisol (El discreto encanto de las librerías) tomar un café en el apacible altar de la antigua iglesia dominica es cuando menos una experiencia curiosa, religiosa podríamos decir.

Le sigue, la Ateneo Grand Splendid de Buenos Aires. No es para menos. La magnífica librería porteña ocupa también un espacio reciclado, lo que fue el teatro Grand Splendid, mandado a construir en 1919 por el empresario austríaco Max Glücksmann sobre el diseño de los arquitectos Rafael Peró y Manuel Torres Armengol. La librería mantiene en su cúpula el mural original del italiano Nazareno Orlandi y esculturas de Troiani a los lados del escenario y en la marquesina de estilo griego. El Ateneo Grand Splendid recibe unos 3 mil visitantes diarios y vende más de 700 mil libros al año.

Otros lugares destacados en esta lista: Secret Headquarters del mundo del cómic en Los Angeles; Borders en Glasgow, alojada en el antiguo edificio de un banco; Scarthin´s en Cromford; Posada en Bruselas, especializada en libros de arte; y, El Péndulo de Polanco en México D.F.

Sin embargo, esta costumbre de ir a comprar y a disfrutar de los libros en un establecimiento especializado que los presenta y atesora con esmero puede que sea una rutina camino de la extinción. Al menos es lo que nos dicen Becker (Traditional Bookstores are Doomed) y Posner (Can Bookstores Survive? Prospects and  Consequences) en su blog y puede ser que tengan razón. Si Sean Dodson actualizara su lista de las librerías más bellas no podría incluir en ella a Borders de Glasgow pues cerró sus puertas en diciembre de 2009 acusando el golpe de los supermercados y de Amazon.

Para Becker la librería tradicional está condenada por los lectores de libros electrónicos (e-readers) y las compras por Internet. Joseph Schumpeter, acuño el término “destrucción creativa” para describir como las nuevas tecnologías causaban estragos en las viejas industrias. El proceso de destrucción creativa comenzó para las librerías tradicionales cuando Amazon ofreció enormes inventarios de libros, entregas rápidas, comentarios en línea y varios servicios que hicieron más eficiente y barato comprar libros por Internet.

Sin embargo, la disminución del número de librerías va en contra de la idea del desarrollo económico. El desarrollo supone la sustitución de las actividades que antes se realizaban en el hogar por el mercado. Las sociedades rurales producían sus propios alimentos, así como fabricaban gran parte de su ropa, entre otros productos necesarios para la vida diaria. Con el crecimiento económico, estas actividades  migraron hacia el mercado.

Con el desarrollo tecnológico aparecen lavadoras, secadoras, pequeños hornos para hacer pan, etc., generando que muchas actividades regresan de producirse en el mercado de nuevo al hogar. La revolución digital es otro paso en la tendencia de reducir al mínimo el tiempo en el proceso de compra. Becker cree que los libros aún se leerán en casa, pero cada vez más comúnmente serán comprados desde el hogar.

Para Posner, hay dos amenazas claras para las librerías. La más reciente es el libro electrónico. La otra, la compra de libros en línea.

Parece inevitable que el número de libros vendidos a través de las librerías se desplome. Los libros comprados en las librerías son más caros (por cubrir los costos de la librería) no sólo en lo que se refiere a su precio de venta, sino también para los clientes, pues éstos asumen el costo del tiempo de ir hacia y desde la librería, encontrar el libro y completar el proceso de compra (más costoso en tiempo que una compra en línea). La ventaja de las librerías es que permiten navegar por las estanterías y manipular los libros antes de comprarlos. Sin embargo, las tiendas on line están compensando estos beneficios con el desarrollo de programas de inteligencia artificial para recomendar libros, un inventario mucho más amplio, la facilidad de realizar búsquedas y permitir que los clientes vean parte del interior de los libros antes de ordenar la compra.

Hoy menos del 30 por ciento de los libros se compran en Internet, pero esta cifra crecerá hasta el 75 por ciento en pocos años. Muy pocas librerías podrán sobrevivir si sus ventas caen al 25 por ciento del nivel actual.

Esta sustitución de la cadena de distribución de libros generará un ahorro social importante y, al mismo tiempo, aumentarán la demanda al reducir el precio de venta minorista. Surge la pregunta si los editores saldrán perjudicados con este proceso. Posner cree que no. Generalmente un vendedor trata de minimizar sus costos de distribución. Pero hay una excepción cuando el distribuidor proporciona servicios de punto de venta que aumentan la demanda del producto. Esta es la razón para el mantenimiento de un precio de reventa: los fabricantes de algunos bienes fijan un precio piso por debajo del nivel al por menor para aumentar deliberadamente el margen de venta del minorista, con la esperanza de inducirlo a generar una mayor demanda. El personal de una librería, adecuadamente entrenado puede aumentar la demanda de libros. Pero estos servicios no van a garantizar la supervivencia de muchas librerías, pues habrán pocos clientes para solventar los costos fijos a un precio aceptable.

Posner concluye que esta situación no perjudicará a los editores dado que con el tiempo, las librerías en línea incluso mejorarán los servicios de punto de venta que ofrecen hoy las librerías tradicionales.

Interesante análisis el que realizan Posner y Becker. Aunque existen importantes temas que no son desarrollados en las entradas resumidas, como el impacto de la piratería de libros electrónicos que seguro también presionará los precios a la baja o el intercambio de libros electrónicos por los usuarios como sucede con la música o DVDs. Finalmente, las nuevas tecnologías no necesariamente aseguran precios bajos, allí tenemos el ejemplo de MacMillan (Macmillan Blitzkrieg) y su enfrentamiento con Amazon para que modificara su política de precios bajos en el Kindle.

Tiendas de ladrillo para vender carteras de lujo en línea (II)

En abril de este año publicamos  una entrada (Tiendas de ladrillo para vender carteras de lujo en línea (I)) en la que dábamos cuenta de las nuevas exenciones por categorías de acuerdos verticales (Vertical Restraints Block Exemption Regulation – VBER) nº 330/2010 de la CEE. El nuevo VBER estará en vigencia desde el 1 de junio de este año hasta el 31 de mayo de 2022. Un resumen de esta legislación en Out-Law (Luxury brands welcome EU law to restrict online sales).

Esta versión el VBER constituye guiño a los fabricantes de productos de alta gama y refuerza su modelo de comercialización a través de redes de distribución selectiva, en la medida que les brinda mayor libertad para controlar el comercio minorista a través de Internet. El VBER permite que los fabricantes de bienes de lujo puedan exigir a sus distribuidores minoristas (de ladrillo y mortero) que dispongan de tiendas físicas antes que una página web, de esta forma se podría llegar a eliminar la figura de los distribuidores en línea “puros”.

Los productos de lujo constituyen un mercado bastante más complejo de lo que parece. Gran parte de los consumidores de este tipo de bienes lo hacen por asociación a un determinado estilo de vida. Alguna literatura económica reconoce que en este tipo de actividad, es importante que la presentación y el entorno en el que se adquieren los bienes refleje la experiencia “de lujo” que los consumidores desean obtener con el producto.

En principio, una tienda virtual no se diferencia de una física. Los motivos que impulsan a las grandes cadenas de productos de lujo para imponer restricciones verticales son las mismas en ambos tipos de tiendas. Controlar la imagen de marca y evitar que algunos canales de venta por Internet puros se aprovechen de la imagen y los servicios de las tiendas de ladrillo, son las principales razones para desarrollar redes de distribución selectiva.

Sin embargo, en la práctica es mucho más difícil para una cadena de productos de lujo controlar su marca en los canales de Internet. Por ejemplo, una tienda en línea podría verse tentada a utilizar interfaces estandarizadas, lo cual al tiempo que reduce sus costos de exposición deteriora la imagen de la marca que vende. También hay reconocer que la venta al por menor en Internet limita la posibilidad de asesoramiento personalizado, algo en lo cual las cadenas de productos de lujo suelen poner especial énfasis.

Bajo estos argumentos, parce lógico que las grandes marcas de bienes de lujo impongan algunas restricciones a la venta de sus productos en Internet. Sin embargo: ¿Cuál es el papel de las casas de subastas en línea en todo este tinglado?

Las grandes marcas de lujo saben que si no imponen restricciones al comercio en Internet sus productos van a parar tarde o temprano en eBay, algo que particularmente las enfurece. Ya hemos descubierto en Blawyer algunos de los entuertos judiciales de eBay con las marcas de productos de lujo (eBay y la responsabilidad de los eMarkets por productos falsos). Si es posible comprar zapatos Manolo Blahnik Jimy Choo y carteras Dolce & Gabbana Viktor & Rolf, en eBay, más que la marca, es el valor de la franquicia de ladrillo la que se desdibuja notablemente. Por el contrario si en eBay ya no es posible intercambiar productos de lujo, la plataforma deja de ser atractiva para determinado tipo de público.

En un principio se notició al nuevo VBER como una herramienta para prohibir la venta de productos de lujo en casas de subasta en línea. Vemos que no es así. Sin embargo, es altamente probable que a partir de la vigencia de esta edición del VBER se reduzca la oferta de productos nuevos de marcas de lujo en eBay. Algo que suponemos, no le hará mucha gracia. 

Para los interesados un par de documentos sobre el tema:

– Selective Distribution of Luxury Goods in the Age of e-commerce, An Economic Report for CHANEL de Charles River Associates (pdf)

– Empowering Consumers by Promoting Access to the 21st Century Market de eBay (pdf).