Skip to main content

Este artículo, elaborado por Music Tomorrow, detalla la cuestión del cumplimiento del Reglamento General de Protección de Datos (RGPD) en la industria musical, explorando si los datos de los artistas, como los identificadores ISRC, pueden considerarse datos personales según la legislación actual y los desafíos que su definición puede plantear en el negocio de la música. Music Tomorrow se puso en contacto con nosotros para que le proporcionásemos nuestra opinión en el asunto. El tema es tan interesante que hemos trabajado una versión en castellano del artículo. Dicho esto, las preguntas revisadas en este artículo se encuentran de algún modo en un área legislativa ambigua, por lo que no debería considerarse como un asesoramiento jurídico definitivo. Si piensas que a ti o a tu empresa os pueden afectar los conceptos que se analizan a continuación, te recomendamos que busques asesoramiento legal profesional. Además, hay  que tener en cuenta que este artículo se centra específicamente en el GDPR de la Unión Europea, dejando el GDPR de Reino Unido y la CCPA de Estados Unidos al margen.

La protección de los datos personales y el cumplimiento del RGPD han sido una preocupación importante para las empresas con sede en la Unión Europea durante más de cuatro años. Desde que la ley entró en vigor en 2018, hemos observado a compañías grandes y pequeñas luchando contra la imposición de multas por el incumplimiento de la normativa. Según la base de datos de Enforcement Tracker, en los últimos cuatro años se han impuesto más de 1.100 multas en relación al RGDP. Estas multas van desde unos pocos cientos de euros hasta el récord de 746 millones de euros que se impuso a Amazon.

La industria musical también se ha visto afectada por el RGDP. En 2019 el cumplimiento de la nueva normativa de privacidad se había cuestionado a la mayoría de los principales servicios de streaming, y unos meses más tarde las autoridades suecas lanzaron una revisión oficial sobre las prácticas de procesamiento de datos en Spotify. No obstante, los servicios de streaming han adaptado rápidamente sus políticas de privacidad y, desde entonces, la normativa se ha convertido principalmente en una preocupación para los departamentos de marketing de la industria musical, buscando establecer medidas transparentes para procesar los datos de los fans.

Una búsqueda rápida en Google del RGDP en la industria musical nos revela que el procesamiento de datos de los fans es la primera y en ocasiones la única consideración del cumplimiento del RGDP en la música. Pero, ¿qué pasa con los artistas? ¿los datos recogidos relativos a la carrera del artista podrían considerarse datos personales, lo cual exigiría el mismo nivel de transparencia y control? De ser así, ¿cuáles serían las implicaciones para la industria de los datos musicales? Vamos a intentar llegar al fondo del asunto.

¿Qué son Datos Personales?

Entonces deberíamos empezar por el principio: ¿qué es un dato personal? De acuerdo con la definición oficial ofrecida por la Comisión Europea, “Los datos personales son cualquier información relativa a una persona física viva identificada o identificable.” Como por ejemplo, la dirección de IP o la dirección del domicilio o el numero del documento de identificación, básicamente cualquier tipo de información que pueda ser utilizada para localizar a una persona viva puede considerarse como dato personal.

Una anotación importante es que la información no tiene que identificar directamente a una persona para tener la consideración de dato personal. Si dichos datos permiten la identificación de la persona de forma indirecta, también se considerarían datos personales conforme al RGDP. Según la documentación oficial del RGPD, si al combinar los datos que se tiene sobre alguien con otros datos a los que se puede acceder razonablemente (por ti o por un tercero con el que se comparten los datos) se permite la identificación, también deben considerarse datos personales.

Asimismo, la parte de “cualquier información” de “cualquier información relativa a una persona física viva identificada o identificable” no es exactamente un termino cerrado, ya que deja mucho lugar a interpretación. Dependiendo del contexto en el tratamiento de datos, la información relacionada con los artistas puede considerarse o no datos personales. Como estamos tratando conceptos nuevos sin precedentes legales es difícil decir algo definitivo. Aun así, lo intentaremos de la mejor forma posible.

¿Deberían considerarse datos personales los datos de los artistas?

Teniendo en cuenta las definiciones mencionadas, es fácil imaginarse cómo grandes cantidades de datos de artistas que son tratados hoy en día recaerían bajo el paraguas de datos personales. Desde una determinada perspectiva, todos los identificadores de grabaciones y obras musicales, como los números de ISRC o de ISWC, podrían usarse para identificar a la persona viva que está detrás de un proyecto, un lanzamiento o una composición musical determinada. Incluso si el número de ISRC por sí mismo no es suficiente para identificar a la persona que está detrás del lanzamiento (es decir, la identidad real del artista), el número de ISRC podría usarse para rastrear el nombre del artista (por ejemplo, a través de la base de datos de la IFPI (Federación Internacional de la Industria Fonográfica), lo que puede a su vez conducirle a la identidad real del artista.

Siguiendo esta lógica, la mayoría de las veces, los identificadores de música deberían considerarse datos identificables de forma indirecta. Por lo tanto, deberían tratarse de la misma forma que los datos personales de los usuarios: los responsables del tratamiento de datos deben proporcionar a los artistas y compositores una definición clara de cómo se utilizarán sus datos identificables, con qué terceros se compartirán, etc. y ofrecer al mismo tiempo una opción clara de eliminación de sus datos y del “derecho al olvido”. Algunas de las empresas musicales ya contemplan estas definiciones, como por ejemplo la política de privacidad de TuneCore que citamos:

“Datos personales significa la información que se refiere directa o indirectamente a usted como persona física identificada o identificable. Puede tratarse, en función del contrato, de la web, de los productos o servicios, de su condición y/o de los medios de recogida, de la totalidad o de una parte de los siguientes Datos Personales:

  • [….]
  • Únicamente para los artistas y sus representantes: su nombre artístico, textos, gráficos, fotografías, videos o audios y datos relacionados una grabación sonora que reproduzca la actuación…
  • Los metadatos necesarios para identificar las obras fijadas a las grabaciones y videos musicales y sus cesionarios, en particular los nombres de los autores, compositores, editores o sus cesionarios, los códigos ISWC, ISRC, UPC, etc.”

Además, existe el argumento de que no solo los nombres de los artistas o los identificadores deben considerarse datos personales. Según la documentación oficial del RGPD, cualquier dato que “se refiera” a una persona podría considerarse también dato personal:

“La información que identifica a una persona, incluso aunque no incluya su nombre, puede considerarse dato personal si se trata con el fin de averiguar algo de esa persona o si el tratamiento de esa información tiene un impacto en esa persona.”

Si analizamos esta información en el contexto de los datos musicales, cualquier información relativa a la carrera del artista; por ejemplo, los análisis de los rendimientos del streaming en el listado del distribuidor del artista o los registros de la difusión del artista generados por las herramientas de seguimiento de radios, podrían también tener la consideración de datos personales. Así que, teniendo en cuenta la definición más amplia posible, todos los datos de los artistas son un tipo de datos personales. Pero, ¿qué significa esto para la industria discográfica?

La Cadena de Datos Musicales

La industria musical moderna funciona con (meta)datos, es el aceite que hace girar las ruedas del negocio de la música digital. Si nos fijamos en la edición por un momento: Los números de ISWC se usan universalmente en toda la cadena editorial para identificar a los compositores y titulares de derechos. Cuando se registra una composición nueva, un código único de ISWC se comparte repetidamente para crear registros con cientos o incluso miles de empresas: desde los organismos de gestión colectiva hasta las editoriales para proveer soluciones más allá de la gestión.

En tal caso, el cumplimiento del RGPD debe garantizarse mediante el contrato entre el autor y su editorial. Y, de hecho, la mayoría de los contratos estándar en Europa incluyen clausulas generales de protección de datos, que autorizan el tratamiento y la transferencia de los datos personales de los autores a terceros en la medida en que sea necesario para el cumplimiento de las obligaciones contractuales (es decir, la explotación de las obras musicales). Aun así, corresponde a las empresas que están en la cadena de datos editoriales garantizar que los datos personales sean almacenados y tratados acorde con el RGPD, es decir utilizando únicamente los datos estrictamente necesarios y asegurando la transferencia de datos segura, etc. Sin embargo, dado que la noción de “ISWC como dato personal” es aun una idea poco contemplada, lo más probable es que esta cadena de datos no cumpla al 100%.

Mas allá de eso, la tecnología musical sigue siendo un área en rápido desarrollo (y bastante caótico). Debido a la complejidad de la estructura en el intercambio de datos, puede ser muy complejo determinar quién tiene realmente acceso a los datos de los artistas al final de la cadena de datos. Por ejemplo, imagina que se distribuye el lanzamiento de un artista a Spotify: Spotify incorporará la grabación y expondrá los datos de la misma (incluido el ISRC) a través de su API abierta. Ahora cualquier persona con una cuenta en Spotify y un token de autorización podrá acceder a los identificadores privados del artista (siempre que los ISRC tengan tal consideración). Desafortunadamente, las cadenas de datos musicales se han construido sin tener en cuenta el control del artista sobre sus datos, por lo que rastrear a todos los terceros que podrían tener acceso a los datos del artista puede resultar una tarea casi imposible.

Soluciones de Datos Musicales

Para todas las empresas que trabajan con datos musicales, la definición de “datos de artistas como datos privados” sería la más problemática para las soluciones de seguimiento de terceros. Estas empresas eluden por completo la cadena de intercambio de datos musicales y utilizan fuentes abiertas o tecnologías de seguimiento propias para recopilar los datos de los artistas. Analíticas de terceros, soluciones de seguimiento de difusión, bases de datos musicales, etc.: los servicios de datos musicales tienen registros de millones de artistas y, la mayoría de las veces, no cuentan con ningún tipo de consentimiento para el tratamiento de datos por parte de los artistas o de sus equipos.

El RGPD hace una excepción específica para el tratamiento de datos con «fines de archivo en interés público», lo que podría significar que las bases de datos musicales públicas como MusicBrainz están cubiertas, ya que tratan los datos con fines de archivo y estadísticos. Sin embargo, la mayoría de las empresas que recopilan y tratan datos de artistas con fines de lucro quedan en una zona que no está clara. Esto sería así si nos atenemos, una vez más, a la definición de datos de artistas como datos privados que hemos esbozado al principio de este artículo. Y a modo de recordatorio, el GDPR no sólo aplica a las empresas con sede en la Unión Europea, una empresa americana también tiene que cumplir el GDPR cuando trata los datos personales de los ciudadanos europeos. Por lo tanto, incluso las empresas más grandes y antiguas del mercado, como Luminate de Nielsen (antes MRC Data), seguirían viéndose afectadas.

La propiedad de los datos de los artistas en el negocio de la música

Otra implicación importante de esta definición sería la cuestión de la propiedad de los datos en el negocio de la música, un tema que preocupa cada vez más, especialmente en la industria discográfica. La idea es bastante simple: la propiedad de los datos generados en relación con la carrera del artista puede ser extremadamente valiosa, entonces ¿quién debería ser el propietario de esos datos?

Imagina lo siguiente: has firmado un contrato de un álbum con una gran discográfica. La discográfica ha invertido en el lanzamiento, reclamando el 85% de los royalties y siendo potencialmente propietaria de los derechos del master. Unos años más tarde, te quieres ir a otra discográfica, pero ¿qué pasaría con los datos generados en tus inicios? Más allá de los fines puramente analíticos, algunas recopilaciones de datos del artista pueden tener un impacto monetario directo en su carrera: por ejemplo, la información de Facebook con todos los datos de tus fans, que puede ser muy útil para realizar futuras campañas publicitarias. Entonces, ¿quién debería ser el propietario de esos datos: el artista o la discográfica?

Hoy en día, no hay una respuesta clara a esa pregunta, hasta el punto de que hemos oído que algunas compañías discográficas introducen cláusulas de «propiedad de datos» en sus contratos. Pero supongamos que adoptamos la opinión de que «los datos que se utilizan para averiguar o tomar decisiones sobre una persona son también datos personales«. En ese caso, todos los datos del artista deberían considerarse datos privados: la respuesta se hace evidente.

Para concluir este artículo de reflexión sobre el cumplimiento del RGPD en la industria musical, hay un tema que queremos aclarar. Este artículo no se ha escrito para ofrecer respuestas concretas, sino para plantear las preguntas adecuadas. No se pretende señalar con el dedo o plantear preocupaciones alarmistas. Lo que queremos es llamar la atención de la comunidad de los datos musicales sobre los problemas señalados anteriormente, para que se inicie el debate y encontrar juntos las respuestas. Por el momento, no podemos dimensionar claramente el problema ni ofrecer soluciones inmediatas, pero esperamos que con la publicación de este artículo podamos empezar a buscar respuestas juntos.

Artículo elaborado por Music Tomorrow

Traducido por Sara Muñoz, abogada en Sympathy for the Lawyer

Imagen: Pietro Jeng – Unsplash.

Jorge Rodríguez

Artist Project Manager en MAAS y SFTL.

La Newsletter #1 del negocio de la música

Cada semana te traemos las noticias clave, consejos e ideas sobre la industria.

Con enfoque ultrapráctico y sin venderte humo. Para mantenerte al día en lo que tardas en tomarte un café.

    Sobre Sympathy for the Lawyer

    Leave a Reply