Estos son los fallos de seguridad en el servicio de email que el Consejo presta a los abogados españoles

A los abogados españoles se nos proporciona un correo electrónico inseguro por defecto, enviándonos la contraseña en texto plano y con una configuración inicial que desvela el contenido de todas las conversaciones con nuestros clientes. Lo proporciona el Consejo General de la Abogacía Española, a través de las webs de muchos de los colegios de abogados españoles, como el ICAM. Descubrió los hechos El Confidencial. Con ayuda de un auditor, ahora yo he sacado las conclusiones que confirman esos fallos de seguridad y algunos otros más graves.

Actualización (3/11/2014 a las 2pm): acabo de recibir una llamada del CGAE. Me indican que ellos lo hacen bien y que el sistema es seguro, ya que permite accesos http o https, siendo responsabilidad de los colegios el facilitar una u otra opción por defecto y siendo responsabilidad del abogado elegir una u otra para su uso.

Actualización (5/11/2014): Detecto que ICAM guarda en claro las contraseñas de todos los abogados con cuenta de correo @icam.es. Reporto el fallo al ICAM y actualizo este post con el hallazgo.

Actualización (08/11/2014 a las 8pm): Tras crear una petición en Change.org (aquí) dirigida al ICAM para que arregle los fallos de seguridad, el Colegio de Abogados cambia el acceso por defecto al correo solo desde su web principal para que sea https bajo cifrados SSL (aquí su nota de prensa por Twitter), manteniendo inseguros los demás accesos. El problema es que han olvidado cambiar el resto de enlaces (por ejemplo, los que ofrecen en el área privada para abogados, que siguen dirigiendo a http). El ICAM decide no responder a la la pregunta pública que les he hecho para saber si sus técnicos trabajan para solucionar el resto.

Actualización (13/11/2014): El caso, que ya salió en la prensa, vuelve a copar portadas por segunda vez (El Colegio de Abogados de Madrid, una casa con grietas). El ICAM no reacciona, a pesar de que también otros abogados e ingenieros también publican posts sobre ello: ¿Por qué el servicio de correo de los Colegios de Abogados no es adecuado?, etc.

Quede claro que:

  • El servicio de correo electrónico que ofrece el CGAE a los abogados cumple una finalidad básica: envia correos sin cifrar y permite su cifrado.
  • Existe la vía de acceso https (aquí), aunque no es la que el ICAM (por poner un ejemplo) ofrece por defecto a través de su web. La que ofrece por defecto es http://mail.icam.es/pronto/

Hace unos días (30/10/2014) presenté el Informe sobre la necesidad legal de cifrar información y datos personales en España, que acabamos de elaborar en Abanlex para una empresa de cifrado (que aparece en la portada del informe). Uno de los puntos más destacados del informe es el de la obligación de cifrar datos que pesa sobre todos los abogados: Los abogados estamos obligados a cifrar.

Los abogados tratamos datos que deben ser cifrados. No tienen por qué ser los que merecen ser protegidos con medidas de nivel alto según la LOPD, pero que nos obligan a cifrar tanto la información almacenada como las comunicaciones que realizamos con ellos. Envié este informe a varios medios de comunicación recibiendo respuestas de interés de casi todos ellos. El más interesado fue El Confidencial: especialistas contactados por el medio habían auditado el servicio de correo electrónico que se ofrece en la web del ICAM para cerciorarse de que los abogados podemos fiarnos de las herramientas que nos proporcionan los Colegios y había obtenido interesantes resultados: el correo del ICAM es inseguro por defecto.

Captura de pantalla 2014-11-01 19.08.11

Abogado de Madrid, solicita tu correo profesional en www.icam.es

Me personé a las pocas horas en el ICAM para advertir a mi Colegio de que El Confidencial iba a publicar al día siguiente una interesante noticia que desvelaba los fallos del correo electrónico que proporciona el ICAM a los abogados. A las pocas horas, El Confidencial mantuvo reuniones telefónicas con miembros del Colegio y del Consejo, por lo que mi visita igual no fue muy necesaria, pero creí conveniente hacerla. Me atendió la gente de comunicación del Colegio, que demostró inquietud y ganas de conocer qué es lo que realmente nos están dando a los colegiados.

Para estar seguro de que lo que iba a publicar El Confidencial era cierto y poder ayudar a mi Colegio en lo que hiciera falta, hice averiguaciones antes de ir al ICAM y trabajé con un auditor especializado en cifrados, a quien di acceso temporal y supervisado a mi cuenta del ICAM para que pudiéramos comprobar juntos las afirmaciones. Aquí el detalle:

¿El ICAM envía la contraseña en claro?

Dice el Consejo en su comunicado (ver aquí):

“Ni el Consejo General de la Abogacía Española ni el Colegio de Abogados de Madrid han remitido a los abogados los datos de usuario y contraseña en texto plano para su alta en los servicios telemáticos. El envío cifrado o encriptado garantiza la seguridad de la información y de los datos de acceso a los servicios de la abogacía”

Vamos a comprobar cómo miente el Consejo General de la Abogacía Española (CGAE):

Captura de pantalla 2014-11-01 19.19.20

Opción disponible en la sección privada para abogados https://www.icam.es/miICAM.icam

Solicito una cuenta de e-mail @icam.es a través de la sección privada para abogados de ICAM. Para acceder a esta sección, ICAM me solicita identificarme con un certificado electrónico. Uso el certificado obtenido gratuitamente en la FNMT para persona física. A continuación, ICAM me solicita un usuario y contraseña únicos, que solo pude obtener acreditando en el Colegio mi condición de abogado. Accedo al área privada y remito mi solicitud enviando mis datos bajo cifrado SSL (https). En todo el proceso, la seguridad es máxima.

A las pocas horas, abro mi correo electrónico y recibo esto (tal cual se ve en la imagen):

Captura de pantalla 2014-11-01 18.57.16

Usuario y contraseña (que he cambiado) enviados en claro a través de un correo electrónico no cifrado.

El ICAM me envía el usuario y la contrasela en claro, junto con un enlace de acceso no cifrado. No me preocupé por que la contraseña estuviera en claro, porque el remitente es icam.es (supuse que enviaba los mensajes por canales cifrados) y porque mi correo solo opera bajo SSL. El envío de una contraseña en claro en estas condiciones que imaginé no es alarmante. No es el mejor sistema, pero podría ser suficiente.

El servicio del ICAM no me exige ni sugiere cambiar la contraseña enviada en claro. Como parte del experimento, estuve usando la misma contraseña inciial durante varios días y luego la cambié sin problemas por esta: “123456”.

Comprobé el original del e-mail, del que he borrado algunas líneas personales y quitado una IP, y descubrí que no hay ni ápice de aplicación de cifrado alguno:

Return-Path: <correo@icam.es>
Received: from mail.redabogacia.org (mail.redabogacia.org. [XXX.XXX.XXXX.XXX])
From: "Correo ICAM" <correo@icam.es>
To: <pablo@prestadorloquesea.com>
Subject: SOLICITUD CUENTA DE CORREO
MIME-Version: 1.0
Content-Type: text/plain;
    charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
X-Mailer: Microsoft Outlook Express 6.00.2900.5931
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.6157
Su cuenta de correo: pablo@icam.es ha sido Activada, acceda a la =
p=E1gina web http://mail.icam.es/pronto/ Usuario=3Dpablo y =
Contrase=F1a=3DQSsj4075. Consulte instrucciones en la web del ICAM.

Para enviarme la contraseña, el ICAM aparentemente usa Microsoft Outlook Express 6, una versión de cliente de correo electrónico diseñada para Windows XP y que dejó de estar operativa en 2009.

Hablando con el CGAE, me revelan que no son ellos los que envían la contraseña de acceso en claro sino el Colegio de Abogados (ICAM en mi caso). Cabe la posibilidad de que la hayan enviado desde un SSL.

El valor de la información:

Un ‘caballero’ (con nombre y de una institución) me dijo un día antes de la publicación del artículo en El Confidencial: “Nosotros jamás enviamos la contraseña en claro. Además, la contraseña es de un solo uso. Y en el e-mail decimos que es obligatorio cambiarla”.

Pues, querido ‘caballero': Me habéis enviado la contraseña en claro. Llevo usando la misma todo este tiempo, para hacer pruebas, sin cambiarla. Y no me habéis informado de que es obligatorio cambiarla.

Dando vueltas al tema, veo que, ya que no cifran podrían haber usado la clave pública PGP que tengo en Red Iris (y que aprendí a usar gracias a Luis Delgado), y todos felices, pero no. De todas formas, si el CGAE envía el usuario y la contraseña desde un webmail o un servicio que cifra bajo SSL, todo perfecto. Pero… no parece que haya sido así. Lo explico en el siguiente punto.

A los pocos días decido cambiar mi contraseña de acceso a la siguiente: 123456. Se puede. Ningún sistema de seguridad me impide elegir una contraseña insegura.

http://mail.RedAbogacia.org opera sin cifrado SSL

Accedo a la portada que da acceso al servicio de correo electrónico del Consejo General de la Abogacía Española (mail.redabogacia.org).

Lo que encuentro es un servicio webmail sin cifrados SSL que corre en un servidor que el Consejo ha contratado a la sociedad Jazz Telecom, S.A. (o a un proveedor que usa sus servicios) y cuyas máquinas, ciertamente, están en Madrid, según la localización de su IP. Cierto es que existe una versión “https”, pero si se usa la http, todoas los datos vuelan si cifrar.

Captura de pantalla 2014-11-01 20.16.55

Prometo que no di al botón “entrar”

El valor de la información:

El ‘caballero’ de antes me dijo también: “Si Microsoft me envía las contraseñas en claro, no entiendo por qué nosotros no podemos”.

A ver: No sé si Microsoft hace eso, pero, si lo hiciera, lo haría usando conductos cifrados SSL, asegurando la confianza sobre el envío de los datos entregados. Además, Microsoft no es un Colegio de Abogados, ni ofrece herramientas preconfiguradas para el ejercicio de la abogacía en España. Es más, en EE.UU. (de donde es Microsoft), no hay una ley de protección de datos equivalente a la que hay en España y es posible que el servicio del que me habla sea para uso personal o privado.

De todas formas, aún no tengo por qué preocuparme. Hay servicios de correo electrónico basados en tecnologías que ofuscan los datos en origen y permiten su recepción clara en destino. Vamos a comprobar si este es el caso, en el punto siguiente.

Entrando en http://mail.ICAM.es desvelas tu contraseña

Abro la página de acceso al webmail del ICAM. El servicio tiene dos vías de acceso: una en html (mail.icam.es) y otra con un webmail en flash (mail.icam.es/pronto) pero las dos en http básico. El ICAM no lo dice en ningún lado, pero existe una versión oculta con SSL (aquí). Me decido por la flash que ofrece por defecto a través de su web, optando por la única opción con posibilidades de salvarse. El CGAE, en la reunión telefónica que he mantenido con ellos, me dice que no recomiendan la versión flash (cosa de la que me entero por teléfono porque no hay lugar que haya encontrado en el que el ICAM ni el CGAE lo digan). Veamos:

Captura de pantalla 2014-11-01 20.50.26

Acceso al webmail para abogados del ICAM

Antes de pulsar el botón “Entrar” pido a mi compañero auditor que haga un simple captura de los datos de autenticación. Es decir, le pido que me diga qué ve un cualquiera que esté enganchado buscada o casualmente a mi conexión. El resultado alucinante lo explico debajo del código.

autenticacion

Al pulsar el botón “Enviar”, mi contraseña vuela en claro y perfectamente visible para cualquier persona.

Resultado: Al pulsar el botón “ENVIAR”, mi contraseña de estrellitas (********) se convierte en texto plano (QSsj4075) y queda a disposición de cualquier persona conectada a mi red. Si me conecto a una red wifi cuyo router no he configurado yo personalmente (bares, restaurantes, aeropuertos, piñas…) debo llamar a mi cliente para pedirle que se despida de sus secretos, ya que yo he renunciado sin saberlo a mi deber de confidencialidad. Poca o ninguna confianza me genera un proveedor que me obliga a revelar en claro mi contraseña en cada acceso.

Me dice mi compañero auditor que “lo que hemos visto es el payload, es decir, la carga de los paquetes. La captura en sí es:”

paquetes

Captura de los paquetes

Otros saben mi contraseña y yo jamás tendré constancia de ello. Puedo usar el correo de ICAM durante años y un tercero puede ver todo lo que envío y recibo. El Colegio quizá saque un comunicado diciendo que ellos no envían la contraseña en texto plano sino que es el abogado el que la envía de esa forma al pulsar el botón enviar. O que si no quiere que pase esto, puede entrar en https en lugar de usar la opción por defecto sin cifrar. En fin…

Es igual. Aún no estoy suficientemente preocupado. Continúo con la prueba.

Por defecto, http://mail.ICAM.es envía sin cifrar

Entro en el webmail y comienzo a redactar un e-mail para un cliente que se está jugando la cárcel. Afortunadamente, me ha enviado todas las pruebas a mi correo electrónico. ¡Es culpable! pero voy a usar el Derecho (y el artículo 24 de la Constitución) para salvarlo.

Captura

Mail para salvar de la cárcel a un cliente, redactado en la plataforma de correo que ICAM aporta a los abogados

Voy a suponer que soy un abogado normal que confía en que la plataforma que me ofrece ICAM (por defecto en html) está preparada para este tipo de envíos. ¡Es impensable que un colegio de abogados entregue herramientas que permiten el envío de información sin cifrar! ¿O es pensable?

Pues, efectivamente, es pensable. De esta forma que he seguido, toda la información que envío desde mail.ICAM.es se transfiere en claro, sin cifrar y a disposición de cualquiera. ¡Hola mundo: he aquí que mi cliente es culpable! La prueba, en lugar de hacerla con un texto tan largo, la hicimos con una sola palabra en el subject  (“prueba”), captando sin querer los datos de la transmisión y obteniendo este resultado:

envio

Todo el contenido es visible en los envíos realizados a través de mail.icam.es

Estas fueron las palabras de mi colaborador:

Como bien te percataste, va todo en TEXTO CLARO, SIN CIFRAR. Como luego carga un applet en flash, podría ocurrir que este cifrase, pero NO es el caso.

Vemos los campos:

- “To”, “CC”, “BCC” à a quién/quiénes envié el mail
- “subject” à de qué trata
-  “body” à el contenido
- Etc…

Por tanto, como se puede ver, este servicio de email está COMPLETAMENTE en CLARO, cualquiera, esnifando paquetes, puede obtener credenciales, emails (enviados y visualizados), etc…

Ahora mis ganas de usar el servicio de correo electrónico que me ha dado ICAM son cercanas a cero.

He tratado de usar la aplicación instalable del servicio de correo del CGAE, por si esta soluciona el problema. Pero, simplemente, no funciona. La he instalado en Windows 7 y 8, pero el ejecutable no muestra la herramienta, a pesar de estar corriendo en segundo plano. La única opción es desistir y usar el webmail inseguro.

Vamos a suponer que nadie nos capta la contraseña en el proceso de autenticación. ¿Cómo se debe usar el servicio de correo electrónico que nos ofrece el CGAE, a través de los colegios de abogados? Lo vemos a continuación.

El ICAM almacena las contraseñas en claro

La práctica más peligrosa que puede realizar un prestador de servicio de correo electrónico es guardar la contraseña en claro en su servidor. En cuestión de minutos y por medio de una inyección de SQL, un hacker malo puede obtener todas las contraseñas de todos los correos electrónicos de todos los abogados que usen el servicio de correo del ICAM.

Para comprobar que realmente el ICAM guarda las contraseñas en claro, en lugar de un hash de estas, realicé la siguiente prueba: solicité que me recordaran la contraseña.

Captura de pantalla 2014-11-05 20.29.00

Página del ICAM, con faltas ortográficas, para solicitar el envío de tu contraseña por correo electrónico

Lo lógico habría sido recibir un enlace para crear una nueva contraseña. En cambio, recibí mi contraseña. Epic fail merecedor de un face palm.

Captura de pantalla 2014-11-07 01.03.31

¡Recibo mi propia contraseña! Luego, las conservan sin hashear.

Este error en el servicio de correo del ICAM es uno de los más graves que se pueden cometer en Internet. Según describe Yago Jesús en SBD (aquí), servicios como este son dignos del “muro de la vergüenza de la gestión de contraseñas“; es decir, son dignos de entrar en Password Fail. Si son admitos a esta web, cosa difícil porque necesitan probar el sistema y no son abogados del ICAM, una vez el Colegio solucione el error épico aparecerá en la web como servicio seguro, motivo de orgullo.

El 7/11/2014 reporté el fallo directamente al servicio informático del ICAM a través del área privada del Colegio para abogados.

Los abogados estamos obligados a cifrar

La explicación de por qué los abogados estamos obligados a cifrar, la encontramos en el Informe que hemos elaborado al respecto en Abanlex (descárgalo desde aquí) y del que me siento orgulloso. Es el primero que se ha hecho de este tipo y el primero de otros que vendrán, ya que faltan sectores afectados (como el de la prensa por su deber de secreto profesional y por ciertos datos que tratan). El informe se puede reutilizar gratis, incluso con fines comerciales ;)

Cómo se debe usar mail.ICAM.es

Lo primero de todo: no debes usar mail.icam.es en http sin SSL por todo lo que ya he dicho hasta aquí. Si te animas a usarlo es que no valoras en absoluto la confianza que tus clientes han depositado en ti, porque el ICAM almacena tu contraseña en claro y queda a disposición de “hackers malos”. De todas formas, como hay gente para todo, vamos a ello.

Si te arriesgas, necesitarás instrucciones:

  • El mail que envía ICAM dice: “Consulte instrucciones en la web del ICAM”
  • ¿Dónde están esas instrucciones? No están. Solo encontrarás esto:
    • Manual para configurar Outlook: Antes el ICAM prestaba un buen servicio de correo electrónico basado en la solución Google Apps. Ahora, que si por la NSA y que si por Snowden, no lo usan. Pero ahí sigue el manual antiguo.
    • Condiciones de utilización del servicio de correo del ICAM: Nos comprometemos a no enviar SPAM. ¿Y las instrucciones?
    • Guía práctica de adecuación de despachos jurídicos: Se encuentra en la sección privada para abogados. No dice nada sobre cómo cifrar. Y, de cualquier forma, no recomiendo usar esta guía porque está desactualizada desde 2011.
    • Manual CommuniGate Pro: Buscando en Bing (¡¿quién usa Bing?! usé Google) encuentro el manual del programa de ordenador, en inglés, del que se puede sacar algo de información.

Quiero que mi webmail corra siempre bajo https. ¿Cómo lo configuro? Entrando siempre únicamente en https://mail.icam.es

Quiero cifrar mis comunicaciones. ¿Cómo lo hago? Sigue estos pasos:

1) Pulsa en “preferencias” y selecciona “Correo Seguro”. Introduce una contraseña segura. Ojo: ¡Esto no convierte tu correo en seguro! Solo te genera un certificado de firma avanzada s/MIME.

imagen-sin-titulo

Crea una contraseña de “Correo Seguro” (imagen tomada de El Confidencial)

2) Exporta la llave y el certificado de seguridad. Guarda el archivo en un lugar seguro y, por supuesto, no pongas como título su contraseña.

Captura de pantalla 2014-10-31 00.13.50

Cualquier abogado entendería esta página. No creo que las instrucciones sean necesarias.

3) Haz la prueba de enviar un correo firmado electrónicamente con tu certificado avanzado. Si intentas enviar un mensaje cifrado sin haber seguido todos los pasos, te dará error.

Captura de pantalla 2014-10-31 00.12.44

Si intentas enviar un mensaje cifrado, te dará error.

4) Convence a tu cliente para que instale un certificado de firma avanzada en su gestor de correos electrónicos y te envíe un correo electrónico firmado electrónicamente. Solo de esa forma, tendrás acceso a su clave pública y podrás enviarle, en respuesta un correo electrónico cifrado.

mensaje cifrado

El servicio de correo del CGAE sí permite cifrar de forma efectiva. En este prueba trato de leer sin éxito un correo cifrado desde un dispositivo sin mi firma electrónica instalada. Cuando instalo el certificado, lo logro.

Si no tiene certificado válido, puede probar uno de alguno de estos proveedoresSecorio, InstantSSL / Comodo o StartCom.

Yo hice la prueba con el certificado que ofrece la FNMT (sin éxito) y con el que ofrece Comodo (con éxito). El proceso es el siguiente:

  1. Accede a Comodo, entrega tus preciados datos personales, lee los términos (jeje), acéptalos y recibe en tu correo electrónico un enlace que te lleva a una página desde la que se descarga e instala un certificado en tu navegador. Expórtalo y guárdalo en un lugar seguro.
  2. Instala Thunderbird (no hagas el moñas usando Outlook 6) y configúralo con tu correo electrónico personal. Importa el certificado obtenido en Comodo. Marca la opción de firmar por defecto con el certificado importado y agrégalo también para realizar cifrados.
  3. Envía un correo electrónico firmado a tu cuenta de @icam.es
  4. Responde a este correo electrónico marcando las opciones firmado y cifrado. Envía y listo.

Así de sencillo es usar correctamente el sistema de cifrado con la herramienta profesional que provee el ICAM a sus abogados. ¡Creando confianza! Todo correo electrónico que envíes a tus clientes de otra forma es una potencial causa de ilicitud. De todas formas, por el comunicado del CGAE, a quién le importa. Según lo que leo en el comunicado del Consejo, el abogado que use esta herramienta de endiablada dificultad es culpable de hacerlo mal.

Hablando con el CGAE me dicen que el sistema de cifrado es sencillísimo. Sí, ¿verdad?

Fui al ICAM a avisarles y colaborar con ellos porque creo en el Derecho. Creo en dar herramientas profesionales útiles a aquellos que las necesitan. Y me encuentro publicada una respuesta esquiva en la que aquellos que nos deben proteger se exculpan de su ineptitud y descargan su responsabilidad en el abogado que confía en ellos, sin mostrar un ápice de intención de arreglar el desaguisado que han montado.

Si el CGAE ofrece este servicio a los Colegios para que lo presten a los abogados, debe también velar por que esa prestación se haga de forma correcta. No puede consentir que se muestre por defecto la opción sin cifrar, que usen herramientas de correo como Outlook 6, que usen la versión flash que no recomiendan, que no tengan instrucciones de uso claras para los abogados, que permitan que las contraseñas en el proceso de identificación se envíen en claro… El CGAE debe velar por la confianza de los abogados en sus colegios o, por lo menos, manifestarse preocupado por ello.

Todos hacemos cosas mal. Suficientemente ciega es la Justicia como para que también lo sea el CGAE.

La criptografía esconde aquello que en ella quieras encontrar

death-164761_640

La moneda virtual es perfecta para la creatividad legal, pero también para el comercio ilícito y el fraude. Imagen en CC0 tomada de Pixabay.

El Bitcoin también tiene un lado oscuro, como todo. Hablé con un periodista de El País que me preguntó por las posibilidades de blanqueo de capitales usando Bitcoin en el sector del juego online para redactar esta noticia: La lavadora del trío de ases. Mi respuesta por teléfono fue esta:

Ninguna de las casas de juego online que aceptan Bitcoins (lista) coincide con las que tienen licencia en España (lista). Esto es relevante, porque la posibilidad de blanqueo se realiza fuera de las fronteras de España y de forma anónima.

En España, si algún operador aceptase Bitcoins, tendría que identificar al usuario y aceptar un máximo de 2.500€ por persona en Bitcoins (noticia), porque el Bitcoin se considera un sistema de pago no controlado (noticia y respuesta de la DGOJ). Tiene sentido que se asemeje más al traspaso de efectivo que a la transferencia bancaria porque, al fin y al cabo, los pagos realizados con Bitcoins tienen una entidad similar a la de los pagos con trozos de metal (monedas) o pedazos de papel (billetes).

La DGOJ no dice que el Bitcoin sea dinero, sino que la norma que afecta al dinero también afecta al Bitcoin (post). El problema es que no hay nadie que regule el precio del Bitcoin, por lo que se usará el precio ponderado de las principales casas de cambio (BTC-eBitstamp). Es interesante que Hacienda haya pedido al Confidencial que ponga el titular “Hacienda reconoce por primera vez el valor económico del ‘Bitcoin'” en su último artículo, en lugar de “Hacienda reconoce por primera vez el ‘bitcoin’ como una moneda” para dejar claro que no es una moneda de curso legal (como lo es el Euro), pero sí algo que puede ser usado como moneda digital privada.

Lo magnífico del juego online con criptomonedas (como DarkCoin) es que puede ser totalmente anónimo (Anonibet) y el jugador puede usar programas gratuitos sencillos (DarkWallet) para enviar, mantener y recibir Bitcoin y que no quede rastro de las transferencias.

Luego el Bitcoin puede ser usado como medio de pago de productos y servicios legales (La Calle Bitcoin) e ilegales (armas). No hay que certificar de dónde se han obtenido los Bitcoin, porque se pueden haber creado (minería), por lo que luego se pueden vender legalmente por moneda de curso legal en España en prestadores de cambio online (lista), servicios p2p de cambio anónimo (Coinffeine, sociedad española con capital social solo en Bitcoins) y en la calle (LocalBitcoins).

El Bitcoin se usa cada vez más en el sector del juego online (noticia) y los únicos que lo ofrecen son prestadores de fuera de España (o ilegales dentro de España). Si alguien quisiese usar el sistema del gambling para blanquear dinero de forma extraordinariamente rápida, sencilla y anónima (lista de las mejores casas online que aceptan Bitcoins), usaría Bitcoin o algunas de las otras cientos de criptomonedas (lista).

La cadena de bloques Bitcoin se puede usar como alternativa al Registro de la Propiedad Intelectual del Ministerio de Cultura (post). Se puede utilizar la criptomoneda para comprar (noticia) o para constituir sociedades (post). También como medio para aportar recursos en un sistema de crowdfunding (Swarm). O para apostar de forma legal (post). Así que el Bitcoin, como toda tecnología, puede ser usada para la creación o para otros fines más…

[mis] Reflexiones sobre la Sentencia del #DerechoAlOlvido

the-lost-room-950872-m

Olvidar tu camisa es ejercitar tu derecho al olvido. (Foto compartida por dimitri_c)

Cuento algunas cosas que creo que no se han dicho lo suficientemente alto (o claro) sobre el caso del Derecho al Olvido

Joaquín Muñoz, mi socio de Abanlex, se puso la toga en Luxemburgo para exponer ante el TJUE las observaciones que él escribió, con la ayuda de su equipo, y presentó en nombre del español al que representa. El origen de caso lo explica él mismo aquí: El asunto AEPD vs Google, en el que Abanlex representa al particular que inició el procedimiento. El resultado, por ahora, es la famosa Sentencia del Derecho al Olvido.

1.- ¿Se vistió la toga Joaquín en Luxemburgo, ante el TJUE?

Sí, se togó ante el TJUE.

Se subió a un avión y se vistió de toga para entrar en la sala del TJUE. Joaquín dirige la defensa del español, desde sus orígenes en la AEPD, hasta ahora, en la Audiencia Nacional. La redacción de las observaciones y la personación ante el TJUE, también fueron cosa de Joaquín y de su equipo.

2.- ¿Quién ha ganado el caso?

Estamos en ello. La Sentencia es un texto que sirve a la Audiencia Nacional para resolver el litigio.

Hasta el momento, ha sucedido lo siguiente: Google Spain y Google Inc., disconformes con la resolución, que logramos de la AEPD, en la que se les obliga a retirar ciertos resultados, interpusieron recursos ante la Audicencia Nacional. Este tribunal, ante las dudas de interpretación normativa que le suscitaba el caso, suspendió el procedimiento y planteó una serie de cuestiones prejudiciales al TJUE, que dictó la famosa sentencia sobre el Derecho al Olvido indicando cuál es la forma correcta de interpretar la norma. Ahora que ya tenemos este texto, el caso regresa a la Audicencia Nacional y continuamos con la defensa del ciudadano español.

dont-forget-646997-m

No olvides tu derecho al olvido (Foto: cbicenhour)

3.- ¿Qué opinión te merece la Sentencia?

Respondo abajo, con preguntas de la A a la H.

Pero antes de responder, quiero que quede claro que lo que escribo en este blog es personal.

Joaquín estaba convencido de que iba a obtener una sentencia favorable; yo no tanto. Esto nos ayudó a trabajar el caso. Manteníamos discusiones casi diarias sobre aspectos relativos al tratamiento de datos por parte de Google: Joaquín defendía la postura que ahora el TJUE impone; mientras que yo defendía por convicción posturas similares a las que fueron aportadas por Google y Grecia en sus observaciones.

Tenemos Sentencia e interpretaremos la norma como en ella se nos indica. Pero, no lo puedo evitar, se me pasan por la cabeza estas impresiones, que comparto a modo de opiniones personales:

A.- Google: Ni responsable, ni encargado, sino… una tercera figura

La Directiva 95/46 es anterior al nacimiento de los buscadores de hoy. Esta norma fue diseñada para sentar obligaciones sobre dos sujetos: el responsable y el encargado. Si negamos el paso del tiempo y el estado de la técnica, una interpretación rígida de la norma nos obliga a calificar a Google como responsable, pero considero que no es de justicia otorgarle esa naturaleza.

En mi opinión, el TJUE ha aplicado la Directiva de forma excesivamente tajante. Sin embargo, como el espíritu de la norma no debe ser estático, sino que debe adaptarse a los tiempos, ha rebajado sutilmente las obligaciones del responsable, confirmando que el desarrollo de la técnica ha creado una tercera figura.

B.- Buscadores. No solo Google.

Uso Google en Chrome, Bing en el móvil para encontrar información rápida, Baidú para buscar ciertas posiciones de páginas, The Pirate Bay para… Hay buscadores para todo. Y no tres, ni diez, sino miles. Con mejor o peor resultado, se puede crear un buscador para cualquier cosa. Incluso este blog tiene un buscador.

Supongamos que solicito a Google la supresión de un resultado. ¿Se entiende hecha la solicitud de supresión a todos los buscadores que existen y existirán? “No”. Así que, a partir de ahora, empezaré a auditar a las personas usando una gran variedad de buscadores alternativos y no europeos.

 C.- El robots.txt ya no es suficiente

Gran verdad en la que no había caído hasta que leí la Sentencia.

El “robotx.txt” y los códigos “no index” y “no archive” solicitan a los buscadores que ciertos contenidos sean excluidos de los índices automáticos. Aun si un editor no los ha puesto, podemos obligar al buscador a no mostrar ciertos resultados sobre los mismos.

Esta parte es muy interesante. Lo que se solicita a los buscadores no es que excluyan una determinada página a voluntad de un particular, sino que eliminen ciertos vínculos que se obtienen al buscar “el nombre” de determinada persona u otro dato suyo personal.

Por ejemplo: Carlos Zimbou ha solicitado que se elimine el link a una página que dice “Carlos Zimbou es un asesino de zanahorias”. El buscador no mostrará esa página cuando se busque “Carlos Zimbou”, pero sí la mostrará cuando se busque “asesino de zanahorias”. Los demás buscadores no harán discriminación. Ningún buscador mostraría nada, nunca, si el editor de la web hubiera añadido la URI al robots.txt, salvo aquellos buscadores que no obedezcan al estándar robots.txt, que lo mostrarán todo siempre, excepto aquellos que, en su caso, hubieran recibido la solicitud de exclusión.

Tiene más sentido que el robots.txt. En el caso de los medio de comunicación, por ejemplo, la noticia publicada con datos personales podrá seguir indexada, solo que determinadas búsquedas no mostrarán enlaces a la misma. De esta forma, se permite incluso el ejercicio del derecho para el olvido de contenidos lícitamente publicados y de permanencia pertinente y justificada.

D.- Para solicitar el Derecho al Olvido, con el DNI no basta

Para ejercitar mi derecho al olvido, debo certificar mi identidad al buscador enviando una copia del DNI. Pero, además:

  1. Tengo que conseguir certificar que el individuo al que se refiere la página web publicada por un tercero soy yo.
  2. Tengo que conseguir certificar que el contenido vulnera mi derecho a la protección de datos.
  3. El buscador tiene que determinar si la supresión de los enlaces vulnera el derecho del público a tener acceso a la infomación de que se trate.

Veremos casos curiosos como este: un compañero de instituto se llama y apellida igual que un criminal condenado a prisión en un país americano. Cuando busca su nombre, solo aparecen noticias de “su” condena. Esta persona no podría solicitar el derecho al olvido sobre dichos contenidos que sí le afectan personalmente.

E.- Y si cambian la URI o copian el contenido o hacen un vídeo o… surge un nuevo buscador

Volver a empezar, otra vez.

 F.- Hacen falta años para conseguir salir (un poco) de Internet

Deberíamos trabajar en la eficacia y en la eficiencia de nuestras normas y del ejercicio de los derechos.

  • Eficacia: Hay ciertas normas que tiene un grave problema de eficacia a largo plazo. Por ejemplo, la obligación de publicar datos personales en el BOE hace imposible el cese en el tratamiento cuando el dato deja de ser necesario y genera la necesidad de ejercitar el derecho al olvido.
  • Eficiencia: Hay ciertas normas que tienen un grave problema de eficiencia. Por ejemplo, la del propio derecho al olvido. ¿Sabes cuántos años son necesarios para eliminar un dato de Internet ejercitando este derecho? El caso del español es de 1998 y lleva tratando de ejercitarlo desde 2010.

Creo que sería pertinente, además, que los buscadores organizasen una vía de comunicación multidereccional de instrucciones de olvido. Facilitaría la eficacia maximizando la eficiencia.

G.- Europa es ahora el escudo del mundo en materia de protección de datos

Un no europeo podrá ejercitar su derecho al olvido a través de Europa. Y… tengo cierta duda que comento más abajo. 

Partimos de esta base:

  • La herramienta de Google para facilitar el ejercicio del Derecho al Olvido estará disponible solo para europeos.
  • Google Spain está considerada filial de Google Inc. en Europa a efectos de protección de datos.
  • La protección de datos es un derecho personalísimo de todo ser humano.

En principio, Google no permitirá, por defecto, a ciudadanos extraeuropeos ejercitar el derecho al olvido de la forma que indica el TJUE. Supongamos que un estadounidense desea ejercitarlo. ¿Podría? Sí, si lo hace a través de Europa, contando, en su caso, con el apoyo de una autoridad de control nacional.

El Derecho al Olvido es una manifestación más de los derechos fundamentales de todo ser humano por el mero hecho de serlo, con independencia de la ciudadanía del ciudadano afectado.

La duda que me consume el sosiego es la siguiente:

Si Google trata datos personales de ciudadanos del mundo en el marco de las actividades de Google Spain, ¿no tendría que garantizar los mismos derechos a todos los datos de carácter personal que la misma trata? Sería incoherente que fuese responsable del tratamiento y obligado solo respecto de los datos de los ciudadanos europeos, y libre de tratar como le plazca los datos personales de los ciudadanos del resto del mundo.

H.- ¿El español ganará el caso?

Antes de leer este punto, ten en cuenta que yo estaba convencido de que el TJUE iba a sentenciar diferente, y erré. Es probable que me equivoque de nuevo aquí.

¿Es posible que el TJUE erre al decir esto en su Sentencia?

En la medida en que en el caso […] no parece existir razones concretas que justifiquen un interés preponderante del público en tener acceso a esta información en el marco de tal búsqueda, lo que no obstante incumbe comprobar al órgano jurisdiccional remitente, el interesado puede […] exigir que se eliminen estos vínculos de la lista de resultados.

Uno de los enlaces en liza es este.

En mi opinión, el documento en formato portable del diario español es histórico, hasta el punto de que forma parte de un caso que cambia el curso de la historia en Internet y del Derecho de Protección de Datos. Por tanto, discrepo ligeramente con el TJUE, pero no hasta el punto de quitarle la razón.

Creo que va a suceder lo siguiente:

  • Eliminación del enlace al pdf: La eliminación del enlace en los términos que el TJUE indica podrá ser posible para que la búsqueda del nombre del ciudadano no muestre directamente el archivo de la hemeroteca.
  • Permisión de las copias siempre en relación con el caso del derecho al olvido: El contenido ya ha sido copiado hasta la saciedad en relación con el caso. La permanencia de la noticia en la red es relevante y necesaria, siempre que vaya unida a este caso. Además, ya es imposible eliminar todo rastro del papel digitalizado originario.

 Quedan un par de curiosidades que destacar:

  1. La primera es que hoy es el Día de la Toalla, así que he escrito el artículo con un toalla en el hombro en recuerdo y admiración de Douglas Adams.
  2. La segunda es este vídeo hilirante que me pasó Jorge López Baqueriza, uno de los integrantes del equipo de Joaquín cuando redactó las observaciones presentadas al TJUE:

ram wanI’ qaSmoHlu’bogh wej Dajlaw’ nuq nID

Este es un artículo de Derecho entéramente escrito en klingon: parte en idioma klingon y parte con caracteres klingon.

Si consigues leer más allá de estas líneas es porque conoces el idioma, lo cual sería un punto y habrías escalado de forma apreciable en la escala de lo friki. El texto también será legible para el avezado tecnólogo y el seguidor de Ockham. Aún así, si lees el texto, también a ti te aviso: no uses el post para nada.

ram wanI’ qaSmoHlu’bogh wej Dajlaw’ nuq nID

‘oH ghItlhvetlh luyajlu’meH ngeD: legh Hal ngoq ‘ej ghaj pagh mughwI’ lo’. pagh Hal yIlo’

A comienzos de este año publiqué, junto con mis compañeros del despacho Legaltea, un Manual de derecho de consumo, con la Editorial Lex Nova – Thomson Reuters. Es el sexto libro que publico: dos en solitario; dos corales en colaboración; y dos en colaboración con Alejandra Porto y Manuel Molina. Son solo manuales para comprender un poco mejor el derecho, nada más. Indico los libros aquí.

Leer más »

Productos comprados con Bitcoin entran en el Congreso (España)

2014-03-06 20.10.44 - copia

Los diputados prefieron las galletas de dulce de leche. Dejaron las de chocolate. Fueron comidas en el Congreso de los Diputados el 6/3/2014. Las galletas se compraron con Bitcoin.

Ayer, 6 diputados del Congreso (España) comieron galletas compradas con Bitcoin, como parte de un experimento con seres humanos que realicé.

Además de ser llamativa, la noticia es relevante: Productos adquiridos con bitcóins entran en el Congreso de los Diputados, junto con la nota de transferencia; varios diputados prueban los productos; y se hace patente que el sistema Bitcoin existe y se usa en España.

Llevé estos productos al Congreso como parte de una investigación, que se basa en demostrar que la tecnología que hay detrás de la anécdota del Bitcoin construye un sistema que hace imposible borrar los contenidos subidos a la red. Excelente para la propiedad intelectual; peligroso para la privacidad.

La sesión, en la que estuvimos ayer varios abogados con diputados de la Subcomisión de Redes Sociales, fue “a puerta cerrada”, no para mantenerla en secreto, sino para que pudiésemos sentirnos más libres a la hora de dar información sensible (nunca confidencial) y privada de nuestra actividad.

Accedimos al Congreso tras pasar por varios controles de seguridad. Una persona nos acompañó hasta la sala (Sala Lázaro Dou), ovalada y con una gran mesa en el centro. Jorge, Alfonso, Alejandro y yo (Pablo) nos sentamos en un lado; los diputados en el otro; y una invitada en una silla apartada.

Comenzaron las exposiciones: aquí está la mía (un poco troll, dicen); la de Jorge puede leerse aquí. En mi exposición, repartí galletas entre los diputados, junto a una nota imborrable que publiqué en la transmisión de bitcóins. Los diputados mostaron interés extremo en la situación del presente.

Los diputados hicieron preguntas sobre las exposiciones. Apunté el guión de mis respuestas:

1.- Intimidad en Internet

Por ahora, cierto grado de intimidad existe en Internet, porque contamos con mecanismos de control.

2.- Derecho al Olvido

Tendrá un alcance limitado y será ineficaz en muchos casos. Me centre en las cuestiones básicas (punto 2).

La informática es vulnerable y está abocada a fallar por casusas técnicas, humanas o por ataques externos. Hay que contar con el fallo seguro.

Sugiero:

  • Asumir que nuestros datos personales van a ser publicados, con mayor o menor alcance.
  • Crear sistemas digitales y, sobre todo, analógicos de respuesta inmediata.

3.- Cookies

Sugerí dos cosas: que se mantengan la protección y el límite en los usos como obligaciones para los prestadores; y que se eliminase la necesidad de informar sobre las cookies en el aviso legal y en banners.

Destaco en mi memoria que uno de los diputados de la Subcomisión de Redes Sociales tuvo que preguntar qué es un cookie.

4.- Regulación vinculante

Las normativas estatales se agotan en las fronteras; las de los prestadores son eficientes en todo el mundo.

Destaqué en mi intervención una frase dicha por un diputado en esa sesión: “[Tal y como habéis presentado la situación de Internet,] no hay nada que hacer desde el punto de vista de la legislación del estado”.

Indiqué un motivo de que la ley siempre vaya detrás de la tecnología: la lentitud en su creación.

Aporté una solución muy básica y que rompe los esquemas del sistema de estados:

  • Normativa española: mínima para proteger completamente los derechos fundamentales de los ciudadanos españoles.
  • Normativa para el mundo digital: Es necesario hacerla con los que controlan la Red.

5.- Normas que son un desastre

El tiempo era limitado. Solo destaqué:

  • Código Penal (arts. 401, 270, 720)
  • Ley de Propiedad Intelectual. Incluí la desastrosa reforma propuesta.
  • Ley Orgánica de Protección de Datos: Solicité la rebaja de exigencias y que no sea necesaria la notificación de ficheros
  • Registro de Empresas de Venta a Distancia: Solicité su supresión

Mis compañeros, en sus turnos, solicitaron cambios en la normativa de Retención de Datos. La idea es que sea posible identificar a una persona a través de la IP para delitos inferiores a los graves.

6.- Regular con los prestadores

España debe participar en las creaciones de normas privadas internacionalmente vinculantes, que son las que elaboran los prestadores (los de uso mayoritario). De esta forma, se crean costumbres basadas en criterios españoles en ciudadanos de países extranjeros y logramos armonizar y normalizar el uso de Internet a nuestra conveniencia. Este efecto sobre el ciudadano del mundo, permite a España obligar indirectamente y de forma velada a los legisladores extranjeros a modificar sus normas y elevar los criterios de protección de los derechos fundamentales de los usuarios.

7.- Protección de la propiedad intelectual

La propiedad intelectual debe ser protegida. Para ello sugiero:

  • La introducción del Fair Use en la normativa española de forma inmediata.
  • La consideración del lucro indirecto como ánimo de lucro a efectos penales.
  • La creación de una Agencia Española de Propiedad Intelectual.

La propuesta de reforma de la Ley de Propiedad Intelectual, actualmente siendo debatida en el Congreso, no debe progresar. Destaqué esta consideración: la actividad de los agregadores debe seguir siendo legal y estar exenta de obligación de pago alguno.

En cuanto las soluciones del protocolo se hagan más patentes (10 años vista), debe considerarse el uso libre de la propiedad intelectual cuando el fin sea sin ánimo de lucro. Aunque lo circunscribí a una derivación del fair use, para que sea posible y no dañe en exceso los derechos de los autores y los creadores.

8.- Otras propuestas normativas y tecnológicas

Mi preferencia sería que se devolviese el sistema a la creación de reglas y principios, por medio del estudio de casos. Pero que no se trate de regular los casos en sí, ni establecer un exceso de obligaciones.

Sugerí la aprobación inmediata de una norma que impida al software tomar la decisión de matar o no a un humano. Ya existen programas capaces de identificar situaciones de riesgo, controlar un dron con un arma y llevarlo a su destino para que dispare a la amenaza. Es una situación que España debe regular para lo que suceda dentro de sus fronteras. La acción de disparar debe seguir siendo realizada por medio de una acción física de un humano. Asimimo, sugerí la creación de un registro internacional de identificadores de drones y de elementos no humanos con capacidad de movimiento autónoma.

En relación con lo sugerido (norma anti-bit_balas) recordé a los diputados que el Prof. Kevin Warwick ha logrado que un coche sea dirigido de forma “inteligente” por una neurona; y ha movido en Londres partes mecánicas de su cuerpo estando él en EE.UU. por medio del envío de impulsos nerviosos a través de Internet. Es el presente.

Destaqué la labor de el GDT y sugerí que se les facilitasen los recursos para la creación de un complemento para los principales navegadores que permita a los usuarios registrar de forma certificada el contenido de una página y enviarlo, junto con su IP, a una dirección del GDT.

En relación con las redes sociales, sugerí la posibilidad de convenir con los miembros de las mismas que crean sus propias normas privadas, la creación de un botón de denuncia por posible comisión de delito, integrado en la plataforma, con un canal abierto con el GDT que envíe de forma automática los datos de las personas o contenidos denunciados, junto con una captura cifrada de los contenidos o la IP datos y datos del denunciado (y, si el denunciante lo permite, también la suya), solo cuando la IP del denunciante sea española o haya configurado su cuenta para designarse como español.

Por último, destaqué la importancia de que España dé un paso al frente y participe sin miedo en la creación de la normativa privada internacional, que es la realmente eficiente en el mundo. España debe enviar a una persona para que participe en la creación de normativa, con sugerencias, para que la normativa sea la que España quiere. Y, si el prestador presenta reticencias o rechazos, España debe cambiar su sistema de acercamiento y apoyo.

Los dueños de un mundo parcelado eran los estados. Los del mundo, son las empresas y sus usuarios.

Accedo al Congreso de los Diputados a hablar de Bitcoin y Privacidad

2463525895_e87aa0bbab

Congreso (España). Imagen tomada por Rodney.

Estoy en el Congreso, junto a Carrascosa, Campanillas y Touriño. Espero que después de que escuchen lo que les voy a decir, los diputados no me nominen. 

En esta ocasión acudo porque me ha convocado la Subcomisión de Estudio sobre las Redes Sociales. Varios diputados (aquí listados) quieren que les cuente mi experiencia y conocimiento sobre “ciberseguridad en la red, en las transacciones comerciales electrónicas, protección de las personas más vulnerables y protección en el ejercicio de derechos fundamentales que pudieran verse afectados”.

Supongo que quieren que les hable sobre mi experiencia en TOR (un momento, ¿he usado TOR? ¬¬); mis batallas para que un blog personal pueda tener publicidad sin pagar por ello; mi lucha sin cuartel contra la tontería de las cookies y su imposible ley; las posibles medidas para evitar la suplantación de identidad; los peligros de las redes sociales; o los riegos de la minería de datos. Pero… no. No voy a hablar de nada de esto.

Los diputados no saben, aún, que no voy a contarles nada de lo que creen que quieren oír.

Ayer me llegó una comunicación del Congreso en la que me ruegan “encarecidamente […] la extrema conveniencia de aportar alguna documentación”. Les voy a dar la URI de este post, porque en papel aún es complicado hacer clic en los enlaces.

El Congreso me ha concedido un máximo de 5 minutos. A minuto por punto, esto contaré:

  1. Galletas compradas con Bitcoin para los diputados

Este martes compré 8 galletas caseras. El truco es que no las he pagado con dinero, sino que se las he cambiado al restaurante Do Eat! por 0,02434 BTC (bitcóins).

Llevaré las galletas a los diputados para demostrarles que el Bitcoin existe y se usa. Se las llevaré para que sean conscientes de que hay centenares de negocios que las aceptan y que es muy sencillo adquirir productos y contratar servicios con los Bitcoin.

Se las llevaré para que comprueben que el comercio electrónico cuenta desde 2009 con un sistema internacional y alternativo de pagos. Con uno no, ¡con cientos! Crecen como la espuma los ataques informáticos centrados en el ataque a ostentadores de claves que controlan los Bitcoin. Hay inseguridad. ¿Qué cuesta que España diga que “no es dinero” sino un bien?

Quiero que se percaten de que son ellos (el Estado) los que están creando inseguridad jurídica en España. Están minando nuestra confianza. Lo que sea necesario para que Hacienda conteste la consulta vinculante que les planteamos, que lo pongan ya. Es imprescindible que España deje de estar a la cola del mundo en eCommerce.

Por cierto, ¿por qué he elegí las “galletas”? Por la absurda ley de cookies y la más absurda reforma propuesta. La ley de cookies es la mejor forma de empapelar a los empresarios; y la mejor para indicar a los usuarios que España asusta.

2014-03-04 18.31.33

En este restaurante puedes consumir lo que quieras a cambio de bitcóins. Do Eat! (Madrid, España)

2.- Nota incluida en la transferencia de bitcóins

En la transferencia realizada para comprar los Bitcoin he incluido esta nota (sin tildes):

Galletas compradas por @Pablofb (de Abanlex) en Do Eat! (Madrid) para la Subcomision de Estudio de las Redes Sociales (Congreso Diputados, Spain) como parte de una investigacion realizada por @Pablofb y que sera mostrada a la Subcomision el 6/3/14

Actualización (10/03/2014): Esta nota sí se puede borrar porque es un mero valor añadido del servicio blockchain.info y no un dato anexado a mi transferencia en sentido propio (ver aquí). Lo que no se podría borrar es el hash de un documento convertido en dirección Bitcoin una vez hubiera hecho una transmisión de satoshis a la misma. No obstante, se está trabajando en un registro de notas unido a las transferencias por medio de la modificación del protocolo, por lo que será posible incluir notas a las transferencias a través de sistemas similares al actual.

Captura de pantalla 2014-03-05 17.45.50

Nota: “Galletas compradas por @Pablofb (de Abanlex) en Do Eat! (Madrid) para la Subcomision de Estudio de las Redes Sociales (Congreso Diputados, Spain) como parte de una investigacion realizada por @Pablofb y que sera mostrada a la Subcomision el 6/3/14″ [Ver aquí]. No he ofuscado las direcciones y podréis rastrear las transferencias que haga desde esa cuenta… a menos que, a partir de ahora, las haga en modo compartido y use una nueva dirección para las futuras recepciones.

3.- Hola, Registro Internacional de… la Propiedad Intelectual (¿InteCoin?)

Presunción iuris tantum.

Algo muy similar a lo que se consigue por medio del registro privado de propiedad intelectual, se consigue gracias a las soluciones iniciadas por Satoshi Nakamoto.

Las posibilidades de registro que presenta el sistema de bloques son fastuosas. ¿Qué podemos registrar? Texto, música, copias resumen (hash)… matrículas, ecuaciones, manuales… Un registro internacional de lo que sea que queramos. Y si lo quieres cifrado, métele un PGP.

Si el Estado halla la forma de controlar un protocolo (y lo crea), tendrá el monopolio sobre su gestión y contenido. Una criptomoneda controlada por un estado o por varios o por el FMI, es posible. Un registro internacional de carácter científico (de tipos de árboles, por ejemplo) controlada por una universidad, es posible. Un registro, controlado por el mundo, de diseños de armas para crearlas en impresoras 3D caseras, es posible. Tanto lo bueno como lo malo, es posible; que llegue a suceder todo, es probable; que ya sucede, está (personalmente) probado.

Aquí podría hablar de los criptocontratos, sobre los que Ethereum ya está trabajando (Jorge Vallet). Será interesante observar la creación de leyes internacionales de ejecución automática.

Se puede crear un registro privado de propiedad intelectual con un puñado de bitcóins. No se usarían como existencias, sino como inmovilizados inmateriales. Los bitcóins serían herramientas de trabajo. Por ejemplo: una empresa, con dos direcciones, destina una de ellas al envío de satoshis con elementos a registrar y, dejada la huella imborrable (que puede ir cifrada), devuelve los bienes digitales a su cuenta de origen. Coste cero. Potencial inmenso.

Actualización (10/03/2014): Es posible crear un registro de propiedad intelectual con tecnología del Bitcoin. Para poder llevarlo a cabo habría que crear una dirección Bitcoin a partir del hash de una obra. A esta dirección se le debe enviar algún satoshi, para convertirla en imborrable e inalterable. Al término, se tendrá un registro internacional de PI con presunción iuris tantum. Ya han propuesto algo parecido los compañeros de Dogecoin. El texto tachado en este post es la consecuencia de mi error.

4.- Leyes nacionales que se extinguen en la frontera. Normas privadas que controlan Internet

La soberanía de los estados es indiscutible. Dentro de sus lindes políticas toda actividad debe regirse por lo establecido en las disposiciones en vigor que el poder público haya promulgado. O así era hasta que surgió con fuerza la Red de Redes.

España no puede detener Internet en sus fronteras.

Pondré tres ejemplos:

  • Si el responsable de un sitio incumple una ley nacional en su web, ¿cuánto tardaríamos en cerrar la web a través de los tribunales? ¿Cuánto tardaría Google en banearla de su directorio?
  • Si un usuario difama anónimamente a un menor a través de Twitter, ¿cuánto tardaríamos en localizar al usuario a través de los tribunales? Es más, ¡¿no lo permite la ley actual?! (la respuesta es “no”, por cierto: acoso a menores y suplantación de identidad). ¿Cuánto tardaría Twitter en bloquear el perfil y entregar su datos de usuario (IP, correo, exif -si los guarda- de las imágenes, horas de actividad, enlaces en los que haya pulsado, tipo de dispositivo usado, colores que se muestran en su pantalla…)?
  • Si localizamos una foto de contenido muy inadecuado en Facebook, ¿cuánto tardaríamos en actuar por medio de los tribunales españoles (ojo a la pregunta 12)? ¿Cuánto tardaría Facebook?

Veo la siguiente situación:

  1. Las leyes nacionales son eficaces dentro de las fronteras, pero ineficaces fuera.
  2. Las normas privadas de los prestadores son eficientes siempre, en el mundo.

Consecuencias:

  1. Deben tenerse más en cuenta las normas privadas de los prestadores.
  2. España debe participar en la creación de estas normas.
  3. La normativa aplicable a los prestadores nacionales debe ser mínima.
8651931765_548970a1a7

Hasta la frontera llega la normativa del estado sobre Internet. Foto: CBP (CC BY SA 2.0)

5.- Sé dónde estás, menor

Con puros fines científicos y de investigación, he streakeado a un diputado. No, es broma. No uso Streak por motivos éticos (No estoy hablando del streaking ^_^). Pero, lo cierto es que es tan fácil y hay tantos sistemas en el mundo que permiten realizar este rastreo de forma sencilla, que nada empece a que se pueda enviar un e-mail o similar a un menor y saber dónde está en ese instante.

A mí ya me ha intentado streakear un empresario de UK, pero no ha podido lograr su objetivo porque implementé medidas para evitar que me hagan eso. ¿Un menor conoce estas medidas? ¿Sus padres las conocen? ¿La concienciación ciudadana serviría? Mi respuesta es “no”, a las tres preguntas. Es necesaria la seguridad por defecto (Yago Jesús, de Security By Default) y la implantación de medidas preventivas y reactivas (Luis Delgado). Y es necesario saber que este mundo existe, asumirlo y tratar de gestionarlo.

En cuanto a la identificación de menores, la firma electrónica no es eficiente. Con el DNIe de los menores, se puede intentar. Pero, ¿quiénes serán los obligados? Los menores no, evidentemente. ¿Los padres? ¿Reconoceremos a los obligados por la IP? Habrá que darse a Spotflux (y compañía), gratuito, compatible con el móvil y adecuado para ver Netflix en España, por cierto. Imagino que se querrá poner la mira en los gigantes estadounidenses para obligarles a cumplir la ley de un estado europeo. Mientras que los asiáticos y africanos no traduzcan sus soluciones… amainamos el temporal. Pero, ¿realmente queremos que Baidú recopile los datos de nuestros menores para permitirles o negarles el acceso? ¿Queremos que cualquier red social tenga acceso a esta información? Puede que con un simple identificador reconocido de “soy mayor” o “soy menor” baste, basándonos en la edad mínima para ser mayor tanto de España como del país del prestador. Es más, ¿tenemos un listado cerrado de los prestadores de servicios de la sociedad de la información en el mundo? Y, si lo tuviéramos, ¿podríamos obligarles allá en el país en el que estén?

La identificación de los menores requiere otra vía. El Derecho emanado del poder público es ineficaz para ordenar Internet. El destino del Derecho público es el de regular las relaciones entre personas y empresas con los órganos que conforman la Administración Pública. El destino del Derecho que inventan los prestadores está enfocado a crear un único marco jurídico internacional que establezca algo de orden a lo que sucede en la Red. Por tanto, se debe centrar el foco en los grandes prestadores para que España tome partido en la creación de esta normativa internacional realmente vinculante.

Que la ley que afecta a los españoles en España es el código civil, cierto. La que afecta a los españoles en Internet no lo es siempre y cada vez lo será menos. No se trata de hacer convenios internacionales llenos de propósitos y vacíos de acciones, en los que siempre faltan firmas y ratificaciones. Se trata de continuar la creación de una única normativa internacional con el apoyo de las empresas que controlan Internet.

¿Dudas?

Al finalizar la exposición, los diputados hicieron preguntas. Las respuestas están aquí.

_

¿Sabías que hay un SEO ilegal? Las claves del SEO legal

upfDesde el año pasado doy clase en la Universitat Pompeu Fabra a alumnos que desean saber cómo hacer SEO legal (en el Máster en Buscadores). Porque, ¿lo sabías?, existe un SEO legal y un SEO ilegal.

¿Cuáles son los aspectos que debe cumplir un sitio web para estar bien posicionado en Internet de forma legal? Y, lo que es más importante, ¿cómo debe cumplirse la normativa privada de los buscadores? Además, toco el SEM, para señalar cosas tan extraordinarias como que existen poductos que pueden anunciarse lícitamente según la normativa española, pero que están terminantemente prohibidos en determinados sistemas de anuncios como el que ofrece Google Adwords.

En el máster el contenido es extraordinariamente detallado y los compañeros que tengo son de primera categoría: Juan Merodio, Fernando Muñoz y un largo etcétera de Yahoo!, eDreams, Softonic… Aquí, en mi blog, muestro solo parte de una entrevista que me han hecho en la UPF y que está oportunamente recortada, para dar contenido de valor añadido a mis alumnos de la Universitat.

Nos entrevistamos con Pablo Fernández Burgueño para conocer más de cerca la experiencia de un abogado especializado en derecho tecnológico, un sector la importancia del cual ha crecido exponencialmente durante la última década y en el que nuestro entrevistado tiene una amplia experiencia. Actualmente trabaja en Abanlex, bufete del cual es socio cofundador.

1) Hola Pablo, muchas gracias por compartir con nosotros tu experiencia en el campo del derecho tecnológico. Nos gustaría empezar preguntándote por Abanlex. ¿Cómo surgió la idea de crear este bufete, qué necesidades queríais cubrir y con qué tipo de clientes trabajáis?

Abanlex es el despacho de abogados que actualmente co-dirijo. La idea que dio origen a la creación de la firma fue la de establecernos como uno de los despacho de referencia en materia de Derecho de Internet y Tecnología.

A lo largo de estos años, nuestro valor en el mercado ha aumentado y continúa creciendo gracias a un factor de extraordinaria relevancia: nos hemos posicionado como abogados que destacan por su conocimiento de la tecnología.

2) Teniendo en cuenta tu experiencia ¿hasta qué punto crees que se trabaja bien el SEO en España? ¿A qué crees que se debe la existencia de Black SEO: a un nivel bajo de alfabetización digital y un desconocimiento importante tanto de las leyes, como de los factores que inciden en el posicionamiento de los sitios web; o a la pillería de algunos de los que se dedican al SEO?

España es un país extraordinario en materia de SEO. El posicionamiento se realiza, por lo general, de forma respetuosa, leal y con sujeción al sentido común.

Sin embargo, es cierto que el Black SEO golpea con fuerza la Red. Para evitar estas acciones malintencionadas de posicionamiento estamos asistiendo a la creación de las primeras normas privadas que regulan o prohíben estas prácticas engañosas. Empresas como Google y Baidú son pioneras en la elaboración de regulación propia que pone veto al Black SEO, bloqueando a las páginas infractoras y desechándolas de los índices de resultados. Asimismo, la normativa pública más tradicional que afecta al comercio a distancia también está siendo adaptada a la tecnología existente para ser más acorde a Internet.

Continuaremos viendo cambios anuales en materia de SEO y Black SEO.

3) La normativa pública regula el uso de las metaetiquetas para evitar usos ilegítimos, tanto en relación con la Ley de Marcas, la de Competencia Desleal o la Ley General de Publicidad. ¿Podrías contarnos algún ejemplo de mal uso de metaetiquetas que constituya algún caso sonado?

El uso de marcas ajenas para ganar relevancia en Internet es una práctica prohibida, tanto por la normativa de origen público (Ley de Marcas, Ley de Competencia Desleal, Ley General de Publicidad…) como por las normativas privadas de los buscadores y los servicios de publicidad digital. Basta con buscar -en las metaetiquetas de la competencia- palabras, expresiones, marcas y eslóganes ajenos para advertir que sus administradores están tratando de derivar usuarios a su sitio web en perjuicio ajeno y de forma ilícita. Esta normativa es idéntica a la que se aplica para la correcta elección de palabras clave por las que se desea pujar en sistemas de publicidad en Internet.

Los casos recientes más conocidos son los siguientes:

  • Sentencia Louis Vuitton-Google (2010): El Tribunal recuerda que está prohibido usar marcas de la competencia como palabras clave en Internet.
  • Caso Youkioske.com (2011): El juez (Juzgado de lo Mercantil nº 1 de Alicante) obliga a Youkioske a eliminar de su página web las marcas de las empresas cuyas revistas regalaba ilícitamente: Vogue, Glamour, Vanity Fair…
  • Sentencia Masaltos.com (2012): El Tribunal declara que solo el titular de la marca “Masaltos” puede usar esa denominación para atraer clientes. Los competidores quedan obligados a dejar de usar la marca “Masaltos” como palabra clave.

4) Anécdotas aparte, ¿cuáles son las principales dificultades o problemáticas que tienen que abordar las empresas desde el punto de vista jurídico en el ámbito de las redes sociales y del SEO?

Internet es un canal que ofrece oportunidades magníficas a las empresas. La Red permite captar usuarios leales, convertirlos en clientes, crear una identidad digital adecuada y gestionar correctamente la reputación de la firma.

Para toda empresa que desee tener presencia en Internet, las normas principales en vigor que debe tener en cuenta inciden en los aspectos siguientes:

  • Uso legal y leal de marcas y dominios.
  • Adecuación de la publicidad mostrada en la página web y en los buscadores.
  • Protección de los datos personales de los usuarios y clientes.
  • Envío legal de e-mails y mensajes comerciales a través Twitter y Facebook.
  • Gestión de contenidos digitales por la empresa y de los generados por los usuarios.

Es conveniente llevar a cabo de forma preventiva la adecuación legal de la empresa de forma que se garantice la explotación pacífica de la marca en Internet.

5) ¿Trabajáis con empresas de márketing online? ¿Cómo tratan habitualmente las cuestiones jurídicas? ¿Ven la legislación existente como un problema o como una herramienta que les facilita el trabajo?

Prestamos servicios jurídicos a algunas de las principales empresas de marketing digital. Las soluciones que más demandan están relacionadas con la creación legal de campañas publicitarias complejas que aúnan el desarrollo de plataformas, la proyección de actividades de captación de usuarios, la ejecución de rifas promocionales y la protección de marcas, dominios y códigos.

Las normas que tratan de ordenar Internet han sido creadas para asegurar el mercado digital y para ayudar tanto a las empresas como a los usuarios a comerciar electrónicamente con plena confianza. Son reglas sencillas que hacen más seguro el comercio electrónico y la publicidad digital. La aplicación correcta de estas normas convierten el trabajo de la empresa de marketing digital en un seguro de calidad.

6) Siguiendo con las empresas de márketing online, ¿tienen ellas mismas personal que conoce la legislación o buscan asesores externos como vosotros? ¿Cuál es el nivel de cultura jurídica digital de vuestra clientela?

Las empresas de marketing digital observan el mercado en Internet desde un punto de vista particularmente comercial y de eficiencia máxima en la captación de clientes prospectos. Habitualmente, estas empresas se embarcan en su actividad sin consejo legal alguno, por lo que el resultado suele ser aparentemente positivo en un primer término: recaban multitud de datos personales, crean aplicaciones fastuosas… Sin embargo, a corto-medio plazo sus acciones desembocan en situaciones extremadamente conflictivas para sus clientes y es entonces cuando buscan ayuda legal urgente para arreglar los problemas causados.

Lo más adecuado es que las empresas de marketing digital cuenten desde el inicio de su actividad con los conocimientos legales suficientes para poder ofrecer a sus clientes trabajo y medios enfocados al éxito.

7) En relación con los derechos de propiedad intelectual, ¿cuáles son los principales conflictos que desde la perspectiva del derecho han surgido con la popularización de la web 2.0 y de las redes sociales?

En Internet es fácil encontrar quejas terribles de escritores de posts que advierten de que otros competidores les han copiado artículos íntegros para publicarlos en sus blogs. Sin embargo, a pesar de su indignación, para ilustrar sus propios artículos descargan y copian sin pudor fotografías ajenas que encuentran en buscadores de imágenes, sin contar con permiso del autor, sin respetar el trabajo del fotógrafo.

Afortunadamente, la Web 2.0 nos confiere la posibilidad de crear y compartir de forma colaborativa, prácticamente sin barreras geográficas. Las ventajas de la Red para la creación de conocimiento son indudables, siempre que se respete y valore el trabajo ajeno.

Los numerosos problemas jurídicos relacionados con Propiedad Intelectual a los que damos solución están relacionados con las copias ilegales de artículos, fotografías reutilizadas, vídeos descargados de Internet y derechos de autor sobre sitios web y aplicaciones móviles.

8) ¿Crees que la multiplicación de creadores y de productores de contenidos ha conllevado mayores vulneraciones de derechos en el ámbito de la propiedad intelectual, del derecho de imagen? ¿O ha habido al mismo tiempo una concienciación social alrededor de estas cuestiones?

La creación de contenidos en la Red está aumentando de forma increíble. A su vez, Internet ofrece la falsa sensación de que las imágenes, los vídeos y los textos son gratuitos por el simple hecho de estar disponibles en formato digital. Nada más lejos de la realidad; pero, evidentemente, cuantas más creaciones hay disponibles, más sencilla es la vulneración de derechos aprovechando la sensación de impunidad y el supuesto anonimato del medio digital.

El número creciente de productores y creadores está aportando contenidos de calidad de forma constante a la estructura de Internet. Es el momento de plantearse de qué forma deseamos apostar por el reconocimiento del valor intelectual humano y proteger la creación de cultura.

9) ¿Cómo encaja la filosofía de Creative Commons con las nuevas tecnologías de la información y la comunicación y con la normativa pública existente en España y en la Unión Europea?

Creative Commons es una solución perfecta para ceder y usar obras en Internet.

Las obras originales expresadas por una persona están protegidas, por lo general, por un derecho especial denominado Propiedad Intelectual. Este derecho otorga al autor la posibilidad de decir el destino de su creación, incluso en Internet.

Para adquirir derechos de explotación de una obra, debe recabarse la autorización del autor o de aquel que tenga el derecho que se desea utilizar. Por ejemplo, para poder usar una foto en un artículo hay que conseguir que el titular del derecho sobre la imagen autorice ese uso. Hay una forma sencilla de conseguir este derecho: se puede tratar por correo electrónico con el autor y lograr que nos envíe su autorización. Pero hay una forma más sencilla aún: el titular de la imagen puede haber sellado su fotografía con una licencia Creative Commons de forma que cualquiera pueda usarla sin más limitaciones que las propias que el titular del derecho haya marcado.

10) Desde el derecho se habla del principio de seguridad jurídica como de aquel principio que garantiza de alguna manera al ciudadano la certeza del derecho. ¿No son las normas privadas de los buscadores, que cambian constantemente, una fuente de inseguridad jurídica para los usuarios en general?

Internet es global pero las normas públicas son estatales o incluso regionales. En ocasiones sucede que el Derecho emanado del poder público es ineficaz para ordenar un determinado sector, siendo este mismo sector quien se autorregula. Esto es lo que sucede en Internet. La actividad digital está naciendo con fuerza, la tecnología se desarrolla a una velocidad abismal y los poderes públicos se ven desbordados e incapaces de regular algo que se escapa de sus manos.

El destino del Derecho público es el de regular las relaciones entre personas y empresas con los órganos que conforman la Administración Pública. El destino del Derecho que crean los buscadores está enfocado a crear un único marco jurídico internacional que establezca algo de orden a lo que sucede en la Red. La actualización constante de ambas ramas del Derecho hace que Internet sea más seguro para las empresas, para los usuarios y para el comercio.

11) Algunos de los gigantes de internet han tenido problemas los últimos años en diferentes países del mundo donde su modelo de negocio ha chocado con las respectivas legislaciones. ¿Son estas grandes empresas las que se adaptan a los cuerpos jurídicos? ¿O son estos últimos los que, a través de la costumbre, van modificando las leyes?

La soberanía de los estados es indiscutible. Dentro de sus lindes políticas toda actividad debe regirse por lo establecido en las disposiciones en vigor que el poder público haya promulgado. O así era hasta que surgió con fuerza la Red de Redes. Los estados no pueden detener Internet en sus fronteras; los dominios superan el carácter inquebrantable de las marcas; y  los conflictos legales se agolpan en los tribunales.

La tendencia escogida por los estados es que las empresas se adapten a las regulaciones impuestas territorialmente en cada parte del mundo; la de las grandes empresas es que los estados asimilen que Internet rebasa su capacidad dispositiva y traten de adaptarse a la realidad tecnológica.

Estados y empresas están encontrando puntos en común sobre los que regular de forma casi conjunta; pero, aún así, los conflictos serán inevitables. Cada cual tratará de hacer prevalecer sus intereses frente a los del que desee imponer el otro.

12) La comprensión profunda de las implicaciones de las normas existentes, sobre todo las internas de los buscadores, son de difícil comprensión si no se poseen un mínimo de conocimientos técnicos imprescindibles respecto de su funcionamiento. ¿Cuál es el nivel de preparación a este nivel dentro de la judicatura?

Recientemente me graparon un CD en los Juzgados de Plaza Castilla, en Madrid. He atendido un caso en el que un juez no fue capaz de comprender para qué sirve el manual técnico de un programa de ordenador. He visto DVDs unidos con cuerdas a la documentación de un caso. Las cajas oficiales para entregar documentación son cartones con ranuras desperdigadas por los juzgados. Los documentos han de presentarse cosidos o grapados y, a ser posible, en papel. Hace pocos meses un secretario andaba perdido por el juzgado buscando un cartucho de tinta para una máquina de escribir. He visto cómo tapaban los conectores para USB de un ordenador con papel celo para evitar que se sacara información. En el juzgado se entregó a un delincuente su ordenador personal antes del juicio y, naturalmente, borró los contenidos ilegales. Un juez trató de comparar visualmente el contenido de dos CDs, observando cada uno en una mano.

El nivel de preparación técnica de los jueces en España es bajo, con las debidas excepciones.

13) ¿Cuál es el sentido de que en algunas legislaciones se esté planteando la obligatoriedad de los archivos robot.txt? ¿Consideras que tiene que ver con una voluntad de implantar un mayor control sobre los contenidos en internet?

Existen normas que obligan a que determinados contenidos permanezcan publicados en periódicos y boletines. Y existen otras normas que obligan a que esos contenidos desaparezcan.

Como ejemplo daré el siguiente: Si una persona comete un delito pero es indultada, el perdón que le ha sido conferido es inmediatamente publicado en el BOE. Cuando esta persona busca su nombre en un buscador, su delito y su indulto aparecen publicados en el Boletín Oficial del Estado. A continuación, esta persona solicita que su perdón sea real y que, por tanto, desaparezca la vinculación de su nombre con hechos delictivos (Derecho al Olvido). Puesto que la publicación no puede eliminarse, ni el BOE puede borrarse, lo que se hace en estos casos es incluir la URI de su indulto en el archivo robots.txt del BOE (http://www.boe.es/robots.txt), de forma que la noticia permanezca publicada pero se indique a los buscadores que no se desea que sea incluida en el índice de resultados posibles.

Una de las pocas herramientas legales que parece dar soluciones viables a estos problemas relacionados con el Derecho al Olvido es el archivo robots.txt, excluyendo la opción de privatizar áreas concretas de un sitio web. Los buscadores no están obligados a seguir las instrucciones que aporta este archivo pero se está estudiando la posibilidad de obligarles a seguir las pautas del robots.txt para crear un Internet más confiable y seguro.

Pablo, muchas gracias por respondernos.

Más info sobre el máster, aquí: http://masterenbuscadores.com

Cómo espiar gratis usando GMail + Streak

Captura de pantalla 2014-02-13 00.44.47

Descubre la ubicación de los receptores de tus correos

Es posible rastrear los e-mails que envías, saber si los han abierto, cuántas veces, en qué minuto exacto del día y dónde estaba la persona cuando lo abrió.

Es posible, ¡y es gratis! pero… ¿es legal?

Antes de aportar mi criterio he de decir que me enteré de la existencia de Streak gracias a El Confidencial, con el que colaboré ayer en la investigación sobre los aspectos legales aplicables. El resultado: Cualquiera puede saber dónde estás con un simple correo (El Confidencial).

Ayer instalé Streak en mi GMail personal, de forma gratuita y en menos de 30 segundos. Streak permite monitorizar la apertura de los correos electrónicos que envío, de manera que pueda saber incluso dónde estaba la persona que abrió el e-mail.

Me envié un correo electrónico a mi cuenta profesional, para comprobar el efecto… y, al abrir el correo desde el móvil, recibí un aviso en mi GMail personal en el que se me informaba de todo lo que puedes ver en la imagen de la izquierda.

Básicamente, “Un extraño puede saber dónde estás haciendo que abras un e-mail” (english).

Esto lo podemos hacer -y, de hecho, lo hacemos- sin necesidad de complementos. Cuando recibo determinadas consultas en Abanlex y considero que otra legislación es aplicable, examino la IP del emisor y le redirijo a un abogado cercano al lugar de remisión, sin necesidad de preguntar al cliente su localización. Pero el hecho de que ahora Streak nos lo dé tan fácil… genera un interés incluso excesivo. ¿Y si tengo instalado Streak en la empresa? ¿Valdría como prueba de que un e-mail ha sido abierto? ¡¿Lo podemos usar para marketing?! … ¿Puedo usarlo para espiar a mi mujer?

Aquí mi criterio:

  1. Datos personales: La dirección IP, los datos de geolocalización y la confirmación de una imagen concreta, son datos de carácter personal. El destinatario de esta infomación la relacionará con un correo electrónico determinado, que también es un dato de carácter personal. (art. 3 LOPD)
  2. Supuestos:
    1. Las personas físicas pueden usar esta información sin apenas restricciones o límites legales, siempre que el correo electrónico, que se use para obtenerla, sea parte de una conversación exclusivamente personal o doméstica (art 2 LOPD). El uso debe ser acorde a los requisitos marcados por la LO 1/82 y jamás puede interferir o vulnerar el los límites o las expectativas razonables de privacidad. Los usos y costumbres pueden ser vitales en este punto.
    2. En el resto de casos (empresas, autónomos, partidos políticos…), sí hay restricciones más claras:
      1. Restricciones:
        1. Consentimiento previo del afectado: Los datos solo podrán ser tratados legalmente después de que el usuario haya dado su consentimiento informado (art. 6 LOPD) para que sean obtenidos y usados con un fin determinado por la persona o entidad que sea (art. 5 LOPD). Es decir, el receptor del e-mail tiene que saber, antes de abrir el correo, que su información de geolocalización y apertura del e-mail va a ser conocida por una determinada persona o entidad y va a ser consecuentemente tratada.
        2. Prohibición de la obtención excesiva: Además, del consentimiento referido, solo se podrán recoger para su tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido (art. 4 LOPD).
      2. Permisión:
        1. Comercio electrónico: Las empresas que vendan por Internet sí podrán usar estos datos solo si antes se lo ha consentido el usuario (por medio del contrato, por ejemplo) y solo si el uso es adecuado, pertinente y no excesivo en relación con la venta realizada. Es el caso, por ejemplo, del envío del acuse de recibo, que el vendedor está obligado a remitir al comprador después de que este haya aceptado la oferta. La oferta no puede contener este gif de rastreo, como regla general, porque no lo ha consentido previamente el usuario.
        2. Comunicaciones comerciales por vía electrónica: Solo si el usuario lo ha aceptado previamente, se le podrá rastrear y geolocalizar (art. 21 LSSI). El usuario tiene que saber y haber aceptado que se le monitorice de esta forma, antes de que el comercial envíe la comunicación.
      3. Prohibición: En el resto de casos, su uso está prohibido. No me refiero a que no pueda tratase el dato, sino a que el mero uso y obtención de estos datos está prohibido.
        1. Motivos de la prohibición: o no se obtuvo el consentimiento previo; o, habiéndose obtenido, el tratamiento que se va hacer es inadecuado, no pertinente y excesivo en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
        2. Ejemplos de casos prohibidos:
          1. Spam con rastreo de aperturas
          2. Ofertas promocionales sin permiso del usuario para hacer este seguimiento
          3. Rastreo no permitido previamente por el usuario
          4. Rastreo inadecuado, no pertinente o excesivo.
      4. Excepciones: siempre hay excepciones a las excepciones.
Puedes estar seguro de que alguien te está streakeando si, en el original del mail recibido, encuentras unas líneas similares a las siguientes:
 
1
2
3
4
[div hspace=3D"streak-pt-mark" style=3D"max-height:1px"][img style=3D"width=
:0px; max-height:0px;" src=3D"https://mailfoogae.appspot.com/t?sender=3Dno=
mbre%40gmail.com&amp;type=3Dzerocontent&amp;guid=ristra-de-numbers=
76sd9s9"][font color=3D"#ffffff" size=3D"1"]=R5=00=E9[/font][/div]
Una forma sencilla de prevenir ser streakeado es deshabilitar la visualización automática de imágenes, desde el área de configuración de tu cuenta de correo. En GMail: configuración / deshabilitar imágenes.
 
La tecnología es legal. Y dan ganas de usarla. El problema es cómo se use. Si la ley no lo permite, aunque la tecnología exista, su uso está prohibido.
 
¿A que apetece usarlo?
 
Actualización (6 de marzo de 2014): Mis compañeros de Navaja Negra (@NN2ed_s4ur0n) me han enviado un script escrito en Python que busca en el texto plano de cada mensaje las cadenas “streak-pt-mark” o “https://mailfoogae.appspot.com”, que son las que usa el Streak, y avisa del “remitente” que te lo ha mandado. Lo hace en texto plano, ya que en Gmail aparece ofuscado por el javascript que usa. [Disculpa el “copy+paste”, pero lo has explicado muy bien en pocas palabras]
 
Aún tengo que probarlo, pero viniendo de ellos, funciona. El script (antisetreak.py) es este:
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
#!/usr/bin/env/python
#By s4ur0n (@NN2ed_s4ur0n)
 
import imaplib
 
mail = imaplib.IMAP4_SSL('imap.gmail.com')
mail.login('username@gmail.com', 'Your-password-here')
mail.select()   # Or mail.select('INBOX')
#result, data = mail.search(None, '(X-GM-RAW "Search term... I.e. 1x1.gif"')
result, data = mail.search(None, 'ALL')
 
id_list = data[0].split()
for id in reversed(range(0, len(id_list))):
    email_id = id_list[id]
    result, data = mail.fetch(email_id, '(RFC822)')
    raw_email = data[0][1]
    if ('streak-pt-mark' or 'https://mailfoogae.appspot.com/') in raw_email:
        print raw_email
        print '\r\nWarning!\r\nTraced by: '
        print raw_email[raw_email.rfind('sender=3D')+9:raw_email.find('&amp;amp')].replace('%40','@')
        raw_input('Press ENTER to continue...')
 
mail.logout()

Informe de EEUU sobre la regulación del Bitcoin en 40 países

Captura de pantalla 2014-02-07 17.58.32El informe que escribí para Abanlex sobre los Bitcoin está ahora en manos del Congreso de los Estados Unidos.

¿Sabes lo que es el Bitcoin? Empecé a adentrarme en su funcionamiento en 2010 y en 2011 recibí mis primeros bitcóin. Desde entonces, en Abanlex aceptamos Bitcoin como medio de pago, cosa que interesó recientemente a Expansión. Ahora nuestras facturas muestran el total en euros y en BTC. Una universidad (una de estas) ya ha estudiado la manera de pagarme las clases que doy con Bitcoin. En ICEMD / ESIC explico los sistemas de pago con Bitcoin en mis clases de Derecho del eCommerce. He cambiado mis BTCs por un gorro de ASOS, a través de Bitfash. He usado varios exchangers para adquirir LiteCoin, PPCoin, Bitcoin, Novacoin… e incluso he estado tentado de comprarle a Joaquín Muñoz alguna JoaCoin. En Abanlex asesoro con Joaquín a empresas que comercian con Bitcoin, con la ayuda de mis compañeros de Igualada&Cots y Diké Abogados. Uno de los clientes que tenemos en Abanlex ha presentado una consulta vinculante a Hacienda sobre qué impuestos que debe aplicar al Bitcoin; esta consulta se la hemos preparado Abanlex y Martínez-Echevarría de forma conjunta y ha sido noticia en El Confidencial. La consulta se presenta para un proyecto en el que estamos trabajando (solo desde el punto de vista legal): cajeros automáticos de Bitcoin en España.

Y, entre tanto, publiqué este post: 12 cosas que deberías saber antes de usar bitcoins (La Ley y el Bitcoin)

Parece que Joaquín y yo hemos dado en el clavo: La Biblioteca de Derecho del Congreso de los Estados Unidos (The Law Library of Congress) ha emitido un informe sobre Normativa del Bitcoin en Jurisdicciones Seleccionadas (Report for Congress nº 2014-010233 bajo el título Regulation of Bitcoin in Selected JurisdictionsDescargar en pdf) y nos dedica este párrafo sobre regulación en España:

Spain
Bitcoins have not yet been regulated in Spain and are not considered to be legal currency since they are not issued by the government’s monetary authority. However, they may be considered digital goods or things under the Civil Code [arts. 335, 337 & 345] and transactions with bitcoins may be governed by the rules of barter contained in the Civil Code [art. 1538] according to the analysis of one Spanish law firm [Pablo Fernández Burgueño, 12 Cosas que Deberías Saber Antes de Usar Bitcoins (La Ley y el Bitcoin) [Twelve Things You Should Know Before Using Bitcoins (The Law and Bitcoin)], ABANLEX ABOGADOS (Nov. 27, 2013)]. Merchants who accept bitcoins are required to issue an invoice with value-added tax in euros [Abanlex Abogados].

Participaré en unas charlas sobre el Bitcoin. El título del encuentro es Mesa Redonda sobre el sistema Bitcoin: una alternativa disruptiva, descentralizada y criptográfica frente a las monedas tradicionales. Tendrá lugar en Madrid, el sábado 22/02/14.

Mis compañeros de cartel son de categoría. Espero aprender lo suficiente en estos días para tratar de ponerme a su nivel. Ponenetes: Víctor Escudero Rubio, Ricardo Pérez Marco, Antonio Andrés y Pablo Fernández Burgueño (este soy yo). Asistir al encuentro cuesta 22€ o su equivalente en Bitcoin.

Aquí los datos sobre Mesa Redonda sobre el sistema Bitcoin::

  • FECHA: Sábado 22/02/14
  • HORARIO: 10:00 a 14:30
  • LUGAR: Centro de Negocios Lagasca – Calle Lagasca, 95. Madrid
  • Web para inscripciones

Si alguno va para allá, me encantará saludarle personalmente.

Cómo hacer una auditoría de cookies (Paradoja Epicel)

paradoja_epicel

La Paradoja Epicel se centra en la imposibilidad de obtener un único resultado cierto al tratar de evaluar todos los elementos de un conjunto indeterminado y cambiante. Por @Pablofb

En este artículo trataré de explicar qué se necesita para hacer una auditoría de cookies (Ley de cookies) y cómo se auditan las cookies de una web.

También explicaré por qué creo que la Agencia Española de Protección de Datos ha decidido malinterpretar la Ley, para no sancionar por actos que la propia Ley dice que son merecedores de sanción. (Propuesta de sanción & Sanción)

Y todo ello con mi mayor respeto y afecto al legislador, al que saludo en su propia lengua: Gâkh Golug narku gimbubut lat!

1.- Explicación de la imagen superior

La imagen que ilustra este artículo (arriba) muestra una ecuación matemática cuya incógnita, que es el resultado, solo es posible hallar cuando el número de factores alcanza el infinito. Al no ser posible llegar al infinito, debemos parar en algún momento: Si no comenzamos la operación, obtenemos un 0 absoluto; si paramos tras un +1, obtenemos un 1; si paramos tras un -1, volvemos al 0. Por tanto, debemos asumir que el resultado más certero que podemos dar a la ecuación es un 1/2. Es decir, la incógnita resultante es la mitad de un entero.

Las auditorías de cookies son similares a la ecuación: solo es posible llevar a cabo una auditoría de cookies completa cuando realizas el análisis de todas las cookies de la web, lo cual es imposible. Una web está compuesta por el contenido propio y por todo el ajeno enlazado o integrado: el contenido propio puede estar compuesto de plugins, widgets, iframes, invocadores… y puede estar creado sobre un CMS de actualización automática; y el externo está absolutamente fuera de nuestro control. La instalación de cookies es constante, cambiante y descontrolada. Si no hacemos una auditoría, obtendremos un cero absoluto, lo que implica un incumplimiento flagrante de la Ley. Si hacemos una auditoría perfecta, el resultado puede ser un +1… o un -1, lo cual es un 0 relativo. La consecuencia de la Paradoja de Epicel es sencilla: toda auditoría de cookies resultará en un cumplimiento parcial de la Ley.

2.- ¿Qué es la Paradoja Epicel?

EPICEL es el acrónimo de las palabras “Es Prácticamente Imposible Cumplir Esta Ley”. La Paradoja Epicel demuestra como una auditoría de cookies correctamente realizada solo permite cumplir la ley a medias. Es imposible tener la certeza de haber localizado y descrito todas las cookies que el sitio crea, está preparado para crear o permite crear a otros.

El nombre EPICEL (Paradoja Epicel) es inventado, por supuesto. Publicar aquí lo que deseo es mi voluntad; dárselo a quien quiero es mi privilegio.

3.- Un ejemplo de la Paradoja de Epicel: la invocación

Los contenidos invocados, que aderezan la mayor parte de los sitios empresariales, arrastran cookies de las páginas fuente. Al auditar (una vez más) la web de mi despacho, advertí que una de las páginas instala una cookie técnica (wptouch-pro-cache-state) enviada precisamente desde mi blog: para evitar la subida de una imagen específica que ya estaba publicada aquí, introduje en el post de Abanlex un sencillo código de invocación, de manera que el contenido del blog personal se arrastrase a la web corporativa con cada nueva visita. Sin embargo, además del contenido se arrastra también una cookie.

Los códigos de invocación más comunes son los que copiamos desde los sitios YouTube y Google Analytics, para embeber vídeos y para monitorizar la navegación de los usuarios, respectivamente. En el lateral de este mismo blog podéis ver, en vista HTML, al menos 7 códigos de invocación, que muestran cuadros de Twitter, Facebook y Grooveshark, entre otros.

Captura de pantalla 2014-02-06 18.06.12

Es recomendable usar las opciones de “Mejora de la privacidad” en YouTube, que sustituyen el código de invocación originario por otro que no llama a las cookies

4.- Otro ejemplo de la Paradoja de Epicel: Los iFrames

Los iFrames son marcos a través de los cuales se ve y se puede interactuar con una página diferente, de manera que se te instalan las mismas cookies que se te instalarían visitando esa otra directamente.

A principios de siglo los programadores usábamos bastante los iFrames para salvar obstáculos: mostrar publicidad, presentar un listado de artículos, introducir contenido ajeno… Facebook y Twitter los siguen usando.

A continuación muestro el código de un iFrame que permitiría ver una página de la Wikipedia. Si lo tuviese aquí activado, Wikipedia ya te habría instalado sus tres cookies. Justo debajo pongo el código que realmente he usado para crear el iFrame en el que muestro a Nyan (si quieres disfrutar de Nyan.Cat con música, pulsa aquí).

Opinión: ¿Vamos a obligar a Wikipedia a cumplir una ley absurda española para poder poner su contenido en un iFrame? No podemos, a menos que afirmemos que ofrece un servicio especialmente dirigido a los usuarios españoles o que las cookies que instala son instrumentos tecnológicos ubicados en territorio español. ¿Las webs de España tienen prohibido ahora usar iFrames de prestadores que incumplan la ley de cookies española? Sí, como norma general. ¡Pero qué absurdo!

1
2
3
4
[iframe src="http://es.wikipedia.org/wiki/Iframe"
height="400" width="600"
frameborder="1" scrolling="auto"]
[/iframe]
1
2
3
4
[iframe src="http://www.nyan.cat/cats/original.gif"
height="600" width="100"
frameborder="1" scrolling="auto"]
[/iframe]

5.- ¿Cuánto tiempo lleva una auditoría de cookies?

Las auditorías de cookies pueden parecer sencillas, pero no lo son. Estos son los tiempos dedicados:

  • Sitios web pequeños sin apenas cookies: entre 10 y 20 minutos de análisis.
  • Sitios web complejos con años a la espalda: entre 15 y 25 horas de análisis.

En el caso de la auditoría a una universidad, tardé 12 horas. También es cierto que ahora ya sé las finalidades de muchas de las cookies analizadas, así que la próxima espero tardar menos.

6.- ¿Cómo es posible que una auditoría requiera tanto tiempo?

Una auditoría de cookies es compleja por los deberes que para el auditor conlleva:

  • Debes localizar las cookies: las cookies no se instalan al visitar la home, sino al visualizar una determinada página o realizar una acción específica. Para ello, debes rastrear todas las páginas del sitio principal y todas las de los sitios secundarios. En cada página, debes accionar todos los mecanismos puestos a disposición del usuario.
  • Debes acceder hasta al lugar más recóndito de la web: Es posible que se instale una cookie al publicar un comentario, llenar el carrito, solicitar información, suscribirse al boletín, acceder al correo o revisar la documentación de un curso. Debes tener acceso completo a todo el sitio web… y utilizarlo.
  • Debes averiguar la finalidad de cada cookie: Cada cookie tiene un propósito. No debes inventártelo, sino averiguarlo. En ocasiones, encontrarás este propósito en la página de cookies del dominio del que se instala. También puedes probar en la web del responsable, en la web del titular del dominio, en webs de hackers, en foros de debate o en buscadores. Los desarrolladores informáticos del sitio que auditas deben cooperar contigo y darte esta información, si la tienen. Puedes preguntar al responsable de la aplicación que genera la instalación. Y, si no se localiza la finalidad, debes requerir la supresión inmediata de la solución que la genera.
  • Debes anotar los detalles de las cookies: cada página mostrará unas cookies concretas y potencialmente diferentes a las que se mostrarán en la siguiente página que visites. Debes anotar los detalles de todas las que se muestren y, en particular, los siguientes:
    • Nombre de la cookie
    • Dominio del que se descarga
    • Finalidad de la cookie
    • Vigencia hasta su expiración
    • URI de su localización, a efectos de verificación de la existencia de la cookie
  • Debes visitar el sitio en todas sus versiones: Un sitio con diseño adaptable (en inglés, responsive web design) cambia su comportamiento en función del dispositivo que se use para visualizarlo. Es posible que cambie incluso el dominio y presente una página completamente diferente. Deberás hacer una auditoría específica por cada adaptación significante de la que te advierta el cliente o que tú detectes. Ten en cuenta que hay versiones para escritorio, móviles, tabletas, videoconsolas y, dentro de poco, relojes y gafas.
  • Debes auditar el sitio desde diferentes navegadores: Algunos sitios web se presentan de forma diferente en función del navegador (o de la versión del navegador) que el visitante use. Las etiquetas se encuentran bien indicadas en el HTML de cada página. Es posible que la instrucción sea común para todo el sitio o que sea específica para páginas con contenido enriquecido.
  • Debes hacer la auditoría sobre todos los dispositivos de almacenamiento y recuperación de datos: Además de las cookies, también puede haber píxeles de seguimiento, web beacons, etiquetas ETag y ciertas librerías, que están regulados por la misma norma que regula las cookies. En este caso, requerirás de la ayuda del equipo técnico que ha desarrollado la página.
  • Debes auditar todos los sitios web del cliente: Es posible que el cliente tenga un sitio web principal, pero también un blog en WordPress.com, un perfil de empresa con noticias propias en Twitter y una galería de productos a la venta alojada en Facebook con enlaces de compra en el pie de cada imagen. En estos casos, deberás, al menos, conocer el funcionamiento de la tecnología de los terceros empleada para alojar páginas de empresa y perfiles profesionales. Además, deberás auditar los complementos y herramientas instaladas debido a que suelen hacer uso de cookies analíticas, publicitarias y de rastreo.

 7.- ¿Qué herramientas necesito para hacer una auditoría de cookies?

Debes tener varios navegadores limpios, preparados para este trabajo.

Cada auditor tiene sus preferencias en cuanto a navegadores. A mí me gusta usar para este trabajo Firefox Portable y Google Chrome, ambos con Firebug instalado. Suelo emplear ventanas de navegación privada. También trabajo con el Firefox clásico.

Para tener una primera idea de lo que voy a encontrar, a veces uso otras herramientas, como Attacat Cookie Audit Tool en Chrome o Cookie Monster en Firefox. Son útiles, pero no 100% confiables.

Es importante que sepas interpretar HTML. Es básico que sepas leer inglés avanzado. Es imprescindible que tengas interés por descubrir y originalidad para encontrar soluciones.

 8.- ¿Qué pasos he de dar para hacer una auditoría?

 Los pasos para hacer una auditoría de cookies son los siguientes:

  1. Genera una lista con todos los sitios a analizar, incluidos los subdominios y los blogs desvinculados.
  2. Obtén información sobre el CMS usado en cada sitio y sobre la política de actualización de plugins.
  3. Visita todas las páginas de un mismo sitio, haciendo uso de una ventana de navegación privada, usando un compilador de cookies. Obtendrás así una primera impresión. ¡Naturalmente, has de navegar sin estar logueado en redes sociales!
  4. Usa una ventana de navegación privada, en Firefox limpio solo con Firebug instalado, para visitar todas las páginas de un mismo sitio. Si por error visitas una página que esté fuera del dominio, deberás empezar de cero. Sugiero que utilices Firefox Portable para que puedas usar una instalación nueva en cada auditoría.
  5. Recopila toda la información concerniente a las cookies que localices en cada una de las páginas visitadas: nombre de la cookie; dominio del que se descarga; finalidad de la cookie, vigencia hasta su expiración; y URI de su localización, a efectos de verificación posterior de la existencia de la cookie.
  6. En caso de que desconozcas la finalidad de una cookie, averíguala. Es posible encontrar casi todas las finalidades de las cookies en este buscador, en la Cookiepedia o en páginas de hackers como Stackoverflow. Algunas empresas responsables también publican información sobre sus cookies en sus propios avisos legales y otras facilitan correos electrónicos de contacto para que se lo puedas preguntar.

Una vez finalices la auditoría de cookies, debes informar en el aviso legal sobre las cookies que has descubierto y generar un sistema de bloqueo de las cookies no técnicas hasta que el usuario haya dado su consentimiento para la instalación. Recuerda que si alguna cookie se usa para tratar datos personales, deberás aplicar, además, la LOPD. He escrito algunos post que pueden servir sobre cómo cumplir la ley de cookies, sobre la propuesta de sanción por incumplir y sobre las primeras multas por no cumplir la Ley de cookies.

La verdad es que no sé cómo hay empresas que venden auditorías de cookies por 200€. Supongo que será lo siguiente que investigue.

Hasta aquí hemos visto la parte sencilla de una auditoría de cookies. Pero lo cierto es que es bastante más complicada. En una auditoría, que he concluido hoy he tenido que analizar, además del sitio web principal, 6 subdominios, 5 áreas privadas, 2 secciones de venta, 4 blogs externos (uno de ellos en Tumblr, otro en WordPress.com, uno en Blogger y un último en un servidor propio con WordPress como CMS instalado), página de empresa en Foursquare, LinkedIn y Facebook y perfil en Twitter y Pinterest. El perfil en Facebook tiene complementos de terceros instalados; en uno de los blogs integraba vídeos y textos de proveedores como Scribd y Slidshare; el blog en servidor propio cuenta con un CMS que se actualiza automáticamente y con más de 20 plugins de proveedores externos, que instalan cookies como si estuvieran repartiendo frutas escarchadas sobre un roscón; y el sitio web principal tiene instaladas soluciones de publicidad inteligente y herramientas que permiten compartir noticias y posts. ¡El número de cookies localizado es de 93! 32 de ellas son publicitarias y 28 envían información personal del usuario a empresas que mi cliente desconoce… o desconocía. 2 se instalan unas veces y otras no. Y hay 4 de las que apenas tenemos información.

El problema es el siguiente: los prestadores pueden estar cambiando las cookies que instalan ahora mismo.

9.- Consecuencias de la Paradoja de EPICEL

Es prácticamente imposible cumplir esta ley de cookies. Por este motivo, la AEPD hace una interpretación interesadamente errónea, pero agradecida, de los artículos 22.2 y 38.4.g de la LSSI, concluyendo que la información debe ser entregada antes de la instalación de cookies pero que el incumplimiento de esta obligación de información previa no es sancionable.

El art. 22.2 LSSI obliga a los prestadores a ofrecer información completa, clara y previa a la instalación de cookies. El 38.4.g prevé una sanción por el incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el artículo 22.2.

Si la AEPD se ciñese a la literalidad de la Ley, tendría que sancionar a las empresas que tienen página de empresa en Facebook o cuenta en Twitter, por haber elegido una tecnología que brea a sus usuarios con cookies de terceros sin ofrecerles información previa.

Afortunadamente, la AEPD ha decidido malinterpretar la Ley afirmando en su resolución que ofrecer información de forma incorrecta (es decir, solo en un aviso legal después de haber instalado todas las cookies posibles al usuario) es ilegal pero no es sancionable. La AEPD basa su interpretación en la imposibilidad de sancionar la falta de consentimiento, obviando que lo que debe sancionar es la falta de información previa, clara y completa.

En conclusión: La AEPD, órgano sancionador, ha decidido (según interpreto leyendo el literal de su resolución) que es posible incumplir la Ley, en relación con las cookies no técnicas, de estas formas:

  • Es ilegal, pero no sancionable, no ofrecer información previa a la instalación de cookies, siempre que se ofrezca después de la instalación de forma clara y completa.
  • Es ilegal, pero no sancionable, tener página o perfil en redes sociales y plataformas de terceros, como WordPress.com, que instalen cookies sin avisar, pero tengan un buen aviso informativo de cookies que el usuario pueda ver después.
  • Es ilegal, pero no sancionable, no obtener el consentimiento del usuario antes de instalarle cookies.
  • Es ilegal, pero no sancionable, instalar al usuario todas las cookies que consideres, manteniendo escondida en la web toda la información completa y clara sobre las mismas.

Este asunto lo explico con más detalle en el post “Primeras multas por vulnerar la Ley de Cookies“.

Esta norma de cookies es la mayor estulticia que el legislador ha podido sacarse de la manga. ¿Tiene sentido que exista una norma tan absurda como esta? ¿Una norma creada solo para sancionar? ¿Una norma injusta con los ciudadanos y con las empresas?

Si el legislador desea solucionar este asunto de las cookies, puede optar por soluciones más sensatas. Por ejemplo, podría obligar a los prestadores con su sitio en un servidor propio a usar tecnologías similares a Do Not Track; podría recomendar a los navegadores que incluyan en sus nuevas versiones un sistema específico que permita a los usuarios navegar sin ser rastreados; podría obligar a ofrecer información clara y completa (pero no previa) sobre las cookies propias que se instalan, no sobre las ajenas. Podría dejar de intentar controlar la tecnología, asumir que existe, entender que Internet es una ventana al Mundo y empezar a desarrollar normas que se adapten al estado de la ciencia. Necesitamos legisladores sensatos que ayuden a potenciar el comercio electrónico.

10.- Reformas propuestas a la Ley de Cookies:

Está en proceso una reforma de la ley de cookies, que implicaría la supresión de la expresión “siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto” del párrafo 2º del artículo 22.2, lo cual es una chorrada. El párrafo quedaría como sigue:

“Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones”.

El legislador, ¿qué pretende con este párrafo? ¡¿Intenta dejar sin contenido el primero del 22.2?! Creo que no se da cuenta de que este párrafo obliga al desarrollador de sitios web a crear una tecnología que discrimine navegadores, instalando o no cookies en aquellos que cuenten con un área de configuración de cookies y no instalándolas en aquellos simples que no permitan la configuración, como Browser Lite, para iPhone y otros tantos. Esta revisión no cambia el hecho de que cumplir la ley es imposible, con o sin esa expresión que ahora quieren suprimir. Esta modificación de la Ley se merecerá una oda más a la ineptitud legislativa.

<

p>Mi recomendación al legislador está al final de esta secuencia.