Pablo F Burgueño

5 años de carcel por cometer un asesinato virtual

Una profesora japonesa de piano de 43 años asesinó virtualmente hace unos días al avatar con quien se había casado en el videojuego Maple Story. Los hechos ocurrieron tras comprobar que éste se había divorciado repentinamente de ella, sin avisar. Ahora la profesora se enfrenta a una condena de hasta 5 años de cárcel o sanción de 5.000 dólares por cometer un delito de cibercrimen (leído en Kotaku).

Maple Story es uno de tantos universos virtuales que existen en Internet en los que cualquier persona con tiempo e imaginación puede participar. La magia de este tipo de metaversos reside en la posibilidad de construir un mundo ideal personalizado: se puede escoger la apariencia física, nombre, amistades, vivienda, trabajo, mascotas e incluso casarse o acudir a fiestas y banquetes con otras personas de cualquier parte del mundo que estén conectadas al videojuego al mismo tiempo.

La mujer japonesa de nuestra historia creó su personaje (también llamado “avatar”) en el videojuego y tiempo después, lo casó con el avatar de otra persona, con la intención de vivir felices y juntos para siempre. Pero  repentinamente el divorció llegó… y ella no pudo soportarlo, así que decidió asesinar virtualmente a su exmarido: hackeó y accedió a su cuenta de usuario, borró su historial, partidas guardadas, contactos y, por último, eliminó la propia cuenta.

El exmarido virtual -en realidad, el dueño del personaje asesinado- acudió a la policía a denunciar los hechos. El resultado es un juicio penal en el que se acusa a la profesora de un delito informático de hacking, penado con 5 años de cárcel o multa de 5.000 dólares.

¿Qué es un cibercrimen?

Gran parte de la doctrina anglosajona señala que es cibercrimen todo delito cometido en el mundo real que tiene repercusión en el mundo virtual. En la cultura jurídica continental se prefiere restringir la definición únicamente a aquellos que se comentan mediante herramientas informáticas.

De cualquier forma, el asesinato virtual no constituye en sí un delito; en cambio, sí lo hace el hacking, la vulneración de sistemas informáticos, el acceso indebido a claves o contraseñas de terceros para cometer el cibercrimen, entre otros.

¿Son muy comunes los cibercrímenes?

Desafortunadamente, son muy frecuentes y afectan a cada vez más aspectos de nuestra vida.

Los más conocidos son los delitos de estafa, atentados contra la propiedad intelectual, pornografía infantil real y virtual, delitos contra la intimidad… Todos ellos de extraordinaria gravedad.

Cibercrímenes curiosos

• Las sedes del PP y el PSOE en Second Life fueron incendiadas durante las últimas elecciones
• Roban dos sillas del kiosco abierto por El País en Second Life
• Vándalos destrozan la carpa virtual del Ramadán
• Un grupo de penes rosas atacan a Anshe Chung, millonaria inmobiliaria de Second Life
• Se producen violaciones virtuales en Bélgica
• El indestructible Lord British es asesinado brevemente a manos de Rainz en Ultima Online.
• Unos graciosos sumergen bajo el agua la réplica de La Casa Encendida a las pocas horas de inaugurarse.

La Protección de datos en el ámbito de los Colegios Profesionales II

Antonio Troncoso, Director de la APDCM, en la IV Jornada de Protección de Datos en los Colegios Profesionales, organizada por la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM), enumeró los siguientes principios fundamentales de la Protección de datos:

- Calidad de los Datos: En referencia a los Colegios Profesionales, se debe tener en cuenta que los accesos de departamentos no son cesiones, sino simples “accesos internos” que respetan el principio de calidad.

- Información: La obligación de colegiarse no excluye la necesidad de informar correcta y suficientemente.

- Consentimiento: A este respecto, Troncoso destacó las implicaciones de la previsión incluida en la Directiva 95/46.

- Seguridad de la Información: Debe prestarse especial atención a los datos impresos en papel y las medidas de seguridad que hayan de implantarse en relación a este soporte.

La comunicación de datos en los Colegios Profesionales:

La normativa aplicable de protección de datos dispone que sólo se podrá excepcionar la norma de no comunicación si hay consentimiento o habilitación legal para ello. Las cesiones para el control deontológico sólo se exceptúan en procesos sancionadores.

En cuanto a las sanciones propiamente dichas, éstas no pueden comunicarse a terceros. En el caso de que la sanción consista en que se aparte al infractor de la profesión, podrá comunicarse el cese pero no el motivo de éste, excepto en los casos en que medie una relación negocial o exista habilitación legal que lo permita. Por tanto, en el fichero de colegiados podrá aparecer el nuevo estado de “no ejerciente” del profesional, pero no el motivo que haya dado lugar al cambio. Si el Colegio lo permite, el colegiado no ejerciente puede decidir no aparecer en el listado público. En cambio, el profesional colegiado ejerciente debe aparecer en todo caso debido al carácter público del listado.

Por lo que respecta a la comunicación y compartición de datos entre dos o más colegios profesionales, puede llevarse a cabo si se circunscribe a los ficheros de estado de colegiación, estado deontológico y otros similares.

El fichero de colegiación no podrá en ningún caso ser utilizado para ejercer potestades de derecho privado, sino únicamente aquellas de carácter público o administrativo.

Aquí finalizó la ponencia de Antonio Troncoso. Ahora puedes ir a la entrada principal de esta Jornada para acceder al resto de ponencias.

La Protección de datos en el ámbito de los Colegios Profesionales

Los Colegios profesionales gozan de un carácter mixto o también llamado bifronte por cuanto que son al mismo tiempo administración pública y asociación de particulares. De esta forma se explica que, si bien realizan actividades que pueden calificarse de administrativas, sus actos se rijan por Derecho Privado.

Como ya he comentado en otras ocasiones, el derecho de protección de datos exige, para poder ser aplicado, la existencia de datos de carácter personal, pero también que haya tratamiento. En este sentido, es indudable que los Colegios Profesionales no sólo cuentan con grandes bases de datos de carácter personal sino que también los manejan con finalidades diversas, unas veces para el ejercicio de potestades de derecho público y otras para el resto de potestades. Esta diferencia en la finalidad del tratamiento -o más bien en el origen de la habilitación- otorga al fichero su naturaleza pudiendo ser pública (para el caso de que el tratamiento obedezca al ejercicio de potestades públicas) o privada (para el resto de casos).

En principio, la diferenciación entre unos y otros no debería ser motivo de discordia o discusión, pero la realidad nos muestra que hay supuestos en los que no es tan sencillo determinar la naturaleza de la potestad y, por tanto, la del fichero.

Algunos supuestos de fácil determinación son, para los ficheros públicos, los siguientes:

• Ficheros de colegiados
• Ficheros de régimen disciplinario
• Ficheros relativos a la elección, constitución y funcionamiento de los órganos de gobierno
• Fichero para el control del pago de la cuota colegial

Como podemos apreciar en los ejemplos expuestos, la actividad realizada con base en estos ficheros es puramente administrativa (en especial los dos últimos). Sin embargo, no basta como que una actividad determinada esté prevista en la ley sino que, además, debe ser revisable por la jurisdicción contencioso-administrativa para que pueda otorgarse a su fichero el calificativo de público.

En el ámbito de los ficheros privados, destacan aquellos destinados a la gestión interna del colegio (como, por ejemplo, el fichero de nóminas, de contratación, recursos humanos, etc.) y los que ofrezcan servcicios de valor añadido (mutualidad, seguros…).

En cualquier caso, la delimitación del carácter público o privado es fundamental debido a que el régimen jurídico aplicable a uno y otro es diferente. Por tanto, se requiere práctica, conocimientos jurídicos especializados y un poco de pericia para determinar correctamente esta naturaleza.

Hasta aquí llega la primera parte de la ponencia de Antonio Troncoso, Director de la APDCM, expuesta en la IV Jornada de Protección de Datos en los Colegios Profesionales, organizada por la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM)

Ahora puedes leer la segunda parte o ir directamente a la entrada principal de esta Jornada para acceder al resto de ponencias.

Jornada sobre protección de datos en colegios profesionales

Ayer tuvo lugar la IV Jornada de Protección de Datos en los Colegios Profesionales, organizada por la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM). El evento congregó a decenas de juristas y “profesionales especializados” del sector hasta cubrir el aforo del salón de actos del Ilustre Colegio Oficial de Médicos de Madrid (ICOMEM).

Abrió la sesión Francisco Granados, Consejero de Presidencia, Justicia e Interior de la Comunidad de Madrid, haciendo gala de su capacidad de expresar multitud de conceptos en pocas palabras y con especial claridad. Explicó el nacimiento de la Agencia a través de referencias legislativas (art. 2 Ley 8/2001 de la CAM) y a continuación expuso brevemente los logros de ésta en los últimos años, de entre los que destaco el hecho de pasar de un 14,3% de Colegios con ficheros inscritos en 2003 a un 100% en 2007, cifra que naturalmente se mantiene e incluso se renueva por medio de continuas modificaciones, bajas y altas de ficheros (como media, cada colegio tiene 5 ficheros inscritos).

A continuación, Jualiana Fariña, Presidenta del ICOMEM, dio la bienvenida a los asistentes y agradeció la presencia de los ponentes, de los cuales el primero fue Antonio Troncoso, Director de la APDCM, y le siguieron Emilio Aced (Subdirector General de Registro de Ficheros y Consultoría de la APDCM) y Carmen Martínez (Consejera Técnica - Responsable de los Colegios Profesionales en la APDCM).

• La Protección de datos en el ámbito de los Colegios Profesionales (Parte I - Parte II)

El Gran Timo de los SMS Premium

Los SMS premium se han convertido en una forma de obtener ingresos extraordinarios a través de un sencillo sistema de micropagos.

El negocio consiste en ofrecer al usuario de telefonía móvil una serie de servicios y contenidos digitales (juegos, tonos, fondos de pantalla) para su terminal, que se pagan mediante el envío de una serie de mensajes de texto o sms. El precio de éstos se incluye en la factura del mes y tienen un coste muy superior al habitual: un sms tradicional cuesta 0,12€; en cambio, un sólo sms premium puede llegar a alcanzar 1,20 euros.

A pesar de la profunda crisis que estamos atravesando, el negocio de los sms premium está resultando uno de los más exitosos y de mayores beneficios, según se desprende de informes económicos de las propias compañías: Mblox gestiona más de 500 millones de dólares al año ($500.000.000) en transacciones vía móvil. Esto es debido a varios factores entre los que se encuentran la necesidad artificial de personalizar el terminal y consumir contenido digitales; pero también la oscuridad en las condiciones de contratación, los desinformación sobre procedimientos para cursar una baja, los precios de los sms…

La recepción de mensajes con coste:

Una de las modalidades más lucrativas de servicios sms premium consiste en la recepción por parte del cliente de mensajes con coste: El usuario, animado por el sorteo de un coche o un jugoso premio en metálico, envía la palabra ALTA a un número de 4 cifras. Inmediatamente, el número de móvil de este usuario pasa a formar parte de una lista de distribución a la que la empresa X enviará un número indeterminado de mensajes por los que cobrará entre 0,30 y 1,20€ por cada sms recibido por los usuarios.

El engaño reside en que al cliente nunca se le avisa de que va a suscribirse a un boletín de pago por el que va a recibir 15 mensajes por semana, al coste de 1 euro por mensaje recibido. En otras ocasiones, sí se le advierte pero por medio de una frase en scroll horizontal al pie de la pantalla, una ventana emergente o similares métodos de difícil lectura. Asimismo, aunque resulta habitual que la compañía responsable del envío de los SMS remita al usuario en una primera comunicación, tras el alta de éste, las instrucciones para gestionar la baja del servicio, los usuarios suelen eliminar siempre este mensaje a su recepción, por lo que a partir de ese momento no tendrán ni podrán conseguir información sobre cómo darse de baja.

La desinformación es la baza principal con la que juegan estos servicios premium. Y la mejor forma de lograrla es mediante el empleo de datos falsos de contacto, oficinas de información sin personal que hable español (el idioma del cliente) y una larga lista de intermediarios nacionales y extranjeros que hacen practicamente imposible al usuario encontrar la fuente de los mensajes.

Uno de los ejemplos más recientes que he tenido la oportunidad de estudiar es el de la empresa TMGES, responsable del envío de sms premium con coste para el cliente. A continuación presento un breve resumen de datos y conclusiones sobre el caso:

La empresa TMGES no tiene página web informativa ni consta en los directorios de empresas disponibles al público. Tampoco existe registro de su base de datos personales en la Agencia Española de Protección de Datos ni está inscrita en el Registro Mercantil. Sin embargo, es el origen de miles de mensajes de texto que cada día hacen de los usuarios de terminales móviles en España un infierno. Esta empresa envía sus mensajes desde el número 7840. Y más tarde descubrimos que para cursar orden de baja había que enviar un sms con la palabra BAJA al mismo número (mensaje que, por su puesto, la empresa cobra al precio de 0,30€). ¿Pero quién más está detrás de TMGES?

Los intermediarios generan desinformación:

Los intermediarios son la clave de la cadena de desinformación urdida por las compañías de SMS premium para mantener enganchados a los clientes a sus servicios. En el caso de TMGES, encontramos un gran número de ellos. Éstos son los principales intermediarios que encontramos, en sentido inverso a nuestra indagación:

• TMGES: Ésta es la empresa responsable del envío de los sms premium. A partir de aquí, tiramos del hilo para descubrir a los intermediarios:
• Wixawin: Para poder gestionar la baja de los SMS enviados por TMGES tuvimos que contactar con Wixawin a través de e-mail (info.es@wixawin.com), puesto que el número teléfono de contacto facilitado por esta empresa (902550912) resultó ser falso.
• Telmex Argentina: La empresa Mblox nos facilitó un número (900967660) de Telmex Argentina para gestionar la baja, que resultó ser también falso.
• Mblox: Ésta empresa del Reino Unido tiene en España una pequeña oficina comercial no abierta al público. En su número de atención al cliente español (914146592) atienden sólo en inglés y niegan toda responsabilidad en cuanto a los sms premium, aunque se reconocen intermediarios del envío.
• Telefónica Movistar: Información Telefónica (1004) y el Servicio de Atención al Cliente Movistar confirman que la empresa responsable es Mblox. Y que las gestiones de baja deben tramitarse a través de esa empresa final.

Consejos para no caer en el engaño de los SMS Premium:

1. Evita siempre los servicios basados en sms premium.
2. Desconfía de los concursos y sorteos que requieran enviar un SMS para jugar.
3. Evita aquellos que requieran enviar la palabra ALTA. Esta palabra es la más usada en servicios de suscripción de pago.
4. Antes de enviar un mensaje, consulta detalladamente las condiciones del servicios: Coste por mensaje, número de sms necesario para descargar el contenido o para participar en el sorteo, etc.
5. Marcate un límite económico: no envíes mensajes de un coste superior a 0,30€, por ejemplo.
6. Guarda siempre el primer mensaje recibido ya que suele contener las instrucciones para cursar la baja.

Consejos para salir del engaño de los SMS Premium:

1. Darse de baja: El método más habitual para darse de baja de un servicio de SMS Premium es enviar BAJA al número de 4 dígitos desde el que recibes los mensajes.
2. Si darse de baja resulta imposible, consulta con una Asociación de Consumidores para que puedan ayudarte a ejercitar una acción de cesación (es decir, para que logren que dejes de recibir mensajes).
3. Recuperar el dinero estafado:
   1. Previo a la reclamación: Guarda las facturas que ya te hayan cobrado. Si aún quedase alguna por cobrar, habla con tu operador móvil para que te envíe una “factura desglosada”, de tal forma que puedas decidir qué gastos pagar y cuales no de los consignados en la misma.
   2. Reclamación previa: Se debe dirigir reclamación por escrito a la empresa responsable del envío de los SMS Premium. En caso que se vaya a interponer finalmente una demanda por vía judicial es importante que quede constancia documental de esta primera reclamación a la empresa prestadora del servicio no solicitado. Por lo tanto, recomendamos realizar la comunicaión vía burofax con certificación de contenido y acuse de recibo a su domicilio social. También es recomendable formular la reclamación, adicionalmente, vía correo electrónico.
   3. Consulta sobre vías de reclamación: Se recomienda dirigir escrito de consulta sobre vías de reclamación a la Dirección General de Consumo de tu Comunidad Autónoma y a la Oficina Municipal de Información al Consumidor (O.M.I.C.) de tu localidad.
   4. Reclamación a través de Asociaciones de Consumidores: Estas asociaciones tienen, por lo general, más fuerza ante órganos decisorios y pueden entablar acciones conjuntas con las reclamaciones de sus asociados. Consulta las que Asociaciones que hay en tu Comunidad en la página de Consumo.
   5. Reclamación judicial: Se desaconseja excepto en casos de cuantías elevadas. Las vías de reclamación judicial son la penal por delito de estafa (que debe superar los 400€) y la civil.

Espero que esta breve explicación sobre los SMS Premium y la guía sobre cómo evitar la estafa os sirva de ayuda. Todos los comentarios, sugerencias y consejos son bienvenidos.

Aviso: No todos los servicios sms premium son estafas.

Las Sentencias no son fuentes accesibles al público

Las Sentencias son públicas. Entonces… ¿Puedo mencionar en mi blog el nombre de un Juez, si estoy analizando una de las sentencia que dictó?

Las sentencias judiciales son públicas, pero no están consideradas como fuentes accesibles al público, según la actual redacción del artículo 3 de la Ley Orgánica 15/1999 y del 7 de su Reglamento de Desarrollo. Por lo tanto, no puede obtenerse (ni publicarse) ningún dato de carácter personal recogido en ellas.

Caso Práctico:

El pasado 15 de julio escribí un artículo titulado Nuevo posit: Jueces de Nuevas Tecnologías, referente a la sentencia que condena a Julio Alonso al pago de una indemnización a la SGAE por no censurar algunos comentarios que sus lectores habían dejado en su blog.

Si os fijáis, en lugar de poner el nombre de los Magistrados, sustituí éstos por unas XXXXXXX. ¿Por qué?

En el post, mencionaba y enlazaba la Sentencia condenatoria del Juicio Ordinario 743/07 y otra sentencia más, la de 26 Feb. 2007 de la Audiencia Provincial de Madrid. Ambas citas están recogidas en la imagen que ilustra esta entrada, recuadradas en verde, precedidas por lo que pudo haber sido el nombre y apellidos del Magistrado Juez de cada una de ellas (recuadrados en rojo). Siguiendo dichos enlaces se puede llegar fácilmente a averiguar quiénes fueron los ponentes en cada uno de los juicios. Por lo tanto, a pesar de no estar escrito el nombre, la mención indirecta podría interpretarse como dato de carácter personal, según el artículo 5.f del Reglamento de desarrollo de la Ley 15/99, ya que se puede identificar a una persona sin más esfuerzo que el que supone hacer un click:

f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

Debido a que el caso me estaba produciendo alguna que otra duda existencial, elevé una consulta a la Agencia Española de Protección de Datos. Estas fueron sus respuestas:

• Una sentencia no es una fuente accesible al público.
• No pueden obtenerse ni publicarse datos que se hallen en una sentencia.
• En un artículo periodístico sobre una determinada Sentencia, no se puede nombrar al Juez ni a ninguna de las partes intervinientes. No obstante, puede que, en algún caso, quepa alegar el Derecho a la Información para noticias de actualidad.
• Poner un enlace al lugar donde se encuentra el nombre del Magistrado Juez es una práctica correcta.

Por lo tanto, yo ahora podría deciros que “un Juez” ha dictado una sentencia, podría deciros qué sentencia es, enlazarla, mostrárosla o, incluso, darosla y señalaros el nombre del Juez, ¡pero no puedo escribirlo en mi blog!

Debate: ¿El Derecho de Protección de Datos supera al Principio de Publicidad de las Sentencias?

En mi opinión, hay determinados sujetos y colectivos, actores en juicio, sobre quienes el Derecho de Protección de Datos debe prevalecer siempre, como, por ejemplo, los menores de edad, las víctimas de abusos sexuales, las personas que hayan sufrido malos tratos…

En cuanto a los abogados y procuradores considero que siempre deberían quedar protegidos por el Derecho de Protección de Datos, a pesar del Principio de Publicidad.

En cambio, en el caso de Jueces y Magistrados, no veo el motivo o la razón por la cual sus nombres deban quedar ocultos. Estas personas o Instituciones públicas imparten justicia en nombre del Pueblo. En muchos casos llegan incluso a determinar o instaurar criterios jurídicos de interpretación legislativa. Sus nombres aparece como referencia en bases de datos de jurisprudencia, mementos, libros de derecho, anuarios… ¿Tiene sentido mantener este límite sobre la publicación de sus nombres en medios de comunicación? En mi opinión, no lo tiene.

Pero, si bien considero que las Sentencias deberían incluirse en el elenco de fuentes accesibles al público (al menos, para finalidad informativa y en referencia a los Magistardos y Jueces), la realidad es que no lo están, y habrá que actuar en consecuencia.

Aquí os dejo el artículo 7 del REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, para que consultéis qué fuentes están actualmente consideradas como accesibles al público:

Artículo 7. Fuentes accesibles al público.

1. A efectos del artículo 3, párrafo j) de la Ley Orgánica 15/1999, se entenderá que sólo tendrán el carácter de fuentes accesibles al público:

a) El censo promocional, regulado conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre.

b) Las guías de servicios de comunicaciones electrónicas, en los términos previstos por su normativa específica.

c) Las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo. La dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de Colegios profesionales, podrán indicarse como datos de pertenencia al grupo los de número de colegiado, fecha de incorporación y situación de ejercicio profesional.

d) Los diarios y boletines oficiales.

e) Los medios de comunicación social.

2. En todo caso, para que los supuestos enumerados en el apartado anterior puedan ser considerados fuentes accesibles al público, será preciso que su consulta pueda ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación.

Nota: En el caso del Nuevo posit: Jueces de Nuevas Tecnologías, podría haber alegado el Principio de calidad informativa y el de publicidad, entre otros. Pero quise dejarlo así para dar pie a esta explicación que, seguro, a muchos les abrirá los ojos sobre lo irracional que puede llegar a ser la normativa actual de protección de datos.

Nuevo posit: Jueces de Nuevas Tecnologías

Hace unos días, la blogosfera entera se estremecía al escuchar a la Ima. Sª Magistrada Juez del Juzgado de Primera Instancia nº Cincuenta y Cinco de Madrid, Dña. XXXXXXXXXXXX denominar positero a quien comenta una entrada de un blog y posit al comentario dejado (Juicio Ordinario 743/07):

Los hechos en los que se fundamenta la demanda se concretan fundamentalmente en los comentarios, llamados posit y positero a quien lo hace

La expresión tiene delito, pero más delito tiene el que sea la segunda vez que un Magistrado cometa esta falta grave de comprensión de Internet y de su comunidad de usuarios. Así, el Iltmo. Sr. D. XXXXXXXXXX, Magistrado de la Audiencia Provincial de Madrid, declaraba en su Sentencia de 26 Feb. 2007:

Los hechos por los que ha sido condenado el recurrente son relativos a comentarios, llamados posit y positero a quien lo hace, realizado el día 18 de abril de 2006 por persona no identificada.

La sentencia en la que se encuentra esta aberración lingüística de Dña. XXXXXXXX es la que condena a Julio Alonso por no censurar determinados comentarios contra la SGAE en su bitácora personal. Se trata, como bien señala Chiki en su blog (del que también he tomado la imagen -ligeramente modificada por mí- que ilustra esta entrada), de la consecuencia lógica de permitir que “Jueces analógicos” dicten “sentencias sobre hechos digitales”.

Casi un tercio del espacio que la sentencia dedica a los Fundamentos de Hecho no es más que un “copy paste” de otras sentencias y de páginas de internet; un intento desesperado de la Magistrada Juez por comprender qué es Internet, en qué se diferencia un blog de una página web y, mucho más complicado para ella -supongo-, determinar cuáles son los límites y responsabilidades técnico-legales de un “prestador de servicios de intermediación”.

Imaginémonos que, en un juicio contra un conductor, para determinar si su conducción ha sido temeraria, la Magistrada Juez tuviese que averiguar qué es una carratera y cuáles es la diferencia entre un coche y una carretilla. Patético, ¿no? Pero más patético resultaría si, haciendo alarde de su absoluto desconocimiento del medio, inventase definiciones absurdas o acudiese directamente al Rincón del Vago (con todos mis respetos) para copiar y pegar la primera definición que salga en el buscador.

Para seguir un poco en la misma línea de cosas ridículas que hacen los jueces analógicos, aquí tenéis las más curiosas (todas ciertas) de las que he tenido conocimiento:

• Juez a perito: Si tengo un ordenador sin teclado, ¿qué hago?
  • Respuesta del perito: Poner un teclado
• Juez une un CD a la documentación de un caso. Pero lo une ¡atando una cuerda al CD y el otro extremo al canutillo de los documentos!
• Juez grapa disquetes flexibles de 5 1/4″ a los autos, para que queden unidos.
• Se le muestran al Juez dos disquetes de 90 mm. o 3 1/2″ para determinar la identidad de contenidos. El Juez toma cada uno en una mano, los alza y dice: “Sí, en efecto, son iguales”.

Cada vez que pienso en este tipo de Jueces tecnófobos o legos tecnológicos, no puedo menos que dar la razón a Jesús Banegas, de AETIC, cuando en el foro Piratas del siglo XXI, plateó como solución la creación de “mecanismos o jueces especializados que actúen de forma rápida e incluso automática”. Él se refería a casos de la vulneración de Derechos de Autor, pero ¿por qué no ampliarlo a una rama especializada de Jueces de Nuevas Tecnologías?

Carta de Servicios de la AEPD

La Agencia Española de Protección de Datos (AEPD) pone a disposición de los ciudadanos su Carta de Servicios, un documento previsto en el Real Decreto 951/2005 (por el que se establece el marco general para la mejora de la calidad en la Administración General del Estado), que constituye el instrumento a través del cual la Agencia informa a los ciudadanos y usuarios sobre los servicios que tiene encomendados, sobre los derechos que les asisten en relación con aquellos y sobre los compromisos de calidad en su prestación.

A través de 16 capítulos redactados en lenguaje claro, conciso y cercano a los ciudadanos, la Agencia transmite cuáles son sus funciones y objetivos, la normativa por la que se rige y la forma en la que se relaciona con los ciudadanos en cada una de las fases de sus procesos. En particular, destaca el apartado VIII sobre Niveles y Compromisos de calidad ofrecidos. En dicho apartado, la Agencia se compromete a:

• Mantener su página web actualizada con una periodicidad de entre 15 días y un mes
• Llamar al ciudadano si la consulta que plantea éste por teléfono no pudo ser respondida en el acto
• Reducir los tiempos de espera en consultas presenciales para que nunca superen los 30 minutos
• Dar contestación a las consultas recibidas en papel en un plazo máximo de 20 días
• Dar contestación a las consultas recibidas por e-mail en un plazo inferior a 10 días
• Informar en el plazo de 20 días sobre la disponibilidad de sus publicaciones, que serán siempre gratuitas para los ciudadanos
• Contestar a las quejas y sugerencias en el plazo de 20 días

De esta forma, la Agencia se suma a la lista de órganos, organismos y entidades de la Administración General del Estado que han decidido perfeccionar un “compromiso con la excelencia” (como nos gusta decir a los politólogos) tendente a mejorar la relación Administración-Ciudadano, tal y como dispone el Capítulo III del RD 951/05. En definitiva, la AEPD da un paso más hacia el administrado convirtiendo al contribuyente en un verdadero “cliente” de servicios mejorados y de calidad. Desde aquí, mis felicitaciones (y agradecimientos) a la Agencia.

Huella dactilar de alumnos de un colegio

La cuestión planteada en este caso es si se puede establecer un sistema de control para gestionar las ausencias y retrasos de los alumnos, basado en la obtención de la huella dactilar de éstos.

Respuesta para no juristas: No se puede porque es un dato excesivo para la finalidad pretendida

Respuesta para juristas:

La AEPD va a tener en cuenta dos argumentos para determinar si el dato biométrico es excesivo

A.- Artículo 4.1 de la Ley Orgánica, “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”.

B.- Documento de Trabajo sobre biometría, de fecha 1 agosto de 2003, del Grupo de trabajo creado por el artículo 29 de la Directiva 95/46/CE: La obtención de la huella dactilar como medio para identificar a los alumnos en el centro resulta excesivo y desproporcionado, para dicha finalidad.

Por tanto, a juicio de la AEPD, el tratamiento de la información biométrica de huella dactilar resulta excesivo y desproporcionado para el fin que motiva dicho tratamiento, teniendo en cuenta que se efectuaría un tratamiento de datos de menores de edad para controlar el acceso de los alumnos al centro escolar.

Fuente: Informe 368/2006

Responsabilidad sobre las historias clínicas en clínica privada

El Informe Jurídico 106/2008 de la Agencia Española de Protección de Datos resuelve una de las cuestiones básicas sobre responsabilidad de los médicos frente a las historias clínicas de sus pacientes: ¿Quién es el responsable de los datos clínicos? ¿El médico/facultativo o la clínica?

La AEPD deduce a partir de los artículos 14, 17.1 y 17.5 de la Ley 41/2002 que la relación que vincula al Centro Sanitario con sus facultativos implica una determinada relación de dependencia de éstos con el Centro (de tipo laboral, mercantil o análoga), siendo los pacientes del Centro y no de cada uno de los facultativos, por lo que corresponde al Centro Médico el tratamiento y custodia de las historias clínicas de los pacientes, con el cumplimiento de las obligaciones impuestas por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, además de las previstas en la ya citada Ley 41/2002.

En consecuencia, la custodia de las historias clínicas estará bajo la responsabilidad de la dirección del centro sanitario y no del profesional facultativo.