El módulo del que soy responsable tiene el título Aspectos legales de la web 2.0 y está dirigido a profesionales del mundo de la comunicación corporativa y la prensa digital.
La Comunicación Corporativa e Institucional Digital web 2.0 supone el desarrollo de acciones encaminadas a promocionar la empresa, aumentar su visibilidad y gestionar su identidad online. Para ello, consciente o inconscientemente se:
Recaban y tratan datos de carácter personal
Generan y utilizan contenidos con propiedad intelectual
Hace uso de marcas, nombres comerciales y dominios
Comunica y comercia a través de páginas web o sistemas electrónicos
A lo largo del módulo se analizan los principales aspectos legales a tener en cuenta en la comunicación digital, haciendo especial hincapié en aquellas cuestiones prácticas que deben ser objetivamente cumplidas por toda empresa que se dedique a la realización de actividades de Comunicación Corporativa e Institucional Digital web 2.0.
Adicionalmente e integrados en la parte teórica, se han incluido pequeños casos prácticos, algunos reales y otros ficticios, de manera que ayuden a la mejor comprensión de la terminología, tendencias, doctrinas y artículos que se citan en el módulo.
Finalmente, se plantea al alumno un caso práctico que podrá resolver con el conocimiento adquirido a lo largo del presente módulo.
No pretendo formar a especialistas en Derecho Tecnológico, para lo cual haría falta un máster completo sobre la materia, sino inculcar los conocimientos legales básicos que afectan a la comunicación 2.0 con el fin de que los alumnos conozcan los requisitos y consecuencias jurídicas que puede conllevar una concreta actividad de comunicación. No obstante, debido a que este módulo no se encuadra en un cursillo de verano sino en un curso de postgrado profesional, cuenta de una alta carga lectiva, memorística y de reflexión, que exige al estudiante la dedicación de tiempo y esfuerzo suplementario.
Al finalizar el módulo los alumnos son capaces de:
Explicar cada uno de los derechos de propiedad intelectual que la ley otorga a los autores.
Detectar incumplimientos de la normativa de propiedad intelectual.
Aplicar licencias a trabajos, páginas web y otras obras
Distinguir y explicar las diferencias entre marca, nombre comercial, denominación social y dominio.
Resumir los puntos básicos que afectan al comercio electrónico y la publicidad en internet.
Enumerar las obligaciones legales de los prestadores de servicios de la sociedad de la información
Enumerar los requisitos legales para adecuar una campaña de comunicación 2.0 a la normativa de protección de datos
Por ahora, las valoraciones del módulo realizadas por los alumnos son bastante positivas.
El desarrollo de virus informáticos es un negocio en toda regla. Eso sí, basado en la comisión de delitos tales como el hackering, el crackering, la estafa y la usurapación de estado civil.
El desarrollo de troyanos, spyware y otros virus informáticos se ha convertido en una industria capaz de “producir” miles de millones de euros al año. Atrás quedaron los felices días en los que un par de friki-delicuentes se juntaban para crear desde su garaje un programa que borraba el disco duro del desprevenido usuario (de PC). Hoy en día nadie gasta un segundo de su tiempo en crear una amenaza informática sin haber realizado antes un elaborado business plan y analizado minuciosamente el retorno de inversión.
Precisamente, el lunes pasado tuve la oportunidad de exponer en la radio los entresijos jurídicos que regulan este tipo de delitos y cuáles son las herramientas legales de las que disponen los ciudadanos para protegerse ante estas amenazas. Gracias a mi socio de despacho y amigo Joaquín Muñoz, pude asistir y participar como tertuliano invitado en el programa Hoy por hoy, de María Avizanda, en Cadena Ser, junto a Artemi Rallo (Director de la Agencia Española de Protección de Datos), Yolanda Ruiz (Comunicación de Panda Security) y Alfonso de Miguel Yanes (Capitán de la Unidad de Delitos Telemáticos de la Guardia Civil).
Quien sea periodista de radio sabe que los minutos en antena (on air) pasan increíblemente rápido y, sin embargo, nos dio tiempo a analizar el robo físico de tarjetas de crédito, su homólogo digital, las consecuencias jurídicas de suplantar la identidad de otra persona y las consecuencias de acceder ilegalmente a una cuenta de correo ajena. Ha sido casi media hora de intenso debate que ha mantenido a la audiencia al límite hasta el último segundo.
Tras la tertulia, Yoli y yo nos fuimos al Starbucks de Gran Vía a tratar algunos temas concernientes al Consejo Nacional Consultivo de Cyber-Seguridad, organismo del que pronto tendremos muchas y buenas noticias.
El motivo del viaje (al que nos invitó la Panda Security además de a un excepcional almuerzo a la bilbaina) era el de ver desde primera línea de fuego la intensa batalla que mantienen los técnicos de esta compañía española contra los desarrolladores de malware de todo el mundo. Abajo os pongo ejemplos asombrosos de lo que un virus puede llegar a hacer para infiltrarse en nuestros ordenadores, robarnos información o tomar el control de la cuenta de nuestro banco sin que nos demos cuenta.
La empresa de software, fundada por Mikel Urizarbarrena y de la que Juan Santana es CEO, comenzó vendiendo programas de ordenador para autoescuelas y ahora es una de las tres mayores compañías de cyberseguridad a nivel internacional. En el evento First Tuesday al que asistí el 10 de febrero de este año, ambos (fundador y CEO) explicaron en la sala Lemon de Madrid que el éxito de la empresa residió en sus inicios en la especialización territorial del antivirus debido a la poca repercusión de Internet y otras redes de telecomunicaciones; así, mientras que la protección de un programa antivirus creado en Estados Unidos era absolutamente ineficiente contra los virus creados en o para España, Panda Antivirus sí podía bloquearlos y neutralizarlos sin dificultad. Sin embargo, la globalización de las comunicaciones ha dado como consecuencia la internacionalización de las amenazas informáticas por lo que en los últimos años Panda, y todas las demás empresas de antivirus, ha tenido que adaptar su sistema de detección, neutralización y desarrollo de soluciones a esta nueva realidad.
Panda Security es una de las cuatro empresas españolas que forman parte del Consejo Nacional Consultor de CyberSeguridad, que tiene como misión última hacer más seguras las redes públicas. En este sentido, el Consejo fue nombrado por el Senado al instar al Gobierno a tener un Plan de CyberSeguridad coincidiendo con la Presidencia de la Unión Europea de 2010. Para ello, el Consejo ayudará e impulsará la iniciativa desde diferentes ángulos:
Proponer medidas concretas para ese plan de cyberseguridad, como, por ejemplo, la creación de un “ciber-zar” propio al estilo de la política de Obama.
Promover apoyos para que el Gobierno emita el mandato a tiempo (seis meses)
Realizar acciones de Consejo para apoyar el desarrollo de diferentes iniciativas encaminadas al ámbito de la seguridad (campañas, mesas redondas de seguridad, etc.).
Para la consecución de estos fines, el Consejo cuenta con el apoyo de INTECO, la Guardia Civil y un grupo de asesores expertos en Internet y Seguridad de la Información. Dentro de este grupo, nuestra misión es la de proponer medidas de impulso de la cyberseguridad, elaborar planes de concienciación y asesorar al Consejo sobre las diferentes cuestiones que se vayan suscitando en las reuniones que mantenemos periódicamente. Hasta el momento, los puntos clave sobre los que se han debatido han sido los siguientes:
La privacidad y demás de derechos fundamentales debe prevalecer sobre cualquier iniciativa de protección del usuario contra el cybercrimen
Las barreras legislativas sobre la materia y, sobre todo, las ejecutivas, hacen preferible trabajar en estándares y códigos de conducta a los que posteriormente puedan referirse las leyes.
En cada propuesta se tendrán en cuenta los diferentes perfiles de usuarios y/o empresas afectadas, tanto por tamaño como por sector.
Impulso de inciativas reales y efectivas de concienciación sobre la cyberseguridad.
Durante la visita a Panda Labs, Luis Corrons se encargó de presentarnos los avances de la compañía en cyberSeguridad, usando como medio la presentación que he subido a scribd.
Por su parte, Bernardo Quintero de Hispasec (otra de las grandes empresas que forman parte del Consejo), nos facilitó, algún tiempo antes, unos vídeos sobre lo que los Troyanos pueden hacer en nuestros ordenadores para obtener las claves del banco o hacerse con el control de nuestras cuentas:
Y, para terminar el post, unas fotos del encuentro:
Oficinas de Panda Security
Stand de productos a la entrada de Panda Security
Entrada a los laboratorios de Panda Security
Eugenio García de Arellano, Presidente de la Red Innova & Crea, visitando Panda Labs
Miembros del Consejo Asesor fotografiando y siendo fotografiados
Luis Corrons, Director de Panda Labs, explicando la presentación sobre malware
Imágenes de virus a la entrada de Panda Labs
Fernando Tellado ha subido a su cuenta de Flickr fotos de la reunión mantenida en Bilbao en julio , así como del almuerzo del Consejo Asesor del CNCCS de junio.
Las mismas fotos que véis aquí las tenéis también en mi propia cuenta de Flickr (aunque un poco desperdigadas).
Comprensiblemente y como suele pasar en este tipo de casos, lo que “el abogado especialista en Nuevas Tecnologías Pablo F. Burgueño explica a EFE” no es «exactamente» lo que EFE ha publicado. La agencia de noticias ha seleccionado lo que ha considerado más adecuado para el público al que va dirigido el artículo; sin embargo en este blog creo que es conveniente que nos detengamos un segundo a explicar de un modo más claro y preciso los conceptos jurídicos tratados, así que lo mejor es que deje aquí las preguntas que me hicieron y mis respuestas:
– ¿Es delito la suplantación de personalidad?
La suplantación de personalidad únicamente es delito si la conducta encaja perfectamente en el tipo penal del artículo 401, es decir, si lo que se usurpa es el estado civil de otro. En este caso, la conducta puede ser castigada con la pena de prisión de seis meses a tres años.
Si lo que se hace es simplemente crear un perfil inventado o con datos falsos, la conducta no encajaría en el tipo penal y no podría ser considerada delito; por tanto, el hecho de inventarse datos falsos para participar en una red social no es constitutivo del delito de usurpación de estado civil.
– Si no es delito, ¿qué consecuencias tiene entrar en una cuenta ajena de una red social y hacerse pasar por el titular, o bien crear una cuenta nueva utilizando el nombre de otra persona, aunque sólo sea para gastar una broma? ¿Cómo pueden defenderse los ciudadanos de este tipo de prácticas?
Entrar en la cuenta o el perfil de otra persona es una conducta que de por sí puede comportar graves consecuencias jurídicas. Al acceder a una cuenta ajena se puede estar cometiendo un delito de lesión de privacidad considerado por la normativa como una forma de descubrimiento y revelación de secretos; este delito, denominado comúnmente “hackering” se contempla en los artículos 197 y ss. del Código Penal. Para acceder a la cuenta o perfil del otro es probable que se hayan tenido que provocar daños a sistemas informáticos para saltarse o conseguir las claves y contraseñas; en dicho caso, nos encontraríamos ante un delito de daños a “redes, soportes o sistemas informáticos” consagrado en el apartado 2 del artículo 264 del Código Penal, delito denominado comúnmente “crackering”. Un ejemplo en el que se dan ambos supuestos sucedió hace unos meses en un caso en el que a una mujer le impusieron 5 años de cárcel por cometer un asesinato virtual. Una vez el individuo ha accedido al perfil o a la cuenta del otro si se hace pasar por el verdadero titular de la misma estará cometiendo un delito de usurpación de estado civil (401 del Código Penal), a no ser que se dé el extraño caso de que el perfil al que ha accedido fuese a su vez falso o inventado, en cuyo caso no sería de aplicación este delito ni el de hackering pero sí el de crackering, si procede. La combinación de delitos varía en función del tipo de acceso, los datos a los que se acceda y el uso que se haga de ellos.
El hecho de que la usurpación de identidad hubiera sido o no una broma no exime de responsabilidad criminal a su autor, según dispone el artículo 20 del Código Penal. Pero podría llegar a ser considerado como circunstancia atenuante, en virtud del apartado 6 del artículo 21.
La mejor forma de defenderse de este tipo de prácticas es realizar una correcta labor preventiva tanto en lo que respecta a sistemas como en actitud. Las tres recomendaciones básicas son las siguientes:
Usar contraseñas seguras: Alfanuméricas de al menos 8 dígitos y que contengan mayúsculas y minúsculas.
Mantener el sistema operativo actualizado para evitar vulnerabilidades y agujeros de seguridad.
Contar con soluciones antivirus activas y actualizadas para evitar la instalación o ejecución de troyanos u otros programas maliciosos que vigilan al usuario y le sustraen sus datos y contraseñas.
Con la adopción de medidas preventivas se minimiza el riesgo. No obstante, si el usuario ha sufrido una usurpación de estado civil, lo adecuado es que ponga el caso en manos de profesionales. Cada caso es distinto, pero en general éstas serían las las principales recomendaciones:
Es posible que el infractor pueda haber actuado o usado fraudulentamente el nombre y los datos del afectado poniendo a éste en situaciones legales muy peligrosas; en esos casos es prioritario denunciar los hechos ante las Fuerzas y Cuerpos de Seguridad del Estado con el fin de que quede constancia de que la identidad ha sido suplantada y no puedan atribuirle a él los hechos cometidos por el infractor.
Con el fin de evitar la vía judicial, es recomendable ponerse en contacto con el administrador de la página web o red social para que elimine de forma inmediata el perfil infractor o devuelva su control al verdadero titular. En algunos casos, ponerse en contacto con el suplantador para terminar la suplantación de una forma menos agresiva también puede acelerar el proceso.
En caso de que la vía judicial sea necesaria u oportuna, es recomendable levantar acta de presencia notarial de los contenidos infractores antes de solicitar su retirada
– ¿Existe vacío legal?
En España no existe vacío legal sobre este particular. La ley puede ser mejorada, pero actualmente recoge lo esencial para que este tipo de delitos pueda ser perseguido y castigado en territorio nacional. Sin embargo, la persecución de estos delitos a nivel internacional es técnica y prácticamente muy compleja. En la mayor parte de los casos los criminales internacionales salen indemnes por la dificultad de aplicar sistemas primordialmente nacionales (concebidos para un mundo off line y de distancias cortas) a Internet y muy pocas veces las sentencias acaban ejecutándose a tiempo.
– ¿En qué supuestos podría aplicarse el delito de usurpación de estado civil que contempla el 401 del Código Penal?
Desde 1995 el uso público de nombre supuesto o de perfil inventado no se persigue por lo que únicamente podría aplicarse el 401 del Código Penal en casos de usurpación de identidad civil, es decir, cuando una persona se hace pasar por otra. Para que la conducta encaje en el tipo penal, los tribunales están exigiendo que esa usurpación sea completa o cuasi completa; no bastaría con tomar únicamente la edad, el estado civil o el nombre de pila.
– ¿Qué incluye la usurpación de estado civil? ¿Qué es la usurpación completa?
Usurpar el estado civil es hacerse pasar por otro. Que la usurpación sea completa o no es una cuestión más práctica que teórica: por ejemplo, usar el nick o el apodo de otra persona podría no ser considerado una usurpación del estado civil si no induce a error a terceros. En cambio, usurpar el nick y actuar como esa persona, contactando con sus amistades y haciendo uso del resto de características personales del afectado sí sería una usurpación completa.
En resumen, se podría decir que usurpación completa es aquella idónea para generar error en terceros, haciendoles creer que el usurpador es en realidad el afectado. Y usurpación parcial es aquella que por sí sola no es idónea para generar error.
El Código Penal no hace esta diferenciación. La distinción entre usurpación completa y parcial tiene su origen en la doctrina y jurisprudencia. Y, además, es bastante controvertida y no hay una postura unánime al respecto.
– ¿Se trata de una consulta habitual en los despachos de abogados?
A pesar de que la conducta es muy habitual en Internet, los casos no suelen ser graves y acaban solucionándose con un simple comunicado al administrador de la página web o de la red social. Los casos que llegan a los despachos de abogados son pocos y extremadamente graves puesto que la usurpación viene normalmente acompañada de la comisión de delitos o faltas en los que el infractor ha usado el nombre y datos del afectado para llevarlos a cabo.
