Archivos de Tags: abogado de protección de datos

[mis] Reflexiones sobre la Sentencia del #DerechoAlOlvido

the-lost-room-950872-m

Olvidar tu camisa es ejercitar tu derecho al olvido. (Foto compartida por dimitri_c)

Cuento algunas cosas que creo que no se han dicho lo suficientemente alto (o claro) sobre el caso del Derecho al Olvido

Joaquín Muñoz, mi socio de Abanlex, se puso la toga en Luxemburgo para exponer ante el TJUE las observaciones que él escribió, con la ayuda de su equipo, y presentó en nombre del español al que representa. El origen de caso lo explica él mismo aquí: El asunto AEPD vs Google, en el que Abanlex representa al particular que inició el procedimiento. El resultado, por ahora, es la famosa Sentencia del Derecho al Olvido.

1.- ¿Se vistió la toga Joaquín en Luxemburgo, ante el TJUE?

Sí, se togó ante el TJUE.

Se subió a un avión y se vistió de toga para entrar en la sala del TJUE. Joaquín dirige la defensa del español, desde sus orígenes en la AEPD, hasta ahora, en la Audiencia Nacional. La redacción de las observaciones y la personación ante el TJUE, también fueron cosa de Joaquín y de su equipo.

2.- ¿Quién ha ganado el caso?

Estamos en ello. La Sentencia es un texto que sirve a la Audiencia Nacional para resolver el litigio.

Hasta el momento, ha sucedido lo siguiente: Google Spain y Google Inc., disconformes con la resolución, que logramos de la AEPD, en la que se les obliga a retirar ciertos resultados, interpusieron recursos ante la Audicencia Nacional. Este tribunal, ante las dudas de interpretación normativa que le suscitaba el caso, suspendió el procedimiento y planteó una serie de cuestiones prejudiciales al TJUE, que dictó la famosa sentencia sobre el Derecho al Olvido indicando cuál es la forma correcta de interpretar la norma. Ahora que ya tenemos este texto, el caso regresa a la Audicencia Nacional y continuamos con la defensa del ciudadano español.

dont-forget-646997-m

No olvides tu derecho al olvido (Foto: cbicenhour)

3.- ¿Qué opinión te merece la Sentencia?

Respondo abajo, con preguntas de la A a la H.

Pero antes de responder, quiero que quede claro que lo que escribo en este blog es personal.

Joaquín estaba convencido de que iba a obtener una sentencia favorable; yo no tanto. Esto nos ayudó a trabajar el caso. Manteníamos discusiones casi diarias sobre aspectos relativos al tratamiento de datos por parte de Google: Joaquín defendía la postura que ahora el TJUE impone; mientras que yo defendía por convicción posturas similares a las que fueron aportadas por Google y Grecia en sus observaciones.

Tenemos Sentencia e interpretaremos la norma como en ella se nos indica. Pero, no lo puedo evitar, se me pasan por la cabeza estas impresiones, que comparto a modo de opiniones personales:

A.- Google: Ni responsable, ni encargado, sino… una tercera figura

La Directiva 95/46 es anterior al nacimiento de los buscadores de hoy. Esta norma fue diseñada para sentar obligaciones sobre dos sujetos: el responsable y el encargado. Si negamos el paso del tiempo y el estado de la técnica, una interpretación rígida de la norma nos obliga a calificar a Google como responsable, pero considero que no es de justicia otorgarle esa naturaleza.

En mi opinión, el TJUE ha aplicado la Directiva de forma excesivamente tajante. Sin embargo, como el espíritu de la norma no debe ser estático, sino que debe adaptarse a los tiempos, ha rebajado sutilmente las obligaciones del responsable, confirmando que el desarrollo de la técnica ha creado una tercera figura.

B.- Buscadores. No solo Google.

Uso Google en Chrome, Bing en el móvil para encontrar información rápida, Baidú para buscar ciertas posiciones de páginas, The Pirate Bay para… Hay buscadores para todo. Y no tres, ni diez, sino miles. Con mejor o peor resultado, se puede crear un buscador para cualquier cosa. Incluso este blog tiene un buscador.

Supongamos que solicito a Google la supresión de un resultado. ¿Se entiende hecha la solicitud de supresión a todos los buscadores que existen y existirán? “No”. Así que, a partir de ahora, empezaré a auditar a las personas usando una gran variedad de buscadores alternativos y no europeos.

 C.- El robots.txt ya no es suficiente

Gran verdad en la que no había caído hasta que leí la Sentencia.

El “robotx.txt” y los códigos “no index” y “no archive” solicitan a los buscadores que ciertos contenidos sean excluidos de los índices automáticos. Aun si un editor no los ha puesto, podemos obligar al buscador a no mostrar ciertos resultados sobre los mismos.

Esta parte es muy interesante. Lo que se solicita a los buscadores no es que excluyan una determinada página a voluntad de un particular, sino que eliminen ciertos vínculos que se obtienen al buscar “el nombre” de determinada persona u otro dato suyo personal.

Por ejemplo: Carlos Zimbou ha solicitado que se elimine el link a una página que dice “Carlos Zimbou es un asesino de zanahorias”. El buscador no mostrará esa página cuando se busque “Carlos Zimbou”, pero sí la mostrará cuando se busque “asesino de zanahorias”. Los demás buscadores no harán discriminación. Ningún buscador mostraría nada, nunca, si el editor de la web hubiera añadido la URI al robots.txt, salvo aquellos buscadores que no obedezcan al estándar robots.txt, que lo mostrarán todo siempre, excepto aquellos que, en su caso, hubieran recibido la solicitud de exclusión.

Tiene más sentido que el robots.txt. En el caso de los medio de comunicación, por ejemplo, la noticia publicada con datos personales podrá seguir indexada, solo que determinadas búsquedas no mostrarán enlaces a la misma. De esta forma, se permite incluso el ejercicio del derecho para el olvido de contenidos lícitamente publicados y de permanencia pertinente y justificada.

D.- Para solicitar el Derecho al Olvido, con el DNI no basta

Para ejercitar mi derecho al olvido, debo certificar mi identidad al buscador enviando una copia del DNI. Pero, además:

  1. Tengo que conseguir certificar que el individuo al que se refiere la página web publicada por un tercero soy yo.
  2. Tengo que conseguir certificar que el contenido vulnera mi derecho a la protección de datos.
  3. El buscador tiene que determinar si la supresión de los enlaces vulnera el derecho del público a tener acceso a la infomación de que se trate.

Veremos casos curiosos como este: un compañero de instituto se llama y apellida igual que un criminal condenado a prisión en un país americano. Cuando busca su nombre, solo aparecen noticias de “su” condena. Esta persona no podría solicitar el derecho al olvido sobre dichos contenidos que sí le afectan personalmente.

E.- Y si cambian la URI o copian el contenido o hacen un vídeo o… surge un nuevo buscador

Volver a empezar, otra vez.

 F.- Hacen falta años para conseguir salir (un poco) de Internet

Deberíamos trabajar en la eficacia y en la eficiencia de nuestras normas y del ejercicio de los derechos.

  • Eficacia: Hay ciertas normas que tiene un grave problema de eficacia a largo plazo. Por ejemplo, la obligación de publicar datos personales en el BOE hace imposible el cese en el tratamiento cuando el dato deja de ser necesario y genera la necesidad de ejercitar el derecho al olvido.
  • Eficiencia: Hay ciertas normas que tienen un grave problema de eficiencia. Por ejemplo, la del propio derecho al olvido. ¿Sabes cuántos años son necesarios para eliminar un dato de Internet ejercitando este derecho? El caso del español es de 1998 y lleva tratando de ejercitarlo desde 2010.

Creo que sería pertinente, además, que los buscadores organizasen una vía de comunicación multidereccional de instrucciones de olvido. Facilitaría la eficacia maximizando la eficiencia.

G.- Europa es ahora el escudo del mundo en materia de protección de datos

Un no europeo podrá ejercitar su derecho al olvido a través de Europa. Y… tengo cierta duda que comento más abajo. 

Partimos de esta base:

  • La herramienta de Google para facilitar el ejercicio del Derecho al Olvido estará disponible solo para europeos.
  • Google Spain está considerada filial de Google Inc. en Europa a efectos de protección de datos.
  • La protección de datos es un derecho personalísimo de todo ser humano.

En principio, Google no permitirá, por defecto, a ciudadanos extraeuropeos ejercitar el derecho al olvido de la forma que indica el TJUE. Supongamos que un estadounidense desea ejercitarlo. ¿Podría? Sí, si lo hace a través de Europa, contando, en su caso, con el apoyo de una autoridad de control nacional.

El Derecho al Olvido es una manifestación más de los derechos fundamentales de todo ser humano por el mero hecho de serlo, con independencia de la ciudadanía del ciudadano afectado.

La duda que me consume el sosiego es la siguiente:

Si Google trata datos personales de ciudadanos del mundo en el marco de las actividades de Google Spain, ¿no tendría que garantizar los mismos derechos a todos los datos de carácter personal que la misma trata? Sería incoherente que fuese responsable del tratamiento y obligado solo respecto de los datos de los ciudadanos europeos, y libre de tratar como le plazca los datos personales de los ciudadanos del resto del mundo.

H.- ¿El español ganará el caso?

Antes de leer este punto, ten en cuenta que yo estaba convencido de que el TJUE iba a sentenciar diferente, y erré. Es probable que me equivoque de nuevo aquí.

¿Es posible que el TJUE erre al decir esto en su Sentencia?

En la medida en que en el caso [...] no parece existir razones concretas que justifiquen un interés preponderante del público en tener acceso a esta información en el marco de tal búsqueda, lo que no obstante incumbe comprobar al órgano jurisdiccional remitente, el interesado puede [...] exigir que se eliminen estos vínculos de la lista de resultados.

Uno de los enlaces en liza es este.

En mi opinión, el documento en formato portable del diario español es histórico, hasta el punto de que forma parte de un caso que cambia el curso de la historia en Internet y del Derecho de Protección de Datos. Por tanto, discrepo ligeramente con el TJUE, pero no hasta el punto de quitarle la razón.

Creo que va a suceder lo siguiente:

  • Eliminación del enlace al pdf: La eliminación del enlace en los términos que el TJUE indica podrá ser posible para que la búsqueda del nombre del ciudadano no muestre directamente el archivo de la hemeroteca.
  • Permisión de las copias siempre en relación con el caso del derecho al olvido: El contenido ya ha sido copiado hasta la saciedad en relación con el caso. La permanencia de la noticia en la red es relevante y necesaria, siempre que vaya unida a este caso. Además, ya es imposible eliminar todo rastro del papel digitalizado originario.

 Quedan un par de curiosidades que destacar:

  1. La primera es que hoy es el Día de la Toalla, así que he escrito el artículo con un toalla en el hombro en recuerdo y admiración de Douglas Adams.
  2. La segunda es este vídeo hilirante que me pasó Jorge López Baqueriza, uno de los integrantes del equipo de Joaquín cuando redactó las observaciones presentadas al TJUE:

El botón “envía a un amigo” es legal si se toman las debidas precauciones

Difunde el mensaje

Los sistemas de “envía a un amigo” pueden ser legales, si se toman las debidas precauciones. Basta con cumplir o esquivar la ley, para lo cual es necesario conocer bien la normativa y entender la tecnología que va a ser empleada.

En la práctica, resulta complicado obtener el consentimiento de alguien a quien uno no puede dirigirse… Pues bien, esto es precisamente lo que la normativa española exige: contar con el consentimiento informado del titular del correo electrónico potencialmente receptor de comunicaciones comerciales, en los casos en que éste pueda ser considerado dato de carácter personal, y, adicionalmente, tanto si puede optar a esta consideración como si no, contar también con la autorización previa expresa del receptor para poder enviarle estas comunicaciones.

Ante este panorama, algunas empresas han optado por usar a los propios usuarios de sus páginas web como emisarios para enmascarar el envío de comunicaciones comerciales por medio de botones de “envía a un amigo”. Esta técnica es válida y legal solo si se hace de la forma correcta.

Veamos algunos casos reales para aprender de sus errores y saber qué se puede y qué no se puede hacer (desde un punto de vista práctico):

PS/00183 /2009 Resolucion de fecha 14 09 2009

  • Hechos: TICK TACK TICKET, S.A. organiza un sorteo en el cual los usuarios que enviaran a más amigos la información de esta promoción tenían más posibilidades de ganar. Tras ser denuniado por FACUA a la AEPD, TTT es sancionado con 30.001€ de multa a pesar de no haber recibido una sola queja por ninguno de los 39.848 receptores de correos electrónicos.
  • Ver nota de prensa: La AEPD sanciona a una empresa por utilizar un sorteo para recabar 40.000 direcciones de e-mail y enviarles Spam
  • Qué hizo mal (en la práctica): Almacenó las direcciones de los amigos en una base de datos; fue la propia TTT quien envió el correo electrónico al amigo del usuario; y marcó en la base de datos los correos válidos, verificando la recepción de los mensajes.

PS/00323/2007

Es obvio que no podemos obtener el consentimiento de los receptores de mensajes antes de ponernos en contacto con ellos. Por este motivo, tenemos que encontrar la forma de que sea el propio usuario quien envíe el mensaje sin almacenar las direcciones en nuestras bases de datos, sin ser nosotros los emisores y sin que podamos verificar la recepción o lectura del contenido.

La solución es solicitar al usuario que use su propio servicio de correo electrónico para hacer el envío.

Partiendo de esta idea, que sea el propio usuario el que envíe el mensaje desde su propio servicio de correo, debemos crear un entorno y sistemas que hagan que este proceso sea fácil y rápido para el usuario. Algunas opciones al alcance de cualquiera serían las siguientes:

  • Mailto tag: [code]<a href="mailto:email@destino.com?cc=Con copia&bcc=Con copia oculta&subject=Asunto&body=Cuerpo%20del%20mensaje">Envía a un amigo</a> [/code]
  • Iframe, código de invocación o popup con form-mail provisto por tercero cuyas condiciones particulares deba aceptar el usuario antes de realizar el envío, bien expresamente mediante checkbox, bien tácitamente mediante un link al aviso legal, pudiendo ser este servicio de suscripción (gratuita o no) o de uso anecdótico sin creación de perfil de usuario.

Mediante estos mecanismos, el titular de la web no tiene necesidad de recabar el consentimiento informado del emisor puesto que el tratamiento se hace fuera de su plataforma por cuenta y riesgo del usuario y, evidentemente, tampoco del receptor. Tampoco es necesario indicar en el formulario que “no se podrá suplantar la identidad” (pregunta recurrente en estos casos); sería reiterativo e ineficiente, puesto que una norma imperativa con rango de ley ya prohibe la suplantación de identidad y ninguna otra norma exige mención alguna en este sentido.

En caso de que la persona emisora del mensaje sea sujeto obligado de la LOPD, será responsabilidad suya cumplir con esta normativa. Esto sucede, por ejemplo, cuando la persona emisora es la misma que aquella que hubiera generado el contenido comercial que se quiere enviar. De la misma forma, si otra empresa, buscando perjudicar a la competencia por medio de la provocación de sanciones, usara el formulario de emisión y enviara mensajes a distintos usuarios, el responsable sería la propia empresa malintencionada, puesto que si bien el correo electrónico incluirá muy probablemente un link a a la web promocionada, el mensaje habrá sido enviado por la otra haciendo uso de una herramienta de un tercero, después de haber aceptado las correspondientes condiciones de uso del servicio, independientemente de dónde haya encontrado el link, iframe o widget que le haya descubierto la existencia de dicho mecanismo.

Por tanto, en mi opinión, que creo fundada, la ubicación de un botón, frame, widget o enlace que conduzca y traslade al usuario a un servicio de un tercero independiente a través del cual el usuario puede, si lo desea, enviar un mensaje a un amigo, no es motivo de ilegalidad alguna en lo que respecta a la normativa de protección de datos.

También en mi opinión y según interpreto la normativa vigente en materia de enlaces, la empresa española que ubique este botón o enlace en su página web no está obligada a conocer el estado de cumplimiento (o incumplimiento) de la ley de la empresa, persona o entidad a cuyo sitio dirija usuarios. Por tanto, con base en ello, el hecho de incluir un mero enlace a una empresa extranjera que no cumple la ley española tampoco debe ser motivo de preocupación (no así en otras materias jurídicas tales como Propiedad Intelectual en referencia al artículo 138 de la ley que la regula, en relación con el controvertido artículo 16 de la LSSI que bajo una interpretación extensiva que permita su aplicación a páginas web exime de responsabilidad en los casos de falta de conocimiento efectivo, y lo dispuesto en el Código Penal en relación a los cooperadores y figuras afines en la comisión de delitos, que no es el caso).

En cuanto a las posibles suplantaciones de identidad que pudieran producirse, es responsabilidad del usuario que hace uso del sistema hacerlo bajo su propio nombre y datos, no suplantando la identidad de otros. Por ser ésta una norma imperativa (arts. 401 y 620.2 del Código Penal y Ley Orgánica 1/82), no es necesario incluir mención alguna acerca de este particular.

En cuanto al contenido del mensaje que el usuario libremente decide enviar o no, éste puede estar ya incluido en el código del link para facilitar la configuración rápida del correo electrónico. El propietario del contenido no tiene en este caso más responsabilidad que la propia que se deriva de la legalidad del mismo. Es decir, si el contenido es legal no hay problema. El propietario del contenido no es responsable de los envíos que libremente hacen sus usuarios.

En definitiva, y según mi interpretación de la ley, usar un botón de enviar a un amigo es legal siempre que se sigan las precauciones indicadas.

Imagen cedida por Miguel Saavedra (A Coruña, España)

Clases a distancia de Aspectos legales de la Web 2.0 en la Universidad de Alcalá

Instituto de Postgrado de Estudios Culturales y de Comunicación

Un excelente profesional de la comunicación debe ser capaz de advertir las necesidades legales que requieren las campañas que proyecte y las actividades que oferte a sus clientes. Por ejemplo, una agencia de comunicación debería ofrecer a sus clientes solo acciones comerciales y de marketing que sean legales, para lo cual deberá contar con unos mínimos conocimientos jurídicos que, si bien no le bastarán para dar solución específica a todos los casos que se le presenten, le servirán para advertir la necesidad jurídica y delegar el trabajo a profesionales especializados.

La Universidad de Alcalá de Henares y el IPECC, conscientes de la importancia de dotar de conocimientos jurídicos prácticos a los alumnos del Máster en Comunicación Corporativa e Institucional Web 2.0, cuentan conmigo para que  imparta el módulo de aspectos legales de la web 2.0. A través de este módulo, que en la sexta edición abarcará los días 28 de enero a 14 de febrero de 2012, los alumnos deberán participar en debates, juegos, realizar actividades y superar un examen que les calificará como profesionales de la comunicación digital con suficientes conocimientos legales en la materia.

Ésta será la quinta ocasión que imparta la asignatura en la UAH, universidad en la que también he impartido clase de “Redes sociales aplicadas al deporte“. A priori el módulo puede parecer arduo y en ocasiones los alumnos entran al principio en el aula virtual algo atemorizados… pero en todas las ediciones terminan encantados y con la sensación de haber aprendido infinidad de tips útiles para el eficiente desarrollo de su actividad.

La reflexión que copio a continuación es una de las que ofrezco a los alumnos para que opinen sobre ella y vayan sacando nuevos hilos de debate que me permita explicarles a lo largo de 15 días la forma correcta de usar obras de terceros, las licencias Creative Commons, la importancia de las sociedades de gestión de derechos de autor, los límites de la LPI, cómo registrar textos e imágenes…

La cualidad principal que diferencia al ser humano del resto de animales es su capacidad creativa. Esta capacidad y los resultados que de ella se derivan es lo que la propiedad intelectual protege. Debemos diferenciar dos ámbitos de protección:

  • La protección de la labor creativa espiritual (Derechos morales): Por ejemplo, que se nos reconozca “autores” de lo que creamos o que se nos permita ver nuestras obras originales aunque las hayamos vendido.
  • La protección del rendimiento económico (Derechos Patrimoniales): puesto que por el mero hecho de crear casi nadie obtiene un solo euro, se otorga al autor la posibilidad de que explote su obra como quiera para ir recibiendo dinero en función de su éxito. Y puesto que no constituye algo tangible que pueda entregar físicamente a sus hijos (como una casa o un coche), se concede a los herederos un plazo limitado de tiempo para obtener rendimiento de la obra. Evidentemente, cuanto más comercial sea la obra, más rendimiento se sacará (la mayoría de las obras quedarán en el olvido y nadie obtendrá un solo euro por su explotación).

Por otro lado, el ser humano es un ser social cuya fuerza radica en la unión y la puesta en común de conocimientos. Este hecho hace necesario que todo lo que se crea revierta en la sociedad. Puesto que esta necesidad social choca frontalmente con los derechos de propiedad intelectual, se concede al autor un plazo de explotación limitado, transcurrido el cual sus Derechos Patrimoniales pasan a toda la sociedad en su conjunto, de forma que cualquiera pueda explotar la obra.

Con la llegada de Internet, el anonimato digital y las nuevas tecnologías, la posibilidad de usar, copiar, descargar,  transformar, vender y regalar obras se multiplica.

Comienzan a surgir dudas sobre si es más importante proteger a la persona que crea o la que consume. Con la excusa de que “hay gente que cobra mucho” o que “los discos son muy caros”, miles de usuarios descargan anónimamente obras sin respetar el plazo de protección que la ley concede a los autores. Me pregunto quién es el fuerte en Internet. ¿El autor o los usuarios?

Un post ilustrado con una imagen es más atractivo que otro compuesto únicamente por texto. A muchos bloggers y periodistas les molesta que otros les copien y fusilen sus artículos. Sin embargo, toman sin pudor fotografías e imágenes sin tener en cuenta el esfuerzo creativo del fotógrafo o artista gráfico, sin respetar el plazo de protección, sin pedirle permiso, sin citar su autoría, sin hacer si quiera referencia a la fuente.

Usar algo que otra persona ha hecho y al menos citarle como autor es lo mínimo (y puede ser suficiente si el autor solo quiere que se le cite). Es una cuestión de respeto. Y si este autor no desea que sus dibujos se usen sin su permiso, me tomaré la molestia de preguntarle primero. Y si quiere vivir de su trabajo como dibujante, le pagaré por poner el dibujo en mi web o me iré a otro que me lo regale.

¿Realmente creéis que es relevante si gano o no dinero con mi blog para citar o respetar el trabajo de los demás? ¿O pensáis que hay muy poco respeto por el trabajo de los demás?

OJO: Antes de que algún alumno se aventure a decir que el uso de imágenes en blogs se encuadra dentro del  mal llamado “derecho de cita”, sabed que la “cita” NO ES UN DERECHO DEL USUARIO, sino un LÍMITE impuesto al autor que le impide oponerse a que sus obras se usen como el artículo 32 de la Ley de Propiedad Intelectual establece. Leed muy detenidamente este artículo y analizadlo. Es muy breve y vale la pena conocerlo.

¿Qué opinas?
(Puedes opinar de todo o de algo de lo expuesto y, naturalmente, puedes y debes responder a tus compañeros para generar debate)

De la misma forma, se generan hilos de debate sobre comercio electrónico, protección de datos, sorteos y promociones, publicidad en Internet y otros en función de las inquietudes concretas que muestre cada grupo. Al comienzo del módulo facilito a los alumnos un manual de Derecho práctico enfocado a su actividad de unas 100 páginas de extensión, con multitud de ejemplos y casos reales. A lo largo del módulo les pido la elaboración y entrega de tres actividades obligatorias y les invito a participar en juegos y actividades voluntarias. Finalmente deben hacer individualmente y entregar en plazo un examen tipo test de 25 preguntas especialmente elaboradas para analizar la comprensión de la materia por parte del alumno. Todo ello, en una moderna plataforma virtual de enseñanza y con la guía y acompañamiento del tutor.

Recursos:

Opiniones de mis alumnos:

  • Ver más opiniones en mi perfil de LinkedIn
  • Cristina: “Pablo F. Burgueño es un profesor extraordinario; ha dado muestras de habilidad, destreza y alta competencia transmitiendo los aspectos legales de la web 2.0 en el máster online en Comunicación Corporativa e Institucional Digital Web 2.0, impartido por Ipecc y la UAH”
  • Nuria: “Considero a Pablo Burgueño como uno de los mejores profesores del master de comunicación corporativa PR 2.0 de la Universidad de Alcalá de Henares”
  • Silvia: “Excelente y exigente profesor.”
  • Isaac: “No es fácil motivar y trasladar conocimientos técnicos en una asignatura tan densa como derecho en la red. Por eso tiene un mérito especial que Pablo haya conseguido que su módulo haya sido uno de los más participativos y de los más aprovechados del máster.”
  • María del Rosario: “Como profesor, es uno de los mejores del Master en Comunicación Corporativa e Institucional Digital Web 2.0.”
  • Gonzalo: “Es un profesor bastante bueno que consigue que todos nos involucremos en la creación y seguimiento de debates.”

Sello de caucho vs Firma electrónica

 

Logo fake para ilustrar este post

La personalidad jurídica en España se adquiere con la compra de un sello de caucho

Y para muestra, un botón: La Cámara de Comercio de Madrid

En colaboración con el Plan Avanza y otros tantos, la Cámara de Comercio de Madrid acaba de abrir la convocatoria del Programa PYME DIGITAL 2010. Para realizar la inscripción hay que enviar por fax, carta o escaneado por e-mail este formulario, firmado a mano y sellado con sello de caucho. Una vez cumplimentado a ordenador se me ocurrió que en vez de imprimirlo, firmarlo, sellarlo, escanearlo y tirar el papel, sería buena idea simplemente aplicarle la firma electrónica de empresa mediante la aplicación eCofirma, distribuida por el Gobierno. Resultado: solicitud rechazada. Me exigen usar sello de caucho y escanear mi firma o mandarlo por carta o fax.

Y ya que hablamos de la Cámara de Comercio de Madrid…

  • Tratan datos personales haciendo caso omiso a la obligación de recabar el consentimiento informado. Por ejemplo, en este formulario.
  • Recaban datos bancarios para el cobro de la cuota cameral (no me hagáis hablar de la cuota cameral) a través de una página no segura.
  • Si usáis Firefox para navegar, el símbolo � será una constante.
  • El logotipo de validación AA de la W3C está pensado para páginas que cumplan el estándar. La Cámara lo luce a pesar de tener centenares de errores en la web.
  • Su aviso legal es pobre, pero la duda es ¿quién se lo ha copiado a quién?
  • ¡Su política de protección de datos está basada en una norma derogada! ¿Cómo tendrán implantadas las medidas de seguridad?
  • Hay un solo artículo de la LSSI de 2002 que este órgano consultivo cumple. ¿Y el resto qué?

Me parece muy bien que tengan Twitter, Facebook y lo que quieran. Pero la Cámara de Comercio de una capital europea no puede permitirse dar una imagen tan nefasta. No sé a qué están jugando estos señores con el dinero que pagamos cada año para financiar su actividad. Poco ha avanzado este órgano desde su fundación en 1887.

La Ley e Internet a través de casos prácticos

Resolver 34 casos prácticos en menos de 6 horas (divididas en dos sesiones de 3 horas cada una) es la labor a la que se están enfrentando los alumnos del Máster en Comunicación, Márketing y Publicidad en Medios Online del Instituto Europeo di Design – IED.

Éstos son algunos ejemplos de casos prácticos que los alumnos, publicistas en su mayor parte, ya son capaces de resolver:

  1. Sánchez Mortier-Galán, empresario español, decide crear una red social especializada en vinos, dirigida al público español. Mortier-Galán considera la normativa española demasiado rígida y poco acorde con sus intereses por lo que con el fin de eludirla, crea la empresa titular de la red social en Brasil y sitúa los servidores en Barbados. Sánchez Mortier-Galán dirige la empresa desde su residencia en Oviedo. ¿Qué normativa le es de aplicación?
  2. La empresa HanuLamp, S.L., fabricante y vendedora de lámparas de diseño al por menor, decide usar la plataforma Facebook para dar a conocer sus productos. Crea una página en la red social y comienza a crear comunidad. Dos meses después, con cerca de 450 fans, se pregunta cómo afecta la normativa de protección de datos a su actividad en Facebook. Presta el asesoramiento solicitado.
  3. Galerías Solano ha obtenido 1.820 direcciones postales de las Páginas Blancas y quiere saber cómo legalizar la base de datos conforme a la normativa de protección de datos. Presta el asesoramiento solicitado.
  4. La empresa Sigma Rana, S.L. ha contratado un espacio en el Salón Internacional de Empresas 2.0. En su stand piensa poner una pantalla de tela en el fondo sobre la que proyectará en directo las imágenes que capte una cámara situada justo delante, en el mismo stand, enfocada a las personas que transiten por el pasillo. Por medio de este sistema no se graba, ni se almacena ninguna imagen; tan solo son captadas por la cámara, enviadas al proyector y proyectadas justo detrás, en la pantalla. Indica si afecta en este caso la normativa de protección de datos razonando la respuesta.

Evidentemente las preguntas van con truco y no son tan fáciles de responder como aparentan. La dinámica que sigo en clase es la del método del caso. Junto con los alumnos, analizamos cada detalle, opción y alternativa propuesta. La finalidad del curso no es formar profesionales en derecho de Internet sino establecer los pilares y principios básicos que rigen este sector.

Las materias que impartiré este miércoles en el máster del IED son: Protección de Datos Parte II y Propiedad Industrial. Además, analizaremos la legalidad de una conocida red social de videojugadores. ¿Adivináis cuál?

SuperBanda en conflicto con ADSLzone

evitar

ADSLzone acaba de decidir la retirada de más de cien comentarios de sus foros tras haber recibido un “cordial” C&D por parte de Superbanda.

ADSLzone es un sitio web en el que profesionales del sector de las telecomunicaciones y usuarios de banda ancha opinan libremente sobre los servicios de conexión y prestación de Internet. El usuario que desea opinar en la web tiene que registrarse mediante un formulario en el que debe aportar, entre otros datos, su nombre y un correo electrónico de contacto. Asimismo, se avisa en ese instante de que “el registro en la web conlleva la aceptación” del Aviso Legal, en cuyo apartado 11.2 se hace responsable al usuario de todo contenido que aporte, incluidos los comentarios. Esta declaración responsable de los usuarios permite que ADSLzone sea una zona de encuentro y opinión libre de censura, puesto que cada usuario debe responder de sus propias palabras y actos.

Sin embargo, ha sido precisamente esta libertad la que ha llevado a ciertos usuarios de ADSLzone a crear hilos en los que critican duramente a alguna de las empresas que ofrecen internet de banda ancha en España, usando incluso calificativos tales como mentirosos y sinvergüenzas para referirse a sus responsables.

A raíz de estas declaraciones, el representante miembros de Superbanda, mentados personalmente en varias ocasiones con calificativos un tanto desagradables, se han puesto en contacto con ADSLzone para solicitar la cancelación de datos y la supresión de los comentarios que los albergaban, con base en la Ley Orgánica de Protección de Datos y la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico. Ante este requerimiento, comúnmente denominado C&D (aunque en este caso no sea precisamente un C&D), los administradores de ADSLzone han decidido eliminar los comentarios conflictivos. Pero no lo han hecho para guardarse las espaldas, sino para proteger a sus usuarios de posibles acciones legales que Superbanda pudiera iniciar contra ellos por expresar sus opiniones sobre la calidad del servicio ofrecido por este operador. (Actualización: Superbanda ofrece su punto de vista sobre los hechos en los comentarios a este post).

Desde el punto de vista jurídico hay que hacer las siguientes apreciaciones:

- LOPD: A pesar de que el responsable miembros de Superbanda deseen ejercer su derecho de cancelación con base en la Ley Orgánica 15/1999 de Protección de Datos (LOPD), esta norma no es de aplicación en este caso concreto, puesto que no se trata de proteger datos que se encuentren incluidos en un fichero (entendido fichero como “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”). Por tanto, no puede ejercer tal derecho por una razón tan sencilla como que no hay fichero sobre el que ejercerlo. La norma que aplica en este caso es la Ley Orgánica 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen.

- LSSI: El responsable Los miembros mentados de Superbanda basa su solicitud de supresión de datos en el artículo 16 de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (que, por cierto, el Magistrado Juez Titular del Juzgado Mercantil número 7 de Barcelona, decidió llamar “Ley de Sociedades y del Servicio de Información” en un alarde de originalidad extrema mientras escribía el texto cargado de estulticia y necedad a partes iguales que conforma el auto 138/09) y, más en concreto, en el apartado a.1. Aquí os dejo el artículo completo con algunas frases subrayadas

Artículo 16. Responsabilidad de los prestadores de servicios de alojamiento o almacenamiento de datos.

1. Los prestadores de un servicio de intermediación consistente en albergar datos proporcionados por el destinatario de este servicio no serán responsables por la información almacenada a petición del destinatario, siempre que:

a No tengan conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o

b. Si lo tienen, actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos.

Se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el párrafo a) cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución, sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse.

2. La exención de responsabilidad establecida en el apartado 1 no operará en el supuesto de que el destinatario del servicio actúe bajo la dirección, autoridad o control de su prestador.

El conocimiento es efectivo es aquel que se tiene cuando un órgano competente haya declarado la ilicitud de los datos o la existencia de lesión. En caso de que se aprecie la ilicitud de los datos, el órgano deberá, además, ordenar bien su retirada, bien el bloqueo del acceso a los mismos. A esta declaración, que será judicial en la mayoría de los casos, se le añade la necesidad de que el prestador (ADSLzone) conozca la resolución para que pueda ejecutarla.

Por tanto, la simple creencia de que el contenido puede ser ilícito no supone el nacimiento automático de  responsabilidad, más allá de la propia de la “diligencia debida”, tal y como se señala en la sentencia de alasbarricadas.org. Sobre qué es “diligencia debida” y qué se entiende por “contenidos ilícitos” ya he escrito por lo que os remito al post titulado Responsabilidad por alojar contenido ilegal en España.

Mis conclusiones:

El hecho de que Superbanda algunos miembros de Superbanda hayan solicitado a ADSLzone la supresión de sus datos personales de sus directivos de las páginas del foro es razonable pero no de obligado cumplimiento por parte de los responsables del sitio web, en virtud del artículo 16 de la LSSI. No habría sido en absoluto razonable la solicitud de supresión de críticas sanas sobre su servicio puesto que el usuario es libre de opinar, siempre que lo haga con el debido respeto.

Por otro lado, la actitud de ADSLzone ha sido ciertamente conciliadora, ha ahorrado a sus usuarios y a sí misma problemas potenciales problemas, comunicados por burofax y alguna que otra visita a los juzgados, pero innecesaria desde un punto de vista estrictemente jurídico. Sin embargo, siendo justos con la realidad actual, también hay que tener en cuenta que aún bastantes jueces en España entienden que un foro o un sitio web es lo mismo que un períodico en papel y les aplican la normativa de prensa que hace responsable al Director (en este caso, a ADSLzone)del medio por todo lo que cualquiera haya podido publicar bajo su dominio, por lo que la decisión de ADSLzone también es acertada en este sentido, por si tocase lidiar con algún juez lego en la materia o de gran inventiva, como ciertos casos que se conocen…

(Actualización: Recomiendo leer los comentarios a esta entrada)

¿Conoces los engranajes “legales” de una red social?

Las redes sociales por fin han llegado a los tribunales: La Audiencia Provincial de Valencia (Sección 10ª) ha estudiado las redes sociales en su sentencia núm. 325/2008 de 22 mayo, en un caso de adopción y acogimiento de menores, indicando que el “matrimonio [...] cuenta con una amplia red social y familiar y gozan de buena salud […]”…

Está claro que la tecnología avanza más deprisa que el Derecho dejando vacíos legales que los abogados tenemos que cubrir bien mediante la interpretación, bien mediante la aplicación por analogía:

  • En derecho penal esto no es así, pues rige la literalidad de la ley; por ello nos encontramos con casos tan curiosos como el del auto 101/08 de la Audiencia Provincial de Valencia que considera legales los chips que se instalan en las videoconsolas debido a que no están “específicamente destinado[s]“ (art. 270.3 CP) a piratear la Play sino que sirven para múltiples tareas absolutamente lícitas (reproducir DivX, por ejemplo).
  • Sin embargo, en derecho civil, sí podemos ir un poco más allá de lo que dice la ley por lo que, aunque la Tecnología supere a la ley (cosa que ocurre cada día), siempre habrá una norma que cumplir.

Las redes sociales no son una excepción. Existen tres tipos de normativas que se aplican a este tipo de servicios on-line. No son departamentos estancos y a menudo se entrecruzan, pero desde un punto de vista práctico, se puede dividir en:
- Normativa en beneficio del usuario: Propiedad Intelectual, Protección de Datos, LSSI
- Normativa en beneficio de la red social: Propiedad Intelectual e Industrial, LSSI
- Normativa en beneficio del Estado: Hacienda y Derecho Tributario, Registros

Construyendo la red social
Una vez constituida la empresa y atendido el pago de los impuestos correspondientes, se deberá hacer frente al reto de la construcción informática o tecnológica de la red social. Si tienes que contar con un equipo informático externo, es recomendable la redacción de un contrato de desarrollo de software que especifique de forma clara los términos relativos a la entrega del código fuente.

En esta primera fase de desarrollo habrán de tenerse en cuenta las legislaciones de propiedad intelectual, derecho civil y derecho mercantil.

Textos legales que debe incluir una red social

Datos Registrales: Si la red social va a mostrar publicidad, ofrecerá servicios profesionales o comercializará accesos Premium, tendremos que incluir un párrafo normalmente denominado “Datos Registrales” con la denominación social, CIF, dirección de contacto y otra serie de datos tasados por ley. Esta obligación y otras similares también aplicables a redes sociales vienen definidas en la Ley de Servicios de la Sociedad de la Información.

Habitualmente, la información anterior se recoge en el aviso legal de la web, aunque determinadas redes han optado por incluirla al pie de cada página o de la página principal. Ambas opciones están aceptadas por la ley.

Política de Privacidad: Otro texto fundamental que debe incluir la red social es la “Política de privacidad”. El contenido de esta sección viene determinado por una ley del siglo pasado (1999) denominada comúnmente LOPD (Ley Orgánica de Protección de Datos) cuyo reglamento de desarrollo entró en vigor hace tan solo unos meses. La finalidad de este texto es permitir a los usuarios conocer en profundidad todos los usos que se van a hacer de sus datos de carácter personal, a través de qué medios se recaban, etc. Junto con la política de privacidad, es imprescindible incluir párrafos o avisos de protección de datos en todos los portales de entrada de nuevos usuarios de tal forma que antes de formar parte de la comunidad puedan saber:

  • Si existe un fichero en el que se van a incluir sus datos personales
  • Quién es el responsable de ese fichero
  • Qué se va a hacer con sus datos
  • Si se van a ceder o no; y a quién.
  • Cuáles son sus derechos (acceder a los datos que se tenga sobre él, modificarlos, etc.)
  • A qué dirección tiene que escribir para ejercitar sus derechos

La atención que debe prestarse al tratamiento de los datos, la redacción de la Política de privacidad y la ubicación de los avisos de privacidad deberá ser extrema porque así también lo son las multas por su incumplimiento: Pueden llegar a los 600.000 euros; y son acumulables.

Condiciones de Uso: En tercer lugar, han de redactarse unas condiciones generales o condiciones de uso de la red social. Aquí podremos determinar la responsabilidad de los usuarios por el acceso y uso de los contenidos de la red social y especificar los derechos de propiedad intelectual e industrial que recaen a favor de la red o de los usuarios. Este apartado suele ser especialmente polémico en casos como Tuenti, en los que “el Usuario cede en exclusiva a TUENTI y para todo el mundo los derechos de reproducción, distribución y comunicación pública sobre los contenidos que suministre a través del Sitio Web [...]“.

Aviso Legal: La unión de los tres textos anteriores en uno solo conforma el denominado “Aviso Legal“.

Mesa redonda sobre redes sociales

En unas horas, trataremos éstos y otros temas relacionados con redes sociales en una mesa redonda que compartiré con Ildefonso Mayorgas (Thursday.es), Ícaro Moyano (Tuenti), Roberto Heredia (11870), Luis Cisneros (X-Novo) y Emilio Márquez (Networking Activo) en la Sesión Técnica de Bibliotecas para la Comunidad de Madrid.

La Protección de datos en el ámbito de los Colegios Profesionales II

Antonio Troncoso, Director de la APDCM, en la IV Jornada de Protección de Datos en los Colegios Profesionales, organizada por la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM), enumeró los siguientes principios fundamentales de la Protección de datos:

– Calidad de los Datos: En referencia a los Colegios Profesionales, se debe tener en cuenta que los accesos de departamentos no son cesiones, sino simples “accesos internos” que respetan el principio de calidad.

– Información: La obligación de colegiarse no excluye la necesidad de informar correcta y suficientemente.

– Consentimiento: A este respecto, Troncoso destacó las implicaciones de la previsión incluida en la Directiva 95/46.

– Seguridad de la Información: Debe prestarse especial atención a los datos impresos en papel y las medidas de seguridad que hayan de implantarse en relación a este soporte.

La comunicación de datos en los Colegios Profesionales:

La normativa aplicable de protección de datos dispone que sólo se podrá excepcionar la norma de no comunicación si hay consentimiento o habilitación legal para ello. Las cesiones para el control deontológico sólo se exceptúan en procesos sancionadores.

En cuanto a las sanciones propiamente dichas, éstas no pueden comunicarse a terceros. En el caso de que la sanción consista en que se aparte al infractor de la profesión, podrá comunicarse el cese pero no el motivo de éste, excepto en los casos en que medie una relación negocial o exista habilitación legal que lo permita. Por tanto, en el fichero de colegiados podrá aparecer el nuevo estado de “no ejerciente” del profesional, pero no el motivo que haya dado lugar al cambio. Si el Colegio lo permite, el colegiado no ejerciente puede decidir no aparecer en el listado público. En cambio, el profesional colegiado ejerciente debe aparecer en todo caso debido al carácter público del listado.

Por lo que respecta a la comunicación y compartición de datos entre dos o más colegios profesionales, puede llevarse a cabo si se circunscribe a los ficheros de estado de colegiación, estado deontológico y otros similares.

El fichero de colegiación no podrá en ningún caso ser utilizado para ejercer potestades de derecho privado, sino únicamente aquellas de carácter público o administrativo.

Aquí finalizó la ponencia de Antonio Troncoso. Ahora puedes ir a la entrada principal de esta Jornada para acceder al resto de ponencias.

La Protección de datos en el ámbito de los Colegios Profesionales

Los Colegios profesionales gozan de un carácter mixto o también llamado bifronte por cuanto que son al mismo tiempo administración pública y asociación de particulares. De esta forma se explica que, si bien realizan actividades que pueden calificarse de administrativas, sus actos se rijan por Derecho Privado.

Como ya he comentado en otras ocasiones, el derecho de protección de datos exige, para poder ser aplicado, la existencia de datos de carácter personal, pero también que haya tratamiento. En este sentido, es indudable que los Colegios Profesionales no sólo cuentan con grandes bases de datos de carácter personal sino que también los manejan con finalidades diversas, unas veces para el ejercicio de potestades de derecho público y otras para el resto de potestades. Esta diferencia en la finalidad del tratamiento -o más bien en el origen de la habilitación- otorga al fichero su naturaleza pudiendo ser pública (para el caso de que el tratamiento obedezca al ejercicio de potestades públicas) o privada (para el resto de casos).

En principio, la diferenciación entre unos y otros no debería ser motivo de discordia o discusión, pero la realidad nos muestra que hay supuestos en los que no es tan sencillo determinar la naturaleza de la potestad y, por tanto, la del fichero.

Algunos supuestos de fácil determinación son, para los ficheros públicos, los siguientes:

  • Ficheros de colegiados
  • Ficheros de régimen disciplinario
  • Ficheros relativos a la elección, constitución y funcionamiento de los órganos de gobierno
  • Fichero para el control del pago de la cuota colegial

Como podemos apreciar en los ejemplos expuestos, la actividad realizada con base en estos ficheros es puramente administrativa (en especial los dos últimos). Sin embargo, no basta como que una actividad determinada esté prevista en la ley sino que, además, debe ser revisable por la jurisdicción contencioso-administrativa para que pueda otorgarse a su fichero el calificativo de público.

En el ámbito de los ficheros privados, destacan aquellos destinados a la gestión interna del colegio (como, por ejemplo, el fichero de nóminas, de contratación, recursos humanos, etc.) y los que ofrezcan servcicios de valor añadido (mutualidad, seguros…).

En cualquier caso, la delimitación del carácter público o privado es fundamental debido a que el régimen jurídico aplicable a uno y otro es diferente. Por tanto, se requiere práctica, conocimientos jurídicos especializados y un poco de pericia para determinar correctamente esta naturaleza.

Hasta aquí llega la primera parte de la ponencia de Antonio Troncoso, Director de la APDCM, expuesta en la IV Jornada de Protección de Datos en los Colegios Profesionales, organizada por la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM)

Ahora puedes leer la segunda parte o ir directamente a la entrada principal de esta Jornada para acceder al resto de ponencias.

Jornada sobre protección de datos en colegios profesionales

Ayer tuvo lugar la IV Jornada de Protección de Datos en los Colegios Profesionales, organizada por la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM). El evento congregó a decenas de juristas y “profesionales especializados” del sector hasta cubrir el aforo del salón de actos del Ilustre Colegio Oficial de Médicos de Madrid (ICOMEM).

Abrió la sesión Francisco Granados, Consejero de Presidencia, Justicia e Interior de la Comunidad de Madrid, haciendo gala de su capacidad de expresar multitud de conceptos en pocas palabras y con especial claridad. Explicó el nacimiento de la Agencia a través de referencias legislativas (art. 2 Ley 8/2001 de la CAM) y a continuación expuso brevemente los logros de ésta en los últimos años, de entre los que destaco el hecho de pasar de un 14,3% de Colegios con ficheros inscritos en 2003 a un 100% en 2007, cifra que naturalmente se mantiene e incluso se renueva por medio de continuas modificaciones, bajas y altas de ficheros (como media, cada colegio tiene 5 ficheros inscritos).

A continuación, Jualiana Fariña, Presidente del ICOMEM, dio la bienvenida a los asistentes y agradeció la presencia de los ponentes, de los cuales el primero fue Antonio Troncoso, Director de la APDCM, y le siguieron Emilio Aced (Subdirector General de Registro de Ficheros y Consultoría de la APDCM) y Carmen Martínez (Consejera Técnica – Responsable de los Colegios Profesionales en la APDCM).

  • La Protección de datos en el ámbito de los Colegios Profesionales (Parte IParte II)