Me han invitado desde el blog «Una docena de…» a colaborar con ellos divulgando cuestiones jurídicas. Mi primer post habla de «tonterías jurídicas», esas frases o términos jurídicos que usa mucha gente, y sobre todo se oyen en los medios de comunicación, pero que son erróneos.
Aprovecho para recomendar el blog porque es muy original y entretenido.
La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 2.000 euros a una persona por haber abierto un perfil falso en la red social Badoo haciéndose pasar por otra persona. Esta resolución es bastante jugosa por varias razones.
En primer lugar por su instrucción: primero se solicita a la Oficina del Comisionado Chipriota para la Protección de Datos, (cuyo nombre oficial es, por si les pica la curiosidad, Γραφείου Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα) información sobre la dirección IP desde la que se creó el perfil y se realizaron conexiones. Conocida esa IP, el operador Euskaltel le facilita a la AEPD la identificación del titular que tenía asignada esa dirección IP en el periodo en el que se realizaron las mencionadas conexiones.
Puede llamar la atención las inmensas posibilidades que tiene la AEPD de investigación e identificación de usuarios de servicios de telecomunicaciones. La Agencia se ampara en el art. 40 de la LOPD, en el que se dice que las autoridades de control, en su labor de inspección, podrán recabar “cuantas informaciones precisen para el cumplimiento de sus cometidos”. Es cierto que una interpretación amplia de este precepto puede llevar a aceptar que pueden “pedir” lo que quieran, pero también es verdad que una cosa es que puedan pedir y otra que el poseedor de esa información tenga la obligación de facilitarla. Por otro lado, está el viejo debate que trae a colación lo establecido en los arts. 1 y 6 de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas, en los que se dice que los datos de tráfico sólo pueden ser cedidos previa autorización judicial y con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales. Respecto a este debate, nos remitimos a esta entrada de David Maeztu y a las aportaciones realizadas en sus comentarios.
También es interesante que en esta resolución se recuerda que, en caso de que haya abierto un proceso penal, se debe suspender el procedimiento hasta que recaiga resolución judicial. No se produjo en este caso, aunque lo alegaba la denunciada, puesto que la Agencia no tenía conocimiento de la apertura de ningún proceso penal con identidad de sujeto, hecho y fundamento, tal como exige el art. 7 del Real Decreto 1398/1993.
En cuanto a la cuestión de fondo, la Agencia entiende que, dado que se abrió un perfil utilizando el nombre de pila, número de teléfono y fotografía de otra persona, hay un tratamiento de datos sujeto a la LOPD, tratamiento realizado sin consentimiento, lo que supone una infracción del art. 6. En primer lugar puede llamar la atención que estamos ante el tratamiento de datos realizado por un particular, con lo que cabría pensar que estamos fuera del ámbito de aplicación de la LOPD, atendiendo a la conocida como “excepción doméstica“. Aunque es sabido y es reiterada la doctrina de la AEPD por la que se entiende que en el momento en que se tratan datos personales públicamente en Internet esta excepción no se tiene en cuenta, creo que debería haberse analizado este aspecto.
El caso es que debemos plantearnos si la AEPD entra a conocer de cuestiones que parecen ajenas a la normativa sobre Protección de Datos y por tanto sobre su competencia. La suplantación de identidad en una red social podría pensarse que supone un delito de usurpación del estado civil, tipificado en el art. 401 del Código Penal, pero es muy complicado aplicar este artículo, puesto que la jurisprudencia viene exigiendo que el infractor se haga pasar en su totalidad por otra persona, y además con carácter permanente. También puede ser un medio para la comisión de otras infracciones y delitos, pero sólo eso, un medio. Por tanto la mera suplantación de identidad en una red social puede quedar sin sanción y no parece que sea una actuación no merecedora de reproche.
Esta actuación de la AEPD ha sido muy criticada por entender, como hemos dicho, que estamos ante una actuación que debe quedarse fuera de sus competencias, pero lo que es incuestionable es que se ha realizado un tratamiento de datos personales sin consentimiento, y ante eso la Agencia no tiene más remedio que actuar. Espero los comentarios discrepantes con mucho interés.
La Audiencia Provincial de Vizcaya ha dictado una sorprendente sentencia por la que se condena a un año de prisión a los administradores de unas páginas desde las que se facilitaban enlaces para la descarga de contenidos audiovisuales, al considerar que se ha cometido un delito contemplado en el artículo 270 del Código Penal.
Dejando a un lado algunas cuestiones controvertidas de carácter procesal, la sentencia es sorprendente y novedosa, por dos razones:
– Se trata de la primera sentencia de un tribunal en la que se considera que facilitar enlaces constituye un acto de comunicación pública. Hasta ahora ningún tribunal español había considerado que un enlace a un contenido supusiera una infracción de propiedad intelectual. Ni siquiera la famosa sentencia de elrincondejesus.com establecía eso, puesto que en los hechos probados de la misma consta que la web alojaba archivos, no sólo enlaces.
– Además de considerar que un enlace constituye un acto de comunicación pública, la sentencia tiene algo que deja atónito a cualquiera. Dado que esta página web es un prestador de servicios de la sociedad de la información, hay que acudir a la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), en la que se regulan una serie de exenciones de responsabilidad para los prestadores, en función del tipo de servicio que prestan. En el caso que nos ocupa, una página web en la que se suministran enlaces tiene cabida, evidentemente, en el artículo 17 de la LSSI, con un título más que descriptivo: “Responsabilidad de los prestadores de servicios que faciliten enlaces a contenidos o instrumentos de búsqueda”. Pues bien, los magistrados de Vizcaya han ido a aplicar el artículo 15, destinado a los “prestadores de servicios que realizan copia temporal de los datos solicitados por los usuarios”, es decir, lo que hacen los llamados “servidores proxy”, cuya funcionalidad está perfectamente descrita en este mismo artículo: almacenan datos en sus sistemas de forma automática, provisional y temporal, con la única finalidad de hacer más eficaz su transmisión ulterior a otros destinatarios que los soliciten.
Pues bien, según los magistrados de la Audiencia Provincial de Vizcaya, resulta que lo que hace una página web en la que se facilitan enlaces a contenidos (lo que dice el artículo 15 de la LSSI) en realidad es hacer copia temporal de datos, de forma automática, provisional y temporal. Es decir, que los acusados reciben una pena de prisión porque los magistrados no saben lo que es un “proxy”. No hay por dónde cogerlo, creo modestamente que es un grave error por parte de la Audiencia. Salvo que se nos haya olvidado leer, claro.
La Asociación Profesional Española de Privacidad (APEP) ha publicado un documento dirigido a las empresas y profesionales interesados en contratar un servicio de consultoría de protección de datos, con el objetivo de que conozcan qué cuestiones han de tenerse en cuenta si se quiere disponer de un servicio integral y profesional.
El documento, disponible en la página web de la APEP, recoge las claves para acometer correctamente un proyecto de adecuación a la normativa sobre protección de datos. A modo de resumen:
Entre los meses de septiembre y noviembre se están celebrando, en distintas localidades de Castilla y León, una serie de charlas y talleres formativos sobre las ventajas del uso de las redes sociales y las tecnologías de la información por parte de las empresas castellanas y leonesas. Las jornadas, organizadas por el Programa Emprendedores de la Consejería de Fomento y Medio Ambiente de la Junta de Castilla y León, las Cámaras Oficiales de Comercio e Industria y el Consejo Regional de Cámaras, a través de la Red de Asesores TIC de Castilla y León, han contado con profesionales de reconocido prestigio como Diego Coquillat, Emiliano Pérez, Óscar del Santo, Bere Casillas, Andy Stalman, Víctor Gañán, Alfredo Arias o Ana Santos, con la que he tenido el placer de compartir varias de las charlas.
La última de ellas tendrá lugar este jueves 6 de octubre en Valladolid, en la que Ana Santos y yo hablaremos sobre márketing, comunicación y legalidad en las diferentes redes sociales. Dado el éxito que ha tenido la convocatoria, el evento tendrá lugar en el Salón de Actos de la Consejería de Fomento y Medio Ambiente, un espacio de más capacidad que el previsto inicialmente, con lo que los interesados en asistir quizá puedan todavía inscribirse gratuitamente.
Sólo quiero agradecer a la Red de Asesores TIC de Castilla y León por su invitación y felicitarles por la gran acogida que están teniendo las jornadas.
La Agencia Española de Protección de Datos (AEPD) ha sancionado recientemente a Telefónica Móviles España (TME) por haber realizado llamadas a un cliente suyo, pese a que este se encontraba incluido en la Lista Robinson. La sanción, de 3.000 euros, se fundamenta en la existencia de un tratamiento de datos contrario al principio de calidad de los datos (art. 4 de la LOPD), originado por el incumplimiento del art. 30.4 de la LOPD, que obliga a atender las peticiones de oposición de los titulares de los datos.
Mucha tela hay que cortar aquí sobre esta forma de sancionar, pero nos centraremos en la obligatoriedad de consultar el fichero de exclusión publicitaria, “Lista Robinson”, de la Asociación Española de la Economía Digital (Adigital). Al hacerse pública esta resolución, hemos podido leer afirmaciones sobre la necesidad de que se consulte este fichero antes de utilizar datos personales con finalidad publicitaria y es necesario recordar que no es así, o al menos no es así para todas las empresas que realicen esta actividad.
El artículo 49,4 del Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la LOPD (RDLOPD), establece que “quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación“. Una de las cosas que llama la atención en la resolución, es que en ningún momento se explica ni se justifica la obligación por parte de TME de consultar la Lista Robinson de la FECEMD (antigua denominación de Adigital), no se argumenta por qué ese fichero se trata de un fichero común “que pudiera afectar a su actuación”, tal y como establece el art. 49 del RDLOPD. La única razón por la que TME pueda estar obligado es porque sea usuaria de ese fichero, o mejor dicho, como claramente denominó hace ya tiempo Félix Haro, “cliente” de ese fichero. No se puede, con la normativa en la mano, exigir a cualquier empresa que tenga que consultar la Lista Robinson. Además, en este caso, ni siquiera se puede argumentar que TME estará obligada por ser socia de Adigital (sin llegar a ser usuaria, de hecho, del fichero), dado que TME no forma parte de la Asociación Española de la Economía Digital (nueva denominación de la FECEMD): sólo está asociada la matriz, Telefónica de España, como se puede ver en la web de la asociación.
En fin, entenderán el por qué del desastroso título de esta entrada: en resumidas cuentas, es obligatorio consultar la Lista Robinson de Adigital si usted, voluntariamente, se obliga a ello. Si no, la consulta de la Lista Robinson no es obligatoria. No conozco ninguna sanción de la AEPD por no haberlo hecho, si la hay, me encantaría que me la indicaran.
Por cierto, en la resolución se recoge, como hecho probado, que la FECEMD envió a TME “un fichero de solicitudes de inclusión en lista Robinson, que mezclaba clientes y no clientes de TDE y TME”. Me pregunto yo, ejem, si no estamos ante una cesión ilícita de datos de carácter personal, lo cual supone una infracción grave de acuerdo con el artículo 44.3.k de la LOPD. Dado que la Agencia ya conoce este hecho, puesta que está recogido, insisto, como hecho probado en la resolución, supongo que en este momento ya estará abriendo el procedimiento sancionador.
Hace unos días el Ministerio de Sanidad, Política Social e Igualdad pidió a Twitter que cerrara varios perfiles desde los cuales se fomentaban la anorexia y la bulimia. Unos días después esta petición fue rechazada, alegando desde la red social que el cierre de esos perfiles “podría causar en la práctica conflictos con la libertad de expresión“. El propio Ministerio de Sanidad sabía que le iban a contestar así, como se cuenta en la noticia, en la que se califica la respuesta de Twitter como “esperable”.
Efectivamente, no podría esperarse lo contrario. Tenemos como antecedente un caso mucho más significativo, el requerimiento (subpoena) que emitió el Departamento de Justicia de EEUU por el que solicitaban la identificación de los seguidores de la cuenta de Wikileaks en Twitter. No sólo no se dio la información, sino que Twitter apeló solicitando que se levantara la obligación de confidencialidad sobre ese requerimiento para poder informar de ello, apelación que fue estimada. Es decir, Twitter no sólo defendió a sus usuarios, sino que peleó por que conocieran el caso. Conociendo esto, es evidente que al Ministerio de Sanidad español no le iban a hacer mucho caso.
Viendo que la vía “amistosa” utilizada por nuestro Gobierno no es ni parece que vaya a ser efectiva (pese a que según dicen, seguirán enviando a Twitter información sobre esos perfiles), podemos preguntarnos si existen otras vías a las que se pudiera acudir. Pues bien, el artículo 8 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) permite que los órganos competentes adopten las medidas necesarias para que se interrumpa la prestación de un servicio o se retiren los datos que atenten o puedan atentar contra, entre otros principios, “la protección de la salud pública” y “la protección de la juventud y de la infancia“. Parece evidente que el fomento de la anorexia y la bulimia pueden afectar perfectamente a estos dos principios, con lo cual el gobierno podría actuar para adoptar estas medidas. En consecuencia se podría llegar, con la ley en la mano, a bloquear el acceso a Twitter desde España (dado que no es posible bloquear exclusivamente el acceso a determinadas cuentas). Pero no se preocupen, usuarios y fanáticos de Twitter, porque no parece que estemos ante un escenario que pueda ser factible en la práctica. El Ministerio de Sanidad tendrá que seguir informando y haciendo campañas contra estas peligrosas prácticas, pero restringir el acceso a un servicio como Twitter no sería ni recomendable, ni útil, ni necesario.
El nuevo intento de Google de triunfar en las redes sociales, tras varios fracasos, se llama Google+. Para conocer en qué consiste, y qué novedades aporta, les invito a leer la entrada de nuestro vecino de blog en Lex Nova, Leandro Escudero. Como no podía ser de otra forma, aquí analizaremos aspectos legales relacionados con este nuevo producto, centrándonos exclusivamente en tres puntos.
En primer lugar debemos centrarnos en el apartado de privacidad, dado que es uno de los aspectos y preocupaciones clave para los usuarios de servicios de redes sociales actualmente, y además porque desde el lanzamiento de Google+ ha sido uno de los temas más comentados y aplaudidos. Lo cierto es que las novedades en cuanto a privacidad no tienen que ver con las posibilidades que otorga, sino con el modo de gestionarla. Comparándolo con Facebook (con la que se están centrando todas las comparaciones), las opciones de privacidad de Facebook son, como mínimo, semejantes a las de Google+; incluso en algunos aspectos más completas todavía. La ventaja que tiene Google+ es de usabilidad, el “invento” de los círculos, y la posibilidad de que, en cada publicación, escojamos con qué círculos o personas en concreto queremos compartir. Pero no se puede decir, en absoluto, que podamos hace una utilización más privada de Google+ que de Facebook o Tuenti.
En cuanto al límite de edad para registrarse, mientras que Tuenti o Facebook han atendido las peticiones de la Agencia Española de Protección de Datos de no permitir el registro a menores de 14 años, en el caso de Google+ basta con tener una cuenta de Google, para lo cual, si bien en sus condiciones del servicio se exige la mayoría de edad, lo cierto es que ni siquiera se pregunta la fecha de nacimiento del usuario. Cierto es que en la práctica no supone un filtrado riguroso, pero es una precaución que sería deseable. Difícil es que además realicen comprobaciones en relación con la edad, como sí hace Tuenti. Por tanto, en este aspecto, podemos decir que Google+ aporta menos garantías que otros servicios.
Por último, tanto Google+ como Facebook incorporan en sus términos de uso, de forma muy similar, la cesión de derechos de los contenidos subidos a sus servicios. Se ha comentado como punto a favor de Google+ lo contrario, pero lo cierto es que la diferencia sólo es aplicable a Picasa. Si acudimos al apartado 11 de las condiciones del servicio de Google, veremos que “al enviar, publicar o mostrar Contenido, estará concediendo a Google una licencia permanente, internacional, irrevocable, no exclusiva y que no está sujeta a derechos de autor para reproducir, adaptar, modificar, traducir, publicar, representar y mostrar públicamente, así como para distribuir, cualquier Contenido que envíe, publique o muestre en los Servicios o a través de ellos”. Pero nos asustemos, como ha ocurrido con Facebook en muchas ocasiones, porque esta licencia “se otorga con el único propósito de permitir a Google publicar, distribuir y promocionar los Servicios”.
Sin perjuicio de todo lo comentado, y pese a la evidente trascendencia que pueden tener las condiciones de uso de las redes sociales, nunca está de más recordar que es la correcta utilización y el sentido común del usuario lo más trascendente a la hora de evitar problemas, sobre todo en lo relacionado con la privacidad.
Los pasados días 15, 16 y 17 de junio se celebró en Valladolid, organizada por la Confederación Vallisoletana de Empresarios, la I Semana de las Redes Sociales de Castilla y León. El evento suscitó un gran interés con carácter previo y ha obtenido una gran repercusión con posterioridad. Contó con la participación de un buen número de profesionales conocedores de la materia, entre los que se encontraba el Director Comercial de Lex Nova, Jesús Cadenas.
Los organizadores amablemente me invitaron a tomar parte en una de las sesiones, con el objeto de informar a los asistentes sobre cuestiones de contenido jurídico relacionadas con el uso de las redes sociales.
La ponencia se centró en una serie de aspectos a tener en cuenta, entre muchos otros, a la hora de gestionar las redes sociales dentro la empresa. Seis son los puntos que tratamos:
En definitiva, son muchas y cada vez más evidentes las oportunidades que se les presentan a las empresas con el uso profesional de los servicios de redes sociales, pero es a la vez necesario, como en cualquier otro ámbito, recordar que hay cuestiones legales que no deben dejarse de lado, tanto por la prevención de conflictos jurídicos, como por el daño que puede sufrir la propia imagen de la empresa.
El pasado 24 de mayo se aprobó el Proyecto de Ley por la que se modifica la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (BOCG 27 de mayo 2011). Además de modificar la LGT, se realizan modificaciones en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) y en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).
En cuanto a las que afectan a esta última, nos vamos a centrar en las que se derivan de la trasposición de lo contenido en la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, (conocida como “Directiva de cookies“), por la que se modifica, entre otras normas, la Directiva 2002/58/CE, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (la llamada Directiva de privacidad).
Efectivamente, la Disposición Final Segunda del proyecto, en su apartado Tres, viene a trasponer lo recogido en la Directiva sobre la utilización de “cookies”, modificando el apartado 2 del artículo 22 de la LSSI, que queda de esta forma:
“2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Cuando sea técnicamente posible y eficaz, de conformidad con las disposiciones pertinentes de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto”.
Lo que llama la atención de este texto es la posibilidad de entender obtenido el consentimiento “mediante el uso de parámetros adecuados del navegador o de otras aplicaciones”, lo cual, a primera vista, parece ir en contra de la intención de la Directiva 2002/58/CE, que en su nueva redacción dice lo siguiente:
“Los Estados miembros velarán por que únicamente sepermita el almacenamiento de información, o la obtenciónde acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después deque se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE.”
Sin embargo, si acudimos al Considerando 66 de la Directiva de cookies, vemos que esta redacción no es tan original:
“Cuando sea técnicamente posible y eficaz, de conformidad con las disposiciones pertinentes de la Directiva 95/46/CE, el consentimiento del usuario para aceptar el tratamiento de los datos puede facilitarse mediante el uso de los parámetros adecuados del navegador o de otra aplicación“.
En consecuencia, podemos afirmar que la trasposición es correcta y conforme a la Directiva, pero el quid de la cuestión está, a mi entender, en cómo interpretemos esto, puesto que una interpretación favorable puede facilitar enormemente el cumplimiento de esta obligación, con lo que ya no estaríamos ante la necesidad de que el usuario consienta, de alguna manera, la utilización de cookies, que en principio es la finalidad de la modificación.
Si la Agencia Española de Protección de Datos (AEPD), que es la competente en la materia, sigue los criterios del Grupo de Trabajo de Protección de Datos del artículo 29, la interpretación será bastante restrictiva. Así lo establece este órgano consultivo euroopeo en su Dictamen 2/2010 sobre publicidad comportamental en línea, en el que dice que “para que los buscadores u otras aplicaciones puedan «ser indicativos» de consentimiento válido” se deben dar las siguientes condiciones:
a) Deben rechazar por defecto cookies de terceros y requerir que el usuario realice una acción expresa para aceptar cookies.
b) Los buscadores deben transmitir, en nombre del proveedor de la red de publicidad, la información pertinente sobre el objeto de los cookies y el tratamiento de datos ulterior. Si no se cumplen los requisitos citados, el hecho de proporcionar información y, hasta cierto punto, facilitar la capacidad del usuario para rechazar cookies (explicando cómo hacerlo) no puede en principio considerarse consentimiento. En consecuencia, “parece de capital importancia que los buscadores dispongan de la configuración de «no aceptación y no transmisión de cookies de terceros». Para complementar esto y hacerlo más eficaz, los buscadores deben pedir a los usuarios que entren en un asistente de privacidad la primera vez que instalen o actualicen el buscador y proporcionarles un método fácil de ejercer su opción durante la utilización del producto”.
