DNTecnologias.es

Hace unos días recibí un SPAM, es decir un correo electrónico con publicidad de una entidad sin que se lo hubiera solicitado previamente y con la que nunca había contratado nada. Hasta aquí, por desgracia, nada fuera de lo habitual, pero en este caso me sorprendió por el carácter de esta entidad, dedicada a dar servicios al colectivo de abogados, no me pegaba que se dedicarán a hacer SPAM masivo.

Así, en mi quijotesca lucha contra el SPAM me puse en contacto con ella pidiéndoles que me indicaran de donde habían obtenido mi correo electrónico y que acreditasen mi solicitud o autorización para el envío de sus comunicaciones publicitarias o promocionales por correo electrónico, o la existencia de una relación contractual previa.

Les aclaré que los artículos 21 y 22 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) prohíben el envío de comunicaciones publicitarias o promocionales por correo electrónico que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas (SPAM), excepto cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. También les añadí la posible sanción, que el artículo 38.3. c y el 39.1.b de la LSSI califica como infracción grave el envío masivo de este tipo de comunicaciones, que son sancionadas con multa de 30.001 hasta 150.000 euros.

La respuesta de esta entidad, cortés y amable, fue que habían obtenido mi correo electrónico del listado profesional del Ilustre Colegio de Abogados de Sevilla en su edición de 2010, donde se permite indicar la oposición al tratamiento de esa información con carácter publicitario. Algo que yo no había hecho, por lo que esta entidad entendía que yo autorizaba el envío de comunicaciones comerciales electrónicas.

Mi contestación a dicho argumento fue la siguiente: el hecho de que los datos de los destinatarios de los correos electrónicos con contenido comercial hubieran sido obtenidos de fuentes accesibles al público no exime de la obligación de obtener el consentimiento de los destinatarios de aquéllos para la remisión de envíos publicitarios vía correo electrónico de acuerdo con la LSSI, suponiendo una infracción del artículo 21 de la LSSI.

Les añadí que podían encontrarán numerosos Procedimientos Sancionadores que así lo acreditaban en la web de la AEPD, y les añadí el siguiente extracto del Procedimiento Sancionador 00373-2009:

“En cuanto a las primeras de las fuentes citadas por EL GIRALDILLO como origen de la dirección de correo electrónico del despacho profesional del denunciante, debe tenerse en cuenta que, en contra de lo alegado por la entidad imputada, el hecho de que los datos del destinatario de los correos comerciales denunciados pudieran proceder de la Guía Anual del Ilustre Colegio de Abogados de Sevilla del año 2008 no exime a la entidad imputada de la obligación de obtener el consentimiento previo y expreso del destinatario para la remisión de envíos publicitarios por medios de comunicación electrónica, ya que la LSSI no contempla la excepción recogida por la LOPD para tratar, en envíos publicitarios de naturaleza postal, datos de carácter personal cuyo origen se encuentra en fuentes de acceso público.”

En respuesta a mi contestación, el abogado de dicha entidad, de nuevo muy amablemente, me indicó una Resolución de Archivo de Actuaciones que avalaba lo expuesto por la entidad, que se pueden enviar comunicaciones comerciales por correo electrónico si se obtienen de una fuente accesible al público, el Expediente nº E/01048/2007.

Me indicaba este abogado, también especialista en la materia, que basaban su opinión en el siguiente parágrafo que concatenaba el artículo 6 LOPD con el 21 LSSI:

“En el presente caso, ha quedado acreditado que las direcciones de correos adjuntas a la denuncia figuran en la página web de la Universidad Complutense de Madrid (www…. ) , como un listado de profesionales pertenecientes al ámbito de dicha Universidad, que contiene datos relativos a profesores y personal administrativo, despacho, teléfono y e-mail, con carácter accesible al público y sin limitación alguna.

Una limitación en el uso de los correos electrónicos accesibles a través de la web (www….) podría establecerse mediante su publicación únicamente en la Intranet de la Universidad, o estableciendo alguna medida adicional indicativa de que el titular de dicha dirección electrónica no consiente la recepción de comunicaciones publicitarias, promocionales o ajenas al ámbito propio de su actividad en la Universidad. Tal circunstancia no se ha producido en el presente supuesto.

Teniendo en cuenta que el transcrito artículo 6.2 de la LOPD permite el tratamiento de datos de carácter personal, sin consentimiento inequívoco de los interesados, si dichos datos figuran en fuentes de acceso público y, en este caso, ha quedado acreditado que las direcciones de correo electrónico de los destinatarios de la encuesta de ANÁLISIS E INVESTIGACIÓN, dirigidas a personal de la Universidad Complutense de Madrid, figuran en la pagina web de la misma sin ninguna limitación, procede concluir que en la actuación denunciada no ha existido infracción a la normativa vigente en materia de protección de datos”.

Sin embargo, en mi opinión, creo que no se puede concatenar LSSI y LOPD, pues ambas tienen distintas exigencias, sobre todo en el caso del SPAM, que viene especialmente regulado en la LSSI con independencia de que el destinatario sea una persona física o jurídica, y de que se cumpla o no los requisitos para el tratamiento de datos que exige la LOPD.

Yo la verdad lo veo bastante claro, y en mi opinión, este archivo de actuaciones no hace sino reafirmar lo expuesto anteriormente, pues en este caso no se trata de una comunicación comercial electrónica, sino de una encuesta, y por tanto, como bien estima la AEPD no le es de aplicación la LSSI, que claramente prohíbe el envío de comunicaciones comerciales o publicitarias electrónicas sin consentimiento previo.

Por tanto, partiendo de la base de que no se aplica la LSSI, la normativa que aplica la AEPD es la LOPD, pues las direcciones de correo electrónico son datos de carácter personal. Así, al haberse obtenido dichas direcciones de una fuente accesible al público excepcionan la necesidad de consentimiento de los destinatarios, por lo cual no hay infracción.

Para finalizar y como conclusión, en mi opinión nada tiene que ver el caso con el que suscitó mi reclamación, pues era claramente una comunicación comercial electrónica, y por tanto claramente le es de aplicación la LSSI, por lo que en caso de que alguien denunciara y se comprobara el envío masivo de las mismas es muy probable que dicha entidad se encontrara ante una infracción muy grave sancionada con multa de 150.001 a 300.000 €.

En cualquier caso, las equivocaciones están llenas de personas seguras de lo que opinan, así que me gustaría saber vuestra opinión. Muchas gracias.

Por el interés de este tema, paso a reproducir un artículo del blog de Samuel Parra:

El sistema que ofrece la DGT en su página web para que el ciudadano pueda consultar sus puntos del carnet fue declarado hace más de un año ilegal por la Agencia Española de Protección de Datos al no garantizar la privacidad de los datos accesibles. No obstante, los responsables del sistema en la DGT afirman que no les consta que nadie haya hecho un uso perverso del sistema (accediendo a datos de terceros), por lo que no lo van a cambiar.

El 24 de febrero de 2009 la Agencia Española de Protección de Datos declaró en la Resolución 00372/2009 que

“La Dirección General de Tráfico está obligada a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales contenidos en sus ficheros. Sin embargo, ha quedado acreditado que la citada entidad incumplió esta obligación, al posibilitar que por parte de terceros se pudiera acceder, a través de la página web, a datos personales de titulares del permiso de conducción asociado al saldo de puntos relativos a dicho permiso.”

Se declaraba infringido por tanto el artículo 9 de la Ley Orgánica de Protección de Datos, como infracción grave, y en consecuencia, se le requería para que adoptase las medidas oportunas para atajar esta situación.

Pero antes de continuar, contiene responder ¿por qué el sistema de consulta de puntos del carnet de conducir vulnera la LOPD?

Veamos, para consultar los puntos hay dos vías: la que utiliza el Certificado Digital y la que no. Los problemas vienen por la segunda vía.

Si un ciudadano decide consultar sus puntos sin utilizar certificado digital deberá seguir estas instrucciones que yo resumo de la siguiente manera:

• § 1º: Introduce el NIF.
• § 2º: Introduce la fecha de expedición del primer carnet de conducir.

Si el NIF coincide con la fecha, continúa el proceso:

• § 3º: Introduce tu dirección de correo electrónico (cualquiera, una en @hotmail, @gmail o donde quieras)
• § 4º: Recibe en tu correo electrónico la clave de acceso para consultar los puntos.

El avispado lector habitual de este blog ya debe percibir dónde está el problema.

En primer lugar decir que TODOS aquellos que tengamos carnet de conducir estamos dados de alta en el sistema, es decir, unos 25 millones de ciudadanos.

El problema, según la Agencia Española de Protección de Datos (y creo que según cualquier ciudadano medio) se encuentra en la primera fase del proceso: NIF + fecha

Si queremos curiosear los puntos de cualquier ciudadano solo debemos conocer su NIF (nada difícil hoy en día gracias a los Boletines Oficiales, los buscadores de Internet, etc, o simplemente probamos uno al azar) y luego “descubrir” la fecha, que a estos efectos, haría las veces de “contraseña”.

Ahora bien, ¿cuántas combinaciones posibles de “fechas” puede tener un ciudadano medio? Pocas y menos aun si conoces aproximadamente la edad de la víctima, ya que lo habitual es sacarse el carnet entre los 16 y los 25 años de edad.
Si nos encontramos en este último supuesto estamos hablamos de un total de unas 3650 combinaciones posibles como máximo, menos si quitamos domingos y festivos ya que no sería posible haber obtenido el carnet en uno de esos días.

En la era de informática y la automatización el atacante no estaría toda la mañana probando una a una esas 3650 combinaciones sino que haría un pequeño programa o utilizaría algunos plugins para el Firefox para que el ordenador lo hiciera por él a velocidad ultra-rápida. 3650 combinaciones sería posible probarlas en menos de 15 minutos.

Por supuesto no hay un límite máximo de intentos fallidos al introducir la fecha de expedición, tenemos intentos ilimitados.

Una vez obtenida la fecha de expedición, nos pedirá una dirección de correo electrónica: indicamos la que nos acabamos de abrir en Hotmail a nombre de Superman; en breves minutos recibiremos la contraseña de acceso y ya podremos consultar los puntos del carnet de nuestro vecino, del político o famosete de turno. Es más, si el usuario ya tenía su contraseña para el sistema, ésta se cambiará automáticamente por la que acabamos de recibir.

Pero podemos hacer algo más interesante, quedarnos en la primera parte del proceso. Y es que cuando introducimos el número de NIF válido + la fecha válida, el sistema inmediatamente nos vuelve el nombre y apellidos de esa persona. Un usuario malintencionado podría dejar durante varios días funcionando una aplicación para hacer una base de datos de NIF + Nombre + Apellidos + Fecha del carnet de conducir.

Como decía al principio, esto ha sido declarado ilegal por la AEPD, pero ¿la DGT lo va a cambiar para garantizar la intimidad de los ciudadanos? NO.

Luis de Eusebio, responsable de informática de la DGT, en declaraciones realizadas a El Mundo, afirma que:

“Tráfico reconoce la vulnerabilidad del sistema actual pero no está dispuesto a cambiarlo. A pesar de la contundencia con que Protección de Datos describe cómo de expuesta está la información personal de millones de conductores en los archivos de la DGT, el organismo no se ve obligado desde un punto de vista jurídico a tomar medidas y, por otra parte, tampoco ve factible realizar nuevos cambios en el sistema.”

Y añade:

“El responsable de informática de la DGT, Luis de Eusebio, aclara que el sistema actual de consulta fue aprobado en 2006 por la AEPD y que hasta ahora no se han conocido casos de suplantación de identidad de los conductores.”

Nadie debería asombrarse; en este país estamos acostumbrados a que se aborden cuestiones relativas a la seguridad una vez que ya se han producido los daños, eso de la “prevención” no se lleva. Y es lo que precisamente dice la DGT, hasta que no conste que un tercero ha accedido a los puntos de otra persona no van a cambiar nada. Eso sí, cuando esto ocurra, entonces se podrá exigir responsabilidad patrimonial a la Administración por negligencia en la custodia de la información personal que trata en sus ficheros.

Pero más grave me parece que una Administración, como la DGT, consciente de la ilegalidad de uno de sus servicios, se abstenga de solucionarlo esgrimiendo que “todavía no ha pasado nada”.

La AEPD de hecho tiene competencias para evitar coactivamente esta situación ilegal por parte de la DGT, el artículo 49 de la LOPD indica:

“En los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia Española de Protección de Datos podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, la Agencia Española de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas.”

La AEPD podría inmovilizar ese tratamiento de datos ¿alguien se anima a requerirlo expresamente?

¿Por qué publicar esto ahora y no hace un año? He preferido esperar a ver si las declaraciones que aparecían en el medio de comunicación se cumplian o no, en otras palabras, he estimado que si en un año no han cambiado el sistema a pesar del requerimiento de la AEPD, es que efectivamente no lo van a cambiar hasta que “pase algo”. Y ESTO ES LO QUE CONSIDERO RELEVANTE.

Descargar resolución de la AEPD declarando ilegal el sistema de consulta de puntos de la DGT.

El Consejo de Ministros aprobará hoy viernes en Sevilla la “Ley de Economía Sostenible”, que incluye la conocida como “Ley Sinde”, que permitirá el cierre de páginas web en sólo cuatro días. Me sumo a los blogs que republican hoy el manifiesto conjunto del pasado mes de diciembre:

Ante la inclusión en el Poyectroyecto de Ley de Economía sostenible de modificaciones legislativas que afectan al libre ejercicio de las libertades de expresión, información y el derecho de acceso a la cultura a través de Internet, los periodistas, bloggers, usuarios, profesionales y creadores de Internet manifestamos nuestra firme oposición al proyecto, y declaramos que:

1. Los derechos de autor no pueden situarse por encima de los derechos fundamentales de los ciudadanos, como el derecho a la privacidad, a la seguridad, a la presunción de inocencia, a la tutela judicial efectiva y a la libertad de expresión.

2. La suspensión de derechos fundamentales es y debe seguir siendo competencia exclusiva del poder judicial. Ni un cierre sin sentencia. Este anteproyecto, en contra de lo establecido en el artículo 20.5 de la Constitución, pone en manos de un órgano no judicial -un organismo dependiente del ministerio de Cultura-, la potestad de impedir a los ciudadanos españoles el acceso a cualquier página web.

3. La nueva legislación creará inseguridad jurídica en todo el sector tecnológico español, perjudicando uno de los pocos campos de desarrollo y futuro de nuestra economía, entorpeciendo la creación de empresas, introduciendo trabas a la libre competencia y ralentizando su proyección internacional.

4. La nueva legislación propuesta amenaza a los nuevos creadores y entorpece la creación cultural. Con Internet y los sucesivos avances tecnológicos se ha democratizado extraordinariamente la creación y emisión de contenidos de todo tipo, que ya no provienen prevalentemente de las industrias culturales tradicionales, sino de multitud de fuentes diferentes.

5. Los autores, como todos los trabajadores, tienen derecho a vivir de su trabajo con nuevas ideas creativas, modelos de negocio y actividades asociadas a sus creaciones. Intentar sostener con cambios legislativos a una industria obsoleta que no sabe adaptarse a este nuevo entorno no es ni justo ni realista. Si su modelo de negocio se basaba en el control de las copias de las obras y en Internet no es posible sin vulnerar derechos fundamentales, deberían buscar otro modelo.

6. Consideramos que las industrias culturales necesitan para sobrevivir alternativas modernas, eficaces, creíbles y asequibles y que se adecuen a los nuevos usos sociales, en lugar de limitaciones tan desproporcionadas como ineficaces para el fin que dicen perseguir.

7. Internet debe funcionar de forma libre y sin interferencias políticas auspiciadas por sectores que pretenden perpetuar obsoletos modelos de negocio e imposibilitar que el saber humano siga siendo libre.

8. Exigimos que el Gobierno garantice por ley la neutralidad de la Red en España, ante cualquier presión que pueda producirse, como marco para el desarrollo de una economía sostenible y realista de cara al futuro.

9. Proponemos una verdadera reforma del derecho de propiedad intelectual orientada a su fin: devolver a la sociedad el conocimiento, promover el dominio público y limitar los abusos de las entidades gestoras.

10. En democracia las leyes y sus modificaciones deben aprobarse tras el oportuno debate público y habiendo consultado previamente a todas las partes implicadas. No es de recibo que se realicen cambios legislativos que afectan a derechos fundamentales en una ley no orgánica y que versa sobre otra materia.

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha hecho públicos los resultados del Estudio sobre el fraude a través de Internet, que analiza la evolución del fenómeno desde 2007 hasta septiembre de 2009.

El informe describe, desde la óptica del usuario de Internet, la evolución de las situaciones relacionadas con el fraude electrónico desde 2007 hasta el tercer trimestre de 2009, y el impacto que dichas situaciones han tenido sobre el usuario, tanto a nivel económico como en el grado de e-confianza.

La crisis económica y la consiguiente bajada de los niveles de consumo han llevado a muchas empresas y profesionales a incrementar su actividad publicitaria, produciéndose en algunos casos un verdadero acoso al consumidor, que no deja de recibir visitas, llamadas y correos electrónicos a diestro y siniestro.

Con el objeto de regular estas prácticas, y que no se realicen de forma abusiva, recientemente se ha incorporado a nuestro ordenamiento jurídico una Directiva europea relativa a las prácticas comerciales desleales de las empresas en sus relaciones con los consumidores en el mercado interior. Esta incorporación se ha plasmado en la Ley 29/2009, por la que se modifica el régimen legal de la competencia desleal y de la publicidad para la mejora de la protección de los consumidores y usuarios, que desde hace pocos días ha entrado en vigor.

Como ya hemos mencionado, hay tres vías por la que se nos hace llegar publicidad de una manera activa. A través de visitas en nuestro hogar, por teléfono, normalmente en horas de descanso, o por correo electrónico, colapsándonos nuestras bandeja de entrada. Veamos cómo podemos defendernos en cada una de estas modalidades.

La menos usual de éstas, por los costes que para las empresas y profesionales que nos quieren hacer llegar sus productos o servicios supone, son las visitas a domicilio, normalmente sin aviso previo, conocidas como a “puerta fría”. Tras la reciente modificación normativa se viene a considerar desleal por agresiva realizar las visitas en persona al domicilio del consumidor o usuario, ignorando las peticiones para que el empresario o profesional abandone su casa o no vuelva a personarse en ella.

Bastante más común, y a lo que tristemente ya empezábamos a acostumbrarnos, es el bombardeo de llamadas telefónicas en nuestro domicilio ofertándonos todo tipo de productos y servicios. Esto también lo previene la normativa, reputando igualmente desleal el realizar propuestas no deseadas y reiteradas por teléfono, fax, correo electrónico u otros medios de comunicación a distancia, salvo en las circunstancias y en la medida en que esté justificado legalmente para hacer cumplir una obligación contractual.

En esta dirección, para evitar este posible acoso telemático, se obliga al empresario o profesional a utilizar en sus comunicaciones publicitarias sistemas que le permitan al consumidor dejar constancia de su oposición a seguir recibiendo propuestas comerciales del mismo. Algo que sin duda debemos hacer si queremos que no nos molesten más por teléfono.

Pero, ¿y si no nos hacen caso y nos siguen llamando? Podemos denunciar este hecho ante los Tribunales, solicitando entre otras acciones, la declarativa de deslealtad, la acción de cesación de la conducta desleal o de prohibición de su reiteración futura, y la acción de resarcimiento de los daños y perjuicios ocasionados por la conducta desleal.

No obstante, estas acciones también podrán ejercitarse a través de asociaciones, corporaciones profesionales o representativas de intereses económicos, cuando resulten afectados los intereses de sus miembros. Igualmente, podrán ejercitarse por el Instituto Nacional del Consumo y los órganos o entidades correspondientes de las comunidades autónomas y de las corporaciones locales competentes en materia de defensa de los consumidores y usuarios, y por las distintas asociaciones de consumidores y usuarios. Éste será el camino más cómodo y fácil de emprender.

Muchos pensarán ahora, ¿y cómo sé a quién he de denunciar?, si siempre me llaman desde un número privado u oculto. Pues otra novedad es que quedan prohibidas las llamadas desde números privados o anónimos, para así asegurar la efectividad de que el consumidor o usuario pueda ejercer su derecho de oposición a recibir propuestas comerciales no deseadas, cuando éstas se realicen por vía telefónica.

Por último, para el caso de comunicaciones publicitarias o promocionales por correo electrónico, por fax o a través de llamadas automáticas sin intervención humana, que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas, hemos de señalar que están totalmente prohibidas, excepto cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En este caso, si queremos reclamar haber sido víctimas de alguna de estas prácticas, conocidas popularmente como SPAM, simplemente tenemos que dirigir una carta ante la Agencia Española de Protección de Datos denunciando lo sucedido. Algo más fácil y asequible que el procedimiento de defensa ante los acosos anteriormente vistos.

Parece por tanto que comienzan buenos tiempos para defender no sólo nuestra privacidad, sino también nuestra tranquilidad y nuestro merecido derecho al descanso.

Ha aparecido en “El Mundo” la siguiente noticia que transcribo aquí:

Después de tres años de lucha judicial, Jesús Guerra Calderón, dueño de un pequeño bar de un polígono de Caldes de Montbui (Barcelona) y de la página web de enlaces P2P ‘Elrincondejesus.com’, ha vencido a la SGAE. Una histórica sentencia (PDF) afirma no sólo que las páginas de enlaces son legales, sino que reafirma la legalidad de las propias redes de intercambio P2P en nuestro país.

Raúl N. García Orejudo, magistrado titular del Juzgado Mercantil número 7 de Barcelona, ha desestimado la demanda de la Sociedad General de Autores y Editores y ha absuelto a Jesús de las pretensiones de la sociedad de gestión, que pretendía el cierre del sitio web, así como una indemnización, por la “comunicación pública y la reproducción de obras musicales del repertorio gestionado por la SGAE”.

En esta sentencia absolutoria, el juez, que ya había desestimado un cierre cautelar de la página hace meses con parecidos argumentos, entra al fondo de la cuestión: ¿Es legal enlazar a sitios de intercambio de archivos P2P? Según el texto, las pruebas periciales indicaban que en Elrincondejesus.com “no se almacenaban ninguno de los archivos cuya referencia se indica”.

Es más, el juez considera que el sistema de ‘links’ o enlaces no supone ni distribución, ni reproducción, ni comunicación pública de las obras protegidas, ya que lo único que creó el autor del sitio demandado es un mero índice que facilita la búsqueda en redes de intercambio de archivos.

“En sentido amplio”, dice el juez, “el sistema de enlaces constituye la base misma de Internet y multitud de páginas y buscadores (como Google) permiten técnicamente hacer aquello que precisamente se pretende prohibir en este procedimiento, que es enlazar a las llamadas redes P2P”.

Además, el titular “no percibe cantidad alguna directa o indirectamente relacionada con el servicio que ofrece”, ya que el sitio web era abierto a todos, gratuito y no tiene publicidad. En suma, no hay ánimo de lucro, ni directo ni indirecto.

El P2P es legal

Pero es que el juez va mucho más allá, al afirmar que “las redes P2P, como meras redes de transmisión de datos entre particulares usuarios de Internet, no vulneran derecho alguno protegido por la Ley de Propiedad Intelectual”.

Cuando una persona descarga un archivo para su uso privado a través de las redes P2P, que son legales, ese mismo acto es perfectamente lícito, razona el juez, siempre que no haga uso lucrativo ni colectivo del mismo una vez obtenida la copia. Pero la mera obtención de la copia es un acto perfectamente legal, insiste.

Además, recuerda la sentencia que la Ley de Propiedad Intelectual habla de la legalidad de la fuente y no de la legalidad del acceso, “de tal manera que la mayoría de los usuarios de estas redes acceden legalmente a la obra, por cuanto han celebrado un contrato lícito y válido a cambio de un precio con un prestador de servicios de la Red”.

Canon

El juez valora que estas copias, si son guardadas en un disco duro o en discos ópticos, “precisamente porque son elementos susceptibles de recibir copias probadas de obras protegidas por propiedad intelectual, están gravados con el correspondiente canon o compensación equitativa del artículo 25 de la Ley de Propiedad Intelectual”.

¿Hay comunicación pública cuando hablamos de P2P, otro de los requisitos que exige la ley para considerar la práctica ilegal? La sentencia reconoce que si bien hay una “puesta a disposición del público de obras sin distribución de ejemplares” y que “es comportamiento puede ir a una pluralidad de personas”, reconoce que es complicado demostrarlo, ya que se pueden dar casos como que el intercambio sea con una sola persona.

Por último, recuerda la sentencia la imposibilidad de identificación del usuario en los procedimientos civiles (y alude al caso Promusicae contra Telefónica), aunque la SGAE recurre a otro tipo de estrategias para obtener dichas identificaciones, como sucedió precisamente en este mismo caso hace meses.

La Agencia Española de Protección de Datos (AEPD) ha rediseñado su página Web y ha incluido nuevos servicios para hacer más accesible su información y acercarse más a los ciudadanos, y al conjunto de usuarios que habitualmente la consultan.

La nueva Web, disponible desde hoy en www.agpd.es mantiene su estructura aunque con revisiones tanto de contenidos como de la forma en que éstos están presentados. Con una imagen más estática y mejor estructurada para hacer más fácil la localización de los contenidos. La nueva Web presenta un mayor uso de la imagen, textos más ligeros y un uso más controlado de las animaciones.

Una de las principales novedades de la Web es la incorporación de las fuentes RSS. Este nuevo desarrollo permitirá suscribirse, y conocer al instante las últimas novedades de informes jurídicos, resoluciones, tutelas de derecho y sentencias más destacadas, así como las notas de prensa, y la agenda diaria. El formato RSS sigue un sencillo esquema por el cual la fuente a la que el usuario se quiere suscribir (por ejemplo, resoluciones) se agrega directamente a la página de favoritos de su navegador, y se actualiza periódicamente. Esto permite al usuario recibir información actualizada sin tener que acceder a la página de la AEPD.

El sitio Web de la Agencia delimita las materias laterales en bloques, dando preferencia al espacio central destinado a los asuntos de actualidad, que ahora cuenta con enlaces más llamativos e intuitivos. Asimismo, el portal destina además bloques individuales entre los que se encuentra uno destinado exclusivamente al objeto de que los ciudadanos conozcan sus derechos, a la actividad internacional de la AEPD, y sus homólogos internacionales.

La semana pasada fui invitado de nuevo a la tertulia de Pepe Feria en Giralda TV, que se emite los viernes a las 21:30 en el canal de televisión público del Ayuntamiento de Sevilla, el canal 54 de la TDT. Como en la primera ocasión que fui invitado lo pasé estupendamente, y hablamos de distintos temas de actualidad de Sevilla y de algunos aspectos del comercio electrónico, la protección de datos de carácter personal y los derechos de los usuarios en Internet.

Incluyo aquí un fragmento del primer programa al que asistí, y os recomiendo que veais el programa si queréis estar informados de la actualidad sevillana.

Get the latest Flash Player to see this player.

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, publicado en el BOE del viernes 29 de enero de 2010, incluye en su disposición adicional cuarta una modificación del Reglamento de desarrollo de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.

Se modifica la letra b) del apartado 5 del artículo 81 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal aprobado por Real Decreto 1720/2007, de 21 de diciembre, que pasa a tener la siguiente redacción:

“b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.”

Por tanto, es modificada la redacción original (“Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad“), quedando este artículo de la siguiente forma:

“Artículo 81. Aplicación de los niveles de seguridad.

1. Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico.

2. Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal:

a) Los relativos a la comisión de infracciones administrativas o penales.

b) Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre.

c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.

d) Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.

e) Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

f) Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

3. Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal:

a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

b) Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.

c) Aquéllos que contengan datos derivados de actos de violencia de género.

4. A los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización, se aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de seguridad de nivel alto contenida en el artículo 103 de este reglamento.

5. En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:

a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.

b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.

6. También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

7. Las medidas incluidas en cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes que pudieran resultar de aplicación en cada caso o las que por propia iniciativa adoptase el responsable del fichero.

8. A los efectos de facilitar el cumplimiento de lo dispuesto en este título, cuando en un sistema de información existan ficheros o tratamientos que en función de su finalidad o uso concreto, o de la naturaleza de los datos que contengan, requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último, siendo de aplicación en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse los datos afectados y los usuarios con acceso a los mismos, y que esto se haga constar en el documento de seguridad.”

Os indico aquí la página de facebook de la Agencia Española de Protección de Datos por si tenéis interés en haceros fan de ella.

http://www.facebook.com/AEPD

Espero que os sea de utilidad.