Bienvenido a mi página personal. Mi espacio web para compartir contigo mi visión de la abogacía, algunas conclusiones jurídicas, impresiones y estudios. A través de esta página puedes acceder a mi perfil profesional y personal; y contactar conmigo si lo deseas.

domingo, 15 de abril de 2012

Ley Cookie

La conocida como Ley Cookie obliga a los propietarios de los espacios web profesionales a impedir que se instalen coockies en los ordenadores de sus usuarios, a menos que éstos hayan prestado su consentimiento, debidamente informado con anterioridad.

¿Su fundamento? Son herramientas con las que se pueden llevar a cabo acciones de spyware para conseguir información sobre los hábitos de navegación del usuario y utilizar los datos personales obtenidos sin su consentimiento con fines comerciales.

Se trata del Real Decreto-Ley 13/2012, de 30 de marzo, que por fin recoge el mandato de la Directiva de la UE de 2009. Y afecta concretamente a la redacción del art. 22 de la LSSI:

Artículo 22.2 de la Ley 34/2002. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

1.- ¿A quién afecta?

A todas las empresas y profesionales con página web y otros prestadores de servicios de la sociedad de la información, siempre que se cumplan al menos uno de los siguientes requisitos:
- Estén establecidos en España
- Estén establecidos fuera de España pero dirijan sus servicios específicamente al territorio español
- Resto de los casos del artículo 2 de la Ley 34/2002

2.- ¿A qué obliga?

Únicamente se permite el uso e instalación de coockies en los siguientes casos:
- Coockies de carácter técnico.
- Coockie estrictamente necesaria.
- Coockie sin capacidad de identificar al usuario: antes de instalarla en el ordenador del usuario, éste debe haber sido  informado de forma clara y completa sobre su utilidad.
- Cookie con capacidad de identificar al usuario: pero antes de instalarla en el ordenador, éste debe haber sido informado de forma clara y completa sobre su utilidad y la finalidad del tratamiento que se vaya a llevar a cabo con sus datos de carácter personal.
- Coockies aceptadas conforme configuración del navegador: En caso de que el usuario hubiera realizado una acción expresa para configurar su navegadorde forma que acepte la instalación de coockies, las páginas web podrán instalarlas de forma automática. Esto obliga a la página web a reconocer el navegador y comprobar que la versión utilizada por el usuario sea una que o bien no acepte coockies por defecto o bien haya obligado al usuario a decidir sobre su aceptación durante la instalación o actualización del mismo.

Fuera de estos supuestos, queda prohibida la instalación de coockies en terminales de usuarios.

3.- ¿Cómo se debe informar?

Existen varios métodos de informar al usuario de forma válida:
a.- Página de bienvenida, con información sobre coockies y botón de aceptar.
b.- Pop-up previo que suspenda la carga de la página hasta la aceptación por el usuario.
c.- Cabecera o pie de página con información y una caja de aceptación.
d.- Paso previo de aceptación dentro del cuadro de reproducción de vídeos, juegos y otras aplicaciones web.

4.- ¿De qué se debe informar?

El contenido de la información para que el usuario preste su consentimiento debe incluir:
- Qué es una coockie
- Para qué usa coockies el sitio web
- Qué coockies en concreto van a instalarse
- Dónde conseguir más información sobre las coockies
- Cualquier otro aspecto relevante.

Como sugerencia, existe una herramienta que se puede utilizar para cumplir con la Ley Coockie: Coockie Control .

5.- ¿El contenido informativo en el Aviso Legal es suficiente?

En principio, no es suficiente; salvo dos excepciones:

- Páginas de registro: El Aviso Legal sí servirá para informar sobre aquellas coockies que se instalen en un momento posterior. Por ejemplo, aquellas páginas que ofrezcan a sus usuarios procedimientos  de registro podrán incluir en el Aviso Legal o en las condiciones de registro la información  relativa a las coockies que s eles vayan a instalar. 

- Servicios solicitados por el usuario: En el Aviso Legal se tendrá que incluir información sobre las coockies necesarias para la prestación de servicios que el usuario pueda solicitar a través del sitio web.

No es necesario informar  acerca de las coockies que se instalen en el navegador del usuario como consecuencia de procedimientos de autenticación OpenID y OAUTH, por cuanto ésta se realiza  fuera del sitio principal.

6.- Si la página web está alojada en Facebook, ¿se da cumplimiento a la Ley?

Por el simple hecho de que esté alojada en ese prestador de servicios, no se da cumplimiento la Ley.

7.- ¿Cómo es el proceso de adecuación a la Ley de Coockies?

Cada caso, necesita un análisis pormenorizado y detallado. No obstante, el proceso es el siguiente:
a.- Auditoría de coockies
b.- Inclusión de información sobre coockies en el aviso legal de la web.
c.- Desarrollo informático de aplicación que bloquee la instalación de coockies y muestre un aviso legal informativo adecuado a la norma.

8.- ¿Desde cuándo es obligatorio el cumplimiento de la Ley?

En España, desde el 1 de abril de 2.012

9.- ¿Cuál es el riesgo por el incumplimiento?

Sanción de 30.000 euros (o hasta 150.000 euros, en caso de que el incumplimiento sea significativo); ex arts 38 y 39 de la LSSI.

No obstante, el importe de la multa tendrá en cuenta la repercusión social de la infracción cometida, el número de usuarios afectados, la gravedad del ilícito...


domingo, 4 de marzo de 2012

Cómo llevar a cabo la destrucción de soportes y papel de forma adecuada

Contínuamente ponemos las precauciones necesarias para tratar de forma adecuada los datos personales en la empresa... pero, ¿cómo debemos destruir los soportes en los que se almacenan?
Su destrucción se puede llevar a cabo a través de una empresa externa o de forma interna; pero siempre se deberá tener en cuenta  la aplicación  de las medidas de seguridad jurídicas, técnicas y organizativas que recoge el artículo 9 de la LOPD: "... garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado...".
En consecuencia,  se deben respetar la siguientes medidas de seguridad:

  • Medidas Organizativas:
    • (a) Autorización de salida de soportes para su destrucción (art. 92.2 RLOPD): previo a la destrucción de los soportes y/o documentos, es necesario verificar que la salida de los mismos se encuentra debidamente autorizada por el responsable en quien se hayan delegado dichas funciones, y que se ha dejado constancia de dichas salidas en el Documento de Seguridad de la entidad
    • (b) Registro salida de soportes (art. 97.2 RLOPD): es necesario hacer constar en el registro de salida de soportes, los documentos o soportes automatizados que hayan sido trasladados fuera de las instalaciones para su correspondiente destrucción
    • (c) Actualización del inventario (art. 92.1 RLOPD): cada vez que se haya procedido a la destrucción de un soporte o documentación que incluya datos de carácter personal, es necesario actualizar el inventario de soportes vigente en la Organización.
  • Medidas Jurídicas:
    •  (a) Plazo aplicable a la destrucción de los soportes (art. 8.2 RLOPD): previo a la destrucción de la documentación y/o soportes, conviene verificar que la información incluida en los mismos ha cumplido el correspondiente plazo legal de conservación y, consecuentemente, puede ser destruida de forma definitiva
    • (b) Regulación contractual (art. 12 LOPD y 83 RLOPD): en caso que la destrucción de soportes y/o documentos sea efectuada por terceras entidades, es preciso regular contractualmente dicha prestación de servicios (encargo de tratamiento, o prestación de servicios sin acceso a datos), especificando las medidas de seguridad e instrucciones aplicables durante el traslado y destrucción definitiva.
  • Medidas técnicas:
    •  (a) Mecanismos de destrucción segura (art. 92.4 RLOPD): es necesario obtener garantías suficientes de que el mecanismo o procedimiento utilizado, no permitirá la recuperación futura de la información incluida en tales soportes/documentos
    • (b) Acceso a la información incluida en los soportes (art. 92 del RLOPD): se deberán adoptar medidas dirigidas a evitar el acceso a la información contenida los soportes o documentos que van a ser destruidos, por lo tanto, en caso de utilizar contenedores especiales, éstos deberán disponer de mecanismos de cierre que garanticen su seguridad y eviten el acceso a la información contenida en los mismos
    • (c)Traslado de soportes (art. 114 del RLOPD): siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado. En este sentido, es conveniente que todas las operaciones de recogida, carga y descarga de los soportes y/documentos o sus contenedores, así como la conducción de los vehículos que los transportan, sean realizadas por personal debidamente autorizado y fácilmente identificable.
A mayor abundamiento, se deberá llevar a cabo la correcta evaluación de la efectividad de los procedimientos de destrucción que se vayan a utilizar; y verificar que se lleve a cabo de forma segura y confidencial.

Procedimientos seguros de destrucción de soportes magnéticos. En el caso de soportes magnéticos, equipos antiguos u ordenadores personales que vayan a ser desechados, es necesario garantizar que la información incluida en los dispositivos de memoria, será suprimida de manera definitiva. A tal efecto, dentro de los procedimientos seguros comúnmente utilizados en el sector, cabe destacar los siguientes: - (i) Presión neumática: perforación física del disco, mediante presión
- (ii) Degaussing: borrado de la información mediante aplicación de campos electromagnéticos; (iii) DiskWiping: mecanismo de borrado físico de los datos empleando herramientas software adecuadas como: PGP Wipe, Eraser, SDelete.

Procedimientos seguros de destrucción de documentación en papel. La destrucción de los documentos en papel deberá ser inmediata e impedir la reconstrucción de la información incluida en los mismos. Al respecto, conviene tener en cuenta las recomendaciones emitidas por el Ministerio de Cultura, a partir de las cuales se recomienda aplicar la normativa europea DIN 32757 (que establece cinco niveles de seguridad, en atención a la información incluida en los documentos), para la destrucción de documentos o expedientes administrativos en papel.

En este sentido, y aunque no exista una equivalencia necesaria entre los niveles de la norma DIN 32757 y los niveles de seguridad aplicables a los ficheros de datos personales, una práctica razonable podría ser optar por el nivel 4 (partículas de un máximo de 2x15 mm), o el nivel 5 (partículas de un máximo de 0,8x12 mm), para acreditar la destrucción segura de documentos que incluyan datos de carácter personal.

Finalmente, en caso que la destrucción de soportes y/o documentos sea efectuada por un proveedor externo, es recomendable obtener un certificado de destrucción segura y confidencial, que haga constar los procedimientos o mecanismos adoptados y el momento en que se efectuó la destrucción definitiva.

Conforme a lo expuesto, tanto durante recogida, como en el traslado y destrucción definitiva de los soportes y/o documentos que incorporan datos de carácter personal, es preciso actuar diligentemente y adoptar buenas prácticas que permitan salvaguardar la seguridad y confidencialidad de la información, a fin de acreditar un óptimo nivel de cumplimiento normativo, incluso en el último tramo de su ciclo de vida o tratamiento.

domingo, 29 de enero de 2012

Copyleft vs Copyright: programas de software libre

Frente al copyright, que todos conocemos, en el que el autor se reservar todos sus derechos, ha nacido un concepto nuevo cuya traducción podría ser "permitida la copia": es el copyleft. Se trata del otorgamiento de permisos de uso, copia, modificación y distribución de la obra protegida y de las posibles obras derivadas.

¿Cuál es su fundamento? La licencia de copyleft pretende mantener las creaciones libre exigiendo a su vez que todas las versiones posteriores modificadas y derivadas de las mismas sean también distribuídas como libres. De esta manera se persigue garantizar la libertad de los que  participan  de forma comunitaria en la producción de programas libres u otros recursos intelectuales bajo este tipo de licencia.

Ahora bien, no se puede concluir que al ser libre no necesita licencia. En realidad, tanto los programas libres como los privativos necesitan una licencia; lo importante es qué permite cada una de ellas.

Conforme al R.D. Legislativo 1/1996, de 12 de abril, por el que se parueba el Texto Refundido de Propiedad Intelectual) y a los tratados internacionales, para explotar un programa es necesario contar con el consentimiento expreso de su titular; que normalmente se hace por medio de una licencia. Esta licencia no implica siempre una transferencia de propiedad intelectual, sino el otorgamiento  de ciertos derechos específicos de los que goza el autor. En licencias de copyright éstos son normalmente derechos de uso; y en caso de software libre también de distribución y modificación así como de defender algunos derechos de productor o la obligación de mantener el software libre en cada una de sus correlativas versiones.

Existen gran cantidad de software libre y su contenido pueder ser nuy variado. De forma general podemos dividir las licencias en dos grandes caregorías en función de sus características principales:

a.- Licencias Permisivas: no imponen ninguna condición en su segunda redistribución. Por tanto, un software bajo dominio público puede ser convertido en un programa privativo si un autor redistribuidor introduce modificaciones que protege bajo su propio copyright.

b.- Licencias Copyleft: para el caso de que sí se imponen las citadas condiciones. La más importante es que cualquiera que utilice el programa libre y lo pretenda redistribuir, con o sin cambios, deberá otorgar al siguiente receptor la libertad de copiarlo o modificarlo, garantizando en todo momento el mantenimiento de estas condiciones iniciales.

El copyleft fue inicialmente desarrollado para la distribución de programas informáticos; tal es el caso de conocidos software como Linux, Open office o Firefox.

Con el transcurso del tiempo, esta forma de licenciamiento se ha ido extendiendo a ámbitos muy diversos, además del informático (música, edición, derecho, arte, periodismo...).

sábado, 21 de enero de 2012

Piratería en internet

No puedo dejar sin comentar el caso Megaupload, que tanto ruido ha hecho esta semana; y que ha sido fuente de reacciones intensas como las publicadas en lo foros por meros usuarios, o como las de Anonymous.

La crítica fácil es que se ha llevado a cabo una acción que atenta contra la libertad en internet. Pero ¿qué es la "libertad en internet"? ¿Puede acaso prevalecer sobre el derecho de propiedad? Claramente no.

Mi opinión es que, al no llevarse a cabo un análisis riguroso, se termina mezaclando todo y utilizando argumentos que parten de medias verdades. Y, al mismo tiempo, se arremete contra las sociedades de autores, los cantantes, etc, etc. Y nos olvidamos de lo sencillo.

Por eso, debemos partir del principio.

Internet es un mundo ilimitado, un reino del anonimato; al que, evidentemente, hay que poner límites. Tales cotas son, como no puede ser de otra forma, los derechos de los demás.

De todos ellos, los más importantes son: el derecho al honor y a la propia imagen (sobre el que no vamos a entrar) y el derecho de propiedad, que está definido como la facultad de utilizar y disponer de una cosa de forma exclusiva y excluyente. En el mundo de las tres w, esta propiedad no es física, sino inmaterial; la que normalmente nos referimos como propiedad intelectual.

Salvo que se renuncie a ello, toda frase, toda foto, toda imagen y, por extensión, todo libro/revista/película/vídeo/software  pertenece a su creador. Y he anotado conscientemente la referencia a la renuncia, porque aquí deberíamos tener en cuenta la posibilidad del copyleft (sobre el que otro día escribiré). Eso significa que la acción de publicar estas "cosas" si autorización de su titular, implica una vulneración de su derecho de propiedad. 

¿Quienes participan en este proceso? El usuario, que "sube" el link; porque al cambiar el formato pdf a mp3, está haciendo una copia o reproducción no consentida por el titular. El portal que aloja el link, lo está poniendo a disposición de tercero y, normalmente, está teniendo un rendimiento con ello. No porque venda el enlace, sino por los ingresos que está obteniendo vía publicidad contratada indexada a las descargas. Y, finalmente, el usuario que lo descarga realiza una nueva reproducción al abrir el enlace o descargar el documento y grabarlo en su pc. Cuando esta secuencia de hechos no está autorizada por el propietario intelectual del objeto, se está claramente vulnerando su derecho; e incurriendo en un delito. 

Y ¿se puede bajo la bandera de la libertad de internet llevar a cabo? Por supuesto que no. Del mismo modo que tampoco se puede "compartir" mi coche cuando está aparcado en el garaje si no doy autorización para ello.

Teniendo esto claro, cuestión diferente es cómo se afronta su defensa o persecución. Es nuestra llamada lucha contra la piratería de internet.

Las acciones que podremos llevar a cabo a futuro a través de la herramienta Ley Sinde son un camino. Es algo semejante al utilizado por el FBI en EEUU en el caso Megaupload. Pero no el único. De hecho, para nosotros -me refiero a la Firma de abogados Garmendia- debe ser la última instancia. Porque, en realidad, es agreviso contra el resto de los usuarios que están utilizando el portal de formal absolutamente legal.

Yo creo que la forma de actuación debe ser selectiva pero contundente. Y para ello hemos desarrollado una herramienta que nos permite localizar y seguir en la red las publicaciones de nuestros clientes (grupos editoriales y fabricantes de software). Posteriormente actuamos sobre cada una de las que carecen de autorización, dejando indemnes a las demás. De esta forma, sin cerrar ninguna web barremos (por decirlo de una forma coloquial) todos los links ilegales.

Y sólo si el administrador del sitio web se niega a retirarlos, entonces solicitamos su cierre. Porque en este caso el administrador está conscientemente reiterándose en un comportamiento delictivo. Y, entonces, los usuarios de buena fe tienen un argumento más que claro para exigirle responsabilidad también por el cierre de la página que viene directamente ocasionado por su negativa.

sábado, 14 de enero de 2012

Tienda on line: ¿Qué requisitos se deben cumplir?

Abrir una tienda on-line requiere una gran cantidad de requisitos técnicos. Sin ellos no se puede llevar a cabo el objeto del negocio ni la actividad. Pero, ¿conocemos realmente cuáles son las exigencias jurídicas que se deben cumplir para no asumir riesgos legales? Os voy a hacer un pequeño análisis.

Las normas a tener en cuenta son la LOPD (y su normativa de desarrollo) y la LSSI (Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico).

Se trata de dos normas complementarias que obligan

Respecto de la primera, a:

1.- Garantizar los derechos de los afectados o propietarios de los datos (Acceso, rectificación, cancelación u Oposición).
2.- Establecer medidas de seguridad técnicas y procedimentales para evitar incidencias por el uso indebido de los datos personales.
3.- Garantizar el derecho de información de los afectados cuando se recojan sus datos personales, indicando los usos y destinatarios de los mismos.
4.- Formar al personal laboral en la adecuada gestión de los datos personales de los afectados.
5.- Declarar ante la Agencia de Protección de Datos los ficheros, usos y posibles cesiones.

 En cuanto a la segunda, habrá que tener presente que:

El espacio web deberá incluir como mínimo la siguiente información:

1.- Denominación social, CIF, domicilio, email de contacto, teléfono o fax
2.- Datos de inscripción registral
3.- Códigos de conducta a los que estuvieran adheridos
4.- Precios de los productos o servicios que ofrecen (impuestos, gastos...)
5.- Si es necesaria, autorización administrativa para la actividad
6.- Avisar claramente, si el contacto es a través de un número de tarificación adicional

Si se lleven a cabo, además, contratos electrónicos se deberá especificar:

  • Información de los trámites a seguir
  • Lenguas en las que se formalizará el contrato
  • Información sobre el documento de contrato electrónico
  • Condiciones generales a las que se sujeta el contrato
  • Confirmación del contrato por vía electrónica
  • En cuanto al órgano regulador que se encarga de controlar el cumplimiento de ambas normas, comentar que se trata de la Agencia de Protección de Datos y el régimen sancionador es similar en ambas normativas.