Se avecina reforma del Código Penal en materia de propiedad intelectual

Hoy, en el el periódico El Mundo podemos leer en la columna “Jaque Perpetuo” de Carlos Sánchez Almeida: “Código Penal Gallardón, otra ley contra internet”. En dicha columna, se recoge un texto de un Anteproyecto de Ley Orgánica de reforma del Código penal, en lo que sería una versión “borrador”.

En este punto debemos ser conscientes de que nos encontramos ante un Borrador y, formalmente, no es posible considerarlo un Anteproyecto de Ley Orgánica, ni siquiera un Proyecto de Ley Orgánica (no ha sido aprobado por el Consejo de Ministros). Las novedades que recoge este texto son numerosas (son 178 páginas de Borrador): desde la creación de la pena de prisión permanente revisable, hasta la modificación de numerosos tipos en los delitos.

No obstante, en esta pequeña entrada me quiero centrar en la modificación de los artículos 270 y 271 del actual Código Penal, que hacen referencia a los delitos contra la propiedad intelectual. Para ello, voy a mostrar como quedarían estos dos artículos en el Borrador de Anteproyecto de Ley Orgánica, referenciando en color azul las modificaciones más relevantes y en color rojo (con el texto tachado) lo que está regulado en el actual Código Penal, pero se ha modificado en el Borrador:

Artículo 270

1. Será castigado con una pena de prisión de seis meses a dos años uno a cuatro años de prisión y multa de doce a veinticuatro meses el que, con ánimo de lucro con ánimo de obtener un beneficio directo o indirecto, y en perjuicio de tercero, distribuya o comercialice al por mayor comunique públicamente , en todo o en parte una obra literaria, artística o científica, o su transformación, interpretación o ejecución artística fijada en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus cesionarios.

No obstante, en los casos de distribución al por menor, atendidas las características del culpable y la reducida cuantía del beneficio económico, siempre que no concurra ninguna de las circunstancias del artículo siguiente, el Juez podrá imponer la pena de multa de tres a seis meses o trabajos en beneficio de la comunidad de treinta y uno a sesenta días. En los mismos supuestos, cuando el beneficio no exceda de 400 euros, se castigará el hecho como falta del artículo 623.5.

2. Será castigado con una pena de seis meses a tres años dos años de prisión y multa de 12 a 24 meses el que, con ánimo de obtener un beneficio directo o indirecto, y en perjuicio de tercero, reproduzca, plagie, distribuya o comercialice al por menor, facilite el acceso o comunique públicamente en todo o en parte, una obra literaria, artística o científica, o su transformación, interpretación o ejecución artística fijada en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus cesionarios.

En los supuestos a que se refiere el párrafo anterior, la distribución o comercialización ambulante o meramente ocasional se castigará con una pena de prisión de seis meses a dos años. La misma pena se impondrá, en los mismos casos, cuando se facilite el acceso a terceros de un modo meramente ocasional.

No obstante, atendidas las características del culpable y la reducida cuantía del beneficio económico obtenido o que se hubiera podido obtener, siempre que no concurra ninguna de las circunstancias del artículo 271, el Juez podrá imponer la pena de multa de uno a seis meses o trabajos en beneficio de la comunidad de treinta y uno a sesenta días.

3. Serán castigados con las penas previstas en los dos apartados anteriores, en sus respectivos casos quienes:
a) Exporten o almacenen ejemplares de las obras, producciones o ejecuciones a que se refiere el apartado uno de este artículo, incluyendo copias digitales de las mismas, sin la referida autorización, cuando estuvieran destinadas a ser reproducidas, distribuidas o comunicadas públicamente.

b) Importen intencionadamente estos productos sin dicha autorización, cuando estuvieran destinados a ser reproducidos, distribuidos o comunicados públicamente, tanto si éstos tienen un origen lícito como ilícito en su país de procedencia; no obstante, la importación de los referidos productos de un  Estado perteneciente a la Unión Europea no será punible cuando aquellos se hayan adquirido directamente del titular de los derechos en dicho Estado, o con su consentimiento.

c) Favorezcan o faciliten la realización de las conductas a que se refieren los apartados 1 y 2 de este artículo eliminando o modificando, sin autorización de los titulares de los derechos de propiedad intelectual o de sus cesionarios, las medidas tecnológicas eficaces incorporadas por éstos con la finalidad de impedir o restringir su realización.

d) Con ánimo de obtener un beneficio directo o indirecto, con la finalidad de facilitar a terceros el acceso a un ejemplar de una obra literaria, artística o científica, o a su transformación, interpretación o ejecución artística, fijada en cualquier tipo de soporte o comunicado a través de cualquier medio, y sin autorización de los titulares de los derechos de propiedad intelectual o de sus cesionarios, eluda o facilite la elusión de las medidas tecnológicas eficaces dispuestas para evitarlo.

4. Será castigado también con una pena de prisión de seis meses a tres años dos años de prisión y multa de 12 a 24 meses quien fabrique, importe, ponga en circulación o tenga cualquier medio principalmente concebido, producido, adaptado o realizado para facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador o cualquiera de las otras obras, interpretaciones o ejecuciones en los términos previstos en el apartado 1 de este artículo.”

Artículo 271

1.- Se impondrá la pena de prisión de dos a seis años uno a cuatro años, multa de 18 a 36 meses y multa de 12 a 24 meses e  inhabilitación especial para el ejercicio de la profesión relacionada con el delito cometido; por un período de dos a cinco años, cuando se cometa el delito del artículo anterior concurriendo alguna de las siguientes circunstancias:

a) Que el beneficio obtenido o que se hubiera podido obtener posea especial trascendencia económica.

b) Que los hechos revistan especial gravedad, atendiendo el valor de los objetos producidos ilícitamente, el número de obras, o de la transformación, ejecución o interpretación de las mismas, ilícitamente reproducidas, distribuidas, comunicadas al público o puestas a su disposición, o a la especial importancia de los perjuicios ocasionados.

c) Que el culpable perteneciere a una organización o asociación, incluso de carácter transitorio, que tuviese como finalidad la realización de actividades infractoras de derechos de propiedad intelectual.

d) Que se utilice a menores de 18 años para cometer estos delitos.

2.- La misma pena se impondrá, siempre que concurra alguna de las circunstancias expresadas en el apartado anterior, a quien, con ánimo de obtener un beneficio directo o indirecto, y en perjuicio de tercero, preste de forma no ocasional un servicio de referenciación de contenidos en Internet que facilite la localización activa y sistemática de contenidos objeto de propiedad intelectual ofrecidos ilícitamente en Internet sin la autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus cesionarios, en particular, ofreciendo listados ordenados y clasificados de enlaces a las obras y contenidos referidos anteriormente, aunque dichos enlaces hubieran sido facilitados inicialmente por los destinatarios del servicio.

En estos casos, el Juez o Tribunal ordenará la retirada de los contenidos por medio de los cuales se haya cometido la infracción. Cuando a través de un portal de acceso a Internet o servicio de la sociedad de la información, se difundan exclusiva o preponderantemente los contenidos a que se refiere el apartado anterior, se ordenará el bloqueo del acceso o la interrupción de la prestación del mismo.

Así el lector puede observar las novedades más destacables, que, de manera breve, son las sisguientes:

• Se aumentan las penas en los tipos básicos.
• Se aumentan, igualmente las penas, en los tipos agravados.
• Ya no se hace mención al ánimo de lucro, sino al beneficio directo o indirecto.
• Se crean nuevos tipos agravados para regular (penalmente) las conductas relacionadas con enlazar contenidos protegidos por la propiedad intelectual.

Respecto a este último aspecto, el compañero David Maeztu ha escrito en su blog un estupendo análisis de este borrador de Anteproyecto de Ley bajo el título “La propuesta de Código Penal de Gallardón y la criminalización del enlace“.

Por tanto, y como conclusión, es necesario mencionar que, con todas las reservas propias al ser un Borrador de Anteproyecto de Ley Orgánica, parece claro que algo se va a mover en el ámbito penal para proteger los derechos de propiedad intelectual. La cuestión es determinar si ese movimiento está alineado con lo que la sociedad demanda o no.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Big data en la “lectura de la luz” ¿nuevo riesgo para la privacidad?

Año 2020: Es el año pensado por la Unión Europea para que en la mayoría de los hogares europeos posean contadores inteligentes para la medición del consumo de electricidad. Así se desprende de la Directiva 2009/72/CE del Parlamento Europeo y del Consejo de 13  de  julio de 2009 sobre normas comunes para el mercado interior de la electricidad y por la que se deroga la Directiva 2003/54/CE. En concreto en su Anexo I, que se refiere a las medidas de protección al consumidor, se refleja la siguiente mención:

Los Estados miembros garantizarán la utilización de sistemas de contador inteligente que contribuirán a la participación  activa de los consumidores en el mercado de suministro de electricidad (…)

Cuando se evalúe positivamente la provisión de contadores inteligentes, se equipará, para 2020, al menos al 80 % de los consumidores con sistemas de contador inteligente.

Antes de continuar, es preciso tener claro qué es un contador inteligente: Contador de medida del consumo eléctrico que puede ser leído y gestionado remotamente y que está conectado a una red. Pueda tratar más información que un contador convencional, como por ejemplo, tipología de consumo. Un tratamiento de estos datos podría conllevar a obtener información sobre hábitos de consumos eléctricos, por ejemplo.

El 9 de marzo de 2012, la Comisión redactó una Recomendación (2012/148/UE: Recomendación de la Comisión, de 9 de marzo de 2012 , relativa a los preparativos para el despliegue de los sistemas de contador inteligente), donde, además de analizar los requisitos mínimos de esos contadores inteligentes, establecía una serie de directrices en aras a garantizar la seguridad y protección de datos. Por tanto, la propia Comisión ya observa que el uso de estos sistemas puede conllevar un riesgo para la privacidad. Lo que más preocupaba a la Comisión, en este sentido, es lo siguiente:

• Se recomienda la realización de una evaluación del impacto sobre la protección de los datos de estos sistemas, consensuado entre los Estados miembros, las autoridades de control y quienes exploten los sistemas de contador inteligente.
• Se deberá tener en cuenta la protección de datos desde el diseño. Para ello dispondrán tanto medidas legislativas, como técnicas y organizativas.
• Se observará la protección de datos por defecto, en el sentido que “se facilite al cliente la configuración preestablecida que mejor proteja los datos.”
• Se recomienda el tratamiento anonimizado de datos de datos. No obstante , si existiera un tratamiento de datos personales, deberá basarse en alguno de los supuestos del artículo 7 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos que, recordemos, son:
  • Consentimiento del interesado.
  • Ejecución de un contrato.
  • Interés vital del interesado.
  • Interés público o ejercicio de un poder público.
  • La satisfacción de un interés legítimo del responsable de tratamiento.
• La seguridad de los datos debe ser parte de la protección de datos desde el diseño. Se recomienda el uso de canales cifrados.
• En caso de violación de los datos personales, el responsable del tratamiento debería notificarlos autoridad de control y al interesado, en un plazo de 24 horas.
• Deberán cumplirse las obligaciones de información de los artículos 10 y 11 de la Directiva 95/46/CE y especial se deberá informar al interesado de las siguientes cuestiones:
  • Identidad y datos de contacto del responsable del tratamiento y de su representante, así como del responsable de protección de datos, si lo hubiera.
  • Finalidades del tratamiento previsto de los datos personales.
  • Período durante el que se almacenarán los datos personales.
  • Los derechos ARCO y el derecho a presentar una reclamación a la autoridad de control competente.
  • Destinatarios de los datos, si los hubiere.

Es posible darse cuenta, en este punto, de que en estas Recomendaciones de la Comisión, aparecen conceptos que en el sistema jurídico actual de protección de datos no existen: evaluaciones de impacto, protección de datos desde el diseño, comunicaciones en las violaciones de datos,… Todo ello es fruto de la nueva “ola” de protección de datos que se introdujo con la Propuesta de Reglamento de Protección de Datos realizada por la Comisión a principios de 2012 y que, a día de hoy, todavía se está negociando. Debemos tener en cuenta que esta Propuesta  debe ser considerada como lo que es: Un borrador de lo que pretende la Comisión que sea el nuevo sistema jurídico de protección de datos en Europa.

Volviendo a la Recomendación 2012/148/UE, el Supervisor europeo de protección de datos emitió una Opinión a finales de 2012 (se puede consultar en inglés aquí y un resumen de la misma en castellano aquí), cuyas cuestiones más relevantes, bajo mi punto de vista, son las siguientes:

• Los contadores inteligentes permiten la obtención de datos personales y podrían “llevar al seguimiento de lo que hacen los miembros de una familia en la intimidad de sus hogares”.
• Se debería relacionar cada riesgo en materia de privacidad  con un control adecuado.
• Se debe instar a la obligatoriedad para que los responsables de los contadores inteligentes lleven a cabo una evaluación de impacto sobre la protección de datos y la notificación las violaciones de datos personales.
• Se debería distinguir en la lectura de contadores inteligentes, actuaciones que no tendrían requerir el consentimiento de los interesados y actuaciones en la que el consentimiento sea necesario.
• La recogida de datos de carácter personal tendría que ser el mínimo necesario.
• En cuanto al período de conservación de los datos de las lecturas realizadas por los contadores inteligentes, debería coincidir con el período en que puede reclamarse una factura. No obstante, por vía de consentimiento se podrá tener en cuenta un período mayor  ”por ejemplo, para obtener un asesoramiento específico sobre energía.”
• Se debiera dar acceso a los interesados a los datos que se recojan a través de los contadores inteligentes, entre los que se incluirían “la extracción automática de datos, la publicación de los perfiles de las personas físicas y la lógica de todos los algoritmos utilizados para dicha extracción”.

Este nuevo riesgo sobre la privacidad está ya presente, porque en la actualidad las grandes distribuidoras eléctricas están sustituyendo los contadores convencionales (los de de la “ruedecita”) por estos contadores inteligentes. En Europa ya hemos visto que se han dado cuenta de este riesgo, pero en nuestro país parece que no. Sería muy útil conocer el criterio de la Agencia Española de Protección de Datos sobre esta materia, pero de momento, nos toca esperar, ya que el cloud y las cookies es lo que, para la privacidad, más riesgo conlleva, a tenor de los últimos eventos del mencionado organismo administrativo. Por ello, no perdamos de vista este tema de los contadores inteligentes, no vaya a ser que nos la “cuelen por la puerta de atrás”.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

¿Que es una fuente abierta?

Últimamente, con la modificación de la legislación de propiedad intelectual que está en ciernes, me está rondando en la cabeza el tema de las fuentes abiertas y su difícil encaje en nuestro ordenamiento jurídico. No está de más recordar que esta propuesta de modificación legislativa, no recoge ninguna de las modificaciones que la doctrina jurídica ha venido pidiendo en nuestra legislación sobre propiedad intelectual y, especialmente, en el Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual.

No hace falta recordar como los términos Creative Commons, fuente abierta o software libre han ido apareciendo poco a poco con la expansión de Internet y han generado conductas que, en ocasiones, no encuentran el suficiente encaje en nuestro actual ordenamiento jurídico y, de momento, el legislador no tiene intención de que encaje.

No pretendo (porque no me daría tiempo), con este post, mostrar como sería posible poder encajar esta nueva ciber-realidad en propiedad intelectual con nuestra vetusta legislación en esta materia, sino hacer ver que, en ocasiones estos conceptos ya se encuentran en nuestro ordenamiento jurídico. Y me quiero referir al concepto de fuente abierta.

Pero, bajo el prisma de esa nueva ciber-realidad, ¿que se entendería por fuente abierta? Para ello, me veo abocado acudir a una fuente tan poco jurídica como wikipedia: “Término con el que se conoce al software distribuido y desarrollado libremente”.

Si a esta definición, le damos un perfil más jurídico, se podría obtener la siguiente definición: “Creación original del tipo programa de ordenador, en la que su autor o autores  y/o titular o titulares de los derechos de explotación de la misma, han decidido que su reproducción, distribución, comunicación pública y/o transformación se realice sin su autorización y, en la mayoría de las ocasiones, sin contraprestación económica”.

Y en nuestro ordenamiento jurídico, ¿que se entiende por fuente abierta? Para ello debemos acudir a la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos y a su artículo 45 que señala lo siguiente:

1. Las administraciones titulares de los derechos de propiedad intelectual de aplicaciones, desarrolladas por sus servicios o cuyo desarrollo haya sido objeto de contratación, podrán ponerlas a disposición de cualquier Administración sin contraprestación y sin necesidad de convenio.

2. Las aplicaciones a las que se refiere el apartado anterior podrán ser declaradas como de fuentes abiertas, cuando de ello se derive una mayor transparencia en el funcionamiento de la Administración Pública o se fomente la incorporación de los ciudadanos a la Sociedad de la información

Si se realiza un análisis de dicho artículo, no es difícil dar la siguiente definición de fuente abierta: “Aplicación informática, de la que una Administración Pública posee la titularidad de los derechos de propiedad intelectual y que ha sido desarrollada por ella misma o por un tercero mediante la pertinente contratación, que se pone a disposición de otra Administración Pública, sin contraprestación económica y sin un convenio específico, con el objetivo de una mayor transparencia o una mejor incorporación ciudadana a la Sociedad de la información”. De esta definición se pueden entresacar dos importantes características :

• Una  fuente abierta sólo podrá ser aquella aplicación de la que sea titular una Administración Pública.
• Una  fuente abierta, sólo podrá ser utilizada por otra Administración Pública.

Ahora sólo queda comparar este concepto de fuente abierta de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, con el mismo concepto de la ciber-realidad, para sacar las oportunas conclusiones, que casi todas tenderán a lo planteado inicialmente en el post: la necesidad de una adaptación de la normativa sobre propiedad intelectual a la nueva ciber-realidad.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Hablando de la Propuesta de Reglamento en el X Foro de la Salud

El pasado 20 de marzo, tuve el placer de compartir una Sesión en el X Foro de Seguridad y Protección de Datos de Salud, organizado por la Sociedad Española de Informática de la Salud (SEIS). Coordinados por Julián Prieto Hergueta (Subdirector General del Registro General de Protección de Datos de la Agencia Española de Protección de Datos), Mónica Arenas Ramiro (Profesora de Derecho Constitucional de la Universidad de Alcalá de Henares), Francisco Pérez Bes (Vicepresidente de la Asociación de Expertos Nacionales de la Abogacía TIC-ENATIC) y yo, compartimos una interesante Sesión con los asistentes, hablando de la “Nueva Protección de Datos que viene de Europa”. Dicho de otra manera, de la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos).

Fotografía realizada por Pedro Alberto González (@paGonzalez)

Una vez realizada la introducción por Julián Ruiz y tras los agradecimientos de rigor, Mónica Arenas nos recordó la importancia de la Protección de Datos (que es uno de los Derechos Fundamentales) en nuestros días y cómo no debe caer en el olvido. También justificó el porqué de un Reglamento Europeo y no una Directiva (como la actual Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos). También nos enumeró los principios y los derechos de los interesados que se reflejan en la Propuesta de Reglamento, algunos de ellos nuevos, como el “archicomentado” derecho al olvido o el derecho a la portabilidad, pasando por el consentimiento “explícito” o el derecho a la transparencia en la información. Por último, hizo mención a cómo recoge la Propuesta de Reglamento el tema de la autorregulación. También nos habló de una posible fecha para la aprobación de lo que ya sería el Reglamento: enero de 2014.

La segunda parte de esta Sesión corrió de mi parte, y comencé hablando de la regulación de la seguridad en la Propuesta de Reglamento y de cómo ya no se recogen medidas específicas en niveles de seguridad, sino que cada responsable debe partir de una evaluación de riesgos. A continuación me referí a cómo, en determinados tratamientos de datos, se prevé que se deban realizar evaluaciones de impacto (las tan comentadas “PIAS”) y cual va a ser el papel de las autoridades de control, (ya que parece que la obligación de registrar ficheros se va a eliminar) en materia de autorizaciones en transferencias internacionales de datos y en materia materia de consultas previas, tras una evaluación de impacto en el que se detecte un riesgo específico. Por último y ya pasado de tiempo, hice mención al contundente régimen sancionador que recoge la Propuesta, que demuestra que la Comisión se ha tomado en serio la materia de Protección de Datos.

Por último, cerró la tanda de exposiciones de esta Sesión Francisco Pérez Bes, mostrando, en primer lugar una de las grandes novedades de la Propuesta de Reglamento: la privacidad desde el diseño y por defecto, o dicho de otra manera, que la protección de datos debe ser tenida en cuenta por los responsables a priori y no a posteriori, como lamentablemente sucede en bastantes ocasiones. También mostró a los asistentes la regulación de la transferencias internacionales de datos y que, aun cuando no existen grandes cambios conceptuales, sin que aparecen algunas novedades como la regulación de la normas corporativas vinculantes. Por último, se hizo mención también al llamado “one stop shop”  o cómo se han regulado determinados mecanismos de coherencia entre las autoridades de control.

Dado lo ajustado del tiempo, no hubo muchas preguntas de los asistentes, pero las que se plantearon hacía mención a la nueva regulación de la seguridad y la no existencia de medidas concretas, sino derivadas de una evaluación de riesgos. También algunos de los asistentes se mostraron “preocupados”, sobre todo en el sector de la PYME, por la más que probable eliminación de la obligación de la inscripción de ficheros, ya que si a día de hoy, en este sector la protección de datos es conocido por la actual obligación de inscripción de los ficheros.

Como conclusión, me gustaría añadir que, como siempre en este Foro, la Sesión fue interesante y, particularmente, creo que pudimos mostrar hacia donde se dirige la Protección de Datos en Europa. Ahora bien, no me gustaría acabar este pequeño resumen con unas reflexiones sobre la Propuesta de Reglamento: ¿Realmente es necesario un cambio tan profundo? Si nuestro Código Civil va camino de los 125 años (obviamente con adaptaciones en el tiempo), ¿porqué una norma tan específica, parece que apenas va a durar 20 años? ¿No hubiera sido mejor una adaptación de la normativa actual? ¿Supone esta Propuesta de Reglamento admitir que la actual normativa de protección de datos era inadecuada e insuficiente? Yo creo que la respuesta es clara: Si.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Comercio electrónico: Los tracking y la LOPD

Últimamente me ha estado rondando en la cabeza, lo bien que funcionan algunos sitios en Internet que se dedican a la venta online (o al comercio electrónico). Está claro que la visión que hoy tenemos de la compra por Internet difiere mucho a la de hace algunos años. Antes, lo que más preocupaba era tener que dar el número de la tarjeta para comprar, cosa que ahora, ya no genera tanto miedo (a no ser que compres en la web http://www.mafiosos.tu).

Particularmente, además de la confianza por el uso de estas nuevas formas de comprar productos, creo que una de las cuestiones del éxito del comercio electrónico es el desarrollo de la logística. Las empresas de transportes siempre han existido, desde el antiguo monopolio de Correos y Telégrafos hasta el gigante FedEx (no puedo evitar que me venga a la cabeza, al hablar de esta compañía, Tom Hanks y su amigo Wilson y gracias Jon por el apunte). Pero últimamente, considero que hay un pequeño “boom” en este tipo de compañías. Sin ningún ánimo publicitario: SEUR, MRW, ChronoExpress, ASM,…. son algunos ejemplos que, o bien, han crecido exponencialmente, o bien han aparecido hace unos pocos años.

Pero ¿a que se debe? Pues sin duda, uno de los motivos es el comercio electrónico. Hace unas semanas estuve en una delegación de una de estas compañías y el 75% de la paquetería a repartir era BuyVip y Amazon. Sin duda ejemplificador.

Un procedimiento estándar en la compra por Internet es:

• Un usuario compra en la web. Y obviamente facilita unos determinados datos personales para la facturación y envío del producto comprado.
• Se procede al pago (generalmente mediante tarjeta de crédito).
• La web procesa el pago.
• Se envía un correo electrónico al usuario señalando que se ha realizado el envío. Habitualmente, estos correos electrónicos llevan consigo un “número de seguimiento” o tracking, para que el usuario pueda ver, en la web de la empresa transportista, cómo está su envío.
• El comprador recibe su producto.

Ese tracking no sólo da información puntual de si el envío está en almacén, está en transito o ya ha salido en reparto, sino que también, muestra los datos identificativos del usuario y su dirección. Hasta aquí todo correcto e, incluso, podíamos pensar que es un servicio de valor añadido al comprador, pero ¿y si entra en juego nuestra querida LOPD?

Me explico: Generalmente esos números (de unas 10 o más cifras) se suelen colocar en un buscador de la web del transportista para dar la información, pero ¿alguien ha probado a poner un número de seguimiento diferente al facilitado (por ejemplo sumando 1 o 2 al que nos han dado)? Pues nos podemos encontrar con la sorpresa de que nos de la información de otra persona. Esta situación ¿cómo encajaría con el artículo 10 de la LOPD? Conociendo a la Agencia de Protección de Datos, no sería difícil encontrarnos ante un incumplimiento del deber de secreto. Cuestión diferente es quien sería el incumplidor: ¿la web de comercio electrónico o la empresa de logística? Pero esto ya sería otro debate diferente al que quiero mostrar.

Desconozco si,  para evitar riesgos relacionados con la privacidad, o por otros motivos no jurídicos, algunas compañías, exigen un “plus” y exigen, además del número de seguimiento, otra información adicional, como pudiera ser en código postal donde se tiene que remitir el paquete. Está claro que esto mitigaría un acceso a información personal no consentida y, por tanto, un hipotético incumplimiento del deber de secreto, pero ¿cómo queda el deber de seguridad del artículo 9 de la LOPD? Y más concretamente, ¿se cumpliría con el artículo 93.2 del RLOPD?:

Artículo 93. Identificación y autenticación.

(…)

2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

(…)

Así pues, con ese número de seguimiento, ¿no se estaría accediendo a un sistema de información con datos de carácter personal? Es más, ¿se podría considerar a ese tracking como un sistema de identificación y autenticación acorde a la LOPD? Yo creo que no.

Como conclusión, y como no podría ser de otra manera, debemos ser conscientes que las nuevas formas de negocio por Internet, no sólo tienen que dar un servicio añadido a sus clientes, sino que deben ser conscientes de los riesgos legales de ofrecerlos sin tener en cuenta las consecuencias jurídicas. En materia de protección de datos, se habla últimamente de privacy by design. En algunos sistemas de tracking, si se hubiera tenido en cuenta esto, no nos encontraríamos con lo que he expuesto en este post.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo

28 Enero: Día de la Protección de Datos en Europa

El 28 de Enero se celebra el “Día de Protección de Datos” en Europa. “Entre Códigos Civiles y Androides” quiere sumarse al mismo y, para ello trascribe la información que la Agencia Española de Protección de Datos ha puesto a disposición en su web:

El día de la Protección de Datos en Europa es una jornada impulsada por la Comisión Europea, el Consejo de Europa y las autoridades de Protección de Datos de los estados miembros de la Unión Europea, con el objetivo de promover el conocimiento entre los ciudadanos acerca de cuáles son sus derechos y responsabilidades en materia de protección de datos.

Además, coicidiendo con la celebración de este día, la AEPD organiza una jornada conmemorativa de los “20 Años de Protección de Datos en España” , en la que intervienen diversas personalidades y expertos que representarán a todos los agentes que han participado activamente en el desarrollo de este derecho fundamental en nuestra sociedad.

Gontzal Gallo

@gongaru

#Noriuscomilona

Un día de noviembre, después de un largo día de trabajo, tuve la idea de lanzar a través de Twitter una propuesta de “quedada” de Abogados/as tuiteros que se dedican a esto de las TICs (quizá el concepto adecuando podría ser geekabogado), con el fin de “desvirtualizarnos” y pasar un rato agradable “hablando de nuestras cosas”…Unos meses después, un 26 de enero de 2013, ha tenido lugar la #noriuscomilona.

Si os soy sincero, estoy abrumado. No pensé nunca que podía juntar a 18 personas de distintas partes, y que sólo nos conocíamos por foto en Twitter, para compartir mesa y mantel….Y más abrumado me quedo pensando que ese número podía haber aumentado considerablemente si no hubiese sido por cuestiones logísticas, familiares, personales o, incluso, de agenda.

Desde aquí, a todos los que habéis venido y aquellos que no pudistéis, GRACIAS COMPAÑEROS/AS

26 de enero 2013. 12:00 horas. Plaza del Teatro Arriaga (Bilbao)

Ese ha sido el lugar elegido para comenzar la #noriuscomilona. En él nos empezamos a desvirtualizar @AngelGTunonG, @jonturrillas, @kike_soria, @gahazas, @fjcarbayo, @aloypablo, @Macias_Susana, @mtnevado y yo. Apretones de manos, besos de presentación, e historias de cual es medio elegido para llegar hasta aquí. Cuando se hablaba de aviones a horas intempestivas y madrugones para recorrerse 400 kilómetros en coche,  sinceramente, empiezo a entender a la gente que dice que esto de “Twitter es una pequeña familia”.

Tras un pequeño recorrido por nuestras “7 calles” y ver la Catedral de Santiago y el Mercado de la Ribera, se nos unen a la comitiva @fjavier_sempere, @HectorGuzmanMx, @EnekoDelgado y @Mlozac para ya dirigirnos a la Plaza Nueva y degustar en el Café Bilbao, unos Txakolis y unas rabas y poder recoger a tres miembros más de nuestro grupo: @vicuina, @TBZB4 y @jcampanillas.

Nos dirigimos calle Navarra arriba, entrando en Gran Vía, a nuestro punto de encuentro y de comida: El Restaurante Nicolás, donde ya se nos unen los dos últimos miembros de nuestro grupo: @Jorge_Morell y @pblimarta.

La comida discurre entre ensaladas de bonitos y antxoas, bacalao al pil-pil, merluzas rellenas de txagurro, láminas de buey con jugos de trufas, noisettes de solomillos gratinados y magrets de pato, con un poco de vino y agua (incluso de llegó a comentar en Twitter que había exceso de agua), y sobre todo, con conversación, mucha conversación, anécdotas, “confesiones”, algún que otro “negocio” y sobre todo buen humor. Creo que a todos nos pasó, pero yo realmente estuve a gusto, como si a todas esas personas las conociera de hace años y en persona, cuando en verdad físicamente nos habíamos conocido hace unas horas….

Después del café y de alguna propuesta de #noriussiesta, nos dirigimos al Paseo de la Ribera, para que aquellos que no conocieran Bilbao, pudieran hacer un poco de turismo y sobre todo llegar a ver el emblema turístico de Bilbao: El Guggenheim . Sirva como recuerdo de esta visita la foto hecha por el compañero @HectorGuzmanMx.

Después de los paseos por la Plaza de Euskadi, la Gran Vía, Mazzarredo, la Alhóndiga, tocaba el momento de la despedida para algunos de los compañeros/as y de la última caña en Indautxu, aunque me consta que los “cinco irreductibles de Bilbao” apuraron hasta el último momento la zona de “Pozas”….

Como os he comentado, la conclusión que muchos sacamos, es que ha sido una experiencia muy útil y que se debe volver a repetir (al menos una vez al año). Propuestas para otra comilona hay: Córdoba, Tenerife..sonaron con fuerza e, incluso, el nombre de Cancún salió…Sea donde sea y si las cuestiones personales, logísticas, familiares y de agenda no lo impiden, nos volveremos a encontrar los asistentes de esta #Noriuscomilona y aquellos/as que no pudieron asistir.

No puedo terminar esta entrada sin antes dar las gracias a @gahazas por su coorganización de la comida y por ser un estupendo guía,  y a todos/as los que habéis hecho el esfuerzo de haber venido. Gracias de corazón.

Gontzal Gallo

@gongaru