Soluciones técnicas para las curiosas diferencias legales entre Google Drive y Dropbox

Agradezco a mi buen amigo Arkaitz Gamino (www.arkaitzgamino.com, Twitter: @arkaitzgamino, Linkedin: Arkaitz Gamino) el haberme servido de “inspirador” para la redacción de este post y el haber redactado los dos últimos párrafos del mismo.

Ayer se presentó Google Drive, el servicio cloud de Google, que va a a permitir a sus usuarios tener un espacio virtual donde almacenar los documentos, fotografías, vídeos y demás archivos que deseen  y, además, tenerlos sincronizados en los dispositivos que elijan.

Además de los análisis “técnicos” que se pueden realizar, para ver las bondades y maldades de Google Drive y el principal “servicio cloud” hasta ahora (Dropbox), yo, como jurista, añadiría una análisis jurídico de ambos. Así que vamos a  ver las condiciones de uso de estos dos servicios, para analizar si existen diferencias:

Google Drive:

Como por todos es sabido, Google ha decidido tener una política común de todos sus servicios desde el 1 de marzo de 2012. Así, que para Google Drive, las condiciones serán las que se encuentren en  las Condiciones de servicio de Google. Voy a reproducir el apartado “Tu contenido en nuestros Servicios”:

Al subir contenido o al enviarlo por otros medios a nuestros Servicios, concedes a Google (y a sus colaboradores) una licencia mundial para usar, alojar, almacenar, reproducir, modificar, crear obras derivadas (por ejemplo, las que resulten de la traducción, la adaptación u otros cambios que realicemos para que tu contenido se adapte mejor a nuestros Servicios), comunicar, publicar, ejecutar o mostrar públicamente y distribuir dicho contenido. Google usará los derechos que le confiere esta licencia únicamente con el fin de proporcionar, promocionar y mejorar los Servicios y de desarrollar servicios nuevos. Esta licencia seguirá vigente incluso cuando dejes de usar nuestros Servicios (por ejemplo, en el caso de una ficha de empresa que hayas añadido a Google Maps). Algunos Servicios te permiten acceder al contenido que hayas proporcionado y eliminarlo. Además, en algunos de nuestros Servicios se incluyen condiciones o ajustes que limitan nuestro uso del contenido que se haya enviado a los mismos. Asegúrate de tener los derechos necesarios para concedernos esta licencia sobre cualquier contenido que envíes a nuestros Servicios.

Dropbox:

Dropbox, dispone de unas Condiciones específicas de su servicio  y en el apartado “Sus Pertenencias y su privacidad” se recoge lo siguiente:

Al usar nuestros servicios, usted nos proporciona la información, los archivos y las carpetas que envía a Dropbox (en conjunto, “Sus pertenencias”). Usted conservará la plena propiedad de sus pertenencias. No nos atribuimos la propiedad de ninguna de ellas. Las presentes Condiciones no nos otorgan ningún derecho sobre sus pertenencias ni ninguna propiedad intelectual, con excepción de los derechos limitados que son necesarios para administrar los Servicios, según se explica a continuación.

Es posible que necesitemos su autorización para realizar las actividades que usted nos solicite con sus pertenencias, por ejemplo, alojar sus archivos o bien compartirlos a su criterio. Esto incluye características del producto que usted pueda ver, por ejemplo, miniaturas de imágenes o vistas previas de documentos. También incluye opciones de diseño que adoptemos para administrar técnicamente nuestros Servicios, por ejemplo, la forma en que realizamos copias de seguridad redundantes de datos para mantenerlos seguros. Usted nos otorgará los permisos que necesitemos para llevar a cabo dichas tareas únicamente a los fines de prestar los Servicios. Este permiso también se extiende a terceros de confianza con los que trabajemos para prestar los Servicios, por ejemplo, Amazon, que nos brinda el espacio de almacenamiento (al igual que en el caso anterior, solo para prestar los Servicios).

A modo de clarificación, además de las raras excepciones que identifiquemos en nuestra Política de Privacidad, independientemente del modo en que cambien nuestros Servicios, no compartiremos su contenido con otras personas, incluidos los organismos de aplicación de la ley, con ningún motivo, a menos que usted nos lo indique. La forma en que recabemos y usemos su información normalmente también se explica en nuestra Política de Privacidad.

He resaltado en negrita lo que me ha llamado la atención de los dos servicios:

• A Google, los usuarios le autorizan a explotar el contenido que se envíe a sus servicios (incluyendo Google Drive) y además, se le autoriza a mostrarlo públicamente a criterio de Google. Eso sí esta “licencia” es para promocionar y mejorar los Servicios de Google (es decir, a la larga obtener un mayor beneficio económico).
• A Dropbox, los usuarios no le autorizan la explotación del contenido que “se suba” al servicio. Únicamente se autoriza la explotación por motivos técnicos del propio servicio. Además, informan que no se compartirá con ninguna entidad, salvo autorización del usuario, la información que se encuentre en sus sistemas.

Sirvan estas “curiosas diferencias” para que cada cual tenga una visión legal (además de la funcional) de los dos servicios y le ayude a decidir libremente cual de los dos servicios quiere utilizar.

Teniendo en cuenta los aspectos legales mencionados desde un punto de vista más técnico se podría optar por cifrar los datos en el lado cliente y enviar los datos ya cifrados a los servidores de Dropbox, Google Drive, etc. Esta acción se puede realizar de forma manual, utilizando alguna herramienta de cifrado como puede ser Axcrypt o TrueCrypt, pero en la actualidad existen soluciones mucho más sencillas y operativas que realizan este trabajo manual de forma automática.

En concreto, existe una herramienta como es SecretSync, y que además, es gratuita. La url para su descarga es http://getsecretsync.com. Básicamente esta aplicación, al instalarse genera una nueva carpeta llamada SecretSync, de tal manera que cuando quieres cifrar los datos lo único que se debe hacer es guardarlos en dicha carpeta y la propia aplicación se encarga de pasarlos a través de un túnel seguro a la carpeta de Dropbox, Google Drive, etc. para sincronizarse con absoluta normalidad, eso sí, en este momento los datos se encuentran cifrados.

De esta forma podemos enviar nuestros datos de forma más segura a los servidores de Dropbox, Google, etc sin preocuparnos demasiado por sus clausulas legales.

Autor:

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo

Facebook y las fotografías de menores

No podemos negar que desde que se inició la Red Social Facebook, a principios de 2004, ha cambiado mucho la forma en que “compartimos nuestra vida” en el mundo virtual. Es habitual que, no sólo publicitemos lo que estamos haciendo o lo que vamos a hacer en nuestra vida cotidiana, sino que también mostremos cierta información, que podemos calificar de privada o sensible, a los demás, ya sea a un grupo cerrado de personas (nuestros amigos) o a cualquiera que “se pasee por la red”.

Estos nuevos modos de relaciones sociales, no están al margen de las leyes y deben respetarlas, aunque, sin bien es cierto que en muchas ocasiones, las normativas legales no estaban “preparadas” para este mundo 2.0.

En este sentido, quisiera reflexionar sobre el siguiente supuesto de hecho: Un padre, publica en su perfil de Facebook unas fotografías en las que aparece su hijo de 6 años, jugando al fútbol y etiqueta esas fotografías como “El futuro Fernando Llorente” .

Este hecho, tan habitual en Facebook, me hace pensar sobre si supone una intromisión ilegítima o no en la “propia imagen” del menor y puede que se llegue a una conclusión sencilla: El padre,  es quien publica las fotografías y, por tanto, como representante legal del menor, tiene potestad para hacerlo. Pero, ¿realmente es tan sencilla la respuesta?

En este punto, creo conveniente recordar que la Constitución, en su artículo 18.1,  “garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen”. Y esa protección, se materializa a través de una Ley Orgánica, de casi 30 años: la Ley Orgánica 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen.

Esta norma legal en su artículo Primero-Uno, nos viene a recordar que “El Derecho Fundamental al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen, garantizado en el artículo 18 de la Constitución, será protegido civilmente frente a todo género de intromisiones ilegítimas, de acuerdo con lo establecido en la presente Ley Orgánica.” Además, estos derechos son irrenunciables, inalienables e imprescriptibles.

Por otro lado, la Ley Orgánica 1/1982, en su artículo Segundo-Uno, establece que la protección de estos derechos está delimitada por las leyes y por los usos sociales según el ámbito que mantenga cada persona reservado para sí misma o su familia.

Vemos pues, que el concepto de intromisión ilegítima, es un concepto capital en la Ley Orgánica 1/1982 y, por ello, se definen una serie de situaciones en su artículo Séptimo que se consideran como intromisiones ilegítimas. Me quiero centrar en la siguiente (apartado Cinco): “La captación, reproducción o publicación por fotografía, filme, o cualquier otro procedimiento, de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos, salvo los casos previstos en el artículo octavo, dos. ”

Vemos, por tanto que captar, reproducir o publicar fotografías de una persona en lugares o momentos de su vida privada o fuera de ellos, se considera una intromisión ilegítima, salvo que:

• La fotografía sea de una persona con un cargo público o una profesión de notoriedad  se capte durante un acto público o en lugares abiertos al público, o bien, se realice una caricatura de estas personas.
• La fotografía sea sobre un suceso  público y la imagen de una persona aparece como meramente accesoria.
• Cuando estuviere expresamente autorizada por ley o cuando el titular del derecho hubiere otorgado al efecto su consentimiento expreso (en virtud del artículo Segundo-Dos de la Ley Orgánica 1/1982).

Volviendo a nuestro supuesto de hecho, parece claro que, según esta Ley Orgánica, la situación la pudiéramos considerar como intromisión ilegítima en el derecho a la propia imagen del menor, puesto se trata de la captación, reproducción y publicación de una serie de fotografías en un momento de su vida privada, y a la que no podemos aplicar ninguna de las dos primeras excepciones anteriores. Pero, ¿qué sucede con el consentimiento?

Para ello, volvemos a acudir a la Ley Orgánica 1/1982 y, en concreto a su artículo Tercero:

Uno. El consentimiento de los menores e incapaces deberá prestarse por ellos mismos si sus condiciones de madurez lo permiten, de acuerdo con la legislación civil.

Dos. En los restantes casos, el consentimiento habrá de otorgarse mediante escrito por su representante legal, quien estará obligado a poner en conocimiento previo del Ministerio Fiscal el consentimiento proyectado. Si en el plazo de ocho días el Ministerio Fiscal se opusiere, resolverá el Juez.

Vemos pues, que para la captación, reproducción y publicación de fotografías de menores, es necesario consentimiento escrito de su representante legal, que deberá ponerlo en conocimiento del Ministerio Fiscal.

Así, en nuestro supuesto de hecho ¿el padre debe otorgar a Facebook este consentimiento escrito y su posterior comunicación al Ministerio Fiscal? O bien ¿el hecho de publicar fotografías en una Red Social se puede considerar como un “uso social” y no se considera una intromisión ilegítima? O quizás, ¿si la publicación es para “los amigos”, es considerada un “uso social”, mientras que si la publicación es para todo usuario de Internet, es una “intromisión ilegítima”?  ¿Qué opináis?

Autor:

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo

¿Se aplica la LOPD a Facebook?

Una resolución recientemente publicada por la Agencia Española de Protección de Datos relativa al tratamiento de datos sin consentimiento en una red social (Facebook) me llama la atención por el fondo del asunto analizado y también por la forma.

La Agencia acuerda iniciar procedimiento sancionador por el incumplimiento del artículo 6.1 de la LOPD, es decir, por no recabar el consentimiento inequívoco para el tratamiento de datos de carácter personal.

En cuanto al consentimiento, las condiciones generales de la red social facebook disponen que será el propio usuario el que deba recabar el consentimiento y “publicar su propia política de privacidad” indicando cómo utilizará los datos. Además, para usuarios no residentes en Estados Unidos se indica que “se encuentran trabajando para respetar la legislación local” y que das tu consentimiento para que tus datos personales se transfieran a Estados Unidos y se procesen en dicho país.

De la lectura de las condiciones generales de Facebook no he obtenido una definición clara del consentimiento y cómo actuar en caso de conflicto con otros usuarios tal y como sucede en la Resolución publicada por la Agencia. En este punto, me parece más útil acudir al perfil de la Agencia Española de Protección de Datos en Facebook  para obtener unas indicaciones más precisas acerca de cómo funciona dicha red social.

Así, del aviso legal que incluye la Agencia en su perfil de Facebook se observa (entre otras cuestiones) que:

“Al hacerte fan de esta página, consientes: 1) en el tratamiento de tus datos personales en el entorno de Facebook conforme a sus  políticas de privacidad; 2) el acceso de la AEPD a los datos contenidos en la lista de fans; y 3) a que las noticias publicadas sobre el evento aparezcan en tu muro.

La AEPD no utilizará los datos para otras finalidades ni para enviar información adicional. Si quieres darte de baja, sólo tienes que pinchar sobre el hipervínculo que aparece abajo a la derecha “Dejar de ser fan”. Puedes ejercer los derechos de acceso, rectificación, cancelación y oposición en cualquier momento, mediante escrito, dirigido a la Agencia
Española de Protección de Datos, Secretaría General, C/ Jorge Juan n 6, 28001 Madrid o enviando un e-mail a la dirección privacyconference2009@agpd.es, acompañado de fotocopia de documento oficial que te identifique. En caso de ejercerse por correo electrónico el documento deberá firmarse digitalmente el mensaje o adjuntar un documento oficial escaneado.
En el contexto de este tratamiento debes tener en cuenta que la Agencia Española de Protección de Datos únicamente puede consultar o dar de baja tus datos como fan. Cualquier rectificación de los mismos debes realizarla a través de la configuración de tu usuario.”

En resumen, nos podemos hacer fan y ejercer nuestros derechos de acceso, rectificación, cancelación y oposición. Pero ¿Sobre qué datos y en relación a qué fichero? Luego de una búsqueda de los ficheros registrados por la Agencia ante su propio registro no he encontrado un fichero “fans”, “Facebook”, “redes sociales” o similar. Quizá encaje el tratamiento en “gestión de consultas de atención al ciudadano” o en “quejas y reclamaciones”, pero me parece forzado. En todo caso, la Agencia es una entidad que realiza un tratamiento de datos y por lo tanto debe cumplir las obligaciones establecidas en la normativa de protección de datos. Sin embargo, ¿Cómo debe actuar un particular en Facebook? ¿Debe registrar un fichero ante la Agencia? ¿Estamos ante actividades de particulares puramente domésticas de acuerdo al apartado 2.a) del artículo 2 de la LOPD? Si no es así, ¿En qué situación excede del ámbito doméstico?

Sinceramente, en este punto sigo estando como al principio, como usuario de Facebook no tengo claro qué políticas de privacidad aportar a mis contactos o fans, como los conoce la Agencia, ante un tratamiento de datos de personas físicas y en definitiva, a qué normativa acogerme ante cualquier conflicto que surja.

Volvamos a las condiciones generales de Facebook. Como hemos comentado anteriormente, al darnos de alta como usuario, damos nuestro consentimiento para que nuestros datos se procesen en Estados Unidos. Además, se indica que los conflictos habrán de dirimirse ante los Tribunales del Condado de Santa Clara, en California. De lo cual deduzco que debo someterme al “fuero” indicado por Facebook.

Sin embargo, la Agencia Española de Protección de Datos, en su perfil de Facebook incluye un aviso legal en los términos estipulados en el artículo 5 de la LOPD, con lo cual, parece aplicarse la normativa de protección de datos.

En cuanto al ámbito de aplicación de la LOPD, el artículo 2 de la Ley Orgánica regula dicha cuestión.

Tal y como se indica en las condiciones generales de Facebook no parece que el tratamiento se efectúe en territorio español (apartado a), de ningún modo parece aplicable el Derecho Internacional Público a la relación jurídica, y por último, Facebook se encuentra establecido en Estados Unidos, fuera de la Unión Europea y en mi opinión, y aquí está mi única duda, utiliza medios situados en territorio español únicamente con fines de tránsito, esto es, a través de redes de telecomunicaciones.

En conclusión, opino que Facebook queda fuera del ámbito de aplicación de la Ley Orgánica de Protección de Datos y por lo tanto, la Agencia Española de Protección de Datos no puede entrar a valorar si un usuario ha recabado el consentimiento de otras personas físicas para publicar sus datos de carácter personal y que por ende, en estos casos, procede el archivo de actuaciones. ¿Qué opináis?

Reflexiones adicionales: no he querido extenderme en el artículo pero creo que de la Resolución de la Agencia se puede extraer más jugo, por ejemplo, me sorprende la petición de la IP a Telefónica (y su posterior cesión por dicha operadora) por parte de la Agencia, a mi entender, tal y como dispone la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones en su artículo 1 apartado 1:

Artículo 1. Objeto de la Ley.

1. Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.

Dudo que la Agencia sea un agente facultado y que además haya solicitado una autorización judicial con fines de detección, investigación y enjuiciamiento de un delito grave contemplado en el Código Penal. En este sentido, considero innecesario acudir a la definición de delito grave en el CP, daremos por hecho que un “tratamiento de datos sin consentimiento” no es un delito grave.

Autor: Gonzalo Álvarez Hazas

Consultor – auditor jurídico en Protección de Datos

Perfil en Linkedin