INTERNET

Guía de Cloud Computing para despachos de abogados

    Guardado en BLOG, CLOUD COMPUTING, INTERNET, PRIVACIDAD, PROTECCION DATOS, seguridad información    |    Sin comentarios

ID-100132579El Consejo General de la Abogacía en colaboración con la Agencia Española de Protección de Datos ha elaborado un informe que pretende constituir una guía para los despachos de abogados a la hora de utilizar el cloud computing. Y es que las ventajas de la gestión del despacho y sus expedientes en la nube son innegables, pero ello no debe hacernos olvidar la obligación no sólo de cumplir con la normativa de protección de datos, sino también de preservar el secreto profesional.

A lo largo de cinco puntos, este informe aborda cuestiones tan trascendentes como cuál sería la jurisdicción competente en caso de conflicto cuando los servidores en los que se alojan nuestros expedientes se ubican en países diferentes al nuestro. ¿Es competente el estado en el que físicamente se encuentran los servidores o aquel en el que radica nuestro despacho?

En este punto la respuesta es clara: la normativa aplicable es la ley del Estado donde está ubicado el responsable del tratamiento del fichero, en este caso el despacho de abogados. Por ello, los abogados deberán cerciorarse de que los proveedores de ‘cloud computing’ cumplen la normativa española de protección de datos personales (art. 20.2 del RLOPD). Las garantías exigibles son las establecidas en la LOPD y su reglamento de desarrollo y en ningún caso se podrá pactar la aplicación de una normativa distinta ni excluir la competencia de la AEPD.

Además debemos tener en cuenta que la normativa europea considera transferencia de datos personales la comunicación a países terceros – excepto en el territorio del Espacio Económico Europeo – y  señala que la transferencia ha de limitarse a naciones en las que los datos cuenten con lo que se define como “un nivel de protección adecuado”, salvo que se obtenga, previa la aportación de garantías adecuadas, la autorización del Director de la AEPD.

En el frecuente caso de que ese tercer país no comunitario sea Estados Unidos, si el proveedor se ha adherido voluntariamente al acuerdo de “puerto seguro”(safeharbor) en virtud del cual se obligan a cumplir requisitos equivalentes a los europeos en materia de protección de datos, no será necesaria la citada autorización, si bien siempre será necesario suscribir un contrato de prestación de servicios conforme a la LOPD (FAQ nº 10 de la Decisión 2000/520/CE).

¿Cómo conciliar las utilidades del cloud computing  con el cumplimiento del deber de secreto profesional? El artículo 9.1de la LOPD dispone que “El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado (…)” y a ese deber genérico de conservación se une el deber específico de secreto profesional por parte de los abogados.

Además es frecuente que por el tipo de asuntos profesionales gestionados en nuestros expedientes se encuentren  datos especialmente protegidos, entre los que se encuentran los relativos a salud, orientación sexual, ideología o religión, para los cuales las medidas de protección que debe adoptar el encargado del tratamiento del fichero son especialmente rigurosas. Por eso, los despachos de abogados deberán exigir a su proveedor el cumplimiento de las medidas de seguridad previstas en los art. 89 y siguientes del RD 1720/2007.

Por tanto, no sólo se debe cumplir con la normativa de protección de datos y suscribir el correspondiente contrato de encargado de tratamiento con el proveedor de servicios cloud (art. 12 LOPD), sino que además debemos incluir ciertas cláusulas relativas a aspectos esenciales para garantizar que el servicio se recibe con todas las garantías técnicas y legales y con pleno respeto al derecho a la protección de datos de carácter personal:

          Régimen de datos

          Cumplimiento de la normativa de protección de datos de carácter personal

          Seguridad en el acceso exclusivamente por los miembros del despacho

          Conservación e integridad de la información

          Disponibilidad del servicio

          Portabilidad de la totalidad de la información almacenada al término del servicio

          Consecuencias en caso de incumplimiento

 

 

 

Image courtesy of [image creator name] / FreeDigitalPhotos.net

Guía para el uso de cookies

    Guardado en BLOG, INTERNET, MARKETING ONLINE, PRIVACIDAD, PROTECCION DATOS, seguridad información    |    Sin comentarios
Guía uso de cookies

Cupcakes vs Cookies

A estas alturas todo el mundo sabe que las cookies han sido destronadas en el mundo de la repostería por los cupcakes. Tanto es así que su acepción más común se ha trasladado al universo de Internet, donde reinan sin competencia y se conocen como los archivos que se descargan desde el servidor en el terminal del usuario con la finalidad de recolectar información sobre la navegación del mismo, ya sea su usuario y contraseña, ya sean sus hábitos de navegación.  Pero, ¿saben los prestadores de servicios cuáles son los límites para utilizarlas en sus webs? ¿Conocen los internautas cómo controlar la descarga de cookies?

La aprobación del Real Decreto-ley 13/2012, por el cual se modifica el artículo 22 de la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico, supuso la obligación de exigir el consentimiento del usuario al instalar cookies.

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”

Así pues, la primera conclusión es que no podremos utilizar cookies si no hemos obtenido el consentimiento, previa información adecuada, del destinatario. En concreto, debemos facilitar de forma clara y completa información sobre los siguientes extremos:

-Existencia de cookies y fines de su utilización y tratamiento

– Procedimiento para revocar el consentimiento y, en su caso, eliminar las cookies.

Por tanto, debemos incorporar estos extremos a los clausulados informativos  o avisos legales de las páginas web y debemos  hacerlo de forma “clara”, es decir, visible, fácil de encontrar y de entender. Sin conocimiento no hay consentimiento válido. Necesitamos un consentimiento informado.

Ahora bien, existen cookies exentas de la obligación de información y consentimiento en determinadas circunstancias y siempre que no se utilicen para fines adicionales. Así lo determinó el Grupo de Trabajo del artículo 29 en un dictamen sobre la exención a la obtención del consentimiento para el uso de cookies el pasado mes de junio de 2012 en Bruselas;

1- Cuando se utilice «al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas«;

2-  «en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario”.

Por ejemplo, las cookies de identificación de sesión, las cookies de las sesiones de los reproductores multimedia y las cookies de personalización de la interfaz del usuario.

Dada la necesidad de conciliar el respeto al derecho a la privacidad con los legítimos intereses de la industria digital y la publicidad online, la Agencia de Protección de Datos en colaboración con Adigital, IAB Interactive Advertising Bureau, Autocontrol y la Asociación Española de Anunciantes ha elaborado la “Guía sobre el uso de las Cookies”, que hoy mismo ve la luz.  En esta se abordan de manera sencilla desde cuestiones terminológicas hasta la explicitación de qué  información y cómo debe ofrecerse al usuario, así como las modalidades de obtención de su consentimiento para el uso de las cookies. Constituye, por tanto, una lectura obligada tanto para los internautas como, muy especialmente, para los editores, anunciantes y agencias de medios, de análisis y de medición.

Para todos ellos:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_Cookies.pdf

Image courtesy of [image creator name] / FreeDigitalPhotos.net

¿Pero qué es BitCoin?

    Guardado en BLOG, EMPRESA, INTERNET    |    2 Comentarios

En estos tiempos de crisis financiera la tentación de “salir” del sistema, de dejar de lado a los bancos que tantos quebraderos de cabeza nos dan, ha dado protagonismo a lo que algunos ya consideran la nueva burbuja: BitCoin, la moneda virtual. Incluso hay quien la considera la competidora de valores  hasta ahora considerados seguros como el oro.

En un gesto claramente oportunista, se anunció la apertura del primer cajero de BitCoins en Chipre, coincidiendo con su rescate y dando lugar a los consiguientes chascarrillos en un país cuyos ciudadanos vieron limitado el acceso a su dinero real en lo que conocemos como corralito. Así que el tirón de la noticia estaba asegurado. Los  chipriotas no podían sacar sus euros de los bancos, pero sí podrían obtener monedas virtuales o BitCoins.

Además de los chipriotas, el resto del mundo también curioseaba por BitCoin gracias a este titular: “La cantidad total de BitCoins sobrepasó los mil millones de dólares”.  Así que uno se pregunta, ¿me estoy perdiendo algo?

Y es que este medio de pago se presenta como la divisa al margen de estados, bancos y autoridades monetarias, lo que de por sí solo la convierte ahora mismo en deseable. Eso por no mencionar el anonimato en las transacciones. Nacida en el año 2009, se fundamenta en una base de datos distribuida – sobre diferentes ordenadores interconectados – y se gestiona mediante una red P2P.  Pero no todo es descontrol, ya que el número máximo de BitCoins que se generarán es de 21 millones. Ya, pero ¿21 millones de qué? ¿Cuánto vale un BitCoin?

Desde que empecé a escribir esto – y no llevo más de 15 minutos – esta ha sido la variación de su valor en relación al dólar:

PRECIO DEL BITCOIN (USD)

ÚLTIMO:  137.99983                                      ÚLTIMO:  139.25

MÁS ALTO:  139.89998

MÁS BAJO:  128.001

Sin embargo, la pasada semana su estabilidad se vio en entredicho al caer un 20% su valor porque Mt.Gox (https://www.mtgox.com ), el más antiguo de los sitios de compra-venta de BitCoin, sufrió un DDoS y ha obligado al cese de operaciones de Instawallet, un monedero de BitCoin al ver comprometidos sus sistemas.

(…ahora la cotización es 139.27 USD…)

Podemos encontrar incluso web que nos regalan – sí, regalan – BitCoins, eso sí, en proporciones infinitesimales, como www.BitCoinfaucet.at, mientras aumentan las webs – sobre todo de servicios online – que los admiten como medio de pago, temerosas de quedarse fuera del que parece ser un mercado en expansión.

No es el objeto de este post profundizar en definiciones que más acertadamente se desarrollan por otros (p.ej. , podemos encontrar toda la información sobre BitCoin en español en http://www.elBitCoin.org ), sino pararnos a reflexionar sobre si nos encontramos ante un medio de pago revolucionario o ante la enésima burbuja de los últimos tiempos.

Nota: Dos días después de comenzar a redactar este post, el valor de BitCoin alcanzó los 194.1 USD…

Se triplican las denuncias por delitos contra el honor y la libertad en Internet

    Guardado en BLOG, DELITOS, INTERNET, PRIVACIDAD, PROTECCION DATOS, REDES SOCIALES    |    Sin comentarios

La noticia es reveladora; en el año 2012 750 personas fueron detenidas por injurias y amenazas en Internet, el triple que en 2011. Y eso en cuanto a las detenciones que se llevaron a cabo, sin contar aquellas denuncias en tramitación y todos aquellos hechos ilícitos que no llegan a denunciarse, normalmente porque la misma percepción social de impunidad que favorece su comisión lleva a la víctima a pensar que nada se puede hacer. La propia Elena Valenciano, vicesecretaria general del PSOE, cerró su cuenta de Twitter por las amenazas que recibían sus hijos y, aunque afirmaba que estaba estudiando presentar una denuncia, manifestó “que ve muy difícil que puedan prosperar, según le han dicho sus abogados. «La indefensión es total», afirmó.”

En otros casos, sí se denuncia y sí se obtienen condenas. Así ocurrió con Aaron B.R., condenado al pago de una multa de 200 euros por utilizar su perfil de Facebook para publicar una serie de amenazas en la página de Rosa Díez en la red social. Ahora la líder de UPyD ha denunciado que está recibiendo amenazas e insultos en las últimas horas en su teléfono móvil tras la filtración de su número en la red social Twitter.

Calumnias, injurias, amenazas, coacciones, descubrimiento y revelación de secretos, usurpación de identidad y otros delitos contra el honor y la intimidad se han disparado el pasado año en Internet, propiciado sin duda por el auge y por el acceso generalizado a las redes sociales. Pero no hace falta ser un personaje conocido. Como vemos a diario, nadie se salva de ser objeto de las iras, despechos, rencores, venganzas o simple mala baba del internauta que resulta ser una expareja, exempleado, examigo…Pero, ¿realmente hay impunidad?

En primer lugar, debemos entender qué es denunciable, es decir, qué es constitutivo de infracción penal. Dispone el artículo 205 de nuestro Código Penal que es calumnia «la imputación de un delito hecha con conocimiento de su falsedad o temerario desprecio hacia la verdad”, y el artículo 208 del mismo texto legal define las injurias como “la acción o expresión que lesionan la dignidad de otra persona, menoscabando su fama o atentando contra su propia estimación”, si bien “solamente serán constitutivas de delito las injurias que, por su naturaleza, efectos y circunstancias, sean tenidas en el concepto público por graves.” Por tanto, llamar a alguien  ladrón o maltratador puede ser constitutivo de calumnia, salvo que pueda probarse que lo sea, mientras que el insulto no alusivo a la comisión de delitos, el meramente descalificativo con saña, puede ser constitutivo de injurias.

Por otra parte, no todas las amenazas percibidas como tales en el lenguaje común lo son a efectos penales. Dispone el artículo 196 que “el que amenazare a otro con causarle a él, a su familia o a otras personas con las que esté íntimamente vinculado un mal que constituya delitos de homicidio, lesiones, aborto, contra la libertad, torturas y contra la integridad moral, la libertad sexual, la intimidad, el honor, el patrimonio y el orden socioeconómico” será castigado como autor de un delito de amenazas. Es decir, cuando el mal anunciado afecte a nuestra vida, integridad física, reputación o patrimonio.

Sin embargo, la amenaza, coacción, injuria o vejación injusta de carácter leve será castigada como falta, no como delito, estando penada con una pena de multa de 10 a 20 días, según dispone el artículo 620 del Código Penal. La diferencia entre ambos, en criterio del Tribunal Supremo, radica en la gravedad de la amenaza que deberá ser valorada en función de la ocasión en que se exterioriza, las personas que intervienen, los actos anteriores, simultáneos o posteriores, etc., por lo que la diferencia es circunstancial y radica en la mayor o menor intensidad del mal con que se amenaza el bien jurídico protegido.

En todo caso, la pena será mayor cuando calumnias e injurias se realicen con publicidad, lo que en términos del artículo 211 del Código Penal se dará “cuando se propaguen por medio de la imprenta, la radiodifusión o por cualquier otro medio de eficacia semejante.” No cabe duda de que Internet es el medio no sólo de eficacia semejante, sino mayor en cuanto a la difusión de un contenido, por lo que sería de aplicación este tipo agravado.

En segundo lugar, una vez aclarado qué hechos están tipificados, cabe preguntarse si más allá de su teórica calificación penal es posible en la práctica su denuncia, persecución, identificación del culpable, juicio y condena. En definitiva, si esa mencionada sensación de impunidad tiene base real. Sin ánimo de entrar en detalles sobre investigaciones o pruebas periciales que alienten futuras acciones, simplemente decir que la respuesta ha de ser positiva y así lo demuestra el titular con el que arrancaba este post.

Image courtesy of [image creator name] / FreeDigitalPhotos.net

CISPA, mucho más que SOPA

    Guardado en BLOG, INTERNET, neutralidad, PRIVACIDAD, PROPIEDAD INTELECTUAL, PROTECCION DATOS    |    Sin comentarios

CISPA, Cyber Intelligence Sharing and Protection ActRaro es el día en que no son noticia las amenazas a la privacidad. Tanto es así que a veces me pregunto si no estaremos exagerando y si la preocupación por la privacidad no esconderá realmente un mero interés comercial, visto que los usuarios ventilan, exponen y canjean su información en aplicaciones y redes varias.

Hablar de Internet como fenómeno, como origen de nuevas formas de comunicación, como instrumento de la sociedad 2.0 en la que todos podemos ser autores y destinatarios de información no es novedad. Considerar  la amenaza que esto supone para algunos intereses creados tampoco. Especular con que existen intentos de limitar, controlar o censurar semejante flujo de información menos aún.

Sin embargo, he de reconocer que los motivos para la inquietud son más que reales.  Hace apenas cuatro meses que los términos SOPA (Stop Online Piracy Acty) y PIPA  (Protect Intelectual Property Act) dejaron de ser una amenaza a la libertad en Internet para quedarse en posibles nombres de mascotas. Recordemos que se trataba de iniciativas legislativas americanas que, con el objetivo de proteger los derechos de propiedad intelectual, permitían la supervisión y bloqueo de páginas web por los proveedores de Internet, así como el cierre de webs, el bloqueo de dominios  o la desaparición en buscadores sin necesidad de orden judicial.

Dichas iniciativas no llegaron a convertirse en leyes, pero para aquellos que creían que ya podían respirar tranquilos, dos apuntes; primero, ninguna de estas leyes fueron necesarias para el cierre de Megaupload y para privar a millones de usuarios de sus  archivos allí almacenados (http://www.cristinanebot.es/?p=1383), y segundo, aquí llega CISPA (Cyber Intelligence Sharing and Protection Act o Ley de Intercambio y Protección de Información de Inteligencia Cibernética).

¿Su meta? La ciber amenaza, describiendo amenaza cibernética como » una vulnerabilidad de o una amenaza a un sistema o red de una entidad gubernamental o privada, incluyendo la protección de la información de un sistema o red frente a los intentos de degradar,  interrumpir o destruir tal sistema o red, así como el robo de información privada o gubernamental, propiedad intelectual o información personalmente identificable”.

Más que una iniciativa legislativa independiente, CISPA se presenta como una enmienda a la National Security Act, que no contiene referencia alguna a lo cibernético, digital o electrónico por ser de 1947. Así pues ahora ya no se trata sólo de proteger la propiedad intelectual, aunque también, sino de extender su ámbito de actuación a la protección de la seguridad, de la “ciberseguridad” frente a las “ciber amenazas” y, francamente, pocas han sido las iniciativas legislativas americanas en nombre de la Seguridad, nacional, cibernética o mundial, que no hayan tenido éxito.

Tal vez por eso, pese a las campañas ya existentes en Internet para la recogida de firmas en contra de su aprobación, en esta ocasión no soy tan optimista.

Image: Victor Habbick / FreeDigitalPhotos.net

Nuevos límites para la publicidad online: modificación de la LSSI

    Guardado en BLOG, EMPRESA, INTERNET, MARKETING ONLINE, PRIVACIDAD, PROTECCION DATOS    |    Sin comentarios
publicidad marketing online

marketing online y comunicaciones comerciales

Con la publicación en el BOE del Real Decreto-ley 13/2012, de 30 de marzo (www.boe.es/boe/dias/2012/03/31/pdfs/BOE-A-2012-4442.pdf), se realiza una nueva trasposición acelerada de varias Directivas europeas. En concreto, se trata del Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas.

Basándose en “la necesidad de origen de la norma haya de ser de tal naturaleza que no pueda ser atendida por la vía del procedimiento legislativo de urgencia, debido a la exigencia de su inmediatez”, este Real Decreto vienen a trasponer estas Directivas a fin de evitar las sanciones económicas derivadas del retraso en su aplicación.

Con estas prisas,  junto al sector eléctrico y al sector de hidrocarburos y con poco que ver con los mismos, se sitúa la trasposición de la normativa sobre comunicaciones electrónicas, incorporando al ordenamiento jurídico español el marco regulador europeo compuesto por la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (Derechos de los Ciudadanos), y la Directiva 2009/140/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (Mejor Regulación). Para ello se modifican la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones y la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico.

Artículo 4. Modificación de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

Se modifica la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, en los siguientes términos:

Uno. Se añade un nuevo apartado 4 al artículo 20, con el tenor siguiente:

«4. En todo caso, queda prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación o que contravengan lo dispuesto en este artículo, así como aquéllas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en este artículo.»

Dos. Se añade un nuevo párrafo al apartado 2 del artículo 21, con la siguiente redacción:

«Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.»

Tres. Se modifica el artículo 22, que queda redactado del siguiente modo:

«Artículo 22. Derechos de los destinatarios de servicios.

1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.

A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de lsociedad de la información expresamente solicitado por el destinatario.»

Cuatro. El párrafo a) del artículo 31 queda redactado de la manera siguiente:

«a) Las personas físicas o jurídicas titulares de un derecho o interés legítimo, incluidas aquéllas que pudieran verse perjudicadas por infracciones de las disposiciones contenidas en los artículos 21 y 22, entre ellas, los proveedores de servicios de comunicaciones electrónicas que deseen proteger sus intereses comerciales legítimos o los intereses de sus clientes.»

En conclusión:

–          Se prohíbe el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente.

–           Se prohíbe el envío de comunicaciones comerciales a través de las cuales se incite a los usuarios participar en promociones ilegales o en las que no identifique al anunciante.

–          Se prohíbe el envío de comunicaciones comerciales en las que se incite a los destinatarios a visitar páginas de Internet que contravengan las obligaciones de información.

–          Será obligatorio incluir una dirección de electrónica válida para oponerse al tratamiento de datos con fines comerciales.

–           Será necesario el consentimiento del usuario sobre los archivos o programas informáticos que almacenan información, como son las cookies. Se requerirá el consentimiento previo e informado del interesado, salvo que tengan por finalidad  facilitar técnicamente la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Así pues, con esta modificación de la Ley de Servicios de la Sociedad de la Información (LSSI -CE) se introducen nuevos límites para la publicidad digital y el marketing online en favor de una mayor protección de los consumidores y usuarios.

Image: KROMKRATHOG / FreeDigitalPhotos.net

No hay que ser americano para que se te atragante la SOPA

    Guardado en BLOG, CLOUD COMPUTING, INTERNET, neutralidad, PRIVACIDAD, PROTECCION DATOS    |    1 Comentario

Para los que vivimos enganchados a las noticias sobre tecnología, pendientes de los pasos de la jurisprudencia española en este campo y preocupados por la progresiva legalización de los recortes de derechos y libertades en Internet (Sinde, SOPA, PIPA), hoy es un día intenso. La noticia ya es por todos conocida, el FBI ha cerrado Megaupload. Pero qué significa esto, qué consecuencias tiene para los internautas españoles, qué hay de verdad en las acusaciones de piratería.

La interesada tergiversación de conceptos llevaba en su día a los ciudadanos a manifestar su apoyo al canon digital porque “si es para evitar la piratería…”. Nunca interesó explicar ni difundir que nuestro Derecho protege la copia privada, es decir, la posibilidad de hacer una copia de una obra obtenida legalmente. ¿Acaso no recordamos aquellos tiempos en que grabábamos canciones de la radio a golpe de Record+Play en nuestros cassettes o películas de la televisión en nuestros ruidosos videos VHS? ¿Éramos ya entonces peligrosos piratas que amenazaban con llevar a la ruina a los 2000 intermediarios de la industria musical y cinematográfica?

Ya entonces el Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual reconocía en su artículo 31.2. que “No necesita autorización del autor la reproducción, en cualquier soporte, de obras ya divulgadas cuando se lleve a cabo por una persona física para su uso privado a partir de obras a las que haya accedido legalmente y la copia obtenida no sea objeto de una utilización colectiva ni lucrativa, sin perjuicio de la compensación equitativa prevista en el artículo 25.

Esa compensación equitativa por copia privada del artículo 25 ha sido suprimida recientemente por el Real Decreto Ley 20/2011, de 30 de diciembre, de medidas urgentes en materia presupuestaria, tributaria y financiera para la corrección del déficit público. 

Como la ciencia avanza que es una barbaridad, pronto dejamos de lado nuestros radiocassettes y nuestros videos VHS – de los que desafortunadamente eligieron Beta, sin comentarios –  y la era digital nos introdujo en una vorágine de nuevos formatos, soportes y vocablos que a duras penas vamos aprendiendo para , una vez conseguido, caer en la obsolescencia técnica y social.

Así  llegamos, mal que bien, a hablar con naturalidad de  P2P y de Napster,  la que en su día fue la gran red de intercambio de archivos en el ahora agonizante formato MP3.  Lo que sabíamos como usuarios era que poníamos una carpeta con archivos de música de nuestro ordenador a disposición de otros usuarios y que estos usuarios hacían lo propio, es decir, intercambiábamos nuestra música de forma privada y gratuita.  Lo único que hacía Napster era listar usuarios y archivos a compartir porque la comunicación se realizaba directamente entre los propios usuarios, peer to peer, de usuario a usuario, sin intermediación. Digamos que era como prestarnos discos, sólo que el formato digital hizo desaparecer los tradicionales conceptos de original y copia.

Todos conocemos el final de Napster, cerrado por orden judicial por supuestas vulneraciones de los derechos de propiedad intelectual. Claro que también recordamos Kazaa, Emule, etc. Y es que aquello no fue el final del P2P.

Hace años que en nuestro país son numerosas las sentencias  que declaran que el p2p es legal, no prohibido por nuestra legislación de propiedad intelectual. Sólo a título de ejemplo, el 18 de septiembre de 2008 un auto de la Audiencia Provincial de Madrid confirma el sobreseimiento libre en el caso Sharemula, la sentencia del Juzgado de lo Mercantil nº 7 de Barcelona desestima la demanda contra la web elrincondejesus.com, la sentencia del Juzgado de lo Mercantil nº 6 de Barcelona desestima la demanda contra la web índice-web.com y recientemente la sentencia del Juzgado de lo Mercantil nº 4 de Madrid desestima la demanda de Warner Music Spain, S.A., Universal Music Spain, S.L., EMI Music Spain, S.A., PROMUSICAE y Sony BMG Music Entertainment Spain, S.A. contra el programador Pablo Soto.

Queda así claro que el intercambio de archivos directamente entre usuarios, enlazar a obras protegidas e intermediar o facilitar tal actividad no es en sí constitutivo de infracción de derechos de propiedad intelectual. Sin embargo, hoy aún se pretende el cierre de páginas de enlaces y a ser posible prescindiendo de la valoración judicial e ignorando la jurisprudencia reciente.

En un mundo que se declara global y en un país que se proclama cuna de las libertades nace una nueva Inquisición y surgen los proyectos para legalizar la censura.  En el momento en que hablar de la “nube” y del cloud computing es lo más, se cierra Megaupload, donde millones de usuarios almacenaban sus contenidos, incluso de manera onerosa.  Y esto se ha realizado por orden de una oficina gubernamental americana.  Así que me pregunto para qué vendernos las bondades de la nube si se puede disipar por orden del FBI o por qué una oficina de investigación americana ha sustraído impunemente los archivos privados de usuarios de todo el mundo.

Sabiendo como sabemos que lejos de ser el fin esto es el principio, surgen muchas dudas e inquietantes preguntas; por ejemplo, ¿para qué quieren aprobar las leyes SOPA y PIPA visto lo que pueden hacer sin ellas?

Image: Idea go / FreeDigitalPhotos.net

La futura legislación europea sobre Protección de Datos versus Patriot Act

    Guardado en BLOG, CLOUD COMPUTING, INTERNET, PRIVACIDAD, PROTECCION DATOS, seguridad información    |    Sin comentarios

EUROPA VERSUS USA EN PRIVACIDADEs de todos conocida la brecha existente en ambos lados del Atlántico en relación con el concepto de privacidad y los límites que el respeto a ésta impone, por ejemplo, frente la injerencia estatal.

En el caso de Estados Unidos, esta capacidad de injerencia gubernativa sobre la información que de los ciudadanos manejan las empresas norteamericanas tiene su fundamento legal en la conocida como Patriot Act. De este modo, toda empresa norteamericana está obligada a facilitar a las agencias gubernamentales que lo soliciten los datos personales de sus clientes o de los usuarios de sus servicios. Basta para ello el mero requerimiento, sin necesidad de justificación ni aviso alguno a los interesados ni, por supuesto, su consentimiento, ya sean éstos ciudadanos americanos o europeos.

Fue precisamente el fenómeno del Cloud Computing el que el año pasado obligó a Microsoft a pronunciarse sobre la garantía de la privacidad en sus servicios en nube. Microsoft optó por ponerse la venda antes que la herida al advertir que, como empresa norteamericana que es, podría verse obligada a facilitar información sobre sus clientes europeos al Gobierno americano sin que éstos sean informados. Así que advertidos quedan de que no les puede garantizar la protección de sus datos personales alojados en la nube. Gordon Frazer, director general de Microsoft en el Reino Unido, explicaba que ninguna empresa podía garantizar la confidencialidad de los datos europeos si se utilizaba la Patriot Act sobre una compañía norteamericana;

En un número limitado de casos, en Microsoft puede que tengamos que revelar información sin su consentimiento previo, incluyendo cuando sea necesario para satisfacer los requisitos legales o para proteger los derechos o la propiedad de Microsoft a terceros (incluyendo el cumplimiento de los acuerdos o políticas que rigen en el uso del servicio). Aún así, como regla general los datos del cliente no serán transferidos a los centros de datos fuera de esa región (…)”

Por su parte, Google admitió que se habían entregado datos de ciudadanos europeos a las agencias de inteligencia americanas en cumplimiento de la Patriot Act.

La cuestión es cómo conciliar esta cesión de datos personales amparada en Estados Unidos por la Patriot Act con la prohibición que impone la normativa europea en protección de datos a esta comunicación y cómo hacerlo en aquellos casos en los que la empresa es americana, pero tiene centros de tratamiento de datos en Europa (Amazon, Google, Microsoft, etc.).

Viviane Reding, vicepresidenta de la Comisión Europea de la Justicia, Derechos Fundamentales y Ciudadanía, anunció que la Comisión actualizaría las legislaciones sobre protección de datos, fijando para enero de 2012 la difusión de más detalles al respecto. Al parecer, algunos de esos detalles han sido filtrados y se han conocido las líneas que seguiría la nueva normativa europea en materia de protección de datos, sustituyendo a la actual Directiva 95/46/CE y, por tanto, a las legislaciones de los estados miembros, proceso normativo que en todo caso no duraría menos de dos o tres años. Parece que será en el Foro Económico Mundial de este mes donde se desvelarán más detalles. De entre las propuestas se destaca:

  • Total armonización entre todas las normativas de protección de datos en el futuro.
  • Las empresas de fuera de Europa que procesen, almacenen y gestionen datos personales a través de sus servicios en la nube estarán bajo las mismas obligaciones que el resto de las empresas europeas si tienen oficinas con sede en Europa o clientes europeos.
  • Se requerirá el consentimiento expreso de los interesados para cualquier tratamiento de sus datos personales con finalidad de marketing.
  • Se sancionará el conocido como “derecho al olvido”.
  • Si una empresa sufre una pérdida de datos deberá informarse en un plazo de 24 horas tanto a la autoridad de protección de datos personales como a los interesados afectados.
  • Todas las empresas públicas y las empresas privadas de más de 250 empleados deberán tener agentes de protección de datos internos.
  • Previsión de sanciones económicas en casos de incumplimiento que podrían alcanzar el 5% de la facturación anual mundial de la entidad infractora.

Si esto se hace realidad, las empresas americanas que tratan datos personales de ciudadanos europeos ya no podrán alegar la Patriot Act para respaldar la cesión de datos personales al Gobierno americano, pero ¿podrán Google o Microsoft alegar la normativa europea ante el Gobierno americano para justificar su negativa a la hora de facilitar dicha información? Sin duda, será muy interesante presenciar el duelo entre la Patriot Act y la futura normativa europea sobre protección de datos. En definitiva, se trata de la lucha entre dos conceptos muy distintos de privacidad y lo que está en juego son nuestros datos personales, nuestra intimidad y la garantía de nuestra privacidad tal y como hasta ahora la hemos conocido.

Image: Danilo Rizzuti / FreeDigitalPhotos.net

NFC, el medio de pago del futuro…año

    Guardado en BLOG, INTERNET, PRIVACIDAD, PROTECCION DATOS, seguridad información    |    Sin comentarios

NFC, EL MEDIO DE PAGO DEL FUTURO...AÑO

SMARTPHONES CON NFC, EL NUEVO MEDIO DE PAGO

A principios de este año se comenzó a hablar de NFC (Near Field Communication), tecnología de comunicación inalámbrica que constituye una evolución de una tecnología ya ampliamente utilizada, RFID (Radio Frequency Identification). Así podemos encontrar la identificación mediante radiofrecuencia en el chip de nuestro perro, en los peajes que cruzamos, en nuestra ropa, en las pulseras de identificación en resorts de todo incluido u hospitales, en los pasaportes americanos, etc. De la tecnología RFID hablamos anteriormente en este blog (6 de abril de 2011) y ya entonces se abordaba el conflicto existente entre las innumerables ventajas de la utilización de etiquetas RFID – comodidad, bajo coste, etc.- y el riesgo que para la privacidad puede suponer.

También entonces la tecnología NFC se estaba probando como medio de pago en Estados Unidos, en las ciudades de Nueva York y San Francisco, obteniendo una gran acogida por el público privilegiado que tuvo la oportunidad de utilizar alguno de los terminales habilitados con su chip, como el Samsung Wave 578 o el Nexus S. En tales pruebas su uso se limitaba a pequeñas compras que no superasen los cien dólares y en ciertos establecimientos y cadenas comerciales adheridas al proyecto.

En España, los primeros ensayos se realizaron en medios de transporte, como las pruebas piloto de Vodafone en Murcia, y al parecer Telefónica la probó entre sus empleados, pudiendo realizar pagos con sus móviles dentro del lugar de trabajo, para lo que se les suministró terminales con el chip habilitante. En aquellos momentos se comentaba el posible acuerdo entre Movistar, Vodafone y Orange para adquirir terminales compatibles con la tecnología NFC y de que Google pretendía incorporarlo al Nexus S mediante su propio sistema de pago (hoy ya presentado como Google Wallet en alianza con Citybank y Mastercard). Recuerdo que entonces pensé que estos terminales serían el regalo estrella de estas Navidades…

En los últimos días las noticias sobre NFC en su funcionalidad como medio de pago han proliferado como si de una campaña viral se tratase e imagino que en unas semanas habremos incorporado este término a nuestro tecno-lenguaje habitual. Pero ¿sabemos qué es NFC?

Imaginemos salir a la calle sin cartera, sin dinero, sin tarjetas, sin documentación (con perdón de la Ley Orgánica 1/1992 sobre Protección de la Seguridad Ciudadana). Imaginemos entrar y salir de tiendas, establecimientos de hostelería, medios de transporte, etc., sin sacar dinero ni mostrar nuestra identificación. Bastará con confirmar la autorización que nuestro smartphone nos pedirá para abonar el producto o servicio de que se trate. Listo, nuestro móvil se encargará de identificarnos y pagar por nosotros. Eso sí, con cargo a nuestra cuenta.

Para ello se incorpora un chip a la propia tarjeta SIM de nuestro teléfono con nuestra identificación y datos de crédito, de modo que cualquiera podrá disfrutar de sus ventajas, pero, como se puede suponer, también asumir sus riesgos…

En este punto, la elección del medio para confirmar la autorización será determinante del grado de seguridad, desde la marcación tradicional de un PIN – otro más – a la identificación mediante un patrón de huella digital o de iris.

Sea como sea, la vinculación de información personal con artículos o servicios y medios de pago obligará a considerar seriamente la normativa sobre protección de datos y privacidad por parte de los implicados en la recogida, el tratamiento y la conservación de dichos datos.

Tribunal de Justicia de la Unión Europea, no me sentencies que no te leo

    Guardado en BLOG, INTERNET, PRIVACIDAD, PROTECCION DATOS, seguridad información    |    1 Comentario

tribunal justicia union europeaEn estos momentos en los que los términos Europa y europeo copan los titulares de las noticias y se discute la viabilidad de la subsistencia de la Unión Europea, parece que es precisamente en esa instancia donde aún podemos esperar Justicia. Pero desde España parece que podemos seguir esperando…sentados.

La pasada semana la Unión Europea a través de su Tribunal de Justicia hizo públicas dos sentencias que afectan de forma directa nada menos que a nuestros derechos fundamentales; el derecho a la privacidad,  el derecho a la información y al secreto de las comunicaciones. En ambos casos, estas sentencias tienen trascendencia en nuestro país.

Por una parte, el Tribunal de Justicia de la Unión Europea sentenció que un órgano institucional no puede imponer a un proveedor de servicios de acceso a Internet la obligación de supervisar si las descargas que hace un cliente de Internet son legales o no. Dicha sentencia vino a resolver el recurso presentado por una operadora belga a la que un juzgado obligó a impedir cualquier forma de envío o de recepción por sus clientes mediante programas peer-to-peer de archivos, en concreto música del repertorio de SABAM, entidad demandante y equivalente belga de nuestra SGAE.

Conclusión, es contrario al Derecho Comunitario cualquier requerimiento judicial que ordene a un proveedor de acceso a Internet establecer un sistema de filtrado de todas las comunicaciones electrónicas. Y es que dicha conducta vulnera los derechos fundamentales a la privacidad y secreto de las comunicaciones, así como las Directivas 2000/31/CE del Parlamento Europeo y del Consejo de 8 de junio de 2000 relativa a determinados aspectos jurídicos del comercio electrónico en el mercado interior  y la Directiva 97/66/CE del Parlamento Europeo y del Consejo de 15 de diciembre de 1997 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones.

Sin duda esto debería considerarse a la hora de aprobar el futuro reglamento de la conocida como Ley Sinde – Disposición Final Segunda de la Ley de Economía Sostenible -.

Por otra parte, el pasado mes de junio nuestro Tribunal Supremo derivó al Tribunal de Justicia de la Unión Europeo una decisión prejudicial sobre la interpretación del artículo 7. f) de la Directiva 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos.

La sentencia de la Sala Tercera del Tribunal de Justicia de la Unión Europea  de  24 de noviembre manifiesta que las diferencias entre los niveles de protección de los derechos y libertades de las personas y, en particular, de la intimidad, garantizados en los Estados miembros en el tratamiento de datos personales pueden impedir la transmisión de dichos datos del territorio de un Estado miembro al de otro, constituyendo un obstáculo para el ejercicio de actividades económicas en el ámbito comunitario y falsear así la competencia.

Y es que en España la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) que adapta el Derecho nacional a la Directiva 95/46  supedita el tratamiento de los datos a la prestación del consentimiento inequívoco del afectado. Su artículo 6. 2 dispone que no será preciso el consentimiento «cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado«.

Es decir, la normativa española añade al requisito del interés legítimo como presupuesto del tratamiento de los datos sin consentimiento del titular otro más que no está presente en la Directiva 95/46 y es que tales datos consten en fuentes accesibles al público.

Resumiendo,  el Tribunal de Justicia de la Unión Europea le ha dicho claramente a España que su Reglamento 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal se ha extralimitado al restringir la legitimación para el tratamiento de estos datos personales y afirma que no puede “imponer exigencias adicionales” a las ya establecidas en la Directiva.

Lo que el Tribunal Europeo ha dicho es que las disposiciones más restrictivas de la normativa española vulneran la legislación comunitaria, que considera «ilegal» que la normativa española de protección de datos exija que las informaciones personales figuren en fuentes accesibles al público para poder ser procesadas.

Pese a la claridad del fallo de esta sentencia, la Agencia Española de Protección de Datos, ente público que debe velar precisamente por el cumplimiento de la normativa sobre protección de datos personales, emitió una nota de prensa sorprendente, en la que parece restar importancia al fallo declarando la ilegalidad de la legislación que debe aplicar:

de la sentencia no parece derivarse una alteración sustancial del marco vigente ni que el fallo comporte una merma en el grado de protección de los derechos de los ciudadanos, si bien en el futuro será preciso acentuar la ponderación de las circunstancias que concurran en cada supuesto para decidir sobre la legitimidad del tratamiento”.

Nota: Mis agradecimientos a José Guillo Sánchez- Galiano, de paraprofesionales.com, por sus aportaciones.

Image: dan / FreeDigitalPhotos.net