Geolocalización y Protección de Datos

/0 Comentarios/en /por

Con el rápido desarrollo tecnológico y la amplia difusión de dispositivos móviles inteligentes se ha desarrollado un nuevo tipo de servicios basados en la localización de las personas. El marco jurídico en la Unión Europea para el uso de los datos de geolocalización que surgen de los teléfonos inteligentes es principalmente la Directiva sobre protección de datos. Nadie duda de los riesgos que para la privacidad tiene el servicio de geolocalización constante proporcionado por los smartphones o teléfonos inteligentes puesto que permiten la monitorización permanente de los datos de localización.

Esta colección de datos permite realizar unos perfiles muy completos y perfectos de sus usuarios. Dado que estos dispositivos siempre están con su propietario, bien en el bolsillo o en sus puestos de trabajo, contienen gran cantidad de información de la persona, desde fotografías hasta mensajes electrónicos. El continuo recibimiento de datos proporciona a los proveedores de servicios de geolocalización una recopilación exhaustiva de los hábitos y costumbres de los propietarios de los teléfonos inteligentes.  La recopilación constante de datos de localización, en muchas ocasiones sin que el poseedor sea consciente, permite recoger también los llamados datos especialmente protegidos en los supuestos en que el usuario visita repetidamente un hospital, un centro de culto o bien la sede de un partido político determinado. Los usuarios de estos terminales ignoran que están enviando su paradero constantemente y desconocen también con qué finalidad se almacenan sus datos. En escasas ocasiones el interesado ha proporcionado su consentimiento para su tratamiento, por lo que no puede considerarse legalmente válido puesto que el consentimiento no puede ser logrado mediante la aceptación de las condiciones generales y debe de ser específico para los diferentes fines para los que se procesen los datos.

Cómo corregir los posibles defectos de origen de las apps.

Siguiendo el Dictamen 02/2013 del Grupo de Trabajo del Artículo 29 sobre Protección de Datos http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp185_en.pdf los riesgos de las aplicaciones de los dispositivos inteligentes podrían evitarse haciendo uso de ciertas prácticas. Utilizar el sistema de la privacidad por defecto, permitiría que con anterioridad a que el usuario descargara una aplicación, estaría informado de quien recoge su información y para qué es utilizada, qué parte está siendo compartida, con quien y con qué propósitos. La transparencia debería  desempeñar un papel clave en todo el proceso para que los usuarios pudieran tomar una decisión informada sobre el uso de la aplicación. Asimismo, se requeriría minimizar y limitar la información recopilada, para que fuera razonable, no excesiva y para que el período de almacenamiento de datos fuera el más breve posible.

 Al mismo tiempo, se aconseja conocer la identidad y los datos de contacto del responsable del tratamiento para poder ejercitar los derechos de acceso, rectificación, cancelación u oposición y convendría averiguar la razón por la que se conserva la información y por cuánto tiempo se ha de guardar y bajo qué justificación.  Si con posterioridad la aplicación modificara sus propósitos y quisiera utilizar los datos personales para otra finalidad distinta de la que preveía inicialmente, el proveedor de la aplicación debería ponerse en contacto con el usuario e informarle sobre sus nuevos usos y obtener su permiso. Convendría que no existieran las actualizaciones secretas y el usuario habría de estar advertido sobre cualquier cambio sustancial de la aplicación que afecte a su privacidad. También recomendamos tomar las medidas de autenticación de usuario mediante métodos adaptados a los riesgos y establecer tanto la medida de autenticación inicial para el acceso al dispositivo como un extra para utilizar la aplicación.

 

Teresa de Gea
Abogada – Máster en Derecho de Internet y Nuevas Tecnologías
Licenciada en Ciencias Políticas y de la Administración

 

 

 

Protección del secreto comercial

/0 Comentarios/en /por

El próximo 13 de abril en el Parlamento Europeo se debatirá (y se podría aprobar) el texto de la futura Directiva relativa a la protección del saber hacer y la información empresarial no divulgados (secreto comercial) contra su obtención, utilización y divulgación ilícitas[1]. Una directiva que daría cobertura y protección a información valiosa para la empresa que actualmente o no está siendo debidamente protegida por parte de los ordenamientos jurídicos de los estados miembros o que es de difícil protección únicamente aplicando la normativa de propiedad intelectual, industrial o competencia desleal.

Protección del secreto comercialUno de los objetivos que expone dicha normativa es propiciar un entorno adecuado en el mercado único de la UE para facilitar la innovación y fomentar mayores niveles de inversión del en I+D+i y específicamente en el uso eficiente de las TIC, que permita una colaboración más estrecha en investigación y desarrollo tecnológico.

Una “startup” de base tecnológica requiere en muchos casos, en el desarrollo de su modelo de negocio, pasar por un proceso de investigación y creación donde se recopila y desarrolla información importante que lleva como resultado la generación progresiva de conocimientos de un gran valor económico.

En estas fases iniciales de desarrollo de negocio, la confidencialidad es en la mayoría de casos la base sobre la cual se puede consolidar cualquier proyecto para que su explotación pueda traducirse en innovación de servicios o productos en el mercado digital y por lo tanto una mayor competitividad. Hasta ahora normalmente se intentaba lograr un cierto grado de protección de la inversión en dicho activo intangible a través de la formalización de acuerdos o contratos de confidencialidad denominados también NDA (“non-disclosure agreement”).

Esta normativa, conjuntamente con otra normativa mencionada anteriormente y el futuro Reglamento General de Protección de Datos de la UE, puede suponer la obligatoriedad de establecer medidas de seguridad y protocolos de supervisión específicos para  prácticamente toda la información de una empresa. Por lo tanto dichas medidas y procedimientos deberán quedar reflejados en muchos programas de cumplimiento normativo de cualquier organización.

No obstante, desde la aprobación de la Directiva, los estados miembros aún dispondrán de dos años de plazo para su transposición en sus propios ordenamientos jurídicos.

La normativa define que será considerado “secreto comercial” aquella información que entrara en la categoría de confidencial, tuviera un valor comercial por el hecho de ser confidencial y que el poseedor del secreto comercial hubiera tomado medidas razonables para mantenerla confidencial. Dichas condiciones hacen que la organización tenga que hacer una clasificación y valoración previa de sus activos intangibles para poder acogerse a las medidas de protección adecuadas de la futura Directiva.

En contraposición, organizaciones y entidades internacionales, en las que se incluyen también de periodistas[2], destacan que dicha normativa puede atentar directamente a la libertad de expresión y al derecho a la información ya que dificultaría la difusión y conocimiento de posibles casos de interés público como la reciente noticia con repercusión internacional de los “Papeles de Panamá”[3].

Por un lado, las empresas poseedoras de secretos comerciales podrán solicitar las medidas, procedimientos y acciones previstas en la Directiva con el fin de prevenir la obtención, utilización o divulgación ilícitas de un secreto comercial así como obtener reparación por ello.

Por otro lado, la Directiva también establece unos límites a dicha protección de los secretos comerciales de la empresa que  serían aplicables en el caso que se haga un uso legítimo del derecho a la libertad de expresión y de información; se revelase un comportamiento impropio, irregularidad o actividad ilícita, siempre que la presunta obtención, utilización o divulgación del secreto comercial fueran necesarias para dicha revelación y que se haya actuado en interés público; que el secreto comercial haya sido divulgado por los trabajadores a sus representantes en el marco del ejercicio legítimo de sus funciones de representación; también a efectos de cumplir una obligación no contractual o a efectos de proteger un interés legítimo. Este último supuesto, el interés legítimo, deberá irse concretando en los posteriores desarrollos normativos de los estados miembros o en última instancia, ante los respectivos tribunales de justicia.

También se contempla la posibilidad que surjan abusos en la solicitud de las medidas de protección por parte de empresas que compitan entre ellas en el mercado. En los supuestos que una empresa demandante de la competencia  haya incoado un procedimiento judicial de mala fe con el fin de retrasar o restringir de forma desleal el acceso al mercado de la empresa demandada, las autoridades judiciales competentes podrán imponer sanciones a la parte demandante y también ordenar la difusión de la información relativa a la decisión adoptada (por ejemplo mediante redes sociales) siempre y cuando esa acción no vulnere otros derechos o intereses del directamente perjudicado o de terceros.

En los albores de la era digital,  donde cada vez más los ataques informáticos y la falta de medidas organizativas en el plano de la ciberseguridad están siendo (y seguirán siendo) la principal causa de muchas fugas de información corporativa,  los abogados TIC ya llevamos mucho tiempo preparándonos para todos estos cambios regulatorios. No sólo para garantizar una mayor protección de los activos intangibles de las empresas y organizaciones, tanto en lo referente a las bases de datos con información de sus diferentes agentes (información sobre los clientes, empleados, colaboradores y proveedores) como de la información considerada  “secreto comercial” sino también para proteger los derechos fundamentales e interés público de toda la sociedad.

[1] Propuesta de DIRECTIVA DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativa a la protección del saber hacer y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y divulgación ilícitas.

http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:52013PC0813

[2] Petición ciudadana impulsada por una coalición de ONGs, sindicatos, periodistas e investigadores que solicitan al Parlamento Europeo que rechacen la Directiva.

https://act.wemove.eu/campaigns/whistleblowers-at-risk

[3] https://panamapapers.icij.org/

 

Eduardo López-Román

Abogado especializado en Derecho Digital

Socio fundador de ENATIC.

Twitter: @edulawyer

Fuente de la fotografía: Morguefile

Los certificados de persona jurídica y el Reglamento eIDAS

/1 Comentario/en /por

La entrada en vigor y aplicabilidad del Reglamento de Identificación Electrónica, (UE) 910/2014 del Parlamento Europeo y del Consejo (en adelante eIDAS), el próximo 1 de julio de 2016, va a suponer cambios en la regulación nacional establecida por la Ley de Firma Electrónica (59/2003, de 19 de diciembre), entre otros aspectos en relación con los certificados de persona jurídica.

¿Qué son y para qué sirven los certificados de persona jurídica?

Los certificados de persona jurídica, son regulados en el art. 7 de la Ley de Firma Electrónica, estando su solicitud, emisión y custodia vinculada a las personas físicas administradoras, representantes legales o apoderados con poder bastante, pudiendo incluso establecer limitaciones por cuantía o materia, en cuanto a su utilización en las relaciones con las Administraciones Públicas o en la contratación de bienes o servicios.

La normativa establece que se entenderán realizados por la persona jurídica los actos o contratos en los que su firma se hubiera empleado dentro de los límites previstos en el propio certificado. Si la firma se utiliza transgrediendo los limites establecidos, la persona jurídica quedará vinculada frente a terceros si los asume como propios o se hubiesen celebrado en su interés. En caso contrario, los efectos de los actos recaerán sobre la persona física responsable de la custodia de los datos de firma.

¿Qué dice el eIDAS en relación con los certificados de persona jurídica?

El Reglamento de Identificación Electrónica y los Servicios de Confianza en las Transacciones Electrónicas en el Mercado Interior, (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de Julio de 2014, que será aplicable en su totalidad y de forma directa a partir del próximo de julio de 2016 a todos los Estados Miembros, no prevé ni regula los certificados de persona jurídica, ni la emisión de certificados de firma electrónica a personas jurídicas o entidades sin personalidad jurídica.

El eIDAS, reserva únicamente a las personas jurídicas los denominados sellos electrónicos, que, según el considerando 59 del eIDAS, deben servir como prueba de que un documento electrónico ha sido expedido por una persona jurídica, aportando certeza sobre el origen y la integridad del documento. Del mismo modo, el considerando 65 del eIDAS establece, que los sellos electrónicos, además de autenticar el documento expedido por la persona jurídica, pueden utilizarse para autenticar cualquier activo digital de la persona jurídica, como programas informáticos o servidores.

Los prestadores de servicios que emitan sellos electrónicos deberán establecer las medidas que permitan poder acreditar la identidad de la persona física que representa a la persona jurídica; es decir, su emisión y utilización irá igualmente vinculada a la administración, representación legal o apoderamiento de las personas físicas vinculadas a la persona jurídica.

El eIDAS prevé además los certificados de persona física de representante, es decir, aquellos certificados electrónicos cualificados emitidos a favor de un representante autorizado de persona jurídica.

¿Ante que problemática nos encontramos?

La problemática principal que se nos presenta a nivel nacional radica en que la utilización de los certificados de persona jurídica está vinculada principalmente a la obligatoriedad establecida en el ámbito tributario, donde las personas jurídicas deben relacionarse con la Administración Tributaria exclusivamente por medios electrónicos, debiendo utilizar este tipo de certificados electrónicos reconocidos.

Así, a día de hoy se estima que pueden existir alrededor de un millón trescientos mil (1.300.000) certificados de persona jurídica activos, por lo que habrá que preverse un plan o periodo de transición que suponga un mínimo impacto en el trafico mercantil y en las relaciones con las Administraciones Públicas por medios electrónicos.

¿Qué va a ocurrir a partir del próximo 1 de julio de 2016?

La Secretaría de Estado de las Telecomunicaciones y la Sociedad de la Información (SETSI) del Ministerio de Industria, emitió a finales del mes de Enero de 2016 una nota informativa (http://www.minetur.gob.es/telecomunicaciones/es-ES/Servicios/FirmaElectronica/Documents/nota-web-certifs-pers-juridica.pdf) acerca del futuro de los certificados de persona jurídica, estableciendo que antes del 1 de julio de 2016 dejarán de emitirse certificados de persona jurídica, pudiendo emitirse certificados de sello electrónico o certificados de persona física representante.

A partir de ese momento, 1 de julio de 2016, los certificados de persona jurídica pasarán a relacionarse en la base de datos nacional y en la lista de confianza de prestadores de servicios de certificación, como certificados no reconocidos. No obstante, también establece que los certificados de persona jurídica emitidos antes del 1 de julio de 2016 podrán seguir utilizándose hasta la fecha de su caducidad o revocación.

Es decir, a partir del 1 de julio de 2016, los certificados de persona jurídica vigentes podrán seguir utilizándose, si bien, ya no tendrán la consideración de certificados reconocidos, siendo este un requisito establecido por la normativa de aplicación en relación con los efectos jurídicos producidos en su utilización en diferentes tramites electrónicos.

La nota emitida por la SETSI no establece expresamente nada en cuanto a los efectos jurídicos que producirán estos certificados de persona jurídica no reconocidos, y administraciones como la Tributaria (con el mayor volumen de utilización de certificados de personas jurídicas), tampoco se han manifestado hasta el momento sobre los efectos jurídicos que desplegarán estos certificados hasta su caducidad o revocación, si bien puede interpretarse, que con carácter excepcional serán los mismos que si se tratase de certificados reconocidos.

No obstante, éste hecho puede llega a suponer una inseguridad jurídica en el tráfico mercantil y en los trámites con las Administraciones Públicas, por lo que en mi opinión personal, deberán establecerse acciones especificas que permitan que el periodo de transición previsto sea el mínimo posible, de forma que pasen a utilizarse en la práctica los sellos electrónicos y certificados de persona jurídica representante, en lugar de los extintos certificados de persona jurídica.

 

María González Moreno
Asociada Senior en Ecija Legal & Compliance
Twitter: @meryglezm

¿Podrían @norcoreano, @diostuitero @gerardotc o @SuperFalete hacer un testamento digital?

/0 Comentarios/en /por

Artículo especial de Silvia Barrera Ibáñez (@sbarrera0) especial para el #RetoJCF promovido por Juristas con Futuro.

Hace unos días me ofrecieron, virtualmente, la posibilidad de hablar de la ¿herencia digital?  Dejar que mi legado digital sea administrado por otros cuando me muera. La gran mayoría, incluso los que participan en este #RetoJCF podrían pensar qué pinta @sbarrera0 en todo esto. @JuristasFuturo me dijo: “Algo, seguro, puedes aportar”. Allá voy.

Testamento digital

Herencia digital

Aparte de meterme en todos los charcos, el objetivo, entre otros, de mi trabajo como policía judicial es realizar todas aquellas indagaciones tendentes al esclarecimiento del delito y entre ellas (la más importante,) determinar la identidad de la persona/s que, presuntamente, lo ha/n cometido.

De identidades virtuales va la cosa y por tanto, en ese aspecto y como ciberpolicía judicial, me he pasado la vida buscando formas de identificar a personas en la red. Hace años cuando nadie sabía de qué iba “eso de Internet” y lo utilizaban como un medio que pensaban anónimo, detrás de una dirección IP  había (y todavía hay), una persona potencialmente identificable, con nombre y apellidos. El usuario aprendió que si puede ser identificado por la dirección IP, algo debía de hacer para ocultarla de su navegación. Y así surgieron, entre otros, los anonimizadores.

 

Algo ha cambiado. Ahora, vamos en coches que pueden camuflar sus matrículas, por tanto, habrá qué buscar otras formas de identificar a su conductor: cómo es el coche, qué marcas de rodaje ha dejado, dónde hace los cambios de aceite o reposta; y lo tiene que hacer, sí o sí, sin anonimizadores.

Por eso, la forma de identificar a un usuario en la Red también ha cambiado. Nuestra interacción social virtual es tan brutal que conformamos una huella digital muy profunda y una presencia online más estable y poderosa incluso que la física. Siguiendo y conectando los múltiples rastros de navegación y presencia en la Red, dejamos indicios: geoposicionamiento, perfiles, comentarios, fotos y todos esos artículos de: “Cuidado con tu privacidad y lo que publicas en la Red”.

En mi proceso de búsqueda de identidades me he llevado muchos #zascas cuando he comprobado quién estaba detrás de un perfil de una red social o quién administraba una web. Suena a topicazo de película pero, a veces, resulta ser quien menos te lo esperas. Dicho ésto, creo necesario distinguir dos tipos de uso de identidades en Internet.

 La parte seria de la Red, sus negocios con la empresa y la Administración.

Por una parte, la necesidad de realizar actos/negocios jurídicos y gestiones administrativas en la Red de forma rápida y cómoda que nos identifique de forma unívoca ante la Administración Pública, instituciones o empresas. Para ello se emplean, por un lado, los certificados y  la firma electrónica, que permiten realizar gestiones interesadas para el usuario con la Administración y viceversa y los documentos de identidad, el D.N.I. y el pasaporte electrónicos: desde la versión 0.0, 3.0, 5.15 hasta el número pi infinito. Gracias a los tratados internacionales, además, podemos traspasar las fronteras físicas hasta los confines y que todos den como válida nuestra identidad, sin ningún género de dudas (salvo que la foto vaya pegada o los datos estén algo modificados).

Para todo lo demás, me refiero, a transacciones comerciales, Master Card y otras  tarjetas de crédito y la autentificación a uno, tres o diez pasos de la banca online son servicios legítimos que dan pistas de la identidad de quien hace uso de ellos. Todo lo anterior es la Red haciendo uso de su propia tecnología y aportando soluciones al mundo físico.

 Servicios web gratuitos. “Los otros”, la Red “salvaje”.

Dejemos de utilizar Internet como un medio, con años de regulaciones y mejoras  técnicas que no dan respuesta a “Los otros”: al mundo digital PURO que ha creado una “Redarquía” con normas propias. Todo el contenido que conforma la riqueza de la web 2.0 representado por los servicios web “gratuitos” (recuerda que nada es gratis) que no tienen existencia ni sustento físico real: redes sociales, blogs, servidores de correo web, almacenamiento en la nube, redes P2P o foros y que han cambiado nuestra sociedad y la forma de relacionarnos.

Esta riqueza virtual ha provocado que existan aunténticas “estrellas virtuales” como @diostuitero @gerardotc , @SuperFalete o @norcoreano que acumulan cientos de miles de seguidores por sus tuits humorísticos, irónicos, imaginativos o rodeados de provocación. Su fórmula triunfa y son 100% virtuales, sin certificados ni DNI. Se curran su reputación digital día a día. Inspiran, interaccionan y tienen su propia personalidad ¿e identidad virtual? Por supuesto pero ¿Quién sabe su identidad real?

Si de mi perfil, Silvia Barrera, @sbarrera0, se puede hacer un testamento digital ¿Podrían @norcoreano, @diostuitero @gerardotc o @SuperFalete dejar su herencia digital en manos de otr@s personas? ¿En qué se diferencian mis cuentas y perfiles en redes sociales de las suyas? (Bueno, sí, la mía es bastante menos ingeniosa y divertida pero vamos al grano)

Algunos podrían decir: “detrás del perfil @sbarrera0 se supone que hay una identidad real, Silvia Barrera y es su persona la que publica ¿O no?” ¿Quién hay detrás de @norcoreano, @diostuitero @gerardotc o @SuperFalete ¿Quién lo ha contrastado? ¿Twitter?

 El mundo se desmorona por momentos.

Precisamente, este tipo de servicios web gratuitos son tan usados y caracterizados porque los procesos de creación y registro de cuentas permiten la aportación de datos falsos, simulados o ficticios. Algunos como el correo, añaden un número de teléfono pero solo a los efectos de verificación de usuario para evitar suplantaciones de identidad y comprobar que quien creó la cuenta es quien la pretende usar en el momento de hacer loggin ¿cuál es su identidad real de quien crea o utiliza ese email? ¿Recuerdas que diste tu número de teléfono propio pero un nombre, fecha de nacimiento y seudónimos ficticios?

Imaginemos que estuviéramos obligados (nunca ocurrirá) a dar nuestros datos de identidad reales en estos servicios virtuales gratuitos “Los otros”. ¿Cuál sería ahora el problema? El sistema de verificación de tu identidad. En un post de hace unos meses argumentaba que el concepto de identidad virtual perteneciente a un nombre y apellidos sólo tendría sentido cuando es administrada por proveedores de servicio nacionales, bajo la regulación del propio país. Esto ocurre en España, por ejemplo, con las páginas de juego online con dominio .es y bajo regulación y supervisión de la Dirección General de Ordenación del Juego. Las operadoras de juego online poseen unos sistemas técnicos homologados por la Dirección así como un servicio web de verificación de jugadores ( y nunca técnicamente infalible) que garantiza la identidad real del jugador. Pero la ansiada bellota desaparece de nuestras manos cuando la gestión de las identidades dejan de estar en manos de proveedores nacionales y pasa a manos de servicios extranjeros como EEUU, Rusia, China o Irán, Irlanda, Holanda, da igual. ¿con qué verificas virtualmente ahora tu identidad física?

A modo de conclusión.

Tal y como lo veo, hoy por hoy, para contenidos “Los Otros”, virtuales puros, no hay forma regulada de vincular una identidad virtual a una identidad real física pero SI identidades virtuales que conforman realidades en el mundo físico. Si @SuperFalete quiere hacer un testamento digital para que su identidad digital perdure por lo siglos de los siglos (ojalá), puede acudir a un lugar donde extraigan y certifiquen la presencia de contenidos como fotos, vídeos y comentarios publicados que se supone pertenecían a @SuperFalete porque tiene (tenía) capacidad para administrar esa cuenta.

Cómo gestionar y dejar de legado una cuenta con Bitcoins #ahílodejo (en plan subliminal).

Por tanto, supongo que la posibilidad de establecer cualquier tipo de administración de estos contenidos de forma testamentaria para tratar de perpetuar el rastro online que ha dejado el fallecido es muy lícito y debe ser voluntad del propio fallecido, que es quien ha generado su reputación online sobre todo cuando el propio proveedor de servicios desactiva cuentas de correo, perfiles, etc., si detecta inactividad por cierto tiempo. Si esto ocurriera, otro usuario, completamente diferente, podría volver a crear otra cuenta utilizando el mismo pseudónimo, con los mismos códigos alfanuméricos, (cosa que no pasa con tu DNI cuando te entierran) para no se sabe qué otros usos posteriores y no nos gustaría que ésto pasara.

Pero a todo esto veo le veo un (o alguno más) problema. Si todo el mundo empieza a perpetuar sus perfiles digitales, igual que se están acabando las direcciones IP en formato IPV4 y que ya sólo lo mantiene a flote el sistema de asignación dinámico, antes lo harán las combinaciones de nombres memorizables para que sean “simbólicos” al papel que pretenden representar en perfiles e emails. En un futuro, el formato de asignación de cuentas será tan peregrino y poco romántico como @SuperFalete12436 o @SuPeRFaleTe_1982. No, no es lo mismo.

Silvia Barrera Ibáñez

Patentar invenciones implementadas por ordenador

/0 Comentarios/en /por

Ahí va mi primera pregunta ¿cuántos compañeros juristas os habéis planteado patentar una invención implementada por ordenador? Quizás, algunos. Y si es así, de entre los que os lo habéis planteado ¿cuántos lo habéis aparcado por tener poca información? Quizás, otros tantos. Porque en definitiva, ¿qué es y para qué sirve patentar una invención implementada por ordenador (IIO) o “computer implemented invention” (CII)”?

El objetivo de mi post, estimados compañeros, es animar a que tengáis en cuenta esta “opción”. No se trata de una mera ilusión, esta posibilidad es presente y todavía va a ser más relevante en un futuro próximo. Os lo explico seguidamente.

Veréis, nadie puede cuestionar que nuestra sociedad es una sociedad cada vez más digital. La digitalización ya “ocupa” muchos espacios y cada vez serán más. Ahora mismo, en el metro o en el bus, podemos ver a muchas personas con su teléfono móvil o dispositivo electrónico buscando información, chateando o simplemente jugando. Por lo tanto, por pura lógica, las invenciones van a implementarse “por ordenador”, cada vez con mayor asiduidad. Es decir, el software o el “ordenador” van a ser un medio imprescindible para crear nuevas invenciones. Porque puestos a preguntar ¿alguien duda que esto vaya a suceder?

Por todo eso, hay que prepararse para que no nos pasen de largo las numerosas oportunidades que todo esto nos va a deparar. Yo apuesto, en esta materia, como en muchas otras, por juntar un equipo transversal con técnicos y juristas especializados. Si entre todos lo hacemos bien, creo que la combinación puede ser imparable.

Las IIO o CII “utilizan” el software para crear un invento. Es decir, la invención no es el software en sí o “as such”, puesto que tanto la normativa española (artículo 4.4 de la Ley de Patentes[1]), como la europea (artículo 52 del Convenio de Munich[2] y Reglamento Europeo 1257/2012, de 17 de diciembre[3]), prohíben su patentabilidad, sino que es algo distinto. Es importante tener en cuenta ese “matiz” para no dar lugar a errores. La normativa americana y europea son distintas, así como los criterios de la USPTO[4] y la EPO[5], sin embargo, en el fondo persiguen lo mismo: proteger la “capacidad inventiva”.

La primera diferencia sustancial, es el objeto de la patente. En España y en el ámbito de los países integrantes del Convenio de Munich, se prohíbe expresamente la patente de programas de ordenador, en cambio, en EEUU no existe esa prohibición / exclusión.

Por otro lado, en EEUU la definición de invención tecnológica patentable se realiza en sentido “positivo”[6], en cambio a nivel europeo, la definición se efectúa en sentido “negativo”. Es decir, en Europa se “parte” del principio de no patentabilidad de los programas de ordenador[7]. Por el contrario, en EEUU se va de lo más genérico a lo más concreto[8]. En resumen, partiendo de situaciones diversas, EEUU y Europa cada vez “se acercan” más.

Como he dicho, la patente de CII trata de proteger una invención creada mediante software con un efecto o funcionalidad. De hecho, esa funcionalidad es algo mucho más “extenso” que el programa en sí mismo considerado. En definitiva, se trata de proteger “más allá” de los códigos fuente y objeto o la propia apariencia del programa.

Así pues, en el ámbito europeo, tendrá todo su sentido la protección mediante patente, cuando el “objeto” a proteger sea una CII. Mientras que en otro caso, será preciso otro tipo de protección, por ejemplo el “copyright” o incluso los “creative commons”[9].

PATENTAR SOTWARE O UNA  IIO / CII

www.epo.org

www.epo.org

www.uspto.gov

uspto.gov

Voy a poner un ejemplo muy claro de IIO / CII patentable: no hace demasiado tiempo una investigadora española, actualmente en un centro especializado de EEUU, desarrolló una app capaz de detectar precozmente a los niños con dislexia[10] ¿No es maravilloso que se pueda conjugar la tecnología y la medicina en apoyo quienes más lo necesitan? Y por otro lado, ¿queda claro que lo fundamental en este caso, es proteger la funcionalidad?

En definitiva, es tiempo de poner, entre todos, unas bases sólidas y eficientes para hacer crecer nuestra cultura e ingenio, al tiempo que mejoramos nuestras capacidades tecnológicas. Es el momento de pensar y dar curso a una nueva “revolución” cultural, científica y tecnológica[11]. No hay más tiempo que perder.

En resumidas cuentas ¿quién se atreve a estudiar, trabajar y disfrutar en este “campo” tan poco explorado por los juristas como son las patentes de IIO / CII?

 

Os espero en: @FarranPere y en perefarran.wordpress.com

Pere Farran Castellà

Jurista especialista en derecho digital. Miembro de ENATIC

[1] La ley actualmente vigente es la Ley 11/1986, de 20 de marzo, de patentes. Pero existe una nueva ley 24/2015, de 24 de julio, también de patentes, publicada en BOE de 25 de julio de 2015 que entrará en vigor el 1 de abril de 2017.

[2]http://www.oepm.es/cs/OEPMSite/contenidos/NORMATIVA/NormasSobrePatentes_MU_Topografias_CCP/NSPMTCCP_DerechoEuropeoPatentes/ConvenioMunichConcesionPatentesEuropeas_5_Oct_1973.htm

[3] Ver artículos 1 y 2 del citado reglamento, todavía pendiente de tener pleo efecto: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2012:361:0001:0008:ES:PDF

[4] http://www.uspto.gov/

[5] https://www.epo.org/index.html

[6] https://www.law.cornell.edu/uscode/text/35

[7] Ver, entre otras, la decisión del Boards of Appeal de la EPO en el caso “Paycool International” (T-2216/09)

[8] Ver el caso visto por la Supreme Court of The US: “Alice Corp vs CLS Bank Int” de 19/06/2014.

[9] http://creativecommons.org/

[10] http://www.scientificamerican.com/espanol/noticias/apps-logran-resolver-las-dificultades-de-la-dislexia/

[11] http://tecnologia.elpais.com/tecnologia/2015/10/23/actualidad/1445612531_992107.html

Censura y control: la necesidad de un ciberderecho que regule internet

/0 Comentarios/en /por

Cuando se trata de asuntos que ocurren o suceden a través de o en Internet, la normativa local –y con ello me refiero a la del país en concreto en el que estamos ubicados- en la gran mayoría de veces es insuficiente.

Esto puede parecer una afirmación más que obvia; pero, ¿cuántas veces has oído hablar de la ley de protección de datos, la ley de servicios de la sociedad de la información y comercio electrónico, del código penal,.. como normativas para solucionar conflictos online? Y sin embargo, éstas solo son aplicables de forma residual.

Partamos de la base de que, como ciudadanos asentados en España, nos asisten una serie de derechos, como por ejemplo, los del art. 20 de la Constitución Española: libertad de información y expresión. Y además, como ciudadanos que utilizamos internet, hacemos uso de los servicios que ofrece, y tenemos una cuenta en Gmail, en Facebook o  en Twitter.

Por lo general, este tipo de organizaciones suelen establecer su sede principal en Estados Unidos, y se acogen principalmente a la legislación estadounidense.  Aunque también es posible que alguna de estas empresas tenga una filial en Europa, y por ello, deba respetar en lo básico la normativa europea; al final, lo que termina regulando las relaciones entre ciberorganización e internauta, es un contrato privado de adhesión  que contiene una serie de términos y condiciones de uso, que el ciudadano ha de aceptar expresa o tácitamente.

Por ejemplo, en el ejercicio del derecho fundamental a la libertad de expresión -en base a la legislación española- podríamos postear en una red social un comentario, o subir una fotografía o imagen con la que expresáramos al mundo cibernético algo que nos gusta o nos disgusta, siempre y cuando no se sobrepasen los límites de aquella libertad.

Sin embargo, es posible que la plataforma online donde se posteara ese comentario o fotografía, pudiera tener otros estándares para filtrar si ese contenido sobrepasa o no lo que ellos consideran las fronteras de lo aceptable, con independencia del derecho que te asistiera en tu país.

Actualmente, las redes sociales están realizando el papel que las leyes que rigen los Estados no hacen: regular las conductas que están permitidas y las que no, en internet. A través de sus políticas de uso, las organizaciones que operan en internet prohíben determinados contenidos que entienden como abusivos, como por ejemplo, la incitación al odio. Sin embargo, ésta no deja de ser una interpretación no consensuada socialmente y subjetiva de lo que se entiende por abusivo.

De producirse una conducta considerada abusiva por la ciberorganización, el comentario sería eliminado sin previo aviso para el usuario y sin concedérsele el derecho a réplica.

Entonces, ¿qué ocurre cuando ese discurso que la red social califica como incitación al odio se considera de interés periodístico para la mayoría de los internautas? ¿Y si esto se produce sistemáticamente con un determinado tema político o social de interés para la ciudadanía? ¿Estamos dejando, en el fondo, en manos de las organizaciones que dominan internet la regulación de nuestra sociedad? ¿Acaso esto no vulnera los derechos más inherentes al ser humano: poderse expresar libremente, e informar y ser informado?

La conclusión a todas estas reflexiones no puede ser otra:  empieza a ser necesario un ciberderecho mundial que entre de lleno a regular las relaciones que se mantienen a través de internet, ya que el ciberespacio no está localizado en un concreto punto del planeta, sino en muchos de forma simultánea. Relaciones que no por ser cibernéticas dejan de crear derechos y obligaciones para las partes; relaciones que muchas veces tienen como consecuencia abusos que son socialmente reprochables y que, además, tienen una repercusión real nefasta en el desarrollo de nuestra personalidad.

 

Miriam García López
Abogada en ciberderecho.com

Publicación en Internet de listados de personas deudoras con Hacienda

/0 Comentarios/en /por

 

  1. Introducción.

Recientemente, se ha publicado una modificación de la Ley General Tributaria[1] que ya fue objeto de gran debate en sede parlamentaria la cual está suscitando mucha polémica. Nos estamos refiriendo a la publicidad de «los listados de personas» que tienen deudas con la Hacienda Pública con identificación de nombre, apellidos y DNI.

La idea de dar publicidad a los «defraudadores» frente a la Hacienda Pública a modo de reprimenda adicional al incumplimiento de las obligaciones tributarias no es una novedad. Alemania y Finlandia ya poseen normas que no amparan el principio general de confidencialidad de los datos tributarios. De acuerdo con la exposición de motivos de esta ley, el ofrecer publicidad de aquellos que incumplen tiene su origen en la lucha contra el fraude fiscal con el objetivo de crear una  «conciencia cívica tributaria».

  1. Requisitos para la publicidad.

De la lectura del artículo 95 bis es necesario la concurrencia de varios requisitos cumulativos para poder publicar:

  1. Existencia de «deudas o sanciones tributarias» gestionadas por la Administración Tributaria del Estado[2].
  2. Que el importe de las deudas o sanciones pendientes de ingreso supere «el millón de euros».
  3. Que se haya agotado el período voluntario de pago.

Se tomará como fecha de referencia para la publicación el 31 de diciembre del año anterior al del acuerdo de publicación.

Se excluyen aquellas deudas aplazadas o suspendidas, entendemos que se refiere a aquellas en las que existe una resolución por parte de la Agencia Tributaria concediendo la suspensión y/o aplazamiento. A sensu contrario, deducimos que sí se pueden publicar aquellas en las que se ha solicitado el aplazamiento y no ha habido pronunciamiento al respecto.

  1. Datos objeto de publicidad y procedimiento.

Los datos que podrán ser objeto de publicidad, y en lo que aquí nos interesa, son el nombre, apellidos y NIF de la persona deudora, esto es, datos de carácter personal de acuerdo con la normativa LOPD y su Reglamento, pues permiten la identificación exacta  de la persona física.

A efectos del cómputo de los importes adeudados a la Hacienda Pública se tendrán en cuenta tanto las deudas como las sanciones.

El procedimiento que se seguirá es el siguiente:

  1. Notificación previa al afectado de la propuesta de inclusión en el listado.
  2. Posibilidad de formular las alegaciones por parte del afectado.
  3. Examen de las alegaciones y en su caso rectificaciones y acuerdo publicación.
  4. Publicación del listado por medios electrónicos debiendo adoptarse las medidas necesarias para impedir la indexación de su contenido a través de motores de búsqueda en Internet.
  5. Los listados dejarán de ser accesibles una vez transcurridos tres meses desde la fecha de su publicación.

Aquí es importante resaltar que el pago posterior a la fecha de referencia, es decir a 31 de diciembre del año anterior al del acuerdo de publicación, no afectará a la publicación del listado. Por ejemplo: si a 31 de diciembre de 2015 se debe más de 1 millón de euros y no ha sido pagado en período voluntario, y el día 6 se paga seguirá apareciendo en el listado.

Mediante Orden Ministerial se establecerá la fecha de publicación durante el primer semestre de cada año y los ficheros y registros.

  1. Colisión con el derecho a la protección de datos personales.

La ley dice que el tratamiento de los datos necesarios para su publicación respetará lo dispuesto en la ley de protección de datos (LOPD) y su Reglamento. Sin embargo, el texto definitivo no ha recogido la totalidad de las recomendaciones que sugería la Agencia Española de Protección de Datos para dar cumplimiento a la normativa a través de un informe de su Director.

Analizando desde el punto de vista práctico, la Hacienda Pública a nuestro modo de ver está haciendo un tratamiento de los datos personales que se extralimita de las finalidades para las que fueron recabados, esto es, para el cumplimiento de las obligaciones tributarias por parte del contribuyente y vulnera el principio de finalidad y adecuación de los datos. En base a este principio, el tratamiento de los datos personales ha de responder a una finalidad concreta, explícita, legítima y los datos han de ser adecuados, pertinentes y no excesivos.

Se extralimita porque decide hacer públicos unos datos que permiten la identificación de la persona con nombre, apellidos, DNI y hacerlo «público en Internet», aunque sea en su propia página web y por un tiempo determinado con los riesgos asociados sin responder a una finalidad legítima. La finalidad legítima es el tratamiento para el cumplimiento de las obligaciones tributarias y no para crear una prensa amarilla sobre deudores con alto poder adquisitivo. Ya conocemos cómo operan los ciberdelincuentes y con esta reforma les ponemos en bandeja sus próximos objetivos. En este punto, el informe del Director de la Agencia de Protección de Datos sugería la necesidad de detallar como finalidad en el propio artículo 95 bis la finalidad de prevención del fraude fiscal lo que hubiera legitimado un tratamiento de acuerdo con la ley de protección de datos.

En este sentido, nos preguntamos: ¿Pagarán los afectados a terceras empresas para que eviten su indexación en los motores de búsqueda antes y después de saldar la deuda?, ¿Qué ocurrirá en caso de solicitar un crédito, préstamo, subvención, etc.?

Además, es posible que dicha publicación suponga una cesión no amparada en la LOPD. Al colgarlos en la web se están tratando y revelando datos de los interesados sin su consentimiento, convirtiéndolos en «datos de dominio público» permitiendo que las empresas que evalúan la solvencia patrimonial actualicen sus ficheros con esta información extraída de la página web de la Agencia Tributaria.

  1. Conclusiones

La idea de publicar el nombre y apellidos y NIF de los «grandes defraudadores» con la Hacienda Pública en la lucha contra el fraude fiscal no es idea descabellada aunque sea importada de otros países. Sin embargo para llevarla a cabo se deberían respetar unos mínimos de cumplimiento en materia de protección de datos.

Los principios mínimos que se deberían respetar serían los siguientes:

  • Informar previamente en la comunicación de la reclamación de la deuda tributaria que si no se paga en período voluntario, se publicarán sus datos personales atendiendo a una finalidad de lucha contra el fraude fiscal. Sería muy conveniente detallar la finalidad en el artículo 95 bis o mediante reforma de la LOPD.
  • Restringir la publicación al nombre y apellidos de la persona en base al principio de minimización de los datos de carácter personal.
  • Delimitar las medidas de índole técnica necesarias para evitar la indexación en motores de búsqueda.
  • Establecer una prohibición para que terceros puedan hacer uso de dicha información que pasa a ser pública durante un período de tres meses teóricamente. En la práctica vemos complicado que esos listados sean usados únicamente para fines relacionados con el fraude fiscal y que la limitación temporal sea cumplida por terceros.

 

Rocío de Rosselló Moreno
Abogado Responsable Departamento TIC
CR CONSULTORES LEGALES
www.crconsultoreslegales.com
Miembro ENATIC

 

[1] Artículo 95 bis de la Ley 34/2015 de modificación de la Ley General Tributaria publicada en el BOE de 22 de septiembre de 2015

[2] Se limita a los tributos de titularidad estatal cuya potestad sancionadora le correspondo al Estado sin delegación de competencias a las CCAA.

La revolución de los selfies

/0 Comentarios/en /por

¿Quién no se ha autorretratado alguna vez? En esto consiste la moda de las autofotos o más conocidas como ‘selfies’.

Si bien es cierto que el autorretrato no es nada nuevo, sí lo es todo lo que gira alrededor de la tendencia selfie. Precisamente de eso se trata este post. Sin profundizar demasiado, mi intención es ofreceros un breve recorrido por las cosas del mundo en el que vivimos que, de alguna manera, se han transformado a consecuencia de este fenómeno social.

Los selfies y nuestra seguridad personal

En ocasiones lo que se pretende transmitir a través de un selfie es algo más que nuestra cara. Pues desgraciadamente cada vez es más frecuente ver como usuarios se juegan la vida y su seguridad personal en busca de la autofoto más espectacular. Hace apenas unas semanas se barajaba un dato cuanto menos sorprendente y es que, en lo que va de año, han muerto más personas por selfies que por ataques de tiburón. Así, preocupados por el aumento de traumatismos y desenlaces fatales, el gobierno ruso llegó a elaborar esta guía para ‘selfiarse’ de forma segura.

Aspectos jurídicos de los selfies

Por supuesto debo referirse también a la visión jurídica de los selfies. Hay que tener en cuenta aspectos como la protección de datos o el derecho a la imagen antes de tomarse una autofoto junto a otra persona. Se le debe pedir permiso para disparar el flash pero también para postearlo en las redes sociales.

Sin embargo, también entran en juego los derechos de propiedad intelectual. ¿Quién no se acuerda de la disputa que hubo por el selfie del mono? Legalmente, ¿quién es su autor? El mono? David Slater, como propietario de la cámara? Wikimedia? Nadie?

Parece que el asunto no quedó en una simple anécdota para el fotógrafo, porque ahora la organización PETA, que vela por el trato ético a los animales, ha pedido a los tribunales estadounidenses que le reconozcan derechos de autor al macaco. Según ellos, el mono tiene derecho a beneficiarse de los ingresos que obtuvo el fotógrafo David Slater por la repercusión social y viral que tuvieron los autorretratos.

(Quería ilustrar este post con el selfie del mono, como uno de los iconos del fenómeno, pero tal y cómo está el patio…)

Los selfies y nuestro perfil psicológico: ¿es posible descubrir la personalidad de los demás a través de sus selfies?

En un estudio que elaboraron investigadores de la Universidad Estatal de Ohio se concluyó que los hombres que publican más selfies en redes sociales tienen rasgos psicopáticos, narcisistas y personalidad antisocial. Además, los que se dedicaban a editar sus fotos presentaban un grado de auto-objetivación, es decir, que se valoran a sí mismos según su apariencia física.

Por otra parte, psicólogos de la Universidad de Birmingham descubrieron que los selfies afectan las relaciones interpersonales porque las personas de nuestro alrededor pueden sentirse en un segundo plano; hacerse selfies genera tensión (la de no saber cuándo será la próxima foto y tener que estar preparados para salir bien) y por tanto, irritabilidad; y porque supone competir entre iguales.

A todo ello, algunos profesionales como el Dr. David Veale, psiquiatra del Hospital de Maudsley (Londres), ya han puesto nombre cuando la tendencia del selfie es patológica: “Transtorno Dismórfico Corporal”.

Llegados a este punto, me reconfortan opiniones como la del psicólogo Jonathan García-Allen cuando dice que “el problema principal no son las nuevas tecnologías, sino el uso patológico de las mismas”. Gracias. Me tranquiliza saber que si hago selfies  no significa que sufra un trastorno mental.

Nuevas oportunidades de negocio gracias a los selfies

Las modas también conllevan nuevas oportunidades de negocio y la tendencia selfie es una de ellas. Por un lado, está suponiendo una evolución de la tecnología ya que los fabricantes de smartphones están dando más protagonismo a la cámara frontal que otros componentes (mayor calidad en la imagen, pantallas más grandes, etc.). Pues, saben que tienen que adaptarse a lo que sus usuarios demandan. Y, por otro lado, se  han puesto a la venta nuevos gadgets orientados al selfie como, por ejemplo, el palo extensible para hacer selfies o bien, uno que personalmente me ha llamado la atención, que sirve para autorretratarte con tu perro. Se trata de un accesorio en la parte superior de tu smartphone que sujeta una pelota de tenis (para llamar la atención del animal) y así te aseguras de que ría y salga bien.

El sistema financiero no es ajeno a todo esto, y dentro de poco nos dejaran “pagar por la cara” para evitar el fraude bancario. Se están desarrollando software de reconocimiento facial que nos ayudaran a pagar las compras online con un simple selfie y evitar la suplantación de identidad. Por supuesto, este innovador sistema de pago no está exento de polémica.

Los selfies no solamente sirven para demostrar lo bien que está uno, sino también para mostrar lugares que se visitan. De ahí puede derivarse una importante oportunidad de promoción para el turismo de la zona, aprovechando la viralidad de la que se caracterizan las redes sociales.

Campañas de reivindicación con selfies

Meses atrás se hizo popular la campaña del “Ice Bucket Challenge” para la lucha contra la esclerosis, que consistía en echarse un cubo de agua helada encima y subir el vídeo en tus redes. Más de cerca nos toca la campaña de #T de “La Brigada Tuitera” contra las tasas judiciales, que consiste en poner este símbolo en tu avatar de Twitter.

Como no podía ser de otra forma, los selfies también se han convertido en instrumento para reivindicaciones sociales como, por ejemplo, la campaña selfie de jóvenes libanenses contra la violencia.

Y hablando de selfies, reivindicaciones y justicia, se me viene a la mente una iniciativa para los profesionales del Derecho y abierta a todos: sería interesante impulsar una campaña contra el colapso judicial y otras vergüenzas afines. Venga, ¿alguno se anima a compartir su selfie en sala?

 

Cristina Ribas Casademont
Abogada especialista en Internet y nuevas tecnologías en Ribas Casademont advocats®
@RibasCasademont
https://es.linkedin.com/in/cristinaribas

Intrusismo informático y privacidad

La nueva regulación penal de los delitos relativos a la intromisión en la intimidad y descubrimiento y revelación de secretos.

/1 Comentario/en /por

La reciente reforma del Código Penal ha introducido importantes modificaciones en el tratamiento penal de los delitos relativos a la Intromisión en la Intimidad y Descubrimiento y Revelación de secretos, descritos en el Capítulo I del Título X.

Las distintas modalidades delictivas que se contemplan con la nueva regulación de este delito son:

  • 197.1: violación del secreto de la correspondencia, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, escuchas ilegales y captación de imágenes o de cualquier otra señal de comunicación, castigado con penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.
  • 197.2: sustracción, utilización o modificación de datos de carácter personal, registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier archivo o registro público, castigado con penas similares al anterior.
  • 197.3: difusión, revelación o cesión a terceros de datos, hechos o imágenes captadas ilegalmente, a los que se refieren los números anteriores. En este caso estamos ante un agravamiento de la pena que supondrá penas de prisión ligeramente superiores (de dos a cinco años). También serán castigadas las personas que, aún sin haber tomado parte en el descubrimiento, realicen la conducta de difusión descrita, teniendo conocimiento de su origen ilícito.
  • 197.4, 5 y 6: Agravamiento de las penas de los hechos descritos en los apartados 1 y 2, cuando se cometan por encargados o responsables de ficheros o soportes o se realicen sin autorización de la víctima, o se trate de datos sensibles o que afecten a una persona con discapacidad. También si estos hechos se realizan con fines lucrativos.
  • 197.7: Difusión de imágenes o grabaciones audiovisuales de una persona, aun con su anuencia, obtenidas en un domicilio o cualquier otro lugar fuera del alcance de la mirada de terceros, cuando la divulgación menoscabe gravemente la intimidad personal de esa persona. Pena de prisión de tres meses a un año o multa de seis a doce meses, agravada en función de condición de la persona afectada.
  • 197 bis.1: Intrusión, accesión o facilitación a otro el acceso a un sistema de información o mantenerse en el mismo. Pena de prisión de seis meses a dos años.
  • 197 bis.2: Interceptación de transmisiones no públicas de datos informáticos, mediante la utilización de artificios o instrumentos técnicos. Pena de prisión de tres meses a dos años o multa de tres a doce meses.
  • 197 ter: Producción, distribución o adquisición para su uso, con la finalidad de facilitar la comisión de los delitos de los apartados 1 y 2 del art. 197 o el art. 197 bis, de un programa informático o contraseñas que permitan acceder a un sistema de información.
  • 199: revelación de secretos ajenos, conocidos por razón de su oficio o relaciones laborales, así como la divulgación realizada por el profesional. Penas de prisión de uno a tres años y multa de seis a doce meses, agravándose para el supuesto del profesional, con pena de uno a cuatro años, multa de doce a veinticuatro meses e inhabilitación especial para dicha profesión por tiempo de dos a seis años.
  • 200: descubrimiento, revelación o cesión de datos reservados de personas jurídicas.

Los apartados 1 y 2 del artículo 197, no han supuesto variación con respecto a la redacción anterior a la reforma y vienen a describir conductas de forma amplia, realizadas con la finalidad de vulnerar la intimidad de otro.

Así, las conductas descritas pueden resumirse, concurriendo la falta de consentimiento, en:

  • Apoderarse de papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales.
  • Interceptación de las telecomunicaciones o utilización de artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación.
  • Obtención, utilización o modificación, en perjuicio de tercero, de datos reservados de carácter personal o familiar de otro, registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o cualquier otro archivo público o privado.

Como es de ver, la redacción vigente, sin modificación de la anterior, en estos apartados ya pretende ser exhaustiva, conociendo ya las posibilidades que las nuevas tecnologías había introducido y que podían contribuir a facilitar los actos contra la intimidad de las personas.

La nueva regulación introducida ha venido a prevenir nuevas conductas que estas nuevas tecnologías de la información y la comunicación han posibilitado, con el objeto de solucionar los problemas de falta de tipicidad de algunas de ellas.

Se introducen pues, nuevos supuestos, como los referidos a la difusión de imágenes o grabaciones audiovisuales de otra persona, obtenidas aún con su consentimiento, pero habiéndose obtenido dichas imágenes en un ámbito privado y siendo que su difusión puede lesionar gravemente la intimidad de esta persona.

Con esta reforma se otorga una mejor tutela al derecho a la intimidad, puesto que la redacción anterior no cubría los supuestos de la existencia de un consentimiento inicial, lo que aparecía insuficiente ante las posibilidades actuales que las nuevas tecnologías ofrecen para atacar los aspectos de la intimidad personal.

Se refuerza asimismo, con la norma del art. 197 bis, la tipificación del denominado intrusismo informático, realizando la descripción de la conducta típica consistente en introducirse, sin autorización, en un sistema informático o el que utilice artificios o instrumentos técnicos para interceptar transmisiones no públicas de datos informáticos.

En este sentido cabe concluir que el mero acceso al sistema de otro, sin autorización de este, comporta la conducta delictiva. Ello permite que, tanto los particulares como las empresas, dispongan de una mejor protección penal para conductas que, hasta el momento, debían analizarse en función de la finalidad de la conducta y en relación a lo previsto en el número 1 de este artículo.

En este sentido, el nuevo art. 197 ter previene el castigo para los actos de producción o difusión de instrumentos que faciliten la comisión de los delitos descritos, tanto en los números 1 y 2 de este artículo, como en el nuevo del art. 197 bis., así como el agravamiento  de las penas, si los hechos se hubieran cometido en el seno de un grupo u organización criminal.

Finalmente cabe resaltar que cuando sea responsable de los delitos descritos una persona jurídica, conforme a lo establecido en el art. 31 bis del Código Penal, se le impondrá a ésta una pena de multa de seis meses a dos años, pudiendo, además, imponerse las penas de disolución de la persona jurídica o su intervención judicial, de acuerdo con las reglas del art. 66 bis.

Este último supuesto lleva a concluir la necesidad de que las personas jurídicas, cuya actividad pueda tener relación con las actividades informáticas o la protección de datos, medidas de seguridad, etc., deberían disponer de modelos o planes de organización que contengan medidas idóneas de vigilancia y control para prevenir delitos de esta naturaleza o para reducir de forma significativa el riesgo de su comisión, lo que podría alegarse como exención de responsabilidad, en caso de imputación, de acuerdo con las reglas previstas en el art. 31 bis.2 del CP en su nueva redacción.

 

Pere Rius Alonso
Abogado
TICJURIS ADVOCATS, S.L.P.
www.ticjuris.com

NO CON MI EMAIL – A cuenta del uso del mail y teléfono particular en el ámbito laboral.

/0 Comentarios/en /por

En los últimos días hemos sabido (a través de un medio que hay que aplaudir y pedir que sea más habitual, como son las notas judiciales publicadas en la web del Consejo General del Poder Judicial), que el Tribunal Supremo se ha pronunciado en el sentido de que una empresa no puede obligar al trabajador a facilitar el teléfono móvil y el correo electrónico en el contrato de trabajo.

 Tsunami? Galerna? Marejada? Algo de oleaje? Como siempre, el tamaño de las olas…, depende de los detalles. No han de

No con mi email.

«No con mi email.» (imagen de dominio público)

servir estas primeras líneas para quitar importancia a tan relevante pronunciamiento, sino antes de bien para contextualizar su contenido, no sólo en base al caso concreto, sino también en base a los claros y oscuros de las interpretaciones que realiza.

 Por ponernos en situación, la sentencia desestima el recurso de casación de la empresa en proceso de conflicto colectivo promovido por el sindicato CCOO, con relación al siguiente supuesto de hecho: cuando una persona se incorporaba a una determinada empresa, había de firmar un contrato en el que se había añadido la siguiente cláusula: «Ambas partes convienen expresamente que cualquier tipo de comunicación relativa a este contrato, a la relación laboral o al puesto de trabajo, podrá ser enviada al trabajador vía SMS o vía correo electrónico, mediante mensaje de texto o documento adjunto al mismo, según los datos facilitados por el trabajador a efectos de contacto. Cualquier cambio o incidencia con respecto a los mismos, deberá ser comunicada a la empresa de forma fehaciente y a la mayor brevedad posible».

Al Supremo no le encaja, desde un punto de vista estrictamente jurídico, que la aportación de datos privados de contacto haya de ser obligatoria para lograr la incorporación. Y ello por cuanto aunque en tal contrato se reviste de voluntaria la susodicha entrega de datos, en la práctica y al formar parte del contrato de trabajo la cláusula que lo recoge, se convierte la entrega en obligatoria al hilo de la necesidad de firmar tal contrato para lograr la incorporación.

Realiza una aportación el Alto Tribunal que sin tener un carácter estrictamente jurídico, sí que resulta de gran interés práctico, cuando indica que la aportación de datos como el correo electrónico o el teléfono móvil personal “pudiera resultar deseable, dado los actuales tiempos de progresiva pujanza telemática en todos los ámbitos”. Haciendo por tanto gala de un gran pragmatismo y de un conocimiento de la realidad (por obvia no menos ajena a veces del sentir y la reflexión de los tribunales), que encuentra su reverso jurídico en la posibilidad de que cualquier compañía obtenga los datos indicados para los fines antedichos siempre que los obtenga previa la voluntad no condicionada y en tal sentido del trabajador. Es decir, obligar al trabajador no es correcto, proponer y convencer al trabajar sí es correcto.

Quizá resulte algo decepcionante que el fundamento para tal posición sea el manido de que el trabajador es la parte más débil del contrato y que al ser incluida la cláusula por la empresa en el momento de acceso a un bien escaso como es el empleo puede entenderse que su consentimiento sobre la aportación de los datos no es por completo libre y voluntario. Con la consecuencia de que tal cláusula es nula por atentar contra un derecho fundamental y “debe excluirse de los contratos de trabajo”.

Igual habría sido mejor aun que, huyendo del cierto paternalismo que entraña esa consideración del trabajador como “parte débil”, se hubiera ido hacia un posicionamiento constructivo, que todavía no es habitual pero debe serlo, y que exige compromiso, implicación y responsabilidad tanto para empleador como para empleado.

En concreto, se trataría de poner en práctica en este caso, de manera sencilla y completamente ajustada a la literalidad de su regulación, los principios de información y consentimiento que vertebran (junto a otros) la Normativa sobre Protección de Datos de Carácter Personal.

Es decir, partimos de que el Tribunal Supremo considera que los datos cuya incorporación al contrato se cuestionan no están exentos del consentimiento del trabajador, porque no lo están en la excepción general del art. 6.2 de la Ley de Protección de Datos al no ser «necesarios para el mantenimiento o cumplimiento» del contrato de trabajo, ya que la relación laboral ha podido hasta recientes fechas desarrollarse sin tales instrumentos (no vamos a entra en esto último, pero al hilo de su lectura no puedo evitar que me parezca oír de fondo aquello de “times are changing”…).

Pero quizá la verdadera innovación habría estado en exigir a la empresa contratante que llevara a cabo una clara diferenciación de aquellos datos sobre cuyo tratamiento sólo se requiere informar al nuevo trabajador, y aquellos datos (como podían ser los que motivan el litigio) cuyo tratamiento requiere también consentimiento. Esta aproximación también requiere del trabajador un compromiso de dotarse de la capacidad para entender la diferenciación, apreciar su oportunidad y por tanto ser responsable respecto a sus consecuencias una vez asumidas.

Es cierto en todo caso que el Supremo acierta de pleno, en mi opinión al tildar de inaplicable al supuesto la excepción del artículo 2.2 del Reglamento de Protección de Datos (ocurrencia quizá surgida de un “nada perdemos”, más de que un convencimiento de la validez del argumento).

En definitiva y como conclusión, hay que agradecer al Tribunal Supremo que se pronuncie en el sentido que lo hace (y que tal pronunciamiento se difunda como se ha hecho), para evitar la conducta del “todo, para todo y si no, nada”. Ello no evita que se eche de menos en basamento jurídico para la desestimación del recurso aquellos argumentos relativos a la diferenciación entre los datos cuyo tratamiento requiere cumplir sólo con el principio de información, y los que requieren también el cumplimiento del principio de consentimiento, y la necesidad de que las empresas huyan de fórmulas absolutas y se comprometan con aquellas que dejan clara tal diferenciación.

 

Francisco Javier Carbayo

Abogado

Asociado Senior y Gerente de Compliane en ECIX

javier.carbayo@ecixgroup.com

@fjcarbayo

es.linkedin.com/in/franciscojaviercarbayo/