Privacidad en la nube pública: la ISO/IEC 27018.

/1 Comentario/en /por
Privacidad en la nube: la ISO/IEC 27018

Privacidad en la nube: la ISO/IEC 27018

La protección de datos personales en la nube viene siendo objeto de atención por los abogados en España desde hace años, siendo buena muestra de ello que el Consejo General de la Abogacía Española (CGAE) y la Agencia Española de Protección de Datos (AEPD) publicasen, en 2012, un informe sobre la utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal. Desde entonces se han producido algunas novedades importantes a nivel internacional en relación con la nube pública, entre las que cabe destacar la publicación de la ISO/IEC 27018:2014 Information technology – Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors.

Dada su relevancia, a continuación se incluyen algunas preguntas y respuestas sobre la ISO/IEC 27018, que es el primer estándar internacional sobre privacidad en los servicios de nube pública.

  1. ¿Qué es la ISO/IEC 27018?

La norma ISO/IEC 27018 es el primer estándar internacional, promovido por la industria, sobre privacidad en los servicios de nube pública. Publicada en 2014 por la Organización Internacional de Estandarización (en inglés International Organization for Standardization, ISO), es el resultado de un análisis a nivel internacional de varias leyes de protección de datos personales así como de las guías y otros documentos publicados por diferentes autoridades de protección de datos personales, especialmente de la Unión Europea. Por lo tanto, al considerar la protección de datos personales en los servicios de nube pública, la ISO/IEC 27018 es un alto estándar a seguir. Además, es un instrumento que, en caso de que sea necesario, podrá adecuarse fácilmente en el futuro ya que es también un ejemplo de autorregulación que presta atención a cuestiones clave en materia de protección de datos personales.

  1. Con respecto al tratamiento de datos personales, ¿en qué casos se aplica la ISO/IEC 27018?

Desde el punto de vista del tratamiento de datos personales, la ISO/IEC 27018 atiende al esquema en el que el cliente de los servicios de nube pública es responsable del tratamiento y el prestador de servicios de nube pública es encargado del tratamiento. Es así que, cuando el prestador de servicios de nube pública trata datos personales, la ISO/IEC 27018 puede servir como referente a ambas partes, responsable y encargado del tratamiento, para desarrollar el contrato u otro instrumento jurídico necesario conforme a la normativa aplicable sobre protección de datos personales.

De entre los diferentes modelos de despliegue de la nube (privada, pública, comunitaria e híbrida), la ISO/IEC 27018 se refiere a la nube pública, dando así respuesta a las cuestiones que se plantean en relación con la misma desde el punto de vista del cumplimiento en materia de protección de datos personales.

  1. ¿Cuáles son los controles clave?

Entre los controles que prevé, en su anexo, la ISO/IEC 27018 se encuentra uno que refuerza, en su caso, la prohibición prevista en muchas leyes nacionales de que el encargado del tratamiento pueda tratar los datos personales al margen de las instrucciones dadas por el responsable del tratamiento. Se trata, en particular, del control relativo a que el prestador de servicios de nube, como encargado del tratamiento, no pueda tratar los datos personales a los que tenga acceso con fines de publicidad, salvo que haya obtenido la autorización necesaria para ello. Otros controles relevantes se refieren, en particular, a la transparencia y responsabilidad (“accountability”) en el tratamiento de los datos personales por el encargado, incluso relativos a la transferencia internacional de datos.

  1. ¿A quién está dirigida la ISO/IEC 27018?

Quien tiene que adoptar la ISO/IEC 27018 es el prestador de servicios de nube pública. No obstante, se trata de un instrumento adecuado para los clientes de servicios de nube pública, e incluso consultores o auditores jurídicos, ya que les puede servir como guía para revisar y, en su caso, pedir información al prestador de servicios de nube sobre las características de sus servicios y las medidas adoptadas, en su caso, en materia de protección de datos personales. Además, puede ser también una guía para las autoridades de protección de datos personales y otras autoridades reguladoras con competencias en materia de protección de datos personales.

  1. ¿Hay prestadores de servicios de nube que ya han adoptado la ISO/IEC 27018?

Sí, ya hay prestadores de servicios de nube que han adoptado la ISO/IEC 27018. Al respecto, cabe mencionar que el primero fue Microsoft, seguido por Dropbox. Además, sería deseable que otros prestadores de servicios de nube también adoptasen esta norma internacional ya que en la práctica puede facilitar el cumplimiento en materia de protección de datos personales y, además, permite generar confianza en dichos servicios.

Por último, cabe señalar que además de la privacidad con la ISO/IEC 27018, en breve podría publicarse también la ISO/IEC 27017 sobre seguridad en los servicios de nube, basada en la ISO/IEC 27002. Por tanto, habrá que estar atentos a los avances sobre privacidad y seguridad que pueden producirse en relación con los servicios de nube.

Miguel Recio

Abogado y Máster en Protección de Datos, Transparencia y Acceso a la Información

Web: http://www.globaldpc.com

Linkedin: https://es.linkedin.com/pub/miguel-recio/5/105/968

Twitter: @MRecioCloud

 

¿Frena la privacidad el desarrollo del Internet de las cosas (IoT) y del Big Data?

/2 Comentarios/en /por

Frase conocida y recurrente en boca de lobbies y otros actores que nos intentan convencer de las maldades para la innovación y el desarrollo tecnológico de unas estrictas legislaciones de privacidad que son gravosas para las empresas, al aumentar sus gastos y burocracia de una manera desmesurada. Desde estas líneas trataremos de demostrar que esta afirmación no es tal, y que en nuestra modesta opinión, tecnología y privacidad deben ir de la mano puesto que no puede entenderse a una sin la otra.

El punto de partida lo tenemos en dos nuevos actores derivados del desarrollo tecnológico, a saber el denominado Internet de las cosas IoT (Internet of Things) y el Big Data. Podemos definir al primero como multitud de objetos de uso diario conectados a Internet (pulseras, relojes, smartphones, frigoríficos, televisores, vehículos…), de manera que en un futuro existirán más dispositivos conectados que personas. Su característica principal radica en el diseño de una estructura de red interconectada que permite que estos dispositivos físicos se comuniquen entre si con la capacidad de transmitir, compilar y analizar datos.

Por su parte el Big Data podría definirse como sistemas o herramientas que manejan ingentes cantidades de datos en un volumen y tiempo superior al del software habitual, permitiendo su almacenamiento, búsqueda, visualización, compartición, segmentación o análisis. En la misma línea está la definición dada por McKinsey Global Institute (MGI), que lo entiende como “conjuntos de datos cuyo tamaño va más allá de la capacidad de captura, almacenado, gestión y análisis de las herramientas de base de datos”. Su característica principal radicaría en las denominadas 3v: volumen de datos tratados, velocidad de transformación y variedad de datos tratados aunque algunas fuentes las elevan a las 5v añadiendo a las anteriores el valor del sistema que procesa de una manera eficiente y con poco coste y la veracidad de los datos.

Llegados a este punto toca poner de manifiesto las innumerables ventajas y beneficios que para la humanidad pueden traer estas tecnologías. Así por poner algunos ejemplos, los vehículos conectados pueden detectar que un gran número de ellos se dirigen a un mismo punto y por ello, plantear vías alternativas que eviten el temido atasco. Los dispositivos ponibles o wearables pueden controlar determinadas variables del paciente (ritmo cardiaco, nivel de sustancias en sangre…) con lo que pueden acortar la estancia en hospitales o incluso, facilitar información en tiempo real del desarrollo de síntomas de enfermedad o prevenirlas (cáncer, infarto…), y a nivel doméstico podríamos despreocuparnos de la compra en el supermercado ya que el frigorífico conectado detectaría la escasez de un determinado alimento, daría orden de compra y realizaría el pago por tarjeta al supermercado o, el dispositivo de geolocalización del smartphone al detectar la cercanía del domicilio podría ordenar al sistema de calefacción o refrigeración su encendido.

Desde la perspectiva del Big Data, con los contadores inteligentes además del confort para el cliente y el ahorro de costes de personal, se podrían predecir picos de consumo eléctrico evitando así los molestos cortes de luz. O analizando datos de diversas fuentes en su conjunto se podrían predecir aumentos en la demanda de un determinado producto o servicio o, antes de su lanzamiento, si va a tener aceptación por el consumidor o no, o simplemente dirigirte publicidad personalizada que se sepa que será de su interés.

Visto así todo son ventajas para la humanidad, pero mira por donde aparece el experto en la materia y nos introduce un concepto que algunas legislaciones ya han adoptado denominado protección de datos de carácter personal o privacidad. Es entonces cuando se empieza a ver a esta figura como un lastre, un freno y una amenaza para este progreso, cuando la verdad es que sin ella, nunca desarrollarán todo su potencial.

El desarrollo de estas tecnologías tiene una gran amenaza, a saber que los potenciales consumidores recelen de las mismas y bien, no utilicen todo el potencial que estas permiten o bien, planteen continuas reclamaciones o denuncias que las paralicen. En nuestra opinión existen dos grandes pilares donde descansa la confianza en estas tecnologías: la seguridad y los tratamientos respetuosos y leales con la privacidad.

Sobre el primer pilar poco comentaremos porque es pacífico que la seguridad o ciberseguridad es fundamental para estas tecnologías y dispositivos puesto que afectan a su núcleo vital que es la confianza del usuario en las mismas. Raro es el día que no desayunamos con un robo-hackeo-ataque-ciberataque de contraseñas, información o datos de usuarios, fotografías íntimas, tarjetas de crédito y datos bancarios como el reciente robo de información y posterior publicación de datos de usuarios de la web de contactos para casados Ashley Madison. Incluso, a veces, esos ataques no van dirigidos contra datos personales sino contra secretos industriales o gubernamentales o incluso, por motivaciones políticas  o religiosas como el ciberataque a Sony Pictures o los protagonizados por el Estado Islámico. A veces inclusive por el simple regocijo “intelectual” del hacker que vulnera todas las barreras que encuentra. Sólo invirtiendo en seguridad-ciberseguridad, implantando protocolos, sistemas y herramientas actualizadas y acordes con el estado actual de la ciencia y la tecnología en ese momento y estableciendo revisiones y auditorías periódicas, es decir, implementando un verdadero y eficaz sistema de security-cybersecurity by design podremos paliar y mitigar, que no eliminar por completo esos riesgos, puesto que todo dispositivo o sistema conectado puede ser hackeado (ante un riesgo de colisión con otro vehículo, un vehículo inteligente lo puede ser).

El segundo pilar también incide en el núcleo vital de estas tecnologías, a saber, la confianza del usuario. Si el usuario percibe que no existe un verdadero tratamiento leal y acorde con su privacidad recelará de estas tecnologías y no las usará o las usará menos de lo esperado y deseable. Y es que en este bloque también acostumbramos a desayunar diariamente con noticias como que una marca de smartTV puede grabar tus conversaciones a través de la función de reconocimiento de voz y cederlas a terceros según una cláusula contractual y luego no sólo descubrimos que su competidor directo también lo hace, sino que también esa cláusula se encuentra contemplada para los smartphones, o que una compañía preinstala en fabrica adware en sus ordenadores que permite la monitorización y robo de datos o, causando gran alarma al tratarse de menores de edad, muñecas que cuentan con micro y Wifi, por lo que graban las conversaciones y las almacenan en la nube.

Sólo con verdaderas políticas de empresa basadas en el respeto a la privacidad desde el momento de la obtención del dato y durante todo su ciclo vital hasta su destrucción, lo que se viene a denominar “privacy by design” (privacidad desde el diseño) se generará confianza suficiente en los usuarios para el uso generalizado de todo su potencial. Los responsables y encargados de tratamiento o según otra definición, los controladores y procesadores de datos NO deben entender que los datos son de su propiedad sino que son meros administradores o gestores de los mismos.

Como bien recoge la Declaración de México D. F.: “Hacia la implantación de garantías para la protección de datos en los tratamientos de Big Data”  del Observatorio Iberoamericano de Protección de Datos, los principios que deben inspirar estos tratamientos deben ser los siguientes: ”“principio de inocuidad”, por el que los usos del Big Data bajo ninguna circunstancia deben perjudicar ni a los individuos, ni a la humanidad” y que, en todo caso, las excepciones a este principio deben ser establecidas por los legisladores desde una perspectiva restrictiva y garantista, el “principio de objeción”, por el que las personas puedan oponerse, de manera previa o a posteriori, a que su datos sean tratados, incluso de forma anonimizada, y sin que ello les impida usar las tecnologías, el “principio de seguridad”, las actividades de Big Data deben estar especialmente protegidas, a fin de evitar incidentes accidentales o malintencionados que pongan en riesgo a la información, el “principio de respeto al libre desarrollo de la personalidad”, deben prohibirse usos del Big Data que impliquen la modificación de comportamientos y el determinismo del dato, el “principio de responsabilidad”, por el que en todo momento debe poder atribuirse una determinada actividad de Big Data a una persona física o jurídica y, en su caso, exigirle responsabilidades, y el “principio de transparencia”, por el que deben articularse mecanismos que permitan que las personas afectadas sean conocedoras del uso que se hace de sus datos”.

Por poner algunos ejemplos finales, estos podrían ser algunos parámetros a tener en cuenta:

  • Gratuidad del servicio: si el servicio es gratuito, siempre cumpliendo con los deberes de información, consentimiento y calidad de los datos se podría ofrecer gratis a cambio de cierta información personal, o incluso graduarse el costo del producto o servicio en función de la información personal aportada en cada caso.
  • Expectativa de privacidad: no depende de la gratuidad u onerosidad del servicio puesto que no se tiene la misma a la hora de darse de alta en una red social que a la hora de crear una cuenta de correo electrónico.
  • El poder de elección del usuario: se puede optar por un smartphone u otro, por un servidor de correo electrónico u otro, pero por ejemplo, ante un sistema de mensajería instantánea de uso generalizado o el ingreso en una red social con implantación la única alternativa posible es mantenerte “desconectado y al margen”.
  • El poder de decisión del usuario: al adquirir un equipo o darse de alta en un servicio, el usuario debe ser capaz de configurar o eliminar todo aquello que desee y que sea accesorio al bien o servicio no siendo esencial para el mismo. Un ejemplo de buena práctica es la noticia que el próximo Android permitirá al usuario delimitar los permisos que concede a las APPS instaladas, aunque aún se echa de menos la posibilidad de desinstalación de aquellas que no sean necesarias para el buen funcionamiento del sistema operativo que vienen de fábrica.
  • Por el mero hecho de disociar datos no se soluciona el problema puesto que la anonimización total cada vez es más complicada y cruzando datos disociados de diversas fuentes podría llegarse a identificar al afectado.  Una buena praxis de privacy by design incluiría medidas para estos tratamientos de datos anonimizados.
  • Los representantes de las diferentes autoridades de control de protección de datos y los expertos cada vez acuden más como buena práctica a los denominados “tratamientos éticos” que implican que independientemente manejar datos personales o anonimizados, se deberían plantear unas preguntas previas tales como: qué datos necesito realmente, si los usos previstos son los necesarios y adecuados, etc., evitando así que al encontrarse el dato anonimizado no exista ningún tipo de control al no estar sometidos a día de hoy a regulación.

Quizás más de un lector piense que hace falta un tercer pilar, el de la concienciación y formación en privacidad de los usuarios, y desde luego tienen razón, aunque eso lo dejamos para un próximo post.

 

Francisco Ramón González-Calero Manzanares
Abogado experto en privacidad y seguridad de la información.
Certified Data Privacy Professional por ISMS Forum Spain.
Linkedin:https://www.linkedin.com/in/francisco-ram%C3%B3n-g-85799b44/
Twitter: @FGonzalezCalero

 

El derecho de rectificación y mi identidad en un entorno digital.

/0 Comentarios/en /por

Identidad digital

Identidad digital

Al igual que la imagen ilustrativa de este post, el lector puede tener una idea equivocada (o no) de lo que va a leer a continuación dependiendo de si es un abogado especializado en protección de datos o un profesional del periodismo, por ejemplo.

Efectivamente, mi intención con este post es que el lector reflexione un momento sobre la gestión de nuestra identidad digital y sus efectos en la sociedad.

Empezaré por una breve exposición de las diferencias entre el llamado derecho de rectificación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el derecho contemplado en la Ley Orgánica 2/1984, de 26 de marzo, reguladora del derecho de rectificación.

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Artículo 16 Derecho de rectificación y cancelación
Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos.
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Artículo 31 Derechos de rectificación y cancelación
El derecho de rectificación es el derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos.

El derecho de rectificación regulado por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, faculta a las personas físicas (y no las jurídicas) modificar los datos inexactos o incompletos que están siendo tratados por un responsable de fichero. Esta facultad que tiene el titular de los datos es uno de los instrumentos que pone a disposición nuestro ordenamiento jurídico con el fin de garantizar la autodeterminación informativa.

Sentencia 292/2000, de 30 de noviembre de 2000 del Tribunal Constitucional (FJ 7º).
(…)Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. (…)

Por otro lado, el derecho de rectificación regulado en la Ley Orgánica 2/1984, se debe contextualizar en un momento en que no se estaba pensando en un entorno digital sino en un entorno analógico donde unas pocas corporaciones controlaban los medios de comunicación. En tal sentido este derecho concede tanto a personas  físicas como jurídicas (a diferencia de la LOPD) la posibilidad de aportar una nueva visión de los hechos divulgados por un medio de comunicación social. El derecho de rectificación de información permite al afectado aportar más información a la previamente difundida por el medio de comunicación al considerar que es inexacta y perjudicial a su persona.

Ley Orgánica 2/1984, de 26 de marzo, reguladora del derecho de rectificación.
Artículo primero. Toda persona, natural o jurídica, tiene derecho a rectificar la información difundida, por cualquier medio de comunicación social, de hechos que le aludan, que considere inexactos y cuya divulgación pueda causarle perjuicio.

En base a la sentencia del Tribunal Constitucional 99/2011 de 20 de junio,  el ejercicio del derecho de rectificación de la información publicada en un medio de comunicación, a diferencia del derecho de protección de datos, garantiza por un lado que se proteja el derecho al honor de la persona afectada y por otro que el derecho de información pueda salir reforzado al permitir ampliar el contenido  de la noticia al “contrastar versiones contrapuestas”.

Sentencia 99/2011 de 20 de junio de 2011 del Tribunal Constitucional (FJ 4º).
“La rectificación queda conformada, ante todo, como un derecho de la persona aludida a ejercer su propia tutela, un derecho reaccional de tutela del honor, o de bienes personalísimos asociados a la dignidad, al reconocimiento social o a la autoestima frente a informaciones que incidan en la forma en que una persona es presentada o expuesta ante la opinión pública. (…) Pero junto a ese carácter, la rectificación opera como un complemento de la información que se ofrece a la opinión pública, mediante la aportación de una «contraversión» sobre hechos en los que el sujeto ha sido implicado por la noticia difundida por un medio de comunicación. La relevancia pública del espacio informativo en el que queda comprometida la formación de la opinión, justifica la acogida de versiones que permitan el contraste de informaciones en ese mismo espacio mediante la aportación de datos por quien se ve implicado en alusiones que considera inciertas y lesivas de su reputación. Por ello, si bien el derecho de rectificación constituye un derecho autónomo de tutela del propio patrimonio moral, a la vez opera como instrumento de contraste informativo que supone «un complemento de la garantía de libre formación de la opinión (…)

En un entorno digital, que no pudo ser contemplado por los legisladores en 1984, los derechos de acceso, oposición, cancelación y rectificación contemplados en la normativa  de protección de datos están ocupando un lugar importante donde el llamado “derecho al olvido” ha surgido como una herramienta de protección ante las posibles vulneraciones a nuestra privacidad por parte de cualquier tercero.

Por otro lado el artículo segundo de la Ley Orgánica 2/1984 establece un plazo de siete días naturales posteriores a la publicación o difusión de la información para poder ejercer dicho derecho de rectificación ante el director del medio de comunicación. En un entorno como Internet donde la difusión se mantiene en el tiempo de forma indefinida, dichos siete días naturales deberían computarse desde el momento en que desapareciera la información de cualquier medio digital.

Esta comparativa nos lleva a una reflexión. En base a la sentencia del Tribunal Constitucional 99/2011, el ejercicio del derecho de rectificación de la Ley Orgánica 2/1984 permitiría ampliar la información aportada por los medios de comunicación digitales respetando el honor y dignidad del afectado sin limitar de una manera desproporcionada el derecho a la libertad de información contemplado en el artículo 20 de la CE así como poder garantizar la protección de otros derechos como el disponer de un patrimonio histórico y cultural.

Por otro lado el derecho a la autodeterminación informativa es un derecho fundamental reconocido de forma expresa en la sentencia del Tribunal Constitucional 292/2000 donde una persona física puede disponer de la información que terceros traten sobre una mismo. En tal caso si la información apareciera en medios digitales se debería valorar el interés público de la noticia así como la relevancia pública de la persona afectada para  proceder por parte del responsable del fichero a la cancelación de la información de carácter personal. En tal caso se protegería la privacidad de la persona afectada modificando el contenido de la noticia de tal manera que limitaría el ejercicio de la libertad de información y la libre formación de una opinión pública presente y futura sobre dicho asunto.

Por tanto, ¿qué consideraríamos que sería mejor para garantizar la dignidad de una persona en la era digital, la ocultación de su vinculación a unos hechos veraces o la posibilidad de dar su propia versión de los mismos definiendo mejor su propia identidad ante terceros?.

 

Eduardo López-Román

Abogado especializado en Derecho Digital

Socio fundador de ENATIC

Twitter: @EduLawyer

Justicia jurásica.

/0 Comentarios/en /por

Me gustaría empezar este post haciendo una pequeña reflexión. Cuando cruzo el portal de entrada de los juzgados me suelo preguntar ¿De verdad estamos en la era digital?, ¿De verdad hoy en día, con los avances tecnológicos que disponemos necesitamos mover tal volumen de documentos físicos  en los juzgados?

El tópico habitual de cualquiera de los juzgados de Alicante y de los muchos que recorro en el ejercicio diario de mi profesión como abogado por la Comunidad Valenciana, es ver sus instalaciones a reventar de montañas de expedientes de colores (en función de la antigüedad de sus autos). Es algo que me impacta en gran medida como abogado que intenta ser tecnológico.

Justicia jurásica.

Justicia jurásica.

Los funcionarios de justicia conviven a su alrededor con montañas de  documentos que rodean sus mesas, los pasillos e incluso en algunas ocasiones en las propias salas de vistas o en estancias poco o nada acondicionadas para albergar en su suelo ingentes cantidades de expedientes repletos de documentos.

Muchas son las noticias al respecto del colapso en los juzgados de prácticamente la totalidad de nuestro territorio nacional.

Para agilizar la eficacia de nuestros juzgados y de la justicia irremediablemente debemos pasar por su modernización, por la implantación y uso de las nuevas tecnologías., Resulta absurdo que en nuestros días y con los medios tecnológicos de que disponemos, sigamos fotocopiando en nuestros despachos los documentos que acompañamos a nuestras demandas y haciendo traslado de los mismos a través de su sellado físico por una oficina física como es el decanato.

Es cierto que a nivel de modernización no todo son pegas, quejas o sugerencias, debemos reconocer que también se han emprendido mejoras, entre ellas debemos destacar:

La implantación del portal «Sede Electrónica Ministerio de Justicia» que en uso de los medios tecnológicos nos ha permitido entre otros agilizar en registros trámites antes laboriosos.

O Lexnet, plataforma de intercambio seguro de información entre los órganos judiciales y los operadores jurídicos, que inició su andadura en el año 2004,  (cuyo argumentario en el portal institucional de justicia ¿Qué es Lexnet?, reseña entre sus virtudes el ahorro de papel y la inmediatez de las comunicaciones).

O las posibilidades abiertas a través de la Autoridad de Certificación de la Abogacia «ACA» con el intento de habituar o más bien “modernizar” a los abogados, tratando de implantar el uso de la firma electrónica incorporada en los carnés colegiales.

Sin embargo, la realidad a día de hoy es que seguimos sin darle el uso y la extensión para cuya finalidad fueron creados, nos empecinamos en retrasar de forma innecesaria la “NECESARIA MODERNIZACIÓN JUDICIAL” para que trámites y comunicaciones entre profesionales y justicia sea adecuada a los tiempos actuales.

En mi modesta opinión, creo que debería obligarse sin más demora el uso de las herramientas existentes en nuestra profesión, con ello, podríamos llegar a implantar el expediente electrónico y eliminar definitivamente el engorroso papel de nuestra justicia.

Sin darnos cuenta a día de hoy, perdemos una cantidad brutal de tiempo en el ejercicio de nuestra profesión, debido a que la justicia tradicional más propia de la era “Jurásica” nos obliga a recopilar datos en formato papel, que en la mayoría de las ocasiones nos han hecho llegar a través del uso diario de los avances tecnológicos.

En mi caso particular, solo empleo el papel físico cuando tengo que comunicarme con el juzgado, me veo obligado a imprimir escritos y firmar documentos, porque en el resto de ocasiones toda mi actividad es íntegramente desarrollada haciendo uso de nuevas tecnologías.

Sin ninguna duda la justicia es uno de los aspectos de nuestra sociedad que menos ha modernizado su funcionamiento y que con más lentitud recoge los avances tecnológicos.

Pero si detenemos nuestro ritmo frenético de señalamientos, plazos y vencimientos nos damos cuenta que todos los que conforman el sector judicial están adaptados y perfectamente preparados para dar ese necesario salto.

Entonces, ¿Por qué tardamos tanto en modernizar la justicia?.

Todos los que formamos parte del colectivo de justicia deberíamos abogar porque esto fuera justo al revés, que nuestra profesión, nuestro sector de actividad y el ejercicio de la profesión jurídica fuera uno de los sectores que más inmediatez proporcionará a los ciudadanos.

Los problemas de los ciudadanos se han vuelto instantáneos y demandan servicios adaptados a la inmediatez de la vida digital.

Curiosamente a nivel empresarial, reuniones desde diferentes partes del mundo son realizadas por video conferencia, sin necesidad de desplazamientos, se evitan cuantiosos costes de traslado y se facilita el estar presente en diferentes partes del mundo a lo largo del día, algo que hasta el surgimiento de los avances tecnológicos e internet resultaba impensable.

A nivel formativo el propio Consejo General de la Abogacía Española permite el acceso a aulas virtuales y la conexión directa por streaming a jornadas y conferencias que de otra forma supondrían desplazamientos, perdida de tiempo útil de trabajo y gastos no recuperables.

Sin embargo en nuestro día a día en los juzgados seguimos el “método jurásico”,  perdiendo horas y horas haciendo pasillo en la antesala de las salas de vistas para realizar juicios en los que de existir una inversión adecuada en medios tecnológicos se podrían realizar desde los propios despachos de abogados en conexión directa con las salas de juicio virtuales.

Con esto no quiero decir que no se hayan acometido mejoras en nuestro sector de actividad, lo que ocurre es que son insuficientes o escasas. Es  habitual de nuestro ejercicio, encontramos en sala en el desarrollo de una vista y, al realizar p.ej. declaraciones por video conferencia, éstas en la mayoría de las ocasiones no conectan, o no se ven o no se escuchan o al intentar iniciar el grabado de las vistas o audiencias estas se retrasan porque no se activa o no consta autorizada la grabación, raro es el día que cualquiera de los pocos adelantos tecnológicos instaurados en “sede judicial” no da un error o fallo.

Por ello, entiendo que tenemos una justicia desfasada que no camina al mismo ritmo que el resto de la sociedad.

A mí me resulta extremadamente chocante que al sentarme en un bar o restaurante la gran mayoría de ellos ya se encuentran totalmente digitalizados y haciendo pleno uso de las nuevas tecnologías, los camareros te toman los pedidos a través de dispositivo móvil (tablet, ipad, iPod o similar); las comandas con los pedidos viajan directamente de la mesa a la cocina, y a través de los programas de software desarrollados al efecto, los empresarios del sector hostelería están actualizando sus servicios a una sociedad que día a día es más tecnológica y móvil.

El uso de las nuevas tecnologías consigue en la mayoría de las ocasiones un servicio mucho más eficiente, mucho más rápido e infinitamente mucho más ordenado y útil.

¿Por qué en la justicia seguimos moviendo “tochos” voluminosos de papel? ¿Por qué los juzgados no disponen de internet para poder consultar en sala nuestros archivos o expedientes?.

Es cotidiano encontrar servicio de wifi gratuito en cafeterías, restaurantes, establecimientos de comida rápida o en los propios hoteles, aeropuertos, autobuses….etc.

Pero en los juzgados seguimos dependiendo de nuestras tarifas de internet móvil y de la buena cobertura de la zona para evitar cargar con códigos de papel, en la mayoría de las ocasiones totalmente desfasados.

En la actualidad estamos acostumbrados a que actos cotidianos de nuestro día a día sean realizados a través del uso de internet, las nuevas tecnologías y los dispositivos móviles, hacienda, seguridad social, citas médicas,etc

Buscamos viajes, vuelos, hoteles a través de internet, reservamos entradas de espectáculos por internet, reservamos mesa en nuestros restaurantes favoritos a través del móvil, pedimos cita para la itv por internet, compramos todo tipo de productos (ropa, complementos, zapatos..)

Sin embargo, la justicia sigue siendo “jurásica”, ajena a los avances tecnológicos, empeñada en seguir realizando sus actuaciones ajena a los medios tecnológicos, siendo la última en modernizarse. Cuando realmente la justicia debería ser vanguardista, puntera en la implantación de avances tecnológicos, en la experimentación de trámites virtuales que agilizasen sus procesos con los ciudadanos.

Una justicia tecnológica, ágil y eficaz posibilitaría una sociedad mucho más diligente y con menos actos fuera de las reglas de actuación. ¿No lo crees así? Una justicia rápida y eficaz haría que muchos de los asuntos que vemos hoy en los juzgados fueran meditados antes de ser realizados. ¿Tú que opinas?

 

Por Javier González Gonzalez

Abogado-Director Jurídico de Defensa Digital

Miembro de Enatic

www.defensadigital.es

@GonzGonz_Javier

“Minions” de Datos Personales.

/0 Comentarios/en /por

Pensando en un título diferente y acordándome del estreno de la película Minions, se me ocurrió hacer una similitud entre el tratamiento de datos históricos, estadísticos y científicos y esos pequeños seres adorables, con la intención de comparar, tal y como sucede en la película, la conversión que sufre el pequeño y simpático Kevin -se hace gigante- del mismo modo que la regulación del tratamiento de aquellos datos. Vamos a agrandar a Kevin comenzando desde su estado original “minion”, desde la LOPD hasta la ingente normativa sectorial existente.

“Minions” de Datos Personales La propia LOPD hace una referencia “casi inapreciable” y, muchas veces obviada, respecto al tratamiento de datos personales para finalidades históricas, estadísticas o científicas, permitiendo dicho tratamiento una vez finalizado el tratamiento original, es decir, se pueden tratar los datos personales recabados u obtenidos desde su origen o tras finalizar la finalidad inicial. En el primero de los supuestos se contempla la exigencia del principio del deber de información, excepcionada si los datos no son obtenidos del propio interesado -p.e. obtención de información médica de familiares- pero, ¿qué ocurre en el segundo de los supuestos cuando, tras el tratamiento inicial donde no se incluye dicha/s finalidad/es, se procede a tratar los datos de los afectados? Habrá que acudir al RDLOPD para conocer bajo qué parámetros hemos de movernos, los cuales son las previsiones que, a tal efecto, se regulan en las leyes respectivas -estatales y autonómicas-, entre las que destacan la Ley 12/1989, de 9 de mayo, Reguladora de la Función Estadística Pública; la Ley 16/1985, de 25 junio, del Patrimonio Histórico Español; y la Ley 13/1986, de 14 de abril de Fomento y coordinación general de la investigación científica y técnica, esta última derogada por la entrada en vigor de la Ley 14/2011, de 1 de junio, de la Ciencia, la Tecnología y la Innovación; así como aquellas disposiciones de desarrollo, al igual que la normativa autonómica en estas materias. Kevin se ha hecho más grande y, solamente hemos iniciado el proceso.

Dejemos que crezca Kevin. Salvo la previsión contemplada de poder conservar los datos personales tras finalizar el tratamiento original -artículo 8.6 RDLOPD-, igualmente, se permite solicitar -vía de excepcionalidad- el mantenimiento de los datos personales para ser tratados con fines históricos, estadísticos o científicos. Excepcionalidad, la cual se rige por un procedimiento específico que debe instarse ante la propia Agencia de Protección de Datos y que trae su precisión en los últimos artículos del RDLOPD -artículo 157 y 158-, siendo curioso que, solamente desde la entrada en vigor del reglamento de desarrollo, se haya llevado a cabo dos solicitudes, ambas otorgadas, a CCOO y a UGT para tratar los datos personales con finalidades históricas. Es curioso que no existan más peticiones, especialmente, de empresas privadas para el tratamiento con finalidades estadísticas o científicas, más ahora, resultado del estado del avance de la tecnología y del uso masivo de los datos personales.

Respecto al tratamiento de datos estadísticos y la normativa que regula la misma, el objeto de dicho tratamiento es exclusivamente para finalidades públicas, por lo tanto, difícilmente, una entidad privada podrá acogerse a la conservación de los datos personales en base a la normativa que regula dicho tratamiento. Así mismo, hay que poner de relieve el Sistema Estadístico Eurostat y, especialmente, Reglamento CE 223/2009 relativo a la Estadística Europea y el Reglamento CE 2533/98 sobre la obtención de información estadística por el Banco Central Europeo. De igual forma, la previsión respecto al secreto estadístico, en especial, al cómputo de años y al carácter público de la información, diferenciando un cómputo general -25 años desde la muerte o 50 años desde la obtención -idéntico plazo o similar que el establecido en la Ley de Patrimonio Histórico- y un cómputo excepcional “mínimo veinticinco años desde que se recibió la información podrán ser facilitados datos protegidos por el secreto estadístico a quienes, en el marco del procedimiento que se determine reglamentariamente acrediten un legítimo interés.” Pieza aparte, aún más para agrandar a Kevin es el famoso censo promocional y las finalidades que sobre el mismo se determinen, durante y a posteriori del tratamiento legítimo.

En cuanto al tratamiento histórico debemos de acudir a su previsión legal del artículo 49 LPHE, en cuanto a separar o diferenciar los años en los cuales la información pasa a tener una consideración histórica, siendo dicho cómputo los 40 años “si los documentos han sido generados, conservados o reunidos en el desempeño de su actividad por las entidades y asociaciones de carácter político, sindical o religioso y por las entidades, fundaciones y asociaciones culturales y educativas de carácter privado”[i]; y de 100 años “por cualesquiera otras entidades particulares o personas físicas.” Por ello, la perplejidad de la escasa o nula utilización de la vía de excepcionalidad respecto a la conservación de datos personales, por parte de partidos políticos, fundaciones u otros relacionados. Igualmente, en cuanto a la consulta de dichos datos históricos públicos y su consulta por terceros[ii], rige el mismo cómputo de plazos que respecto a la Ley de Estadística y, concretamente, respecto a datos personales contenidos que “por su carácter policial, procesal, clínico o de cualquier otra índole que puedan afectar a la seguridad de las personas, a su honor, a la intimidad de su vida privada y familiar y a su propia imagen, no podrán ser públicamente consultados sin que medie consentimiento expreso de los afectados o hasta que haya transcurrido un plazo de veinticinco años desde su muerte, si su fecha es conocida o, en otro caso, de cincuenta años a partir de la fecha de los documentos.”

De las dos precedentes finalidades, habría que unirle el amparo normativo en cuanto a los supuestos que legitiman la comunicación o tratamiento de datos personales, destacando, en especial, la autorización por Ley o norma de derecho comunitario; así como las cesiones entre Administraciones Públicas. Seguimos agrandando a Kevin, más aún si esta ingente, compleja y dispersa regulación hemos de implantarla en una entidad privada.

Para hacer ya a Kevin un super-gigante, comparable al de las habichuelas, a pesar que no se dispone de espacio material por extensión, la apoteosis final: el tratamiento con fines científicos junto con la aplicación de dicho tratamiento dentro de las tecnologías convergentes: biomedicina[iii], biobancos[iv], nanotecnología, robótica, big data, inteligencia artificial, inteligencia emocional, profiles.

La investigación, a nivel público, especialmente a través de la Ley Ciencia, Tecnología e Innovación junto con la Ley General de Universidades[v]; la dispersa regulación en materia de sanidad[vi] y la protección al paciente[vii], ligado con las especialidades en ADN, biotecnología, biomedicina, ensayos clínicos[viii], epidemiológicas y la regulación de los Comités Éticos Científicos[ix], así como el personal investigador, las spin-off y las EBT de nueva creación obligan que, caso por caso, situación por situación, haya que valorar la normativa que, bajo una mera finalidad orientativa se ha incluido. Pero, ¿Qué ocurre en los casos de recopilación masiva de datos por empresas privadas donde el tratamiento de datos persigue un tratamiento estadístico o científico para determinar características de un usuario determinado? Las empresas, cada vez más, buscarán investigar, en ocasiones disfrazando la finalidad de interés científico, estadístico o histórico datos personales, anonimizados, disociados, pseudo-anominimizados, no solo laboratorios farmaceúticos, sino empresas de robótica, de farmacovigilancia, transgénicos animales y vegetales, comportamiento.

Como dirían esos adorables y simpáticos seres denominados “minions”, ante una realidad tan compleja, sin saber muy bien la excepcionalidad del artículo 9.2 RDLOPD y el encuadre que, en cada caso se pudiere plantear, volviendo al estado original -mínimo e inapreciable-: “matoka babaya bobuoa” que traducido al lenguaje terrenal sería decir como: “Pfff… Vaya galimatías.”

 

Efrén Santos Pascual

Socio – Abogado TIC

ICEF Consultores

www.icefconsultores.com

@efrensantos_tic

http://icefconsultores.blogspot.com.es   

 

                                                                                

La foto del artículo ha sido obtenida de pixabay.com siendo la atribución del usuario stevepb bajo la siguiente condición que afecta al presente artículo Editorial use only / No attribution required. Se dispone el enlace para corroborar dicha propiedad intelectual y su uso: https://pixabay.com/en/dancing-dave-minion-minion-tim-510835/

[i]
Caso CCOO y UGT. RESOLUCIÓN DE AUTORIZACIÓN DE CONSERVACIÓN DE DATOS PARA FINES HISTÓRICOS Nº EXPEDIENTE: CD/00001/2011 y CD/00001/2012.

[ii]
Real Decreto 111/1986, de 10 de enero, de desarrollo parcial de la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español.

[iii]
Ley 14/2007, de 3 de julio, de Investigación biomédica.

[iv]
Real Decreto 1716/2011, de 18 de noviembre, por el que se establecen los requisitos básicos de autorización y funcionamiento de los biobancos con fines de investigación biomédica y del tratamiento de las muestras biológicas de origen humano, y se regula el funcionamiento y organización del Registro Nacional de Biobancos para investigación biomédica.

[v]
Ley Orgánica 6/2001, de 21 de diciembre, de Universidades.

[vi]
Ley 14/1986, de 25 de abril, General de Sanidad.

[vii]
Ley 41/2002, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

[viii]
Real Decreto 223/2004, de 6 de febrero, por el que se regulan los ensayos clínicos con medicamentos.

[ix]
GUÍAS ÉTICAS DE INVESTIGACIÓN EN BIOMEDICINA. Comité de Ética del Instituto de Investigación de Enfermedades Raras. http://www.isciii.es/ISCIII/es/contenidos/fd-publicaciones-isciii/fd-documentos/IIER_Guias_eticas_ESPANOL.pdf

La intimidad de los menores: privacy by default

/1 Comentario/en /por

Actualmente vivimos inmersos en un mundo hiperconectado, donde si no estás en la red o no muestras tus actividades diarias, parece que no eres nadie.

Este afán de exhibicionismo, no negativo per se, puede acarrear consecuencias si no se tiene en cuenta, tanto el contenido de las publicaciones, como el público con las que se comparte, pero toma mucha mayor importancia cuando trasciende a nuestra persona e incluye datos de terceros, como podrían ser nuestros hijos.

A medida que los avances tecnológicos superan con creces el tiempo que necesitamos para entenderlos y adaptarnos a ellos,

e incluso saber qué legislación les es aplicable, cobra radical importancia tomar conciencia de la esencia de la privacidad, tanto nuestra como de terceros.

Se hace mucho hincapié en la concienciación que debemos inculcar a los menores sobre la importancia de la privacidad y de su comportamiento y acciones en la red, cuya trascendencia futura parecen ignorar o no tener muy en cuenta. Pero, ¿cómo inculcar a un menor la importancia de la privacidad cuando sus propios padres son los que publican fotografías o vídeos suyos en redes sociales u otros sitios de internet, como si de un álbum familiar se tratase?  ¿Se han parado a pensar en la trascendencia futura que ello podría acarrear al menor?

 Los menores tienen derecho al honor, a la intimidad personal y familiar y a la propia imagen. Este derecho comprende también la inviolabilidad del domicilio familiar y de la correspondencia, así como del secreto de las comunicaciones, así de claro lo establece el artículo 4 Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor.

Entenderemos por menor toda persona menor de dieciocho años[1] que se encuentre en territorio español, siguiendo lo establecido en la Convención de Derechos del Niño y la Ley Orgánica 1/1996 de Protección Jurídica del Menor.

Como regla general, si queremos utilizar la imagen de un menor para ilustrar un reportaje o para cualquier otro uso, necesitaremos la autorización de sus padres o tutores, ya que como titulares de la patria potestad, tienen el deber de proteger al menor al que se le entiende en una posición vulnerable, y por tanto, deben de ser protegidos de cualquier ataque o injerencia que perjudique el libre desarrollo de su personalidad.  Así lo establece la LO 1/1996, cuando afirma que los padres o tutores y los poderes públicos respetarán estos derechos y los protegerán frente a posibles ataques de terceros.

Es decir, se presupone que los titulares de la patria potestad velarán por la debida protección del menor. Pero ¿qué ocurre con aquellos menores cuyos padres/tutores deciden voluntariamente publicar ingentes fotografías de sus hijos/tutelados? Dichas acciones, ¿deben considerarse objetivamente atentatorias contra el derecho a la intimidad del menor? o por el contrario, ¿los padres tienen la potestad de decidir?

Dejando a un lado aquellos casos en los que claramente se ha atentado contra los derechos del menor, pasaremos a analizar desde una perspectiva jurídica otras situaciones no tan claras.

Comenzábamos diciendo que Los menores tienen derecho al honor, a la intimidad personal y familiar y a la propia imagen, pero necesitan del amparo de sus progenitores para poder ejercer los derechos que les corresponden así como para autorizar cualquier utilización de su imagen. Entonces, ¿en qué consiste el derecho al honor, intimidad e imagen de un menor?

La Ley Orgánica 1/1982 introduce el mandato de que “el consentimiento de los menores e incapaces deberá presentarse por ellos mismos si sus condiciones de madurez lo permiten, de acuerdo con la legislación civil”. Por tanto, en el caso de un menor “maduro” los actos referidos al ejercicio de estos derechos quedan excluidos del ámbito de representación legal de sus progenitores.

Para el resto de los casos (menores no maduros) “el consentimiento habrá de otorgarse mediante escrito por su representante legal, quien estará obligado a poner en conocimiento previo del Ministerio Fiscal el consentimiento proyectado. Si en el plazo de ocho días el Ministerio Fiscal se opusiere, resolverá el juez”. Huelga decir que son escasísimos los supuestos en los que esta norma se cumple.

Y ¿cuándo podemos considerar, según la legislación civil, que un menor tiene condiciones de madurez? Pues no existe un precepto ni criterio asentado que determine con carácter general cuándo podemos considerar maduro a un menor. Únicamente contiene determinadas excepciones para supuestos concretos, en los que se permite a los menores, por ejemplo, realizar actos con trascendencia jurídica. Por tanto, deberá interpretarse este concepto jurídico indeterminado (“madurez del menor”) junto con todas las circunstancias aplicables a cada caso concreto.

En el caso de los medios de comunicación, la Ley 1/1996 refuerza el sistema de protección, ya que aun existiendo el consentimiento de los progenitores o incluso del propio menor (maduro), se habilita al Ministerio Fiscal para intervenir ante intromisiones realizadas a través de medios de comunicación que puedan causar un perjuicio para el interés del menor. Y esto es así porque el interés del menor ha de prevalecer ante el derecho a la información o la libertad de expresión, trascendiendo incluso a un eventual consentimiento prestado.

Puntualizar que, en el caso del derecho de imagen, para que exista intromisión ilegítima, no será necesaria la causación de perjuicios para el menor, por lo que la intromisión ilegítima del derecho a la propia imagen del menor se produce por la mera publicación de la imagen.

Lo anterior no significa que no haya situaciones en las que no pueda aparecer la imagen del menor, cuando sus intereses no se vean perjudicados conforme a los usos sociales (por ej, emisión de imágenes de inauguración de un centro escolar).

En el ámbito de los derechos de la personalidad, si estamos ante un menor con suficiente madurez, los actos de sus progenitores en dicho ámbito pueden llegar a suponer un obstáculo al libre desarrollo de la personalidad del menor, además de no respetar los derechos que la legislación otorga a dicho menor. De ahí la importancia de los progenitores, primero, en tener en cuenta la voluntad del menor, siempre y cuando sus condiciones de madurez así lo permitan, y antes de llegar a dicha situación, pensar siempre en el interés del menor, que cuando adquiera dichas condiciones de madurez o la mayoría de edad, puede no estar de acuerdo con el tratamiento que sus progenitores han realizado en el ámbito de sus derechos de la personalidad, vaciando de contenido el objetivo de la normativa actual.

Retomando las cuestiones planteadas al inicio, ¿puede calificarse la conducta de publicar cantidades de fotografías de los menores como intromisión ilegítima? o ¿simplemente se trata de una mera actitud exhibicionista? La respuesta no puede ser unívoca sin atender a las circunstancias concretas del caso, pero podemos concluir que podría llegar a constituir una intromisión ilegítima cuando dichas fotografías se publican sin restringir de ninguna manera su acceso por terceros (opciones de privacidad) o atendiendo al contenido o circunstancias de las propias fotografías o vídeos.

Por tanto, antes de publicar todo tipo de fotografías u otras informaciones relativas a los menores, los progenitores deben tener en cuenta los derechos del menor y la trascendencia que en el futuro dichas acciones pueden causar al libre desarrollo de la personalidad del mismo por estar conformándose desde un inicio su propia identidad digital, ya que el ordenamiento jurídico los erige en garantes de dichos derechos, no en sujetos con derecho a decidir libremente sobre cuestiones relacionadas con el derecho al honor, intimidad y propia imagen de los menores a su cargo, pues su consentimiento no legitima cualquier actuación  que pueda repercutir en la intimidad del menor, como ha puesto de manifiesto la Ley Orgánica de Protección Jurídica del Menor, ya que el titular del derecho es en última instancia el menor, cuyo interés ha de primar en cualquier caso, pues será quien se vea condicionado en el futuro por las decisiones de sus progenitores.

Si a un desarrollador de aplicaciones se le exige tener en cuenta los estándares de privacidad desde el diseño y por defecto, ¿no debería ocurrir lo mismo con los garantes de la privacidad de un menor?

 

María Loza Corera
@Mlozac
Responsable Jurídico PRODAT Cataluña
Miembro de Enatic

 

[1] Como excepción, los menores formalmente emancipados o con el beneficio de la mayor edad, podrán ejercitar por sí mismos los derechos relativos al honor, intimidad y propia imagen así como prestar los consentimientos correspondientes, como un mayor de edad.

 

Ciberseguridad: Oportunidades para la Abogacía.

/0 Comentarios/en /por

 

La “atmosfera electrónica” en la que vivimos impregna irremisiblemente gran parte de nuestras vidas a modo de un “medio ambiente digital” que potencia las posibilidades de desarrollo del ser humano, de forma hasta ahora desconocida, a la vez que le transforma, limita y condiciona, creando un hábitat electrónico cuasi-integral, paralelo y particularizado que, cada vez a mayor velocidad, confluye con los entornos clásicos conocidos.

Viene a configurar como una especie de ciberesfera, compuesta por un conjunto de interconexiones electrónicas dispuestas enimagen-10julio2015 red, que posibilita un espacio de relación integrado por componentes de naturaleza material de base tecnológica, de naturaleza inmaterial sustentada en la información y el conocimiento, a través del lenguaje, y de naturaleza antropológica fundamentada en la sociabilidad del ser humano; deviene en medio y procedimiento para prestar servicios y ha generado un nuevo marco espacio-cultural con efectos económicos, políticos, jurídicos, sociales y culturales. Tiene como límites el desarrollo, el respeto a los derechos humanos y la seguridad.

Este entorno de base artificial, creado por el ingenio del ser humano, ha tenido tal éxito en su implantación que podríamos decir, obviamente exagerando, que casi tiene olor propio o al menos, produce un efecto en la psique de análoga sensación; forma parte de nuestras vidas, cada vez en mayor proporción, hasta el extremo que afecta a vectores esenciales de nuestra existencia, con incidencia directa en intereses, derechos y libertades.

Y todo ello hasta el extremo que su mera existencia y uso pacífico se ha convertido en un elemento de bienestar y progreso ciudadanos y, como tal, fuente de poder, objeto de codicia y blanco de ataques, de forma que no hay gobierno que se precie que no esté preocupado por su seguridad, mediante la protección contra su uso indebido, defendiendo la infraestructura tecnológica que lo posibilitan, los servicios que presta y la información que maneja, convirtiéndose su protección a través de lo que se conoce como Ciberseguridad, en un entorno calificado como “ámbito de especial interés” para la Seguridad Nacional según el Proyecto de Ley[1] correspondiente, actualmente en trámite parlamentario.

Esta nueva realidad tiene infinitas repercusiones en la vida jurídica cotidiana que genera multitud de situaciones que afectan a intereses, derechos y libertades. Además, mientras los grandes debates sobre la ordenación o no del ciberespacio siguen produciéndose, la tozuda realidad se impone y periódicamente nos encontramos con normas jurídicas (internacionales, comunitarias y nacionales) que van avanzando en la regulación y protección de los derechos en este novedoso campo.

Sin ir más lejos, la última reforma del Código Penal que entra en vigor el día 1 de julio del presente año, no se queda atrás y dentro del que hay que destacar la modificación del artículo 197 y los añadidos de los nuevos artículos 197 bis, ter, quater y quinquies. Y, como en la disciplina punitiva, en las demás, y no digamos en el Derecho Administrativo donde, además de las normas existentes y, muy especialmente, el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, hay otras que se avecinan, como son los Proyectos de Ley de Régimen Jurídico del Sector Público y de Procedimiento Administrativo Común de las Administraciones públicas, actualmente en trámite parlamentario, que vienen a introducir importantes novedades en esta materia haciendo extensiva exigencias de seguridad a todo el espectro de comunicaciones administrativas.

El conocimiento de la realidad digital se erige así en una exigencia ineludible para el abogado, paladín de la defensa de intereses, derechos y libertades, de ciudadanos y clientes en el entorno digital.

Analizando las normas indicadas, se avizora un sinfín de conflictos de todo orden, no solo relacionados con los derechos fundamentales, la intimidad o los datos de carácter personal, sino con nulidades, anulabilidades, responsabilidad civil y penal, o problemas probatorios, tanto de personas físicas como jurídicas, públicas o privadas, en sus relaciones entre sí y con las Administraciones, de donde derivarán responsabilidades tanto para los entes públicos como sus empleados, etc. Y, de forma muy especial, relacionados con eventuales incumplimiento de las exigencias de la Ciberseguridad, haciendo  emerger un campo de oportunidades profesionales sin precedentes para la Abogacía, tanto en la acusación como en la defensa, en el consejo, la consulta, el asesoramiento o en el dictamen. Y con cuyo eficaz ejercicio se estará contribuyendo, indirectamente, a la consolidación y fortalecimiento de la Ciberseguridad en todos sus órdenes.

José María Molina Mateos

Doctor en Derecho

Abogado

www.molinamateos.com

—————

[1] El artículo 10 del Proyecto de Ley de Seguridad Nacional,  establece que “se considerarán ámbitos de especial interés de la Seguridad Nacional aquellos que requieren una atención específica, desde la perspectiva de la Seguridad Nacional, por resultar básicos para preservar el bienestar de los ciudadanos o el suministro de los servicios y recursos esenciales. A los efectos de esta ley, serán, entre otros, la ciberseguridad, la seguridad económica y financiera, la seguridad marítima, la seguridad del espacio aéreo y ultraterrestre, la seguridad energética, la seguridad sanitaria y la preservación del medio ambiente”.

 

El corta y pega…¡ya no se lleva!

/0 Comentarios/en /por

Aunque el título de este artículo tiene todo su sentido,  la triste realidad es otra: “está de moda el corta y pega en las políticas de privacidad y en los avisos legales de muchos negocios cuyo escaparate es internet”.

Corta y Pega avisos legales políticas de privacidad ENATIC Abogacía Digital

Corta y Pega avisos legales políticas de privacidad ENATIC Abogacía Digital

En los tiempos que corren, todo aquel que se precie,  y más aún, todo aquel que quiera triunfar y conseguir hacerse un hueco en el mercado actual, debe contar con presencia en internet, por ello, tanto los más afortunados, aquellos que optan por tirar la casa por la ventana y tener una salida sonada, sin escatimar en la inversión que para ello deben realizar, como los más conservadores que prefieren subirse al carro de “hágaselo usted mismo”, abren sus puertas virtualmente con sus mejores galas, pero ¿cuántos lo hacen cumpliendo la normativa vigente?

Al igual que cuando se monta un negocio a pie de calle, en la nueva realidad que nos depara internet, cuando montamos nuestro negocio digital, somos conscientes de que tenemos que invertir, tanto en la imagen que queremos transmitir como en que se nos vea, y para ello, no pocos, nos rodeamos de los mejores profesionales que nos hagan diferenciarnos de nuestro competidores, pero, ¿somos conscientes de las consecuencias que comporta el principio “ignorantia iuris non excusat”?

En varias de las Jornadas sobre Privacidad y LSSI a las que he asistido, he coincidido con asistentes, entre ellos, algunos compañeros, que no dudaron en confirmarme que nunca se habían parado a mirar con detalle la política de privacidad y el aviso legal de su negocio digital, dando por hecho que los profesionales y diseñadores de páginas webs a los cuales habían contratado el servicio,  daban fiel cumplimiento a la legislación vigente en esas materias, pero, ¿realmente sus negocios digitales están cumpliendo la Ley?

En algunos casos, ni tan siquiera contaban con Política de Privacidad y Aviso Legal.

Llegados a este punto, cabe decir que, sí importante es el principio “ignorantia iuris non excusat” no lo es menos el dicho “Zapatero a tus zapatos”.

Vaya por delante que, lo que voy a exponer no es una generalidad, pero sí puedo decir que muchos desarrolladores web que diseñan verdaderas maravillas, ofreciendo con ello un escaparate y una imagen del cliente fabulosa, no cumplen ellos mismos con la normativa, por cuanto, mucho menos, van a poder ofrecer ese cumplimiento a sus clientes, a pesar de que la mayoría sí son conocedores de su existencia, quedando obligado todo negocio digital a su cumplimiento, sin estar exentos ni ellos, ni ninguno de sus clientes.

De lo expuesto, significar que, todo diseñador de webs debe ofrecer a sus clientes las máximas garantías y confianza, y lo hará, por un lado, dando ejemplo él mismo, al dar cumplimiento a la normativa vigente y por otro, entregando sus diseños aptos para la apertura al mercado digital, y para ello, debe contar, bien con sus propios expertos en privacidad y comercio electrónico, bien, con un partner de confianza, especialista en la materia,  al que acudirá para externalizar este servicio; no obstante, de contrario, y mucho más lejos de esta realidad, y reitero, sin que sirva ni se interprete como una generalización, son muchos los que se dedican a “cortar y pegar” las políticas de privacidad y los avisos legales de empresas del mismo sector sobre el que está trabajando, sin tener, o sí, conocimiento de los perjuicios que tal hecho puede comportar a sus clientes, y, por supuesto, pasando por alto, los derechos de los usuarios.

Como anécdota, podría dar más de un nombre de algún que otro escaparate digital de renombrados negocios que, en la actualidad,  en sus Avisos Legales, los desarrolladores han hecho tal labor de cortado y pegado, entiendo acción usual y rutinaria para ellos, que se han olvidado de cambiar las denominaciones, dando cumplimiento al Art. 10 de la LSSI no en nombre de su cliente, sino en nombre de otro, lo cual, dice muy poco del profesional, y por ende no deja bien al negocio, sin pasar por alto las consecuencias que lleva aparejado el incumplimiento del artículo 10, como es la imposición de sanción por comisión grave con multa de 30.001€ hasta 150.000€.

Mi intención con este artículo no es otra que, animar tanto a profesionales como a clientes a reflexionar sobre la importancia del cumplimiento de la legislación vigente en materia de LOPD y LSSI, por cuanto, por un lado, los clientes, tanto en el supuesto de que decidan hacérselo ellos mismos, como sí deciden contratar los servicios de profesionales, deben tener presente que existe una normativa al respecto, que como tal, está para cumplirla, sin olvidarse del principio “ignorantia iuris non excusat”, y por otro, los profesionales deben garantizar a sus clientes que “la entrega de la obra se hará con todas las licencias preceptivas y cumpliendo la normativa vigente”,  más que nada, para no encontrarse con la sanción y el consiguiente Derecho de repetición.

Es por todo lo expuesto, por lo que, os ánimo a que empecéis a tener en cuenta que el corta y pega, ya no se lleva, y que consideréis que contáis con profesionales que nos ponemos a vuestra disposición, en aras de dar cumplimiento a la legislación vigente en materia de LOPD y LSSI.

Fotografía: #46796759.

Autor: Sielan. Licencia Libre de Derechos. Fotolia

 

Eva María Calderón Palomar

Abogado. Responsable del Departamento de Derecho Digital y TIC en Epiqueya Abogados. Twitter

Directora de sicumple.com Twitter

 

 

Ciberdelincuencia en la reforma penal

/0 Comentarios/en /por

Incidencia de la reforma del Código Penal en la ciberdelincuencia.

Ciberdelincuencia en la reforma penal. ENATICBlog Abogacía Digital

Ciberdelincuencia en la reforma penal. ENATICBlog Abogacía Digital

El día 1 de julio entrará en vigor la reforma del código penal operada por la Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Se trata de una reforma de hondo calado, con cambios muy sustanciales en el articulado (252 artículos modificados y 32 suprimidos) y que incide muy especialmente en el mundo de Internet y las nuevas tecnologías.

¿Cuáles son las modificaciones más significativas para el mundo TIC?.

En relación con la libertad sexual y protección de menores:

  • Artículo 183 ter: Tipifica este nuevo precepto el grooming: “El que a través de Internet, del teléfono o de cualquier otra tecnología de la información y la comunicación contacte con un menor de dieciséis años y proponga concertar un encuentro con el mismo a fin de cometer cualquiera de los delitos descritos en los artículos 183 y 189, siempre que tal propuesta se acompañe de actos materiales encaminados al acercamiento, será castigado con la pena de uno a tres años de prisión o multa de doce a veinticuatro meses, sin perjuicio de las penas correspondientes a los delitos en su caso cometidos. Las penas se impondrán en su mitad superior cuando el acercamiento se obtenga mediante coacción, intimidación o engaño. El que a través de Internet, del teléfono o de cualquier otra tecnología de la información y la comunicación contacte con un menor de dieciséis años y realice actos dirigidos a embaucarle para que le facilite material pornográfico o le muestre imágenes pornográficas en las que se represente o aparezca un menor, será castigado con una pena de prisión de seis meses a dos años”.
  • Artículo 189: Pornografía infantil. Se precisa ésta a partir de la definición legal tomada de la Directiva Europea abarcando no sólo el material que representa a un menor o discapacitado participando en una conducta sexual, sino también las imágenes realistas de menores participando en conductas sexualmente explícitas, aunque no reflejen una realidad sucedida. Concepto este de “imágenes realistas” que, referido al cómic, pensemos por ejemplo en cierto tipo de manga, seguro deberá ser objeto de interpretación jurisprudencial en cuanto a su consideración delictiva.

Se penaliza el que para su propio uso adquiera o posea pornografía infantil y se incluye un nuevo apartado para sancionar a quien acceda a sabiendas a este tipo de pornografía por medio de las tecnologías de la información y la comunicación.

Se faculta a los jueces y tribunales para que puedan ordenar la adopción de las medidas necesarias para la retirada de las páginas web o aplicaciones de Internet que contengan o difundan pornografía infantil o, en su caso bloquear el acceso a las mismas a los usuarios de Internet que se encuentren en territorio español.

En relación con la intimidad:

  • Artículo 197. Descubrimiento y revelación de secretos. Distingue, en sus párrafos 1 y 2 entre revelación de datos que afectan a la intimidad personal y los que afectan solo a la privacidad.

Introduce la conducta delictiva de aquel que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, difunde, revela o cede a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los párrafos 1 y 2.

Tipifica los supuestos en que las imágenes o grabaciones de otra persona se obtienen con su consentimiento pero luego se divulgan contra su voluntad, cuando la imagen o grabación se haya producido en un ámbito personal y su difusión se realice sin autorización de la persona afectada menoscabando gravemente su intimidad personal.

  • Artículo 197 bis. Ciberespionaje, black hacking, cracking, accesos no autorizados… Tipifica este precepto de nueva creación a “El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo.” y a “El que mediante la utilización de artificios o instrumentos técnicos, y sin estar debidamente autorizado, intercepte transmisiones no públicas de datos informáticos que se produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los mismos.”
  • Artículo 197 ter. Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los apartados 1 y 2 del artículo 197 o el artículo 197 bis:

a) un programa informático, concebido o adaptado principalmente para cometer dichos delitos; o

b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información».

En relación a los daños:

  • Artículos 264, 264 bis y 264 ter. Daños informáticos. Tipifican estos preceptos lo que podríamos denominar “sabotaje informático”.

«El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave.

El que, sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno:

a) realizando alguna de las conductas a que se refiere el artículo anterior;

b) introduciendo o transmitiendo datos; o

c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica.

El que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los dos artículos anteriores:

a) un programa informático, concebido o adaptado principalmente para cometer alguno de los delitos a que se refieren los dos artículos anteriores; o

b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información».

En relación a la propiedad intelectual:

  • Artículo 270.2 Tipificación de las páginas de enlaces castigando a quien, «en la prestación de servicios de la sociedad de la información, con ánimo de obtener un beneficio económico directo o indirecto, y en perjuicio de tercero, facilite de modo activo y no neutral y sin limitarse a un tratamiento meramente técnico, el acceso o la localización en Internet de obras o prestaciones objeto de propiedad intelectual sin la autorización de los titulares de los correspondientes derechos o de sus cesionarios, en particular ofreciendo listados ordenados y clasificados de enlaces a las obras y contenidos referidos anteriormente, aunque dichos enlaces hubieran sido facilitados inicialmente por los destinatarios de sus servicios».

En relación al ejercicio de los derechos fundamentales y libertades públicas:

  • Artículo 510. Incitación al odio y a la violencia agravada «cuando se hubiera llevado a cabo a través de un medio de comunicación social, por medio de Internet o mediante el uso de tecnologías de la información».

Pese a ser una amplia reforma parece que se ha perdido la oportunidad de incluir otras conductas como puede ser la suplantación de identidad. En cuanto a las indefiniciones y conceptos indeterminados existentes deberemos esperar a las distintas interpretaciones que hagan los jueces y tribunales.

Por último, una vez establecido el marco punitivo, ahora hay que dotar a las fuerzas y cuerpos de seguridad del estado de los instrumentos jurídicos necesarios para su investigación y ello pasa por la implementación de la reforma procesal pendiente.

Jacob Peregrina Barahona

Abogado www.tecnoiuris.es

Twitter / LinkedIn

 

Inauguramos ENATICBlog en www.enatic.org Abogacía Digital

/0 Comentarios/en , /por

Hoy inauguramos ENATICBlog en ésta, vuestra casa.

Inauguramos ENATICBlog en www.enatic.org

Inauguramos ENATICBlog en www.enatic.org

Uno de los retos marcados en ENATIC para primer semestre de 2015 era conseguir articular la generación de conocimiento por y para la Abogacía Digital desde la propia web de ENATIC.

Los principios de máxima participación, diversificación de colaboraciones y recursos de la asociación nos han llevado a trabajar la aportación de conocimiento desde el contenido por parte de los asociados de ENATIC en otras importantes publicaciones que sin duda nos aportan un elevado valor. Sin embargo, la generación de contenido propio dentro de la web de ENATIC no debía quedar como una asignatura pendiente.

Tras una nueva organización y la participación de los coordinadores de las comisiones implicadas, lanzamos la propuesta a los asociados con una espectacular respuesta en la participación activa que nos ha permitido organizar un calendario de publicaciones, en principio quincenales y en viernes, que añadan valor desde el contenido de calidad que tanto aportan nuestros asociados.

Es por ello que, sin restar ni un segundo más de tiempo, queremos transmitir nuestro agradecimiento en nombre de todos los que formamos parte de ENATIC a todos los asociados que no tardásteis en dar ese paso al frente en la participación en ENATICBlog, y animamos a todos los asociados a participar y colaborar en esta edición enviando su solicitud a través del apartado “Responsable del blog” de nuestro formulario de contacto; desde donde os enviaremos las instrucciones de edición y calendario para publicaciones.

Cumplida la misión de su organización y lanzamiento. Ahora el nuevo reto es convertirlo en una nueva referencia de valor para la Abogacía Digital que no se conseguiría sin vuestra activa colaboración y que, si se consigue – que estamos seguros de que se conseguirá – será en exclusiva un mérito de todos aquellos que aportéis vuestros artículos. Un esfuerzo, implicación en tiempo y dedicación a la investigación y a la actualidad que procuraremos compensar mediante la mayor difusión y alcance que esté en nuestras manos.

!!Mil gracias a todos #ENATICTeam!!