Me han invitado desde el blog «Una docena de…» a colaborar con ellos divulgando cuestiones jurídicas. Mi primer post habla de «tonterías jurídicas», esas frases o términos jurídicos que usa mucha gente, y sobre todo se oyen en los medios de comunicación, pero que son erróneos.
Aprovecho para recomendar el blog porque es muy original y entretenido.
La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 2.000 euros a una persona por haber abierto un perfil falso en la red social Badoo haciéndose pasar por otra persona. Esta resolución es bastante jugosa por varias razones.
En primer lugar por su instrucción: primero se solicita a la Oficina del Comisionado Chipriota para la Protección de Datos, (cuyo nombre oficial es, por si les pica la curiosidad, Γραφείου Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα) información sobre la dirección IP desde la que se creó el perfil y se realizaron conexiones. Conocida esa IP, el operador Euskaltel le facilita a la AEPD la identificación del titular que tenía asignada esa dirección IP en el periodo en el que se realizaron las mencionadas conexiones.
Puede llamar la atención las inmensas posibilidades que tiene la AEPD de investigación e identificación de usuarios de servicios de telecomunicaciones. La Agencia se ampara en el art. 40 de la LOPD, en el que se dice que las autoridades de control, en su labor de inspección, podrán recabar “cuantas informaciones precisen para el cumplimiento de sus cometidos”. Es cierto que una interpretación amplia de este precepto puede llevar a aceptar que pueden “pedir” lo que quieran, pero también es verdad que una cosa es que puedan pedir y otra que el poseedor de esa información tenga la obligación de facilitarla. Por otro lado, está el viejo debate que trae a colación lo establecido en los arts. 1 y 6 de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas, en los que se dice que los datos de tráfico sólo pueden ser cedidos previa autorización judicial y con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales. Respecto a este debate, nos remitimos a esta entrada de David Maeztu y a las aportaciones realizadas en sus comentarios.
También es interesante que en esta resolución se recuerda que, en caso de que haya abierto un proceso penal, se debe suspender el procedimiento hasta que recaiga resolución judicial. No se produjo en este caso, aunque lo alegaba la denunciada, puesto que la Agencia no tenía conocimiento de la apertura de ningún proceso penal con identidad de sujeto, hecho y fundamento, tal como exige el art. 7 del Real Decreto 1398/1993.
En cuanto a la cuestión de fondo, la Agencia entiende que, dado que se abrió un perfil utilizando el nombre de pila, número de teléfono y fotografía de otra persona, hay un tratamiento de datos sujeto a la LOPD, tratamiento realizado sin consentimiento, lo que supone una infracción del art. 6. En primer lugar puede llamar la atención que estamos ante el tratamiento de datos realizado por un particular, con lo que cabría pensar que estamos fuera del ámbito de aplicación de la LOPD, atendiendo a la conocida como “excepción doméstica“. Aunque es sabido y es reiterada la doctrina de la AEPD por la que se entiende que en el momento en que se tratan datos personales públicamente en Internet esta excepción no se tiene en cuenta, creo que debería haberse analizado este aspecto.
El caso es que debemos plantearnos si la AEPD entra a conocer de cuestiones que parecen ajenas a la normativa sobre Protección de Datos y por tanto sobre su competencia. La suplantación de identidad en una red social podría pensarse que supone un delito de usurpación del estado civil, tipificado en el art. 401 del Código Penal, pero es muy complicado aplicar este artículo, puesto que la jurisprudencia viene exigiendo que el infractor se haga pasar en su totalidad por otra persona, y además con carácter permanente. También puede ser un medio para la comisión de otras infracciones y delitos, pero sólo eso, un medio. Por tanto la mera suplantación de identidad en una red social puede quedar sin sanción y no parece que sea una actuación no merecedora de reproche.
Esta actuación de la AEPD ha sido muy criticada por entender, como hemos dicho, que estamos ante una actuación que debe quedarse fuera de sus competencias, pero lo que es incuestionable es que se ha realizado un tratamiento de datos personales sin consentimiento, y ante eso la Agencia no tiene más remedio que actuar. Espero los comentarios discrepantes con mucho interés.
La Audiencia Provincial de Vizcaya ha dictado una sorprendente sentencia por la que se condena a un año de prisión a los administradores de unas páginas desde las que se facilitaban enlaces para la descarga de contenidos audiovisuales, al considerar que se ha cometido un delito contemplado en el artículo 270 del Código Penal.
Dejando a un lado algunas cuestiones controvertidas de carácter procesal, la sentencia es sorprendente y novedosa, por dos razones:
– Se trata de la primera sentencia de un tribunal en la que se considera que facilitar enlaces constituye un acto de comunicación pública. Hasta ahora ningún tribunal español había considerado que un enlace a un contenido supusiera una infracción de propiedad intelectual. Ni siquiera la famosa sentencia de elrincondejesus.com establecía eso, puesto que en los hechos probados de la misma consta que la web alojaba archivos, no sólo enlaces.
– Además de considerar que un enlace constituye un acto de comunicación pública, la sentencia tiene algo que deja atónito a cualquiera. Dado que esta página web es un prestador de servicios de la sociedad de la información, hay que acudir a la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), en la que se regulan una serie de exenciones de responsabilidad para los prestadores, en función del tipo de servicio que prestan. En el caso que nos ocupa, una página web en la que se suministran enlaces tiene cabida, evidentemente, en el artículo 17 de la LSSI, con un título más que descriptivo: “Responsabilidad de los prestadores de servicios que faciliten enlaces a contenidos o instrumentos de búsqueda”. Pues bien, los magistrados de Vizcaya han ido a aplicar el artículo 15, destinado a los “prestadores de servicios que realizan copia temporal de los datos solicitados por los usuarios”, es decir, lo que hacen los llamados “servidores proxy”, cuya funcionalidad está perfectamente descrita en este mismo artículo: almacenan datos en sus sistemas de forma automática, provisional y temporal, con la única finalidad de hacer más eficaz su transmisión ulterior a otros destinatarios que los soliciten.
Pues bien, según los magistrados de la Audiencia Provincial de Vizcaya, resulta que lo que hace una página web en la que se facilitan enlaces a contenidos (lo que dice el artículo 15 de la LSSI) en realidad es hacer copia temporal de datos, de forma automática, provisional y temporal. Es decir, que los acusados reciben una pena de prisión porque los magistrados no saben lo que es un “proxy”. No hay por dónde cogerlo, creo modestamente que es un grave error por parte de la Audiencia. Salvo que se nos haya olvidado leer, claro.
La Asociación Profesional Española de Privacidad (APEP) ha publicado un documento dirigido a las empresas y profesionales interesados en contratar un servicio de consultoría de protección de datos, con el objetivo de que conozcan qué cuestiones han de tenerse en cuenta si se quiere disponer de un servicio integral y profesional.
El documento, disponible en la página web de la APEP, recoge las claves para acometer correctamente un proyecto de adecuación a la normativa sobre protección de datos. A modo de resumen:
Entre los meses de septiembre y noviembre se están celebrando, en distintas localidades de Castilla y León, una serie de charlas y talleres formativos sobre las ventajas del uso de las redes sociales y las tecnologías de la información por parte de las empresas castellanas y leonesas. Las jornadas, organizadas por el Programa Emprendedores de la Consejería de Fomento y Medio Ambiente de la Junta de Castilla y León, las Cámaras Oficiales de Comercio e Industria y el Consejo Regional de Cámaras, a través de la Red de Asesores TIC de Castilla y León, han contado con profesionales de reconocido prestigio como Diego Coquillat, Emiliano Pérez, Óscar del Santo, Bere Casillas, Andy Stalman, Víctor Gañán, Alfredo Arias o Ana Santos, con la que he tenido el placer de compartir varias de las charlas.
La última de ellas tendrá lugar este jueves 6 de octubre en Valladolid, en la que Ana Santos y yo hablaremos sobre márketing, comunicación y legalidad en las diferentes redes sociales. Dado el éxito que ha tenido la convocatoria, el evento tendrá lugar en el Salón de Actos de la Consejería de Fomento y Medio Ambiente, un espacio de más capacidad que el previsto inicialmente, con lo que los interesados en asistir quizá puedan todavía inscribirse gratuitamente.
Sólo quiero agradecer a la Red de Asesores TIC de Castilla y León por su invitación y felicitarles por la gran acogida que están teniendo las jornadas.
