¿Los enlaces a descargas directas ahora son ilegales?

Ayer tuvimos conocimiento de una sentencia de la Audiencia Provincial de Barcelona por la que se conocía la apelación a la sentencia que desestimaba las reclamaciones de la SGAE contra elrincondejesus.com. Parece que es una sentencia muy novedosa. Hasta el momento, todos los pronunciamientos judiciales habían considerado que el facilitar enlaces a obras protegidas por derechos de autor no suponía comunicación pública ni ninguna infracción de propiedad intelectual. Sin embargo, la sentencia de la Audiencia Provincial de Barcelona parece no coincidir con el criterio mayoritario existente hasta ahora, por lo que se dice en la prensa, que titula que ha sido condenada por «enlaces a descargas directas». Veamos si es así.

La sentencia expone que desde la web en cuestión se podían hacer tres cosas:
1.- Realizar descargas directas de archivos musicales.
2.- Escuchar música en «streaming«.
3.- Acceder a enlaces P2P.

Es en los dos primeros puntos donde debemos centrarnos, porque lo que dice la sentencia es que desde esa misma página se podía realizar la descarga directa y la escucha de fonogramas en streaming. Es decir, ya no estaríamos ante un caso de enlaces, sino que la comunicación pública la realiza la propia web demandada, puesto que es la que ofrece los archivos, ya sea para descargarlos o para escucharlos on line. Siendo así el pronunciamiento judicial es lógico y esperable, y no hay nada de novedoso.

Así pues, la sentencia es verdaderamente sorprendente, pero no porque haya declarado ilícito algo que ningún otro juez había hecho, sino porque cambian los hechos. Ciertamente deja bastante desconcertado que ahora resulte que desde esta web sí que se realizaban actos de comunicación pública, cuando se suponía que no había más que enlaces. Es más, la sentencia añade, lo cual sorprende, que «el propio demandado, en el acto del juicio, lo reconoció». Es tan extraño que puede llegar a pensarse que los magistrados han confundido los enlaces a descargas directas con el hecho de que estas estuvieran alojadas en la web, lo cual no es lo mismo, evidentemente.

En cualquier caso, si nos ceñimos al texto de la sentencia, lo que hay que dejar claro es que no se dice en ningún momento que facilitar enlaces a descargas directas o a obras en «streaming» suponga una comunicación pública, con lo que seguimos como estábamos hasta ahora: las páginas web de enlaces no infringen derechos de propiedad intelectual.

El empresario puede acceder al ordenador del trabajador, pero no al correo electrónico

La Sección Tercera de la Audiencia Provincial de Madrid acaba de dictar un auto por el que se sobreseen las actuaciones contra un empresario que accedió al ordenador de uno de sus empleados, considerando que no hay delito de descubrimiento y revelación de secretos en su actuación. La noticia que ha salido en la prensa, sin embargo, habla del acceso al correo electrónico, pero en el auto en cuestión no se dice nada respecto al acceso al correo electrónico, sino exclusivamente al ordenador del trabajador, lo cual es bastante diferente. La resolución judicial sería muy novedosa en ese caso, puesto que sin consentimiento del empleado, o sin haber establecido previamente las condiciones de utilización y control del correo electrónico profesional, no se puede acceder al correo electrónico del trabajador.

En muchas ocasiones se ha apelado a la analogía por la cual se aplica lo dispuesto en el artículo 18 del Estatuto de los Trabajadores (ET) a los medios informáticos de la empresa. En consecuencia, sólo podría procederse a su registro cuando fuera necesario «para la protección del patrimonio empresarial y del de los demás trabajadores de la empresa, dentro del centro de trabajo y en horas de trabajo. En su realización se respetará al máximo la dignidad e intimidad del trabajador y se contará con la asistencia de un representante legal de los trabajadores o, en su ausencia del centro de trabajo, de otro trabajador de la empresa, siempre que ello fuera posible».

El auto comentado se apoya entre otras, en la Sentencia de la Sala de lo Social del Tribunal Supremo, de 26 de septiembre de 2007, en la que se considera que lo dispuesto en el artículo 18 ET supone una excepción a la protección del ámbito privado del trabajo, mientras que el control de los medios informáticos no entra dentro de la excepción, sino que está dentro de los poderes de dirección y control del artículo 20 ET. Considera el juez que «el ordenador es un instrumento de protección del que es titular el empresario como propietario o por otro título y éste tiene, por tanto, facultades de control de su utilización, que incluyen lógicamente su examen». Así pues, el empresario puede acceder sin problemas al ordenador del trabajador en ejercicio del mencionado poder de control.

Pero, insistimos en lo que decíamos al principio, estamos ante un caso de acceso al ordenador (al menos por lo que dice el auto) y no específicamente al correo electrónico, el cual sí que puede estar limitado al acceso por parte del empresario si antes no se ha establecido correctamente una política de uso conocida por los trabajadores, puesto que el correo electrónico está protegido por el secreto de las comunicaciones (artículo 18.3 de la Constitución).

La AEPD vs. Google

Ayer estuvieron los medios y los internautas bastante revueltos con la noticia de que Google acude a la Audiencia Nacional para evitar tener que eliminar resultados de búsquedas, tanto por la noticia en sí, como por las aclaraciones del Director de la Agencia Española de Protección de Datos (AEPD). Desde hace tiempo, la AEPD y Google han tenido una intensa relación, como no podía ser de otra forma; una relación que, aunque no pasa por su mejor momento, tiene que acabar bien, porque creo que están condenados a entenderse. El caso es que nos encontramos ante el problema habitual de que un individuo quiere que Google deje de facilitar, entre sus resultados, un enlace a una información referente a él que le resulte perjudicial por cualquier motivo.

Aunque ha habido alguna excepción (¿qué sería de la AEPD sin excepciones a su doctrina habitual?), por lo general se han estimado las solicitudes de tutela de derechos de los afectados (como en este caso y en este), con lo que la AEPD considera que Google ha de atender el ejercicio del derecho de oposición por parte de los afectados y eliminar de sus resultados los datos de estos. Y la noticia (no es tan noticia, en el sentido de que no es nada que fuera desconocido hasta el momento) consiste en que Google recurre las resoluciones de la AEPD ante la ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional.

Al hilo de esto, creo conveniente aclarar y comentar varios puntos:

– La AEPD se dirige a Google Spain, S.L., entidad que no es la que opera el buscador. No hay más que ir a las Condiciones del Servicio de Google para ver que la entidad titular del buscador es «Google Inc., una sociedad con domicilio social en 1600 Amphitheatre Parkway, Mountain View, CA 94043, Estados Unidos». Vamos, que Google es un buscador americano, oh sorpresa.

– La AEPD no ignora (como no puede ser de otra forma) que los titulares de páginas web pueden autoexcluirse de las búsquedas, mediante ficheros robots.txt. Incluso la AEPD ha instado en algún procedimiento a la web que aloja los datos personales a arbitrar «las medidas necesarias con el fin de evitar la indexación de los datos […] e impedir que sean susceptibles de captación por los motores de búsqueda de internet».
 
– El criterio de la AEPD se basa en que hay ocasiones en las que el titular de la página web que aloja la información está impedido legalmente para cesar el tratamiento de los datos (por ejemplo, un boletín oficial), impedimento que no se produce en el caso del buscador, que «deberá adoptar medidas no sólo para cesar en el tratamiento de la información, sino también, para impedir el acceso futuro a la misma a través de su servicio». Así lo explica la Agencia en su «Declaración sobre buscadores de Internet».

– La AEPD tiene el importante respaldo del Grupo de Trabajo del artículo 29 (el órgano consultivo de la Unión Europea sobre Protección de Datos), el cual, en su «Dictamen sobre cuestiones de protección de datos en relación con buscadores», estimaba que «en relación con la eliminación de datos personales de sus índices y resultados de búsquedas, los buscadores poseen un control suficiente para ser considerados responsables de tratamiento (ya sea solos o conjuntamente con otros) en aquellos casos».

Espero ansioso el fallo de la Audiencia Nacional, aunque sea cual sea éste, seguro que acabamos en el Supremo. Mientras tanto, dado que Google no atiende los ejercicios de derechos, el que esté interesado en que le eliminen de las búsquedas, puede seguir estos consejos, aunque Google probablemente argumente lo mismo que en los procedimientos comentados, es decir, que las quejas, al maestro armero. 

El registro en foros no recoge datos personales, ni siquiera el correo electrónico

Cualquiera que conozca mínimamente la normativa sobre Protección de Datos pensará que no tenemos ni idea de la materia o que, directamente, nos hemos vuelto locos al escribir el título de esta entrada. Pues bien, atendiendo a una resolución de la Agencia Española de Protección de Datos (AEPD) que nos han hecho llegar, podemos afirmar esto sin ningún problema.

En la resolución mencionada se recoge que, para efectuar el registro en un foro, se recogen apartados como «nombre de usuario», «confirmar dirección de email» y «contraseña». Sin embargo, para la AEPD, «los datos que se solicitan no tienen por qué hacer identificables a la persona que los facilita hecho que normalmente ocurre en este tipo de foros en los que el afectado se ampara en un alias o en datos identificables discrepantes con los del titular». De esta frase digna de ser enmarcada debemos considerar dos aspectos:

– Por un lado entiende la Agencia que, dado que «normalmente» «en este tipo de foros» el afectado se ampara en un alias, no se puede hacer identificable a la persona que facilita. Es bastante curioso que en la propia frase se está aceptando la posibilidad contraria: si «normalmente» se utiliza un alias, quiere decir que habrá ocasiones, aunque sean anormales, en las que se puede facilitar un nombre real. Es decir, la misma resolución concede la posibilidad (completamente real, por otra parte) de que se utilicen, por ejemplo, el nombre y apellidos de la persona, respecto de los cuales no creo que sea necesario entrar en su capacidad identificativa respecto a una persona.

– Por otro lado, como hemos señalado antes, uno de los datos que se facilita en el registro del foro es la dirección de correo electrónico. Es una interpretación más que consolidada de la Agencia Española de Protección de Datos el considerar a la dirección de correo electrónico como un dato de carácter personal, incluso en aquellos casos en los que directamente la dirección no pueda identificar a una persona (por ejemplo, en una dirección del tipo arhkjdfasd@gmail.com). Así lo viene afirmado «desde siempre», como se puede leer en este archiconocido informe jurídico, en el que se dice que, «incluso en aquellos casos en los que la dirección de correo electrónico no parece mostrar datos relacionados con la persona titular de la cuenta […] la dirección de correo electrónico aparecerá necesariamente referenciada a un dominio concreto, de tal forma que podrá procederse a la identificación del titular mediante la consulta del servidor en que se gestione dicho dominio, sin que ello pueda considerarse que lleve aparejado un esfuerzo desproporcionado por parte de quien procede a la identificación». Sin embargo, volviendo a la resolución que estamos comentando, ahora resulta que la dirección de correo electrónico «no tiene por qué hacer identificable a la persona». Y se quedan tan anchos, por decirlo de alguna manera.

Aún no repuesto de mi asombro, no obstante esta extravagante resolución, recomiendo a los responsables de foros que consideren que la recogida de datos que realizan para el registro en sus foros se encuentra dentro del ámbito de aplicación de la LOPD y, en consecuencia, tomen las medidas oportunas.

Dos errores legales habituales en la utilización comercial de Facebook

La creciente utilización de las redes sociales y, en especial, de Facebook, como herramienta de marketing y comunicación empresarial nos ha permitido observar dos errores legales habituales cometidos por los usuarios profesionales de esta red social.

En primer lugar, nos encontramos con numerosos perfiles de usuario utilizados como «perfil» de empresa. Esto supone, en primer lugar, un incumplimiento de las condiciones de uso de Facebook. El apartado 4.4 de estas condiciones establece que el usuario se compromente a no utilizar su «perfil personal para obtener ganancias comerciales». Es decir, para empezar, e independientemente de lo que comentaremos a continuación, estamos incumpliendo los términos del servicio de Facebook, lo cual puede suponer, entre otras cosas, que Facebook nos cierre nuestro perfil. Por tanto, aunque llevamos un largo recorrido con nuestro perfil «personal-pero-profesional», nos arriesgamos a perder todo el trabajo hecho.

Por otra parte, el hecho de utilizar un perfil personal como si fuera de un negocio, implica que no se hacen fans, sino amigos, con lo cual se accederá recíprocamente a la información personal subida por los otros usuarios. Aunque muchos usuarios, en general por desconocimiento, aceptarán hacerse amigos de páginas profesionales, muchos otros no lo harán, precisamente, porque supone compartir la información con un desconocido. Además, dado que estamos dándole un uso profesional, entraría en aplicación la normativa sobre Protección de Datos de Carácter Personal, con todas las implicaciones que ello tiene, que son muchas.

El otro error legal que habitualmente nos encontramos se refiere a los que sí que utilizan correctamente Facebook para crear una página profesional y aprovechan la posibilidad que da Facebook de enviar mensajes a todos sus fans. En mi opinión, eso es una comunicación comercial electrónica, con lo cual debemos estar a lo dispuesto en la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) y, en concreto a su artículo 21, que prohíbe las comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes. Si no tenemos el consentimiento de los usuarios (fans), no podremos enviar comunicaciones comerciales. La solución es tan sencilla como poco utilizada: no hay más que incluirlo en la información sobre la empresa que se incorpora en la página de Facebook, de forma que el que se hace fan de una página consienta el envío de comunicaciones comerciales a través del sistema de mensajes de Facebook.

¿Vía libre al «spam»?

Hemos tenido conocimiento de una resolución de la Agencia Española de Protección de Datos (AEPD) por la cual se archiva una denuncia con motivo de la recepción de un correo electrónico no solicitado («spam«). El artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI)  establece la prohibición de enviar «comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas». Por tanto, con carácter general (hay una excepción que no entra en aplicación en este caso) el envío de una comunicación comercial no solicitada supone una infracción, tipificada en el art. 38.4.d de la misma norma.


En el caso que nos ocupa, habiéndose acreditado el envío de una comunicación comercial no solicitada, la AEPD acuerda no incoar actuaciones inspectoras ni procedimiento sancionador, basándose en dos aspectos:


1.- La presunción de inocencia. Estima la AEPD que, puesto que «en la página web del presunto infractor figura un procedimiento para poder solicitar información facilitando la dirección de correo electrónico, […] cabe concluir que existe una duda razonable acerca de la forma en que se obtuvo la dirección de correo del ahora recurrente y, en consecuencia, de la existencia de consentimiento para la remisión del correo».


2.- Los principios de intervención mínima y proporcionalidad. La AEPD considera necesario que se agoten otras fórmulas procedimentales alternativas a la apertura de un procedimiento sancionador. En este caso, puesto que en el correo electrónico enviado constaba información sobre el procedimiento habilitado para oponerse al envío de nuevas comunicaciones comerciales, y no se ha acreditado haber ejercitado el derecho de oposición, la Agencia estima que no se han agotado las mencionadas fórmulas procedimentales alternativas.

Vaya por delante nuestro total acuerdo con el respeto a los principios de presunción de inocencia y de intervención mínima y proporcionalidad, que quede claro. No obstante, la aplicación de estos principios, llevados al límite (como, en nuestra opinión, hace la AEPD en este caso) permite que, cumpliendo sólo parcialmente con los requisitos exigidos para poder enviar comunicaciones comerciales no solicitadas (como lo es el habilitar un procedimiento para la oposición al envío de nuevas comunicaciones comerciales, tal y como establece el art. 22 de la LSSI) se pueda escapar de la comisión de una infracción.

En consecuencia, si nos atenemos a lo recogido en esta resolución, la AEPD no sancionará el envío de comunicaciones comerciales no solicitadas si:

– Se dispone en la página web de un formulario de solicitud de información.
– Se cumple con la obligación dispuesta en el art. 22 de la LSSI respecto a la habilitación del procedimiento de oposición.

En fin, que parece se pone muy fácil el envío indiscriminado de spam. No obstante, conociendo los cambios doctrinales a los que nos tiene acostumbrados la AEPD, mi recomendación es que sólo se envíen comunicaciones comerciales por vía electrónica, tal y como dice el art. 21 de la LSSI, cuando se tenga el consentimiento del destinatario o la dirección de este se haya obtenido de forma lícita en el marco de una relación contractual previa y la comunicación comercial se refiera a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

Cómo «intentar» proteger la identidad de una persona sin protegerla.

Los medios de comunicación han publicado la noticia de la celebración de un juicio, en la Audiencia Provincial de Valladolid, contra un abogado que presuntamente falsificó documentos judiciales ante su cliente. En la noticia se refieren al acusado con su nombre compuesto completo y las iniciales de sus apellidos. Además se menciona su puesto de trabajo, en un Departamento de la Facultad de Derecho de la Universidad de Valladolid. 
Me pregunto si el periodista que ha redactado la noticia, al dar esa información, pretendía identificar al acusado o no. 

Si lo que pretendía no era identificarlo, le ha salido muy mal. Con tantos datos como ha facilitado, cualquiera puede conocer la identidad de esta persona sin ningún esfuerzo. No vamos a contribuir (aún más) a su identificación, pero, sin necesidad de hacer ninguna búsqueda, cualquiera que haya pasado por la Facultad de Derecho de Valladolid ya sabe de quién se trata. No digamos ya si se utiliza Internet o cualquier documento de la Facultad en el que conste el profesorado. 

Si lo que pretendía el redactor de la noticia era identificarlo, lo ha hecho muy bien, pero no habría habido ninguna diferencia si hubiera dado su nombre y apellidos completos, porque el afectado está completamente identificado.

Según la LOPD, un dato de carácter personal es «cualquier información concerniente a personas físicas identificadas o identificables». Creo que está bastante claro que esta información ha hecho a esta persona perfectamente identificable, y además sin ningún esfuerzo. Los medios de comunicación debería tener más cuidado con este tipo de situaciones, y entender que el identificar al acusado no aporta nada a la noticia.

PS.: Gracias a la poca discreción del redactor, puedo decir que se trata de un gran profesor, del que tengo un muy buen recuerdo y a quien le deseo el mejor final posible para esta historia.   

Presentada la Memoria de la AEPD de 2009

Ayer se presentó la Memoria de la Agencia Española de Protección de Datos de 2009. La Memoria siempre ha sido un documento imprescindible para los profesionales de la materia, aunque desde la publicación en la web de  la AEPD de las resoluciones tiene menos trascendencia doctrinal.

Los medios de comunicación se ha hecho eco de la noticia, resaltando, como ha hecho la Agencia, que la difusión de datos en Internet, la videovigilancia y la inclusión indebida en listas de morosidad ha sido los principales motivos de reclamación durante 2009. Y como suele ser habitual, los medios de comunicación no han hablado del tema con total rigor. 

La palma se la llevan las noticias de Antena 3. En una noticia de unos 30 segundos les ha dado tiempo a decir que para instalar cámaras de seguridad es necesaria una autorización previa y que las sanciones por no hacerlo pueden llegar a los 10.000 euros. Me encantaría saber de dónde han sacado eso. Para los no iniciados, aclararemos:

– No es necesaria una autorización previa. Hay que inscribir el fichero ante al Agencia, pero no se trata de una autorización, sino de una declaración. Y además, sólo en caso de que se mantengan grabaciones.
– Las sanciones van de los 600 a los 600.000 euros, que son las que establece la LOPD, en función de la infracción.

Préstamos entre particulares

En la actual situación de crisis económica y, dadas las dificultades que se encuentran aquellos que acuden a entidades financieras a solicitar un préstamo, están empezando a tener relativo éxito las páginas web que gestionan préstamos entre particulares.

Hemos de tener en cuenta que nos podemos encontrar páginas web relacionadas con los préstamos entre particulares de tres tipos, cada uno de ellos con sus particularidades y condiciones:
– Aquellas que ponen en contacto a interesados en prestar dinero y en tomarlo a préstamo. La web pone los medios, pero el préstamo se realiza directamente entre los particulares, pudiendo ser los que prestan dinero varias personas a la vez a un único prestatario.
– Otras páginas similares a las anteriores pero destinadas a financiar a emprendedores para poner en marcha sus proyectos.
– Grupos de inversores que ofrecen financiación con unas condiciones cerradas.

A raíz de esto, los servicios informativos de Televisión Castilla y León acudieron a nuestro despacho a aclararles algunas cuestiones sobre estos temas.

MI vecino me raya el coche: ¿puedo poner una cámara?

Es una situación bastante habitual la de encontrarse con problemas entre vecinos en los que uno de ellos utiliza la vieja práctica de rayarle el coche al otro. Dado que cada vez es más fácil y más barato instalar cámaras de videovigilancia (más ahora que, con la Ley Ómnibus, ya no es necesario que lo haga una empresa de seguridad), es bastante frecuente encontrarnos con personas preocupadas con la legalidad de instalar cámaras de seguridad en sus plazas de garaje. Así que hemos de ver si la LOPD entra en juego en el caso de que un particular instale una cámara de videovigilancia en su plaza de garaje.

La Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras excluye de su ámbito objetivo de aplicación «el tratamiento de imágenes en el ámbito personal y doméstico, entendiéndose por tal el realizado por una persona física en el marco de una actividad exclusivamente privada o familiar». Lo mismo hacen la propia LOPD y su Reglamento de desarrollo. En consecuencia, deberemos considerar si las grabaciones dentro de una plaza de garaje particular entrarían en el ámbito privado y, por tanto, estarían excluidas de la aplicación de la LOPD. 

Según la redacción del artículo 396 del Código Civil, podemos entender que la plaza de garaje, aun estando en el garaje de la comunidad de propietarios, es propiedad privada, con lo cual la instalación de cámaras de videovigilancia no entraría dentro del ámbito de aplicación de la LOPD. Es decir, podríamos instalar la cámara de videovigilancia sin tener en cuenta las obligaciones legales derivadas de la LOPD: no hará falta inscribir un fichero, podremos almacenar las grabaciones el tiempo que consideremos oportuno, no será necesario colocar un cartel informativo, etc.

Así lo ha entendido recientemente la Agencia Española de Protección de Datos (AEPD) en la resolución del procedimiento sancionador PS/00321/2009, por la que se archivan las actuaciones acogiendo la alegación del denunciado sobre la inaplicabilidad de la LOPD a ese caso. No obstante, aunque el tema parece claro, hay que tener en cuenta algunas cuestiones:

1.- La propia resolución, a la hora de admitir la inaplicabilidad de la LOPD, valora la proporcionalidad del fin pretendido (prevención de actos vandálicos) con la instalación de una cámara de videovigilancia, teniendo en cuenta:

  • La cámara sólo graba la plaza de garaje propia, más una parte de una plaza adyacente a cuya propietaria pidió permiso.
  • La comunidad de propietarios votó a favor de la instalación de la cámara.
  • No hay monitores de visualización y sólo se almacenan las grabaciones durante 6 días.
  • Se han instalado carteles informativos.
No se entiende muy bien que la AEPD valore estos aspectos a la vez que declara la inaplicabilidad de la LOPD al caso. Según lo que hemos visto anteriormente, no sería necesario, con lo cual nos queda la duda de si, para la AEPD, además de tratarse de una propiedad privada tienen que darse esas otras circunstancias que hacen que se trate de una medida proporcionada para que se considere que estamos ante una actividad exclusivamente privada o familiar.
2.- En la resolución del procedimiento sancionador PS/00419/2009 se sanciona con 3.000 euros a un particular por un caso similar (1.500 euros por incumplir el principio de información y otros 1.500 por no inscribir el fichero), a pesar de que, según consta en el procedimiento, la cámara sólo enfoca a la plaza de garaje del denunciado. 
Así que nos tenemos que plantear si en este procedimiento no quedó claro que sólo se captaba la propia plaza de garaje, si estamos ante un cambio de criterio de la AEPD, o si hay que tener en cuenta los aspectos mencionados en el anterior punto para que la AEPD considere que estamos en el ámbito privado. No debería ser necesario que se entre a estudiar la proporcionalidad de la medida, pero el análisis de estas dos resoluciones no lo deja muy claro.