Contacto

Para consultas jurídicas "david @ abanlex.com"

martes, 16 de agosto de 2011

Responsabilidad "in vigilando" del bloguero, Sentencia de la AP de La Coruña

El pasado 24 de junio, la Audiencia Provincial de La Coruña (pdf) resolvió el recurso contra una sentencia que absolvió a un administrador de un blog por los comentarios vertidos en el mismo por terceras personas, y lo hizo con una sentencia muy peligrosa para la web por una lectura errónea, a mi juicio, del apartado segundo del artículo 16 de la LSSICE.

La sentencia viene a indicar que dado que hay control, a posteriori, sobre los contenidos del destinatario del servicio, no opera la exención de responsabilidad de la LSSICE.

Este es un caso de querella por injurias y calumnias, sin mayores particularidades, excepto que en este caso se identificó de alguna manera, no sólo al responsable del blog, sino a dos personas que también pusieron comentarios en las noticias publicadas por el mismo.

Los hechos probados de la sentencia de primera instancia, al parecer, tampoco son extensos para conocer más peculiaridades del caso. Tampoco el juzgado de lo penal nº 1 de Santiago de Compostela entra a analizar la situación del administrador del blog en relación a la Ley 34/2002 LSSICE, basicamente al considerar que los hechos denunciados no son constituyentes de delito, por lo que ninguna responsabilidad puede exigirse al administrador del blog.

Sin embargo, la sentencia que resuelve la apelación sí contiene algunas valoraciones sobre LSSICE, introducidas por la apelante según recoge la propia sentencia de manera indirecta:
En el escrito de recurso se ha planteado, después de hacer unas consideraciones previas sobre los delitos contra el honor, y como segundo motivo de impugnación, que ha existido error en la apreciación de la prueba en cuanto a la atribución sobre la autoría de los comentarios que aparecieron en el blog, resaltando que a tenor del régimen jurídico del administrador de dicho espacio virtual, D. Isidro tenía la posibilidad de dejar publicado que entendía pertinente, pero podía restringir o eliminar los mensajes allí plasmados por los usuarios, con alusiones a la responsabilidad escalonada de la Ley de Prensa e Imprenta, para concluir que el blog será responsable de los actos delictivos o ilícitos cuando se desconozca su autor, pudiendo ser responsable civil subsidiario en todo caso
Así la Audiencia Provincial señala que el debate debe centrarse en la posición que cada uno de los acusados ocupa en relación a los comentarios aparecidos en el blog y la posibilidad de control sobre los mismos.

En primer lugar hay que destacar que la Audiencia Provincial califica al blog como medio de comunicación, creo interesante resaltarlo puesto que esta calificación, que se suele dar generalmente en lo penal, no es del todo clara y sigue generando problemas, como ya comenté en su momento.

En segundo lugar, para la Audiencia Provincial el administrador del blog asume una responsabilidad "in vigilando" sobre los contenidos que se publican cuando este manifieste no ser el autor de los mismos, en una asimilación al régimen de responsabilidad del resto de medios de comunicación.

Es decir, que el administrador del blog tiene un especial deber de vigilancia sobre lo que se publica en su sitio, aun cuando los terceros sean quienes efectivamente con sus actos lesionan los derechos de terceros o cometen el ilícito.
La AP, en este caso, revisa el contenido de la LSSICE (habría que ver si el blog entraba en el ámbito de aplicación de la norma, pues ahora mismo no tiene publicidad) y en concreto el artículo 16, sobre la exención de responsabilidad del administrador, para señalar:
Aunque el precepto precisa cuando se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el párrafo a), en el punto 2º dispone que dicha exención de responsabilidad no operará en el supuesto de que el destinatario del servicio actúe bajo la dirección, autoridad o control de su prestador, que es lo que sucede en el caso del blog en que como hemos dicho su administrador tiene la facultad de vigilar y restringir su contenido.
La lectura de este párrafo resulta confusa con lo que viene siendo la interpretación habitual en el caso del artículo 16.2 LSSICE, realizando aquí una lectura la AP ciertamente innovadora a lo resuelto por los juzgados en otros supuestos.

Entiendo de la sentencia que la AP estima que dado que hay un control sobre lo que los usuarios suben al servicio, incluso aunque sea a posteriori, lo que hace que no pueda aplicarse la exención de responsabilidad al blog. Y asi lo expresa la sentencia:
"[....] y en los Hechos probados se reconoció su cualidad de creador del blog. A tenor de lo expuesto con anterioridad, esa posición de garante derivada de su naturaleza de creador y, sobre todo, de administrador del blog, permitiría exigirle responsabilidad de forma directa, por defecto in vigilando acerca de los comentarios plasmados en dicho medio de comunicación, si tales comentarios fueren ilícitos o delictivos."
Pero esta lectura del artículo 16.2 LSSICE resulta, a mi juicio, contraria a la finalidad de la ley, ya que evidentemente, como regla general, en todo proceso informático es posible aplicar un control posterior y retirar o borrar un contenido, lo que significaría que siempre se da ese "control" sobre el destinatario del servicio y por ello nunca habría exención de responsibilidad para el administrador de una web.

Por ejemplo en meneame se publican miles de comentarios y estos se pueden borrar, ¿es ese el control del que habla la ley? ¿no tendría esa web u otra del mismo tipo entonces ninguna exención de responsabilidad?
 
Al ser un blog de Blogger, ¿no tendría también responsabilidad Google? Google puede borrar los contenidos, pero no por eso entendemos que quienes usamos esa plataforma estamos actuando bajo la autoridad, dirección o control de esa empresa.

El artículo 16.2 LSSICE creo que debe entenderse en situaciones en las que hay una dependencia funcional entre el responsable de la web y quien efectúa el comentario, como por ejemplo en el caso de una empresa o una relación directa, pero manejar un concepto tan amplio de control, como digo resulta contrario al espíritu de la norma.

Además, más adelante, la propia AP señala que al retirar los comentarios y ejercer ese control se le aplicaría la exención de responsabilidad, lo que resulta contradictorio, pero lo hace en un punto sin aportar más detalles.

A pesar de ello, la sentencia acaba absolviendo al responsable por un defecto técnico jurídico, consistente en que en la querella no se indica que comentarios concretos serían los lesivos, incidiendo una vez más en la exigencia de indicar en las reclamación cuales son los contenidos lesivos.

En definitiva estamos ante una sentencia extraña, más aún por lo innecesario de su análisis de la LSSICE toda vez que, en primer lugar debería haber aclarado porqué se aplica la LSSICE a un blog que no realiza una actividad económica, y en segundo lugar ya que absuelve al no haberse producido o no haberse indicado correctamente el hecho penalmente relevante, entrando en una cuestión irrelevante para el caso.

Las dos sentencias recaídas en el asunto también se pueden leer en el blog que en su momento fue acusado (ay, esa anonimización!!!): 

Sentencia de la Audiencia Provincial (en el blog la sentencia de la AP no está completa)

jueves, 11 de agosto de 2011

Google y la entrega de datos a las agencias de seguridad americanas


Aunque parece que todos tenemos claro que la Directiva de Protección de Datos, y nuestra Ley Orgánica de Protección de Datos que la desarrolla no permiten, como regla general, la cesión de datos sin el consentimiento del interesado, lo cierto es que seguimos padeciendo una mala decisión en el momento de la elaboración de la Directiva en relación con el ámbito de aplicación de la misma.

Hay que tener en cuenta que la Directiva es del año 1995 y a pesar de que internet era algo más que una realidad en aquella époco dificilmente podría adivinarse en lo que se ha convertido; pero en ese momento se estableció un criterio de aplicación territorial de la Directiva, que se ha mantenido, y que está propiciando este tipo de noticias, así como todos los problemas con los que se enfrentan las diferentes agencias de protección de datos para hacer cumplir la normativa interna de cada país cuando de internet se trata.

Así la Directiva en su artículo 4 establece que:
Derecho nacional aplicable
1. Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:
a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable;
b) el responsable del tratamiento no esté establecido en el territorio del Estado miembro, sino en un lugar en que se aplica su legislación nacional en virtud del Derecho internacional público;
c) el responsable del tratamiento no esté establecido en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.
2. En el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

Poca diferencia hay, como no podría ser de otra forma, en el caso de nuestra LOPD:
Cuando el responsable del tratamiento no este establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

Como se ve, los supuestos de sujección a la normativa europea, y a las nacionales que la desarrollan, están definidos. El problema está en determinar cuando los datos son tratados con una mera finalidad de tránsito o no, en el caso, por ejemplo, de Google Inc y si para ese tratamiento se usan medios situados en territorio de aplicación de la norma.

Para poder aplicar la Directiva y las correspondientes leyes nacionales a las empresas de internet, en particular redes sociales y buscadores, los responsables de la materia en la UE han dictaminado que por ejemplo, las cookies son dispositivos de las empresas para el tratamiento de los datos, y dado que se instalan en los ordenadores de los usuarios, están en territorio de la Unión, siendoles de aplicación la normativa nacional de cada estado.

Así se expresó el Grupo de Trabajo del artículo 29 en su Documento de trabajo 5035/01  (pdf) "relativo a la aplicación internacional de la legislación comunitaria sobre protección de datos al tratamiento de los datos personales en Internet por sitios web establecidos fuera de la UE"
Tal como se ha explicado anteriormente, el PC del usuario puede considerarse un «medio» con arreglo a la letra c) del apartado 1 del artículo 4 de la Directiva 95/46/CE.
Está ubicado en el territorio de un Estado miembro. El responsable decidió utilizarlo para el tratamiento de datos personales y, tal como se explica en los apartados anteriores, tienen lugar varias operaciones técnicas sin un control por parte del interesado. El responsable del tratamiento emplea los medios del usuario y no lo hace solamente con fines de tránsito en el territorio de la Comunidad.
El Grupo de Trabajo opina por lo tanto que las condiciones en que pueden recogerse datos personales del usuario mediante la colocación de cookies en su disco duro son reguladas por el Derecho nacional del Estado miembro donde se sitúa este ordenador personal.

Personalmente esta consideración me parece exagerada, no comparto que una cookie sea eso, aunque entiendo que el Grupo de Trabajo del artículo 29 tiene que buscar una solución al tratamiento de datos que hacen empresas establecidas fuera de la UE y que hacen un uso de la información de los usuarios sin respetar unos mínimos que en Europa consideramos imprescindibles.

El problema es que no deberíamos conformanos con esta situación y buscar parches, si la protección de nuestros datos, de nuestra intimidad, de nuestro honor, son derechos que como ciudadanos debemos ver protegidos y respetados, el ámbito de aplicación de la norma debe cambiar.

Esto es, si una empresa americana, o china, o indonesia, quiere prestar servicios o que estos sean accesibles desde la Unión Europea, o cualquiera de los países que la forman, deberá cumplir con la normativa de protección de datos, siendo la Directiva una buena referencia.

Los datos personales deben tratarse de acuerdo a la nacionalidad o residencia de la persona o al lugar al que se destinan y no a la ubicación de los medios de tratamiento de la empresa. Ese es el error y eso es lo que, a mi juicio, se debe cambiar.

Los responsables políticos europeos deben cambiar la Directiva, mientras tanto, Google deberá seguir cumpliendo las leyes nacionales de donde se encuentra su sede, y si eso incluye entregar información de usuarios extranjeros lo seguirá haciendo.