Contacto

Para consultas jurídicas "david @ 451.legal"

miércoles, 20 de junio de 2012

Google Spain, Google Inc y su legitimación pasiva en España

No sólo el volumen de negocio de Google es impresionante, el hecho de aportar algunos de los mejores servicios y más usados en internet hace que se vea envuelto en múltiples controversias jurídicas algunas de las cuales son del máximo interés jurídico. (Daría para un congreso analizar todos los aspectos legales de Google)

La prensa cuenta que Google no atiende los requerimientos de la Agencia de Protección de Datos, y califica como censura la solicitud de retirada de contenidos, y ya comenté que no estamos ante una censura sino ante un problema de interpretación jurídica..

La semana pasada también tuvimos conocimiento de la sentencia del Tribunal Supremo que resolvió el recurso planteado contra la sentencia de la Audiencia Provincial de Barcelona en el asunto "megakini.com".

Sobre el fondo del asunto y sus implicaciones en materia de propiedad intelectual, aplicación de derecho extranjero ("fair use"), límites, etc, quiero recomendar los artículos siguientes, que contienen en su conjunto una visión completa y bastante certera del contenido de la sentencia y de sus posibles consecuencias prácticas:




No debemos olvidar tampoco que una sola sentencia no construye jurisprudencia (artículo 1.6 del Código Civil), por lo que en función de lo que la doctrina construya a partir del análisis de esta puede que este resultado no se vea ratificado.

Dado que ya se han escrito excelentes comentarios sobre esta cuestión y en ellos hay preguntas e interrogantes para un animadísimo debate, quiero fijarme otro aspecto de la sentencia, o mejor dicho de todo el proceso judicial, al margen del fondo del asunto que me ha llamado la atención.
Se trata de la ausencia de respuesta en todo el proceso al problema de la legitimación pasiva de Google Spain S.L. (Hay que tener en cuenta que la persona demandada en este caso era Google Spain S.L., no Google Inc.)

Que no se haga ninguna alusión a ello en ninguna de las tras instancias (Juzgado, Audiencia Provincial y Tribunal Supremo) sólo significa que no se planteó nunca.

Antes de seguir, la falta de legitimación pasiva significa que no puedo ser demandado si no soy titular de ninguna relación jurídica con el demandante. Es, por ejemplo, como demandar a ACS (accionista mayoritario de Iberdrola) por un problema en la factura o el servicio con la eléctrica.

Google Inc es la empresa matriz, así podemos verlo en sus condiciones de servicio:
"Los Servicios se proporcionan a través de Google Inc. (en adelante, «Google»), cuyo domicilio social está ubicado en 1600 Amphitheatre Parkway, Mountain View, CA 94043, Estados Unidos."
Para su implantación y por diversas razones opera empleando empresas filiales en otros lugares, como por ejemplo Google Ireland Limited.
"El presente acuerdo online de Google Apps for Business (el "Acuerdo") se establece entre Google Ireland Limited, una sociedad constituida conforme a las leyes de Irlanda con sede en Gordon House, Barrow Street, Dublín 4, Irlanda ("Google")"
Finalmente, tiene una empresa local, con personalidad jurídica propia, Google Spain S.L., que se dedica a la gestión de la publicidad que se inserta en el buscador.

Esto no es algo que diga yo, sino que es un argumento que emplea la propia empresa para contestar a los requerimientos que le realiza la Agencia Española de Protección de Datos:
TD 1075/2010 (pdf) "Es decir, Google Spain se limita a representar a Google Inc. en el negocio que ésta desarrolla de vender el espacio publicitario disponible en su página web, es sólo un Agente o representante mercantil exclusivo de Google Inc. y sólo representa a esta compañía en la promoción de la venta de los servicios publicitarios de Google Inc. Su actividad se limita a dichos servicios y, por ello, ni desarrolla la actividad de buscador ni cabe imputarle ninguna de las actividades ni consecuencias que se deriven de la actividad que ejecuta Google Inc. aunque esta empresa sea la matriz de Google Spain."
Pues bien, todo este entramado legal supone la existencia de diversas personas jurídicas, en principio independientes, por lo que cada una de ellas tiene sus propias obligaciones y derechos.

Actualmente cuando hay alguna reclamación en relación a la actividad del buscador y el demandado es Google Spain S.L., la respuesta es que esa mercantil no es responsable del buscador y que por lo tanto, a quien hay que reclamar es a Google Inc.

El ejemplo más claro de esto se dio en el caso "Camping Alfaques" en la que la sentencia de 23 de febrero de 2012 del juzgado nº 1 de Amposta, estableció que los dueños del camping no podían demandar a Google Spain S.L. por que:
"la demandada la entidad Google Spain, S.L. carece de legitimación pasiva en el procedimiento deducido contra ella, fundamentalmente porque, partiendo de que la legitimación implica una titularidad de los derechos e intereses que se hallan en conflicto y la existencia de un poder de disposición sobre los mismos, en este caso no consta que la entidad Google Spain, S.L. controle o tenga poder de disposición alguno sobre la relación jurídica en la que se basa la exigencia de responsabilidad deducida por la actora en su demanda. Así en primer lugar no consta que la entidad Google Spain, S.L. sea titular del buscador www.google.es en el que se ha publicado la información y gráficos lesivos del honor de la actora, según anunciaba ésta en su demanda, puesto que la titular del buscador es la entidad Google Inc., de modo que la demanda debería haberse dirigido a esta última. En segundo lugar, no consta que la entidad Google Spain, S.L. tenga una intervención concreta en la forma que tiene el buscador de mostrar los resultados, ni en el diseño o configuración de la página, ni en su redacción, siendo que su función principal es la venta de publicidad"
Es evidente que resulta extraño que en un caso como el de "megakini.com" no se alegase la misma falta de legitimación pasiva, puesto que lo pedido en la demanda sí tiene un origen que puede calificarse, a estos efectos, de similar.

¿O es que Google Spain sí consideraba que tenía responsabilidad en la gestión de los resultados y la caché de los mismos cuando se interpuso la demanda y ahora ya no?

Tenemos, por lo tanto, dos procesos civiles en los que la actuación de Google Spain es diametralmente opuesta en lo que a su relación con el buscador se refiere.

No creo que estemos, en este caso, ante un supuesto en el que pueda invocarse la doctrina de los actos propios.

Como ha dicho el Tribunal Supremo, STS de 9 de marzo de 2012:
"La doctrina de los actos propios tiene su fundamento en la protección de la confianza y en el principio de la buena fe, que impone un deber de coherencia y limita la libertad de actuación cuando se han creado expectativas razonables"
Exige igualmente esta doctrina la creación de una situación jurídica que afecte al autor y que sea incompatible con una conducta anterior y una pretensión actual que de buena fe pueda esperarse.

Y por supuesto se ampara el derecho a equivocarse y rectificar, de lo contrario, el haber actuado en un momento del pasado de una determinada manera no implica tener que hacerlo siempre igual, especialmente al seguir una concreta estrategia procesal.

Por lo tanto en un momento determinado eligió una estrategia, que nos habría privado del fallo del TS, y ahora elige otra, pero no creo que la respuesta en un caso deba vincular a la del otro.

Aunque es interesante porque en el ámbito administrativo, en relación con el derecho a la intimidad y la protección de datos y la Agencia encargada de velar por la normativa, la posición de Google es similar a lo actuado en el asunto "los Alfaques". Separación absoluta entre Google Spain y Google Inc. pero en procedimientos anteriores no era así.

No debemos olvidar que la normativa de protección de datos no establece las obligaciones al respecto en función del lugar de origen de los datos sino del lugar del tratamiento de los mismos. Por ello Google Inc no estaría en el ámbito de aplicación de la LOPD, con todas las ventajas que de ello se desprenden.

Como puede entenderse la cuestión de la legitimación pasiva en materia de protección de datos es esencial.

Ante las reclamaciones por particulares y las correspondientes tutelas de derechos de la AGPD, Google Spain S.L. indica, como se ha expuesto, que ella no tiene capacidad alguna sobre el buscador y que es Google Inc. quien debe ser la llamada al procedimiento, lo que es una suerte de alegación de falta de legitimación pasiva.

De hecho, este es uno de los aspectos esenciales que se van a dilucidar en la cuestión prejuidicial planteada ante el TJUE en relación a las solicitudes de retirada de datos personales de páginas web.

Pero, como decía, no siempre en este ámbito Google ha actuado de esta manera.

En un primer momento, de hecho, Google INC inscribió dos ficheros en la AGPD:

Uno denominado "órdenes de inserción"  para la "Gestión de incidencias relacionadas con los contratos de Google Inc" y otro con la misma finalidad pero denominado "órdenes de inserción en papel"

A estos dos, se suma uno más reciente para la recogida de los datos de Street View en cuyo caso es evidente que procede su inscripción pues los medios de recogida y tratamiento de los datos se encuentran en España.

Bien, pues en los tres casos, para el ejercicio de los derechos de acceso, rectificación, oposición y cancelación (ARCO) se ha indicado que el lugar para hacerlos efectivo es la sede de Google Spain S.L.

Incluso Google Spain se ha personado en procedimientos ante la Agencia y ha manifestado (TD 463/2007 pdf):
“que aunque pudiéramos eliminar la página ofensiva de nuestro índice, esta seguiría apareciendo en la red. Cada pocas semanas nuestros robots rastrean la web (...) si el sitio está disponible en Internet (...) será añadido de nuevo a nuestro índice.”
Vaya!! Resulta que el índice sí era suyo y sus robots también...

Y también en otros casos, en procedimiento seguido igualmente contra Google Spain (TD 387/2008 pdf)
"Google manifiesta, en síntesis, que las informaciones obtenidas a través de sus resultados de búsqueda se encuentran en páginas de terceros cuyo acceso es público. En consecuencia, para eliminar dicho contenido de los resultados deberían desaparece del webmaster de la página de terceros."
Tenemos, en este campo que Google Inc, ha reconocido su sometimiento a la LOPD,  y que además, el buscador o los resultados si son de Google Spain, o al menos esta los ha sentido como suyos.

En muchas tutelas de derechos de la AGPD Google Spain manifiesta que no contestó a la reclamación del usuario porque no era ella la responsable, a pesar de que si un usuario busca en la web de la agencia si se va a encontrar con que Google Inc le designa como representante para el ejercicio de los derechos de acceso.

La discrepancia de argumentos ofrecida por la propia Google Spain en los procedimientos seguidos, así como su designación como representante de Google Inc para el ejercicio de derechos, puede hacer pensar a cualquiera que, efectivamente, es a través de Google Spain con quien hay que tratar para las cuestiones de protección de datos.

En este caso sí me genera más dudas la posición adoptada, aproximadamente a partir de 2009 (según la fecha de las resoluciones), de deslindar por completo Google Spain de Google Inc. puesto que sin tener establecimiento permanente ha inscrito ficheros (reconocimiento expreso de sometimiento a LOPD ¿?) y Google Spain es representante a efectos del ejercicio de los derechos.

Es cierto que puede alegarse que las solicitudes de retirada son propias de otros tratamientos de datos que no serían incluidos en los de esos ficheros, pero es difícil ver la diferenciación cuando en ninguno de los casos, al parecer, ha habido un tratamiento de datos con medios situados en España.

Esto es un resumen de la situación de Google en España y los problemas de legitimación pasiva que se han planteado, si bien habría que profundizar en cuestiones sobre la naturaleza de la relación Google Spain-Google Inc (que enseñen los contratos), la dependencia de la empresa de publicidad del buscador, etc, que podrían ampliar o difuminar esa linea que Google quiere trazar para limitar al máximo sus responsabilidades y permitiría o no, demandar en España a Google Spain como responsable de las cosas que hace Google Inc.

martes, 19 de junio de 2012

Google, no nos tomes el pelo con la censura...

Es habitual que las grandes empresas pongan a sus servicios de comunicación a colaborar con los servicios jurídicos para la mejor consecución de los objetivos de la empresa.

Un ejemplo de esto lo estamos viendo con las acusaciones de Google a España de querer ejercer la censura, poniendo en el centro de las críticas a la Agencia de Protección de Datos por las solicitudes de retiradas de datos personales.

Con ello se consiguen llamativos titulares en los medios, y que dejan una imagen de país mala como censor de la libertad en internet.

"Google se ha negado a retirar 270 enlaces a resultados de búsqueda que solicitó la Agencia Española de Protección Datos (AEPD) en el segundo semestre de 2011 y ha acusado al organismo de pretender ejercer "censura" gubernamental."
Pero la razón para la solicitud de retirada de los resultados de búsqueda y para la negativa de Google a llevarla a cabo no está tanto en un problema de que España, a través de la AGPD, quiera censurar internet y tampoco es que Google sea una empresa bondadosa que incumple por defendernos a todos.

La razón de que unos pidan y otros lo nieguen está en una discusión jurídica sobre el ámbito de aplicación de la Ley Orgánica 15/1999 de Protección de Datos.

La AGPD entiende que esa norma es aplicable a Google Inc, a través de Google Spain, y Google Spain dice que ella no es responsable de lo que haga Google Inc con el buscador y que Google Inc está fuera del ámbito de aplicación de la norma, por lo que tiene que cumplir con la LOPD.

Lo que dice Google (a través de Google Spain S.L.) en los procedimientos seguidos en la AGPD, como por ejemplo en  la Tutela de Derechos 01257/2010 (pdf) es:
"Es decir, Google Spain se limita a representar a Google Inc. en el negocio que ésta desarrolla de vender el espacio publicitario disponible en su página web, es sólo un Agente o representante mercantil exclusivo de Google Inc. y sólo representa a esta compañía en la promoción de la venta de los servicios publicitarios de Google Inc. Su actividad se limita a dichos servicios y, por ello, ni desarrolla la actividad de buscador ni cabe imputarle ninguna de las actividades ni consecuencias que se deriven de la actividad que ejecuta Google Inc. aunque esta empresa sea la matriz de Google Spain.
Concluye Google alegando que Google Inc. es la única compañía de quien, en su caso, se podría exigir la eventual atención de cualesquiera derechos, quejas o sugerencias de las personas en relación con los servicios que presta esta compañía.
Normativa aplicable, partiendo de la premisa anterior, esto es, que el responsable único es Google Inc., y tras analizarse en las alegaciones por Google la normativa comunitaria y nacional de transposición, así como los criterios expuestos por el G 29, concluye que “dado que los servicios de buscador los presta Google Inc. desde los Estados Unidos, no resulta de aplicación ni la directiva europea de protección de datos ni la ley española que la aplica.”
Y a la AGPD este criterio no le sirve, estimando las tutelas, que son recurridas sistematicamente por Google y han motivado, entre otros motivos, el planteamiento de una cuestión prejudicial ante el TJUE que resolverá esta cuestión. 

Aunque es posible que la decisión del Tribunal llegue con la nueva Directiva y/o Reglamento de Protección de Datos que ya prevé cambiar esto para que las empresas americanas no se escapen.

Así que por favor, señores de Google, "don't be evil", no nos tomen el pelo y no confundan censura con lo que es un problema de legitimación pasiva y normativa aplicable, que son dos cosas muy diferentes.

viernes, 8 de junio de 2012

Javier Krahe absuelto por cocinar un cristo

Se ha conocido la sentencia (pdf parcialmente anonimizado) en el caso seguido contra Javier Krahe por la emisión en un programa de televisión de un fragmento de un documental (más que recomendable) en el que se recogen varias actuaciones artísticas del conocido cantante y autor.

Lo primero importante es que el Juez ha querido resolver la cuestión de una vez para evitar futuras denuncias absurdas de este tipoy ha entrado en el fondo del asunto a pesar de que la acusación no se hizo de manera correcta desde un punto de vista técnico-jurídico.

Uno de los denunciantes ni tan siquiera ha participado en el procedimiento debidamente representado por procurador y ninguno de ambos estuvo representado en el acto de la vista para sostener la acusación, lo que directamente podría haber supuesto el archivo de la causa.
"Finalmente se constata que al acto del Juicio Oral no comparecieron ni quienes ejercen Ia acusacion, ni sus representantes en el procedimiento. No es necesario argumentar que el Sr. Letrado comparecido para defender los intereses de los acusadores carece de facultades de representacion, que nuestro sistema procesal reconoce unicamente a! Procurador de los Tribunales (art. 543 de Ia Ley Organica del Poder Judicial), con las excepciones que establece Ia ley que no afectan al caso que nos ocupa. De esta forma, podemos concluir que en el plenario no estuvieron presentes los acusadores a sostener Ia accion ejercitada, ni por si mismos, ni a traves de sus representantes en el procedimiento."
Es cierto que no denunció directamente el denominado "Centro Jurídico Tomas Moro" (a pesar de que en su página web solicitan donaciones para sostener el procedimiento) sino dos particulares; pero si una institución que quiere denominarse Centro Jurídico está detrás de un procedimiento en el que uno de los denunciantes denuncia con un poder a favor de otros procuradores diferentes al firmante y el otro ni tan siquiera hace lo mínimo para acusar pues no habla muy bien de ese carácter jurídico.

Como digo, el juez entra, y hace bien, en el fondo para resolver la cuestión aunque técnicamente no había nadie que lo pidiese de manera correcta, al solicitar el Fiscal la libre absolución de los denunciados.

El citado video, que se puede encontrar facilmente, explica en tono de programa de cocina de la época (finales de los 70 y principios de los 80) una receta para cocinar un Cristo, jugando con la idea de la transustanciación y la resurección del dogma católico.

Es importante señalar, como hace la Sentencia del Juzgado de lo Penal nº 8 de Madrid que el objeto del juicio no es la grabación y difusión del corto realizada hace más de 30 años, sino la emisión durante el programa "Lo+ Plus" en el año 2004, porque de lo contrario estaríamos ante una cuestión prescrita.

Se imputaba al Sr. Krahe y a la responsable del programa la comisión de un delito contra los sentimientos religiosos del artículo 525 del Código Penal.
1. Incurrirán en la pena de multa de ocho a doce meses los que, para ofender los sentimientos de los miembros de una confesión religiosa, hagan públicamente, de palabra, por escrito o mediante cualquier tipo de documento, escarnio de sus dogmas, creencias, ritos o ceremonias, o vejen, también públicamente, a quienes los profesan o practican.
Exige por lo tanto el tipo penal que haya un ánimo de ofensa en la actuación y si no se puede acreditar ese ánimo no puede haber condena.

Lo primero que se acredita es que el Sr. Krahe desconocía lo que se iba a emitir en su entrevista en 2004, que él no escogió los materiales ni las preguntas y por lo tanto ninguna decisión tuvo en la emisión, por lo que dificilmente puede ser responsable del delito. Y lo mismo se dice respecto del documental que incluía el corto.

El juez explica que el tipo penal del artículo 525 protege la libertad individual en el ejercicio de sus derechos fundamentales, sin embargo "discrimina" a los hermanos de la Iglesia del Spaguetti:
"No se trata aqui de salvaguardar cualquier sentimiento ( el de la "religion del spaghetti") como alega la defensa. Se trata de reconocer que existe un sentimiento religioso colectivo de quienes profesan, en este caso, la religion Catolica, sentimiento que es digno de proteccion tambien para el Estado laico."
El juez analiza, acertadamente a mi juicio, la relación entre creación y poder, sátira y provocación poniendo perfectamente el contexto de la elaboración del material:
"La creacion artistica, y el Sr. Krahe es un creador reconocido, tiene en ocasiones una dosis de provocacion. La satira y el recurso a lo irreverente han sido en no pocas ocasiones un recurso artistico para hacer critica social, mostrando la oposicion del creador a determinados modelos. Esta satira se ha dirigido en especial a las distintas manifestaciones del poder. La religion, especialmente por cuanto se refiere a Ia mayoritaria en Espana, la Iglesia como institucion, han estado asociadas en la historia a! poder y han sido por tanto tambien objeto de critica legitima. No son infrecuentes en distintos ambitos de la expresion, referencias criticas a simbolos o creencias religiosas. Si esto es asi en la actualidad, lo fue especialmente en la epoca en la que el cortometraje en cuestion se elaboro."
Pero el tipo penal exige, como se ha dicho, que se actúe para ofender y que además se haga escarnio, con tenacidad en el ánimo ofensivo y aunque los "denunciantes" pudieran haberse sentido ofendidos no es suficiente para que ello tenga relevancia penal.

Señala también que en supuestos enjuiciados similares, o incluso siendo más graves o evidentes las ofensas, el propio Tribunal Supremo, y varias Audiencias Provinciales, han absuelto a los acusados por falta de ese ánimo de lesionar los sentimientos religiosos. Y así dice:
"Por el contrario, se considera que su conducta constituyo el legitimo ejercicio y difusion de una expresion artistica que, con un componente burlesco, hizo una critica del fenomeno religioso en nuestra sociedad. Se trata de una accion penalmente atipica, por lo que los acusados han de ser absueltos del delito"
Finalmente el juez se pone prudente con el tema de las costas, y aunque leyendo la sentencia yo deduzco que ganas no le han faltado, y dado que la apertura del juicio oral vino determinada por una resolución de la Audiencia Provincial de Madrid, finalmente libra a los denunciantes del pago de las mismas.

miércoles, 6 de junio de 2012

Fotografías, menores y derechos de exhibición del fotógrafo

En ocasiones, al tratar el tema de la fotografía me han preguntado si hay algún problema en exponer las fotos que hace el fotógrafo profesional en los escaparates de su tienda de fotografía. Y en particular qué pasa con las imágenes de menores, cuya utilización está mucho más limitada.

La Audiencia Nacional, su sala de lo Contencioso Administrativo, ha dictado una sentencia (pdf) que confirma una resolución de la Agencia Española de Protección de Datos (pdf) por la que se condena a un fotógrafo por no retirar la imagen de un menor de su escaparate tras el requerimiento de la madre.

El asunto era que la madre se dirigió con su hijo, menor de edad, a realizar unas fotos pero tras ejecutarse el trabajo manifestó que no quería las fotos y tampoco las pagó, así que estas se quedaron en la tienda. Después el fotógrafo utilizó la imagen tomada para colocarla en el escaparate de su negocio. La madre denunció al fotógrafo ante la Agencia Española de Protección de Datos por estos hechos.

El fotógrafo alegó que no necesitaba el consentimiento de las personas para exponer el trabajo que realiza ya que entraría dentro de sus "derechos de autor como fotógrafo profesional" (Quién asesoraría a este buen hombre...):
"cuando una persona va a fotografiarse a una galería fotográfica y le hacen fotos con su máquina profesional, les pones luces, su decoración, su arte, su técnica y sus composiciones en ese momento esa imagen pasa a ser propiedad del autor que la ha creado y la ha trabajado, con lo que yo tengo el derecho irreputable de imagen, y como el fotógrafo profesional firma la foto con su nombre, yo tengo el derecho de autor y por lo tanto esa foto puedo exhibirla por su propietario en este caso el fotógrafo en: exposiciones, certámenes de imágenes, en Museos, Galerías de arte ...".
Hay que recordar que para poder tomar una fotografía se debe tener en cuenta qué derechos tenemos al hacerlo y la posibilidad de que exista algún limite, pero cuando se trata de personas entran en juego los derechos a la propia imagen y la protección de datos regulados ambos en sendas leyes orgánicas (la 15/1999 y la 1/1982)

Puede que hagamos una fotografía de una persona, pero nos enfrentaremos al problema de delimitar el ámbito para el que la persona nos permite usarlo, especialmente si vamos a una tienda, por lo que es recomendable tener modelos de hojas de encargo que incluyan esta posibilidad.

Podemos hacer la foto porque la persona nos contrata para ello pero debemos contar con su permiso para divulgarla ya sea en la web del fotógrafo, ya sea en el mismo escaparate.

La Agencia recuerda que la recogida de la imagen constituye un tratamiento, con independencia de que exista o no fichero, por lo que está sometida a la LOPD.

El resultado es que la Agencia le sanciona con 1.500 euros ya que no puede acreditar tener la autorización de la madre para la exposición de la imagen, sí para tomarla en la realización de la fotografía, que forma parte del servicio contratado. Es decir, estamos ante dos tratamientos de la imagen del menor diferenciados, por un lado al hacer la foto y otro posterior al exponerla al público.

En su recurso ante la Audiencia Nacional el fotógrafo alega, entre otras cosas, que no puede decirse que se esté ante un fichero y que el ámbito de aplicación no es la LOPD.

Respecto de lo primero la AN lo deshecha con la propia naturaleza de las cámaras, ya que las imágenes son tomadas en un sistema que permite un orden y realizar búsquedas y además el propio fotógrafo habla de la relación contractual con el cliente, por lo que es evidente que sí tiene un sistema que permita identificar al menor.
"El recurrente afirma que la fotografía se realizó sobre la base de un contrato de obra con el consentimiento de las partes y únicamente se conserva la misma por el incumplimiento de la obligación principal de pago por parte de la denunciante, con la finalidad de poder reclamar el importe del trabajo realizado en el procedimiento ordinario correspondiente. Alegación esta que reafirma la existencia de un fichero estructurado, cualquiera que sea su organización, que permite identificar la persona cuya imagen figura en la fotografía y vincularla con una relación contractual determinada y, por ende, con los datos de identificación de la persona con la que contrató y obligada al pago."
La AN entiende que sí es objeto de la LOPD el tratamiento efectuado y compentencia de la AGPD porque las conductas entrarían en los supuestos definidos en la norma.

En este punto, a mi juicio, la AN no incide sobre la situación en que quedaría el fotógrafo respecto de la LO 1/1982 ya que posiblemente le daría ideas a la madre para demandar al fotógrafo por infracción de los derechos de imagen de su hijo y sacar un dinero para ella, al margen de la sanción propiamente dicha.

Y ratifica la AN que no había consentimiento para la exposición de la fotografía en el escaparate de la tienda, que sí existía para tomar la imagen, pero no para cualquier uso posterior de la misma. Al no pagarle el trabajo realizado sí estaría legitimado el fotógrafo a conservar las imágenes para exigir el pago de las mismas, pero en ningún caso para exponerlas:
En el presente caso la denunciante prestó el consentimiento para que se captara la imagen de su hijo y poder adquirir la fotografía, pero dicho consentimiento no incluía, o al menos no consta, la exposición publica de la imagen de su hijo en el escaparate de dicho estudio ni cualquier otra forma de difusión pública o privada de la misma. Es más, la denunciante le manifestó su expreso deseo de que la fotografía de su hijo fuese retirada del escaparate y el recurrente se negó a ello amparándose en su derecho de autor sobre la imagen y en la falta de cobro del importe del trabajo realizado
Por lo que ratifica la sanción de 1.500 euros por infracción de la LOPD.

Fundamental, reitero, para los fotógrafos disponer de un medio de acreditar el consentimiento para el uso que prevean hacer de las fotografías y especialmente si las van a exponer al público. Igualmente recordar que los derechos de propiedad intelectual son una cosa, pero para poder fotografiar algo debemos tener en cuenta igualmente que derechos hay sobre el objetivo de nuestra cámara y si necesitamos permiso o existen límites reales para poder disparar.

[Bonus Track] Luego ya viene como cuentan esta misma noticia los medios de comunicación y la falta que hacen periodistas especializados en tribunales o al menos que entiendan las resolucione que leen.

El Diario El Mundo publicaba un artículo en el que decía que "Condenan a un estudio fotográfico por utilizar el retrato de un niño como reclamo" y se puede leer que:
"La Sala de lo Contencioso-Administrativo de la Audiencia Nacional ha confirmado la indemnización de 1.500 euros que un fotógrafo deberá abonar a la madre de un niño [...]"
Y hablamos del mismo asunto.

lunes, 4 de junio de 2012

IPV6, la intimidad y la obtención de datos de ciudadanos


Una de las ventajas que se ofrecen para la adopción de este protocolo es el hecho de que cada usuario, en cada dispositivo podrá tener su dirección única e invariable, ya que tendremos direcciones para todos.

Hasta ahora, por ser escasas, las direcciones IP se han asignado a los usuarios particulares de manera dinámica, esto es, dejando una cuando un usuario se desconecta y asignándosela a otro usuario. También se ofrecen direcciones IP estáticas, pero su uso es menos frecuente para usuarios particulares.

Hay que contemplar, desde el punto de vista legal, algunos cambios que se antojan necesarios en el caso de que se quiera mantener el estándar de protección de la intimidad del que ahora disfrutamos.

¿Llega IPV6 demasiado pronto para nuestra legislación? A mi juicio creo que sí.

Veamos.

En principio conocer quien está detrás de un acto en internet (un comentario, una conexión a un servidor, etc.) requiere dos cosas, conocer la IP origen de la comunicación y saber a quien se asignó dicha dirección.

Recopilar direcciones IP asignadas a una determinada acción ha sido declarado legal por nuestros tribunales; si alguien entra en nuestro servidor podemos conocer desde que IP llegó, al igual que podemos observar y recopilar las direcciones IP que están compartiendo un archivo en una red P2P.

Es el siguiente paso, averiguar a que usuario corresponde esa IP, el verdadero problema. (Y por supuesto que la IP no identifica a la persona sino al usuario que contrató la linea)

Actualmente si alguien quiere saber a qué usuario se asignó una dirección IP tiene que acudir al ISP (si es dinámica habrá más posibilidades de conocer quien la tiene asignada) pero éste sólo está obligado a dar esa información previo mandato judicial en supuestos tasados y por un tiempo limitado.

Esto se debe a que esa disponibilidad se encuentra en colisión con dos aspectos importantes, por un lado el coste del almacenamiento y, más importante, por otro la intromisión que supone el registrar absolutamente todos los movimientos que realizamos en internet.

La solución que tenemos en Europa se recoge en la Directiva 2006/24/CE de Conservación de Datos y en las respectivas legislaciones nacionales, algunas de ellas que han sido declaradas inconstitucionales y otras tienen grandes problemas para salir adelante.

En España se reguló en la Ley 25/2007 de Conservación de Datos (LCD)

En lo que aquí interesa, la LCD indica que se retienen todos los datos de la comunicación por internet (expresamente se excluye el contenido de la comunicación), la IP asignada, la hora de asignación, el destino de la comunicación, etc.

Como digo, hasta ahora estos datos sólo los tiene el ISP y, en principio, sólo este y bajo mandamiento judicial en determinados casos puede indicar a quién pertenece una IP.

Imaginemos ahora que ya está implantado IPV6 y todas nuestras comunicaciones siguen ese protocolo.

El ISP efectivamente nos dará una dirección a nuestro teléfono, otra a nuestro ADSL de casa, etc. Hasta que nos comuniquemos con alguien, esos datos sólo los podrá relacionar el proveedor.

Ahora bien, dado que es posible recopilar direcciones IP será posible buscar datos asociados a la misma.

Un caso hipotético pero que podría darse: Compramos una consola de juegos que para acceder a todas sus funciones exige darse de alta en un servicio on-line. Además la consola se conecta periódicamente al los servidores. Para que el registro sea correcto tenemos que dar nuestros datos reales e incluso una tarjeta de crédito.

Las posibilidades de identificación para la empresa son cercanas al 100%.

Ahora esa empresa rastrea las redes P2P y encuentra que esa misma IP está compartiendo un archivo sin autorización de sus titulares.

Ya no necesita acudir al ISP para, al menos inicialmente, tener indicios razonables de quien puede ser un infractor (el punto donde han fallado todas las demandas). Ahora la propia empresa tiene datos fiables que pueden relacionar a la persona con el hecho.

Podría interponer una demanda o bien una solicitud de diligencias preliminares contra el usuario con base en la información que ha recopilado.

Otro ejemplo: Todos tenemos el derecho, y algunos la obligación, de relacionarnos con la administración por medios electrónicos, incluida la Policía o los juzgados.

Al efectuar esa comunicación en sus sedes electrónicas o por email, podría quedar registrada la dirección de origen de la comunicación asignada junto con la identidad del comunicante.

Bastaría luego con cruzar esa dirección con aquella que se relacione con un delito, por ejemplo unas injurias contra el alcalde del municipio, para tener unos sólidos indicios de quien es el responsable o al menos para poder investigar alrededor de esa persona. 

Algo que ahora mismo no sería posible si el delito no es grave.



Muchos otros ejemplos podrían plantearse, pero es evidente que este cambio resulta importante para la privacidad y la actividad que puede desplegarse en internet de manera anónima.

Si bien en este casos se podría argumentar que la Ley Orgánica 15/1999, de Protección de Datos (LOPD) en virtud del principio de calidad de los datos (artículo 4) impide estos cruces, pero siempre podrían incluirse cláusulas que lo salven en los contratos de servicio o alegarse un interés legítimo para el tratamiento en relación al derecho a la tutela judicial efectiva (artículo 24 C.E.)

Como dije, una dirección IP no identifica a una persona, pero IPV6 permite disponer de más indicios para procurar una identificación que ahora mismo no es tan sencilla y está sometida al criterio de proporcionalidad y la vigilancia judicial.

El problema es que la LCD, y la Directiva, se preocupan de la cesión de datos y los límites a la misma, seguramente porque los redactores no preveían las circunstancias actuales, en lugar de limitar el uso que se hace de los datos obtenidos y prohibir la generación y almacenamiento de bases de datos de direcciones IP.

Hay que tener en cuenta que en principio la IP asignada puede perdurar indefinidamente, con lo cual podría relacionarse una acción con una persona muchos años después de haber recopilado la misma.

A pesar de las quejas del FBI parece que estamos en una situación peor para la intimidad ( y también la impunidad en internet).