Contacto

Para consultas jurídicas "david @ 451.legal"

martes, 28 de febrero de 2012

La policía y la cesión de datos a las empresas de seguridad

El Comisario Jefe de la Unidad Central de Seguridad Privada ha manifestado que permitirá a las empresas de seguridad privada conocer datos personales de las bases de datos policiales.

Según la nota de prensa difundida por la Policia en su página web se trata de que las empresas de seguridad remitan información a la Policía y esta a su vez de información a los cuerpos y fuerzas de seguridad del estado. El plan se denomina Plan Azul y trata de profundizar en la colaboración entre empresas privadas y la policía.

La nota de prensa, escrita en un tono más propio de una consultora (sí, en el peor sentido de la palabra, esto es muchas palabras y poco contenido), señala que:
Para realizar este ambicioso plan, la Policía Nacional se compromete a facilitar la información pertinente en base a la reciprocidad y bidireccionalidad; integrar y distribuir la información recibida, que será integrada en el sistema de información de policial para su explotación por parte de otras unidades; permitir la participación en la planificación activa de servicios, y se compromete también a reconocer profesionalmente el aporte informativo o material realizado por el sector privado.
Paralelamente las empresas de Seguridad Privada utilizarán los canales y procedimientos establecidos; pondrán a disposición de la Policía Nacional toda la información que posean sobre hechos delictivos o susceptibles de afectar a la seguridad ciudadana; se comprometen a hacer un buen uso de la información recibida y guardar la reserva necesaria de la información o apoyo que reciban.
Lo que viene a suponer que la Policía va a entregar información a las empresas privadas, pero bajo el criterio de que se dará en función de lo que aporten las empresas. 

Las empresas deben dar información sobre delitos que conozcan, una obligación que ya está en la Ley 23/1992 de Seguridad Privada, artículo 19:
3. Tampoco podrán realizar investigaciones sobre delitos perseguibles de oficio, debiendo denunciar inmediatamente ante la autoridad competente cualquier hecho de esta naturaleza que llegará a su conocimiento y poniendo a su disposición toda la información y los instrumentos que pudieran haber obtenido.
Además las empresas de Seguridad Privada (LSP), por esa misma ley tienen la obligación de comunicar todas sus actividades, artículo 2.4:
4. Asimismo, las empresas de seguridad y los detectives privados presentarán cada año un informe sobre sus actividades al Ministerio del Interior, que dará cuenta a las Cortes Generales del funcionamiento del sector. Dicho informe habrá de contener relación de los contratos de prestación de los servicios de seguridad celebrados con terceros, con indicación de la persona con quien se contrató y de la naturaleza del servicio contratado, incluyéndose igualmente los demás aspectos relacionados con la seguridad pública, en el tiempo y en la forma que reglamentariamente se determinen. 
Y por supuesto la obligación genérica de colaborar, artículo 1.4:
4. Las empresas y el personal de seguridad privada tendrán obligación especial de auxiliar a las Fuerzas y Cuerpos de Seguridad en el ejercicio de sus funciones, de prestarles su colaboración y de seguir sus instrucciones en relación con las personas, los bienes, establecimientos o vehículos de cuya protección, vigilancia o custodia estuvieren encargados.
En resumen, que con el anuncio de ayer la Policía se compromete a dar información a cambio de nada que no tuviese ya (llamativa la mención a los tiempos de crisis), pero eso sí, todo justificado porque así estaremos más seguros, por supuesto...

Ni que decir tiene que dar datos de las bases de datos policiales a una empresa privada para fines tales como:
"El Corte Inglés, por ejemplo, si retiene a alguna persona por hurto o robo, podrá pedir información sobre sus antecedentes policiales"
suena mucho a una cesión de datos de caracter personal, pero preguntado por ello, el Comisario Jefe ha indicado que:
"[...] las empresas no tendrán acceso a datos de carácter personal de los ciudadanos ni a investigaciones policiales abiertas o judicializadas."
Y que además, esto no supone una comunicación de datos personales puesto que:
"[...] el comisario Gándara considera que se trata solo de “confirmar” una información."
Para los que, como el comisario, no lo sepan, una comunicación de datos personales se define en la Ley Orgánica 15/1999 de Protección de Datos, como (artículo 3.i) 
"toda revelación de datos realizada a una persona distinta del interesado"
El hecho de responder, en sentido negativo o afirmativo, a la existencia de antecedentes penales por parte de la policía supone una comunicación de datos, ya que esa respuesta indica informaciones sobre la persona.

Pero además, que digo yo que a El Corte Inglés que más le da si me han pillado robando anteriormente, puesto que sus vigilantes lo único que pueden hacer es, artículo 11.1.d LSP
Poner inmediatamente a disposición de los miembros de las Fuerzas y Cuerpos de Seguridad a los delincuentes en relación con el objeto de su protección, así como los instrumentos, efectos y pruebas de los delitos, no pudiendo proceder al interrogatorio de aquéllos.
Por lo que si se va a poner a quien cometía un delito (o falta) a disposición de la Policía no hay ninguna razón legal para indicar a la empresa ni la mera existencia de antecedentes.

Como se ve, y esto es lo preocupante, lo que se pretende no es algo que no exista ya, sino que por el tono de las declaraciones lo que parece es que se va a vender el acceso a la base de datos, si no no se explica la mención a los tiempos de crisis, de la Policía a las empresas sujetas a la Ley de Seguridad Privada.

Evidentemente todo este Plan Azul necesita de la modificación de unas cuantas normas para que no termine siendo negro, pero si es como la información que se ha hecho pública presenta muchos problemas de legalidad permitir a empresas privadas acceder a los datos de los Cuerpos y Fuerzas de Seguridad del Estado.

Esperemos que la Agencia Española de Protección de Datos ponga orden en este asunto, e incluso que jueces y fiscales estén atentos a estas manifestaciones, claramente preocupantes.

martes, 21 de febrero de 2012

Google apps y los datos de los abogados

Se está planteando por parte de algunos colegios de abogados la posibilidad de contratar los sistemas de tratamiento de datos con Google Apps.



En su día Javier Maestre, en este artículo, también señaló los problemas de este tipo de soluciones acertadamente, lo que motivo una respuesta de la mismísima Google, respuesta que si bien desmentía lo afirmado por Javier Maestre no analizaba la normativa y las condiciones de sus servicios para demostrar su compatibilidad.

La cuestión es si las aplicaciones que Google pone a disposición de los profesionales cumplen con el contenido de la Ley Orgánica 15/1999 de Protección de Datos (LOPD) y su normativa de desarrollo.

Desconozco si para los colegios de abogados, como el de Barcelona que han migrado su sistema de correo a Google Apps, se ha ofrecido un contrato personalizado y diferente a los términos de servicio que están publicados y accesibles para cualquiera. Es posible porque supongo que el BBVA, que ha anunciado recientemente un cambio similar, habrá exigido algo parecido.

Pero partamos de la base de que no hay un acuerdo específico, sino que simplemente estamos ante el contrato típico que Google publica en internet.

Es evidente que para un abogado Google en este caso, desde el punto de vista de la Protección de Datos, será un mero encargado del tratamiento siendo el abogado o el colegio el responsable del fichero, pues son estos quienes deciden sobre la finalidad, contenido y uso del tratamiento.

De hecho Google se define como procesador de datos en sus ToS:
El Cliente acepta que las responsabilidades de Google no incluyen la administración o gestión interna de los Servicios para el Cliente y que Google actúa únicamente como procesador de datos.
El encargado del tratamiento se define en la LOPD, artículo 3, como:
Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
Las obligaciones del encargado del tratamiento se establecen tanto en la LOPD como en el Real Decreto 1720/2007 (RPD).

La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
Vemos que ya en la LOPD hay una obligación de la existencia de una relación contractual y con un contenido mínimo.

Este contrato serían las condiciones de servicio de Google Apps, disponibles en este enlace.

En las mismas unicamente se dispone, en relación a los datos personales lo siguiente:
1.1 Instalaciones y transferencia de datos. Las instalaciones que se empleen para almacenar y procesar Datos de cliente deberán cumplir con normas de seguridad razonables y en ningún caso podrán ser inferiores a las normas de seguridad de las instalaciones en las que Google almacena y procesa información similar propia. Google ha puesto en marcha procedimientos y sistemas estándares del sector para garantizar la seguridad y la confidencialidad de los Datos de cliente, para protegerlos de amenazas o de peligros previstos contra su seguridad o integridad, y para protegerlos del acceso o del uso no autorizado. Como parte del proceso de proporcionar los Servicios, Google puede transferir, almacenar y procesar los Datos de cliente en los EE.UU. y en otros países donde Google o sus representantes tengan instalaciones. Al hacer uso de los Servicios, el Cliente da su consentimiento para la transferencia, el procesamiento y el almacenamiento de Datos de cliente.
La única referencia que contiene el contrato es sobre las medidas de seguridad, y aunque sabemos que Google está adscrito a la política de Puerto Seguro (Safe Harbour) lo cierto es que el contrato permite enviar datos  a otros países.

Además la única referencia que se hace es a "procedimientos estandar del sector" pero sin más detalles.

Pero como vemos no recoge el contenido mínimo exigido por la LOPD, esto es la obligación de tratar los datos unicamente conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

La ausencia de los elementos de este contenido mínimo, determina, aunque sólo lo sea a efectos formales el incumplimiento de una Ley Orgánica.

Y ello sin entrar a valorar lo que Google hace con los datos, que realmente no podría hacer ningún tipo de labor de indexación o análisis, lo que impediría, por ejemplo, que se mostrase publicidad en Gmail.

Desconozco si los letrados del colegio de Barcelona ven publicidad cuando acceden a su servicio de correo, pero como digo, con este contrato y esta legislación ello no sería posible.

Como se ve, y salvo que el contrato aplicable sea otro, veo muy complicado que la respuesta a la pregunta del Sr. Decano sea afirmativa. 

[Actualización] Hay otra versión del contrato para el caso de firmar con Google Irlanda que tiene más previsiones sobre protección de Datos. Gracias a Alonso Hurtado por el aviso.

Sin embargo la existencia de este contrato no cambia mucho la respuesta. Hay un apartado específico de protección de datos que dice:
  • 1.4. Políticas de privacidad. El Cliente acepta que Google procese los datos personales de sus Usuarios finales como parte de los Servicios dentro del ámbito de las capacidades de dichos Servicios, las cuales se estipulan en las Políticas de privacidad de Google. El Cliente, por lo tanto, solicita a Google que le proporcione los Servicios y procese los datos personales de los Usuarios finales en virtud de las Políticas de privacidad de Google y Google, por su parte, se obliga a llevar a cabo estas acciones. Las Políticas de privacidad de Google se incorporan al presente Acuerdo por referencia. El Cliente acepta proteger la privacidad de los Usuarios finales mediante el cumplimiento de una política, que será debidamente comunicada y que en ningún caso protegerá menos que las propias Políticas de privacidad de Google.
  • 1.5. Protección de datos. En el Apartado 1.4. y 1.5. del presente Acuerdo, los términos "datos personales", "procesar", "control de los datos" y "procesar los datos" reciben el significado que se estipula en la Directiva de la Unión Europea. A propósito de este Acuerdo y con respecto a los datos personales de los Usuarios finales, por el presente, las partes acuerdan que el Cliente será el encargado de realizar el control de los datos y Google el encargado de procesarlos. Google se compromete a aplicar las medidas técnicas y organizativas que correspondan para proteger estos datos personales ante la destrucción o pérdida accidental, modificación, revelación o acceso no autorizado, ya sea de forma accidental o ilegal.
Pero siguen faltando las referencias de obligado cumplimiento por la LOPD.

viernes, 17 de febrero de 2012

¿Cuándo empezarán los primeros cierres de la ley sinde?

El Real Decreto 1889/2011 que desarrolla, a partir de su artículo 13, el Reglamento de la Ley Sinde por el que se regula el funcionamiento de la Comisión de Propiedad Intelectual se publicó en el Boletín Oficial del Estado el pasado 31 de diciembre de 2011, determinándose su entrada en vigor dos meses despues de su publicación, tal y como consta en la Disposición Final Cuarta.

Así pues nos encontramos con que el próximo día 1 de marzo de 2012 esta norma estará a disposición de los titulares de derechos de propiedad intelectual para instar un procedimiento de salvaguarda de sus derechos en páginas de internet.

Aunque la anterior afirmación admite el matiz de que, de momento, no se han producido los nombramientos de las personas que conformarán la Sección Segunda, amén de otras disposiciones administrativas pertinentes.


Como se sabe, una de las razones que se esgrimió para justificar esta regulación era que se necesitaba un procedimiento rápido para evitar los perjuicios que se generaban a la industria, en particular a la del cine.

Pues bien, veamos qué tiempo le llevaría a un prestador de un servicio de la sociedad de la información que vulnere la propiedad intelectual (PSSI) enfrentarse a la orden de cierre o de retirada del contenido dictada por la Sección Segunda de la Comisión de Propiedad Intelectual.

Todo esto que comentaré será respetando la legalidad de los procedimientos administrativos de manera escrupulosa y sin otras dilaciones que podrían originarse.

Igualmente voy a considerar que todos los órganos que deben intervenir lo hacen en el plazo legal previsto por las leyes y reglamentos, a pesar de que la realidad nos demuestra, especialmente en el ámbito judicial que los plazos, debido al exceso de trabajo, no siempre se pueden cumplir.También considero los plazos máximos de que dispone el interesado para recibir notificaciones y presentar escritos, pero estos podrían optar por hacerlo antes de ese plazo, lo que reduciría los tiempos, pero queda a elección del PSSI.

Con estos condicionantes, analicemos cual sería el recorrido por el que pasaría un PSSI hasta, como digo, enfrentarse a una orden de cierre o retirada de contenidos.

-1 de marzo de 2012-
 
Se abren las puertas del Ministerio y la Secretaría de la Sección Segunda recibe la primera de las solicitudes de iniciación del procedimiento, de acuerdo al modelo establecido. O se recibe a través de la sede electrónica.

Pongamos que la Sección Segunda sólo recibe una solicitud ese día y procede a tramitarla.

Pongamos también que el PSSI, además, está plenamente identificado, que además reside en España, y que por lo tanto no hay que solicitar al juzgado ningún tipo de medida de averiguación de su identidad, tal y como establece el artículo 18 del RD 1889/2011.

Ese mismo día se remite por medios electrónicos, pues es obligatorio utilizar esta vía, el inicio del procedimiento.

Dado que el envío se hace por medios electrónicos se está a la regulación de los mismos en el procedimiento administrativo. Esto se contiene en la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, en concreto en el artículo 27 y siguientes.

Pues bien el artículo 28 en su apartado 2 dispone que:
El sistema de notificación permitirá acreditar la fecha y hora en que se produzca la puesta a disposición del interesado del acto objeto de notificación, así como la de acceso a su contenido, momento a partir del cual la notificación se entenderá practicada a todos los efectos legales.
Es decir se fijan dos momentos para poder considerar como efectuada la notificación de la comunicación del inicio de expediente. Por un lado la puesta a disposición, que sería la entrega en el servidor del PSSI y por otro el acceso al contenido, momento a partir del cual se entiende que se ha entregado la notificación.

El plazo que tiene el PSSI para acceder al contenido desde que se le pone la notificación a disposición es de 10 días naturales, tal y como figura en el apartado 3 del mismo artículo 28:
3. Cuando, existiendo constancia de la puesta a disposición transcurrieran diez días naturales sin que se acceda a su contenido, se entenderá que la notificación ha sido rechazada con los efectos previstos en el artículo 59.4 de la Ley 30/1992 de Régimen Jurídico y del Procedimiento Administrativo Común y normas concordantes, salvo que de oficio o a instancia del destinatario se compruebe la imposibilidad técnica o material del acceso.
-12 de marzo de 2012-

Este día vence el plazo para acceder al contenido de la notificación. No es el día 11 de marzo porque sería inhábil al ser domingo y por lo tanto se pasaría al día siguiente, según el artículo 48 de la Ley 30/1992.

-13 de marzo de 2012-

Comienza a contar el plazo de 48 horas para la retirada voluntaria de los contenidos indicados por el RD 1889/2011 o para la presentación de alegaciones y proposición de pruebas a practicar en el procedimiento.

El plazo comienza, según el artículo 48.4 de la Ley 30/1992 al día siguiente de producida la notificación.

-15 de marzo de 2012-

Fina el plazo de 48 horas anteriormente señalado.

Entiendo que los PSSI no aceptarán la retirada voluntaria en este momento, pues de acuerdo al contenido del artículo 20.2 del RD 1889/2011 supone el reconocimiento implícito de una vulneración de la propiedad intelectual, lo que podría dar lugar a la exigencia de responsabilidades civiles frente al titular de derechos.

Por lo tanto se presentan alegaciones y se proponen pruebas, encaminadas, por ejemplo a demostrar que el PSSI no vulnera con su conducta los derechos reconocidos en la Ley de Propiedad Intelectual.

-17 de marzo de 2012-

Antes de este día se debe haber practicado la prueba propuesta por lo que se notificará el resultado de la misma así como la propuesta de resolución a los interesados para que en el plazo de 5 días presenten sus conclusiones, artículo 21 RD 1889/2011

Este mismo día se envía por medios electrónicos la notificación al PSSI.

-27 de marzo de 2012-

Fina el plazo de 10 días naturales para que el PSSI acceda al contenido de la notificación, la Sección Segunda tenga constancia de ese acceso.

-28 de marzo de 2012-

Empieza a contar el plazo de 5 días para presentación de conclusiones, que al no especificarse en el RD 1889/2011 son hábiles (todos menos domingos y festivos).

-2 de abril de 2012-

Se presentan las conclusiones.

-5 de abril de 2012-

Plazo máximo para que la Sección Segunda declare si a la vista de las pruebas practicadas y de las alegaciones y conclusiones de la partes hay o no una vulneración de derechos de propiedad intelectual por parte del PSSI.

Ese mismo día, por medios electrónicos se remite la resolución al PSSI.

-15 de abril de 2012-

Finaliza el plazo para acceder al contenido de la notificación remitida al PSSI.

-16 de abril de 2012-

Comienza a contar el plazo para dar cumplimiento, en el plazo de 24 horas a la orden de retirada en el caso de que la Sección Segunda declare la existencia de vulneración.

El incumplimiento en este plazo de 24 horas por parte del PSSI, que no es considerado como prestador de servicios de intermediación, a mi juicio no puede considerarse como una infracción de las contenidas en el artículo 38.2 de la Ley 34/2022 de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, por lo que tampoco habrá mayor interés en cumplir en este punto.

-17 de abril de 2012-

Dado que el PSSI no cumple la orden de la Sección Segunda de retirada del contenido o de interrupción en la prestación del servicio, da traslado al Juzgado Central de lo Contencioso para que dicte Auto autorizando o denegando la ejecución de las medidas de acuerdo al artículo 122.bis de la Ley 29/1998 de la Jurisdicción Contencioso Administrativa.

-19 de abril de 2012-

Fin del plazo improrrogable de dos días para que el Juzgado Central de lo Contencioso Administrativo convoque al representante legal de la Administración, al Ministerio Fiscal y a los titulares de derechos y libertades afectados a una audiencia en la que el Juez oirá a los personados.
 
Pongamos que no hay ningún problema y se convoca a las partes para el día 20 de abril.
 
-20 de abril de 2012-
 
Se celebra la vista y el Juez de manera contradictoria escucha las alegaciones de las partes. El Juez resolverá en el plazo de 2 días (a efectos procesales los sábados son inhábiles) mediante Auto.

-24 de abril de 2012-

El Juez del Juzgado Central de lo Contencioso dicta el Auto autorizando la ejecución de las medidas acordadas por la Sección Segunda y es notificado inmediatamente mediante el procurador al PSSI.
 
Igualmente se notifica a los prestadores de servicios de intermediación, momento a partir del cual tienen un plazo de 72 horas para bloquear el acceso al PSSI.
 
-27 de abril de 2012-

Hasta este día el servicio puede estar disponible o el contenido en linea.

-------------------

Así como se ve son necesarios casi dos meses para poder hacer efectiva la medida adoptada, por lo que será difícil ver durante el mes de marzo la retirada de algún contenido o la interrupción de algún servicio y no será hasta abril cuando ello, si nos atenemos a los plazos legales, empezaría a ser posible.


Queda preguntarse si para este viaje hacían falta estas alforjas, cuando los procedimientos de medidas cautelares se vienen produciendo de manera habitual en plazos inferiores, sin la necesidad de la creación de un ente administrativo ad hoc y con todas las garantías que ofrece nuestro sistema jurisdiccional.

De todas formas el tiempo dirá si estos plazos son así o bien estaremos ante algo similar a lo que comentaba el compañero Xavier Ribas en su artículo sobre "el procedimiento de la Ley Sinde y la cruda realidad."

viernes, 10 de febrero de 2012

Elementos para entender la condena a Garzón por las escuchas a abogados

Conocida la sentencia del Magistrado Sr. Garzón (pdf) por ordenar la grabacion a abogados en las conversaciones con sus clientes se hace necesario, visto el rechazo que la misma ha producido en muchas personas explicar algunas cuestiones de su contenido con el fin de tener herramientas sobre si es correcta o no.

Antes de ello me gustaría precisar dos cuestiones:

Por un lado, que el concepto de justicia, admite dos visiones o dos materializaciones. Por un lado la justicia material, que es un concepto implicitamente ligado a conceptos morales sobre el bien y el mal, con una dimensión personal y otra colectiva.

Y  por otro lado la justicia formal que tiene que ver con la obtención de un pronunciamiento con sujección a una serie de reglas formales cuya observancia es imperativa. Sin respeto a esas reglas no podemos alcanzar un resultado justo.

La justicia formal es requisito para alcanzar la justicia material en un estado de derecho, pero no todos los pronunciamientos alcanzados con arreglo a esas normas nos tienen que parecer justos, ahí entran nuestras concepciones morales y personales.

Evidentemente podemos discutir sobre si un resultado nos parece justo o injusto, como ciudadanos, pero la garantía del estado de derecho es precisamente que debemos tratar de llegar a la justicia material sin separarnos de la justicia formal.

Y la segunda cuestión tiene que ver con el derecho de defensa. Este es un elemento esencial del sistema del estado de derecho.

El derecho a que todo ciudadano pueda utilizar las herramientas que el sistema presenta para defenderse así como que la actuación de quienes acusan se adecuen a esas mismas reglas, especialmente si quien dispone de ellas es el Estado, actuando a través de sus instituciones (fiscales, jueces, magistrados, etc.)

Dentro de este derecho a la defensa debemos destacar como pilar esencial el derecho a que abogado y cliente mantengan sus conversaciones en estricta intimidad y por supuesto sin ningún tipo de intervención de sus comunicaciones.

Los abogados lo que deseamos saber de nuestro cliente es exactamente todo lo que éste hizo, con el fin de asegurarle los mejores medios de defensa posibles. Si la parte que acusa conoce las estrategias, medios, etc., es como el jugador que ve las cartas del resto de los jugadores.

Por lo tanto interceptar las comuniciones entre abogado y cliente supone un acto que quiebra todas los principios mínimos del estado de derecho y resulta, por ello, profundamente injusto.
Bien, sentado lo anterior, veamos lo que tenemos en el caso de Garzón.

El magistrado emite un Auto ordenando las escuchas de unos imputados, que se encuentran en prisión y por lo tanto se sabe que sus abogados van a ir a visitarlos, que tiene, entre otras cosas, el siguiente contenido:
Igualmente y dado que en el procedimiento empleado para la práctica de sus actividades pueden haber intervenido letrados y que los mismos aprovechando su condición pudiesen actuar como "enlace" de los tres mencionados con personas del exterior, deviene necesaria necesaria también la intervención que aquellos puedan mantener con los mismos, dado que el canal entre otros miembros de la organización y los tres miembros ahora en prisión podrían ser los letrados que estarían aprovechando su condición en claro interés de la propia organización y con subordinación a ella.

La intervención de las comunicaciones sólo es admitida en casos muy  concretos y limitados. De hecho, por ejemplo, estando en prisión se distinguen las comunicaciones generales de aquellas particulares con los letrados. Las primeras pueden ser intervenidas con autorización del Director del Centro y las segundas sólo pueden ser autorizadas por la autoridad judicial y en supuestos de terrorismo, como expresamente señala el artículo 51:
2. Las comunicaciones de los internos con el abogado defensor o con el abogado expresamente llamado en relación con asuntos penales y con los procuradores que lo representen, se celebrarán en departamentos apropiados y no podrán ser suspendidas o intervenidas salvo por orden de la autoridad judicial y en los supuestos de terrorismo.
En los hechos probados de la sentencia, y como el juez declaró en la vista, se refirió en su Auto a que la actuación se hiciese "previniendo el derecho de defensa" lo que motivó una consulta para que explicase el significado de esa expresión a lo que Garzón respondió aclarando que:
[...] deberían proceder a recoger las cintas, escuchar lo grabado, transcribir todo su contenido excluyendo las conversaciones privadas sin interés para la investigación y proceder a su entrega en el juzgado, ocupándose él de lo que procediera en orden al cumplimiento de dicha cláusula."
La indeterminación de los abogados a ser escuchados implicaba, como señala el Supremo, que se grabarían a todos los abogados que tuviesen relación con los imputados, lo que impedía valorar si había indicios de participar en la trama o no.

Hay que indicar que intervenir las conversaciones con los abogados se prohíbe en relación al derecho de defensa, lo que no quiere decir que no sea posible interceptar comunicaciones en las que intervengan abogados. Pero para que esta medida sea adecuada deben existir indicios, previos a la medida de inteceptación, de que el abogado participa en la actividad delictiva. 

De lo contrario podría espiarse a todo el mundo y cuando se descubre que comete un delito justificar, a posteriori, esa intervención.

Pero si se repasa el Auto de Garzón se ve que se refiere a "pueden" y "pudiesen", es decir, que no existe ningún indicio razonable para ello, además no se indica de que abogados estarían implicados, lo que, objetivamente, supone un exceso. _y así lo indica el Tribunal Supremo:
Por lo tanto, en el auto del acusado no se contenía ninguna mención concreta de la identidad de los letrados sospechosos, lo que habría permitido excluir a los demás, ni tampoco precisión alguna acerca de los indicios que existieran contra los que no hubieran sido hasta entonces imputados.
De hecho los acusados cambiaron de letrados, estos se personaron en la causa, y ningún cambio se hizo por parte de Garzón sobre las ordenes de escucha.

Incluso el Fiscal, ante la solicitud de prórroga (y en otro escrito posterior de 23 de marzo) de la medida de escucha indicó:
Por ello, el Fiscal no se opone a la prórroga de las intervenciones solicitadas por la UDEF si bien con expresa exclusión de las comunicaciones mantenidas con los letrados que representan a cada uno de los imputados y, en todo caso, con rigurosa salvaguarda del derecho de defensa.
Y nuevamente se acuerda, al prorrogar las escuchas, que dentro de las mismas se incluyesen las de los abogados.

Es decir, tenemos dos Autos autorizando escuchas, con inclusión de abogados indeterminados, y dos escritos de fiscalía solicitando la exclusión de esas escuchas.

Es muy dificil predicar con esas pruebas, escritos presentes en la causa, que el Magistrado no sabía que su actuación no era correcta.

Así lo ve el Tribunal Supremo:
"La inclusión de la cláusula previniendo el derecho de defensa, dejando a un lado su efectividad, revela que sabía que su resolución afectaría a este derecho. El propio tenor literal de los autos lo acredita, al referirse a todos los letrados personados y a otros que mantengan entrevistas con los internos, lo cual, gramaticalmente, al no establecerse excepción alguna, afecta a todos los personados, estén imputados o no, y por lo tanto, existan, o no existan, contra ellos indicios de actividad criminal, y a todos los letrados que se personen en el futuro, con independencia de su identidad, y nuevamente con independencia de que existan o no indicios de actividad criminal contra ellos.
Además, no pudo tener duda alguna sobre ello. Los funcionarios de policía le reclamaron aclaraciones acerca del significado de la frase previniendo el derecho de defensa, con el resultado ya expuesto en el relato fáctico. El Ministerio Fiscal le reclamó la exclusión de las comunicaciones mantenidas con los letrados defensores. Tuvo conocimiento de la personación de nuevos letrados, tras el dictado del primero de los autos. Y los informes de los agentes policiales sobre las conversaciones mantenidas en el curso de las comunicaciones, incluían algunas con los letrados de la defensa de las que no resultaba indicio alguno de actuación delictiva por parte de estos últimos."
Y más y más cuando era evidente que no estábamos ante delitos de terrorismo, que son lo que habilita una Ley Orgánica.

Incluso por la defensa de Garzón se alega que no se intervienen las conversaciones de los abogados, sino la de los internos, en un argumento que resulta grotesco, puesto que la comunicación exige emisor y receptor, y sabiendo que en la misma van a participar letrados es evidente que las suyas también serán objeto de intervención, además de referirse expresamente a estas en sus Autos.

Como dice el TS:
"No se trata, por lo tanto, de un acceso accidental al contenido de las comunicaciones mantenidas con el letrado de la defensa, producido en el marco de una intervención de carácter general, sino de una orden judicial, concreta y específica, directamente encaminada a intervenir esas precisas comunicaciones, que a falta de otros datos versarían sobre la forma en que sería ejercido el derecho de defensa. Así resulta no solo del tenor literal de la primera de las resoluciones, sino también de la actitud del acusado, que al verificar que se habían intervenido comunicaciones entre cada interno y
su letrado defensor, incluso con letrados designados con posterioridad al acuerdo y desconocidos en la causa hasta entonces, lejos de revocar su decisión o de matizarla de alguna forma, acordó su prórroga manteniendo los mismos términos de la primera."

Por lo tanto, en vista de esos elementos probatorios impone una pena de las previstas en el artículo 446 del CP por prevaricación, en consurso con un delito de interceptación de comunicaciones (artículo 536):
El Juez o Magistrado que, a sabiendas, dictare sentencia o resolución injusta será castigado:

Con la pena de multa de doce a veinticuatro meses e inhabilitación especial para empleo o cargo público por tiempo de diez a veinte años, cuando dictara cualquier otra sentencia o resolución injustas.
Estos son los elementos esenciales de la sentencia y en mi opinión, vistos los Autos y los medios de prueba aportados me parece razonable la solución alcanzada, habida cuenta del encaje de la conducta del magistrado en el tipo penal.

Cuestión diferente es si este juez es más o menos querido por otras de sus actuaciones, si merece mayor o menor reconocimiento ciudadano, pero tal y como dije en otro post sobre otro asunto de este mismo juez, la ley es dura pero es la ley. 

Por muchas cosas buenas que nos pueda parecer que haya hecho Garzón en este asunto lo ha hecho mal y el resultado es acorde a las normas que tenemos y que él conocía.

Y lo que debemos, como ciudadanos, es seguir denunciando no cuando se hace bien en comparación con como cuando se hace mal, sino cuando se hace mal, y personalmente no creo que este sea uno de esos casos.

domingo, 5 de febrero de 2012

STJUE sobre competencia judicial en la UE por lesiones en internet, lugar del editor o varios países y varias demandas

Se está discutiendo mucho en internet sobre si el anuncio de Twitter, y también de Google, de retirar contenidos publicados sólo en las jurisdicciones en las que corresponda en base a mandatos legales es una forma de censura o no.
La actuación de las empresas consistiría en que los contenidos estarían disponibles en las jurisdicciones donde sea legal que lo estén, retirándose de aquellas en las que no esté permitido. Así se evitarían dos situaciones, por un lado que la reitrada de un contenido afecte a todo el mundo y por otro que la empresa pueda implantarse en otros países, para lo que debe cumplir con la ley de ese país.
Más allá de los efectos benéficos o perversos de este sistema, y desconociendo los razonamientos exactos de las empresas tras esta medida, creo que es posible una conexión con una muy relevante sentencia del Tribunal de Justicia de la Unión Europea (TJUE) que puede ser una auténtica losa para muchos prestadores de servicios de la sociedad de la información en términos de costes y riesgo de litigios en cualquier país de la UE.

Con esta sentencia (comentada por Jorge Campanillas) se abre la vía a que uno se pueda ser denuciado en cualquier país de la UE por la información divulgada sólo porque internet alcanza a varios estados.

Como digo esto abre la vía a pleitos en cualquier parte y, además, varias veces, como expondre a continuación.

La sentencia en cuestión resuleve cuestiones prejudiciales sobre competencia judicial planteadas en dos asuntos diferentes:
  • Los hechos:
Por un lado la demanda planteada en un Tribunal Alemán por una persona, condenada a cadena perpetua por asesinato que en 2008 obtuvo la libertad condicional, contra la empresa eDate Advertising GmbH, radicada en Austria. Esta persona exigió a esa empresa que dejase de informar con su nombre completo, retirase la información y se abstuviese de hacerlo en el futuro. Interpuso demanda (aunque se retiraron los datos) pidiendo la cesación de informar en el futuro. Esta empresa negó la competencia de los tribunales alemanes, pero al haber sido condenada en dos instancias, ante el Bundesgerichtshof (Tribunal Supremo Federal Alemán) reiteró esa falta de compentencia y este planteó cuestión prejudicial.

Por su parte, el actor Olivier Martínez y su padre denunciaron por intromisiones en el honor a la empresa inglesa MGN, editora en internet del Sunday Mirror, por publicar la noticia sobre las relaciones del actor con Kylie Minogue. Esta empresa igualmente alegaba la falta de competencia de los tribunales franceses.

Así se planteó como cuestión prejudicial, entre otras cosas, cual era la forma correcta de interpretar la expresión "lugar donde se hubiere producido o pudiere producirse el hecho dañoso" del artículo 5.3 del Reglamento sobre competencia judicial, puesto que determinaría la compentecia del tribunal y del derecho aplicable al caso.
  • Contexto jurídico
Las reglas generales sobre competencia judicial y en particular sobre domicilio del demandado están armonizadas a nivel europeo por el Reglamento (CE) n° 44/2001 del Consejo, de 22 de diciembre de 2000, relativo a la competencia judicial, el reconocimiento y la ejecución de resoluciones judiciales en materia civil y mercantil

Como regla general se establece que las demandas se interpongan en el lugar del domicilio del demandado, puesto que es la manera de garantizar mejor el derecho de defensa ya que es más fácil tener conocimiento de un procedimiento y no estar expuesto a que un tercero demande por diferentes jurisdicciones.

Esta regla general, que está en nuestra Ley de Enjuiciamiento Civil (artículo 50 y siguientes) presenta excepciones que permiten que uno sea demandado en lugares diferentes a su domicilio (asuntos de consumidores, etc.).

El citado Reglamento Europeo, que trata sobre la competencia judicial entre los estados miembros, contiene la misma regla general pero admite la posibilidad de ser demandado ante tribunales de otros países.
"1. Las personas domiciliadas en un Estado miembro sólo podrán ser demandadas ante los tribunales de otro Estado miembro en virtud de las reglas establecidas en las secciones 2 a 7 del presente capítulo."
Así el artículo 5.3 del Reglamento dice:
"Art. 5. Las personas domiciliadas en un Estado miembro podrán ser demandadas en otro Estado miembro:
3. En materia delictual o cuasidelictual, ante el tribunal del lugar donde se hubiere producido o pudiere producirse el hecho dañoso."
El TJUE ya ha analizado cuestiones de este tipo en relación a la lesión de derechos al honor por la publicación de artículos en diferentes estados varios (Sentencia Shevill de 7 de marzo de 1995) en ese caso se resolvió que, en un caso de difamación, la víctima puede demandar en el domicilio del editor del medio por la totalidad de los daños o ante cada uno de los órganos jurisdiccionales de cada estado donde la publicación haya sido difundida y en este caso sólo podrían conocer de los daños en ese estado.
  • La resolución
Con ese contexto se plantea el problema de si ese mis régimen sería aplicable a servicios de internet, pues como recuerda el Abogado General en sus conclusiones y hace suyas el TJUE:
"[...] la publicación de contenidos en un sitio de Internet se distingue de la difusión territorial a través de un medio de comunicación impreso en que aquélla persigue, en principio, la ubicuidad de los citados contenidos. Éstos pueden ser consultados instantáneamente por un número indefinido de usuarios de Internet en todo el mundo, con independencia de cualquier intención de su emisor relativa a su consulta más allá de su Estado miembro de residencia y fuera de su control."
Pero también que esta dificultad debe ponerse en relación con el alcance lesivo del acto, que tiene alcance mundial, además de los problemas prácticos de determinación del daño sufrido por las dificultades de control de la difusión. Por lo que debe buscarse un equilibrio.

El criterio que busca el TJUE es el del centro de intereses del ofendido, que puede ser el de su domicilio o allí donde desarrolle actividades (un actor famoso, un abogado, un político, etc.) como fuero principal en el que poder reclamar al editor. Así una web española puede enfrentarse a una demanda en Alemania, por ejemplo, si allí estuviese el centro de intereses de un famoso al que se hubiesen lesionado sus derechos.

Pero también admite que, al igual que en el caso Shevill:
"Esa persona puede también, en vez de ejercitar una acción de responsabilidad por la totalidad del daño causado, ejercitar su acción ante los tribunales de cada Estado miembro en cuyo territorio el contenido publicado en Internet sea, o haya sido, accesible. Dichos órganos son competentes únicamente para conocer del daño causado en el territorio del Estado miembro del órgano jurisdiccional al que se haya acudido."
  • Comentario
Y aquí viene lo relevante, puesto que el criterio es el de la accesibilidad lo que hace que potencialmente sea posible demandar en cada uno de los tribunales de la UE, con las consecuencias económicas que ello tiene en costes de abogados, etc.

Aunque es cierto que si se produce un daño surge la base para reclamar debemos estar atentos a la aplicación efectiva de esta sentencia, puesto que tampoco es del todo cierta la afirmación de que se pretenda un alcance mundial al poner algo en internet.

Que potencialmente lo sea no quiere decir que la existencia de barreras, como el idioma, nos indiquen, precisamente, lo contrario.

Hay que recordar que el propio TJUE estableció para contratos con consumidores el criterio de la posibilidad de limitar el alcance de la compentencia judicial en base a una serie de criterios indicativos de la voluntad de operar en ese país, como señalé en este artículo (entre otros el idioma, el uso de un nombre de dominio del país, etc.) que podrían ser aplicables también en este caso.
No considero acertado aplicar directamente el caso Shevill porque los contratos de distribución sí permiten a la empresa controlar en qué ámbitos se pueden ver demandados, pero en internet es diferente.

Admitir esta posibilidad, como hace el TJUE, supone que uno deba tener un mayor control de lo publicado, incluso en mercados ajenos al suyo, lo que no debe hacer el editor de un medio en soporte físico y sin embargo es posible que una revista editada en España, donde la conducta no sería lesiva, llegue a Francia, por ejemplo, donde sí lo sea.

Como decía al principio, no es descartable que las empresas cada vez más comiencen a establecer la posiblidad de generar compartimentos estanco en relación a la ubicación geográfica del destinatario, puesto que como se ve, con este tipo de resoluciones el riesgo de sufrir demandas en múltiples países es real.

Así podemos ver que un comentario, o una información de un medio en internet o un tweet, que sea lesivo para un ciudadano español, pero que por su relevancia internacional tenga un centro de intereses en Alemania o Francia, este pueda demandar en estos países por el daño producido en ese territorio y con las leyes de esos países.

Esto puede hacer, además que se busquen legislaciones más estrictas o que concedan mayores indemnizaciones en busca de una mejor reparación.

En mi opinión este criterio, aplicado a Internet es peligroso para cualquier proyecto por los riesgos que entraña y esta sentencia creo que puede servir para contextualizar los últimos movimientos de empresas como Google y Twitter.

En definitiva, seguimos con el problema de categorizar jurídicamente los nuevos medios en internet y aplicando analogías con los medios tradicionales que no siempre son correctas.

jueves, 2 de febrero de 2012

La Agencia de Protección de Datos no puede sancionar a los juzgados

Ultimamente se están conociendo noticias que destacan la voluntad de la Agencia Española de Protección de Datos de abarcar materias que van mas allá de los estrechos márgenes que la Ley Orgánica 15/1999 le ha conferido.

Así tenemos el caso de las resoluciones que incluso han llegado a aplicar aspectos de la Ley Orgánica 1/1982 de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen.

Ahora el Tribunal Supremo, en una sentencia de 2 de diciembre de 2010, ha señalado a la Agencia los límites en sus competencias de actuación cuando se trata de órganos judiciales, estableciendo que:
"[...] las funciones desarrolladas por la Agencia en relación con el Juzgado de lo Contencioso-Administrativo núm. 1 de los de La Coruña han sobrepasado los límites establecidos en la Ley Orgánica del Poder Judicial para garantizar la inmunidad judicial y asegurar su independencia [...]"
La raíz del conflicto tiene su interés, en estos tiempos de cuestionamiento de la actuación de los funcionarios.

Según consta en la Resolución de la Agencia de 5 de junio de 2006 (pdf) y en la sentencia de la Audiencia Nacional de 20 de febrero de 2008, que es la que da origen a este recurso, en sus hechos probados podemos ver lo sucedido en el Juzgado.

En el Juzgado de lo Contencioso Numero 1 de A Coruña se produjeron ciertos "incidentes" que dieron como resultado la incoación de expedientes disciplinarios a varios funcionarios del juzgado. En los expedientes de estos funcionarios se incorporaron informaciones médicas, partes de baja, de otros compañeros, expedientados al mismo tiempo.

Los funcionarios objeto del expediente denuncian al juzgado ante la AGPD (y también por la vía penal por denuncia falsa que luego se archivó) por la incorporación de datos de salud de terceras personas ajenas al expediente, lo que la Agencia consideró constituía una vulneración del contenido del artículo 10 de la LOPD.

La AGPD terminó sancionando (es un decir porque para las administraciones públicas sólo hay requerimientos) al Juzgado para "que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 10 de la LOPD."

En la Sentencia de la Audiencia Nacional se explican las razones por las que se aportaron los datos de los partes de baja:
"Aunque la acreditación de los hechos que trataba de denunciar y los periodos de baja se podría haber a acreditado sin necesidad de haber efectuado indicación alguna sobre las enfermedades que habían dado lugar a dichas bajas laborales, la realidad es que cabe pensar que el recurrente aportó los partes de baja con el fin de que el Presidente del TSJ (destinatario del escrito) conociera la realidad del Juzgado y pudiera apreciar la peculiaridad que supone una masiva petición de bajas laborales simultáneas entre todos los funcionarios de un juzgado y pudiera valorar la distorsión que en el funcionamiento del órgano jurisdiccional pudo producirse."
Pero la Audiencia Nacional desestima el recurso y confirma la resolución de la AGPD porque:
"[...]la resolución sancionadora es haber aportado a los expedientes sancionadores, de modo innecesario, los partes de baja con la indicación de los motivos de las bajas laborales de los funcionarios que prestaban sus servicios en el Juzgado de lo Contencioso Numero 1 de A Coruña. Además, ya hemos señalado mas arriba como, si bien en relación a la denuncia presentada ante el Presidente del TSJ de Galicia presentada por el ahora recurrente pudiera tener cierta justificación la presentación de los partes de baja, dicha presentación en relación a una denuncia en Fiscalía carece por completo de ninguna justificación."

Pero como decía, finalmente el Tribunal Supremo marca territorio y delimita que:
"No obstante, pese a esta singularidad de su función y de su estatuto de independencia, no podemos obviar también, a los efectos que luego se dirá, que la Agencia Española de Protección de Datos no deja de ser una Administración Pública que se inserta dentro del poder ejecutivo."
Y dado que el Director de la Agencia puede dictar para las administraciones públicas resoluciones estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción, pudiendo proponer la iniciación de actuaciones disciplinarias, si procedieran, que serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas, se perfila un conflicto con la potestad autoorganizativa del poder judicial.

Para el Tribunal Supremo esta facultad del Director de la Agencia choca con el artículo 122 de la Constitución y el artículo 104 de la Ley Orgánica del Poder Judicial, puesto que incide en la inmunidad judicial como garantía de su independencia (arts. 398 a 400), y con el artículo 399.1 que ordena específicamente a las autoridades civiles y militares que se abstengan de intimar a los Jueces y Magistrados.

Recuerda el TS que la LOPJ ya tiene sus previsiones propias sobre la protección de datos, artículo 230, y además este artículo:
"[...] apodera al Consejo General del Poder Judicial para dictar un Reglamento en el que se determinarán los requisitos y demás condiciones que afectan al establecimiento y gestión de los ficheros automatizados que se encuentren bajo responsabilidad de los órganos judiciales de forma que se asegure el cumplimiento de las garantías y derechos establecidos en la legislación de protección de datos de carácter personal."
Siendo el CGPJ, por lo tanto, a quien la ley encomienda esta materia por tener atribuido en exclusiva el ejercicio de las potestades precisas para la observancia de derechos y garantías pues solo al órgano de gobierno judicial corresponde la inspección de Juzgados y Tribunales.

Llegando por lo tanto a la conclusión expuesta en la primera de las citas; esto es, que la AGPD no puede inspeccionar o sancionar a los jueces y juzgados por el tratamiento de los datos en el ejercicio de sus funciones, ya sean jurisdiccionales o administrativas, ello es competencia del CGPJ.