Comunicación pública, P2P y conservación de datos. El TJUE y el caso MIRCOM International

Hoy se ha conocido la esperada sentencia del asunto MIRCOM International del TJUE, que resuelve un asunto que afecta de manera directa a las infracciones de derechos de propiedad intelectual usando sistemas para compartir entre iguales o P2P. En concreto, en este caso, sistemas tipo BIttorrent.

Digo que era esperada, porque también era el procedimiento que había servido para paralizar, por prejudicialidad civil, las demandas que se había interpuesto contra usuarios de estos sistemas en España, en concreto contra los usuarios de Euskaltel identificados por varias productoras de películas, ante los juzgados de lo mercantil de Bizkaia.

Eran tantas las similitudes entre asuntos que, aunque  se pidió en los procedimientos de aquí una cuestión prejudicial en el mismo sentido y no se admitió, lo prudente era esperar al pronunciamiento del tribunal europeo con el fin de no tener interpretaciones contrarias.

El análisis de la cuestión se planteó por el Tribunal de Amberes desde dos grandes bloques. Por un lado, la existencia o no de infracción de propiedad intelectual de quienes comparten en redes P2P. Es decir, si compartir un archivo en una red de este tipo representa un acto de comunicación pública, aunque la transmisión sea de un fragmento que, sin el resto del archivo, no sirve para nada.

Y por otro lado, si la recopilación de las direcciones IP de quienes comparten el archivo en estos sistemas, así como la solicitud de acceso a la identidad y direcciones de las personas efectuada a los operadores es conforme a la protección de datos, al secreto de las comunicaciones y al respeto a la vida privada consagradas en la Carta Europea de Derechos Fundamentales.

Pues bien, desde el punto de vista de la propiedad intelectual, se confirma que, al margen del tamaño de los fragmentos que inician la transmisión entre los usuarios, lo que se comparte no son fragmentos de la obra, sino fragmentos del archivo (o soporte de la obra) que contiene la obra:

"Así pues, carece de importancia el hecho de que las partes que se transmiten sean inservibles por sí solas, dado que lo que se pone a disposición es el archivo que contiene la obra, es decir, la obra en formato digital."

Pero ojo, añade una matización el Tribunal importante. Ya he criticado en reiteradas ocasiones que en la ampliación y/o redefinición que se está haciendo del concepto de comunicación pública desde la Sentencia Svennson en adelante, se produce una adición a un hecho objetivo, como puede ser poner a disposición una obra, como es la voluntad o conocimiento de todos los extremos de tal acto. Así, el TJUE dice:

"Por consiguiente, cualquier acto mediante el cual un usuario da acceso a obras u otros objetos protegidos, con pleno conocimiento de las consecuencias de su comportamiento, puede constituir un acto de puesta a disposición a efectos del artículo 3, apartados 1 y 2, de la Directiva 2001/29 (véase, en este sentido, la sentencia de 9 de marzo de 2021, VG Bild-Kunst, C‑392/19, EU:C:2021:181, apartado 30 y jurisprudencia citada)."

Es decir, es necesario, para apreciar la existencia de comunicación pública que quien comparte en P2P es consciente de las consecuencias de su comportamiento.

"Siempre que se ponga de manifiesto —extremo este que corresponde verificar al tribunal remitente— que los usuarios en cuestión han decidido utilizar ese software y han dado su consentimiento a su ejecución tras haber sido debidamente informados sobre sus características, debe considerarse que tales usuarios actúan con pleno conocimiento de su comportamiento y de las consecuencias que este puede tener. En efecto, una vez que se ha demostrado que han decidido activamente utilizar dicho software, el carácter deliberado de su comportamiento no queda en modo alguno desvirtuado por el hecho de que sea el propio software el que automáticamente dé lugar a la carga."

Es decir, debe darse como elemento de prueba para la apreciación de la conducta infractora la información recibida por el usuario de las características del software, básicamente a estos efectos que al mismo tiempo que descargas compartes. Y así lo reitera en las conclusiones de la primera cuestión prejudicial:

"[...] Carece de pertinencia el hecho de que, como consecuencia de la configuración del software de intercambio cliente-BitTorrent, sea el propio software el que automáticamente dé lugar a la carga mencionada, si el usuario, desde el equipo terminal en que se produce la referida carga, ha decidido utilizar ese software y ha dado su consentimiento a su ejecución tras haber sido debidamente informado sobre sus características."

Evidentemente, la acreditación de este tipo de situaciones puede ser compleja para los demandantes, pero en todo caso, parece claro que los pronunciamientos judiciales deben albergar razonamientos sobre este extremo probatorio, sin que quepa la inversión de la carga de la prueba contra el usuario.

En relación al segundo de los bloques antes señalados, tiene a su vez dos apartados, uno relativo a la recopilación que hace el titular de derechos de las IP y otro el de la posición del operador de telecomunicaciones para entregar el resto de datos que permitan demandar.

Pues bien, sobre el primer aspecto, el TJUE reconoce que se trata de un tratamiento de datos personales, que está sometido al RGPD:

"Por consiguiente, el registro de tales direcciones para su posterior utilización en el contexto de acciones judiciales constituye un tratamiento en el sentido del artículo 4, punto 2, del Reglamento 2016/679."

Esta regulación exige

"[...] tres requisitos acumulativos para que el tratamiento de datos personales resulte lícito, a saber, en primer lugar, que el responsable del tratamiento o el tercero persigan un interés legítimo; en segundo lugar, que el tratamiento de los datos personales sea necesario para la satisfacción de ese interés legítimo, y, en tercer lugar, que no prevalezcan los intereses o los derechos y libertades fundamentales del interesado en la protección de los datos"

Los dos primeros requisitos son cumplidos sin mayor problema, pues no hay otra forma que con la IP de saber quien lesiona tus derechos y tener esta información es requisito para poder tener una tutela judicial efectiva.

Es en el tercero de los requisitos, donde admite un mayor juego en la apreciación directa a los tribunales inferiores, dado que dependerá de cada asunto individualmente contemplado.

Se indica que aquí se trata de una afectación a dos ámbitos, el de la protección de datos (RGPD) y la privacidad en las comunicaciones electrónicas, Directiva 2002/58 y que es necesario el análisis del juego de protección de ambas normas al caso concreto:

"Por consiguiente, para que un tratamiento como el registro de las direcciones IP de las personas cuyas conexiones a Internet se hayan utilizado para cargar partes de archivos que contengan obras protegidas a través de redes entre pares (peer-to-peer), con el objetivo de presentar una petición de divulgación de los nombres y de las direcciones postales de los titulares de esas direcciones IP, pueda considerarse lícito por cumplir los requisitos establecidos en el Reglamento 2016/679, es necesario, en particular, que se compruebe si ese tratamiento cumple las disposiciones antes mencionadas de la Directiva 2002/58, puesto que esta concreta, para los usuarios de los medios de comunicaciones electrónicas, los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales [...]"

Y concluye que, al no tener datos suficientes, deberá ser el tribunal de instancia quien aprecie estos elementos:

"Pues bien, al no existir en la resolución de remisión precisiones relativas a la justificación jurídica del acceso de Mircom a las direcciones IP que Telenet conserva, el Tribunal de Justicia no está en condiciones de proporcionar al tribunal remitente orientaciones útiles sobre si un tratamiento como el efectuado inicialmente, consistente en el registro de las mencionadas direcciones IP, constituye, teniendo en cuenta las normas enunciadas en la Directiva 2002/58 y el requisito relativo a la ponderación de los derechos y los intereses en conflicto, una vulneración de los mencionados derechos fundamentales. Corresponderá al órgano jurisdiccional remitente llevar a cabo un análisis de la normativa nacional pertinente a la luz del Derecho de la Unión, en particular de los artículos 5, 6 y 15 de la Directiva 2002/58."

En el caso de Euskaltel, el problema que existiría es que este análisis, en teoría, lo ha efectuado la Audiencia Provincial de Bizkaia al analizar las diligencias preliminares, pero claro, los términos del debate en tal ocasión no implicaban estos elementos, que sí están expuestos en las contestaciones a la demanda efectuadas por los usuarios. Entendemos que, en todo caso, los pronunciamientos deben valorar o considerar estos aspectos, al margen de lo definido inicialmente por la Audiencia Provincial, pues quien está en mejor disposición para valorar la intromisión o no es el juzgado que resuelve individualmente el caso de cada uno de los afectados.

Y, lo que para mí es lo mas relevante, en relación al acceso a los datos conservados por el operador de telecomunicaciones, se dice que simplemente se entregaron los nombre y direcciones postales de los usuarios a los que correspondían las direcciones IP, pero ningún dato adicional. Esto presenta diferencias con el caso Euskaltel, ya que en los datos proporcionados se incluía información adicional, como el correo electrónico, teléfonos, duración de conexión, etc., que pueden tener información sobre puesto de trabajo. Así puede que, en el caso de Euskaltel, se vaya mas allá de lo que dice aquí el TJUE:

"En efecto, tales datos relativos a la identidad de los usuarios de los medios de comunicaciones electrónicas normalmente no permiten, por sí solos, conocer la fecha, la hora, la duración y los destinatarios de las comunicaciones efectuadas, ni los lugares en los que se produjeron estas comunicaciones o la frecuencia de estas con ciertas personas durante un período de tiempo determinado, por lo que no facilitan —al margen de las señas de los usuarios de los medios de comunicaciones electrónicas, como su identidad y sus direcciones— ninguna información sobre las comunicaciones transmitidas y, en consecuencia, sobre su vida privada. De este modo, la injerencia que supone una medida relativa a estos datos no puede, en principio, calificarse de grave"

Esto sigue la línea de flexibilización de acceso a los datos de tráfico que se han visto en las recientes sentencias del TJUE, pero aún así, sólo en relación a datos muy concretos.

Como ya viene resolviendo desde el Caso Promusicae, el TJUE indica que no se opone a la existencia de una ley nacional que habilite la entrega de datos de tráfico en procedimientos de tutela de la propiedad intelectual, pero siempre con garantías. Igual que en cuestiones anteriores, el TJUE en este caso dice no disponer de elementos de juicio para valorar estos aspectos:

"En la medida en que la resolución de remisión no contiene ninguna indicación al respecto, el tribunal remitente deberá comprobar el fundamento jurídico tanto de la conservación por parte de Telenet de las direcciones IP cuya comunicación solicita Mircom, como del posible acceso de Mircom a esas direcciones."

Pero este aspecto debe ser evaluado por el Tribunal de Instancia:

"Si de las comprobaciones realizadas por el tribunal remitente se dedujera que existen medidas legales nacionales, en el sentido del artículo 15, apartado 1, de la Directiva 2002/58, que limitan el alcance de las normas establecidas en los artículos 5 y 6 de esa Directiva y que podrían aplicarse útilmente al presente asunto, y suponiendo que igualmente resultara, basándose en los elementos de interpretación aportados por el Tribunal de Justicia en el conjunto de la presente sentencia, que Mircom está legitimada y que su petición de información está justificada, es proporcionada y no es abusiva, procederá considerar que los tratamientos a los que se ha hecho referencia son lícitos en el sentido del Reglamento 2016/679."

En el caso de Euskaltel ya identifiqué la trampa que hizo la Audiencia Provincial, al decir que, aunque la ley nacional sólo contempla el acceso a los datos de tráfico para supuestos determinados, primero entregaba los datos para después poder evaluar la concurrencia de los requisitos, lo que es absurdo de todo punto. El artículo 256.1.11 de la LEC no puede ser más claro:

"11.º Mediante la solicitud, formulada por el titular de un derecho de propiedad intelectual que pretenda ejercitar una acción por infracción del mismo, de que un prestador de servicios de la sociedad de la información aporte los datos necesarios para llevar a cabo la identificación de un usuario de sus servicios, con el que mantengan o hayan mantenido en los últimos doce meses relaciones de prestación de un servicio, sobre el que concurran indicios razonables de que está poniendo a disposición o difundiendo de forma directa o indirecta, contenidos, obras o prestaciones objeto de tal derecho sin que se cumplan los requisitos establecidos por la legislación de propiedad intelectual, y mediante actos que no puedan considerarse realizados por meros consumidores finales de buena fe y sin ánimo de obtención de beneficios económicos o comerciales, teniendo en cuenta el volumen apreciable de obras y prestaciones protegidas no autorizadas puestas a disposición o difundidas"

Por eso reitero lo que dije en su momento, que es la limitación legal la que pretende garantizar la compatibilidad de la norma con el respeto a los principios del ordenamiento jurídico europeo, si no observamos ese respeto nos estará faltando el elemento habilitante.

Como he indicado, la ley se hace para poder tener un juicio de proporcionalidad que la haga compatible con la Jurisprudencia del TJUE y los principios aplicables a la misma, pero resulta que luego la AP se salta ese principio abriendo indiscriminadamente la medida.

Lo lógico sería verificar los requisitos legales antes de la adopción de la misma y no luego a posteriori, cuando, además, no se prevé un mecanismo para ello. 

Como digo, me parece un argumento tramposo, máxime cuando se puede investigar si una IP participa o comparte muchos otros ficheros. Es decir, no es cierto técnicamente que sea necesario conocer al usuario real antes de saber si realiza la conducta habilitante de la Diligencia Preliminar.

Una vez resuelto en este sentido por la Audiencia Provincial, el juzgado de lo mercantil no tiene otra opción que cumplir lo que le ordenan y requerir a la operadora, en este caso Euskaltel, para que entregue los datos personales de las direcciones IP que solicita la parte demandante.

En definitiva, ahora esperemos que los juzgados de lo mercantil tomen conocimiento de esta resolución y procedan a dictar las sentencias pendientes, en la confianza de que el TJUE no hace sino reforzar las apreciaciones que en su momento se expusieron, relativas, sobre todo, a la necesidad de observar cada caso individualmente desde el respeto a unos principios que son evidentes, aunque la apreciación es que el tiempo va debilitando.

El acceso por el INE a los datos de los operadores de telecomunicaciones

Hoy despertamos con la noticia de que el INE ha llegado a un acuerdo con las principales operadoras de telefonía, a cambio de medio millón de euros, para acceder a los datos de movimientos de todos los teléfonos móviles durante varios días, a comenzar en próximas semanas.

Las ventajas del método son evidentes, pues habiendo más números de móviles que ciudadanos, es sencillo colegir que casi todo el mundo, incluidos menores, porta uno en algún momento, así que la muestra parece inmejorable.

Pues bien, esta medida, a mi juicio, plantea complejos problemas jurídicos en base a la normativa aplicable, hasta el punto de considerar que, a mi juicio, no es muy correcto este proceder, ni del INE ni de las operadoras.

En primer lugar, hay que ser conscientes de que lo que conocemos como datos de tráfico (los datos de todo tipo generados por la prestación de un servicio de comunicaciones) equivalen a tener un rastreador continuamente registrando nuestra posición geográfica y nuestras interacciones con terceros (ya sean personas o servicios en internet). Es decir, una monitorización constante.

Esto no debe olvidarse, pues equivale a tener un gps en cada paseo, que damos, en cada desplazamiento, etc.

Eso es lo que permiten los dispositivos y las técnicas de comunicación que empleamos. Ciertamente, son un volumen de datos muy superior a los necesarios para la mera prestación del servicio por parte del operador, pues con poco mas que los necesarios para la facturación podrían desarrollar su actividad.

Pero, dadas las posibilidades que se dan en internet, y las exigencias de responsabilidades, entre ellas la comisión de delitos, se determinó la necesidad de obligar a todos los operadores a recopilar todos los datos, todo el tiempo (olvidémonos del contenido de las comunicaciones, hablamos sólo de los "metadatos" de esas comunicaciones), con el fin de que pudieran investigarse delitos, en principio graves como el terrorismo, etc.

Función hash, datos de carácter personal y delitos

Esta mañana, el informático Sergio López analizaba y explicaba una serie de aspectos del censo universal que había sido empleado para la votación del pseudo-referendum de Cataluña del pasado día 1 de octubre.

Han pasado ya unos cuantos días desde el #1Oct, así que creo que urge el contar esta historia.

— Sergio Lopez (@slp1605) 4 de octubre de 2017

En la descripción del interesante hilo explica como si bien los responsables del censo habían intentado que el mismo no se considerase cedido a terceros empleando las huellas o funciones hash de los datos de los votantes, era posible realizar el camino inverso y obtener los datos personales correspondientes a esos hash.

Lo he comprobado por mí mismo. En un ataque por la fuerza bruta a C.P. y año concreto, los resultados empiezan a saltar en pocos minutos.

— Sergio Lopez (@slp1605) 4 de octubre de 2017

De hecho el autor del hilo ha publicado su propia prueba de concepto en un repositorio de github para que cualquiera pueda verificar la existencia del fallo (de concepto? mejor que de seguridad?)

El resumen es que dado que para evitar que con una única acción judicial se bloquease todo el proceso de votación, se clonaron las webs que daban el soporte a las mesas, lo que ha permitido la existencia de muchas copias de esas webs, incluyendo las bases de datos de los votantes.

Realmente la base de datos  lo que alberga es la huella (o hash) que esos datos arrojan al aplicarse 1714 iteraciones de SHA256 sobre los los 5 últimos dígitos del DNI, la letra correspondiente, la fecha de nacimiento y el código postal, para cada ciudadano incluido en el censo de cada ciudadano.

Es decir, si lo leemos como humanos, la función sería algo del tipo: a3c7c26545bcce509730d8a5d230a83e11614b94aa96966484ea5ab742a2f3b7 (esa es la huella sha256 de mi nombre y apellido) por lo que sin más elementos no podríamos saber a quien pertenece.

Y aquí viene la cuestión, para mi, interesante, ¿es una huella hash un dato de carácter personal?

La Ley 15/1999 de Protección de Datos define como dato de carácter personal

• a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.

 El Real Decreto 1720/2007 de desarrollo concretó un poco más:

f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

Y ya, el nuevo Reglamento General de Protección de Datos concreta aún más:

«datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

El problema siempre ha sido cuando estamos ante datos que hacen identificables a las personas físicas a las que hacen referencia.

Pero además, el DNI, por sí mismo, tiene la consideración de dato de carácter personal, así en un  informe (0476/2008) de la propia Agencia (pdf) se concluye, con base en el artículo 1 del Real Decreto 1553/2005 que:

"2. Documento tiene suficiente valor, por sí solo, para acreditar la identidad y los datos personales de su titular que en él se consignen, así como la nacionalidad española del mismo.

3. A cada Documento Nacional de Identidad, se le asignará un número personal que tendrá la consideración de identificador numérico personal de carácter general.

La naturaleza de dato personal del DNI resulta clara atendiendo a lo anteriormente expuesto."

Si el DNI por si mismo, es un dato de carácter personal y de la función hash podemos extraer los 5 últimos números mas la letra, eso permite combinaciones para obtener el DNI completo, por lo que, de esa manera, ya tendremos ese dato personal.

En general, el criterio de la Agencia Española ha sido el de vincularlo con el esfuerzo necesario para, a partir de un identificador concreto, poder averiguar a quien pertenece.

Es decir, si no hay que hacer un esfuerzo desproporcionado será un dato de carácter personal, como recuerda la Agencia (informes 0427/2010 pdf o 0182/2008 pdf)

"Este criterio ha sido ratificado por la Audiencia Nacional en sentencia de 8 de marzo de 2002. Según se cita en la misma, “para que exista un dato de carácter personal (en contraposición con dato disociado) no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados” y “para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona”.

Por lo tanto, a la luz de lo expuesto en el contenido del censo y la forma en que se ha pretendido "ofuscar" lo cierto es que se ha producido una comunicación de datos de carácter personal a terceros por parte del responsable.

¿Y todo esto que implica?

Pues que al margen de las infracciones que por el incumplimiento de la LOPD pudieran establecerse, sería posible abrir la vía penal contra los responsables de la generación de este censo y su divulgación, en la medida en que el artículo 198 del Código Penal establece que:

"La autoridad o funcionario público que, fuera de los casos permitidos por la Ley, sin mediar causa legal por delito, y prevaliéndose de su cargo, realizare cualquiera de las conductas descritas en el artículo anterior, será castigado con las penas respectivamente previstas en el mismo, en su mitad superior y, además, con la de inhabilitación absoluta por tiempo de seis a doce años."

Las conductas en las que encajaría serían las del artículo 197:

"2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.

Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.

4. Los hechos descritos en los apartados 1 y 2 de este artículo serán castigados con una pena de prisión de tres a cinco años cuando:

a) Se cometan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros; o

b) se lleven a cabo mediante la utilización no autorizada de datos personales de la víctima.

Si los datos reservados se hubieran difundido, cedido o revelado a terceros, se impondrán las penas en su mitad superior."

Y ojo, porque el 197 CP permitiría ir incluso contra quienes clonaron la base de datos para mantener que la misma siguiese activa.

Responsabilidades penales como estas al margen (que seguro que a los responsables llegados a este punto son las que menos les preocupan) lo cierto es que es un ejemplo perfecto para visibilizar que un hash puede llegar a considerarse un dato de carácter personal, en función de la información a la que haga referencia.

Esto que puede parecer irrelevante, es interesante ya que, en ocasiones, se ha planteado remitir sólo el hash como forma de evitar transferencias internacionales de datos, por ejemplo, u otros muchos supuestos de tratamiento al margen de la norma aprovechando el que sólo se remita a terceros el hash.

Sentencias anonimizadas, infantas y perspectiva histórica

La Infanta está triste, ¿qué tendrá la infanta?

Dicen que la hermana del Rey Felipe VI, (quien sólo por el hecho de haber nacido ya tiene su espacio en los libros de historia) anda reflexionando sobre si discutir (apelar) la sentencia por la que se condena a su marido y se le hace responsable de la devolución de unas cantidades que disfrutó pero no debió hacerlo.

La cuestión es que hoy, a los pocos días de conocerse la resolución judicial de la AP de Palma, se ha publicado la sentencia (pdf) en el medio que es habitual, el CENDOJ.

Algunos periodistas han visto en la publicación de la sentencia sin los nombres de las personas sometidas a juicio cierto "escándalo" y, lo que es más preocupante, algunos de nuestros legisladores también...

El caso de...

La Eva
El Bernardo
El Julio

Por mucho que lo maquillen, la gente no olvidará el caso Nóos y cómo la Infanta llegó a juicio. pic.twitter.com/oRA9nHiRjw

— Íñigo Errejón (@ierrejon) 6 de marzo de 2017

Lo habitual, y lo legal, es que las sentencias se publiquen con sus nombres modificados, además con cierta gracia pues se suelen utilizar nombres poco frecuentes.

El hecho de que las sentencias se publiquen en internet, en el canal oficial del poder judicial, sin los datos personales de los afectados tiene que ver con la protección de la intimidad ya que el conocimiento de las resoluciones judiciales no ampara el conocer a las personas amparadas por los fallos. Es decir, puede ser relevante conocer que una cláusula es abusiva en un contrato bancario, así como los fundamentos de esa resolución, pero no es necesario conocer al cliente afectado. Por eso se publican las sentencias y por eso se hace así.

Y tiene todo el sentido del mundo.

La Conservación de Datos, tal y como se hace, anulada por el Tribunal de Justicia de la UE

Hace ya casi una década que empecé a preocuparme por una norma que presentaba varios aspectos que me despertaban sensaciones raras. 

La Directiva de Retención de Datos, que finalmente se anuló, produjo una transposición en una Ley nacional, la 25/2007 que si bien no era exactamente como la Directiva (es lo que tienen las normas de transposición) tampoco, a mi juicio, completaba o determinaba bien todos los aspectos necesarios.

Es cierto que el principal foco inicial fue la consideración o no de delitos graves "tal y como se definen en las normas penales" y que en España se ha venido interpretando como que:

 "todo lo que pasa en internet es grave" 

y

 "eso es así porque usamos una sentencia anterior a la Ley que leemos sólo en aquellos párrafos que nos da la gana"

Los argumentos que he venido exponiendo a lo largo de los años, no sólo aquí públicamente (y que al parecer me deslegitiman para defender con el secreto suficiente a mis clientes) sino fundamentalmente en los juzgados, han sido, con el tiempo, confirmados por el Tribunal de Justicia de la UE.

También es verdad que algunas Audiencias, fundamentalmente la de Barcelona, sí han entendido bien que si la ley está mal lo que hay que hacer es arreglarla, no interpretarla de mala manera por los tribunales para que al final estemos en una situación mucho peor.

Pues bien, la última puntilla (y queda otra más grande que se dará con la cuestión prejudicial planteada por la AP de Tarragona) la ha puesto el Tribunal Europeo en la Sentencia del caso Tele2 Sverige.

El Tribunal, que analiza varios asuntos acumulados, entre ellos las normas británicas de Conservación, resuelve que el Carta de Derechos Fundamentales de la Unión Europea se opone a que una normativa nacional establezca una:

"[...] conservación generalizada e indiferenciada de todos los datos de tráfico y de localización de todos los abonados y usuarios registrados en relación con todos los medios de comunicación electrónica"

Y también que:

"[...] se opone a una normativa nacional que regula la protección y la seguridad de los datos de tráfico y de localización, en particular el acceso de las autoridades nacionales competentes a los datos conservados, sin limitar dicho acceso, en el marco de la lucha contra la delincuencia, a los casos de delincuencia grave, sin supeditar dicho acceso a un control previo por un órgano jurisdiccional o una autoridad administrativa independiente, y sin exigir que los datos de que se trata se conserven en el territorio de la Unión"

Cobrar por ceder nuestros datos personales a las empresas de internet

A raíz del anuncio de Movistar de una aplicación para la gestión de los datos de los usuarios y su cesión a las operadoras de aplicaciones de comunicaciones, se están dando algunos debates muy interesante sobre la idea de que los usuarios cobremos por la cesión de nuestra información.

Hasta años muy recientes, en términos históricos, la información personal era relevante pero muy poco valiosa, en términos de su explotación económica.

Por supuesto que la información siempre ha sido poder y quien más información tenía más posibilidades de tomar las decisiones correctas, pero en términos absolutos, la información sobre uno mismo que los gobiernos o empresas tenían, o a la que podían acceder, no era explotada de tal manera que generase un negocio tan gigantesco como en los últimos años o como las previsiones apuntan.

El coste de la información para quien la quiere explotar viene determinado por 3 elementos:

Lo que cuesta su obtención, lo que cuesta su conservación y lo que cuesta su tratamiento.

Hasta casi finales del Siglo XX, recopilar la información era muy caro (pensemos en los catastros para controlar y asegurar la fiscalidad, que implicaban miles de personas realizando comprobaciones pueblo por pueblo) y prácticamente inasumible para ninguna empresa privada.

Lo mismo podemos decir de la conservación de los datos obtenidos, que debían ser copiados en papel, que no era barato de producir, debiendo ser transcritos manualmente o por medio de sistemas de imprenta, siendo la primera manifestación de automatización del proceso.

Y por último el coste de analizar la información y extraer las conclusiones, que era una tarea esencialmente humana y no automatizable.

Al final, se recopilaba y preservaba la información de los hitos relevantes (nacimientos, matrimonios, defunciones, etc.) y de aquellas personas que por su posición (reyes, nobles, soldados, etc.) generaban información que era trascendente de alguna manera.

La historia del artículo 18.4 de la Constitución.

"La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos."

Así reza uno de los artículos más importantes y más interesantes de la Constitución Española y que es sin duda mi favorito de todos ellos, por lo revolucionario que supone encontrar en 1978 una mención tan clara y tan útil para el Siglo XXI desde un punto de vista legal.

Este párrafo, tiene su antecedente directo tanto en las normas nacionales aprobadas en toda Europa, como en el artículo 35 de la Constitución Portuguesa que ya hablaba de la utilización de la informática, fundamentalmente en relación al tratamiento de datos personales.

Es interesante repasar los trabajos parlamentarios para ver como el lesgislador constitucional llegó a la conclusión de que la informática debía estar presente, en sentido negativo, en la Constitución.

Dado que los primeros trabajos constitucionales fueron reservados, sólo quedan las actas de la comisión, publicadas en 1984, pero no las intervenciones de los grupos, es difícil conocer posiciones más concretas o el punto exacto en el que se decidió introducir la informática.

En la sesión del 8 de septiembre de 1977 se habla del contenido del artículo 21 y de la conveniencia o no de incluir la informática como técnica, duda que se presentará en todo el trámite de aprobación de la Constitución.

Artículo 21 según las actas de la Ponencia Constitucional

Queda pendiente la redacción, indicando el representante del grupo Vasco-Catalán que aportaría una redacción en relación con este asunto, que finalmente llegó al primer borrador de texto constitucional, en enero de 1978 (pdf)

"4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos"

Como se ve no hay mucha diferencia con el texto finalmente aprobado, si bien durante el debate pasó por un cambio de numeración, llegando a integrarse en el artículo 17 en el informe de la ponencia de 17 de abril de 1978(pdf) y una leve variación sobre su redacción:

«La ley limitará el uso de la informática de manera que quede a salvo el respeto a la intimidad personal y familiar y al honor de los ciudadanos»

Estados Unidos deja de ser puerto seguro

Ayer se conoció la sentencia del TJUE en el caso Schrems por la que se cuestionaba si los datos de los ciudadanos europeos que eran tratados por empresas estadounidenses, en este caso Facebook, podían salir de la Unión Europea, en concreto a Estados Unidos, y si las facultades de control de las agencias de protección de datos alcanzan también a controlar lo que pasa con esos datos en el país de destino.

Si hasta ahora se decía que las autoridades de control no podían analizar las medidas de seguridad de las empresas de Estados Unidos, o al menos de parte de ellas, era porque estaban acogidas al régimen de Puerto Seguro o "safe harbor", que consiste, básicamente, en decir que hay un nivel equivalente de medidas de seguridad o de protección de los datos allí.

Puede consultarse el listado de empresas acogidas a este programa en una web del departamento de comercio.

Es decir, que si estabas en esa lista, en teoría, cumplías con un estándar que posibilitaba recibir y tratar datos desde la Unión Europea.

Y este reconocimiento se basaba en un acuerdo de la Comisión, la Decisión 2000/520/CE, que ahora también se pone en cuestión.

Algunas notas críticas sobre la legalización de libros mercantiles

Programa Legalia para la legalización de libros

Una de las novedades de este año en relación a las obligaciones de asesores y empresas es la de proceder a la legalización de los libros mercantiles (libro de actas, libros contables, etc.) de manera telemática.

Antes lo que se hacía con estos libros era llevarlos al registro mercantil correspondiente y allí se les hacía un troquelado o sellado, de tal manera que se impedía modificar con posterioridad su contenido. Es decir, lo que se pretende es evitar alteraciones posteriores. Explica muy bien como se hacía el notario Luis Prados:

Más sobre el proceso de legalización en el Registro Mercantil de Madrid.

Pues bien, ahora esto se hará de manera telemáticamente y ello en base al artículo 18 de la ley de emprendedores y a una Instrucción de la Dirección General de los Registros y el Notariado de febrero de este mismo año.

Criterios para eliminar resultados de Google tras la Sentencia de la Audiencia Nacional

Tras la Sentencia del Tribunal de Justicia, que resolvía lo consultado por la Audiencia Nacional, esta ha dictado las primeras sentencias (pdf) en aplicación de lo señalado por la conocida como sentencia del "derecho al olvido".

A lo largo de sus 44 páginas hace un recorrido por los argumentos y decisiones recaídas en el procedimiento desde que se instase a la eliminación de los resultados del buscador.

La Audiencia Nacional comenzará hacer públicas durante los próximos días varias sentencias más en aplicación de los criterios del Tribunal de Justicia y fijando aquellos que resultan aplicables al concreto caso español.

Hay que fijar, en primer lugar, que no hay ninguna duda de que Google o cualquier otra empresa, mediante su buscador, realiza un tratamiento de datos personales, eso ya lo dijo la propia STJUE.

"La resolución recurrida considera que los buscadores en el ejercicio de su actividad, efectúan un tratamiento de datos de carácter personal por lo que están obligados a hacer efectivo el derecho de cancelación y/oposición del interesado que se opone a que se indexe y sea puesta a disposición de los internautas determinada información a él referente que se encuentra en páginas de tercero y permiten relacionarles con la misma, y a cumplir con los requerimientos que les dirija la AEPD en la tutela de esos derechos." 

Google, el olvido y un poco de perspectiva sobre la historia

El pasado martes Google celebró la primera de las reuniones que plantea en una gira europea en relación a la famosa sentencia del TJUE sobre el mal llamado derecho al olvido.

Una crónica del encuentro, que comparto plenamente, pueden leerla en el blog "Privacidad Lógica" escrita por Fancisco Javier Sempere.

Comparto sobre todo que el hecho de hacerla abierta al público fue una forma de tener un fondo para un escenario, más que la voluntad de hacer una participación de afectados, otros expertos, etc.

También creo que llegó demasiado pronto, pues considero que a la hora de la implementación práctica de la sentencia, hay aspectos que resultarán relevantes de lo que diga finalmente la Audiencia Nacional, que es quien preguntó al TJUE.

Como digo, dado que la crónica de "Privacidad Lógica" o la Samuel Parra para El Mundo reflejan básicamente lo vivido, remito a ellas para quien quiera hacerse una idea del encuentro.

Sin embargo, sí me interesa dejar una reflexión al hilo de todo esto y de un problema sobre el que, como sociedad, debemos ir tomando consciencia y que, sólo en parte, está relacionado con este llamado derecho al olvido.

Cuando uno revisa la historia, cuando uno habla con historiadores sobre las fuentes que emplean para sus trabajos, se destaca la importancia de los archivos históricos, de la documentación personal, de los diarios, de las cartas personales entre personajes, etc.

Hay un sinfín de documentación que es imprescindible para poder desvelar el pasado, para poder contar el contexto de los hechos históricos y entender su verdadera naturaleza.

Relaciones entre personajes, el origen de disputas entre países que en ocasiones se achacan a intereses de estado pero que el estudio de esos documento revela la verdadera naturaleza (más mundana) de los mismos, etc.

Todo eso, en una sociedad del email, del whatsapp, en una sociedad de soportes digitales que desaparecen cuando se da de baja un servicio, dejará de existir. Si alguno de nosotros mañana fuera un personaje "histórico" ¿cuantos registros privados accesibles dejaría para su estudio en 100 años?.

Hay que pensar que muchos servicios de comunicaciones electrónicas (email, chat, etc.) desaparecen con todos los mensajes intercambiados, que cuando morimos o damos de baja la cuenta todo el contenido se evapora súbitamente, en el fondo, que no hay persistencia de la información no pública.

Es cierto que antes también se perdía información (el papel también sufre el paso del tiempo o también podía destruirse voluntariamente) pero los personajes de cierta posición tenían una perspectiva de su propia vida que les hacía conservar sus archivos y documentos. Incluso muchos de nosotros, los que ya tenemos cierta edad, conservamos cartas escritas entre amigos de distintas ciudades de nuestra adolescencia, etc.

El problema es que, ante la ausencia de acceso a esas fuentes privadas, la historia se construirá desde el relato de lo público, es decir, desde la información accesible al historiador en hemerotecas de periódicos, sitios como archive.org, o en páginas web de cualquier tipo que hayan publicado esa información.

Y todos sabemos que no siempre se publica la verdad, o al menos toda la verdad, de los acontecimientos, bien porque no se conoce, bien porque no se puede contrastar o por otras razones de cualquier naturaleza. Por no hablar de los problemas de fiabilidad, ya que la confirmación de algo por el propio partícipe en una carta manuscrita no es lo mismo que lo publicado por alguien anónimo en internet, por ejemplo.

En este escenario, el historiador deberá valerse, sin duda, de los buscadores (o herramientas similares) para, al indagar en el hecho histórico y los personajes, construir el relato. Pero si la información de los buscadores se bloquea a petición del interesado, nos encontraremos con que también las fuentes públicas presentan un problema de perspectiva.

¿No sería razonable que la información bloqueada ahora, volviese a ser localizable en 50 años? ¿O que, como se propuso en el consejo asesor el martes, se enviase al final de las páginas de resultados para que el esfuerzo por encontrarla fuese un criterio relevante?

Como digo, es fácil intuir los problemas a los que los historiadores se enfrentarán en un futuro y los retos que tendrán para el estudio de la historia. Evidentemente es un problema al que sólo ahora comienzan a enfrentarse, pero sería bueno que como sociedad fuésemos conscientes de ello e ir reflexionando sobre los problemas.

Tras la sentencia en el caso Google, ¿y ahora qué?

Tras el fallo del Tribunal de Justicia de la Unión Europea, que da la razón a la Agencia Española de Protección de Datos, ¿qué panorama es razonable esperar, habida cuenta del contenido de la sentencia?.

En primer lugar, hay que esperar como aplica la Audiencia Nacional, el órgano que eleva la consulta, el caso particular, aunque el TJUE prácticamente lo ha dado todo resuelto, con constantes referencias al supuesto concreto.

Pero la aplicación de esta jurisprudencia no es automática, en cada uno de los más de 200 casos pendientes la Audiencia Nacional debe valorar si el supuesto ampara o no la pretensión de Google, que es el recurrente, o de la Agencia Española, que es quien ha dictado la tutela de derechos de los particulares.

Habrá casos en los que se resuelva en el mismo sentido, y se aprecie que el interés legítimo impone retirar los enlaces, pero habrá otros casos, como por ejemplo con personajes públicos o datos publicados por mandato legal, en los que no.

Pero tras los casos que ya están en la Audiencia Nacional, se pueden dar varios escenarios.

El primero, y más evidente, es que Google Spain S.L. cierre. No quiero decir que el buscador no sea usado desde España, solamente que deje de prestar servicios la empresa auxiliar para la comercialización de la publicidad. Ello no es que haga que la normativa no le sea aplicable, pero si al menos pondría nuevamente sobre la mesa el debate.

Hay que tener en cuenta que los efectos de esta sentencia, y por ello de la legislación española y europea, se producen por la existencia de la oficina en España. Sin ella, Google podría volver a alegar que no le es aplicable la legislación y volveríamos a la casilla de salida.

El segundo, es que Google ponga una herramienta para retirar automaticamente todos los enlaces que el usuario, con una mínima acreditación o compromiso de legitimidad, al estilo DMCA, señale como infractores de sus derechos.

De esta manera, se automatizaría el proceso, para el buscador el coste de implementarlo sería mínimo y si ya lo hace para cuestiones de propiedad intelectual, ningún impacto en su  modelo de negocio se produce.

Esta posibilidad es la que presenta un mayor riesgo para los derechos de los demás, puesto que nos impide a los demás localizar fácilmente información en internet, aunque sea pública y legítima. El TJUE también menciona este problema en su sentencia y le preocupa el efecto que pueda darse.

La tercera opción, es montar un sistema de recepción de avisos, valorarlos y decidir si se retira el enlace. Esto puede implicar unos costes de gestión enormes, ya que implica valorar cada petición individualmente y decidir, con el riesgo a equivocarse.

Esta posibilidad es la más acorde con el respeto a los derechos de todos y el fallo del TJUE.

Y la cuarta opción es no hacer nada, y puede que sea la más inteligente para Google. Acumular las peticiones, dejar que los usuarios que lo consideren inicien un procedimiento de tutela de derechos, no todos lo harán, ante la Agencia de Protección de Datos y que sea esta quien decida cuando procede o no la retirada del enlace.

De esta manera, el problema se les traspasaría a la Agencia, que podría verse saturada de peticiones, que debe resolver y le daría el trabajo de decisión hecho a Google, con unos costes mínimos, puesto que las alegaciones podrían ser casi un formulario.

Estos son escenarios posibles habida cuenta del contenido de la Sentencia.

Lo cierto es que la misma me deja un sabor agridulce. Por un lado, y en el corto plazo, por los derechos del ciudadano afectado me parece positiva. Pero a largo plazo creo que puede tener efectos negativos en términos sociales, pues no me termina de convencer la posibilidad de que cada uno mostremos sólo una parte de lo que nos interesa, obviando otras cosas que también son importantes. El problema es que en los procedimientos para decidir qué se retira y que no, el interés del resto por conocer, no se ve representado.

Habrá que estar atento a como se desarrollan los acontecimientos, porque esto sólo acaba de comenzar.

Heartbleed y la responsabilidad de los administradores web por fallos de software

El fallo de seguridad conocido como Heartbleed ha tenido en vilo durante unos días a la internet mundial.

Por algunas noticias parecía que era como el fin de la seguridad en internet y que toda la web estaba comprometida. Como suele suceder, a medida que se conocen los detalles y la gente que sabe empieza a cuestionar lo que se publica el fallo resulta ser un poco menor.

Por ejemplo, INTECO estimaba que afectaba a poco más del 1% de las webs. Que sigue siendo mucho.

Detalles técnicos al margen, lo cierto es que es un tema recurrente el de la responsabilidad de quien administra una web si hay un fallo de seguridad que resulta en un daño.

El fallo concreto de Heartbleed compromete la comunicación segura mediante el protocolo SSL, permitiendo en última instancia acceder a nombres y contraseñas de usuarios, entre otros datos.

En casos como este, es evidente que tenemos un problema relacionado con la protección de los datos de carácter personal del sistema.

La Ley Orgánica 15/1999 de Protección de Datos, en su artículo 9, obliga a que

El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Resalto especialemente la cuestión del estado de la tecnología, puesto que, como sabemos la informática no es algo exacto y son habituales los errores que resultan en un margen de inseguridad que la ley no pretende obviar.

Por lo tanto, el diligente administrador debe comprobar si su sitio tiene este defecto o no y en su caso aplicar el parche o remedio correspondiente.

En caso de no hacerlo y sufrir una denuncia por un robo de datos, la Agencia podría iniciar un procedimiento de inspección.

El problema es que se considera una infracción grave, artículo 44.3:

h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

Así que, en apariencia, no solucionar los problemas de seguridad puede constituir una infracción grave de la normativa de protección de datos

Al margen de la normativa de protección de datos, otro factor es el de los daños que se puedan producir al usuario por el acceso por terceros a contraseñas o identificadores, como por ejemplo en un caso de phising.

Podría nacer una responsabilidad contractual contra el administrador, a pesar de que en el aviso legal sea política habitual excluir la responsabilidad por fallos del software, ya que parece evidente que una vez conocido y difundido el fallo, así como las herramientas para su corrección, el administrador del sitio debe actuar con diligencia para proteger a los usuarios del servicio.

Así que si tienes una web afectada por Heartbleed, deberías estar parcheando OpenSSL para evitar el riesgo de multa por la Agencia de Protección de Datos o una reclamación por daños de tus clientes.

Efectos prácticos de la anulación de la Directiva de Retención de Datos

En un anterior post ya expuse cuales son los fundamentos que han llevado al TJUE a declarar contraria a derecho de la unión la Directiva 2006/24. 

Esta Directiva es muy importante para la investigación de delitos cometidos usando Internet o las telecomunicaciones ya que los datos objeto de tratamiento permiten ligar un hecho con su responsable o autor. Por eso procede analizar las consecuencias prácticas de tal decisión y lo que suponen.

Lo primero que hay que dejar claro es que la retención de datos no es ilegal, lo que es contrario a la Carta de Derechos Fundamentales es que la norma que habilita una intromisión en la intimidad no cumpla los requisitos que legitiman tal intromisión. Es decir, que la Unión Europea podrá dictar otra norma siguiendo las exigencias del artículo 51 de la Carta y del TJUE.

La legislación nacional, como nuestra Ley 25/2007, no se ve anulada directamente. Este pronunciamiento es una cuestión prejudicial planteada por Tribunales de dos estados, Austria e Irlanda, que deberán ahora emitir sentencia con esta base. Hay que tener en cuenta que la Carta es aplicable a las instituciones de la Unión Europea y a los estados miembros cuando aplican la legislación comunitaria.

También hay que señalar que la Directiva, por su propia naturaleza, es una norma para la armonización de la legislación de los países miembros. Es decir, que cada uno de los países tiene sus normas para esta cuestión y la Unión Europea pone criterios comunes y homogéneos.

Esto no cambia, la legislación nacional sigue vigente y cada Estado tiene capacidad para regular e imponer obligaciones de conservación.

Ahora bien, ello no obsta para que en cualquier procedimiento judicial en España se empiece a cuestionar si nuestra Ley de Conservación de Datos es compatible con la Carta de Derechos Fundamentales, en la medida en que la retención de estos datos se hace con una norma que tiene los mismos defectos que la propia Directiva y por lo tanto no pasaría el test del artículo 52 de la Carta y cuya redacción, además, deriva de la normativa comunitaria ahora anulada.

Es decir, las empresas operadoras y obligados a la conservación de los datos de las comunicaciones siguen estándolo en las mismas condiciones que se hace hasta la fecha. Pero en cualquier procedimiento judicial en el que se acuerde un acceso a esos datos debe plantearse la legalidad de la misma.

Es decir, a nivel práctico, de manera inmediata, no hay mayores consecuencias directas. 

Sí que deberemos esperar a lo que jueces y tribunales puedan decir en los incidentes de nulidad de actuaciones que sin duda se plantearán desde este momento en procedimientos judiciales abiertos, ya que sí existiría vía incluso para la cuestión prejudicial. En estos procedimientos, si la investigación se inició por el acceso a esos datos y no hay confesión posterior, podrá ponerse en cuestión todo el procedimiento.

En procedimientos terminados, donde haya recaído condena por hechos que han sido investigados invocando la LCD, sería más complicada una revisión si no ha sido previamente alegada, pero sería planteable, si se da el plazo, el recurso ante el Tribunal Europeo de Derechos Humamos.

El más inmediato impacto directo de esta sentencia, sin embargo, se debe ver en los proyectos de reforma de la Ley de Propiedad Intelectual y del Código Penal, en la medida en que las disposiciones para ampliar el acceso a los datos de tráfico para delitos menos graves o ilícitos civiles queda muy cuestionado.

Las constantes menciones de la Sentencia del TJUE a la compatibilidad de la retención de datos con el respeto a la intimidad y la vida privada sólo con la persecución de delitos graves (como terrorismo y narcotráfico) evidencian que será difícil justificar la habilitación del acceso para otros supuestos y mucho menos para casos civiles.

Mantener una reforma de la LPI con un criterio que excede de manera evidente la Carta de Derechos Fundamentales de la Unión no parece una medida inteligente o con mucho futuro.

Otro efecto es la necesidad del legislador europeo de reformar la normativa para adecuarla a lo dispuesto por el Tribunal así como que los estados miembros procedan igualmente a la revisión de sus leyes para adecuarlas a los principios aplicables.

En conclusión, la sentencia reconoce el derecho a la intimidad y la vida privada, reconoce que este derecho puede ceder para la persecución de ciertos intereses vitales para los estados, pero que esta cesión ha de hacerse de una manera concreta y correcta en respeto de los derechos fundamentales. Y que parece razonable que los estados que regulan esta materia lo hagan con respeto a los principios señalados por la sentencia, no como hasta ahora.

Esperemos que esta resolución sirva para abrir un debate real sobre nuestra intimidad y derechos en el ámbito digital, sobre los numerosos riesgos y la necesidad de protección que tenemos, así como cuales son los límites a la hora de garantizar la seguridad y responsabilidad.

Bases de la anulación de la Directiva de Conservación de Datos por el TJUE

El Tribunal de Justicia de la Unión Europea ha dado a conocer su sentencia (pdf) (inglés) por la que considera que la Directiva 2006/24/CE, de Retención de Datos (pdf), es contraria a derecho de la Unión y por lo tanto, no válida.

Ya comenté en su momento las conclusiones del Abogado General y el enfoque que daba a la cuestión, en línea muy similar a la sentencia, y a lo que la intuición indicaba desde que tuve conocimiento de la cuestión planteada por Austria.

La Conservación o Retención de Datos supone que todas las comunicaciones electrónicas que tenemos, incluso cuando no se producen efectivamente (una llamada perdida, etc.) son obligatoriamente recogidas por los operadores.

Todos estos datos, número de teléfono, hora, ubicación, etc., se almacenan para ser puestos a disposición de los jueces y tribunales para la investigación de delitos.

Pues bien, el TJUE no dice que no sea lícito recopilar esos datos de nuestras comunicaciones. Recordemos también que el contenido de las comunicaciones no es accedido (o no debería).

Efectivamente la recopilación de tal cantidad de datos supone, sin ninguna duda, una injerencia de muy alta intensidad en la intimidad de las personas, protegida por el artículo 7 de la Carta de Derechos Fundamentales de la Unión Europea.

"Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de sus comunicaciones."

Igualmente respecto del artículo 8 de la propia Carta, que regula el derecho a la protección de los datos personales.

Es tan amplia injerencia en la intimidad de esta medida que incluso podría generar en los usuarios la sensación de vigilancia constante, un auténtico Gran Hermano orwelliano.

Pero lo relevante, la base de esta anulación está en el artículo 52 de la propia Carta, que sólo admite la injerencia en los derechos reconocidos cuando se dan una serie de requisitos, siendo eso lo que falta en este caso:

"Cualquier limitación del ejercicio de los derechos y libertades reconocidos por la presente Carta deberá ser establecida por la ley y respetar el contenido esencial de dichos derechos y libertades.
Dentro del respeto del principio de proporcionalidad, sólo podrán introducirse limitaciones cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás"

Es decir, no es tanto un problema de que no se pueda regular la retención de datos como de que la técnica empleada reúna los requisitos que legitiman esa intromisión en la intimidad de las personas. De hecho el TJUE recuerda que la libertad de que goza el legislador comunitario para legislar se ve reducida en relación a los derechos garantizados por la Carta, la naturaleza y seriedad de la injerencia y el objetivo a conseguir con la misma.

El TJUE analiza los requisitos subrayados y concluye que, en relación a lo apropiado o no de la medida, habida cuenta de que se usa para la persecución de delitos graves (serious crimes), es una herramienta valiosa para las investigaciones criminales. En ese sentido, como decía, la retención es adecuada.

Pero la retención es criticada por que:

1- es demasiado amplia, incluye a todas las personas, incluso aquellas de las que no hay una evidencia mínima que sugiera su relación con un delito grave. De hecho, la Directiva no da ningún supuesto de exención, lo que incluye a personas que están sujetos a secreto profesional, como abogados y periodistas, por ejemplo.

2- no requiere relación entre los datos que son objeto de retención y una amenaza concreta para la seguridad.

3- no contiene criterios objetivos para determinar los límites de acceso de las autoridades nacionales competentes, y el subsiguiente uso de los mismos para los fines propuestos. De hecho hay una mera referencia a delitos graves según lo defina cada estado miembro.

4- tampoco hay en la Directiva condiciones de acceso y uso de los datos por las autoridades nacionales, indicando que debería decirse que el uso de los datos accedidos debe restringirse a la prevención y detección de delitos precisamente definidos.

5- no hay limitación respecto del uso de los datos a lo estrictamente necesario a la luz del objetivo perseguido.

6- el periodo de retención, de como mínimo 6 meses, no hace distinción entre tipos de datos o categoría de los mismos.

7- igualmente, respecto del periodo establecido, entre 6 y 24 meses, no está fijado por criterios objetivos en orden a conseguir lo necesario con la mínima injerencia.

8- no se fijan reglas claras, por lo que la injerencia no esta circunscrita con precisión a lo estrictamente necesario.

9- no se dan garantías de que los datos retenidos no van a ser malutilizados o de cómo se pretende garantizar su integridad y confidencialidad. De hecho ni tan siquiera hay órdenes para que los estados miembros, destinatarios de la norma, lo hagan. Además, los propios operadores, que son quienes guardan los datos, no tienen que adoptar niveles elevados de seguridad para proteger los mismos.

Por todo lo anterior, concluye el TJUE que el legislador comunitario ha excedido los límites impuestos por el citado artículo 52, por lo que declara contraria a ese artículo la Directiva.

Como decía, no es una cuestión de que la recopilación de los datos no sea legítima y compatible con el derecho de la Unión, lo que no es compatible es la redacción de una norma, la Directiva 2006/24, que no tiene los elementos que justifican una injerencia de tal naturaleza.

[Nota] Estos son los fundamentos básicos del porqué se produce esta decisión, dejo para otro post las consecuencias prácticas de la misma.

Sanción de 3500 euros por instalar cookies de navegación sin informar correctamente

La Agencia Española de Protección de Datos ha sancionado (pdf) a dos empresas con un total de 3500 euros por instalar cookies (hay otras infracciones pero son por otros problemas al no informar en los formularios de contacto) en los equipos de las personas que visitaban sus sitios web porque

"ha quedado acreditada la instalación de cookies no exentas en los equipos terminales de los usuarios que visitan las páginas web titularidad de ambas entidades sin que éstas proporcionen a los mismos una información clara y completa sobre el uso y finalidades de las cookies que se descargan en sus terminales."

En el fondo del asunto hay fallos en la información que se muestra a los usuarios que navegan por el sitio, no bastando el "pop-up" desplegable mínimo sin una mayor información real y detallada de lo que se hace con las cookies.

Así por ejemplo la Agencia aprovecha la resolución para explicar como debería mostrarse la información en el sitio web en el que se dispongan dos capas para contener la información sobre las mismas:

La primera capa (lo que habitualmente tenemos en una ventana emergente) debería incluir la siguiente información mínima:

- Advertencia sobre el uso de cookies no exceptuadas que se instalan al navegar por los sitios web o al utilizar el servicio solicitado.
- Identificación de las finalidades de las cookies que se instalan, con información sobre si se trata de cookies propias o de terceros.

- Advertencia, en su caso, de que si se realiza una determinada acción se entenderá que el usuario acepta el uso de las cookies.
- Un enlace a la segunda capa informativa en la que se indica una
información más detallada.

Esta información es necesaria para que el usuario conozca el uso de estos dispositivos, su finalidad, los responsables de su utilización y la conducta de la que se inferirá la prestación del consentimiento, así como para que éste pueda obtener información adicional."

Y en una segunda capa:

"Tipo de cookies que utiliza la página web y su finalidad.

- Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado.
- Identificación de quienes utilizan las cookies, incluidos los terceros con lo que el editor haya contratado la prestación de un servicio que suponga el uso de cookies."

De esta manera puede conseguirse un consentimiento válido y adecuado, manifestado después con la aceptación del pop-up, pero si falla la información no puede hablarse de consentimiento, lo que justifica la imposición de la sanción.

Es decir, que hay que tener cuidado con los avisos que se redactan y que no incluyan esa información que la agencia señala en la primera capa.

A día de hoy es muy difícil localizar avisos en los que la información disponible coincida con lo indicado, por lo que el riesgo es evidente.

Y por supuesto, identificar correctamente las cookies entre las exentas y las que no.

Sin duda un precedente que obligará a revisar avisos legales y avisos de instalación de cookies para reducir el riesgo de una sanción por parte de  la Agencia.

La protección de datos como obstáculo a la consulta catalana

El ayuntamiento de Barcelona ha adoptado una moción para ceder los datos del padrón a la Generalitat de Catalunya con el fin de poder organizar la conocida como "consulta catalana" sobre la independencia.

La idea, lógicamente, es disponer de la información de los residentes en el territorio con el fin de poder organizar una votación evitando dobles votos o fraudes electorales, como electores de otras jurisdicciones, etc.

Para las elecciones en general se emplea el censo electoral, que viene regulado en la Ley Orgánica 5/1985. 

Compone el censo electoral, artículo 31:

"El censo electoral está compuesto por el censo de los electores residentes en España y por el censo de los electores residentes-ausentes que viven en el extranjero. Ningún elector podrá figurar inscrito simultáneamente en ambos censos."

Es competencia municipal la tramitación de la inscripción en el censo, por eso los ayuntamientos pueden tener acceso al listado del mismo.

Pero otra cosa es el padrón municipal, aunque lógicamente comparte la composición de sus datos. El padrón municipal se regula en la Ley 7/1985 de bases de régimen local, artículos 15 y siguientes. El padrón se define, artículo 15, de la siguiente manera:

"1. El Padrón municipal es el registro administrativo donde constan los vecinos de un municipio. Sus datos constituyen prueba de la residencia en el municipio y del domicilio habitual en el mismo."

Y en lo que respecta a lo aprobado por el ayuntamiento de Barcelona, la Ley prevé la cesión de los datos del padrón a otras administraciones públicas, según el artículo 16.3:

"Los datos del Padrón Municipal se cederán a otras Administraciones públicas que lo soliciten sin consentimiento previo al afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes."

Es decir que la ley permite que el ayuntamiento de Barcelona, o cualquier otro, ceda los datos a la Generalitat sin consentimiento del afectado pero sólo para el ejercicio de las respectivas competencias.

Tampoco el artículo 21 de la Ley Orgánica de Protección de Datos habilitaría una cesión para este supuesto.

Y aquí es donde encontramos el escollo fundamental en estos momentos, puesto que sin la habilitación legal para la convocatoria de un referéndum, que viene regulado por la Ley Orgánica 2/1980, no parece que la Generalitat tenga competencias que justifiquen la cesión de los datos del padrón municipal, lo que dejaría la cesión al margen de la habilitación prevista, por lo que los ciudadanos afectados podrían solicitar la tutela de derechos, en este caso, ante la Autoridad Catalana de Protección de Datos. 

Es decir, nada impide, a mi juicio, que los ayuntamientos o la Generalitat, convoquen a que los ciudadanos a unas urnas para que expresen su opinión sobre un tema, el problema es la naturaleza vinculante de esta opinión, ya que existe una imposibilidad de hacer un censo "alternativo" con los datos personales del padrón ya existentes en los ayuntamientos. Al margen de cuestiones sobre la naturaleza vinculante como referendum, para hacerlo habría que solicitar autorización a los ciudadanos a modo de inscripción de electores, por ejemplo, pero no se puede obligar a nadie a estar en ese listado o a autorizar la cesión, con lo cual poca legitimidad vinculante, al margen de la estadística, tendría la misma si hay personas que no figuran en ella o sólo lo compone una parte de la población.

Tengo curiosidad por el informe que emitiría la Autoridad ante este supuesto y que debería elaborar cuanto antes con el fin de tener claro el marco jurídico del empleo de los datos de ciudadanos en este caso.

¡Alto o tu coche denuncia!: Más cerca de las denuncias de tráfico automáticas

Hace años que voy comentando, medio en serio medio en broma, en las charlas que las posibilidades de la tecnología van a llegar a un punto en el que el legislador obligue a instalar un GPS en cada coche para que este obtenga el permiso de circulación. Y a que ese GPS esté conectado a la central de la DGT, de tal manera que los límites de velocidad se denuncie automáticamente cualquier infracción de velocidad, etc.

Generalmente busco este comentario para hacer reflexionar sobre los límites entre la intimidad de las personas y las intromisiones que se producen y hasta donde estaríamos dispuestos.

El responsable de ventas de Ford afirmó en el CES de Las Vegas que:

"We know everyone who breaks the law, we know when you're doing it. We have GPS in your car, so we know what you're doing. By the way, we don't supply that data to anyone,"

Aunque posteriormente matizó estas palabras indicando que:

"We do not track our customers in their cars without their approval or their consent"

Creamos a este señor y que realmente Ford no recopila datos de los GPS que se instalan en los vehículos y/o que sólo lo hace cuando estos han prestado su aprobación y consentimiento y que, por supuesto, que esa información no es compartida con nadie más.

Ante estas noticias los legisladores y autoridades de protección de datos y privacidad deberían movilizarse y empezar a legislar la manera de evitar abusos o limitar o prohibir la recopilación de esos datos, recordando lo que dice el artículo 18.4 de la Constitución:

"La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos."

Las Cookies como programas para hacer que se aplique la LOPD

Ayer por la noche en el programa de televisión "Salvados" de la Sexta, bajo el título "Nos Espían", se mostraron muchas cuestiones relacionadas con el tratamiento de información por ordenadores. Seguramente demasiadas cuestiones y con algo de falta de contexto y análisis de cada una de ellas.

Entre los informáticos que seguían por Twitter el programa, produjo bastante sorpresa la afirmación del Director de la Agencia de Protección de Datos de que las cookies eran "pequeños programitas".

Evidentemente las cookies no pueden considerarse un programa informático, ni pequeño ni grande, pues son simplemente un archivo que se se escribe en el ordenador del usuario cuando visita una página web. No hay código en el archivo, ni se ejecuta, ni realiza nada más que el mero almacenamiento de la información que en él se escribe.

Pero la razón de referirse a las cookies en estos términos, es estrictamente jurídica y deriva de la necesidad de suplir por la vía interpretativa la errónea redacción de la Directiva 95/46/CE respecto de su ámbito de aplicación. El ámbito de aplicación es lo que determina a quien y en qué circunstancias se aplica la ley. Por lo tanto, quedar fuera implica no tener que cumplir sus previsiones.