El caso Svensson y sus consecuencias para el régimen de los enlaces

Sergio Carrasco
-
3
El caso Svensson y sus consecuencias para el régimen de los enlaces
Por fin tenemos la Sentencia del caso Svensson, una Sentencia muy esperada por los profesionales del Derecho a causa de la gran importancia que para el mundo digital podían tener las decisiones tomadas en la misma, y en particular respecto al régimen de los hiperenlaces en relación a la defensa de la Propiedad Intelectual. No han tardado en aparecer multitud de titulares que pueden llevar a la confusión al eventual lector, tanto aquellos que afirman que no puede ser aplicada la protección de los derechos de autor al supuesto de enlaces como aquellos que directamente afirman que los enlaces constituyen una infracción en todo caso. La realidad es que la Sentencia del Tribunal de Justicia profundiza en los requisitos a analizar caso por caso para ver si un enlace constituye realmente comunicación pública. Afortunadamente, ya contamos con diversos análisis de gran nivel como son los realizados por los compañeros David Maeztu, Roberto Yanguas y Andy Ramos. Por lo tanto, algunas preguntas que ya podemos contestar son ¿Son todos los enlaces una comunicación al público que requiere autorización? No, existen supuestos en que necesitaremos de dicha autorización y supuestos en los que no. ¿Entonces es cierto que enlazar nunca requerirá de autorización y que esta es la Sentencia que salvará a Internet? Tampoco. El caso es más complejo, e incluso la misma Sentencia tiene algunas partes que podrían ser susceptibles de aclaración. Además, soy del parecer que algunas de las conclusiones a las que se han llegado son fruto de las características concretas del caso. Dada la gran diversidad de servicios y de funcionamientos que podemos encontrar a la hora de acceder a una obra, está claro que la discusión no va a finalizar para todos los casos con esta decisión. Tengo un blog y enlazo a contenidos de terceros. ¿Tengo que preocuparme? En muchos casos no, como veremos a continuación. Además, la protección del régimen de exclusión de responsabilidad para prestadores de servicios no ha cambiado. Recordemos que si la exclusión es aplicable, no se aplica el régimen de atribución de responsabilidad sea el que sea, por lo que quedarías protegido. ¿Y qué pasa con Google y otros agregadores? Google y su servicio de noticias tal vez es uno de los grandes beneficiados. Si hablamos del servicio de buscador, continuará protegido por la exclusión de responsabilidad para servicios de esta naturaleza (no hace falta hablar de una «excepción Google»). Servicios que enlazan a noticias en páginas de terceros como Meneame resultan asimismo beneficiadas, dado que en opinión del TJUE no hay comunicación pública al entender que no existe un público nuevo (siempre y cuando no se utilicen mecanismos para evitar restricciones puestas por el titular). ¿Cuáles son los antecedentes del caso? En este caso nos encontramos con que los demandantes, los Sres. Svensson y Sjögren y las Sras. Sahlman y Gadd, eran periodistas que redactaban artículos publicados en el diario Göteborgs-Posten, que cuenta con una edición digital libremente accesible para cualquier usuario de Internet. El demandado, RetrieverSverige, opera una página web que facilita a sus usuarios una lista de enlaces a artículos recopilados desde páginas web de terceros de acuerdo con las preferencias que señalan. Por lo tanto, lo que tenemos es 1.- Una página, el diario, en que los artículos se encuentran disponibles con autorización de los titulares de los derechos de autor. Cualquier usuario puede acceder libremente a dichos contenidos sin restricciones. 2.- Otra página, que es la que enlaza a dichos contenidos, sin que la web a la que enlaza cuente con ningún mecanismo que impida los enlaces entrantes. Los demandantes reclamaban una indemnización por los perjuicios provocados a causa de la inclusión de enlaces hacia los artículos de prensa sobre los que ostentaban derechos de autor, al entender que el demandado realizaba una explotación de la obra al poner los artículos a disposición de sus usuarios en su página web. Argumentaban además que, al pulsar sobre uno de estos enlaces, el usuario tenía la sensación de que continuaba estando en la web de RetrieverSverige pese a que los contenidos a los que se accedía se encontraban realmente hospedados en otra web. Los demandantes presentaron demanda de indemnización contra RetrieverSverigeante ante el Stockholmstingsrätt (Tribunal de Primera Instancia de Estocolmo), que rechazó sus peticiones de recibir una compensación por el uso no autorizado de sus artículos, decisión que fue recurrida ante el Sveahovrätt (Tribunal de apelación de Svea). Éste optó por plantear una petición de decisión prejudicial al Tribunal de Justicia Europeo ante las dudas surgidas en el caso. ¿Cuáles fueron las cuestiones prejudiciales planteadas?
1) Si una persona distinta del titular del derecho de propiedad intelectual de una determinada obra ofrece en su página de Internet un enlace sobre el que se puede pulsar y que conduce a esa obra, ¿realiza una comunicación al público de esa obra en el sentido del artículo 3, apartado 1, de la Directiva [2001/29]? 2) ¿Influye en la apreciación de la primera cuestión que la obra a la que conduce el enlace se encuentre en una página de Internet a la que puede acceder cualquier persona sin restricciones o cuyo acceso esté limitado de algún modo? 3) A la hora de apreciar la primera cuestión, ¿debe realizarse una distinción según que la obra, una vez que el usuario ha pulsado sobre el enlace, se presente en otra página de Internet o se presente de modo que parezca que se encuentra en la misma página de Internet? 4) ¿Están facultados los Estados miembros para otorgar al autor una protección más amplia de su derecho exclusivo  permitiendo que la comunicación al público comprenda más actos que los derivados del artículo 3, apartado 1, de la Directiva [2001/29]? El enlace como comunicación al público El debate sobre la posibilidad de contemplar el enlace como una comunicación pública no es nuevo, y lo cierto es que durante el tiempo que el TJUE ha tardado en pronunciarse podemos encontrar opiniones al respecto, incluyendo la de la European Copyright Society
If hyperlinking is regarded as communication to the public, all hyperlinks would need to be expressly licensed. In our view, that proposition is absurd.
El texto recuerda el caso Paperboy en Alemania, en el que el Bundesgerichtshof analizó el servicio de un buscador que se encargaba de buscar contenidos en ediciones digitales de periódicos y facilitaba el contenido a través de enlaces, concluyendo que su actividad no era infractora
A person who sets a hyperlink to a website with a work protected under copyright law which has been made available to the public by the copyright owner, does not commit an act of exploitation under copyright law by doing so but only refers to the work in a manner which facilitates the access already provided …. He neither keeps the protected work on demand, nor does he transmit it himself following the demand by third parties. Not he, but the person who has put the work on the internet, decides whether the work remains available to the public.If the web page containing the protected work is deleted after the setting of the hyperlink, the hyperlink misses. (…) This is however no different to a reference to a print or to a website in the footnote of a publication
Por lo tanto, se nos indica el riesgo que tiene para el funcionamiento propio de Internet el entender que todo enlace constituye una comunicación al público, así como la opinión de que si la obra ha sido puesta a disposición del público por el titular de los derechos de autor no existe un acto de explotación. Para solventar este problema, el TJUE acude a asociar dos elementos acumulativos al acto de comunicación pública: un «acto de comunicación» de una obra y la comunicación de ésta a un «público». En primer lugar, y respecto al requisito de que se de una comunicación, ya en la sentencia de 4 de octubre de 2011, FootballAssociation Premier League y otros, C-403/08 se hacía referencia a la interpretación amplia que debía hacerse de este requisito
En estas circunstancias, y dado que el legislador de la Unión no ha expresado una voluntad diferente por lo que respecta a la interpretación de este concepto en la Directiva sobre los derechos de autor y, en particular, en su artículo 3 (véase el apartado 188 de la presente sentencia), la noción de comunicación debe interpretarse de manera amplia, en el sentido de que tiene por objeto toda transmisión de las obras protegidas, con independencia del medio o del proceso técnico utilizados.
En el presente caso, la conclusión del TJUE ha sido que
el hecho de facilitar en una página de Internet enlaces sobre los que se puede pulsar y que conducen a obras protegidas publicadas sin ninguna restricción de acceso en otra página de Internet ofrece a los usuarios de la primera página un acceso directo a dichas obras.
El Tribunal continúa haciendo referencia a la sentencia de 7 de diciembre de 2006, SGAE, C-306/05, según la cual basta la mera puesta a disposición para que se produzca dicho acto de comunicación, sin que sea decisivo que dichas personas utilicen o no esa posibilidad
Además, se desprende de los artículos 3, apartado 1, de la Directiva 2001/29 y 8 del Tratado de la OMPI sobre derecho de autor que para que haya comunicación al público basta con que la obra se ponga a disposición del público, de tal forma que quienes lo compongan puedan acceder a ella.
A la vista de lo indicado hasta el momento, podría parecer que el enlace constituye en todo caso una comunicación al público y que, por tanto, se produce un cambio profundo en el régimen de los enlaces al requerir en todo caso de autorización de los titulares de derechos. No obstante, debemos ahora recordar que existe un segundo requisito, que es el referido a que dicha comunicación se produzca a un público nuevo. En este sentido, la sentencia de 4 de octubre de 2011 ya indicaba que
Ahora bien, para estar comprendido, en circunstancias como las del asunto principal, en el concepto de «comunicación al público» en el sentido del artículo 3, apartado 1, de la Directiva sobre los derechos de autor es necesario, además, que la obra difundida se transmita a un público nuevo, es decir, a un público que no tuvieron en cuenta los autores de las obras protegidas cuando autorizaron su utilización para la comunicación al público de origen (véanse, en este sentido, la sentencia SGAE, antes citada, apartados 40 y 42, y el auto de 18 de marzo de 2010, Organismos Sillogikis Diacheirisis Dimiourgon Theatrikon kai Optikoakoustikon Ergon, C‑136/09, apartado 38).
Es en este criterio en que se basa el TJUE para concluir que en el caso no existe dicha comunicación al público
En efecto, el público destinatario de la comunicación inicial era el conjunto de los usuarios potenciales de la página en la que se realizó, porque, sabiendo que el acceso a las obras en esa página no estaba sujeta a ninguna medida restrictiva, todos los internautas podían consultarla libremente
Por lo tanto, debemos analizar la voluntad que se ha manifestado en la autorización de la comunicación inicial para ver si nos encontramos ante una comunicación a un nuevo público o no. La Sentencia continúa argumentando que
si el enlace sobre el que se puede pulsar permitiera a los usuarios de la página en la que se encuentra dicho enlace eludir las medidas de restricción adoptadas en la página en la que se encuentra la obra protegida para limitar el acceso a ésta a los abonados y constituyera, de este modo, una intervención sin la cual dichos usuarios no podrían disfrutar de las obras difundidas, habría que considerar que el conjunto de esos usuarios es un público nuevo que no fue tomado en consideración por los titulares de los derechos de autor cuando autorizaron la comunicación inicial, de modo que tal comunicación al público exigiría la autorización de los titulares
Lo cierto es que respecto a esta limitación existe un amplio margen de interpretación, habida cuenta de la diversidad de servicios con funcionalidades similares a las referidas. Podemos mencionar, entre otras – Servicios de ofuscación de origen del usuario para permitir evadir limitaciones geográficas – Enlaces que permitan hacer uso de errores de código para acceder a contenido accesible normalmente solo a suscriptores Además tenemos algunos servicios que nos plantean dudas, como son aquellos que intentan impedir accesos masivos desde webs de terceros. Nos encontraríamos en este caso con contenidos accesibles en muchos casos libremente por cualquier usuario, pero que eludirían una medida de restricción impuesta por el titular. Este supuesto debería quedar fuera de los casos en que existe un público nuevo (a mi juicio) al no cumplirse la condición de que sin la intervención realizada por la página el usuario no podría acceder a los contenidos. Dicho lo anterior, soy de la opinión de que habría que analizar el tipo de medida de restricción impuesta en cada caso concreto y que resulta complicada su generalización. ¿El bloqueo se hace por IP de los usuarios o al acceso desde webs de terceros como he indicado? ¿Cuál ha sido la opción de restricción por la que ha optado realmente el titular de los derechos? ¿Podríamos entender que de algunos aspectos de la infraestructura escogida se ha tenido en cuenta un público potencial mayor del que podría parecer a primera vista? Lo cierto es que la cuestión es bastante compleja. Otro aspecto al que no se le ha dado la importancia correspondiente en la mayoría de medios es el de las consecuencias de cómo se muestra el contenido al que se enlaza.
En consecuencia, dado que no existe un público nuevo, no es necesario que los titulares de los derechos de autor autoricen una comunicación al público como la del litigio principal.   Esta conclusión no se vería afectada por el hecho de que el tribunal remitente comprobase –extremo que no se deduce claramente de los autos– que, cuando los internautas pulsan sobre el enlace de que se trata, la obra aparece dando la impresión de que se muestra en la página en la que se encuentra el enlace mientras que dicha obra procede en realidad de otra página.
Por lo tanto, no requeriría de autorización supuestos como la incrustación de contenidos en nuestra página web, siempre y cuando se cumpliera el requisito de que el titular de los derechos de autor hubiera puesto a disposición la obra libremente a través de Internet. Este apartado hace que determinados argumentos como el de la GEMA, cuyo deseo era obtener ingresos adicionales de las páginas web que incrustaban vídeos de terceros, se desvanezcan al no producirse uno de los requisitos acumulativos que la comunicación al público requiere. Si bien la Sentencia se refiere a los denominados enlaces-marco, las circunstancias en que se da acceso a la obra son similares por lo que no correspondería observar una comunicación al público sin perjuicio de que pudieran aplicarse otros preceptos como son los referidos a la competencia desleal. Conclusiones y consecuencias En mi opinión, la conclusión a que llega el Tribunal no es que todos los enlaces constituyan comunicación pública, y que algunos requieren de autorización y otros no (interpretación realizada por, entre otros, Andy Ramos en su excelente post sobre el caso), sino que como  indican en sus declaraciones no constituye un acto de comunicación al público, a efectos del artículo 3, apartado 1, de la Directiva 2001/29/CE del Parlamento Europeo y del Consejo, de 22 de mayo de 2001, relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información, la presentación en una página de Internet de enlaces sobre los que se puede pulsar y que conducen a obras que pueden consultarse libremente en otra página de Internet. Por lo tanto, la falta de uno de los requisitos no determina la falta de necesidad de autorización sino la inexistencia de dicha comunicación al público. Ahora bien, negar que la Sentencia del TJUE no va a tener consecuencias sería faltar a la realidad. La más importante es que como hemos dicho, y dependiendo de las circunstancias, un enlace puede constituir efectivamente una comunicación al público. Hasta el momento, un argumento reiterado en los casos referidos a webs de enlaces era que no se producía comunicación pública sino que únicamente se facilitaba el acceso a la obra. Al no contemplar nuestro ordenamiento un castigo para esta infracción indirecta, los titulares de derechos de autor veían limitadas así sus posibilidades de obtener un resarcimiento por vía judicial contra estas páginas que incluían índices de enlaces. Si entendemos que esta interpretación amplia del concepto de comunicación es aplicable tanto a supuestos de grandes hospedadores de archivos, así como de archivos hospedados en redes P2P (esta última me plantea serias dudas aún después de la Sentencia), nos encontramos con que podremos atribuir la condición de infractor directo ya no únicamente a quien sube el archivo, sino a quien enlaza al mismo. El problema a la hora de generalizar las conclusiones a que ha llegado al TJUE en otros supuestos es que, como hemos indicado anteriormente, la base del caso eran enlaces hacia una página web en la que los contenidos se alojaban con permiso de los titulares de derechos. Es posible que las conclusiones en que nos encontremos ante enlaces hacia webs donde los contenidos se encuentran de forma ilícita fuera resuelto en otro sentido, o tal vez no. Lo que está claro es que la discusión queda abierta. Dicho esto, esta posibilidad únicamente aparecería en aquellos supuestos en que no resultara de aplicación la exclusión de responsabilidad para prestadores de servicios de enlace, como una vía de atribución positiva de responsabilidad. Por lo tanto, y a falta de conocimiento efectivo de la ilegalidad, los titulares de blogs y herramientas similares quedan protegidos como hasta ahora. Dada la interpretación amplia de las vías para obtener dicho conocimiento efectivo, nos encontramos con que actuaciones que permiten conocer que se está dando acceso a la obra a un público mayor que el deseado por el titular de derechos abrirían ahora una nueva vía en el caso de que el prestador no accediera a eliminar dichos contenidos. Si hasta ahora la existencia o no de ánimo de lucro no había resultado determinante en muchos casos al apreciar el órgano judicial que no existía comunicación pública, es posible que a partir de ahora nos encontremos con decisiones con contenido muy diferente. Lo cierto es que, desde el punto de vista estrictamente técnico, sigo teniendo mis dudas respecto a que los enlaces puedan constituir dicha comunicación por amplia que sea la interpretación, pero de momento no nos queda otra que aceptar el criterio del TJUE.

Primera sanción de la AEPD por cookies

Sergio Carrasco
-
4
Primera sanción de la AEPD por cookies
Se ha dado a conocer la primera sanción impuesta por la utilización de cookies en una página web. La Agencia Española de Protección de Datos, en su Resolución 02990/2013 ha sancionado a dos empresas con un total de 3500€ al no haber contado con un consentimiento válido del usuario antes de la instalación de estos dispositivos de almacenamiento y recuperación. ¿Entonces pueden sancionarme si uso cookies en mi página web? Sí, se contempla la posibilidad de sancionar si no cumplimos con las obligaciones que la Ley establece, en particular respecto a la información que debemos facilitar antes de instalar dichas cookies. Tengo un aviso de que instalo cookies en mi página ¿Es suficiente? No, no basta con simplemente avisar. Existen una serie de requisitos mínimos en la información que facilitamos que, de no cumplirse, harían que el consentimiento no fuera válido incluso aunque hubieran pulsado el botón de «Aceptar» ¿La sanción es por no contar con el consentimiento expreso antes de instalar las cookies? No, la sanción es porque la información que se facilitaba al usuario era insuficiente, con lo cual el consentimiento no se podía producir después de haber sido adecuadamente informado. De hecho, la misma resolución admite la posibilidad de que se hubiera producido un consentimiento tácito si la información hubiera sido la adecuada. ¿Cuáles son las circunstancias que se han dado en esta Resolución? La denuncia se realizaba contra las actuaciones de dos entidades a través de sus respectivas páginas web, al entender que  no facilitaban la información requerida legalmente sobre dispositivos de almacenamiento y recuperación de datos ( en este caso cookies), y existir asimismo un vicio en su utilización al no solicitar consentimiento para ello. Además, la denuncia hacía constar que en el formulario de la sección de contacto de dichos sitios no se informa adecuadamente al usuario de la finalidad y tratamiento de sus datos, hecho por el que fueron sancionadas pero que corresponde a una materia ajena a la del presente post. Ambos sitios web se encontraban íntimamente relacionados, al tratarse de una división funcional de la actividad en dos páginas diferenciadas: una destinada a la mera actividad promocional y otra a la gestión de la página web y para la que se creó otra sociedad distinta. La Resolución nos indica además que en el caso de la página destinada a actividad promocional se utilizaban las herramientas de WordPress, siendo desarrollada y mantenida por la propia sociedad, mientras que en el caso de la tienda online se acudió a Magento y a un diseño por parte de una sociedad contratada al efecto. En el presente supuesto ha quedado acreditado que se producen las circunstancias que tipifica el citado precepto, ya que tanto NAVAS JOYEROS como PRIVILEGIA utilizan cookies propias y de terceros en los terminales de los usuarios que acceden a los sitios web de su titularidad sin informarles, de forma clara y completa, sobre el uso de las cookies que se instalarán y fines del tratamiento de la información recuperada a través de las mismas. La Agencia nos indica que en el caso de la web usada para promociones las cookies contaban inicialmente con un apartado dentro de la Política de Protección de Datos, sin que constara nada al respecto en el resto de páginas. La redacción fue siendo modificada para intentar cumplir con los requisitos exigidos por el ordenamiento vigente. En las actuaciones de inspección se detectó la utilización de múltiples cookies, como son las correspondientes a Google Analytics, WordPress (incluyendo la relacionada con las funcionalidades del conocido modulo Jetpack), doubleclick, o Zopim entre otras. Esto responde al gran número de funcionalidades que se optó instalar en la página web como puede ser chat, la inserción de anuncios entre los afiliados de una compañía o servicios de analítica web. Sobre estas cookies es clara la agencia en su apartado 8 de Hechos Probados
La utilización de los mencionados servicios origina la descarga de diferentes tipos de cookies no exentas del deber de información previa al usuario que accede a los sitios web de su titularidad.
Así, en primer lugar debemos tener en cuenta que existirán una serie de cookies que sí estarán exentas de este deber de información previa, y que aparecen en el párrafo tercero del artículo 22 de la LSSICE
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.
¿Y cómo debe ser este consentimiento? Recordemos que el art. 22 LSSICE nos dice claramente que

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos.

En la presente resolución se pone en duda el carácter de completa de dicha información, lo cual invalidaría el consentimiento del usuario aunque hubiera pulsado el botón aceptar mostrado en un aviso instalado en nuestra página web. Si bien las empresas tomaron medidas para mejorar la información que facilitaban a sus usuarios, del contenido de la Resolución debemos concluir que fueron insuficientes para satisfacer la obligación impuesta por la Ley. La Agencia durante su análisis nos muestra un dato sin duda interesante: el contenido mínimo necesario que debemos aportar. Dicho contenido queda dividido entre la primera capa (la información obtenida a través de la clásica ventana emergente que multitud de sitios incorpora) y la segunda capa a la que se accederá a través de un enlace en la misma. La primera capa según la Agencia debería contar necesariamente con la siguiente información: – Advertencia sobre el uso de cookies no exceptuadas que se instalan al navegar por los sitios web o al utilizar el servicio solicitado. – Identificación de las finalidades de las cookies que se instalan, con información sobre si se trata de cookies propias o de terceros. – Advertencia, en su caso, de que si se realiza una determinada acción se entenderá que el usuario acepta el uso de las cookies. – Un enlace a la segunda capa informativa en la que se indica una información más detallada.  La segunda capa deberá profundizar más al respecto, y deberá incluir – Tipo de cookies que utiliza la página web y su finalidad. – Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado. – Identificación de quienes utilizan las cookies, incluidos los terceros con lo que el editor haya contratado la prestación de un servicio que suponga el uso de cookies. En este caso, se detecta que la primera capa correspondiente a la web utilizada para actividades de promoción ya omite la información respecto a la titularidad y finalidades de las cookies que se instalaban. En cambio, la tienda online sí que incluía la información al respecto Respecto a la segunda capa, la conclusión a que llega la Agencia es que no se precisa con suficiente claridad el tipo de cookies utilizadas y las finalidades a que se destinará la información recuperada. Además, se nos indica que pese a mencionar las cookies referentes al servicio Google Analytic omite multitud de cookies de terceros cuya descarga quedó comprobada, produciéndose por tanto un vicio en la información que facilitamos al usuario, al que no se le facilitan los datos relativos a la asociación de cookies con el editor responsable. La Agencia sí que admite que el consentimiento del usuario podría obtenerse a través de “Aceptar” la “Política de Cookies” o seguir navegando por los sitios web (admitiendo así un consentimiento tácito), pero al no cumplir la información facilita los requisitos necesarios para que sea completa y clara éste no resulta válido. Por lo tanto, la conclusión a la que podemos llegar a la vista de esta primera Resolución es obvia: no basta con facilitar simplemente un aviso que informe de que hay cookies, sino que se deben cumplir unos requisitos mínimos en la información que facilitamos a los navegantes, pudiendo ser sancionados si omitimos alguno de ellos como se ha producido en este caso. ¿Alguna recomendación? Sí, analizar correctamente las cookies que instala nuestra página web, diferenciando las que se encuentran exentas del deber de obligación de las que no. Adecuar la información que facilitamos a los requisitos mínimos que hemos indicado y, en caso de duda, consultar con un experto en el tema. En ocasiones, infravaloramos las consecuencias de no acudir a personas que conozcan de la materia, incluso en el caso de proyectos de entidad económica ya importante, y luego pueden producirse sanciones como son la del presente caso.  

El corte de Internet por infracciones de derechos de autor

Sergio Carrasco
-
1
El corte de Internet por infracciones de derechos de autor
Mucho se ha comentado sobre la Sentencia núm. 470/2013 de 18 de diciembre de 2013 de la Audiencia Provincial de Barcelona. Una Sentencia en la cual se corta la conexión a Internet de un determinado usuario por compartir contenidos a través de una Red P2P. Esta decisión es novedosa, no tanto en lo que se refiere a la novedad de los cambios legislativos aplicados, sino en la aplicación en la práctica de una regulación ya existente con anterioridad pero que hasta el momento parecía la gran olvidada: la posibilidad de interponer acciones de cesación contra los intermediarios que prestan servicios de la sociedad de la información. Hemos recibido multitud de preguntas al respecto de este caso, e intentaremos en el presente post dar respuestas a las más repetidas. ¿Cuál es el objeto del caso? Se trata de una demanda por infracción de derechos de propiedad intelectual, interpuesta por PROMUSICAE, WEA INTERNACIONAL INC, SONY MUSIC ENTERTAINMENT SPAIN S.L., WARNER MUSIC SPAIN S.L., UNIVERSAL MUSIC SPAIN S.L., y EMI MUSIC SPAIN S.A. Estas entidades presentaron dicha demanda al obtener conocimiento de que un determinado usuario (identificado en el texto exclusivamente a través de su nombre de usuario como “nito75”) compartía contenidos a través de un sistema de intercambio de archivos P2P denominado “DIRECT CONNECT”, en particular 5097 archivos de sonido. Por lo tanto, aquí el problema no es la descarga, sino el hecho de que compartía posteriormente dichos archivos con el resto de usuarios del servicio. ¿Cuál es la novedad? ¿No ha habido demandas similares por infracción de derechos de propiedad intelectual? La novedad en este caso es que la parte demandada no fue el usuario que compartía dichos contenidos, sino la compañía R, que se encarga de prestar el servicio de acceso a Internet a dicho usuario. El artículo 139 de la Ley de Propiedad Intelectual (‘cese de la actividad ilícita’) contempla efectivamente en su apartado h) la posibilidad de que el cese de la actividad infractora incluya la suspensión de los servicios prestados por intermediarios a terceros que se valgan de ellos para infringir derechos de propiedad intelectual.
1. El cese de la actividad ilícita podrá comprender: h) La suspensión de los servicios prestados por intermediarios a terceros que se valgan de ellos para infringir derechos de propiedad intelectual, sin perjuicio de lo dispuesto en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
Se nos presenta así un cambio en la forma de entender la legitimación pasiva (contra quién dirigimos el proceso)y que ha permitido obligar al operador R a cortar el acceso a Internet. ¿Qué ventajas presenta ir contra el operador en vez de contra el usuario? Los titulares de derechos se encontraban en el ámbito de procesos civiles con la imposibilidad de identificación del usuario pese a contar con la dirección IP utilizada por el usuario para conectarse al servicio P2P. Esta imposibilidad viene provocada por la redacción actual de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones que limita la posibilidad de exigir la identificación a supuestos de detección, investigación y enjuiciamiento de delitos graves, circunstancias que no se dan en el presente caso. Esta barrera ha sido muy discutida en el ámbito legal por impedir en la práctica reclamar por infracciones como la presente, al no poder conocer la identidad de la persona a demandar. Simplemente obteniendo la dirección IP podemos buscar a quien corresponde en multitud de herramientas. Una vez identificado el prestador bastaría ahora acudir a esta vía para que se suspendiera el servicio de acceso a Internet al usuario, sin necesidad de que se identificara a éste. ¿Entonces el usuario ha perdido el caso? Lo ha perdido si lo entendemos como que sus derechos van a verse afectados negativamente, pero lo cierto es que no ha sido parte demandada. Ésta es otra de las características de este procedimiento, al no poder identificar al usuario éste no tiene la posibilidad de realizar las alegaciones correspondientes en su defensa. ¿Y qué ha pasado con el prestador de servicios? En este caso R, la demandada, no se opuso a la demanda y permaneció en rebeldía. ¿Se ha actuado correctamente en el caso? En primer lugar, debemos volver a mencionar que la norma sí que contempla este tipo de medidas. Aún así, desde su modificación existen dudas respecto a la plena legalidad de su regulación. Resulta claro que una medida como es el corte del servicio de acceso a Internet afecta de forma directa y perjudicial, con los consiguientes efectos de cosa juzgada, al usuario que no ha formado parte del proceso. Ve limitados sus derechos, sin que haya podido ser oído ni se haya podido defender en el mismo, creando una indefensión que a mi juicio resulta prohibida por el contenido del art. 12 de la Ley de Enjuiciamiento Civil por suponer una falta de litisconsorcio pasivo necesario. Otro tema es la imposibilidad de los demandantes de identificar al usuario que ha provocado dicha ausencia, y tal vez por esta razón nos encontramos ante una posible deficiencia de carácter técnico-procesal. Por otro lado, estas medidas de interrupción de servicios deben ser objetivas, proporcionadas y no discriminatorias. Un corte definitivo y absoluto de la conexión a Internet por la realización a través de la misma de una infracción de derechos de autor resulta, a mi parecer, una medida desproporcional en la que no se han ponderado adecuadamente los derechos en juego. Un ejemplo de este análisis de proporcionalidad lo encontramos en la Sentencia de la Audiencia Provincial de Barcelona núm. 83/2011, caso elrincondejesus, en la que se llegó a la conclusión que la suspensión de los servicios de acceso y de hospedaje a una web infractora resultaría una medida desproporcionada
En cuanto a la cesación, es cierto que, al amparo de los arts. 138.III y 139.1.h) TRLPI, cabría ordenar la cesación de los servicios de hosting que le presta la entidad de intermediación REDCORUÑA, pero esta medida, que por imperativo legal debe ser proporcionada, a la vista de esta conducta, no lo parece, sin perjuicio de que se condene a la demanda a cesar en la actividad de facilitar la descarga directa de archivos de obras musicales del repertorio de la actora.
Tratándose además en este caso de una conexión a Internet, susceptible de múltiples usos ajenos a las infracciones de derechos de autor, a mi juicio la medida no parece proporcional. Además de todo lo anterior, me llama la atención que se admita la adopción de este tipo de medidas a través de una mera dirección IP. Nada se conoce respecto a la línea a que corresponde dicha dirección, ni mucho menos respecto al usuario. Difícilmente podemos estar seguros fuera de toda duda de que es el titular de la línea quien ha realizado la infracción, por lo que resulta más llamativo imponer una medida de corte de servicio sin realizar dicho análisis previo. ¿Y si el usuario tiene un router wifi no seguro (algo por otra parte nada extraño) y hay alguna persona que ha utilizado la conexión para realizar dichas infracciones? Nos encontraríamos entonces con una atribución de responsabilidad a un usuario por actos de un tercero y sin posibilidad de que alegue nada al respecto, algo que no debería ser admitido por nuestro ordenamiento jurídico. Las herramientas de identificación no han permitido determinar tampoco si se trata de una dirección IP asignada a un domicilio particular o a una empresa en la que el usuario trabaja. Si ponderamos las posibles consecuencias que un corte de acceso a Internet supone en el caso de estas últimas, difícilmente se puede aceptar que resulta una medida adecuada y proporcional. Por tanto, los riesgos surgidos de esta imposición no hacen sino aumentar. ¿Y si pasamos a usar TOR para evitar que obtengan nuestra dirección IP? Ya se ha hablado sobre que TOR no es lo más adecuado para obtener estos resultados, y para muestra, podéis echar un vistazo a este escrito. ¿Alguna otra cuestión? Sin perjuicio de entender que los titulares de derechos de autor deben contar con herramientas que les permitan el ejercicio de sus derechos, la verdad es que personalmente no puedo estar conforme con cómo se ha llevado a cabo el proceso. ¿Cuál va a ser la eficacia real de esta Sentencia, cuando únicamente se ordena a un prestador de servicio determinado suspender un determinado servicio de acceso a Interne? Bastaría con realizar un nuevo contrato con otro prestador, o que otra persona fuera quien contratara dicho servicio para eludir las medidas. ¿Cómo podrá la otra parte comprobar la ejecución de la Sentencia sin poder identificar al usuario?¿Qué pasará si vuelve a ver el mismo nombre de usuario que continúa compartiendo archivos?¿Por qué adoptar una medida limitadora de derechos que no solo no es proporcional sino que además no es efectiva? Los cambios normativos que se avecinan pueden dar solución a alguno de los problemas surgidos en este proceso, como es la imposibilidad de identificar al usuario, pero al final lo que tenemos actualmente es una regulación que por sobreprotectora de un sector ha dejado, en mi opinión, desprotegido al usuario.

IV Edición de los premios Derecho En Red: Mejor blog, post y perfil en twitter jurídico 2013

derechoenred
-
93
IV Edición de los premios Derecho En Red: Mejor blog, post y perfil en twitter jurídico 2013
screen-captureLa Asociación Derecho en Red se complace en anunciar junto con el Gobierno de La Rioja y la colaboración de EventosJurídicos la IV Edición de los premios a «mejor bitácora jurídica», «mejor post jurídico», y al «mejor perfil en twitter jurídico», en reconocimiento de aquellas personas e iniciativas interesadas en el derecho y que hayan contribuido durante el pasado año 2013 de una manera más notable a la difusión de esta ciencia mediante el uso de bitácoras y redes sociales en internet en España. En las ediciones anteriores del premio los ganadores fueron: Dado que la blogosfera jurídica española es cada vez más amplia y por hacer de estos premios una labor en red y transparente, la candidatura a los premios se realizará en los comentarios al pie de este artículo por cualquier usuario que así lo desee (sea el autor de la bitácora o no), aceptándose todas las propuestas de bitácoras cuya temática principal sea eminentemente jurídica. Así mismo nos gustaría que los proponentes nos explicaran brevemente las razones de por qué su propuesta debería ser nombrada mejor bitácora 2013, mejor post 2013 o mejor perfil de twitter 2013. El plazo de proposición de candidaturas finaliza el próximo 15 de febrero de 2014 (ampliamos el plazo), y posteriormente los miembros de la Asociación someterán las 5 bitácoras, los 5 post y los 5 perfiles elegidos al criterio de un jurado cuya composición se adelantará en el momento oportuno. Las bases completas de la convocatoria se pueden consultar en http://derechoenred.es/blog/bases-del-concurso Esperamos vuestras propuestas, seais blogueros o no, y que deis la mayor difusión posible a esta convocatoria para que podamos encontrar la «mejor bitácora jurídica del 2013», el mejor «post jurídico del 2013» y el «mejor perfil con comentarios jurídicos en twitter 2013».

TwitValue, otro ejemplo de aplicación malintencionada

Sergio Carrasco
-
0
TwitValue, otro ejemplo de aplicación malintencionada
Las redes sociales cuentan con un gran número de aplicaciones que ofrecen funcionalidades de todo tipo. Una de ellas se encarga de calcular cuál es el valor de nuestra cuenta en Twitter, y en los últimos días ha gozado de mucha popularidad o eso parecía a tenor del gran número de tweets publicitando la misma. twitvalue El teórico resultado al utilizar esta aplicación es el valor de nuestra cuenta Twitter, al que se le añade un enlace para que nuestros contactos puedan calcular el valor de la suya. De esta forma, nos convertimos en un mecanismo de publicidad de la aplicación, pero los usuarios pueden pensar que dado que su uso es gratuito puede estar justificado y que no se produce ningún otro potencial daño. La realidad es que nos encontramos ante una aplicación malintencionada, que se aprovecha de lo poco que los usuarios se informan a la hora de autorizar una nueva aplicación en su cuenta. Lo cierto es que la facilidad con la que uno puede utilizar dicha aplicación (basta iniciar sesión con twitter, y autorizarla) ha facilitado esta rápida propagación. Igual que sucede con aplicaciones relacionadas con Facebook, debemos estar siempre atentos a los permisos que vamos a otorgar a la aplicación. autorizacionVarios aspectos deberían llamar la atención del potencial usuario
  • Autorizas no solo a que se vea a quién sigues, sino a que la aplicación te añada nuevos seguidores, convirtiéndote potencialmente en una cuenta que pueden utilizar para vender seguidores en Twitter
  • Permites actualizar tu perfil, no solo su lectura.  Pensemos en las posibilidades de poder cambiar el texto de descripción, la imagen, localización, etc…
  • También permites que envíen nuevos tweets por tí.
Por lo tanto, resulta claro que los permisos que nos solicita son desmesurados para la realización del cálculo que nos planteaban (el valor de nuestra cuenta de Twitter). Ante estas señales de riesgo, la mejor opción es no dar permiso a una aplicación de este tipo ¿Tiene entonces un tercero mi contraseña? No, pese a todos los cambios que puede hacer a través de tu cuenta, no tiene acceso a la misma. La he autorizado y ahora publicita contenidos sin mi permiso. ¿Me han instalado un virus? No, simplemente has dado permiso para hacer mucho más de lo que pensabas. Hay siempre que dedicar un poco de tiempo a leer lo que se autoriza, más como cuando en un caso como éste la información en realidad no es tan extensa. ¿Qué puedo hacer ahora? Desde la sección dedicada a Aplicaciones del menú de configuración de Twitter puedes revocar la autorización a una determinada aplicación. ¿Alguna otra recomendación? Antes de autorizar ninguna aplicación, hay que pensar en si realmente nos aporta un valor interesante, y leer bien todo lo que vamos a autorizar a hacer desde nuestras cuentas. En caso de duda, lo mejor es no dar ningún permiso a una aplicación que nos resulte dudosa.

El borrador del Código Procesal Penal y los sistemas seguros

Sergio Carrasco
-
0
El borrador del Código Procesal Penal y los sistemas seguros
Con el borrador del nuevo Código Procesal Penal nos encontramos con un texto en el cual se introducen nuevas medidas para el examen de datos existentes en equipos y sistemas informáticos, reconociendo así la gran importancia que tienen en la actualidad este tipo de medios. Como menciona David Maeztu en su post, el nuevo Código Procesal Penal (CPP) incluye un Capítulo XI (art. 350 a 352) dedicados al mecanismo de registro remoto sobre equipos informáticos. Del tenor literal de estos artículos podemos extraer unas obligaciones de colaboración muy amplias para los prestadores de servicios, que podrían dificultar en la práctica la introducción de servicios electrónicos realmente seguros y privados en los que el prestador de servicios no tiene ningún control (pensemos que colocarse sencillamente en una posición de ceguera intencionada no serviría de eximente ante las obligaciones de colaboración que el texto propone) En primer lugar, podemos observar el amplio marco de actuación que define el Art. 350 CPP
El Tribunal de Garantías podrá autorizar, a petición razonada del Ministerio Fiscal, la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos
El artículo propuesto señala a continuación como requisitos para esta autorización que la medida sea – Proporcionada, idónea y necesaria, circunstancias que dependerán del caso en que nos encontremos dado que el artículo lo relaciona con el esclarecimiento del hecho investigado, la averiguación de su autor o la localización de su paradero. – Que el delito investigado sea de especial gravedad, con lo cual no podría utilizarse en cualquier supuesto Estas medidas contarán asimismo con una limitación del territorio en el que pueden hacerse efectivas, regulada en el apartado 4 de este art. 350
El registro remoto sólo podrá ser autorizado cuando los datos se encuentren almacenados en un sistema informático o en una parte del mismo situado en territorio sobre el que se extienda la jurisdicción española. En otro caso, se instarán las medidas de cooperación judicial internacional en los términos establecidos por la Ley, los Tratados y Convenios internacionales aplicables y el derecho de la Unión Europea.
El art. 351 del CPP regula el deber de colaboración en la implantación de este tipo de medidas
Los proveedores de acceso o servicios telemáticos y los titulares o responsables del sistema informático o base de datos objeto del registro están obligado a facilitar a los agentes investigadores la colaboración precisa para la práctica de la medida y el acceso al sistema. Asimismo, están obligados a facilitar la asistencia necesaria para que los datos e información recogidos puedan ser objeto de examen y visualización.
En el documento sobre el proceso seguido contra Lavabit se nos indica cómo se facilitó la clave decifrado en formato impreso, entendiendo el Juez que dicho cumplimiento era deficiente. Pensemos en la longitud de una de estas claves, y en el hecho de que con un mero error en su transcripción se impida todo acceso a los datos e información. Entiendo así que la obligación de facilitar la asistencia necesaria impediría de igual forma en España un cumplimiento como el presentado de forma clara, al dificultar a través de las actuaciones el examen de los datos objeto del examen. Dicho todo lo anterior, en donde discrepo respecto a la interpretación que hace el compañero David Maeztu es en lo que concierne a la imposibilidad futura de almacenar las contraseñas cifradas y, por tanto, inaccesibles para el prestador. Varios son los factores que, a mi juicio, determinan que prohibir dicho uso no sea necesario ni recomendable
  • El almacenamiento de las contraseñas en formato cifrado impide que, en caso de acceder a las bases de datos, el atacante obtenga fácilmente las contraseñas para acceder al servicio como el usuario que escoja. Si a este riesgo sumamos el gran número de usuarios que utilizan una única contraseña en todos los servicios que utiliza, imponer un almacenamiento de kas contraseñas en texto plano crea una situación de riesgo potencial no deseada.
  • Que el administrador no tenga acceso a la contraseña de un usuario no impediría las actuaciones de colaboración establecidas por el CPP. En calidad de superadministrador nada le impediría crear una nueva identificación que pudiera acceder a los datos de igual manera que si accediera con la de la persona titular. Nada en la expresión «datos de identificación y códigos» me da a entender que se trate exclusivamente de los asignados específicamente a quien se presta el servicio, y estos nuevos datos de identificación serían tan válidos para realizar un examen a distancia como aquellos a los que no se puede acceder por haber sido almacenados en formato cifrado (siempre y cuando se trate de un sistema informático en el que el prestador sea superusuario, por supuesto, pero la misma limitación la encontraríamos para facilitar los datos del usuario titular en caso contrario)
  • Ante determinadas configuraciones del sistema, la medida efectiva debería pasar por instalar en los equipos del prestador el software necesario para intentar acceder a los contenidos cifrados y protegidos ante injerencias externas de forma similar a un man-in-the-middle.
Por otro lado, los servicios de hospedaje en la actualidad ya no se limitan exclusivamente a un mero almacenamiento de ficheros para ofrecer una determinada página web. Con el acceso por terminal a los servidores (incluso en el caso de VPS simples) o con la cada vez mayor implantación del Cloud nos encontramos con que el administrador del sistema tiene una gran libertad a la hora de instalar software sobre esta plataforma, y sin que el administrador no tenga un control absoluto sobre el mismo. También podríamos encontrarnos con diseños en los que una determinada parte del sistema, como puede ser la llave privada, no se encuentre en los servidores hospedados en España, con lo cual el mero acceso a la cuenta difícilmente sería útil para el examen de los datos. Esta posibilidad se incrementa en el caso de delitos de especial gravedad, que cuentan con una infraestructura tecnológica importante que puede aprovecharse de los recovecos que quedan deficientemente regulados en la norma. Aprovechando que hemos traído a colación el caso de Lavabit, debemos recordar que GoDaddy, el proveedor de servicios de Lavabit, revocó el certificado seguro de Lavabit tan pronto como tuvo noticia de que se había facilitado a terceros
“Las políticas de la industria nos obligan a revocar certificados cuando tenemos conocimiento de que una llave privada ha sido comunicada a un tercero y, por tanto, puede ser utilizada por éste para interceptar y descifrar comunicaciones,”
Sin perjuicio de que se plantea una clara motivación de las peticiones, a mi juicio crea un riesgo importante que deberá ser analizado caso por caso por peritos expertos.

Las empresas y la revisión del correo electrónico de los trabajadores

Sergio Carrasco
-
1
Las empresas y la revisión del correo electrónico de los trabajadores
Se ha hecho pública recientemente una Sentencia del Tribunal Constitucional, en la que este Tribunal avala el control llevado a cabo por un empresario sobre el correo electrónico de uno de sus trabajadores. A causa de su contenido, ha levantado numerosas dudas respecto a la posible vulneración de derechos de trabajadores, razón por la cual conviene analizar el caso más en profundidad. Antecedentes del caso El demandante prestaba sus servicios como Jefe Administrativo en una empresa dedicada a la actividad químico industrial de obtención de alcaloides (morfina,codeínas), consistiendo la misma en el cultivo de la planta adormidera y posterior tratamiento de la cosecha en sus instalaciones industriales. Este trabajador fue despedido a través de una carta de despido disciplinario por una presunta transgresión de la buena fe, en la que, entre otros hechos, la empresa le imputaba haber mantenido durante mucho tiempo una conducta de máxima deslealtad al haber proporcionado indebidamente información confidencial de la empresa a personal de otra entidad mercantil, sin haber pedido nunca autorización para ello. Según la empresa, en dicha comunicación de datos especialmente sensibles para la realización de la actividad propia de la misma, se habían utilizado medios facilitados por ella,  como fueron el teléfono móvil y una dirección de correo electrónico. Las pruebas para dicho despido fueron recabadas a través de la personación en la sede de la empresa de un notario, al que, por un lado, se pone a su disposición un teléfono móvil propiedad de la empresa, comprobándose el contenido de los mensajes SMS, y por otro, se le entrega en depósito un ordenador portátil, también propiedad de la empresa, y en el cual se identifica el disco duro y se realiza una copia idéntica del mismo. A través del análisis de estas pruebas se detectaron envíos relativos a cosechas realizados desde la dirección de correo facilitada por la empresa a una cuenta desconocida. El trabajador, que entendió que el acceso a las comunicaciones efectuadas a través del correo electrónico sin su autorización vulneraba sus derechos, presentó demanda de despido, negando los hechos imputados y solicitando la improcedencia del despido. La duda en este caso proviene de una falta de información previa al trabajador sobre la posibilidad de efectuar controles de las herramientas informáticas y sobre los medios que la empresa puede utilizar para llevar a cabo dichos controles. ¿Se han visto limitados los derechos del trabajador por la simple firma de un contrato de trabajo? No, y a este respecto el Tribunal Constitucional es claro
(…) el contrato de trabajo no puede considerarse como un título legitimador de recortes en el ejercicio de los derechos fundamentales que incumben al trabajador como ciudadano, que no pierde su condición de tal por insertarse en el ámbito de una organización privada (STC 88/1985, de 19 de julio, FJ 2).
¿Entonces se ha utilizado el contenido concreto de la propia comunicación para acceder a los correos? No, dado que el secreto de las comunicaciones se predica de lo comunicado, sea cual sea su contenido
no se dispensa el secreto en virtud del contenido de la comunicación, ni se garantiza el secreto porque lo comunicado sea necesariamente íntimo, reservado o personal (STC 114/1984, FJ 7)
¿En qué nos basamos para poder acceder a dichos correos? El primer paso es acudir al Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores, y en particular su art. 20.3
El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.
A la vista de este precepto, podemos concluir que existen una serie de competencias de control atribuidas al empresario que podrían alcanzar a incluir inspecciones como la relativa al recurso ante el Constitucional. De hecho, el Tribunal Constitucional recuerda que en la STC 241/2012 ya llegó a la conclusión de que dentro del marco de las facultades de autoorganización, dirección y control correspondientes a cada empresario se incluye la ordenación y regulación del uso de los medios informáticos de titularidad empresarial por parte del trabajador, así como la facultad empresarial de vigilancia y control del cumplimiento de las obligaciones relativas a la utilización del medio en cuestión, siempre y cuando se respeten los derechos fundamentales correspondientes. Dentro de esta misma Sentencia se incluye que
los grados de intensidad o rigidez con que deben ser valoradas las medidas empresariales de vigilancia y control son variables en función de la propia configuración de las condiciones de disposición y uso de las herramientas informáticas y de las instrucciones que hayan podido ser impartidas por el empresario a tal fin
Por lo tanto, la cuestión es si la actuación del empresario realmente respetó los derechos de su trabajador Pero el empresario no advirtió al trabajador de esta posibilidad de vigilancia e inspección. Efectivamente, no se había informado al trabajador de los límites de uso en los equipos informáticos, ni de la posibilidad de que se realizasen actuaciones de control para comprobar que efectivamente se utilizaban los medios que la empresa ponía a su disposición de forma adecuada. Por lo tanto, tendremos que analizar si a la vista de otras circunstancias realmente el trabajador cuenta con una expectativa razonable de privacidad. La Sentencia del Tribunal Supremo (Sala 4) de 26 de septiembre de 2007 dice al respecto
si el medio se utiliza para usos privados en contra de estas prohibiciones y con conocimiento de los controles y medidas aplicables, no podrá entenderse que, al realizarse el control, se ha vulnerado «una expectativa razonable de intimidad» en los términos que establecen las sentencias del Tribunal Europeo de Derechos Humanos de 25 de junio de 1997 (caso Halford) y 3 de abril de 2007 (caso Copland) para valorar la existencia de una lesión del artículo 8 del Convenio Europeo par la protección de los derechos humanos.
Esta Sentencia recuerda la existencia de un hábito social generalizado de tolerancia con ciertos usos personales moderados de los medios informáticos y de comunicación facilitados por la empresa a los trabajadores. Es por ello que el Supremo recuerda que para delimitar dichos usos moderados debe establecer previamente las reglas aplicables —con aplicación de prohibiciones absolutas o parciales— e informar a los trabajadores de que va existir control y de los medios que han de aplicarse en orden a comprobar la corrección de los usos. No obstante lo anterior, si acudimos al XV Convenio colectivo de la industria química, acordado por la Federación Empresarial de la Industria Química Española (Feique) y por los sindicatos FITEQA -CCOO y FIA-UGT (Resolución de la Dirección General de Trabajo de 9 de agosto de 2007, BOE de 29 de agosto de 2007, encontramos que en su art. 59.11 tipifica como falta leve
La utilización de los medios informáticos propiedad de la empresa (correo electrónico,Intranet, Internet, etc.) para fines distintos de los relacionados con el contenido de la prestación laboral, con la salvedad de lo dispuesto en el artículo 79.2
La excepción del art. 79.2 indica que
El correo electrónico es de exclusivo uso profesional. No obstante lo anterior, los Representantes de los Trabajadores podrán hacer uso del mismo únicamente para comunicarse entre sí y con la Dirección de la empresa. Para cualquier otro uso ajeno a lo anteriormente expuesto, se requerirá el acuerdo previo con la Dirección de la Empresa
Por lo tanto, el contenido del convenio aplicable a la relación laboral mantenida por el demandante hace referencia a lque los medios como el correo electrónico profesional facilitado por la empresa solo deben ser utilizados para usos relacionados con su actividad, pudiendo ser sancionado en caso contrario. El contenido del Convenio que hemos mencionado supone por tanto una prohibición expresa de uso extralaboral del correo electrónico, de igual forma que si la empresa hubiera redactado reglas prohibiendo las mismas e informando de ellas a los trabajadores que contrataba. Es precisamente en el contenido de este régimen sancionador que el Tribunal Constitucional se basa para entender que la vigilancia realizada sobre el correo electrónico de este caso quedaba permitida por las facultades del empresario.
Siendo este el régimen aplicable, el poder de control de la empresa sobre las herramientas informáticas de titularidad empresarial puestas a disposición de los trabajadores podía legítimamente ejercerse, ex art. 20.3 LET, tanto a efectos de vigilar el cumplimiento de la prestación laboral realizada a través del uso profesional de estos instrumentos, como para fiscalizar que su utilización no se destinaba a fines personales o ajenos al contenido propio de su prestación de trabajo.
Por lo tanto, la remisión de mensajes enjuiciada se llevó a cabo a través de un canal de comunicación que, conforme a las previsiones legales y convencionales indicadas, se hallaba abierto al ejercicio del poder de inspección reconocido al empresario. ¿Y la medida era adecuada? De igual forma que los derechos fundamentales (que no son absolutos, sino que cuentan con una serie de límites), que el empresario cuente con una serie de potestades no implica que éstas no deban cumplir una serie de requisitos para entenderse válidos. El Constitucional requiere
si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)STC 96/2012, de 7 de mayo, FJ 10; o SSTC 14/2003, de 28 de enero, FJ 9; 89/2006, de 27 de marzo, FJ 3).
La Sentencia habla en primer lugar de que los controles fueron realizados al existir sospechas de un comportamiento irregular del trabajador. Esto parece justificar la adopción de medidas, pero para ver si realmente son las idóneas y necesarias debemos recordar que
  • La duda versaba sobre si se comunicaban determinados datos confidenciales a terceros.
  • Dicha circunstancia no podría conocerse del mero análisis de la dirección de destino de los correos electrónicos.
  • El contenido mismo de los correos serviría como mecanismo de prueba ante la impugnación judicial de la sanción empresarial.
  • Si se pondera la afectación sufrida por la privacidad del trabajador, esta viene justificada por el alcance de las competencias empresariales de control y fiscalización en este caso concreto.
Todo lo anterior hace pensar en que efectivamente el Constitucional ha acertado en su Sentencia, y que la actuación en este caso concreto es conforme a Derecho. ¿Entonces cualquier empresa puede inspeccionar los correos electrónicos de sus trabajadores? No, esta es una de las confusiones más generalizadas en este caso. El Tribunal Constitucional no avala, de manera generalizada, un control e inspección por parte del empresario sobre los correos electrónicos. La decisión de este caso se basa en determinadas circunstancias concretas – La existencia de un convenio colectivo que establece la prohibición expresa de uso personal del correo electrónico – La falta de expectativa de privacidad surgida precisamente a causa del contenido del convenio colectivo – El cumplimiento de los requisitos de idoneidad, necesidad y proporcionalidad de las medidas llevadas a cabo por el empresario La realidad es que esta Sentencia no es especialmente novedosa, más allá de establecer de forma expresa que el contenido del convenio produce efectos respecto a la expectativa de privacidad de los trabajadores en el uso de determinados medios. En conclusión, y para que quede claro, la legalidad de una determinada medida de control llevada a cabo por un empresario dependerá de las características específicas del caso.

¿Por qué hay que seguir de cerca el Proyecto de nuevo Código Penal?

Sergio Carrasco
-
1
¿Por qué hay que seguir de cerca el Proyecto de nuevo Código Penal?
Desde hace unos días ya se encuentra disponible el texto de la reforma del Código Penal aprobada por el Consejo de Ministros. Alguno de los artículos que incluye esta propuesta (recordemos que todavía queda pendiente su tramitación parlamentaria) han sido analizados en sus aspectos principales en esta página, pero lo cierto es que el contenido que incluye este texto abarca multitud de materias relacionadas con las nuevas tecnologías. Es por esta razón que desde Derecho en Red queremos destacar varios de los artículos de esta reforma por su gran importancia en relación con las áreas que son objeto de estudio por parte de nuestra asociación. Por las materias que tratan, pueden afectar a la forma en que los usuarios se relacionan a través de Internet y la calificación de determinadas actividades, que podrían llegar a tratarse de delitos. No obstante, y como hemos mencionado reiteradamente hasta la fecha en multitud de medios, el texto puede sufrir todavía muchos cambios durante su tramitación. Simplemente indicamos dichos artículos para que quien lo desee pueda realizar una primera aproximación a las materias que (previsiblemente) serán incluidas en el nuevo Código Penal. Los artículos a que nos referimos son los siguientes: Art. 172 ter (ciberacoso): Pena de prisión de tres meses a dos años o multa de seis a veinticuatro meses para quien acose a una persona llevando a cabo de forma insistente y reiterada, y sin estar legítimamente autorizado a través (entre otras conductas) del establecimiento o intento del mismo a través de cualquier medio de comunicación, o por medio de terceras personas. Art. 183ter.1 (contacto con menor de 16 años a través de Internet para realizar actos sexuales): Pena de uno a tres años de prisión o multa de doce a veinticuatro meses para el que a través de Internet, del teléfono o de cualquier otra tecnología de la información y la comunicación contacte con un menor de dieciséis años y proponga concertar un encuentro con el fin de realizar actos de carácter sexual Art. 183 ter.2 (obtención de imágenes o vídeos eróticos de menores de 16 años): Pena de prisión de seis meses a dos años para el que a través de Internet, del teléfono o de cualquier otra tecnología de la información y la comunicación contacte con un menor de dieciséis años y realice actos dirigidos a embaucarle para que le facilite material pornográfico o le muestre imágenes pornográficas en las que se represente o aparezca dicho menor Art. 189 (ampliación de qué podemos entender por pornografía infantil, incluyendo cualquier representación gráfica): Pena de prisión de uno a cinco años para actos relativos a pornografía infantil, incluyendo cualquier representación de un menor o persona con discapacidad necesitada de especial protección Art. 197.4 bis (revelación de vídeos que afectan a la intimidad aunque se hubieran obtenido con consentimiento de la persona, como es el caso de vídeos eróticos): Pena de prisión de tres meses a un año o multa de seis a doce meses el que, sin autorización de la persona afectada, difunda, revele o ceda a terceros imágenes o grabaciones audiovisuales de aquélla que hubiera obtenido con su anuencia en un domicilio o en cualquier otro lugar fuera del alcance de la mirada de terceros, cuando la divulgación menoscabe gravemente la intimidad personal de esa persona. Art. 270.1 (delito contra la propiedad intelectual, incluye el mero facilitar el acceso): Penas de prisión de hasta cuatro años a quien facilite el acceso o la localización de obras o prestaciones protegidas ofrecidas ilícitamente en Internet Art. 270.4 (chips destinados principalmente a eludir medidas de seguridad, jailbreak de terminales): Prisión de seis meses a tres años para quien fabrique, importe, ponga en circulación o tenga cualquier medio principalmente concebido, producido, adaptado o realizado para facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador Art. 274.3: Pena de prisión de seis meses a dos años para el denominado top manta Art. 276 (la comentada pena de hasta 6 años para delitos contr ala Propiedad Intelectual): Supuesto agravado de los delitos contra Propiedad Intelectual, con penas de prisión de de dos a seis años, multa de 18 a 36 meses e inhabilitación especial para el ejercicio de la profesión relacionada con el delito cometido, por un período de dos a cinco años Art. 510.2.b (enaltecimiento o justificación de delitos de odio por cualquier medio. Retwitts y posts en blogs por ejemplo): Pena de prisión de seis meses a dos años y multa de seis a doce meses por enaltecer o justificar por cualquier medio de expresión pública o de difusión los delitos los delitos que hubieran sido cometidos contra un grupo, una parte del mismo, o contra una persona determinada por razón de su pertenencia a aquél por motivos racistas, antisemitas u otros referentes a la ideología, religión o creencias, situación familiar, la pertenencia de sus miembros a una etnia, raza o nación, su origen nacional, su sexo, orientación o identidad sexual, enfermedad o discapacidad, o a quienes hayan participado en su ejecución. Art. 510.3 (incitación al odio o violencia contra grupos por cualquier medio o Internet): Supuesto agravado por utilizar un medio de comunicación social, por medio de Internet, o mediante el uso de tecnologías de la información, de modo que aquél se hiciera accesible a un elevado número de personas, para la incitación al odio, hostilidad, discriminación o violencia contra un grupo, una parte del mismo o contra una persona determinada por razón de su pertenencia a aquél, por motivos racistas, antisemitas u otros referentes a la ideología, religión o creencias, situación familiar, la pertenencia de sus miembros a una etnia, raza o nación, su origen nacional, su sexo, orientación o identidad sexual, enfermedad o discapacidad Art. 510.5 (actuación contra portales que incitan al odio): Bloqueo de acceso o interrupción del servicio en portales donde se difundan exclusiva o preponderantemente contenidos relativos a los delitos del art. 510 (incitación al odio y violencia) Art. 559 (difusión pública de consignas que llaman a delitos contra el orden público, pero SOLO en casos agravados, no cualquier convocatoria de manifestación): Pena de multa de tres a doce meses o prisión de tres meses a un año por la distribución o difusión pública, a través de cualquier medio, de mensajes o consignas que inciten a la comisión de alguno de los delitos de alteración del orden público del artículo 557bis del Código Penal (alteraren la paz pública ejecutando actos de violencia sobre las personas o sobre las cosas, o amenazando a otros con llevarlos a cabo, en casos en que exista pillaje, violencia y otros supuestos específicos, o que sirvan para reforzar la decisión de llevarlos a cabo).

No, rootear tu móvil no sería delito con el nuevo Código Penal

Sergio Carrasco
-
2
No, rootear tu móvil no sería delito con el nuevo Código Penal
La propuesta de nuevo Código Penal continúa creando dudas sobre la nueva regulación que quiere introducir. En particular, la nueva redacción referida a los delitos contra la Propiedad Intelectual han producido numerosos artículos en blogs, algunos con contenidos que no se adaptan a la realidad jurídica del texto. Uno de los temas que me ha parecido más llamativo, y que ha gozado de repercusión en Internet a través de las redes sociales ha sido el referido a rootear nuestros teléfonos móviles. El contenido de los primeros artículos se ha visto replicado rápidamente, pudiendo encontrar la misma base jurídica en multitud de sitios web, incluyendo afirmaciones como que pese a tratarse de un delito difícilmente los titulares de los derechos denunciarían a los usuarios por el rooteo de sus teléfonos móviles, o que simplemente no podrían conocer si se había rooteado o no. La realidad es mucho más sencilla: simplemente el nuevo texto del código penal no resultaría aplicable al rooteo del móvil. Todo este ruido proviene de la nueva redacción propuesta para el art. 270 del Código Penal, que en su apartado 4 nos dice
Será castigado también con una pena de prisión de seis meses a tres años quien, con una finalidad comercial, fabrique, importe, ponga en circulación o tenga cualquier medio principalmente concebido, producido, adaptado o realizado para facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador o cualquiera de las otras obras, interpretaciones o ejecuciones en los términos previstos en el apartado 1 de este artículo.
Podríamos comparar este texto con el actual 270.3 del Código Penal
Será castigado también con la misma pena quien fabrique, importe, ponga en circulación o tenga cualquier medio específicamente destinado a facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador o cualquiera de las otras obras, interpretaciones o ejecuciones en los términos previstos en el apartado 1 de este artículo.
Por lo tanto tenemos un par de cambios 1. Se introduce la necesidad de que la actuación se realice con finalidad comercial 2. Bajo la nueva redacción la herramienta debería tener como uso PRINCIPAL la supresión de dichas protecciones, rebajando así los requisitos del actual artículo (donde se requiere especificidad). Por lo tanto, ¿podría un usuario que rootea su terminal android incurrir en este delito? En mi opinión no, dado que no se cumplen los requisitos que hemos mencionado – El rooteo del terminal por parte de su usuario no tiene finalidad comercial. Si se tratara de una tienda que realiza dicho servicio o de una página web con actividad económica que facilitara el acceso a este tipo de herramientas, sí se cumpliría este requisito pero no el siguiente como veremos. – El usuario que rootea su terminal no lo hace para poder utilizar programas «piratas», dado que no tiene necesidad de ello. Dejando de lado que no es su funcionalidad principal, dado que a través de conseguir root podemos tener un mayor acceso a los elementos de nuestro terminal e instalar nuevos sistemas no oficiales (uno de los mayores usos), en Android pueden ejecutarse programas pirateados sin necesidad de realizar ninguna actuación, simplemente permitiendo la instalación de aplicaciones desde orígenes desconocidos en la configuración de seguridad de nuestro terminal. fuentesPor lo tanto, y sin perjuicio de la responsabilidad en que puedan incurrir foros en que haya enlaces a aplicaciones de pago del market para su descarga no autorizada, los usuarios que instalan root en sus terminales no tienen que preocuparse de la nueva redacción propuesta. Quien sí puede encontrar problemas con la nueva regulación planteada son los comercializadores de chips para consolas, que ven reducidos los requisitos para entender que se ha cometido un delito. Actualmente existían sentencias como la de la Audiencia Provincial de Barcelona que consideraron que los modchips instalados en consolas PS2 tienen como fin específico el de eludir una medida tecnológica, mientras que otras de las Audiencias Provinciales de Valencia y Palma de Mallorca aprecian que la finalidad de los mismos es principalmente disfrutar de juegos de zonas diferentes a la europea y, accesoriamente, neutralizar dicha medida tecnológica. Por lo tanto, el cambio en el texto podría llegar a suponer (dependiendo de las circunstancias del caso) una condena en la vía penal. Para concluir, y en relación con este tema, quiero traer a colación la redacción del art. 102 de la Ley de Propiedad Intelectual
A efectos del presente Título y sin perjuicio de lo establecido en el artículo 100 tendrán la consideración de infractores de los derechos de autor quienes sin autorización del titular de los mismos, realicen los actos previstos en el artículo 99 y en particular: c) Quienes pongan en circulación o tengan con fines comerciales cualquier instrumento cuyo único uso sea facilitar la supresión o neutralización no autorizadas de cualquier dispositivo técnico utilizado para proteger un programa de ordenador.
Por lo tanto, nos encontramos con que este artículo de la LPI resulta mucho más restrictivo en su aplicación que la nueva redacción del Código Penal que el Gobierno ha proyectado. Además, la LPI sigue limitándose a la circulación y tenencia con fines comerciales, mientras que el Código Penal incluye también otras circunstancias como puede ser la fabricación. ¿A nadie le sorprende esta mayor facilidad para acudir a la vía penal?

Google, Telefónica y Facebook ante el nuevo Código Penal

Sergio Carrasco
-
1
Google, Telefónica y Facebook ante el nuevo Código Penal
Estos días se ha hecho público el contenido de un nuevo borrador del Código Penal (al que en algunas redes sociales ha venido a denominarse Código Gallardón) en el que entre otras cosas se contempla la pena de prisión de hasta seis años para los titulares de páginas de enlaces. Estos cambios han propiciado multitud de comentarios y de cuestiones, siendo uno de los más repetidos la remisión a los posibles delitos que realiza Google por permitir la localización de contenidos, o Telefónica al facilitar el acceso a los mismos a través de sus redes de comunicaciones. Valga decir que hasta que se cuente con un texto definitivo no resulta posible realizar un análisis legal profundo de todos los aspectos en él incluidos, pero sí que ya podemos hablar de la situación legal en que podrían quedar estos prestadores una vez introducido el nuevo delito contra la Propiedad Intelectual. Resumiendo: las protecciones ya existentes a los prestadores seguirían siendo de aplicación ante estos nuevos delitos y no serían responsables aunque faciliten el acceso a dichos contenidos. ¿Resultarían aplicable las exclusiones de responsabilidad en el caso de delitos? La respuesta es que sí, ya existe un marco de exclusión de responsabilidad que podría resultar de aplicación a los prestadores de servicios que cumplan los requisitos establecidos por la Ley sin necesidad de crear nuevas excepciones expresamente en el Código Penal. Es cierto que todavía no se conoce el texto definitivo que se aprobará, pero sin importar su redacción estas normas protegerían de reclamaciones ante responsabilidades de cualquier tipo, que englobarían asimismo las penales surgidas de los nuevos delitos que pudieran crearse. A diferencia de lo que sucede con la DMCA en Estados Unidos, la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior  y la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE) se aplican horizontalmente a cualquier supuesto en que se haya producido una ilicitud, pudiendo así invocarse más allá de los supuestos constitutivos de infracción de copyright a que se limita la DMCA. Por lo tanto, ante una modificación del Código Penal, tendremos que analizar las previsiones contempladas en estas normas para ver si incluyen supuestos de irresponsabilidad para los prestadores que puedan aplicarse a nuestro caso concreto. El Primer informe sobre la aplicación de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (COM(2003) 702 final) indica con claridad que las exclusiones de responsabilidad establecidas en esta Directiva y transpuestas a nuestro ordenamiento a través de la LSSICE abarcan también las posibles responsabilidades penales que se podrían introducir a través de una modificación del Código Penal
Las limitaciones de responsabilidad previstas por la Directiva se establecen de forma horizontal, es decir, cubren la responsabilidad tanto civil como penal de todos los tipos de actividades ilícitas iniciadas por terceros
Por lo tanto, la respuesta a si podremos aplicar las exclusiones de responsabilidad al ámbito penal debe resultar afirmativa, con lo que el prestador quedaría protegido si la LSSICE resulta aplicable. Si la función del intermediario es neutra y ajena al contenido de la información no resulta adecuado permitir la responsabilidad penal de éste en aras de crear un marco jurídico seguro para atraer las inversiones y la creación de nuevos servicios. ¿Pero no cambiará esto con el nuevo Código Penal que se propone? No. La LSSICE constituye un primer filtro, un marco de exclusión de responsabilidad que de resultar aplicable impediría que debieran responder por los actos llevados a cambio por terceros. Así lo indica el articulado de la LSSICE con la siguiente redacción (y a falta de analizar si cumplen los requisitos que cada uno de los artículos impone para su invocación)
Art. 14: Los operadores de redes de telecomunicaciones y proveedores de acceso a una red de telecomunicaciones que presten un servicio de intermediación que consista en transmitir por una red de telecomunicaciones datos facilitados por el destinatario del servicio o en facilitar acceso a ésta no serán responsables por la información transmitida Art. 15: Los prestadores de un servicio de intermediación que transmitan por una red de telecomunicaciones datos facilitados por un destinatario del servicio y, con la única finalidad de hacer más eficaz su transmisión ulterior a otros destinatarios que los soliciten, los almacenen en sus sistemas de forma automática, provisional y temporal, no serán responsables por el contenido de esos datos ni por la reproducción temporal de los mismos Art. 16: Los prestadores de un servicio de intermediación consistente en albergar datos proporcionados por el destinatario de este servicio no serán responsables por la información almacenada a petición del destinatario Art. 17: Los prestadores de servicios de la sociedad de la información que faciliten enlaces a otros contenidos o incluyan en los suyos directorios o instrumentos de búsqueda de contenidos no serán responsables por la información a la que dirijan a los destinatarios de sus servicios
Estos artículos establecen que, bajo determinadas circunstancias, no podrá exigirse responsabilidad a los prestadores de servicios. Por tanto, sin importar el tipo de infracción ante el que nos encontramos, a mi parecer el primer paso en un proceso judicial en que participan prestadores debería pasar por el análisis de la posible aplicación de estos artículos. Si la actuación de los intermediarios se adapta a las normas de la LSSICE, no quedaría obligado a responder de los contenidos intermediados sin importarnos cuál sea la redacción final del Código Penal. En conclusión, buscadores como Google, redes sociales como Facebook o Tuenti, o prestadores de servicios de acceso como Telefónica no deberían verse afectos por la introducción de un nuevo tipo penal, dado que nuestro ordenamiento ya regula supuestos para la protección de los prestadores de Servicios de la Sociedad de la Información sin necesidad de introducir nuevos. ¿Y qué sucede con los usuarios de P2P? Resulta casi imposible dar una respuesta ahora, dado que como se ha mencionado anteriormente todavía no contamos con un texto definitivo. En un inicio, el delito parecía limitarse a los prestadores de servicios, pero los múltiples y continuados cambios que está sufriendo el texto durante la negociación del mismo podrían llevar a una redacción final muy distinta, sobretodo en el supuesto de usuarios que al mismo tiempo que descargan facilitan el acceso de terceros a dichos contenidos. Tan pronto como haya un texto definitivo, intentaremos aclarar las dudas que pueda haber al respecto.
123...8Página 2 de 8