lunes, 1 de septiembre de 2014

También para la Audiencia Nacional quien enlaza no vulnera la propiedad intelectual

Publica Bufet Almeida la sentencia de la Audiencia Nacional que resuelve un recurso contra una de las primeras resoluciones de la Sección Segunda (según consta la denuncia de CEDRO es de 5 de marzo de 2012 y este organismo comenzó a actuar el 1 de marzo).

CEDRO presentó denuncia contra una página en la que se alojaban varias obras.

Dicha página no aportaba ninguna información (aviso legal) sobre quien era su responsable, por lo que la instrucción del Ministerio buscó la información del registrador del dominio y consideraron como propietario a la empresa que aparecía en los datos de contacto del dominio.

¡Se hizo responsable de la vulneración de la propiedad intelectual a la empresa de registro de dominios!.

Como es evidente, el responsable de un sitio web no tiene porqué ser quien aparezca en los datos del dominio, por lo que se presentó un recurso que fue estimado, desapareciendo del procedimiento la empresa que podría ser considerada la responsable de la infracción.

Sin embargo el Ministerio, en lugar de declarar la nulidad del procedimiento por dirigirse contra una persona equivocada, sólo señaló la estimación parcial en relación al registrante, manteniendo su contenido sobre la web de enlaces, esto es la obligación de retirar los enlaces e información de las obras señaladas.

Esto constituyó la base del recurso ante la Audiencia Nacional. Es decir, que si no hay una persona que sea la responsable de la infracción de los derechos de propiedad intelectual, no puede mantenerse un procedimiento contra un mero intermediario o prestador de servicios de intermediación.

Argumento que es estimado por la Audiencia realizando, además, una clara interpretación a favor de la no consideración de los enlaces como vulneradores de la propiedad intelectual.
"Los prestadores de servicios de intermediación no son los que realizan la conducta vulneradora de los correspondientes derechos de propiedad intelectual, pues no ponen a disposición del público las obras protegidas, los que las reproducen o copian, etc… La conducta vulneradora de la legalidad la cometen las personas físicas o jurídicas que proporcionan un servicio de la sociedad de la información, aunque eso sí sirviéndose en mayor o menor medida de los correspondientes servicios de intermediación."
De esta manera, la Audiencia Nacional, y en el orden contencioso administrativo, se suma a los tribunales que entienden que enlazar no es un acto contrario a la propiedad intelectual.

Si bien la sentencia puede resultar confusa al relacionar servicios de la sociedad de la información o servicios de intermediación como algo diferente (siendo los segundos un subtipo de los primeros) lo cierto es que la conclusión parece correcta.

Ahora bien, lo más increíble del caso es que en la sentencia se puede leer como la persona titular del dominio era la misma que la responsable de la web de enlaces, pero la administración no hizo nada.
"A este respecto, hay que poner de manifiesto que en el recurso de reposición formulado contra la resolución de 6 de septiembre de 2012, la sociedad 10DENCEHISPAHARD dice que no es la titular del dominio www.linksole.com, sino solamente la proveedora de servicios de registro del citado dominio, siendo la titular del mismo la aquí actora, pero en relación con esta alegación la Administración no hizo nada acerca de ello."
Es decir, que las obras estaban alojadas bajo un dominio propiedad de la misma empresa que la web de enlaces, por lo que la administración pudo haber considerado responsable de la infracción, pero no hizo nada, motivo por el que la Audiencia Nacional no puede profundizar.

[Actualización: al parecer, tampoco la Audiencia entendió esto bien, puesto que la titularidad se refería a un acortador de url's no a la web de alojamiento de las obras (que es donde se produce la comunicación pública). Más información en este artículo de El Mundo]

jueves, 7 de agosto de 2014

Las comunicaciones del trabajador son secretas, salvo resolución judicial

En la relación laboral la jurisprudencia había venido entendiendo, en particular la de los juzgados de lo social, que el trabajador tenía un espacio de cierta privacidad, o expectativa razonable de privacidad, en el uso de equipos informáticos y que era requisito imprescindible para poder romper esa expectativa el que se informase adecuadamente de que el uso del equipo podía ser monitorizado.

Esa monitorización (incluso por videovigilancia y lo que "sorprende" al profesor Alfaro) suele incluir todo lo que pasa por el ordenador, las páginas que se visitan, logs de conversaciones, etc.

Todo esto había sido avalado en todas las instancias y hasta por el Tribunal Constitucional, por lo que puede decirse que la situación es "pacífica".

Sin embargo, ahora el Tribunal Supremo, en una sentencia del orden penal, viene a añadir un elemento de importancia que puede modificar como por parte de las empresas se lidia con esa situación. Se trata de la sentencia de 16 de junio de 2014 (pdf) por la que se resuelve un recurso por la condena a un trabajador por  varios delitos.

Uno de los argumentos del recurso era que se había accedido a la información contenida en el ordenador sin intervención judicial. Sin embargo, según la sentencia de la Audiencia Provincial:
"No consta que se haya examinado ningún tipo de programa de correo
electrónico privado, y tampoco consta que se haya examinado ningún tipo de programa o archivos temporales que supusiera injerir, intervenir o desvelar algún tipo de comunicación privada y confidencial de don (sic) Rodolfo"
Por lo tanto, no procedía analizar ese motivo. Sin embargo, parece que el Tribunal Supremo tenía ganas de entrar en esta materia, lo hizo también la Audiencia Provincial, para "dejar" su marca en esta cuestión del acceso a ordenadores de los trabajadores y analiza, con el ánimo de "fijar una clara doctrina en materia de tanta trascendencia" en relación a la falta de confidencialidad o secreto del ordenador.

Así, tras enumerar el tratamiento de la cuestión en el orden social dice:
"Criterios contenidos en esas Resoluciones y que no desconocemos que han sido posteriormente avalados por el propio Tribunal Constitucional, en Sentencias como las de 17 de Diciembre de 2012 y 7 de Octubre de 2013, que, a nuestro juicio, han de quedar restringidos al ámbito de la Jurisdicción laboral, ante el que obviamente nuestra actitud no puede ser otra más que la de un absoluto respeto, máxime cuando cuentan con la confirmación constitucional a la que acabamos de referirnos, pero que, en modo alguno, procede que se extiendan al enjuiciamiento penal, por mucho que en éste la gravedad de los hechos que son su objeto, delitos que en ocasiones incluso constituyen infracciones de una importante relevancia, supere la de las infracciones laborales a partir de las que, ante su posible existencia, se justifica la injerencia en el derecho al secreto delas comunicaciones del sospechoso de cometerlas"
Es decir, que una cosa es el orden social y otra el penal.

La base del fundamento es que lo que el artículo 18.3 de la Constitución dice es que:
"Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial."
Y a ese final de "salvo resolución judicial" es al que se acoge para declarar que no se prevé ningún supuesto adicional ni ninguna tácita renuncia al derecho al secreto de las comunicaciones.

Concluye el Tribunal Supremo declarando que:
"[...] en el ámbito del procedimiento penal, el que a nosotros compete, para que pueda otorgarse valor y eficacia probatoria al resultado de la prueba consistente en la intervención de las comunicaciones protegidas por el derecho consagrado en el artículo 18.3 de la Constitución , resultará siempre necesaria la autorización e intervención judicial, en los términos y con los requisitos y contenidos que tan ampliamente se han venido elaborando en multitud de Resoluciones por esta Sala, a partir del importante Auto de 18 de Junio de 1992 (caso "Naseiro"), cualquiera que fueren las circunstancias o personas, funcionarios policiales, empresarios, etc., que tales injerencias lleven a cabo"

Y finaliza recordando, y es parte esencial en este materia, que dicha exigencia sólo opera en relación a las comunicaciones, pero no respecto de los "datos de tráfico", registro de páginas web o de los mensajes que una vez abiertos forman parte ya de la comunicación.

La lógica es que, al igual que una carta, cuando la abrimos deja de ser comunicación y se convierte en documento. Interpretación esta con la que no termino de estar del todo de acuerdo, pero que es como se viene aplicando uniformemente por los tribunales.

Mis cuestiones vienen por casos como ¿qué sucede con la copia local que yo envío? Es decir, en comunicaciones electrónicas no es como en las postales, de las que deriva esta doctrina, en la que la carta sólo es una y no tiene copias. En este caso, el mensaje que yo envío puede dejar en un log copia de lo enviado, con lo que ¿cuando sabemos que deja de ser comunicación porque ha llegado al receptor?. Puede ser imposible, y puede que en ese mensaje esté la clave para acusar al trabajador puesto que es un mensaje que sale de la empresa.


En resumen, que sigue siendo aplicable lo mismo que se venía haciendo en relación a las normas de control y uso del ordenador en el trabajo, el problema es que muchas veces al revisar el contenido de un ordenador no podemos saber si un correo electrónico ha sido visto o no, o si un log ha llegado al destinatario o no, con lo que todavía estaría en proceso la comunicación y se estaría vulnerando el derecho al secreto de las comunicaciones.

Lo que si quedaría totalmente prohibido para la empresa es la monitorización en tiempo real de los programas de comunicación o aplicaciones de mensajería instantánea, aunque queda en término dudoso la situación de los logs de las mismas.

Si se revisan, porque están en el disco duro, ya sabemos si se han abierto o no (pensemos en un log de un chat en el que hay una conversación con respuestas, sabemos de la lectura que se han leído por las partes) por lo que antes de decidir si se afecta al secreto de las comunicaciones ya lo hemos vulnerado si se hace sin autorización judicial.

Como se ve son muchos los problemas que se pueden plantear con las revisiones de los ordenadores y equipos informáticos que se plantean y que esta sentencia viene a recordar, aunque tampoco se esté llegando a profundizar en todos los aspectos que pueden técnicamente darse.

martes, 5 de agosto de 2014

Google en la encrucijada: ser o no ser (neutral)

Fuente: https://www.flickr.com/photos/evanwondrasek/5112612737
Autor: Ewan Wondrasek
Licencia: CC BY-ND



La noticia de que Google ha denunciado a un usuario por el contenido de varios archivos con pornografía infantil en su correo electrónico, puede tener consecuencias muy importantes y varias repercusiones que afectan a la forma en que la empresa se enfrenta a las obligaciones legales que imponen los estados.

Dejando al margen lo despreciable del delito por el que se detiene el criminal, y que en España ya ha justificado acciones tan cuestionables como que un ordenador se registre por la policía sin orden judicial y los juzgados lo acepten, lo cierto es que la decisión de Google abre muchas vías a nuevas obligaciones.

Aunque se desconoce la tecnología empleada para identificar las imágenes, parece razonable pensar en la existencia de un filtro de imágenes que dé algún tipo de alarma cuando se cumpla cierto patrón.

No creo que haya una persona revisando todos los correos enviados por gmail, pero sí es posible que se revisen ante alarmas que respondan a ciertos parámetros definidos.

También es verdad que al usar los servicios de Google "aceptamos" en sus condiciones que el correo será rastreado por sus algoritmos para la inserción de publicidad.

De hecho, en las políticas específicas de Gmail, ya indican que:

Child Safety

"Google has a zero-tolerance policy against child sexual abuse imagery. If we become aware of such content, we will report it to the appropriate authorities and may take disciplinary action, including termination, against the Google Accounts of those involved."
Es decir, que ya avisan de que si detectan ese tipo de imágenes denunciarán a las autoridades.

En España, las comunicaciones por correo electrónico encajan en las definiciones de la Ley General de Telecomunicaciones, que obliga en su artículo 39 a que los operadores que presten servicios de comunicaciones electrónicas disponibles al público garanticen el secreto de las mismas, debiendo adoptar las medidas técnicas necesarias.

Por lo tanto, estaríamos ante una interceptación de las comunicaciones que, aunque teóricamente consentida por el usuario al aceptar los Términos de Servicio, puede resultar contraria a la ley. Y no olvidemos que los contratos de condiciones generales son de adhesión y los efectos que ello puede tener sobre el alcance del consentimiento prestado.
 
Además de lo anterior, y de las dudas de legalidad en un procedimiento en España en un supuesto similar, esta decisión de Google altera su posición de instrumento neutral que permite exonerarle de responsabilidad en otras cuestiones.

El legislador, consciente de la posición intermedia que ocupan los prestadores de servicios de la sociedad de la información, declara (tanto en la Directiva como en la LSSI) que a menos que se cumplan una serie de requisitos que implican cierto conocimiento de la ilicitud de un acto, los prestadores no pueden ser responsabilizados.

Pero si los prestadores no son neutrales y revisan de alguna manera la información que transmiten estamos ante un supuesto que altera esa regla, abriendo la vía a que se les imponga una obligación mayor de supervisión.

¿Qué impediría que para otros delitos o vulneraciones de derechos se imponga similar obligación? ¿Tiene la empresa derecho a decidir qué delitos persigue y denuncia?

Por lo tanto, Google estaría poniéndose, voluntariamente, en una posición en la que sería exigible que se el impongan mayores obligaciones de vigilancia y control, precisamente contra el que viene siendo su criterio en defensa de otras cuestiones, como la cancelación de enlaces por protección de datos.

Este tipo de acciones ponen a la empresa, precisamente, en la necesidad de elegir si quieren ser o no, neutrales. Y parece que está optando...

miércoles, 23 de julio de 2014

Ahora sí, la reforma de la LPI permite ir a por los usuarios que compartan

Comenté hace más de un año la modificación de la Ley de Enjuiciamiento Civil aprovechando la reforma de la Ley de Propiedad Intelectual para posibilitar el acceso a ciertos datos de identificación de prestadores de servicios que tuviesen relación con infractores.

Aquel era el anteproyecto que se sometió a consulta pública y está en la web del Ministerio (pdf).

En aquel texto sólo se añadía una Diligencia Preliminar al artículo 256 de la LEC, el apartado 10º, dirigida a identificar a prestadores de servicios de la sociedad de la información. Es decir, a que se aportasen los datos de otros prestadores.

En su momento critiqué que eso se hiciese así, puesto que el Ministerio de Industria tiene competencias para sancionar en el caso de que prestadores no se identifiquen y reflexionaba:
¿Qué sentido tiene, por lo tanto, esta modificación que como he dicho ni le sirve a la Sección Segunda ni aporta nada que no se pueda hacer?



Pues a mi juicio sólo hay dos opciones, que sea fruto de una mala técnica legislativa o que sea como meter el pie en la puerta para posteriormente suprimir la referencia a los PSSI y poder incluir a los usuarios, como demandan desde la industria (los casos Promusicae y Hustler son un ejemplo).

En ese texto, vemos dos medidas de Diligencias Preliminares que se añaden, la 10ª y la 11ª. Si bien la primera sigue centrándose en los prestadores de servicios (con menciones expresas a la Ley 25/2007) en la segunda tenemos una redacción expresamente pensada en los meros usuarios:
"11.º Mediante la solicitud, formulada por el titular de un derecho de propiedad intelectual que pretenda ejercitar una acción por infracción del mismo, de que un prestador de servicios de la sociedad de la información aporte los datos necesarios para llevar a cabo la identificación de un usuario de sus servicios, con el que mantengan o hayan mantenido en los últimos doce meses relaciones de prestación de un servicio, sobre el que concurran indicios razonables de que está poniendo a disposición o difundiendo a gran escala, considerando, entre otros, el volumen de obras y prestaciones protegidas no autorizadas, mediante actos que no puedan considerarse realizados por meros consumidores finales de buena fe y sin ánimo de obtención de beneficios económicos o comerciales, de forma directa o indirecta, contenidos, obras o prestaciones objeto de tal derecho sin que se cumplan los requisitos establecidos por la legislación de propiedad intelectual."
Y aquí sí tenemos la evidencia de que se pretende poder ir a por los usuarios, tal y como sospechaba. Es curioso que en el caso anterior se cite como límite los datos protegidos por la Ley de Conservación de Datos (IP, identidad, etc) y en este caso no se diga absolutamente nada sobre este extremo.

"11.º Mediante la solicitud, formulada por el titular de un derecho de propiedad intelectual que pretenda ejercitar una acción por infracción del mismo, de que un prestador de servicios de la sociedad de la información aporte los datos necesarios para llevar a cabo la identificación de un usuario de sus servicios, con el que mantengan o hayan mantenido en los últimos doce meses relaciones de prestación de un servicio, sobre el que concurran indicios razonables de que está poniendo a disposición o difundiendo de forma directa o indirecta, contenidos, obras o prestaciones objeto de tal derecho sin que se cumplan los requisitos establecidos por la legislación de propiedad intelectual, y mediante actos que no puedan considerarse realizados por meros consumidores finales de buena fe y sin ánimo de obtención de beneficios económicos o comerciales, teniendo en cuenta el volumen apreciable de obras y prestaciones protegidas no autorizadas puestas a disposición o difundidas."
Es decir, se cambia el concepto "gran escala" por "teniendo en cuenta el volumen". La razón que el Grupo Parlamentario Socialista alegaba para este cambio era que "gran escala" era un concepto indeterminado, y además:
"Que un Juez determine si un acto se realiza a "gran escala" o no es un juicio propio de un proceso plenario y declarativo, no de un incidente que tiene la única finalidad de obtener hechos, documentos o declaraciones que permitan preparar la demanda."
Razones que son precisamente las mismas que desaconsejan la redacción inicial y que en cualquier caso amplían los supuestos en los que se pretende habilitar que el juzgado obtenga la identidad de usuarios finales. Porque igualmente el juez debe hacer un análisis probatorio de la conducta del usuario antes de adoptar la medida.

Además se plantea la paradoja de que, reuniendo la conducta del usuario los requisitos exigidos, estaríamos ante un delito del artículo 270 del Código Penal, por lo que tendría preferencia esa vía.

En cualquier caso, esta Diligencia puede entrar en un serio conflicto con la Sentencia del 8 de abril de 2014 que anuló la Directiva de Conservación de Datos, en la medida en que la intromisión que supone sólo puede aceptarse para supuestos delictivos graves, no siendo este el caso.

El problema es que esa sería una pelea posterior en los tribunales.

Podría darse la paradoja de que un juzgado de lo penal no admita la identificación del usuario que comparte, por no ser un delito grave y que el titular de derechos consiga la identificación en un proceso civil.

Estamos muy entretenidos con las consecuencias del #canonaede, pero lo cierto es que esto definitivamente abre la puerta a la persecución directa de usuarios. 

martes, 15 de julio de 2014

Sanciones del Ministerio de Industria por no poner toda la información en el aviso legal

Todas las empresas que tienen una página web están obligadas a disponer de cierta información en su aviso legal o similar.

La mayoría de las veces este aviso se elabora por los propios diseñadores web sin contar con asesoramiento especializado. Cuando no directamente se copia de otros sitios. Ya hace años alertaba de ello Javier Prenafeta.

En cualquier caso, hay unas obligaciones mínimas de información que debe contener toda web que sea considerada prestador de servicios de la sociedad de la información y sin las cuales te pueden sancionar.

Así, entre otras, según el artículo 10 de la LSSICE hay que poner:
  • Su nombre o denominación social; su residencia o domicilio o, en su defecto, la dirección de uno de sus establecimientos permanentes en España; su dirección de correo electrónico y cualquier otro dato que permita establecer con él una comunicación directa y efectiva.
  • Los datos de su inscripción en el Registro Mercantil en el que, en su caso, se encuentren inscritos o de aquel otro registro público en el que lo estuvieran para la adquisición de personalidad jurídica o a los solos efectos de publicidad.
  • El número de identificación fiscal que le corresponda.
La falta de la información, como digo es sancionable. Y, de hecho, el Ministerio de Industria está sancionando por ello.

Conocí hace años una sanción porque una empresa sólo ponía como forma de contacto el correo electrónico pero no tenía "otro dato que permita establecer con él una comunicación directa y efectiva". Es decir, que no ponía teléfono o fax ya que el artículo 10 exige "su dirección de correo electrónico y cualquier otro dato" y al no darse ese otro dato, pues se sancionó con 600 euros.

Ahora el caso es que una empresa indica que está inscrita en el Registro Mercantil de La Rioja (por ejemplo) y el Ministerio dice que eso no es suficiente e impone una sanción de 180 euros por:
"no ofrecer información general de forma permanente, fácil, directa y gratuita sobre los datos de su inscripción en el registro correspondiente [...]"
Aunque la resolución (pdf) parece dejar dudas sobre la información proporcionada, en el aviso legal sí que se informaba del registro territorial en que estaba inscrita la empresa, pero no se pusieron los datos de tomo, libro, folio y hoja. 


Es decir, no basta con indicar el registro en el que se inscribe la empresa, hay que señalar los datos concretos de esa inscripción.

En este caso el procedimiento es extraño desde el principio, puesto que no se origina por una denuncia o por orden de un superior, sino por inspección de un funcionario en el mes de agosto. Es decir, que al parecer hay gente en el Ministerio de Industria dedicado a inspeccionar los avisos legales de páginas web  (esta web no es generalista ni su nombre es una palabra del diccionario) para ver si cumplen con los requisitos del artículo 10 de la LSSICE.

Como digo, la infracción consiste en "No informar en la forma prescrita por el artículo 10.1 [...]" y este, como se ha visto, dice los datos de su inscripción en el Registro Mercantil.

La interpretación estricta que se hace para sancionar me parece desproporcionada, puesto que sabiendo la localidad del registro mercantil y el NIF es sencillo acceder al resto de datos. Además de que ningún perjuicio puede ocasionar no conocer el folio en el que consta la inscripción de una empresa.


Es decir, puedo entender que faltando toda referencia al registro mercantil o el CIF, se sancione, ya que sí que son elementos para obtener información de la empresa titular del sitio web, pero ¿el tomo y folio de la inscripción?

Además, la resolución mutila el escrito de alegaciones presentado y falsea el acta puesto que sí se indicaba la localidad del Registro Mercantil correspondiente.

Así que ya sabes, si quieres evitar riesgos de sanciones, evita copiar y pegar los avisos legales de otros e incluye toda la información posible, el Ministerio de Industria ahora investiga, y sanciona, este tipo de cosas.