Todas las entradas de Alfonso Villahermosa Iglesias

Acerca de Alfonso Villahermosa Iglesias

Especialista en Economía y Derecho de la Tecnología Digital Master en Derecho de las Telecomunicaciones y Tecnologías de la información por la Universidad Carlos III

01Ene/15

Recomendaciones Prácticas

Recomendaciones Prácticas

Es claro que unos datos se manejan con mas asiduidad que otros. Es importante tener esto en cuenta, a efectos de la comodidad o incomodidad que le puede producir todas las medidas sobre las que hemos estado hablando llegados este punto. Es por ello que la principal recomendación es que proceda a una «segregación» adecuada de los datos:

Segregación de datos: es muy práctico retirar los campos sensibles de los datos y ponerlos en un archivo que guarde todas las medidas de seguridad, e intentar que, los datos a los que se acceda, sean de contenido poco sensible. No se necesita saber el grado de minusvalía de un empleado cada vez que necesite acceder a su número de teléfono o dirección. En muchas ocasiones, se tienen una determinada cantidad de ficheros a los que accede de manera regular, y dichos ficheros porque tengan un determinado campo sensible, se convierten en datos de nivel medio o alto. Pues bién, segregar o «cortar» dicho campo para incluirlo en otro fichero al cual accederá solo cuando realmente se necesite nos parece una medida francamente interesante. Los programas informáticos actuales consiguen un alto grado de configuración (al menos las versiones mas modernas), por lo que puede definir perfectamente estos campos. Así, se dotará de un alto grado de flexibilidad en sus accesos a los datos, y no tendrá que recurrir a las medidas de nivel alto si lo que realmente necesita es un dato de nivel básico sólo porque existe un campo sensible en el fichero.

En otro orden de cosas, si no obstante lo anterior no se puede proceder a la segregación de los datos, es interesante intentar poner códigos a los campos sensibles que constituyen los datos sensibles. Así, si el grado de minusvalía de un trabajador es de un diez por ciento, sustituya el dato efectivo por un código ininteligible (ejemplo «A80986») por el que cualquiera que acceda a dicho dato no sepa exactamente el grado de esa minusvalía. Posteriormente, en una clave que se guardará tendrá la traducción de dichos datos, por lo que sabrá que «A80986» quiere decir un grado de minusvalía del diez por ciento. El fichero de las claves si puede ser destinatario de un grado de nivel alto, pero usted no tendrá la necesidad de entrar a consultarlo demasiado a menudo. Conseguimos así un alto grado de flexibilidad perfectamente compatible con el cumplimiento en Protección de Datos.

Otra recomendación es el uso de los programas de cifrado anteriormente descritos, en especial GNUpg, totalmente gratuito, como ya sabemos. La facilidad de uso hace que en un par de acciones con el ratón de su ordenador se cifre y descifre ficheros sin tener que pasar por lo anterior.

01Ene/15

Los servicios de externalización y la protección de datos

Los servicios de externalización y la protección de datos

En la actualidad, muchos negocios prefieren externalizar parte de sus servicios a ciertas compañías especializadas en un determinado aspecto normalmente técnico. Así, el apartado informático lo depositan en manos de empresas especializadas en este ámbito, y se ahorran el coste que supone el tener un departamento en su propio negocio. De la misma manera, muchas gestorías se encargan de la contabilidad de una empresa, o gestionan las nóminas de los empleados. El dueño de un negocio no tiene porqué ser «experto en todo», y prefiere que otros que son profesionales en otros ámbitos, se encarguen, de manera mas adecuada de una faceta de su empresa. Esto lleva un traslado en archivos y datos que contienen información personal bastante importante, y respecto a esto hay que llevar una política adecuada para cumplir con los requerimientos de nuestro Ordenamiento Jurídico.

A todo esto se conoce como «outsourcing», que podríamos traducir literalmente como «externalización» en su acepción castellana. En el outsourcing más amplio, una empresa se involucra con otra para conseguir un fin común, en una especie de «joint venture» pero sin la creación de una nueva empresa. En el outsourcing más técnico o menos amplio, no existe esa unión, consonancia e intereses unidos como sí que los hay en el primer caso.

Un ejemplo del primer caso sería el siguiente: el departamento informático de una determinada empresa quiere realizar un programa sobre las distintas carrocerías de un determinado modelo de coche. Se involucra entonces con una empresa automovilística para que unos aporten la faceta técnica-informática y otro toda la parte técnica del mundo del motor. El resultado es que se cuentan con profesionales muy cualificados de ambos ámbitos, y las ganancias producidas atañen a los dos, ya que a mayor eficiencia, mayor calidad y mayores ventas. En este caso, durante unos meses o años e incluso por un periodo indeterminado de tiempo, varios profesionales ajenos en principio a la empresa «A» accederán a muchos datos de la empresa «B».

El ejemplo del segundo caso es mucho más sencillo: hablamos, en esta ocasión, de la típica gestoría que lleva las nóminas de los empleados de un determinado negocio. Aquí, igualmente, una segunda empresa accede a una probablemente ingente cantidad de datos contenidos en ficheros de los empleados de la empresa A, ya que para que la gestoría realice correctamente su negocio necesita de dicha información. Sin embargo, aquí el interés existente en el primer caso no existe: se trata de una relación probablemente temporal aunque indefinida, pero aquí no se produce la total integración del personal de la empresa «A» en la «B» para la realización de un fin común de la manera mas apropiada posible. No obstante, la problemática en Protección de Datos también parece clara. Ambos ejemplos exigen respuestas claras, de manera que no se limite el fenómeno del outsourcing, pero que no obstante, la Protección de Datos esté a salvo, y la salida de datos de un negocio se haga con las debidas garantías.
Varias son las recomendaciones llegados este punto:

-Si usted trabaja con asesorías, debe de prestar atención al documento donde se contrataron los servicios. Dicho contrato (usualmente, de prestación de servicios), debería tener una cláusula específica de Protección de Datos donde se hiciera referencia al destino de los mismos y sus posibilidades de tratamiento. Si no existe, usted debería de exigir su inclusión, o al menos la firma de un documento aparte donde se haga referencia al uso que la empresa gestora va a hacer de los datos personales de su negocio o empresa.

-La ley afirma que «la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el Encargado del Tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas». Por tanto, todos esos extremos deberán estar clarificados.

-Una vez terminada su relación con la gestoría o empresa, dichos datos deben de ser destruidos, o devueltos al responsable de su empresa, incluyendo todos los documentos donde hubiere algún dato de carácter personal.

-Sin embargo, existe la posibilidad de que la empresa gestora realice un incumplimiento contractual en esta materia. El apartado 4 del artículo 12 habla de esa posibilidad: «en el caso de que el Encargado del Tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente». Además de un incumplimiento contractual por la que se pueden pedir las lógicas indemnizaciones, el responsable (el que ha manejado los datos en la gestoría) estará sometido al régimen sancionador de la LOPD. Igualmente, será también responsable el Responsable de Seguridad y Encargado del Tratamiento de la empresa que ha solicitado los servicios de la gestoría, como responsables y autores del acceso de esos datos a una empresa tercera.

-Igualmente, cesiones de datos temporales o aleatorias, de manera breve, pueden encuadrarse dentro del supuesto del artículo 11 «comunicación de los datos». Como regla general, se pide el consentimiento del afectado para que se produzca esta comunicación. En dicho artículo, se afirma que dicho consentimiento no se hará efectivo cuando:

a) Cuando la cesión está autorizada en una ley.

b) Cuando se trate de datos recogidos de fuentes accesibles al público.

c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
De todas estas posibilidades, la que mas nos interesa es la «c». La comunicación de los datos ha de estar en consonancia con la finalidad de los mismos. Además, es necesaria una relación jurídica. En estos casos NO es necesario el consentimiento del afectado. Como regla general, «un acceso a los datos por cuenta de terceros» equivale a un acceso homogéneo, temporal e indefinido, donde se establece una relación estable entre dos empresas, y una de ellas necesita el acceso a los datos de la otra. Una «comunicación de los datos» tiene otras características, en tanto se encuadra mas en situaciones aleatorias no homogéneas y casi puntuales de acceso a un determinada información o informaciones referente a unos datos personales. Aquí no existe un contrato donde se necesiten regular estos extremos. Esta segunda opción es claramente mucho más flexible.

El Encargado del Tratamiento es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. El caso particular es el anteriormente mencionado: quien accede a los datos para prestar un servicio al responsable del fichero o tratamiento en los términos del artículo 12 de la Ley. En muchas ocasiones, el organismo o empresa que pidió los datos realizará el tratamiento en sus propias instalaciones con su personal. Otras veces, por distintos motivos (averías, mantenimiento de equipos…) los datos se tratarán por un tercero, en sus instalaciones y con su personal, tras la firma del correspondiente contrato. El responsable del fichero es la persona «dueña» de los datos, el Encargado del Tratamiento es quien realiza el servicio. Tanto unos como otros deben de estar perfectamente identificados en el Documento de Seguridad.

Quien efectúa el tratamiento para el responsable se obliga a prestarlo en el nivel de calidad pertinente, observar confidencialidad y tomar las medidas adecuadas para garantizar la seguridad de la información. El Encargado del Tratamiento es un tercero que trata los datos personales siguiendo las instrucciones del responsable si bien no bajo la dependencia o autoridad del mismo desde el punto de vista laboral (esto es importante, ya que si no, no nos encontraríamos en la órbita del artículo 12). No es un empleado del responsable: le presta sus servicios al amparo de un contrato de esta índole cuyos requisitos básicos aparecen diseñados por la Ley, con carácter imperativo, en dicho artículo.
Como el acceso del prestador del servicio no supone la revelación de datos al mismo en los términos en que la norma concibe dicha comunicación, hay que entender que no le será aplicable el artículo 11.5 y, por lo mismo, el tercero no estará sometido a los preceptos de la ley a salvo las específicas normas del artículo 12.

En consecuencia, si el tercero tiene que someter al tratamiento los datos a los que accede, dicho tratamiento no requerirá el consentimiento del afectado. Dicho de otra forma, se entiende que dicho consentimiento del interesado, prestado originariamente al responsable del fichero, se extiende al tercero por la vía de la relación de prestación del servicio al responsable del fichero.

Otra forma de explicar esta idea estribaría en considerar que no ha lugar a la prestación del consentimiento del afectado para el tratamiento de los datos por el tercero, en cuanto que el sujeto activo de dichos tratamiento es el propio responsable por cuya cuenta actúa el prestador de los servicios, conclusión que resulta de los términos del artículo 3 g de la ley.
Realmente, quien accede al fichero es el tercero, el prestador del servicio, quien, por los mismo, se encarga del tratamiento por cuenta del responsable.
Por último, es claro que si el Encargado de tratamiento incumple la obligaciones -por ejemplo, destinando los datos a otra finalidad distinta-, dicho Encargado será considerado responsable.

01Ene/15

Luces y sombras de la LSSICE

Luces y sombras de la LSSICE

Introducción

Tres meses después de su publicación en el BOE, la controvertida LSSI entrará en vigor el 13 de Octubre de este año. Creo que es el momento oportuno para intentar hacer un análisis jurídico pero eminentemente práctico sobre la que considero una de las leyes mas importantes de los últimos tiempos.

De todos es sabido que la Ley tiene como principal objetivo la trasposición de la Directiva 200/31/CE (la Directiva del Comercio electrónico), sin embargo, se ha aprovechado para regular muchos otros factores que afectan a la llamada «Sociedad de la Información», en particular aspectos tan distintos como obligaciones de Servicio Universal, o la legalidad o ilegalidad de los actos que cualquier particular puede realizar -o no realizar- en la red de redes. Sin perjuicio de lo criticable que a priori esta arriesgada medida pudiera parecer, me centraré en alabar o criticar los aspectos centrales de la norma, y no entraré en críticas absurdas -de esas que están tan de moda últimamente en los mas variopintos foros de opinión- y estudios sin apenas valor jurídico y hechos desde la pasión mas desmedida. No todo es blanco o negro, sino que a menudo predominan los tonos grisáceos.

Es cierto que el objetivo principal de la norma es la regulación del Comercio Electrónico, extremo lógico ya que es igualmente el principal objetivo de la directiva de cuya trasposición se pretende. El ejecutivo quiere convertir a esta norma, junto con la nueva Ley de Firma Electrónica -que pretende corregir los errores de su antecesora-, un nuevo plan de Nombres de Dominio y una nueva variación de la Ley General de Telecomunicaciones, en el aspecto normativo central de su Plan Info XXI para el definitivo despegue del comercio electrónico. Recordemos que el Plan Info XXI viene impulsado igualmente por la iniciativa «E-europa», por la que se considera a las Telecomunicaciones, a servicios como Internet y al comercio electrónico como motores de la economía y se pretende su avance como base para que influya en el resto de los sectores productivos de los países de la unión. Los principios básicos de dicha iniciativa (protección de la infancia, Internet para todos, desarrollo del comercio electrónico…) han sido traspasados al plan Info XXI y aparecen, igualmente, delimitados como principios generales de la norma.

Sin embargo, hay muchos mas extremos. En particular, se pretende regular la responsabilidad de los enlaces en las páginas web, se habla de la responsabilidad o irresponsabilidad de los Isps ante ciertas situaciones, se obliga a los mismos a tener los datos de sus clientes durante un año, se establecen deberes de información obligatorias…y para conseguir el cumplimiento de todas las disposiciones, se arbitran cuantiosas sanciones económicas y mecanismos que han sido muy criticados. Como se ve, por tanto, muy lejos queda el objetivo de «simple» trasposición de la Directiva.

Pero sería muy injusto que me centrara solo en lo negativo. Esta norma tiene aspectos muy positivos que parecen haber pasado desapercibidos para toda la comunidad internauta. En particular, se apuesta por el arbitraje de consumo como medio delimitador de conflictos, en lugar de la lenta y a veces desesperante justicia ordinaria. Se apuesta por la eliminación de las barreras físicas lógicas que existen para las personas discapacitadas, ordenando normas de accesibilidad a los Isps para facilitarles el acceso. Se apuesta por la autorregulación y los códigos de conducta. Se prohíbe el spam, y se requiere para que en un breve espacio de tiempo, todos los ciudadanos posean «acceso funcional a Internet», punto último éste que prevé la sustitución de la denominada tecnología TRAC para aquellas zonas donde el par de cobre aún no había llegado (en España están afectadas unas 250.000 personas)

Elementos criticables

Toda ley tiene un ámbito de aplicación, pero en esta norma nos encontramos con un problema: la globalización. La norma habla de conceptos jurídicos muy asentados en nuestro derecho, como el de «domicilio social», sin embargo, no es consciente que en las redes telemáticas de la actualidad, el concepto de espacio ha cambiado enormemente. Así, la norma «será de aplicación a los prestadores de servicios de la sociedad de la información establecidos en España y a los servicios prestados por ellos» y establece mas abajo que «…se entenderá que un prestador de servicios está establecido en España cuando su residencia o domicilio social se encuentren en territorio español». La globalización -o mundialización, término que prefiero- provoca que, si quieres evitar esta normativa, registres un dominio o lo traslades a otro preferiblemente no europeo. Además, pensemos que los albergues para las páginas web -hosting o housing- radicados en empresas no europeas y que no tengan ninguna sucursal en la unión no están bajo el «paraguas» de la LSSI, por lo que tendrían una casi-total impunidad en este sentido. Esto, desde luego, no va a provocar el florecimiento de empresas de hosting en nuestro país, cuando en otros no tienen las trabas que aquí existirán. En mi opinión, es el resultado, una vez mas, de trasladar conceptos jurídicos que existen en el mundo «real» -entiéndaseme la expresión- como el «domicilio fiscal -repito- al mundo «virtual», donde el anonimato está a la orden del día, y donde la información vuela de una parte del mundo a otra en segundos, pasando por decenas de máquinas. Pensemos la importancia de esto: el lugar de establecimiento del prestador de servicios es un elemento crucial para cualquier ley, no sólo ésta, ya que de él depende el ámbito de aplicación de la norma.

Sin embargo no todo es tan fácil: a las empresas que ofrezcan sus servicios y que no tengan un establecimiento en nuestro país -y en ningún otro de la Unión Europea- se le aplicará, como es obvio, lo dispuesto en los tratados internacionales que España haya firmado. No creo que exista ningún artículo en dichos tratados específicos para la red, y esto provocará interpretaciones una vez mas forzadas de los mismos. Además, en cualquier caso, como se dice en el artículo 8, un juez podría impedir el acceso a un determinado servicio desde España, por medio del requerimiento al «servicio de intermediación» -isp- para que impida, desde nuestro páis, el acceso al servicio. Por tanto, la responsabilidad en este sentido es mundial, si un juez lo decide así. ¿Hacía falta esto? Recordemos el caso en el que un juez «cerró» el sitio francés de una importante casa de subastas americana porque en ella se exponían artículos nazis. El juez no tuvo demasiadas trabas para cumplir su sentencia, y no había una ley que lo respaldara. Además, en la actualidad, ante un requerimiento policial -no judicial- los responsables suelen o retirar la información que hayan almacenado o hacer imposible el acceso a ella, cuando tienen conocimiento efectivo de que existe una investigación o denuncia.

Por último, la responsabilidad de aquellos prestadores de servicios no nacionales pero sí europeos está sujeta al artículo 3 de la ley.

Es igualmente criticable la falta de oportunidad de la norma para no regular de una forma clara y concisa todo lo relativo al juego on-line. Examinemos la siguiente norma (artículo 5.2): «las disposiciones de la presente Ley, con la excepción de lo establecido en el artículo 7.1, serán aplicables a los servicios de la sociedad de la información relativos a juegos de azar que impliquen apuestas de valor económico, sin perjuicio de lo establecido en su legislación específica estatal o autonómica». En una ley que tiene un ámbito de aplicación enorme, no se entiende que en un tema tan controvertido como el juego on-line (muy criticado sobre todo por la falta de tributación de estas empresas) no se hayan aclarado algunos extremos, y para colmo, se remita a la legislación propia.

En el caso de los casinos, están sujetos a la Orden del 9 de enero, por la que se aprueba el Reglamento de Casinos de Juego (B.O.E. nº20 de 32 de Enero de 1979). Dicha normativa regula a estos establecimientos sometiéndoles en primer lugar a unas «autorizaciones de instalación», unas «autorizaciones de apertura y funcionamiento», regula también el régimen de su personal (en el capítulo V) y también intenta regular el funcionamiento de dichas salas, además de someterles a un fuerte régimen contable. Es decir, se encuentra muy regulado y con obligaciones muy concretas. Las obligaciones que impone el Real Decreto a los casinos son sistemáticamente incumplidas por los casinos on-line, principalmente por la no necesidad de disponer de un local abierto al público. En una ley donde se ha aprovechado para establecer obligaciones de servicio público en telecomunicaciones -aunque no era su objetivo prioritario- no se entiende, repito, que no se haya pasado a regular un poco mas un tema que ha levantado ampollas en la opinión pública. Estas empresas suelen establecer sus servidores en paraísos fiscales, pero ya hemos visto que la ley no escapa a éstos (por cuanto un juez puede prohibir el acceso a ciertos servicios «cerrando» los servicios de intermediación -Terra- radicados en España).

Creo que es igualmente criticable -y tiene mucho que ver con lo anterior- la no regulación de un sistema de protección intelectual que supere y actualice a nuestro ya caduco texto refundido de la Propiedad Intelectual (1/1996). Las Nuevas Tecnologías han traído consigo nuevos delitos y nuevas formas de delinquir y todos ellos se vienen resolviendo mediante interpretaciones de un texto que no está pensado para la red de redes, provocando interpretaciones de sus preceptos en ocasiones muy forzadas. Es cierto que en el seno de la Unión Europea se están «fabricando» soluciones para impedir esto (el «derecho de puesta a disposición» es un buen ejemplo) pero, nuevamente, creo que se ha perdido una buena oportunidad.

De la lectura de la ley una de las cosas que mas llaman la atención son las obligaciones de información que cualquier «Prestador de Servicios de la Sociedad de la Información» debe realizar. En un principio, es una medida consecuente para el establecimiento de esa confianza con el consumidor que adquiere productos por Internet: así, una empresa de dvds que opera en la red con establecimientos físico en España ha de proceder a incluir datos como el cif de la empresa en su página de entrada en la web. Sin embargo, el problema no es este, sino el ámbito desmesurado de aplicación de la ley: un «Prestador de Servicios de la Sociedad de la Información» puede no ser solamente una empresa que comercie con dvds, puede ser igualmente una persona con una página personal que tenga unos banners publicitarios con los que consigue el beneficio económico de la gratuidad del sitio, con lo que lo hace directamente responsable y afecto a la normativa que estoy tratando. Y por extensión, dicha persona está obligada legalmente a dar una serie de datos. Todo ello es deducible del artículo 10. Esperemos que los jueces -¿o la administración?- no haga una interpretación demasiado literal de la norma, o todos los ciudadanos de este país que tengan una página personal colgada en un servidor español tendrán que dar su Nif. ¿No es contraproducente tener una normativa en materia de protección de datos por la que se protege de una manera muy intensa los datos de un afectado, para que luego una ley nos obligue a «exponerlos» en la red a la vista de todos? La cordura y el sentido común dicen que esto no ocurrirá. ¿Dirá lo mismo la «autoridad competente?

Pero no menos criticable es el recientemente añadido artículo 12 de la norma, «por el que se establece un deber de retención de datos de tráfico relativos a las comunicaciones electrónicas». «Los operadores de redes y servicios de comunicaciones electrónicas, los proveedores de acceso a redes de telecomunicaciones y los prestadores de servicios de alojamiento de datos deberán retener los datos de conexión y tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información por un período máximo de doce meses, en los términos establecidos en este artículo y en su normativa de desarrollo». La simple lectura de este precepto aterra. En primer lugar, técnicamente puede llegar a ser costosísimo para los ISPs. En segundo lugar, y aún a pesar de lo que se verá mas adelante, puede lesionar de forma directa tu derecho a la intimidad. Y en tercer lugar, está por ver si resultará una medida eficaz.

Se establece que «…los datos que, en cumplimiento de lo dispuesto en el apartado anterior, deberán conservar los operadores de redes y servicios de comunicaciones electrónicas y los proveedores de acceso a redes de telecomunicaciones serán únicamente los necesarios para facilitar la localización del equipo terminal empleado por el usuario para la transmisión de la información…», por lo que lo único que puede almacenarse es probablemente la Ip y los datos personales del usuario, y, como dice mas adelante la norma, solo en el seno de una investigación criminal «…o para la salvaguardia de la seguridad pública y la defensa nacional, poniéndose a disposición de los Jueces o Tribunales o del Ministerio Fiscal que así los requieran». Una vez mas, vuelvo a repetir que ante una ilegalidad, un simple aviso policial al Isp de turno suele desembocar en el retiro de la información ilegal. Además, en la actualidad estimo que tanto la Policía Nacional como la Guardia Civil tienen medios suficientes -en tanto en cuanto el isp y el servidor de hosting esté radicado en España- para proceder a erradicar los actos ilícitos de la red. Cualquier medida que atente contra la intimidad de los usuarios me parece muy peligrosa, es por ello por lo que lo veo muy criticable. Mas aún teniendo en cuenta lo anterior: que en la actualidad, sin esta medida, existen recursos para luchar contra esto. Es curioso como el gobierno se ha prestado rápidamente ha incluir este artículo en la Ley en cuanto la Unión Europea ha redactado la correspondiente directiva, y se ha olvidado de regular otras aspectos muchos mas obvios. En cualquier caso, se prevé un desarrollo reglamentario para esta controvertida norma, con lo que quizás todavía es peligroso dar una opinión.

Por último, es francamente reprobable que ésta no sea una ley orgánica. Ya se hizo eco de ello el Magistrado D. Alfonso López Tena, como voto particular al informe que presentó el Consejo General del Poder Judicial. Me parece claro que esta norma regula Derechos Fundamentales, y por tanto su tramitación exige ley orgánica y que se integre en el bloque de constitucionalidad del Ordenamiento Jurídico Español.

Elementos positivos

Creo que la potenciación del arbitraje favorecerá la resolución de las disputas que se pueden producir. Y es que es un medio especialmente idóneo para este tipo de menesteres, aunque, obviamente, necesitará que se le dote de los medios adecuados, por lo que las posibilidades de recurrir a esta figura son enormes.

La no discriminación parece estar bien cubierta con la Disposición Adicional quinta: ahora la Administración está obligada a adoptar las medidas necesarias para que la información disponible en sus respectivos sites esté accesible a todas las personas, incluyendo aquellas discapacitadas, aunque el plazo para su resolución se me antoja eterno: el 2005. Este afán no discriminatorio escapa de la administración para sustanciarse en una serie de obligaciones para los prestadores de servicios y los fabricantes de equipos y hasta creadores de software.
La norma promueve la elaboración de Códigos de conducta sobre las materias reguladas en dicha ley, al considerar que son un instrumento especialmente apto para adaptar los diversos preceptos de la ley a las características de Internet. De ello se encarga el artículo 18 principalmente. Aquí tendrán mucho que ver las organizaciones comerciales y empresariales, para potenciarlos debidamente. No obstante, un código de conducta nunca es obligatorio, y su cumplimiento es totalmente voluntario, por lo que la efectividad de los mismos estará supeditada al número de entidades firmantes. Y a los mecanismos que éstos mismos códigos recojan.

Personalmente creo que uno de los mayores aciertos de la ley es la opción por la modalidad «opt-in» en las comunicaciones comerciales. Muchas empresas de Internet ya se han quejado, por lo que se ha apostado por un sistema que pide el consentimiento del destinatario de la información comercial a priori, y no a posteriori. Sin embargo, un rápido vistazo a la realidad de hoy día (buzones colapsados de información no solicitada) hace que esta medida se me antoje muy acertada. Además, se establece no sólo el consentimiento previo, sino la efectiva identificación de la comunicación comercial («publicidad», en el subject) y el total respeto a la normativa de Protección de Datos. Teniendo en cuenta que a la hora de recibir información comercial por medio del correo electrónico se entremezclan correos personales y trascendentes con otros que no lo son tanto, que el consumidor adopta un papel activo -es un coste para el destinatario de la información ya que la conexión corre de cargo del mismo- y que en la actualidad, el consumidor empieza a ser consciente de la pérdida de tiempo y dinero que esto supone, pienso sinceramente que se ha optado por el camino correcto.

Aspectos neutros

Se establece un «Principio de libre prestación de servicios» y una «No sujeción a autorización previa». Me parece algo totalmente obvio, por lo que negar lo contrario y establecer trabas para la realización de servicios en la red sería inaudito, por los efectos de retraso que provocaría en nuestra economía respecto a otros países. En cualquier caso es lo que se ha venido realizando hasta nuestros días, por lo que su inclusión en la norma probablemente refuerce la idea de libertad, pero poco mas. Ahora bien, eso no quita para que no sean responsables ante un requerimiento -judicial…aunque hay quien piensa lo contrario-.

El artículo 13 establece que los prestadores de servicios están sujetos a las responsabilidades propias de nuestro ordenamiento: civil, penal y administrativa. La cuestión es: ¿Es que antes no lo estaban? Obviamente, cualquier empresa española que realizara servicios de la sociedad de la información estaba sujeta a la misma responsabilidad que cualquier otra empresa cualesquiera que fuera su forma societaria, objeto, etc. El objetivo de la ley es que los consumidores y usuarios tengan ciertas garantías a la hora de contratar por Internet, reiterar lo que ya se sabe es algo que me parece…neutro para recuperar esa confianza. Totalmente «inocuo».

Todo el tema de la responsabilidad (artículos 13 y ss.) me parece correcto. Se establece que «…los operadores de redes de telecomunicaciones y proveedores de acceso a una red de telecomunicaciones que presten un servicio de intermediación que consista en transmitir por una red de telecomunicaciones datos facilitados por el destinatario del servicio o en facilitar acceso a ésta no serán responsables por la información transmitida, salvo que ellos mismos hayan originado la transmisión, modificado los datos o seleccionado éstos o a los destinatarios de dichos datos…». Se consagra el principio de NO responsabilidad de los Isps y demás prestadores de servicios siempre que no sean conscientes de la información que alojan, o transmiten. Lo contrario hubiera provocado que cada Isp tuviera que realizar una «labor de investigación» sobre el ingente número de páginas que muchos de ellos manejan. Sin embargo, si reciben un requerimiento, están obligados a impedir el acceso a la información objeto del mismo. Además, se dispone que los prestadores que faciliten enlaces a otros contenidos o incluyan en los suyos directorios o instrumentos de búsqueda de contenidos no serán responsables por la información a la que dirijan a los destinatarios de sus servicios, siempre que, nuevamente, no tengan «conocimiento efectivo»: hasta que el organismo competente les avise sobre el enlace en cuestión. Previamente, el órgano competente tiene que haber declarado la ilicitud del acto.

Normas como las señaladas en el artículo 23, sobre validez y eficacia de los contratos celebradas por vía electrónica, pueden favorecer la confianza de los consumidores. Se establece que todos los contratos celebrados por vía electrónica producirán todos los efectos previstos por el ordenamiento jurídico, cuando concurran el consentimiento y los demás requisitos del código civil (1261 del Código Civil). El imparable avance de las telecomunicaciones en este sentido hacen que esta norma…ya se esté cumpliendo. En la actualidad se realizan contrataciones por Internet y el ordenamiento ya las estima con plena validez jurídica. La pregunta entonces vuelve a ser «¿Es que antes no gozaban de validez?». Y la respuesta sería: «Sí, pero el objetivo es conseguir un reforzamiento de la confianza del consumidor…y hemos de conseguirlo». Mismo planteamiento merece cuando hablamos de que no será necesario el previo acuerdo de las partes sobre la utilización de los medios electrónicos (¿no existía libertad de forma en los contratos?¿me he perdido algo en clase?) que la prueba de los mismos está sujeta a las reglas generales del ordenamiento jurídico (ídem), y todo el mecanismo que se ha elaborado para delimitar la perfección del contrato (aunque bastaba con hacer una interpretación de los contratos a distancia, creo que tenemos sendas leyes que hablan de ello).

Conclusión

La ley tiene una pretendida vaguedad e indeterminación en sus términos que hacen que exista una expectación bastante importante por su definitiva entrada en vigor y, sobre todo, por ver cómo se va a proceder a su aplicación. Se viene diciendo por activa y por pasiva desde el Ministerio de Ciencia y Tecnología que la autoridad competente para el cierre de páginas web que atenten contra los principios de la ley es y será una autoridad judicial, por lo que desde el punto de vista de la libertad de expresión, a mí me quedan pocas dudas (pocas…no ninguna de ellas). Sin embargo, creo que tiene muchas mas sombras que luces, y no hay mas que repasar los puntos a favor y los puntos en contra de mi planteamiento. En cualquier caso, una espera prudencial a partir del próximo 13 de octubre se hace necesaria.

01Ene/15

Nombres de Dominio: Nuevo Borrador

Nombres de Dominio: Nuevo Borrador

Nos encontramos en una época de profundo cambio en el sistema de nombres de dominio a todos los niveles. Pasaremos en breve del protocolo «ipv4» al «ipv6» -de 32 a 128 bits-, se han creado nuevos nombres de dominio y los países intentan ajustar su legislación para apostar por la flexibilización o por la seguridad en los registros territoriales. En España, hace poco que finalizó el período de información pública del nuevo borrador de nombres de dominio, de fecha 12 de Abril del 2002.

Historia

Podemos distinguir dos tipos de dominios dns de primer nivel: los genéricos y los «country codes» o códigos territoriales. Los primeros son los de tipo «.org», «.net» o «.com». Dentro de los country codes, los de terminación «.es» son los referenciados a España (según la norma iso 3166-1 de la cual depende), y hasta 1995 su gestión fue realizada por Rediris (red académica y de investigación nacional), función que a su vez le fue delegada por la IANA (Internet Assigned Number Authority).

A partir de 1995, se produjo un aumento exponencial de los nombres de dominio contratados, y se hacía necesaria la reestructuración de todo el sistema.

El 1 de agosto del 96 la entidad es-nic comienza a funcionar, como registro delegado de internet en España. En cuanto a la normativa, nos encontramos en primer lugar con el desarrollo reglamentario de la LGT del 98, Real Decreto 1651/1998 (de Interconexión). Posteriormente, en virtud de la designación efectuada mediante Resolución de la Secretaría General de Comunicaciones, de 10 de febrero de 2000, la labor de asignación de nombres de dominio de segundo nivel bajo el código de país correspondiente a España se encomienda al Ente Público de la Red Técnica Española de Televisión, en la actualidad Red.es. El 31 de marzo de 2000 entró en vigor la orden de 21 de marzo de 2000, por la que se regula el sistema de asignación de nombres de dominio de internet bajo el código de país correspondiente a España (.es), modificada por la orden de 12 de julio de 2001. Con la ley 14/2000 se crea la tasa para la asignación y mantenimiento de los nombres de dominio y la 24/2001 permite a Red.es fijar los modelos de declaración, plazos y formas de pago de la tasa. Para finalizar, el Real Decreto 164/2002 aprobó el Estatuto de la entidad pública empresarial red.es.

Toda esta amalgama de normas concluye con un nuevo plan de nombres de dominio de Internet, de fecha 12 de Abril del 2002, sobre el que quiero profundizar a continuación. Europa en breve adelantará a EEUU en nombres de dominio, pero en España parece que no acaba de despegar (40223 nombres de dominio registrados), y principalmente esto es debido a que el vigente plan de nombres de dominio ha apostado por la seguridad en cuanto a la titularidad de los nombres antes que en la multiplicidad de los mismos. Es loable que se quiera dicha seguridad, por cuanto quizás España se encuentre a la cola europea en cuanto a registros de nombres de dominio territoriales, pero es cierto que, al menos, sabemos que quien dice tener tal o cual nombre de dominio es realmente el legítimo titular (ya que los requisitos para registrar un .es apuestan por dicha seguridad en la titularidad). Se han evitado disputas por nombres de dominio muy propios en otros nombres de dominio genéricos («.com») y en donde se ha llegado hasta crear una política uniforme de resolución de conflictos en vista de que el «cybersquatting» actuaba rápidamente, ya que el único requisito era «el llegar primero» que quien tenía el legítimo uso de un determinado nombre. Los requisitos para la obtención de un dominio «.es» (un dns de primer nivel) es ser persona física o jurídica con residencia en España o persona física o jurídica con establecimiento estable en España. Por supuesto, no en todos los registros territoriales existen normas tan estrictas como las españolas, y cualquier español puede registrar otros nombres de dominio con total libertad, siempre según su legislación territorial (por ejemplo suiza -sh-). El caso paradigmático es el del archipiélago de Tuvalu, al que le correspondió el dominio territorial .tv, y que muchas televisiones lo usan sin ningún problema, por una similitud de tipo sintáctico.

El nuevo Borrador

Antes de profundizar, me gustaría hacer una aclaración: el tipo de derecho que establece el registro de cualesquiera nombre de dominio -bien genérico, bien territorial- es el de una delegación del nombre en cuestión, prorrogable -anualmente- y sobre el que se posee el uso y el disfrute, nunca la posesión. Esto es así cuando además, se ve que, si aparece un titular legítimo sobre un determinado nombre que ha venido siendo usado por una entidad o persona, se puede proceder, caso de probarse dichos extremos, al traspaso de dicha delegación. Nunca se adquiere la propiedad, y por supuesto, el registro de un determinado nombre de dominio no da derechos sobre el nombre registrado (el que registre «bacardi.com» no adquiere ningún derecho sobre dicha marca).

El principal objetivo del nuevo borrador: la flexibilización, pero sin desmerecer la seguridad a la que anteriormente hacía referencia. Se quiere que el «.es» siga siendo ante todo un espacio de seguridad, pero igualmente se quiere abrir el «.es» a muchos mas supuestos. Principalmente, se amplía la oferta al posibilitar el registro de nombres de dominio de tercer nivel bajo cinco nuevos indicativos, «.com.es», «.nom.es», «.org.es», «gob.es»,».edu.es». Se prevé una automatización para los tres primeros. Los dos últimos se quieren usar para estimular el ámbito administrativo y educativo. Se prevé además un ámbito de disputa si surgieran controversias.

El plan ratifica que la autoridad de asignación es la entidad pública empresarial «Red.es» (art. 2). Se afirma que para registrar un nombre de dominio se puede acudir tanto a dicha entidad como a cualquier agente mediador de registro, teniendo igual relevancia a efectos jurídicos tanto si se hace directamente por la entidad como si se registra por medio de cualquier agente. Dichos agentes realizarán su actividad en un régimen de libre competencia (art. 3). Se establece que será «Red.es» quien determine las condiciones de solvencia de los registradores. Pocas novedades en este ámbito.

Dos tipos de nombres de dominio «.es» se establecen en el borrador: los «especiales» y los «regulares». Los segundos son los registrados en las condiciones que se dan en el propio borrador. Los primeros, siempre respetando las normas sintácticas, se dan en específicos casos donde concurra un concreto interés público. Dentro de los regulares, como ya he señalado, tendremos los de segundo («red.es») y los tercer nivel (en realidad, subdominios -p.ej «.gob.es»-). Se prevé una automatización para los dominios de tercer nivel, que se ajusta al principio «first come first served» y que, en todo caso, deberán de reunir todos los requisitos del plan, pero no se realizará dicha comprobación a priori, sino a posteriori como consecuencia de una demanda de una entidad o particular que se haya visto afectado: de hecho, en el artículo 17 se habla que solo las «personas o entidades que se sientan perjudicadas» podrán instar de la autoridad de asignación que proceda a la verificación del cumplimiento de los requisitos establecidos en los artículos…». Esto es así en «com.es», «nom.es», y «org.es». Significa que los usuarios pueden registrar cualquier tipo de nombre que esté disponible -que no haya sido registrado con anterioridad, según el principio anteriormente aludido-. Esto no quita que no sean «dominios seguros», por supuesto. Cada uno de estos dominios de tercer nivel están designados a los concretos supuestos de hecho del plan (por ejemplo «nom.es» se dirige a personas físicas).

Esta mayor libertad dada ahora por los dominios de tercer nivel se amplía con las posibilidades de asignación de las personas físicas (no solo en el ámbito del tercer nivel, también respecto del segundo nivel), profesionales, entidades sin personalidad jurídica y organizaciones internacionales vinculadas con España.

Para prevenir la ocupación de dominios no solo se siguen estableciendo fuertes requisitos según el tipo de nombre de dominio, sino que, según el artículo 10, «…se procurará la necesaria coordinación con el Registro Mercantil Central, la Oficina Española de Patentes y Marcas, los demás registros públicos nacionales y la Oficina de armonización del Mercado Interior…»

Por último, se establecen las lógicas y correctas normas de sintaxis que deberán cumplir todos los subdominios asignados (un máximo de 63 caracteres, dos caracteres mínimo, etc…), se habla igualmente de la no transmisibilidad de los nombres de dominio a salvo claro está, de los supuestos inter vivos o mortis causa recogidos, la no responsabilidad de los isps -lógica por otra parte- de la utilización de los nombres de dominio asignados y la misma para la persona u organización que haya procedido a dicho registro.

Con la mayor flexibilización de este nuevo borrador de nombres de dominio se quiere contribuir al definitivo despegue del comercio electrónico en nuestro país, sin descuidar el ámbito de seguridad que tradicionalmente ha distinguido al «.es». Sin embargo, las normas para el registro de los dominios genéricos («.com», «.net»…) siguen siendo mucho mas flexibles, a costa claro está, de una lógica litigiosidad. Esperemos que los dominios de nuestro país aumenten con esta nueva normativa.

 

01Ene/15

Apuntes sobre bases de datos

Apuntes sobre bases de datos

Las bases de datos se encuentran reguladas por el Real Decreto Legislativo 1/1996 de 12 de Abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia, constituyendo la piedra angular en esta materia. Dicho Real Decreto transpone al Ordenamiento Jurídico Español la Directiva 96/9/CE del Parlamento Europeo y del Consejo, de 11 de marzo de 1996, sobre la protección jurídica de las bases de datos que afectan a la materia de propiedad intelectual, así como la modificación realizada por la Ley 1/2000 de 7 de enero de Enjuiciamiento civil.

Intentaré hacer un estudio jurídico en base al plagio de una base de datos online. Veremos qué acciones civiles y/o penales, además de procesales pueden llevarse a cabo. Además, hablaré de varios apuntes técnicos. Por último, hablaré de los elementos de prueba (muescas notariales) y de la problemática sobre si una digitalización de una base de datos es o no susceptible de protección por un derecho «sui géneris».

Partimos de la consideración de una base de datos como un depósito común de documentación, útil para diferentes usuarios y distintas aplicaciones, que permite la recuperación e la información adecuada, para la resolución de un problema planteado en una consulta.

Todas las bases de datos deben partir de un fondo documental seleccionado, al que se somete a un proceso con objeto de que se pueda recuperar la información orientada a la solución de un determinado problema. Así consideramos la base de datos como un almacenamiento de documentación, organizada y estructurada de forma que permita recuperarla como información. Esto es, que de respuesta a una consulta, a un problema.

Consideramos a las bases de datos como colecciones de obras, datos u otros elementos independientes accesibles por medios telemáticos. La LPI protege las bases de datos en cuanto a la forma de expresar la disposición: el orden de los elementos que lo integran. Pero se exige el cumplimiento del requisito de la originalidad. En ese sentido, decir que en el caso «Aranzadi» Vs «El derecho» -estudiado mas adelante- se consideró a la base de datos de Aranzadi (compuesta por mecanismos de búsqueda por disposición, texto libre, marginal, etc) como «original». Es decir, podemos decir que se hace una interpretación amplia de lo que es originalidad.

Sin embargo, este requisito no quiere decir que en los casos en que la forma de disposición de los contenidos no sea original no haya protección legal. Para estos supuestos, la ley establece el llamado derecho sui generis, que protege la inversión que realiza el fabricante de la base para la obtención, verificación o presentación del contenido.

Se pretende evitar el copiado ilícito del contenido de las bases de datos, cuando su elaboración haya supuesto para el titular una inversión sustancial, ya sea a nivel económico, de tiempo o esfuerzo. Este derecho sui generis es independiente del derecho de autor sobre la base de datos que se ha comentado anteriormente, y por ello en determinados casos la base de datos se podrá beneficiar de una doble protección legal.

Así, tenemos:

  • Una originalidad en la base de datos
  • Un derecho sui generis, protegiendo la inversión realizada.

El derecho sui generis protegerá la inversión sustancial, evaluada de forma cualitativa o cuantitativa, que realice el fabricante de la base de datos, ya sea de medios financieros, empleo de tiempo, esfuerzo, u otros de similar naturaleza, para la obtención, verificación o presentación de su contenido. Es por tanto un derecho claramente diferenciado del derecho de autor, que protegerá la forma de estructura el contenido de una base de datos, y no el propio contenido. Este derecho se plasma en la, posibilidad que tiene el fabricante para prohibir la extracción y/o reutilización de la totalidad o de un parte sustancial del contenido de la base de datos, siempre medida desde un punto de vista cualitativo o cuantitativo. Este derecho es transmisible en todas las formas previstas para transmisiones inter vivos o mortis causa.

El párrafo 2 del art. 134 de la LPI (Texto Refundido de la Ley de Propiedad Intelectual vigente) establece unas limitaciones a los actos que un usuario autorizado de una base de datos puede realizar y que rebatirían el planteamiento anterior. Entre ellas destacamos la prohibición de realizar actos que sean contrarios a una explotación normal de dicha base o lesionen injustificadamente los intereses legítimos del fabricante de la base.

El art. 133 de la vigente LPI define el contenido del derecho «sui generis»: » El derecho «sui generis» sobre una base de datos protege la inversión sustancial, evaluada cualitativa o cuantitativamente, que realiza su fabricante ya sea de medios financieros, empleo de tiempo, esfuerzo, energía u otros de similar naturaleza, para la obtención, verificación, o presentación de su contenido».
Procesalmente, decir que la infracción de los derechos que otorga la ley de propiedad intelectual puede ser castigada mediante el ejercicio de acciones civiles y penales.

Respecto a las civiles señalar que:

  • El Procedimiento ordinario es el competente en este caso.
  • Se puede instar el cese de las actividades que atenten contra los derechos del legítimo titular, con la indemnización de daños y perjuicios (económicos y morales).
  • También puede solicitar con carácter previo al inicio de las actuaciones judiciales, la adopción de las llamadas medidas cautelares destinadas a proteger sus derechos con carácter urgente.
  • Podemos pedir el cese, suspensión, prohibición de la acción, retirada del comercio de ejemplares ilícitos y sucesiva destrucción, precinto de aparatos utilizados…
  • La acción para reclamar los daños y perjuicios prescribe a los cinco años desde que el interesado pudo ejercitarla.
  • Igualmente, podemos pedir la adopción de medidas cautelares. En particular, la intervención de los ingresos, suspensión de la actividad de reproducción, distribución y comunicación pública, el secuestro de los ejemplares producidos o utilizados y el del material empleado exclusivamente para la reproducción o comunicación pública, el embargo de los equipos, aparatos y materiales utilizados, etc…
  • Penalmente, el tipo penal habla de que, la persona que, con la intención de beneficiarse y en perjuicio de un tercero, reproduzca, plagie, distribuya o comunique públicamente, en todo o en parte, una obra literaria, artística o científica, su transformación, interpretación o ejecución artística fijada en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus cesionarios puede ser castigada por cometer un delito contra la propiedad intelectual sancionado con pena de prisión de 6 meses a 2 años o de multa de 6 a 24 meses.

Una vez explicados los derechos de autor y sui generis que tienen las bases de datos, hay que reseñar que estos derechos no son absolutos.

Serán considerados nulos de pleno derecho aquellos actos de disposición contrarios a los derechos de los usuarios legítimos.

Los legítimos usuarios podrán extraer y reutilizar una parte sustancial del contenido de la base de datos en algunos casos, en especial si la extracción tiene fines educativos o de investigación científica en la medida en que esté justificada por el objetivo perseguido (además, se debe de citar la fuente). Por supuesto, si existe interés en salvaguardar la «seguridad pública» también puede extraerse una parte sustancial. El fabricante no podrá prohibir al legítimo usuario, la extracción y o reutilización de partes no sustanciales del contenido de la base de datos con independencia del fin a que se destine. El problema en muchos casos es determinar si la extracción ha sido sustancial o no lo ha sido. Pero en cualquier caso, un legítimo usuario no podrá realizar actos contarios a una «explotación normal» de una base de datos o, por supuesto, realizar actos que perjudiquen al titular de los derechos de autor.

En una utilización ilegítima de una base de datos en internet, los logs de acceso nos dirán las direcciones ip de las máquinas que han extraído el contenido, y sabiendo su origen, la mejor reclamación que podemos realizar es ante el servidor-isp al que pertenezcan dichas ips. Es fácilmente averiguable en la base de datos de Whois (online) o utilizando comandos especiales desde la línea de comando, como tracert, que «traza» el rastreo de la ip hasta dar con el lugar donde está ubicada dicha ip (y posteriormente ver cuál es su isp).

Una simple llamada de teléfono, indicando al proveedor que la ip ha cometido acciones ilegales y que han infringido derechos de la base de datos, para posteriormente darnos los datos personales de los individuos debería de bastar para que los accesos a la base de datos concluyeran. De hecho es lo que suele ocurrir en la mayoría de los casos: los isps no se hacen responsables de los actos fraudulentos de sus usuarios, pero si colaboran -en ocasiones «demasiado»- con una investigación policial o judicial.

El principal motivo que esgrimiríamos ante el isp de turno sería la utilización de la conexión para fines delictivos, algo que no puede amparar el proveedor de servicios, mas aún con la nueva LSSICE en ciernes. Además, podemos proceder a que el isp nos de los datos personales del titular de dicho acceso a internet, aunque, paradójicamente, el isp no debería dárnoslo: podría vulnerar la intimidad, ya que estamos instando una petición de información sin el oportuno requerimiento judicial.

Nos enfrentamos a que, como dicha prueba ha sido obtenida vulnerando la intimidad del infractor, ésta sea considerada nula, e incluso, al inicio de una posible reconvención por la violación de los derechos de honor, intimidad y propia imagen (ley 1/82). Además, hay que reseñar que esto admite prueba en contrario: en el fondo, tenemos una ip que es una máquina, no una persona. Tenemos como mucho un titular de dicha dirección ip. Una máquina que, aunque en el isp esté registrada a un determinado nombre, puede ser usada por una pluralidad de personas. Esto además, no es exactamente así, ya que existen dos tipos de ips: las direcciones ip fijas y dinámicas. Las primeras no cambian, como su propio nombre indica.

Las segundas, te las asigna el servidor cada vez que te conectas a la red con el isp de turno. En cualquier caso, un servidor debe de llevar el registro de las direcciones de todos sus clientes en un momento dado, por lo que no debería de haber problema al comprobar que la dirección ip X.X.X.X perteneciente a tal isp pertenecía al usuario tal, el día y hora que los hechos ocurrieron.

Por otra parte, los «hackers» utilizan una dirección ip ajena a su propia máquina para ocultar su identidad, mediante un virus troyano que infecta la máquina que será la pasarela para cometer fechorías como esta. En otras ocasiones, utilizan un software como «wingate», programas «proxies» que ocultan su verdadera identidad. Es decir, puede que nuestras investigaciones nos lleven a una persona inocente, infectada con un virus, que simplemente ha sufrido el ataque de un hacker. A esta persona se le conoce como «bouncer». Ponerse en contacto con el bouncer para que le pase a la máquina Ip (a la que pertenece el log de acceso) un antivirus actualizado y un programa antitroyano (especializado en este tipo de archivos maliciosos) nos dará una idea de su autoría o no.

Si está infectado, casi con toda seguridad el no era consciente de lo que ocurría, y una posible responsabilidad por negligencia, dada la frecuencia de los virus en internet, sería dificilmente esgrimible. Si no lo está, la autoría pertenece a dicha máquina. Al tener las fechas-horas de acceso, esto facilita mucho la situación.

Respecto de los logs de acceso:

  • Si son accesos parametrizados, buscarse testigos que, a una determinada hora, sean conscientes de los accesos a dicha web. El hecho de que estos sean automáticos puede provocar la facilidad de la obtención de pruebas testificales por esta vía.
  • Y de la misma forma, levantar un acta notarial que de fe pública sobre la intrusión y la extracción. Esto es, que el notario sea testigo del caso en su totalidad, testigo no solo de la dirección ip, sino también de la «automatización» de los accesos -es decir, que estos se producen cada cierto tiempo-.

Por estas dos vías, podemos acompañar una posible demanda civil y/o penal con una prueba testifical y pericial basándonos en la existencia de estos archivos. Presentar los «logs de acceso» sin nada mas podría suponer la impugnación de la prueba y su no inclusión en el caso. En cualquier caso, como siempre, todo dependería de la importancia que le diera el juzgador.

Un informe pericial resulta altamente aconsejable: es necesario un informe en un lenguaje comprensible al juzgador para que se determine la gravedad e ilegalidad de lo producido. En este caso, a diferencia del anterior donde el tipo objetivo que exige el Código penal para penar la conducta está perfectamente acreditado -me refiero al ánimo de lucro- creo que no cabe una acción penal. Es decir, si nos centramos en la sola extracción de los contenidos de las bases de datos, sin saber si se están revendiendo los contenidos de dicha base de datos o lo están usando para meros fines personales, el tipo penal del 270 exige dicho ánimo.

El simple acceso a una base de datos sin saber que se hace con los datos a los que se ha accedido no contiene los suficientes elementos del tipo penal de dicho artículo, ya que no sabemos el destino de los datos a los que se ha accedido.

Por el contrario, si sabemos que se están utilizando con fines lucrativos, una demanda penal si que parece obvia. El derecho penal no debería entrar en unas conductas de las que no tenemos pruebas sobre su posible tipicidad: la doctrina es unánime al afirmar que el derecho penal ha de ser la última herramienta del estado para sancionar una conducta. Sobre esto, cabe reseñar la Sentencia de la Audiencia Provincial de Barcelona, Sección 10ª, con fecha 10-6-1995:

«(…) no toda vulneración o desconocimiento de los derechos derivados de la propiedad intelectual suponen sin más la realización de una conducta típica, y por ello, que no es suficiente con la realidad constatada de que el acusado con su conducta haya infringido lo dispuesto en el artículo 99.2 de la Ley de Pro piedad Intelectual, en relación con la autorización del titular del derecho de explotación; porque no debe perderse de vista que el derecho de propiedad en cualquiera de sus manifestaciones goza de una protección tanto civil como penal, y esta última, por su naturaleza y circunstancias, debe actuar sólo con relación a los supuestos más graves de vulneración o desconocimiento del derecho. (…) El acusado tenía en su poder un número considerable de copias ilegales de programas, pero no hay constancia probatoria alguna de que hubiera realizado cualquier acto de tráfico o enajenación de los mismos … de modo que lo único que le es imputable es la posesión que, aun cuando pueda vulnerar lo dispuesto en el artículo 99.2 de la Ley de Propiedad Intelectual, no entraña el tipo penal por el que se pretende la condena, que debe reservarse para supuestos más graves de vulneración y perjuicio de la propiedad intelectual, según antes se ha razonado.»

Por tanto, la reclamación ante el Isp es la vía mas recomendable, ya que el hecho delictivo está siendo provocado por el usuario final de un proveedor situado en territorio español. Existen otras vías de reclamación, la Secretaría de Estado de Telecomunicaciones, el arbitraje de consumo, o asociaciones de usuarios (por ejemplo, la AUI, asociación de usuarios de internet), pero dado que es una reclamación por el mal uso de una conexión de un usuario, esto es, no es un mal comportamiento del Isp u operador, la vía mas efectiva es la reclamación ante el propio Isp.

Muescas notariales

Las muescas notariales en el código de la base de datos es la principal vía para probar la autoría. Un acta notarial que de fe publica, previamente, de posibles errores ortográficos, o de reseñas que forman parte del código fuente, para posteriormente, comprobar que la base de datos contiene dichas muescas, es un elemento muy eficaz a la hora de probar dicha autoría.

En el caso «El derecho» VS «Aranzadi» resultó condenado El derecho por haber copiado de la base de datos de la histórica editorial jurídica Aranzadi. Las sentencias del Tribunal Supremo se refiere a un total de 12 años, del 82 al 93. Y la principal prueba que determinó la victoria de la segunda sobre la primera fueron los errores ortográficos -muescas- hechas con vistas a que esto pudiera ocurrir.

Entre los centenares de errores que coinciden en las dos bases de datos se encuentran estos: en una sentencia del Tribunal Supremo figura la frase «lo dispuesto…» y en los dos CD-Rom consta «los dispuestos…»; «exigirse indemnización» pasa a ser «exigirse la indemnización; «Lloma-rit» está escrito con guión en la sentencia porque va al final de una línea y se transcribe con ese guión por Aranzadi y después por El Derecho pese a no ser un fin de línea; la palabra «tardanza» se convierte en «tardanaza». En este caso, el juez estimó que aunque las sentencias no tienen derechos de autor, si está protegido por el llamado «derecho sui generis», explicado mas arriba. Y para demostrar el plagio, se determinó que los errores ortográficos eran prueba suficiente para determinar la autoría de una determinada base de datos.

-Digitalización y derecho «sui géneris»

El derecho sui géneris protege el desembolso, esfuerzo, etc que alguien, persona física o jurídica, realiza a la hora de construir una determinada base de datos. En ese sentido, tenemos el supuesto por el que alguien realiza una base de datos informática -esto es, digital- convirtiendo al formato de ceros y unos una obra que se encuentra en soporte «analógico», por ejemplo, en formato «papel». ¿Hasta qué punto el «esfuerzo digitalizador» puede verse protegido por este derecho? ¿Merece la pena hablar de derecho sui generis en esta ocasión?

En este sentido, los editores de los boletines oficiales publicados en Internet en principio gozan del derecho «sui generis» sobre los archivos que publican sus páginas. No es relevante para el presente caso, el hecho de que se traten de textos legales, ya que el derecho «sui generis» protege la inversión en la publicación digital y el mantenimiento que están realizando los editores de los boletines oficiales o las empresas subcontratadas que se encargan de la publicación en Internet. El esfuerzo es cuantificable económicamente al observar que para la publicación de los archivos en Internet es necesario un equipo informático, conexiones telemáticas, documentalistas contratados, programas de tratamiento de texto y de publicación en Internet, un espacio físico para el desarrollo de la actividad y unos costes fijos de mantenimiento de las instalaciones.

El artículo 133 de la LPI habla en términos de inversión de una base de datos, por tanto, el digitalizar -por ejemplo- un listín telefónico conlleva, sin lugar a dudas, una inversión protegible por la vía de este artículo. En ese sentido, creo que no hay dudas que es protegible y perfectamente esgrimible ante cualquier tribunal.
Es posible demostrar que la inversión ha sido sustancial, justificándola en cuestiones de distinta naturaleza, como por ejemplo:

  • Los costes económicos soportados en las distintas fases de producción de la base de datos, aportando facturas de proveedores que hayan participado en el proyecto y los documentos contables que demuestren la inversión económica realizada.
  • El tiempo dedicado por el autor, sus empleados o proveedores. Es conveniente realizar depósitos notariales durante las diversas fases del proyecto con el fin de demostrar la evolución de la base de datos y la duración del trabajo realizado.
  • El esfuerzo invertido en las labores de obtención, corrección, verificación, análisis, interrelación y presentación de la información contenida en la base de datos.

Sin embargo, pueden existir opiniones encontradas en este aspecto: en efecto, ese «esfuerzo digitalizador» pudiera no ser suficiente. El artículo 133 habla de inversión sustancial, y ya sea ésta cualitativa o cuantitativa. Nos encontramos ante un concepto jurídico indeterminado, pues hasta dónde una inversión es sustancia y hasta dónde no lo es?

En este caso, habría que preguntarse cuánto tiempo se ha empleado en digitalizar el fabricante de la base de datos, en preparar u organizar su contenido y preparación, etc, etc. En definitiva: sólo un juez podrá decirnos si efectívamente estamos ante una inversión sustancial.

01Ene/15

Documento de seguridad

Documento de seguridad

La principal obligación es el establecimiento de un «Documento de Seguridad» donde se llevarán todos los registros oportunos en materia de Protección de Datos. Cada documento es distinto según el nivel de seguridad que se deba adoptar. Dicho documento deberá estar siempre disponible por si se lo requiere la Agencia de Protección de Datos, y no ha de estar inscrito: lo que se inscribe es el fichero -nos referimos a los datos que sobre el fichero se le pidan-, no el documento. Por cada fichero debe de existir un Documento de Seguridad, sin embargo, pensamos que es más flexible agrupar todos los ficheros según el nivel de seguridad de éstos y realizar un Documento de Seguridad para cada uno de ellos (por ejemplo, un Documento de Seguridad para todos los ficheros que contengan Medidas de Seguridad de nivel básico).

El documento está compuesto de dos partes: un texto explicativo donde redactaremos las obligaciones del personal, obligaciones generales, medidas a adoptar, etc, y un libro de registros donde llevaremos los registros oportunos. La Ley advierte que ha de ser el Responsable del Fichero (en nivel básico) o el Responsable de Seguridad quien proceda a la cumplimentación, pero creemos necesaria la ayuda de todo el colectivo de la entidad en cuestión.

Haga varias copias del Documento de Seguridad y manténgalas a mano. A tenor del artículo 44.3 h) se considera infracción grave mantener los ficheros sin las debidas Medidas de Seguridad pertinentes establecidas en el Reglamento.

01Ene/15

Apuntes sobre correo electrónico en la empresa

«Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques»

Declaración Universal de Derechos Humanos, 1948

Dice Nicholas Negroponte, gurú de la tecnología y famoso visionario, que «la intimidad en Internet carece de estado de salud, ya que ésta no existe». Al plantearme el secreto del correo electrónico de los trabajadores como actividad monográfica, es necesario tener en cuenta que la intimidad, y todos sus derechos conexos (libertad, propia imagen, etc..) están en franco retroceso, mas aún después de la crisis del once de Septiembre. Un país, Estados Unidos, locomotora mundial de las nuevas tecnologías, está poniendo en entredicho derechos constitucionales que jamás se habían puesto en duda, al menos en los términos en los que nos los plantearemos a continuación. El secreto de un correo electrónico en una esfera laboral nace ya bastante desdibujado, y es que en el país mas avanzado del mundo, éste secreto, simplemente no existe, consecuencia de la distinta concepción de intimidad entre Europa y Norteamérica. En Europa, la intimidad es un derecho intrínseco a la persona. En Estados Unidos, la intimidad pertenece al estado. Un altísimo porcentaje de empresarios norteamericanos instalan pequeñas aplicaciones en sus redes de ordenadores para espiar no ya sólo el correo, sino toda la actividad del trabajador, sea o no sea este último consciente de ello. Pero nadie protesta: el sentimiento patriótico está por encima de mis asuntos.

Bien es cierto que no hay que ser negativos, porque nuestros dos altos tribunales, Constitucional y Supremo, siempre se han caracterizado por velar por nuestros derechos fundamentales. En cualquier caso, hay que entender estos derechos como un conjunto, es decir, en esta monografía nos plantearemos el secreto de las comunicaciones, pero también el derecho del empresario para que los trabajadores lo usen con la debida diligencia. Hasta comienzos de este año, podríamos decir que los pronunciamientos judiciales sobre esta materia favorecían, de una u otra forma, los intereses del empresario. En éste sentido, se equiparaba el e-mail a la «taquilla» del trabajador. Consecuentemente, era posible su registro para comprobar el posible mal uso, siempre que se hiciera con unas debidas protecciones y garantías. Sin embargo, a raíz de una sentencia del Tribunal Supremo francés, junto con un primer pronunciamiento y acercamiento de nuestro homólogo español, parece que se empieza a tener en cuenta y apostar más por el «secreto de las comunicaciones».

Desde luego, y mas que nunca en este aspecto, hay que buscar un punto medio, pero encontrarlo muchas veces, es casi utópico. Especialmente por la cantidad de situaciones diversas y derechos afectados, todos de suprema importancia, que es preciso proteger. Cuando hablamos del «secreto del correo electrónico en la empresa» no nos referimos a una actividad única. Algo tan sencillo como mandar un email tiene una complejidad interna que creo que es merecedora de explicación, para luego introducirnos en las posibles responsabilidades jurídicas. No puede ser lo mismo mandar un correo electrónico con un dominio propio de la empresa en la que el trabajador presta sus servicios, que hacer esto mismo desde uno de los numerosísimos servicios gratuitos de correo que pueblan la red de redes. En el primer supuesto, el trabajador está comprometiendo el nombre y prestigio de la entidad que defiende, en el segundo solo se compromete él mismo. De la misma forma, cuando nos referimos a la acción de «espiar» el contenido del email de un trabajador, no puede ser lo mismo adentrarnos en datos poco reveladores de la intimidad personal, como puede ser el destinatario del mensaje, o el «subject», donde solo se suelen dar datos generales, que en el cuerpo del mensaje. Idem de ídem, no es lo mismo mandar un email personal al día que hacerlo con una alta frecuencia. Lo único que podemos llegar a tener claro en esto es que el coste para el empresario es realmente despreciable: el empresario no pierde dinero -en términos de uso de la infraestructura empresarial- por el envío de uno o de cuatrocientos correos. Desde la instauración de la tarifa plana -e incluso sin que estuviera esta-, y más teniendo en cuenta las sucesivas conexiones de banda ancha que priman en las actuales estructuras empresariales, mandar un correo tiene un «coste cero» para el empresario. Obviamente, hablar en términos de falta de productividad del trabajador es hablar de la falta de horas que ha dejado de dedicárselas al empresario, y esto si tiene relación directa con el número de correos electrónicos, o la longitud de los mismos.

La complejidad del asunto nos llevará a intentar resolver el problema desde la perspectiva de la ponderación de los derechos que están en juego. Sólo aplicando la cordura, reconociendo que no hay ninguna esfera de impunidad para ninguna de las partes, y que el término «buena fe», una vez más, va a ser imprescindible, podremos llegar buen puerto.

Junto a esto, el estado de la técnica hace que hoy en día, programas de cifrado sean totalmente accesibles para cualquier persona. Utilizando complejos algoritmos de encriptación, cualquier persona, haciendo un par de «clics», puede hacer, literalmente, inaccesible cualquier contenido del email que quiera cifrar. Cabe preguntarse si el trabajador tiene derecho a usar este software o no lo tiene. Actualmente, no hay jurisprudencia que contemplen este extremo.

Considero que, previamente al enfrentamiento y colisión entre estos derechos, debemos de conocer perfectamente los límites de todos ellos. Nos valdremos principalmente de la doctrina del Tribunal Constitucional para saber a que nos referimos exactamente cuando citamos el derecho al honor o ponemos el límite de la «libertad de empresa» a dicho derecho. Posteriormente, los enfrentaremos para conseguir vislumbrar los límites de cada uno de ellos. Adelantamos aquí algo que parecía obvio desde un primer momento y que ya he repetido: no hay derechos absolutos.

El despido en el ámbito laboral es la consecuencia más grave derivado del uso de las llamadas «nuevas tecnologías». Creo que merece una especial atención, apoyándonos en la jurisprudencia mas reciente. La «caja de los truenos» fue despertada por el famoso caso Deutsche Bank en Cataluña, pero ya podemos encontrar pronunciamientos de Tribunales Superiores de Justicia. A ellos nos referiremos

SEGURIDAD EN EL CORREO ELECTRÓNICO

El correo electrónico tiene una imagen sumamente moderna, pero ya cumplió 30 años. En efecto, este sistema de comunicación nació allá por 1971. A diferencia de Edison, su «progenitor» Ray Tomlison no recuerda cuál fue el primer mensaje que se envió o cuál fue su destinatario. «Solo recuerdo que estaba en mayúsculas», dijo Tomlison. Este ingeniero de BBN Technologies diseñó un programa con 200 líneas de código que perfeccionó el software existente creando los buzones electrónicos que conocemos en la actualidad. Otro de los inventos de Tomlison fue la famosa «@», que concibió a fin de asegurarse de que el mensaje llegaría a su destinatario. Para enviar el mensaje se utilizó ARPA Net, la red militar que precedió al Internet que conocemos en la actualidad

Los programas que gestionan el correo se suelen llamar «clientes» porque interactúan directamente con el usuario, permitiendo mandar correo electrónico, pero también leerlo, crearlo, imprimirlo y mucho más, a través de su interfaz gráfico. Los mejores tienen un equilibrio entre potencia y facilidad de uso.

-Las partes de un mensaje

Es de sobra conocido por todos que un correo electrónico se compone principalmente de la dirección del remitente, un asunto o «subject» y el cuerpo del mismo. Este mensaje discurre desde el ordenador cliente hasta su destinatario usando distintos protocolos de comunicación, y «saltando» de máquina en máquina. Jurídicamente, no es lo mismo entrar en el contenido del mensaje que quedarnos en la simple presentación, que realizan los programas clientes (o los correos de tipo webmail) sobre el envío, o recepción (o «cola de envío») de los mensajes. Consecuentemente, para comprobar si un mensaje es idóneo dentro del fin social del empresario, bastaría, en la mayoría de las ocasiones, con mirar el destinatario o el asunto del correo. Obviamente, la entrada en el cuerpo del mensaje es alcanzar un límite que quizás no se debería sobrepasar, si ya se tienen pruebas suficientes sobre el destino del correo en cuestión. Lo contrario, podría suponer una vulneración de los Derechos antes explicados, sobre todo si no se hacen con las garantías suficientes. Desgraciadamente, no demasiados de los pronunciamientos jurisprudenciales que repasaré posteriormente, tienen en cuenta este aspecto

-Dominio de la empresa o dominio genérico

Tema capital, que también determinará un diferente grado de gravedad. Podemos distinguir dos situaciones: si la empresa ha contratado un dominio propio, y ésta permite que sus empleados se valgan de dicho dominio, o si se utiliza uno gratuito o, igualmente, no tiene un nombre relacionado con la entidad. En el primer caso, la gravedad es mayor, porque se puede poner en entredicho a la entidad a la cual el trabajador presta sus servicios. En el segundo, al utilizarse un correo propio -contratado por el trabajador- quien se compromete es la persona en cuestión. En general, si el trabajador tiene una dirección de correo electrónico cuyo nombre de dominio se parezca, o acaso sea, idéntica a la empresa a la que presta sus servicios y ha hecho un mal uso de el, tiene un ámbito de gravedad mas amplio que aquel que ha usado un correo gratuito (tipo hotmail). En primer lugar, el trabajador en el primer caso está usando mas infraestructura empresarial que en el segundo: la contratación de un dominio de Internet es algo que no es gratuito, por contra en el segundo caso si lo es. En segundo lugar, el nombre de la empresa aparece en el primer caso, no así en el segundo. La consecuencia es clara: el trabajador puede incluso contratar productos con cargo a la empresa con fines ilegales o al menos no apropiados. Otro elemento mas a ponderar para determinar la gravedad de los hechos.

-Estructura de red corporativa

Las estructuras de redes empresariales suelen ser bastante complejas, según el siguiente esquema:

Los ordenadores «clientes» se conectan mediante la red entre ellos, y obtienen las aplicaciones necesarias de servidores de ficheros, se conectan a Internet mediante un router, usan servicios web mediante el servidor y se protegen con diversos firewalls. Pero todo esto está controlado desde la posición del administrador, que es una persona con unos privilegios exclusivos para el mantenimiento de toda la red. La consecuencia es que un ordenador cliente envía el correo electrónico desde su máquina y pasa al servidor, para enlazar, mediante el router, con la red de redes. El administrador es consciente, o puede ser consciente, del contenido del correo en cualquier momento: da igual que el correo no se haya mandado, o que se encuentre en el servidor. Y es la persona que tiene mas facilidades -además de formación técnica- para que esto se produzca. Además, los correos mandados siempre dejan rastros, en forma de archivos «logs» que se pueden encontrar en los ordenadores clientes y en el servidor. La intimidad aquí también puede verse empañada, y ahora no estamos hablando del empresario, si no de los exorbitantes poderes que puede tener esta figura, a la que no se le ha dado la suficiente importancia. No he encontrado referencias jurisprudenciales que aborden esta problemática. En mi opinión, puede no haber vulneración si el administrador hace un trabajo equitativo y los datos a los que accede son estrictamente necesarios para la consecución de su trabajo.

-Cifrado

La función inmediata del cifrado es el suministro del servicio de confidencialidad sea de los datos o del flujo de tráfico, pero además es una pieza fundamental para el logro de otros varios servicios. Este mecanismo supone procedimientos y técnicas de gestión de claves, capaces de generarlas y distribuirlas de manera segura a lo largo de la red.

Resulta curioso comprobar como toda la problemática que se plantea podría verse reducida a la nada si el trabajador en cuestión usara herramientas de encriptación (cifrado) para que resultara imposible la lectura de los correos electrónicos que el envía. Con los algoritmos que se usan hoy en día (hasta 512 bits), resultaría virtualmente imposible acceder a un determinado tipo de información con el simple uso de un software, como PGP (http://www.pgp.com).

Básicamente hablando, PGP funciona como un algoritmo del tipo de clave pública o asimétrica. En un sistema de clave pública, cada usuario crea una privada y otra pública. Se puede cifrar un mensaje con la pública y descifrarlo con la privada (no se puede cifrar y descifrar con la misma clave). El usuario difunde la pública, poniéndola a disposición de cualquiera que quiera enviarle un mensaje. Una vez que el mensaje ha sido recibido por el usuario, éste podrá descifrarlo con su clave privada. Es evidente que la privada debe ser mantenida en secreto por el propietario.

El esquema se puede considerar como si fuese un buzón con dos llaves, una para abrir y otra para cerrar. Cualquiera puede introducir un mensaje en el buzón y cerrarlo, pero solamente el propietario podrá abrirlo. Una gran ventaja de éste esquema criptográfico es que, al contrario que los sistemas tradicionales donde la clave de cifrado y descifrado coinciden, no es necesario encontrar un procedimiento seguro para enviarla al recipiente del mensaje.

También permite la opción de «firmar» un mensaje con una firma digital que nadie, ni siquiera el receptor, puede falsificar. Esto resulta especialmente útil, aunque no se cifre el mensaje en sí, porque actúa como certificación de autenticidad, ya que permite comprobar si el mensaje ha sido alterado durante la transmisión. También permite al receptor confirmar que el mensaje ha sido enviado realmente por el remitente (resulta demasiado fácil trucar los encabezamientos de los mensajes de correo electrónico).

PGP es un software gratuito, y la obtención de claves para su uso también. Significa eso que cualquiera tiene acceso a el, y significa también que la «inviolabilidad de hecho» para los mensajes de correo electrónico de los trabajadores es muy fácil de conseguir. La falta de información sobre el correcto funcionamiento del correo electrónico provoca el poco uso de este y otros programas parecidos. En la actualidad, no hay ningún pronunciamiento sobre la legalidad o no del uso por parte de un trabajador de mecanismos de cifrado en sus mensajes de correo electrónico.

-Firma electrónica y certificados digitales

Este mecanismo comprende dos procesos: primero la firma del mensaje y segundo la verificación de la misma. La primera se consigue a partir del propio mensaje, o una transformación precisa del mismo, a firmar, de modo que si éste cambia también lo hace la firma, y de una información privada sólo conocida por el signatario.

El segundo proceso se consigue aplicando a la firma a comprobar una información pública, que aunque es una función matemática de la citada información privada es computacionalmente imposible de obtener de ésta última. Finalmente, el resultado de este proceso se coteja con el mensaje, o la transformación citada del mismo.

Pero para proporcionar plena seguridad jurídica a este mecanismo se precisa hacer intervenir en la comunicación una tercera parte confiable entre los sistemas terminales, la cual garantiza que las claves usadas en la firma digital son efectivamente de aquel que se dice su propietario. Este tercero de confianza se denomina «Autoridad de certificación»

El uso de la firma electrónica, conjuntamente con certificados digitales expedidos por autoridades de certificación competentes, consiguen un alto grado de autentificación en los mensajes de correo electrónico. Recordemos que «La firma electrónica avanzada, siempre que esté basada en un certificado reconocido y que haya sido producida por un dispositivo seguro de creación de firma, tendrá, respecto de los datos consignados en forma electrónica, el mismo valor jurídico que la firma manuscrita en relación con los consignados en papel y los documentos que la incorporen serán admisibles como prueba en juicio, valorándose éstos, según los criterios de apreciación establecidos en las normas procesales»

En el seno de una empresa, puede estar asentado perfectamente el uso de esta tecnología. Sin embargo, en el ámbito que nos interesa ahora mismo, debemos contemplarlo como un elemento de prueba a la hora de identificar al emisor de mensajes. Los programas-cliente de correo actuales, o las cuentas web-mail ya proporcionan suficiente información al respecto para averiguar el destino, uso, fecha, y muchos mas detalles como para razonar el debido o indebido uso de una persona de los medios informáticos de una empresa, sin la necesidad de usar mecanismos como el que estamos contemplando ahora mismo. Aunque por supuesto, ello provocaría un refuerzo cuasi inapelable sobre la autoría del envío de los e-mails. De nuevo, no tenemos constancia de pronunciamientos en sentencias sobre el caso planteado, y es que, a pesar de su gratuidad, se trata de técnicas bastante desconocidas para un usuario medio de la red de redes.

-Soluciones que vulneran la intimidad

Paralelamente a las aplicaciones que protegen la intimidad de un usuario, la parcela contraria contiene programas que la vulneran. Programas como «spector» por ejemplo, generan automáticamente decenas de «snapshots» (imágenes) del pc del empleado para «vislumbrar» cómo trabaja. Por supuesto, permite la lectura de los correos desde la empresa, pero no sólo éso: prácticamente cualquier cosa queda al descubierto. Ideal para «jefes sin escrúpulos». Resulta curioso comprobar como la licencia de uso de éste software queda constreñida a que el adquiriente avise a todas las personas que van a ser «observadas» mientras trabajan. Estamos ante el número 1 en ventas en Estados Unidos, país donde derechos como la intimidad están, francamente, por los suelos.

Y es que son las empresas norteamericanas las que más a menudo recurren a este tipo de soluciones informáticas para asegurar el correcto uso de los medios que ponen a disposición de sus empleados.

Hasta un 55% de las mismas , según los últimos estudios, tienen instalados sistemas de rastreo del correo electrónico, capaces de interceptar y eliminar mensajes que contengan determinadas palabras o expresiones «prohibidas «; marcas competidoras, nombres de directivos de otras compañías, términos escatológicos, sexistas u obscenos, etc.

Las empresas son conscientes de que la utilización del e-mail y de Internet, trae consigo grandes beneficios, que repercuten en un aumento de la productividad, pero que utilizados de forma descontrolada o indebida producen un efecto contrario, no deseado.

Una vez más se manifiesta el choque entre los intereses de las empresas y el derecho a la intimidad en sus comunicaciones de los empleados a su cargo.

De igual forma, hay que señalar que en una red privada -configuración usual en el seno de una empresa de tamaño medio- la privacidad también se ve atenuada por la propia estructura de la red. En ella, la figura del administrador de la red, puede poseer facultades exorbitantes e incluso desconocidas para los trabajadores. Entre ellas, puede estar el acceso a los cuerpos de los mensajes del correo electrónico, si no están protegidos con contraseñas o por cualquier otro mecanismo.

PROTECCION DE DATOS

Con relación a la normativa de protección de datos (tanto la ley como el reglamento de seguridad), el correo electrónico puede plantear una gran cantidad de cuestiones diversas. El empresario es susceptible de realizar ficheros que contengan la dirección electrónica de sus trabajadores, puede venderlos o cederlos. Una empresa recibe una gran cantidad de correos electrónicos con currículums solicitando establecer una relación de trabajo con el empresario. ¿Qué ocurre en este caso?

Precisamente, una de las consultas mas interesantes que se realizó a la Agencia de Protección de datos se refería a si la venta o cesión de un fichero que contenía direcciones de correo electrónico debía ser considerada cesión de datos a los efectos de la ley, lo que exigía analizar si dichas direcciones tenían la consideración de datos de carácter personal.

Apreció la Agencia que la dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos generalmente por su titular, con la única limitación de que dicha dirección no coincida con la de otra persona. Esta combinación puede tener significado en sí misma o carecer de él pudiendo incluso, en principio, coincidir con el nombre de otra persona distinta al titular.

Por lo anterior, la Agencia analizó distintos supuestos atendiendo al grado de identificación de la dirección del correo con el titular de la cuenta de dicho correo. Si la dirección contiene información acerca de su titular, pudiendo esta información referirse a su nombre, apellidos, empresa…aparezcan o no estos extremos en la denominación utilizada, la dirección identifica al titular por lo que debe considerarse dato de carácter personal. Si la dirección no parece mostrar datos relacionados con la persona titular de la cuenta (por referirse, por ejemplo, el código de la cuenta de correo a una dirección abstracta o a una simple combinación alfanumérica sin significado alguno), en principio, no sería un dato de carácter personal. Sin embargo, incluso en este supuesto, la dirección de correo electrónico aparecerá necesariamente referenciada a un dominio concreto de tal forma que podrá procederse a la identificación de su titular mediante la consulta del servidor en que se gestione dicho dominio sin necesidad de un esfuerzo desproporcionado por parte de quien lleve a cabo dicha identificación. Concluye la Agencia que también en este caso la dirección se encuentra amparada en el régimen de la ley. Se concluye que la cesión de un listado de direcciones está sujeta al artículo 11 en materia de cesiones, sin que la mera publicación en Internet de un directorio de correo electrónico puede ser considerada como circunstancia que convierte los datos en accesibles al público toda vez que dicha inclusión supone un tratamiento que deba haber sido efectuado recabando el consentimiento de los afectados.

La conclusión final es que se considera a todos los efectos una dirección de correo electrónico como «dato» dentro de la L.O.P.D., lo que implica que, si existe un fichero que contengan dichos datos, el empresario está obligado a realizar muchas tareas: debe darlo de alta, debe establecer las medidas de seguridad oportunas según el reglamento de medidas de seguridad, a la vez que respetar los principios de la ley.

Contenido del derecho al honor, intimidad y propia imagen

Nuestra Carta Magna habla de tres derechos distintos. Vamos a intentar ahondar en ellos, a través de la doctrina mas autorizada al efecto: la del Tribunal Constitucional.

En la sentencia 231/1988, caso Paquirri, se afirma que «Los derechos a la imagen y a la intimidad personal y familiar reconocidos en el art. 18 de la C.E. aparecen como derechos fundamentales estrictamente vinculados a la propia personalidad, derivados sin duda de la «dignidad de la persona», que reconoce el art. 10 de la C.E., y que implican la existencia de un ámbito propio y reservado frente a la acción y conocimiento de los demás, necesario -según las pautas de nuestra cultura- para mantener una calidad mínima de la vida humana. Se muestran así esos derechos como personalísimos y ligados a la misma existencia del individuo.»

La Constitución Española garantiza en su Título I éste derecho junto a los de intimidad personal y familiar hacia todos los ciudadanos sin excepción.

El honor es aquel derecho que tiene toda persona a su buena imagen, nombre y reputación, de tal forma que todos tenemos derecho a que se nos respete, dentro de nuestra esfera personal cualquiera que sea nuestra trayectoria vital, siendo un derecho único e irrenunciable propio de todo ser humano.

Sobre el contenido al derecho a la intimidad, en cuanto derivación de la dignidad de la persona, implica «la existencia de un ámbito propio y reservado frente a la acción y el conocimiento de los demás, necesario, según las pautas de nuestra cultura, para mantener una calidad mínima de la vida humana «. Además, el derecho a la intimidad no es absoluto, «como no lo es ninguno de los derechos fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho «.

La intimidad es la esfera personal de cada uno, en donde residen los valores humanos y personales, siendo un derecho fundamental para el desarrollo de la persona y de la familia además de ser un ámbito reservado a la curiosidad de los demás contra intromisiones e indiscreciones ajenas. La intimidad se ha protegido siempre de forma limitada. Por ejemplo, la violación de la intimidad domiciliaria, se centrará en aquellos casos en los que se produzcan registros no permitidos y vejaciones injustas ocasionados por los mismos. No sólo se centrará dentro de este ámbito sino que además también afecta a otros campos como son las violaciones de la correspondencia y comunicaciones personales, intimidad laboral, obtención de datos relativos a la intimidad personal, familiar, o de terceros pertenecientes a la esfera de la familia. De tal forma que la intimidad es aquella esfera personal y privada que contienen comportamientos, acciones y expresiones que el sujeto desea que no lleguen al conocimiento público. Todo lo expuesto anteriormente requiere una protección jurídica con el fin de que se respete la vida privada y familiar garantizando a la persona esa esfera o zona reservada en donde transcurren las circunstancias de la vida personal, nacimiento de hijos, embarazos, enfermedades, desengaños amorosos, aspectos profesionales, en definitiva, cosas que ocurren en la vida de toda persona. En el caso de los personajes públicos, esta intimidad debe de estar mayormente protegida, al estar dentro del panorama de personajes conocidos mas o menos por el resto de la sociedad, porque comentarios o noticias realizadas de forma injuriosa pueden gravemente perjudicar su imagen pública creando una imagen irreal y distorsionada de la realidad reflejada desde un punto de vista subjetivo. Puede ocurrir que lo publicado sea totalmente verídico pero no por ello se puede permitir la intromisión de cualquier persona pues violaría la intimidad que todo ser humano tiene y necesita que respeten los demás.

Por último, el derecho a la propia imagen, consagrado en el art. 18.1 CE junto con los derechos a la intimidad personal y familiar y al honor, contribuye a preservar la dignidad de la persona (art. 10.1 CE), salvaguardando una esfera de propia reserva personal, frente a intromisiones ilegítimas provenientes de terceros. Sólo adquiere así su pleno sentido cuando se le enmarca en la salvaguardia de «un ámbito propio y reservado frente a la acción y conocimiento de los demás, necesario, según las pautas de nuestra cultura, para mantener una calidad mínima de la vida humana «. Y en esta línea, la Ley Orgánica 1/1982 (art. 2 en conexión con el 7, aps. 5 y 6, y art. 8.2) estructura los límites del derecho a la propia imagen en torno a dos ejes: la esfera reservada que la propia persona haya salvaguardado para sí y su familia conforme a los usos sociales; y, de otra parte, la relevancia o el interés público de la persona cuya imagen se reproduce o de los hechos en que ésta participa, como protagonista o como elemento accesorio, siendo ésta una excepción a la regla general citada en primer lugar, que hace correr paralelo el derecho a la propia imagen con la esfera privada guardada para sí por su titular.

El secreto de las comunicaciones

Los pronunciamientos judiciales que veremos mas adelante equiparan el correo electrónico a una especie de «taquilla virtual», a la que, cumpliéndose ciertas garantías, se puede acceder. Sin embargo, parece que últimamente se va a empezar a asimilar éste a la de un sobre cerrado o carta, con todo lo que ello conlleva. Así, en un caso de narcotráfico (con pronunciamiento de 7 de Abril del 2002), el Tribunal pidió una reforma legislativa. Se reclamó que la legislación se adapte para incorporar los avances de las nuevas tecnologías y que se amplíe el concepto jurídico de «carta» con el fin de proteger el derecho al secreto de las comunicaciones. Así «los avances tecnológicos que en los últimos tiempos se han producido en el ámbito de las telecomunicaciones, especialmente en conexión con el uso de la informática, hacen necesario un nuevo entendimiento del concepto de comunicación y del objeto de protección del derecho fundamental, que extienda la protección a esos nuevos ámbitos». Esto va a provocar un vuelco total en la concepción que tenemos de «secreto del correo electrónico», ya que sólo mediante las garantías judiciales que hoy en día se aplican a las escuchas telefónicas -por poner un ejemplo- se podrá saber el contenido de un e-mail. Pero meses antes, en Octubre del 2001, ya había tenido ocasión de pronunciarse el Tribunal Supremo francés: «Un empresario no puede tener conocimiento de los mensajes personales enviados por un trabajador y recibidos por éste a través de un útil informático puesto a su disposición para su trabajo» sin violar el secreto de correspondencia, aunque el patrón «haya prohibido la utilización no profesional del ordenador».

En esta sentencia se refiere al caso que enfrenta a la empresa Nikon France con uno de sus antiguos trabajadores, despedido en Junio de 1995 por una falta grave por pasar gran parte de su tiempo laboral realizando asuntos propios y utilizando para ello los métodos informáticos puestos a su disposición sólo para fines laborales.
Nikon presentó, como prueba, los múltiples ficheros que aparecían en el dossier «Personal» que este ingeniero había abierto en su ordenador.
El caso llegó hasta el Supremo, después de que en Marzo de 1999 el Tribunal de Apelaciones de París confirmara el despido del trabajador. Ya digo que estos dos primeros pronunciamientos altos tribunales europeos cambiarán, y de hecho ya lo están haciendo, la doctrina sobre el secreto del correo electrónico en el trabajo. En las próximas líneas, hago un repaso sobre lo que implica el secreto de las comunicaciones.

La Constitución, al reconocer y proteger el secreto de las comunicaciones está consagrando implícitamente la libertad de las mismas. Libertad que se erige así como bien constitucional protegido y que se ve conculcada tanto por la interceptación del mensaje, en sentido estricto, como por el simple conocimiento antijurídico del mismo, y cuya protección no se limita sólo al contenido de la comunicación.
La norma constitucional se dirige a garantizar la impermeabilidad de la comunicación frente a terceros ajenos a la misma, sea cual sea su contenido. El concepto de secreto que maneja el texto constitucional es, pues, formal. Se presume que el contenido de la comunicación es secreto para todos aquellos que no participan en la misma. No ocurre así con los interlocutores a quienes no se extiende la imposición absoluta e indiferenciada del secreto. A aquellos cabe exigir un deber de reserva.

En definitiva, cuando alguien graba una conversación ajena vulnera el derecho. Si lo hace uno de los comunicantes no vulnera, por esta sola conducta, el citado precepto. En este orden de cosas, la única intervención legítima de las comunicaciones ha de ser autorizada por resolución judicial. Resolución que, en todo caso, ha de ser específica y razonada y que, en cuanto supone una injerencia sustancial en el ámbito de la esfera personal, ha de otorgarse conforme al principio de legalidad y al principio de proporcionalidad. Bien, esto hoy en día no se hace y no se aplica al envío de correos electrónicos por parte de un trabajador. La doctrina ha ido construyendo una serie de garantías -que examinaremos más adelante- para acceder al contenido de estos correos, sin una resolución judicial. Se han ido matizando los derechos al entrar en contacto con otros, para que el empresario pueda acceder a esos correos, y toda la jurisprudencia que mas adelante tocaremos así lo corrobora. En un ámbito laboral, tus comunicaciones pueden ser perfectamente violadas sin antes haber acudido a un juez a que te permita dicho acceso. Además, como veremos a continuación, tenemos un delito perfectamente tipificado en el Código Penal que no tiene aplicación en el trabajo, al menos hasta el momento. La pregunta que cabe hacerse es: ¿está justificado que, con la excusa del ámbito laboral, el empresario, aún con las garantías que se construyan, pueda acceder al contenido sustantivo de un correo electrónico? Y por supuesto, la otra: ¿Puede un trabajador, amparado en el «secreto de las comunicaciones» y en el delito tipificado en el Código Penal mandar cuantos correos quiera ya que le protege este derecho fundamental? Obviamente, tendremos que proceder a hallar un punto intermedio. Eso quedará examinado al final. Pasamos ahora a seguir desglosando la doctrina mas autorizada sobre el «secreto de las comunicaciones».

El Titulo X del Libro II, bajo la rúbrica «Delitos contra la intimidad», el derecho a la propia imagen y la inviolabilidad del domicilio trata en el primer capitulo, arts. 197 a 201, «Del descubrimiento y revelación de secretos», y en el segundo, arts. 202 a 204, «Del allanamiento de morada, domicilio de personas jurídicas y establecimientos abiertos al publico».

Por secreto podemos entender todo lo que una persona o grupo reducido cuidadosamente tiene reservado y oculto, en tanto la intimidad, como señala Bajo, y en el mismo sentido Jorge Barreiro, es el «ámbito personal donde cada uno, preservado del mundo exterior, encuentra las posibilidades de desarrollo y fomento de su personalidad», estando considerada como derecho fundamental en el articulo 18.1 de la Constitución. En relación con tal intimidad, los secretos protegidos son los de tipo personal, salvo el supuesto del art. 200, excluyéndose los secretos de empresa, a que se refieren los arts. 278 a 280. En el apartado 1 del art. 197, en que se refunden, con modernizado contenido, los arts. 497 y 497 bis del Código anterior, se describe el tipo básico, en que es castigado, con penas de prisión y multa, «El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, mensajes de correo electrónico..etc, etc».

El derecho del empresario: la libertad de empresa del artículo 38 de la Constitución Española.

El principio de la libre empresa reflejado en el 38 de la Constitución es fundamental, ya que a éste principio le es connatural el principio de la libre competencia. La libertad de empresa es uno de los principios neocapitalistas. Conjuntamente existen otros: derecho a la libre elección de profesión, derecho de la propiedad privada y medios de producción y derecho de fundación y asociación para la realización y explotación de actividades económicas.

El principio de la libertad de empresa supone una doble vertiente:

1. Los empresarios son libres de crear y dirigir las condiciones de desarrollo de su actividad pudiendo utilizar todos los medios oportunos para afirmarse en el mercado: libertad de adquirir factores de producción, etc. Pero con un límite impuesto que se sobrepasa si el ejercicio de este derecho supusiere una infracción en el fin social. Esto también tiene su aspecto negativo, pues haciendo uso de su libertad el empresario puede ocasionar un daño a un competidor.

2. Los poderes públicos deben garantizar que es el mercado el que regula la ley de oferta y demanda, quien mediante la fuerza de las dos magnitudes regula y fija los precios y otras condiciones de los bienes y servicios. Una vez más se impone un límite, que será el respeto a lo establecido en la Constitución.

Límites de la libertad de empresa.

1. Reserva al sector público: el Estado, por ley, puede reservarse determinadas materias siempre que sean esenciales e indemnizando del perjuicio que ocasione esta reserva por parte del Estado. Se podrá hacer cuando se cumpla un fin social de interés general. Por ejemplo Telefónica.

2. Expropiación: el Estado puede privar a los empresarios de la titularidad de sus empresas con el requisito de que se indemnice a los propietarios y siempre que así lo exija el interés social general .

3. Intervención de empresas: parecido a la expropiación. No se produce modificación ni pérdida de la titularidad por parte del empresario, sino que el Estado pasa a tener poder de control sobre el órgano de decisión de la empresa, que se encuentra en una situación crítica, para poder reflotarla. Por ejemplo Banesto.

El despido por uso de correo electrónico e Internet

Podemos hablar de dos motivos por los que se podría legitimar el despido por uso del correo electrónico e Internet: la trasgresión de la buena fe y el abuso de confianza, además de la indisciplina y desobediencia. Ambos extremos están recogidos en los artículos 54.2 d) y b) del Estatuto de los Trabajadores, respectivamente. Existen seis causas pero son esas dos las que se acercan mas a los supuestos de esta monografía. El resultado es que el empresario puede acogerse a cualquiera de las dos.

Así, si el empresario ha emitido órdenes por medio de comunicaciones hacia los trabajadores, advirtiéndoles que los equipos informáticos sólo pueden ser utilizados para trabajar y no para uso particular y estos desobedecieran, estarían incurriendo en causa de despido.

Vamos a tratar la extraordinariamente amplia jurisprudencia que hay sobre el tema, no sobre el correo electrónico en sí, pero si en cuanto a cuestiones conexas. Intentaremos establecer, al mismo tiempo, paralelismos sobre otras casos para luego extrapolarlos al tema que estamos estudiando. Adelantamos algo a continuación:

Por ejemplo, es motivo de indisciplina que el trabajador se negare al registro y por ello podría ser causa de despido procedente, según la sentencia del Tribunal Supremo de 28 de Junio de 1990

También por motivo de indisciplina es considerado el despido procedente de un trabajador que usó el correo electrónico, a pesar de que habían sido todos advertidos por la empresa que no estaba autorizado el uso para motivos ajenos a la empresa. El Tribunal dice que tal advertencia era innecesaria porque el trabajador debe cumplir sus obligaciones de acuerdo con la buena fe, lo que excluye actividades ajenas al puesto de trabajo. Esta sentencia del Tribunal superior de Justicia de Cataluña de 5 de Julio de 2000 la examinaremos más adelante a propósito del correo electrónico.

Los «logs» de acceso del ordenador pueden servir de prueba para esclarecer los hechos enjuiciados. Ello es deducible del pronunciamiento de el Tribunal Superior de Justicia de Madrid, en sentencia de 16 de Octubre de 1998 . Como prueba documental es perfectamente esgrimible: fue el caso por el que un trabajador usó internet en horas de trabajo para asuntos «poco procedentes» con su trabajo, como compras de material pornográfico.

En muchas ocasiones, el hecho de que un trabajador de una determinada empresa tenga como misión específica el «rastreo» de la red para búsqueda -como dice el pronunciamiento al que ahora nos referimos- de nuevos «productos y tendencias», no cambia lo anteriormente estipulado. En Sentencia del Tribunal Superior de Justicia de Cataluña, de fecha 29 de Enero de 2001 , se declara despido procedente a la afectada una trabajadora que tenía encomendada dicha misión. La trabajadora accedía a páginas de ocio.

Además, si ya no sólo el trabajador se dedica a navegar sino que pasa a tener una conducta mas o menos activa en la red, pasamos ya a un nivel superior: el abuso de la confianza. En sentido parecido se pronunció la sentencia del Tribunal Superior de Justicia de Murcia de 15 de Junio de 1999 en que un trabajador utilizó los servicios informáticos de la Empresa para cuestiones particulares e incluso poniendo en Internet una dirección de correo que correspondía al ordenador de la oficina comercial de la empresa.

Podríamos hacer un paralelismo sobre el uso particular y abusivo del teléfono fijo y el móvil, que podríamos denominar similar, pues se utiliza aprovechando medios de la empresa y durante el tiempo de trabajo, para asuntos particulares.

Por ello la similitud de la escena hace que puedan ser aplicables al caso de navegación por la red. Veamos algunas sentencias al efecto:

Sentencias como: Tribunal Superior de Justicia de Galicia de 26 de Septiembre de 2000 o la del Tribunal Superior de Justicia de Cataluña de 11 de Marzo de 1999 . En la primera, se califica de procedente el despido del trabajador que en 22 días hizo 48 llamadas particulares a otra empresa, de la que era administrador y que era competidora de la actual, por trasgresión de la buena fe contractual y abuso de confianza. En la segunda, se califica de procedente el despido del trabajador que había hecho 388 llamadas en 10 meses y había sido advertido por escrito, y además la empresa comunicó a los trabajadores la política de reducción de costes, entre ellos el teléfono, y transcurrido un tiempo reincide en el uso abusivo del mismo
Hemos examinado jurisprudencia del uso abusivo de Internet y de las llamadas telefónicas. Examinemos ahora el caso concreto del correo electrónico.

Se pronunció el Tribunal Superior de Justicia de Cataluña en sentencia de 5 de Julio de 2000 en el que en un caso dos trabajadores fueron despedidos por enviar correos electrónicos, durante un mes y medio, a dos compañeras. Dichos correos eran claramente obscenos, y en esta empresa se había comunicado a los trabajadores que no estaba autorizado el uso de los medios informáticos para asuntos ajenos a la empresa. Es decir, había ese aviso previo que antes he señalado, en el sentido de que refuerza la culpabilidad del trabajador. Aunque claro está, esto no es concluyente. Precísamente en esta sentencia, el Tribunal considera innecesario la advertencia de la empresa de no poder usar particularmente el sistema informático, pues de acuerdo con el art. 5 a) ET, obliga a los trabajadores a cumplir con sus obligaciones, entre los que está excluida la realización de actividades ajenas al puesto de trabajo en el horario laboral. La sentencia no considera acoso sexual, ni comportamiento obsceno y depreciativo tales correos, pero sí son motivo de transgresión de la buena fe y abuso de confianza, por realizar actividades ajenas en el puesto de trabajo y por desobedecer las órdenes de la empresa de no usar los medios informáticos para uso particular. Por tales motivos los despidos son procedentes.

Pero ha sido la sentencia del Tribunal Superior de Justicia de Cataluña de 14 de Noviembre de 2000 la que salió por primera vez a los medios de comunicación. La examinaremos con detenimiento.

En éste supuesto el despedido, afiliado a sindicato, con 30 años de antigüedad, envió 140 correos electrónicos a 298 destinatarios, en un mes y medio, mediante los ordenadores de la empresa, con mensajes humorísticos, sexistas e incluso obscenos, con coste económico escaso de tales envíos. Los fundamentos principales de este pronunciamiento son los siguientes: «…dichos mensajes, ajenos a la prestación de servicios (de naturaleza obscena, sexista y humorística), se remitieron en horario laboral; cuando es así que la empresa demandada sólo permite utilizar el referido sistema de comunicación por motivos de trabajo. Concurre así un acreditado incumplimiento laboral del trabajador sancionado, que tanto por su contenido como por su reiteración en el tiempo, resulta expresivo de una entidad disciplinaria suficiente como para revestir de razonabilidad a la reacción empresarial; no pudiendo, por ello enmarcarse su decisión en motivaciones ajenas a las propias que disciplinan la relación de trabajo. Nuestra doctrina jurisprudencial ha venido señalando [en aplicación del art. 54.2 d) ET] cómo esta causa de despido comprende, dentro de la rúbrica general de transgresión de la buena fe contractual, todas las violaciones de los deberes de conducta y cumplimiento de la buena fe que el contrato de trabajo impone al trabajador (STS 27 Octubre 1982), lo que abarca todo el sistema de derechos y obligaciones que disciplina la conducta del hombre en sus relaciones jurídicas con los demás y supone, en definitiva, obrar de acuerdo con las reglas naturales y de rectitud conforme a los criterios morales y sociales imperantes en cada momento histórico (STS 8 Mayo 1984); debiendo estarse para la valoración de la conducta que la empresa considera contraria a este deber, a la entidad del cargo de la persona que cometió la falta y sus circunstancias personales (STS 20 Octubre 1983); pero sin que se requiera para justificar el despido que el trabajador haya conseguido un lucro personal, ni ser exigible que tenga una determinada entidad el perjuicio sufrido por el empleador, pues simplemente basta que el operario, con intención dolosa o culpable y plena consciencia, quebrante de forma grave y relevante los deberes de fidelidad implícitos en toda prestación de servicios, que debe observar con celo y probidad para no defraudar los intereses de la empresa y la confianza en él depositada (STS 16 Mayo 1985). En el presente supuesto, la naturaleza y características del ilícito proceder descrito suponen una clara infracción del deber de lealtad laboral que justifica la decisión empresarial de extinguir el contrato de trabajo con base en el citado art. 54.2 d), al haber utilizado el trabajador los medios informáticos con que cuenta la empresa, en gran número de ocasiones, para fines ajenos a los laborales (contraviniendo así con independencia de su concreto coste económico temporal un deber básico que, además de inherente a las reglas de buena fe y diligencia que han de presidir las relaciones de trabajo ex art. 5 a), parece explicitado en el hecho 11) y comprometiendo la actividad laboral de otros productores. Como señala la STSJ de Murcia 15 Junio 1999 (…) por razones elementales de orden lógico y de buena fe, un trabajador no puede introducir datos ajenos a la empresa en un ordenador de la misma, sin expresa autorización de ésta, pues todos los instrumentos están puestos a su exclusivo servicio…».

El Correo electrónico para usos sindicales

¿Qué ocurre cuando se usa el correo electrónico sin tanta desproporción? ¿Y qué ocurre cuando se usa para asuntos sindicales? El pronunciamiento de la Audiencia Nacional de 6 de Febrero de 2001 intenta aclarar el supuesto. Se había notificado a los trabajadores que el uso particular del correo electrónico era «inapropiado y podría configurar falta laboral». Y advertía del uso masivo de correos que podía ser sancionable. Pero también por la empresa se estimulaba el uso del correo electrónico, para evitar las cartas y el teléfono, con lo que tenemos un elemento que de alguna forma puede contrarrestar la mala fe de los empleados. Finalmente, la sentencia reconoce a los trabajadores su derecho a transmitir noticias de interés sindical para sus afiliados, pero siempre dentro de los cauces de la normalidad. Precisamente porque el uso de internet, entre otros factores, está plenamente extendido en la empresa, y porque supone prácticamente un «coste cero» para el empresario.

Sin embargo, cuando la mala fe en el uso del correo sindical está acreditada, las cosas se vuelven distintas. Para muestra, la sentencia del Juzgado de lo Social nº 25 de Madrid en sentencia de 13 de Octubre de 2000 : «…la evolución tecnológica permite el empleo de medios más sofisticados, rápidos, útiles y directos, que el tradicional tablón o la no menos habitual hoja informativa expuesta en el mismo y/o entregada en mano, de tal manera que en aras a satisfacer ese derecho, no pueden existir impedimentos legales para utilizar otros medios que busquen esa misma finalidad y con las características ya expuestas, aunque, lógicamente, su empleo deba adaptarse a sus particularidades y condiciones, en este caso el correo electrónico. Sin ánimo de ser exhaustivo entendemos que ese uso ha de tener en cuenta los siguientes parámetros:

1. Deben tener acceso los mismos que normalmente ejercitan tal derecho en los tablones de anuncios, es decir los representantes unitarios, sindicales y grupos de trabajadores que tengan cierta cohesión. Por tanto, no puede estar limitado su ejercicio al Presidente de la representación unitaria, como alega la empresa.

2. Respecto a la libertad de expresión y a su vez a las limitaciones que tiene ese derecho en el ámbito laboral.

3. Tampoco, en principio, pueden establecerse restricciones en orden a su difusión, ya sea geográfica, ya de otro tipo, con la excusa de su falta de interés para ciertos trabajadores, pues como toda información, es el destinatario el que voluntariamente ha de discriminarla. Sin embargo, no se debe sobrepasar el marco de lo que es la empresa, pues, también en principio, esa información es ajena a terceros, problemas que no se pueden dar en la empresa hoy demandada al ser interno su correo electrónico.

4. Las comunicaciones deben salvaguardar el sigilo profesional que establece el art. 65.2 ET.

5. En aquellos supuestos en los que su utilización deba compatibilizarse con lo que es la actividad empresarial propiamente dicha, como es el supuesto que nos ocupa, debe subordinarse a la misma, en situaciones especialmente conflictiva y en las que estén en juego derechos fundamentales, como por ejemplo el de huelga, aunque han de evitarse interpretaciones abusivas sobre tal subordinación y que en la práctica impidan su ejercicio.

Se ha de rechazar que la utilización sindical del correo electrónico deba configurarse como responsabilidad privativa del que nominativamente lo insta, y más si se tiene en cuenta que el origen de todo lo actuado es una decisión de la Sección Sindical de CC.OO., que además tiene importante representación en el Comité de Empresa de esta Comunidad, siendo, por tanto, el demandante mero ejecutor de lo allí previamente acordado. En ese mismo sentido, se ha de recordar todo lo expuesto en el anterior fundamento de derecho, sobre la posibilidad que han de tener los representantes unitarios y/o sindicales para utilizar ciertos medios que sirven para informar a sus representados, por lo que se rechaza cualquier utilización patrimonial y particular de este sistema electrónico de comunicación.

No obstante lo anterior, ello no es óbice para que se reconozca que, con todas las atenuantes que se quiera, la actuación del actor es ilícita desde el punto de vista laboral, ya que una vez que solicita permiso para utilizar el correo electrónico y mientras no le sea dado, lo lógico sería esperar a una contestación definitiva, o extender su reivindicación a niveles más altos, y, en último caso, utilizar los medios legales que a su alcance tiene, aunque en este último supuesto tampoco se ha de olvidar que existe cierta premura a la hora de informar de algunos temas a los trabajadores. Pero, con todo, lo que no tiene justificación es que engañe a dos subencargados para conseguir ésta finalidad, aunque en principio sea lícita y esto es lo que aquí exclusivamente se debe sancionar.

En consecuencia y utilizando el cauce disciplinario que la propia empresa enuncia, se ha de considerar que su actuación no puede ir más allá de una falta leve, vistas las circunstancias reiteradamente invocadas, de tal manera que en consonancia al art. 68.1, la suspensión de empleo que se autoriza a imponerle no puede superar los tres días».

01Ene/15

Derecho de Acceso

Derecho de Acceso

Uno de los extremos sobre los que el responsable del fichero ha de informar de modo expreso, preciso e inequívoco, a los interesados con ocasión de solicitar sus datos personales estriba en la posibilidad de ejercitar el derecho de acceso, junto con los de rectificación, cancelación y oposición. El interesado suministra sus datos personales conocedor de este derecho definido en el artículo 15.1 de la Ley como el de solicitar y obtener, gratuitamente, información de sus datos sometidos a tratamiento, el origen de los mismo, así como las comunicaciones realizadas o que se prevén hacer de los mismos.

Existen muchas maneras para proceder, aunque la simple visualización parece el mas obvio y principal, aunque obviamente se puede proceder a la impresión del documento en cuestión, telecarga, etc…

Se establece que el derecho de acceso sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes. Se pretende un verdadero interés en el acceso, y que no se dañe a la entidad empresarial con consultas sobre los datos reiterativas y con escaso valor. Se estima que 12 meses es un plazo suficiente en este sentido.

Para ejercitar este derecho, se ha de requerir al responsable del fichero para que éste proceda a ejecutarlo. Lo mas adecuado es un escrito con las menciones que la APD -Agencia- ha establecido (ver instrucción 1/1998). A continuación, existe un mes para que, una vez recibido el requerimiento, éste resuelva. Si no resuelve, se podrá interponer denuncia ante la Agencia (ver artículo 18 de la Ley). Si no se ha cumplido el plazo de 12 meses -y no se acredite el interés legítimo- el responsable del fichero podrá denegar el derecho.

-Derechos de rectificación y cancelación.

El artículo 4 de la LOPD establece los principios inspiradores de la Ley, y entre ellos se hace mención al principio de calidad de los datos: se quiere cierta «calidad» en los datos recogidos, se aboga por un mínimo de «interés» a la hora de recabarlos. Y si no, deberán de ser cancelados, en particular si no son veraces o actualizados. Para ello, se faculta al afectado para ejercer sus derechos de rectificación y cancelación cuando lo estime oportuno, siempre en aras de la «calidad de los datos» que el mismo suministró quizás en un momento anterior.

Se ha tenido en cuenta que este es un derecho mas complejo que el de acceso: no es lo mismo un acceso que un afán rectificador por parte del sujeto afectado, sabedor de que sus datos no han sido puestos al día, independientemente de la obligación que tiene la entidad «culpable» de este extremo. Así, se quiere acabar cuanto antes con dicha situación, y tenemos que el plazo ahora es de diez días. El efecto natural de la cancelación, será la eliminación, extinción o borrado físico de los datos de que se trata cuyo procedimiento dependerá de la naturaleza del respectivo fichero. En los casos en que, siendo procedente la cancelación de los datos, no sea posible su extinción física, tanto por razones técnicos, como por causa del procedimiento o soporte utilizado, el responsable del fichero procederá al bloqueo de los datos con el fin de impedir su ulterior proceso o utilización. Aquí es interesante acudir al Real decreto 1332/1994.

La solicitud de rectificación del interesado deberá indicar el dato que es erróneo y la corrección que deba realizarse, debiendo ser acompañada de la documentación justificativa de la rectificación solicitada, salvo que la misma, depende, exclusivamente, del consentimiento del interesado. En la solicitud de la cancelación, el interesado deberá indicar si revoca el consentimiento otorgado, en los casos en que la revocación sea posible o si, por el contrario se trata de un dato erróneo o inexacto, en cuyo caso deberá acompañar la documentación justificativa. Si ejercitado el derecho por el afectado el responsable del fichero considera que no procede atender la petición, lo comunicará motivadamente a aquél en el plazo de cinco días para que pueda ejercitar la reclamación prevista en al artículo 18 de la propia Ley. Transcurridos cinco días sin respuesta expresa por parte del responsable el interesado podrá entender desestimada su petición a los efectos expresados.

Respecto al derecho de oposición, se dice que «el afectado podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal».

 

01Ene/15

Medidas de Seguridad

Según el Real Decreto 195/2000, de 11 de Febrero por el que se establece el plazo para implantar las Medidas de Seguridad de los ficheros automatizados previstas por el Reglamento aprobado por el Real Decreto 994/1999, de 11 de Junio, los plazos de implantación de las Medidas de Seguridad acabaron en las siguientes fechas:

Nivel básico: 26 de Marzo de 2000
Nivel medio: 26 de Junio de 2000
Nivel alto: 26 de Junio de 2002

01Ene/15

Sanciones

Queremos llamar su atención sobre el importe de las multas, ya que es posiblemente el más riguroso de toda la Unión Europea. Cuando se conoce que una cesión indebida de datos de una empresa u otra puede ser sancionada con 50.000.001 ptas; que la recepción de una publicidad no consentida, con advertencia sobre ello, con 10.000.001 ptas; que la falta de notificación al deudor que ha sido incluido en un registro de morosos con igual sanción (en los tres casos, en su grado mínimo) y tantos otros ejemplos, la eficacia multiplicadora de la dimensión disuasoria de la sanción es impresionante.

La cuantía de sus multas es la mas fuerte de toda Europa. Así:

  • as infracciones leves serán sancionadas con multa de 100.000 a 10.000.000 de pesetas. ( 601,01 € a 60.101,21 € )
  • Las infracciones graves serán sancionadas con multa de 10.000.000 a 50.000.000 de pesetas. (60.101,21 € a 300.506,05 € )
  • Las infracciones muy graves serán sancionadas con multa de 50.000.000 a 100.000.000 de pesetas. (300.506,05 € a 601.012,10 €)

En cuanto al periodo de prescripción se ha establecido que las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año.

01Ene/15

Obligaciones de información en los contratos

Obligaciones de información en los contratos

Existe una serie de obligaciones de información que se deben incluir en los contratos, cláusulas, etc. Dichas cláusulas han de incluirse como anexo, cumpliendo así con toda la parte de información que requiere la LOPD.

Dichos derechos de información, vienen fundamentalmente en el artículo 5 de la LOPD:

«Artículo 5. Derecho de información en la recogida de datos.

1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.

4. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.

5. No será de aplicación lo dispuesto en el apartado anterior cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.

Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.»

Estas son las medidas de información que la LOPD quiere que se presenten a un hipotético cliente en el seno de una relación profesional donde vaya a haber una comunicación, por parte del afectado, de datos personales. Pero si el afectado-cliente comunica los datos, en dicha comunicación va implícito el consentimiento, lo cual no exime a que se presente el documento precisamente para que dicho consentimiento se entienda producido después de las oportunas obligaciones de información. Eso no quita, por supuestos, para que no se tenga la obligación de incluir el documento (cláusula de protección de datos, que se puede encontrar igualmente en esta web), ya que entonces el que requiere los datos no ha informado con la suficiente amplitud. Resultado: podría producirse un vicio en el consentimiento. En este tipo de comunicaciones se entiende implícito el consentimiento, pero se exige este deber de comunicación por escrito.

Tenemos entonces que la relación contractual entre las dos partes puede seguir adelante, y sucederá entonces que entran en juego la oportunidad por parte del que aportó los datos en su momento, de ejercer sus derechos, según el artículo 5.1: acceso, por ejemplo. Aquí también entra en juego la Agencia de Protección de Datos, ya que al ser su registro público, en ella se pueden encontrar las direcciones de todos los Responsables del Fichero y donde ejercitar dichos derechos.

El deber de información supone que se tiene que informar al afectado, a través de los extremos que a continuación se exponen, en términos tales que, permitan a este último hacerse una perfecta representación del alcance, contenido y consecuencias del suministro de los datos así como de los derechos que le asisten. Se habla de los siguientes extremos: existencia del fichero y de su tratamiento; finalidad de la recogida de los datos; destinatario de la información; carácter obligatorio o facultativo de las respuestas a las preguntas planteadas; consecuencia de la obtención de los datos o de la negativa a suministrarlos; posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición y, por último, identidad y dirección del responsable del tratamiento. Si existe un incumplimiento o mal cumplimiento de esta obligación sobre algún extremo, el afectado que ha prestado su consentimiento sobre la base de un conocimiento falso, incompleto o inexacto podrá anular el mismo (es decir, podrá anular el consentimiento dado), sin perjuicio, como es natural, de las sanciones administrativas que, en su caso procedan.

En muchos ocasiones se puede presumir que muchos datos son imprescindibles en ciertos servicios prestados actualmente. Es obvio que, por ejemplo, el suministro del nombre y apellidos en una relación con una empresa de televisión por satélite, es imprescindible, o los datos bancarios. Pero eso no quita para que se produzca esta labor de información.

En Internet, igualmente, existen multitud de formularios, cuestionarios…donde de una forma automatizada se recogen datos personales y se contratan servicios. Obviamente, los deberes de información a los que se hace referencia en el artículo 5.1 deben de existir. Sin embargo, la obligación ha de extenderse a cualquier documento, automatizado o no, donde se requiera datos personales a un hipotético cliente, y que dichos datos vayan a estar en soporte automatizado.

Además, según el artículo 42.2 d) de la Ley es infracción leve la recogida de los datos de carácter personal de los propios afectados sin proporcionarles la información del artículo 5 que se comenta. Si la recogida se hace directamente del interesado, el incumplimiento constituye infracción leve. Si los datos han sido recabados de persona distinta del afectado, el incumplimiento del deber de información posterior constituye en infracción grave.

01Ene/14

Requerimientos de copias de seguridad de ficheros que contengan datos personales

Requerimientos de copias de seguridad de ficheros que contengan datos personales

Los requerimientos de copias de seguridad que exige la normativa sobre Protección de Datos se encuentran contenidos en los siguientes artículos del Reglamento:

«Nivel básico»

«Artículo 14. Copias de respaldo y recuperación.

1. El responsable de fichero se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.

2. Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberá garantizar su reconstrucción en el estado en el que se encontraban al tiempo de producirse la pérdida o destrucción.

3. Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos»

«Nivel alto»

Artículo 24. Registro de accesos.

1. De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

3. Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos.

4. El período mínimo de conservación de los datos registrados será de dos años.

5. El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.

Artículo 25. Copias de respaldo y recuperación.

Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento.»

En la práctica, lo que el reglamento exige es una clara política de copias de seguridad para el entorno profesional, que imposibilite un accidente en relación a la posible desaparición de ficheros que contengan datos personales. Para el nivel básico de datos, se establece que «deberán realizarse copias de respaldo al menos semanalmente» de los datos, salvo que «no se haya producido ninguna modificación» de los mismos. Esto implica que no basta con tener los datos en soportes magnéticos, como el disco duro del ordenador, sino que hace necesario el establecimiento de soluciones hardware o software que hagan que dichos datos se encuentren en otro lugar distinto al principal (lugar no en el sentido geográfico de la palabra: sino que exista, simplemente, otra copia de los datos que no solo sea, por ejemplo, el ordenador de la oficina). Y, como ya hemos visto, dicha copia debe de hacerse como mínimo semanalmente. Para el nivel alto de datos, se establece un periodo mínimo de conservación de los registros de acceso a datos de dos años, además de la obligación para el Responsable de Seguridad de la revisión de dichos accesos al menos una vez al mes y que las copias de seguridad de los datos han de descansar en un lugar -ahora sí- geográfico distinto al principal. Para la correcta conservación de los registros de accesos, se requerirá, igualmente, unas adecuadas medidas de copias de seguridad donde éstas se puedan conservar. En el documento de seguridad correspondiente se deberán describir los procedimientos de copias de seguridad que se establezcan. Recomendamos que sea el administrador o el Responsable de Seguridad -si lo hubiere, sino, obligatoriamente, el Responsable del Fichero- la persona que describa dichos procedimientos. A continuación, detallamos algunas soluciones informáticas a nivel de hardware que nos ofrece el mercado. Para implementar esta medida, es interesante la consulta al profesional de su negocio que tenga un perfil de conocimientos técnicos-informáticos mas altos (administrador de la red, por citar un ejemplo).

Sistemas de copias de seguridad

La publicación «Pc-actual», realizó hace unos meses un estudio sobre los distintos medios hardware para copias de seguridad existentes. Destacaba lo siguiente:

Unidades CD-RW

Son la mejor opción a la hora de copiar archivos personales y en aquellos entornos profesionales donde se necesite grabar poca información y con una frecuencia no demasiado alta. Las principales ventajas con las que cuentan es que se trata de soluciones económicas, con un soporte de grabación igualmente barato, no requieren unos conocimientos informáticos elevados para su utilización y pueden ser recuperadas desde casi cualquier pc. Por el contrario, lo que puede echar para atrás es la limitación en su capacidad (650 o 700 MB), una velocidad de grabación inferior a otras unidades y una menor flexibilidad, sobre todo en el caso de que nos decidamos por discos cd-r, que sólo podremos grabar una vez. Con tales características, pensamos que es la mejor opción por lo económico tanto del soporte como de los consumibles. Además, han aparecido nuevos cds con hasta 900 MB de capacidad.

Unidades ZIP

Su baza es que resultan cómodos, ya que se manejan de la misma forma que un disco duro, y su velocidad es bastante adecuada. No obstante, debido a los años que ya llevan en el mercado, se las considera algo desfasadas. Su última revisión permitió que alcanzaran los 250 MB de capacidad máxima, una cifra que puede ser insuficiente para los usuarios más exigentes. Otro punto en contra hay que buscarlo en el precio de sus consumibles, es decir, los discos de tecnología magnética sobre los que se almacenan los datos. Uno viene a costar alrededor de 16 euros, lo que arroja un precio por megabyte muy superior al que nos puede dar un disco cd-rw, que ronda los 3 euros con una capacidad de 700 MB.

Unidades Magnético Ópticas

Estamos ante la alternativa preferida por aquellos profesionales que deban hacer copias de seguridad de su estación de trabajo, ya que su capacidad de almacenamiento es muy elevada y su fiabilidad y velocidad de lectura son excelentes. En un disco de tamaño similar a los disquetes de 3,5 pulgadas pueden guardar hasta 2.3 GB. Igualmente, hay que valorar que, al tratarse de un sistema magneto-óptico, el soporte no está expuesto al desgaste propio del uso continuado, al margen que su coste por megabyte se reduce al rondar su precio los 15 euros por disco. No obstante, la desventaja está en su precio, ya que, dependiendo de si se trata de una unidad interna, externa, Usb, SCSI, Ide o Firewire, deberemos desembolsarnos entre 240 y 480 euros

Otras Alternaticas

Aunque son los soportes de almacenamientos más populares, no son, ni mucho menos, los únicos. El grupo se completaría con las unidades de cinta desarrolladas para grandes entornos profesionales, pero también con nuevos productos como el Peerless, el Jaz de Iomega, o el LS-120. todos ellos atienden a los distintos perfiles de usuario a los que se dirigen, ya sea por precio, por capacidad o por prestaciones, y comparten un mismo problema: su escasa estandarización o la falta de una gran base instalada. Así, nos resultarán realmente útiles para nuestro propio uso, pero difíciles de compartir con otra persona, además de que sus consumi9bles no son sencillos de conseguir en el mercado. Como alternativa a estos sistemas, últimamente ha aparecido una nueva unidad de almacenamiento removible: las memorias flash usb. Estas memorias con forma de llavero, cuentan con capacidades de entre 16 y 512 MB, y son compatibles con plataformas windows y mac.

En cuanto a soluciones software, recomendamos la visita a http://www.kriptopolis.com, donde en la sección «descargas» podremos encontrar dichas soluciones para las copias de seguridad de los ficheros que contengan datos personales. Y es que si no tenemos buenos programas que acompañen a las soluciones hardware antes mentadas, tendremos una solución que no podremos utilizar debidamente.

 

01Ene/14

Cargos de los ficheros de datos personales

Cargos de los ficheros de datos personales

Hasta 3 tipos de cargos relacionados con los ficheros de datos personales se pueden distinguir en la Ley y el Reglamento:

Responsable del fichero

En todos los niveles de seguridad. El principal encargado, sujeto a la normativa sancionadora. Deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal en los términos establecidos en el Reglamento. Autoriza la ejecución de tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero. Elaborará el Documento de Seguridad. Adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias a que daría lugar su incumplimiento. Se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al Sistema de Información. Establecerá los procedimientos de identificación y autenticación para dicho acceso. Establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. Será quien únicamente pueda autorizar la salida fuera de los locales en que esté ubicado el fichero de soportes informáticos que contengan datos de carácter personal. Verificará la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de datos. Designará uno o varios responsables de seguridad. Adoptará las medidas correctas necesarias en función de lo que se diga en el informe de auditoría. Establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al Sistema de Información y la verificación de que esté autorizado. Autorizará por escrito la ejecución de los procedimientos de recuperación.

Encargado del Tratamiento

Se conecta con la figura del tercero que accede a los datos. Igualmente, sujeto a la normativa sancionadora. En todos los niveles de seguridad. Debe cumplir con las Medidas de Seguridad pertinentes, a tenor de tipo de dato al que acceda.

Responsable de Seguridad

Coordina todas las acciones de seguridad. Nombrado por el Responsable de Seguridad, pueden ser la misma persona y sólo es obligatorio para los niveles medio y alto. No está sujeto a la normativa de responsabilidad sancionadora de la Ley. Pueden ser uno o varios. Coordinará y controlará las medidas definidas en el Documento de Seguridad. No tiene delegada la responsabilidad que le corresponde al responsable del fichero. Analizará los informes de auditoría. Elevará las conclusiones del análisis al responsable del fichero. Controlará los mecanismos que permiten el registro de accesos. Revisará periódicamente la información de control registrada

Cada uno de ellos deberá estar perfectamente identificado en los documentos de seguridad. Todos están obligados por Ley (artículo 10) al secreto profesional de los datos. La vulneración del deber de secreto constituye infracción leve, grave o muy grave a tenor de la naturaleza de los datos almacenados que, en función de su mayor o menor relación con las exigencias de privacidad, requieren Medidas de Seguridad distintas.

01Sep/02

Requerimientos de copias de seguridad de ficheros que contengan datos personales

Requerimientos de copias de seguridad de ficheros que contengan datos personales

Se trata de un requerimiento para los ficheros que contengan datos de nivel alto exclusivamente. Viene contenido en los artículo 23 y 26 del Reglamento:

«CAPÍTULO IV
Medidas de seguridad de nivel alto

Artículo 23. Distribución de soportes.

La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte.

Artículo 26. Telecomunicaciones.

La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. »

En la práctica, lo que significa es que los ficheros informáticos que contengan datos de nivel alto han de estar permanentemente cifrados, y al transmitirse por las redes de telecomunicaciones (por ejemplo, mandando un correo electrónico a través de la red Internet), igualmente, habrán de cifrarse de manera que no se pueda acceder al contenido de éstos. El reglamento habla de cifrado o «cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros».

No encontramos una definición de cifrado ni en la Ley ni en el Reglamento. Está claro que es un mecanismo que va unido a la disponibilidad del dato a cifrar: se quiere que solo esté disponible para aquel que conozca la forma de descifrarlo. Se trata de un término muy unido a la Criptografía: técnica de transformar un mensaje inteligible, denominado texto en claro, en otro que sólo puedan entender las personas autorizadas a ello, que llamaremos criptograma o texto cifrado.

Por lo tanto, vemos que el Reglamento impone el uso del cifrado en ficheros de datos de nivel alto. Sin embargo, es grato encontrarse con programas que usan complicados sistemas de encriptación y que hacen prácticamente inaccesible a un determinado documento o fichero con un par de clicks. Es importante que desaparezca la idea de «dificultad» del uso del cifrado: con el uso de los programas que desde este site recomendamos, cifrar, firmar, descifrar…es prácticamente un juego de niños. Es necesario que los ficheros que contengan datos sensibles (nivel alto) estén cifrados con alguno de los programas de cifrado existentes en la actualidad, y que cuando éstos se transmitan por las redes de telecomunicaciones (internet, redes lan o wan) vayan igualmente cifrados.

Las soluciones software existentes en la actualidad cumplen sobradamente el objeto de garantizar la confidencialidad de los archivos de datos personales de estas características. A continuación, recomendamos los programas más usuales que garantizan esta confidencialidad, a la vez que señalamos los sites oficiales de Internet desde donde pueden ser descargados.

Programas de Cifrado

Gnupg

Reune prácticamente todo lo que se le puede pedir un software: es efectivo, claro, sencillo, conciso, no requiere de mucho procesador…y para colmo es libre y la licencia que lo acompaña es gratuita, incluso para usos comerciales, lo que hace que lo recomendemos encarecidamente. Sus tres primeras letras (gnu) ya nos referencian que se trata de un software bajo este tipo de licencia, muy común en los sistemas operativos linux. Sin embargo, podemos encontrar versiones para windows desde su página web, en http://gnupg.org. Actualmente, es el programa de cifrado de mas éxito y se está imponiendo de forma apabullante. Además, está siendo avalado de una manera muy fuerte por toda la comunidad del software libre.

Pgp freeware

Se ha anunciado que no habrá nuevas versiones de este soft, pero eso no quita para que en la actualidad sea poco menos que un estándar. Con pgp, siglas que corresponden a «pretty good privacy», se pueden firmar y cifrar emails y ficheros de datos, lo que lo hace ideal para los requerimientos del Reglamento. PGP está bien caracterizado y es rápido, con un sofisticado manejo de llaves, firmas digitales, compresión de datos, y un buen diseño ergonómico. La página web oficial del programa es http://www.pgp.com. Se trata de un software para todo tipo de plataformas y es completamente gratuito. Recomendamos la guía sobre el pgp que la Asociación de internautas ha preparado en su página web:
http://seguridad.internautas.org/pgp.php

 

 

01Sep/02

Definiciones y exclusiones

Definiciones y exclusiones

Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables.

Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

La Ley se aplica tanto a ficheros públicos como a privados.

Las excepciones a la Ley son la siguientes:

a) Ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

b) Ficheros sometidos a la normativa sobre protección de materias clasificadas.

c) Ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos

Hemos dividido en 3 los requerimientos que la legislación actual requiere de su cumplimiento a las empresas:

1.- Inscripción en la Agencia de Protección de Datos de todos los ficheros de carácter personal existentes

2.- Establecimiento de una política de protección a los ficheros previamente inscritos según el nivel requerido en el Reglamento.

3.- Establecimiento de una política de Protección de Datos, según la Ley Orgánica de Protección de Datos.

El punto primero es básico. De hecho, no tiene mucho sentido establecer las Medidas de Seguridad que pide el Reglamento si no hemos inscrito previamente nuestros ficheros en la Agencia. Por tanto, la primera tarea es proceder a dicha inscripción, y para ellos hemos elaborado un apartado donde se explicará este punto ampliamente.

Una vez inscritos, debemos de establecer las Medidas de Seguridad que establece el Reglamento. Para ello, la identificación del nivel de seguridad exigido es determinante, ya que dependiendo de uno o de otro, las medidas son diferentes, aunque siempre acumulativas unas de otras. Los ficheros de nivel básico contienen datos que inciden poco en la esfera del individuo: nombre, apellidos, dirección, número de teléfono o dirección de correo electrónico. Los datos de nivel medio son el siguiente escalón: datos de hacienda pública o infracciones administrativas o penales

Es difícil que usted tenga datos de nivel medio, por cuanto es la Administración la principal receptora de los mismos. Los de nivel alto son los datos para los cuales el legislador ha querido un nivel mayor de protección, no en vano inciden sobre la ideología, carácter o estado de salud del individuo, y para ellos se ha querido un nivel de seguridad bastante amplio. Y la posibilidad de que usted tenga datos de este nivel no es en absoluto desdeñable. Y si no, preste atención al siguiente párrafo.

Creemos que son necesarias varias apreciaciones llegados este punto. La primera, que sólo deben preocuparnos datos «personales», esto es, todos aquellos datos de empresas -facturas, clientes…- permanecen, a priori, fuera del radio de acción. Lo que ocurre en muchas ocasiones es que, al referirnos a empresas, muchas de ellas tienen un nombre societario que hacen referencia al administrador o dueño de la misma, lo que lo convierte directamente en un dato de carácter personal, y por ende, en destinatario de todas las medidas de protección. Además, si en un fichero de datos compuestos por nombres de empresas o datos de carácter abstracto o no personal, si en dicho fichero existe un solo dato de carácter personal de nivel alto -por ejemplo-, el fichero entero es de nivel alto, no importando que el resto de datos no sean de carácter personal o tengan un nivel inferior. Además, y aunque la Ley no hace distinción entre datos automatizados y datos no automatizados, a efectos del Reglamento nos interesan los datos automatizados, y sólo esos.

De otra forma, datos que se contengan en facturas o fichas, que no esten automatizados -esto es, en soporte digital-informático- no nos interesan. Aunque existe un plazo (hasta el 2007) por el cual, a partir de dicha fecha, también los datos no automatizados deberán de ser destinatarios de las medidas de seguridad que se regulen. Debe saber que cuando nos referimos a alguna medida que haga referencia a la Ley, no se establece diferencia alguna entre dato automatizado y dato no automatizado. Mientras que las medidas establecidas en el Reglamento, sólo atañen, de momento, a los datos automatizados.

Por último, la Agencia de Protección de Datos ha ido resolviendo algunas dudas al respecto tales como:

  • Respecto a los ficheros que contienen las nóminas de los empleados, si estos tienen una casilla que especifique un determinado grado de minusvalía, con objeto de la retención a cuenta en el IRPF correspondiente, se ha llegado a la conclusión de que, al ser datos que afectan a la salud, éstos deben ser considerados de nivel alto, estableciéndose las Medidas de Seguridad de nivel alto para todo el fichero.
  • Respecto a cualquier fichero que contenga datos que haga referencia a su afiliación sindical, se ha llegado a la conclusión igualmente que son datos que afectan a la ideología del individuo, por tanto de nivel alto.
  • Se ha establecido igualmente que aquellos ficheros de profesionales autónomos que contengan datos de carácter personal están igualmente dentro del radio de acción del Reglamento.
01Sep/02

Derechos Personales

Derechos Personales

Los derechos a que se hace referencia a continuación tienen carácter personalísimo, por lo que sólo pueden ejercerse por parte del afectado. Podrá no obstante actuar su representante legal cuando el afectado se encuentre en situación de minoría de edad o esté declarado incapaz para el ejercicio de sus derechos.

Derecho de impugnación

(art. 13 de la Ley Orgánica 15/1999)
Artículo 13. Impugnación de valoraciones.

1. Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad.

2. El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad.

3. En este caso, el afectado tendrá derecho a obtener información del responsable del fichero sobre los criterios de valoración y el programa utilizados en el tratamiento que sirvió para adoptar la decisión en que consistió el acto.

4. La valoración sobre el comportamiento de los ciudadanos, basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado.

Derecho de información en la recogida de datos

(art. 5 de la Ley Orgánica 15/1999)
Artículo 5. Derecho de información en la recogida de datos.

1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Derecho de consulta al Registro General de Protección de Datos

(art. 14 de la Ley Orgánica 15/1999)
Artículo 14. Derecho de Consulta al Registro General de Protección de Datos.

Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro General será de consulta pública y gratuita.

Derecho de Acceso

(Art. 15 de la Ley Orgánica 15/1999, arts. 12 y 13 del R.D. 1332/94, normas 1ª y 2ª de la instrucción 1/1998 de la Agencia)
Artículo 15. Derecho de acceso.

1. El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.

2. La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos.

3. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto

Derechos de rectificación y cancelación

(Art. 16 de la Ley Orgánica 15/1999, arts. 15 del R.D. 1332/94, normas 1ª y 3ª de la instrucción 1/1998 de la Agencia)
Artículo 16. Derecho de rectificación y cancelación.

1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días.

2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos.

3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.

4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación.

5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.

Derecho de oposición

(Art. 6.4 Y 30.4 de la Ley Orgánica 15/1999)

En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.

01Sep/02

Requerimientos de inscripción de los ficheros

Requerimientos de inscripción de los ficheros

La Inscripción en el Registro General de Protección de Datos que la Agencia de Protección de Datos ha habilitado al efecto es la obligación previa en esta materia. El criterio determinante de la inscripción es bastante claro: TODOS los ficheros que contengan datos de carácter personal han de estar inscritos en el Registro, con el solo elemento caracterizador de que se trate de datos relativos a personas físicas. Ello se deduce de los siguientes preceptos:

Articulo 2.1 de la LOPD:
«La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.»

Artículo 3 a) de la LOPD, definición de dato:
«cualquier información concerniente a personas físicas identificadas o indentificables».

Es claro que la LOPD y el Reglamento no se ocupa de los datos de las Personas Jurídicas. Sin embargo, también es claro el ámbito enorme y devastador de la norma. Además, pensemos que un fichero automatizado formado por facturas de personas jurídicas pudiera contener también datos de empresas societarias unipersonales, profesionales autónomos, etc: esto lo convierte en un «fichero que contiene datos de carácter personal», con lo que las medidas de seguridad deberán de ser impuestas.

No confundir, sin embargo con la OBLIGACIÓN de su inscripción: ésta atañe tanto a personas físicas (por ejemplo, y repito, profesionales liberales -abogados-) como a personas jurídicas (incluso públicas) que procedan a la creación de ficheros que contengan datos de carácter personal. Es decir, el criterio delimitador para someterse a las medidas de seguridad -y por extensión, a la primera de ellas, la inscripción- es simplemente, «que haya datos que hagan referencia a personas físicas». Y estos datos pueden venir creados por cualquier tipo de persona física -en un ámbito profesional- o jurídica -independientemente de su forma societaria, incluida las públicas-.

El Registro General de Protección de datos puede ser consultado online en el sitio http://www.agenciaprotecciondatos.org/regis.html. Actualmente hay unos 250.000 ficheros, lo cual significa que existen una mayoría no legalizados. Y eso a pesar de las facilidades que la Agencia ha incluido para dar facilidades a la hora de su inscripción.

Básicamente, los ficheros pueden ser inscritos a través de un software que está disponible en la página web anteriormente referenciada o rellenando el formulario existente en la web. Hay que señalar que la Agencia no contiene la información de los ficheros a inscribir, sino una descripción de éstos y la dirección donde los afectados pueden ejercer sus derechos.

Por tanto, cuando hablamos de «registrar» un determinado fichero, no hablamos de proporcionar a la agencia dicho fichero: solo la información descriptiva a éste y los datos que el registro requiere, a saber: nombre del fichero, descripción, finalidad y dirección del responsable del fichero (para que se puedan ejercer los derechos de acceso, rectificación, etc…).

Aunque existen una gran cantidad de ficheros no inscritos, si no se notifica la existencia de un fichero, podría incurrirse en falta leve o grave, tal y como señala el artículo 44 de la Ley, quedando sujeto al régimen sancionador previsto.