Todas las entradas de Iván Ontañón Ramos

01Ene/15

Nueva Regulación Europea

Nueva Regulación Europea

La Comisión Europea ya lleva un tiempo trabajando en la forma en la que incorporar la nueva regulación en materia de protección de datos, con objeto de crear una serie de derechos y garantías más eficaces, y cuyo fin será remplazar a todas las leyes actuales de cada uno de los territorios. Su desarrollo queda justificado principalmente por la ineficacia actual de la normativa frente el entorno de internet y la circulación de datos sin control.

Está previsto que esta incorporación se realice en forma de Reglamento, lo que supondrá la aplicabilidad directa a todos los estados miembros desde su entrada en vigor, sin que exista para ello una trasposición a las normativas nacionales. Además, se pretende que pueda entrar en vigor para el próximo año. Europa pretende de esta forma liderar las políticas globales en materia de privacidad, principalmente contra compañías externas como pueda ser Facebook.

Entre muchas cosas, se pretenderá cambiar la articulación del consentimiento para el tratamiento de datos de los usuarios. Se pretende definir de una forma más completa la forma de otorgar el consentimiento; siendo necesario un consentimiento expreso para las mayorías de las ocasiones, y no siendo válido en ningún caso el silencio en pro de ese consentimiento. Los principales afectados serán las empresas de Marketing directo y aquellas empresas que realicen fuertes campañas promocionales mediante el uso de base de datos. Se pretende crear un marco normativo más restrictivo, que permita controlar su uso de forma indiscriminada para fines comerciales, como se viene realizando actualmente y que ya han sido duramente criticados por sectores de la actividad económica, cultural y social.

Otra de las prioridades parece ser que recaerá sobre la armonización de todas las regulaciones existentes actualmente en la Unión Europea. Cada uno de los estados miembros hicieron sus interpretaciones particulares y crearon sus normativas en base a la Directiva 95/46/CE. A pesar de compartir unas mismas ideas y principios, no se ha creado un entorno común basado en las mismas singularidades y requisitos. Se intentará lograr un mercado interior común bajo unas obligaciones y responsabilidades comunes.

El régimen sancionador, que ha caracterizado al sistema español por ser uno de los más restrictivos, también se prevé que cambiará. Los expertos auguran por un mismo modelo que sea de aplicación directo en todos los países del entorno, que permita sancionar de igual manera en todos los Estados, independientemente si las sanciones han sido realizadas en territorio búlgaro o francés. Además se contempla que las sanciones puedan aumentar, y que vayan en función de la facturación anual de la compañía que cometa la infracción; llegando hasta un 2%.

No obstante, aún sin conocer el contenido exacto de la nueva regulación; no ha dejado de estar exenta de polémica desde que se tiene constancia de ella. Algunas asociaciones de empresarios han atacado duramente una nueva regulación más restrictiva en algunos puntos por la posible influencia que pueda tener en el desarrollo de sus negocios. Proponen crear elementos flexibles, que puedan ser de aplicación según las circunstancias de las empresas y su modelo de negocio.

También se pretende crear la figura del derecho al olvido, como un derecho más en materia de protección de datos y que viene siendo demandado desde hace un tiempo atrás. Todos tendremos el derecho de poder gestionar nuestros datos en Internet de forma eficaz, pudiendo obligar a las empresas que haya hecho públicos datos de una persona a que elimine cualquier rastro que exista en la red.

Sean o no eficaces, las nuevas reformas que traiga la restructuración de la normativa de protección de datos claramente es una consecuencia de los múltiples robos de datos que cada vez son más frecuentes, con un posible uso posterior malintencionado y que viene influyendo directamente en la preocupación de los ciudadanos. Disponer de una misma normativa en los 27 países miembros facilitará la armonización europea en este sentido, pero tampoco podemos conocer aún en lo que afectarán todos los cambios que se proponen en la rutina empresarial.

01Ene/15

La Identidad Digital: Límites entre la libertad de expresión e información y el derecho a la intimidad

La Identidad Digital: Límites entre la libertad de expresión e información y el derecho a la intimidad

¿Quiénes somos realmente en Internet? ¿Somos responsables de nuestra información? El desarrollo de las TIC ha creado un nuevo escenario donde se desarrollan las relaciones personales y profesionales, mediante internet y la web 2.0. A través de ahí creamos nuestra reputación; que no deja de ser un producto fabricado y acumulado en el tiempo donde participan numerosos actores en base a diferentes percepciones, por lo que es muy fácil perder su control efectivo. Precisamente con la creación de nuestra identidad digital es cuando nos enfrentamos a las amenazas más importantes sobre nuestra privacidad.

El espacio democrático en el que se ha convertido internet permite canalizar al resto de usuarios las libres opiniones e ideas de forma inmediata, donde todo perdura. La libertad de información plantea dos limitaciones importantes: la veracidad y la relevancia pública. Es decir, cada publicación que se realice de otra persona deberá ser contrastada previamente y deberá tener relevancia e interés general. Pero la red no depura, ni filtra los contenidos antes de ser publicados. Y el interés de cada información es relativo.

Por otro lado, el derecho a la intimidad pretende crear una burbuja personal en el que una persona puede libremente impedir la intromisión de terceros en su vida privada, como así lo reconoce nuestra Constitución. En muchas ocasiones esa limitación de la vida privada fácilmente puede traspasarse del círculo de relaciones personales. Para las redes sociales por ejemplo, es importante sacrificar esa frágil barrera de privacidad para que los usuarios compartan información con el resto de internet y así generar conversación y nuevos contactos. Seguramente a la mayoría nos habrá tocado configurar nuestra cuenta de Facebook para limitar compartir nuestra información con el resto del mundo. A todo esto debemos sumarle la facilidad que tienen otros usuarios para subir y etiquetar imágenes donde aparecemos. Debido a la velocidad en la que se mueve la información en la práctica, no permite hacerlo de una forma mejor.

Ante la falta de una normativa eficaz (y capacidad técnica) que pueda regular y depurar cada uno de los contenidos que se generen en internet, podemos ver que el único límite que persiste es no atentar contra las personas. Al igual que ocurre en la prensa, la calumnia, la injuria o la difamación son los delitos que directamente pueden derivar de los límites de estos derechos; y que son igualmente aplicables en internet. De hecho Internet es considerado a día de hoy como el lugar más propenso a ser cometidos.

De todas maneras la identidad digital en mucha medida depende directamente de un uso responsable de la misma y de la propia conducta del usuario; mediante una gestión segura y responsable de lo que hacemos. Todo lo que difundamos nos puede venir en nuestra contra un día después. Internet no necesita asegurar la veracidad de los hechos antes de ser publicados y nadie va a retirar contenidos porque sí sin antes ser denunciados. Y rastrear cuál es el origen o editor de una información de cara a defender unos hechos, cuando todo se puede realizar desde el más absoluto anonimato, puede convertirse en algo totalmente imposible.

01Ene/15

Consentimiento del uso de las Cookies

Consentimiento del uso de las Cookies

Parece ser que se van despejando los interrogantes que generó la transposición de la directiva europea sobre el uso de las cookies. Pero no podemos decir que tengamos buenas noticias. Las autoridades europeas de protección de datos (conocidas como el Grupo de Trabajo del artículo 29) se reunían hace unos días para adoptar un dictamen sobre la exención a la obtención del consentimiento para el uso de las cookies. Se trata de poder explicar que tipo de cookies se podrían utilizar sin necesidad de contar con el consentimiento del usuario que visita la web, y para cuales deberemos utilizarlo.

En primer lugar, y antes de crear más dudas sobre las cookies, creo necesario distanciar las cookies de la normativa de Protección de Datos. Su regulación depende de la Ley de Servicios de la Sociedad de la Información (más conocida como LSSI), que en ningún momento diferencia a aquellas cookies que recaban datos personales, de las que no lo hacen. Por tanto, aunque dispongamos de un tipo de cookies que únicamente recoja datos agregados o anónimos, deberemos disponer de un mecanismo que permita recabar el consentimiento del usuario antes de que éstas sean almacenadas.

La LSSI plantea únicamente dos criterios para exceptúan el uso de este consentimiento, que son aquellas utilizadas para:

Criterio A: «efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas». –

Criterio B: «la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario». En estos casos, siempre que las cookies habilitadas tengan como objeto algunos de estos criterios, no se le aplicaría el consentimiento. No obstante, existen posibilidades de que una misma cookie pueda ser empleada con diferentes objetos. Únicamente podrá estar exenta del consentimiento si todas sus finalidades lo están de forma individual. Por ejemplo, si una misma cookie pudiera ser utilizada para recordar las preferencias del usuario y al mismo tiempo sea empleada para analizar el comportamiento del usuario, no podría verse exento del consentimiento. Esta última finalidad no cumpliría con ninguno de los criterios definidos anteriormente.

Los tipos de cookies que si cumplirían con estos criterios serían las siguientes:

  • User input cookies: son las usadas para facilitar la visita del usuario al sitio web, como pueda ser en la elección del idioma para todas las páginas que visite, o el uso del carrito de compra. Podemos catalogarla en el CRITERIO B.
  • Cookies de autenticación: aquellas usadas para poder identificar al usuario una vez se ha logueado correctamente en el sitio web. Son las empleadas por ejemplo en un banco online y por tanto, necesarias para la prestación de este servicio. CRITERIO B.
  • User centric security cookies: aquellas empleadas para la prevención de riesgos de seguridad en el sitio web, como puedan ser las que dispongan de un registro de intentos fallidos y repetidos en una web. Podemos catalogarlas en el CRITERIO B.
  • Cookies de multimedia: son aquellas que de forma técnica son necesarias para la reproducción de contenidos de video o audio, y que por tanto podemos catalogar en el CRITERIO B.
  • Cookies de balanceo de carga: el tipo de cookies que permiten la distribución del procesamiento web en varios servidores en lugar de uno solamente, que permiten una navegación más rápida. En este caso, nos encontramos con el CRITERIO A.
  • Cookies de customización: son las empleadas para la adaptación del sitio web a las preferencias del usuario, como puedan ser para la selección del idioma. Se podría justificar su utilización con lo dispuesto en el CRITERIO B.
  • Cookies de información social: son las cookies que utilizan las redes sociales para los integrantes puedan compartir información con sus contactos, como puedan ser los típicos comentarios en el tablón de Facebook; que funcionarían de acuerdo al CRITERIO B.

Por tanto podemos concluir de forma que quedarían excluidas de la utilización del consentimiento expreso solamente aquellas, que independientemente de que recojan datos o no, sean imprescindibles para la prestación del servicio del sitio web. Entre otras, deberemos modificar el sistema de configuración de las cookies y solicitar el consentimiento expreso para los tipos de analytics, para aquellas utilizadas con objeto publicitario, o simplemente para conocer el comportamiento del usuario durante la navegación web.

 

01Ene/15

El Tribunal de Justicia Europeo respalda el Derecho al Olvido

El Tribunal de Justicia Europeo respalda el Derecho al Olvido

Un fallo de la justicia europea resuelve finalmente la cuestión sobre la interpretación del Derecho al Olvido en los buscadores de Internet. El Tribunal de Justicia de la Unión Europea (TJUE) ha publicado hoy una Sentencia que aclara la larga disputa entre la responsabilidad de los buscadores, la aplicabilidad de la normativa de protección de datos y los derechos de los ciudadanos.

La articulación del Derecho al Olvido, que no se encuentra expresamente regulado aún, surge con los perjuicios que causa el rastro de la información en Internet. Esto ha llevado a un largo conflicto entre la Agencia Española de Protección de Datos (AEPD) y Google, que tras 11 años de batalla por reclamaciones y solicitudes de Tutela de ciudadanos, parece que ahora queda clarificado.

Google siempre ha rechazado las peticiones de ciudadanos defendiendo como principal argumento la no aplicabilidad del derecho español en el buscador, cuya actividad esta sujeta a la legislación estadounidense al estar ubicada allí Google Inc., su empresa propietaria. No obstante para la AEPD nunca ha sido un argumento lógico, que considera que al disponer una sociedad establecida en España, Google Spain, S.L., esta sujeta al derecho español, a pesar de que el objeto sea la publicidad, diferente a las tareas del motor de búsqueda.

Con esta sentencia, el TJUE apoya los argumentos de la AEPD y considera que Google utiliza de forma “automatizada, constante y sistemática” información personal, que recoge, procesa y conserva de los diferentes sitios web enlazados. Considera la información indexada en los buscadores como un fichero de datos, del que Google decide sobre la finalidad y destino.

La Justicia europea tampoco hace distinción alguna por el hecho de que radique en un país extracomunitario, argumentando en la línea de la AEPD y justificando la “relación” entre la publicidad de la que se nutre en cada país miembro con los resultados de búsqueda del motor. Por tanto, en adelante todas las personas tendrán derecho a solicitar del motor de búsqueda la eliminación de las referencias personales que puedan afectarles, aunque la información no haya sido eliminada por parte del editor de los contenidos, ni se haya solicitado su desindexación.

¿Qué cambia esta sentencia europea de forma práctica?

Supone dar existencia al llamado Derecho al Olvido. A partir de ahora se podrá solicitar a Google directamente el borrado de los datos personales que aparecen en el buscador indexados, y Google tendrá la obligación de hacerlo. Además, se podrá acudir de forma efectiva a solicitar la Tutela de la AEPD o de los Tribunales en caso de conflicto.

Pero, como en cualquier otro derecho fundamental, existe un límite. Se deberá ponderar en cada caso la primacía del Derecho a la Protección de Datos o del Derecho a la Información, que legitima este último en algunos casos la publicación de todo tipo de información.

La Sentencia concreta que el derecho a la protección de datos prevalecerá con carácter general sobre el interés económico del buscador o cualquier tercero, salvo que la información sea de interés o relevancia pública que permita justificar su difusión.

¿Significa que se eliminará toda la información de Internet?

Tradicionalmente las solicitudes para eliminar información personal han sido dirigidas a los editores de la información, que podrán estimar o no las reclamaciones. Esta Sentencia articula la posibilidad de hacerlo también frente al motor de búsqueda, que son los responsables de la difusión y accesibilidad de la información publicada por los diferentes portales.

Solicitar eliminar los datos ante un buscador no supone la eliminación de los documentos, archivos o hemerotecas digitales de donde proviene la información, que se mantendrán inalterados salvo que se solicite expresamente a ellos la retirada de los contenidos.

¿Cuál es la opinión de Google al respecto?

Google ya ha emitido un comunicado de prensa afirmando la decepción que supone este hecho para los motores de búsqueda y editores online en general, pudiendo perjudicar su negocio y actividad en Europa.

En su comunicado se sorprende del cambio de rumbo y opinión por parte de las instituciones judiciales europeas, que se contradice rotundamente a la opinión que mantenía. En concreto, se remitió a las declaraciones del Abogado General del TJUE, Niilo Jääskinen, quién afirmó hace apenas un año que debía prevalecer el Derecho a la Información frente al Derecho al Olvido, para evitar así una “injerencia en la libertad de expresión del editor de la página web”, llegando incluso a comparar el Derecho al Olvido con la censura.

 

01Ene/15

¿Qué le pasa a Facebook?

¿Qué le pasa a Facebook?

Hace apenas unos meses éramos partícipes del mayor estreno en bolsa de una empresa de internet en la historia, tras ocho años de éxito desde su fundación. Pero la aventura de Mark Zuckerberg se esta convirtiendo en toda una agonía para sus inversores, aquellos que vieron en Facebook una apuesta segura. Parece ser que el desplome de la red social es algo inevitable, tras caer su capitalización en más de un 50 % tras su salida en bolsa.

Expertos economistas auguran que se trata del primer gran fracaso en una nueva burbuja tecnológica que pronto verá la luz; que nos acompañará con nuevas y drásticas caídas de su cotización en bolsa. Llevamos unos días en los que Facebook se ha convertido en el centro de atención de todos los medios por su desastre en el parque de cotización. Pero no es su único problema.

La monetización de los usuarios de Facebook es algo más que evidente. Más allá de convertirse en una red social, puede decirse que se ha convertido en un gran mercado de consumo. Y no es para menos. Su «población» equivale a varias veces los habitantes de Estados Unidos, y en su mayoría, potenciales consumidores de «modas».

Y ese es su objeto. O mejor dicho, su principal baza. Aunque parezca mentira, Facebook no es un buen lugar donde realizar publicidad directa mediante la inclusión de anuncios, pues se trata de un entorno social más que comercial. Pero desde hace unos meses su apuesta se basa en rentabilizar su política con anunciantes, para lo que se van a añadir una serie de modificaciones en su programación. Se pretende crear valor a las preferencias de los usuarios y venderlas en paquetes a compañías deseosas de despertar el interés de sus productos, a cambio de la privacidad de los usuarios.

Y es este principio el que ha vuelto a ser portada hace unos días tras el incidente de seguridad, que provoco que usuarios, principalmente de Francia, pudiesen ver mensajes privados de Facebook escritos entre 2007, 2008 y 2009 directamente en el muro (el conocido ahora como Timeline). Desde la red social se apresuraron a negar que se trataba de un fallo de seguridad, «convencido de que no ha habido violación de la privacidad del usuario» y asegurando que se debía a una confusión de los usuarios sobre su funcionamiento.

Los problemas de privacidad en Facebook no son nuevos. Para diversas organizaciones de toda Europa ha supuesto otro inconveniente más que no quieren dejar pasar y que pretenden que llegue a los principales organismos europeos de protección de datos, que tienen a la red social en el punto de mira desde hace tiempo atrás, y que supondrá agravar la difícil situación en la que se mueve Facebook hoy en día.

01Ene/15

Información Corporativa en Peligro

Información Corporativa en Peligro

Un reciente estudio elaborado por la consultora Harris Interactive revela la preocupante cifra del número de empleados que estarían dispuestos a vender información corporativa con una finalidad clara: el beneficio propio.

Parece ser que la lealtad a una empresa, o cualquier principio ético, pueden ser comprados por una módica cantidad de dinero, principalmente cuando se mezclan con situaciones problemáticas en la empresa, como despidos o bajas. El 14% de los encuestados admiten que copiarían datos electrónicos y archivos para llevárselos cuando se vayan de la empresa, además de mostrarse cómodos en caso de que tuvieran que vender esa información confidencial por Internet, sin importar el destino final y su uso posterior.

No solamente una empresa está sometida a ataques externos de Hawking; el peligro puede encontrarse en su interior. El acceso a la documentación está al alcance de una serie de usuarios que incluyen empleados, personal externo, socios comerciales o proveedores. Las infraestructuras en las que se trabaja cada vez son más amplias y complejas, pero también más accesibles.

La información confidencial exige controles de acceso, niveles de clasificación de documentos según la sensibilidad de los datos y un preciso seguimiento de las normas en vigor. Se han invertido décadas tratando de trabajar en redes cada vez más extensas y fuertes frente a intrusos. Pero estas medidas han sido diseñadas para frustrar únicamente el acceso no autorizado, dejando libre el acceso autorizado. Es necesario crear una conciencia en empresas y organizaciones para aprovechar los recientes casos de fugas de información o incidentes con datos personales para analizar el impacto que tendría si saliese a la luz información confidencial de su negocio por no tener las medidas necesarias a tiempo.

Áudea Seguridad de la Información
Iván Ontañón Ramos
Departamento Legal
www.audea.com

01Ene/14

Comercio Electrónico Seguro

Comercio Electrónico Seguro

A pesar del panorama económico mundial del que no podemos escapar de momento, se puede decir que el comercio electrónico no deja de crecer; siendo cada vez más habitual en las transacciones diarias, tanto para gestiones bancarias como para el pago de productos o servicios.

Su popularización general ha ido creciendo de forma paralela a la confianza acentuada de los usuarios en su utilización. Sin embargo, utilizar estos servicios implica una serie de amenazas relacionadas con la seguridad, tanto de los datos personales como de nuestro dinero; caracterizado por el fraude y los diferentes tipos de abuso que existen. Por este motivo, debemos ser cautos a la hora de realizar nuestras gestiones online, y tener en consideración una serie de buenas prácticas que garanticen de alguna forma que las transacciones se realizan de forma correcta.

Los sistemas de autenticación permiten verificar la identidad durante todo el proceso de compra, y aunque existen diferentes medios que lo permiten, siempre dependerán en gran medida de la infraestructura del comercio online. La forma más tradicional y «rudimentaria» en cuanto a sistema de autenticación sería el uso del nombre de usuario y clave asociada, aunque en ocasiones viene reforzada con utilidades como teclados virtuales. No obstante, actualmente existen múltiples mecanismos que han ido mejorando considerablemente con el tiempo, entre los que se encuentran las tarjetas inteligentes, los tokens, los dispositivos biométricos, y los certificados y firmas electrónicas.

Durante las transacciones, además deberemos fijarnos en el cifrado de las mismas para asegurar la integridad de los datos y su intercepción durante el proceso. A través del conocido protocolo de autenticación SSL, se desarrolla el HTTPS; que se identifica en el navegador de forma https:// en lugar del habitual http://. Deberemos observar siempre su existencia para asegurarnos la seguridad en el trascurso de las operaciones.

Siguiendo en esta línea, también deberemos verificar si la URL que se indica durante todo el proceso corresponde con la del comercio o entidad en sí; ya que es posible la simulación de empresa a través de la modificación de uno de los dígitos de la URL, y que con un «look and feel» similar se pueda estar proporcionando datos a una empresa diferente.

En muchas ocasiones también podremos encontrarnos con situaciones que nos hagan sospechar a primera vista, por lo que deberemos ser más cautos. Por ejemplo si nos solicitan datos que creamos excesivos para la transacción que estamos realizando, que el certificado de seguridad proporcionado se encuentre caducado o no sea válido, o simplemente que no haya ninguna información sobre la razón social de la empresa, dirección, medio de contacto o CIF. En todos estos casos, a parte de parar temporalmente la transacción comercial, se podrá acudir a la búsqueda de opiniones de demás usuarios acerca de la reputación de dicho comercio.

Nunca debemos olvidar también que en Internet existe la letra pequeña y se puede jugar con ello. Es importante leer atentamente los términos y condiciones de contratación que se aceptan de forma previa, que no pueda sorprendernos ninguna situación posterior desconocida. Además, una vez finalizado un proceso de compra, la empresa deberá notificar mediante correo electrónico al usuario la confirmación de la compra y su valor. Y no queda ahí, además nuestra tarea posterior será la comprobación en el banco para verificar que el importe cargado es el correcto.

Actualmente existen muchas certificaciones válidas expedidas por diferentes agentes que puedan disponer el comercio online, como puedan ser Trust-e, Confianza Online o Verisign; que garantizan en un primer momento la confianza del sitio web. No obstante, debemos siempre ser cautos y prestar la mayor diligencia posible en el proceso, ya que el desarrollo de la tecnología no permite siempre que pueda ser utilizada de forma segura; y menos cuando hay dinero de por medio.

Iván Ontañón Ramos

Consultor en Áudea Seguridad de la Información.

 

01Ene/14

Marco legal en la seguridad de la información

Marco legal en la seguridad de la información

La seguridad de la información es un concepto que abarca un conjunto de normas, que en muchas ocasiones de forma voluntaria, se adhiere una organización con el fin de mejorar los procesos y garantizar un mayor nivel de protección, minimizando y conociendo los riesgos con los que se puede encontrar.

No obstante, existen diferentes leyes que de una forma u otra, complementan el concepto general de seguridad, además de tratarse de normas de obligado cumplimiento. Van desde la conocida ley de protección de datos o ley de acceso electrónico a los servicios públicos, hasta diferentes regulaciones sectoriales que pueden afectar a diferentes ámbitos de negocio. De esta forma vamos a repasar de forma general aquellas normas que debe considerar cualquier organización:

La normativa española en materia de protección de datos se establece en la Ley Orgánica 15/1999, y viene regulada por el Real Decreto 1720/2007, cuyo objetivo es plantear un marco de actuación en la empresa en torno a garantizar y proteger el tratamiento de datos personales, estableciendo una serie de medidas de seguridad tanto para ficheros automatizados, como en papel.

De forma complementaria a esta normativa, y compartiendo un mismo órgano regulador (la Agencia Española de Protección de Datos), se establece la Ley 34/2002, de servicios de la sociedad de la información y comercio electrónico. Su objeto es la regulación de las obligaciones de los prestadores de servicios en Internet, como por ejemplo la obligatoriedad de disponer de un Aviso Legal, así como la regulación de las comunicaciones comerciales por vía electrónica.

El Real Decreto 1/1996 establece la correspondencia de una obra con su autor, a través de una serie de derechos morales y de explotación con objeto de proteger el conocimiento. La propiedad intelectual tiene como relevante en el ámbito de la seguridad la obligación de contar con software original en la organización, ya sea propietario o libre, a través de una licencia de uso.

Aunque en la mayoría de las legislaciones internacionales se tratan de forma conjunta, la legislación española separa la propiedad industrial de la intelectual, regulándose a través de la Ley 17/2001 y cuyo fin es velar por los derechos sobre marcas y nombres comerciales. El organismo que se encarga de velar por esta norma es la Oficina de Patentes y Marcas, cuyo registro, de consulta pública, garantiza su eficacia.

Con el objeto de garantizar a todos los ciudadanos un servicio mínimo común en cuanto a condiciones de igualdad y precio, se aprobó la Ley 32/2003 General de Telecomunicaciones. Igualmente tiene como objeto esta normativa fomentar la competencia, promover el desarrollo del sector, gestionar el uso de los recursos en este ámbito y promover un mercado común europeo.

La firma electrónica en nuestro país se regula por la Ley 59/2003, cuyo fin es garantizar su eficacia jurídica y la prestación de servicios de certificación. De esta forma la firma electrónica adquiere un mismo valor que la firma manuscrita y su utilización debe quedar debidamente controlada, siendo un medio de identificación real cuya aplicación puede extenderse actualmente a la mayoría de las gestiones.

El reconocimiento del derecho de los ciudadanos a relacionarse electrónicamente con las administraciones públicas nace con la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos, que permite (o permitirá) poder realizar los trámites y gestiones desde cualquier lugar y en cualquier momento, agilizando los trámites burocráticos en España. Todo ello bajo una política de seguridad que deben garantizar las administraciones públicas, constituido por un conjunto de principios y requisitos técnicos a través del Esquema Nacional de Seguridad (Real Decreto 3/2010).

La disposición de estas normas permite cubrir aspectos que de otra forma muchas organizaciones no establecerían como políticas y procedimientos en su rutina diaria. El actual régimen jurídico en torno a la seguridad de la información es uno de sus pilares básicos, permitiendo a las empresas y administraciones públicas a través de su cumplimiento dar cabida a los requisitos mínimos en materia de confidencialidad, integridad y disponibilidad en la gestión de la información.

01Ene/14

Precaución con las Comunicaciones Comerciales

Precaución con las Comunicaciones Comerciales

Rápido, barato, cómodo y sencillo. Las comunicaciones por vía electrónica han revolucionado claramente nuestra forma de entender las cosas. No obstante, la Ley de Servicios de la Sociedad de la Información prohíbe el envío de dichas comunicaciones comerciales sin un consentimiento previo; tratándose de una de las cuestiones más planteadas por las empresas a la hora de analizar dicha normativa, sobre la definición y alcance exacto del concepto.

A pesar de la ambigüedad que crea en muchas ocasiones, la LSSI prohíbe expresamente «el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas»; a no ser que la empresa «haya obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que fueron objeto de contratación». Únicamente de esta forma se podría enviar comunicaciones comerciales a vuestros clientes sin su consentimiento, siempre que exista una relación previa y que el contenido de las mismas esté enfocado a los servicios inicialmente contratados.

La Ley dispone que comunicación comercial sería «toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional».

De esta forma, podríamos decir que toda acción que tenga como objeto promocionar, persuadir o comunicar tendría la consideración de comunicación comercial, aunque no es un concepto claro en todas las ocasiones; como pueda ser con el envío de dichas comunicaciones por parte de entidades sin ánimo de lucro, para invitaciones a actos o simplemente felicitaciones en fechas señaladas (en todos los casos, existen sanciones por parte de la Agencia Española de Protección de Datos por el mismo motivo, no contar con su consentimiento previo).

Además, otro problema de interpretación puede venir con lo que puede entenderse como «promoción indirecta», un concepto amplio que podemos afirmar que hace consideración a la legalidad en el intercambio de enlaces o banners que puede resultar de la colaboración publicitaria entre empresas, pudiendo incluir contenidos ajenos en las comunicaciones autorizadas con clientes o terceros.

En este sentido, la Agencia Española de Protección de Datos ha venido sancionando aquellos supuestos en los que la empresa ha ideado algún sistema de enviar correos comerciales omitiendo las exigencias de la LSSI (disponer de un consentimiento previo e informado, o la existencia previa de una relación contractual). De esta forma, se han podido conocer sanciones por métodos como «envía a un amigo», por lo que una persona reenvía un correo comercial que desea enviar la empresa.

Para agravar el asunto sobre la materia, esta conducta es particularmente grave cuando se realiza de forma masiva, siendo conocida con el anglicismo SPAM. El bajo coste, el anonimato, la velocidad y las posibilidades que ofrece ha permito el crecimiento de esta forma abusiva. Por tanto, para poder enviar de forma segura mensajes publicitarios o promocionales, deberá haberse solicitado o autorizado expresamente por los destinatarios de los mismos, salvo que exista una relación contractual previa. Incumplir este precepto podría constituir una infracción leve o grave de la LSSI, con multas de hasta 150.000 euros.

Iván Ontañón Ramos

Departamento Derecho TIC

Áudea Seguridad de la Información

www.audea.com