Iurismatica - Derecho TICs

Siendo repetitivo, esta semana ha sido larga. Mañana tengo que moderar un debate en la Universidad de San Diego, California ( y no, no se me esta subiendo a la cabeza ) y no sabia lo complicado que era la persecucion de los conferenciastas para averiguar de que van a hablar. Han sido muchos correos y pocas respuestas.

Es decir, que el acceso a la informacion ha sido singularmente dificil. Sin embargo, en breve, poder obtener la informacion genetica de una persona va a resultar singularmente mas facil en Estados Unidos:

The US government will begin collecting DNA samples from every person arrested under federal laws, a Department of Justice spokesman said Wednesday. Federal agencies are authorized to collect DNA samples under a 2006 amendment to the Violence Against Women Act, but previously had only collected DNA from people actually convicted of federal crimes. About 1.2 million additional people could be added to the FBI’s Combined DNA Indexing System (CODIS) every year under the expansion, although people who are not convicted can request the destruction of their DNA samples. Supporters of the new measures say the expanded database will help prevent crime, but civil rights groups have expressed privacy concerns. The law will soon be published in the Federal Register and will then be subject to a 30-day comment period.

Para los que no hablen ingles, dice que en cuanto te detengan,  pueden ( y lo haran) tomar muestras de ADN e introducirlo a un sistema CODIS  ( si, estimados frikis, como en CSI) .  La ley no preve plazo de retencion, pero podras ejercer tu derecho de cancelacion 30 dias despues de que te declaren inocente. Se estima que tomaran 1.2 Millones de muestras , lo cual ciertamente no es mucho, por ahora.

En la epoca de las celulas madres, la clonacion y la ingenieria genetica, no son pocos los que han escrito o filmado sobre el tema.

Un banco de informacion asi, da pie a muchas cuestiones. Claramente es un Banco de Datos de Caracter Personal ( identifican a la persona, sin animo de duda, salvo que estuvieran disgregados) y ademas, una informacion que, entre otros y particularmente en EE.UU. las compañias de seguros estarian encantadas de conseguir.

En las publicaciones clasicas, se comentaba que, a grandes rasgos, el ADN que se empleaba para identificacion era en mal llamado ADN Basura y que era inofensivo a efectos de conseguir informacion sobre la persona. Sin embargo, esto esta cambiando y podemos afirmar, que de basura nada de nada.

Hay que insistir de nuevo, sobre los lineamientos de la OCDE…

Entra en vigor nuestro “querido” Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal. Con este motivo, la Agencia ha organizado el martes una sesión abierta donde explicará y responderá a las preguntas de los asistentes (1900, según la propia Agencia). ¡Allí nos veremos!

La Agencia Española de Protección de Datos considera infracción, en este caso leve, una situación que seguramente hayamos observado en muchísimas webs de internet, que no es otra de encontrar la casilla “recomienda a un amigo”. Esta fómula mediante la cuál una persona introduce el correo electrónico de otra para recibir información de la web es utilizada como forma de atraer de una forma fácil y sencilla usuarios a las webs. La Agencia establece en una resolución que puede ser considerada como contraria a la LSSI y por ello merecedora de sanción.

Lo curioso de la resolución es que aunque en el e-mail aparezca como remitido por “el amigo”, la Agencia se ha fijado en la IP desde la cuál se ha enviado realmente la comunicación para entender que, quien es responsable del envío, es el portal (la empresa que gestiona el portal) y como tal debe contar con el consentimiento previo de la persona que recibe el e-mail. No tiene en ningún caso en cuenta que se le de forma al que ha recibido de darse de baja ni que se cumplan con los demás requisitos exigidos por la LSSI, el simple hecho de no tener consentimiento ya es merecedor de la sanción. Pero, sigue sorprendiendo que la responsabilidad no sea de quien haya incluído el e-mail del “amigo” sino del responsable del portal donde se ofrece esta posibilidad y desde la cual (comprobada por la IP) se realiza el verdadero envío.

Me pregunto ¿sirve de algo la cláusula donde se obliga al usuario que introduce el e-mail del “amigo” de informar y contar con el consentimiento de la persona que va a recibir esa comunicación? Problema probatorio, pero claro… tal y como se ponen las cosas nada de web 2.0, redes sociales, etc. Matar el SPAM a cañonazos…

Estos días nos encontramos inmersos en la organización de Bazkaria, una jornada de networking empresarial donde intentamos reunir a profesionales y empresas del mundo de Internet y de las TICs en el País Vasco. El caso es que tras la publicación del Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre y el posterior Informe de la Agencia Española de Protección de Datos sobre el ámbito de aplicación a empresarios individuales y personas de contacto, podemos pensar que la base de datos de personas inscritas a una jornada como Bazkaria no tiene que cumplir con la normativa de protección de datos de carácter personal.

Las jornadas de networking pretenden, como bien indica su nombre, realizar contactos empresariales con una finalidad claramente mercantil y según una relación “Bussines to bussines”. Como la propia Agencia indica la Agencia ha venido señalando que en los supuestos en que el tratamiento del dato de la persona de contacto es meramente accidental en relación con la finalidad del tratamiento, referida realmente a las personas jurídicas en las que el sujeto presta sus servicios, no resulta de aplicación lo dispuesto en la Ley Orgánica 15/1999, viniendo el Reglamento a plasmar este principio.

Ahondando más en la materia, observamos que la Agencia en su informe establece claramente 2 requisitos para fundamentar la falta de aplicación de la normativa de protección de datos a los datos de contacto de las empresas (así como para los propiso datos de los profesionales), dichos requisitos son:

1. Los datos tratados se limiten efectivamente a los meramente necesarios para identificar al sujeto en la persona jurídica a la que presta sus servicios: Nombre y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax profesionales.
2. La inclusión de los datos de la persona de contacto debe ser meramente accidental o incidental respecto de la verdadera finalidad perseguida por el tratamiento, que ha de residenciarse no en el sujeto, sino en la entidad en la que el mismo desarrolla su actividad o a la que aquél representa en sus relaciones con quienes tratan los datos.

Por todo ello, en una jornada de networking empresarial como Bazkaria, donde lo que se busca es mantener/crear relaciones comerciales entre empresas y profesionales, debemos entender que los datos allí recabados, siempre y cuando sean referidos a los datos de contacto meramente necesarios y referenciados a las empresas que representan, están fuera del ámbito de aplicación de la normativa de protección de datos de carácter personal, puesto que es claro que el tratamiento responde claramente a relaciones “bussines to bussines” y nunca a relaciones “bussines to consumer”.

Pakistan, el vecino amistoso de la India y paradigma máximo de la democracia, los Derechos Humanos y la Paz Social, aprobó ayer su ley contra la “cyber delincuencia” ( sea lo que sea eso) o Ley de Prevencion de Crimenes Electronicos.

La citada ley, castiga los delitos informaticos de forma “ejemplarizante” con penas entre 6 meses y la Pena de Muerte, en casos de “Cyber Terrorismo” . Ciertamente, castiga desde el SPAM hasta el no entregar los datos ( obligacion de retencion de 90 dias, ¿menor que en la UE!) por parte de los ISP.

Lo malo de este tipo de delitos y terminos ( terrorismo, o su variante “cyberterrorismo”) es su indefinicion o su defectuosa tipicidad. Por ejemplo:

Any person, group or organization who, with terroristic intent utilizes, accesses or causes to be accessed a computer or computer network or electronic system or electronic device or by any available means, and thereby knowingly engages in or attempts to engage in a terroristic act commits the offence of cyber terrorism.”

Hasta aqui suena a nuestro delito de colaboracion con banda armada ( que no haria falta la variante “cyber”). Hasta que vemos la definicion de “intento Terrorista”:

i. altering by addition, deletion, or change or attempting to alter information that may result in the imminent injury, sickness, or death to any segment of the population;

ii. transmission or attempted transmission o a harmful program with the purpose of substantially disrupting or disabling any computer network operated by the Government or any public entity;

iii. aiding the commission of or attempting to aid the commission of an act of violence against the sovereignty of Pakistan, whether or not the commission of such act of violence is actually completed; or

iv. stealing or copying, or attempting to steal or copy, or secure classified information or data necessary to manufacture any form of chemical, biological or nuclear weapon, or any other weapon of mass destruction.

¡En esa definición, entra cualquier cosa!. ¿Lo mejor? esta copiada de otra cierta ley…Ojo, que hay varios paises sudamericanos con leyes similares ( y similarmente igual de mal hechas) a punto de salir…