De las decisiones dictadas durante el mes pasado cabe destacar la de decisión por el dominio “autobiz.es”, uesto que las demás claramente son casos de ciberocupación de marcas notorias y reconocidas (lego, ebay) o “typosquattings“de dominios de administraciones públicas como la “Agencia Tributaria”.

En cuanto al dominio “autobiz.es” resulta relevante la decisión del experto para rechazar la demanda por 2 motivos principalmente:

1. El dominio se registró antes que la marca internacional del demandante: En relación con el tercero de los requisitos establecidos en el Reglamento y en la Política, el Experto ha analizado, a partir de las pruebas documentales presentadas por el Demandante y el Demandado, si pese a que el nombre de dominio en disputa fue inscrito antes de que se produjera la inscripción registral de la marca internacional núm 1.008.662 a favor del Demandante, aquella inscripción pudiera haber sido hecha con una finalidad especulativa o abusiva a fin de impedir al Demandante el registro y posterior uso del nombre de dominio en disputa, dicho en los términos previstos en el Reglamento “…”  el Experto considera que no hay base para concluir que el Demandado, en el momento de registro del nombre de dominio en disputa, tuviera conocimiento o en mente la actividad comercial del Demandante o su marca internacional núm. 1.008.662, o que pudiera asociar directa y evidentemente el término “autobiz” al Demandante
2. Otras entidades utilizan también el mismo término: En segundo término, el Demandado ha demostrado que el término “Autobiz” no es ciertamente característico del Demandante o asociable indiscutiblemente a su persona, sino que, más bien, se trata de un término también utilizado por otras empresas distintas del Demandante sin que por éste se haya puesto en tela de juicio aquel uso como contrario al derecho de marca del Demandante o infractor del mismo. En este sentido, el Experto entiende que no ha resultado probado con un mínimo de razonable probabilidad que, en el momento del registro y/o uso del nombre de dominio en disputa, el Demandado tuviera en mente al Demandante y no a cualquiera de esas otras empresas que, legalmente (salvo que se demuestre lo contrario), operan bajo la denominación “Autobiz”.

Asimismo, durante el mes de Enero de 2012 se han abierto los siguientes procedimientos de los que daremos cuenta en posteriores entradas del blog:

El caso sobre el dominio “nhhotels.es” ha sido el primero de este reciente comenzado 2012, veremos cómo se van desarrollando los acontecimientos en el mundo de los nombres de dominio. Este año se espera apasionante con la aparición de los nuevos GTLDs.

Una resolución de la AEPD de fecha 11 de octubre de 2011 sanciona con 2000 Euros por infracción grave en materia de protección de datos a un particular que sin consentimiento (o más bien con un consentimiento “oral” que no ha podido probar) da de alta a un tercero y realiza contrataciones en diferentes webs (como bien comenta Samuel Parra ya existe alguna otra resolución de la AEPD sobre el alta sin consentimiento en listas de distribución):

Tal y como consta en la documentación remitida a la Agencia por D. A.A.A. (en lo sucesivo el denunciado), en respuesta al requerimiento de información remitido desde esta Subdirección de Inspección a Dña. C.C.C., en fechas de registro 12 y 29 de abril de 2011, D. A.A.A. manifiesta que él mismo realizó sin consentimiento el registro de datos del denunciante en las web’s www.elbebe.com, www.venca.es, www.oropostal.es y www.laredoute.es.

¿Puede la AEPD entrar a investigar y sancionar este tipo de actuaciones?. La AEPD entiende que sí, porque el denunciado realiza un tratamiento de datos conforme a la normativa de protección de datos de carácter personal, basándose, como no, en la ya celebérrima sentencia Lindqvist:

Así lo ponen de manifiesto su apartado 20 en el que se hace referencia a la observación formulada por la Sra. Lindqvist la cual se limita al tratamiento de datos de una sola persona y los apartados 25 y 26 relativos al concepto de dato personal, considerando incluido en el mismo “toda información sobre una persona física identificada o identificable”, añadiendo que “este concepto incluye, sin duda, el nombre de una persona junto a su número de teléfono o a otra información relativa a sus condiciones de trabajo o a sus aficiones”. Así mismo establece la sentencia citada en su apartado 27 que: “Por tanto, procede responder a la primera cuestión que la conducta que consiste en hacer referencia, en una página web, a diversas personas y en identificarlas por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un tratamiento total o parcialmente automatizado de datos personales” en el sentido del artículo 3, apartado 1, de la Directiva 95/46.”

Por ello la AEPD entiende que existe un tratamiento de datos:

De acuerdo con la definición de tratamiento de datos personales, en el presente caso ha quedado acreditado el alta del denunciante en diversas web`s. Para dichas altas, se realizó un el tratamiento del nombre, apellido, fecha de nacimiento, teléfono y dirección del Centro de Enseñanza. Las citadas altas en las web`s, constituye un tratamiento de datos personales incluido en el ámbito de aplicación de la citada Ley Orgánica.

y que este tratamiento debe ser realizado contando con el consentimiento del afectado:

En conclusión, el tratamiento de datos personales del denunciante por el denunciado, requiere el consentimiento del titular de los mismos. Teniendo en cuenta que en el presente expediente no obra del denunciante nada más que su escrito de denuncia, debe considerarse incumplido el principio de consentimiento regulado en el artículo 6 de la LOPD.

Ciertas dudas nos podrían entrar sobre cómo se pudo comprobar quién era la persona que realizaba las altas y cómo se produjo esta investigación (por todo aquello ya comentado sobre la normativa de retención de datos de comunicaciones electrónicas para la investigación de delitos graves), pero tal y como se recoge en la resolución el procedimiento se abre tras la absolución al denunciado en un juicio de faltas por el mismo hecho y siendo el propio denunciado el que aporta la documentación en el procedimiento ante la AEPD.

¿Cabría la excepción establecida en el artículo 2.2.a de la LOPD para las actividades exclusivamente personales o domésticas? A mi juicio, cualquier cosa que un particular vaya a realizar en Internet con datos personales será un tratamiento de datos siguiendo la interpretación de la sentencia Linqvist, pero, como digo, a mi juicio, desvirtúa la concepción original de la normativa  que es aquella que pretende proteger a los ciudadanos del tratamiento de sus datos en ficheros que contengan datos de carácter personal. Ahora bien, seguro que los defensores de la misma se hablará del derecho fundamental y de la autodeterminación informativa, pero siendo conscientes que quizá este tipo de tratamientos entra más en otra esfera o más bien en otras competencias normativas y judiciales. Dicho esto, está claro que, como medida disuasoria (y para no llenar todavía más los juzgados, si cabe) duele más la multa pecuniaria que el susto penal.

Y una última pregunta  ¿por qué no se ha sancionado a las empresas en el procedimiento? Está claro que han hecho un tratamiento de datos sin consentimiento del titular y tampoco han cumplido con el principio de calidad de los datos.

De aquella “autodeterminación informativa” estos lodos.

Como digo, más que una verdadera revolución en cuanto a los cambios en su política y lo que le puede suponer al usuario de los servicios de Google, es la simplificación en su gestión y la supuesta claridad que ello le dará al usuario que sabrá realmente cuál es la política que aplica Google realmente. Anteriormente con tanta cantidad de políticas de privacidad y condiciones de uso era un verdadero problema saber qué ha aceptado en cada momento el usuario. Ahora, simplificándose las políticas, se sabrá más facilmente que se aceptó en su momento y qué rige en la actualidad. Por esto, es cierto que resulta una ventaja evidente al usuario, que anteriormente se encontraba desconcertado ante la maraña de avisos, condiciones y políticas en vigor según el servicio activado por el usuario.

Asimismo, una única política de privacidad (que entrará en vigor el 1 de marzo de 2012) para una gran cantidad de sus servicios nos permite comprobar ciertamente cómo Google (como ya lo venía haciendo) combina toda la información tanto para prestarnos “un mejor servicio”:

Es posible que combinemos los datos que nos proporciona el usuario a través de su cuenta con la información procedente de otros servicios de Google o de terceros para ofrecerle una óptima experiencia y mejorar la calidad de nuestros servicios. Para determinados servicios, podríamos ofrecerle la oportunidad de decidir si desea o no que realicemos dicha combinación de datos.

como para presentarnos una publicidad más detallada (gracias en parte también a las cookies, que recomendamos la lectura de cómo utiliza Google las mismas) según la experiencia del usuario:

Las cookies se utilizan para mejorar la calidad del servicio, incluidos el almacenamiento de las preferencias del usuario, la mejora de los resultados de búsqueda y de la selección de anuncios y el seguimiento de las tendencias del usuario como, por ejemplo, el tipo de búsquedas que realiza.

Más allá de la unificación de las políticas de privacidad en una sola  no existen cambios remarcables sobre la misma, a excepción quizá de la reseña que hace sobre el acuerdo de Safe Harbor y Suiza:

Google cumple con el programa programa Safe Harbor de Estados Unidos y Safe Harbor de Estados Unidos y Suiza, tal y como estipula el Departamento de Comercio de los EEEUU en relación con la recopilación, uso y retención de información personal de los países de la Unión Europea y Suiza. Google ha certificado que cumple con los principios de privacidad de Safe Harbor de notificación, elección, transferencia posterior, seguridad, integridad de los datos, acceso y aplicación. Para conocer mejor el programa Safe Harbor y ver la certificación de Google, recomendamos visitar el sitio web de Safe Harbor.

o la indefinición sobre donde realmente se procesa nuestra información que a efectos de protección de datos de carácter personal y transferencia internacional de datos puede ser relevante:

Google procesa la información personal en los servidores de los Estados Unidos de América y de otros países. En algunos casos, la información personal se procesa fuera del país del usuario.

Que todo cambie para que nada cambie.

La aventura iniciada el pasado mes de octubre en el Congreso Nacional de la Abogacía y basada en la Declaración de Cadiz ha dado un paso decisivo y sin vuelta a atrás con la firma, el pasado viernes 27 de enero de 2012, del acta de fundación de la Asociación Nacional de Abogados TIC denominada ENATIC. La reunión celebrada en el Consejo General de la Abogacía Española reunió al mayor número de abogados de la especialidad pudiendo decirse que estaban prácticamente los mejores especialistas (Javier Ribas, al que de aquí agradezco especialmente su presencia en la situación personal que se encontraba, David Maeztu,  Andy Ramos, Francisco Perez Bes, Analore García, Ofelia Tejerina, Paloma Llaneza, Yago Abascal, Sergio Carrasco, Iban Diez y un largo y largo etc.) que ya dan mucho que hablar y que todavía darán mucho más en los años venideros. Como siempre, se echaron mucho de menos a algunos ilustres compañeros, pero seguro que se irán sumando en esta ambiciosa aventura.

Como miembro de la Junta de ENATIC no me queda más que agradecer a Rodolfo Tesone y a Pere Huguet el impulso que han dado para que ENATIC sea una realidad y a todos aquellos que han trabajado desde la retaguardia para que todo funcione. Nos queda por delante un gran trabajo que hacer por la profesión. Viejos valores con nuevas herramientas.

Toda la información sobre la asociación, áreas de trabajo, cómo asociarse y demás información relevante sobre la vida de ENATIC se irá publicando en la web de la misma.

Si te perdiste o no pudiste venir a la fundación de la asociación, tenemos que agradecer a Ignacio San Macario la grabacación del mismo que quedará para la posteridad

Larga vida a ENATIC!

Foto: LawyerPress

A modo de ejemplo, la Agencia Vasca de Protección de Datos  junto con el Departamento de Educación del Gobierno Vasco, ha puesto a disposición de profesores y alumnos una guía educativa para sensibilizar sobre la privacidad y la necesidad de proteger los datos personales en el mundo de las redes sociales, Internet y las telecomunicaciones.

¡Feliz día Europeo de la Protección de Datos!

1º Tal y como ya comenté en el caso de rojadirecta.com la sensación de justicia universal dictada por EEUU. No importa donde estén los dueños de la plataforma, el registro de los nombres de dominio así como los servidores, la acción del FBI y de la justicia de los EEUU no conoce fronteras.

2º Lo más interesante, es la forma en que, según la denuncia presentada, megaupload actuaba para no eliminar los archivos y así dar la apariencia de lucha contra la infracción de derechos de propiedad intelectual (o en nuestro caso y según nuestra propia normativa de la exención de responsabilidad si actuase de forma eficiente a la hora de eliminar archivos cuando se le hubiese notificado de forma fehaciente sobre la ilicitud de los contenidos albergados), cuando realmente no efectuaba tales acciones. Según la denuncia presentada, cuando un usuario subía un contenido a megaupload (y retribuyendo al usuario por subir contenidos), el sistema realmente lo que hacía era comprobar si dentro del propio sistema se encontraba este archivo que tenía de por si una URL específica, para en caso afirmativo, dotarle al usuario de otra URL. Por ello, en el caso que los titulares de los derechos de propiedad intelectual comunicasen a megaupload las URLs de los archivos a eliminar, lo que realmente realizaba el sistema era la eliminación de los indicadores pero no del archivo original.

When a file is being uploaded to Megaupload.com, the Conspiracy’s automated system calculates a unique identifier for the file (called a “MD5 hash”) that is generated using a mathematical algorithm. If, after the MD5 hash calculation, the system determines that the uploading file already exists on a server controlled by the Mega Conspiracy, Megaupload.com does not reproduce a second copy of the file on that server. Instead, the system provides a new and unique URL link to the new user that is pointed to the original file already present on the server. If there is more than one URL link to a file, then any attempt by the copyright holder to terminate access to the file using the Abuse Tool or other DMCA takedown request will fail because the additional access links will continue to be available.

3º ¿Qué sucederá con todos aquellos usuarios que, de buena fe, hubiesen contratado el servicio premium con megaupload y hayan depositado contenidos lícitos en sus servidores? No quedará más remedio que reclamar a la empresa y siempre teniendo claro los TOS (terms of service) que en su momento se aceptaron.

10 años después tenemos otro caso “napster” al que seguir con muchísimo interés.

En su primera edición resultaron ganadores como mejor blog: El blog de Sevach en http://www.contencioso.es y correspondiendo a Miquel Peguera el del mejor post por: Atipicidad de los enlaces.

La mecánica para la elección del mejor blog y post jurídico es la misma que la edición anterior, centrándose la elección de las candidaturas en el blog de la asociación, para posteriormente elevar los 5 más votados a un jurado formado por personas de reconocido prestigio. El plazo de proposición de candidaturas finaliza el próximo 31 de enero de 2011.

Toda la información del premio así como las bases completas de la convocatoria se encuentran publicadas en el blog de la asociación.