Iurismatica - Derecho TICs

Hoy el BOE publica: Orden PRE/1743/2008, de 18 de junio, por la que se establece la relación de equipos, aparatos y soportes materiales sujetos al pago de la compensación equitativa por copia privada, las cantidades aplicables a cada uno de ellos y la distribución entre las diferentes modalidades de reproducción. Es decir, el famoso canon.

Puesto que hoy estamos en la VII Comisión de Registradores de Dominios organizada por la Entidad Pública Empresarial Red.es espero que podamos hablar, aunque sea un poco, sobre el tema y sobre lo que piensan de la forma que se impulsa la sociedad de la información con estas medidas.

Sólo una palabra: indignante. Y como no puedo mejorar lo dicho por David, me sumo a todas sus palabras.

La Comisión Europea con fecha 25 de marzo de 2008 aprobó una decisión mediante la cuál se crea el grupo de expertos “Plataforma para la conservación de datos electrónicos con fines de investigación, detección y enjuiciamiento de los delitos graves”. Este grupo de expertos formado por un grupo de 25 miembros y creado por la Comisión, trabajará como grupo consultivo facilitando el intercambio de buenas prácticas y contribuirá a la evaluación de los costos y eficacia de la Directiva 2006/24/CE, así como del desarrollo de las tecnologías pertinentes que pueden afectar a la Directiva. Las tareas del grupo serán:

1. Constituir un foro de diálogo y de intercambio de experiencias y buenas prácticas, sobre las cuestiones relacionadas con la conservación de datos personales por los proveedores de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones con el fin de garantizar que los datos estén disponibles con fines de investigación, detección o enjuiciamiento de los delitos graves.
2. Fomentar y facilitar una orientación común sobre la aplicación de la Directiva.
3. Intercambiar información sobre los progresos tecnológicos pertinentes, los costes y la eficacia de la aplicación de la Directiva.
4. Ayudar a la Comisión a identificar y definir las dificultades que les hayan surgido a los Estados miembros en relación con la aplicación técnica y práctica de la Directiva, en especial su aplicación al correo electrónico y a los datos de telefonía por Internet.
5. Ayudar a la Comisión en su evaluación de la aplicación de la Directiva de conservación de datos y de su impacto en los operadores económicos y los consumidores.

El grupo de expertos estará formado, entre otros por:

1. Miembros del Parlamento Europeo.
2. Autoridades responsables de la aplicación de la Ley en los Estados Miembros.
3. Asociaciones de la industria de las comunicaciones electrónicas.
4. Representantes de las autoridades responsables de protección de datos.
5. Supervisor Europeo de Protección de Datos, etc.

Espero que esta Plataforma sirva realmente para aclarar los términos tanto de la Directiva como de la Ley de conservación de datos y no generar más dudas que las que actualmente tienen los ISPs ante los datos que deben conservar.

Son muchas las veces que se nos pregunta sobre la forma de actuar ante los agujeros de seguridad, siempre desde la posición del usuario de Internet que navegando por alguna web, observando el código fuente detecta un grave agujero de seguridad que nos da acceso a la base de datos de la empresa, a los datos de los usuarios registrados o cualquier información que, se supone, que el responsable de la página web, haya querido mantener en “secreto”. (Dejando de lado que la mayor máxima que puede haber en seguridad es que si no quieres que se revele mejor no decírselo a nadie, o llevado al mundo de Internet, si quieres proteger algo realmente mejor que no esté conectado a Internet). ¿se pueden publicar esos agujeros de seguridad? ¿podemos revelar lo que hemos descubierto? ¿qué podemos hacer?. Quizá la respuesta la de la conciencia de cada uno, desde los que informan al responsable del portal, los que directamente lo denuncian o los que lo publican. Veamos que dice la legislación:

Si acudimos al Código Penal, su artículo 197, establece que:

2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

Como observamos el Código Penal ya está castigando el simple acceso sin autorización a datos de carácter personal, así que la primera recomendación que podemos realizar es que lo mejor que se peude hacer es no ir más allá, es decir, no profundizar más en el agujero de seguridad observado que nos permite acceder a la base de datos de usuarios. Por supuesto, NO PUBLICARLOS en Internet puesto que el mismo artículo va más allá y castiga la revelación de los datos:

3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.

Quizá en este caso el juzgado archive el caso, pero aún y todo también tendrá que tener en cuenta la normativa de protección de datos, puesto que como publica Samuel Parra, la AGPD ha sancionado con 300.000 Euros a un particular que publicó datos en Internet (en este caso, como bien apunta David Maeztu, no se dice de donde se sacaron los datos, detalle que considero importante).

Por lo que puede parecer el que descubre el agujero de seguridad tiene mucho que perder, y ¿el responsable del portal? El responsable del portal debe tener en cuenta la normativa de protección de datos de carácter personal que establece como principio la seguridad de los datos en su artículo 9:

1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Pudiéndose sancionar como infracción grave:

d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.

Es decir, al responsable del portal como responsable (o encargado) del fichero podrá ser sancionado con una multa de 60.000 Euros como mínimo.

Actualización: La Agencia de Protección de Datos acaba de publicar una resolución sobre lo comentado: Sanciona con 60.010 Euros a Telefónica de España (antigua TERRA) por infracción del principio de seguridad.

A través del blog de Rafa Larreina (parlamentario vasco perteneciente a Eusko Alkartasuna) me entero de la aprobación ayer en el Parlamento Vasco (por 64 votos a favor y ninguno en contra) de una proposición no de Ley del Parlamento para instar al Gobierno a la modificación de la normativa de propiedad intelectual en general y la reforma del canon digital en particular. De la transcripción del debate a continuación extraemos la declaración conjunta aprobada donde se hace especial mención al copyleft.

“1. El Parlamento Vasco defiende el derecho a la propiedad intelectual y el control real de su obra por parte de los autores y manifiesta la legitimidad de la protección pública de dichos derechos y se reafirma en su compromiso con la cultura.
“2. El Parlamento Vasco apoya también a los autores y proveedores de los contenidos libres de derecho, dominio público, Copy Left, etcétera, y defiende el derecho de todos los usuarios al acceso a dichos contenidos soportar ningún tipo de gravamen o canon.
“3. El Parlamento Vasco insta al Gobierno central a modificar la actual regulación a fin de explorar nuevas fórmulas que garanticen el legítimo derecho de los actores a una retribución justa que sean acordes con las
nuevas tecnologías de la información, con los nuevos hábitos del uso de los ciudadanos y que contribuyan al desarrollo de la información y del conocimiento y la defensa de los consumidores.
“4. En consecuencia, el Parlamento Vasco insta al Gobierno central a que impulse la reforma de la directiva 2001/92 en consonancia con los nuevos hábitos de consumo cultural, de modo que coexistan equilibradamente los derechos de propiedad de los creadores de contenidos e industrias culturales junto con los de los usuarios y consumidores.”

Este tipo de proposiciones demuestran que los partidos políticos tienen conciencia que el sistema debe ser revisado, sin embargo, ¿qué sucede cuando realmente deben tomar dichas medidas? Además, me parece curioso que, por una parte el propio parlamento vasco esté en contra del canon digital y a favor del copyleft, cuando hace no mucho tiempo el propio Gobierno Vasco dijo no al software libre…

Hoy el Boletín Oficial del Estado publica el Real Decreto 181/2008,de 8 de febrero de ordenación del Boletín Oficial del Estado, mediante el cuál y en cumplimiento de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos que dispone que la publicación electrónica de los boletines o diarios oficiales tendrá carácter oficial y auténtico en las condiciones y garantías que se determinen reglamentariamente, derivándose de dicha publicación los efectos previstos en el título preliminar del Código Civil y en las restantes normas aplicables.

Asimismo el Real Decreto establece que las características de la publicación electrónica del BOE:

- Deberá incorporar firma electrónica avanzada como garantía de la autenticidad, integridad e inalterabilidad de su contenido.

- Los ciudadanos podrán verificar el cumplimiento de estas exigencias mediante aplicaciones estándar o, en su caso, mediante las herramientas informáticas que proporcione la sede electrónica de la Agencia Estatal Boletín Oficial del Estado.

Asimismo corresponde a la Agencia Estatal Boletín Oficial del Estado:

a) garantizar la autenticidad, integridad e inalterabilidad del diario oficial que se publique en su sede electrónica.

b) custodiar y conservar la edición electrónica del diario oficial del Estado

c) velar por la accesibilidad de la edición electrónica del diario oficial del Estado y su permanente adaptación
al progreso tecnológico.

Sin embargo, no desaparecerá la versióon impresa del BOE puesto que el Real Decreto declara su continuidad para:

a) asegurar la publicación del «Boletín Oficial del Estado» cuando por una situación extraordinaria y por motivos de carácter técnico no resulte posible acceder a su edición electrónica;

b) garantizar la conservación y permanencia del diario oficial del Estado y su continuidad como parte del patrimonio documental impreso de la Administración General del Estado.