www.delitosinformaticos.com

El pasado 23 de Junio se publicó en el BOE la Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, que entrará en vigor a los seis meses desde su publicación (23 de diciembre de 2010).

En relación a los delitos informáticos, se han modificado los siguientes artículos:

Artículo 197 C.P.: Descubrimiento y revelación de secretos
En el artículo 197 se introduce un nuevo apartado 3, pasando los actuales apartados 3, 4, 5 y 6 a ser los apartados 4, 5, 6 y 7, y se añade un apartado 8, con la siguiente redacción:
«3. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.
Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en este artículo, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33.
[…]
8. Si los hechos descritos en los apartados anteriores se cometiesen en el seno de una organización o grupo criminales, se aplicarán respectivamente las penas superiores en grado.»

Hasta ahora, el código penal no había previsto las modalidades comisivas consistentes en el uso de las tecnologías de la información para invadir la intimidad de las personas o para violar, acceder o descubrir sus secretos.

Es el llamado “mero acceso no consentido”, conocido como hacking directo (acceso indebido o no autorizado con el único ánimo de vulnerar el password sin ánimo delictivo adicional).

Con esta reforma, se castigara a quien acceda a un sistema informático de manera inconsentida, independientemente de si lleva a cabo algún tipo de daño en el sistema o algún perjuicio al propietario del equipo.´

Artículo 248 C.P: Delito de estafa
Se modifica el artículo 248, que queda redactado como sigue:
«1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.
2. También se consideran reos de estafa:
a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.
b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo.
c) Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero.»

Artículo 264 C.P. Delito de daños
Se modifica el artículo 264, que queda redactado como sigue:
«1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años.
2. El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años.
3. Se impondrán las penas superiores en grado a las respectivamente señaladas en los dos apartados anteriores y, en todo caso, la pena de multa del tanto al décuplo del perjuicio ocasionado, cuando en las conductas descritas concurra alguna de las siguientes circunstancias:
1.º Se hubiese cometido en el marco de una organización criminal.
2.º Haya ocasionado daños de especial gravedad o afectado a los intereses generales.
4. Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en este artículo, se le impondrán las siguientes penas:
a) Multa del doble al cuádruple del perjuicio causado, si el delito cometido por la persona física tiene prevista una pena de prisión de más de dos años.
b) Multa del doble al triple del perjuicio causado, en el resto de los casos.

Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33.»

El Ministerio de Justicia, ha publicado un resumen general de las modificaciones introducidas en el código penal, el cual puede descargarse en el siguiente enlace http://www2.mjusticia.es/cs/Satellite/es/1215197775106/Medios/1215327152743/Detalle.html

Numerosas empresas españolas ya han tenido que enfrentarse a una multa impuesta por la APD de entre 600 y 3.000 euros por revelar datos privados de sus clientes o de personas que les habían facilitado su email con fines informativos.

Es muy habitual enviar emails a varios destinatarios, incluyendo sus direcciones de correo en el apartado “PARA” de nuestro gestor de correo, de manera que todos los destinatarios saben a que personas se les ha enviado dicho correo, lo cual, en principio no tendría por que suponer un problema para los mismos. Sin embargo, pensemos en una empresa que envía un email rechazando las aspiraciones de posibles candidatos a optar a un puesto de trabajo, en este caso, la persona rechazada e incluida en este correo electrónico podría incomodarse por el hecho de que el resto de candidatos conozcan que ha solicitado dicho empleo, su cuenta de correo y además, que ha sido rechazado.

Introduciendo los correos electrónicos en el campo de copia oculta (CCO en español y BCC si se utiliza un programa en inglés) se evita que los destinatarios sepan a quien se ha enviado el mensaje, mientras que las direcciones incluidas en los campos para y CC son visibles para todas las personas que reciban el e-mail.

Para: que es a quien va dirigido el correo
CC: (Con Copia), que es a quien se envía una copia de correo
CCO o BCC: (Con Copia Oculta) que es a quien se envía una copia de correo.

Empresas como la inmobiliaria Sánchez Romero  o la empresa de recursos humanos Human Management ya han sido sancionadas por la APD al entender esta que con esta forma de enviar correos electrónicos se vulnera el "deber de secreto" contemplado en el artículo 10 de la Ley Orgánica.

La compañía aérea Spanair ha lanzado una promoción por la cual ofrecía a sus clientes un viaje gratis por cada tres que hubiera realizado con su compañía.

Sin embargo, el pasado dia 7 de Julio, Spanair publicó un comunicado urgente en el que informaba a todos sus usuarios de la existencia de un ataque de phishing, con el siguiente texto:

Si recibís un email con un remitente promocion@spanair.com, asunto “Billete promoción: FW: felicidades has ganado un billete de Spanair por ser cliente de Spanair, que tiene el aspecto que os adjuntamos y os remite a esta web http://spanair-promo.com.web.es-es.greenhouse.cl/.%20/.es-promo/fare.action.php , por favor, no deis vuestros datos se trata de phishing. Para los que no sabéis que es el phishing os informamos de que es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito…Para luego ser usados de forma fraudulenta. Estamos trabajando para solucionar el problema con la mayor celeridad. Nuestra web funciona con total normalidad. ¡Muchas gracias por vuestra comprensión!¡ Seguiremos informando sobre el tema!

De nuevo e-mails de suplantación. El tema es el mismo de la semana pasada, la única diferencia es que esta vez viene de direcciones diferentes: la página es esta: http://web3.adams-hosting.net/.%20%20/ y os remite a esta web http://spanair-promo.com.web.es-es.unitel.tv.bo/.%20%20/.es/index.htm.
Por favor, no deis vuestros datos. De nuevo se trata de phishing. Para los que no sabéis que es el phishing os informamos de que es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito para luego ser usados de forma fraudulenta. Ya hemos tomado las medidas oportunas.
IMPORTANTE: os recordamos que nuestra página web donde podéis comprar billetes de forma absolutamente segura funciona con total normalidad. www.spanair.com

Abogados Portaley, viene informando a través de nuestra web www.delitosinformativos.com de esta modalidad delictiva, http://www.delitosinformaticos.com/?s=phishing, por lo que si considera que ha sido víctima de este delito, puede contactar con nosotros y le asesoraremos.

Desde el año 1992, fecha en la que entró en vigor la derogada LORTAD, es obligatorio que todas las empresas privadas y públicas españolas se adecuen a la normativa reguladora de protección de datos de carácter personal.

Se trata de una obligación legal cuyo incumplimiento acarrea graves sanciones económicas que podrían llevar al cierre a muchas empresas en el caso de ser sancionadas. Y es que la sanción no depende del tamaño de la empresa, sino del precepto vulnerado, de manera que es posible que un pequeño laboratorio dental, que puede tratar datos personales de nivel alto de protección, sea sancionado con una multa de hasta 600.000 euros, lo cual, evidentemente, supondría la ruina del negocio.

Sin embargo, no solo es obligatorio cumplir con la normativa, sino  recomendable de cara a captar y fidelizar clientes, ya que vivimos en la sociedad de la información, donde esta, circula libremente y la mayoría de las veces sin control, por lo que se hace necesario establecer unos filtros tanto personales e individuales, a la hora de comunicar nuestros datos personales a terceros, como institucionales y empresariales, para delimitar y vigilar el uso que estos agentes hacen de nuestros datos.

Muchas empresas no se adecuan a la normativa porque o bien desconocen su existencia, lo cual cada vez ocurre menos, o no desean hacerlo por considerar que la inversión a realizar no revierte en un resultado traducido o valorado en términos económicos, lo cual les lleva a correr el riesgo de continuar con su actividad sin aplicar la normativa a los datos personales tratados.

Entre las entidades privadas andaluzas sancionadas (con multas que van desde los 600 a los 420.000 euros) se encuentran agencias de viajes, federaciones y clubes deportivos, empresas de moda y complementos, agencias inmobiliarias, comunidades de propietarios, empresas informáticas, ópticas, hoteles y empresas de telecomunicaciones, ubicadas en Málaga, sancionada con 8 empresas, Sevilla con 4, Jaén con 3, Almería con 2, y Granada y Cádiz con 1.

Desde Abogados Portaley recomendamos a todas las empresas, sea cual fuera su actividad, que se adecuen a la normativa de protección de datos. Nuestro despacho ofrece este servicio a medida, de modo que nuestro presupuesto se adecuan a las características y posibilidades de cada empresa. Pídanos un presupuesto y se lo ofreceremos sin compromiso.

Se trataba de una red internacional con una estructura muy compleja, cuyos miembros cambiaban de país continuamente para evitar ser detectados y detenidos.

La operación policial se ha desarrollado en cuatro fases, y ha permitido la detención de 178 personas en 12 países: 76 detenidos en España, Francia (30 detenidos), Rumanía (16), Alemania (16), Irlanda (12), Estados Unidos (8), Italia (7), Hungría (4), Finlandia (3), Australia (2), Suecia (2) y Grecia (2).

Las investigaciones contra el grupo criminal se iniciaron en Valencia, donde los agentes detectaron las actividades de varias personas dedicadas a la falsificación de tarjetas bancarias con las que realizaban reintegros en cajeros automáticos. La operación en España la ha llevado a cabo la Unidad de Delincuencia Especializada y Violenta de la Comisaría General de la Policía Judicial en colaboración con la Jefatura Superior de Policía de Valencia. En la investigación también han participado el Juzgado de Instrucción número 5 de la Audiencia Nacional y la Fiscalía.

Funcionamiento de la red

En cada país se organizaba una pequeña cédula de la organización, que se encargaba de llevar a cabo las clonaciones de las tarjetas para posteriormente sacar dinero de los cajeros automáticos o hacer compras en diversos comercios. Se estima que en conjunto podrían haber obtenido unos beneficios superiores a los 20 millones de euros.

Además, llevaban a cabo robos con fuerza, estafas, extorsiones, explotación sexual y blanqueo de capitales.

La falsificación de tarjetas de crédito (carding) esta regulado en nuestro código penal en los artículos 386 y ss., estableciendo por ello penas de 8 a 12 años de prisión y multa del tanto al décuplo del valor aparente de la moneda.. (…)

Uno de los bienes más preciados que tiene una sociedad es el progreso científico y tecnológico. Sin dudas, de un tiempo a esta parte, el avance tecnológico ha dominado la escena del mundo. Y la construcción de la gran madeja de comunicación e información en la que se transformó Internet pareciera ser la protagonista estelar de esta gran historia.

Tanto, que la revista Wired Italia lanzó a fines del pasado año el proyecto Internet for peace, con el único fin de postular a la red para el Nobel de la Paz 2010. La delirante idea, que fue apoyada por el diseñador italiano Giorgio Armani, el científico Humberto Veronesi, la activista y Nobel de Paz Shirin Ebadi y la empresas Sony Ericsson y las divisiones italianas de Microsoft y Vodafone, sostiene como argumento principal que Internet permite la construcción de un mundo pacífico.

Como es sabido, el progreso permitió el acceso al mundo aunque también trajo aparejado una sofisticación en el uso y abuso de las herramientas técnicas. Muchas de ellas fueron beneficiosas para las empresas y, otras tantas, fulminantes. Los fraudes, robos y sabotajes fueron lentamente ganando su espacio y alertando a las firmas sobre la necesidad de proteger su organización de la delincuencia informática.

A comienzos de este año se lanzó desde China el ataque más profesional y estratégico que haya vivido en la historia de la red. La Operación Aurora, como se la denominó, aprovechó vulnerabilidades para asestar su gran golpe, que persiguió un sólo destino: robar información. El operativo, puso en guardia a todas las empresas de software así como a las de aplicaciones de seguridad para cerrar las brechas y evitar el peligro de contaminar a millones de usuarios en todo el mundo.

Por su parte, el reciente estudio del gigante Symantec proporciona valiosos datos acerca del estado de la seguridad de la información en el ámbito empresarial a nivel mundial, con algunas particularidades del mercado latinoamericano. De acuerdo al reporte State of Enterprise Security 2010 el 75% de las empresas encuestadas manifestaron haber sufrido algún tipo de ataque informático en los 12 meses anteriores a la encuesta, cifra que alcanza el 49% cuando se analiza la región latinoamericana. Entre los blancos más recurrentes cabe destacar la sustracción de datos personales o de información sobre tarjetas de crédito de los clientes, como así también el robo de propiedad intelectual.

Los ciberataques, cada vez más frecuentes y más certeros, generan cuantiosas pérdidas económicas, afectando, adicionalmente, la productividad de las empresas, la confianza de los clientes y la reputación e imagen de la empresa en el mercado. Además, ponen de manifiesto la importancia de resguardar el know how, los secretos comerciales, la propiedad intelectual y las bases de datos de clientes, proveedores y empleados, que conforman una parte importante del capital de una empresa. Acaso su capital intangible.
    
Afortunadamente, existen recursos humanos y tecnológicos para hacer frente a los ciberataques. Pero, es importante que las empresas consideren que cuentan también con herramientas legales que les permiten prevenir el robo de información o reducir los daños provocados por la delincuencia informática. La seguridad de la información requiere de la coordinación de tres pilares básicos: lo humano, lo tecnológico y lo legal.

El Nobel parece demasiado si tenemos en cuenta que ese galardón recayó en manos de la Madre Teresa de Calcuta o Nelson Mandela. El espacio que se ha ganado Internet dentro de la historia es otro. El ahora es hoy. Y la batalla no es contra la pobreza estructural si no contra los delincuentes que no permiten que el progreso llegue cada vez a más personas.

Por Martín Carranza Torres
Socio de Carranza Torres & Asociados

Esta es la conclusión a la que ha llegado el fallo de la sentencia dictada por el juez Eduardo Gómez López, titular del Juzgado de lo Mercantil nº 6 de Barcelona.

La SGAE ya solicitó en el año 2009, y ante este mismo juzgado, el cierre cautelar de www.indice-web.com por entender, vulneraba los derechos de propiedad intelectual gestionados por dicha entidad, sin embargo, su solicitud fue denegada por el juez al entender que no quedaba acreditado que dicho portal estuviera cometiendo, 'a priori', infracción alguna.

Pues bien, Daniel Nova Torres, titular del dominio www.indice-web.com ha conseguido, con la mencionada sentencia, que se concluya y falle, de manera contundente, que la labor de enlace no es "ni distribución, ni reproducción, ni comunicación pública", sino "la esencia misma de Internet".

Esta sentencia viene a confirmar, una vez mas, el posicionamiento que realizan los tribunales ante casos como este. Recordemos el caso Sharemula, donde la Audiencia Provincial de Madrid confirmó el sobreseimiento libre que realizó, en septiembre de 2007, el Juzgado de Instrucción nº 4 de Madrid, y el reciente caso del Rincón de jesús, (http://www.delitosinformaticos.com/03/2010/propiedad-intelectual/triunfo-de-la-web-el-rincon-de-jesus-frente-a-la-sgae).

Un joven malagueño de 24 años, que responde a las iniciales F.J.G.M., ha sido detenido por la Guardia Civil como presunto autor de un delito contra la libertad sexual a una menor a través de redes sociales de Internet.

Parece ser que la menor contactó con una persona a través de una red social, la cual, le amenazó con desvelar, información o contenidos comprometedores que supuestamente poseía de la menor, si no accedía a continuar contactando con el y cediendo a sus exigencias. La menor alertó a su padre, el cual no dudó en denunciar los hechos ante las autoridades.
El Código Penal regula estas conductas a través de los artículos 178 y siguientes:

Artículo 178 C.P.
El que atentare contra la libertad sexual de otra persona, con violencia o intimidación será castigado como responsable de agresión sexual con la pena de prisión de uno a cuatro años.

•    Cuando el autor haga uso de armas u otros medios igualmente peligrosos susceptibles de producir la muerte o alguna de las lesiones previstas en los artículos 149 y 150 de este Código Penal, sin perjuicio de la pena que pudiera corresponder por la muerte o lesiones causadas.

2. Si concurrieren dos o más de las anteriores circunstancias, las penas previstas en este artículo se impondrán en su mitad superior.

Una vez iniciada la investigación policial e identificado al chantajista, se dictó por parte del juez instructor de la causa, Auto de entrada y registro en el domicilio de este, encontrando abundante material tanto de la denunciante, como de otros menores.

Todo comenzó cuando un abogado Valenciano encontró en el foro de www.quejasonline.com un post en el que se utilizaba su nombre en falso y se decía textualmente lo siguiente:

"Soy abogado de la Mutua Madrileña y estoy cansado de engañar a la gente, pues la Mutua me hace retrasar los expedientes con el fin de no pagar, tiene pinta de irse al garete".

Quejasonline, alertado por el abogado (en adelante J.M.M), retiró el mensaje publicado en su web, negándose no obstante, a ofrecerle los datos identificativos del autor del mismo, amparándose en la normativa de protección de datos personales (R.D. 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, así como su normativa de desarrollo) que impide comunicar datos personales sin expreso consentimiento del afectado.

A pesar de ello, J.M.M interpuso una demanda por reclamando una indemnización por los daños morales y patrimoniales sufridos a consecuencia de la publicación del mensaje. El tribunal de instancia, condenó a los responsables de Quejasonline a indemnizarle con más de 6.000 euros, resolución confirmada por la Audiencia Provincial de Valencia.

No obstante, Quejasonline recurrió dicha resolución en Casación, ante el Tribunal Supremo, cuya sentencia le ha dado la razón y ha determinado en su fallo lo que ya viene estableciendo claramente la Ley 34/2002, de 11 de Julio de Servicios de la Sociedad de la Información y del Comercio Electrónico (en adelante LSSI).

Los prestadores de servicios de alojamiento o almacenamiento de datos no serán responsables por la información almacenada a petición del destinatario, siempre que:

a) No tengan conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o

b) Si lo tienen, actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos.

La LSSI determina que “Se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el párrafo a) cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución, sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse”.

El apartado j del Anexo de definiciones de la LSSI define “órgano competente” como todo órgano jurisdiccional o administrativo, ya sea de la Administración general del Estado, de las Administraciones Autonómicas, de las Entidades locales o de sus respectivos organismos o entes públicos dependientes, que actúe en el ejercicio de competencias legalmente atribuidas”

Conclusión: El sitio web www.quejasonline.com no es responsable de los mensajes publicados en sus foros, toda vez que actuó con la diligencia debida retirando el contenido cuando el afectado se lo hizo saber.

Una vez mas, Abogados Portaley, despacho especializado en delitos informáticos, ha conseguido el sobreseimiento provisional y archivo de la causa en un procedimiento penal seguido por estafa informática llevada a cabo a través del conocido método Phishing.

El Juzgado de Instrucción nº 7 de Parla (Madrid) en el procedimiento seguido con D.P. 1084/09, ha dictado Auto acordando el sobreseimiento provisional y archivo de la causa al entender que la imputada (mulera) actuó de buena fe en los hechos.

El Auto fundamenta jurídicamente su fallo de la siguiente manera:

A la vista de toda la prueba practicada en el procedimiento, resulta acreditado que la imputada actuó de buena fe, ya que acredita documentalmente la oferta de trabajo que recibió, el contrato que firmó, los correos electrónicos que recibió y envió a los responsables de la empresa ficticia. Además, consta acreditado que nada mas enterarse de lo que ocurría, ya que fue avisada por su banco, se puso en contacto con el directos de la sucursal bancaria y ordenó la devolución de las transferencias que todavía estaban en su poder, por lo que por todo ello, y entendiendo que no tuvo conocimiento de las irregularidad del as operaciones que realizaba, de conformidad con el principio de presunción de inocencia y de in dubio pro reo, procede acordar el sobreseimiento provisional y archivo de las actuaciones.

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) a través de su Observatorio de la Seguridad de la Información y en colaboración la Universidad Politécnica de Madrid ha publicado una serie de 12 guías de ayuda para que los usuarios de redes sociales sepan como configurar adecuadamente la privacidad y mantener la seguridad de sus perfiles en las redes sociales más utilizadas por los internautas.

Dada la disparidad de plataformas como Facebook, Tuenti, Youtube, ect., INTECO ha decicido estudiar cada una de ellas independientemente, dando consejos y pautas específicas. De esta forma, INTECO ha publicado una serie de  documentos con las pautas de configuración en cada red social. Así el usuario puede conocer perfectamente cómo configurar tanto su perfil como el acceso a sus datos personales en cada una de ellas.

Las guías están en formato PDF y los enlaces son los suguientes:

FACEBOOK (http://www.inteco.es/file/nVpd_oWQO0blBIiD4wnTxQ) (626 KB)
FLICKR (http://www.inteco.es/file/nVpd_oWQO0bCI6RE5arRRg) (692 KB)
HI5 (http://www.inteco.es/file/nVpd_oWQO0Yxt1qyVGATRQ) (541 KB)
LAST.FM (http://www.inteco.es/file/nVpd_oWQO0YkEhLjAz6BbA) (289 KB)
LINKEDIN (http://www.inteco.es/file/nVpd_oWQO0ZRK6a0e7iZKg) (637 KB)
MYSPACE (http://www.inteco.es/file/0GJXYRVkJXkQdxGQyRrBjQ) (705 KB)
ORKUT (http://www.inteco.es/file/0GJXYRVkJXnBvxrQ2_8F-g) (526 KB)
TUENTI (http://www.inteco.es/file/0GJXYRVkJXlG7-0ggHlozQ) (420 KB)
TWITTER (http://www.inteco.es/file/0GJXYRVkJXnLSDCfeJCkbA) (538 KB)
WINDOWS LIVE SPACES (http://www.inteco.es/file/0GJXYRVkJXl546wrLqmOJw) (441 KB)
XING (http://www.inteco.es/file/0GJXYRVkJXmTTiloLlLYrA) (507 KB)
YOUTUBE (http://www.inteco.es/file/0GJXYRVkJXls6FaJU6Kqtg) (752 KB)

Los negociadores del Acuerdo Comercial Antipiratería (ACTA, por sus siglas en inglés Anti-Counterfeiting Trade Agreement) en el que participan mas de 40 países, entre ellos la Unión Europea, Estados Unidos, Japón o Corea del Sur, anunciaron que mañana dia 21 de Abril publicarán el borrador consolidado de las negociaciones saliendo al paso así de las acusaciones de secretismo y poca transparencia de las que vienen siendo acusados.

Con este acuerdo, las potencias comerciales pretender establecer las bases para combatir la falsificación y proteger la propiedad intelectual. Se trata de un acuerdo mundial para combatir la falsificación, y el texto incluye una propuesta sobre Internet.

El documento propone perseguir a quienes elaboren o distribuyan programas que desactiven DRM (sistemas anticopia) y obliga a los proveedores de acceso a Internet a controlar el tráfico de sus clientes para evitar el intercambio o distribución de material protegido por copyright.

Actualmente, en muchos países, como es el caso de España con la LSSI, los proveedores de acceso no son responsables de la conducta telemática de sus clientes salvo que tengan noticia, documentada por un juez, de que infringen la ley.

Este tratado empezó a negociarse en 2007 y se han celebrado una serie de sesiones a puerta cerrada en distintos países en las que intervienen la Unión Europea, Estados Unidos, Japón, Corea del Sur, Suiza y Canadá, entre otros, por lo que esta siendo objeto de multitud de críticas, al entender que se está llevando a cabo sin la transparencia necesaria ni la participación de todas las partes interesadas.

Tal es así que el Parlamento Europeo ha mostrado su preocupación por dicho secretismo, y los eurodiputados exigen unas negociaciones transparentes y recuerdan que el Parlamento, tras la entrada en vigor del Tratado de Lisboa, debe ser consultado en las negociaciones internacionales en las que participe la Unión Europea. Así mismo ha dictado una resolución en la que manifiestan defienden que se combata la falsificación pero, insisten, ello debe hacerse respetando los derechos civiles.

A pesar de que los negociadores desean que sus posturas ante el acuerdo permanezcan en secreto, tras la filtración de un borrador del tratado, se ha conocido que Estados Unidos propone el filtrado y cierre administrativo de sitios que violen la propiedad intelectual.

El programa ‘Registro Civil en Línea’, impulsado por el Ministerio de Justicia y el Ministerio de Industria, Turismo y Comercio, a través de red.es, cofinanciado con fondos FEDER, ha digitalizado todos los registros civiles municipales del país, lo que supone que 110.210 tomos manuscritos y 68.197.976 páginas ya se encuentran en formato digital.

La digitalización de los libros manuscritos desde 1950 consigue agilizar y mejorar la calidad y eficiencia del servicio prestado por los Registros Civiles y Juzgados de Paz, evolucionando hacia un registro más moderno y transparente. Esta iniciativa,  dotada con un presupuesto total de 128 millones de euros, aprovecha el potencial que ofrecen las TIC y favorece el cumplimiento de lo establecido en la Ley de Acceso Electrónico (Ley 11/2007), que reconoce el derecho de los ciudadanos a relacionarse con la Administración por medios electrónicos.

Gracias al programa se ha conseguido que otros organismos públicos, como la Seguridad Social, la Dirección General de la Policía o la Agencia Tributaria puedan acceder –con la correspondiente autorización del ciudadano- a la información necesaria para la tramitación de sus procedimientos, como  el pago de las pensiones o los cheques cuna, reduciendo los tiempos de espera, la gestión de trámites en papel y el número de visitas para la obtención de los certificados.

El próximo paso en este programa es la digitalización del Registro Civil Central, que cuenta con más de 10.500 tomos y servirá para obtener una base de datos completa de cara al desarrollo del nuevo Registro Civil de Servicios.

Desarrollo de la digitalización

El proyecto comenzó en el año 2007 con un piloto en 3 registros civiles y ha conseguido la digitalización  media de 180.000 hojas al día, trabajando de forma simultánea en 30 registros de las distintas Comunidades Autónomas. Además se contó con unos estrictos controles de calidad que garantizaban la legibilidad y veracidad de la información grabada.

El proceso de Digitalización y Grabación de los libros de los Registros Civiles comienza con un análisis pormenorizado de los ejemplares existentes en cada registro en materia de nacimientos, defunciones, matrimonios y tutelas. Una vez concluido el examen se procede al escaneado de cada uno de los libros, página a página.

Por último, se realiza la grabación de los datos de cada inscripción y el envío de toda la información para su integración en la aplicación informática de gestión de inscripciones registrales del Ministerio de Justicia (Inforeg). A partir de ese momento, el personal del registro pasa a trabajar con libros digitales accesibles de forma inmediata.

El 2010 ha comenzado con la entrada en vigor de una ley que, con la intención de proteger a los consumidores y usuarios, modifica varias normas que afectan al mercado y a la publicidad. En concreto, se modifican las siguientes leyes:

a)    Ley 3/1991, de 10 de enero, de Competencia Desleal.
b)    Ley 34/1988, de 11 de noviembre, General de Publicidad.
c)    Ley General para la Defensa de los Consumidores y Usuarios y otras Leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre.
d)    Ley 7/1996, de 15 de enero, de Ordenación del Comercio Minorista.

Entre las modificaciones más importantes que introduce esta Ley, están las siguientes:
•    Se considera desleal todo engaño, omisión, o práctica agresiva que persiga modificar la conducta del consumidor o le impida ejercer los derechos que tiene legalmente reconocidos. A modo de ejemplo, se consideran una práctica agresiva y, por tanto, desleal, las llamadas promocionales desde un número oculto. Las personas legitimadas para denunciar estas situaciones, son las empresas competidoras del mercado, colectivos de empresas, colectivos de consumidores y usuarios, y el Ministerio Fiscal.
•    Se considera ilícita la publicidad que pretenda explotar la sexualidad o estereotipos de la mujer sin que guarde relación directa con el producto anunciado. Además de las figuras legitimadas en la Ley de Competencia Desleal, en este caso, se suman las delegaciones y organizaciones para la defensa de los intereses de la mujer.
•    Toda oferta comercial de bienes y servicios dirigida a consumidores y usuarios deberá ofrecer la siguiente información:

a)    Nombre, razón social y domicilio completo del empresario responsable de la oferta comercial y, en su caso, nombre, razón social y dirección completa del empresario por cuya cuenta actúa.
b)    Las características esenciales del bien o servicio de una forma adecuada a su naturaleza y al medio de comunicación utilizado.
c)    El precio final completo, incluidos los impuestos, desglosando, en su caso, el importe de los incrementos o descuentos que sean de aplicación a la oferta y los gastos adicionales que se repercutan al consumidor o usuario.
d)    En el resto de los casos en que, debido a la naturaleza del bien o servicio, no pueda fijarse con exactitud el precio en la oferta comercial, deberá informarse sobre la base de cálculo que permita al consumidor o usuario comprobar el precio. Igualmente, cuando los gastos adicionales que se repercutan al consumidor o usuario no puedan ser calculados de antemano por razones objetivas, debe informarse del hecho de que existen dichos gastos adicionales y, si se conoce, su importe estimado.
e)    Los procedimientos de pago, plazos de entrega y ejecución del contrato y el sistema de tratamiento de las reclamaciones, cuando se aparten de las exigencias de la diligencia profesional.
f)    En su caso, existencia del derecho de desistimiento.

A través del BOE podéis consultar el texto íntegro de la Ley 29/2009, de 30 de diciembre, por la que se modifica el régimen legal de la competencia desleal y de la publicidad para la mejora de la protección de los consumidores y usuarios.

Por el momento, es pronto para predecir el efecto que tendrá esta ley sobre el mercado, la publicidad y las acciones de marketing; sin embargo, parece probable que su aplicación se podría ver reducida a alguna campaña eventual, como viene siendo costumbre en el sector del consumo.

La cantidad de normativa nacional y local que afecta a esta materia, que además, abusa de términos abstractos y jurídicamente indeterminados, así como la falta de procedimientos rápidos, eficaces y sencillos, dirigidos a los consumidores para que hagan valer sus derechos, no hacen sino perpetuar las situación de desprotección de los mismos, por mucho que se siga legislando en la misma línea.

En mayor o menor medida, todos hemos visto vulnerados en alguna ocasión nuestros derechos como consumidores, y al final lo hemos dejado pasar por falta de tiempo y por la poca fe que depositamos en los organismos públicos encargados de proteger nuestros derechos. Quizá vaya siendo hora de crear un organismo público dedicado exclusivamente a la vigilancia y control del sector del consumo, con procedimientos sencillos, gratuitos y eficaces que permitan denunciar estas situaciones.

Información de Áudea Seguridad de la Información

En Marzo de 2010 el Tribunal Supremo ha confirmado las tres sanciones impuestas por la Agencia Española de Protección de Datos a las Líneas Aéreas IBERIA por un importe total de 361.208 euros.

Los hechos se produjeron en el 2002, cuando aparecieron en los alrededores del aeropuerto de El Prat varios documentos de entrega de equipajes extraviados con los datos personales de los pasajeros afectados. Los datos de los pasajeros eran registrados en el sistema de IBERIA y cuando los equipajes eran encontrados, se remitía en formato papel la información a la empresa CACESA, que se encargaba de entregar los equipajes a sus legítimos propietarios. Fue precisamente esta información la que apareció en los alrededores del aeropuerto.

Las sanciones impuestas a IBERIA fueron las siguientes:
1.    Infracción del artículo 26 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha Ley, una multa de 601,01. No contar con el fichero inscrito en el Registro de la Agencia Española de Protección de Datos.
2.    Infracción del artículo 9 de la LOPD en relación con el artículo 8 del RD 994/1999, de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, tipificada como grave en el artículo 44.3.h) una multa de 60.101,21. No contar con el Documento de Seguridad relativo a ese fichero.
3.    Infracción del artículo 11 de la LOPD, tipificada como muy grave en el artículo 44.4.b) de la citada Ley, una multa de 300.506,05. Cesión inconsentida de datos.

Lo que resulta más destacable de esta sentencia es la sanción muy grave por considerar que ha existido una cesión de datos de carácter personal sin consentimiento. Si analizamos detenidamente los hechos, parece claro que la relación existente entre IBERIA y CACESA quedaría encuadrada como una relación de encargado del tratamiento, debido a que quién decide sobre la finalidad del fichero es IBERIA que se limita a entregar a CACESA la información de los pasajeros que extraviaron sus equipajes para hacérselos llegar. Por tanto, CACESA como encargado del tratamiento se debe limitar a cumplir con las instrucciones del responsable del fichero, IBERIA.

Si esta relación está amparada por el artículo 12 de la LOPD “no se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento”, entonces ¿por qué la Agencia Española de Protección de Datos sanciona por una infracción tipificada como muy grave?

Es este punto el verdaderamente relevante. El propio artículo 12 establece en los apartados 2 y siguientes, la obligación de contar con un contrato de encargado del tratamiento por escrito en el que se establezcan los extremos indicados en la propia Ley. Es decir, dicho contrato a grandes rasgos debe reflejar: la relación de encargado del tratamiento, las medidas de seguridad aplicables por parte de la empresa encargada del tratamiento, sus obligaciones de confidencialidad y además añade que el encargado del tratamiento deberá destruir o devolver los datos de carácter personal una vez haya finalizado la relación contractual.

En el presente caso, a pesar de que la relación entre CACESA e IBERIA es una relación de encargado del tratamiento, ésta no está reflejada en un contrato específico. El único contrato existente entre ambas empresas es uno de prestación de servicios firmado en 1992, cuyo objeto refleja el reparto domiciliario por parte de CACESA de equipajes extraviados o demorados desde el aeropuerto de Barcelona a los distintos lugares designados por IBERIA.

Difícilmente dicho contrato podría reflejar los extremos exigidos por la Ley Orgánica de Protección de Datos cuando éste se firmó antes de que entrara en vigor la primera Ley de Protección de Datos en España, la LORTAD.

Esta Sentencia demuestra la importancia de contar con los contratos de encargado. El ejemplo más habitual es el de la asesoría de nóminas que para prestar su servicio al responsable del fichero debe tratar los datos personales de los trabajadores de la empresa contratante.

En este caso ¿sucedería lo mismo que en la sentencia comentada si la asesoría extravía una nómina pero existe firmado un contrato específico de encargado del tratamiento?  En este caso el responsable del fichero no habría infringido los preceptos del a LOPD y sería la asesoría de nóminas la que respondería ante la Agencia Española de Protección de Datos por la pérdida de dicha información.

Por la experiencia que tenemos en Abril Abogados, las empresas objeto de auditoría de protección de datos, no le dan gran importancia a dejar fijadas en un contrato este tipo de relaciones. Habitualmente nos encontramos con dificultades para que se firmen este tipo de contratos, o bien porque ya existe un contrato anterior, como es el caso de IBERIA y CACESA, o bien porque existe una relación de confianza entre las empresas que consideran que no es necesario firmar contratos por escrito, o simplemente porque el que debe firmar el contrato es el director general.

Existen multitud de relaciones consideradas de encargado de tratamiento que las empresas  responsables de los ficheros desconocen y por lo tanto no cuentan con este contrato. A título enunciativo y dependiendo de cada caso concreto, se suelen considerar encargados del tratamiento las relaciones contractuales con la asesoría de nóminas, asesoría contable, empresa de mantenimiento informático, alojamiento de sitios web, empresas de back up, gestión documental, empresas de transporte, empresas de seguridad que tratan o acceden a las imágenes emitidas por las cámaras de seguridad o que controlan el acceso a edificios, etc.   

El responsable del fichero, que como hemos visto en el caso de IBERIA es el realmente perjudicado, debe actuar con diligencia y exigir la firma de este tipo de contratos y la actualización de los mismos a sus encargados del tratamiento, que en ocasiones no quieren firmar por el temor de creer que con la firma del contrato se obligan a cumplir con la LOPD cuando en realidad están obligados aunque no firmen dicho contrato.

Para terminar quisiera comentar las otras dos sanciones impuestas que aunque son menos relevantes por su cuantía económica, también nos hacen reflexionar. Ambas sanciones se suceden por un único hecho: IBERIA no se considera responsable del fichero de pasajeros que han extraviado su equipaje y por lo tanto no llegó a declarar el fichero.

A pesar de que IBERIA sí cuenta con un fichero declarado denominado BILLETES, ni la Agencia Española de Protección de Datos, ni la Audiencia Nacional, ni el Tribunal Supremo consideran que ese fichero incluya el de pasajeros que han extraviado su equipaje. Las razones argumentadas son básicamente las siguientes: Por un lado, IBERIA crea un nuevo fichero en el momento en que el pasajero acude a los mostradores y le toman nota de la pérdida de su equipaje, por otro lado, IBERIA, trasforma el fichero a través de un procedimiento manual, remitiendo a CACESA los datos de los pasajeros agraviados por la pérdida de su equipaje.

IBERIA, erróneamente, se considera un encargado del tratamiento respecto de los datos de los pasajeros al utilizar el sistema SITA que es una herramienta de búsqueda y gestión de los equipajes extraviados. Además en las actuaciones de inspección realizadas por la Agencia Española de Protección de Datos, se determinó que según lo establecido en el contrato existente entre SITA e IBERIA éste último es el responsable de los datos introducidos en el sistema.

Al no considerar IBERIA como fichero los datos de estos pasajeros, ni declaró el fichero, sanción leve, ni lo incorporó a su Documento de Seguridad, lo que provocó la sanción grave.

Por tanto, de estas dos sanciones se extrae otra conclusión, se debe tener especial cuidado en el análisis de los datos personales, para determinar cuándo la empresa tiene obligación de declarar un fichero  e incorporarlo a su Documento de Seguridad.
 

Alvaro Ramos Suárez
Departamento de Nuevas tecnologías
ABRIL ABOGADOS

La Sentencia nº 67/2010, de 9 de Marzo de 2010, dictada por el Juzgado Mercantil nº 7 de Barcelona, supone un gran triunfo para el propietario del sitio web www.elrincóndejesus.com y como no, para sitios webs similares.

A través de esta página se ofrecían enlaces a la red P2P eDonkey2000 que utiliza el programa emule, a través de los cuales los usuarios podían intercambiar archivos contenidos en dicha red.

La SGAE demandó al propietario del sitio web www.elrincóndejesus.com mediante la presentación de una demanda de juicio ordinario, solicitando la suspensión de los servicios prestados en dicha web y una indemnización por los daños y perjuicios ocasionados por la comunicación pública y la reproducción de obras gestionadas en su repertorio en el periodo comprendido entre Octubre de 2007 al dia de la presentación de la demanda, así como al pago de 1.546,28 euros por los gastos de emisión de un informe pericial privado.

LA SGAE alegaba en su demanda la infracción de los derechos de explotación del artículo 17 del Texto Refundido de la Ley de Propiedad Intelectual (LPI), de reproducción del artículo 18 LPI y de comunicación pública del artículo 20.2 de dicha norma.

El demandando alegó que en su sitio web no se encontraban almacenadas obras protegidas por derechos de propiedad intelectual, sino que simplemente publicaba enlaces para que los usuarios pudieran acceder a las citadas redes P2P. Así mismo, manifestó que no obtenía ningún tipo de beneficio económico, ni directo ni indirecto, con dicha web, ya que el acceso a la web era gratuito y no disponía de publicidad de terceros anunciantes.

El Juez ha demostrado un profundo conocimiento de la LPI así como de la normativa europea relacionada, ofreciendo en su Sentencia una motivación extensa y clara, que viene a determinar lo siguiente:

1º La pagina web de enlace a redes P2P, de la manera en que se configura la web elrincondejesus, no vulnera en la actualidad los derechos de explotación que les confiere a los autores la LPI. Este sistema de enlaces o links, no supone distribución, ni reproducción ni comunicación publica.

Ello es así porque el juez considera que la protección regulada por la LPI no contiene previsión alguna que prohíba favorecer, permitir u orientar a los usuarios de la red de Internet que acceden a este tipo de páginas, la búsqueda de obras que luego van a ser objeto de intercambio a través de las redes P2P.

2º Considera que la actividad de la web elrincondejesus se limita a crear un índice que favorece y orienta a los usuarios para acceder a las redes de intercambio de archivos P2P mediante el sistema de menús, carteles o portadas con títulos de películas u obras musicales, no suponiendo con ello una ilícita comunicación pública ni reproducción de obras protegidas.

Es por ello por lo que desestima íntegramente la demanda de la SGAE y la condena en costas. No obstante, es preciso señalar que esta sentencia puede recurrirse, por lo que aun no es firme.

En este afán tan positivo y en las ganas de explicar mas si cabe su fallo, el juez viene a aclarar ciertos puntos controvertidos, como son:

Limite de copia privada: El artículo 31.2 exige que la copia privada se haga a partir de obras a las que se haya accedido legalmente:
2. No necesita autorización del autor la reproducción, en cualquier soporte, de obras ya divulgadas cuando se lleve a cabo por una persona física para su uso privado a partir de obras a las que haya accedido legalmente y la copia obtenida no sea objeto de una utilización colectiva ni lucrativa, sin perjuicio de la compensación equitativa prevista en el artículo 25, que deberá tener en cuenta si se aplican a tales obras las medidas a las que se refiere el artículo 161. Quedan excluidas de lo dispuesto en este apartado las bases de datos electrónicas y, en aplicación del artículo 99.a, los programas de ordenador.

Este precepto se refiere a la legalidad del acceso y no a la legalidad de la fuente, por lo que concluye, que los usuarios de estas redes (P2P) acceden legalmente a las obras, por cuanto han celebrado un contrato lícito y válido a cambio de un precio con un prestador de servicios de la Red.

Dispositivos de grabación: Recuerda SSª, que los discos duros de los ordenadores, los DVDs, CDS y discos duros portátiles en los que pueden grabarse la copia privada descargada de estas redes, ya están sometidas al pago de un canon o compensación equitativa (artículo 25 LPI), cuyo destino es precisamente el beneficio o compensación de los autores de las obras protegidas y de sus entidades de gestión de derechos, como es la SGAE.