miércoles, 23 de julio de 2014

Ahora sí, la reforma de la LPI permite ir a por los usuarios que compartan

Comenté hace más de un año la modificación de la Ley de Enjuiciamiento Civil aprovechando la reforma de la Ley de Propiedad Intelectual para posibilitar el acceso a ciertos datos de identificación de prestadores de servicios que tuviesen relación con infractores.

Aquel era el anteproyecto que se sometió a consulta pública y está en la web del Ministerio (pdf).

En aquel texto sólo se añadía una Diligencia Preliminar al artículo 256 de la LEC, el apartado 10º, dirigida a identificar a prestadores de servicios de la sociedad de la información. Es decir, a que se aportasen los datos de otros prestadores.

En su momento critiqué que eso se hiciese así, puesto que el Ministerio de Industria tiene competencias para sancionar en el caso de que prestadores no se identifiquen y reflexionaba:
¿Qué sentido tiene, por lo tanto, esta modificación que como he dicho ni le sirve a la Sección Segunda ni aporta nada que no se pueda hacer?



Pues a mi juicio sólo hay dos opciones, que sea fruto de una mala técnica legislativa o que sea como meter el pie en la puerta para posteriormente suprimir la referencia a los PSSI y poder incluir a los usuarios, como demandan desde la industria (los casos Promusicae y Hustler son un ejemplo).

En ese texto, vemos dos medidas de Diligencias Preliminares que se añaden, la 10ª y la 11ª. Si bien la primera sigue centrándose en los prestadores de servicios (con menciones expresas a la Ley 25/2007) en la segunda tenemos una redacción expresamente pensada en los meros usuarios:
"11.º Mediante la solicitud, formulada por el titular de un derecho de propiedad intelectual que pretenda ejercitar una acción por infracción del mismo, de que un prestador de servicios de la sociedad de la información aporte los datos necesarios para llevar a cabo la identificación de un usuario de sus servicios, con el que mantengan o hayan mantenido en los últimos doce meses relaciones de prestación de un servicio, sobre el que concurran indicios razonables de que está poniendo a disposición o difundiendo a gran escala, considerando, entre otros, el volumen de obras y prestaciones protegidas no autorizadas, mediante actos que no puedan considerarse realizados por meros consumidores finales de buena fe y sin ánimo de obtención de beneficios económicos o comerciales, de forma directa o indirecta, contenidos, obras o prestaciones objeto de tal derecho sin que se cumplan los requisitos establecidos por la legislación de propiedad intelectual."
Y aquí sí tenemos la evidencia de que se pretende poder ir a por los usuarios, tal y como sospechaba. Es curioso que en el caso anterior se cite como límite los datos protegidos por la Ley de Conservación de Datos (IP, identidad, etc) y en este caso no se diga absolutamente nada sobre este extremo.

"11.º Mediante la solicitud, formulada por el titular de un derecho de propiedad intelectual que pretenda ejercitar una acción por infracción del mismo, de que un prestador de servicios de la sociedad de la información aporte los datos necesarios para llevar a cabo la identificación de un usuario de sus servicios, con el que mantengan o hayan mantenido en los últimos doce meses relaciones de prestación de un servicio, sobre el que concurran indicios razonables de que está poniendo a disposición o difundiendo de forma directa o indirecta, contenidos, obras o prestaciones objeto de tal derecho sin que se cumplan los requisitos establecidos por la legislación de propiedad intelectual, y mediante actos que no puedan considerarse realizados por meros consumidores finales de buena fe y sin ánimo de obtención de beneficios económicos o comerciales, teniendo en cuenta el volumen apreciable de obras y prestaciones protegidas no autorizadas puestas a disposición o difundidas."
Es decir, se cambia el concepto "gran escala" por "teniendo en cuenta el volumen". La razón que el Grupo Parlamentario Socialista alegaba para este cambio era que "gran escala" era un concepto indeterminado, y además:
"Que un Juez determine si un acto se realiza a "gran escala" o no es un juicio propio de un proceso plenario y declarativo, no de un incidente que tiene la única finalidad de obtener hechos, documentos o declaraciones que permitan preparar la demanda."
Razones que son precisamente las mismas que desaconsejan la redacción inicial y que en cualquier caso amplían los supuestos en los que se pretende habilitar que el juzgado obtenga la identidad de usuarios finales. Porque igualmente el juez debe hacer un análisis probatorio de la conducta del usuario antes de adoptar la medida.

Además se plantea la paradoja de que, reuniendo la conducta del usuario los requisitos exigidos, estaríamos ante un delito del artículo 270 del Código Penal, por lo que tendría preferencia esa vía.

En cualquier caso, esta Diligencia puede entrar en un serio conflicto con la Sentencia del 8 de abril de 2014 que anuló la Directiva de Conservación de Datos, en la medida en que la intromisión que supone sólo puede aceptarse para supuestos delictivos graves, no siendo este el caso.

El problema es que esa sería una pelea posterior en los tribunales.

Podría darse la paradoja de que un juzgado de lo penal no admita la identificación del usuario que comparte, por no ser un delito grave y que el titular de derechos consiga la identificación en un proceso civil.

Estamos muy entretenidos con las consecuencias del #canonaede, pero lo cierto es que esto definitivamente abre la puerta a la persecución directa de usuarios. 

martes, 15 de julio de 2014

Sanciones del Ministerio de Industria por no poner toda la información en el aviso legal

Todas las empresas que tienen una página web están obligadas a disponer de cierta información en su aviso legal o similar.

La mayoría de las veces este aviso se elabora por los propios diseñadores web sin contar con asesoramiento especializado. Cuando no directamente se copia de otros sitios. Ya hace años alertaba de ello Javier Prenafeta.

En cualquier caso, hay unas obligaciones mínimas de información que debe contener toda web que sea considerada prestador de servicios de la sociedad de la información y sin las cuales te pueden sancionar.

Así, entre otras, según el artículo 10 de la LSSICE hay que poner:
  • Su nombre o denominación social; su residencia o domicilio o, en su defecto, la dirección de uno de sus establecimientos permanentes en España; su dirección de correo electrónico y cualquier otro dato que permita establecer con él una comunicación directa y efectiva.
  • Los datos de su inscripción en el Registro Mercantil en el que, en su caso, se encuentren inscritos o de aquel otro registro público en el que lo estuvieran para la adquisición de personalidad jurídica o a los solos efectos de publicidad.
  • El número de identificación fiscal que le corresponda.
La falta de la información, como digo es sancionable. Y, de hecho, el Ministerio de Industria está sancionando por ello.

Conocí hace años una sanción porque una empresa sólo ponía como forma de contacto el correo electrónico pero no tenía "otro dato que permita establecer con él una comunicación directa y efectiva". Es decir, que no ponía teléfono o fax ya que el artículo 10 exige "su dirección de correo electrónico y cualquier otro dato" y al no darse ese otro dato, pues se sancionó con 600 euros.

Ahora el caso es que una empresa indica que está inscrita en el Registro Mercantil de La Rioja (por ejemplo) y el Ministerio dice que eso no es suficiente e impone una sanción de 180 euros por:
"no ofrecer información general de forma permanente, fácil, directa y gratuita sobre los datos de su inscripción en el registro correspondiente [...]"
Aunque la resolución (pdf) parece dejar dudas sobre la información proporcionada, en el aviso legal sí que se informaba del registro territorial en que estaba inscrita la empresa, pero no se pusieron los datos de tomo, libro, folio y hoja. 


Es decir, no basta con indicar el registro en el que se inscribe la empresa, hay que señalar los datos concretos de esa inscripción.

En este caso el procedimiento es extraño desde el principio, puesto que no se origina por una denuncia o por orden de un superior, sino por inspección de un funcionario en el mes de agosto. Es decir, que al parecer hay gente en el Ministerio de Industria dedicado a inspeccionar los avisos legales de páginas web  (esta web no es generalista ni su nombre es una palabra del diccionario) para ver si cumplen con los requisitos del artículo 10 de la LSSICE.

Como digo, la infracción consiste en "No informar en la forma prescrita por el artículo 10.1 [...]" y este, como se ha visto, dice los datos de su inscripción en el Registro Mercantil.

La interpretación estricta que se hace para sancionar me parece desproporcionada, puesto que sabiendo la localidad del registro mercantil y el NIF es sencillo acceder al resto de datos. Además de que ningún perjuicio puede ocasionar no conocer el folio en el que consta la inscripción de una empresa.


Es decir, puedo entender que faltando toda referencia al registro mercantil o el CIF, se sancione, ya que sí que son elementos para obtener información de la empresa titular del sitio web, pero ¿el tomo y folio de la inscripción?

Además, la resolución mutila el escrito de alegaciones presentado y falsea el acta puesto que sí se indicaba la localidad del Registro Mercantil correspondiente.

Así que ya sabes, si quieres evitar riesgos de sanciones, evita copiar y pegar los avisos legales de otros e incluye toda la información posible, el Ministerio de Industria ahora investiga, y sanciona, este tipo de cosas.

jueves, 29 de mayo de 2014

¿Redactó Telefónica el régimen sancionador de la Ley de Conservación de Datos?

Con ocasión de la nueva Ley General de Telecomunicaciones se ha "devuelto" a la Ley 25/2007 de Conservación de Datos las conductas que son sancionables administrativamente.

Los cambios producidos son basicamente 3:
  • Aclarar el tiempo en que se debe cumplir el requerimiento. Expresamente 7 días, frente a la referencia anterior de 72 horas en caso de que la orden judicial no dijese nada.
  • Se clarifica que únicamente es sancionable la no conservación o la no disposición de las medidas de seguridad previstas
  • Se elimina el elemento subjetivo de la sanción, al no ser requisito ya "el incumplimiento deliberado" respecto de la conservación como requisito. Ahora la responsabilidad es objetiva. Sí se mantiene para las medidas de seguridad.
Entre las conductas sancionables no figura, ni figuraba, la negativa a entregar los datos al juzgado. Sobre esto había dudas y, de hecho, hay procedimientos sancionadores pendientes ante el Ministerio a día de hoy.

Personalmente me parece acertado que se establezca de esta manera el régimen sancionador. Que cada ley sea completa en sí misma lo máximo posible, sin tener que ir de una a otra para entenderla siempre es positivo.

Al margen de esto, se da en este caso una peculiar situación.

Sucede que parece que quienes han hecho la reforma de la Ley son los que hicieron las alegaciones en un determinado procedimiento sancionador.

En 2011 Telefónica fue sancionada con 100.000 euros por no entregar los datos asociados a un IMEI a un juzgado de Ponteaereas que estaba investigando un delito de robo con fuerza en la cosas (delito menos grave!!).

Al no cumplir el mandamiento, la Dirección General de la Policía y de la Guardia Civil formuló denuncia ante la SETSI el 28 de junio.

Telefónica acabó contestando pero una vez que ya se había iniciado el expediente sancionador, en enero del 2011.

El, ya derogado, artículo 53.o de la antigua LGTel establecía como infracción:
"[...] el incumplimiento deliberado de las obligaciones de conservación de los datos establecidas en la Ley de Conservación de Datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones."
La Policía y la SETSI entendían que la referencia en plural a "obligaciones" incluía la no entrega de los datos, no sólo el no haberlos retenido y por eso esta última sancionó con 100.000 euros.

El recurso de Telefónica, como puede verse en la Sentencia de 17 de marzo de 2014 de la Audiencia Nacional (pdf), contra la sanción se basaba en varios puntos:

- Exigencia de dolo en la conducta, la exigencia de la intencionalidad. Lo que ha desaparecido de que la conducta en la no conservación sea deliberada.

- Que el mandamiento del juzgado no incluía un plazo para ser cumplido y que la tardanza de 8 meses en contestar se debió a que procesan un elevado volumen de mandamientos judiciales. Según aportaron al juzgado 40.243 órdenes de cesión de datos y 18.080 requerimientos de interceptación sólo en 2010.

- Que la conducta consistente en no entregar los datos al juzgado no es sancionable administrativamente.

- Que los datos pedidos tampoco se debían dar pues no se trataba de la persecución de un delito grave. (Sobre esto último parece que la sentencia quiere entrar, pero al final no dice nada claro...)

La Audiencia Nacional resuelve dando la razón a Telefónica y anulando la sanción impuesta por la SETSI, porque reconoce que sí es necesario el elemento subjetivo:
"Se ha de rechazar, por ser claramente contrario a derecho, el criterio expuesto en la resolución de 16 de diciembre de 2011, de que el tipo infractor se integra por el elemento objetivo, no siendo necesaria la concurrencia del elemento subjetivo, pues no solamente ha de concurrir el elemento culpabilístico en cualquier infracción administrativa, sino que en este caso tal elemento se establece en el tipo a título de dolo, ya que no cabe interpretar de otro modo el término "deliberado"
Además, destaca que no es sancionable por la administración la entrega de datos, ya que la conservación y la entrega son dos obligaciones diferentes:
"Es claro que la Ley 25/2007 regula como obligaciones distintas la de conservar determinados datos (los recogidos en el artículo 3 ) y la obligación de ceder dichos datos. Se trata de dos obligaciones de distinto contenido y con regulación específica cada una de ellas, por lo que no puede aceptarse el argumento de la Administración de que el término "conservación" al que hace referencia el artículo 53.o) de la Ley 32/2003 es extensivo a todas las obligaciones establecidas en la Ley 25/2007, concretamente a la de cesión de datos."
Y, por lo tanto, concluye que:
"De todo lo expuesto cabe inferir que, tal como se razona en el escrito de demanda y reitera en el de conclusiones, los hechos que se imputan a la entidad recurrente no tienen encuadre legal en el tipo del artículo 53.o) LGtel. Pues el incumplimiento de lo dispuesto en los artículos 6 y 7 de la Ley 25/2007, arriba citados, no es una conducta tipificada en aquel artículo, siendo de carácter penal las responsabilidades que pueden derivarse de tal conducta."
Pues bien, si apreciamos el texto de la primera versión de la tramitación parlamentaria, de septiembre de 2013,  ya tenemos el texto que luego ha sido definitivo y como es faćil apreciar, las modificaciones se corresponden esencialmente con lo alegado por Telefónica en este procedimiento. ¿Casualidad?

Es cierto que las modificaciones introducidas, como decía, me parecen razonables y lógicas, pero no sé hasta que punto son fruto del análisis de lo que se quiere hacer o simplemente de la acción de una compañía determinada.

Hay que tener en cuenta, además, que el texto de la reforma no ha sufrido modificaciones en el trámite parlamentario, por lo que tuvo que partir del propio Ministerio, que después ha estado instruyendo procedimientos por hechos similares.

Es decir, es una reforma técnica que viene del Ministerio, pero no de los técnicos del Ministerio, porque de lo contrario no tratarían de sancionar por lo mismo con posterioridad, como están haciendo.

Por eso me pregunto, ¿es esta modificación una enmienda "Telefónica"?

miércoles, 14 de mayo de 2014

Suspensión cautelar de dominios por la Policía, más inseguridad juridica en internet

Atención a la perla que contiene la nueva Ley General de Telecomunicaciones, teniendo en cuenta el creciente interés de la política hacía lo que se dice y hace en internet, en particular en los límites de lo que es delito o no.


Comenta el compañero Jorge Campanillas en su blog que las autoridades administrativas podrán cancelar o suspender nombres de dominio de acuerdo a la modificación que se introduce en la LSSICE.

Ya teníamos competencias de Red.es para "retirar" el dominio por razones de interés público, pero ahora se da una más detallada regulación a los supuestos de intervención de un dominio por la administración.


Pero además hay un punto que no me gustaría que pasase desapercibido, ya que se abre la posibilidad de que cautelarmente las Fuerzas y Cuerpos de Seguridad del Estado suspendan la asignación de un nombre de dominio. Así se introduce un apartado adicional 5 bis en la Disposición Adicional Sexta (toma claridad legislativa!!) con el siguiente literal:
"La autoridad de asignación suspenderá cautelarmente o cancelará, de acuerdo con el correspondiente requerimiento judicial previo, los nombres de dominio mediante los cuales se esté cometiendo un delito o falta tipificado en el Código Penal. Del mismo modo procederá la autoridad de asignación cuando por las Fuerzas y Cuerpos de Seguridad del Estado se le dirija requerimiento de suspensión cautelar dictado como diligencia de prevención dentro de las 24 horas siguientes al conocimiento de los hechos."
¿Se imaginan que en la investigación de comentarios poco afortunados por el asesinato de una persona se suspende un dominio sin orden judicial? ¿O que en un caso de propiedad intelectual se actúa de igual manera, aunque los jueces tengan dudas de si la actividad es delito o no?

Pues esa es la posibilidad que se abre ahora.

Es cierto que en nuestro ordenamiento se establece la posibilidad de este tipo de diligencias por parte de las Fuerzas y Cuerpos de Seguridad, pero me cuesta encajar en su actual regulación esta suspensión cautelar.

Las facultades de la policía judicial en relación a las Diligencias de Prevención se regulan en el artículo 4 del Real Decreto 769/1987:
"Todos los componentes de las Fuerzas y Cuerpos de Seguridad, cualquiera que sea su naturaleza y dependencia, practicarán por su propia iniciativa y según sus respectivas atribuciones, las primeras diligencias de prevención y aseguramiento así que tengan noticia de la perpetración del hecho presuntamente delictivo, y la ocupación y custodia de los objetos que provinieren del delito o estuvieren relacionados con su ejecución, dando cuenta de todo ello en los términos legales a la Autoridad Judicial o Fiscal, directamente o a través de las Unidades Orgánicas de Policía Judicial."
También se regulan en el artículo 770 de la Ley de Enjuiciamiento Criminal, en la misma línea, pero sin que pueda decirse que se incluya la suspensión de un dominio.

En relación con las Diligencias de prevención y las medidas cautelares, tenemos también el artículo 13 de la Ley de Enjuiciamiento Criminal que dice que tienen como objetivo:
"[...] consignar las pruebas del delito que puedan desaparecer, la de recoger y poner en custodia cuanto conduzca a su comprobación y a la identificación del delincuente, la de detener, en su caso, a los presuntos responsables del delito, y la de proteger a los ofendidos o perjudicados por el mismo, a sus familiares o a otras personas, pudiendo acordarse a tal efecto las medidas cautelares a las que se refiere el artículo 544 bis o la orden de protección prevista en el artículo 544 ter de esta ley."
Por su parte el artículo 544 bis,(el ter es de violencia de género) no recoge como medida la suspensión de un nombre de dominio. Al contrario, las medidas son muy diferentes y del tipo de alejamiento de las víctimas y los responsables:
"En los casos en los que se investigue un delito de los mencionados en el artículo 57 del Código Penal, el Juez o Tribunal podrá, de forma motivada y cuando resulte estrictamente necesario al fin de protección de la víctima, imponer cautelarmente al inculpado la prohibición de residir en un determinado lugar, barrio, municipio, provincia u otra entidad local, o Comunidad Autónoma.[...]"
No veo pues un sustento que dé seguridad a los agentes o a los titulares de un dominio ".es", pues si bien es cierto que estas medidas son cautelares, la adopción de las mismas es prácticamente inmediata y sin posibilidad de reacción previa.

En cualquier caso andamos así por los parches continuos a la legislación al no tener ya un código Procesal Penal que regule adecuadamente esta y muchas otras cuestiones.

Vista la inseguridad jurídica, no parece recomendable utilizar como dominio principal un ".es", por lo que pueda pasar.

Tras la sentencia en el caso Google, ¿y ahora qué?


Tras el fallo del Tribunal de Justicia de la Unión Europea, que da la razón a la Agencia Española de Protección de Datos, ¿qué panorama es razonable esperar, habida cuenta del contenido de la sentencia?.

En primer lugar, hay que esperar como aplica la Audiencia Nacional, el órgano que eleva la consulta, el caso particular, aunque el TJUE prácticamente lo ha dado todo resuelto, con constantes referencias al supuesto concreto.

Pero la aplicación de esta jurisprudencia no es automática, en cada uno de los más de 200 casos pendientes la Audiencia Nacional debe valorar si el supuesto ampara o no la pretensión de Google, que es el recurrente, o de la Agencia Española, que es quien ha dictado la tutela de derechos de los particulares.

Habrá casos en los que se resuelva en el mismo sentido, y se aprecie que el interés legítimo impone retirar los enlaces, pero habrá otros casos, como por ejemplo con personajes públicos o datos publicados por mandato legal, en los que no.

Pero tras los casos que ya están en la Audiencia Nacional, se pueden dar varios escenarios.

El primero, y más evidente, es que Google Spain S.L. cierre. No quiero decir que el buscador no sea usado desde España, solamente que deje de prestar servicios la empresa auxiliar para la comercialización de la publicidad. Ello no es que haga que la normativa no le sea aplicable, pero si al menos pondría nuevamente sobre la mesa el debate.

Hay que tener en cuenta que los efectos de esta sentencia, y por ello de la legislación española y europea, se producen por la existencia de la oficina en España. Sin ella, Google podría volver a alegar que no le es aplicable la legislación y volveríamos a la casilla de salida.

El segundo, es que Google ponga una herramienta para retirar automaticamente todos los enlaces que el usuario, con una mínima acreditación o compromiso de legitimidad, al estilo DMCA, señale como infractores de sus derechos.

De esta manera, se automatizaría el proceso, para el buscador el coste de implementarlo sería mínimo y si ya lo hace para cuestiones de propiedad intelectual, ningún impacto en su  modelo de negocio se produce.

Esta posibilidad es la que presenta un mayor riesgo para los derechos de los demás, puesto que nos impide a los demás localizar fácilmente información en internet, aunque sea pública y legítima. El TJUE también menciona este problema en su sentencia y le preocupa el efecto que pueda darse.

La tercera opción, es montar un sistema de recepción de avisos, valorarlos y decidir si se retira el enlace. Esto puede implicar unos costes de gestión enormes, ya que implica valorar cada petición individualmente y decidir, con el riesgo a equivocarse.

Esta posibilidad es la más acorde con el respeto a los derechos de todos y el fallo del TJUE.

Y la cuarta opción es no hacer nada, y puede que sea la más inteligente para Google. Acumular las peticiones, dejar que los usuarios que lo consideren inicien un procedimiento de tutela de derechos, no todos lo harán, ante la Agencia de Protección de Datos y que sea esta quien decida cuando procede o no la retirada del enlace.

De esta manera, el problema se les traspasaría a la Agencia, que podría verse saturada de peticiones, que debe resolver y le daría el trabajo de decisión hecho a Google, con unos costes mínimos, puesto que las alegaciones podrían ser casi un formulario.

Estos son escenarios posibles habida cuenta del contenido de la Sentencia.

Lo cierto es que la misma me deja un sabor agridulce. Por un lado, y en el corto plazo, por los derechos del ciudadano afectado me parece positiva. Pero a largo plazo creo que puede tener efectos negativos en términos sociales, pues no me termina de convencer la posibilidad de que cada uno mostremos sólo una parte de lo que nos interesa, obviando otras cosas que también son importantes. El problema es que en los procedimientos para decidir qué se retira y que no, el interés del resto por conocer, no se ve representado.

Habrá que estar atento a como se desarrollan los acontecimientos, porque esto sólo acaba de comenzar.