Alberto Cuesta: ‘Debemos acostumbrarnos a compartir conocimientos que pueden hacernos crecer como profesionales’

Entrevista a Alberto Cuesta, Abogado y Vocal de la Sección de Derecho Tecnológico (TIC) del Ilustre Colegio de Abogados de Barcelona (ICAB)

Alberto, ¿cuáles son los motivos que le impulsaron para especializarse profesionalmente en Derecho Tecnológico?

Era pequeño y mi abuelo me regaló un ordenador. Comprobé de lo que era capaz de hacer esa máquina y pensé que un nuevo mundo se abría ante mis ojos. Tras instalar y desinstalar programas de ofimática  le tocó el turno a un videojuego, entonces no fue un nuevo mundo el que apareció ante mí y sí un universo paralelo… Me pareció apoteósico el despliegue de medios de ese juego llamado “Striker” para PC, comparado con los gráficos de 8 bits de la histórica consola “Atari” que es de donde venía. Me preguntaba cómo era capaz ese aparato de hacer cosas tan diversas y de tanta calidad. Desde entonces me lo sigo preguntando y por ello he participado en “Clanwars” y ligas online de videojuegos, tanto como jugador y como árbitro.  El “Medal of Honor” y desde 2004 el “Call of Duty” son los “games” a los que más he jugado (aunque los “campers” y el “lag” a veces dificultan el juego). Esta afición por el mundo de los videojuegos ha influido en mi dedicación profesional. Me ha relacionado diariamente con la informática y ahora asesoro legalmente a empresas de este sector. La vida es un camino que a veces sin esperártelo acaba aunando algunas de tus pasiones.

¿Cuáles son los temas más recurrentes en materia de Derecho Tecnológico que le llegan al despacho?

Los asuntos que recibimos en URECA-Legal son muy dispares. Desde la adaptación de creaciones tecnológicas a la legislación digital, la redacción de un contrato de Licencia de Uso de una App, pasando por la protección jurídica de una nueva idea de negocio online, la tramitación de una patente, hasta la gestión legal de un sistema de geolocalización de las flotas de vehículos para una empresa de transportes. Aparte de los clásicos casos como implementar la normativa de protección de datos (LOPD) en una entidad pública o privada o la legalización de websites a la normativa digital. Por otra parte, desde el punto de vista procesal atendemos los diferentes delitos informáticos puesto que nos encontramos con personas que han sufrido acoso en Internet,  fraudes informáticos como los bancarios, etc. Desde un punto de vista más administrativo-tecnológico, representamos a nuestros clientes ante organismos con potestades de inspección y capacidad sancionadora como la  Secretaría de Estado de Telecomunicaciones y para la sociedad de la Información (SETSI), la Agencia Española de Protección de Datos (AEPD) o la Subdirección General de Servicios de la Sociedad de la Información (SGSI) ante posibles denuncias o reclamaciones que hayan podido recibir o con el objetivo de solicitar una Licencia por ejemplo ante la Dirección General de Ordenación del Juego (DGOJ).

 ¿Qué objetivos se ha marcado como Vocal dela Sección de Derecho TIC del ICAB?

Como vocal intento difundir el mensaje de que los abogados tenemos que afrontar y aceptar un cambio de paradigma en la profesión, hemos pasado de una sociedad analógica a una digital en pocos años. De una profesión en la que la imagen del abogado se relacionaba con montañas de papeles a otra en la que en un simple “pendrive” o lápiz de memoria almacenas ordenadamente miles de expedientes. ¿No es más fácil que un sistema operativo te ordene tus expedientes en carpetas digitales que hacerlo manualmente buscando entre papeles?

Por otra parte, formar e informar a los colegas de profesión mediante conferencias y cursos que organizamos desde la Sección TIC es otro de los retos que nos hemos marcado. Sólo hay que comprobar la agenda de eventos de los últimos meses en el ICAB para comprobar que los eventos proliferan sobre privacidad, e-commerce, telecomunicaciones, delitos informáticos, etc. Es una labor que gracias al gran trabajo de todos los compañeros de sección estamos realizando en aras de  mantener al día de las novedades del sector a los interesados en esta rama del Derecho. Desde estas líneas invito a todos los lectores a que acudan a estos eventos, cursos y conferencias que proponemos desde el Ilustre Colegio de Abogados de Barcelona.

¿Cómo definiría el Colegio 2.0, y qué es lo que nos falta hoy por hoy para llegar a que se cumpla esa tesitura?

Es la posibilidad de los abogados de pertenecer a una comunidad jurídica, la cual nutriría de facilidades al desempeño de nuestra labor diaria tanto en los juzgados como en el despacho. El Colegio 2.0 estaría compuesto por tres elementos: participación, colaboración e información. Participación de los compañeros y compañeras en los diferentes foros jurídicos, comunidades web, blogs, wikis, folcsonomías, etc; colaboración entre los mismos en el mundo online, dejando atrás el individualismo como abogados que se encuentra insertado en nuestro ADN desde el primer año de carrera; información, debemos acostumbrarnos a compartir conocimientos que pueden hacernos crecer como profesionales. Perdiendo el miedo a exponer públicamente nuestro saber, recibiremos la crítica de otros profesionales pero ello nos permitirá reflexionar sobre nuestro parecer jurídico.

Alcanzaremos pronto este objetivo, la tendencia de las sociedades hace que los juristas se adapten a ella para poder servir como mediadores en la eterna “zona de conflicto” en la que solemos trabajar. Hoy día, nos encaminamos hacia la economía colaborativa (véase aplicaciones como UBER, o fenómenos como el “Crowdfounding”), esto hará que capilarmente desde toda la sociedad, incluidos el mundo jurídico y los Colegios Profesionales, se promueva iniciativas de colaboración para poder crecer. Los abogados compartiremos experiencias del día a día en mayor grado que en la actualidad. Un punto necesario para conseguirlo es fomentar la interconexión de los diferentes Colegios de Abogados y fomentar más iniciativas conjuntas.

Poco a poco se va extendiendo el uso de LexNet ¿cómo afectará esta herramienta -una vez se haya implantado totalmente- al trabajo de los abogados? Y a su parecer ¿cuáles son sus ventajas e inconvenientes?

Nos permitirá decir y actuar qué somos abogados del siglo XXI y no decimonónicos. Es incomprensible que tras años en las que las TIC han aterrizado en nuestra sociedad, hoy día aún el fax sea un elemento esencial en la administración de justicia. La implementación de Lexnet es un síntoma de que algo se mueve en el mundo de la Justicia. Debemos esperar que con la entrada de “nativos digitales” como compañeros de profesión, las TIC sufran un fuerte impulso en nuestro sector. Lexnet conllevará que la cultura de la digitalización documental alcance a los abogados actuales y que a partir de ese momento los despachos no parezcan un “campo minado” de demandas, autos y providencias sin clasificar e imposibles de encontrar en caso de urgencia profesional.

La primera gran ventaja es que ahorraremos tiempo puesto que se agilizará la tramitación de los expedientes. No deberemos desplazarnos a la sede judicial y sí presentar los documentos por vía telemática.

En segundo lugar, se incrementará la seguridad de la información y el respeto de la privacidad  tan demandada por nuestros clientes en estos tiempos. Es un sistema que  permite el uso de la firma electrónica reconocida (más segura que la avanzada, al ser generada mediante un dispositivo seguro de creación de firma) y cumplir con los estándares reconocidos internacionalmente sobre la correcta gestión de la información. El sistema permite que la información permanezca de forma Confidencial entre el emisor y el receptor de los documentos, que Íntegramente sea recibida por los abogados y que esté Disponible por los mismos desde el instante de su recepción para poder continuar con la tramitación de los expedientes. Asimismo es un servicio que al proporcionar pruebas de la integridad y origen de los datos cumple con el llamado No Repudio.  El desafío para desterrar esa imagen de una bandeja de fax en el que reposa desde hace días un documento sin dueño ni destino, ha empezado…

Los inconvenientes que nos venimos encontrando los profesionales es que el sistema no está adaptado a todos los navegadores y sistemas operativos existentes, ello conlleva problemas en la ejecución del mismo. En todo caso, más allá de estos problemas técnicos, el cambio cultural entre los profesionales del Derecho, es el reto que afronta este sistema. Una transición pacífica y constante del uso del documento en papel al automatizado es el verdadero desafío al que nos enfrentamos.

¿Cuáles son a su juicio las principales carencias tecnológicas que limitan la eficacia y eficiencia en el actual marco de la administración de Justicia en España?

Dotar de medios tecnológicos adecuados a las sedes judiciales es necesario para el desarrollo de una justicia moderna. Se debe iniciar un proceso de digitalización masivo de expedientes allí donde no se ha producido en aras de gestionar de forma automatizada la información.

Extender los mecanismos de autenticación a toda la justicia, operadores jurídicos y ciudadanos es esencial. Se requieren implementar los mecanismos de integración de los sistemas informáticos. Continuar con la modernización de  los dispositivos usados en las declaraciones y grabaciones de juicios es otro de los desafíos. Otro factor que se debe perseguir es conseguir un expediente judicial que aglutine toda la información del proceso, aspecto básico para el correcto funcionamiento del sistema. No puede ocurrir que un compañero abogado cambie de despacho y ese hecho le conlleve redactar y notificar individualmente a cada Juzgado la nueva dirección y además deba hacerlo en persona mediante la presentación de un escrito. Pérdida de tiempo innecesaria.

 Se viene apuntando que el quid de la cuestión para que arranque con éxito la Justicia 2.0 radica en la interoperabilidad con -y entre- las administraciones públicas. ¿Desde la perspectiva jurídica cómo consideraría un posible proyecto de dotar a todos los ciudadanos con una cuenta oficial personal de correo electrónico dedicado en exclusiva para su comunicación de índole administrativa con todas las administraciones (estatal, autonómica, provincial, local…)?

Potenciar la interoperabilidad  entre los distintos Juzgados y Tribunales del Estado es un punto clave para poder alcanzar los objetivos de modernización de la Justicia. La falta de conexión actual entre los mismos provoca retrasos y una burocratización excesiva.

Dotar de una cuenta de correo electrónico oficial es una medida acertada en aras de reducir los trámites offline y acabar con esperas interminables ante las ventanillas de la administración. Esta implementación debería ejecutarse atendiendo a dos requisitos. En primer lugar, que se implementara un sistema análogo desde la perspectiva de la seguridad de la información al de la Administración Tributaria. En segundo lugar, el nuevo sistema online de comunicación con la administración debería convivir durante años con el sistema tradicional. ¿Por qué? actualmente la brecha digital alcanza al 22% de la población. La misma se ha ido reduciendo paulatinamente en los últimos años pero esas personas no pueden quedar incomunicadas.

El actual Ministro de Justicia comentó en cierta ocasión que estamos en la hora de la e-Justicia ¿creé usted que al igual que se tiende a la Justicia sin papeles será posible en un futuro la administración de Justicia cien por cien electrónica sin tener que pisar un juzgado?

Sin duda ese momento llegará. Las  videoconferencias y la holografía influirán mucho en ello.  Las primeras ya se usan en determinados casos como por ejemplo los ciudadanos extranjeros que declaran desde sus países tras sufrir un robo durante sus vacaciones. La segunda técnica de comunicación a distancia,  los hologramas es más novedosa. Sin temor a ser un errado visionario, estoy seguro que esta técnica avanzada de fotografía, que crea imágenes en tres dimensiones, se impondrá en un futuro como mecanismo de comunicación y algún día posibilitará que no haya que acudir a los juzgados.

El camino que debe recorrer la Justicia es largo para que se impongan estas nuevas técnicas y no sólo tecnológicamente. Hemos crecido leyendo a John Grisham y viendo en TV  historias de abogados, jueces y ciudadanos que dirimen sus disputas en una sala de un juzgado. Este hecho culturalmente está muy arraigado. El factor cultural junto con la actual crisis económica son determinantes para que la modernización de la Justicia todavía no camine con paso firme.

Y ya puestos, qué tres medidas principales en el ámbito jurídico-tecnológico le pediría al Ministro de Justicia para agilizar y mejorar la administración de Justicia.

La obligatoriedad del uso de la firma electrónica reconocida por todos los agentes que intervienen en la Administración de Justicia, desde abogados a funcionarios pasando por cualquier tercero que intervenga en un proceso en aras de que toda la tramitación de los expedientes sea más rápida y eficiente.

La definitiva implementación en todos los ámbitos de la Justicia de soluciones informáticas, de programas de software como Lexnet y que permitan a un ciudadano conocer el estado de su expediente al momento; a un abogado descargar una providencia o un auto desde su despacho; y a un juez emitir un fallo y directamente subirlo a la nube para que reste a disposición de las partes interesadas.  Los mismos otorgarían mayor trasparencia y dinamismo a los procesos, evitando las habituales dilaciones. La digitalización de los expedientes judiciales es clave para poder modernizar nuestra Justicia. A partir de ese momento, será efectivo el uso de un modo de autenticación bajo firma electrónica y la utilización de software específico para tratar los expedientes.

La erradicación del fax de todas las sedes judiciales y el uso intensivo de las comunicaciones online seguras entre operadores jurídico liberaría tanto a juzgados, como despachos de abogados y procuradores, de cantidades ingentes de papel y al mismo tiempo otorgaría mayor seguridad en la protección de los datos de carácter personal de los administrados.

http://www.elderecho.com/actualidad/entrevistas/abogados-tecnologia-icab_14_706195001.html

ALBERTO CUESTA

Abogado-Director en URECA-Legal (nº32.435)

Vocal Sección TIC Colegio de Abogados de Barcelona

Miembro Registro AULETEC – Abogados auditores de entornos tecnológicos (Lic.nº33)

Miembro del Observatorio Iberoamericano de Protección de Datos

Las COOKIES ocultas de Google, sanción AEPD

 

Tiempos apasionantemente convulsos en el mundo jurídico online: derecho al olvido, persecución de twitteros, usurpaciones de identidad digital, robo de datos de usuarios en plataformas de internet, nuevo reglamento europeo de privacidad, etc. Otro de los factores que está influyendo en esta espiral de constante aparición de nuevas realidades legales TIC es la problemática de las cookies.  Todo cambió respecto al tratamiento legal de esta pequeña información que envían algunos websites a los navegadores de sus usuarios desde la modificación del artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSI), introducida por el Real Decreto Ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas, y en materia de comunicaciones electrónicas.

 

Desde ese momento, se han venido analizando las formas jurídico-tecnológicas más adecuadas en los websites para llevar a la práctica lo establecido por el citado precepto. Pero las interpretaciones han sido muchas y variadas. Afortunadamente la Agencia Española de Protección de Datos (en adelante la AEPD) en los últimos meses está clarificando la situación. Por medio de una sanción y una “guía sobre el uso de las cookies”, los abogados especializados en derecho digital tenemos la oportunidad de empaparnos de los criterios de la AEPD para permitir a nuestros clientes cumplir con la normativa. Pues bien, la segunda sanción acaba de aterrizar, hace apenas unos días. Aquí está:

 

La Resolución R/00936/2014:

 http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2014/common/pdfs/PS-00320-2013_Resolucion-de-fecha-14-05-2014_Art-ii-culo-22.2-LSSI.pdf

 

Debemos trasladarnos al año 2012, cuando la Unión Cívica Provincial de Consumidores y Usuarios de Palencia y la Junta de Castilla y León pusieron en conocimiento de la AEPD que la página web basada en blogspot.com de un Centro Ecuestre, podría estar incumpliendo la Ley Orgánica de Protección de Datos y la LSSI.

Los fundamentos para imponer esta sanción no varían en su esencia respecto a los de la primera: falta de información adecuada sobre el uso de cookies y falta de obtención del consentimiento para su instalación. En cambio, el sujeto sancionado sí es diferente y en gran medida. Ya no se trata de sancionar a una PYME y sí a un gigante empresarial transnacional que todos conocemos llamado Google Inc.  Específicamente la sanción de 25.000€ impuesta es consecuencia de la incompatibilidad con el artículo 22.2 de la LSSI del servicio de creación de blogs gratuitos que ofrece a través de la tecnología blogger.

 

Pero, ¿por qué sancionan a Google, Inc. sí la denuncia va dirigida contra un Centro Ecuestre de Palencia que ha creado un blog?

 

La AEPD fundamenta su decisión puesto que Google Inc. es el responsable del servicio y quien determina la infraestructura del sistema de blogs gratuitos limitando a los usuarios y editores de los mismos conocer si se instalan cookies o no:

 

“ha quedado acreditado que Google instala y utiliza, por defecto, en los terminales de los usuarios que acceden a los blogs creados bajo la infraestructura de su servicio on-line Blogger, y configurados sin la opción del campo “ID de propiedad web de Google Analytics”, cuatro cookies asociadas a dicha herramienta analítica (“utma”, “_utmb”, “utmc” y “utmz”), y una cookie publicitaria (NID).

 

La descarga de dichos dispositivos y el acceso a los datos almacenados en los mismos se produce sin que Google proporcione a los editores que emplean la infraestructura de Blogger información sobre la utilización de tales dispositivos propios o de terceros ni los fines concretos para los que se tratan los datos recogidos (…)

 

Google tampoco proporciona directamente a los visitantes que acceden a los espacios web creados bajo la citada configuración la información relativa a los extremos anteriormente reseñados al objeto de obtener el consentimiento informado de los mismos con anterioridad a la instalación y uso de dichos dispositivos de almacenamiento y recuperación de datos en sus equipos terminales. (…)”

 

Asimismo, según la AEPD tampoco  existen opciones de configuración posterior por parte de los creadores de blogs. Las cookies están activadas por defecto y así deben permanecer si se desea utilizar el servicio online:

 

“Al crear los blogs Google no ofrece opciones de configuración que permitan a los editores de los mismos bloquear el uso de las cookies que dicha compañía instala por defecto sin informar sobre su utilización y finalidades a las que responde el tratamiento de los datos (…)”

 

Pero Google Inc. se defiende y, por una parte,  alega que las cookies usadas son necesarias para la prestación del servicio de bitácora blogger y por tanto la entidad acogiéndose al tercer párrafo del artículo 22.2 no debe cumplir con los requerimientos sobre las cookies comentados. La AEPD niega este hecho y señala que no son necesarias para prestar el servicio puesto que si se desactivan las mismas, los blogs creados continuarían funcionando.

 

Por otra parte, la entidad estadounidense se defiende argumentando que la AEPD no está legitimada para actuar puesto que no se tratan datos personales por medio de las cookies instaladas. La Agencia replica indicando que el artículo 22.2  de la LSSI no contiene ningún mandato legal que limite el cumplimiento de las obligaciones contenidas en el mismo a la existencia de un tratamiento de datos de carácter personal.

 

Respecto a la primera sanción sobre cookies en el que no encontró intencionalidad en la conducta infractora, en este caso la AEPD acusa a Google Inc. de actuar con dolo, ocultando deliberadamente a los editores de los blogs el almacenamiento de cookies y las finalidades perseguidas.

 

En definitiva, tenemos ante nosotros una nueva resolución de la AEPD que consolida la obligación de información clara, sencilla y completa sobre el uso de  las cookies a los usuarios de los WEBSITES y la necesidad de solicitar el consentimiento previo a los mismos para poder instalarlas.

 

La pregunta es: ¿Google Inc. se adaptará a las obligaciones que le impone la legislación comunitaria sobre las cookies como acaba de ocurrir con el “derecho al olvido”?...

 

Alberto Cuesta

Abogado en URECA-Legal

www.urecalegal.com/

Auditoría de protección de datos en un Ayuntamiento

Durante años, cualquier persona con un traje y una corbata podía adentrarse por los pasillos de un Ayuntamiento y no pasaba nada. Incluso si éste, osaba a abrir un armario o recoger unos papeles de una mesa, era probable que no fuera recriminado.

Los tiempos han cambiado y, la conciencia en torno a la protección de la información, ha aumentado en las entidades públicas españolas. Vengo aquí a intentar acercaros una realidad, con la que me topo en mi labor diaria, como abogado y consultor de seguridad de la información cuando acudo a un Ayuntamiento.

Al plantearnos una implantación o auditoría para asegurar la adaptación de la Ley de Protección de Datos 15/1999, lo primero que hacemos es planificar la misma en una reunión de lanzamiento del proyecto con los encargados a nivel interno de la seguridad de la información. Esta labor queda en manos del departamento TIC en innumerables ocasiones. El hecho que la Ley contenga ingentes aspectos técnicos y que la génesis de la misma fue proteger la información automatizada y no en papel, ha hecho que este encargo de la privacidad, recaiga en ellos.

La segunda ocasión que acudimos a la sede del Ayuntamiento, es con el propósito de realizar una inspección física a las sedes de la institución pública con un doble objetivo:

A)  entrevistarnos con el personal de la institución acerca de cómo realizan el tratamiento de datos de los ciudadanos.

B) analizar la distribución de los departamentos, armarios, sala de servidores informáticos (CPD), protección exterior de la instalación, tipo seguridad en las puertas (lector biométrico, llave, tarjeta, etc.), comunicaciones y/o accesos de terceros a datos, etc. Ello lo hacemos recorriendo el interior de las instalaciones acompañados por personal interno con acceso a todos los rincones del Ayuntamiento.

A veces conlleva recorrer un municipio de un extremo a otro, puesto que no es habitual encontrar las sedes en el mismo edificio (servicios sociales, el archivo municipal, la biblioteca, etc.). Puede suponer un agradable paseo por pueblos realmente hermosos y con encanto, otras veces en cambio,  el esquivar coches, personas y ruidos por populosas ciudades.

Una vez realizadas las entrevistas con los respectivos departamentos,  vistas las sedes y conseguido el material necesario para poder realizar  el informe de auditoría, (formularios, contratos con terceros entre el Ayuntamiento y empresas, etc), marchamos a la oficina.

Procesamos toda la información para elaborar la documentación obligatoria. En el caso de una actuación de auditoría, realizamos un informe y plasmamos los incumplimientos que según la Ley de Protección de Datos y el Reglamento de desarrollo está incurriendo el Ayuntamiento en cuestión. Un trabajo que conlleva escrutar precepto a precepto cada texto normativo y verter en dicho informe las medidas correctoras y recomendaciones personalizadas y pertinentes para cumplir con la normativa española y por ende europea de privacidad.

Pasaremos a convocar una nueva reunión de presentación del informe. Habitualmente es una reunión a nivel técnico, en la que pueden intervenir los encargados del departamento de nuevas tecnologías, RRHH, servicios sociales, etc. Pero en alguna ocasión, en poblaciones de reducida dimensión, me he llevado la grata sorpresa que Alcaldes y Regidores muy implicados y concienciados han deseado participar en las mismas.

No sirve de nada una auditoria o implementación de un sistema de protección de datos e información si los resultados no se difunden entre todos los usuarios (ojo!, incluidos los puestos directivos, gerencia, alcaldía y no sólo el personal de base). Dos vías son fundamentales para conseguirlo: 

A)    Formar y concienciar a los usuarios del sistema sobre cómo deben tratar los datos personales. Por ejemplo, sobre la forma segura de usar los dispositivos que el Ayuntamiento pone a su disposición y de los dispositivos de los usuarios (BYOD)

B)     Difundir la política de seguridad de la información aprobada por la institución para que sea leída,  comprendida y asumida por todos los usuarios (manual de funciones y obligaciones del personal)

Una vez detectados los incumplimientos, comunicados los resultados y medidas correctoras al Ayuntamiento, estos deberán implementar. Debiendo desde nuestro puesto de consultores jurídicos atender las consultas en un proceso que, por momentos, se eterniza. Depende de nosotros, como directores del proyecto, ser resolutivos e impulsar la conclusión del mismo para que nuestro trabajo adquiera valor.

Al comprobar al cabo de unos meses que en el Ayuntamiento ya no es posible entrar sin preguntar y apropiarnos de los documentos que alguien se dejó olvidados en la bandeja de entrada de una fotocopiadora…efectivamente pensaremos que el trabajo realizado comienza a dar sus frutos.

Alberto Cuesta

Abogado en URECA-Legal

www.urecalegal.com

México, inseguridad y protección de datos

Es sabido que la actual situación de este precioso país norteamericano es conflictiva a nivel social, la delincuencia es un grave problema para nuestros hermanos mejicanos. Puede ser cuestión de vida o muerte para una persona, que determinadas bandas conozcan sus datos personales. Por este motivo, adquiere suma importancia limitar la difusión pública y no consentida de datos como dirección postal, teléfono, profesión, hábitos, posicionamientos personales originados por la geolocalización, etc, para evitar que puedan ser usados con fines delicitivos.

Esta razón, entre otras de carácter económico, han provocado que desde 2010 México cuente con la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) (http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf) y desde diciembre de 2012, del Reglamento que la desarrolla. Dicha legislación se basa a nivel constitucional en el artículo 16 de dicho texto legal.

Respecto a la legislación española de protección de datos, no existen diferencias en los siguientes puntos: los datos pertenecen al titular; la autodeterminación informativa es un derecho de las personas, es decir, éstas tienen derecho a saber para qué finalidades se usan sus datos y que datos posee una organización; concurre la figura del encargado del tratamiento; se promueven la autorregulación vinculante en forma de códigos éticos, buenas prácticas y sellos de confianza;  rigen el principio consentimiento, proporcionalidad en la recogida, licitud en la recogida de datos.

Aunque sí encontramos una gran diferencia a nivel sancionador. Observamos que el ordenamiento mejicano contempla la imposición de sanciones civiles y penales y no sólo administrativas como en España.  El órgano regulador, el Instituto Federal de Acceso a la Información y protección de datos (IFAI), órgano análogo a nuestra AEPD, es el encargado de la imposición de sanciones en caso de incumplimiento, las cuales son de orden administrativo, civil y penal, ya que se contemplan multas desde 100 a 320 días de salario mínimo (unos 19,945,600 pesos). También se contemplan sanciones civiles que resultan aplicables tras un tratamiento indebido de la información. Y llegamos a lo más sorprendente desde el punto de vista europeo, se regulan  penas de cárcel por incumplimientos de protección de datos, que van de los 3 meses a los 10 años de prisión, por la infracción más grave.

Desde mi perspectiva, la inclusión de penas de prisión es debido a la alta delincuencia existente hoy día en la nación mexicana y el grave riesgo de sufrir un ataque que supone para la población la falta de control de la información personal. Se han producido supuestos en los que el robo de información personal ha facilitado la muerte de una persona y con esta Ley y Reglamento, se intenta atajar este hecho.

Como conclusión, una vez más, observamos que la normativa de reciente creación en un estado latinoamericano, vuelve a beber del derecho europeo de protección de datos, confirmándose como ejemplo para numerosas regulaciones del planeta.

Alberto Cuesta

Abogado en URECA-Legal

www.urecalegal.com

¿Estoy enviando SPAM ilegal en redes sociales?

Las tarjetas de visita entre profesionales se siguen intercambiando pero en menor medida que las solicitudes de amistad en redes sociales. Este fenómeno ha provocado que surjan dudas sobre la legalidad al enviar mensajes publicitarios a través de las mismas aprovechando esta nueva forma de permanecer en contacto.

La jurisprudencia hace más de un lustro que permite el envío de publicidad de sus empresas cuando dos personas han intercambiado sus tarjetas profesionales.

Pero,  ¿qué ocurre en el mundo virtual?  ¿por ejemplo con Facebook o Linkedin?. Debemos partir de la base que un mensaje publicitario debe de ser consentido por el receptor y atender a las normas propias de la red.

Las cláusulas de Facebook permiten el envío de publicidad, pero  no podremos enviarla a nuestros amigos puesto que aceptaron nuestra amistad con otro fin. Deberemos crear una “fanpage”  informando que publicitaremos nuestros negocio para que los usuarios de Facebook que clicken “Me Gusta” conozcan que recibirán inputs publicitarios en su muro. Por tanto, con esa información previa el usuario estará consintiendo el envío de mensajes.

Por su parte, las normas de Linkedin desde un inicio prohíben el uso de mensajes publicitarios al tratarse de una red meramente profesional:

“Algunos de estos comportamientos inapropiados pueden ir desde un mensaje no deseado hasta campañas deliberadas de spam. Sea cual fuere su volumen, LinkedIn es una red profesional de facilitación de contactos y esperamos que el contenido de nuestros miembros sea siempre profesional”

Estas dos redes son meros ejemplos del cuidado que debemos tener en el uso indiscriminado de agresivas técnicas de marketing online (mailings, recopilación de información personal de internet, etc.). Sin una observación adecuada de las normas legales podemos exponernos a sanciones económicas que sobrepasan las cuatros cifras y pueden poner en riesgo la viabilidad de nuestro negocio.

Alberto Cuesta

Abogado en URECA-Legal

www.urecalegal.com

Martes, 9.43pm “Hola, llamamos de la operadora telefónica...”

Seguro que más de una vez hemos descolgado nuestro teléfono y al otro lado se ha dirigido a nosotros  una persona hablando muy rápido e intentando persuadirnos en aras de adquirir alguno de sus servicios. Estas llamadas constantes y molestas a deshoras, son una de las quejas más usuales en el turno de preguntas que me formulan en las formaciones y conferencias de privacidad que he realizado:

¿Cómo puedo evitar que me llamen a la hora de la cena para que cambie de compañía telefónica?. 

Pues bien, mi respuesta suele ser bastante clara y sencilla, 5 pasos podremos dar:

Preventivamente:

Por un lado, inscribirnos en la lista de exclusión publicitaria más importante de España, la Lista Robinson (www.listarobinson.es) y, por otro lado,  evitar facilitar nuestro teléfono en cualquier formulario en papel u online que nos pongan delante, salvo que sea estrictamente necesario.

1.- La Lista Robinson, está gestionada por la Asociación Española de Economía Digital conforme a las previsiones de la Ley Orgánica de Protección de Datos (en adelante LOPD) y avalada por la Agencia Española de Protección de Datos. ¿Para qué sirve? al inscribirnos gratuitamente, se tarda cinco minutos, evitaremos que nos remitan  comunicaciones comerciales vía email, SMS, postal o las referidas llamadas telefónicas. Todas las entidades que inicien una campaña publicitaria deberán consultar previamente esta lista y a las personas que están inscritas no les podrán remitir su mensaje comercial.

2.- En los formularios debemos evitar ofrecer información excesiva e irrelevante.  Los formularios en papel o de Internet son una fuente por la que las empresas recaban datos personales entre ellos nuestro teléfono. Al inscribirnos a una carrera atlética, en la lavandería, en la academia de inglés, en el gimnasio, etc, nos solicitan en ocasiones datos innecesarios. Por Internet mejor ni hablar, existen cantidad de falsos concursos o promociones que se financian con nuestros datos.  De nosotros depende si queremos optar a ese iPad que quizás ni se ponga a concurso, facilitando hasta nuestro número de zapato o color de pelo…

  

Reactivamente:

3.- Cuando recibamos la molesta llamada debemos decirles que estamos inscritos en la Lista Robinson, de esta manera lo más usual es que pidan perdón y no te vuelvan a llamar puesto que saben que se exponen a una sanción. Si el protocolo de la entidad de telefonía es óptimo, bloquearán tu número para evitar que en posteriores campañas vuelvan a llamar. (importante: hasta pasados 3 meses desde la inscripción, el registro Robinson no surte efecto).

4.- Si hemos vuelto a recibir una llamada del mismo operador tenemos la opción de entrar en la web www.listarobinson.es  y en el buscador localizar a la entidad que nos incordia con esas llamadas. Automáticamente desde la web le mandarán un email recordándole que estamos inscritos. Al mismo tiempo, podemos desde nuestra cuenta de correo ejercer el derecho de cancelación de datos o, sí es una entidad que nos está prestando un servicio, el derecho de oposición al tratamiento comercial que están realizando, ambos recogidos en la LOPD.

5.-  En caso que la aplicación de estas acciones no resulte y prosigue el acoso, nos queda la opción de acudir a la Agencia Española de Protección de Datos para formalizar denuncia. Aunque claro, lo complicado será siempre obtener la prueba. En caso que la campaña comercial se base en  emails, SMS o cartas, es aconsejable acompañar la denuncia con esas evidencias.

Como corolario, debo decir que mi experiencia personal me ha demostrado que aplicando estas simples medidas se puede llegar a descansar tranquilo de este tipo de venta agresiva y evitar decir más el latiguillo de:

“lo siento, no me interesa…”

Alberto Cuesta

Abogado en URECA-Legal

www.urecalegal.com

www.leyessinfronteras.blogspot.com.es/

Las ideas no se registran, se protegen

Existe una tendencia general a pensar que cualquier creación humana es protegible mediante la inscripción en un registro público,  pero no es cierto. Una nueva idea de negocio online o un nuevo proceso comercial para aumentar las ventas de un producto, etc, no podrían ser registradas pero si protegidas por otros mecanismos legales ante terceros.

Para situarnos, disponemos de distintos registros: el Registro de la Propiedad Intelectual y el Registros de Patentes–Marcas y,  junto a estos, han aparecido últimamente registros online para obras multimedia.

Veamos por tanto si mi estupenda idea sobre un nuevo modelo de negocio online para optimizar las ventas de las famosas  “galletas de colores con sabor a rosquilla artesanal de Uzbequistán”  podría ser registrable en cada uno de ellos:

Empezamos por el registro público de Patentes y Marcas. Para que una creación sea patentable, debe contener los requisitos de Novedad, Actividad Inventiva y Aplicación Industrial. Por tanto, sin entrar analizar las dos primeras, queda descartada nuestra idea puesto que no es posible la aplicación industrial de mi idea online.

Respecto al Registro público de Propiedad Intelectual, tiene como objetivo la protección de creaciones originales literarias, artísticas o científicas que se puedan expresar en cualquier tipo de soporte, hablamos de libros, obras musicales, etc. No cabe inscribir un nuevo proceso de negocio online.

Por último, los novedosos Registros Online como SafeCreative, no oficial como los anteriores,  sirven para proteger nuestras obras virtuales. Es la translación al mundo digital del registro de la Propiedad Intelectual. Por tanto, tampoco podría inscribir y obtener la protección de mi idea debido a que no es una obra.

Pero, ¿qué ocurre con mi genial idea sobre el modelo de negocio online para optimizar las ventas de las famosas  “galletas de colores con sabor a rosquilla artesanal de Uzbequistán”?.  Al no poder inscribirlo en ninguno de los tres registros, debo protegerlo de alguna manera porque deseo presentárselo a una serie de “Business Angels” en un congreso para venderlo. Es una tarea que deberé hacer previamente a acudir al congreso en el cual pretendo vender mi idea o, como mínimo, obtener la financiación necesaria para desarrollar el proyecto. Pues bien, desde un el punto de vista jurídico, existen diferentes mecanismos que podemos implementar para proteger esa idea e impedir que un tercero nos la robe. Debemos evitar que sin nuestra autorización explote la idea económicamente adjudicándose la autoría intelectual de la misma. Uno de los mecanismos, es la firma de un NDA (Non Disclosure Agreement) o contrato de confidencialidad por parte de receptor de la información, será un paso imprescindible, entre otras acciones legales a emprender en aras de protegernos adecuadamente.

Para finalizar, puede resultar incomprensible que mi idea de negocio online no se pueda proteger mediante registro público o privado. Una de las explicaciones que resultan más extendidas, y que a mi parecer resulta acertada, es que las ideas sobre nuevos formas de hacer negocio (tiendas de “todo a 100 pesetas”) a diferencia de los inventos patentables (la famosa fregona) son una creación fruto del proceso de socialización de la persona, que han surgido por la convivencia en comunidad de un sujeto y por eso no pueden atribuirse los beneficios económicos a un solo individuo.

En todo caso,  tenemos que dejar claro que disponemos de la posibilidad de defendernos ante posibles plagiadores de nuestras ideas de negocio, y ante un futuro proceso judicial, cualquier evidencia que demuestre que somos los originales ideólogos, redundará económicamente a nuestro favor en la sentencia.

Alberto Cuesta

Abogado en URECA-Legal

www.urecalegal.com