Archivo de la categoría: Actualidad

Viabilidad de un mercado de obras digitales de segunda mano

Posted on by
Responder

En la edición de hoy de El País se publica un artículo de Francisco Javier Martín del Barrio titulado “Mazazo a la segunda mano digital” en el que comenta una reciente decisión judicial que niega a la empresa ReDigi la posibilidad de ofrecer como usadas canciones de iTunes adquiridas previamente por otros usuarios.

El sistema diseñado por ReDigi es parecido al reivindicado por Amazon en su patente para la venta de eBooks de segunda mano. La diferencia es que Amazon es propietario de la plataforma que gestiona las licencias y ReDigi no, por lo que ha tenido que crear una nube propia en la que no se reproducen los elementos de control que Amazon tiene en relación a Kindle o Apple en relación a iTunes.

Tanto Amazon como Apple administran un conjunto de servidores en los que, si ententemos agotado el derecho de distribución a partir de la primera venta, podrían simular un entorno muy parecido al de la venta de libros, música y cine en soporte físico. Es decir, podrían asegurar al titular de los derechos que una obra digital adquirida de segunda mano pasa de la cuenta del primer usuario a la cuenta del segundo, de manera que el primero deja de tenerla de forma efectiva. Al menos online.

Tanto Amazon como Apple pueden aplicar un código único y un hash a cada canción, libro o película, con el fin de que en el mismo entorno no puedan coexistir dos archivos con el mismo hash y garantizando que el fichero transmitido de un usuario a otro sea el mismo, y que uno dejará de tenerlo en el momento en que sea transferido al nuevo usuario. Este sistema sería el más parecido a la venta de segunda mano de una obra en soporte físico. Un usuario pierde la posesión en favor de otro que la gana.

A pesar de todo, la ausencia de duplicados podría garantizarse a nivel cloud, pero no a nivel de dispositivos offline.

Ello es importante porque el juez del caso Capitol contra ReDigi ha entendido que en el sistema diseñado por esta empresa no se producía una transferencia física y que el segundo usuario obtenía una copia nueva de la obra.

Recordemos que una de las principales características de la tecnología digital es justamente la posibilidad de realizar una copia idéntica de una obra digital, sin merma alguna de calidad. Simplemente copiando el fichero. Por ello es importante determinar si el agotamiento del derecho de distribución que se produce en las obras analógicas o en las obras digitales en soporte físico se puede dar también en un entorno virtual como Internet. Aunque hay algunas sentencias a favor de esta tesis, el nuevo criterio aplicado en este caso podría suponer un obstáculo para la creación de un mercado de segunda mano digital.

Si al final se trata de evitar que se produzca una copia nueva, la solución pasaría por una combinación de elementos técnicos y jurídicos. Las garantías técnicas deberían asegurar el carácter único de la obra digital sin perjudicar al usuario, es decir, sin modificar el actual esquema que permite la reproducción online y offline en diversos dispositivos. Desde el punto de vista jurídico tal vez habría que unificar criterios en relación al concepto de reproducción, teniendo en cuenta, por ejemplo, que el paso a RAM en el momento de la audición o visualización también puede ser considerado como una reproducción en ciertas obras y jurisdicciones, ya que se crea una copia temporal en la RAM. No me extiendo más en este punto porque se me ocurren varias opciones técnicas y jurídicas para crear excepciones que deberían ser contempladas al diseñar un mercado de segunda mano virtual.

Desde un punto de vista empresarial, los autores y los titulares de los derechos de explotación deberán definir una estrategia en relación a un eventual mercado de segunda mano de obras digitales.

En una primera impresión, es comprensible que se vea como una amenaza para un modelo de negocio como el actual, basado en licencias intransferibles. Si miramos la disposición de las obras en ReDigi.com veremos que se da prioridad a las canciones de segunda mano. El botón correspondiente a las canciones “PreOwned” va en primer lugar, es más grande y de color verde. Es lógico que si al usuario se le da a escoger entre adquirir la versión nueva o la de segunda mano, que son idénticas en cuanto a calidad, pero con una diferencia de precio de casi el 50%, escoja la de segunda mano.

Algunos autores pueden verlo como una oportunidad, dado que en este tipo de obras no existe el llamado “droit de suite” de las obras plásticas, que permite al autor de un cuadro, por ejemplo, percibir un porcentaje de las sucesivas reventas que se produzcan del mismo.

Si Apple y Amazon llegasen a un acuerdo con los titulares de los derechos de explotación, éstos podrían percibir un porcentaje de las ventas de segunda mano en el mercado virtual que ahora no perciben en el mercado de segunda mano físico.

Mientras en los tribunales se intenta determinar si se produce el agotamiento del derecho de distribución con la primera venta de una obra digital y si la obra de segunda mano es una nueva reproducción o no, los titulares de los derechos deberán realizar las simulaciones económicas necesarias para comprobar si un mercado de segunda mano virtual es realmente una amenaza o una oportunidad. Un acuerdo rápido y uniforme en esta materia podría evitar pleitos, aunque la mera existencia de éstos en la actualidad ya parece indicar cuál ha sido la conclusión de este análisis en el sector.

¿Puede un periódico publicar las fotos que tuiteas?

Posted on by
5

La pregunta surge tras la reciente sentencia de un Juez de Distrito de Nueva York en la que declara que The Washington Post y la Agencia France-Press (AFP) infringieron los derechos de propiedad intelectual del fotógrafo Daniel Morel, al distribuir y publicar sin su autorización, fotografías que éste había tuiteado sobre el terremoto de Haití.

Los términos de servicio de Twitter establecen que:

  1. El usuario es el titular de los derechos que le amparan sobre cualquier contenido que envíe, reproduzca o exponga en Twitter.
  2. Al hacerlo, el usuario concede a Twitter una licencia mundial, no exclusiva y gratuita sobre el contenido publicado.
  3. Esta licencia permite a Twitter utilizar, copiar, reproducir, procesar, adaptar, modificar, publicar, transmitir, exponer y distribuir el contenido del usuario a través de cualquier medio o método de distribución presente o futuro.
  4. También permite a Twitter conceder sublicencias del contenido del usuario a terceros y permitir que las personas físicas o jurídicas asociadas a Twitter puedan sindicar, retransmitir, distribuir o publicar.

Ello significa que un periódico o cualquier otro sitio web no puede publicar una foto tuiteada sin la autorización del usuario o de Twitter, a través de un acuerdo de sublicencia o de asociación.

Sin embargo, John Herrman, de BuzzFeed plantea en un artículo de la semana pasada que no habría infracción de los derechos de autor si la fotografía se publica insertando el tuit en la página web. (Gracias a Patricia Ventura por la información facilitada).

Además de las funciones “Responder”, “Retwittear” y “Favorito” que ofrece Twitter en relación a cada mensaje, a través del menú “…Más” se puede acceder a las funciones “Enviar Tweet por correo electrónico” e “Insertar Tweet”. Esta última función permite acceder al código necesario para insertar el tuit en una página web, ofreciendo incluso una vista previa de cómo quedará la inserción.

Si consultamos el Centro de ayuda de Twitter, veremos las instrucciones para insertar un tuit en un sitio web o blog. En ellas se establece claramente la posibilidad de insertar cualquier tipo de tuit, incluyendo los tuits con fotos y vídeos. Además, en el apartado de preguntas frecuentes Twitter responde con un rotundo ¡SI! a la pregunta “¿Puedo insertar un Twet que contiene una foto, vídeo u otros medios?”. La única condición actual es que las fotos estén en pic.twitter.com y los vídeos en YouTube y que el tuit a insertar no haya sido protegido por el usuario.

Se trata por lo tanto, de un régimen parecido al de YouTube, en el que existe una autorización genérica para insertar vídeos en páginas web y blogs siempre que el usuario no hay protegido el vídeo. La autorización sigue el camino usuario-Twitter-tercero.

Este régimen puede no satisfacer a muchos usuarios, pero es el que teóricamente acepta al abrir una cuenta en Twitter o tras ser notificado sobre una modificación de los términos del servicio y mantener la cuenta. Para eludirlo, el usuario puede proteger sus tuits, pero entonces dejan de ser públicos, y sólo podrán acceder a ellos los seguidores aprobados de forma expresa por el usuario.

El problema puede surgir cuando el usuario borra o protege el tuit que ya ha sido insertado en otro sitio web. En estos casos, y según las FAQ de Twitter (al final de la página), “las marcas de Twitter y las acciones del Tweet (Responder, Retuitear, etc.) serán eliminadas del Tweet inserto, pero el contenido del Tweet aún será visible“. Sería interesante en este caso ponderar el derecho a mantener el contenido online por parte del medio que ha insertado el contenido de buena fe, de acuerdo con la expectativa generada por Twitter, y el derecho moral del autor a solicitar la retirada de la foto, en función de lo establecido en los puntos 1 y 6 del artículo 14 del Texto Refundido de la Ley de Propiedad Intelectual.

Por lo tanto, y respondiendo a la pregunta que da título a este post, un periódico podría publicar una foto tuiteada en los siguientes casos:

  1. Cuando disponga de la autorización del usuario que la publicó.
  2. Cuando obtenga una sublicencia de Twitter.
  3. Cuando sea un asociado de Twitter autorizado a publicar fotos.
  4. Cuando inserte un tuit con foto en su sitio web.

Si el usuario quiere evitar que sus fotos sean publicadas en otros sitios web a través de la inserción del tuit, tiene la opción evidente de no tuitearlas, o de proteger sus tuits al inicio, antes de que hayan sido insertados en otro un sitio web.

Cómo funciona MEGA, el nuevo Megaupload

Posted on by
1

Este fin de semana se lanza MEGA, la nueva apuesta del fundador de Megaupload, en la que pretende superar todos los obstáculos que tendría una versión funcionalmente idéntica a la anterior.

Los elementos clave de la nueva versión son los siguientes:

1. Documentos privados

El nuevo MEGA presenta como factor innovador un sistema de aseguramiento de la privacidad que no exige instalar software dedicado, ya que cifra y descifra los datos de forma transparente en el navegador del usuario a partir de una clave pública de 2.048 bits. El usuario es el único que tiene la clave de acceso a sus contenidos, alojados de forma cifrada en la nube de MEGA.

La estrategia de MEGA consiste en trasladar al usuario la responsabilidad de los contenidos almacenados en su nube, alegando que estos contenidos están cifrados y que, aunque quisiera, MEGA no podría conocer su nivel de legalidad, ya que no tiene acceso a ellos.

2. Fragmentación y dispersión

El sistema de almacenamiento de MEGA es multicéntrico, es decir, está distribuido en una larga serie de servidores en todo el mundo, que no son de su propiedad. Los contenidos que se alojen en la nube privada de cad usuario serán inmediatamente cifrados, fragmentados y distribuidos por todo el mundo. Ello significará que, a diferencia del P2P, un servidor nunca tendrá el fichero completo, ni siquiera un fragmento reconocible del fichero. Cada servidor tendrá una porción ininteligible que sólo podrá ser unido al resto del fichero a través de la plataforma de MEGA y con la clave del usuario.

Se trata del sistema de ofuscación que Google y otros proveedores de cloud computing ya utilizan para cumplir las exigencias de sus clientes en materia de confidencialidad de la información y protección de datos personales.

Según MEGA, el usuario tendrá el control absoluto sobre las personas que podrán acceder de forma cifrada y confidencial a sus carpetas compartidas, de manera que ningún otro usuario, incluido MEGA, podrá participar en las comunicaciones confidenciales ni acceder a los contenidos cifrados. Ello eliminaría la posibilidad de que MEGA pudiese supervisar dichos contenidos o atender requerimientos judiciales para acceder a ellos. Estos requerimientos deberían dirigirse al usuario.

Las dudas que surgen sobre la eficacia de este sistema tienen que ver con las páginas de enlaces que basan sus ingresos en la publicidad y, por lo tanto, en la afluencia masiva de visitantes. Se espera que MEGA aporte la solución definitiva para evitar la trazabilidad de las descargas directas, pero todo parece indicar que el nuevo sistema va dirigido a la creación de redes de confianza y al intercambio de ficheros entre conocidos.

En el momento en que un fichero privado se haga público para permitir la descarga directa de desconocidos, además de dejar de ser privado, se abrirá la posibilidad de conocer el contenido del fichero, el identificador del fichero en el sistema y el identificador del propietario o administrador del mismo. Se entiende que, en su afán de legalidad, y teniendo en cuenta su ubicación en Nueva Zelanda, MEGA deberá disponer de un servicio de atención de reclamaciones y de retirada de contenidos. Será interesante conocer la aplicación práctica del protocolo que MEGA ha diseñado para atender estos requerimientos y desviarlos hacia el usuario, o bien resolver los eventuales conflictos generados entre la entidad que reclame la retirada y el usuario que haya subido el fichero, suponiendo que éste haya permitido, en algún momento, desvelar su existencia y permitir un acceso al mismo.

Respecto a la posible responsabilidad de MEGA sobre los contenidos publicados en la plataforma, hay materia para dedicar un artículo específico. Cabe reflexionar sobre la aplicación de las siguientes figuras:

- El régimen de responsabilidad de los ISP.
- La ceguera intencional utilizada en el blanqueo de capitales.
- La inducción y la cooperación necesaria.

Todo ello sin descartar el triunfo de la ingeniería jurídica diseñada por Kim Dotcom para eludir la ley.

ACTUALIZACIÓN

Protocolo que seguirá MEGA en el caso de que reciba una denuncia de infracción de los derechos de autor

Formulario de denuncia de infracciones de los derechos de autor en MEGA

La parodia de la marca en Twitter

Posted on by
Responder

En las últimas campañas electorales han aparecido en España y en otros países cuentas de Twitter que parodiaban, a través del nombre y de los tweets, a políticos o a medios de comunicación. El tono crítico y a la vez humorístico de sus comentarios ha aportado una nota divertida a la campaña, aunque a sus opositores no les ha hecho tanta gracia, especialmente cuando la parodia estaba orquestada por un partido político que no ha tenido ningún reparo en seguir emitiendo críticas durante los días de reflexión y de votación.

Muchos famosos, cuyas parodias en Twitter han conseguido una gran popularidad, han aprendido la lección de que censurar estas iniciativas sólo ayuda a incrementar el número de réplicas y de seguidores.

La parodia también ha llegado a algunas marcas notorias, que han visto su nombre alterado para denunciar problemas de calidad o infracciones medioambientales, por ejemplo. También se han utilizado para iniciar campañas de descrédito o simplemente para hacer reír a sus seguidores.

Twitter permite crear cuentas de parodias y de imitaciones siempre que no engañe o confunda a otros usuarios. Para ello, la información del perfil debe dejar muy claro que el creador de la cuenta no es en realidad la misma persona o entidad que es sujeto de parodia o imitación.

Twitter propone la adopción de las siguientes medidas para diferenciar la cuenta destinada a la parodia:

1. El nombre de usuario no debe ser exactamente el mismo del sujeto de la parodia.

2. Hay que distinguir la cuenta con un calificativo tal como “cuenta no oficial” o “parodia”.

3. La biografía debe incluir una afirmación que se distinga de la identidad real, por ejemplo “Esto es una parodia”.

4. La cuenta no debe tratar de engañar o llevar a malas interpretaciones sobre la identidad de su titular a través de comunicaciones públicas o privadas con otros usuarios.

Twitter también ofrece un formulario para denunciar la suplantación de identidad y suspender la cuenta en el caso de comprobar que existe posibilidad de confusión.

Esta semana una parodia del New York Times (@NYTOnIt) ha estado suspendida durante 12 horas por no cumplir estos requisitos y las condiciones para restablecerla han sido que el usuario dejase de utilizar el logo del NYT y que especificase claramente en la cuenta que “Esta es una cuenta parodia que claramente no está asociada a ningún periódico”

Desde el punto de vista de la marca, existen dificultades para perseguir este tipo de usos si no comportan mala fe, ánimo de lucro, suplantación de identidad o confusión en la oferta de productos o servicios.

Por lo tanto, la posibilidad de suspensión de la cuenta se limitaría a los casos más graves, es decir, cuando la cuenta se utilizase para difundir mensajes injuriosos, calumniosos o falsos.

Las transferencias internacionales en el cloud computing

Posted on by
1

Esta semana ha tenido lugar en Bruselas una reunión plenaria del Grupo de Autoridades Europeas de Protección de Datos (Grupo de Trabajo del Artículo 29). Entre los asuntos incluidos en la agenda de la reunión se encontraba la discusión y posible adopción del dictamen sobre computación en la nube, así como del dictamen sobre reglas corporativas vinculantes para encargados de tratamiento de datos. Ello significa que queda poco para que estos dos documentos, que van a influir en el futuro del cloud computing en Europa, salgan a la luz.

Ambos documentos van a referirse ampliamente a uno de los asuntos que más preocupan en la actualidad a las empresas: la ubicación de los datos y la consiguiente transferencia internacional de los mismos. Dejo para el momento de su publicación un estudio más detallado del régimen que se propondrá aplicar a las transferencias internacionales en estos dictámenes y en el futuro Reglamento de la Unión Europea. Ahora me centraré en un supuesto que debería permitir eludir la figura de la transferencia internacional.

En el artículo dedicado a la subcontratación en el cloud computing analicé las condiciones en las que las empresas proveedoras de servicios en la nube gestionan el alojamiento de los datos y mencioné la posibilidad del cifrado, la disociación y la fragmentación de los datos entre distintos proveedores y países. respecto al cifrado, podemos encontrar un ejemplo específico para cloud computing en http://www.cipherdocs.com

Pero más allá del cifrado y la disociación existe la posibilidad de establecer en el contrato de cloud computing una serie de obligaciones, que algunos proveedores ya ofrecen como función por defecto u opcional:
1. El proveedor debe utilizar un sistema de ficheros distribuidos diseñado para alojar grandes cantidades de datos y un amplio número de servidores.
2. Los datos deben estar estructurados y almacenados en una base de datos construida en el nivel superior del sistema de ficheros.
3. Los datos deben ser fragmentados y replicados en múltiples servidores.
4. Los fragmentos o “chunks” deben tener nombres generados de forma automática y aleatoria.
5. Los fragmentos de datos no deben ser almacenados en texto claro sino en un formato ininteligible para el ser humano.
La AEPD se ha pronunciado en diversos foros sobre la transferencia internacional de datos en el cloud computing y ha mencionado dos puntos interesantes:
1. La disociación de datos debe ser irreversible, y ello no es posible en el cloud computing.
2. Por cuestiones de seguridad nacional las normas de ciertos países permiten a las autoridades requerir el acceso a los datos almacenados en servidores que se encuentren en su territorio.
Respecto a ello cabe decir que:
1. Debe tenerse en cuenta que la relación tiene tres partes: el cliente, el proveedor y las empresas de hosting distribuido.
2. Las empresas de hosting no alojan datos completos disociados, sino fragmentos ininteligibles de datos.
3. La irreversibilidad estaría garantizada por el proveedor en los países donde sólo se almacenen fragmentos cifrados de los datos.
4. La información sólo sería accesible de forma inteligible desde España.
5. Un requerimiento de acceso a datos a los proveedores de hosting sería inútil, ya que ninguno de ellos tendría datos completos e inteligibles.
En resumen, en el sistema descrito sólo hay acceso a datos personales en España. Los restantes países no alojan datos personales.
Como dije en mi anterior artículo, ello hace que el elemento débil de la cadena sean los puntos de acceso y la gestión de las contraseñas de los usuarios.
Este riesgo puede limitarse utilizando:
1. La doble autenticación que ofrecen algunos proveedores de cloud computing.
2. Certificados electrónicos que reproduzcan la jerarquía de privilegios de acceso de la empresa.
3. Limitación de acceso a un rango de direcciones IP de la empresa.
4. Limitación de acceso a los dispositivos de la empresa.
Sirvan estas notas como avance del análisis más profundo que precisará esta cuestión cuando se publiquen los dos documentos reseñados al principio de este artículo.

Modificación de la LSSI en relación a las comunicaciones comerciales

Posted on by
4

Mañana también entra en vigor, como resultado de la trasposición comentada en mi anterior post, una modificación de los artículos 20, 21 y 22 de la LSSI en relación a las comunicaciones comerciales.

1. Mensajes con anunciante oculto

Queda prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación comercial.

2. Mensajes con enlaces web

Queda prohibido el envío de comunicaciones comerciales en las que se incite a los destinatarios a visitar páginas web que contravengan el régimen establecido para el envío de comunicaciones comerciales.

3. Revocación del consentimiento

Cuando las comunicaciones comerciales hubieran sido remitidas por correo electrónico, deberá incluirse necesariamente una dirección electrónica válida donde pueda ejercitarse el derecho de revocación del consentimiento para el envío de comunicaciones comerciales. Queda prohibido el envío de comunicaciones que no incluyan dicha dirección.

Nuevas obligaciones en relación a las cookies

Posted on by
6

1. CAMBIO LEGISLATIVO

Tal como avanzamos en el post de 18 de noviembre de 2009, mañana entrará en vigor una modificación del artículo 22.2 de la Ley de servicios de la sociedad de la información y del comercio electrónico (LSSI) con el fin de adecuarlo a la nueva redacción dada por la Directiva 2009/136/CE a la Directiva 2002/58/CE.

La nueva redacción del artículo 22.2 exige el consentimiento del usuario sobre los archivos o programas informáticos que, como en el caso de las cookies, almacenan información en el equipo del usuario y permiten posteriormente acceder a ellas con distintas finalidades.

Como decíamos en el post de 12 de noviembre de 1997, estos dispositivos pueden facilitar la navegación por la red, pero también pueden desvelar aspectos de la esfera privada del usuario. Esta visión de las cookies, que entonces considerábamos exagerada, ha adquirido una nueva dimensión con el llamado behavioral marketing, o marketing del comportamiento y de las cookies flash o LSO.

2. NUEVO RÉGIMEN DE LAS COOKIES

1. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos (entre ellos las cookies) en los equipos de los destinatarios del servicio.

2. Previamente, los prestadores de servicios tendrán que haber facilitado información clara y completa sobre el uso de estos dispositivos.

3. Dicha información deberá incluir las finalidades del tratamiento de los datos obtenidos.

4. Una vez facilitada esta información, el usuario deberá dar su consentimiento.

5. Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

6. Para que este procedimiento sea válido, el usuario deberá proceder a la configuración de estos parámetros, permitiendo la entrada de cookies, en el momento de la instalación o actualización del navegador mediante una acción expresa a tal efecto.

7. Este nuevo régimen no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas.

8. Tampoco impedirá, en la medida que resulte estrictamente necesario, el posible almacenamiento o acceso para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

3. VÍAS PARA INFORMAR Y OBTENER EL CONSENTIMIENTO

1. Aviso legal

En mi opinión, sería desproporcionado exigir a los prestadores de servicios el cumplimiento de la obligación de información y la recogida del consentimiento mediante una ventana emergente o pop-up que con un texto informativo y un botón que el usuario debería aceptar. Ello sería alertar excesivamente al usuario, y podría tener un efecto disuasorio injustificado. Entiendo que resultará suficiente con incluir de forma destacada en el aviso legal del sitio web o en una sección específica para ello, la advertencia del uso de cookies, informando sobre las finalidades del tratamiento de los datos obtenidos.

El uso de un sitio web debe ser interpretado como un consentimiento para el tratamiento de los datos de los visitantes, dada la imposibilidad de obtener de forma individualmente el consentimiento de cada uno de ellos. Hasta ahora se ha considerado suficiente para el tratamiento de direcciones IP la información suministrada en el aviso legal o en la política de privacidad. Lo mismo debería suceder en el caso de las cookies, dado que el legislador habla de “facilitar” la información y no de entregarla con acuse de recibo, y no exige que el consentimiento sea expreso.

2. Configuración del navegador

En este caso el legislador sí exige una acción expresa, permitiendo la entrada de cookies en el equipo en el momento de la instalación o actualización del navegador. Ello significa que la configuración por defecto del navegador a partir de ahora debería impedir la entrada de cookies, y el usuario debería modificar dicha configuración de manera expresa para admitir cookies en el equipo.

3. Aceptación de CGC

El usuario también puede ser informado de las finalidades del uso de las cookies en las Condiciones Generales de Contratación del servicio solicitado, dando su consentimiento para su uso al hacer clic en el botón de aceptación.

En cualquier caso, recomendamos una revisión, caso por caso, del alcance y las finalidades en el uso de cookies y del protocolo de información y aceptación de las mismas, por parte de un experto en la materia.

Más opciones para el tratamiento de datos sin consentimiento

Posted on by
9

La sentencia dictada el jueves pasado por el Tribunal de Justicia de la UE declara inaplicables el artículo 6.2 de la LOPD y el artículo 10.2.b del Reglamento de la LOPD, en relación a la exigencia de que, para tratar o ceder datos personales sin el consentimiento del interesado, se cumpla el requisito adicional de que dichos datos figuren en fuentes accesibles al público.

Consecuencias inmediatas

Los efectos de esta sentencia en los tratamientos de datos personales que se realicen a partir de ahora son, a mi modo de ver, los siguientes:

- La relación restrictiva de fuentes accesibles al público pierde relevancia.

- Los datos personales podrán ser tratados sin consentimiento del interesado aunque no provengan de fuentes accesibles al público.

- Los únicos requisitos que deberán cumplirse serán: 1) el interés legítimo del responsable del fichero y 2) que no se vulneren los derechos y libertades fundamentales del interesado.

- Ello significa que cualquiera que sea el origen de los datos, incluido Internet, éstos podrán ser objeto de tratamiento y cesión, siempre que se cumplan los dos requisitos comentados y exista un equilibrio entre el interés legítimo y los derechos fundamentales del interesado. Las comunicaciones electrónicas comerciales seguirán precisando el consentimiento expreso del destinatario de las mismas, salvo en el caso de clientes.

- Vuelven a estar dentro de la ley muchos tratamientos que resultan inocuos para la intimidad del interesado y que hasta ahora estaban vedados a las empresas.

- Es recomendable seguir el protocolo que hasta ahora venía aplicándose para asegurar el cumplimiento del deber de información y la no vulneración del derecho a la intimidad, de manera que se pondere el equilibrio entre interés legítimo y derechos fundamentales.

- Se incluirá en este protocolo, entre otras medidas, el filtro de las listas Robinson, el filtro de las cancelaciones recibidas, la ponderación del justo equilibrio de intereses y la información sobre los derechos ARCO en las comunicaciones y en los plazos establecidos para ello.

El Tribunal declara el efecto directo del artículo 7.f en España, debido a una incorrecta trasposición de la misma, por lo que, en mi opinión, no es necesario esperar al pronunciamiento del Tribunal Supremo, que fue el que planteó las dos cuestiones prejudiciales. Por ello, no estoy de acuerdo con el contenido de la nota informativa de la AEPD y pienso que la sentencia puede abrir la posibilidad de que las empresas soliciten la devolución de las sanciones pagadas por determinadas infracciones relacionadas con la falta de consentimiento en las que había equilibrio entre interés legítimo y derechos fundamentales.

Sentencia del Tribunal de Justicia de la UE

Nota informativa de la AEPD

Primer ciberataque a una infraestructura crítica

Posted on by
Responder

El servicio de distribución de agua de Illinois puede haber sido la primera infraestructura crítica norteamericana en sufrir un ciberataque desde el extranjero.

Los atacantes, que presumiblemente habrían utilizado un servidor ubicado en Rusia para acceder al sistema, utilizaron las claves de acceso que previamente habían obtenido de un proveedor relacionado con el sistema de control industrial que permite la automatización y la gestión remota de este tipo de infraestructuras.

El resultado del ataque fue la desactivación de una bomba del servicio de distribución de agua.

El proceso seguido para el ataque se aprovechó, supuestamente, de los eslabones más débiles de la cadena de seguridad siguiendo un plan que podría ser probablemente el siguiente:

1. Identificación de los proveedores que tienen acceso al sistema de control industrial (SCADA) o prestan servicios que exigen tener dicho acceso. A través de cualquier buscador se pueden localizar las páginas web de los proveedores que ofrecen estos servicios o productos.

2. Selección de los proveedores que pueden ser más vulnerables a un acceso no autorizado o a una estrategia de ingeniería social. Algunos indicadores externos pueden ser el haber realizado recientemente un ajuste de plantilla o haber aplicado un severo plan de austeridad presupuestaria (aunque ello no debería afectar teóricamente a la seguridad de sus sistemas).

3. Obtención de las claves de acceso mediante un ataque al sistema del proveedor o un engaño a sus empleados.

4. Selección de un servicio público como vía de acceso al sistema de control industrial por considerar que, al depender del sector público, estará afectado por restricciones presupuestarias y los sistemas de seguridad no estarán actualizados.

5. Acceso al sistema de la infraestructura crítica y obtención de los privilegios necesarios para actuar sobre los controles que permiten gestionar local y remotamente la infraestructura.

De confirmarse las características del ataque, el método utilizado y las vulnerabilidades explotadas por los atacantes, las conclusiones son obvias, y las recomendaciones a los operadores de infraestructuras, también:

1. La seguridad debe estar al margen de cualquier restricción presupuestaria, pública o privada.

2. El control en materia de seguridad debe extenderse a los proveedores, aplicando un estricto sistema de homologación y auditoría continuada.

3. El sistema de control SCADA debe ser objeto de una profunda revisión y actualización continuada en materia de seguridad, si se confirman sus posibles vulnerabilidades en relación al protocolo TCP/IP.

4. Debe acelerarse el desarrollo y la aplicación de los planes de protección de infraestructuras críticas.

5. Los operadores de infraestructuras críticas y sus proveedores deben aplicar normas internas y ampliar la formación de sus empleados en materia de seguridad e ingeniería social

Normas relacionadas

Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas

Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas

Resolución de la Secretaría de Estado de Seguridad por la que se acuerda la apertura del trámite de información pública respecto a las guías de contenidos mínimos del Plan de Seguridad del Operador y del Plan de Protección Específico como instrumentos de planificación del Sistema de Protección de Infraestructuras Críticas