Modificación de la LSSI en relación a las comunicaciones comerciales

Mañana también entra en vigor, como resultado de la trasposición comentada en mi anterior post, una modificación de los artículos 20, 21 y 22 de la LSSI en relación a las comunicaciones comerciales.

1. Mensajes con anunciante oculto

Queda prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación comercial.

2. Mensajes con enlaces web

Queda prohibido el envío de comunicaciones comerciales en las que se incite a los destinatarios a visitar páginas web que contravengan el régimen establecido para el envío de comunicaciones comerciales.

3. Revocación del consentimiento

Cuando las comunicaciones comerciales hubieran sido remitidas por correo electrónico, deberá incluirse necesariamente una dirección electrónica válida donde pueda ejercitarse el derecho de revocación del consentimiento para el envío de comunicaciones comerciales. Queda prohibido el envío de comunicaciones que no incluyan dicha dirección.

Nuevas obligaciones en relación a las cookies

1. CAMBIO LEGISLATIVO

Tal como avanzamos en el post de 18 de noviembre de 2009, mañana entrará en vigor una modificación del artículo 22.2 de la Ley de servicios de la sociedad de la información y del comercio electrónico (LSSI) con el fin de adecuarlo a la nueva redacción dada por la Directiva 2009/136/CE a la Directiva 2002/58/CE.

La nueva redacción del artículo 22.2 exige el consentimiento del usuario sobre los archivos o programas informáticos que, como en el caso de las cookies, almacenan información en el equipo del usuario y permiten posteriormente acceder a ellas con distintas finalidades.

Como decíamos en el post de 12 de noviembre de 1997, estos dispositivos pueden facilitar la navegación por la red, pero también pueden desvelar aspectos de la esfera privada del usuario. Esta visión de las cookies, que entonces considerábamos exagerada, ha adquirido una nueva dimensión con el llamado behavioral marketing, o marketing del comportamiento y de las cookies flash o LSO.

2. NUEVO RÉGIMEN DE LAS COOKIES

1. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos (entre ellos las cookies) en los equipos de los destinatarios del servicio.

2. Previamente, los prestadores de servicios tendrán que haber facilitado información clara y completa sobre el uso de estos dispositivos.

3. Dicha información deberá incluir las finalidades del tratamiento de los datos obtenidos.

4. Una vez facilitada esta información, el usuario deberá dar su consentimiento.

5. Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

6. Para que este procedimiento sea válido, el usuario deberá proceder a la configuración de estos parámetros, permitiendo la entrada de cookies, en el momento de la instalación o actualización del navegador mediante una acción expresa a tal efecto.

7. Este nuevo régimen no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas.

8. Tampoco impedirá, en la medida que resulte estrictamente necesario, el posible almacenamiento o acceso para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

3. VÍAS PARA INFORMAR Y OBTENER EL CONSENTIMIENTO

1. Aviso legal

En mi opinión, sería desproporcionado exigir a los prestadores de servicios el cumplimiento de la obligación de información y la recogida del consentimiento mediante una ventana emergente o pop-up que con un texto informativo y un botón que el usuario debería aceptar. Ello sería alertar excesivamente al usuario, y podría tener un efecto disuasorio injustificado. Entiendo que resultará suficiente con incluir de forma destacada en el aviso legal del sitio web o en una sección específica para ello, la advertencia del uso de cookies, informando sobre las finalidades del tratamiento de los datos obtenidos.

El uso de un sitio web debe ser interpretado como un consentimiento para el tratamiento de los datos de los visitantes, dada la imposibilidad de obtener de forma individualmente el consentimiento de cada uno de ellos. Hasta ahora se ha considerado suficiente para el tratamiento de direcciones IP la información suministrada en el aviso legal o en la política de privacidad. Lo mismo debería suceder en el caso de las cookies, dado que el legislador habla de «facilitar» la información y no de entregarla con acuse de recibo, y no exige que el consentimiento sea expreso.

2. Configuración del navegador

En este caso el legislador sí exige una acción expresa, permitiendo la entrada de cookies en el equipo en el momento de la instalación o actualización del navegador. Ello significa que la configuración por defecto del navegador a partir de ahora debería impedir la entrada de cookies, y el usuario debería modificar dicha configuración de manera expresa para admitir cookies en el equipo.

3. Aceptación de CGC

El usuario también puede ser informado de las finalidades del uso de las cookies en las Condiciones Generales de Contratación del servicio solicitado, dando su consentimiento para su uso al hacer clic en el botón de aceptación.

En cualquier caso, recomendamos una revisión, caso por caso, del alcance y las finalidades en el uso de cookies y del protocolo de información y aceptación de las mismas, por parte de un experto en la materia.

Más opciones para el tratamiento de datos sin consentimiento

La sentencia dictada el jueves pasado por el Tribunal de Justicia de la UE declara inaplicables el artículo 6.2 de la LOPD y el artículo 10.2.b del Reglamento de la LOPD, en relación a la exigencia de que, para tratar o ceder datos personales sin el consentimiento del interesado, se cumpla el requisito adicional de que dichos datos figuren en fuentes accesibles al público.

Consecuencias inmediatas

Los efectos de esta sentencia en los tratamientos de datos personales que se realicen a partir de ahora son, a mi modo de ver, los siguientes:

– La relación restrictiva de fuentes accesibles al público pierde relevancia.

– Los datos personales podrán ser tratados sin consentimiento del interesado aunque no provengan de fuentes accesibles al público.

– Los únicos requisitos que deberán cumplirse serán: 1) el interés legítimo del responsable del fichero y 2) que no se vulneren los derechos y libertades fundamentales del interesado.

– Ello significa que cualquiera que sea el origen de los datos, incluido Internet, éstos podrán ser objeto de tratamiento y cesión, siempre que se cumplan los dos requisitos comentados y exista un equilibrio entre el interés legítimo y los derechos fundamentales del interesado. Las comunicaciones electrónicas comerciales seguirán precisando el consentimiento expreso del destinatario de las mismas, salvo en el caso de clientes.

– Vuelven a estar dentro de la ley muchos tratamientos que resultan inocuos para la intimidad del interesado y que hasta ahora estaban vedados a las empresas.

– Es recomendable seguir el protocolo que hasta ahora venía aplicándose para asegurar el cumplimiento del deber de información y la no vulneración del derecho a la intimidad, de manera que se pondere el equilibrio entre interés legítimo y derechos fundamentales.

– Se incluirá en este protocolo, entre otras medidas, el filtro de las listas Robinson, el filtro de las cancelaciones recibidas, la ponderación del justo equilibrio de intereses y la información sobre los derechos ARCO en las comunicaciones y en los plazos establecidos para ello.

El Tribunal declara el efecto directo del artículo 7.f en España, debido a una incorrecta trasposición de la misma, por lo que, en mi opinión, no es necesario esperar al pronunciamiento del Tribunal Supremo, que fue el que planteó las dos cuestiones prejudiciales. Por ello, no estoy de acuerdo con el contenido de la nota informativa de la AEPD y pienso que la sentencia puede abrir la posibilidad de que las empresas soliciten la devolución de las sanciones pagadas por determinadas infracciones relacionadas con la falta de consentimiento en las que había equilibrio entre interés legítimo y derechos fundamentales.

Sentencia del Tribunal de Justicia de la UE

Nota informativa de la AEPD

Primer ciberataque a una infraestructura crítica

El servicio de distribución de agua de Illinois puede haber sido la primera infraestructura crítica norteamericana en sufrir un ciberataque desde el extranjero.

Los atacantes, que presumiblemente habrían utilizado un servidor ubicado en Rusia para acceder al sistema, utilizaron las claves de acceso que previamente habían obtenido de un proveedor relacionado con el sistema de control industrial que permite la automatización y la gestión remota de este tipo de infraestructuras.

El resultado del ataque fue la desactivación de una bomba del servicio de distribución de agua.

El proceso seguido para el ataque se aprovechó, supuestamente, de los eslabones más débiles de la cadena de seguridad siguiendo un plan que podría ser probablemente el siguiente:

1. Identificación de los proveedores que tienen acceso al sistema de control industrial (SCADA) o prestan servicios que exigen tener dicho acceso. A través de cualquier buscador se pueden localizar las páginas web de los proveedores que ofrecen estos servicios o productos.

2. Selección de los proveedores que pueden ser más vulnerables a un acceso no autorizado o a una estrategia de ingeniería social. Algunos indicadores externos pueden ser el haber realizado recientemente un ajuste de plantilla o haber aplicado un severo plan de austeridad presupuestaria (aunque ello no debería afectar teóricamente a la seguridad de sus sistemas).

3. Obtención de las claves de acceso mediante un ataque al sistema del proveedor o un engaño a sus empleados.

4. Selección de un servicio público como vía de acceso al sistema de control industrial por considerar que, al depender del sector público, estará afectado por restricciones presupuestarias y los sistemas de seguridad no estarán actualizados.

5. Acceso al sistema de la infraestructura crítica y obtención de los privilegios necesarios para actuar sobre los controles que permiten gestionar local y remotamente la infraestructura.

De confirmarse las características del ataque, el método utilizado y las vulnerabilidades explotadas por los atacantes, las conclusiones son obvias, y las recomendaciones a los operadores de infraestructuras, también:

1. La seguridad debe estar al margen de cualquier restricción presupuestaria, pública o privada.

2. El control en materia de seguridad debe extenderse a los proveedores, aplicando un estricto sistema de homologación y auditoría continuada.

3. El sistema de control SCADA debe ser objeto de una profunda revisión y actualización continuada en materia de seguridad, si se confirman sus posibles vulnerabilidades en relación al protocolo TCP/IP.

4. Debe acelerarse el desarrollo y la aplicación de los planes de protección de infraestructuras críticas.

5. Los operadores de infraestructuras críticas y sus proveedores deben aplicar normas internas y ampliar la formación de sus empleados en materia de seguridad e ingeniería social

Normas relacionadas

Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas

Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas

Resolución de la Secretaría de Estado de Seguridad por la que se acuerda la apertura del trámite de información pública respecto a las guías de contenidos mínimos del Plan de Seguridad del Operador y del Plan de Protección Específico como instrumentos de planificación del Sistema de Protección de Infraestructuras Críticas

Necesidad urgente de abogados con experiencia en TIC

Debido al inicio inmediato de varios proyectos necesitamos cinco abogados con una experiencia mínima de cuatro años en protección de datos, contratos tecnológicos, propiedad intelectual, delitos tecnológicos  o litigios tecnológicos. El objetivo es contratar a tres abogados para la oficina de Madrid y dos para la de Barcelona.

Es importante que los candidatos hayan:

  1. Consolidado su vocación profesional
  2. Decidido especializarse en Derecho de las Tecnologías de la Información
  3. Apostar por esta rama del derecho a largo plazo

Iniciamos un proceso de selección hace tres meses pero los resultados no han sido satisfactorios hasta el momento debido a las características especiales del perfil y al alto nivel de preparación y dedicación requerido.

Agradeceremos a los interesados que envíen su CV a javier.ribas@es.pwc.com, especificando en el asunto: (Madrid), (Barcelona) o (Madrid y Barcelona) en función de la disponibilidad del candidato.

Muchas gracias.

 

 

 

Infraestructuras críticas y prevención de riesgos – Aprendiendo de Fukushima

Siempre es fácil apreciar errores de previsión cuando las cosas ya han ocurrido. Especialmente, tras un incidente de tal magnitud como el que ha afectado a la central nuclear de Fukushima. Una vez se haya superado la actual amenaza nuclear, y tras descontar la fuerza destructora del terremoto y el posterior tsunami, el objetivo inmediato será aprender de los eventuales errores de diseño y de prevención de riesgos que se hayan podido cometer para intentar evitarlos en el futuro.

Lo que más sorprende a un profano como yo es que, el país que acuñó la palabra tsunami, y que aprendió a vivir con la constante amenaza de terremotos y maremotos, diseñase una central tan desprotegida del mar.

Viendo la fotografía aérea de la central, con el atrevimiento que da la ignorancia, y con el evidente desprecio a los costes que debe presidir la prevención de un riesgo tan grave como el nuclear, me atrevo a plantear las siguientes cuestiones:

1. La propia foto aérea de la central

Me extraña que la zona no aparezca pixelada en Google Maps. Tratándose de una infraestructura crítica y a la vez, de un objetivo militar, se supone que los gobiernos deberían preocuparse de que los suministradores de estos servicios de la sociedad de la información oculten este tipo de instalaciones y las zonas adyacentes.

2. El número de reactores

Supongo que se producirán muchas economías de escala, pero me parece excesiva la concentración de reactores en tan poco espacio. Ello tiene que incrementar el riesgo de que una catástrofe natural afecte a más de un reactor, como así ha ocurrido, y dificultar las maniobras de acceso, extinción de incendios, refrigeración de emergencia, etc. Es posible que los equipos de emergencia que están actuando a la vez en los cuatro reactores afectados estén entorpeciéndose entre ellos. Aunque también es posible que sean más eficientes trabajando juntos.

3. La alineación de los reactores

Teniendo en cuenta que la principal amenaza proviene del mar, resulta raro ver una alineación de los reactores de forma paralela a la costa. Parece que estén esperando la ola con los brazos abiertos. Tal vez una alineación perpendicular a la costa ofrecería un frente más reducido que permitiría ser protegido de manera más eficiente. En otras palabras, si yo tuviese que enfrentarme a una gran ola, preferiría ir en un barco situado con la proa contra la ola antes que en uno situado en paralelo a la ola.

4.  La ausencia de defensas

La imagen de la central es de total desamparo frente a las inclemencias del mar. Los diques no parecen diferentes de los que podría tener cualquier puerto del Mediterráneo. Pero aquí la diferencia es que la central se encuentra en una de las zonas con mayor probabilidad de tsunami del mundo. Ante una ola de diez metros de altura poco se puede hacer, pero con una alineación perpendicular a la costa y un frente máximo de 200 metros, tal vez hubiese sido posible construir un dique más alto y en forma de cuña que desviase la fuerza del agua hacia los lados. Repito que es pura intuición basada en el diseño de los barcos, en la estructura del blindaje frontal de los carros de combate y en los muros en forma de estrella de las antiguas ciudadelas militares, destinados a resistir el impacto directo de la artillería.

5. La paradoja de una planta generadora de electricidad que se queda sin electricidad

A un profano como yo le resulta difícil de creer que una central destinada a generar electricidad pueda quedarse sin la energía que ella misma genera. Si los submarinos nucleares tienen una autonomía que se cuenta en meses, ¿cómo puede una central nuclear tener una autonomía que se cuente en horas si la principal amenaza es conocida, está prevista y se conoce su techo máximo?. Debido a la parada de emergencia, la central no producía electricidad, y los generadores resultaron dañados por el tsunami, pero la energía eléctrica necesaria para la bomba de refrigeración se puede acumular para seguir teniendo suministro eléctrico por un tiempo muy superior a las 8 horas.

6. Baterías insuficientes y enchufes no normalizados

Como he dicho, parece ser que las baterías que debían alimentar las bombas de refrigeración tenían una duración máxima de 8 horas y cuando se agotaron se recurrió a generadores móviles, que inicialmente no pudieron ser conectados porque los conectores eran diferentes a los de las bombas de refrigeración.

7. Ausencia de generadores eléctricos subterráneos

Antes de recurrir a las baterías, las bombas del circuito de refrigeración se habían quedado sin electricidad porque los generadores habían sido afectados por el tsunami. Eso significa que estaban en la superficie, ya que si hubiesen estado protegidos en un búnker subterráneo, tan blindado y hermético como merece el último recurso energético existente para mantener baja la temperatura del núcleo, no habrían sufrido un impacto directo de la ola.

8. Desprotección de las instalaciones críticas para la seguridad de la central

Con la debida prudencia, concluiría que lo ideal habría sido mantener todas las instalaciones implicadas en la seguridad del reactor en una sala subterránea y blindada, protegida frente a terremotos y maremotos, que formase una sola pieza con el búnker del reactor, y que dispusiese de los mismos elementos de seguridad. ¿De qué sirve que el reactor esté protegido por una cúpula capaz de resistir el impacto directo de un misil si el circuito de refrigeración, los generadores que permiten su funcionamiento y los restantes elementos de seguridad tienen un nivel de protección inferior?. Una cadena es tan fuerte como el más débil de sus eslabones, y en este caso, el eslabón más débil parece que fue la protección de los generadores de electricidad.

La enseñanza de este accidente, aplicable a la prevención de cualquier tipo de riesgo, está ya definida en la llamada ley de Murphy, y consiste en asumir que, ante una lista de posibles fatalidades, existe la opción de que todas ellas tengan lugar de forma coetánea o secuencial.

En un diseño de defensa en profundidad como el de Fukushima, las amenazas superaron una sucesión de bastiones y líneas de defensa que parecían insuperables en su conjunto:

  1. La seguridad de la central de Fukushima fue diseñada para aguantar un terremoto de una potencia 8,2 y el terremoto fue de 8,9.
  2. Ante el terremoto, se produjo la parada de emergencia de los reactores y las turbinas dejaron de producir electricidad.
  3. El circuito de refigeración dejó de recibir suministro eléctrico.
  4. Se pusieron en marcha los generadores diésel externos.
  5. Entonces vino el tsunami y averió los generadores externos.
  6. La última línea de defensa eran las baterías, que funcionaron ocho horas antes de agotarse.
  7. Entonces se recurrió a los generadores móviles, cuyos conectores no coincidían con los de las bombas de refrigeración.
  8. Cuando se consiguió recuperar el circuito de refrigeración, había pasado un tiempo precioso.

Todas las líneas defensivas fueron superadas por una cadena de fenómenos naturales previsibles, pero con una magnitud y una sucesión en el tiempo que resultaron letales. Si ante acciones de la naturaleza, y por lo tanto no provocadas intencionadamente por el hombre, el efecto es tan devastador, la pregunta inmediata es: ¿qué sucedería ante un ataque intencionado que tuviese en cuenta todas estas vulnerabilidades, algunas de ellas apreciables a través de Google Maps?

Teniendo en cuenta la progresiva implantación de los protocolos TCP/IP en los sistemas de control SCADA, ¿podría tener éxito un ataque a través de Internet orientado a producir una parada de emergencia del reactor, dejar el circuito de refrigeración sin energía, impedir la puesta en marcha de los generadores externos e interferir las comunicaciones de los equipos de emergencia?

A principios de los ochenta, tuve la suerte de visitar las obras de la central nuclear de Ascó II y pasé un buen rato bajo la cúpula que más tarde albergaría el núcleo del reactor. La emoción que sentí fue parecida a la del que está en un lugar que nunca ha pisado el hombre. Pero en aquel momento único, la emoción venía dada, en realidad, por la absoluta certeza de estar en un lugar que nunca más volvería a pisar el ser humano.

 

 

 

 

El procedimiento de la Ley Sinde y la cruda realidad

El Boletín Oficial del Congreso de los Diputados publica hoy la aprobación definitiva y por lo tanto el texto final de la Ley de Economía Sostenible (PDF), en cuya disposición final cuadragésima tercera (página 135 y ss.) se describe el procedimiento que deberá seguirse para:

  1. Interrumpir la prestación de un servicio de la sociedad de la información que vulnere derechos de propiedad intelectual, o para
  2. Retirar los contenidos que vulneren los citados derechos.

A continuación, y a modo de parodia, comparo este procedimiento con la triste realidad que los titulares de los derechos pueden encontrar en la práctica y con el procedimiento alternativo que ofrecen los propietarios de los servidores en los que se alojan los contenidos presuntamente ilícitos.

 

A) PROCEDIMIENTO DE LA LEY SINDE

TRÁMITE 1: El titular de los derechos solicita la interrupción del servicio prestado por una página de enlaces a la Sección Segunda de la Comisión de Propiedad Intelectual del Ministerio de Cultura.

TRISTE REALIDAD: El escrito tiene entrada en la Comisión pero, debido a las restricciones presupuestarias del Ministerio, los recursos administrativos de la Sección Segunda son compartidos y se produce un retraso en la entrega de la solicitud a los funcionarios que deben iniciar el procedimiento.

TRÁMITE 2: Se admite a trámite la solicitud y se procede a comprobar si se cumplen los requisitos para iniciar el procedimiento.

TRISTE REALIDAD: Lamentablemente, el solicitante no ha acreditado la titularidad de los derechos sobre la obra, ni ha facilitado la identidad y el domicilio del presunto infractor, por lo que se solicita al solicitante que subsane los defectos de la solicitud en el plazo de diez días.

TRÁMITE 3: El solicitante aporta los datos relativos a la titularidad, que constan en el propio Ministerio, así como la identidad del presunto infractor y su domicilio.

TRISTE REALIDAD: Se trata de un nombre imaginario, con sede en una isla caribeña y con dirección de correo electrónico en Hotmail.

TRÁMITE 4: Se abre un expediente con la solicitud y la documentación aportada que se añade a la lista de expedientes que deben ser vistos en la siguiente convocatoria de la Sección.

TRISTE REALIDAD: Debido a las restricciones presupuestarias y a las agendas del Presidente de la Sección y de sus vocales pertenecientes a los Ministerios de Cultura, Presidencia, Economía y Hacienda, e Industria, Turismo y Comercio, la Sección se reúne una vez cada quince días, y algunas veces la reunión debe ser suspendida por prioridades de los miembros de la Sección en sus respectivos Ministerios, por lo que se produce un nuevo retraso respecto a los plazos previstos.

TRÁMITE 5: La Sección comprueba la vulneración de los derechos, el ánimo de lucro y el potencial daño patrimonial y acuerda requerir al presunto infractor para que, en un plazo no superior a 48 horas, pueda proceder a la retirada voluntaria de los contenidos declarados infractores o, en su caso, realice las alegaciones y proponga las pruebas que estime oportunas.

TRISTE REALIDAD: El requerimiento se envía a la cuenta en Hotmail, al no existir en España un domicilio válido a efectos de notificaciones.

 TRÁMITE 6: El presunto infractor comprueba la fecha de la solicitud y la fecha del requerimiento y llega a la conclusión de que contestar le va a permitir conseguir más tiempo, por lo que responde con un mensaje desde Hotmail, alegando un límite al derecho de propiedad intelectual, ya que sus servicios se limitan a ayudar a los usuarios legítimos de obras a que realicen copias privadas en soportes por los que ya han pagado un canon para realizar dichas copias.

TRISTE REALIDAD: Como prueba documental se aporta una circular de la Fiscalía General del Estado en la que se hace referencia a la copia privada en relación al fenómeno de las descargas en Internet.

TRÁMITE 7: La Sección practica la prueba en el plazo de dos días y da traslado a los interesados para que presenten sus conclusiones en el plazo máximo de cinco días.

TRISTE REALIDAD: La Sección no realiza este trámite hasta la siguiente reunión quincenal, lo cual añade entre quince y treinta días más al procedimiento, en función de las agendas y prioridades ministeriales de sus integrantes, que además, y debido a problemas presupuestarios, todavía no han cobrado las dietas por sus traslados a la Sección.

 TRÁMITE 8: La Comisión, en el plazo máximo de tres días, dicta resolución, ordenando que se interrrumpa la presunta infracción.

TRISTE REALIDAD: La resolución de refiere a una página de enlaces, por lo que no afecta a los miles de ficheros residentes en servidores de descarga directa como Megauload, Rapidshare, Fileserve, Hotfile, etc. a los que apuntan los enlaces del presunto infractor.

 TRÁMITE 9: Ante el incumplimiento del infractor, la Comisión solicita la autorización judicial previa, requerida para poder proceder a la ejecución de la resolución.

TRISTE REALIDAD: La autorización judicial corresponde a los Juzgados Centrales de lo Contencioso-administrativo, que tienen un nivel de respuesta que no se corresponde con los plazos perentorios establecidos para este procedimiento, como puede verse en la relación que existe entre los casos ingresados cada año y los casos en curso al final del año (PDF) en esta jurisdicción.

 TRÁMITE 10: En el plazo improrrogable de dos días siguientes a la recepción de la notificación de la resolución de la Comisión, y poniendo de manifiesto el expediente, el Juzgado convoca al representante legal de la Administración, al Ministerio Fiscal y a los titulares de los derechos a una audiencia.

TRISTE REALIDAD: Debido a la escasez de recursos y a la saturación de esta jurisdicción, se producen dilaciones en los trámites de notificación de la resolución, recepción y reparto de la solicitud de autorización judicial, puesta de manifiesto del expediente y convocatoria de la audiencia.

TRÁMITE 11: Tiene lugar la audiencia, en la que, de manera contradictoria, el Juzgado oye a todos los personados.

TRISTE REALIDAD: Debido a la escasez de recursos y a la agenda e imprevistos del representante legal de la Administración y del Ministerio Fiscal, se ha producido una convocatoria fallida, pero al final, la audiencia ha tenido lugar.

 TRÁMITE 12: En el plazo improrrogable de dos días, el Juzgado debe resolver mediante auto autorizando o denegando la ejecución de la medida.

TRISTE REALIDAD: Debido a la escasez de recursos y a la saturación de esta jurisdicción, el Juzgado se ve imposibilitado para dictar auto en el plazo improrrogable de dos días.

TRÁMITE 13: La Comisión ejecuta la medida, ordenando la interrupción del servicio prestado por la página de enlaces.

TRISTE REALIDAD: A estas alturas, el presunto infractor ha preparado la migración de la página de enlaces a otro servidor, informando a todos sus seguidores en Twitter.

TRÁMITE 14: Ante la ineficacia de la resolución de la Comisión, y habiendo comprobado la creación de una nueva página de enlaces en otro servidor, que recuerda mucho a la anterior, los titulares de los derechos solicitan el inicio de un nuevo procedimiento, volviendo al TRÁMITE 1.

TRISTE REALIDAD: Teniendo en cuenta las semanas o incluso meses transcurridos desde el inicio de los trámites y el tiempo dedicado por los miembros de la Sección, pertenecientes a cinco Ministerios distintos, así como los funcionarios de apoyo de la Comisión, el Magistrado del Juzgado, los funcionarios del Juzgado, el Ministerio Fiscal y el representante legal de la Administración, además de los funcionarios encargados de las comunicaciones entre las distintas administraciones, el procedimiento habrá tenido un coste mínimo de 3.000 euros para los contribuyentes y no habrá servido para nada.

 

B) PROCEDIMIENTO ALTERNATIVO

TRÁMITE 1: El titular de los derechos comprueba que el enlace correspondiente a su obra apunta a Megaupload y utiliza el formulario destinado a comunicar presuntas infracciones. Megaupload retira el fichero en menos de 24 horas.

 

CONCLUSIÓN: El objetivo pretendido con los 13 trámites del procedimiento previsto en la llamada Ley Sinde se ha conseguido con el procedimiento alternativo de forma rápida y eficaz y con un coste cero para el contribuyente, de manera que, si hay que volver al TRÁMITE 1, la capacidad de migración del presunto infractor se reduce y el bajo coste del trámite para el titular de los derechos le permite aplicar una estrategia de desgaste.

Cancelación de datos en buscadores (I)

"Si un condenado por robo puede cancelar sus antecedentes penales al cabo de los años, ¿por qué no puedo eliminar la referencia a una multa de tráfico en Google?".

Probablemente esta pregunta ha asaltado a todo usuario que ha introducido su nombre en un buscador y ha tenido la amarga sorpresa de ver que algunos actos del pasado que le perjudicaban ocupaban posiciones privilegiadas en los resultados de la búsqueda y que no había ninguna referencia a su brillante expediente académico, a su trabajo o a cualquier otro aspecto de su vida del que podía sentirse más orgulloso.

En ciertas condiciones los buscadores de Internet pueden tener efectos desfavorables para la reputación de una persona. Ello es debido a las características de los buscadores que más definen su utilidad para los usuarios y su capacidad para diferenciarse de los competidores. Entre ellas cabe destacar las siguientes:


1. Indexación de gran alcance

El rastreo de los robots de los buscadores llega hasta el último rincón de la red, incluyendo sitios a los que nadie accede por desconocer que existen o por que carecen de interés. Sólo se excluyen de este proceso las páginas web que dan instrucciones a los robots para que no indexen su contenido.


2. Neutralidad

El buscador indexa tanto lo bueno como lo malo del pasado de una persona. La credibilidad de un buscador reside justamente en tratar por igual la información positiva y la información negativa. El buscador defiende al máximo este principio de neutralidad por muchas razones: credibilidad, garantía de no manipulación del algoritmo, imposibilidad de control, alto coste de gestión de las cancelaciones y oposiciones, posible responsabilidad como proveedor de servicios de información si introduce controles en la indexación, en el suministro de los enlaces y en los resultados de las búsquedas, etc. Por ello, los buscadores recurren todas las resoluciones de la Agencia Española de Protección de Datos en las que se les obliga a no indexar los contenidos negativos de una determinada persona.


3. Prioridad basada en la popularidad

Los contenidos negativos acostumbran a estar en boletines oficiales, periódicos, revistas…, es decir, en medios de comunicación que pueden llegar a ser más populares que los sitios que albergan los contenidos positivos: blogs, páginas personales, etc. También puede ocurrir que los propios usuarios seleccionen, por curiosidad o por morbo, los resultados más negativos, contribuyendo así a incrementar su nivel de popularidad en el buscador. Por ejemplo, la detención de un famoso por conducir bajo los efectos del alcohol genera más interés en los usuarios que su candidatura a un premio.


4. Localización instantánea o "efecto chivato"

Difícilmente una persona dedica su tiempo libre a leer el Boletín Oficial de la Provincia ni a buscar lo que se dice en él de sus amigos o conocidos. Sin embargo, si alguien introduce el nombre de una persona con poca actividad en la red en un buscador, es probable que los anuncios de embargos, multas o edictos judiciales publicados en los boletines oficiales aparezcan instantáneamente entre los primeros resultados. Existe una especie de ley de Murphy en los buscadores que hace que el contenido venga a ti aunque no lo estés buscando. Aunque sea una impresión subjetiva del afectado, parece que la ley de la fatalidad convierte la información negativa en un contenido "push" y a la información positiva en un contenido "pull".


5. Efecto amplificador

En algunos casos, el buscador amplía el alcance de difusión de un contenido, ya que permite que muchas personas que ni siquiera lo buscaban, ni conocían su existencia o localización, puedan acceder a él. Es posible que alguien se haya mantenido al margen de la red y los únicos contenidos relacionados con él en Internet sean los que aparecen en boletines oficiales, registros públicos y otras fuentes ajenas a su control.

En esos casos es posible que se convierta en relevante, por único o escaso, un dato negativo que se diluiría en el conjunto de la información relativa a una persona si esos datos positivos estuviesen también en la red. Por eso la primera estrategia de una persona que desea mejorar su reputación en la red consiste en publicar contenidos positivos sobre su persona en la red, que desplacen a los contenidos negativos a posiciones menos privilegiadas en los resultados de las búsquedas.

También se amplifican notablemente los contenidos por aparecer en las primeras posiciones de los resultados, debido a la popularidad de la fuente, a los clics de los usuarios de los buscadores o, como he dicho, a la ausencia de otros contenidos sobre esa persona. En estos casos se genera un círculo vicioso, ya que los primeros resultados son los más seleccionados por los usuarios y ello hace que se perpetúen en las primeras posiciones.

El efecto más dramático se produce cuando el nombre de una persona es indexado de forma asociada a una patología, defecto, adicción o afición. El efecto amplificador puede llegar al extremo de mostrar dicha asociación al facilitar el autocompletado de la búsqueda de los usuarios. Por ejemplo, completando de forma automática el nombre de una persona con palabras como alcohol, drogas, suicidio, etc.


6. Persistencia en el tiempo

La red no olvida. Hace unos años, visitar la hemeroteca de un periódico era como hacer arqueología entre montañas de papel llenas de polvo o pilas de rollos de celuloide rancio. Ahora Internet alberga todas las hemerotecas de los periódicos y constituye en sí mismo el mayor archivo de información creado por el hombre. Pero mientras unos se afanan en conseguir la máxima popularidad y las primeras posiciones en los buscadores, otros harían lo que fuese por desaparecer. Se trata de un colectivo que reclama el derecho al olvido, como acaba de reseñar la AEPD en su Memoria de 2009.

La persistencia en el tiempo de los contenidos alcanza su máximo exponente en la caché de los buscadores y en los grandes repositorios históricos, como Archive.org, que con su WayBack Machine permite visitar todas las versiones de una página web desde 1996.

Evitar la persistencia en el tiempo de un dato personal negativo exige por lo tanto la cancelación del mismo en la caché del buscador y en los repositorios históricos, así como la oposición a futuros tratamientos de indexación por parte del buscador.


Confluencia de varios intereses

El tratamiento de los datos personales con impacto reputacional negativo en los buscadores puede ser visto desde diferentes ópticas y provoca la confluencia de intereses tan legítimos como contrapuestos:

  1. El interés del usuario del buscador en encontrar tanto la información positiva como negativa de una persona.
  2. El interés de la fuente de la información en que sus contenidos sean indexados por los buscadores y aparezcan en las primeras posiciones de los resultados de la búsqueda.
  3. El interés del afectado en poder cancelar las referencias a datos que le perjudican y a que la red se olvide de él o de ciertos aspectos de su pasado.
  4. El interés del buscador en ofrecer un servicio que garantice la neutralidad de las búsquedas, indexando y haciendo accesibles los contenidos que existen en la red, sin manipulaciones ni privilegios.

En las siguientes entregas de este artículo, analizaré:

  1. Los casos en los una persona puede tener interés en que sus datos dejen de ser indexados por los buscadores.
  2. Las resoluciones de la AEPD en las que se ha exigido a un buscador que dejase de indexar datos de una persona.
  3. Los requisitos necesarios para que una persona pueda gestionar su reputación online oponiéndose a la indexación de sus datos.