Vídeo de la ponencia sobre Internet de las cosas y privacidad que di en el MWC

Este es el vídeo-presentación de la ponencia sobre Internet de las cosas y privacidad que ayer di en el foro de ESADE en el Mobile World Congress.

Haciendo clic en … Más se puede acceder a la transcripción del mismo.

La norma que regula el uso del correo electrónico por los Magistrados y el nuevo criterio del Tribunal Supremo

El Código de Conducta para usuarios de equipos y sistemas informáticos al servicio de la Administración de Justicia, vigente en la actualidad, siempre ha sido una referencia a seguir en la redacción de este tipo de normas, dado el justo equilibrio que establece entre las exigencias de control del propietario de los recursos TIC y los derechos de los usuarios.

Este equilibrio es el que muchas empresas han introducido en sus normas internas, ya que coincide con la doctrina unificada y consolidada por el Tribunal Supremo y por el Tribunal Constitucional.

Sin embargo, la Sentencia del Tribunal Supremo de 16/06/14 ha introducido un nuevo criterio en relación al control e intervención del correo electrónico “no leído” de los trabajadores para su uso como prueba en un procedimiento penal.

Este nuevo criterio y los cambios que implica en las actividades de control de la empresa, puede entrar en conflicto con el Código de Conducta comentado, que, paradójicamente regula el uso del correo electrónico que utilizan los Magistrados, incluidos los del órgano que dictó la sentencia comentada.

Reproduzco los puntos principales de este Código de Conducta para que se pueda valorar si existe o no un conflicto y si deben confirmarse o no las tesis defendidas en mi anterior artículo a favor de mantener el criterio hasta ahora vigente, que es justamente el que aplica este Código de Conducta.

1. El primer apartado de esta Instrucción, dictada por el Pleno del Consejo General del Poder Judicial de 26 de febrero de 20013, establece que el Código de Conducta se aplicará a todos los profesionales que prestan sus servicios en los órganos judiciales, incluidos los Jueces, Magistrados y Secretarios Judiciales.

2. Los apartados 2.3 y 4.1 extienden la aplicación de esta norma al correo electrónico y a todas las comunicaciones realizadas a través de la red interna o Intranet, o de la red externa o Internet.

3. El apartado 9.1.1 establece que es facultad de la Administración Pública competente exigir un buen uso del correo electrónico, y añade que el correo electrónico, por ser un instrumento básico de trabajo y colaboración, propiedad de la Administración, debe ser utilizado con fines profesionales.

4. Apartado 9.1.2: Queda prohibida la utilización del correo electrónico para “actividades personales restringidas”, en las que pueda haber alguna expectativa de privacidad o secreto en las comunicaciones.

5. Apartado 9.1.3: En los casos en los que la Administración competente permita utilizar el correo electrónico puesto a disposición de cada usuario para “actividades personales no reservadas”, en las que no exista expectativa alguna de privacidad, tales como usos sociales individualizados, esta utilización deberá restringirse al máximo.

6. En el apartado 6.8.3 se establece que, en aquellos órganos judiciales donde se hubiere instaurado la figura del “monitor judicial” y sin perjuicio de lo dispuesto en el párrafo anterior, a aquél le corresponderá comprobar y supervisar el correcto funcionamiento de las aplicaciones informáticas, poniendo en conocimiento del Secretario Judicial las deficiencias que observare, proponiendo, en su caso, la adopción de las medidas que estime pertinentes.

7.Apartado 6.11.2: Si un usuario finaliza su relación con la Administración o se traslada de puesto, deberá dejar intactos todos los archivos y documentos que hayan tenido un fin profesional. En el supuesto de que existan archivos de carácter personal, él mismo deberá eliminarlos, bajo la supervisión del Servicio de Soporte competente.

8. Apartado 9.3: En el momento de la extinción de la relación funcionarial o laboral, se interrumpirá el acceso a su buzón de correo. Los servicios técnicos podrán acceder al buzón para reenviar los mensajes profesionales a los usuarios que se determinen por el administrador o responsable del Sistema. (Se entiende que los destinatarios del reenvío accederán a los mensajes leídos y no leídos y que la selección de los mensajes profesionales, descartando los mensajes personales, la realizarán los servicios técnicos sin intervención judicial).

Conclusiones

En mi opinión, el criterio establecido en esta Instrucción del Pleno del Consejo General del Poder Judicial, que coincide con la doctrina unificada y consolidada del Tribunal Supremo y del Tribunal Constitucional, debe prevalecer.

Los usos actuales de los sistemas informáticos en el seno de las empresas y de las Administraciones Públicas exigen la reinterpretación o la modificación del artículo 18.3 de la Constitución, estableciendo la posibilidad de que:

  • o bien el secreto de las comunicaciones no sea de aplicación a las comunicaciones estrictamente corporativas o profesionales en las que no haya expectativa de privacidad, por la prohibición de su uso personal,
  • o bien se incluya el consentimiento del usuario y la ley como circunstancias habilitantes para la injerencia en dicho derecho.

Pensemos que la Constitución data de 1978 y que los avances tecnológicos, sociales, laborales, e incluso penales nos han llevado a un escenario que nada tiene que ver con el de entonces.

 

¿Una orden judicial para ver un correo electrónico de mi propia empresa?

Con un título similar publiqué hace años un breve artículo en v-Lex (premium) en el que me preguntaba si algún día sería necesario solicitar una autorización judicial para que una empresa pudiese inspeccionar el correo electrónico corporativo utilizado por sus trabajadores. Parece que ese momento ha llegado, aunque la intervención judicial sea sólo exigible para los correos no abiertos por el trabajador que tengan que ser utilizados como prueba en un procedimiento penal.

Aunque pensábamos que la doctrina jurisprudencial en esta materia estaba unificada y consolidada, una reciente sentencia de la Sala II del Tribunal Supremo ha establecido que el criterio existente hasta la fecha es aplicable a la jurisdicción laboral, pero no a la penal.

Esta sentencia se refiere a un delito continuado de falsedad en documento mercantil y de estafa que la empresa perjudicada acreditó mediante mensajes de correo electrónico del trabajador presunto autor de los delitos.

Adelanto que una de mis conclusiones va a ser que es irrelevante la forma en que las pruebas relativas al correo electrónico corporativo lleguen a un proceso penal, ya que, al ser un instrumento que está en la mayoría de los casos bajo el control de la empresa, las garantías que ofrece la intervención judicial pierden toda su eficacia.

Afirmaciones más relevantes de la Sentencia del Tribunal Supremo de 16/06/14

1. Los criterios establecidos en las sentencias previas del Tribunal Supremo y del Tribunal Constitucional han de quedar restringidos al ámbito de la Jurisdicción Laboral y no procede, en modo alguno, que se extiendan al enjuiciamiento penal.

2. El artículo 18.3 de la Constitución Española es claro y tajante cuando afirma que se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.

3. No contempla, por tanto, ninguna posibilidad ni supuesto que permita la injerencia en el contenido secreto de las comunicaciones sin la necesaria e imprescindible autorización judicial.

4. No son una excepción los argumentos relativos a la propiedad o titularidad del ordenador y la cuenta de correo electrónico, ni el uso de dichos recursos durante la jornada laboral, ni la naturaleza corporativa del cauce empleado.

5. Tampoco una supuesta renuncia tácita del derecho puede convalidar la ausencia de autorización judicial. En primer lugar porque esta renuncia al secreto de las comunicaciones no se produce en el caso concreto. En segundo lugar porque aunque se hubiese producido una renuncia-autorización, la Constitución no prevé, por la lógica imposibilidad para ello, la autorización del propio interesado como argumento habilitante de la intervención del correo.

6. La protección reforzada del derecho al secreto de las comunicaciones se justifica porque este tipo de injerencias revelan aspectos de la privacidad del comunicante que son ajenos al legítimo interés de una investigación.

7. Además se produce una situación de absoluta indefensión, por no saber la persona investigada que sus comunicaciones están siendo intervenidas.

8. Finalmente, el secreto de las comunicaciones beneficia también a los terceros que comunican con el trabajador, que son ajenos a la relación de éste con el titular del recurso y de sus condiciones de uso.

9. Por consiguiente, para que pueda otorgarse valor y eficacia probatoria en sede penal al resultado de una intervención del correo electrónico de un trabajador, resultará siempre necesaria la autorización e intervención judicial.

10. Quedan excluidos del secreto de las comunicaciones los mensajes que, una vez recibidos y abiertos por su destinatario, no forman ya parte de la comunicación propiamente dicha.

11. A los mensajes abiertos le son aplicables las normas relativas a la protección de datos personales y a la intimidad en sentido genérico, por lo que en este caso no es necesaria la autorización judicial.

12. También quedan excluidos los datos de tráfico y el uso del ordenador para acceder a páginas web y a otros servicios de Internet.

Ausencia de contenido privado y confidencial

1. Las alegaciones del trabajador recurrente acerca de las dudas sobre la integridad y validez de la prueba informática aportada por la empresa no son tenidas en cuenta en la sentencia, ya que se considera que no se ha producido injerencia en el secreto de las comunicaciones en este caso concreto.

2. En la sentencia recurrida se dice que no consta que se haya examinado correo electrónico privado ni cualquier otro tipo de programa o archivos temporales que haya supuesto intervenir o desvelar algún tipo de de comunicación privada y confidencial del trabajador.

3. Pensemos que los mensajes intervenidos estaban relacionados con las funciones administrativas desarrolladas por el trabajador y los destinatarios o remitentes de los mensajes eran sus interlocutores en las entidades financieras y los clientes con los que la empresa operaba.

4. Los criterios establecidos en la sentencia se plantean, por lo tanto, con la finalidad de fijar una clara doctrina sobre la validez probatoria de este tipo de intervenciones en sede penal.

¿Comete un delito la empresa que abre un mensaje cerrado de un trabajador?

1. En la sentencia se habla de la invalidez en sede penal de los mensajes cerrados intervenidos a un trabajador sin autorización judicial, pero no habla de las consecuencias penales de esta intervención.

2. Se entiende que no, ya que en el caso de que esta intervención fuese subsumible en el tipo penal del artículo 197 del Código Penal, algunas de las actividades rutinarias que se realizan cada día en muchas empresas podrían llegar a constituir un delito.

3. Imaginemos a la secretaria que, siguiendo las instrucciones de su jefe, abre sus mensajes cuando está en una reunión, para avisarle de cualquier asunto urgente. O el supervisor de un call center que escucha una muestra de llamadas cada día para controlar la calidad ofrecida por los operadores del servicio de atención al cliente. O las líneas de banca telefónica cuyas conversaciones son grabadas como prueba del consentimiento dado a las operaciones realizadas. ¿Se está cometiendo un delito en todos estos casos? Entiendo que no. ¿Son válidas estas pruebas en un proceso penal? Entiendo que sí.

4. También ha que hablar en este punto del consentimiento que dan los trabajadores que causan baja en una empresa para que sus sucesores puedan acceder a sus documentos y mensajes con el fin de continuar su trabajo. ¿Qué pasa si la persona que recibe los pedidos causa baja en la empresa? Los clientes seguirán enviando sus pedidos a esa dirección durante un tiempo, aunque se les avise puntualmente. En estos casos se utilizan direcciones genéricas de departamento, pero según la doctrina del Tribunal Supremo de 2007, cualquier usuario podría utilizar la cuenta genérica para un uso personal, con la consiguiente “expectativa de privacidad”.

5. El artículo 197 del Código Penal describe un tipo penal en el que el consentimiento del interesado elimina la posibilidad de que se cometa un delito.

6. De ello se deduce a mi entender que un consentimiento expreso debería ser también suficiente para habilitar una intervención del correo electrónico con la finalidad de causar prueba en un proceso penal, siempre que se aplicase un protocolo con las debidas garantías, se utilizase un fedatario público y se respetase la cadena de custodia.

7. La tecnología actual permite realizar varias copias de un disco duro sin acceder a su contenido y con herramientas que aseguran su integridad.

8. No obstante, todas estas garantías se refieren al momento de la obtención de la prueba y a su ciclo de vida posterior, pero no permiten asegurar que la prueba haya sido manipulada con carácter previo a la intervención, como diré más adelante.

Titular real del derecho al secreto de las comunicaciones

1. Siguiendo con mis opiniones personales cabe decir que llevo muchos años defendiendo la tesis de que en el correo electrónico corporativo el titular del derecho al secreto de las comunicaciones es la empresa. Insistiré poco en ello ya que doy por consolidada la doctrina jurisprudencial que exige una sospecha razonable y la aplicación del principio de proporcionalidad a la intervención del correo electrónico del trabajador para causar prueba en sede laboral. El único límite que establece el artículo 20.3 del Estatuto de los Trabajadores es el respecto a la dignidad del trabajador.

2. Plantémonos las siguientes preguntas: si un competidor interceptase un mensaje de correo electrónico entre nuestra empresa y un cliente, ¿quién pondría la querella por vulneración del secreto de las comunicaciones contra el competidor? ¿el trabajador que ha enviado el mensaje o la empresa? ¿Y en el caso de una llamada telefónica entre la empresa y un cliente?

3. La doctrina ha sido restrictiva y poco uniforme a la hora de extender los derechos fundamentales reconocidos en el artículo 18 de la Constitución a la persona jurídica. Se considera que la empresa puede tener derecho al honor y reputación, pero hay reparos para reconocer su derecho a la intimidad. En cambio hay que disponer de un consentimiento expreso para enviar una comunicación comercial electrónica a una empresa y de un mandamiento judicial para entrar en sus oficinas.

4. El Tribunal Europeo de Derechos Humanos (TEDH) reconoce el derecho al secreto de las comunicaciones a las personas jurídicas y declara que las nociones “vida privada” y “correspondencia” del art. 8 del convenio incluyen tanto locales privados como profesionales (Sentencia TEDH de 16 de febrero de 2000, caso Amann). También reconoció este derecho a favor de las empresas el Tribunal de Justicia de las Comunidades Europeas (en su anterior denominación) en la sentencia de 18 de mayo de 1982, A.M.S. v. Comisión.

5. El artículo 200 del Código Penal establece que lo dispuesto para las personas físicas en el mismo capítulo será aplicable también al que descubriere, revelare o cediere datos reservados de personas jurídicas sin el consentimiento de sus representantes.

6. Si se reconoce que una empresa puede ser titular del derecho al secreto de las comunicaciones deberá concluirse que la interceptación de un mensaje entre dos empresas supondrá una vulneración de este derecho. El derecho de la persona física que envió o recibió el mensaje pasaría en este caso a un segundo plano.

7. En mi opinión, la empresa es parte en las comunicaciones que se generan entre ella y cualquier otra persona física o jurídica y de ello debería deducirse que no precisa una autorización judicial para conocer su contenido cuando ha prohibido expresamente el uso privado de dichas comunicaciones y ha advertido de su monitorización.

8. La prueba podrá ponerse en duda, como toda prueba aportada por una de las partes, pero no debería decirse que ha sido obtenida de forma ilegítima, ya que, como he dicho, la empresa es parte en la comunicación.

¿Qué pasa actualmente con el correo postal corporativo?

1. Las cartas que llegan todavía a las empresas en formato papel conteniendo pedidos, facturas, publicidad, y otros contenidos de índole empresarial, van dirigidas generalmente a una persona física.

2. Hay diversas fórmulas para identificar al destinatario de una carta. Puede aparecer directamente su nombre o bien el cargo o departamento. La carta también puede ir dirigida a la empresa, a la atención de una persona concreta.

3. Aunque la carta vaya dirigida al Presidente de la compañía, es muy probable que su secretaria la abra, ya que los altos cargos acostumbran a optimizar su tiempo delegando en sus secretarias la apertura de la correspondencia.

4. Lo mismo sucederá en el departamento de contabilidad. Si una carta va dirigida a una persona que ya no está en la empresa, se presumirá que su contenido tiene que ver con la función que desempeñaba y será abierta.

5. En estos supuestos nadie habla de violación del secreto de las comunicaciones porque se entiende que se trata de comunicaciones en las que la empresa es parte, como remitente o como destinataria.

6. En el correo electrónico sucede lo mismo. Los mensajes van dirigidos a la empresa, a la atención de una persona concreta. De hecho, la arroba significa “at”, lo que indica que el mensaje va dirigido a a la atención de una persona concreta en (at) la empresa indicada en el nombre de dominio.

El derecho al secreto de las comunicaciones en el puesto de trabajo

1. La cultura del “buen rollo” desarrollada en las grandes empresas durante los años de bonanza llevó a buscar un equilibrio entre la vida laboral y la personal. Se entendió que no podía pedirse a un trabajador la conducta heroica de no utilizar los recursos tecnológicos corporativos para fines privados o personales durante las ocho largas horas de la jornada laboral. Ello generó un clima de permisividad que en muchas empresas derogó de facto las prohibiciones que pudiesen existir en relación a ese uso privado.

2. Pero las circunstancias han cambiado. Por un lado han surgido los smartphones, que han concentrado en ellos las comunicaciones privadas de los trabajadores. Ello permite presumir que el correo electrónico corporativo está dejando de ser utilizado para asuntos personales, justamente por el riesgo conocido de su lectura por la empresa. La tendencia del BYOD, para mi equivocada por cuestiones de seguridad, establece una diferencia clara entre las aplicaciones corporativas

3. Por otro lado, la crisis ha hecho que las empresas exijan una mayor productividad a sus trabajadores, por lo que un uso personal de los recursos TIC de la empresa puede ser mal visto y tratado como un supuesto de absentismo presencial.

4. Ello no impide que los trabajadores más jóvenes pasen su jornada laboral con el smartphone al lado del teclado del ordenador. Con este gesto le están diciendo a la empresa que seguirán trabajando en sus funciones hasta el momento en que reciban un mensaje de Whatsapp o de correo electrónico en el smartphone, momento en que su lectura tendrá prioridad absoluta sobre cualquier otra tarea de su famoso “multitasking”. La cuestión es que la frecuencia de las interrupciones que provoca la multitarea es tan alta que un reciente estudio afirma que esta práctica provoca una reducción de 10 puntos en el coeficiente intelectual de la persona. Si la mayoría de los trabajadores no aceptarían una injerencia de la empresa en el sagrado episodio del fin de semana o las vacaciones, no parece justo que la empresa tenga que aceptar la injerencia de los mensajes personales y las constantes interrupciones del Whatsapp durante la jornada laboral. Ninguno de nosotros tendría que aceptarlo, por su inevitable impacto acumulado en el PIB de nuestro país.

5. ¿Qué expectativa de intimidad tiene el trabajador cuando utiliza el correo electrónico corporativo? No todas las formas de comunicación tienen el mismo tratamiento. Las postales que enviamos cuando ejercemos de turista van abiertas y la expectativa de intimidad es nula. El correo electrónico corporativo también va abierto para la empresa. No es necesario que el trabajador lo abra para que la empresa tenga la oportunidad de leer su contenido.

6. En la sentencia analizada se habla de que una renuncia del trabajador al derecho es inviable. Pero la cuestión es si al hablar del correo electrónico corporativo debemos dejar que este derecho llegue a nacer. El cauce no es la renuncia al derecho sino el convencimiento de que no hay espacio para la intimidad en el correo electrónico corporativo.

6. Entiendo que las empresas deben hacer un esfuerzo para definir de forma más clara que los recursos TIC corporativos están reservados para un uso empresarial y que el uso personal debe quedar prohibido. Ello no sería exigir una conducta heroica al trabajador, ya que pueden aprovecharse las pausas y los momentos de descanso para consultar el smartphone personal.

El correo corporativo está bajo el control constante de la empresa

1. Como adelantaba al principio, considero que las garantías que ofrece la intervención judicial van a llegar siempre tarde cuando se trata de obtener y utilizar el correo electrónico corporativo como prueba.

2. Pensemos que un mensaje de correo electrónico no cifrado es texto plano, que entra y sale de la empresa por un conducto que está enteramente bajo su control. Salvo en los casos en que el servicio está en manos de un tercero, y a veces incluso así, nada impide al departamento de sistemas de la empresa leer el correo e incluso modificar su contenido. Incluso se puede decir que el ISP es un proveedor pagado por la empresa que carece de neutralidad.

3. Una intervención judicial sería el procedimiento ideal para “blanquear” una prueba previamente asegurada desde el punto de vista técnico.

4. También existe la posibilidad de que la empresa marque como “leído”el mensaje que desea intervenir antes de aplicar el protocolo de intervención. Al igual que existe la posibilidad de que el trabajador marque como “no leído” los mensajes ya leídos que desea proteger de una eventual intervención de la empresa. Aunque en este caso sería mejor borrarlos.

5. En estas condiciones, las garantías de integridad, fe pública y continuidad de la cadena de custodia decaen de manera absoluta. ¿De qué sirve que un Secretario Judicial de fe de una realidad que ha podido ser alterada previamente? ¿Por qué preocuparnos de la cadena de custodia de algo que puede haber sido modificado con anterioridad a la diligencia judicial?

6. En cualquier caso, existen herramientas de “forensic readiness” que permiten acreditar que un mensaje no ha sido manipulado.

7. Es evidente que las empresas no están manipulando el correo para imputar a sus trabajadores. Estamos hablando de que existe la posibilidad técnica para hacerlo y ello puede desvirtuar las garantías de una intervención judicial posterior.

8. Por lo tanto, la validez de esta prueba se basa más en la credibilidad de su contenido y en las restantes pruebas anteriores, coetáneas y posteriores a los mensajes intervenidos que en la forma en que han sido obtenidos. De hecho esto es lo que ocurre exactamente en el caso analizado.

El secreto de las comunicaciones como subconjunto del derecho a la intimidad

1. En la sentencia comentada se dice que el derecho al secreto de las comunicaciones está dentro del genérico derecho a la intimidad que se contempla en el artículo 18 de la Constitución.

2. El artículo 2.2 de la Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen establece que no se apreciará la existencia de intromisión ilegítima en el ámbito protegido cuando estuviere expresamente autorizada por Ley o cuando el titular del derecho hubiere otorgado al efecto su consentimiento expreso.

3. Aunque el preámbulo de esta ley se refiere exclusivamente al desarrollo del articulo 18.1 de la Constitución, lo cierto es que en el articulado se habla de todo el artículo 18.

5. Si pudiésemos aplicar a este caso el principio de quien puede lo más puede lo menos, sería natural concluir que una persona que puede dar su consentimiento para entrar en su casa también puede dar su consentimiento para entrar en su correo electrónico, por muy enérgica que sea su protección en el artículo 18.3 de la Constitución exigiendo la intervención judicial.

6. También hay que tener en cuenta que en la redacción del artículo 18.3 no se incluyó la posibilidad de que la injerencia en el secreto de las comunicaciones estuviese autorizada en ciertos casos por una ley. Y ello podría ser un error.

7. Lo natural sería que la ley y el consentimiento fuesen también instrumentos habilitadores de una injerencia legítima en el secreto de las comunicaciones. Pensemos que en la actualidad, tras los escándalos de la NSA, cualquier persona puede pensar que la probabilidad de que alguien lea sus mensajes de correo electrónico es más alta que la probabilidad de que alguien entre en su domicilio sin autorización. Los mensajes están ahí fuera y en abierto. Mis efectos personales, mi verdadera intimidad, están en casa y cerrados con llave.

8. Por otro lado, entiendo que las obligaciones de control establecidas en el artículo 31bis del Código Penal exigen a las empresas poder realizar inspecciones que alcancen a contenidos presuntamente protegidos por el derecho a la intimidad y por el secreto de las comunicaciones, como subconjunto del mismo.

Impacto en las obligaciones de control derivadas de un programa de compliance

1. Muchos programas de corporate compliance, destinados a establecer un modelo de prevención y control de delitos, basan su fuerza en la posibilidad de realizar investigaciones en el correo electrónico corporativo.

2. La sentencia comentada puede poner en peligro estas investigaciones, ya que no permitiría realizarlas sin la existencia de una autorización judicial. Al menos el caso de mensajes cerrados destinados a causar prueba en un proceso penal.

3. Entiendo que debería contemplarse como válido el protocolo de intervención del correo electrónico en el que el trabajador está presente en la diligencia y se observan todas las garantías en la obtención de la copia (hash) y en la cadena de custodia.

4. Pero yo me atrevería a ir más allá y a dar por válido el consentimiento expreso dado con carácter previo por el trabajador al firmar las normas de uso de los recursos TIC corporativos, asumir la prohibición de un uso personal de los mismos y aceptar una eventual inspección del correo electrónico.

5. Y también considero que las obligaciones de control establecidas en el artículo 31bis del Código Penal para las empresas habilitan a éstas a realizar investigaciones que pueden alcanzar a todos los recursos TIC que están bajo su control y son de su propiedad, como el correo electrónico corporativo.

 Precauciones a tener en cuenta a partir de ahora

A pesar de mis opiniones contrarias al contenido de la sentencia, lo cierto es que ésta establece un criterio que hay que respetar, por lo que, por una cuestión de prudencia empresarial y para evitar que las pruebas pierdan su eficacia, la empresa tiene la opción de solicitar la intervención judicial en la obtención de los mensajes cerrados que vayan a ser utilizados como prueba en un proceso penal. En cualquier caso, también puede reforzar sus normas y protocolos de actuación mediante algunas de las siguientes acciones:

1. Prohibir el uso personal del correo electrónico
2. Informar claramente de los controles que la empresa puede aplicar
3. Solicitar el consentimiento expreso para el control del correo electrónico
4. Prohibir la conversión de los mensajes leídos en mensajes no leídos
5. Reforzar las garantías de los protocolos de intervención del correo electrónico
4. Limitar las investigaciones internas dirigidas a un proceso penal a los mensajes abiertos
5. Instalar herramientas de forensic que permitan acreditar que los mensajes no han sido
manipulados por la empresa

Conclusiones

Tras la lectura de la sentencia y el análisis realizado en este artículo, extraigo las siguientes conclusiones:

1. Las empresas están habilitadas por la ley (artículo 31bis del Código Penal y artículo 20.3 del Estatuto de los Trabajadores) para adoptar medidas de vigilancia y control sobre la actividad de los trabajadores.

2. Esta habilitación también puede surgir del consentimiento del trabajador.

3. La prohibición de un uso personal del correo electrónico corporativo y la migración del correo personal a los smartphones privados permite presumir cada vez más que el correo electrónico corporativo está desprovisto de intimidad para el trabajador.

4. La intervención de los mensajes de correo electrónico corporativo enviados o recibidos por el trabajador no supone un delito contra la intimidad, ya que existe una autorización legal y un consentimiento del trabajador.

5. Además, la empresa forma parte de la comunicación, ya que no presta un servicio al trabajador, sino que es jurídicamente el verdadero emisor y receptor de las comunicaciones y por lo tanto, el titular del derecho al secreto de las mismas.

6. Sin embargo, el nuevo criterio del Tribunal Supremo establece que las pruebas obtenidas de esta manera no serán validas en la jurisdicción penal sin la correspondiente autorización e intervención judicial que dote a la diligencia de las correspondientes garantías en el caso de mensajes cerrados.

7. En mi opinión, la tecnología actual de forensic que garantiza la integridad de una copia permite aplicar un protocolo de intervención en el que se apliquen las garantías de integridad, cadena de custodia y fe pública a través de la intervención de un fedatario público.

8. La intervención judicial no garantiza la integridad de la prueba en el caso del correo electrónico corporativo, ya que éste está desde el primer momento bajo el control de la empresa y puede haber sido manipulado antes de la diligencia judicial. Salvo en el caso de que se hayan utilizado previamente herramientas de forensic readiness.

9. A pesar de mis opiniones contrarias al contenido de la sentencia, lo cierto es que ésta establece un criterio que hay que respetar, por lo que, por un principio de prudencia empresarial recomiendo adoptar las precauciones que resumo en este artículo.

ACTUALIZACIÓN – 12/01/2016

El Tribunal Europeo de Derechos Humanos ha dictado hoy una sentencia en la que establece que la monitorización de las comunicaciones privadas (Yahoo Messenger) de un trabajador por parte de la empresa no constituye una violación del artículo 8 del Convenio Europeo de Derechos Humanos (La vida privada y familiar incluye la intimidad del domicilio y la inviolabilidad de la correspondencia).

Infografía resumen de la nueva Guía sobre el uso de las cookies de la AEPD

En esta infografía resumo los puntos que considero más importantes de la nueva Guía sobre el uso de cookies de la Agencia Española de Protección de Datos y las asociaciones adigital, Autocontrol e IAB, que ha sido publicada hoy.

Infografía Cookies 2013 en formato PDF

Para ampliar la imagen haz clic en la infografía

Infografía resumen de la Guía sobre el uso de cookies de la Agencia Española de Protección de Datos - Xavier Ribas

Infografía resumen de la Guía sobre el uso de cookies de la Agencia Española de Protección de Datos – Xavier Ribas

Adecuación de las normas de uso de los recursos TIC corporativos

Desde la última revisión de las normas de uso de los recursos TIC se han producido una serie de cambios que obligan a realizar una actualización.

Entre dichos cambios destacan los siguientes:

Sentencia del Tribunal Constitucional comentada la semana pasada.
Uso de dispositivos móviles personales para e-mail y aplicaciones corporativas (BYOD).
– Entrega de smartphones y tablets corporativos a los trabajadores.
– Incremento del nivel de externalización de funciones
– Mayor acceso de personal de los proveedores a los recursos TIC corporativos
– Incorporación de los nativos digitales al mundo laboral
– Mayor uso de redes sociales como Facebook y Twitter
– Incremento del efecto de Whatsapp en el rendimiento del trabajo.
– Incremento del número de trabajadores con blog propio.

La falta de actualización de estas normas puede ser interpretada como tolerancia de la empresa, con un efecto equivalente a la derogación de los controles existentes en materia de seguridad de la información, infracciones y absentismo presencial.

También es recomendable actualizar el protocolo de inspección del ordenador y el correo electrónico del trabajador, con el fin de incorporar los criterios derivados de la interpretación de la sentencia del Tribunal Constitucional, de forma directa y a contrario sensu, así como los de la doctrina unificada del Tribunal Supremo.

Nuestro despacho ha diseñado un servicio de actualización de normas de uso de recursos TIC corporativos. La contratación de este servicio puede realizarse llamando al teléfono 934940748 o enviando un mensaje a anna.canadell@ribastic.com

¿Puede un periódico publicar las fotos que tuiteas?

La pregunta surge tras la reciente sentencia de un Juez de Distrito de Nueva York en la que declara que The Washington Post y la Agencia France-Press (AFP) infringieron los derechos de propiedad intelectual del fotógrafo Daniel Morel, al distribuir y publicar sin su autorización, fotografías que éste había tuiteado sobre el terremoto de Haití.

Los términos de servicio de Twitter establecen que:

  1. El usuario es el titular de los derechos que le amparan sobre cualquier contenido que envíe, reproduzca o exponga en Twitter.
  2. Al hacerlo, el usuario concede a Twitter una licencia mundial, no exclusiva y gratuita sobre el contenido publicado.
  3. Esta licencia permite a Twitter utilizar, copiar, reproducir, procesar, adaptar, modificar, publicar, transmitir, exponer y distribuir el contenido del usuario a través de cualquier medio o método de distribución presente o futuro.
  4. También permite a Twitter conceder sublicencias del contenido del usuario a terceros y permitir que las personas físicas o jurídicas asociadas a Twitter puedan sindicar, retransmitir, distribuir o publicar.

Ello significa que un periódico o cualquier otro sitio web no puede publicar una foto tuiteada sin la autorización del usuario o de Twitter, a través de un acuerdo de sublicencia o de asociación.

Sin embargo, John Herrman, de BuzzFeed plantea en un artículo de la semana pasada que no habría infracción de los derechos de autor si la fotografía se publica insertando el tuit en la página web. (Gracias a Patricia Ventura por la información facilitada).

Además de las funciones “Responder”, “Retwittear” y “Favorito” que ofrece Twitter en relación a cada mensaje, a través del menú “…Más” se puede acceder a las funciones “Enviar Tweet por correo electrónico” e “Insertar Tweet”. Esta última función permite acceder al código necesario para insertar el tuit en una página web, ofreciendo incluso una vista previa de cómo quedará la inserción.

Si consultamos el Centro de ayuda de Twitter, veremos las instrucciones para insertar un tuit en un sitio web o blog. En ellas se establece claramente la posibilidad de insertar cualquier tipo de tuit, incluyendo los tuits con fotos y vídeos. Además, en el apartado de preguntas frecuentes Twitter responde con un rotundo ¡SI! a la pregunta “¿Puedo insertar un Twet que contiene una foto, vídeo u otros medios?”. La única condición actual es que las fotos estén en pic.twitter.com y los vídeos en YouTube y que el tuit a insertar no haya sido protegido por el usuario.

Se trata por lo tanto, de un régimen parecido al de YouTube, en el que existe una autorización genérica para insertar vídeos en páginas web y blogs siempre que el usuario no hay protegido el vídeo. La autorización sigue el camino usuario-Twitter-tercero.

Este régimen puede no satisfacer a muchos usuarios, pero es el que teóricamente acepta al abrir una cuenta en Twitter o tras ser notificado sobre una modificación de los términos del servicio y mantener la cuenta. Para eludirlo, el usuario puede proteger sus tuits, pero entonces dejan de ser públicos, y sólo podrán acceder a ellos los seguidores aprobados de forma expresa por el usuario.

El problema puede surgir cuando el usuario borra o protege el tuit que ya ha sido insertado en otro sitio web. En estos casos, y según las FAQ de Twitter (al final de la página), “las marcas de Twitter y las acciones del Tweet (Responder, Retuitear, etc.) serán eliminadas del Tweet inserto, pero el contenido del Tweet aún será visible“. Sería interesante en este caso ponderar el derecho a mantener el contenido online por parte del medio que ha insertado el contenido de buena fe, de acuerdo con la expectativa generada por Twitter, y el derecho moral del autor a solicitar la retirada de la foto, en función de lo establecido en los puntos 1 y 6 del artículo 14 del Texto Refundido de la Ley de Propiedad Intelectual.

Por lo tanto, y respondiendo a la pregunta que da título a este post, un periódico podría publicar una foto tuiteada en los siguientes casos:

  1. Cuando disponga de la autorización del usuario que la publicó.
  2. Cuando obtenga una sublicencia de Twitter.
  3. Cuando sea un asociado de Twitter autorizado a publicar fotos.
  4. Cuando inserte un tuit con foto en su sitio web.

Si el usuario quiere evitar que sus fotos sean publicadas en otros sitios web a través de la inserción del tuit, tiene la opción evidente de no tuitearlas, o de proteger sus tuits al inicio, antes de que hayan sido insertados en otro un sitio web.

Cómo funciona MEGA, el nuevo Megaupload

Este fin de semana se lanza MEGA, la nueva apuesta del fundador de Megaupload, en la que pretende superar todos los obstáculos que tendría una versión funcionalmente idéntica a la anterior.

Los elementos clave de la nueva versión son los siguientes:

1. Documentos privados

El nuevo MEGA presenta como factor innovador un sistema de aseguramiento de la privacidad que no exige instalar software dedicado, ya que cifra y descifra los datos de forma transparente en el navegador del usuario a partir de una clave pública de 2.048 bits. El usuario es el único que tiene la clave de acceso a sus contenidos, alojados de forma cifrada en la nube de MEGA.

La estrategia de MEGA consiste en trasladar al usuario la responsabilidad de los contenidos almacenados en su nube, alegando que estos contenidos están cifrados y que, aunque quisiera, MEGA no podría conocer su nivel de legalidad, ya que no tiene acceso a ellos.

2. Fragmentación y dispersión

El sistema de almacenamiento de MEGA es multicéntrico, es decir, está distribuido en una larga serie de servidores en todo el mundo, que no son de su propiedad. Los contenidos que se alojen en la nube privada de cad usuario serán inmediatamente cifrados, fragmentados y distribuidos por todo el mundo. Ello significará que, a diferencia del P2P, un servidor nunca tendrá el fichero completo, ni siquiera un fragmento reconocible del fichero. Cada servidor tendrá una porción ininteligible que sólo podrá ser unido al resto del fichero a través de la plataforma de MEGA y con la clave del usuario.

Se trata del sistema de ofuscación que Google y otros proveedores de cloud computing ya utilizan para cumplir las exigencias de sus clientes en materia de confidencialidad de la información y protección de datos personales.

Según MEGA, el usuario tendrá el control absoluto sobre las personas que podrán acceder de forma cifrada y confidencial a sus carpetas compartidas, de manera que ningún otro usuario, incluido MEGA, podrá participar en las comunicaciones confidenciales ni acceder a los contenidos cifrados. Ello eliminaría la posibilidad de que MEGA pudiese supervisar dichos contenidos o atender requerimientos judiciales para acceder a ellos. Estos requerimientos deberían dirigirse al usuario.

Las dudas que surgen sobre la eficacia de este sistema tienen que ver con las páginas de enlaces que basan sus ingresos en la publicidad y, por lo tanto, en la afluencia masiva de visitantes. Se espera que MEGA aporte la solución definitiva para evitar la trazabilidad de las descargas directas, pero todo parece indicar que el nuevo sistema va dirigido a la creación de redes de confianza y al intercambio de ficheros entre conocidos.

En el momento en que un fichero privado se haga público para permitir la descarga directa de desconocidos, además de dejar de ser privado, se abrirá la posibilidad de conocer el contenido del fichero, el identificador del fichero en el sistema y el identificador del propietario o administrador del mismo. Se entiende que, en su afán de legalidad, y teniendo en cuenta su ubicación en Nueva Zelanda, MEGA deberá disponer de un servicio de atención de reclamaciones y de retirada de contenidos. Será interesante conocer la aplicación práctica del protocolo que MEGA ha diseñado para atender estos requerimientos y desviarlos hacia el usuario, o bien resolver los eventuales conflictos generados entre la entidad que reclame la retirada y el usuario que haya subido el fichero, suponiendo que éste haya permitido, en algún momento, desvelar su existencia y permitir un acceso al mismo.

Respecto a la posible responsabilidad de MEGA sobre los contenidos publicados en la plataforma, hay materia para dedicar un artículo específico. Cabe reflexionar sobre la aplicación de las siguientes figuras:

– El régimen de responsabilidad de los ISP.
– La ceguera intencional utilizada en el blanqueo de capitales.
– La inducción y la cooperación necesaria.

Todo ello sin descartar el triunfo de la ingeniería jurídica diseñada por Kim Dotcom para eludir la ley.

ACTUALIZACIÓN

Protocolo que seguirá MEGA en el caso de que reciba una denuncia de infracción de los derechos de autor

Formulario de denuncia de infracciones de los derechos de autor en MEGA

eDNI para Facebook: solución desproporcionada

He estado analizando la noticia de ayer sobre la propuesta de exigir el DNI electrónico como prueba de la edad de los usuarios y me ha parecido realmente desproporcionada. Mis reflexiones son las siguientes:

Como padre

– Mis tres hijos tienen una gran actividad en Facebook desde los 16, 13 y 10 años respectivamente.

– Para darse de alta contaron con mi consentimiento expreso.

– Los tres utilizan la red social para comunicarse con sus amigos de clase, compartir contenidos, organizar deberes y preparar exámenes.

– El menor de ellos entró a los 10 años porque era el único de la clase que no tenía cuenta en Facebook y se sentía excluido.

– Me pidió que lo ayudase a darse de alta y fue muy gratificante para ambos configurar juntos la privacidad y los demás parámetros importantes de la cuenta: visualización de fotos, alta de amigos, etc.

– Ello me permitió sensibilizarle sobre los riesgos y hacerle comprender la necesidad de que tutelase su actividad hasta que tuviese 14 años, para lo cual acordamos que no cambiaría las claves de acceso, y así lo ha hecho hasta ahora.

– El sabe que tengo acceso a su cuenta y nos hemos reído juntos con los vídeos y chistes que han pasado por ella.

– Como padre he preferido siempre que mis hijos asuman responsabilidades desde pequeños y que conozcan los riesgos de lo que hacen, en vez de mantenerlos alejados de una realidad a la que podrían acceder igualmente, sin mi conocimiento y sin mis recomendaciones.

– Creo que la confianza genera responsabilidad y prefiero compartir y tutelar estas experiencias que reprimirlas y convertirlas en clandestinas, porque si sus amigos están ahí, ellos acabarán estando, por un medio o por otro.

– Si hubiese tenido que utilizar el DNI electrónico para cursar el alta, probablemente lo habría dejado para otro día.

– Entiendo como padre que la tutela no es algo ocasional, sino continuado. Pedir la intervención de los padres sólo en el momento del alta es como pensar que escogiendo un buen colegio para tus hijos ya es suficiente. Se entiende que la supervisión y el acompañamiento de la actividad de tu hijo es algo mucho más exigente y duradero.

Como observador

– La medida puede dar impulso al DNI electrónico, ya que los niños tendrán una motivación para que ellos y sus padres lo utilicen. Ya sabemos lo que pueden llegar a insistir hasta que consiguen lo que quieren.

– Lamentablemente, la experiencia es que la exigencia del DNI electrónico puede ser un obstáculo para el crecimiento de las actividades relacionadas con las redes sociales.

– En el comercio electrónico el eDNI ha sido rechazado sistemánticamente por las empresas y los usuarios. Cualquier paso o trámite adicional que se introduce en el proceso de compra es disuasorio e incrementa el número de transacciones frustradas.

– A todo ello se une el escaso uso de los lectores de eDNI, la caducidad de dos años del certificado electrónico y la habitual no renovación del mismo.

– Las redes sociales se han convertido en un nuevo motor para la economía y muchas empresas has diseñado una estrategia de marketing y publicidad adaptada a sus actuales presupuestos exiguos. Los menores de 14 años y sus padres son un público muy importante al que no tenemos que poner obstáculos para utilizar las redes sociales si los padres dan su consentimiento.

– Entiendo que exigir el DNI electrónico puede ser altamente disuasorio y es una medida desproporcionada que va a entorpecer y dificultar la entrada en una plataforma de comunicaciones que está aportanto muchos más beneficios que riesgos a nuestros hijos. No existe alarma social ni estadísticas negativas que aconsejen tal medida.

Mi propuesta es que estudiemos soluciones más imaginativas, que eduquemos a nuestros hijos ayudándolos a asumir responsabilidades, que definamos modelos de tutela colaborativa, que estemos más con ellos, que aprendamos juntos. Por muchos cerrojos que pongamos no conseguiremos que dejen de comunicarse. Sólo haremos que la brecha sea mayor.

En vez de contenerla, canalicemos esa ilusión.

De la segmentación clandestina a la autosegmentación

1960

Javier acaba de llegar a casa tras un parto complicado y cuatro días de hospital junto a su madre, que ahora está cambiándole las gasas de algodón por primera vez. Los pañales todavía no se comercializan en España. Al menos en su barrio. Los pocos distribuidores que existen de este nuevo producto no saben que ha nacido, ni que es un niño, ni que pertenece a una familia de clase media baja, ni que vive en un barrio de clase media baja de una gran ciudad. No conocen la profesión de sus padres ni su poder adquisitivo. Javier no será objeto de segmentación por parte de un anunciante hasta dentro de unos años y gracias a Pepe, un funcionario del Instituto Nacional de Estadística que se saca un sobresueldo vendiendo listas. Las teclea con su Olivetti y sus dedos fuertes, que consiguen marcar hasta cuatro hojas de papel carbón.

1992

Paula llega a casa tras un parto sin complicaciones y tres días de hospital. Su madre está cambiándole los pañales por primera vez. Su padre (el mismo Javier de 1960 que ahora ya es un profesional liberal segmentado por los cuatro costados) acaba de abrir el buzón y ha encontrado una carta dirigida a Paula. Javier sonríe y le comenta a su mujer: “Mira, Paula acaba de nacer y ya recibe publicidad de pañales. Bueno, en realidad a Paula le dan la bienvenida, los destinatarios de la publicidad somos nosotros. Qué simpáticos. Por cierto, ¿estás contenta con estos pañales? Los de la foto parecen más cómodos”. Paula había recibido la carta gracias a Lola, una empleada del hospital que se sacaba un sobresueldo vendiendo los datos de los recién nacidos en papel pijama. Gracias a estos datos, el remitente de la carta tenía información suficiente del perfil de los padres de Paula para saber que valía la pena asumir los costes del envío.

2012

Ignacio llega a casa tras un parto con cesárea y cinco días de hospital. Su madre está cambiándole los pañales superabsorbentes, autoadaptables e hipersuaves por primera vez. Su padre ha publicado 32 fotos y cuatro vídeos de Ignacio a través de Facebook, Tuenti, Twitter, y Whatsapp con un total de 1.526 destinatarios. Además, los padres son seguidores de su fabricante de pañales favorito en Facebook y en Twitter, gracias a lo cual tienen acceso a información muy útil para el cuidado de su hijo y comparten experiencias con otros padres de perfil muy parecido. Gracias a sus preguntas y comentarios y a los datos facilitados al autorizar el acceso a su perfil de Facebook, a su muro, a sus fotos y a sus amigos, el fabricante de pañales puede efectuar una segmentación muy ajustada de los padres de Ignacio e indirectamente, del propio Ignacio. Mientras, a dos manzanas de la casa de Ignacio, Paula, que ya tiene 20 años, está comentando las vacaciones y el inicio del nuevo curso con sus amigas. Paula ha llegado a mencionar más de 14 productos diferentes en sus conversaciones online y ha visitado más de 30 páginas web relacionadas con sus aficiones. Todo ello bajo la atenta mirada de los sistemas de publicidad basada en el comportamiento.

Ni los anunciantes de 1960 ni los de 1992, en sus mejores sueños, habrían podido imaginar este paraíso.

Cookies, publicidad contextual y publicidad basada en el comportamiento

El 24 de febrero de 2010, con motivo de mi participación como ponente en el I Congreso Internacional IAB Spain de regulación publicitaria en medios digitales, pude asistir a la ponencia de IAB UK en la que se presentaba una guía sobre Behavioral Advertising.

El ponente comentó que, en un estudio que habían realizado sobre la disposición de los usuarios a recibir publicidad online personalizada, se había confirmado que, a la hora de consumir contenidos en Internet, los usuarios preferían un modelo basado en la publicidad frente a un modelo basado en el pago por contenidos. Y puestos a aceptar la publicidad como contrapartida a la gratuidad del servicio, los usuarios preferían que esa publicidad se adaptase a sus gustos y preferencias.

Esta posición del consumidor queda patente en las revistas especializadas. Nunca veremos un anuncio de zapatos o de coches en una revista de informática, debido al rechazo que una publicidad descontextualizada tendría entre los lectores.

Esta adaptación de la publicidad a los gustos y preferencias del usuario puede hacerse de forma objetiva o subjetiva:

  • Objetiva: la publicidad se adapta al contexto, es decir, al tema tratado en la página web o a las palabras introducidas en un motor de búsquedas, en un mensaje o en un comentario. La selección del anuncio puede basarse en información facilitada en tiempo real por el usuario, a través de la que expresa un interés inmediato y tal vez efímero.
  • Subjetiva:  la publicidad se adapta a la información generada por el usuario de forma acumulativa, a través del comportamiento demostrado en una secuencia de tiempo que puede ser de horas, días, semanas e incluso meses. La selección de los anuncios se basa en el perfil del usuario, los intereses, gustos y preferencias que ha manifestado al visitar sitios web, realizar búsquedas y expresar opiniones. Ya no hablamos de intereses efímeros, sino de rasgos de personalidad.

Mientras la publicidad basada en el contexto puede prescindir de datos acumulativos, la publicidad basada en el comportamiento del usuario convierte la ruta seguida por el usuario en la clave de su efectividad. (NOTA: En este post utilizo el término “contextual” porque me gusta y no utilizo el término “comportamental” porque no me gusta, independientemente de que el primero esté en el diccionario de la RAE y el segundo no.)

El problema aparece cuando, aceptada la adecuación de la publicidad a mis gustos y preferencias, los anunciantes (o sus agentes o encargados del tratamiento) tienen que recogerlos y tratar estos datos para poder ofrecerme los anuncios más adecuados a ellos. No estamos hablando ya de segmentación o inclusión de mi perfil en una categoría donde puedo convivir con otros usuarios parecidos a mi. Estamos hablando de un segmento en el que sólo voy a estar yo y por lo tanto, de una publicidad basada en lo que he hecho en Internet durante los últimos meses.

Es en ese momento cuando, salvo que sea un nativo digital que publica en las redes sociales hasta la última radiografía de sus cervicales, me debería empezar a preocupar quién recaba esos datos, con qué finalidad y para quién.

Dado que estos datos se recogen a través de las cookies y de otros mecanismos análogos, es lógica la preocupación del legislador para regular su uso, y prueba de ello es la reciente modificación de la LSSI en este sentido.

Pero lo que no podemos hacer es tratar todos los tipos de cookies por igual. Analizando la normativa y las finalidades posibles, se me ocurren varias categorías:

1. Cookies orientadas a cuestiones técnicas de las comunicaciones: no necesitan consentimiento.

2. Cookies necesarias para la prestación de un servicio online: aceptación a través de las CGC que regulan el servicio.

3. Cookies orientadas a personalizar el diseño gráfico, mejorar la experiencia de usuario, realizar estadísticas y perfiles disociados de la actividad de los usuarios en ese sitio web únicamente y cualquier otra finalidad que pueda ser considerada no intrusiva: aceptación a través del aviso legal (consentimiento tácito)

4. Cookies obtenidas en las páginas web visitadas y orientadas a almacenar datos de navegación y datos del comportamiento del usuario a lo largo de las páginas que visita con fines de publicidad: necesitan consentimiento previo e informado. La cuestión es cómo se materializan tanto la información como el consentimiento, y cómo se obtienen y conservan las evidencias electrónicas de ambos actos. Si el navegador bloquea este tipo de cookies por defecto, la acción expresa de modificar esta configuración equivaldría a consentimiento, pero entonces el log del servidor debería conservar el tipo y versión del navegador como evidencia. Una combinación de aviso legal, configuración del navegador y log podría ser suficiente, pero las empresas más prudentes podrían recabar el consentimiento a través de un popup, un interstitial o un banner en la página web visitada.

5. Cookies de terceros, es decir, de páginas web no visitadas: implican un acuerdo de cesión de datos o de encargado del tratamiento entre los responsables de las páginas web visitadas y las no visitadas, y exigen un consentimiento previo e informado. Al no existir relación con el tercero, debería analizarse en profundidad el protocolo de aceptación de este tipo de cookies. Lo ideal sería que la configuración del navegador diferenciase entre cookies de páginas web visitadas y cookies de terceros para poder discriminar estas últimas. El navegador debería bloquear este tipo de cookies por defecto, requiriéndose una acción expresa del usuario para aceptarlas.

6. Cookies del proveedor de hosting: analizando el almacén de cookies de mi navegador he comprobado que todos los blogs que he visitado, incluido el mío propio, han instalado cookies en mi ordenador. En realidad no han sido los blogs, sino los proveedores del servicio de albergue del blog. Dado que las cookies de publicidad y de terceros están bloqueadas por defecto, entiendo que las cookies instaladas son meramente técnicas. En cualquier caso, sería recomendable confirmar este extremo con el proveedor, y modificar el aviso legal advirtiendo sobre sobre el origen y la finalidad de las cookies instaladas por el proveedor. En mi blog en WordPress y en Typepad no inserto publicidad, pero en el de Expansión, sí hay un banner que no gestiono ni exploto. Si los responsables del servicio instalan cookies y obtienen datos que van más allá de los meramente técnicos, entiendo que deben advertirlo a los usuarios en su aviso legal y comunicarlo a los bloggers que utilizan el servicio. Aunque estos proveedores pudiesen llegar a ser considerados encargados de tratamiento, es evidente que generan un nuevo vínculo con los usuarios y son responsables de los datos que recaben de ellos. Lo mismo sucede con los datos suministrados por los lectores del blog al publicar un comentario.

Las opciones de configuración de los navegadores en materia de cookies han tenido una gran evolución en los últimos años. De una lista original de dos opciones: bloquear o no bloquear, se ha pasado a la posibilidad de discriminar distintos tipos de cookies.

Mi navegador, por ejemplo, conserva la configuración de origen, de manera que por defecto bloquea las cookies de publicidad y de terceros. Prueba de ello es que, al visitar la sección de preferencias de la guía antes comentada, un popup me confirma que la configuración del navegador bloquea la instalación de cookies destinadas a realizar publicidad basada en el comportamiento. Esta página actúa como una especie de lista Robinson, en la que el usuario puede seleccionar los proveedores (encargados del tratamiento en su mayor parte) que pueden instalar cookies en su equipo por cuenta de sus cliente, y los que no.

Finalmente, cabe añadir que el GT29 se ha pronunciado recientemente en relación al protocolo DO NOT TRACK (DNT), recomendando un consentimiento basado en una opción informada y activa en el momento de configurar la función DNT en el navegador y estableciendo un sistema OPT-OUT que permita el borrado de toda la información almacenada en el caso de que el usuario decida aplicar la opción DNT para evitar el seguimiento o rastreo de su actividad en Internet.

Como todo lo relacionado con la red, la evolución es imparable y vamos a asistir a cambios ante los que, como usuarios, anunciantes, encargados del tratamiento y profesionales tendremos que tomar decisiones, aprendiendo a convivir con las nuevas formas de personalización de la publicidad. Y el legislador tendrá que hacer un esfuerzo para no convertirse en el amigo gordete y entrañable que nos acompañaba a todas partes cuando éramos niños y nos pedía que lo esperásemos cuando nos poníamos a correr.