Descifrando el interés legítimo

Presentación divulgativa para no expertos en la que se analizan los efectos de la sentencia del Tribunal Supremo que anula el artículo 10.2.b del Reglamento de la LOPD y se dan algunas pistas para descifrar el concepto de interés legítimo exigido en la LOPD y en la Directiva.

El análisis se refiere a una fase anterior al tratamiento, por lo que no se hace referencia a la obligación de informar al interesado, entre otros extremos, sobre la incorporación de sus datos a un fichero con el fin de que pueda ejercitar los derecho de acceso, rectificación, cancelación y oposición.

Para mejorar la visualización se puede seleccionar la resolución 720 (HD) haciendo clic en el engranaje del vídeo.

El Tribunal Supremo anula el artículo 10.2.b del Reglamento de la LOPD

El Tribunal Supremo ha dictado sentencia anulando el artículo 10.2.b del Real Decreto 1720/2007 de desarrollo de la LOPD, por ser contrario al derecho comunitario.

Dicho artículo exigía que, para tratar o ceder datos personales sin el consentimiento del interesado, se cumpliese el requisito adicional de que dichos datos figurasen en fuentes accesibles al público.

Entrada anterior en la que explicaba la trascendencia de la anulación de este artículo.

Sentencia del Tribunal Supremo

Más opciones para el tratamiento de datos sin consentimiento

La sentencia dictada el jueves pasado por el Tribunal de Justicia de la UE declara inaplicables el artículo 6.2 de la LOPD y el artículo 10.2.b del Reglamento de la LOPD, en relación a la exigencia de que, para tratar o ceder datos personales sin el consentimiento del interesado, se cumpla el requisito adicional de que dichos datos figuren en fuentes accesibles al público.

Consecuencias inmediatas

Los efectos de esta sentencia en los tratamientos de datos personales que se realicen a partir de ahora son, a mi modo de ver, los siguientes:

– La relación restrictiva de fuentes accesibles al público pierde relevancia.

– Los datos personales podrán ser tratados sin consentimiento del interesado aunque no provengan de fuentes accesibles al público.

– Los únicos requisitos que deberán cumplirse serán: 1) el interés legítimo del responsable del fichero y 2) que no se vulneren los derechos y libertades fundamentales del interesado.

– Ello significa que cualquiera que sea el origen de los datos, incluido Internet, éstos podrán ser objeto de tratamiento y cesión, siempre que se cumplan los dos requisitos comentados y exista un equilibrio entre el interés legítimo y los derechos fundamentales del interesado. Las comunicaciones electrónicas comerciales seguirán precisando el consentimiento expreso del destinatario de las mismas, salvo en el caso de clientes.

– Vuelven a estar dentro de la ley muchos tratamientos que resultan inocuos para la intimidad del interesado y que hasta ahora estaban vedados a las empresas.

– Es recomendable seguir el protocolo que hasta ahora venía aplicándose para asegurar el cumplimiento del deber de información y la no vulneración del derecho a la intimidad, de manera que se pondere el equilibrio entre interés legítimo y derechos fundamentales.

– Se incluirá en este protocolo, entre otras medidas, el filtro de las listas Robinson, el filtro de las cancelaciones recibidas, la ponderación del justo equilibrio de intereses y la información sobre los derechos ARCO en las comunicaciones y en los plazos establecidos para ello.

El Tribunal declara el efecto directo del artículo 7.f en España, debido a una incorrecta trasposición de la misma, por lo que, en mi opinión, no es necesario esperar al pronunciamiento del Tribunal Supremo, que fue el que planteó las dos cuestiones prejudiciales. Por ello, no estoy de acuerdo con el contenido de la nota informativa de la AEPD y pienso que la sentencia puede abrir la posibilidad de que las empresas soliciten la devolución de las sanciones pagadas por determinadas infracciones relacionadas con la falta de consentimiento en las que había equilibrio entre interés legítimo y derechos fundamentales.

Sentencia del Tribunal de Justicia de la UE

Nota informativa de la AEPD

Proyectos tecnológicos fallidos y marisco gallego (Relato corto)

Habíamos quedado a las 14:00 horas en la sede central de la empresa con el Director Financiero y el Consejero Delegado y mientras nos saludábamos, aparecieron sus secretarias y tres consejeros. A los dos minutos, todo el departamento de informática y el departamento jurídico al completo. Cuando pensábamos que ya estábamos todos, vimos como se acercaba muy despacio un señor de unos 80 años al que todos identificaron como el Presidente y fundador de la compañía, el Sr. García.

Al llegar, el Sr. García, que sigue liderando de forma honorífica la compañía a sus 86 años, nos dijo lo importante que había sido la firmeza de la sentencia para ellos. Por eso había convocado a la comida a las 16 personas afectadas directamente por el proyecto fallido.

La mesa estaba montada como si fuese una comida de Navidad. Inmediatamente nos sirvieron cava y brindamos por el éxito de la sentencia. Entonces empezaron las intervenciones.

El Consejero Delegado, hijo mayor del Presidente, dijo que la inversión realizada en el desarrollo del ERP y la duración de un proyecto tecnológico de tanta importancia había llegado a amenazar la continuidad de la compañía. “Cuando recibí los pagarés con la cantidad establecida en la sentencia fue como el fin de una larga pesadilla”. La secretaria del Director Financiero dijo:  “A mi este proyecto informático me afectó la salud. Me desesperaba ver la lentitud del sistema. El proceso de facturación duraba días. Por la noche soñaba que no podíamos atender los pedidos y perdíamos a los clientes.” “Además, nuestro negocio es el pescado y el marisco fresco que transportamos desde Galicia a toda España, y un ERP defectuoso puede provocar enseguida la pérdida de un producto tan efímero”.

Entonces llegaron las ostras. El hijo menor del Presidente era el experto. Nos explicó que se trataba de unas ostras muy apreciadas, que reservaban para grandes ocasiones. Nos pidió que diésemos la vuelta a la concha. El número de capas indicaba la edad de la ostra. Estas tenían siete años. Y había doce por persona. “Queremos mostrar nuestro agradecimiento en forma de comida. Dudo que volváis a comer un marisco tan fresco y de tanta calidad como el hoy” dijo el Sr. García, que se expresaba con una lucidez y un sentido del humor envidiables. No exageraba, cada ostra era como una bocanada de aire marino y un sorbo del Atlántico en nuestra boca.

Al acabar las ostras, sirvieron unas bandejas con los percebes más grandes y sabrosos que he visto en mi vida. “La tecnología no ha llegado todavía a la recolección del percebe. Los que lo cogen bajan a las rocas con unas cuerdas durante la marea baja. Los de arriba cuentan las olas y avisan cuando llega la ola grande. A veces no da tiempo a escapar. Por eso los percebes son tan caros”, dijo el hijo menor.

Cuando llegaron las almejas, el clima de confianza era tal que el Sr. García, entre chiste y chiste, fue contando la historia de la compañía. Desde que le llamaban “el rápido” cuando era estibador en los muelles del puerto de Barcelona hasta ser una de las primeras empresas españolas en utilizar barcos frigoríficos. Su hijo mayor le interrumpía sólo para aclarar algún error en las fechas, pero lo hacía con sumo respeto y después lo abrazaba y le cogía la mano. El hijo menor aprovechaba entonces para explicar algún detalle sobre lo que estábamos comiendo. “Esto son almejas babosas gallegas. Se diferencian de las del Carril en que las del Carril duran mucho más fuera del mar, te da tiempo a transportarlas lejos de la costa y a servirlas vivas. La almeja babosa, por el contrario, no aguanta, y hay que comerla cocida el mismo día en que se pesca.” Por eso el tiempo era crucial en su negocio, y el diseño del ERP no contemplaba las necesidades del negocio. El proveedor no había dedicado tiempo suficiente para conocer las prioridades de la empresa.

Los centollos iban rodeados de nécoras. Tal vez por la asociación de ideas que produjo verlos juntos, el Director Financiero comentó que lo que más le había impresionado de la preparación del juicio fue el trabajo codo con codo, de todo un equipo cohesionado. La fase de preparación de los testigos, el análisis de los informes periciales. “Era un asunto muy complejo y trabajar juntos nos permitió hacerlo sencillo”. “Juan, apura el carro del centollo”, dijo el Sr. García.

“Estas angulas son de Aguinaga. En esta época están muy tiernas. Su sabor tiene unos matices que exigen un tenedor de madera para no alterarlos y poderlos apreciar plenamente”, comentó el hijo menor. El Director Financiero siguió hablando: “Imagínate tener que demostrar quién es el responsable del fracaso de un proyecto informático tan complejo como éste. ¿Cómo puedes dedicarte al comercio mayorista de pescado fresco y marisco de primera calidad si tu sistema informático no te permite controlar de forma fiable las fechas de entrada y salida, ni el origen y el destino de cada partida?”. “Todavía recuerdo el latinajo: aliud pro alio. Nuestro proveedor informático nos entregó algo totalmente diferente a lo que habíamos pedido”.

Las bandejas siguieron llegando y continuaron las intervenciones en clave de humor del Sr. García. En la mesa había tres generaciones que representaban tres formas distintas de ver la empresa. Para nosotros era un ir y venir en el tiempo. El Sr. García nos llevaba a los años cincuenta, a las neveras de hielo y a las cajas de madera. Sus hijos nos traían a la actualidad, y nos hablaban de geolocalización de flotas, de optimización de rutas y de tracking a través de Internet. Fue una comida muy entrañable, que empezó con un apretón de manos y acabó con un abrazo. No creo que olvide nunca el clima de confianza y hermandad que se generó aquel día.

 A las siete de la tarde, después de cinco horas de comida, y no sé cuantos platos, el Sr. García, con la frescura de sus 86 años, se puso un poco más de sacarina en el café. “Me gusta el café dulce, pero los médicos me recomiendan que me porte bien”. Su hijo mayor comentó que cada sábado a las 10 de la mañana el Sr. García se juntaba con cuatro amigos de su edad y se zampaban un desayuno de cinco platos. “¿Mañana harás lo mismo, papá?”. “¿Tú que crees?” respondió el Sr. García.

Herramientas de monitorización, prueba del debido control e intimidad

La reforma del Código Penal y las obligaciones de control previo al delito que se establecen en el artículo 31 bis para evitar la responsabilidad penal de la empresa están obligando a replantear el alcance de la monitorización de los recursos TIC corporativos. 

A ello hay que añadir el modelo de seguridad Zero Trust propuesto por Forrester que consiste en tratar a los usuarios internos con confianza cero, es decir, como si fuesen usuarios externos. Este modelo se centra en la necesidad de monitorizar y analizar todo el tráfico de la red corporativa y la actividad de los usuarios mediante herramientas específicas para ello.

Además, la actual crisis económica ha enrarecido el clima laboral en las empresas, incrementando el riesgo de ataques desde el interior y de fuga de datos. Además de los casos de entrega de información confidencial a competidores, la alta valoración de la cartera de un comercial o un directivo fichado por otra empresa del sector puede provocar una explotación ilícita de datos de CRM de la empresa anterior.

El problema es que una medida preventiva, como la simple publicación de las normas de uso de los recursos TIC de la empresa, puede resultar insuficiente para acreditar el debido control. Hasta ahora se ha buscado un equilibrio entre disuasión, prevención, detección y prueba. Pero el nuevo escenario exige un mayor compromiso, ya que en muchos casos se llega tarde y es imposible obtener pruebas del delito. Por ejemplo, las empresas aplican un protocolo de seguridad informática en el momento del despido que no puede prevenir las fugas de información previas a una baja voluntaria.

Ello nos lleva a la aplicación de esquemas de forensic readiness que permitan capturar y almacenar de forma segura las pruebas electrónicas que puedan ser necesarias en el futuro para acreditar la comisión de un delito, así como la existencia de controles para evitarlo o, al menos, detectarlo.

Para cumplir esa función surgen herramientas de monitorización capaces de cumplir a la vez una función disuasoria, preventiva, detectiva y probatoria. Tras aplicar el protocolo exigido legalmente para su instalación, este software realiza varios controles de forma rutinaria. Uno de ellos consiste en capturar las pantallas de cada ordenador con la frecuencia que cada empresa estime necesaria. En frecuencias inferiores al minuto la información capturada ocupa 4GB al año por cada ordenador. Es decir, 4T al año para una empresa con 1.000 ordenadores.

Este sistema actúa como una auténtica caja negra, que va registrando toda la actividad de los usuarios sin necesidad de intervención humana. Aunque pueden configurarse diversos tipos de alertas, lo normal es que sólo se acuda a la información almacenada en el caso de que exista una sospecha razonable de la existencia de un delito. Se trataría de un acceso similar al que se produce con las cajas negras de los aviones en el caso de un accidente aéreo, aunque, en el caso de las pruebas informáticas, se aplicará un protocolo que garantice la proporcionalidad, idoneidad y necesidad del acceso a la información. También puede contratarse un servidor de almacenamiento controlado por un tercero para dotar al sistema de mayores garantías.

En este sentido, cabe recordar la sentencia del Tribunal Supremo de 27/09/07 a la que dediqué un slidecast. En ella se establece que la empresa, de acuerdo con las exigencias de buena fe, debe establecer previamente las reglas de uso de los recursos TIC corporativos (con aplicación de prohibiciones absolutas o parciales) e informar a los trabajadores de que va existir control y de los medios que se aplicarán papa comprobar la corrección del uso de dichos recursos por los trabajadores.

De esta manera, si los recursos TIC se utilizan para usos privados, en contra de estas prohibiciones y con conocimiento de los controles y medidas aplicables, no podrá entenderse que, al realizarse el control, se ha vulnerado una expectativa razonable de intimidad. Lo mismo cabe decir respecto al secreto de las comunicaciones.

De acuerdo con estos antecedentes, mi opinión se resume en las siguientes conclusiones:

  1. Existen fundamentos legales para establecer controles destinados a disuadir, prevenir, detectar y crear pruebas en relación a los delitos que puedan cometerse utilizando los recursos TIC corporativos.
  2. En la actualidad concurren diversos factores que aconsejan incrementar el nivel de control sobre los recursos TIC de las empresas.
  3. Existen herramientas de monitorización que permiten capturar y almacenar la actividad de los usuarios, a modo de caja negra del sistema.
  4. La aplicación de protocolos de investigación adecuados a la doctrina del Tribunal Supremo permiten aplicar los controles y obtener pruebas de eventuales delitos sin violar el derecho a la intimidad y el secreto de las comunicaciones.

Zynga, Facebook y los nuevos modelos de negocio y marketing

La próxima salida a bolsa de Zynga, la empresa que desarrolla la mayoría de los juegos más populares de Facebook, parece consolidar una plataforma de negocio que también es apta para los nuevos formatos de publicidad, marketing y merchandising.

Aunque el nivel de popularidad de estos juegos es notorio, no fue hasta hace unos meses, en una sesión de trabajo con clientes en la que estábamos analizando el tipo de datos del perfil de Facebook a los que este tipo de aplicaciones pedían acceso, cuando vi que mis hijos ya eran usuarios avanzados de Farmville, una aplicación que te permite administrar un granja virtual.

El modelo de negocio de Zynga, que puede ser una pesadilla para los padres pero una gran oportunidad para el sector, consiste en que el usuario necesita comprar artículos virtuales (semillas, herramientas, vehículos, terreno) para progresar en el juego. A partir de aquí, no es necesaria demasiada imaginación para ver hasta dónde puede llegar en el futuro la explotación de estos recursos:

  1. Contrato de merchandising en relación a las marcas, productos y personajes que pueden adquirirse en el juego.
  2. Contrato de licencia en materia de propiedad intelectual e industrial para el uso de imágenes, diseños, marcas, etc.
  3. Contrato de publicidad contextual para que aparezcan anuncios relacionados con cada escenario en los espacios publicitarios del juego: vallas, autobuses, vídeos, diálogos…
  4. Contrato de behavioral targeting en relación al comportamiento y al perfil de los usuarios.
  5. Contrato de cesión de datos segmentados en función del perfil del usuario y de las preferencias demostradas a través de su comportamiento y los productos adquiridos en el juego. Como es natural, el usuario dede dar su consentimiento previo para que dicha cesión pueda realizarse.

También se plantean retos como la correcta información que debe suministrarse al usuario sobre el tratamiento de sus datos, el alcance y proporcionalidad de la recogida de datos, la prueba del contenido y de la aceptación de las condiciones generales de contratación, entre otros.

Con este modelo de negocio, Zynga facturó en 2010 cerca de 850 millones de dólares y obtuvo un beneficio neto de 400 millones de dólares. 

El mercado de los bienes virtuales, como los que pueden adquirirse en los juegos de Zynga, registró el año pasado un volumen de negocio de 9.280 millones de dólares. ThinkEquity prevé que lleguen hasta los 20.300 millones en 2014. 

Fundada hace tan sólo cuatro años por el emprendedor Mark Pincus, 247 millones de personas entran en Facebook cada mes para jugar a títulos creados por Zynga, según Expansión. Entre estos juegos figuran el ya mencionado Farmville, Cityville, Mafia Wars y Texas Holdem Poker.

Infraestructuras críticas y prevención de riesgos – Aprendiendo de Fukushima

Siempre es fácil apreciar errores de previsión cuando las cosas ya han ocurrido. Especialmente, tras un incidente de tal magnitud como el que ha afectado a la central nuclear de Fukushima. Una vez se haya superado la actual amenaza nuclear, y tras descontar la fuerza destructora del terremoto y el posterior tsunami, el objetivo inmediato será aprender de los eventuales errores de diseño y de prevención de riesgos que se hayan podido cometer para intentar evitarlos en el futuro.

Lo que más sorprende a un profano como yo es que, el país que acuñó la palabra tsunami, y que aprendió a vivir con la constante amenaza de terremotos y maremotos, diseñase una central tan desprotegida del mar.

Viendo la fotografía aérea de la central, con el atrevimiento que da la ignorancia, y con el evidente desprecio a los costes que debe presidir la prevención de un riesgo tan grave como el nuclear, me atrevo a plantear las siguientes cuestiones:

1. La propia foto aérea de la central

Me extraña que la zona no aparezca pixelada en Google Maps. Tratándose de una infraestructura crítica y a la vez, de un objetivo militar, se supone que los gobiernos deberían preocuparse de que los suministradores de estos servicios de la sociedad de la información oculten este tipo de instalaciones y las zonas adyacentes.

2. El número de reactores

Supongo que se producirán muchas economías de escala, pero me parece excesiva la concentración de reactores en tan poco espacio. Ello tiene que incrementar el riesgo de que una catástrofe natural afecte a más de un reactor, como así ha ocurrido, y dificultar las maniobras de acceso, extinción de incendios, refrigeración de emergencia, etc. Es posible que los equipos de emergencia que están actuando a la vez en los cuatro reactores afectados estén entorpeciéndose entre ellos. Aunque también es posible que sean más eficientes trabajando juntos.

3. La alineación de los reactores

Teniendo en cuenta que la principal amenaza proviene del mar, resulta raro ver una alineación de los reactores de forma paralela a la costa. Parece que estén esperando la ola con los brazos abiertos. Tal vez una alineación perpendicular a la costa ofrecería un frente más reducido que permitiría ser protegido de manera más eficiente. En otras palabras, si yo tuviese que enfrentarme a una gran ola, preferiría ir en un barco situado con la proa contra la ola antes que en uno situado en paralelo a la ola.

4.  La ausencia de defensas

La imagen de la central es de total desamparo frente a las inclemencias del mar. Los diques no parecen diferentes de los que podría tener cualquier puerto del Mediterráneo. Pero aquí la diferencia es que la central se encuentra en una de las zonas con mayor probabilidad de tsunami del mundo. Ante una ola de diez metros de altura poco se puede hacer, pero con una alineación perpendicular a la costa y un frente máximo de 200 metros, tal vez hubiese sido posible construir un dique más alto y en forma de cuña que desviase la fuerza del agua hacia los lados. Repito que es pura intuición basada en el diseño de los barcos, en la estructura del blindaje frontal de los carros de combate y en los muros en forma de estrella de las antiguas ciudadelas militares, destinados a resistir el impacto directo de la artillería.

5. La paradoja de una planta generadora de electricidad que se queda sin electricidad

A un profano como yo le resulta difícil de creer que una central destinada a generar electricidad pueda quedarse sin la energía que ella misma genera. Si los submarinos nucleares tienen una autonomía que se cuenta en meses, ¿cómo puede una central nuclear tener una autonomía que se cuente en horas si la principal amenaza es conocida, está prevista y se conoce su techo máximo?. Debido a la parada de emergencia, la central no producía electricidad, y los generadores resultaron dañados por el tsunami, pero la energía eléctrica necesaria para la bomba de refrigeración se puede acumular para seguir teniendo suministro eléctrico por un tiempo muy superior a las 8 horas.

6. Baterías insuficientes y enchufes no normalizados

Como he dicho, parece ser que las baterías que debían alimentar las bombas de refrigeración tenían una duración máxima de 8 horas y cuando se agotaron se recurrió a generadores móviles, que inicialmente no pudieron ser conectados porque los conectores eran diferentes a los de las bombas de refrigeración.

7. Ausencia de generadores eléctricos subterráneos

Antes de recurrir a las baterías, las bombas del circuito de refrigeración se habían quedado sin electricidad porque los generadores habían sido afectados por el tsunami. Eso significa que estaban en la superficie, ya que si hubiesen estado protegidos en un búnker subterráneo, tan blindado y hermético como merece el último recurso energético existente para mantener baja la temperatura del núcleo, no habrían sufrido un impacto directo de la ola.

8. Desprotección de las instalaciones críticas para la seguridad de la central

Con la debida prudencia, concluiría que lo ideal habría sido mantener todas las instalaciones implicadas en la seguridad del reactor en una sala subterránea y blindada, protegida frente a terremotos y maremotos, que formase una sola pieza con el búnker del reactor, y que dispusiese de los mismos elementos de seguridad. ¿De qué sirve que el reactor esté protegido por una cúpula capaz de resistir el impacto directo de un misil si el circuito de refrigeración, los generadores que permiten su funcionamiento y los restantes elementos de seguridad tienen un nivel de protección inferior?. Una cadena es tan fuerte como el más débil de sus eslabones, y en este caso, el eslabón más débil parece que fue la protección de los generadores de electricidad.

La enseñanza de este accidente, aplicable a la prevención de cualquier tipo de riesgo, está ya definida en la llamada ley de Murphy, y consiste en asumir que, ante una lista de posibles fatalidades, existe la opción de que todas ellas tengan lugar de forma coetánea o secuencial.

En un diseño de defensa en profundidad como el de Fukushima, las amenazas superaron una sucesión de bastiones y líneas de defensa que parecían insuperables en su conjunto:

  1. La seguridad de la central de Fukushima fue diseñada para aguantar un terremoto de una potencia 8,2 y el terremoto fue de 8,9.
  2. Ante el terremoto, se produjo la parada de emergencia de los reactores y las turbinas dejaron de producir electricidad.
  3. El circuito de refigeración dejó de recibir suministro eléctrico.
  4. Se pusieron en marcha los generadores diésel externos.
  5. Entonces vino el tsunami y averió los generadores externos.
  6. La última línea de defensa eran las baterías, que funcionaron ocho horas antes de agotarse.
  7. Entonces se recurrió a los generadores móviles, cuyos conectores no coincidían con los de las bombas de refrigeración.
  8. Cuando se consiguió recuperar el circuito de refrigeración, había pasado un tiempo precioso.

Todas las líneas defensivas fueron superadas por una cadena de fenómenos naturales previsibles, pero con una magnitud y una sucesión en el tiempo que resultaron letales. Si ante acciones de la naturaleza, y por lo tanto no provocadas intencionadamente por el hombre, el efecto es tan devastador, la pregunta inmediata es: ¿qué sucedería ante un ataque intencionado que tuviese en cuenta todas estas vulnerabilidades, algunas de ellas apreciables a través de Google Maps?

Teniendo en cuenta la progresiva implantación de los protocolos TCP/IP en los sistemas de control SCADA, ¿podría tener éxito un ataque a través de Internet orientado a producir una parada de emergencia del reactor, dejar el circuito de refrigeración sin energía, impedir la puesta en marcha de los generadores externos e interferir las comunicaciones de los equipos de emergencia?

A principios de los ochenta, tuve la suerte de visitar las obras de la central nuclear de Ascó II y pasé un buen rato bajo la cúpula que más tarde albergaría el núcleo del reactor. La emoción que sentí fue parecida a la del que está en un lugar que nunca ha pisado el hombre. Pero en aquel momento único, la emoción venía dada, en realidad, por la absoluta certeza de estar en un lugar que nunca más volvería a pisar el ser humano.

 

 

 

 

Publicada en el BOE la Ley Sinde – Texto separado de la LES

El BOE de hoy publica la Ley de Economía Sostenible, en cuya disposición final cuadragésima tercera se describe el procedimiento denominado Ley Sinde, que deberá seguirse para:

  1. Interrumpir la prestación de un servicio de la sociedad de la información que vulnere derechos de propiedad intelectual, o para
  2. Retirar los contenidos que vulneren los citados derechos.

La entrada en vigor se producirá al día siguiente de su publicación en el BOE, aunque, en realidad, para su total eficacia habrá que esperar al desarrollo reglamentario de la ley respecto a:

  1. El funcionamiento de la Sección Segunda de la Comisión de Propiedad Intelectual.
  2. El procedimiento para el ejercicio de las funciones que tiene atribuidas dicha Sección.

Ello significa que el reglamento podría entrar en vigor en junio y la Sección podría estar operativa a la vuelta de las vacaciones de verano.

Texto completo de la Ley de Economía Sostenible (PDF)

Disposición final cuadragésima tercera (Ley Sinde) (PDF)

Parodia del procedimiento

Ley_Sinde – Texto separado de la LES y subrayado (PDF)

 

El procedimiento de la Ley Sinde y la cruda realidad

El Boletín Oficial del Congreso de los Diputados publica hoy la aprobación definitiva y por lo tanto el texto final de la Ley de Economía Sostenible (PDF), en cuya disposición final cuadragésima tercera (página 135 y ss.) se describe el procedimiento que deberá seguirse para:

  1. Interrumpir la prestación de un servicio de la sociedad de la información que vulnere derechos de propiedad intelectual, o para
  2. Retirar los contenidos que vulneren los citados derechos.

A continuación, y a modo de parodia, comparo este procedimiento con la triste realidad que los titulares de los derechos pueden encontrar en la práctica y con el procedimiento alternativo que ofrecen los propietarios de los servidores en los que se alojan los contenidos presuntamente ilícitos.

 

A) PROCEDIMIENTO DE LA LEY SINDE

TRÁMITE 1: El titular de los derechos solicita la interrupción del servicio prestado por una página de enlaces a la Sección Segunda de la Comisión de Propiedad Intelectual del Ministerio de Cultura.

TRISTE REALIDAD: El escrito tiene entrada en la Comisión pero, debido a las restricciones presupuestarias del Ministerio, los recursos administrativos de la Sección Segunda son compartidos y se produce un retraso en la entrega de la solicitud a los funcionarios que deben iniciar el procedimiento.

TRÁMITE 2: Se admite a trámite la solicitud y se procede a comprobar si se cumplen los requisitos para iniciar el procedimiento.

TRISTE REALIDAD: Lamentablemente, el solicitante no ha acreditado la titularidad de los derechos sobre la obra, ni ha facilitado la identidad y el domicilio del presunto infractor, por lo que se solicita al solicitante que subsane los defectos de la solicitud en el plazo de diez días.

TRÁMITE 3: El solicitante aporta los datos relativos a la titularidad, que constan en el propio Ministerio, así como la identidad del presunto infractor y su domicilio.

TRISTE REALIDAD: Se trata de un nombre imaginario, con sede en una isla caribeña y con dirección de correo electrónico en Hotmail.

TRÁMITE 4: Se abre un expediente con la solicitud y la documentación aportada que se añade a la lista de expedientes que deben ser vistos en la siguiente convocatoria de la Sección.

TRISTE REALIDAD: Debido a las restricciones presupuestarias y a las agendas del Presidente de la Sección y de sus vocales pertenecientes a los Ministerios de Cultura, Presidencia, Economía y Hacienda, e Industria, Turismo y Comercio, la Sección se reúne una vez cada quince días, y algunas veces la reunión debe ser suspendida por prioridades de los miembros de la Sección en sus respectivos Ministerios, por lo que se produce un nuevo retraso respecto a los plazos previstos.

TRÁMITE 5: La Sección comprueba la vulneración de los derechos, el ánimo de lucro y el potencial daño patrimonial y acuerda requerir al presunto infractor para que, en un plazo no superior a 48 horas, pueda proceder a la retirada voluntaria de los contenidos declarados infractores o, en su caso, realice las alegaciones y proponga las pruebas que estime oportunas.

TRISTE REALIDAD: El requerimiento se envía a la cuenta en Hotmail, al no existir en España un domicilio válido a efectos de notificaciones.

 TRÁMITE 6: El presunto infractor comprueba la fecha de la solicitud y la fecha del requerimiento y llega a la conclusión de que contestar le va a permitir conseguir más tiempo, por lo que responde con un mensaje desde Hotmail, alegando un límite al derecho de propiedad intelectual, ya que sus servicios se limitan a ayudar a los usuarios legítimos de obras a que realicen copias privadas en soportes por los que ya han pagado un canon para realizar dichas copias.

TRISTE REALIDAD: Como prueba documental se aporta una circular de la Fiscalía General del Estado en la que se hace referencia a la copia privada en relación al fenómeno de las descargas en Internet.

TRÁMITE 7: La Sección practica la prueba en el plazo de dos días y da traslado a los interesados para que presenten sus conclusiones en el plazo máximo de cinco días.

TRISTE REALIDAD: La Sección no realiza este trámite hasta la siguiente reunión quincenal, lo cual añade entre quince y treinta días más al procedimiento, en función de las agendas y prioridades ministeriales de sus integrantes, que además, y debido a problemas presupuestarios, todavía no han cobrado las dietas por sus traslados a la Sección.

 TRÁMITE 8: La Comisión, en el plazo máximo de tres días, dicta resolución, ordenando que se interrrumpa la presunta infracción.

TRISTE REALIDAD: La resolución de refiere a una página de enlaces, por lo que no afecta a los miles de ficheros residentes en servidores de descarga directa como Megauload, Rapidshare, Fileserve, Hotfile, etc. a los que apuntan los enlaces del presunto infractor.

 TRÁMITE 9: Ante el incumplimiento del infractor, la Comisión solicita la autorización judicial previa, requerida para poder proceder a la ejecución de la resolución.

TRISTE REALIDAD: La autorización judicial corresponde a los Juzgados Centrales de lo Contencioso-administrativo, que tienen un nivel de respuesta que no se corresponde con los plazos perentorios establecidos para este procedimiento, como puede verse en la relación que existe entre los casos ingresados cada año y los casos en curso al final del año (PDF) en esta jurisdicción.

 TRÁMITE 10: En el plazo improrrogable de dos días siguientes a la recepción de la notificación de la resolución de la Comisión, y poniendo de manifiesto el expediente, el Juzgado convoca al representante legal de la Administración, al Ministerio Fiscal y a los titulares de los derechos a una audiencia.

TRISTE REALIDAD: Debido a la escasez de recursos y a la saturación de esta jurisdicción, se producen dilaciones en los trámites de notificación de la resolución, recepción y reparto de la solicitud de autorización judicial, puesta de manifiesto del expediente y convocatoria de la audiencia.

TRÁMITE 11: Tiene lugar la audiencia, en la que, de manera contradictoria, el Juzgado oye a todos los personados.

TRISTE REALIDAD: Debido a la escasez de recursos y a la agenda e imprevistos del representante legal de la Administración y del Ministerio Fiscal, se ha producido una convocatoria fallida, pero al final, la audiencia ha tenido lugar.

 TRÁMITE 12: En el plazo improrrogable de dos días, el Juzgado debe resolver mediante auto autorizando o denegando la ejecución de la medida.

TRISTE REALIDAD: Debido a la escasez de recursos y a la saturación de esta jurisdicción, el Juzgado se ve imposibilitado para dictar auto en el plazo improrrogable de dos días.

TRÁMITE 13: La Comisión ejecuta la medida, ordenando la interrupción del servicio prestado por la página de enlaces.

TRISTE REALIDAD: A estas alturas, el presunto infractor ha preparado la migración de la página de enlaces a otro servidor, informando a todos sus seguidores en Twitter.

TRÁMITE 14: Ante la ineficacia de la resolución de la Comisión, y habiendo comprobado la creación de una nueva página de enlaces en otro servidor, que recuerda mucho a la anterior, los titulares de los derechos solicitan el inicio de un nuevo procedimiento, volviendo al TRÁMITE 1.

TRISTE REALIDAD: Teniendo en cuenta las semanas o incluso meses transcurridos desde el inicio de los trámites y el tiempo dedicado por los miembros de la Sección, pertenecientes a cinco Ministerios distintos, así como los funcionarios de apoyo de la Comisión, el Magistrado del Juzgado, los funcionarios del Juzgado, el Ministerio Fiscal y el representante legal de la Administración, además de los funcionarios encargados de las comunicaciones entre las distintas administraciones, el procedimiento habrá tenido un coste mínimo de 3.000 euros para los contribuyentes y no habrá servido para nada.

 

B) PROCEDIMIENTO ALTERNATIVO

TRÁMITE 1: El titular de los derechos comprueba que el enlace correspondiente a su obra apunta a Megaupload y utiliza el formulario destinado a comunicar presuntas infracciones. Megaupload retira el fichero en menos de 24 horas.

 

CONCLUSIÓN: El objetivo pretendido con los 13 trámites del procedimiento previsto en la llamada Ley Sinde se ha conseguido con el procedimiento alternativo de forma rápida y eficaz y con un coste cero para el contribuyente, de manera que, si hay que volver al TRÁMITE 1, la capacidad de migración del presunto infractor se reduce y el bajo coste del trámite para el titular de los derechos le permite aplicar una estrategia de desgaste.