El próximo lunes 19 entra en vigor el Reglamento (CE) nº 380/2008 del Consejo, de 18 de abril de 2008 (pdf), que modifica el Reglamento (CE) nº 1030/2002, por el que se establece un modelo uniforme de permiso de residencia para nacionales de terceros países, que como novedad pasa a incluir datos biométricos, tal como venía pidiendo la Comisión Europea desde septiembre de 2003 como medida de protección de los visados contra una utilización fraudulenta.

En principio serán una imagen facial y dos impresiones dactilares, en formato interoperable y de alta resolución, elementos que se utilizarán para verificar la autenticidad del documento y la identidad del titular. Los datos estarán protegidos y el soporte de almacenamiento tendrá la suficiente capacidad y las características necesarias para garantizar la integridad, autenticidad y confidencialidad de los datos. No obstante, no se publican y se mantienen secretas las especificaciones técnicas relativas a la seguridad, incluida la prevención del acceso no autorizado o los requisitos de calidad de dichos datos.

Siempre que se salvaguarden las cuestiones relativas a protección de datos en cuanto al acceso, reproducción, transmisión y gestión de estos datos a través de bases de datos, no debería haber ningún problema, pero no tranquiliza que ya el Reglamento contemple la posibilidad de que los Estados miembros puedan incluir en el permiso datos para servicios electrónicos, como la administración electrónica y el comercio electrónico, así como otras disposiciones relativas al permiso de residencia, aunque de forma separada de los datos biométricos, cuando además no existe uniformidad entre los Estados de la UE.

Supone un primer paso, pues su incorporación a los pasaportes y documentos de viaje, algo que venía exigiendo EE.UU., es inminente una vez se han aprobado las especificaciones técnicas. El Supervisor Europeo de Protección de Datos ya ha protestado (pdf) por no habérsele consultado, como era preceptivo, y porque no se tiene en cuenta la falta de armonización en cuanto a otros documentos de entrada (certificados de nacimiento, libro de familia, autorización paterna para viajar,…), también falsificables. Tampoco se contemplan adecuadamente los posibles errores inherentes a los sistemas biométricos, especialmente para niños y personas mayores. Tanto para permisos de residencia como para pasaportes, se fija la edad mínima de 6 años, a partir de la cual se deberán tomar las huellas dactilares, a pesar de que la práctica en otros ámbitos y Estados la sitúa en los 14 años y que no existen estudios suficientes que garanticen su fiabilidad a esa edad. Lo mismo puede decirse en cuanto a las huellas de personas mayores, debiendo haberse previsto un límite máximo (se señala la edad de 79 años, en la línea de EE.UU.).

También entró en vigor en la misma fecha la Ley 30/2007, de 30 de octubre, de Contratos del Sector Público, que incorpora al ordenamiento español diversas Directivas comunitarias y pretende introducir mejoras en el sistema de contratación pública, derogando casi en su totalidad el Real Decreto Legislativo 2/2000, de 16 de junio.

Como se comenta en la propia exposición de motivos, la nueva Ley de Contratación Pública ha reforzado considerablemente el uso de las tecnologías de la información. En este sentido, destaca lo siguiente:

• Información sobre el perfil de contratante (art. 42)

  Supone la obligación, por parte de los órganos de contratación de las Administraciones Públicas, de publicar en Internet determinada información relativa a su actividad contractual, básicamente a través de sus sedes electrónicas, en la Plataforma de Contratación del Estado u otra similar. El contenido mínimo de esta información deberá incluir la adjudicación provisional de los contratos, pero también se podrán añadir los anuncios de información previa, las licitaciones abiertas o en curso y la documentación relativa a las mismas (pliegos de condiciones), las contrataciones programadas, los procedimientos anulados, y cualquier otra información útil de tipo general, como puntos de contacto y medios de comunicación.

  La norma sólo hace referencia a dispositivos que permitan acreditar de forma fehaciente el inicio de la difusión pública de dicha información, sin que se prevean mayores garantías, aun cuando la ausencia, problemas de actualización, disponibilidad, accesibilidad o errores en la información difundida por esta vía posibilita la impugnación de la adjudicación de los contratos.

• Subasta electrónica (art. 132)

  Se prevé este sistema de adjudicación de los contratos en los casos en que sea sencilla la clasificación y valoración de las ofertas y sus elementos, excluyéndose expresamente para prestaciones de carácter intelectual. En caso de que se quiera hacer uso de la subasta electrónica, se deberá incluir en el anuncio de licitación y determinar en el pliego los elementos sobre los que se realizará, el procedimiento o el dispositivo electrónico utilizado y las modalidades y especificaciones técnicas de conexión.

• Sistemas dinámicos de contratación (arts. 183 y ss)

  En los pliegos deberá precisarse, además de los demás extremos que resulten pertinentes, la naturaleza de los contratos que podrán celebrarse mediante el sistema (obras, servicios y suministros de uso corriente), y toda la información necesaria para incorporarse al mismo y, en particular, la relativa al equipo electrónico utilizado y a los arreglos y especificaciones técnicas de conexión.

• Publicidad contractual por medios electrónicos (art. 309)

  Se crea la Plataforma de Contratación del Estado para centralizar el acceso, gestión y publicidad relativa a la contratación de la Administración General del Estado, sus organismos autónomos, entidades gestoras y servicios comunes de la Seguridad Social y demás entidades públicas estatales, si bien ya se prevé la interconexión del portal con sus equivalentes que pongan en marcha las Comunidades Autónomas.

  Esta plataforma comenzó a funcionar el pasado 2 de mayo a través de la dirección http://www.contrataciondelestado.es, aprobándose sus instrucciones por medio de la Orden EHA/1220/2008, de 30 de abril, que viene a dar las pautas para implementar la información sobre el perfil de contratante, el contenido, campos y formatos dentro de los estándares de documentos de la arquitectura CODICE. Se regula el uso de certificados digitales para la autenticación y el cifrado de las comunicaciones, un Espacio Virtual de Licitación, modelos y esquemas, pero la web actual no tiene siquiera un certificado de servidor.

• Uso de medios electrónicos, informáticos y telemáticos (DA 19ª) y su correspondiente habilitación normativa (DF 9ª)

  Se contemplan, entre otros, la emisión de certificaciones digitales del contenido de los Registros Oficiales de Licitadores y Empresas Clasificadas, la aportación de certificados de cumplimiento de obligaciones tributarias o de la Seguridad Social, la acreditación de la prestación de garantías, la comunicación del anuncio de información previa a la Comisión Europea y al Boletín Oficial del Estado, el acceso y comunicaciones de los datos de los contratos al Registro de Contratos del Sector Público, todo ello por medios electrónicos.

  El uso de estas herramientas se permite siempre que sean compatibles con las tecnologías de la información y de la comunicación de uso general, estén a disposición de todas las partes interesadas, no ser discriminatorios, estén basados en estándares abiertos y se garantice la autenticidad del emisor, la integridad y la confidencialidad de los datos.

  En la habilitación normativa se prevé la extensión del uso de facturas electrónicas en la contratación del Estado, que en todo caso será obligatoria, salvo para contratos menores, transcurridos dieciocho meses desde la entrada en vigor de dichas normas en todos los contratos del sector público estatal.

Por último, como nota curiosa, se establece que en los contratos para el acceso a bases de datos y la suscripción a publicaciones que se celebren por medios electrónicos, informáticos o telemáticos (DA 12ª), los organismos del sector público contratantes tendrán la consideración de consumidores a los efectos de la legislación de servicios de la sociedad de la información y comercio electrónico. Debería haberse concretado a qué se está refiriendo, porque por esta vía se introducen privilegios a la Administración simplemente por el canal por el que contrata. No entiendo por qué estas garantías no se han introducido, en su caso, en la propia ley en vez de hacer una equiparación peligrosa e inédita.

Así que si realmente quieren un distintivo o denominación con fuerza legal, no se conformen con los nombres de dominio. Es curioso ver cómo por parte de algunas empresas de nueva creación existe un afán por agotar todas las posibilidades de éstos en sus distintos niveles, a fin de evitar su ocupación por terceros, pero se olvidan los signos distintivos de toda la vida, a pesar de que consituyen un activo empresarial de primera línea y, en mi opinión, mucho más importantes. Y la ocupación de marcas también existe.

Al margen de esto, en cuanto al uso de marcas en Internet conviene saber algo más.

Sucede con las marcas que deben usarse dentro de un plazo determinado (cinco años desde la publicación de su concesión), o bien caducan. El titular frente al que se ejerza un acción de caducidad debe poder demostrar, llegado el caso (art. 58 de la Ley), que ésta sido objeto de un uso efectivo y real para los productos o servicios para los cuales esté registrada.

Nuevamente se trata de requisitos ligados al territorio, pues dicho uso debe acreditarse en los países en los cuales se ha registrado, lo cual choca con Internet. La inclusión o referencias a una marca en una página web no es suficiente, primero porque eso se equipara al uso de catálogos, lo que no prueba por si sólo la venta de productos o la prestación de servicios, ni constituye, según la jurisprudencia, uso real y efectivo. En segundo lugar, porque los sitios web tienen un acceso y alcance mundial, de lo que no cabe deducir, a menos que se proporcionen elementos consistentes, que exista un uso referido expresamente a un ámbito territorial concreto. Piensen que del idioma de un sitio web no se deduce, en principio, otra cosa que la orientación del mismo hacia un colectivo de hablantes, independientemente de su residencia física.

Es decir, que quien haya registrado una marca, por ejemplo en España, para identificar los productos o servicios que ofrece o presta por medio de Internet, deberá poder demostrar su uso concreto en este país, o se expone a perderla.

La Recomendación conjunta relativa a las Disposiciones sobre la Protección de las Marcas, y otros Derechos de Propiedad Industrial sobre Signos, en Internet, adoptada en 2001 por la Asamblea de la Unión de París para la Protección de la Propiedad Industrial y la Asamblea General de la OMPI, proporciona una serie de pautas para contemplar esta regulación bajo el prisma de las complejidades de la red. En concreto, establece algunos de los factores que pueden determinar dicho uso efectivo en un Estado miembro. Me remito al artículo 3 de la Recomendación, que por otro lado no tienen carácter exhaustivo.

En los casos de comercio electrónico, es más sencillo acreditar ese efecto comercial con un determinado país, simplemente porque existirá un envío y recepción de mercancías, pero si hablamos de servicios, además de los datos de facturación, la conservación de datos relativos a las visitas o accesos adquiere una nueva dimensión. La falta de prueba de las alegaciones deja a éstas en meras afirmaciones, así que tengan en cuenta que es importante contar con los elementos suficientes para, llegar el caso, poder rebatir acciones de este tipo.

Si quieren añadir complejidad, cuenten que para que el uso se considere efectivo debe tener cierta entidad en el ámbito territorial concreto, esto es, ser significativo atendiendo a la naturaleza del producto y a la envergadura de la empresa, por lo que no es suficiente con simplemente vender o prestar servicios en España.

El caso es que, tanto la Directiva como la Ley de Propiedad Intelectual española (artículo 96.4), no prestan suficiente atención a dichos elementos, limitándose a decir que las ideas y principios que sirven de fundamento a sus interfaces no estarán protegidos por los derechos de autor.

Lo anterior debe haber sido interpretado erróneamente, en el sentido de que realmente los interfaces no constituyen objeto protegible conforme a la legislación sobre propiedad intelectual (la ley se limita a excluir las ideas o principios subyacentes, no a los mismos), ya que raramente se contemplan estas cuestiones, si no es de manera indirecta, en los contratos de software.

La protección que la ley confiere a los programas de ordenador afecta básicamente al código fuente y objeto que expresa sus instrucciones, incluyéndose además la documentación preparatoria, técnica y los manuales de uso. Lo cierto es que estos últimos podrían constituir obra científica, si bien el legislador decidió que su régimen se regulara por lo dispuesto en el título VII de la Ley.

Lo anterior tiene importantes consecuencias, siendo relevante que no cabe hablar de derechos morales en lo que se refiere a programas de ordenador y a los contenidos asimilados. Si, en cualquier caso, los derechos morales sólo son atribuibles a las personas físicas, en caso de empresas (habitualmente las titulares del software) esto no tiene trascendencia, pero sí para desarrolladores autónomos. Los límites a los derechos son además sustancialmente distintos, sustituyéndose la copia privada por la copia de seguridad, figura que no debería confundirse con aquélla.

Pero lo anterior no contempla todo lo que puede incorporar lo que venimos entendiendo por programa de ordenador, pues olvida otro tipo de textos, las imágenes, animaciones, composiciones musicales, archivos audiovisuales o bases de datos que incluya, o el diseño de los interfaces, todo ello sin perjuicio de lo que pueda constituir propiedad industrial (patentes, modelos de utilidad o marcas).

Si interpretamos el concepto de programa de ordenador de forma restrictiva y literal conforme a la ley, estos elementos quedan fuera y tendrían la protección genérica del derecho de autor, lo que nos lleva a una dualidad no exenta de problemas, que debe tenerse en cuenta no sólo en los contratos para su desarrollo sino también en los contratos con trabajadores, becarios y autónomos, y en las propias licencias de uso o cesiones de explotación.

Este jueves participo en una jornada organizada por el SATipyme de Zaragoza a propósito de las novedades del nuevo Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.

La idea es comentar las nuevas obligaciones y cambios que supone esta norma, tanto en los principios y derechos que introduce la Ley (consentimiento, cesiones, tratamiento de datos por cuenta de tercero,…) o su ámbito de aplicación, como en las medidas de seguridad que habrá que implantar sobre los ficheros en papel.

La jornada será a las 12:30 en el salón de plenos de la Cámara de Comercio e Industria de Zaragoza, paseo de Isabel la Católica, 2, y durará una hora.

Información e inscripciones

Al margen de las cuestiones clave de dicho documento, que Jorge Campanillas ha destacado, y aprovechando que estoy terminando la implantación de esta normativa en un colegio concertado de educación infantil, primaria y secundaria, añadiré algo desde la práctica.

Lo mejor del documento es que se insiste en que lo principal es el interés superior del niño, lo que en la legislación española se refleja en la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor, que afortunadamente permite matizar las limitaciones establecidas en la normativa sobre protección de datos. Por tanto, si es necesario, deben comentarse las circunstancias familiares o de salud física y mental del niño en las reuniones del claustro de profesores, en la medida en que afectan a su desarrollo educativo y personal, y naturalmente el personal de comedor debe conocer si un alumno es alérgico a determinados alimentos aún cuando no se trate de médicos o personal de salud. Esto no significa que pueda incumplirse el deber de secreto, pero la situación de los colegios es delicada porque a ellos les corresponde la vigilancia y cuidado del alumnado a su cargo, y esto supone que manejan información confidencial y sensible, no sólo de salud sino de religión o, por ejemplo, sobre su situación familiar (en casos de separación y divorcio deben saber cuál de los padres tiene la guarda y custodia del menor, lo que les obliga a solicitar la correspondiente resolución judicial, al igual que cuando existe una orden de alejamiento), debiendo extremar las medidas (por ejemplo por medio de cámaras de videovigilancia) precisamente en interés del menor y por la responsabilidad que asumen.

Existen, por otro lado, más cesiones de datos de las que cabe pensar a primera vista. Lo más evidente es que la información académica se transmita a los organismos autonómicos o estatales correspondientes en materia de educación (depende de las competencias transferidas), así como a otros centros en caso de traslado de alumnos, procedimiento que está regulado. En estos casos el centro de origen tiene un cierto margen de discrecionalidad, pudiendo comunicarse no sólo las cuestiones puramente formativas sino también lo que considere relevante sobre su progreso y problemas de adaptación o conducta.

Todo esto sin tener en cuenta que hay que tener precaución en la grabación y publicación de imágenes y su difusión, especialmente por Internet, así como en la publicación de calificaciones escolares en tablones, por ejemplo.

En el caso de centros concertados aún es más complejo, pues los módulos del concierto obligan a dar cuenta a la Administración no sólo de los ingresos y gastos en general, o el número de alumnos inscritos (pudiendo lógicamente requerir documentación que lo corrobore), sino de los profesores en concreto contratados, incluyendo sus datos bancarios, relación laboral, categoría profesional,…

La actualización de los ficheros y las medidas es imprescindible, primero porque cambian con frecuencia, pero además porque, como acertadamente señala el documento del G29, aún cuando en caso de menores de edad (menores de 14 años según el criterio de la Agencia, que ahora recoge el nuevo Reglamento de Protección de Datos) el consentimiento lo ejercitan sus representantes legales, una vez sean capaces de prestarlo por sí solos, deberá solicitárseles directamente pues aquél es inválido ya.

Debido al tipo de datos que se manejan es importante deslindar correctamente los ficheros por finalidades, determinando en concreto los usuarios que pueden acceder a cada uno. En general, los ficheros más habituales que puede tener un colegio serían los relativos a su gestión económica, contable y administrativa, personal, gestión académica o educación, orientación de alumnos, videovigilancia y servicio médico-comedor.

Por último, debo indicar que sobre esta materia se publicó no hace mucho el libro La Protección de Datos en los Centros de Enseñanza, elaborado por dos abogados del despacho Sánchez-Crespo. Sin perjuicio de la competencia de dicho despacho, que no pongo en duda, este libro en concreto me pareció decepcionante. Dado que lo compré por Internet, no descubrí hasta que lo tenía en mis manos que saltados prólogos, agradecimientos y generalidades sobre protección de datos, que ya me las sé, hasta la página 67 no comienza a hablar sobre las particularidades de los centros de enseñanza, funciones y actividades del centro, y los datos y tratamientos implicados en cada caso, lo que es correcto, pero no profundiza ni soluciona ninguna cuestión práctica, y así entretiene hasta la página 115 que sigue con las medidas de seguridad, generales de cualquier entidad, así que también me las salté. Todavía quedaba libro y a mí algo de esperanza, pero a partir de ahí hasta el final no encontré más que varios anexos de conceptos básicos (otra vez) y normativa, que por otro lado también conocía, así como el Plan Sectorial de oficio a la enseñanza reglada no universitaria, estupendo estudio sobre la situación de centros de enseñanza realizado por la Agencia en 2005, que es lo que más merece la pena del libro. Total, que de 460 páginas, tan sólo 48 se referían a la materia en concreto (no voy a tener en cuenta los añadidos que no son de los autores). Está muy bien, con esa base reciclable todavía se puede escribir un libro sobre protección de datos en residencias o geriátricos, para agencias de viajes o campos de golf, por decir algo.

Mañana comienzan las Jornadas sobre Protección Jurídica de la Investigación, organizadas por el Instituto de Estudios Riojanos bajo la coordinación de David Maeztu, a quien principalmente debo agradecer la consideración de invitarme.

El objetivo es aportar a todo el colectivo de investigadores riojanos o interesados los instrumentos jurídicos básicos para el desarrollo de su labor, analizándose los aspectos ligados a la propiedad intelectual (David Maeztu y Javier de la Cueva), fiscales (José Ignacio Ruiz de Palacios), protección de datos (yo mismo), así como las implicaciones del uso de recursos para la investigación disponibles en Internet (Jorge Campanillas).

Las jornadas, en horario de 18 a 20:30 horas, se celebrarán en salón de actos del Instituto de Estudios Riojanos, calle Portales 2, Logroño. David Maeztu facilita el programa en imagen, y también pueden verlo en Noticias Jurídicas.

Aunque yo intervendré el viernes a primera hora, vista la talla de mis compañeros y la novedad de los planteamientos, les animo a que se inscriban.

Para mí lo más curioso es la introducción de la publicación edictal electrónica cuando no fuera posible la notificación, pues el uso de la firma electrónica está claro que era evidente, aunque se deja la puerta abierta a otras formas de aseguren la autenticidad de la comunicación y la identidad de las partes y el órgano arbitral (habría que añadir la integridad y confidencialidad de la comunicación y el no repudio), salvo para la solicitud de arbitraje que parece admitir exclusivamente la firma.

Se echan en falta algunas cuestiones, como la valoración de la prueba en soporte informático, aunque es salvable, la exigencia de sellado de tiempo en las actuaciones, la protección de datos en las comunicaciones o la interoperabilidad y el uso de estándares, tanto en las comunicaciones como en el propio laudo. En este punto son muy interesantes las investigaciones en torno a XML legal, que ya tiene su aplicación concreta -ODR XML- en los sistemas alternativos de solución de conflictos. Teniendo en cuenta que en comercio electrónico esto es algo que el mercado ya viene pidiendo, y que es necesario un reconocimiento recíproco y coordinación en el marco de la Red CEC, todavía se puede esperar mucho más.

En cualquier caso, debemos esperar al desarrollo de la correspondiente aplicación informática por parte del Ministerio de Sanidad y Consumo.

En el entorno actual donde los cambios se suceden a velocidad de vértigo y donde el mañana se convierte demasiado rápido en ayer, INTECO ha considerado oportuno abrir un canal de comunicación que permita dar voz a todos, profesionales, expertos, usuarios, entendidos y curiosos, un medio que supere el tradicional modo de comunicación unidireccional y abra discusiones y debates a todo el mundo.

Me gustaría invitarte, desde aquí a que consultes el “Blog sobre seguridad de la información” y dejes tus comentarios o sugerencias. Tu aportación enriquecerá el debate, seguro.

La Orden ITC/308/2008, de 31 de enero, por la que se dictan instrucciones sobre la utilización de recursos públicos de numeración para la prestación de servicios de mensajes cortos de texto y mensajes multimedia, arroja algo de luz, primero asignando los rangos de numeración que deben utilizar estos mensajes en función de los contenidos y precios, las condiciones de utilización de los números (se establece claramente que los operadores titulares de los mismos serán responsables de los servicios y contenidos suministrados, y que no podrán ceder la explotación de los números asignados) y la gestión de los mismos.

Lo más interesante es que se determinan las condiciones de prestación de estos servicios, que pueden resumirse en los siguientes puntos:

• Los titulares de números no pueden exigir a los consumidores el envío de dos o más mensajes para la compleción de un determinado servicio.
• Para servicios que no requieren la devolución de un contenido (votaciones, concursos, mensajes a A tu lado,…), los titulares de los números deberán proporcionar, gratuitamente, un mensaje informativo sobre el resultado del mismo.
• Para servicios cuyo coste por mensaje sea inferior o igual a 1,2 euros, deberán comunicar, gratuitamente y por mensaje, su nombre o denominación social, el número telefónico de contacto del centro de atención al cliente y el precio total del servicio recibido incluyendo impuestos.
• Para servicios cuyo coste por mensaje oscile entre 1,2 y 6 euros, servicios de suscripción cuyo coste por mensaje sea inferior a 1,2 euros y servicios para adultos con precio por mensaje inferior a 6 euros (el resto de los incluidos en la tabla anterior), deberán proporcionar gratuitamente, con anterioridad al suministro de los contenidos y por medio de mensajes, la siguiente información:
  • Nombre o denominación social y número telefónico de contacto del centro de atención al cliente.
  • Naturaleza del servicio. En el caso de tratarse de un servicio de suscripción, se indicará asimismo la forma de darse de baja.
  • Precio total del servicio, incluyendo impuestos. En el caso de tratarse de un servicio de suscripción, se indicará el precio de los mensajes a recibir por el usuario o, en su caso, las cuotas que se deberán abonar periódicamente.
  • Invitación a confirmar el servicio. En cualquier caso, la falta de respuesta del usuario al mensaje de petición de confirmación del operador se entenderá como una renuncia a recibir el servicio solicitado.
• Para estos mismos servicios, no se podrá cargar cantidad adicional alguna en concepto de remuneración por los mensajes de invocación, confirmación o rechazo correspondientes.

En materia de derechos de los consumidores y usuarios, se remite a la regulación de la Orden PRE/361/2002, de 14 de febrero, adelantándose que la Comisión de Supervisión de los Servicios de Tarificación Adicional deberá elaborar y aprobar un código de conducta específico para la prestación de servicios de tarificación adicional basados en el envío de mensajes, cuyo incumplimiento implicará la cancelación de la asignación del número correspondiente.

En cualquier caso, se señalan algunas cuestiones relevantes, como por ejemplo que el impago por el abonado de la parte del mensaje correspondiente a la tarificación adicional podrá dar lugar exclusivamente a la suspensión del servicio de tarificación adicional basado en el envío de mensajes, nunca la suspensión del servicio telefónico, ni del servicio general de mensajes. Aunque hay excepciones, la factura en principio deberá distinguir y desglosar entre el servicio telefónico y el de mensajes, separando la parte del coste de éstos que corresponda al servicio tarificación adicional.