Los principales cambios de la nueva ley tienen relación con la información previa a la celebración del contrato, que deberá facilitar el prestamista o el intermediario de crédito (que no es el vendedor), según el modelo normalizado europeo que se publica como anexo, muy completo y claro, ya no sólo de las condiciones del crédito sino también de las posibles obligaciones accesorias (cuentas corrientes asociadas, seguros, garantías..). También resultan interesantes todas las especificaciones en función del tipo de crédito, la posibilidad de desistimiento unilateral (dentro del plazo de catorce días), sin perjuicio de la que resulte por desistimiento del contrato principal (siete días) de acuerdo con la doctrina sobre contratos vinculados.

Siguiendo con esto, hay que señalar que, sin perjuicio de que el contrato de crédito que se lleve a cabo para financiar una compra o la prestación de un servicio, y la contratación de éstos puedan estar vinculados, quien tiene la obligación de información previa sobre las condiciones del contrato y la asistencia anterior no es el vendedor o proveedor del servicio, sino el prestamista o el intermediario. En caso de contratación por Internet, lo más seguro para las partes sería que, dentro de la misma sesión y al igual que se realizan los pagos por pasarela, la contratación del crédito se hiciera en el entorno del prestamista.

La información previa y que acompañe al contrato debe proporcionarse en papel o soporte duradero (su incumplimiento se sanciona con la anulabilidad del contrato). El legislador, que un día define “soporte duradero” de una forma (art. 3.3 del Real Decreto 1906/1999) y ahora de otra, da por sentado que existe una transmisión de la información, de modo que posteriormente el consumidor pueda reproducirla de forma autónoma, por tanto no bastará, en los contratos por Internet, con ofrecer los datos en pantalla sino que deben ofrecerse expresamente para su descarga y/o enviarse por correo electrónico. Un plus a lo que se viene exigiendo. Dado que la carga de la prueba de todas estas cuestiones corresponderá al prestamista, podemos preguntarnos si aquello de obligar a usar firma electrónica en la contratación electrónica (art. 5.2 del Decreto anterior), maravilloso pero que nadie cumple, alguien algún día se lo creerá y empezará a aplicarlo de una vez.

Respecto a las cuestiones de protección de datos, existe una obligación de evaluar la solvencia del consumidor, ya sea a partir de la información que aporte éste o de la que se obtenga de la consulta de ficheros de solvencia patrimonial. Se establece que en caso de denegarse el crédito por los resultados de dicha consulta, se deberá informar gratuita e inmediatamente de dichos resultados y de las características de la base de datos consultada (lo que vendría a ser cumplir con el derecho de acceso sin petición previa). Claro que con dar otros motivos se sale del paso.

Estas obligaciones son de aplicación imperativa, por tanto irrenunciables para el consumidor y que se aplican aunque la ley que rija el contrato no sea la española, siempre que exista un vínculo con el territorio del Espacio Económico Europeo (en especial, cuando la oferta se produzca en uno o varios Estados miembros o el prestamista o intermediario ejerza sus actividades en los mismos). Resulta llamativa la obligación de asistencia individualizada al consumidor por parte del prestamista o del intermediario, que deberán ayudar a que el primero evalúe el contrato conforme a sus intereses, necesidades y situación financiera.

Pese a las críticas por la posibilidad de bloquear al acceso a Internet sin intervención judicial por actos ilícitos de los usuarios (en especial, la descarga de contenidos ilegales, pero también por otros delitos o fraudes), los cambios de la normativa europea creo que suponen una mejora de los derechos del consumidor, en especial en los contratos con las operadoras, en los aspectos de protección de datos. En cuanto a los usuarios discapacitados, se les reconoce la posibilidad de elección de operador y servicios, lo que obligará a una ampliación y adaptación de las ofertas y procedimientos de los proveedores.

Con todo, hay un importante recorte, y es que a partir de ahora sólo los usuarios personas físicas (antes podían las jurídicas) podrán recurrir al procedimiento de solución de controversias ante la Secretaría de Estado de Telecomunicaciones, regulado por la Orden ITC/1030/2007.

Algunas cuestiones ya se adelantaron. El Real Decreto 726/2011, de 20 de mayo, que modifica el Reglamento de Servicios, reconoce el prometido acceso a Internet en banda ancha (1Mb de descarga) dentro del servicio universal, en los términos previstos en la Ley de Economía Sostenible, recorta el número de teléfonos públicos disponibles en la calle (una lacra para Telefónica), y reconoce la posibilidad de entregar la guía telefónica en formato electrónico con carácter preferente.

Como especialmente destacable, la nueva ley establece que la portabilidad del número se debe llevar a efecto en el plazo máximo de un día laborable, frente a los dos días actuales. El incumplimiento de dicho plazo dará derecho al usuario a reclamar una compensación económica, que no se determina en la ley.

Lo más criticable es que el nuevo texto no prevé, dentro del contenido mínimo de los contratos, que las operadoras deban informar expresamente de cuestiones como las limitaciones en el acceso y utilización de los servicios (por ejemplo, puertos, aplicaciones o servicios bloqueados), los sistemas de medición y gestión del tráfico, los costes por mantenimiento del número, las restricciones al uso del terminal (¿cómo es posible que no existan reclamaciones por no especificar claramente que el terminal no es libre o que algunos servicios están restringidos por el operador?), o las medidas y soluciones que se adoptarán ante incidentes en la seguridad.

Otra carencia importante es que la normativa europea exige que los contratos no deben tener una duración inicial superior a 24 meses (incluyendo cláusulas de permanencia), y que en todo caso se ofrezcan contratos con una duración máxima de un año.

Todo ello según obliga la Directiva 2009/136, y que incomprensiblemente se deja para un momento posterior.

Se deja para desarrollo reglamentario también si se imponen obligaciones de información en los contratos en cuanto a los riesgos para la seguridad personal, privacidad y datos personales, o en cuanto al uso de las redes para llevar a cabo actos ilícitos o la difusión de contenidos nocivos.

En relación con la seguridad y la protección de datos, se establece la obligación de informar al posible afectado en caso de que se constate un riesgo de violación de la seguridad de la red pública o del servicio, debiendo indicarle el operador las medidas a adoptar, pero no en el contrato sino en caso de que se prevea posteriormente. En caso de que la violación de los datos (destrucción, pérdida, alteración, revelación o accesos no autorizados) efectivamente se produzca, el operador deberá dar parte a la Agencia de Protección de Datos y, si afectara negativamente a la intimidad o a los datos del usuario (no veo yo de qué otro modo le podría afectar, ¿acaso presupone esto que deberá el afectado demostrar un perjuicio?), también deberá notificárselo a este. El incumplimiento de estas obligaciones conlleva la correspondiente sanción conforme a la LOPD (mínimos de 60 mil y 100 mil euros, si es puntual o reiterado), auque se deja para desarrollo reglamentario el contenido y forma de presentar estas notificaciones, por lo que de momento no es exigible. También se deberá dar parte de estos sucesos al Ministerio de Industria, Turismo y Comercio, que podrá imponer la obligación de someterse a una auditoría de seguridad externa.

Curiosamente, se especifica que los operadores deberán llevar un inventario de violaciones en materia de protección de datos, lo cuál ya prevé el Reglamento de Protección de Datos al exigir un registro de incidencias.

En cuanto al uso de cookies, queda confirmado el sometimiento a la normativa sobre protección de datos, Se deberá informar previamente sobre su configuración en el navegador y aplicaciones, su uso y datos que se obtienen, y solicitarse el consentimiento previo a su inclusión. También se prohíbe el envío de comunicaciones comerciales en los que se disimule u oculte la identidad del remitente, o se realice a través de una dirección de correo electrónico no válida para responder (el clásico uso del “donotreply“).

Respecto al tratamiento de los datos de tráfico para facturación, y sin perjuicio de la obligación de conservación conforme a la Ley 25/2007, de 18 de octubre, se deberán eliminar transcurrido el plazo de impugnación de la factura por el servicio (tres meses) o para que el operador pueda exigir su pago (tres años, siendo un servicio de suministro periódico). Tomen nota los afectados por la inscripción en un fichero de morosos por impago.

Por último, se reconocen los principios de neutralidad tecnológica y de servicio, que suponen un límite a la discriminación en el uso de sistemas o tecnologías de comunicación, como podrían ser servicios de telefonía por IP o televisión por Internet, que sólo podrán imponerse por motivos tasados y justificados, lo cual resulta un avance en línea con la Declaración de la Comisión 2009/C 308/02. Por tanto,  larga vida a los servicios de telefonía IP en este punto, salvo por los problemas en la prestación de llamadas gratuitas a servicios de emergencia o en la localización física del llamante, pero eso es otro tema.

Podemos simplificar que los contactos de Facebook o de otras redes sociales o profesionales están realmente dentro de dichas redes, no en la empresa, lo cual es cierto con matices. Las condiciones de uso de Facebook, pese a su despiece,  limitan mucho la explotación de los datos de los usuarios dentro y fuera de esa red (apartado 9 de la Declaración de Derechos y Responsabilidades) y, desde un punto de vista práctico, quienes deciden sobre la finalidad, contenido y uso que se da a los datos son el responsable de de la red o el propio usuario. La empresa que agrega o asocia nombres de contacto con sus páginas en dichas redes sociales o profesionales únicamente tiene disposición sobre el nombre del usuario, y no, por ejemplo, sobre las imágenes que ha incluido éste, sus intereses o cualquier otra información de su perfil o relaciones.

En este escenario, en el que los datos se mantienen dentro de la red social, los riesgos y obligaciones desde un punto de vista legal serían mínimos. El nivel aplicable a esos datos, que por otro lado forman parte de ficheros genéricos (clientes reales o potenciales, usuarios) es, por lo indicado, básico.

A lo anterior habría que añadir las siguientes consideraciones:

• La necesidad de contar con una Política de Privacidad, como exige Facebook, supone cumplir con el deber de información del art. 5 de la LOPD. Por tanto, no supongan que el hecho de que una persona se haga fan o seguidor de una página de empresa implica la autorización de ésta para todo tipo de tratamiento de sus datos con finalidades promocionales o publicitarias.
• Las empresas utilizan esos datos para difundir información o noticias sobre la misma o sus productos o servicios. Es decir, para enviar comunicaciones comerciales por vía electrónica, lo que obliga a identificar como “publicidad” los mensajes que se envíen dentro de la red, y facilitar al destinatario la posibilidad de oponerse a estas comunicaciones en cada uno de los mensajes. Apáñenselas para eliminar dicho envío o para escribir en el muro de sus fans cuando éstos lo exijan, sin que dejen de serlo, ya que también a través de Facebook puede hacerse spam en sentido legal.
• El tratamiento de los datos de los usuarios de Facebook debe ser conforme con la política de privacidad que éstos hayan definido en la red, y por supuesto toda utilización de estos datos fuera de Facebook (para el envío de newsletters, concursos o promociones, por ejemplo, o cualquier otra actividad que tenga proyección en otro ámbito) requiere autorización previa del usuario. Mucho cuidado, por tanto, con la utilización fuera de Facebook de los datos obtenidos de ésta.
• Como he comentado, los datos del perfil de usuario los introduce éste, pero la empresa realiza un tratamiento de los mismos dentro de la plataforma de Facebook, lo que debe referenciarse en el Documento de  Seguridad. Sobre las medidas de seguridad, no se rompan la cabeza: cojan el listado de esas personas e inclúyanlo en sus propias bases de datos.
• En mi opinión, por si se plantea, entiendo que no puede considerarse que Facebook sea aquí un “encargado del tratamiento” en los términos de la LOPD , ya que los datos ya los posee y gestiona para sus propios fines, no se produce una comunicación o acceso por parte de éste a información que no tuviera, del mismo modo que tampoco existe una transferencia internacional de datos. Y si no lo creen no importa, aplíquenlo de todos modos que puede que les evite una sanción, porque Facebook no les va a firmar un contrato con el contenido del art. 12.2 de la Ley, y el problema será para Uds.

En resumen, Responsable del Fichero es la persona física o jurídica que determina los fines y los medios del tratamiento de los datos personales, ya sea porque existe un mandato legal explícito o implícito (en el marco de una relación jurídica o el tráfico mercantil), por via de hecho o con motivo de una obligación contractual. En definitiva, se es responsable del fichero en la medida en que se realice un tratamiento de datos con una finalidad propia y que le corresponde por los motivos anteriores.

Encargado del Tratamiento, por contra, será quien realice un tratamiento de datos por cuenta del Responsable del Fichero, dentro de la prestación de un servicio (subcontratación). Por tanto dicho tratamiento no obedece a una finalidad e interés propios sino del Responsable del Fichero.

Desde el punto de vista de las obligaciones de la normativa sobre protección de datos, y también simplificando, el Responsable del Fichero es quien debe notificar éste ante la Agencia de Protección de Datos correspondiente y garantizar el respeto a los principios y derechos de los afectados, y debe firmar un contrato por escrito con el Encargado del Tratamiento que delimite los datos a los que éste tiene acceso, la finalidad de éste, las medidas de seguridad aplicables y una serie de limitaciones y garantías destinadas a que los datos no se utilicen con un objeto distinto de la prestación del servicio por cuenta del Responsable (arts. 12 de la Ley y 20 a 22 del Reglamento).

Lo anterior se puede complicar bastante y además encuentra muchas limitaciones legales y prácticas en el caso de transferencias internacionales de datos. Veamos algunos escenarios:

• Transmisión de datos por redes de telecomunicaciones: operadoras (de telefonía fija y móvil, mensajes cortos o datos) y en general ISPs, desde el alojamiento externo de servidores de correo a servicios de correo web como Gmail o de acceso a correo electrónico y a datos corporativos como Blackberry. En estos casos, el ISP interviene como Encargado del Tratamiento respecto de los datos transmitidos (remitente, destinatario, contenido del mensaje y adjuntos, que origina el Responsable), si bien también es Responsable del Fichero respecto de los datos que hacen posible dicha transmisión (datos de tráfico) y los de facturación por el servicio que prestan. Es un claro ejemplo de mandato legal explícito, pues de acuerdo con la Ley de Conservación de Datos, es su responsabilidad almacenar dicha información y ponerla a disposición únicamente en caso de mandato judicial y para la persecución de determinados delitos (al menos en la Unión Europea).

  La legislación nacional en concreto aplicable al Responsable o al Encargado viene determinada por el lugar de establecimiento de cada uno de éstos. Con todo, el criterio de la Agencia Española de Protección de Datos es amplio, basta con tener un establecimiento en España para determinar su sujección a la ley española (de ahí que intervenga sobre Facebook (pdf)), y siendo así Google, Blackberry, Nokia y otros que luego veremos, deben cumplir nuestra ley. Echen un vistazo aquí: Google no tiene inscrito ningún fichero con esa finalidad, Research in Motion Spain sólo tiene un fichero de videovigilancia (no tienen ni clientes ni personal, misterioso) y Nokia tiene una maraña de ficheros caótica, aunque puede que por tanto acotar algún fichero termine encajando. En la medida en que tanto Responsable como Encargado estén situados en la Unión Europea, los problemas se reducen. Estos prestadores, además de tener que firmar el correspondiente contrato de encargo de tratamiento, deberán cumplir las medidas establecidas en una legislación armonizada en función del nivel de seguridad de los datos. No obstante, si salimos de ahí nos encontramos con que la salvaguarda de los derechos en materia de protección de datos y la aplicación de las medidas de seguridad correspondientes vendrá determinada únicamente por el contenido de este contrato, por lo que conviene extremar y cuidar estas cuestiones. A propósito de esto, la Comisión Europea ha modificado recientemente las cláusulas tipo para transferencias internacionales (pdf) con motivo de un tratamiento por cuenta de tercero cuando el encargado esté establecido en un país no comunitario que no proporcione un nivel adecuado de protección.

• Redes sociales: los titulares de estos servicios actúan como Responsables en la medida en que son ellos quienes determinan los fines y los medios de tratamiento de los datos. Esto es, los usuarios obviamente son los que facilitan la información, pero quien delimita los usos, funcionalidades y establece limitaciones a la misma son las propias redes sociales. No puede ser de otra forma, cuando por ejemplo en las condiciones de uso de Facebook se prohibe al usuario cualquier extracción o utilización de los datos personales de otros usuarios fuera de dicha red, aunque ésta tampoco tiene registrado ningún fichero en la AGPD. Los usuarios podrán ser, en su caso, considerados Responsables del Fichero respecto a los datos de terceros que ellos incorporen a la red (imágenes especialmente), pero no de los que se encuentren en ésta por que los hayan incluido los propios usuarios, aunque los utilicen en el marco de la red social.

• Publicidad basada en intereses (behavioural advertising): es la publicidad basada en hábitos de navegación, que lleva a mostrar publicidad segmentada en función, no de los contenidos de una página (lo que sería publicidad contextual), sino en sus intereses deducidos de la captura y procesamiento de las páginas visitadas y las búsquedas realizadas. Google lo aplica en Gmail, Youtube y AdSense, operando a través de cookies.

  En estos casos, tanto el medio como el proveedor del sistema pueden ser considerados responsables conjuntamente, en la medida en que el primero recaba la información (perfil de usuario, dirección IP, localización, sistema operativo,…) y el segundo determina la finalidad (la monitorización de los usuarios), distribuyéndose las responsabilidades del modo siguiente: el medio debe informar de que terceras partes accederán a sus datos, y el proveedor del sistema debe responder sobre el modo en que los datos se gestionan y garantizar los derechos de los afectados.

• Computación distribuida: el problema en estos casos reside en la dificultad en conocer en qué recursos en concreto, distribuidos en distintos países, se procesan los datos personales. En caso de que existiera un uso no autorizado de los datos en uno de los grids, éste sería considerado responsable de la infracción como Encargado y el lugar en el que se encontrara determinaría la legislación aplicable.

Volviendo sobre la obligación legal de celebrar un contrato por escrito entre el Responsable y el Encargado, uno puede pensar que bueno, que si no es posible qué le vamos a hacer. Las probabilidades de que RIM, Google o un proveedor de hosting de EE.UU. firmen un contrato en estos términos, incluyendo el cumplimiento de medidas de seguridad de nivel alto (piensen en colectivos como médicos, abogados, compañías de seguros,…) son remotas. El Grupo de Trabajo del Artículo 29 es tajante en estos casos: búsquese otro proveedor o, si sospecha del incumplimiento de las normas sobre protección de datos por parte de éste, póngalo en conocimiento de las autoridades competentes. Mientras tanto, en la medida en que no exista contrato, el acceso por parte de ese tercero se considerará una cesión y, en su caso, una transferencia internacional de datos, debiendo garantizarse las autorizaciones y requisitos correspondientes.

Tras unos meses de trabajo y mucha ilusión, hoy sale a la luz Derecho en Red, un espacio colaborativo en formato de wiki para la difusión del Derecho, especialmente de los aspectos legales implicados en el uso de la Informática y las Tecnologías de la Información y la Comunicación. Detrás de esta iniciativa estamos David Maeztu, Iban Díez, Javier Prenafeta, Miguel Ángel Mata, Sergio Carrasco, Jorge Campanillas, Samuel Parra y Andy Ramos, aunque pretendemos que se sumen todos aquellos que estén interesados en compartir su conocimiento con Internet.

Comenzamos con una Guía Legal para bloggers y podcasters, donde indicamos los principales puntos que deben conocerse desde un punto de vista legal y los riesgos asociados a estas actividades. Asimismo, hemos comenzado por abordar los aspectos relativos a la propiedad intelectual, incluyendo una Ley de Propiedad Intelectual española comentada, así como sobre protección de datos de carácter personal, que entre todos iremos completando y ampliando.

Paralelamente, se han creado dos listas de correo para las áreas anteriores, propiedad-intelectual-der@googlegroups.com y proteccion-de-datos-der@googlegroups.com, con la idea de fomentar el debate entre cualquier persona interesada.

Nuestro propósito es acercar determinadas cuestiones jurídicas a la sociedad, ofrecer respuestas a dichos conceptos y facilitar su comprensión, todo ello para mejorar el desarrollo de la Sociedad de la Información entre todos. Somos conscientes de que hay muchos puntos de vista implicados, cuestiones controvertidas, dudas y lagunas, por lo que no podemos hacer esto solos. Sirva esto, por tanto, de invitación a todo jurista o especialista en estas materias para que se una a esta iniciativa y contribuya a este espacio, así que quien esté interesado puede dirigirse a nosotros a través de la dirección info@derechoenred.com y participar en las listas de correo.

Confiamos sea de su interés.

El TJCCEE dice que la base es la correcta. La Directiva pretende la armonización de las obligaciones de retención de datos para los operadores de los Estados Miembros en la medida en que suponen unas inversiones y costes para éstos que pueden distorsionar el mercado. Tiene su gracia y en mi opinión no les falta razón a esos países ya que, pese a las formalidades aparentes, la finalidad evidente de la Directiva es establecer un marco para la persecución de determinados delitos, al margen de que obviamente tenga que ser homogéneo.

En la línea de la confusión, ya no sé si buscada o no, entre la interceptación de las comunicaciones y la retención de datos, hace unos días se publicó la Orden que establece los requisitos y procedimientos técnicos para la interceptación legal de las comunicaciones.

Lo que más me llama la atención de esta regulación es que mientras que la comunicación de los datos retenidos de acuerdo con la Ley 25/2007, que no requiere autorización (me refiero a la conservación, no a su comunicación posterior) por no afectar al secreto de las comunicaciones (ya ven), sólo se puede hacer para la persecución de delitos graves, y por otro lado la interceptación de las comunicaciones (no permitida de antemano como lo anterior, obviamente) es posible en el marco de cualquier investigación penal (art. 579 de la LECr), cuando es mucho más gravosa.

En cualquier caso, en esta Orden hablamos del contenido de las comunicaciones, no del envoltorio, protegido constitucionalmente y que por tanto requiere autorización judicial para su intervención.

Ante el grado de detalle, pregúntense cómo se hacía esto hasta la fecha. En cuanto al funcionamiento general, se admiten acuerdos de colaboración entre operadores, y en cualquier caso deberán establecerlos aquellos que ofrezcan servicios por medio de redes de terceros, lo que queda al ingenio de los abogados. Las especificaciones técnicas hablan de confidencialidad e integridad, debiendo realizarse por canales seguros (salvo determinadas incidencias), definen el formato del identificador de la interceptación y las medidas de seguridad aplicables (en la línea, con algo más de detalle, de las del Reglamento de Protección de Datos para ficheros automatizados de nivel alto). Echen un vistazo especialmente al protocolo de actuación del artículo 8.

Hay un plazo general de nueve meses para su adaptación al sistema (se habla además de estándares abiertos y software libre), salvo para los aspectos de seguridad del sistema de interceptación y los registros de auditoría, que es de dieciocho.

Los más frikis pueden consultar las normas ETSI a las que remite la norma, que además fijan las bases para llevar a efecto la interceptación cuando se realice entre distintos países.

Me saltaré las cuestiones de protección de datos, que creo quedaron del todo aclaradas, y en la que suspenden la totalidad de las redes sociales más conocidas.

Como elemento central de lo que se entiende por Web 2.0, al menos a efectos legales, destacaría principalmente el desplazamiento de la situación del usuario/consumidor a un puesto central, ya sea en la generación y difusión de contenidos o desarrollos, o bien como propio objeto de un servicio, como sucede en las redes sociales. Esa mayor implicación del usuario lleva aparejado que se le intente trasladar mayor responsabilidad, a la vez que se le priva de algunos derechos. Echen un vistazo si no a las condiciones de uso de redes sociales como Facebook, LinkedIn o Tuenti, o servicios como Youtube, MySpace o Flickr. En cierto modo, tiene su lógica, pero no olvidemos que éstos realizan una explotación de los contenidos que alojan, y que frente a terceros ajenos al servicio las condiciones de uso no son aplicables, por lo que también pueden ser responsables en estos casos.

Como recomendaciones generales, y ya no sólo para contenidos de terceros sino propios:

• Sean conscientes de las implicaciones en materia de derechos de propiedad intelectual e industrial y pidan los correspondientes permisos. No piensen sólo en el autor, existe todo un universo de titulares de derechos en el sector editorial, musical, audiovisual o de la informática. Aunque un contenido se distribuya bajo una licencia Creative Commons, piensen antes de usarlo si dicha licencia les permite realizar las cesiones de derechos previstas en las condiciones de determinado servicio, y si las quieren utilizar para sus contenidos sepan que aunque el copyleft goza de gran aceptación, también conlleva una pérdida del control sobre la obra. Olvídense del derecho de cita, la regulación actual de la Ley de Propiedad Intelectual lo ha restringido tanto que en general no les servirá.
• Consideren la posible vulneración de los derechos a la intimidad, honor y propia imagen de las personas implicadas, y eviten cualquier posible calumnia, injuria o acto de descrédito en general contra entidades o personas físicas.
• Tengan en cuenta la posible vulneración de acuerdos de confidencialidad o la fuga de secretos de empresa, así como los actos contrarios a la legislación sobre competencia desleal.
• Definan una política interna y supervisen los actos de trabajadores y colaboradores.

No digo que no se usen las redes sociales, pero al menos valoren los riesgos. Ceden los derechos sobre los contenidos que incluyen, sus propuestas, sus marcas y logotipos, fotografías, vídeos, y las empresas que están detrás pueden hacer prácticamente lo que quieran con ellos porque Uds. se lo han permitido.

Fuera de lo que son las redes sociales, la práctica de contar con la comunidad que libre y voluntariamente, por amor al arte, contribuye a mejorar nuestro producto o servicio también entraña riesgos. El recurso al crowdsourcing puede volverse en su contra y que les reclamen derechos de propiedad intelectual, al fin y al cabo no sólo no cobran por esa colaboración, sino que ni hay contrato, al margen claro de que puede haber una fuga de información confidencial y les hagan la competencia.

Por último, las cuestiones de responsabilidad por los contenidos. El régimen de la LSSI es especial y tasado, pero no es el único. La exención de responsabilidad para servicios de alojamiento de contenidos tiene en mente los servicios de hosting o a los CMS como Blogger, Blogia y similares. No confíe un tribunal entienda que Ud. no es responsable de los comentarios o contribuciones a su blog o wiki cuando tiene la posibilidad de supervisarlas y moderarlas. Lo más fácil para un Juez será aplicar lo que ya conoce, atribuirles responsabilidad por la vía del artículo 30 del Código Penal, por analogía con medios o soportes de difusión mecánicos, o tirar por el régimen general de responsabilidad extracontractual del 1902 y siguientes del Código Civil.

Efectivamente, el Tribunal Supremo entiende que los Libros de Bautismo no son ficheros, pero lo que me parece increible es que la Agencia venga a decir que sostiene lo contrario, cuando basta echar un vistazo a sus resoluciones sobre solicitudes de cancelación de datos por parte de apóstatas para comprobar que ella misma niega ese carácter, y el Supremo no ha hecho más que asumir ese criterio por pura comodidad. Claro que el primer contrasentido de la Agencia es considerar que aunque los Libros de Bautismo no son ficheros de miembros de la Iglesia Católica -ya que según la Dirección General de Asuntos Religiosos no implican la pertenencia a ésta- sí son bases de datos, resultando de aplicación el régimen de la LOPD. Entiendo que una cosa no quita la otra, el bautismo identifica a los fieles cristianos según el Código de Derecho Canónico, y la Iglesia como institución es otra cosa, pero qué duda cabe que los Libros de Bautismo los gestiona ella y decide sobre la finalidad, contenido y uso del tratamiento. Por otro lado, no consigo encontrar una distinción en la Ley ni en el Reglamento entre fichero, como conjunto organizado, y base de datos que obligue a este matiz.

El que la inscripción en dichos Libros refleje un dato histórico e innegable no implica que éste deba permanecer inalterable. Si realmente no se puede eliminar el hecho del bautismo, no veo qué problema puede haber en añadir la condición de apóstata como nota marginal, siendo que supone un rechazo a la fe cristiana, precisamente lo contrario a lo que atribuye el bautismo.

El caso es que aunque el Tribunal Supremo pretenda redefinir el concepto de fichero, la normativa es clara en cuanto a considerarlo como conjunto organizado de datos personales, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso, y efectivamente los Libros de Bautismo están organizados, aunque no sea por nombre, por orden cronológico, pues sin orden sería inviable cualquier búsqueda en ellos, y de hecho es posible. Las construcciones que hace dicha sentencia no sólo son insostenibles, en mi opinión, sino peligrosísimas, pues de fondo lo que plantea es que la existencia o no de garantías al derecho a la protección de datos personales va en función de la informatización o no de dichos ficheros, lo cual no sólo es absurdo, por mucho que el artículo 18.4 de la Constitución, del que parte esta normativa, se refiera exclusivamente a la informática, sino que tiene los días contados y además está plenamente superado por la doctrina del Tribunal Constitucional, la Directiva y la Ley Orgánica, que no parece se tengan en cuenta.

De otro modo, si la Iglesia Católica no tiene ficheros de sus miembros, no veo qué sentido tiene que se hable de ellos en el artículo 7 de la Ley.

Pero la sentencia abre una reflexión interesante a propósito del alcance de la protección de datos, lo que puede llevar a plantearnos si realmente cualquier continente de éstos se somete a tan rigurosa normativa o si cualquier referencia a una persona es dato personal, o por el contrario existen límites. Pensándolo fríamente, que el criterio del Supremo se mantenga sería comodísimo para los abogados, pues todos esos escritos que acumulamos, relatos de hechos y situaciones personales e íntimas, quedarían fuera de este régimen aunque, eso sí, sometidos al secreto profesional, de mucha más raigambre y solera.

PD: A todos aquellos que han ido comentando y esperando respuestas durante este periodo de dejadez de más de un mes, pido disculpas. Sin Uds. esto no sería lo que es, así que les aseguro les responderé.

La aceptación de las condiciones es ya en si criticable. Junto a la aceptación previa a la descarga (bien, aunque no se pide ningún dato que permita identificar al usuario) se añade el mero uso del servicio. La pega es que difícilmente se me pueden aplicar unas condiciones por esto último cuando no las he visto y ni siquiera se encuentran en el propio programa, ni tampoco me vinculan los cambios en éstas que limiten mis derechos aunque, según este contrato, se diga que se aplicarán automáticamente sin notificación ni aceptación alguna (sección 19).

De entrada, el texto que Uds. aceptan según Google no sirve, es meramente informativo, siendo la versión en inglés la que prevalece, existe una remisión a la legislación inglesa y un sometimiento a los tribunales de Inglaterra, sin determinar el lugar en concreto (tan grandes son que les sirve cualquier pueblo), a pesar de que el servicio lo presta en principio Google Inc., con sede en Mountain View, California. Sucede que el Derecho, al menos formalmente, tiende a proteger a la parte débil de una relación, y así el Derecho Internacional Privado y la legislación sobre consumidores y usuarios establecen normas de protección para evitar situaciones abusivas. Echen un vistazo al art. 67 de la Ley General para la Defensa de los Consumidores y Usuarios (LGDCU), que determina en concreto cuándo y qué normas serán, en cualquier caso, de aplicación imperativa, al margen de lo que diga el contrato entre las partes, y que

[...] se entenderá, en particular, que existe un vínculo estrecho cuando el bien haya de utilizarse, ejercitarse el derecho o realizarse la prestación en alguno de los Estados miembros de la Unión Europea, o el contrato se hubiera celebrado total o parcialmente en cualquiera de ellos, o una de las partes sea ciudadano de un Estado miembro de la Unión Europea o presente el negocio jurídico cualquier otra conexión análoga o vínculo estrecho con el territorio de la Unión Europea.

No hace falta explicar mucho, pero es que además en las condiciones de Google Chrome se indica (sección 4.1) que los servicios se podrán prestar, en ocasiones, por las filiales y subsidiarias de Google Inc. establecidas en cada país, lo que refuerza los puntos de conexión. Claro que lo cierto es que en realidad el usuario no está unido contractualmente a ellas, por lo que no se le aplican con estas últimas (aunque la sección 20.6 diga que sí), pero a efectos de la vinculación nos sirve. Esto nos lleva al art. 90 de la LGDCU: se aplicará el Derecho español (no el inglés), y los tribunales que conocerán de cualquier conflicto entre las partes serán los del domicilio del consumidor. Y en cuanto a la aplicación de la versión inglesa del acuerdo, va ser que tampoco, ya que la Ley exige que las condiciones de los contratos sean comprensibles, y un ciudadano español no tiene por qué saber inglés.

Hay otras condiciones que también considero abusivas o desproporcionadas, y por tanto serían nulas, como la interrupción o suspensión del servicio -con la imposibilidad de acceder a la información o archivos asociados a la cuenta- por la simple voluntad de Google, o que la resolución de este contrato obligue a la cancelación de las otras cuentas existentes para otros servicios de Google. No es lícita, además, la exclusión de responsabilidad sobre la publicidad de los anunciantes que contratan con Google frente a los usuarios, cuando por contrato con los primeros no puede limitarla ni exonerarse (art. 14 de la Ley General de Publicidad, claro que esto vale para la filial en España).

Por lo que se refiere a las cuestiones de privacidad, aunque la prestación del servicio se realizará por la empresa matriz en EE.UU. se aplicará la LOPD en la medida en que se almacenen o utilicen los resultados de las búsquedas de los usuarios (asociados a éstos), que entiendo pueden calificarse como datos de nivel medio (art. 2.1.c de la Ley). Dependerá si la configuración del navegador permite un anonimato, pero a menos que la filial en España que en principio gestiona sólo actividades de marketing y publicidad se implique en este servicio, cosa que dudo, no se sujetará a nuestra normativa sobre protección de datos, salvo lo dicho.

Por último, las grandes patinadas en cuanto a propiedad intelectual (sección 11), sobre las que otros han hablado con detalle. Las condiciones declaran que, sobre contenidos protegibles por el derecho de autor u otros según la ley (el propio programa o contenidos del usuario), el usuario concede una licencia permanente, internacional, irrevocable y no exclusiva para reproducir, adaptar, modificar, traducir, publicar, representar, mostrar públicamente, y distribuir los contenidos que envíe, publique o muestre en el servicio (el navegador) o a través de él. En fin, totalmente excesivo, y con un punto que no termino de entender, pues en las condiciones se dice que dicha licencia no está sujeta a derechos de autor (¿?).

En fin, ante las críticas, se dice ahora que ha habido un error en cuanto a lo último, y que Google no quería eso. Según parece reconocer la propia empresa, se han reciclado las condiciones generales para otros servicios, pero que lo corregirán de inmediato, eliminando la conflictiva sección 11. A ver qué hacen para la versión en español.

Ya ven, vergonzoso, años de desarrollo de producto y las condiciones se resuelven con un copiapega.

Lo que plantea el caso es si para la obtención de una dirección IP directamente de eMule se exige autorización judicial, cuando este dato lo hace público el usuario por el mero uso del programa. No obstante, hay algo más, no sólo se trata de la dirección IP, sino también de su vinculación con un identificador de fichero (hash) como fuente del mismo. En este asunto se trataba de imputar un delito de facilitación de difusión de pornografía infantil, pues la acusada compartió material de este tipo mientras se lo descargaba en su equipo. Aún cuando se eliminen dichos ficheros, el identificador del usuario de eMule y la IP de su equipo quedan asociados a los mismos, al menos durante un tiempo en el servidor. Se le puede seguir la pista, lo que no significa necesariamente que exista un acceso o intromisión en el ordenador de dicha persona para recabar esta información.

Por un lado, podría discutirse la validez en juicio de la información que proporciona el servidor de eMule en cuanto a las fuentes de los ficheros y sus direcciones IP (cuestión que también pregunta David Maeztu), así como si, al identificar la IP a un equipo informático, realmente el titular de la conexión a Internet es el responsable de los actos que se hagan con el mismo. El primer punto me parece más interesante, pero lo último no se suele discutir, aceptándose que el uso del equipo se realiza bajo la responsabilidad de dicha persona.

El Tribunal Supremo cita la doctrina del caso Malone del Tribunal Europeo de Derechos Humanos de 1984, reconocida también por el Tribunal Constitucional en una sentencia de 20 de mayo de 2002, según la cual los números de abonado en las comunicaciones telefónicas también están protegidos por el secreto de las comunicaciones. Aún cuando no se entrara en el contenido de las comunicaciones, la obtención de la información relativa a la existencia y momento de la comunicación telefónica requeriría autorización judicial. Se argumenta conforme a dicha doctrina en el sentido de que en realidad haría falta, para que se considerara una injerencia ilegítima, que se llegara a averiguar la identidad de las personas en concreto, no simplemente el número de teléfono. La actuación policial en este supuesto no es, por tanto, contraria a lo anterior, ya que en el momento en que se quiso averiguar la identidad de los titulares de la conexión a Intenet sí se solicitó autorización judicial.

La exclusión de la dirección IP del secreto de las comunicaciones quedaba clara con el artículo 12 de la LSSI en su redacción anterior a la vigente y, posteriormente, por la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones (ésta no aplicable al momento de los hechos), así que entiendo que la sentencia es conforme con el marco legal en este punto. La autorización a la que se refiere la Ley 25/2007 habría que exigirla cuando los datos estén en poder de los prestadores de servicios de la sociedad de la información, y parece absurdo solicitarla cuando el usuario los hace accesibles y no se requiere ninguna injerencia para su obtención.

Se señala en su Fundamento Segundo:

Visto el panorama jurisprudencial y legislativo y trasponiéndolo al caso que nos ocupa se puede concluir lo siguiente: [...]

b) entender que conforme a la legalidad antes citada (unas normas vigentes en el momento de los hechos y otras posteriores) se hacía preciso acudir a la autorización del juez instructor para desvelar la identidad de la terminal, teléfono o titular del contrato de un determinado IP, en salvaguarda del derecho a la intimidad personal (habeas data). La policía judicial a través de un oficio de 6 de noviembre de 2005, completado por un informe de 24 de octubre del mismo año del Grupo de delitos telemáticos de la Guardia Civil interesa la preceptiva autorización que obtuvo con el libramiento de mandamiento judicial dirigido a los operadores de Internet para identificar ciertas direcciones IP del ordenador al objeto de proseguir la investigación.

Consecuentemente quien utiliza un programa P2P, en nuestro caso EMULE, asume que muchos de los datos se convierten en públicos para los usuarios de Internet, circunstancia que conocen o deben conocer los internautas, y tales datos conocidos por la policía, datos públicos en internet, no se hallaban protegidos por el art. 18-1º ni por el 18-3º C.E.

En cualquier caso, la postura oficial de la Agencia y el Supervisor Europeo de Protección de Datos es considerar que las direcciones IP son un dato personal, quedando protegidas por dicha regulación. Voy a pensar que la sentencia tiene incoherencias y que realmente también lo cree.

Lo que no puedo compartir es que el hecho de que el usuario haga público ese dato permita o justifique su captación y cualquier uso posterior, lo que parece deducirse del texto, por las peligrosas consecuencias que podría tener. De todos modos, como bien señala Sergio Carrasco, deben aplicarse a este caso las previsiones del artículo 22 de la LOPD para la recogida y tratamiento de datos para fines policiales por las Fuerzas y Cuerpos de Seguridad del Estado, que evitan solicitar el consentimiento de los afectados.

En conclusión, comparto la fundamentación de la sentencia en su mayor parte, con la advertencia de que la justificación del procedimiento seguido no puede extrapolarse a otros supuestos en los que se trate de investigar la comisión de otros ilícitos a partir de una dirección IP.

ACTUALIZACIÓN (11-06-2008): La sentencia del Supremo ya está disponible para todos los públicos en la web del CGPJ.