viernes, 31 de octubre de 2008

Diccionario de la Sociedad de la Información (III)

Desde el verano, no les había ofrecido ninguna entrega de la serie "Diccionario de la Sociedad de la Información". Sé que les encanta aprender palabras nuevas y utilizarlas en sus presentaciones power point. Ya que estamos en temporada alta de propuestas de servicios, pensado en Ustedes, en sus necesidades laborales, en su desarrollo personal, he aquí una nueva selección de términos:
  • Macintosh. ¿Recuerdan cuando Apple lanzó el Macintosh 128Kb en enero de 1984 con un fastuoso anuncio homenaje a la distopía Orwelliana? Poco tiene que ver el origen de su nombre con el estilizado comercial dirigido por Ridley Scott (que por cierto, sólo se ha visto superado muchos años despúes con "There's only one sun", de nuestro adorado Won Kar Wai, para Philips). Macintosh es un juego de palabras con McIntosh, el tipo de manzana favorita de Steve Jobs. Su fruta fetiche se había convertido en el emblema de la empresa porque a nadie se le ocurrió en tres meses un nombre mejor.
  • Spam. Asombrosamente, este término proviene de una película de los Monty Python. En los años 40 se hicieron muy populares una latas de carne comercializadas por Hormel Foods denominadas Hormel's Spiced Ham (abreviado, SPAM). Tuvieron tanto éxito que la marca se convirtió en una palabra genérica para denominar la carne en lata. En un sketch de 1970, los Monty Phyton hacen cantar a un grupo de wikingos hambrientos una canción en la que la palabra SPAM se repite como estribillo sin sentido: "Spam, spam, spam, spam. ¡Rico spam! ¡Maravilloso spam! Spam, spa-a-a-a-a-am, spa-a-a-a-a-a-am, spam. ¡Rico spam! ¡Rico spam! ¡Rico spam! ¡Rico spam! ¡Rico spam! Spam, spam, spam, spam". Pensando en una repetición de texto sin fin y sin valor, se llamó a los correos electrónicos no deseados de esta manera.
  • Crossconsumer. Según el autor de e-cuaderno, que reseña un libro con este título de Víctor GIL y Felipe ROMERO, este concepto hace referencia a "un consumidor sofisticado que ha saltado las barreras que tradicionalmente le separaban de los productores, que entiende los trucos del marketing, que utiliza herramientas de comunicación para conversar sobre las marcas y que incluso llega a participar en los procesos de innovación de las empresas (crowdsourcing)".

miércoles, 29 de octubre de 2008

Le Monde Diplomatique contra la Ley Hadopi

Les confieso que tengo cierta simpatía por Le Monde Diplomatique, a pesar de su línea editorial progre-trasnochada. De hecho, lo leo con cierta frecuencia, cada vez menos desde que publican en español (¡qué falta de glamour!).

Hace unos días, me encontré con un artículo en la edición digital sobre la Ley "Creación e Internet", también conocida como Ley Hadopi. Firmado por Vincent Caron, bajo el título de "¿Represión de los internautas o remuneración de los artistas?", critica el proyecto de ley presentado al Senado Francés para regular las violaciones de los derechos de autor en Internet.

El texto, al parecer excesivamente garantista de la propiedad intelectual, ha generado controversia hasta el extremo de ser calificado como "proyecto monstruoso" por algunas asociaciones de consumidores y usuarios.

Me sorprende comprobar que hay una entrada en la wikipedia sobre la Ley Hadopi.

martes, 28 de octubre de 2008

Pocas nueces

Supongo que, como a mí, les llamaría la atención la noticia sobre la sentencia de condena por desproteger un programa de ordenador, que apareció comentada en la edición digital de diversos periódicos, entre ellos Expansión. Esta mañana he leído las cuatro páginas que la componen y poco más hay que añadir a lo que señala Assumpta Zorraquino, en su blog.

La sentencia me ha parecido bastante insustancial. El acusado llegó a un acuerdo con el Fiscal , mostrándose conforme con la calificación y la pena solicitada en el juicio oral, por lo que el Juez se limita casi exclusivamente a relatar los hechos. Si quieren acceder al texto completo, la Red Derecho Tic lo tiene disponible aquí.

Otra noticia muy comentada estos días es el Código Ético por la Libertad de Expresión y la Privacidad patrocinado por importantes empresas de nuevas tecnologías como Google, Yahoo y Microsoft. El blog oficial de Google le dedica una entrada, y El Mundo, un artículo en su sección de Tecnología. No he encontrado el texto del código (tampoco he buscado mucho), pero dudo que nos hallemos ante un acontencimiento fundamental en la historia de Internet.

Más divertidos e interesantes me resultaron los posts que leí en dos de mis bitácoras favoritas, a favor y encontra de los blogs (aunque va resultando ya un poco aburrido esto de que la blogosfera se mire constantemente el ombligo). Mientras Enrique Dans nos dice que tenemos blogs para rato, El Catalejo informa que tener uno ha quedado demodé. Personalmente, prefiero pensar que esto último, porque me gusta sentirme como el Príncipe de Salina.

domingo, 26 de octubre de 2008

Fichero o tratamiento

La Agencia nos está ofreciendo algunos de sus más brillantes razonamientos jurídicos en procedimientos relativos a cámaras de videovigilancia. Hoy les animo a leer la resolución R/01049/2008, interesante porque analiza la diferencia entre fichero y tratamiento.

Los hechos son los siguientes: El propietario de un negocio de joyería al por mayor, situado en un inmueble comporatido con viviendas particulares, instaló dos cámaras de seguridad, una el ascensor de la vivienda y otra en la mirilla del local, ubicado en el piso 1º izquierda. Un vecino denunció la existencia de las mismas a la Agencia de Protección de Datos, que tras investigar el asunto, abrió procedimiento sancionador. El propietario de la joyería señaló en sus alegaciones que las cámaras no grabanban y que se utilizaba el cartel descrito en la instrucción 1/2006, salvo por la mención al ejercicio de derechos, que no resulta posible. Igualmente, presentó como pruebas la resolución del Subdelegado del Gobierno donde se autoriza la puesta en funcionamiento de la Joyería y donde se menciona que se han comprobado las medidas de seguridad de la normativa de aplicación, así como copia de un oficio de la Subdelegación del Gobierno en el que se indica que "se ha realizado una visita de inspección en el inmueble citado, y se ha podido comprobar que se había instalados dos cámaras …una de ellas funciona como si de un video portero se tratase, siendo propiedad del titular del establecimiento denominado almacen de Joyería T.T.T. C.B. ubicado en el piso 1º izquierda de la primera planta, donde se ven las imágenes captadas en un monitor de TV, no pudiendo ser grabadas … se comprobó la existencia de un cartel anunciador con la siguiente inscripción "zona videovigilada" (...)"

¿Y qué dirán que hizo la Agencia? Pues sancionar por incumplimiento del artículo 5 de la LOPD. En opinión de la Agencia, la reproducción de imágenes a tiempo real, aunque éstas no se graben, suponen un tratamiento de datos personales desde el punto de vista de la instrucción 1/2oo6 y de la LOPD. Sin embargo, este tratamiento no genera un fichero, y en este sentido, el art. 7.2 de la instrucción determina: "A estos efectos, no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real".

"En consecuencia, -
explica la resolución - al amparo de lo dispuesto en los artículos 3 y 7.2 de la Instrucción 1/2006, la utilización de sistemas de videocámaras con fines de seguridad, que no graban imágenes, constituyen un tratamiento de datos que obliga a informar del mismo, pero no genera ningún fichero.

Respecto al modo de ejercitar los derechos de acceso, rectificación, cancelación y oposición de los afectados, cualquier afectado podrá ejercitar sus derechos ante el responsable del fichero y éste deberá en todo caso atenderlos y responderlos, dado que así lo indica lo dispuesto en la norma segunda punto tercero de la Instrucción 1/1998, de 19 de enero, de la Agencia Española de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación y cancelación, donde se señala que "El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud (…). En el caso de que no disponga de datos de carácter personal de los afectado deberá igualmente comunicárselo en el mismo plazo".

Coincidimos con la Agencia en que los tratamientos de datos se encuentran dentro del ámbito de aplicación de la Ley (de hecho, su ámbito de aplicación se define en relación a tratamientos, no a ficheros), pero ¿no les parece ridículo que se obligue a informar en este caso de la posibilidad de ejercicio de derechos? ¿Por qué cuando se redactó la Instrucción 1/2006 no se pensó en un anexo específico para el supuesto de las cámaras que no graban imágenes, supuesto muy común en la práctica? Y ya puestos, que nos explique Monsieur le Directeur qué obligaciones deben cumplirse respecto a los tratamientos que no generan ficheros.

martes, 21 de octubre de 2008

¡Oh, los compromisos de confidencialidad!

A aquellos obsesionados con hacer firmar compromisos de confidencialidad a todo el peronal con acceso a datos , les interesará leer el Informe 346/2008 de la AEPD, y en concreto el párrafo que dice:

"La segunda y tercera cuestión está íntimamente conectada con la anteriormente señalado, dado que el deber de confidencialidad y secreto se ha de cumplirse por todos aquellos que tratan datos de carácter personal sin necesidad de formalizar un contrato específico sobre dicho extremo pues así lo establece el artículo 10 de la Ley Orgánica15/1999".

Este tipo de acuerdos resultan inútiles si no se transmiten a los empleados instrucciones concretas sobre lo que se debe y lo que no se debe hacer en relación al tratamiento de los datos personales.

En mi vida profesional, me he topado con compromisos de confidencialidad que repetían textualmente el artículo 197 del Código Penal (¿qué pasa? ¿el Código Penal no es derecho imperativo y se requiere el acuerdo de las partes para exigir su cumplimiento?), pero que no incluían ninguna referencia a cuestiones tan importantes la prohibición de sacar sorportes o documentos de lo lugares de trabajo. No tiene sentido recoger en un contrato lo que la ley ya dispone que se cumpla de manera obligatoria.

Por mi parte, no me canso nunca de repetir a mis clientes que lo fundamental no es que el trabajador firme un contrato de confidencialidad de cuatro páginas, sino un "recibí" de la normativa interna de seguridad que se le entrega en el momento de iniciar su relación laboral con la empresa, reconociendo haberla leido y comprometiéndose a su cumplimiento bajo de pena de sanción disciplinaria.

En lugar de atemorizar al empleado con la posibilidad ir a la cárcel, hay que explicarle claramente cuáles son sus obligaciones, las consecuencias del incumplimiento, y por supuesto, dejar prueba de ello. "Recibís", correo electrónicos remitidos con recordatorios de obligaciones concretas, planes de concienciación sobre protección de datos, registros de asistencia a cursos sobre seguridad....todas estas evidencias podrán ser aportadas en un juicio, o ante la Agencia Española de Protección de Datos, para acreditar que los empleados de una compañía conocían cómo debían actuar.

sábado, 18 de octubre de 2008

La verdad sobre Google

Sé que muchos de Ustedes piensan que convierto cada uno de mis post en una hagiografía de Google y que este blog debería ser editado en formato papel por Ediciones Paulinas. Nada más lejos de la realidad...

Les dejo un link al vídeo que explica toda la verdad sobre la empresa: su Plan de Dominación Mundial, con subtítulos en español (para que el mensaje llegue también a los compañeros revolucionarios que, en lugar de aprender la lengua del imperialismo, optaron por estudiar Chino en el Colegio). Sí, irónicamente, se encuentra disponible en Youtube, pero existe una página oficial, muy cuidada, que pueden visitar aquí.

En Pixel and Dixel, encontrarán más información sobre el estupendo documental (Por cierto, está basado en el libro de este mes). También les recomiendo la lectura de un post antiguo de Microsiervos, que ofrece pruebas irrefutables del PDM de Google.

jueves, 16 de octubre de 2008

Lecturas sobre la Ley de Acceso

La Junta de Catilla y León ha redactado una Guía de Adaptación de las Entidades Locales a la Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos. Me ha parecido interesante para sistematizar y ordenar ideas sobre las obligaciones que impone la Ley. Además, resulta bastante práctica al contener ejemplos que muestran el tipo de Administración Electrónica desarrollada por los Ayuntamientos.

Esta publicación se incluye dentro de una colección de guías de calidad irregular (por ejemplo, la de protección de datos resulta bastante incompleta) pero indudable mérico en lo que a iniciativa se refiere, todas disponibles en la web "Red de municipios de Castilla y León".

Por otro lado, la Agencia de Protección de Datos de la Comunidad de Madrid ha preparado una recomendación sobre tratamiento de datos de carácter personal en servicios de Administración Electrónica (RECOMENDACIÓN 3/2008, de 30 de abril). Sin perjuicio de que en otro momento les comente su contenido con mayor detalle, les señalaré tan sólo unas pinceladas:
  • Considera la IP como dato de carácter personal en la línea de la interpretación que viene realizando la AEPD y el Grupo de Trabajo del artículo 29.
  • Indica que constituye un tratamiento de datos la utilización de “cookies” o cualquier tipo de mecanismo de seguimiento, con independencia del tipo de información que se almacene en las mismas, al poder vincularse con el usuario de un determinado dispositivo conectado a Internet y permitir obtener un perfil del mismo.
  • Fomenta el ejercicio telemático de derechos utilizando el e-DNI.
  • Regula el tratamiento de datos que se realiza en los CAPI (Centros de Acceso Público a Internet).
  • Recoge el contenido de las "políticas de privacidad" de las web de las Administraciones.
  • Marca pautas para el uso de foros, chats, suscripción a noticias y envío de SMS.
  • Introduce el concepto de PET (Tecnología de Protección del Derecho a la Intimidad).

En fin, si no pueden Ustedes dormir esta noche, empiecen a leerla.

martes, 14 de octubre de 2008

Anuncios

Hoy tengo dos importantes anuncios que haceles.

El primero es que, dado el interés demostrado por algunos de mis blogtores en el post de ayer, he decidido iniciar una serie dedicada a la publicidad realizada por e-mail. Como me gustan las cosas sencillas, originales y breves, la titularé: "Todo lo que siempre quiso saber sobre la publicidad por e-mail y nunca se atrevió a preguntar". No obstante, espero que sí se atrevan a preguntarme sus dudas en la dirección de correo que figura en la columna de la derecha. Trataré de dar respuesta a todas ellas durante las siguientes semanas.

En segundo lugar, les informo que Monsieur le Directeur ha decidido presentar incidente de nulidad de actuaciones frente a la sentencia del Tribunal Supremo relativa a la cancelación de datos recogidos en los libros bautismales. Por lo que se desprende de la nota informativa preparada al efecto, la Agencia justifica su próxima actuación en lo siguiente:

"La configuración del derecho fundamental a la protección de datos se ve vulnerada por la Sentencia como consecuencia de la interpretación que en la misma se efectúa del concepto de “fichero”, que limita en gran medida la doctrina del Tribunal Constitucional en relación con el ámbito de aplicación de las garantías otorgadas por el artículo 18.4 de la Constitución.
La Sentencia, al negar el carácter de ficheros a conjuntos de datos “ordenados” con arreglo a un determinado criterio que permita la accesibilidad a los mismos, puede implicar una grave restricción del propio derecho fundamental, aplicable no sólo al supuesto enjuiciado, sino a otros posibles supuestos que se planteasen al Tribunal en el futuro, en que en aplicación de dicha doctrina, el Tribunal podría llegar a valorar si incluso, existiendo un “conjunto ordenado de datos”, dicho conjunto tiene efectivamente la condición de fichero, negando tal condición a conjuntos de datos respecto de los que efectivamente debe operar la garantía del derecho fundamental a la protección de datos."

Tengo pensado dedicar un post al comentario detallado del ejercicio del derecho de cancelación en relación a los libros bautismales, tema que me interesa también como ejemplo de activismo relacionado con las nuevas tecnologías.

Desde luego, llaman la atención las cifras ofrecidas por la Agencia: 650 resoluciones en procedimientos de tutelas de derecho referidas a la solicitud de cancelación de datos en libros de bautismo y 556 solicitudes de tutela de derechos pendientes de resolución. Da qué pensar, sobre todo en lo que relativo a la utilización de las garantías previstas para la defensa de un derecho fundamental para fines ajenos a dicho derecho en el marco de campañas organizadas de presión, que la Agencia, en lugar de parar, fomenta. Pero en fin, "ne jugez pas", como diría André Gide.

Les adelanto que lo fundamental, en mi opinión, no es si los libros bautismales son o no ficheros, sino el análisis de la naturaleza del derecho de cancelación en este supuesto concreto. Suscribo palabra por palabra lo que la Sentencia del Supremo, cuyo texto completo pueden leer aquí, indica en su Fundamento de Derecho cuarto:

"Pero es que a mayor abundamiento no cabría estimar tampoco aplicable el art. 4.3 de la citada Ley, en que se funda el acto administrativo impugnado y se confirma por la Sentencia.
Ese precepto señala que los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. Pues bien, en los Libros de Bautismo no cabe apreciar ninguna inexactitud de datos, en cuanto en los mismos se recoge un dato histórico cierto, salvo que se acredite la falsedad, cual es el referente al bautismo de una persona y cuando esta solicita la cancelación de ese hecho, no está pretendiendo que se corrija una inexactitud en cuanto al mismo, sino que en definitiva está intentando y solicitando un sistema nuevo y diferente de registro de nuevos datos personales."

Les dejo sumidos en esta profunda reflexión, mientras yo me apresuro a meterme en la cama para ver "Los paraguas de Cherburgo".

lunes, 13 de octubre de 2008

¿Cuándo se pueden enviar correos electrónicos publicitarios a personas jurídicas?

Hoy en el trabajo he tenido dos consultas sobre este tema y ya no sé cómo explicar que aunque el e-mail no pertenezca a una persona física no se puede utilizar para remitir publicidad (por ejemplo, los típicos buzones informacion@empresa.bbb que aparecen en todas las páginas web).

Si la empresa en cuestión es su cliente, y siempre que hubiera obtenido el correo electrónico lícitamente, podrá remitirle información sobre productos y servicios de su propia empresa relacionados con los que su cliente hubiera contratado. En todo caso, habrá que habilitar un procedimiento que permita oponerse al tratamiento de manera sencilla y gratuita, de ahí que muchos e-mails de publicidad contengan una leyenda del tipo: "Si no desea recibir más nuestro boletín pinche aquí".

En el resto de los supuestos, de acuerdo al artículo 38 de la LSSICE, el envío de publicidad por mail no autorizada o previamente consentida podría ser constitutivo de una infracción leve o grave:
  • Es infracción leve “el envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21 y no constituya infracción grave”. Está sancionada con multa de hasta 30000 euros.
  • Es infracción grave “el envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21”. Está sancionada con multa de 30.001 hasta 150.000 euros
¿Qué significa que el correo se haya obtenido lícitamente? En mi opinión, supone que el correo habrá de haberse facilitado como dirección de contacto entre las partes. Supongamos que un cliente pone copia de un correo que le envía a dos directores de departamento para que tengan constancia de su contenido. No sería lícito utilizar los e-mails de esas personas puesto que se han conocido en una circunstancia concreta y para una finalidad determinada. Enviarles publicidad podría fácilmente constituir una vulneración de la LOPD.

¿Y qué pasa con los datos de las personas de contacto que quedan fuera del ámbito objetivo de aplicación del nuevo reglamento sobre protección de datos? ¿Se sancionan de acuerdo a la LOPD o a la LSSICE? Considero que ésta resulta una conducta sancionable de acuerdo a la LOPD, puesto que el tratamiento de los datos de las personas de contacto tienen una finalidad concreta, y si se desvía de esa finalidad, pierden su condición de dato de contacto para ser simples datos de carácter personal.

sábado, 11 de octubre de 2008

El fin justifica los medios

Como saben, me atrae y asusta a partes iguales que la Agencia haya decidido tutelar el derecho de cancelación o de oposición que se ejerza frente a Google.

Los buscadores se limitan a indexar información que se encuentra disponible en otras webs. No son responsables de la puesta en línea de datos de carácter personal. Si el derecho de cancelación y de oposición sólo pueden ejercerse ante el responsable del fichero, aún admitiendo que las páginas webs sean ficheros, ¿cómo se justifica desde el punto de vista de la LOPD que un buscador resulte responsable de un fichero sobre el que tiene ninguna capacidad de decisión?.

Leyendo la "Declaración para buscadores de Internet", encuentro el siguiente razonamiento:

"Aunque el tratamiento de los datos de los usuarios pueda estar legitimado por las necesidades inherentes a los servicios de búsqueda, ello no excluye que deban garantizarse, a solicitud de su titular, el ejercicio de los derechos de acceso, rectificación, cancelación y oposición que la LOPD les reconoce.
Sin embargo, en el ámbito de los servicios de búsqueda adquiere una relevancia especial la tutela de los derechos de aquellas personas a cuyos datos puede accederse como consecuencia de las búsquedas realizadas.
Estas personas pueden no ser usuarios del servicio de búsqueda y, pese a ello, sus datos pueden ser conocidos por cualquiera como consecuencia de la captura de información disponible en Internet que realizan los motores de búsqueda y de la indexación que ofrecen a los usuarios para facilitar un acceso selectivo a la misma.
Aunque la incorporación inicial de esta información personal a la red “pueda estar legitimada en origen, su mantenimiento universal y secular en Internet puede resultar desproporcionado”.
Las personas deben disponer de instrumentos de reacción para evitar, por su propia iniciativa, ser objeto de exhibición global.
La LOPD ha venido a dotar a los ciudadanos de esos instrumentos de reacción, fundamentalmente a través de los derechos de cancelación de los datos y de oposición a su tratamiento, que tienen como objeto que éste no se lleve a cabo o se cese en el mismo.
Por su parte la LSSI califica los servicios de búsqueda como servicios de intermediación en los que el prestador del servicio no es, en principio,responsable de los contenidos informativos a los que facilita el acceso, si bien, debe eliminarlos o impedirlo a requerimiento de un órgano competente que cuestione su licitud.
De este modo, la LSSI ha reforzado las posibilidades de ejercicio de estos derechos permitiendo a la AEPD formular aquellos requerimientos.
En el caso de los servicios de búsqueda el ejercicio de estos derechos ofrece algunas peculiaridades.
En efecto, en la medida en que la actividad de los buscadores se centra, principalmente, en asociar los términos de la búsqueda a los sitios web en los que consta esta información, el ejercicio de los derechos de cancelación u oposición debería estar asociado a un ejercicio correlativo de tales derechos frente a los responsables de estos sitios web, que son quienes, en origen, permiten el acceso a la información personal.
De no ser así, si el buscador cancela los datos o impide su acceso, un posterior rastreo del motor de búsqueda volvería a permitir el acceso a la información.
Sin embargo, hay ocasiones en que el responsable del sitio web pueden estar obligado a mantener la información (p. ej. por exigencia legal), sin que esta obligación sea exigible al responsable del servicio de búsqueda.
En estos casos, el primero deberá mantener la información en Internet, mientras que el segundo puede no estar sujeto a una exigencia equivalente."

Todo esto está muy bien, pero yo me pregunto, y les pregunto a todos:
  • ¿En base a qué artículo de la LOPD se ejerce el derecho de cancelación o de oposición frente al buscador y por qué lo tutela la Agencia, sobre todo si ese derecho no se ha ejercido con anterioridad frente al responsable de la web o existe un deber de éste de mantenimiento de la información en línea?
  • ¿Desde cuándo le ha atribuido la LSSICE a la AEPD la potestad de decidir cuándo un prestador de servicios de la sociedad de la información debe retirar contenidos de su página web?
  • ¿Desde cuándo debemos tener en cuenta su interpretación de quién es la autoridad competente?
  • ¿Qué norma ha incumplido el buscador, la LSSICE, la LOPD o la Ley 41/2002, otra norma en base a la que la AEPD se ha arrogado nuevas competencias?
Al parecer, los derechos del interesado sirven lo mismo para un roto que para un descosido. Coincido con la necesidad de evitar que los datos de una persona se distribuyan por Internet sin el consentimiento y control del interesado, pero resultaría deseable que para conseguir esta finalidad la AEPD no utilizara como medio una argumentación jurídica tan ramplona. Así, sólo fomenta la discrecionalidad.

miércoles, 8 de octubre de 2008

Piénsalo dos veces

No sé si se han dado cuenta: No pasa día sin que en las secciones de tecnología de los periódicos y en los blogs sobre la materia aparezca una noticia sobre Google. Esto se debe a que, a pesar de ofrecer la mayor parte de servicios de manera gratuita, siempre están innovando y tratando de mejorarlos. Es decir, han comprendido mejor que nadie lo que podría ser el lema de Internet: La gratuidad no está reñida con la calidad. Para ganar dinero en la red, no hay que cobrar por lo que ofreces, sino adquirir reconocimiento y mantenerlo.

La "noticia Google" de hoy la he encontrado en El Catalejo. Google ha ideado un sistema, una especie de "filtro de seguridad", que te permite pensarte dos veces si quieres enviar tu e-mail. Consiste en una pantalla que durante un máximo de 60 segundos te obliga a efectuar operaciones matemáticas sencillas -para que te relajes- antes de ejecutar la orden de envío. Por defecto, se activará sólo los fines de semana de madrugada.

Para más información, lea la explicación del blog oficial de Gmail aquí.

lunes, 6 de octubre de 2008

Lecturas recomendadas

En el post de hoy, les voy a indicar algunas lecturas que quizás sean de su interés. Tenía pensado comentarles con detalle la Sentencia del Supremo sobre la cancelación de datos en los Libros de Bautismo Parroquiales, pero el Frenadol que estoy tomando de contrabando ( es decir, sin receta médica, cortesía de Paco, abogado y camello) me impide desarrollar un pensamiento lógico complejo.

En primer lugar, les informaré de que ha aparecido el nuevo número de la Revista Datos Personales, editada por la Agencia de la Comunidad de Madrid (número 35, septiembre de 2008). No he leído ninguno de los artículos que incluye. A primera vista, ninguno me llama la atención. Sí les recomiendo echar un vistazo a las secciones de "Temas de Actualidad" y "Jurisprudencia".

La revista "Minerva" del Círculo de Bellas Artes de Madrid (IV Época 09 2008), que me acabo de pasar a recoger a pesar de mi precario estado de salud, incluye una sección sobre Conocimiento Libre. Deben Ustedes saber que el Círculo de Bellas Artes ha organizado recientemente un ciclo de conferencias denominado "Dominio abierto. Conocimiento libre y cooperación", bajo la dirección de Igor Sádaba. Los trabajos publicados son los siguientes:

- "El P2P: ¿más allá del capitalismo? Entrevista con Michael Bauwens". Igor SÁDABA.
- "La Red social y sus contratos sociales". Michael BAUWENS.
- "La fibra oscura en un mundo nuevo. Entrevista con Geert LOVINK".
- "De cómo los derechos de autor deberían cambiar para ajustarse a la tecnología". Cory DOCTOROW.

Para más información, escuchen los podcasts antiguos de Radio Libre dedicados al tema aquí.

Por último, les recomendaré tres libros de la editorial Van Haren sobre seguridad de la información y eso que se llama "Governanza":

- Information Security based on ISO 27001/ISO 17799: A management Guide.
- Implementing Information Security based on ISO 27001/ISO 17799: A management Guide.
- Risk Management: A Management Guide, based on M_o_R.

Al módico precio de 20,75 € cada uno, los encontrarán en la Librería El Cocodrilo (si no disponen de ellos, se los pedirán por encargo).

domingo, 5 de octubre de 2008

Libro del mes (Octubre)

VISE, David A. y MALSEED, Mark: Google. La Historia. Los secretos del mayor éxito empresarial, mediático y tecnológico de nuestro tiempo. La esfera de los libros. Madrid, 2006.

El libro de este mes nos cuenta la historia del "mejor motor de búsqueda del mundo", página de inicio de inicio de millones de personas, para muchas de las cuales navegar por Internet es sinónimo de buscar en Google .

Muy ameno, escrito con un estilo rápido, quizás demasiado elogioso, nos les costará esfuerzo leer sus poco más de 350 páginas.

Incluye breves biografías de Brin y Page antes de conocerse. Ambos provienen de ambientes académicos familiarizados con las matemáticas y las nuevas tecnologías. Al parecer, los fundadores de Google veían más importante terminar sus respectivas tesis doctorales que ganar dinero con sus descubrimientos. Me ha hecho gracia como uno de sus antiguos compañeros de Stanford los definió como "tonti-inteligentes". La verdad, dan esa imagen (sobre todo si ven una de las fotos de la obra, en la que aparecen jugando con un patinete), y probablemente resulten insoportables en persona.

En el libro se enterarán de muchas curiosidades, como la procedencia del nombre "google", que también cuenta Sergey Brin en su blog, Too. Por cierto, Brin y Page, siguiendo la tradición, instalaron las primeras oficinas de Google en un garaje con jacuzzi. Como ven, los garajes se han convertido en la habitación propia de V. Woolf para informáticos.

Espero que les guste.

sábado, 4 de octubre de 2008

Comparecencia del Director de la AEPD en el Congreso

El pasado 1 de octubre, el Director de la Agencia compareció ante la Comisión Constitucional del Congreso de los Diputados. En su exposición, resaltó dos temas a los que hemos dedicado especial atención en este blog:
  • El derecho al olvido y el tratamiento de datos en Internet. En este punto, se refirió no sólo al papel desempeñado por los buscadores como Google, que fueron objeto de una inspección de oficio durante este año, sino también a los malos hábitos en el uso de las herramientas tecnológicas. Así, comentó diferentes procedimientos sancionadores incoados al haberse encontrado archivos con datos personales compartidos por error en e-mule. También habló de supuestos de imágenes difundidas a través de Internet, indicando que "todos debemos respetar el derecho de las personas a que su imagen no se difunda universalmente en Internet sin su consentimiento". Por una vez, estoy de acuerdo con la Agencia.
  • La necesaria gestión del papel en las organizaciones. "Los retos de la protección de datos- dijo el Señor Rallo- no se limitan al entorno tecnológico. Siguen constatándose flagrantes vulneraciones del derecho a la protección de datos por conductas tradicionales como, por ejemplo, el abandono de documentación con datos personales en formato papel en la vía pública o en contenedores de basuras. (...)Es una negligencia común a Administraciones públicas y entidades privadas. Y nuestra preocupación aumenta al constatar que de los ficheros inscritos en la Agencia, el 70% son manuales (en papel) y sólo el 30% son exclusivamente automatizados".
El texto completo de la exposición está disponible en la web de la Agencia . Si se encuentran Ustedes en un estado tan lamentable como yo a consecuencia del primer resfriado de la temporada Fall-Winter 2008 y les cuesta trabajo leer, les alegrará saber que pueden ver el vídeo en diferido de la comparecencia, donde escucharán a Monsieur le Directeur en carne mortal contando las perspectivas sancionadoras para el año que viene.

viernes, 3 de octubre de 2008

Destruir sin criterio

He recibido la e-newsletter de Cybex (nº 42, octubre de 2008), donde aparece un breve pero interesante artículo de Pedro Luis HUGUET TOUS. En él, analiza los documentos que se pueden presentar como prueba en un juicio, realizando un resumen clarificador:

"A la hora de definir los documentos a presentar durante un proceso probatorio, la LEC hace una clasificación del documento electrónico como un documento aparte del documento público o privado, distinguiendo:

• Documento público: (regulado por el art. 317 y ss) que constituye prueba plena y es considerado siempre válido.

• Documento privado: (regulado por el art. 324 y ss), que constituye prueba plena y se considerará válido únicamente cuando las partes no lo impugnaren.

• Documento electrónico: La LEC subdivide el documento electrónico en dos categorías;

- los documentos firmados electrónicamente que se encuentran al amparo de lo establecido en el art. 3 de la Ley de firma electrónica ( art. 326.3 de la LEC).
- cualquier otro documento electrónico (sms, correo electrónico, documento word,vídeo, grabación) estará sometido a la sana crítica del juez. Art. 382 de la LEC."

Seguidamente, nos hace pensar en la paradoja que supone que un testamento en papel con firma manuscrita tiene validez siempre que la parte contraria no lo impugne, y sin embargo un video en el que aparece el difunto relatando sus últimas voluntades será libremente valorado por el juez. En efecto, no parece adecuada la diferente calificación que tienen estos dos documentos en el proceso cuando a cualquier persona le resulta más fiable el segundo. Confiemos en el sentido común del juez.

Yo añadiría una segunda reflexión destinada a aquellas empresas obsesionadas con eliminar el soporte papel de sus oficinas: Antes de escanear y destruir valore la importancia del documento que destruye. Los documentos electrónicos resultado de escanear un original, aunque el proceso de escaneo incluya firma electrónica, ni entran dentro del grupo del artículo 3 de la Ley de firma electrónica (porque no han sido firmados electrónicamente por el emisor del documento), ni tienen la consideración de documento original. El original es el papel que tras el proceso han desechado.

miércoles, 1 de octubre de 2008

Más sobre el derecho al olvido

Hace poco, les informaba de una nueva resolución de la Agencia en la que se obligaba a Google a hacer efectivo el derecho de un interesado que no quería aparecer en los resultados de las búsquedas. Como les decía, la argumentación de ésta y otras resoluciones similares se basa en el derecho al olvido, que choca frontalmente con Internet, donde todo permanece eternamente en un "mar de los sargazos" virtual (discúlpenme la cursilada; es que el derecho al olvido me parece tan evocador que no he podido reprimir una metáfora de saldo).

La puesta en línea de boletines oficiales, combinada con los potentes motores de búsqueda de Google, ha hecho posible que datos que son fuentes accesibles al público, que precisamente se publican para darlos a conocer, tengan una difusión mayor de la deseada, y sobre todo, más perdurable. Reconozca que de vez en cuando pone su nombre en el cajetín de un buscador. Todos lo hemos hecho. Una persona multada o embargada puede comprobar como uno o varios enlaces al boletín oficial en el que aparece su "tacha" constan como resultado de las búsquedas de su nombre en Google. Pues bien, en opinión de la Agencia, no es aceptable que esto suceda, y tutela el derecho de cancelación que se ejerza tanto ante el buscador (lo cual, en mi opinión, podría ser discutible), como ante el responsable de la página.

La Agencia de Protección de Datos de la Comunidad de Madrid también ha tutelado el derecho de cancelación en supuestos similares, pero ante las administraciones responsable de poner en línea un boletín oficial. Consciente de la repercusión que puede tener el ejercicio del derecho de cancelación en estos supuestos y del interés público que supone controlar lo que se sube a la red, ha aprobado una recomendación al respecto: Recomendación 2/2008, sobre publicación de datos personales en boletines y diarios oficiales en Internet, en sitios web institucionales y en otros medios electrónicos y telemáticos.

La recomendación cuenta con un preámbulo muy interesante donde se expone la opinión que ha venido manteniendo la Agencia sobre publicación de datos personales en Interner en distintos foros, informes y resolución. Me quedo con esta reflexión, aunque les recomiendo leerlo en su totalidad con detalle:

"Este planteamiento del legislador limita mucho en nuestro país el acceso a información administrativa y la publicación a iniciativa de la Administración ya que no existe una habilitación legal clara que permita la cesión de datos personales sin un interés legítimo y sin consentimiento del interesado en beneficio del principio de transparencia administrativa. Es decir, la LOPD no contempló como límite al derecho fundamental a la protección de datos personales un derecho de acceso a información administrativa sin interés legítimo ni previó una publicación generalizada de información administrativa con datos personales a instancias de la Administración. Este panorama legal en España es consecuencia, aunque solo sea parcialmente, de la Directiva Comunitaria 95/46/CE, de la que la normativa española es transposición, que tampoco contempla el acceso a documentos públicos como límite al derecho fundamental a la protección de datos personales ya que únicamente señala en el Considerando 72 “que se tenga en cuenta el principio de acceso público a los documentos oficiales a la hora de aplicar los principios expuestos en la presente Directiva”."

Como en otros muchos casos, como hizo con su recomendación sobre tratamiento de historias clínicas no informatizadas, o con la publicación de modelos de documento de seguridad en su web, la Agencia de Protección de Datos de la Comunidad de Madrid marca el camino por el que debería seguir la Autoridad Nacional.