jueves, 30 de julio de 2009

Libro del mes (Julio-Agosto)

PLAZA PENADÉS, Javier: Propiedad Intelectual y Sociedad de la Información. Thomson Aranzadi. Elcano (Navarra), 2002.

El libro de este mes aborda en aproximadamente 250 páginas (sin contar anexos normativos) distintos problemas relacionados con la propiedad intelectual en Internet.

Les advierto que es del 2002, por lo que no recoge las últimas novedades en esta materia (directiva sobre protección del software, últimas tendencias legislativas, como la Ley Hadopi, o jurisprudenciales,etc...). Sí podrán encontrar una breve introducción a la regulación de los derechos de autor en España (Capítulo II) y en Europa (Capítulo IV). Incluye algunas observaciones interesantes sobre protección de páginas webs y responsabilidad por utilización de links.

No se trata de una estudio definitivo, pero desde luego no estará de más en su biblioteca.

domingo, 26 de julio de 2009

Lecturas de verano

Como todos los veranos, Ad Edictum se permite recomendarles las mejores lecturas para el tiempo de relax. Apúntense de momento estas dos:
  • El nuevo número de la revista de la OMPI, disponible aquí.
  • El libro El Código 2.0, de Lawrence Lessig, que puede dercargarse gratuitamente aquí.

jueves, 23 de julio de 2009

Monsieur le Directeur en su laberinto (II)

En la jornada del lunes pasado, le preguntaron a Monsieur Rubí en qué infracción encajaba el incumplimiento de la supuesta obligación de consulta de la Lista Robinson de la FECEMD. Monsieur respondió que sería una temeridad por su parte indicar en cuál sería la infracción típica en este caso. Apuntó que constituiría, por ejemplo, un tratamiento de datos sin consentimiento del interesado. El abanico es enorme, dijo. Y cito de memoria: "El abanico dependerá de lo que acabe pasando en este mundo".

Nuestra sugerencia es que la AEPD aproveche el cajón de sastre del art. 44.3.d), que determina que constituye una infracción grave: "Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave."

Al parecer, la FECEMD ha recurrido el art. 49 del reglamento de desarrollo de la LOPD. Según dijeron, no les parece adecuado que la consulta de su Lista Robinson sea obligatoria. Si tan mal les parece esto, desde aquí les ofrezco una solución pragmática que acabará con el dilema moral que se les plantea al tener que acatar una ley injusta: Que finalicen la prestación del servicio de Lista Robinson hasta que se resuelva el recurso. ¿No les parece lo más lógico?

Buenas noches.

martes, 21 de julio de 2009

Monsieur le Directeur en su laberinto (I)

El lunes asistí con asombro a la jornada divulgativa (o lo que sea) que ofreció la FECEMD para informar sobre su reinventado servicio de Lista Robinson. Con la asistencia de Monsieur Rubí, Adjunto al Director de la AEPD, se indicó que la consulta de dicha lista, mantenida por una asociación privada, es OBLIGATORIA para todos aquellos que vayan a remitir publicidad a personas físicas que no sean sus clientes (por ejemplo, en caso de datos obtenidos de fuentes accesibles al público) por correo postal, correo electrónico, teléfono, sms y mms. También se deberá consultar para realizar publicidad por teléfono a los propios clientes.

Al parecer, esta obligación deriva del art. 49 del nuevo reglamento, dedicado a ficheros comunes de exclusión.

El servicio NO ES GRATUITO para las empresas. Sí lo es para los titulares de los datos, los afectados. A las empresas, eso sí, se les permite graciosamente la descarga de 100 registros sin pago a la Asociación. Ya me dirán para qué sirve esto.

Una guapa e inteligente señorita le preguntó a Monsiuer Rubí por qué esto era así, por qué se tenía que pagar un abono anual de alrededor de 500 euros, que si no sería más lógico que esta Lista la gestionara la propia Agencia de manera gratuita.

Monsiuer Rubí le respondió que el precio del servicio estaba orientado a costes, que utilizara la opción de los 100 registros, y que si esto era poco para los registros que manejaba su empresa en los envíos, tuviera en cuenta que nadie la obligaba a mantener una base de datos de 20.000 registros. Tampoco obliga nadie a vender coches, a construir casas, a montar una heladería...

Lean, si se encuentran con ánimo, el reglamento de esta Lista Robinson, disponible en https://www.listarobinson.es/.

Paco está indignadísimo. Y con razón.

Buenas noches.

martes, 14 de julio de 2009

Y qué pasa si.....

Al hilo de mi último post, varios blogtores me han preguntado qué ocurre si el encargado del tratamiento presta el servicio en sus propias oficinas, y en concreto, si el fichero se encuentra alojado en su sistema informático. Por ejemplo, una gestoría lleva las nóminas de la empresa X con un programa informático instalado en sus ordenadores. La empresa X no accede en ningún caso a la base de datos generada con dicha aplicación ¿Quién tiene que registrar el fichero? ¿Hay que incluirlo en el documento de seguridad de la empresa X?

El fichero debe registrarlo siempre el responsable (en este caso, la empresa X). Por otro lado, en el documento de seguridad de la Empresa X, debe figurar una mención a que dicho fichero se encuentra ubicado fuera de los locales de la empresa y el encargado del tratamiento es la gestoría. En correlación con esto, la gestoría, que es encargado del tratamiento y se compromete al cumplimiento de las medidas de seguridad, ha de incluir el fichero en su documento. Esto implica que en el uso del mismo se seguirán procedimientos, normas y estándares establecidos en la oficina.

jueves, 9 de julio de 2009

Et voilà!: Un modelo de cláusula de encargado del tratamiento

El art. 12 de la LOPD determina que el acceso a datos necesario para la prestación de un servicio debe estar regulado en un contrato que conste por escrito o en alguna otra forma que permita acreditar su celebración y contenido.

Si entre el responsable del fichero y el encardo del tratamiento se ha firmado un contrato de prestación de servicios, bastará con incluir una cláusula sobre protección de datos en el mismo.

Aquí les dejo un ejemplo muy sencillo. Imaginemos que se trata de una librería on-line que contrata a una empresa de informática para que desarrolle una plataforma de gestión a clientes a medida y migre los datos de la antigua aplicación a la nueva. El trabajo se realizará en las oficinas del cliente:

"En la prestación de los servcios de desarrollo de software, el PRESTADOR deberá acceder a los ficheros de datos de carácter personal de los que el CLIENTE es responsable. Por lo que respecta a dicho acceso, el PRESTADOR tendrá la condición de ENCARGADO DEL TRATAMIENTO y seguirá en todo caso las instrucciones marcadas por el CLIENTE.

No aplicará los datos a finalidades distintas de los servicios acordados, ni los comunicará a terceros sin autorización expresa y por escrito del CLIENTE.

Todos los trabajadores y colaboradores del PRESTADOR asignados al proyecto deberán respetar la normativa interna y protocolos de seguridad del CLIENTE, y especialmente, el documento de seguridad corporativo. Se les hará entrega de una copia de aquellas procedimientos incluidos en el mismo que les afecten en el desarrollo de sus funciones. El PRESTADOR se compromete a sustituir, sin coste para el CLIENTE, a aquellos trabajadores que incumplan dicha normativa de seguridad.

Una vez finalizado el servicio, el PRESTADOR no podrá conservar en su poder ninguna copia de los datos personales a los que haya accedido, debiendo devolver de las que disponga. En caso de que considere necesario conservar alguna para acreditar el servicio prestado, podrá hacerlo previa solicitud expresa y por escrito al CLIENTE."

lunes, 6 de julio de 2009

La diferencia entre el art. 11.2.c) y el tratamiento de datos por encargo

Como sin duda saben, la LOPD dispone que la cesión de datos precisa del consentimiento del interesado salvo en los supuestos recogidos en su art. 11.2. Entre estas excepciones, se encuentra la que determina que no será necesario el consentimiento del interesado cuando la cesión "responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros".

Ustedes pueden pensar que no hay diferencia entre este artículo y el archicitado art. 12 LOPD, que regula la figura del encargado del tratamiento. Pues bien, hoy veremos cuándo se aplica uno y otro.

El art. 12 sólo entra en juego cuando existe un tipo concreto de acuerdo entre las partes, que se corresponde con el contrato de prestación de servicios de nuestro Código Civil (cada vez me convenzo más que hablar de outsourcing es una horterada). Además, regula exclusivamente el acceso a datos en una dirección, del responsable del fichero al encargado del tratamiento. En estos casos, la ley dice que no existe cesión (no es necesario ni informar ni recabar el consentimiento) y siempre que se firme un contrato con un contenido específico (recogido en el mismo art. 12, y al que dedicaremos nuestro siguiente post).

Frente a esto, el art. 11.2.c) no se refiere a ningún tipo de contrato en concreto. De hecho, habla de relación jurídica en general (ni siquiera sería necesaria la existencia de contrato) y no fija una dirección específica en el tránsito de los datos. Por ejemplo, imagínenese que una empresa (llamémosla A) contrata a otra para que le preste un servicio de desarrollo y mantenimiento de aplicaciones que implica el acceso a ficheros de datos personales. La empresa A firmará un contrato del art. 12 con su proveedor informático, que legitima el acceso que éste realice a las bases de datos de A. Sin embargo, A exige conocer el nombre y el cv de los trabajadores del prestador asignados al proyecto....Esa comunicación de datos no puede ampararse en el art. 12, obviamente, porque quien solicita los datos es el cliente ¿La empresa debería solicitar el consentimiento de sus trabajadores para ceder los datos? ¿Y si se niegan? En este caso, se aplica el art. 11.2.c). Se trata de una cesión de datos, pero exceptuada del consentimiento. Por cierto, de acuerdo al art. 27 LOPD, también se encuentra exceptuada de la necesidad de informar al interesado.

Así que ya ven, al final, en el caso del 11.2.c) no hay que informar ni solicitar el consentimiento, ni firmar un contrato de tratamiento de datos por encargo. Resulta mucho más sencillo.

Buenas noches.

jueves, 2 de julio de 2009

Se ha puesto de moda...

....Informar a los menores de los peligros de las redes sociales. A la guía de la Agencia Española de Protección de Datos, que lleva el título social demócrata de "Derechos de niños y niñas-Deberes de padres y madres", se suma:

- El portal para adolescentes y educadores KONTUZDATOS.

- Los manuales de buenas prácticas en el uso de las tecnologías para jóvenes elaborados en colaboración con la Comisión de Libertades de Informáticas, disponibles aquí y aquí.