viernes, 30 de diciembre de 2011

Atraco a las tres

Les invito a leer la resolución R/02348/2011. Les va a parecer de lo más interesante.

Lo primero que les sorprenderá es que el procedimiento se refiere a unas actuaciones inciadas de oficio en 2006, en relación a hechos acaecidos dos años antes. En concreto, se investiga una denuncia presentada por un particular y que se refiere a hechos ya publicados en un artículo de la revista “Mercado del Dinero”. En él, se informaba de la aparición de diversa documentación de clientes del Banco Bilbao Vizcaya Argentaria, S.A. en un contenedor de basuras de una céntrica calle de Madrid.

Se trataba de documentación relativa a trámites de gestión hipotecaria de los que se encargaba una empresa contratada por el BBVA para llevar a cabo dichas tareas. Esta empresa sufrió un robo en sus oficinas, que fue denunciado el mismo día que se produjo. Supongo que la historia les suena. Pero créanme, en esta resolución, descubrirán elementos novedosos.

El colaborador de la publicación que encontró la documentación en la calle, intentó extorsionar al BBVA, motivo por el fue denunciado. Debemos resaltar que esto se produjo después de la aparición del artículo en "Mercado de Dinero", sin que esta entidad participara de ninguna forma, cuando el extorsionador ya no formaba parte de su plantilla.

Monsieur le Directeur, acordó suspender el procedimiento sancionador, en cumplimiento del art. 7 del Real Decreto 1398/1993, hasta que recayera resolución judicial. La sentencia firme que se comunica en 2011 a la AEPD y se reproduce en parte en el documento de la Agencia, se pronuncia en los siguientes términos:

"Se declara probado que el acusado (…), mayor de edad y sin antecedentes penales, en su condición de Director de “Extraconfidencial.com”, con ánimo de lucro, contactó en tres ocasiones con C.C.C., empleado del BBVA del área de comunicación e imagen, teniendo lugar dos de ellas a finales de mayo y principios de junio del año 2.006. En Ia última reunión, que tuvo lugar el día 1 de junio de 2.006 y fue grabada sin conocimiento del acusado, este exigió a C.C.C. que se comprometiera, en nombre del BBVA, bien al pago de la cantidad de 72.000 euros o, alternativamente, a Ia contratación de espacios publicitarios en la revista “ “Extraconfidencial.com” por el mismo importe, a cambio de la entrega de una serie de expedientes con datos de carácter personal de clientes del BBVA que obraban en su poder, manifestándole que en el caso de no ser atendido dicho requerimiento procedería a iniciar las acciones pertinentes ante la Agenda Española de Protección de Datos, por Ia pérdida por parte del BBVA de dichos expedientes, con vulneración de las normas de guarda, custodia y seguridad de documentos, así como a la publicación de esta noticia en la revista “ Extraconfidencial.com” con la consiguiente repercusión mediática, que resultaría perjudicial para la credibilidad del BBVA. El acusado, con Ia finalidad de presionar y apremiar al BBVA, para que aceptara su propuesta envió distintos correos electrónicos a C.C.C., informándole del contenido de Ia reunión que habla mantenido con H.H.H., empleado de la Agencia Española de Protección de Datos y de las sanciones que podrían imponerse al BBVA por dicha Agencia por el extravío de documentación confidencial.

El origen de que dichos documentos llegaran a poder del acusado se encuentra en una sustracción acaecida en el mes de agosto del año 2.004 en la sede de la Gestoría Cibergestión Hipotecaria, S.L., entidad que prestaba servicios de gestión hipotecaria al BBVA, sustracción que fue denunciada en su día, sin que conste que el acusado participara en dicha sustracción ni tuviera conocimiento de la misma.

Así las cosas, el acusado viendo que su requerimiento no habla sido satisfecho envió un sobre a la Agencia Española de Protección de Datos que fue recepcionado el 15 de junio de 2.006, conteniendo en el mismo 17 folios relativos a los mencionados expedientes, iniciándose por la Agencia Española de Protección de Datos el procedimiento sancionador núm. PS/00125/2006 contra BBVA."

La Agencia Española de Protección de Datos, creo que con buen criterio, archivó la denuncia presentada contra el BBVA y Cibergestión Hipotecaria, su encargado del tratamiento. El argumento que da es que hay una setencia judicial firma que determina que los documentos fueron robados, y de acuerdo al artículo 7 del citado Real Decreto 1398/1993, "los hechos declarados probados por resolución judicial penal firme vinculan a los órganos administrativos respecto de los procedimientos sancionadores que sustancien".

Concluye Monsieur le Directeur: "Así habiendo quedado acreditado, de acuerdo con el contenido de la citada sentencia, que Cibergestión fue objeto de una sustracción y que la misma fue denunciada, no procede imputar a Cibergestión infracción alguna del art. 9 y 10 de la LOPD, procediendo el archivo de las presentes actuaciones frente a la citada entidad."

Creo que a más de unos les parecerá injusta esta resolución por apartarse de criterios mantenidos anteriormente por la Agencia. A mí, me parece que lo injusto es fomentar conductas que promueven la extorsión amparándose en los derechos fundamentales.

Intimidad y Justicia

San Agustín escribió que un estado sin Justicia no se diferencia en nada de una banda de ladrones. Bueno, él no utilizó el término "estado", ya que, como saben, éste es un hallazgo semántico que corresponde a Maquiavelo. Sin embargo, sus palabras no dejan de ser ciertas después de tantos años y tantos cambios en la organización política de nuestras sociedades.

Aunque sea muy difícil definir qué es la Justicia, y no voy a recurrir a definiciones clásicas, creo que todos coincidiremos en que implica tanto premiar los méritos como castigar lo incorrecto. Por eso, a veces decimos que "es de Justicia" que se reconozca a tal o cual persona su valía.

Ser justo no equivale siempre a castigar, sino a hacer lo correcto en cada situación. Cada vez más, en países de nuestro entorno, se habla de Justicia Social para referirse a las políticas que intentan mitigar desigualdades o permitir a las minorías integrarse. Es muy discutible, desde luego, pero para muchos resulta justa la discriminación positiva que obliga a reservar un determinado numero de plazas para minorías étnicas, o a nombrar a mujeres para ocupar puestos directivos.

Compartamos o no estas ideas, no podemos negar que la Justicia comprende otros valores, como la igualdad (ante la ley y de oportunidades), la dignidad o la honestidad, e implica la comprensión de las motivaciones y circunstancias de los otros.

En esto sí estaremos de acuerdo: todos los sistemas penales reconocen atenuantes y eximentes. Quien mata en defensa propia no debería recibir el mismo trato que quien lo hace para heredar una cuatiosa suma de dinero, con premeditación y alevosía. A un débil mental (expresión que siempre me ha encantado y que utilizo cada vez con más frecuencia) no se le puede exigir la misma responsabilidad que a aquél que conoce las consecuenias de sus actos.

Cuando se aplica rigurosa y literalmente la ley, sin tener en cuenta todas las circunstancias, se corre el riesgo de actuar injustamente. Pero atención: Justicia no significa perdonar. El perdón, o en términos penales, el indulto, aparece como excepción una vez que "se ha hecho justicia".

Les diré algo que quizás les escandalice: No comparto la opinión de que las penas deban orientarse a la reinserción o la reeducación. Éstas pueden ser elementos accesorios y deseables, pero no forman parte de la Justicia. El castigo sí, y por ello constituye un fin en sí mismo. Si se prima la reinserción sobre el castigo, tendremos la sensación de que el criminal "no ha recibido lo que merece", como se suele decir.

También contribuye a la impunidad del delincuente no mostrar que la Justicia se ha hecho, no dar la adecuada publicidad al proceso y a la sentencia, sobre todo, si ello se hace por respeto a los derechos del castigado. No pretendo que el castigado pierda todos sus derechos civiles, sino que la Justicia sea completa. La Justicia no es sólo un valor jurídico. Tiene un componente moral que sobrepasa la aplicación formal de las leyes. Si alguien roba y se le castiga por ello, ¿puede exigir que nadie se entere de lo que ha hecho porque el delito forma parte de su esfera íntima? ¿puede pedir que nadie más le juzgue porque ya ha sido juzgado y condenado por un juez "profesional"?

Ésta es una actitud un poco cínica. Imaginemos que un individuo roba en una tienda, y el dueño le descubre: "Oiga, Usted es un ladrón". "Disculpe, pero no tiene derecho a llamarme ladrón en voz alta delante de todo el mundo. Si soy o no un ladrón, es un asunto personal que no le interesa a nadie, y en cualquier caso, quien debe decir si he robado o no es un Juez".

Es la misma hipocresía que se ampara en derechos fundamentales para ocultar lo malo y lo vergonzoso de una conducta. Un acto no deja de ser deshonesto porque su autor pague una multa o pase determinados años en prisión. Quien mata y cumple su pena, que generalmente no llega a 30 años, no deja de ser un asesino, porque la honradez no es un formalismo. La sociedad que reduce la Justicia a una cuestión procesal va camino de convertirse en una banda de ladrones.

martes, 27 de diciembre de 2011

Año Nuevo, vida nueva




La Dirección de Ad Edictum les desea un Año 2012 lleno de Lopedé y buenos propósitos incumplidos


lunes, 21 de noviembre de 2011

Un cuento lopedé

A veces, da la impresión de que, detrás de una resolución de la AEPD, se esconde una novela del XIX. Ocurre eso, por ejemplo, en la que acabo de leer (PS 322/2011), donde la descripción de los hechos que motivan la denuncia se queda muy lejos de transmitirnos la realidad de la relación entre los héroes de la historia, A.A.A. (denunciado) y B.B.B. (denunciante). ¡Se insinúan tantas cosas!

El señor B trabaja en un centro de enseñanza. Puede que sea el Director, o el Secretario o un profesor, pongamos que de Literatura. No sabemos qué relación tiene A con la institución. Quizás fue trabajador de la misma, o más probablemente, un alumno. Dejemos fluir la grácil prosa de los instructores de la AEPD para saber de qué se le acusa:

“En fecha 5 de julio y posteriores se han abierto cuentas en diversas páginas web utilizando la dirección de correo electrónico ...@1..., dirección de correo de un Centro de Enseñanza del cual es ***CARGO.1 D. B.B.B., sin consentimiento del denunciante. El alta en las web’s ha provocado, en algunos casos, solicitud de compra de artículos que se publicitaban en las páginas y la remisión de las facturas al domicilio del Centro de Enseñanza.”

Las webs en las que ha sido dado de alta el Señor B son de lo más reveladoras: www.elbebe.com, www.venca.es, www.oropostal.es y www.laredoute.es. No resulta difícil imaginar el papelón de este, digamos, profesor de Literatura, cuando empieza a recibir en su centro de trabajo artículos tales como ropa interior femenina y canastillos de bebé. En fin, las risas se oirían hasta en Mahora, provincia de Albacete.

La Agencia investiga. Solicita a las webs toda la información relativa a los registros, incluyendo, si disponen del dato, la IP desde la que se realizó la operación. Con las IPs identificadas, se pone en contacto con los proveedores de acceso a Internet para que obtener los datos de conexión. Y aquí entra el tercer personaje de la historia, Doña C.C.C., sin ninguna relación con los cursos a distancia (¡patapán, psss!).

France Telecom España, compañía a la que le interesa estar a bien con la AEPD, responde que “la dirección IP ***IP.1 en fecha 5 de julio de 2010 a las 17:50 y a las 18:18, en que se realizaron los registros en las web’s www.elbebe.com y www.venca.es estaba asignada al domicilio de Dña. C.C.C..

A Doña C., yo me la imagino como a esa madre, esa viejita buena que siempre sale en los tangos, y que tiene un hijo echado a perder, aunque con buen fondo.

Cuando recibe el requerimiento de la Agencia, Doña C., lectora habitual de blogs sobre nuevas tecnologías, que sabe lo despiadado que puede llegar ser Monsieur le Directeur, casi se desmaya. “Tendremos que vender la casa, el coche, y hasta el apartamento en Torrevieja que ganamos en el “UN, DOS, TRES” para pagar la multa”. B.B.B.duda en huir, pero no puede permitir que su madre se vea involucrada en este asunto y confiesa: “Sí, fui yo”.

Nos enteramos entonces de algo más. El profesor de Literatura, el Señor A, había denunciado los hechos también en la Policía, denuncia que desembocó en un juicio de faltas contra B. Éste escribe unas líneas a la Agencia, dignas del De profundis de Wilde, de lo más inspiradas, sí señor:

“a) El denunciante es conocedor de que quien suscribe ha sido quien ha enviado los correos electrónicos objeto de este procedimiento.

b) Ambos mantuvimos una conversación para expresarle mis disculpas por lo sucedido y por no haberle avisado cuanto antes, siendo estas aceptadas y dejando aclarado el malentendido que tuvimos.

c) En dicha conversación el denunciante me hizo saber de Ia inconveniencia de tener que darse de baja en dichas páginas, no existiendo más perjuicio moral que Ia decepción que le provoqué, de Ia que soy consciente y me avergüenzo.

d) No ha existido en ningún momento un perjuicio económico para el demandante.

Que precisamente por todo esto el denunciante no interpuso acusación en el citado Juicio de Faltas, ya que el incidente lo resolvimos entre los dos satisfactoriamente; manifestándome su voluntad de no continuar con el procedimiento.

Que reconozco Ia responsabilidad del tratamiento de los datos de carácter personal.

Que de todo lo expresado puede dar fe el denunciante, no pudiendo aportar declaración de su parte por no disponer de medio para contactar con él al no tener más medio de contacto que su centro de trabajo y estar en periodo estival…”

Yo, que soy muy sentimental, habría archivado el procedimiento basándome en que este asunto queda dentro del ámbito personal o doméstico. Pero Monsieur le Directeur, retorciéndose su bigote, gritó: “Es un tratamiento de datos sin consentimiento. ¡Que le corten la Cabeza!”… Y un amanuense lo tradujo para la posteridad de la siguiente forma:

“De acuerdo con la definición de tratamiento de datos personales, en el presente caso ha quedado acreditado el alta del denunciante en diversas web`s. Para dichas altas, se realizó un el tratamiento del nombre, apellido, fecha de nacimiento, teléfono y dirección del Centro de Enseñanza. Las citadas altas en las web`s, constituye un tratamiento de datos personales incluido en el ámbito de aplicación de la citada Ley Orgánica.

El vigente Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, define el concepto de datos de carácter personal como cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a una persona física identificada o identificable.

A la vista de la documentación obrante en el procedimiento, no pueden ser tenidas en cuenta las manifestaciones del denunciado, en el sentido de que “…disponía de consentimiento oral para el tratamiento de los datos del denunciante…” y “…Que de todo lo expresado puede dar fe el denunciante, no pudiendo aportar declaración de su parte por no disponer de medio para contactar con él al no tener más medio de contacto que su centro de trabajo y estar en periodo estival…”.

A fecha de hoy, y a pesar del tiempo trascurrido desde el inicio del curso escolar, no se ha recepcionado en esta AgAgencia documento alguno que acredite que el enunciado contaba con el consentimiento del denunciante para el tratamiento realizado de sus datos personales.

Aunque el acuerdo de inicio de los procedimientos sancionadores es siempre de oficio, no obstante en las infracciones del artículo 6 de la LOPD esta Agencia ha archivado en ocasiones el procedimiento incoado tras la recepción de escritos firmados por los denunciantes en los que se reconocía expresamente que los imputados contaban con el consentimiento para el tratamiento realizado de los datos personales. Así, entre otras, las resoluciones publicadas en la web de esta Agencia correspondientes a los procedimientos PS/00533/2007 (de 15 de julio de 2008) y PS/00002/2010 (de 7 de junio de 2010).

En conclusión, el tratamiento de datos personales del denunciante por el denunciado, requiere el consentimiento del titular de los mismos. Teniendo en cuenta que en el presente expediente no obra del denunciante nada más que su escrito de denuncia, debe considerarse incumplido el principio de consentimiento regulado en el artículo 6 de la LOPD. (…)

Por otra parte, la naturaleza de los datos y la gravedad de los derechos hacen necesario utilizar el procedimiento sancionador para sancionar dicha conducta.

No obstante, debe tenerse en cuenta a los efectos de la aplicación del artículo 45.5 de la LOPD, el hecho de que no consta acreditada reincidencia en la conducta imputada al denunciad, consistente en el tratamiento sin consentimiento de los datos del denunciante; teniendo en cuenta el carácter no continuado de la infracción y la falta de vinculación de la actividad de la infractora con la realización de tratamientos de datos de carácter personal, así como que es persona física y que es posible la concurrencia de sanciones adicionales en otros ordenes por la conducta infractora. (…)”.

Resultado: B tendrá que pagar 2.000 € de multa. Doña C. sufrió una subida de azúcar cuando le notificaron la resolución, pero ha convencido a su hijo para que no recurra. Los abogados –esas sanguijuelas- le cobrarían dos veces más por llevar el recurso. ¿Bien está lo que bien acaba?

NOTA DE LA DIRECCIÓN: El texto completo de la resolución se encuentra disponible aquí. A diferencia de lo que hacen algunas asesoras del sector, el comentario que acaban de leer no lo he copiado de ningún boletín. Tampoco lo he sacado de una conferencia a la que he asistido y no cito.

domingo, 20 de noviembre de 2011

Lecciones de seguridad con Jaime Bayly

Como ya saben, desde que descubrí que se podían ver en Youtube los programas de Jaime Bayly no hago otra cosa. Su entrevista a Wendy Sulca debe figurar en los anales de la Televisión en lengua española. 

La vida de Jaime Bayly resulta interesantísima. Da varios para varios cursos sobre derecho a la intimidad y derecho al honor, por los que muestra un absoluto desprecio. Bayly es realmente un canalla, pero el tipo de canalla que todos queremos ser de mayor (ése que, si estuviera menos gordo, se parecería a Basil Rathbone). 

Y no crean: Sus archienemigos están siempre a su altura. A veces, leyendo su blog o sus novelas, da la impresión de que Bayly se pasa el día intentando localizar las IPs de los que le insultan en comentarios en su blog o en el de su actual señora, o le amenazan por e-mail.

Aún hay más. En una de las últimas novelas de Bayly, que cayó en mis manos gracias a Doña Almudena, encontramos un manual de lo que no se debe hacer con las contraseñas de correo electrónico, y de las horribleas consecuencias que puede tener que un tercero que te odia (tu suegra) utilice indebidamente dichas claves.

El libro comienza con Camila, la hija mayor del autor, intentando enviarle una lista de encargos (ropa y cosas para el cole que incluyen una foto del producto en cuestión):

"Camila trata de enviarme esa lista por correo electrónico, pero, a pesar de que lo intenta en varias ocasiones, no la recibo, tal vez porque su buzón de Hotmail no le permite mandar un correo tan pesado o porque nada que se envíe desde Lima llega nunca a su destinatario o porque el azar conspira contra nosotros. Al pasar dos o tres días y confirmar que no me ha llegado, intenta enviármela desde una casilla de Gmail, pero, de nuevo, algo incierto impide que llegue a mi computadora.

Impaciente, le sugiero que entre a mi correo electrónico y me lo envíe a otro buzón que tengo en ese mismo servidor, que es uno que permite enviar correos pesados, con imágenes en alta resolución. Le digo por teléfono mi clave. Ella toma nota y me dice que entrará a mi correo y me enviará la lista. Al colgar, me pregunto si sentirá curiosidad por leer mis correos y, por las dudas, borro unos pocos, de índole amorosa, que prefiero que no lea (...)

Camila y Lola, mis hijas, quedan al cuidado de su abuela, mi ex suegra, porque Sofía viaja a Berlín y yo, a Buenos Aires. Estando las niñas en el colegio, mi ex suegra encuentra en el escritorio de Camila un papel en el que mi hija ha anotado mi correo y la clave que le dicté por teléfono.

Mi ex suegra no me quiere y tiene buenas razones para no quererme. Ve el papel con mi correo y mi clave y no duda en encender la computadora y meterse a espiar mis correos. No la culpo. Yo hubiera hecho lo mismo.

Lo que más desea es encontrar algún correo en el que hable mal de su hija Sofía, mi ex esposa, pero no consigue encontrarlo, porque no tengo razones para hablar mal de ella, sólo para hablar bien (...)

Luego lee algunos correos que nos hemos enviado Martín y yo, correos en los que resulta evidente que la amistad ha sido desbordada por una forma de amor que roza más la complicidad fraternal que las servidumbres convencionales de la vida en pareja. Se escandaliza por las palabras tiernas o cariñosas que nos decimos, por los diminutivos cursis, cargados de afecto, por las alusiones a los juegos amatorios que decimos echar de menos, y quizás incluso nos envidia.

No espera encontrar lo que se abre de pronto ante sus ojos: correos amatorios inflamados no de una sino de cuatro mujeres que me esciben desde distintas ciudades y a las que rspondo de un modo no menos apasionado. (...)

Mi ex suegra lee consternada esos correos llenos de amor (o de promesas amorosas) y tal vez piensa: Este maricón no es tan maricón como yo creía.

Lo que no sabe es que ninguna de esas mujeres ha tenido intimidad amorosa conmigo, sólo me han escrito prometiéndome que la tendrán, pero tal vez eso nunca ocurrirá y lo que necesitaban era escribirlo, permitirse esa pequeña, secreta infidelidad.

Mi ex suegra reenvía todos esos correos amorosos (o mentirosos, esto aún no está claro) al buzón de Sofía (...) Mi contenta con eso, mi ex suegra envía a esas mujeres un correo escrito en mayúsculas (algo insólito en mí)que dice: "NO ME GUSTAS PORQUE SOY MARICÓN Y TENGO MARIDO ARGENTINO, ADIÓS".

Luego lee otros correos de editores o agentes literarios o ejecutivos de tal o cual televisión que me sugieren hacer tal o cual programa, y se enfada al comprobar que todavía trabajo y que me gusta mi trabajo (porque es todo menos un trabajo), y en venganza envía a esas personas un correo también escrito en mayúsculas (algo que siempre he contrado atroz) que dice: "NO CUENTES CONMIGO, TENGO SIDA Y ME ESTOY MURIENDO, ADIÓS".

Al día siguiente, recibo correos de novias cibernéticas, amigos, editores, agentes y ejecutivos de televisión, que me piden explicaciones por las líneas descomedidas que han recibido desde mi buzón y recién entonces me entero de que alguien ha penetrado en ese territorio íntimo y ha escrito unas líneas horrendas en mi nombre. Hago algunas simples pesquisas y confirmo que es mi ex suegra la que ha espantado de ese modo tan pintoresco a la poca gente que aún me aprecia o hace esfuerzos riesgosos por quererme. Enseguida trato de cambiar mi clave o contraseña, pero, por razones de seguridad, me preguntan cuál es mi película favorita y no sé responder. Escribo ocho, diez nombres de películas que me han gustado mucho, pero ninguno es la respuesta correcta, y por eso me impiden cambiar mi contraseña.

Escribo entonces Less than zero y descubro que es o era mi película favorita. Finalmente les escribo a Lucía, Gabriela, Claudia y Ana, pidiéndoles disculpas, explicándoles el espionaje del que he sido víctima y rogándoles que le escriban unas líneas a mi ex suegra, diciéndole que soy un amante memorable, el mejor que han tenido. Al caer la noche, camino al videoclub y alquilo Less than zero."
(BAYLY, Jaime: El canalla sentimental. Editorial Planeta. Barcelona, 2010. pp. 9-13) 

Y así, señores, es cómo se cita un libro. En fin, les dejo. Tengo que ponerme a escribir cosas más serias para que luego me las plagien en blogs de tres (al cuarto) entradas.

sábado, 19 de noviembre de 2011

La CNIL y el Derecho al Olvido

La CNIL ha sancionado recientemente a una entidad que mantenía un repositorio de jurisprudencia on-line sin anonimizar las resoluciones.

La sanción no ha sido especialmente elevada (sobre todo, para los que estamos acostumbrados a ver cómo las gasta nuestro Monsieur le Directeur): Tan sólo 10.000 €. Si se la comentó aquí es por la valoración que ha hecho la autoridad francesa, que considera esta práctia atentatoría contra el derecho al olvido (le droit à l'oubli numérique).

Al parecer, las resoluciones estaban disponibles sin ninguna restricción y podían ser indexadas por Google. La CNIL había recibido veinte reclamaciones de particulares relativas a este web, y entre todas destaca una: Una persona fue rechaza para un puesto de trabajo porque sus empleadores "googlearon" su nombre y hayaron en el site de la sociedad condenada una sentencia de 12 años de antigüedad.

La autoridad francesa comenta: "Cette décision de sanction traduit la ferme volonté de la CNIL de faire respecter cette recommandation protectrice de la vie privée des personnes et de garantir un véritable droit à l'oubli sur internet."

Hay otra cosa que me ha llamado la atención. Las primeras quejas de particulares datan del 2007. La CNIL se había puesto en contacto con los administradores del site sin que se tuvieran en cuenta sus peticiones. Sólo después de ver cómo sus requerimientos no eran atendidos, se ha decidido sancionar. En nuestro país, se han impuesto multas por no anonimizar sentencias, pero siempre a escala mucho mejor (nombres que no sen han borrado por error, básicamente). Tal y como está el patio, sólo a los valientes se les ocurriría facilitar sentencias con datos de carácter personal on-line, y de forma masiva.

Los amantes del género pueden encontrar más información aquí.

lunes, 14 de noviembre de 2011

Lecturas recomendadas

En el Informe Jurídico 427/2010, la Agencia Española de Protección de Datos nos ofrece un análisis muy completo del concepto de dato de carácter personal. Resulta de especial interés porque repasa y resumen los informes previamente emitidos sobre el particular, así como la Jurisprudencia de la Audiencia Nacional. Por supuesto, también cita el Dictamen 4/2007 del Grupo de Trabajo del art. 29, del que ya les he hablado en diversas ocasiones, y cuya lectura no me canso de recomendarles.
El informe de la Agencia, desde luego, es más breve y concreto que el Dictamen del GT 29. Deben tenerlo a mano por si se topan con un “enterao lopedé” de esos que dicen cosas como “voy a sustituir el nombre por el DNI en esta tabla para anonimizarla y dejarla fuera de la Lopedé”, o el clásico “si en este Excel no hay nombres ni apellidos, sólo el domicilio, que no se sabe de quién es”.
Algunas perlas que podrán citar en casos similares:

“De las definiciones transcritas se desprende que el legislador comunitario y el español han venido a establecer un concepto amplio de datos de carácter personal, de forma que es posible que determinadas informaciones que de forma directa no identifican a un interesado puedan ser consideradas datos de carácter personal, cuando dicha identificación es posible sin suponer la misma un tiempo o esfuerzo desproporcionados. Dicho de otro modo, el hecho de que el interesado no aparezca identificado en un fichero por su nombre y apellidos no supone que dicho fichero no contenga datos de carácter personal cuando dicha identificación puede o podría tener lugar con posterioridad a la recogida de tales datos. En este sentido se pronuncia el Grupo de Autoridades de Protección de Datos creado por el artículo 29 de la mencionada Directiva en su Dictamen 4/2007 sobre el concepto de datos personales, adoptado el 20 de junio de 2007.”

“(…) la Audiencia Nacional ha venido entendiendo que el tratamiento de los datos limitados al número de identificación fiscal o del documento nacional de identidad de un individuo, por sí solo, implica el tratamiento de datos de carácter personal.”

“Del mismo modo, en informe de 8 de febrero de 2007 esta Agencia consideró que el tratamiento limitado al número de matrícula de los vehículos que llevaba a cabo un aparcamiento se encontraba sometido a la Ley Orgánica 15/1999, aún no constando la identificación del titular (…)”

“El dictamen 4/2007 del Grupo de Trabajo creado por el artículo 29 (…) recuerda “los comentarios a los artículos de la propuesta modificada de la Comisión, en donde se afirma que «una persona puede ser identificada directamente por su nombre y apellidos o indirectamente por un número de teléfono, la matrícula de un coche, un número de seguridad social, un número de pasaporte o por una combinación de criterios significativos (edad, empleo, domicilio, etc.),que haga posible su identificación al estrecharse el grupo al que pertenece.»”.

Tras incluir ejemplos como los que acaban de reproducirse dentro del concepto de datos personales, recuerda el dictamen igualmente que “cuando hablamos de «indirectamente» identificadas o identificables, nos estamos refiriendo en general al fenómeno de las «combinaciones únicas», sean éstas pequeñas o grandes. En los casos en que, a primera vista, los identificadores disponibles no permiten singularizar a una persona determinada, ésta aún puede ser «identificable», porque esa información combinada con otros datos (tanto si el responsable de su tratamiento tiene conocimiento de ellos como si no) permitirá distinguir a esa persona de otras”.

Pues bien, teniendo en cuenta lo que acaba de señalarse, debe a nuestro juicio concluirse que el tratamiento conjunto de una dirección postal, que deberá además ser completa a fin de poder satisfacer el pedido solicitado, con el número telefónico desde el que se realiza el pedido, que podrá ser fijo o móvil, permitirá obtener información sobre la persona con la que, en principio se corresponden dichos datos, sin que ello conlleve la realización de esfuerzos desproporcionados.”

Otros informes jurídicos de obligada referencia en casos similares, que pueden servirle de ayuda para lidiar con “enteraos lopedé” son:

El informe jurídico 334/2008, donde ya la AEPD había dejado claro que los listados con DNI y NIF no se pueden considerar “anonimizados”.

El informe jurídico que aclara que la excepción de la persona de contacto del art. 2.2 del RLOPD no puede aplicarse a contratos y otros documentos en los que figuran DNIs o NIFs de personas físicas, aunque actúen en representación de empresas.

Por último, si no sólo ha llegado hasta aquí sin entrar en estado comatoso (lo cual ya es un mérito), sino que además conserva plenas sus facultades mentales, hasta el punto de que la lectura de este post le ha traído a la mente aquella sentencia de la Audiencia Nacional que supuestamente decía que los números de teléfono móvil no eran datos de carácter personal, por favor, sírvase revisar lo que escribí en su momento al respecto (después de leerme la sentencia, claro, no como otros).

sábado, 12 de noviembre de 2011

Libro del Mes (Noviembre)

CLARKE, Richard A. y KNAKE, Robert K.: Guerra en la red. Los nuevos campos de batalla. Editorial Ariel. Barcelona, 2011.

Richard CLARKE, responsable de seguridad con cuatro presidentes de los Estados Unidos, presenta en este libro sus experiencias y conocimientos en la organización de sistemas de defensa frente a ciberataques.

La obra está escrita en colaboración con el periodista Robert KNAKE, cuya participación probablemente ha consistido en organizar y redactar los comentarios de Clarke, ya que es éste último quien en expone en primera persona, a modo de memorias políticas trufadas de anécdotas personales, sus ideas sobre la importancia de las nuevas tecnologías en la política militar de un estado. Así por ejemplo, explica por qué y en qué contexto dijo la que es probablemente su frase más conocida: "Si Usted es una gran compañía y gasta más en café que en seguridad, probablemente le hackearán. (...)Mejor aún: si esas son sus prioridades, merece que le hackeen".

El libro comienza con el que CLARKE considera un ejemplo perfecto de ciberataque autónomo  (es decir, no acompañado de acciones militares tradicionales): El ataque ruso a infraestructuras de comunicación de Estonia tras "la noche de bronce" en 2007.

La retirada de restos mortales de soldados rusos de un monumento en Tallin originó diversos disturbios y protestas que acabaron en el ciberespacio:

"(...) Estonia, por extraño que pueda parecer, es una de las naciones más conectadas a la red del mundo, y se encuentra, junto con Corea del Sur, muy por delante de Estados Unidos en penetración de la banda ancha  y utilización de aplicaciones de Internet en la vida cotidiana. Esos avances convertían al país en un blanco perfecto paa un ciberataque. Después de "la noche de bronce", los servidores que utilizaban las páginas web más utilizadas de Estonia recibieron repentinamente una avalancha de solicitudes de acceso, la avalancha tenía tales dimensiones que algunos de esos servidores fueron incapaces de soportarla y se bloquearon. (...) Los estonios no podían utilizar sus bancos en línea, leer sus periódicos en Internet o acceder a los servicios electrónicos del gobierno. (...) El DDOS dirigido contra Estonia fue el más grande nunca visto hasta entonces. (...) El Gobierno ruso negó con indignación cualquier participación en la ciberguerra contra Estonia. Y cuando la diplomacia estonia solicitó formalmente su ayuda para rastrear a los atacantes, rehusó hacerlo, y ello a pesar de que un acuerdo bilateral vigente obligaba a Moscú a cooperar. (...) Funcionarios gubernamentales reconocieron que quizás era posible que algunos rusos patriotas, indignados por lo que Estonia había hecho, hubieran decidido hacer algo al respecto ellos mismos."

A partir de aquí, los autores se ocupan de trazar los riesgos fundamentales a los que se enfrenta un país moderno y las posibles soluciones. Como ven, el estilo es rápido y ameno, y el contenido, asequible a quienes no cuentan con conocimientos previos sin caer en el dummismo. En fin, qué más les puedo decir. Lo estoy leyendo y me está gustando. 

martes, 1 de noviembre de 2011

Ladrón que roba a ladrón

Como ya les comentaba en mi último post, se han multiplicado las noticias sobre ataques informáticos, robos de contraseñasa y secuestros de identidades digitales, ya sea por grupos activista como Anonymous o por meros delincuentes. Anonymous, por cierto, ahora anuncia una guerra contra los carteles de la droga, según nos informa El Mundo. Se podrán imaginar por mi último post que no lo lamento demasiado. De hecho considero que este tipo de acciones son la forma más perfecta de Justicia. Que a un criminal lo condene un tribunal está bien, pero que reciba de su propia mecidina, es mucho mejor: Es lo divino, la reparación cósmica. De ahí que siempre se haya dicho que "ladrón que roba ladrón, tiene cien años de perdón".

Pero no nos desviemos del tema, el hecho de que los hackeos informáticos estén de moda se demuestra en la nueva norma de la familia 27000, la ISO/IEC 27035:2011, de gestión de incidentes de seguridad de la información. Me interesa de esta norma que se centra en los problemas de seguridad una vez que se han producido. Es decir, no se trata de una norma preventiva, sino de una guía que ayuda a posteriori, y por lo tanto, parte de la idea de que hay ocasiones en las que, por más controles que se implementen, las incidencias se producen.

Leo en la página de BSI lo siguiente:

"Humphreys, cuyo equipo desarrolló la versión original de la norma, ISO / IEC TR 18044:2004, comentó: "el manejo eficaz y oportuno de los incidentes importantes puede marcar la diferencia entre la supervivencia o la" muerte "de una organización. La nueva norma ISO / IEC 27035 proporciona consejos de probada eficacia en los procesos y métodos que deben implementarse para garantizar una gestión eficaz de los incidentes de seguridad de la información.

"Los incidentes pueden variar de los menores, que pueden tener un impacto en el negocio de manera aislada, a un incidente grave, que afecta a todos los sistemas empresariales. Algunos de los incidentes tienen el efecto de perturbar a la organización y al uso de los recursos de su negocio de 24 a 72 horas o más, por una gran pérdida y / o destrucción de datos y otros pueden ser delitos graves. ISO / IEC 27035:2011 ofrece una solución. "

¿No les encanta este fatalismo (el subrayado es mío)? En la siguiente entrada, continuaremos con los ataques informáticos desde otra perspectiva: la ciberguerra.

miércoles, 26 de octubre de 2011

El derecho a castigar

En mi último post, trataba de pasada dos temas distintos que merecen un análisis más amplio del que yo puedo darles, y que Don Jesús bosquejó en un comentario.

El primero se refiere a la postura que deben adoptar la sociedad y el derecho con respecto al delincuente.

El segundo enlaza con algo incluso más complejo: la obediencia al derecho, o mejor dicho, la justificación de la desobediencia al mismo.

El derecho penal moderno, a diferencia del Código de Hammurabi, promueve la reinserción social. El fin último de la pena no es el castigo del criminal, sino que éste acabe manifestando comportamientos socialmente aceptados.

Resultado de tal idea es el trato exquisito que se da al autor de un crimen, al que se tiene que proteger de la prensa, de la familia de la víctima, de la crítica de la sociedad, del insulto y de la vejación por lo que ha hecho: Como no tuvo cariño de pequeño, pega a las mujeres. Como tiene una familia desestructurada, mata a una deficiente mental tras violarla…Quizás, él no tiene la culpa; quizás “es rebelde porque el mundo lo hizo así”. ¡Cómo vamos a llamarlo asesino, cómo vamos a publicar su foto en un periódico, cómo vamos a mandarlo a la cárcel de por vida, cómo vamos a pasarlo por el garrote…Es inhumano! Esas cosas, no son propias de países civilizados, dirán Ustedes.

Por supuesto, estas afirmaciones vienen sustentadas por el determinismo más crudo, que en definitiva, y aplicado en términos extremos, conduce a librar al delincuente de toda responsabilidad jurídica (y moral). Ahí tienen Ustedes la Ley del Menor. Que les aproveche.

No voy a extenderme citando a los clásicos, entre otras cosas, porque como Proust, escribo en la cama, y no me apetece levantarme, con el frío que hace, a buscar un libro de San Agustín. Sin embargo, no me resisto a soltarles tres ideas sobre  el argumento filosófico más significativo en contra de estas teorías: Resulta difícil mantener que alguien pueda llegar a considerarse libre, sin hacerse responsable de sus actos. Desde el punto de vista estrictamente moral, no jurídico, aceptar lo contrario supone privar de dignidad al hombre, convertirlo en poco más que una mascota: Si se elude la responsabilidad, actitud muy cómoda, se desemboca en una tutela, en una minoría de edad permanente, en una pérdida de la capacidad de obrar.

Por ello, aceptar la responsabilidad es también el modo más consciente de ejercer la ciudadanía, más incluso que la opción del que cumple estrictamente la ley, la opción del Eichmann de turno. El buen ciudadano toma la decisión consciente de obedecer o no, y acepta las consecuencias de sus actos. Por supuesto, no cumplir una ley no ha de tomarse a la ligera. Es lo que diferencia al Rafita de la Señora Rosa Parks.

Aquí enlazamos con la justificación de las acciones de grupos como Anonymous, que se consideran a sí mismos activistas. Podría extenderme más sobre el tema y analizar si su conducta se incluye en alguna de las formas de desobediencia al derecho “toleradas” por las sociedades democráticas de nuestro entorno (que las hay: la objeción de conciencia es una de ellas), o bien supone un intento de arrebatar al Estado el monopolio de la violencia (entendiendo por tal el ejercicio de la fuerza con la finalidad de hacer cumplir leyes aprobadas por los cauces establecidos). Podría, pero lo voy a hacer.

En cualquier caso, la disidencia, aunque nos moleste y no la compartamos, no tiene por qué hacernos temblar. En todas las sociedades, existen conflictos de intereses entre los distintos grupos que la forman. No podemos equiparar legalidad con legitimidad, y excluir cualquier modo de participación política que se aleje de los cauces ortodoxo, siempre que sea pacífica. Todo tiene un límite.

En fin, en respuesta al comentario de Don Jesús, les diré que cuando ayer hablaba de “supuestos” pedarastas, lo hacía en sentido irónico, como burla de la prensa rosa, donde todos son presuntos, como el jamón.

A mí, en el caso concreto del que hablábamos, no me caben muchas dudas de las preferencias sexuales de que quien entra en una web llamada Lolita City y se registra como usuario. Y desde luego, “supuesto” no es un adjetivo que utilicen las noticias (americanas) que leí para escribir el post. EEUU, país que impone la dictadura brutal y absurda de lo políticamente correcto para determinados comentarios, en lo que se refiere a pornografía infantil, y a la delincuencia en general, se muestra tajante.

Ni reinserción social, ni leches. Como saben, en muchos Estados existe la pena de muerte, y se invita a la familia de la víctima a presenciar el acto. No voy a decirles que me agrade. Pero tampoco me repugna. Lo acepto como otra forma de entender el “derecho a castigar” que no tiene que ser necesariamente peor que la de nuestro país.

Como casi siempre ocurre, en el caso de la publicación de bases de datos y noticias que incluyen nombres de pedarastas, existen diversos bienes jurídicos que merecen protección y que entran en conflicto. Por un lado tenemos, claro está, el derecho del pedófilo que ha cumplido su pena a una segunda oportunidad. Por otro, el derecho de las víctimas a que no se olvide lo que ha pasado, a poder echárselo en cara al delincuente. No crean que niego el derecho a la reinserción del delincuente. Lo que no me parece de recibo es que se imponga a base de  humillar a la víctima y privarla de la posibilidad exponer ante el resto de los miembros de la sociedad lo que ha pasado. La reinserción tiene que pasar por asumir lo que se ha hecho, no por borrarlo. Un delito no desaparece cuando se ha cumplido la pena. Por más que uno se empeñe, ha existido.

Sé lo que están pensando: Que aquí he metido en el mismo saco al condenado y al imputado, que existe la presunción de inocencia, y sobre todo, que hay que evitar que la prensa se ensañe con alguien que luego resulta no ser culpable. En este caso, también existe un conflicto de intereses:  El imputado que se sienta ofendido por un artículo de prensa o el que piense que se le injuria y calumnia, dispone de diversos mecanismos legales para defender su derecho, entre otras, el derecho de rectificación que surgió en Francia precisamente para luchar contra la difamación y la difusión de rumores injuriosos que hacía la prensa escrita.

La vida en sociedad implica la aceptación de estos conflicto, y también, por qué no, tomar partido por uno u otro bando, actuando en conciencia.

lunes, 24 de octubre de 2011

Anonymous contra la pornografía infantil

Las noticias sobre ataques informáticos se han puesto de moda.

Hace unas semanas vivimos expectantes la captura del tipo que robó las fotos del culo de la Johansson en perspectiva caballera. Por cierto, resultó ser un treintañero sin conocimientos informáticos especiales, que se dedicaba a buscar información personal de los famosos en revistas y redes sociales, para luego probar respuestas a la pregunta secreta de sus cuentas de correo. No se pierdan el vídeo de la CNN donde explica por qué y cómo lo hizo. A mí, me ha conmovido.

En los últimos días, nos hemos levantados con varios canales de Yotube hackeados. El más sonado fue el de Barrio Sésamo. El último, el de Microsoft.

A este auge de la crónica hacker, que recoge el testigo de la sección de sucesos, caída en desgracia en nuestros periódicos, como la taurina, por cursilería políticamente correcta, han contribuido en gran medida las acciones organizadas con el colectivo Anonymous. Criticado por unos, idealizado por otros, Anonymous es, probablemente, el grupo hacktivista con mayor repercusión mediática y capacidad organizativa en estos momentos.

Su último ataque ha sido contra el mayor servidor de pornografía infantil de la red Tor, conocida por ser utilizada por los rebeldes egipcios para organizar las protestas contra Mubarak. Anonymous ha conseguido eliminar más de 40 webs relacionadas con la pornografía infantil, entre ellas, el sitio denominado “Lolitia City”, que contenía más de 100GB de fotografías y vídeos de menores.

Tras hacer público el ataque, el grupo ha colgado datos de cuentas de correo de 1.589 usuarios, supuestos pedófilos.

No voy a ser yo quien se rasgue las vestiduras porque se filtren estos datos, como tampoco lamento que aparezcan en los periódicos los nombres y las fotografías de criminales confesos. Determinados actos no sólo son ilegales, sino también inmorales, y es legítimo que la sociedad los conozca y los juzgue fuera de los tribunales. Sobre todo, frente al derecho al olvido, frente a la reinserción una vez cumplida la pena, existe el derecho al recuerdo y a la memoria de las víctimas.

martes, 18 de octubre de 2011

Una resolución que lo tiene todo

En tan sólo 9 páginas, la Resolución R/01490/2011 trata los siguientes temas:

1º. Ejercicio del derecho de acceso por persona distinta del interesado. En este caso, un padre divorciado solicita el acceso a determinados escolares de su hijo menor de edad, aportando, para justificar su petición, una sentencia en la que se determina que ejerce la patritia potestad sobre el niño de forma conjunta con la madre:

"En el supuesto aquí analizado, antes de entrar en el fondo del asunto, esto es, si el derecho de acceso fue atendido o no, hay que señalar que, aunque el reclamante es el padre no custodio del menor cuyo datos se solicitan, la sentencia aportada le atribuye la patria potestad compartida por ambos progenitores, por lo que ambos tienen el mismo derecho a conocer los datos sobre el menor."

2º. Legitimación para recurrir las resoluciones de procedimientos sancionadores de la AEPD. Supongo que esta parte responde a alguna alegación hecha por el padre:

"En el mismo sentido se ha manifestado la SAN 27/5/2010: "quien denuncia hechos que considera constitutivos de infracción de la legislación de protección de datos carece de legitimación activa para impugnar en vía jurisdiccional lo que resuelva la Agencia.(...) La razón es, en sustancia, que el denunciante carece de la condición de interesado en el procedimiento sancionador que se puede incoar a resultas de su denuncia. Ni la Ley Orgánica de Protección de Datos ni su Reglamento de desarrollo le reconocen esa condición.(...) El argumento crucial en esta materia es que el denunciante, incluso cuando se considere a sí mismo "víctima" de la infracción denunciada, no tiene un derecho subjetivo ni un interés legítimo a que el denunciado sea sancionado".

Aplicando la doctrina pacífica del Tribunal Supremo, conforme a la cual “la denuncia no convierte al denunciante en titular de un derecho subjetivo ni de un interés personal o legítimo que hubiera de traducirse en un beneficio o utilidad”.(STSS. De 23/06/1997, 22/12/1997, 14/07/1998, 2/03/1999, 26/10/2000, 30/01/2001, 15/07/2002, 28/02/2003 y 06/03/2003); la circunstancia de haber presentando el actual reclamante la denuncia no le otorga por sí mismo la condición de persona interesada."

3º. Contenido del derecho de acceso. Como ha indicado la Agencia en varias resoluciones, este derecho no puede ejercitarse frente a documentos concretos, sino en relación a los datos relativos al interesado que se estén tratando. Es decir, la LOPD no ampara la solicitud de fotocopias de documentos o de acceso a los mismos, sino que se conozca que información se incluye en ellos relativa a una persona:

"El derecho de acceso es un derecho que concede al interesado la posibilidad de comprobar si se dispone información sobre uno mismo y conocer el origen del que procede, la existencia y finalidad con la que se conserva. Así, el derecho de acceso previsto en la LOPD consiste en obtener información de los datos personales de base registrados en los términos indicados en el artículo 29.3 anteriormente trascrito, pero no ampara el acceso a documentos concretos, ya que dichos documentos pueden contener información relativa a terceras personas.

Ello con independencia de que otra normativa ampare la obtención de dicha documentación, como podría ser, en este caso, entre otras, la de educación. Las reclamaciones en estos supuestos se deberán dirigir a las instancias competentes.

La solicitud del reclamante se centra, como él mismo manifiesta, no sólo en los datos personales del hijo menor de edad, sino en copias de diversos documentos e informes sobre la evolución del niño en los que podrían constar datos de terceros.

En consecuencia, en el presente expediente se analiza únicamente el derecho de acceso a los datos personales de su hijo menor de edad amparados en la LOPD como ya se ha señalado anteriormente."

En fin, que se leen Ustedes esta resolución y ya han hecho un Máster Lopedé. Buenas noches.

lunes, 17 de octubre de 2011

Una prostituta china

Hace unos días, el Gobierno chino anunciaba su intención investigar la difusión de rumores o noticias falsas en redes sociales, calificándolos de “tumores malignos” que dañaban la estabilidad social. Los autores de este delito pueden ser castigados con 10 días de prisión y multa de hasta 500 yuans (equivalentes a unos 80 $), penas que ya han sido impuestas en algunas ocasiones.

Este anuncio se produce poco después de que se descubriera que la joven prostituta que relataba sus experiencias laborales en Weibo, una de las redes sociales más populares en China, y que llegó a alcanzar más de 250.000 seguidores, era un hombre.

Se trataba del editor de un suplemento cultural, casado, de 31 años, traductor de novelas del oeste en sus ratos libres. Al parecer, sólo quería hacerse famoso en Internet, o sea, que le leyeran.

En el perfil falso que había creado, contaba que tenía 22 años, que negociaba con su cuerpo desde los 15 y que había atendido a más de 3.000 clientes. Y claro, con tan sugerente tarjeta de visita, a nadie le extrañó que las prendas literarias que soltaba la supuesta veinteañera fueran propias de una novela francesa del XIX.

La policía comenzó a interesarse por el microblog cuando su autor publicó en él una lista de clientes, obviamente falsa, que incluía a personalidades del país. Localizó el punto desde el que se conectaba con un teléfono móvil, y entró en su domicilio en el momento justo en el que colgaba el que fue su último post. Me imagino que su señora se quedaría a cuadros (porque cuando uno escribe un blog en el que finge ser una puta, como norma general, no le dice nada a su mujer).

Como escribió Karl Marx en El 18 Brumario de Luis Napoleón, la historia siempre se repite dos veces, una como tragedia, y otra como comedia (y cito de memoria, no esperen que me levante a estas horas a buscar el libro). Así que, ya lo ven: Internet nos ha traído la segunda edad de oro del panfleto y el libelo, de la publicación bajo pseudónimo, pero con un toque kitsch que no tenía en la época de SIEYÈS. No les voy a negar que me encanta.

Buenas noches.

viernes, 14 de octubre de 2011

Una profesora de New Jersey

Una profesora de New Jersey, Viki Knox, se ha hecho famosa por colgar en su perfil de Facebook comentarios en contra de la homosexualidad. La página no se encuentra disponible en estos momentos, probablemente porque, tras recibirse las primeras quejas, la autora decidió retirarla voluntariamente.

Al parecer, las frases que tanto revuelo han levantado describían la homosexualidad como una perversión, como un pecado que ha existido desde el inicio de la creación, y que se extiende como el cáncer. No hacía mención a ningún “pecador” concreto, ni alentaba a la violencia contra los homosexuales.

Sin embargo, esta opinión, manifestada públicamente en Facebook, se ha considerado suficiente para solicitar al centro en el que trabaja la profesora que abra una investigación al respecto. También se pide su dimisión. Cómo no.

La envidiable “Primera Enmienda” de la Constitución americana garantiza la libertad de expresión en términos amplísimos. Todas las críticas lanzadas a Ms. Knox comienzan reconociéndole tal derecho. No obstante, añaden, este tipo de comentarios, en un docente, resultan especialmente graves: Los educadores son los encargados de moldear y formar a los jóvenes. Esto incluye hacerles sentirse apoyados en su tendencia, y saber que no hay nada malo es ser LGBT (Lesbiana, Gay, Bisexual o Transexual). Manifestarse públicamente en contra de la homosexualidad podría contravenir las políticas anti-bulling de los centros educativos.

Recientemente, en Estados Unidos se ha aprobado una ley para frenar el acoso en centros educativos a raíz del suicidio de un joven estudiante de la Universidad de Rutgers. Éste, homosexual, fue grabado con la cam de un ordenador por su compañero de habitación mientras mantenía relaciones sexuales con otro hombre. Ya se pueden imaginar lo que hizo con el vídeo.

Desde luego, las redes sociales aumentan exponencialmente las posibilidades de que un pequeño cabrón, sólo o en compañía de otros, atormente a un compañero de clase. Pero no se engañen: Estas conductas no se deben a que la víctima sea homosexual, sino a que los autores, dentro y fuera de la red, son unos sociópatas (que es como hay que llamarlos ahora). La culpa no es de los padres, ni del entorno, ni de la eduación que reciben. Trasladar la responsabilidad a los profesores, y especialmente, criminalizar cualquier comentario sobre la homosexualidad olvidando a otros colectivos que son también objeto de abusos, sólo sirve para convertir Internet en la isla de “El Señor de las Moscas”.

¡Caray, estoy sembrada! Buenas noches.

jueves, 13 de octubre de 2011

Noticias de interés

Cómo hace bastante tiempo que, por motivos de salud, no he podido dedicarles a Ustedes la atención que se merecen, he decidido dedicar este post a hacer un recopilatorio de noticias relevantes. Vamos con ello:

1. Se ha inscrito el Código Tipo de la Unión Española de Entidades Aseguradoras y Reaseguradoras (UNESPA) relativo al fichero de “Automóviles de Pérdida Total, Robos e Incendios”. Desde luego, se trata de un Código Tipo con un ámbito de aplicación un reducido, pero teniendo en cuenta la complejidad del sector, se comprende que no haya sido posible, o no se haya querido, preparar un documento más amplio. De todas formas, UNESPA ya había inscrito un Código Tipo para el Fichero Histórico de Seguros del Automóvil en el año 2000.

Comprobarán al leer el nuevo Código Tipo de UNESPA, que si mi memoria no me falla, es el segundo que se acepta desde la aprobación del nuevo reglamento, que no se trata de una simple repetición de los artículos de la LOPD. Ya no se admiten estos Códigos Tipos que no aportaban ninguna obligación específica o adicional para el sector al que se aplican. Los nuevos Códigos Tipos son manuales de uso del fichero/ficheros a los que se aplican, y permiten conocer de forma bastante exhaustiva el flujo de datos que se produce en los mismos (éste, incluso, recoge un diagrama en su página 10).

La Nota de Prensa de la AEPD se encuentra disponible aquí, y el texto completo del Código Tipo del fichero de “Automóviles de Pérdida Total, Robos e Incendios, aquí.

2. Los tribunales franceses nos regalan una nueva sentencia relativa a robo de datos por un empleado. Una sociedad francesa contrató a una persona con conocimientos de mandarín para abrir mercado con clientes asiáticos. Poco tiempo después, la trabajadora negoció su salida de la empresa de forma amistosa, y no se fue con las manos vacías, ya que se llevó una copia de los ficheros de clientes y proveedores. La sociedad se enteró del robo al informarle sus clientes asiáticos que la antigua trabajadora se había puesto en contacto con ellos ofreciendo la venta de las bases de datos sustraidas. Más información sobre esta sentencia aquí.

3. Los sitios web expedia.fr, hotels.com y tripadvisor.fr han sido demandados ante los tribunales franceses por difundir información que conduce a error sobre las disponibilidades reales de habitaciones en distintos establecimientos, y por ofrecer ofertas engañosas a los usuarios de sus webs. Más información aquí.
4. Al otro lado del Atlántico, las compañías aéreas Southwest y American Airlines han decidido emprender una batalla similar contra las páginas webs que facilitan a los pasajeros que vuelan frecuentemente programas informáticos para gestionar sus millas. Alegan las mismas razones que ya se han expuesto en otros supuestos de screen scraping:

- Problemas de seguridad derivados de que un tercero acceda a los datos de los pasajeros.
- Las repetidas peticiones de datos que estas webs realizan a los sites de las aerolíneas retardan el servicio de éstas a sus viajeros.
- Compartir el usuario y la contraseña con un tercero viola las normas de uso del programa de puntos.
- No se dispone de personal suficiente para controlar qué están haciendo estas webs en las páginas de las aerolíneas o qué están ofreciendo a sus clientes.

Más información aquí.

5. En 2010, la Agencia Española de Protección de Datos publicó su informe sobre cumplimiento de la LOPD en hospitales, que se consideró poco fiable porque se basaba en las respuestas dadas por distintos centros sanitarios a una serie de preguntas, sin que el personal de la Agencia realizara ningun comprobación presencial.

Diversos centros recibieron un buen día una carta, que decía provenir de la Autoridad de Protección de Datos, y en la que se les remitía a un formulario electrónico, al que debían acceder con un nombre de usuario y una contraseña, que también figuraban en la misiva.

Pues bien, de aquellos polvos, estos lodos. No responder al requerimiento de la AEPD le ha costado al Sanatorio San Jorge de Alcoy 3000  €. Monsieur le Directeur considera que esta conducta constituye una infracción leve, tipificada en el art. 44.2.b) de la LOPD:

"No proporcionar la información que solicite la Agencia Española de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos”.

Si no se lo creen, léanlo aquí. Como diría Rockefeller: "¡Tomaaaaa Moreno!"

martes, 27 de septiembre de 2011

La Lista Robinson, otra vez

La Agencia lleva un par de años diciendo, por boca del Señor Adjunto a la Dirección, que va a sancionar a aquellas empresas que no consulten la lista Robinson de la FECEMD antes de hacer sus envíos publicitarios. (Sí, ya sé que ahora se llaman ADigital, pero estoy muy mayor para que me cambien los nombres...Cada vez entiendo mejor a aquel insigne autor que, cuando se aprobó la LOPD, publicó un manual titulado "La nueva LORTAD").

De la noche a la mañana, y basándose en lo dispuesto en el art. 49 del RLOPD, el servicio de lista Robinson que la FECEMD venía prestando desde hace aproximadamente 15 años, y cuya consulta era voluntaria para las empresas dedicadas a la publicidad directa, se convirtió en un fichero de exclusión obligatoria por obra y gracia de la AEPD.

Aquellas empresas que pretendan realizar publicidad por cualquier medio deberán contrastar sus bases de datos con la lista Robinson de esta asociación privada, en los términos establecidos en su reglamento de funcionamiento. Por cierto, este reglamento, aunque elaborado en colaboración de la Agencia, no es una norma jurídica, sino una instrucción privada, en base a la cual no se debería imponer ninguna sanción administrativa.

Tal y como indica su art. 1 “los anunciantes, los responsables de ficheros y las entidades prestadoras de servicios de tratamiento de datos que de acuerdo con el contrato de prestación del servicio de Lista Robinson puedan consultar la información contenida en el fichero de Lista Robinson”, deberán contrastar sus bases de datos con la Lista Robinson:

1º. Cuando envíen publicidad a personas que no sean sus clientes (por ejemplo, utilizando datos comprados a terceros u obtenidos de fuentes accesibles al público) por los siguientes canales:
- Correo postal
- Correo electrónico
- SMS
- MMS
- Teléfono

2º. Cuando envíen publicidad de terceros a sus propios clientes por los siguientes canales:
- Correo postal
- Correo electrónico
- SMS
- MMS
- Teléfono

3º. Cuando realicen publicidad telefónica en nombre propio a sus propios clientes.

En fin, qué más añadir. Esto ya se lo expliqué en su momento aquí y aquí. Si quieren ver una presentación del servicio de Lista Robinson, consulten este vídeo.

El mayor peligro de esta lista no es que sea fácil conseguirla y se deje a disposición de cualquiera innumerables datos personales a los que enviar SPAM (¿qué productos esperan vender enviando ofertas a alguien reacio a recibirlas? Sería como comprar una base de datos de celiacos para vender productos con glutem). Me parece mucho más grave la inseguridad jurídica que genera una cacicada de este calibre.

domingo, 25 de septiembre de 2011

Facebook y el secreto profesional

Si en nuestro país no hay demasiadas sentencias (hasta la fecha) en las que se discuta la legalidad del uso de las redes sociales que hacen trabajadores o particulares y que afectan al derecho de terceros, los tribunales franceses nos están regalando una resolución tras otra sobre este particular.

La sentencia que les voy a comentar hoy se remonta a hechos que ocurrieron en la noche del 7 de diciembre de 2008. Una persona fue agredida en un autobús de París. Las cámaras de videovigilancia captaron la escena, lo que permitió identificar al agresor, juzgarle y condenarle.

El asunto se habría quedado aquí si no hubiera sido porque un policía, que tuvo acceso a las imágenes grabadas en su puesto de trabajo, las copio en un USB y las colgó en su perfil de Facebook.

En ese momento, tenía 109 amigos, lo que no está mal para un joven de 27 años. Alguno de ellos, probablemente, lo distribuyó fuera de la red social. En cuestión de horas, el vídeo pasó a Youtube, a  Dailymotion y a un sitio relacionado con el Front National. Tuvo una difusión considerable, y como es lógico, distintos medios de comunicación (como por ejemplo el periódico gratuito "20 minutes", equivalente al que existe en España, y que, como aquí,  se reparte sobre todo en transportes públicos) investigaron su origen hasta dar con la cuenta de Facebook del policía.

La víctima presentó una denuncia contra él, que explicó que había tenido acceso a las imágenes en un ordenador de la sala de redacción de la comisaría de la Estación de Lyon, y que desconocía que dichas imágenes tuvieran un carácter reservado.

El Tribunal consideró que un funcionario encargado del mantenimiento de la seguridad de los transportes públicos no puede alegar tal desconocimiento, y condenó al autor de los hechos al pago de 3.500 euros a la víctima, y a dos meses de prisión con prórroga.

En España, esta conducta podría ser constitutiva de un delito de descubrimiento y revelación de secretos por autoridad o funcionario público, previsto en el art. 198 del Código Penal.

Independientemente de ello, la víctima tendría a su disposición el ejercicio acciones civiles en defensa de su derecho al honor (lo que le permitiría obtener una indemnización económica) y la posibilidad de presentar denuncia ante la Agencia Española de Protección de Datos. En este último caso, creo que se debería presentar no ante el policía, sino ante la Comisaría en la que recaía el deber de adoptar medidas de seguridad en relación a los ficheros de los que es responsable. No obstante, existen precedentes, que ya les comenté en otra ocasión, en los que la AEPD ha sancionado a particulares por difusión de vídeos en la red. La justificación para sancionar en estos casos es que el número de receptores de las imágenes hace que no se pueda alegar la excepción de tratamiento doméstico.

Pueden consultar la Senetencia de 6 de septiembre de 2011, del Tribunal de Grande Instance de Paris (17ème chambre Jugement) aquí.

jueves, 22 de septiembre de 2011

LOPD for Dummies: Cesiones de datos relativos a la salud

No sé por qué algunos profesionales de la privacidad se empeñan en amparar las cesiones de datos relativos a la salud en las excepciones al consentimiento del art. 11.2 de la LOPD, cuando la AEPD ha explicado claramente que esto no es de recibo.


"Debe señalarse aquí que la Agencia Española de Protección de Datos ha puesto reiteradamente de manifiesto que la aplicación del artículo 7.3 implica, por mor del principio de especialidad, la imposible aplicación a los datos referidos en el mismo de cualquiera de las causas legitimadoras de cesión inconsentida previstas en el artículo 11.2 de la Ley Orgánica, quedando limitados los supuestos habilitantes del tratamiento y cesión de estos datos a los establecidos en la norma especial o a aquéllos en los que la norma general se refiere expresamente a tales datos (como sucede en relación con los datos de salud en el artículo 11.2 f) de la Ley Orgánica 15/1999, esto es, cuando sea necesario para solucionar una urgencia o realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica).

En este sentido, la norma especial viene constituida por la Ley 41/2002, de 14 de noviembre, básica reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en materia de Información y Documentación Clínica, cuyo artículo 16 limita los supuestos de cesión de datos de la historia clínica a terceros ajenos a la asistencia sanitaria a dos supuestos y en los siguientes términos:

“3. El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, y en la Ley 14/1986, General de Sanidad, y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a reservar los datos de identificación personal del paciente, separados de los de carácter clínico-asistencial, de manera que como regla general quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos. Se exceptúan los supuestos de investigación de la autoridad judicial en los que se considere imprescindible la unificación de los datos identificativos con los clínicoasistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales en el proceso correspondiente. El acceso a los datos y documentos de la historia clínica queda limitado estrictamente a los fines específicos de cada caso”.

“5. El personal sanitario debidamente acreditado que ejerza funciones de inspección, evaluación, acreditación y planificación, tiene acceso a las historias clínicas en el cumplimiento de sus funciones de comprobación de la calidad de la asistencia, el respeto de los derechos del paciente o cualquier otra obligación del centro en relación con los pacientes y usuarios o la propia Administración sanitaria”.

Poco más se puede añadir. No obstante, si siguen sin creérselo, consulten el Informe Jurídico 130/2008, sobre tratamiento de datos en supuestos de interrupción voluntaria del embarazo.

Como ven, no basta con saber leer para interpretar una norma jurídica. ¡Ay, más de uno debería dedicarse a escribir editoriales en “Soy Pilarista ”!

domingo, 18 de septiembre de 2011

Qué leer (un domingo por la mañana)

Para que no se aburran, aquí les dejo una selección de links:

- Tras leer esta noticia, sobre la contra-campaña que Israel ha organizado en redes sociales para frenar la propaganda palestina en la ONU, se me ha ocurrido buscar más información sobre propaganda política en Internet. He dado con un interesantísimos trabajo que analiza el caso chechenio, escrito por Miguel VÁZQUE LIÑÁN.

- Por otro lado, Google ha conseguido el premio "Big Brother 2001", en la categoría de entidad privada, otorgado por Effi (Electronic Frontier Finland). Más información sobre los "BIG BROTHER AWARS 2011" aquí. No se pierdan el muñequito.
 
- El siguiente artículo les va a encantar: El hacker que robó las fotos de la Johansson encuentra nuevas víctimas. Y sepan que el link incluye la famosa foto de la susodicha sin pixelados.


Ahí se quedan, me voy al Retiro. Buenos días.

sábado, 17 de septiembre de 2011

LOPD for Dummies: Responsable del Fichero y Responsable del Tratamiento

Esta vez, el título no tiene ninguna errata. Han leído bien: "Responsable del Tratamiento", no "Encargado del Tratamiento". Recuerden que el artículo 3 de la LOPD, dedicado a deficiones, indica lo siguiente en su apartado d):

Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

A lo largo de su articulado, la ley utiliza indistintamente ambos términos ("Responsable del Fichero" y "Responsable del Tratamiento" como sinónimos). Sin embargo, desde hace ya bastantes años, la Agencia descubrió que la figura del responsable del tratamiento podría ser de utilidad para evitar que algunas empresas se fueran de rositas siendo las beneficiarias de las campañas de márketing.

La verdad, me sorprende comprobar que algunos profesionales de la privacidad desconozcan este aspecto tan básico, por eso he decidido tratarlo en un post de la sección más popular de este blog, "LOPD for Dummies".

Ya en tiempos de la LORTAD, se daba el caso de que algunas empresas intentaban obviar toda responsabilidad en el tratamiento de datos contratando campañas publicitarias con otra sociedad que utilizara sus propios ficheros, es decir, ficheros de elaboración propia o comprados a un tercero, que había inscrito a su nombre en el Registro General de Protección de Datos. La primera empresa, la beneficiaria de la publicidad, no tenía ninguna capacidad de decisión sobre las bases de datos utilizadas en la campaña, ni accedía en ningún momento a la misma. Su defensa era que no podía ser considerada Responsable del Fichero, que no tenía nada que ver con él: El Responsable del Fichero, a todos los efectos, era la empresa contratada, que podría seguir utilizándolo en campañas para otras entidades.

La AEPD, sin embargo, sancionaba a todos los intervinientes en la campaña, alegando que, aunque la beneficiaria de la publicidad no fuera Responsable del Fichero, sí lo era del tratamiento en el que se había producido infracción de la ley. Estas resoluciones de la Agencia se recurrieron, y no sólo la Audiencia Nacional, sino también el Tribunal Supremo, avalan esta interpretación de la ley. Lean como muestra lo que dice Sentencia del TS de 05 de junio de 2004, una de las pocas que la AEPD ha colgado en su web:

“Se desprende asimismo de los repetidos apartados del art. 3, como ya se ha manifestado, la diferenciación de dos responsables en función de que el poder de decisión vaya dirigido al fichero o al propio tratamiento de datos. Así, el responsable del fichero es quien decide la creación del fichero y su aplicación, y también su finalidad, contenido y uso, es decir, quien tiene capacidad de decisión sobre la totalidad de los datos registrados en dicho fichero. El responsable del tratamiento, sin embargo, es el sujeto al que cabe imputar las decisiones sobre las concretas actividades de un determinado tratamiento de datos, esto es, sobre una aplicación específica. Se trataría de todos aquellos supuestos en los que el poder de decisión debe diferenciarse de la realización material de la actividad que integra el tratamiento.”

En otras palabras, y más simple, que el al fin y al cabo, estamos en un post para "dummies": Se ha trasladado al ámbito de la protección de datos aquello de "Prohibido fijar carteles. Responsable: La empresa anunciadora".

Como podrán deducir si han llegado hasta aquí en su lectura, el art. 46 del RLOPD trae causa en esta interpretación de la ley. En él, se fijan criterios para la asignación de responsabilidades a empresas encomiendan a terceros la realización de campañas publicitarias utilizando bases de datos que el beneficiario de la publicidad no ve ni en pintura. Fíjense que en todo momento, se habla de "Responsable del Tratamiento".

Si otro día me acuerdo, les explicará como redactar adecuadamente un contrato de prestación de este tipo de servicios para no pillarse los dedos. Por el momento, hoy lo dejamos aquí. Buenos días.