Archivo por meses: enero 2012

Responsabilidad de los Intermediarios en Internet

Posted on por
Responder

En la prestación de servicios en Internet intervienen diferentes tipo de intermediarios. Veamos los más comunes:

1.- Los prestadores de servicios de acceso a Internet (Internet Service Provider ó ISP). Por ejemplo, Ono, Telefónica…

2.- Los prestadores que alojan contenidos, ya sea un simple Hosting o vayan más allá, como Youtube ó páginas similares a lo que era Megaupload, hoy «precintada» al estilo Hollywood.

3.- Los prestadores de servicios donde se alojan opiniones, como blogs, foros (WordPress, Blogger…)

4.- Los prestadores que facilitan enlaces a otras webs para descarga de contenidos o visitando en streaming.

5.- Los prestadores de «Caching«: recogen información de otras webs para mostrarla ordenada (Rumbo, Atrápalo).

Todos ellos  y muchos otros tipos, son intermediarios, y su responsabilidad, en algunos casos, queda limitada por la Directiva Europea de Sociedad de la información y su, más o menos acertada, transposición a nuestra LSSI.

Esta limitación de responsabilidad se encuentra en la Directiva en los artículos 12, 13, 14 y 15.

En la LSSI los encontramos en los artículos 13, 14, 15, 16 y 17.

Veamos pues uno a uno y sus pequeñas diferencias con lo que debería haber sido la correcta traducción y transposición:

El artículo 13 de la LSSI. Responsabilidad de los prestadores de los servicios de la sociedad de la información.

Los prestadores de servicios de la sociedad de la información estén sujetos a la responsabilidad civil, penal y administrativa establecida con carácter general en el ordenamiento jurídico, sin perjuicio de lo dispuesto en esta Ley.

Para determinar la responsabilidad de los prestadores de servicios por el ejercicio de actividades de intermediación, se estará a lo establecido en los artículos siguientes.

Nada que añadir, es claro.

El artículo 14 de la LSSI. Responsabilidad de los operadores de redes y proveedores de acceso.

«Los operadores de redes de telecomunicaciones y proveedores de acceso a una red de telecomunicaciones que presten un servicio de intermediación que consista en transmitir por una red de telecomunicaciones datos facilitados por el destinatario del servicio o en facilitar acceso a ésta no serán responsables por la información transmitida, salvo que ellos mismos hayan originado la transmisión, modificado los datos o seleccionado éstos o a los destinatarios de dichos datos.»

Por tanto a los ISP se les libra de toda responsabilidad en relación con los contenidos salvo que haya implicación activa. El gran error de la transposición de este archivo es que restringen esta limitación de responsabilidad a los «operadores de redes de telecomunicaciones y proveedores de acceso a una red de telecomunicaciones«, que son conceptos bien definidos por la Ley de Telecomunicaciones, cuando la Directiva europea claramente dice » cuando se preste un servicio de la sociedad de la información consistente en transmitir por una red de comunicaciones datos facilitados por el destinatario del servicio, el prestador del servicio no pueda ser considerado responsable del almacenamiento automático, provisional y temporal de esta información «, independientemente de si es un operador de redes o una empresa cualquiera. Por tanto, la LSSI restirnge mucho esta responsabilidad, creyendo que la Directiva sólo se refería a Telefónica.

No se entenderá por modificación la manipulación estrictamente técnica de los archivos que alberguen los datos, que tiene lugar durante su transmisión.

Las actividades de transmisión y provisión de acceso a que se refiere el apartado anterior incluyen el almacenamiento automático, provisional y transitorio de los datos, siempre que sirva exclusivamente para permitir su transmisión por la red de telecomunicaciones y su duración no supere el tiempo razonablemente necesario para ello.

DEBEMOS TENER SIEMPRE PRESENTE QUE EL ARTÍCULO NOS ESTÁ DICIENDO CUÁNDO EL PRESTADOR NO ES RESPONSABLE, NO NOS ESTÁ DICIENDO CUÁNDO SÍ ES REPONSABLE.

Artículo 15 LSSI. Responsabilidad de los prestadores de servicios que realizan copia temporal de los datos solicitados por los usuarios.

Los prestadores de un servicio de intermediación que transmitan por una red de telecomunicaciones datos facilitados por un destinatario del servicio y, con la única finalidad de hacer más eficaz su transmisión ulterior a otros destinatarios que los soliciten, los almacenen en sus sistemas de forma automática, provisional y temporal, no serán responsables por el contenido de esos datos ni por la reproducción temporal de los mismos, si:

  1. No modifican la información.
  2. Permiten el acceso a ella sólo a los destinatarios que cumplan las condiciones impuestas a tal fin, por el destinatario cuya información se solicita.
  3. Respetan las normas generalmente aceptadas y aplicadas por el sector para la actualización de la información.
  4. No interfieren en la utilización lícita de tecnología generalmente aceptada y empleada por el sector, con el fin de obtener datos sobre la utilización de la información, y
  5. Retiran la información que hayan almacenado o hacen imposible el acceso a ella, en cuanto tengan conocimiento efectivo de:
    1. Que ha sido retirada del lugar de la red en que se encontraba inicialmente.
    2. Que se ha imposibilitado el acceso a ella, o
    3. Que un tribunal u órgano administrativo competente ha ordenado retirarla o impedir que se acceda a ella.

Artículo 16 de la LSSI. Responsabilidad de los prestadores de servicios de alojamiento o almacenamiento de datos. («Hosting»)

Los prestadores de un servicio de intermediación consistente en albergar datos proporcionados por el destinatario de este servicio no serán responsables por la información almacenada a petición del destinatario, siempre que:

  1. No tengan conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o
  2. Si lo tienen, actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos.

Se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el párrafo a) cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución, sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse.

2. La exención de responsabilidad establecida en el apartado 1 no operará en el supuesto de que el destinatario del servicio actúe bajo la dirección, autoridad o control de su prestador.

Artículo 17 de la LSSI. Responsabilidad de los prestadores de servicios que faciliten enlaces a contenidos o instrumentos de búsqueda.

Los prestadores de servicios de la sociedad de la información que faciliten enlaces a otros contenidos o incluyan en los suyos directorios o instrumentos de búsqueda de contenidos no serán responsables por la información a la que dirijan a los destinatarios de sus servicios, siempre que:

  1. No tengan conocimiento efectivo de que la actividad o la información a la que remiten o recomiendan es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o
  2. Si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace correspondiente.

Se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el párrafo a cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución, sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse.

La exención de responsabilidad establecida en el apartado 1 no operará en el supuesto de que el proveedor de contenidos al que se enlace o cuya localización se facilite actúe bajo la dirección, autoridad o control del prestador que facilite la localización de esos contenidos.

De todos estos artículos sacamos las siguientes conclusiones: El prestador de servicios de acceso a Internet, o el prestador de servicios de hosting o de contenidos como YouTube, no tienen una obligación de vigilancia de los contenidos o información que transmiten o alojan (entre otras cosas porque técnicamente aún es muy complicado). Tengamos en cuenta que por ejemplo YouTube recibe una cantidad de 48 horas en vídeos por minuto cada día, y más de 3 billones de visualizaciones diarias).

En relación con este tema, es curioso el caso Scarlet (antes Tiscali). Una Entidad de gestión Belga demandó (digamos que es la SGAE belga) a Sacarlet (un ISP) por «Permitir» el tráfico de archivos mediante redes P2P. Curiosamente el juez accedió a la petición de la Entidad de Gestión, y obligó a Scarlet, como medida cautelar, a poner un filtro que evitara la transmisión de archivos en redes P2P, lo cual técnicamente es prácticamente inviable. Sin embargo, en última Instancia, y una vez el Juez se informó debidamente y acudió a los peritos, reconoció que no existe a día de hoy una tecnología que evote la transmisión de archivos en redes P2P sin que esto comprometa la transmisión de otros muchos archivos no sujetos a propiedad intelectual. Por tanto, levantó la medida cautelar y resolvió a favor de Scarlet.

El conocimiento efectivo del artículo 16 de la LSSI

Según el artículo, se entiende que hay conocimiento efectivo cuando:

1.- Un Órgano competente (se entiende que Juzgados, Tribunales y Administración Pública) haya declarado la ilicitud de los datos u ordenado su retirada, o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión.

2.- Que el prestador conozca esta resolución.

3.- Sin perjuicio de los procedimientos de detección y retirada de contenido que pacten con terceros de forma voluntaria. Por ejemplo, Youtube podría firmar con Telecinco un acuerdo para retirar los contenidos que ésta le indique, y mantener otros repartiéndose al 50% la publicidad de ese enlace.

4.- Son perjuicio de otros medios de conocimiento efectivo (?¿?¿). Entendemos que se refiere a medidas futuras.

Este artículo es una copia casi exacta del artículo de la DIGITAL MILLENIUM COPYRIGHT ACT (DMCA) DE 1998. La gran diferencia, es que para los casos de propiedad intelectual, la DMCA establece un procedimiento muy pautado de oposición a los contenidos y su retirada de forma rápida y eficaz, es decir, que funciona, y que en España y en general en Europa no se aplica.

Debemos tener en cuenta que este procedimiento de USA es sólo válido para copyright, no para, por ejemplo, contenidos lesivos, injuruas, calumnias, etc, en una web o foro. Esto va por otra vía.

En Europa, sin embargo, se incluye todo en el mismo «saco». Sí que se menciona la posible necesidad de crear un procedimiento similar al de USA para retirada de contenidos o textos (ver considerando 40 de la Directiva y artículo 21 de la misma), pero de momento no se ha hecho nada.

Por otro lado, en USA aplica la COMMUNICATIONS DECENCY ACT (CDA), en la que básicamente se da una particular inmunidad a los prestadores de servicios online de webs, blogs, redes sociales, etc, en relación con los textos o uso de las mismas. Es decir, el responsable siempre será el autor del comentario (el usuario), pero no el titular de la plataforma (web, foro, red social…).

Ver el caso de Lori Drew y Myspace, en el que al parecer ésta provocó, en parte, el suicidio de Megan Meier.

El hecho de que USA tenga un procedimiento de retirada de contenidos para un caso y no para otro es claro. USA es la gran potencia de Copyright y esto le da dinero y debe protegerlo. El que la gente se insulte en redes sociales es algo secundario económicamente.

En Europa no hay procedimiento de retirada de contenidos establecido, y de hacerse, se pretende que sea no sólo para copyright sino también para casos como el de Lori Drew.

Algunas Sentencias interesantes:

Caso putasgae.org. STS 773/2009, Sala de lo Civil , 9 de diciembre de 2009. En este caso la SGAE demanda a putasgae.org por los contenidos de la web (básicamente opiniones vertidas de los usuarios), apelando atentados a lo honor y propia imagen. A pesar de la no responsabilidad del prestador, Sgae ganó el juicio y la Asociación de Internautos debió pagar 36.000 euros de indemnización. En este caso parece que el Juez hasta desconoce la LSSI. Inaudito.

Caso quejas-online. Se trata de una web en la que la gente vierte opiniones sobre empresas, servicios, etc. En un momento, uno de los comentarios fue el siguiente: «Soy abogado de la mutua madrileña y estoy harto de que me obliguen a retrasar los expedientes para no pagar». Este comentario incluía el nombre del abogado real, que fue suplantado. El abogado demandó a la web, que retiró diligentemente el contenido, pero además quería saber la identidad del que publicó el comentario, a lo cual la web se negó por protección de los datos de carácter personal de su «cliente». Finalmente, se condena a la web. De nuevo parece que el Juez no conoce la LSSI, y en particular su artículo 16.

STS 289/2010, Juzgado de lo Mercantil nº 7 de Madrid, de 20 de septiembre de 2010. TELECINCO demanda a YOUTUBE por albergar contenidos de la cadena de televisión. Youtube consiguió de mostrar que en cuanto Telecinco notificaba e identificaba los videos que debían retirar, Youutbe los retiraba, pero T5 pretendía que Youtbe llevara una labor de vigilancia de los contenidos de T5, lo cual la Ley no obliga y además técnicamente es imposible, por lo que el Juez falló a favor de YouTube, eximiéndole de responsabilidad conforme el artículo 16 de la LSSI. Por tanto, parece que el conocimiento efectivo también puede ser la notificación por parte del afectado

Por tanto, el art 16 no se refiere exclusivamente al las empresas de Hosting, ya que Youtube es más un Editor que una empresa de Hosting.

¿A quién corresponde la vigilancia de los contenidos entonces?

En mi opinión, ya que la LSSI exime a los prestadores de esta obligación, corresponde a los verdaderos interesados que son los  titulares de los derechos o autores. Como cualquier otra propiedad, es el titular el que debe velar o defender la misma. Si tienes una casa y un tercero la derriba, ¿responsabilizarías al que ha permitido que contruyas en es terreno?, ¿o por el contrario buscarías al que derribó tu casa?.

Caso indice-web. Es una página de enlaces a terceros servidores fuera de su propiedad para descarga o visualización en streaming de obras protegidas por derechos de autor, con o sin autorización.

Hay dos tipos de enlaces:

1.- E-link o archivos compartidos mediante redes P2P. Es un enlace que hace que se ejecute mi programa de p2p (por ejemplo emule) y me bajo el archivo del ordenador de un tercero, y a su vez un tercero en esta operación se puede estar bajando un archivo de mi ordenador.

2.- Descargas «directas» a traves de enlaces. En realidad NO son directas puesto que es el servidor de un tercero.

3.- Enlaces para visualización en streaming. Caso megaupload.

Es importante que los enlaces NO son hosting.

En principio, un enlace publicado en una web no es reproducción, ni distribución, ni transformación ni comunicación pública, pero sí se considera «puesta disposición» (Art. 20.2. i) de la LPI).

En definitiva, llegamos a las siguientes conclusiones:

1.- Hay que ponderar caso por caso.

2.- Los enlaces publicados en una web de por sí no suponen infracción de propiedad intelectual.

3.- Los enlaces que redirigen a descargas de archivos mediante redes p2p o a páginas para visualización en streaming tampoco suponen una infracción. De hecho, Google es todo enlaces en su buscador, y no se le responsabiliza por ello.

4.- Para los autores quizás sí cabría «atacar» por el ar´ticulo 17 de la LPI.

Por último, dar las gracias a A. Abril y su ponente de las sesión de ayer, del que no recuerdo ahora su nombre pero en cuanto lo sepa lo modifico, por su gran interés y sus valiosísimas aportaciones.

www.andresbruno.com

Seguridad y Cloud Computing

Posted on por
Responder

Compliance in Cloud Computing: seguridad juridica en la “nube”

Introducción

http://www.ipc.on.ca
“… unlimited information passing …”
“Modeling Cloud Computing Architecture Without Compromising Privacy: A Privacy by Design Approach.

Según la NIST el cloud computing se entiende con base a las siguientes características:

#1: Autoservicio
#2: Amplio acceso a la red
#3: Reserva recursos comunes
#4: Rapidez y flexibilidad
#5: Medible y supervisado

Fuente: “Guía para la seguridad en áreas críticas de
atención en Cloud Computing” de la CLOUD SECURITY ALLIANCE.
Nicholas G. Carr ya hizo una compartiva del cloud computing con el auge de la comercialización de la electricidad en Estado Unidos, cuando miles de empresas dejaron su actividad para dedicarse exclusivamente a producir y vender electricidad.

The End of Corporate Computing”: virtualización + “grid” + “web services”

Cifras:

Se estima que el Cloud computing moverá alrededor de:

130 Exabytes a 1,6 Zettabytes (sobre 5 del total) hasta el 2015
Fuente: CISCO

44,2 billones de dólares en 2013
Fuente: IDC

• “Cloud security is a tractable problem–There are both advantages and challenges”

Effectively and Securely Using the Cloud Computing Paradigm

Peter Mell, Tim Grance

NIST, Information Technology Laboratory

“A cloud without robust data protection is not the sort of cloud we need”
Sra. Neelie Kros, European Commission Vice-President for the Digital Agenda

Autodeterminación informativa

¿Qué datos tienen de mi ?
¿Quien los tiene?
¿Con qué finalidad?
Derecho activo de control sobre los datos personales
http://www.forrester.com/cloudprivacyheatmap

Do You Know Where Your Data Is In The Cloud?

http://www.privacyinternational.org/survey/dpmap.jpg

El programa de trabajo 2010-2011 del grupo del Artículo 29 incluía explícitamente analizar el “cloud computing” en relación a la protección de datos de carácter personal.

http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/

Riesgos y amenazas

Top Threats to Cloud Computing V1.0 March 2010

1: Abuso y mal uso del “cloud computing”
2: Interfaces y APIS poco seguros
3: Amenaza interna
4: Tecnologías compartidas
5: Pérdida o fuga de información
6: Secuestro de sesión o servicio
7: Riesgos por desconocimiento

https://cloudsecurityalliance.org/research/top-threats/

1: Accesos de usuarios con privilegios
2: Cumplimiento normativo
3: Localización de datos
4: Aislamiento de datos
5: Recuperación
6: Soporte investigativo
7: Viabilidad a largo plazo

http://www.gartner.com

Guidelines on Security and Privacy in Public Cloud Computing
Wayne Jansen
Timothy Grance

Draft Special Publication 800-144

1: Governance
2: Compliance
3: Trust
4: Architecture
5: Identity and Access Management
6: Software Isolation
7: Data Protection
8: Availability
9: Incident Response

Computer Security Division
Information Technology Laboratory
National Institute of Standards and Technology
Gaithersburg, MD 20899-8930
January 2011

Haz clic para acceder a Draft-SP-800-144_cloud-computing.pdf

Key Security and Privacy Issues

“Cloud computing. Benefits, risks and recommendations for information security” (2009)

Technical risks

Legal risks

http://www.enisa.europa.eu/publications/act/rm/files/deliverables/cloud-computing-risk-assessment

Policy and organizational risks

1 Lock-in
2 Loss of governance
3 Compliance challenges
4 Loss of business reputation due to co-tenant activities
5 Cloud service termination or failure
6 Cloud provider acquisition
7 Supply chain failure

Technical risks

8 Resource exhaustion (under or over provisioning)
9 Isolation failure10 Cloud provider malicious insider – abuse of high privilege roles
11 Management interface compromise (manipulation, availability of
infrastructure)
12 Intercepting data in transit
13 Data leakage on up/download, intra-cloud
14 Insecure or ineffective deletion of data
15 Distributed denial of service (DDoS)
16 Economic denial of service (EDOS)
17 Loss of encryption keys
18 Undertaking malicious probes or scans
19 Compromise service engine
20 Conflicts between customer hardening procedures and cloud environment
Legal risks
21 Subpoena and e-discovery
22 Risk from changes of jurisdiction
23 Data protection risks
24 Licensing risks

Final Draft IWGDPT (16 January 2012)

Working Paper on Cloud Computing Privacy and data protection issues

A. Acuerdos de nivel de servicio

B. Violaciones de la seguridad de la información

B. Transferencia de datos a terceros países que no proporcionan suficienteprotección

C. Vulneración de la legislación y principios de privacidad y protección de datos

D. El responsable del tratamiento acepta términos y condiciones generales que el proveedor de servicios “cloud” le impone, incluyendo la posibilidad de que el proveedor de servicios en la nube puede tratar los datos de una manera que contradice las instrucciones del responsable

E. Proveedores de servicios “cloud”, o subcontratistas utilizan los datos para
finalidades no consentidas por las personas afectadas

F. La rendición de cuentas y responsabilidad se desvanecen la cadena de
subcontrataciones

G. El responsable del tratamiento pierde el control real sobre los datos y su
procesamiento

H. El responsable del tratamiento y sus terceros de confianza (auditores) no pueden
verificar adecuadamente las actividades del proveedor de “cloud”

I. Las autoridades de protección de datos tienen dificultades para supervisar este
tipo de actividades

J. El responsable del tratamiento debe confiar ciegamente en el proveedor
http://www.datenschutz-berlin.de/content/europa-international/international-working-group-on-data-protectio in-telecommunications-iwgdpt

Cumplimiento normativo – Cumplimiento en el “cloud”

Fuente: Cloud Compliance Report. Capítulo Español de la Cloud Security Aliance

• Anteproyecto de Ley de modificación de la Ley
32/2003, de 3 de noviembre, General de Telecomunicaciones
• Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos
• Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico
• Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal
• Aspectos Jurídicos Laborales
• Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal Privacidad y protección de datos

1. Legislación aplicable

2. Encargado de tratamiento

3. Medidas de seguridad

4. Transferencias Internacionales

5. Ejercicio de derechos

6. Autoridades de control

7. Comunicación de datos a autoridades públicas

Contratación de servicios TIC

Fuente: Cloud Compliance Report. Capítulo Español de la Cloud Security Aliance

Evidencias digitales

Fuente: Cloud Compliance Report. Capítulo Español de la Cloud Security Aliance

Las “amenazas principales” y la prueba electrónica

1. Uso indebido o ilícito
2. Abuso o uso indebido de interfaces inseguras
3. Abuso por parte del proveedor del servicio
4. Riesgos asociados a al compartición de recursos
5. Pérdida de datos
6. Fugas de información
7. Secuestro de la cuenta o servicio
8. Otros riesgos desconocidos Auditoria

Necesidad de metodologías y tecnologías de auditoría mdiferenciadas por el modelo de computación en la nube.

Fuente: Cloud Compliance Report. Capítulo Español de la Cloud Security Aliance

Principales áreas a auditar

1. Gobernanza de las TIC
2. Cumplimiento (Normativo y Contractual)
3. Privacidad
4. Seguridad de TIC
5. Gestión de operaciones (Red)
6. Plan de contingencia

Administraciones públicas y cloud Privacy
Recommendations for the Use of Cloud
Computing by Federal Departments and Agencies
Privacy Committee
Web 2.0/Cloud Computing
Subcommittee

Seguridad y fiabilidad en las nubes de la Administración Pública

Informe para la toma de decisiones

Referencias

Privacy in the clouds:

Risks to Privacy and Confidentiality from cloud computing”, del World Privacy Forum (febrero de 2009)

“Cloud computing. Information Assurance Framework” (2011) y “Cloud computing.

Benefits, risks and recommendations for information security”, de ENISA (noviembre de 2009)

Guía para la seguridad en áreas críticas de atención en cloud computing”, de la CSA (noviembre de 2009)

Cloud Computing Management – Audit/Assurance Program”, de ISACA (agosto de 2010)

Privacy Recommendations for the Use of Cloud Computing by Federal Departments and Agencies”, Privacy Committee Web2.0/Cloud Computing Subcommittee (agosto de 2010)

“Cloud computing y protección de datos”, Ramón Miralles(Revista de Internet, Derecho y Pollitica – UOC, octubre de 2010)

Guidelines on Security and Privacy in Public Cloud Computing”, National Institute of Standards and Technology (enero de 2011)

«Riesgos y Amenazas en Cloud Computing”, INTECO-CERT (marzo de 2011)

Cloud Compliance Report”, Capítulo Español de la Cloud Security Aliance (mayo de 2011)

“Final Draft Working Paper on Cloud Computing Privacy and data protection issues”, International Working

Data Protection and Telecommunications, (16 de enero de 2012)

Fiscalidad. Transmisión de intangibles a No residentes.

Posted on por
Responder

La transmisión de intangibles (marcas, cesión de uso de marca, licencia de uso de un software, etc…) entre empresas españolas ambas residentes en España, desde el punto de vista fiscal no reviste mayor complejidad. El cedente facturará con el correspondiente IVA y el cesionario tributará el correspondiente Impuesto de Sociedades.

Sin embargo, la transmisión de intangibles entre una empresa española y otra no residente en España, o entre una empresa española y un Establecimiento Permanente («EP») de una empresa extranjera sí tiene más interés por las implicaciones fiscales y por tanto económicas que supone para el vendedor/prestador y comprador/usuario.

¿Qué es ser Residente a efectos fiscales?

La Ley del Impuesto de Sociedades o la Ley del IVA tratan de definir el concepto de residencia fiscal, pero en operaciones intenacionales, siempre conviene atender a la definición del Convenio de la OCDE, un Tratado Internacional que pretende unificar criterios y normas fiscales a nivel internacional para facilitar las transacciones económicas, creando Modelos de Convenio Tipo entre los países miembros. Adicionalmente, publica criterios interpretativos y orientativos para estos modelos de convenio, definiendo conceptos, etc.

El Convenio no tiene rango de Ley, pero tiene un gran peso a nivel interpretativo.

Según el Modelo de Convenio de la OCDE, en su artículo 5, define el concepto de Establecimiento Permanente para distinguir si es por tanto considerado o no residente. El concepto, que es similar al concepto definido en la Ley del IVA, e indica que se considera Residente (pondremos en este caso como ejemplo a España):

1.- Cuando esté constituida en España.

2.- Cuando tenga su sede en España.

3.- Cuando los órganos de decisión estén en España. Este último punto es el más importante para los países anglosajones.

Estos tres criterios, que están sometidos a infinidad de matices puesto que el entramado empresarial de cualquier sociedad multinacional es mucho más complejo, definen la residencia o no en un país.

El Establecimiento permanente

Para este concepto utilizaremos un ejemplo: Una empresa francesa abre una «oficina» (sin personalidad jurídica) en Barcelona con 2 empleados. ¿Esta oficina es un establecimiento permanente y por tanto deberá tributar en España conforme la Ley de IRNR?

Pues dependerá de 3 criterios:

1.- Que tengan un lugar fijo de negocio (ya sea un local, un cantera, unos empleados…). Este criterio a día de hoy se desvirtúa un poco con el comercio electrónico o empresas cuyos activos son intangibles, como Google, que aunque tiene establecimiento físico, no lo necesitaría.

2.- Permanencia temporal (oscila entre 6-12 meses). Que exista voluntad de quedarse en España.

3.- La «sustancia», es decir, que la «oficina» tiene autonomía (para negociar contratos, o contratar directamente).

Por tanto, es muy importante saber  si la empresa con la que negocio tiene residencia en españa o no, desde el punto de vista fiscal es muy importante. ¿Cómo cerciorarnos de esto? PEDIR SIEMPRE CERTIFICADO DE RESIDENCIA. Tiene vigencia anual.

¿Qué implicaciones fiscales tiene esto?

La empresa que tiene un establecimiento permanente en España tributa por el IRNR, que en definitiva más menos tributa una cuantia equivalente al impuesto de sociedades de una sociedad española, pero con matices.

¿Cómo se atribuye el beneficio al EP?

Es decir, cómo una empresa francesa reparte el beneficio entre Francia y España. Se hace a través de un complejo proceso llamado «transfer pricing«, que veremos más adelante.

¿Por qué es importante saber la residencia fiscal o si es o no un EP a la hora de contratar una venta o cesión de uso de un intangible, una marca, un software, etc..? El «withholding tax».

Es importante por una sencilla razón. Por ejemplo, si una empresa española, como es común, firma un contrato con una empresa de USA para la cesión de uso de una licencia de software, si ésta última es una empresa NO residente sin EP en España, tributará al 24,75 %. Pero como la Administración Española no puede obligar a la empresa de USA, o como no puede controlar su actividad, lo que hace es repercutir este 24, 75 % a la empresa española vía RETENCIÓN (WITHOLDING TAX).

Por tanto, si la empresa española tuviera que pagar 100.000 euros por la licencia de uso, deberá retener 24.750 euros vía retención, por lo que la empresa americana conbraría 75.250 euros, y no podría hacer nada puesto que la empresa española puede acreditar que obligatoriamente debe retener este importe, que luego ingresará en la Agencia tributaria.

Por ello, es muy común que en este tipo de contratos, se establezca muy claramente en la cláusla del precio, que estos 100.000 euros serán netos y después de impuestos, de manera que se asegure el cobro de 100.000 euros, independientemente de las retenciones. Si soy cliente, obviamente me convendría no pactar esto, puesto que pagaría menos.

Convenios de doble imposición

Muchas veces, para evitar lo comentado anteriormente, se pactan convenios de doble imposición que implican que las retenciones sean mucho menores:

5% para obras literarias

8% para contenidos cinematográficos

10% Resto

Diferencia entre beneficio real, beneficio contable y precio

Es importante saber la diferencia puesto que:

El IVA tributa sobre el precio.

El IRNR tributa sobre el precio.

El IRPF tributa sobre el beneficio.

El IS tributa sobre el beneficio.

Lo vemos mejor con un ejemplo: Una empresa compra una marca por 100.000 euros, gasto 25.000 euros en publicidad para dar valor a la marca y la vendo a 200.000 euros a otra empresa. A estos 200.000 euros se le suma el 18 % IVA (36.000 euros) que ingresara la empresa vendedora en Hacienda, y la empresa compradora lo repercutirá por el Impuesto de Sociedades (el 30 % del beneficio).

El precio sería: 200.000 euros sin IVA, con IVA 236.000 euros.

El beneficio real sería: 75.000 euros

El beneficio contable sería: 100 euros, porque los 25.000 euros de publicidad no constan en contabilidad, directamente se llevan a gasto.

Es decir, que contablemente, los intangibles NO tienen valor. La marca Google y su algoritmo, que son sus principales valores, a nivel contable valen cero. A nivel real probablemente a día de hoy su valor sea incalculable.

Particularidades fiscales del SOFTWARE para no residentes

Según el Convenio de doble imposición, como ya hemos indicado, se aplica esto:

5% para obras literarias

8% para contenidos cinematográficos

10% Resto

Por tanto en principio cabe pensar que un software tributaría al 10%. Es decir si una empresa de USA cede una licencia de uso de software a una española, ésta retendrá un 10% del precio en principio.

Sin embargo, la mayoría de los países de la OCDE, opinan que sólo tributa si la empresa cesionaria de la licencia, la va usar para explotarla comercialmente o la va a sublicenciar.

Si es usuario final, NO tributará.

En España, el usuario final también tributa, salvo 2 excepciones:

1.- Si el software es genérico (Windows por ejemplo), no específico. Es decir, que sea necesaria adaptación o personalización, como podría ser un SAP / ORACLE para un banco.

2.- El destinatario sea usuario final.

El caso curioso de España

En el caso anterior, para la mayoría de los países de la OCDE se tributaría al 5%, ya que se entiende que el lenguaje de programación de un software es análogo a una obra literaria, o al menos lo más parecido según las opciones que hay.

En este sentido también se pronunciaron varias Sentencias del Tribunal Supremo en España en relación con varios casos de IBM.

Sin embargo, en 2004 se reformó la LPI y ésta hacía una diferenciación entre obras literarias y software. Esto supuso que la Agencia Tributaria tuviera un argumento para afirmar que sobre esto, un software es una cosa y una obra literaria otra distinta, por lo que se debe tributar al 10 %  porque se considera resto (puesto que le conviene recaudar más).

Esto en realidad es lo actualmente se aplica pero NO es un argumento válido y jurídicamente no se sostiene por ningún lado si acudimos a la PRELACIÓN DE NORMAS, encontramos lo siguiente:

  1. La Constitución.
  2. Los Tratados internacionales.
  3. La Ley en sentido estricto: Ley Orgánica (que requiere mayoría absoluta de las Cortes Generales), Ley ordinaria y normas reglamentarias con rango de Ley (entre las que se encuentra el Real Decreto Ley y el Real Decreto Legislativo).
  4. Normas emanadas por el ejecutivo, con su propia jerarquía en función del órgano que las promulga (Real Decreto, Decreto, Orden ministerial, etc.).

Es decir, que los Tratados Internacionales SIEMPRE prevalecerán sobre cualquier LEy interna. Es más, el artículo 1.2 del Código civil establece que «carecerán de validez las disposiciones que contradigan otras de rango superior». Por tanto, este criterio es erróneo.

Los límites de la propiedad intelectual: La copia privada.

Posted on por
Responder

El artículo 32 de la LPI permite, aún sin ser un derecho como tal, la realización de copia privada (reproducción) por parte de una persona física en los siguientes términos:

1.- La obra haya sido divulgada
2.- Se haya accedido a la misma legítimamente
3.- Para uso privado
4.- No utilización colectiva ni lucrativa
5.- Implica una compensación económica a favor del autor/titular de los derechos

Esto NO es aplicable a:

1.- Programas de ordenador.
2.- Bases de datos electrónicas.

Redes P2P

Puntos clave que debemos tener claro:

Compartir archivos en redes p2p por un usuario NO es delito por no cumplirse todos los elementos del tipo delictivo: no hay ánimo de lucro ni perjuicio de tercero.

Compartir archivos p2p sí puede ser una infracción según la LPI, puesto que se realiza comunicación pública (se pone a disposición de terceros de forma masiva en Internet). Este punto es muy discutible pero ya entraré a fondo más adelante.

Publicar enlaces en la web es legítimo, puesto que la web sólo redirecciona a otro servidor donde sí están alojados los contenidos. Si yo sólo enlazo sin alojar los contenidos, no cometo infracción alguna. El enlace no se considera comunicación pública si los contenidos no están alojados en el propio servidor.

La «Sentencia Google». Derecho continental y «Fair Use».

Posted on por
Responder

Es ya conocida por el sector la Sentencia de la Audiencia Provincial de Barcelona de 17 de septiembre de 2008.

La gran importancia de esta Sentencia reside en que por primera vez en la historia del derecho español, se acude al «fair use» como argumento para limitar la propiedad intelectual. Independientemente de que se considere o no correcta (ya veremos qué dice el Tribunal Suprema), no cabe duda que este acercamiento, es una manifestación clara de que nuestra LPI no se ajusta en absoluto a la «era digital» y que el sistema continental en la actualidad empieza a agrietarse.

A grandes rasgos, y por no reproducir la Sentencia, podríamos decir que la situación fue la siguiente:

El titular de una web en España, advirtió que, si buscaba su web en Google, ocurrían dos cosas:

1.- Por un lado, que junto al listado de todas las webs que el motor de búsqueda de Google encontraba, se podía acceder con un «click» a la versión antigua de la web sin autorización del titular, alojada en la memoria caché de los servidores de Google.

2.- Por otro lado, advirtió que parte del contenido de su web se podía leer en el listado elaborado por el buscador de Google, sin necesidad de acceder a la propia web del demandante.

Esto, según el demandante, suponía una violación de determinados derechos de propiedad intelectual. Además, indicaba que «Google confecciona con retales de distintas páginas Web una página que presenta como propia en la que inserta publicidad«.

Esto ocurre no sólo con su web sino con la totalidad de las webs.

La demanda finalizaba solicitando que se condenara a la actora a cesar en la utilización del motor de búsquedas de páginas Web, a indemnizar al actor 2.000 euros por daño moral y a publicar la sentencia en el diario La Vanguardia.

Básicamente, lo que el Juez determina de forma muy novedosa, es lo siguiente:

1.- El art. 40 bis) LPI, introducido por la Ley 5/1998, de 6 de marzo, de incorporación de la Directiva 96/9/CE sobre bases de datos, dispone que los artículos sobre límites (art. 31 y ss LPI) no podrán interpretarse de manera tal que causen un perjuicio injustificado a los intereses legítimos del autor o que vayan en detrimento de la explotación normal de las obras a que se refieran; Este precepto, que originariamente pretendía ser un criterio general de los límites legales tipificados previamente, puede dar lugar a que, por vía interpretativa, nos cuestionemos los límites de estos derechos más allá de la literalidad de los preceptos que los regulan, positiva y negativamente, en este caso los derechos de reproducción y de puesta a disposición (comunicación).

2.- Lo que en el ámbito anglosajón es la doctrina del fair use debería guiar nuestra interpretación del alcance de la protección de los derechos de propiedad intelectual, que en ningún caso pueden configurarse como derechos absolutos, y sus límites. En última instancia, se trata de trasladar a la esfera de la propiedad intelectual lo que el ius usos inoqui ha sido para la propiedad mobiliaria e inmobiliaria, un límite natural del derecho de propiedad, que opera sobre todo al interpretar el alcance de su protección para evitar extralimitaciones absurdas.

De este modo, para analizar el presente caso deberíamos atender a circunstancias tales como: la finalidad y el carácter del uso, que en este caso persigue facilitar al solicitante de la búsqueda la elección de aquellos resultados que satisfagan el objetivo perseguido con su solicitud y un primer acceso más rápido; la naturaleza de la obra, que es el contenido de una página Web expuesta al público que navega por Internet, pues si se quiere impedir o restringir el acceso existen medios técnicos para ello; la cantidad y sustancialidad de la parte reproducida y exhibida en relación con el conjunto de la obra, que es parcial y, respecto de la mostrada directamente en la lista de resultados, la mínima imprescindible para que el solicitante pueda discriminar en un primer momento si le interesa o no un determinado resultado; y el efecto sobre el mercado potencial y el valor de la obra, que no sólo no perjudica al titular de los derechos sino que le beneficia en cuanto que contribuye a la finalidad originaria de un sitio Web, que es facilitar que sea consultada por el mayor número de personas posible, contribuyendo además a descongestionar la red, pues la primera consulta se realiza sobre las copias caché de Google.

En este contexto, tiene gran interés la acertada reflexión que la sentencia de primera instancia hacía al final de su fundamento jurídico tercero, cuando ponía de relieve que la creación de una página Web y su introducción en la red responde a la finalidad de divulgarla en ese medio, lo que se logra principalmente gracias al servicio prestado por buscadores como Google, que necesariamente hacen uso del contenido de la página Web y en la medida que lo hacen con la única finalidad de facilitar la labor de búsqueda y discriminación por el internauta de los resultados obtenidos con su solicitud, llevan a cabo un uso social tolerado de aquellas obras, que responde además a la finalidad perseguida por el autor.

Esta reflexión viene guiada por el sentido común, que debe impedir sancionar y prohibir una actividad que no sólo no perjudica al titular de los derechos de propiedad intelectual sobre un sitio Web sino que le beneficia, pues contribuye a conseguir una de las finalidades implícitamente perseguidas por el autor que es su difusión y acceso a los internautas, siendo además efímera e incidental la reproducción y comunicación realizada.

(…) Razón por la cual no cabe apreciar ninguna infracción de los derechos de propiedad intelectual del actor respecto de su obra contenida en dicha pagina Web, sin que el mero hecho de prestar ese servicio caché constituya una infracción del derecho de reproducción y/o de comunicación.

En este sentido, la Sentencia falló a favor de Google aplicando criterios de fair use anglosajón.

Aunque también es verdad que alude al hecho de que el titular de la web consiente a Google que se introduzca en sus motores de búsqueda, y de alguna manera se permite de forma tácita sus condiciones. Si el titular de la web no quisiera aparecer el Google, tiene los medios técnicos para hacerlo.

 

Los límites de la propiedad intelectual: La copia técnica por transmisiones en Internet.

Posted on por
Responder

Como ya he comentado, este límite se refiere expresamente a las copias (reproducciones) que quedan en la memoria caché de los servidores, y que está configurado para los proveedores de acceso a Internet.

Este límite está sujeto a unas características:

1.- Han de ser reproducciones provisionales

2.- Formen parte de un proceso tecnológico para facilitar una transmisión en red (Internet) por un intermediario (proveedor de acceso a Internet; Ono, Telefónica, etc…).

3.- No tengan valor económico.

Hay autores que sostienen, que teniendo en cuenta la potencialidad de que los proveedores de alguna manera aprovechen estas copias en sus memorias caché, deberían pagar un mínimo de conformidad con la responsabilidad subsidiria recogida el la LSSI.

Los límites a la propiedad intelectual. Introducción y comparativa con el «fair use» anglosajón.

Posted on por
Responder

El derecho de propiedad intelectual es un derecho de exclusiva, sin más limitaciones que las establecidas en la Leyes.

La propia LPI establece de forma tasada los límites de la propiedad intelectual. Básicamente hay dos límites:

LÍMITE TEMPORAL:

1.- El derecho de autor dura la vida del mismo y 70 años post mortem (la «vida» de una generación).

2.- Los derechos conexos duran la vida del prestador y 50 años post mortem.

3.- El derecho «sui generis» dura la vida del prestador más 25 a ños post mortem.

4.- Los derechos sobre la mera fotografía duran la vida del prestador más 15 años tras su muerte.

LÍMITE MATERIAL:

Se establecen unos límites a su uso por dos causas básicamente: prevalencia de un derecho fundamental (la propiedad intelectual no lo es), o el interés público.

Los límites materiales se caracterizan por permitir el uso de obras (reproducción, distribución, comunicación pública, transformación) de forma libre, ya sea de forma gratuita u onerosa.

Por ejemplo, se permite la parodia de obras porque prevalece el derecho fundamental a la libertad de expresión, de forma gratuita.

O por ejemplo, se permite la copia privada de obra, aunque lleve aparejada una compensación económica (antes era el canon, ahora con cargo a los PGE).

Nos vamos a centrar en los Límites Materiales, puesto que los temporales ya los he tratado.

Los límites Materiales de los Derechos Patrimoniales en la Propiedad Intelectual

Aclaración: el derecho moral del autor es irrenunciable y no se limitan, salvo por voluntad del propio autor.

En cuanto a los derechos patrimoniales, debemos plantear algunas ideas:

1.- El autor/titular de derechos no siempre puede ejercitar su derecho de forma exclusiva.

2.- Se permite en algunos casos la explotación de obras si autorización del autor: de forma gratuita u onerosa.

Derecho continental (límites tasados) Vs. Derecho anglosajón («fair use«)

El Derecho continental (Francia, Italia, España, Alemania, Austria, etc…) basan la Propiedad intelectual en límites tasados y cerrados. Fuera de estos límites, el autor tiene derecho a cobrar por el uso de su obra.

En el Derecho anglosajón, no existen límites tasados, sino que se basa la llamada Doctrina del «fair use», o «uso justo». De esta manera, al final es el Juez el que pondera, caso por caso, si su utilización está sujeta o no al derecho patrimonial del autor y por tanto se debe (o no) pagar por su uso. Es curioso que precisamente los países anglosajones tienen la industria de Copyright más potente del mundo, pero prefieren el «fair use».

En Estados Unidos, para determinar este «uso justo» de una obra sujeta de derechos de propiedad intelectual, se determina por el artículo 107 de la Copyright Act, que indica de forma amplia cuándo el uso de una obra es lícito teniendo en cuenta determinados factores:

1.- Finalidad y carácter del uso (educativo, comercial, investigación…).

2.- Tipo de obra utilizada (no es lo mismo un videojuego que una base de datos científica).

3.- Cantidad de la obra utilizada o importancia de la misma en relación con la obra en su totalidad (no es lo mismo hace una mención usando una parte de la obra que el uso completo de una canción, por ejemplo)

4.- El efecto del uso de la obra sobre el mercado potencial de la obra, o su valor. Por ejemplo este punto fue básico en el caso Napster (uno de los primeros programas P2P para compartir archivos on line).

En España, actualmente se mantiene un régimen típicamente continental con límites tasados a los derechos patrimoniales del autor, es decir, que no existe obligación de pago en los siguientes casos:

1.- Copias técnicas por transmisiones por Internet. Este límite lo impuso la Directiva de la Sociedad de la Información y se refiere básicamente a que las reproducciones provisionales que se realizan de obras para transmitir paquetes de datos a través de Internet, no obligan al pago. Esto se justifica en el hecho de que las reproducciones son millones a lo largo del día, son incontrolables y no suponen un aprovechamiento. Visto de otra manera, este límite fue requerido por el Lobby de prestación de servicios de Internet (Ono, Telefónica, Yacom, Jazztel, etc…), que no veían la necesidad de pagar por esto.

2.- Copia privada para uso personal, sujeta a canon digital.

3.- Cita de obras.

4.- Reseña de obras y revista de prensa (press clipping).

5.- Excepción educativa.

6.- Explotación de obras con finalidad informativa.

7.- Obras en vía pública.

8.- Explotación a favor de bibliotecas y otros centros.

9.- Actos oficiales y ceremonias religiosas.

10.- Parodia.

Estos límites los encontramos en la LPI, en los artículos 31 a 39. Es númerus clausus.

Sin embargo, hemos de tener en cuenta un artículo muy corto pero a su vez muy importante de la porpia LPI: Es el artículo 40 bis, que indica que los límites indicados «no podrán interpretarse de manera tal que permitan su aplicación de forma que causen un perjuicio injustificado a los intereses legítimos del autor o que vayan en detrimento de la explotación normal de las obras a que se refieran.»

Este artículo es lo que en los países que aplican este sistema llaman «three step test«, ya que este «límite a los límites» está recogido en la C. de Berna, en el artículo 13 de ADPIC y en el artículo 5.5. de la Directiva de Sociedad de la Información. Estos tres pasos son:

1.- Se aplica a casos especiales (nuestra Ley lo omite, pero se entiende que existe). Esto se justifica en el sentido de que obviamente los límites siempre deben entenderse como una expeción, puesto que si no dejan de ser límites para convertirse en la norma general.

2.- No entre en conflicto con la explotación normal de la obra.

3.- No atente contra los intereses legítimos del autor.

Estos límites se aplican igualmente a los derechos conexos de conformidad con uno de los artículos más crípticos y casi humorísticos de la LPI: el artículo 132 de la LPI.

«Las disposiciones contenidas en el artículo 6.1, en la sección 2.ª del capítulo III, del Título II y en el capítulo II del Título III, salvo lo establecido en el párrafo segundo del apartado segundo del artículo 37, ambos del Libro I de la presente Ley, se aplicarán, con carácter subsidiario y en lo pertinente, a los otros derechos de propiedad intelectual regulados en este Libro.»


 

 

Alternativas de recuperación de desastres. Contratos hot/warm/cold site, Contrato de Instalaciones duplicadas, Sitios móviles y Acuerdos recíprocos

Posted on por
Responder

Como posibles vías para prevenir un desastre se acude a cuatro tipos diferentes de contratos.

1.- Contratos hot/warm/cold sites.

2.- Contrato de Instalaciones duplicadas

3.- Contrato de sitio móvil

4.- Acuerdos recíprocos

Contratos hot sites.

En estos contratos lo que se regula es el arrendamiento de un servicio que implica la instalación completa de un dispositivo en una ubicación física con equipos, procesador de datos, servidores, información real, softwares instalados y compatibles que permitan a la empresa, poder acudir a él en caso de desastre y seguir funcionando en un periodo de 1 a 3 horas.

Estoso contratos se utilizan para los sistemas centrales más importantes de la empresa, cuyo fallo supondría un estado crítico.

En estos contratos también se regula el personal capaz de operar el sistema, las copias de seguridad, etc.

Se definirán los elementos de comunicación.

Puntos clave del contrato:

1.- Identificar claramente cómo localizar al proveedor en caso de desastre, con qué personas hablar, medios para comunicarse, tiempo de respuesta, etc.

2.- Si un hot site es compartido por una tercera empresa, habrá que definir quién tiene prioridad para su uso o cual será el sistema para tener la prioridad (generalmente es quien llame primero y pueda demostrarlo).

3.- Responsabilidad del prestador de servicios.

4.- Tiempo máximo de respuesta del hot site, incluyendo niveles de calidad de los servicios.

5.- Definir el personal mínimo asignado según la criticidad.

6.- Definir penalizaciones según la responsabilidad.

7.- Confidencialidad y LOPD es básico.

8.- Seguimiento contractual hasta el fin del servicio.

9.- Auditorías

10.- Revisión de precios y bechmarking.

11.- Plan de retorno de información y documentación del cliente.

Su funcionamiento es durante un escaso periodo de tiempo (horas) y por ello suele ser muy costoso.

Warm sites

Es como un hot site pero para elementos menos críticos.

Los equipos se configuran parcialmente, pero se deben configurar las conexiones de red.

Se suelen destinar estos contratos a sistemas NO centrales, sino accesorios.

Se configura para una utilización más larga que el hot site.

Cold Site

Es para un entorno básico: cableado electrico, aire acondicionado, y demás sistemas NO críticos.

Contrato de Instalaciones duplicadas

Es un contrato de prestación de servicios que lleva aparejada la duplicación de una instalación del sistema general de una empresa en otra parte, de manera que en caso de desastre pase a utilizarse ésta última.

1.- Por ello debe ubicarse lejos de la instalación del sistema principal/central (evitar que ambos fallen por estar en la misma zona ,ya sea por apagón, terremoto, nevada, huelga, ataque violento o vía Internet, etc…).

2.- El hardware y el software debe ser absolutamente compatible, sino idéntico.

3.- Monitorización: Los recursos en ambas instalaciones deben ser idénticas, por lo que las revisiones periódicas y pruebas periódicas son básicas.

Contrato para sitios móviles

El fin es el mismo que el anterior, pero se ejecuta de forma móvil, de manera que ante la falta de algún elemento clave del sistema se pueda desplazar una «unidad móvil» que haga las funciones, repare o sustituya el elemento que falla.

Contratos de reciprocidad

En España son poco comunes, pero países como Alemania no. Se trata de llegar a un acuerdo entre dos empresas para configurar sus sistemas de manera que el caso de desastre, puedan utilizar el de la otra, alojar sus datos, etc.

Ventajas: coste menor que los anteriores.

Inconvenientes: Si no gestiona bien, los sistemas pueden resultar incompatibles, puede haber falta de comunicación en caso de cambios en los sitemas, etc…

Por ello, es necesario regular bien los siguientes puntos:

1.- Tiempo de disponibilidad del sistema anfitrión

2.- Detalle de equipos, software e instalaciones disponibles de cada empresa.

3.- Disponibilidad para voz y datos en el sistema anfitrión.

4.- Prueba, auditoría…

 

Recuperación de desastres y continuidad de negocio en los Contratos Tecnológicos

Posted on por
Responder

El objetivo de las políticas de recuperación de desastres y continuidad de negocio obviamente no necesita explicación.

Prevenir, detectar y recuperar son las palabras clave.

La prevención se realiza para estar preparados en el caso de un desastre que provoque la pérdida de datos, caída del sistema central de la empresa, las comunicaciones, etc, que impidan que pueda operar con normalidad. En algunos casos, esto no supone una gran pérdida, pero supongamos que se trata de un banco que debe pagar las nóminas de su mayor cliente, y falla. Puede ser muy grave.

¿Qué se quiere evitar?

– No poder dar servicio a los clientes.

– Daños en la reputación/imagen/marca- Aquí es clave una buena política de comunicación y gestión de crisis.

– Desprotección de activos tanto intangibles como tangibles.

– Falta de control del negocio y de la información. Esto puede derivar el responsabilidad corporativa penal.

– Incumplimientos legales, vencimientos incumplidos, plazos…

Recuperación del desastre

Es importante realizar un buen plan de recuperación en caso de desastre. Para ello debemos discriminar lo crítico de lo importante, o establecer niveles intermedios:

1.- Se debe hace un inventario de activos, ya sea ordenadores, servidores, archivos en papel, centro de proceso de datos, etc…

2.- Clasificar el desastre en función de su criticidad: por un lado se determina qué casos son críticos y se evalúa por otro cuánto tiempo puede la empresa prescindir de aquello que deje de funcionar por un caso crítico.

3.- Definir la probabilidad y potencialidad del riesgo de un desastre. Como es de suponer, varía mucho en función del carácter de la empresa, en qué país este ubicada (riesgo sísmico,  nevadas, inundaciones, huelgas…).

4.- Es básica la formación a las personas involucradas en el plan de recuperación de negocio.

5.- Realizar pruebas (simulacros) e implantación del plan.

6.- Auditorías y monitorizaciones.

Los puntos 5 y 6, que son importantísimos y clave, muchas veces son olvidados por las empresas.

Análisis de impacto del desastre en el negocio

1.- Evaluar el impacto desde el punto de vista temporal: Un día de desastre puede ser fatal para una empresa, mientras que para otra pueda implicar muy poco coste.

2.- Evaluar el coste de recuperación del desastre.

3.- Análisis coste-beneficio. Obviamente si las medidas de recuperación de desastre que vamos a implantar suponen más gasto que lo que supondría recuperar el desastre, la medida no es correcta por excesiva.

Criticidad de los sistemas de información y comunicación de las empresas

Crítico: Se debe reemplazar el sistema por capacidades idénticas y no manuales.

Vital: Cabe la sustitución por un periodo breve del sistema por métodos manuales.

Sensitivo: Cabe la sustitución por un periodo largo del sistema por métodos manuales.

No crítico: Tolera largas interrupciones sin sustitución.

Recuperación de datos

Para evitar la pérdida, hay que definir el punto de recuperación y el tiempo de recuperación, para establecer cada cuánto es necesario realizar copias de seguridad. En algunos casos será diaria, en otros semanal…

 

 

Megaupload y la política del miedo

Posted on por
Responder

Megaupload es un servicio de almacenamiento on line de ficheros que permitía subir y bajar archivos de Internet, como puede ser cualquier otro programa tipo “Cloud” en el sentido de que los contenidos quedan en “la nube”.

Megaupload además, ofrecía esta plataforma para que se pudieran descargar archivos mediante enlaces, o disfrutar de contenido audiovisual on line, sin entrar a valorar el contenido, a través de otras webs que hacían de plataforma.

Ayer, la página quedó cerrada no sólo en USA y España sino también en otros países.

Opiniones al respecto:

La Industria de la cultura indica que se han violado derechos de autor, lucrándose con contenido protegidos y distribución ilegal.

Sin embargo, también en España, precisamente, el desarrollador web e Ingeniero informático Pablo Soto, al que se le demandó por parte de Promusicae, Warner, Universal, EMI y Sony BMG y se pe pedía el pago de nada menos que 13 millones de euros de indemnización por haber diseñado un software para compartir archivos p2p que, según los gigantes de la industria, infringía derechos de propiedad intelectual, salió victorioso según el Juzgado de lo Mercantil número 4 de Madrid. Aún queda la Audiencia Provincial y acabará en el Tribunal Supremo, supongo. Ya veremos…

La razón, sin entrar en lo estrictamente jurídico, es que no se puede responsabilizar a Seat  por una multa de exceso de velocidad. No se puede controlar.

En cuanto a Megaupload, interesantes estudios independientes de la Harvard Business School y la London Business School, los Gobiernos de Suiza, Holanda y Canadá, indican que las cifra de 385 millones de euros que solicitan los demandantes, es irreal y tendenciosa.

En el caso de Pablo Soto, tampoco se ha podido demostrar cómo han calculado la cuantía que le pedían a modo de indemnización.

¿Cabezas de turco? ¿Castigo ejemplarizantes? ¿Política del miedo?

Seguiremos atentos.