Link: Nueva publicación en Todostartups.com.
Las 3 claves para que tu web sea «legal».
Responder
Archivo de la categoría: Comercio electrónico
Spam: Los e-mails publicitarios y su legalidad
La nueva factura electrónica
El 30 de noviembre se publicó en el BOE el Real Decreto 1619/2012, de 30 de noviembre, por el que se aprueba el Reglamento por el que se regulan las obligaciones de facturación.
Lo más destacable en mi opinión respecto a este RD es que por fin se equipara la factura electrónica a la factura en papel. La factura electrónica puede ser un simple PDF o un documento escaneado, eso sí, con el resto de requisitos de toda factura.
Además, el reglamento introduce una definición de factura electrónica que supone una simplificación muy importante para su emisión. Por tanto, el famoso EDI y la firma electrónica avanzada dejan de ser obligatorios, lo cual, en mi opinión, se agradece.
Si deseas ver con detalle el Real Decreto, puedes consultarlo aquí.
¿Tienes un negocio en Internet? Recuerda que debes identificarte correctamente!
Es muy común aún hoy encontrarnos con múltiples páginas webs de tiendas on line muy bien diseñadas y con productos muy atractivos, y que probablemente funcionen con gran profesionalidad, pero en las que no sabemos realmente quién nos presta el servicio. El que aparezca una marca o un logo no significa que detrás haya una gran empresa, puede ser un simple autónomo o una empresa estadounidense.
Recordemos que comprar por Internet es firmar un contrato y unas condiciones (que desgraciadamente no siempre leemos). Siendo esto así, ¿cómo es posible que ni siquiera sepamos con quién firmamos el contrato de compraventa? O ¿cómo es posible que no nos interesemos por saber quién hay detrás de una determinada tienda on line?
Tanto si eres el vendedor, en cuyo caso estás obligado a identificarte de conformidad con el artículo 10 de la LSSI, como si eres el comprador, en cuyo caso muchos nos echamos para atrás a la hora de comprar por no saber con quién estamos contratando, recuerda que siempre debe estar identificado el primero (ya sea autónomo o sea una sociedad).
Además, en el caso de los vendedores, tened en cuenta que puede existir sanción por este motivo, y responsabilidades no deseadas.
El artículo 10 de la LSSI
Este artículo dispone que el prestador de servicios (el vendedor) deberá poner los medios necesarios para que el comprador tenga acceso a los datos de este para saber con quién está contratando. En particular, deberá identificar obligatoriamente los siguientes:
- Su nombre o denominación social; su residencia o domicilio o, en su defecto, la dirección de uno de sus establecimientos permanentes en España; su dirección de correo electrónico y cualquier otro dato que permita establecer con él una comunicación directa y efectiva.
- Los datos de su inscripción en el Registro Mercantil en el que, en su caso, se encuentren inscritos o de aquel otro registro público en el que lo estuvieran para la adquisición de personalidad jurídica o a los solos efectos de publicidad.
- En el caso de que su actividad estuviese sujeta a un régimen de autorización administrativa previa, los datos relativos a dicha autorización y los identificativos del órgano competente encargado de su supervisión.
- Si ejerce una profesión regulada (por ejemplo un abogado) deberá indicar:
- Los datos del Colegio profesional al que, en su caso, pertenezca y número de colegiado.
- El título académico oficial o profesional con el que cuente.
- El Estado de la Unión Europea o del Espacio Económico Europeo en el que se expidió dicho título y, en su caso, la correspondiente homologación o reconocimiento.
- Las normas profesionales aplicables al ejercicio de su profesión y los medios a través de los cuales se puedan conocer, incluidos los electrónicos.
- El número de identificación fiscal que le corresponda.
- Cuando el servicio de la sociedad de la información haga referencia a precios, se facilitará información clara y exacta sobre el precio del producto o servicio, indicando si incluye o no los impuestos aplicables y, en su caso, sobre los gastos de envío o en su caso aquello que dispongan las normas de las Comunidades Autónomas con competencias en la materia.
- Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos electrónicamente.
gTLDS. Nombres de dominio, resolución de conflictos y ICANN (I)
Ayer la ICANN publicó el listado de solicitantes de los nuevos gTLDs (nuevos nombres de dominio de primer nivel) de los que ya hablamos en uno de nuestros posts.
El listado completo lo puedes localizar aquí.
Esto supondrá a partir de 2013 un gran cambio en la forma de gestionar los nombres de dominio, creación de nuevos servicios y también nuevas disputas, lógicamente. La práctica ha demostrado que la mayor cantidad de disputas se suele producir por dos motivos:
1.- Registro de un nombre de dominio.
2.- Uso de un nombre de dominio.
¿Qué es exactamente un nombre de dominio ó dominio de Internet?
Lejos de lo que se cree, el nombre de dominio no es una marca, ni se registra como tal, aunque a veces estén muy relacionados con éstas. Un nombre de dominio es un servicio prestado por un operador de registro (por ejemplo Verisign para las .com), y que básicamente lo que hace es traducir una IP en la que están alojados los contenidos de una web, de forma que sea más fácil de recordar. De esta forma, en lugar de utilizar el siguiente código para acceder a una web: http://175.0.45.30, se utiliza el siguiente http://andresbruno.com. Por tanto, se podría decir que un nombre de dominio no es más que una red que identifica IP´s e interconectada con los dispositivos que están conectados a la red (ordenadores, smartphones, tablets…).
El hecho de que exista un acercamiento entre las marcas y los nombres de dominio, de manera que actualmente es obvio que toda marca desea tener un dominio idéntico o muy similar a su marca, éstos se están convirtiendo en un activo muy importante para la compañía.
Los nombres de dominio y sus clases
De forma general, podemos encontrar dos tipos de nombres de dominio: los genéricos (en función de la actividad de su titular) y los territoriales (en función de su territorio).
Entre los genéricos, a su vez encontramos nombres de dominio abiertos (.com, .net, .org…) y restringidos (.gov, .edu, .mil, .int, .cat, .jobs, .pro, etc.).
Entre los territoriales, encontramos dominios como .es, .eu, .tv, .me, .la, etc.
Para distinguirlos, es tan sencillo como ver el número de letras que tienen. Si tiene dos letras, siempre será territorial.
Actualmente hay alrededor de 220 millones de nombres de dominio, de los cuales unos 92 millones son sólo .com.
Naturaleza jurídica del nombre de dominio
Como hemos comentado, un nombre de dominio no es un signo distintivo, aunque a veces actúe como tal, sino que es un servicio que evita el uso de una determinada dirección electrónica de Internet por parte de terceros, lo que implica un derecho de exclusividad similar al de la marca, sin serlo.
Además, tampoco hay un registro público de nombres de dominio: al adquirir un dominio se firma un contrato de uso del servicio, no como propietarios de un nombre de dominio, sino como sino como beneficiarios de un servicio asociado al mismo.
Pese a quien pese, un nombre de dominio es, actualmente una tecnología cuyo propietario es el Gobierno de Estados Unidos, el cual licenció a una organización independiente llamada ICANN la explotación de los nombres de dominio. Por tanto, la ICANN explota y desarrolla el sistema de nombres de dominio (en adelante «DNS»). La ICANN no depende de la ONU, ni de Naciones Unidas, ni de la UNESCO. Es simplemente una licenciataria de la tecnología de Estados Unidos.
El funcionamiento de los DNS es bien sencillo. ICANN contrata con los operadores de registro (como Verisign) para la comercialización y desarrollo de los nombres de dominio, y éstos a su vez contratan con las entidades registrados (como por ejemplo GoDdaddy), que son las que firman con los usuarios finales, los beneficiarios y titulares de los nombres de dominio, los cuales deben pagar una tasa anual (que en muchos casos no supera los 10 euros).
Cuando el usuario final adquiere un dominio, también contrato una serie de condiciones y tienes una serie de obligaciones para el uso de su nombre de dominio. Entre estas condiciones, está la del sometimiento a una política de resolución de conflictos que es definida por la ICANN, de manera que en este sentido existe una gran uniformidad legal en cuanto cualquier litigio extrajudicial que surja en relación con los nombres de dominio.
¿Qué son los nuevos gTLDs o nuevos nombres de dominio genéricos de primer nivel?
Es la nueva generación de los nombres de dominio genéricos, que permitirá la creación de nuevos usos para los nombres de dominio, y nuevos servicios asociados.
En este sentido, ya han sido solicitados nombres de dominio tales como .nyc, .bcn, .hotels, . berlin, .paris, .ebay, .amex, .web, .shop, .cars, .lawyer, etc.
Además, se permite el uso de cualquier letra de alfabetos de todo el mundo, incluida la «ñ», el cirílico, el chino, japonés, etc…
Se crearán igualmente nombres de dominio-marca, tales como .hilton.
El titular del registro de este tipo de nombres de dominio es el único usuario pues sólo podrá serlo si es titular de la marca que solicita: por tanto serán dominios basados en marcas, lo que provocará un mayor acercamiento entre DNS y marcas.
Además, el tener tu propio nombre de dominio genérico, implica que ya no tienes que compartir tu dominio de registro, pues será único, en un entorno únicamente controlado por el titular de la marca. Definitivamente los cambios serán importantes.
Pero al igual que hay cambios, habrá disputas. Ya desde los años noventa observamos ciertas prácticas que nos llevan a solucionar conflictos. Podemos distinguir las siguientes:
El «cybersquatting»
Debido a que todos podemos registrar cualquier nombre de dominio sin un examen previo sobre la licitud o no del mismo, de forma libre y casi inmediata, algunas personas se aprovechan de esto de mala fe, registrando nombres de dominio de personas, productos, marcas que ya existen por el mero hecho de enriquecerse de forma injusta y basándose en el aprovechamiento de la imagen, reputación o fama de otros.
Un claro ejemplo fue el de la compañía Renfe. Esta compañías registró http://www.renfe.com pero, como en el 30% de los casos, olvidó renovar su dominio con lo que éste se liberó volviendo a quedar libre para su venta. Como había varios cybersquatters tecnológicos al acecho, que hacen seguimiento de nombres de dominio cercanos a su renovación, éste lo adquirió puesto que conocía que la página tenía miles de visitas al día, a pesar de tratarse de una empresa de Indiana que no tenía ni la menor idea de lo que era Renfe. Al adquirir el dominio, por el mero hecho de insertar publicidad, por cada visita obtuvo unas cantidades ingentes de dinero.
Desde el punto de vista jurídico en España, se intentó luchar contra el Cybersquatting mediante varias normas que, con todos los respetos, no parecen ser muy eficaces ya que lo importante de este tipo de asuntos es recuperar el nombre de dominio a la mayor brevedad. Tanto si hemos de solicitar medidas cautelares inaudita altera parte como si demandamos, el proceso es demasiado largo en el tiempo. Algunas de estas normas son el artículo 34.3 e) de la Ley de Marcas española, los artículos 4, 6, 9 y 12 de la Ley de Defensa de la Competencia, la Ley de Propiedad intelectual o el propio artículo 6 de la Ley 1/1982.
Como digo, estos medios no funcionan no sólo por lentos, sino por la falta de especialización (no podemos perder tiempo en explicar a un juez qué es Internet y nombre de dominio) y ejecución lenta.
Ante esta situación, ICANN crea la UDRP.
La UDRP: política de resolución uniforme vinculada a los nombres de dominio).
En 1999, y a raíz del creciente número de disputas, se crea la UDRP como instrumento para la resolución de conflictos de un claro y meridiano cybersquatting. Es decir, es un sistema de resolución de conflictos sencillo para conflictos sencillos.
Las ventajas o razones para acudir a la UDRP son las siguientes:
1.- Rapidez (plazo de 2-3 meses).
2.- Procedimiento ecuánime en el que se escucha ambas partes.
3.- Económico (unos 1.500 dólares).
4.- Limitado en recursos. Siempre se resuelve o transfiriendo el dominio o cancelando su registro.
5.- Es directamente ejecutivo.
6.- Cabe acceso a los tribunales.
7.- Transparente: el resultado de la resolución se publica en Internet.
8.-La UDRP no es un arbitraje como tal. Cualquier parte puede abandonar o no someterse al URDP. Incluso tras la resolución puede recurrirse a los 10 días siguientes.
9.- No hay condena en costas
10.- No es necesario (aunque sí muy recomendable) ser representado por abogado.
¿Qué debemos alegar/acreditar para ganar en la UDRP?
Para ganar, debemos acreditar muy bien 4 elementos de forma acumulativa. Si no conseguimos acreditar uno de ellos, lo tendremos complicado.
1.- Titularidad de la marca. Obviamente debe haber una marca preexistente (o incluso posterior, ya veremos) al registro del nombre de dominio. Esta marca deberá ser idéntica, o tan similar que puede llevar a confusión al público.
En este sentido, a veces no es necesario que la marca esté registrada ya que es un concepto abierto. La marca es un signo distintivo para distinguir productos o servicios en el mercado, y diferenciarlos de sus competidores. Así los nombres de personas y famosos, sin ser marca, han sido recuperados.
En caso de que la marca esté registrada, es totalmente indiferente dónde se encuentre registrada la misma.
El nombre comercial, de forma general, se iguala al concepto de marca, sin serlo.
Si la marca se registró posteriormente al dominio, dependerá de cómo acreditemos el cuarto requisito y la mala fe del cybersquatter. Es decir, si la marca se registró de mala fe para obtener el nombre de dominio, obviamente no ganaremos.
No se considera marca las indicaciones geográficas, los nombres de personas sin contenido comercial, las denominaciones sociales y las denominaciones oficiales.
2.- Iguales o confusamente similares. Debemos acreditar también que el nombre de dominio es idéntico o similar a nuestra marca, existiendo un riesgo de confusión o aprovechamiento.
La ICANN aplica el principio de «overall impression» o impresión global de la marca. Se valora si existe una clara aspiración de conectar el nombre de dominio con la marca para su aprovechamiento. Algunos ejemplos: geocitiies.com (Geocities), luisvuitton.com (Louis Vuitton), quiness.com (Guinnes), acorh0tels.com (se utiliza un cero en lugar de una «o»).
El gran cybersquatter fue John Zuccarini, que registró miles de web en los noventa.
Para apreciar si hay confusión, la marca debe ser el elemento dominante del nombre de dominio. Por ejemplo:
nokiagirls.com (combinacion con palabra genérica)
thelitlleprince.com (traducción de El Principito)
chicagoharrods.com (combinación con lugar)
muynutella.com (combinación con prefijos)
accorsucks.com, putasgae.com (despectivos/descriptivos/subjetivos)
3.- Sin interés legítimo. Deberemos acreditar que el cybersquatter no tiene ningún interés legítimo en adquirir ese nombre de dominio.
Hay veces que no existe ningún tipo de aprovechamiento, sino una mera coincidencia. Es el caso de, por ejemplo, http://www.harrodssalon.com. Una peluquería de Ohio cuya propietaria se apellida Harrods.
Por otro lado, a veces se recurre a la libertad de expresión, y se gana, por casos como el siguiente: bridgstone-firestone.net, página de un ex-empleado que, durante un tiempo, criticaba a la compañia de neumáticos.
4.- Registro del nombre de dominio y mala fe. Este es un doble requisito y consiste en que nosotros como perjudicados debemos acreditar que el nombre de dominio ha sido registrado por el cybersquatter, y que lo ha utilizado de mala fe.
Por tanto, registro + mala fe.
Se presume mala fe incluso cuando no hay un uso efectivo del dominio pero sí un registro de mala fe, siempre y cuando quepa aprovechamiento de la marca de forma racional.
Incluir datos falsos en el registro también es mala fe, al igual que haber tenido algún tipo de relación previa con el titular de la marca, la falta de personación en el proceso UDRP, o cometer alguna infracción del acuerdo de registro.
Ley de cookies
La Ley de cookies o, el artículo 22.2 de la LSSI modificado por el Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista, es en lo que al comercio electrónico se refiere, una medida para la protección de datos de carácter personal y, en particular, para ell tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, para exigir el consentimiento del usuario sobre los archivos o programas informáticos (como las llamadas cookies) que almacenan información en el equipo de usuario y permiten que se acceda a ésta; dispositivos que pueden facilitar la navegación por la red pero con cuyo uso pueden desvelarse aspectos de la esfera privada de los usuarios, por lo que es importante que los usuarios estén adecuadamente informados y dispongan de mecanismos que les permitan preservar su privacidad.
Aunque la intención es buena (proteger los datos personales, la privacidad e informar al usuario), creo que una vez más el legislador no ha acertado, y probablemente a pesar del revuelo inicial termine por ser una norma que tienda a ser olvidada e inaplicada, al menos para lo que a las Pymes se refiere.
Es clara su vocación de norma generalmente incumplida, y de difícil sanción. Además, esta medida provoca una limitación a la libertad de empresa y al fomento de la competencia en Europa, ya que pone trabas a las empresas comunitarias con respecto a las extracomunitarias, logrando webs tan incómodas como esta.
Por otro lado, es un error del legislador incluir un nuevo motivo de sanción (no obtención del consentimiento del usuario de la web) y no modificar el régimen sancionador de la LSSI, pues de momento se podría alegar que no se cumple el principio de tipicidad y por tanto no es posible sancionar por este motivo.
Además, imponer esta medida supone un gasto extra para todas las empresas, algo que no es precisamente bienvenido en los tiempos de crisis actuales.
Por último, para dar cumplimiento a esta norma, NO es suficiente con un aviso legal, sino que se debe implementar una aplicación web específica a modo de pop-up o casilla. Ya existen algunas aplicaciones gratuitas, y seguro en breve será más sencillo instalarla en nuestra web.
Responsabilidad de los Intermediarios en Internet
En la prestación de servicios en Internet intervienen diferentes tipo de intermediarios. Veamos los más comunes:
1.- Los prestadores de servicios de acceso a Internet (Internet Service Provider ó ISP). Por ejemplo, Ono, Telefónica…
2.- Los prestadores que alojan contenidos, ya sea un simple Hosting o vayan más allá, como Youtube ó páginas similares a lo que era Megaupload, hoy «precintada» al estilo Hollywood.
3.- Los prestadores de servicios donde se alojan opiniones, como blogs, foros (WordPress, Blogger…)
4.- Los prestadores que facilitan enlaces a otras webs para descarga de contenidos o visitando en streaming.
5.- Los prestadores de «Caching«: recogen información de otras webs para mostrarla ordenada (Rumbo, Atrápalo).
Todos ellos y muchos otros tipos, son intermediarios, y su responsabilidad, en algunos casos, queda limitada por la Directiva Europea de Sociedad de la información y su, más o menos acertada, transposición a nuestra LSSI.
Esta limitación de responsabilidad se encuentra en la Directiva en los artículos 12, 13, 14 y 15.
En la LSSI los encontramos en los artículos 13, 14, 15, 16 y 17.
Veamos pues uno a uno y sus pequeñas diferencias con lo que debería haber sido la correcta traducción y transposición:
El artículo 13 de la LSSI. Responsabilidad de los prestadores de los servicios de la sociedad de la información.
Los prestadores de servicios de la sociedad de la información estén sujetos a la responsabilidad civil, penal y administrativa establecida con carácter general en el ordenamiento jurídico, sin perjuicio de lo dispuesto en esta Ley.
Para determinar la responsabilidad de los prestadores de servicios por el ejercicio de actividades de intermediación, se estará a lo establecido en los artículos siguientes.
Nada que añadir, es claro.
El artículo 14 de la LSSI. Responsabilidad de los operadores de redes y proveedores de acceso.
«Los operadores de redes de telecomunicaciones y proveedores de acceso a una red de telecomunicaciones que presten un servicio de intermediación que consista en transmitir por una red de telecomunicaciones datos facilitados por el destinatario del servicio o en facilitar acceso a ésta no serán responsables por la información transmitida, salvo que ellos mismos hayan originado la transmisión, modificado los datos o seleccionado éstos o a los destinatarios de dichos datos.»
Por tanto a los ISP se les libra de toda responsabilidad en relación con los contenidos salvo que haya implicación activa. El gran error de la transposición de este archivo es que restringen esta limitación de responsabilidad a los «operadores de redes de telecomunicaciones y proveedores de acceso a una red de telecomunicaciones«, que son conceptos bien definidos por la Ley de Telecomunicaciones, cuando la Directiva europea claramente dice » cuando se preste un servicio de la sociedad de la información consistente en transmitir por una red de comunicaciones datos facilitados por el destinatario del servicio, el prestador del servicio no pueda ser considerado responsable del almacenamiento automático, provisional y temporal de esta información «, independientemente de si es un operador de redes o una empresa cualquiera. Por tanto, la LSSI restirnge mucho esta responsabilidad, creyendo que la Directiva sólo se refería a Telefónica.
No se entenderá por modificación la manipulación estrictamente técnica de los archivos que alberguen los datos, que tiene lugar durante su transmisión.
Las actividades de transmisión y provisión de acceso a que se refiere el apartado anterior incluyen el almacenamiento automático, provisional y transitorio de los datos, siempre que sirva exclusivamente para permitir su transmisión por la red de telecomunicaciones y su duración no supere el tiempo razonablemente necesario para ello.
DEBEMOS TENER SIEMPRE PRESENTE QUE EL ARTÍCULO NOS ESTÁ DICIENDO CUÁNDO EL PRESTADOR NO ES RESPONSABLE, NO NOS ESTÁ DICIENDO CUÁNDO SÍ ES REPONSABLE.
Artículo 15 LSSI. Responsabilidad de los prestadores de servicios que realizan copia temporal de los datos solicitados por los usuarios.
Los prestadores de un servicio de intermediación que transmitan por una red de telecomunicaciones datos facilitados por un destinatario del servicio y, con la única finalidad de hacer más eficaz su transmisión ulterior a otros destinatarios que los soliciten, los almacenen en sus sistemas de forma automática, provisional y temporal, no serán responsables por el contenido de esos datos ni por la reproducción temporal de los mismos, si:
- No modifican la información.
- Permiten el acceso a ella sólo a los destinatarios que cumplan las condiciones impuestas a tal fin, por el destinatario cuya información se solicita.
- Respetan las normas generalmente aceptadas y aplicadas por el sector para la actualización de la información.
- No interfieren en la utilización lícita de tecnología generalmente aceptada y empleada por el sector, con el fin de obtener datos sobre la utilización de la información, y
- Retiran la información que hayan almacenado o hacen imposible el acceso a ella, en cuanto tengan conocimiento efectivo de:
- Que ha sido retirada del lugar de la red en que se encontraba inicialmente.
- Que se ha imposibilitado el acceso a ella, o
- Que un tribunal u órgano administrativo competente ha ordenado retirarla o impedir que se acceda a ella.
Artículo 16 de la LSSI. Responsabilidad de los prestadores de servicios de alojamiento o almacenamiento de datos. («Hosting»)
Los prestadores de un servicio de intermediación consistente en albergar datos proporcionados por el destinatario de este servicio no serán responsables por la información almacenada a petición del destinatario, siempre que:
- No tengan conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o
- Si lo tienen, actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos.
Se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el párrafo a) cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución, sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse.
2. La exención de responsabilidad establecida en el apartado 1 no operará en el supuesto de que el destinatario del servicio actúe bajo la dirección, autoridad o control de su prestador.
Artículo 17 de la LSSI. Responsabilidad de los prestadores de servicios que faciliten enlaces a contenidos o instrumentos de búsqueda.
Los prestadores de servicios de la sociedad de la información que faciliten enlaces a otros contenidos o incluyan en los suyos directorios o instrumentos de búsqueda de contenidos no serán responsables por la información a la que dirijan a los destinatarios de sus servicios, siempre que:
- No tengan conocimiento efectivo de que la actividad o la información a la que remiten o recomiendan es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o
- Si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace correspondiente.
Se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el párrafo a cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución, sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse.
La exención de responsabilidad establecida en el apartado 1 no operará en el supuesto de que el proveedor de contenidos al que se enlace o cuya localización se facilite actúe bajo la dirección, autoridad o control del prestador que facilite la localización de esos contenidos.
De todos estos artículos sacamos las siguientes conclusiones: El prestador de servicios de acceso a Internet, o el prestador de servicios de hosting o de contenidos como YouTube, no tienen una obligación de vigilancia de los contenidos o información que transmiten o alojan (entre otras cosas porque técnicamente aún es muy complicado). Tengamos en cuenta que por ejemplo YouTube recibe una cantidad de 48 horas en vídeos por minuto cada día, y más de 3 billones de visualizaciones diarias).
En relación con este tema, es curioso el caso Scarlet (antes Tiscali). Una Entidad de gestión Belga demandó (digamos que es la SGAE belga) a Sacarlet (un ISP) por «Permitir» el tráfico de archivos mediante redes P2P. Curiosamente el juez accedió a la petición de la Entidad de Gestión, y obligó a Scarlet, como medida cautelar, a poner un filtro que evitara la transmisión de archivos en redes P2P, lo cual técnicamente es prácticamente inviable. Sin embargo, en última Instancia, y una vez el Juez se informó debidamente y acudió a los peritos, reconoció que no existe a día de hoy una tecnología que evote la transmisión de archivos en redes P2P sin que esto comprometa la transmisión de otros muchos archivos no sujetos a propiedad intelectual. Por tanto, levantó la medida cautelar y resolvió a favor de Scarlet.
El conocimiento efectivo del artículo 16 de la LSSI
Según el artículo, se entiende que hay conocimiento efectivo cuando:
1.- Un Órgano competente (se entiende que Juzgados, Tribunales y Administración Pública) haya declarado la ilicitud de los datos u ordenado su retirada, o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión.
2.- Que el prestador conozca esta resolución.
3.- Sin perjuicio de los procedimientos de detección y retirada de contenido que pacten con terceros de forma voluntaria. Por ejemplo, Youtube podría firmar con Telecinco un acuerdo para retirar los contenidos que ésta le indique, y mantener otros repartiéndose al 50% la publicidad de ese enlace.
4.- Son perjuicio de otros medios de conocimiento efectivo (?¿?¿). Entendemos que se refiere a medidas futuras.
Este artículo es una copia casi exacta del artículo de la DIGITAL MILLENIUM COPYRIGHT ACT (DMCA) DE 1998. La gran diferencia, es que para los casos de propiedad intelectual, la DMCA establece un procedimiento muy pautado de oposición a los contenidos y su retirada de forma rápida y eficaz, es decir, que funciona, y que en España y en general en Europa no se aplica.
Debemos tener en cuenta que este procedimiento de USA es sólo válido para copyright, no para, por ejemplo, contenidos lesivos, injuruas, calumnias, etc, en una web o foro. Esto va por otra vía.
En Europa, sin embargo, se incluye todo en el mismo «saco». Sí que se menciona la posible necesidad de crear un procedimiento similar al de USA para retirada de contenidos o textos (ver considerando 40 de la Directiva y artículo 21 de la misma), pero de momento no se ha hecho nada.
Por otro lado, en USA aplica la COMMUNICATIONS DECENCY ACT (CDA), en la que básicamente se da una particular inmunidad a los prestadores de servicios online de webs, blogs, redes sociales, etc, en relación con los textos o uso de las mismas. Es decir, el responsable siempre será el autor del comentario (el usuario), pero no el titular de la plataforma (web, foro, red social…).
Ver el caso de Lori Drew y Myspace, en el que al parecer ésta provocó, en parte, el suicidio de Megan Meier.
El hecho de que USA tenga un procedimiento de retirada de contenidos para un caso y no para otro es claro. USA es la gran potencia de Copyright y esto le da dinero y debe protegerlo. El que la gente se insulte en redes sociales es algo secundario económicamente.
En Europa no hay procedimiento de retirada de contenidos establecido, y de hacerse, se pretende que sea no sólo para copyright sino también para casos como el de Lori Drew.
Algunas Sentencias interesantes:
Caso putasgae.org. STS 773/2009, Sala de lo Civil , 9 de diciembre de 2009. En este caso la SGAE demanda a putasgae.org por los contenidos de la web (básicamente opiniones vertidas de los usuarios), apelando atentados a lo honor y propia imagen. A pesar de la no responsabilidad del prestador, Sgae ganó el juicio y la Asociación de Internautos debió pagar 36.000 euros de indemnización. En este caso parece que el Juez hasta desconoce la LSSI. Inaudito.
Caso quejas-online. Se trata de una web en la que la gente vierte opiniones sobre empresas, servicios, etc. En un momento, uno de los comentarios fue el siguiente: «Soy abogado de la mutua madrileña y estoy harto de que me obliguen a retrasar los expedientes para no pagar». Este comentario incluía el nombre del abogado real, que fue suplantado. El abogado demandó a la web, que retiró diligentemente el contenido, pero además quería saber la identidad del que publicó el comentario, a lo cual la web se negó por protección de los datos de carácter personal de su «cliente». Finalmente, se condena a la web. De nuevo parece que el Juez no conoce la LSSI, y en particular su artículo 16.
STS 289/2010, Juzgado de lo Mercantil nº 7 de Madrid, de 20 de septiembre de 2010. TELECINCO demanda a YOUTUBE por albergar contenidos de la cadena de televisión. Youtube consiguió de mostrar que en cuanto Telecinco notificaba e identificaba los videos que debían retirar, Youutbe los retiraba, pero T5 pretendía que Youtbe llevara una labor de vigilancia de los contenidos de T5, lo cual la Ley no obliga y además técnicamente es imposible, por lo que el Juez falló a favor de YouTube, eximiéndole de responsabilidad conforme el artículo 16 de la LSSI. Por tanto, parece que el conocimiento efectivo también puede ser la notificación por parte del afectado
Por tanto, el art 16 no se refiere exclusivamente al las empresas de Hosting, ya que Youtube es más un Editor que una empresa de Hosting.
¿A quién corresponde la vigilancia de los contenidos entonces?
En mi opinión, ya que la LSSI exime a los prestadores de esta obligación, corresponde a los verdaderos interesados que son los titulares de los derechos o autores. Como cualquier otra propiedad, es el titular el que debe velar o defender la misma. Si tienes una casa y un tercero la derriba, ¿responsabilizarías al que ha permitido que contruyas en es terreno?, ¿o por el contrario buscarías al que derribó tu casa?.
Caso indice-web. Es una página de enlaces a terceros servidores fuera de su propiedad para descarga o visualización en streaming de obras protegidas por derechos de autor, con o sin autorización.
Hay dos tipos de enlaces:
1.- E-link o archivos compartidos mediante redes P2P. Es un enlace que hace que se ejecute mi programa de p2p (por ejemplo emule) y me bajo el archivo del ordenador de un tercero, y a su vez un tercero en esta operación se puede estar bajando un archivo de mi ordenador.
2.- Descargas «directas» a traves de enlaces. En realidad NO son directas puesto que es el servidor de un tercero.
3.- Enlaces para visualización en streaming. Caso megaupload.
Es importante que los enlaces NO son hosting.
En principio, un enlace publicado en una web no es reproducción, ni distribución, ni transformación ni comunicación pública, pero sí se considera «puesta disposición» (Art. 20.2. i) de la LPI).
En definitiva, llegamos a las siguientes conclusiones:
1.- Hay que ponderar caso por caso.
2.- Los enlaces publicados en una web de por sí no suponen infracción de propiedad intelectual.
3.- Los enlaces que redirigen a descargas de archivos mediante redes p2p o a páginas para visualización en streaming tampoco suponen una infracción. De hecho, Google es todo enlaces en su buscador, y no se le responsabiliza por ello.
4.- Para los autores quizás sí cabría «atacar» por el ar´ticulo 17 de la LPI.
Por último, dar las gracias a A. Abril y su ponente de las sesión de ayer, del que no recuerdo ahora su nombre pero en cuanto lo sepa lo modifico, por su gran interés y sus valiosísimas aportaciones.
Seguridad y Cloud Computing
Compliance in Cloud Computing: seguridad juridica en la “nube”
Introducción
http://www.ipc.on.ca
“… unlimited information passing …”
“Modeling Cloud Computing Architecture Without Compromising Privacy: A Privacy by Design Approach.
Según la NIST el cloud computing se entiende con base a las siguientes características:
#1: Autoservicio
#2: Amplio acceso a la red
#3: Reserva recursos comunes
#4: Rapidez y flexibilidad
#5: Medible y supervisado
Fuente: “Guía para la seguridad en áreas críticas de
atención en Cloud Computing” de la CLOUD SECURITY ALLIANCE.
Nicholas G. Carr ya hizo una compartiva del cloud computing con el auge de la comercialización de la electricidad en Estado Unidos, cuando miles de empresas dejaron su actividad para dedicarse exclusivamente a producir y vender electricidad.
“The End of Corporate Computing”: virtualización + “grid” + “web services”
Cifras:
Se estima que el Cloud computing moverá alrededor de:
130 Exabytes a 1,6 Zettabytes (sobre 5 del total) hasta el 2015
Fuente: CISCO
44,2 billones de dólares en 2013
Fuente: IDC
• “Cloud security is a tractable problem–There are both advantages and challenges”
Effectively and Securely Using the Cloud Computing Paradigm
NIST, Information Technology Laboratory
“A cloud without robust data protection is not the sort of cloud we need”
Sra. Neelie Kros, European Commission Vice-President for the Digital Agenda
Autodeterminación informativa
¿Qué datos tienen de mi ?
¿Quien los tiene?
¿Con qué finalidad?
Derecho activo de control sobre los datos personales
http://www.forrester.com/cloudprivacyheatmap
Do You Know Where Your Data Is In The Cloud?
http://www.privacyinternational.org/survey/dpmap.jpg
El programa de trabajo 2010-2011 del grupo del Artículo 29 incluía explícitamente analizar el “cloud computing” en relación a la protección de datos de carácter personal.
http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/
Riesgos y amenazas
Top Threats to Cloud Computing V1.0 March 2010
1: Abuso y mal uso del “cloud computing”
2: Interfaces y APIS poco seguros
3: Amenaza interna
4: Tecnologías compartidas
5: Pérdida o fuga de información
6: Secuestro de sesión o servicio
7: Riesgos por desconocimiento
https://cloudsecurityalliance.org/research/top-threats/
1: Accesos de usuarios con privilegios
2: Cumplimiento normativo
3: Localización de datos
4: Aislamiento de datos
5: Recuperación
6: Soporte investigativo
7: Viabilidad a largo plazo
Guidelines on Security and Privacy in Public Cloud Computing
Wayne Jansen
Timothy Grance
Draft Special Publication 800-144
1: Governance
2: Compliance
3: Trust
4: Architecture
5: Identity and Access Management
6: Software Isolation
7: Data Protection
8: Availability
9: Incident Response
Computer Security Division
Information Technology Laboratory
National Institute of Standards and Technology
Gaithersburg, MD 20899-8930
January 2011
Haz clic para acceder a Draft-SP-800-144_cloud-computing.pdf
Key Security and Privacy Issues
“Cloud computing. Benefits, risks and recommendations for information security” (2009)
Technical risks
Legal risks
http://www.enisa.europa.eu/publications/act/rm/files/deliverables/cloud-computing-risk-assessment
Policy and organizational risks
1 Lock-in
2 Loss of governance
3 Compliance challenges
4 Loss of business reputation due to co-tenant activities
5 Cloud service termination or failure
6 Cloud provider acquisition
7 Supply chain failure
Technical risks
8 Resource exhaustion (under or over provisioning)
9 Isolation failure10 Cloud provider malicious insider – abuse of high privilege roles
11 Management interface compromise (manipulation, availability of
infrastructure)
12 Intercepting data in transit
13 Data leakage on up/download, intra-cloud
14 Insecure or ineffective deletion of data
15 Distributed denial of service (DDoS)
16 Economic denial of service (EDOS)
17 Loss of encryption keys
18 Undertaking malicious probes or scans
19 Compromise service engine
20 Conflicts between customer hardening procedures and cloud environment
Legal risks
21 Subpoena and e-discovery
22 Risk from changes of jurisdiction
23 Data protection risks
24 Licensing risks
Final Draft IWGDPT (16 January 2012)
Working Paper on Cloud Computing Privacy and data protection issues
A. Acuerdos de nivel de servicio
B. Violaciones de la seguridad de la información
B. Transferencia de datos a terceros países que no proporcionan suficienteprotección
C. Vulneración de la legislación y principios de privacidad y protección de datos
D. El responsable del tratamiento acepta términos y condiciones generales que el proveedor de servicios “cloud” le impone, incluyendo la posibilidad de que el proveedor de servicios en la nube puede tratar los datos de una manera que contradice las instrucciones del responsable
E. Proveedores de servicios “cloud”, o subcontratistas utilizan los datos para
finalidades no consentidas por las personas afectadas
F. La rendición de cuentas y responsabilidad se desvanecen la cadena de
subcontrataciones
G. El responsable del tratamiento pierde el control real sobre los datos y su
procesamiento
H. El responsable del tratamiento y sus terceros de confianza (auditores) no pueden
verificar adecuadamente las actividades del proveedor de “cloud”
I. Las autoridades de protección de datos tienen dificultades para supervisar este
tipo de actividades
J. El responsable del tratamiento debe confiar ciegamente en el proveedor
http://www.datenschutz-berlin.de/content/europa-international/international-working-group-on-data-protectio in-telecommunications-iwgdpt
Cumplimiento normativo – Cumplimiento en el “cloud”
Fuente: Cloud Compliance Report. Capítulo Español de la Cloud Security Aliance
• Anteproyecto de Ley de modificación de la Ley
32/2003, de 3 de noviembre, General de Telecomunicaciones
• Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos
• Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico
• Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal
• Aspectos Jurídicos Laborales
• Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal Privacidad y protección de datos
1. Legislación aplicable
2. Encargado de tratamiento
3. Medidas de seguridad
4. Transferencias Internacionales
5. Ejercicio de derechos
6. Autoridades de control
7. Comunicación de datos a autoridades públicas
Contratación de servicios TIC
Fuente: Cloud Compliance Report. Capítulo Español de la Cloud Security Aliance
Evidencias digitales
Fuente: Cloud Compliance Report. Capítulo Español de la Cloud Security Aliance
Las “amenazas principales” y la prueba electrónica
1. Uso indebido o ilícito
2. Abuso o uso indebido de interfaces inseguras
3. Abuso por parte del proveedor del servicio
4. Riesgos asociados a al compartición de recursos
5. Pérdida de datos
6. Fugas de información
7. Secuestro de la cuenta o servicio
8. Otros riesgos desconocidos Auditoria
Necesidad de metodologías y tecnologías de auditoría mdiferenciadas por el modelo de computación en la nube.
Fuente: Cloud Compliance Report. Capítulo Español de la Cloud Security Aliance
Principales áreas a auditar
1. Gobernanza de las TIC
2. Cumplimiento (Normativo y Contractual)
3. Privacidad
4. Seguridad de TIC
5. Gestión de operaciones (Red)
6. Plan de contingencia
Administraciones públicas y cloud Privacy
Recommendations for the Use of Cloud
Computing by Federal Departments and Agencies
Privacy Committee
Web 2.0/Cloud Computing
Subcommittee
Seguridad y fiabilidad en las nubes de la Administración Pública
Informe para la toma de decisiones
Referencias
Privacy in the clouds:
Risks to Privacy and Confidentiality from cloud computing”, del World Privacy Forum (febrero de 2009)
“Cloud computing. Information Assurance Framework” (2011) y “Cloud computing.
Benefits, risks and recommendations for information security”, de ENISA (noviembre de 2009)
“Guía para la seguridad en áreas críticas de atención en cloud computing”, de la CSA (noviembre de 2009)
“Cloud Computing Management – Audit/Assurance Program”, de ISACA (agosto de 2010)
“Privacy Recommendations for the Use of Cloud Computing by Federal Departments and Agencies”, Privacy Committee Web2.0/Cloud Computing Subcommittee (agosto de 2010)
“Cloud computing y protección de datos”, Ramón Miralles(Revista de Internet, Derecho y Pollitica – UOC, octubre de 2010)
“Guidelines on Security and Privacy in Public Cloud Computing”, National Institute of Standards and Technology (enero de 2011)
«Riesgos y Amenazas en Cloud Computing”, INTECO-CERT (marzo de 2011)
“Cloud Compliance Report”, Capítulo Español de la Cloud Security Aliance (mayo de 2011)
“Final Draft Working Paper on Cloud Computing Privacy and data protection issues”, International Working
Data Protection and Telecommunications, (16 de enero de 2012)
Alternativas de recuperación de desastres. Contratos hot/warm/cold site, Contrato de Instalaciones duplicadas, Sitios móviles y Acuerdos recíprocos
Como posibles vías para prevenir un desastre se acude a cuatro tipos diferentes de contratos.
1.- Contratos hot/warm/cold sites.
2.- Contrato de Instalaciones duplicadas
3.- Contrato de sitio móvil
4.- Acuerdos recíprocos
Contratos hot sites.
En estos contratos lo que se regula es el arrendamiento de un servicio que implica la instalación completa de un dispositivo en una ubicación física con equipos, procesador de datos, servidores, información real, softwares instalados y compatibles que permitan a la empresa, poder acudir a él en caso de desastre y seguir funcionando en un periodo de 1 a 3 horas.
Estoso contratos se utilizan para los sistemas centrales más importantes de la empresa, cuyo fallo supondría un estado crítico.
En estos contratos también se regula el personal capaz de operar el sistema, las copias de seguridad, etc.
Se definirán los elementos de comunicación.
Puntos clave del contrato:
1.- Identificar claramente cómo localizar al proveedor en caso de desastre, con qué personas hablar, medios para comunicarse, tiempo de respuesta, etc.
2.- Si un hot site es compartido por una tercera empresa, habrá que definir quién tiene prioridad para su uso o cual será el sistema para tener la prioridad (generalmente es quien llame primero y pueda demostrarlo).
3.- Responsabilidad del prestador de servicios.
4.- Tiempo máximo de respuesta del hot site, incluyendo niveles de calidad de los servicios.
5.- Definir el personal mínimo asignado según la criticidad.
6.- Definir penalizaciones según la responsabilidad.
7.- Confidencialidad y LOPD es básico.
8.- Seguimiento contractual hasta el fin del servicio.
9.- Auditorías
10.- Revisión de precios y bechmarking.
11.- Plan de retorno de información y documentación del cliente.
Su funcionamiento es durante un escaso periodo de tiempo (horas) y por ello suele ser muy costoso.
Warm sites
Es como un hot site pero para elementos menos críticos.
Los equipos se configuran parcialmente, pero se deben configurar las conexiones de red.
Se suelen destinar estos contratos a sistemas NO centrales, sino accesorios.
Se configura para una utilización más larga que el hot site.
Cold Site
Es para un entorno básico: cableado electrico, aire acondicionado, y demás sistemas NO críticos.
Contrato de Instalaciones duplicadas
Es un contrato de prestación de servicios que lleva aparejada la duplicación de una instalación del sistema general de una empresa en otra parte, de manera que en caso de desastre pase a utilizarse ésta última.
1.- Por ello debe ubicarse lejos de la instalación del sistema principal/central (evitar que ambos fallen por estar en la misma zona ,ya sea por apagón, terremoto, nevada, huelga, ataque violento o vía Internet, etc…).
2.- El hardware y el software debe ser absolutamente compatible, sino idéntico.
3.- Monitorización: Los recursos en ambas instalaciones deben ser idénticas, por lo que las revisiones periódicas y pruebas periódicas son básicas.
Contrato para sitios móviles
El fin es el mismo que el anterior, pero se ejecuta de forma móvil, de manera que ante la falta de algún elemento clave del sistema se pueda desplazar una «unidad móvil» que haga las funciones, repare o sustituya el elemento que falla.
Contratos de reciprocidad
En España son poco comunes, pero países como Alemania no. Se trata de llegar a un acuerdo entre dos empresas para configurar sus sistemas de manera que el caso de desastre, puedan utilizar el de la otra, alojar sus datos, etc.
Ventajas: coste menor que los anteriores.
Inconvenientes: Si no gestiona bien, los sistemas pueden resultar incompatibles, puede haber falta de comunicación en caso de cambios en los sitemas, etc…
Por ello, es necesario regular bien los siguientes puntos:
1.- Tiempo de disponibilidad del sistema anfitrión
2.- Detalle de equipos, software e instalaciones disponibles de cada empresa.
3.- Disponibilidad para voz y datos en el sistema anfitrión.
4.- Prueba, auditoría…
Recuperación de desastres y continuidad de negocio en los Contratos Tecnológicos
El objetivo de las políticas de recuperación de desastres y continuidad de negocio obviamente no necesita explicación.
Prevenir, detectar y recuperar son las palabras clave.
La prevención se realiza para estar preparados en el caso de un desastre que provoque la pérdida de datos, caída del sistema central de la empresa, las comunicaciones, etc, que impidan que pueda operar con normalidad. En algunos casos, esto no supone una gran pérdida, pero supongamos que se trata de un banco que debe pagar las nóminas de su mayor cliente, y falla. Puede ser muy grave.
¿Qué se quiere evitar?
– No poder dar servicio a los clientes.
– Daños en la reputación/imagen/marca- Aquí es clave una buena política de comunicación y gestión de crisis.
– Desprotección de activos tanto intangibles como tangibles.
– Falta de control del negocio y de la información. Esto puede derivar el responsabilidad corporativa penal.
– Incumplimientos legales, vencimientos incumplidos, plazos…
Recuperación del desastre
Es importante realizar un buen plan de recuperación en caso de desastre. Para ello debemos discriminar lo crítico de lo importante, o establecer niveles intermedios:
1.- Se debe hace un inventario de activos, ya sea ordenadores, servidores, archivos en papel, centro de proceso de datos, etc…
2.- Clasificar el desastre en función de su criticidad: por un lado se determina qué casos son críticos y se evalúa por otro cuánto tiempo puede la empresa prescindir de aquello que deje de funcionar por un caso crítico.
3.- Definir la probabilidad y potencialidad del riesgo de un desastre. Como es de suponer, varía mucho en función del carácter de la empresa, en qué país este ubicada (riesgo sísmico, nevadas, inundaciones, huelgas…).
4.- Es básica la formación a las personas involucradas en el plan de recuperación de negocio.
5.- Realizar pruebas (simulacros) e implantación del plan.
6.- Auditorías y monitorizaciones.
Los puntos 5 y 6, que son importantísimos y clave, muchas veces son olvidados por las empresas.
Análisis de impacto del desastre en el negocio
1.- Evaluar el impacto desde el punto de vista temporal: Un día de desastre puede ser fatal para una empresa, mientras que para otra pueda implicar muy poco coste.
2.- Evaluar el coste de recuperación del desastre.
3.- Análisis coste-beneficio. Obviamente si las medidas de recuperación de desastre que vamos a implantar suponen más gasto que lo que supondría recuperar el desastre, la medida no es correcta por excesiva.
Criticidad de los sistemas de información y comunicación de las empresas
Crítico: Se debe reemplazar el sistema por capacidades idénticas y no manuales.
Vital: Cabe la sustitución por un periodo breve del sistema por métodos manuales.
Sensitivo: Cabe la sustitución por un periodo largo del sistema por métodos manuales.
No crítico: Tolera largas interrupciones sin sustitución.
Recuperación de datos
Para evitar la pérdida, hay que definir el punto de recuperación y el tiempo de recuperación, para establecer cada cuánto es necesario realizar copias de seguridad. En algunos casos será diaria, en otros semanal…
Andrés Bruno. Protección de datos. 
