Hace aproximadamente un año, defendía en este mismo blog una cuestión polémica: opinaba entonces que la Ley de conservación de datos de telecomunicaciones no se opone a que, para la investigación de conductas no constitutivas de delito "grave", se utilicen los datos de tráfico del presunto infractor a efectos de facilitar su identificación. Decía entonces que:
"La Ley 25/2007 fue creada con un objetivo: garantizar que cierta información "extra" estuvise disponible para las autoridades, y durante más tiempo, para investigar y perseguir delitos graves. No para evitar que otras investigaciones puedan ser llevadas a cabo. Pensar lo contrario, en mi opinión, es abogar por la impunidad de multitud de conductas en la red, y creo firmemente que carece de sentido".
Hoy he visto las conclusiones de Niilo Jääskinen, abogado general del Tribunal de Justicia de la Unión Europea, ante una cuestión prejudicial planteada desde Suecia en materia de propiedad intelectual. Puede que el supuesto de hecho les suene, porque se parece mucho al asunto Promusicae: un operador de telecomunicaciones se niega a atender un requerimiento judicial de revelación de información, planteado con la finalidad de identificar a un presunto "pirata".
Su argumentación jurídica incluye algunos párrafos realmente interesantes, que me permito extractar:
Sobre la falibilidad de la dirección IP a la hora de determinar la identidad de
un usuario de Internet: "hay que recordar que la identidad de la persona que pudo haber infringido derechos de propiedad intelectual no puede determinarse basándose únicamente en una dirección IP, dado que diversas personas pueden acceder a la red con la misma dirección IP. Así sucede, por ejemplo, con las redes inalámbricas carentes de una protección eficaz, el desvío de ordenadores conectados a Internet y las situaciones en que varias personas pueden utilizar el mismo ordenador". (§ 47)
Sobre la conservación de datos de tráfico para identificar a usuarios de Internet en el marco de un procedimiento civil: "procede señalar que la actual legislación de la Unión no establece las modalidades necesarias para la conservación y transmisión de datos personales generados en comunicaciones electrónicas con objeto de transmitirlos en caso de una infracción de derechos de propiedad intelectual invocada por particulares". (§ 56)
Sobre el necesario equilibrio entre protección de datos y protección de la propiedad intelectual: "hay que subrayar que los derechos fundamentales en materia de protección de datos personales y de la vida privada, por una parte, así como en materia de protección de la propiedad intelectual, por otra parte, deben disfrutar de una protección equivalente. Por tanto, no procede privilegiar a los titulares de derechos de propiedad intelectual permitiéndoles el uso de datos personales legalmente recogidos o conservados para fines ajenos a la protección de sus derechos. La recopilación y utilización de dichos datos para tales fines respetando el Derecho comunitario en materia de protección de datos personales requeriría la previa adopción por el legislador nacional de disposiciones detalladas, conforme al artículo 15 de la Directiva 2002/58"(§ 62)
Pero, si me lo permiten, me quedo con la conclusión (la negrita es mía):
La Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE, no se aplica al tratamiento de datos personales para fines distintos de los previstos en el artículo 1, apartado 1, de dicha Directiva. Por consiguiente, dicha Directiva no se opone a la aplicación de una disposición de Derecho nacional que permite que, a efectos de identificación de un abonado, el juez requiera, en un procedimiento civil, a un proveedor de acceso a Internet para que facilite al titular de un derecho de autor o a su representante información relativa a la identidad del abonado al que ese operador asignó una dirección IP, supuestamente utilizada para infringir dicho derecho. No obstante, dicha información deberá haber sido conservada para poder ser comunicada y utilizada con esta finalidad conforme a disposiciones legislativas nacionales detalladas, adoptadas respetando el Derecho de la Unión en materia de protección de datos personales.
En resumen: si existen normas nacionales que lo permitan, se pueden emplear datos de tráfico para identificar usuarios en casos distintos a los tasados en la normativa de conservación de datos, siempre que se empleen para ello bases de datos independientes a las creadas por dicha normativa. Algo que en España no se contempla en materia de propiedad intelectual, pero (en mi opinión) sí en materia de Telecomunicaciones, como les explicaba en mi post anterior y en la discusión que se abrió posteriormente en sus comentarios (les recomiendo encarecidamente que lean las magníficas aportaciones de David Maeztu y Álvaro del Hoyo).
Una cosa más... para los no juristas que lean el blog, lo recozco: ¡me ha salido un post demasiado técnico!
Actualización: 02/05/2012
Ya tenemos sentencia, en una línea muy similar a la defendida por el abogado general.
Les dejo un artículo de opinión que he publicado recientemente en la revista de antiguos alumnos de la Universidad Carlos III de Madrid. En él hablo de privacidad en redes sociales, y de la necesaria responsabilidad de los usuarios a la hora de colgar contenidos en ellas. Ya les adelanto que busca más la difusión que el análisis técnico, ¡así que no esperen grandes reflexiones jurídicas!
La sentencia de la Audiencia Provincial de Bizkaia que ha publicado esta mañana El País no deja a nadie indiferente. En ella, los administradores de sendos sitios web son condenados a un año de prisión cada uno por un delito contra la propiedad intelectual. ¿El motivo? "Poner a disposición de los usuarios de Internet enlaces que reproducían obras protegidas por derechos de autor sin contar con la autorización de los titulares (...) con la intención de obtener ganancias a través de la publicidad que ofrecían en ambas páginas", como describe la propia sentencia. Actividad que, hasta ahora, no había sido digna de reproche penal, puesto que se entendía que las páginas de enlaces no realizaban una comunicación pública, sino que se limitaban a facilitar el acceso a un contenido ya disponible en Internet. ¿Qué cambia, entonces, en esta sentencia?
Como aperitivo, debo apuntar que su fundamentación jurídica adolece de gravísimos errores técnicos, de los que se colige que Sus Señorías están muy lejos de entender el funcionamiento de Internet. No obstante, y en la medida en que no todos ellos afectan al núcleo del razonamiento judicial (la ratio decidendi, para los que no puedan vivir sin latinajos), trataré de pasar de puntillas sobre burradas como la afirmación de que una web de enlaces equivale al caching realizado por un proxy. Por poner un ejemplo.
La posición jurídica del tribunal se puede resumir en el siguiente párrafo:
"...aún considerando que los archivos no eran descargados en el servidor de los dos acusados, y entendiendo que lo que ofrecía la página eran meros enlaces, la Sala considera que la conducta sí constituye comunicación pública y en tal sentido es típica con arreglo a lo dispuesto en el art. 270 del C[ódigo] P[enal]".
La Sala, es consciente de que dicho argumento es contrario al "acogido por diversos tribunales de nuestro país", pero aclara que "no está de acuerdo" con la postura mantenida hasta el momento. Hasta ahora, la jurisprudencia eximía de toda responsabilidad a los titulares de webs de enlaces empleando las exenciones de responsabilidad de la LSSI, y en concreto de su artículo 17. Pero, en el caso que nos ocupa, los magistrados entienden que la conducta de los administradores va más allá del "facilitar enlaces a otros contenidos" del que habla dicho artículo. ¿Por qué? Vean, vean:
"En nuestra opinión, el enfoque es incorrecto: no se trata de valorar si el contenido al que acceden es ilícito, sino de valorar su actividad, es decir, sin con su actividad los acusados realizaban un acto de comunicación pública (...) Lo relevante en este caso no es la licitud o ilicitud del contenido, sino su actividad (...) Los acusados realizan un acto propio de comunicación, un acto de puesta a disposición a cualquier usuario potencial de esa página de un contenido que vulnera derechos de terceros (...) Con su intervención técnica y tras haber indexado, clasificado y comentado las obras, lo que hacían era poner a disposición de manera directa la descarga. Es decir, era su actuación directa y no su labor de intermediación la que lograba el resultado de acceso a la obra en cuestión."
Tras este argumento, discutible pero bien construído, la sentencia comienza a desvariar. Afirma que los acusados permitieron "el acceso directo a los archivos, al contenido de esos enlaces (o datos) sin cumplirse las condiciones de una página de intercambio de archivos [sic] y creando con su acción una página de descarga directa". Descripción esta que hace que algunos de mis compañeros se pregunten si los acusados subían previamente las obras a un servidor externo, y de ahí la condena.
En mi opinión, sin embargo, es el desconocimiento del funcionamiento de Internet el que lleva a los magistrados, erróneamente, al fallo definitivo de la sentencia. A través de la utilísima http://archive.org/ he visitado las páginas de la discordia, tal y como estaban colgadas en enero de 2006. Y únicamente he encontrado enlaces de eMule y BitTorrent. ¿Mi impresión? A riesgo de equivocarme, creo que Sus Señorías no tienen ni la más remota idea de qué son los protocolos ed2k y torrent. Ni de lo que es un cliente peer-to-peer. Y así les ha quedado la sentencia...
Si bien, desde un punto de vista de justicia material, simpatizo con el fallo (no me parece de recibo que dos señores ganen más de 40.000€ a costa del esfuerzo ajeno), como jurista no puedo sino lamentar su deficiente construcción. Aprovechando de paso para cerrar esta entrada con otro extracto de la sentencia: "si el enlace fuera a la página p2p los acusados estarían dando acceso a una página cuya actividad no es ilícita, puesto que como ellos mismos han indicado, la actividad de compartir archivos no se ha considerado ilícita por los tribunales". Paradójico, ¿no creen?
Uno de los procedimientos menos conocidos de nuestra normativa de protección de datos es el de exención del deber de informar. Aparece recogido en los artículos 153 y siguientes del Reglamento de la LOPD, para dar respuesta a lo previsto en el art. 5.5 de la LOPD: cuando informar resulta imposible o exije esfuerzos desproporcionados, “en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias”, la Agencia Española de Protección de Datos puede autorizar la no aplicación del deber de informar recogido en el art. 5.4 LOPD.
En 2009, Promusicae (patronal de la industria discográfica española) trató de emplear este procedimiento para forzar a la Agencia a pronunciarse sobre un tema del que ya hablé en alguna ocasión: ¿pueden los titulares de derechos de propiedad intelectual recabar las IPs de los usuarios de las redes peer-to-peer? El razonamiento de los productores tiene su miga: doy por hecho que las puedo recabar, y ya que no puedo informar a los interesados porque sólo tengo su IP, le pido a la Agencia que me exima de dicho deber. Y, si me lo deniegan, tengo caso para acudir a la Audiencia Nacional y librar una nueva batalla, tras la perdida estrepitosamente en Luxemburgo.
La Agencia lo denegó (no he encontrado la resolución en su web), el caso acabó en la Audiencia Nacional, y el pasado 1 de septiembre se dictó sentencia... desestimatoria: la sala da la razón a la Agencia. Algo previsible, por otra parte, vistos los antecedentes. Pero de la fundamentación jurídica, me van a permitir destacar algunos párrafos que, no por ya conocidos, dejan de ser relvantes:
Sobre el carácter de dato personal de la dirección IP
«El criterio de la identificabilidad es básico para entender que la dirección IP debe ser considerada como dato personal y, por lo tanto, se encuentra sometida a las mismas garantías que resultan de lo previsto para cualquier clase de dato personal en relación a su tratamiento». (F.J. 3º)
Sobre el libre acceso a las mismas a través de Internet
«Por lo tanto, y sin que sea necesaria mayores consideraciones sobre la cuestión, las direcciones IP que pudiera conseguir la entidad ahora recurrente mediante el uso de un determinado programa informático son datos de los que en ningún caso puede entenderse que procedan de fuentes accesibles al publico por el simple hecho de que aparezcan en Internet y no puede aplicarse la excepción a la exigencia de consentimiento al tratamiento que deriva del articulo 6.2 de la LOPD». (F.J. 4º) «Esta Sala se ha pronunciado en diversas ocasiones sobre que la información que aparece en Internet no es una información que se pueda entender procedente de fuentes accesibles al publico». (F.J. 4º)
Sobre la imposibilidad de que Promusicae utilice las IP para identificar usuarios
«Por lo tanto, resulta que la normativa especifica sobre Comunicaciones Electrónicas impide admitir las pretensiones de la parte recurrente puesto que (independientemente de que se cuente con el consentimiento del interesado y titular de la dirección IP) resulta que no es posible que los suministradores de los servicios de Internet puedan disponer del dato de la dirección IP de sus clientes para entregárselo a una entidad como la recurrente que, entre otras consideraciones, es una simple entidad privada y ni siquiera tiene la consideración de entidad de gestión a los efectos de valorar el uso que pretende hacer de los datos de descarga de fonogramas y películas». (F.J. 5º)
Y, por último, sobre el equilibrio entre propiedad intelectual y protección de datos
«Todo ello, sin embargo, no puede servir para justificar, como pretende la parte recurrente que se lleve a cabo una aplicación de la LOPD que sea claramente lesiva de los derechos en materia de protección de datos. La protección de los derechos de propiedad intelectual, que está en la base de lo pretendido por la entidad recurrente, merece todo el respeto de esta Sala pero no puede hacerse sobre la base de violar derechos, que también merecen protección, como son los derivados de la protección de datos (entendida en un concepto mucho mas amplio que el simple derecho a la intimidad)». (F.J. 6º)
Retomo el blog para comentar una reciente resolucion judicial que me ha llamado la atención. Por si la quieren localizar en el buscador de jurisprudencia del Centro de Documentación Judicial, se trata de la Sentencia de la Audiencia Nacional de 15 de julio de 2011, dictada en el recurso 256/2010. Y versa sobre la aplicación de la infracción prevista en el artículo 38.3.c de la LSSI, que tipifica como infracción grave...
El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.
Infracción que lleva aparejada una multa de 30.001 hasta 150.000 euros. Hablamos, cómo no, del spam.
El supuesto de hecho es el siguiente: una empresa firma un convenio de colaboración con una compañía del sector inmobiliario y otra del sector turístico. La idea: promover los productos de ambas entre sus clientes. Decide, para ello, emplear el correo electrónico, y he aquí que un ciudadano denuncia a la Agencia Española de Protección de Datos el haber recibido cinco de estos mensajes entre mayo y julio de 2008. La Agencia, en resolución de 22 de diciembre de 2009 (PS/00470/2009), decide aplicar el citado artículo e imponer una multa de 30.001€ a la empresa infractora. Y hasta aquí, todo normal.
Sin embargo, la Audiencia Nacional opta por rebajar la sanción a 6.000€. Vean la explicación:
Ha quedado acreditado, y así lo recoge la Agencia de Protección de Datos, que en cada uno de los mails remitidos se ponía en conocimiento del denunciante la posibilidad de oponerse a recibir nuevas comunicaciones con un fácil procedimiento consistente en presionar el "clic" que se incluía en la comunicación, sin que el denunciante hubiese activado tal sistema y ello pudo ser interpretarse como conformidad con los posteriores envíos.
En román paladino, la empresa incluía al pie de sus correos el típico aviso: "si no quiere recibir más información, por favor, pulse aquí". Y como el infractor no lo hizo, la Audiencia considera que consintió tácitamente el envío de las siguientes comunicaciones, y por tanto sólo sanciona por la primera de ellas. De ahí la reducción de la multa.
¿Mis conclusiones?
La sentencia me resulta, de entrada, chocante. Y ello porque el artículo 21 de la LSSI prohibe el envío de comunicaciones comerciales "que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas". Interpretar la simple inacción del receptor como "conformidad", cuando menos, desvirtúa el espíritu de la norma.
Me reafirmo en algo que no me cansaré de repetir: es fundamental incluir este tipo de avisos en los correos de carácter publicitario, y preocuparse de que estén respaldados por un procedimiento que funcione en la práctica. Y no sólo por los posibles ahorros en caso de sanción, conste: sus clientes también se lo agradecerán.
El próximo 29 de marzo comienzo a impartir clases en el Curso de Especialista Universitario en Protección de Datos y Privacidad que organiza la Universidad de Murcia. Voy a tratar de no aburrir mucho a los alumnos con un módulo tan denso como crítico: "Procedimientos administrativos en materia de protección de datos. Las sanciones administrativas". Para ayudarles a entender mejor el funcionamiento del procedimiento sancionador de la Agencia Española de Protección de Datos, les he preparado un esquema que ahora pongo también a su disposición. Como siempre, con licencia Creative Commons. E incluyendo las modificaciones introducidas en la Ley Orgánica de Protección de Datos por la Ley de Economía Sostenible.
Si le sacan partido, o le encuentran algún fallo ¡no dejen de avisarme mediante un comentario!
Hace sólo unas horas que mi compañero Alejandro Touriño publicaba en su blog en La Información un interesante post sobre la legalidad de copiar y publicar tweets ajenos sin permiso de su autor. Les aconsejo que lo lean, es un artículo muy interesante cuyas conclusiones comparto. Sin embargo, me llamó la atención uno de sus párrafos, que me permito reproducir aquí:
"En lo que a los mensajes de texto se refiere, su protección desde el punto de vista del derecho de autor se antoja realmente complicada. Bajo el prisma del derecho español, la mayor parte de los tweets, por no decir todos, dificilmente gozaría de dicha protección por no cumplir el requisito de originalidad exigido por el artículo 10 de nuestra Ley de Propiedad Intelectual. Y es que, a la luz de los antecedentes judiciales, el hecho de que la extensión de los tweets esté limitada a 140 caracteres (apenas un par de líneas) hace prácticamente imposible alcanzar el nivel de originalidad requerido para la protección por derecho de autor".
Y digo que me llamó la atención por la rotundidad con la que se posiciona en un tema a priori discutible: ¿influye la extensión de un texto a la hora de considerarlo una obra digna de protección?
La lógica me llevaba a pensar que no es así. Que cualquier cosa puede ser una obra siempre que suponga un esfuerzo creativo. Que en España no se exige una calidad mínima para proteger una creación, y que están igualmente amparados el Aserejé y el Concierto de Aranjuez. Pensé en los haikus, esos pequeños poemas japoneses que condensan en diecisiete sílabas los más profundos sentimientos. En los chistes. En los refranes. En los tweets incendiarios de Pérez-Reverte. Así que, lleno de razón, me puse a buscar doctrina y jurisprudencia... y he aquí lo que encontré:
Partimos de la base de que la propiedad intelectual no protege ideas, sino su plasmación, su expresión. Como dijo el Profesor Sánchez-Román, "las ideas no son de nadie, sino de quién las dice como nadie". O que las ideas son de todos, vamos.
Si una creación es demasiado simple, se corre el riesgo de que, de serle otorgada protección por derechos de autor, se impida utilizar la idea que expresa. Por ejemplo, no tiene sentido proteger una frase como "el cielo es azul", pues en ese caso nadie podría expresar esa idea sin la preceptiva autorización.
Si nuestra Ley de Propiedad Intelectual protege las "creaciones originales", es porque también existen creaciones "no originales" que no son dignas de protección... o al menos, que no alcanzan el estatus de "obra".
Se requiere, por tanto, un "esfuerzo creativo", un "reflejo de la personalidad del autor"... o, por lo menos, un "carácter novedoso", para hablar de "obra" a efectos de derechos de autor. 140 caracteres parecen quedarse cortos...
Y me acuerdo de la discusión acerca de las llamadas "meras fotografías". De lo difícil que es distinguirlas, en la práctica, de las obras fotográficas. De las discusiones doctrinales acerca de la protección de imágenes anteriores a 1987... Y me acuesto con una sonrisa, recordando por qué me metí en esto del derecho de la propiedad intelectual, y que aún tengo mucho por aprender.
Moraleja: creo que un tweet puede ser una obra. Creo que es mucho más difícil convencer a un juez de que eso es así.
Y un último apunte: estoy absolutamente convencido de que basta un tweet para violar la propiedad intelectual de terceros, ¡ténganlo en cuenta! De hecho... quizás me atreva algún día a escribir sobre el tema. O quizás alguno de ustedes ose coger el guante primero. ¡Anímense!
Actualización Me informa Jorge Campanillas de que hace algo más de un año ya se trató este tema en el blog de su bufete, así que les paso enlace a la entrada para que puedan conocer también su punto de vista.