Identidad digital y derecho al olvido

igital

Por Romina Florencia Cabrera

El mundo virtual de Internet y las Redes Sociales posibilita un sinfín de interconexiones y comunicaciones ilimitadas y heterogéneas que logran efectos de conectividad e interacción social antes impensados, pero que también logran traspasar límites físicos, psicológicos, emocionales, económicos, culturales, políticos, laborales, educativos y sociales, perdiendo el protagonista del mismo, el Hombre, el control sobre sus acciones en la Red.

Su Identidad como Persona se ve trasformada en lo que se denomina  “Identidad Digital”, un espacio virtual donde la subjetividad de los individuos da lugar al surgimiento de una identidad en entornos virtuales anónimos, en donde los individuos suelen jugar roles diferentes a los de su vida real: liberarse ; vencer, lo que Norbert Elías denomina a  “Umbrales de vergüenza”. Así es que la relación entre las redes sociales y la vergüenza está dada porque las primeras pueden ser utilizadas como una “máscara” debajo del cual el sujeto puede sentirse libre y resguardar sus aspectos más íntimos (depende cuales y si realmente los resguarda, o ventila información sensible creyendo estar resguardado o protegido por este marco). La vergüenza, aparece como una emoción netamente social, que se experimenta en contacto cara a cara y desaparece en el contacto virtual. La mirada de los otros se ve disminuía da en el mundo virtual, y da sensación de libertad.

En este contexto, se establece un fuerte vínculo entre las estructuras psicológicas y los procesos sociales que conforman y atraviesan al sujeto, es decir, entre las normas que regulan el comportamiento colectivo y las estrategias del sujeto dentro del contexto social, que permiten su articulación con la trama social.

La construcción de la identidad es un proceso que se establece si hay coincidencia entre posicionamiento y aceptación. En las interacciones cara a cara, es difícil pretender ser quien no e s, en cambio, en el entorno de una red social es posible interactuar con otros sin que nada se revele sobre nosotros (subliminalmente muchas veces sí) construyendo la identidad deseada que en el mundo real no se puede obtener, construyendo  los actores sus identidades y refundandolas, adaptándoles a sus expectativas y a los que el mundo social les demanda.

Que sucede cuando a pesar de esta cuerpo normativo de protección en garantías constitucionales el hombre por su propio descuido ventila esos datos a través de la Red?

Puede recurrir a las herramientas jurídicas para rectificar errores o reclamar daños y perjuicios, pero depende de su acto voluntario   de conciencia decidir qué información personal o íntima va a darse a conocer públicamente y cual no. Muchas veces los ciberdelincuentes utilizan métodos de captación ilegítima de información o software especializado en vulnerar sistemas informáticos y no hay prevención que se puede utilizar, pero en los casos cotidianos en que nuestra vida es expuesta en el mundo virtual, depende de nosotros mismos equilibrar la información personal que compartimos en la Sociedad de la Información.

La mejor herramienta de la seguridad es la prevención. Tratemos con un criterio razonable poder disfrutar del maravilloso mundo digital, resguardando nuestra Información Personal y nuestro Derecho a la Intimidad.[1]

En cuanto al Derecho al Olvido, podemos expresar que el ser humano tiene derecho a la privacidad, a “ser dejado solo”, como dirían los anglosajones; su reputación on line debe ser cuidada y el derecho de administrar y disponer de su Información Personal debe ser respetado por todos los actores sociales. Sin embargo, no hay que olvidar que ciertos contenidos de carácter científico, artístico, cultural, histórico, académico, religioso, no deberían desaparecer de la Red sin una buena razón de ser y actuar: la cultura, o sea todo lo que el hombre produce, se transmite de generación en generación por la costumbre y la identidad cultural de los pueblos. Si eliminamos el pasado, no podremos construir el futuro ni el presente. Todos aprendemos de la sabiduría de nuestros antepasados, para evolucionar, mejorar la civilización y sobre todo crecer personalmente como seres humanos, con principios y valores.

Que el individuo debería tener protección de su persona y sus propiedades es un principio tan antiguo como la ley, pero de vez en cuando es necesario definir de nuevo la naturaleza y el alcance de esa protección. Cambios políticos, sociales y económicos, suponen el reconocimiento de nuevos derechos, y la Ley, en su eterna juventud, debe crecer para satisfacer las nuevas demandas de la sociedad. Inicialmente la Ley dio remedio a la interferencia física con la vida y la propiedad privada. Más tarde se reconoció la naturaleza espiritual del hombre, de sus sentimientos y de su intelecto de modo que el derecho a la vida se convirtió en el derecho a disfrutar de la vida, – el derecho al olvido, a que te dejen en paz, asegura el ejercicio de los amplios privilegios civiles, y el término “propiedad “ha crecido hasta incluir toda forma de posesión – intangible, así como tangible.

Así empezaba, con ciertas libertades en la traducción, un artículo de Samuel D. Warren y Louis D. Brandeis publicado en Boston en Diciembre de 1890.

La definición de la privacidad de Warren y Brandeis como el “derecho a que te dejen en paz o el derecho al olvido” se ha descrito como el más completo de los derechos y el más valorado por los hombres civilizados…. cabría decir que esta percepción está cambiando.

Es muy probable que la protección de la privacidad sea para el ciudadano del siglo XXI lo que fue la protección del consumidor en el siglo pasado.

Decía George Orwell en su libro 1984:

Quién controla el pasado controla el futuro.

Quién controla el presente controla el pasado.[2]

Recientemente el Tribunal  de Justicia de la Unión Europea ha ordenado eliminar resultados de búsquedas en algunos casos, a petición de usuarios, basando su sentencia en el “Derecho al Olvido”; y la empresa Google acató la orden judicial.

Este Derecho está relacionado con la Garantía Constitucional de Habeas Data y la Protección de Datos Personales, derecho autónomo e independiente declarado por la Agencia Española de Protección de Datos.

El titular de un dato personal puede borrar, bloquear o suprimir información personal que considere obsoleta o que de algún modo menoscabe otros de sus derechos fundamentales. Este derecho muchas veces se contrapone al de la Libertad de Expresión.

Hay que hallar el equilibrio entre Intimidad, Privacidad, Protección de Datos Personales, Derecho al Honor, a la Asociación y a la Libertad de Expresión. Son todos Derechos Humanos, reconocidos por los Tratados Internacionales y protegidos en las Legislaciones locales, y al alcance de la jurisdicción de los tribunales locales e Internacionales que interceden ante estas cuestiones, para proteger los derechos de los ciudadanos y de la comunidad internacional en general. El Derecho Internacional de los Derechos Humanos debe estar siempre presente en todo momento y lugar, es la regla del “Ius Cogens”. Los Derechos Humanos basan sus principios en la dignidad y valor de la persona humana; así lo estableció la Convención de Viena. Crean obligaciones de los Estados con los ciudadanos directamente; y más aún que su mención en los diferentes ordenamientos legales, vale el compromiso de los individuos con estas causas tan nobles que nos hacen crecer como comunidad globalizada en el buen sentido.

[1] “Las nuevas tecnologías en la configuración de identidades”. Autoras: Lic. Karina Ortiz; Lic. Fernanda Tato; Lic. Soledad Monti vero; Lic. Laura García, Argentina, Universidad de Lomas de Zamora. Elías, Norbert, Proceso de la civilización en la sociología. Galeano, Eduardo, Úselo y tírelo, Editorial Booket, 1994. Romina Florencia Cabrera, “El Hombre frente a la Internet”;Publicación del Observatorio Iberoamericano de Protección de Datos, 17/3/2013.

[2] http://www.derechoalolvido.eu/

Libertad de expresión, sobre los derechos humanos en Internet

libertad_expresion

Por Romina Florencia Cabrera

Si bien me he referido a los temas de derechos humanos en el espacio digital en mi trabajo de investigación titulado “La Internet como Derecho Humano”, publicado por este mismo Observatorio, donde también resalto el tema de la Libertad de Expresión en línea, he dedicado este artículo a mi experiencia en el Evento on line “Divulgación del Informe de la Relatoría Especial para la Libertad de Expresión en Internet”, dependiente de la Comisión Interamericana de DDHH, OEA, donde se establecen estándares para una utilización de Internet, la Red de Redes, libre, no regulada,  con acceso universal y sin discriminar a ningún sector social de la población, para evitar la brecha digital y que puedan ser oídas las demandas sociales.

Como antecedentes, la Comisión Interamericana expresa en “estándares para una  radiodifusión libre y excluyente”  los siguientes artículos que rescato: [1]

A. Introducción

1. El artículo 13 de la Convención Americana consagra el derecho a la libertad de expresión e indica que este derecho puede ejercerse por cualquier medio. En efecto, el artículo 13 establece que el derecho de buscar, recibir y difundir informaciones e ideas de toda índole puede ejercerse “oralmente, por escrito o en forma impresa o artística, o por cualquier otro procedimiento de su elección”. En tanto, los principios 1 y 6 de la Declaración de Principios reconocen que toda persona tiene el derecho a contar con igualdad de oportunidades para recibir, buscar e impartir información por cualquier medio de comunicación sin discriminación.

2. Asimismo, hace ya más de veinte años, la Corte Interamericana aclaró que, “la libertad de expresión no se agota en el reconocimiento teórico del derecho a hablar o escribir, sino que comprende además, inseparablemente, el derecho a fundar o utilizar cualquier medio apropiado para difundir el pensamiento y hacerlo llegar al mayor número de destinatarios”[2]. Asimismo, la Corte Interamericana ha señalado que los medios de comunicación cumplen un papel esencial en tanto vehículo o instrumento para el ejercicio de la libertad de expresión e información, en sus dimensiones individual y colectiva, en una sociedad democrática[3]. En efecto, los medios de comunicación tienen la tarea de transmitir toda clase de informaciones y opiniones sobre asuntos de interés general que el público tiene derecho a recibir y valorar de manera autónoma[4]. En tal sentido, la jurisprudencia y la doctrina regional han reiterado que la existencia de medios de comunicación libres, independientes, vigorosos, pluralistas y diversos, es esencial para el adecuado funcionamiento de una sociedad democrática[5].

3. En este punto, resulta relevante recordar que el alcance democrático de la libertad de expresión reconocido por el derecho internacional de los derechos humanos, implica tanto la facultad de cada persona de expresar sus pensamientos, como la de buscar, recibir y difundir informaciones e ideas de todo tipo, ya sea en forma oral, impresa, a través de medios masivos de comunicación o cualquier otro medio de su elección. Este alcance democrático de la libertad de expresión reconoce entonces una dimensión colectiva que incluye el derecho del público a recibir y el derecho de quien se expresa mediante un medio de comunicación a difundir la máxima diversidad posible de información e ideas.

4. En este sentido, el derecho a la libertad de expresión ampara, de una parte, el derecho a fundar o utilizar los medios de comunicación para ejercer la libertad de expresión y, de otra, el derecho de la sociedad a contar con medios de comunicación libres, independientes y plurales que le permitan acceder a la mayor y más diversa información. En otras palabras, los medios de comunicación, y en especial los medios de comunicación audiovisual[6], desempeñan una función esencial para garantizar la libertad de expresión de las personas, en tanto sirven para difundir los propios pensamientos e informaciones y, al mismo tiempo, permiten acceder a las ideas, informaciones, opiniones y manifestaciones culturales de otras personas.

Los Tratados Internacionales de DDHH, como ser el Pacto de San José de Costa Rica, reconocen el derecho a la libertad de expresión, como también otras cuestiones, como la privacidad, la intimidad, el derecho de asociación, reunión,  al honor ; acceso a la información ;  y actualmente se está avanzando en las cuestiones de Protección de Datos Personales como Derecho Autónomo e Independiente, tal cual lo estableció la Agencia Española de Protección de Datos, y es el Objetivo Principal de Nuestro Observatorio: la creación de una Cultura de Protección de Datos y unificación de criterios de aplicación en Iberoamérica.

La Relatoría Especial para la Libertad de Expresión trabaja, desde su creación en 1997, en la promoción y protección del derecho a la libertad de pensamiento y de expresión en el continente americano. Uno de los mecanismos con los que cuenta para cumplir con su mando es la elaboración de Informes temáticos, el más reciente es el informe sobre “Libertad de Expresión e Internet”.

Dicho texto se divulgó el día 16 de junio de 2014 en un evento online liderado por la Oficina de la Relatoría Especial para la Libertad de Expresión de la Comisión Interamericana de Derechos Humanos, coordinado por la Fundación Karisma y moderado por ADC de Argentina. En este evento participaron organizaciones de la sociedad civil de la región, con colaboraciones especiales desde España y Reino Unido.

El evento online fue un espacio para que conozcamos el informe, gracias a las organizaciones participantes, quienes presentaron los siguientes temas:

  1. Neutralidad de la red por, Derechos Digitales (Chile)
  2. Acceso a Internet por, Espacio Público (Venezuela)
  3. Responsabilidad de intermediarios por, Centro de Tecnologia e Sociedade CTS (Brasil)
  4. Filtrado y bloqueo por, Fundación Karisma (Colombia)
  5. Ciberseguridad, privacidad y libertad de expresión por, Asociación por los Derechos Civiles ADC (Argentina)
  6. Limitaciones legislativas y responsabilidades ulteriores: criterios de legitimidad y factores de ponderación para resolver los conflictos de derechos en el ámbito digital por, Artículo 19 (México)

También contará con la participación de tres invitados especiales: Fernando Bermejo, desde España; Katitza Rodríguez de la EFF, desde Estados Unidos; Carolina Rossini, Asociada para América Latina de Global Partners Digital y OSI Media Program de Reino Unido.

Fecha: lunes 16 de junio de 2014
Hora: 14:00-17:00 (hora Colombia)
Lugar virtual: internetactiva.net

Foros locales

Los foros locales son espacios de discusión inclusiva y diversa que las mencionadas organizaciones han coordinado en sus respectivos países y cuyo tema central es el informe “Libertad de expresión e Internet”. Cada organización dispuso de una locación desde la que se unieron a la transmisión del evento online. Una vez concluida la conexión online, cada una procedió con el foro local planeado. Se realizaron foros locales en Bogotá, Caracas, Santiago y Buenos Aires.

En general, se le dio importancia  a la libertad de expresión en línea; no discriminación de contenidos ni usuarios;  acceso a la información; distribución libre de información; no a la regulación de Internet; respetar los principios de neutralidad de la red; disminución de la brecha digital; protección de los menores en Internet; derecho a la Privacidad , Intimidad, y Protección de Datos Personales; como también a una discriminación positiva  hacia sectores más vulnerables de la población en políticas públicas, para que paguen un precio menor al servicio de Internet( con igual calidad ) y no les falte el acceso. También a la Cooperación Internacional en materia de Derecho Internacional Público de los Derechos Humanos , para que todos los integrantes de la comunidad globalizada puedan tener un acceso universal a Internet.

En mi opinión personal creo que fue muy positivo el evento; con ideas progresistas hacia la materialización concreta de la protección y promoción de los DDHH en Linea, con una consideración fundamental hacia la Liberta de Expresión, presente en toda sociedad democrática y de inclusión de  los principios de valor y respeto a la  dignidad de la persona Humana, que configuran los DDHH, tal cual lo estableció la Convención de Viena, donde los Estados se comprometen con sus ciudadanos en esta defensa de los mismos.  [7]

[1] OAS Cataloging-in-Publication Data. Inter-American Commission on Human Rights. Office of the Special Rapporteur on Freedom of Expression. Estándares de libertad de expresión para una radiodifusión libre e incluyente = freedom of expression standards for free and inclusive broadcasting / Relatoría Especial para la Libertad de Expresión de la Comisión Interamericana de Derechos Humanos. p. ; cm. (OEA documentos oficiales ; OEA Ser.L/V/II CIDH/RELE/INF.)(OAS official records ; OEA Ser.L/V/II CIDH/RELE/INF.) ISBN 978-0-82705486-8 1. Broadcasting policy–Freedom of expression–America–Standards. 2. Broadcasting policy–Freedom of speech–America–Standards. 3. Broadcasting policy–Freedom of information–America–Standards. 4. Civil rights–America. 5. Human rights–America. I. Title. II Series. III. Series. OAS official records; OEA/Ser.L. V/ II CIDH/RELE/INF. PN4888.B74 I58 2010 OEA Ser.L/V/II. CIDH/RELE/INF. 3/09

[2]  La incorporación de este documento al Informe Anual de la CIDH fue aprobada en diciembre de 2009 por el pleno de la Comisión integrada Luz Patricia Mejia Guerrero, Victor E. Abramovich, Felipe Gonzalez, Sir Clare Kamau Roberts, Paulo Sérgio Pinheiro, Florentín Meléndez y Paolo G. Carozza. Corte I.D.H., La Colegiación Obligatoria de Periodistas (arts. 13 y 29 Convención Americana sobre Derechos Humanos). Opinión Consultiva OC-5/85 del 13 de noviembre de 1985. Serie A No. 5, párr. 31. El destacado es nuestro.

[3]  Corte I.D.H., Caso Herrera Ulloa Vs. Costa Rica. Sentencia de 2 de julio de 2004. Serie C No. 107, párr. 117; Corte I.D.H., Caso Ivcher Bronstein Vs. Perú. Sentencia de 6 de febrero de 2001. Serie C No. 74, párr. 149.

[4] Corte I.D.H., Caso Ivcher Bronstein Vs. Perú. Sentencia de 6 de febrero de 2001. Serie C No. 74, párr. 153

[5] CIDH. Informe Anual 2008. Volumen II: Informe Anual de la Relatoría Especial para la Libertad de Expresión. Capítulo IV, párrs. 216 a 230.

[6] CIDH. Informe Anual 2008. Volumen II: Informe Anual de la Relatoría Especial para la Libertad de Expresión. Capítulo IV.

[7] Fundación Karisma. http://karisma.org.co/?cat=3 Fecha de Consulta del Sitio web: 18/6/2014.

¿Qué podemos hacer con las cookies?

cookies_vivet

Por Laura Vivet Tañà

A nivel Europeo se ha estado discutiendo sobre la adopción de un sistema opt-in para la instalación de cookies en los ordenadores de los usuarios. Las Cookies son pequeños ficheros que se instalan automáticamente en tu ordenador cada vez que te conectas a alguna página web. Cuando hablamos de cookies, el sistema opt-in consiste en requerir a los usuarios finales consentimiento expreso, antes de instalar este tipo de ficheros en su equipo. El Grupo de trabajo del art. 29 ha definido el consentimiento que debería recabase en estos casos, adoptando una interpretación estricta.

No obstante, creo que podría ser deseable cambiar un poco el enfoque, con el fin de mejorar la coherencia entre la tecnología y la legislación.

No podemos esperar que los usuarios tengan que leer una página entera sobre cookies o sobre privacidad. Este planteamiento es excesivo y podría convertirse en inefectivo.

Es un hecho bien conocido que, la sobrecarga de información provoca el efecto contrario. El ámbito online se caracteriza por su dinamismo e internacionalidad; Por lo que, podría ser el momento de reinventarnos.

No podemos esperar que los usuarios tengan que leer una página entera sobre cookies o privacidad.

No podemos olvidar que, cuando un usuario navega por Internet en busca de información, a penas se detiene a leer dos líneas de cada página hasta que encuentra lo que está buscando. La gente está acostumbrada a utilizar sus smartphones, ordenadores portátiles o tablets cuando viajan o esperando el metro. Cada vez más la tendencia general es estar on-line en todas partes, en cada momento y con cualquier dispositivo.

Brasil: la privacidad en el Marco Civil de Internet

marco_civil

Por Agustina Callegari

A un año de las declaraciones de Edward Snowden, que dieron cuenta de un espionaje masivo por parte de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) de los Estados Unidos, el pasado 5 de junio se realizó la Jornada “Espionaje, Transparencia y Soberania en Internet”. Organizada por el Programa Sur Global de la Universidad  Nacional de San Martin, el objetivo de la misma fue analizar el impacto de Internet en los derechos civiles.

Uno de los paneles más destacados de la jornada, y en el cual nos centraremos en este artículo, fue la exposición de Pedro Ekman, coordinador de Intervozes, organización impulsora de la Ley de Marco Civil de Internet. Ekman se centró en tres puntos fundamentales para conocer los alcances de la normativa: privacidad, libertad de expresión y neutralidad en la red.

Sobre el Marco Civil

El Marco Civil de Internet, concebido bajo la Ley N°12.965/14, establece principios, garantías, derechos y deberes para el uso de Internet en Brasil. Como destacó Ekman, el proyecto se encontraba pendiente de tratamiento desde 2009 pues, hasta las revelaciones de Snowden que involucraron a la propia Presidenta Dilma Rousseff, el tema no era una política primordial para el Estado brasileño.

Sancionada en el marco de la NetMundial, que se realizó en San Pablo en abril de este año, esta norma considera a Internet como una herramienta fundamental para libertad de expresión y, si bien no aborda el tema de la infraestructura, se refiere a que el acceso a Internet es esencial para el ejercicio de la ciudadanía.

De esta forma, las personas que accedan a Internet, tendrán derecho a que su vida privada no sea violada, a que la calidad de su conexión no sea limitada por las empresas proveedoras y a ejercer su derecho a la libertad de expresión sin restricciones.

Privacidad: un empate

Ekman hizo hincapié en que hubo un empate entre los que querían garantizar la privacidad de los ciudadanos en Internet, y aquellos grupos que hicieron presión para que esta garantía no sea absoluta.

¿Por qué un empate? Primero porque hubo un logro: el artículo 7 garantiza la privacidad de las comunicaciones privadas. Además, específica que los datos personales sólo podrán ser recogidos por terceros en los casos donde los titulares de los mismos hayan manifestado su consentimiento de forma clara e inequívoca.

Sin embargo, para el coordinador de Intervozes, el artículo 15: “Fragiliza uno de las conquistas que el artículo 7 nos da: impone la guarda de datos”. Es decir, obliga a los proveedores de Internet a guardar, bajo confidencialidad, informaciones de acceso a las aplicaciones por parte de los usuarios durante un periodo de 6 meses. Estas informaciones pueden ser solicitadas por la policía y la justicia en el caso en que sea necesario investigar un delito. Como destaca Ekman, con esta cláusula: “Todos somos sospechosos desde el principio”.

En palabras de Ekman se espera que este aspecto, cedido en las negociaciones por el Marco Civil, pueda ser analizado nuevamente al momento de debatir y sancionar una ley nacional de protección de datos personales, aún pendiente en Brasil.

Neutralidad en la Red y Libertad de Expresión

La neutralidad en la red fue una de las batallas ganadas por el Marco Civil. Así, a partir de su sanción, los proveedores no podrán vender paquetes de Internet en relación al uso que las personas pueden hacen de los servicios. En otras palabras, se asegura de que todos los usuarios puedan acceder de igual forma a todos los contenidos sin que se privilegie un contenido sobre otro.

En relación a la libertad de expresión y a la responsabilidad de las empresas por los contenidos a los que permiten acceso, el Marco Civil destaca que estas no son responsables civilmente por los mismos. Por su parte, un contenido sólo podrá ser removido por orden judicial. Asimismo, hay un plazo para la baja de este contenido, y sólo en el caso en que las empresas no cumplan el tiempo estimulado por la justicia, deberán hacerse cargo de los daños.

Sin embargo, y este es un punto importante para la protección de datos personales y la privacidad, Ekman explicó que: “Lo único que se puede sacar sin orden judicial son imágenes de desnudos o imágenes sexuales del orden de lo privado y, solamente, el titular de las imágenes puede pedir que las mismas se eliminan”. De esta forma, imágenes privadas que hayan sido subidas a Internet sin consentimiento, pueden ser removidas con la notificación del titular. Aunque todavía no está claro cómo será el proceso, para muchas organizaciones que trabajan la privacidad, este punto puede ser visto como un logro.

Desafíos

El Marco Civil sin dudas constituye un avance en pos de garantizar los derechos en Internet de los ciudadanos brasileños y puede constituirse como un documento de referencia para otros países de la región. No obstante, el camino hacia esta ley no fue fácil y las luchas de poder fueron evidentes durante todo el proceso. Cómo señaló Ekaman: “Teníamos las telefónicas contra la neutralidad, a O Globo contra la libertad de expresión (por los derechos de autor) y la policía contra un instrumento específico de la privacidad”. Sin embargo, todavía queda una pelea y un desafío mayor:  la implementación de la ley.

La jornada

Además de la participación de Pedro Ekman, la jornada, coordinada por Gonzalo Carbajal, contó con la presencia de especialistas en derecho de la comunicación y la información, la gestión de redes, y de políticas públicas en materia de seguridad y defensa de Argentina, entre los que podemos destacar a Sergio Rossi; Graciana Peñafort; Diego Llumá y; Martín Groisman, entre otros.

Apuntes de la Jornada “Espionaje, Transparencia y Soberania en Internet. Acceso al video completo de la jornada puede verse en el siguiente link.

Las Cookies ocultas de Google, nueva sanción

new_cookies_google

Por Alberto Cuesta Ureña

Tiempos apasionantemente convulsos en mundo jurídico online: derecho al olvido, persecución de twitteros, usurpaciones de identidad digital, robo de datos de usuarios en plataformas de internet, nuevo reglamento europeo de privacidad, etc. Otro de los factores que está influyendo en esta espiral de constante aparición de nuevas realidades legales TIC es la problemática de las cookies.  Todo cambió respecto al tratamiento legal de esta pequeña información que envían algunos websites a los navegadores de sus usuarios desde la modificación del artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSI), introducida por el Real Decreto Ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas, y en materia de comunicaciones electrónicas.

Desde ese momento, se han venido analizando las formas jurídico-tecnológicas más adecuadas en los websites para llevar a la práctica lo establecido por el citado precepto. Pero las interpretaciones han sido muchas y variadas. Afortunadamente la Agencia Española de Protección de Datos (en adelante la AEPD) en los últimos meses está clarificando la situación. Por medio de una sanción y una “guía sobre el uso de las cookies”, los abogados especializados en derecho digital tenemos la oportunidad de empaparnos de los criterios de la AEPD para permitir a nuestros clientes cumplir con la normativa. Pues bien, la segunda sanción acaba de aterrizar, hace apenas unos días. Aquí está la Resolución R/00936/2014

Debemos trasladarnos al año 2012, cuando la Unión Cívica Provincial de Consumidores y Usuarios de Palencia y la Junta de Castilla y León pusieron en conocimiento de la AEPD que la página web basada en blogspot.com de un Centro Ecuestre, podría estar incumpliendo la Ley Orgánica de Protección de Datos y la LSSI.

Los fundamentos para imponer esta sanción no varían en su esencia respecto a los de la primera: falta de información adecuada sobre el uso de cookies y falta de obtención del consentimiento para su instalación. En cambio, el sujeto sancionado sí es diferente y en gran medida. Ya no se trata de sancionar a una PYME y sí a un gigante empresarial transnacionalque todos conocemos llamado Google Inc.  Específicamente la sanción de 25.000€ impuesta es consecuencia de la incompatibilidad con el artículo 22.2 de la LSSI del servicio de creación de blogs gratuitos que ofrece a través de la tecnología blogger.

Pero, ¿por qué sancionan a Google, Inc. sí la denuncia va dirigida contra un Centro Ecuestre de Palencia que ha creado un blog?

La AEPD fundamenta su decisión puesto que Google Inc. es el responsable del servicio yquien determina la infraestructura del sistema de blogs gratuitos limitando a los usuarios y editores de los mismos conocer si se instalan cookies o no:

“ha quedado acreditado que Google instala y utiliza, por defecto, en los terminales de los usuarios que acceden a los blogs creados bajo la infraestructura de su servicio on-line Blogger, y configurados sin la opción del campo “ID de propiedad web de Google Analytics”, cuatro cookiesasociadas a dicha herramienta analítica (“utma”, “_utmb”, “utmc” y “utmz”), y una cookie publicitaria (NID).

La descarga de dichos dispositivos y el acceso a los datos almacenados en los mismos se produce sin que Google proporcione a los editores que emplean la infraestructura de Blogger información sobre la utilización de tales dispositivos propios o de terceros ni los fines concretos para los que se tratan los datos recogidos (…)

Google tampoco proporciona directamente a los visitantes que acceden a los espacios web creados bajo la citada configuración la información relativa a los extremos anteriormente reseñados al objeto de obtener el consentimiento informado de los mismos con anterioridad a la instalación y uso de dichos dispositivos de almacenamiento y recuperación de datos en sus equipos terminales. (…)”

Asimismo, según la AEPD tampoco  existen opciones de configuración posterior por parte de los creadores de blogs. Las cookies están activadas por defecto y así deben permanecer si se desea utilizar el servicio online:

“Al crear los blogs Google no ofrece opciones de configuración que permitan a los editores de los mismos bloquear el uso de las cookies que dicha compañía instala por defecto sin informarsobre su utilización y finalidades a las que responde el tratamiento de los datos (…)”

Pero Google Inc. se defiende y, por una parte,  alega que las cookies usadas son necesariaspara la prestación del servicio de bitácora blogger y por tanto la entidad acogiéndose al tercer párrafo del artículo 22.2 no debe cumplir con los requerimientos sobre las cookies comentados. La AEPD niega este hecho y señala que no son necesarias para prestar el servicio puesto que si se desactivan las mismas, los blogs creados continuarían funcionando.

Por otra parte, la entidad estadounidense se defiende argumentando que la AEPD no está legitimada para actuar puesto que no se tratan datos personales por medio de las cookies instaladas. La Agencia replica indicando que el artículo 22.2  de la LSSI no contiene ningún mandato legal que limite el cumplimiento de las obligaciones contenidas en el mismo a laexistencia de un tratamiento de datos de carácter personal.

Respecto a la primera sanción sobre cookies en el que no encontró intencionalidad en la conducta infractora, en este caso la AEPD acusa a Google Inc. de actuar con dolo, ocultandodeliberadamente a los editores de los blogs el almacenamiento de cookies y las finalidades perseguidas.

En definitiva, tenemos ante nosotros una nueva resolución de la AEPD que consolida la obligación de información clara, sencilla y completa sobre el uso de  las cookies a los usuarios de los WEBSITES y la necesidad de solicitar el consentimiento previo a los mismos para poder instalarlas.

La pregunta es: ¿Google Inc. se adaptará a las obligaciones que le impone la legislación comunitaria sobre las cookies como acaba de ocurrir con el “derecho al olvido”?

Artículo publicado pro el autor en El Derecho.

Memes: entre la sátira y la violencia digital

memes

Por Edgar David Oliva Terán

Junto al Internet y la posibilidad de masificar la información, se han utilizado las redes sociales no solo para conversas o ver las novedades en la vida de los contactos sino también para difundir ciertos criterios, ideas y pensamientos de manera publica, sin un publico especifico, es así como surgen los memes y se los visualiza en el timeline de cualquier red social, pero las ideas difundidas creadas por cualquier sujeto no siempre son inocentes, sino que las ideas de las personas pueden contener un tenor violento o intolerante, por lo que mediante el presente articulo intentare demostrar la genialidad del Internet mediante los memes, su gracia para el ocio y el peligro de ser inventado por comunidades.

¿Que son los memes?

Son las imágenes y videos virales, al ser virales significa que se propagan con facilidad y rapidez por todas las redes sociales, cada usuario comparte la imagen en su grupo socio digital y esta acción se repite por cada integrante de las redes sociales, la gente contribuye a su viralizacion porque los memes tienen una función, es la de manifestar una idea o sentimiento por medio de las imágenes, se realizan bromas respecto a acontecimientos culturales o coyunturales, cabe aclarar que estas imágenes son medios, no son fines.

La gente comparte los diversos memes, porque se identifican con el mensaje y les parece gracioso el contenido, actualmente no hay persona que no las vea pasar por su timeline de redes sociales, pueden ser vistas en la pagina de 9gag.com o demás paginas que las recopilan.

Actualmente se las considera como un impulsor de la cultura o como una forma de ocio.

Pero no todo es comedia e historias de superación, sino que estas mismas imágenes libres de uso para toda la comunidad de Internet, pueden también vulnerar la honra de la persona, tergiversando así el mismo sentido del meme, en el que ya no se utiliza para expresar un sentimiento por el cual la gente se conmueva o identifique.

¿Que es la sátira?

La real academia de España define la sátira como la composición poética u otro escrito cuyo objeto es censurar acremente, poner en ridículo a alguien o algo, como un discurso o dicho agudo, picante y mordaz, dirigido a este mismo fin.

Conocidas publicaciones son categorizadas como sátiras, un claro ejemplo es Mafalda, tanto el personaje como las diversas historias son entretenidas y educativas, hace burlas ante distintos temas sociales para que la persona caiga en cuenta del ridículo de esa realidad.En el periódico nacional también se pueden ver sátiras ante diversas personas con cargos públicos, desde magistrados hasta presidentes.

Derecho a la Imagen

Muchos memes están basados en actores famosos, por la gracia de su expresión se han inmortalizado en memes, aquí nos llega la pregunta ¿Los memes vulneran el derecho a la imagen? Esto es discutible, pero se ha llegado a un consenso en el que las imágenes se pueden disponer siempre y cuando no ataquen a la intimidad, privacidad de la persona, hayan sido tomados en vías publicas y la imagen de la persona no sea lo principal sino lo accesorio.

¿De que manera esto puede ser una forma de violencia digital ?

La violencia digital es un termino que se acuño para dar a entender el maltrato psicológico que se realiza a una persona por medios electrónicos,en el caso especifico se hablaría de actos de discriminación, una persona puede sufrir de violencia digital por los memes cuando este meme atenta contra: la raza, la religión, sexo, orientación sexual, nacionalidad, enfermedad.

El ciberbullying es según el Lic Willard  el envío y acción de colgar (sending y posting) textos o imágenes dañinas o crueles por Internet u otros medios digitales de comunicación.

De igual manera se puede ejercer el cibebullying por medio de estas imágenes virales, y esto seria mediante memes insultantes que generen malestar en una persona.

Sujetos activos

Las simples sátiras, tienen nombre y apellido, tienen una firma por detrás, se conoce al autor y como encontrarlo, mientras que los memes, tal como indicaba al principio del articulo, lo que importa es el mensaje no quien lo envía, por lo que encontrar al creador del meme es algo difícil y casi imposible, el meme a sido reenviado y compartido tantas veces que no existe un nexo con el primer sujeto. Sin embargo uno al reenviar la información sera evaluado como sujeto activo de dicha acción, por lo que si se enjuicia como un delito contra el honor, el mas fácil de ser alcanzado judicialmente recibirá toda la carga judicial.

Sátira y violencia digital

La sátira debe realizarse con el fin de realizar una critica hacia cierto problema social, el meme puede servir para este fin, o simplemente puede entretener a la gente con la que se comparte, ¿pero cuando llega a ser un contenido ofensivo? Es claro cuando se realizan actos de discriminación, tanto la normativa internacional o en la normativa Boliviana, pero existen otro tipo de ofensas que no caen dentro de la ofensa hacia grupos de raza, genero, sexo o cultura, estas ofensas son directas y de igual manera ejercen violencia digital, pero para el sujeto activo posiblemente la intención no era la de ejercer violencia, ¿quien define la linea entre la gracia y la violencia?

La broma y la sublimación

La sublimación es una acción conocida dentro de la psicología, es la manifestación del ello mediante actos del yo, es decir, cuando un sujeto se mofa de otro, es por que en su subconsciente tenia intenciones de lastimar a la persona, ahora bien esto es muy discutible, pero la psicologia juridica constantemente debate sobre ello.

Limite pasado

Tal como los memes son una forma de la libertad de expresión, se deberían aplicar las reglas de censura, es decir, que no existe censura previa, por lo que se debe cruzar ese limite, dañar y posterior a esto se podría aplicar la censura del mensaje dañino.

Lo que nos lleva como consecuencia lógica, de que el afectado es el único que define si el mensaje es ofensivo, nadie mas que su persona lo puede definir como violencia, lo cual nos lleva a nada, indicándonos que nos falta cierta normativa para evitar este tipo de contenidos en la web, es un gran avance la diversa normativa de protección a grupos, pero no debemos olvidar que la ofensa también puede realizarse ante sujetos individuales, y el derecho funciona mejor cuando se lo protege de manera preventiva.

Soluciones

Pedir a las plataformas que retiren estas imágenes ofensivas o mensajes ofensivos, paginas ya establecidas como 9gag.com no es tan necesario puesto que estas no aceptan cualquier tipo de imágenes en su plataforma, sin embargo, las redes sociales no revisan de oficio que contenido se comparte, por lo que:

  • No compartas la información, ahora sabes que lo gracioso no lo es para todos, no contribuyas con su viralizacion.
  • Si el sujeto que esta compartiendo esta imagen o mensaje dañino es accesible en cuestión de territorio, se le puede iniciar un proceso por discriminación o en caso de ser ofensas contra una persona individual se puede subsumir a los delitos contra el honor.
  • Acción de derecho al olvido: Es una acción para que mediante orden judicial se retiren de los buscadores la imagen o video que contenga información sobre el sujeto que desea retirarla bajo justa causa. (En el congreso Fiadi 2013 que se llevo en la ciudad de Santa Cruz, Bolivia, uno de los ingenieros informaticos que dio una ponencia, nos indico que tal vez la ley en algunas legislaciones reconoce el derecho al olvido, pero el Internet no, las cookies, la información que transcurre y se queda en la memoria de los navegadores, recuerdan mas que el derecho.
  • Se recomienda que se denuncien las imágenes o mensajes que puedan afectar tanto a uno como a un tercero, sin embargo la ultima decisión la tiene la red social, por lo que lo único que se puede hacer es mandar la queja en conjunto para que el administrador entienda la gravedad de la ofensa.

Riesgos en el uso de Cloud Computing para el tratamiento de datos especialmente protegidos

cloud_protegidoPor José Luis Colom Planas

1. INTRODUCCIÓN

Es ya una realidad el avance imparable de la entrega de servicios TIC basados en el modelo externalizado de Cloud Computing, al posibilitar éste:

  • Precio ajustado: Permite ajustar el precio a la demanda real (pago por uso).
  • Elasticidad: Permite crecer y decrecer, en relación a los recursos contratados, según las necesidades del momento.
  • Entorno ubicuo: Acceso simultáneo desde cualquier lugar, a cualquier hora, mediante cualquier dispositivo y cuántas personas estén autorizadas para ello…

Todas estas son suficientes ventajas que le hacen ganar adeptos (clientes y usuarios) cada día.

Pero, ¿Qué ocurre cuando queremos tratar mediante este modelo datos sensibles? ¿Y si además se tratan datos personales especialmente protegidos por la regulación aplicable en España?

Un ejemplo de este tipo de tratamientos pueden ser las contrataciones de prestadores de servicios de Cloud Computing por parte de centros de salud, despachos de abogados y procuradores… y todos aquellos clientes que traten datos especialmente protegidos, según vienen regulados en el artículo 7 LOPD.

2. POSICIONES JURÍDICAS DE CLIENTE Y PRESTADOR DEL SERVICIO

Como regla general, la posición jurídica de quién contrata los servicios de Cloud Computing es la de responsable del fichero o tratamiento, ya sea empresa o profesional autónomo, mientras que quién presta el servicio tendrá una posición de encargado del tratamiento.

En algunos casos, sin embargo, no resulta tan sencillo identificar a los responsables del tratamiento, ya que los prestadores del servicio pueden llegar a determinar unilateralmente los medios y, a veces, incluso algunos de los fines de los tratamientos. Esta circunstancia suele darse, a menudo, en plataformas “gratuitas” donde simplemente se acuerda un pago en especies sustituyendo la transacción dineraria por la propia información.

Esta realidad choca de frente con el tipo de datos personales especialmente protegidos, cuya naturaleza exige que no puedan ser tratados como moneda de cambio.

3. CONTRATO ENTRE RESPONSABLE Y ENCARGADO

La transferencia de datos personales al Cloud no tendrá consideración de comunicación o cesión de datos en los términos establecidos en el artículo 3.i) de la LOPD siempre que se suscriba un contrato de encargado del tratamiento (artículo 12 LOPD), en el que se determine de forma expresa:

  • Que el encargado del tratamiento ha de tratar los datos de acuerdo con las instrucciones del responsable del tratamiento.
  • Que el encargado no puede utilizar los datos con una finalidad diferente de la que figure en el contrato, ni comunicarlos a otras personas, ni siquiera para su conservación.
  • Las medidas de seguridad que el encargado está obligado a implementar (en este caso, y de forma acumulativa, las de nivel alto, medio y básico).
  • La devolución o la destrucción de los datos, una vez finalizada la prestación contractual.

Tratándose de datos sensibles, lo evidente es que el prestador de servicios de Cloud no puede saber de su existencia, a no ser que nosotros se lo comuniquemos de alguna manera, como puede ser en el propio contrato de encargado del tratamiento. Pensemos que las medidas de seguridad asociadas deberán corresponderse con el tipo de datos, siendo el modo de justificar éstas.

También deberán cumplirse las previsiones que se establecen en los artículos 20, 21 y 22 RLOPD.

Hay que señalar que la mera suscripción inicial, de un contrato de encargado del tratamiento, no presupone que siempre el tratamiento se lleve a cabo con todas las garantías exigibles por la normativa aplicable de protección de datos personales. Es obligación del responsable del tratamiento estar siempre vigilante, antes y después de la contratación del servicio, ya que la culpa podría consistir en una desacertada elección en base a una pobre Due Diligence previa a contratar “culpa in eligendo” o en una falta de vigilancia durante el ciclo de vida de la contratación “culpa in vigilando”.

En este sentido, el artículo 20.2. RLOPD dispone: “Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento”.

Otras veces el contrato de encargado del tratamiento no está redactado de común acuerdo, y se apoya en las condiciones generales en las que el proveedor de Cloud presta su servicio, siendo el cliente el que debe adscribirse a la mayoría de ellas. En consecuencia, un buen consejo es negociar el contrato siempre que sea posible, o en su defecto estudiar cuidadosamente cada una de las cláusulas propuestas por los diferentes proveedores, hasta encontrar el contrato que mejor satisfaga las necesidades y la seguridad jurídica del cliente que contrata.

Debe tenerse en cuenta que a menudo las condiciones de uso, la política de privacidad o las medidas de seguridad aplicadas, pueden ser modificadas en cualquier momento sin necesidad de notificarlo previamente a sus clientes. Eso obliga a la “debida diligencia”, como hemos visto antes, no solo en la fase de pre-contratación (Artículo 20.2 RLOPD), sino durante todo el ciclo de vida del servicio externalizado en el Cloud.

Si el proveedor de Cloud trata nuestros datos en un tercer país que no esté considerado como un país con nivel adecuado de protección será necesario suscribir también, caso de que al final se autorice la TID, unas cláusulas contractuales tipo según se especifican en la Decisión de la Comisión 2010/87/UE. [5]

4. TRANSFERENCIAS INTERNACIONALES DE DATOS

Según donde se ubiquen los datos del proveedor de Cloud Computing, puede considerarse una Transferencia Internacional de Datos (TID). Desde el punto de vista de un responsable establecido en España, si el CPD del proveedor de Cloud, que alojará los datos, se encuentra fuera del Espacio Económico Europeo (EEE) se considerará una TID (Artículo 5.1.s RLOPD).

Como norma general, las TID deben contar con la autorización del Director de la Agencia Española de Protección de Datos (AEPD) (Artículos 33 LOPD y 70 RLOPD), a no ser que se dé la excepción de que el prestador de servicios de Cloud Computing se encuentre en un país de los considerados que ofrecen un nivel adecuado de protección (Artículos 34.k LOPD y 67-68 RLOPD). En ese caso deberá seguir informándose a la AEPD de la TID, pero la autorización está pre-concedida.

Los países considerados con nivel adecuado de protección para la UE son:

  • Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000.
  • EE.UU. (Puerto Seguro). Decisión de la Comisión, de 26 de julio de 2000.
  • Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos.
  • Argentina. Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003.
  • Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003.
  • Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
  • Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008.
  • Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010.
  • Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010.
  • Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011.
  • Uruguay. Decisión 2012/484/UE de la Comisión, de 21 de agosto de 2012.
  • Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012.

Sin embargo es importante resaltar que, en relación a los prestadores de servicios de Cloud Computing, una cosa es la empresa matriz o el centro empresarial dónde se toman las decisiones sobre cómo tratar los datos y otra distinta es dónde se almacenan los datos y se tratarán de forma efectiva. Tal casuística debe contemplarse cuando el proveedor es una multinacional con representación y centros de proceso repartidos por diferentes países del mundo, algunos dentro del EEE, otros con nivel adecuado de protección, y otros en terceros países sin las suficientes garantías.

5. PRINCIPIOS DE “PUERTO SEGURO” (SAFE HARBOR)

Es una realidad que la mayoría de empresas prestadoras de servicios de Cloud Computing son estadounidenses. Por ello analizaremos con detalle éste acuerdo.

Mediante la Decisión 2000/520/CE de la Comisión [6] de 26 de julio de 2000, se crean el acuerdo denominado Safe Harbour por el que se establecen una serie de principios en materia de protección de datos de carácter personal.

Se trata de un programa de adscripción voluntaria, basada en el principio de autorregulación, sin ningún control por parte del estado. En otras palabras, se trata de una presunción de adecuación a la protección exigida en el ámbito de la UE.

Los principios de puerto seguro son los siguientes:

  • Notice principle (Notificación): Las entidades adheridas tienen la obligación de informar de la utilización y finalidad de los datos de carácter personal.
  • Choice principle (Opción): Las entidades adheridas tienen la obligación de ofrecer la posibilidad de decidir si los datos de carácter personal pueden ser o no cedidos a un tercero.
  • Onward transfer principle (Transferencia ulterior): Las entidades adheridas, antes de revelar información a terceros que no participen en el programa de puerto seguro, deberán aplicar los dos principios anteriores (Notificación y opción).
  • Security principle (Seguridad): Las entidades adheridas, que se encarguen de recoger y almacenar datos de carácter personal, deberán adoptar todas las precauciones que consideren oportunas con el fin de evitar su pérdida, modificación o destrucción.
  • Data integrity principle (Integridad de los datos): Las entidades adheridas deberán recoger únicamente datos pertinentes respecto a los fines previstos.
  • Access principle (Acceso): Las entidades adheridas reconocen el derecho de los interesados al conocimiento de los datos de carácter personal que tengan sobre ellos y puedan corregirlos, modificarlos o suprimirlos en caso de ser inexactos.
  • Enforcement principle (Aplicación): Las entidades adheridas incluirán una vía de recurso para los interesados que se vean afectados por el incumplimiento de la normativa sobre TID de carácter personal entre EE.UU. y UE.

A priori puede parecer que los tres primeros principios (Notificación, opción y transferencia ulterior) son garantía suficiente para que la exportación de datos personales desde España a cualquier prestador de servicios de Cloud, con matriz en EE.UU. y adherida a los principios de Safe Harbour, pueda realizarse sin necesidad de autorización del Director de la AEPD.

El problema surge cuando la misma empresa, o grupo multinacional, dispone de CPDs distribuidos en diferentes países, algunos de ellos sin proporcionar un nivel adecuado o equiparable de protección. Si el prestador de servicios transfiere nuestros datos personales a esas otras ubicaciones puede no sentirse obligado por el tercer principio de Puerto Seguro (transferencia ulterior), que parece más orientado a terceras empresas que a diferentes ubicaciones del mismo grupo empresarial, pudiendo ir a parar los datos, sin saberlo, a un tercer país.

Mientras que la mayoría de proveedores de Cloud Computing informan por medio de sus políticas de privacidad de su adhesión a los principios de Puerto Seguro, no todos suelen informar de la ubicación geográfica de los diferentes CPDs que disponen. Esta forma sigilosa de incumplir el deber de informar, siempre que se traten datos personales, es más común en los prestadores que proveen un modelo de entrega de servicios de Cloud basado en SaaS (Software como servicio).

En consecuencia podríamos decir que esta indeterminación puede producir, especialmente en los tratamientos de información sensible, una cierta indefensión jurídica motivada por la obligación del responsable del tratamiento de cumplir con el resto de previsiones establecidas en la normativa española de protección de datos.

Aprovecho para recordar la disposición adicional única [justo después del artículo 158] del RD 1720/2007, de 21 de diciembre (RLOPD), que hablando de productos de software dispone: “Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII de este reglamento”. Hablando en este estudio de tratamientos de datos de nivel alto, no sería desdeñable, y facilitaría mucho la labor auditora, que los proveedores de SaaS (Software como Servicio) en Cloud lo indicaran.

6. EXIGENCIAS DE CUMPLIMIENTO

Una solución a esta indeterminación recién planteada sería la suscripción por parte del prestador de servicios de Cloud Computing de las conocidas como Binding Corporate Rules (BCR), vinculantes para TODAS las empresas del grupo prestador de servicios de Cloud (Artículo 137 RLOPD), según las previsiones del documento, elaborado por el GT29, adoptado el 3 de junio de 2003: 11639/02/EN – WP 74. [4]

Debe tenerse en cuenta que, como regla general, el encargado del tratamiento (prestador de servicios de Cloud) no puede subcontratar, de forma unilateral con un tercero, la realización de un tratamiento que le ha sido encomendado por el responsable (Artículo 21 RLOPD). Solo será posible efectuar la subcontratación cuando concurran los siguientes requisitos:

  • Que este nuevo tratamiento esté especificado en el contrato suscrito entre la entidad contratante y el contratista.
  • Que el tratamiento de datos de carácter personal se ajuste a las instrucciones del responsable del tratamiento.
  • Que el contratista encargado del tratamiento y el tercero formalicen un contrato en los términos previstos en el artículo 12.2 LOPD.

Así mismo, el Dictamen 5/2012, de 1 de julio, [3] sobre Cloud Computing del GT29, dictamina: “En opinión del GT 29, el encargado del tratamiento podrá subcontratar sus actividades únicamente sobre la base del consentimiento del responsable del tratamiento, que suele darse al inicio del servicio, con la inequívoca obligación para el encargado de informar al responsable sobre cualquier cambio previsto en lo que respecta a la adición o sustitución de subcontratistas, teniendo el responsable del tratamiento en todo momento la posibilidad de oponerse a tales cambios o de rescindir el contrato. Debe existir la clara obligación del proveedor de nombrar a todos los subcontratistas. Además, debería firmarse un contrato entre el proveedor y el subcontratista que refleje las disposiciones del contrato entre el cliente y el proveedor. El responsable del tratamiento debería poder hacer uso de las posibilidades contractuales de recurso en caso de incumplimiento de los contratos causado por los subcontratistas. Esto podría organizarse garantizando que el encargado responda directamente ante el responsable por los incumplimientos causados por cualquier subcontratista que haya contratado, o mediante la creación de un derecho de tercero beneficiario en beneficio del responsable del tratamiento en los contratos firmados entre el encargado del tratamiento y los subcontratistas o por el hecho de que tales contratos se firmen en nombre del responsable del tratamiento, haciendo a este último parte del contrato”.

En cuanto a las garantías contractuales entre responsable y encargado, el GT29 dictamina: “El contrato deberá establecer expresamente que el proveedor no podrá comunicar los datos a terceros, ni siquiera con fines de conservación, a menos que el contrato prevea la existencia de subcontratistas. El contrato deberá especificar que sólo podrá contratarse sub-encargados del tratamiento previa autorización que puede otorgar en general el responsable del tratamiento, en consonancia con la inequívoca obligación del encargado del tratamiento de informar al responsable del tratamiento acerca de cualquier cambio previsto a este respecto, teniendo el responsable del tratamiento en todo momento la posibilidad de oponerse a tales alteraciones o de rescindir el contrato.

Deberá existir una clara obligación para el proveedor de nombrar a todos los subcontratistas contratados (por ejemplo, en un registro digital público). Deberá garantizarse que los contratos suscritos entre proveedores y subcontratistas reflejen las condiciones del contrato entre el cliente y el proveedor (esto es, que los sub-encargados del tratamiento están sujetos a los mismos derechos contractuales que el proveedor).

En particular, deberá garantizarse que tanto el proveedor como todos los subcontratistas sólo actuarán siguiendo instrucciones del cliente. Tal como se explica en el capítulo sobre el sub-tratamiento, la cadena de responsabilidad deberá exponerse claramente en el contrato. Deberá fijarse la obligación por parte del encargado del tratamiento de definir las transferencias internacionales, por ejemplo firmando contratos con subcontratistas, basándose en las cláusulas contractuales tipo 2010/87/UE”.

En el Informe 0157/2012 [2] de la AEPD sobre determinadas cuestiones relacionadas con Transferencias Internacionales de Datos, se indica: “De este modo, siempre que el cliente del servicio de computación en nube pueda tener claro conocimiento de la identidad de los terceros subcontratistas del servicio, así como de las actividades desplegadas por cada uno de ellos, nada obsta a que la citada subcontratación se realice mediante la firma de un único contrato con dichos subcontratistas en que se especifiquen los servicios a prestar.

Ello debería acompañarse de un procedimiento que permitiera a los clientes acceder a los citados datos de identificación y, en el caso de transferencias internacionales de datos o de subcontrataciones posteriores a la citada transferencia, toda vez que se prevé la firma de un contrato directamente entre el cliente y la empresa estadounidense del Grupo, la ubicación geográfica en que se prestará el servicio.

En consecuencia, sería suficiente a efectos de acreditar la existencia de garantías adecuadas que los clientes pudieran acceder, por ejemplo a través de un sitio web al que se hiciera expresa referencia en el contrato firmado con la consultante, a los datos de identificación de los subcontratistas, ubicación de los mismos y servicios de tratamiento que aquéllos desarrollarán, bastando la celebración de un contrato único con tales subcontratistas que, lógicamente cumpliese con los requisitos necesarios para que cupiera atribuir a los mismos la condición de sub-encargados del tratamiento o para adoptar garantías suficientes en caso de transferencia ulterior de los datos”

En el contrato entre el encargado del tratamiento y el posible subcontratista, deben constar las medidas de seguridad necesarias, acorde con el nivel de los datos personales a tratar. En el caso de datos especialmente protegidos, esa notificación es fundamental para que el subcontratista sepa cómo debe proteger adecuadamente esos datos.

7. MEDIDAS DE SEGURIDAD

7.1. Introducción

El artículo 9 LOPD dispone: “1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garantice la seguridad de los datos de carácter personal y evite su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana del medio físico o natura”.

En el contrato entre responsable y encargado han de quedar fijadas que medidas de seguridad del título VIII del RLOPD se adaptarán en concreto (Artículo 12.2 LOPD).

7.2. Obligación de auditar

Como ya hemos visto anteriormente, el artículo 20.2 RLOPD dispone que “Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte el tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento”.

Esta obligación de auditar por parte del responsable hacia el encargado puede ser materializada por una entidad tercera acreditada de confianza, como establece también el Dictamen 05/2012 del GT29 [3] en su apartado 4.2 Certificaciones de protección de datos de terceros:

  • La verificación independiente o la certificación por terceros que gocen de reconocido prestigio puede ser un medio creíble para que los proveedores demuestren el cumplimiento de sus obligaciones según lo especificado en el presente dictamen. Dicha certificación indicaría, como mínimo, que los controles de protección de datos han sido objeto de una auditoría o revisión con respecto a una norma reconocida que cumple los requisitos expuestos en el presente dictamen, por una organización tercera que goce de reconocido prestigio. En el contexto de la computación en nube, los clientes potenciales deben examinar si los proveedores de servicios en la nube pueden presentar una copia de este certificado de auditoría realizado por un tercero o una copia del informe de auditoría que verifique la certificación, incluso con respecto a los requisitos que figuran en el presente dictamen.
  • La realización de auditorías individuales de datos alojados en un medio de servidores virtualizados con múltiples operadores puede ser poco práctica desde el punto de vista técnico y puede en algunos casos puede aumentar los riesgos para los controles físicos y lógicos de seguridad de las redes. En tales casos, podrá considerarse que la auditoría por un tercero de reconocido prestigio elegido por el responsable del tratamiento puede sustituir al derecho de un responsable del tratamiento de realizar una auditoría.
  • La adopción de normas y certificaciones específicas sobre protección de la intimidad es esencial para establecer una relación de confianza entre los proveedores, los responsables del tratamiento y los interesados. Estas normas y certificaciones deben cubrir las medidas técnicas (como la localización de los datos o la codificación), así como los procesos seguidos por los proveedores de servicios de computación en nube para garantizar la protección de los datos (tales como políticas de control del acceso, controles de acceso o copias de seguridad).

La propia AEPD en su Informe 0157/2012 [2] indica al respecto: “De este modo, tomando en cuenta los criterios sustentados por el Grupo de Trabajo del artículo 29 sería posible considerar que la auditoría a la que se refiere la consultante, en los términos en los que la misma se señala en la consulta podría ser considerada una garantía adecuada para la transferencia de los datos derivada de la contratación del servicio de computación en nube prestada por la misma siempre y cuando dicho servicio fuera prestado por una entidad enteramente independiente de la consultante y que se encontrase debidamente certificada o acreditada, tanto en lo que se refiere a su independencia como en lo que atañe a sus procedimientos de actuación.

Además, sería necesario que las partes conviniesen que la elección de esa tercera parte de confianza se llevase a cabo por parte de la consultante [responsable del tratamiento], permitiendo en todo caso al cliente manifestar su opinión así como acceder a los resultados del informe de auditoría que se llevase a cabo, que necesariamente debería reunir los requisitos de contenido a los que acaba de hacerse referencia, en los términos manifestados en el documento WP196 ya citado”.

7.3. La Norma ISO 27001 y el programa STAR

Por haberse convertido en una Norma estándar de facto a nivel mundial, en cuanto a Seguridad de la Información, la ISO 27001:2013 será seguramente la certificación que pueda encajar en los planteamientos que se han analizado del GT29 y de la AEPD.

Una certificación en esta Norma es un acto voluntario (no legislativo) que sirve para acreditar que la empresa dispone de un SGSI (Sistema de Gestión de la Seguridad de la Información) basado en la mejora continua que está sometido regularmente a auditorías de control por parte de una tercera entidad acreditada y reconocida internacionalmente.

En consecuencia, podría servir para evidenciar que dicha empresa cumple con las medidas organizativas y técnicas necesarias, demostrando que posee un adecuado nivel de protección de datos en general (incluidos los de naturaleza personal). Todo ello suponiendo que el alcance de la certificación, que puede definirse a voluntad por quién se certifica, cubra todos los ficheros y tratamientos que afectan a nuestras necesidades.

Lo que no garantiza nunca una Norma ISO 27001 es que se cumpla con el tercer paquete de medidas que faltan: Las jurídicas. Si bien existe un objetivo de control y un control jurídico específico en el apéndice A de la Norma:

A.18 CUMPLIMIENTO LEGAL

A.18.1 Cumplimiento con los requisitos legales y contractuales

A.18.1.4 Privacidad y protección de la información identificable personal: La Privacidad y la protección de la información identificable personal debe ser asegurada como se requiere en la legislación y la regulación que le es aplicable.

Si en el país donde un encargado del tratamiento se certifica de la Norma no existe legislación aplicable sobre protección de datos, ésta se limitará a constatar que dicho control NO APLICA y quedará excluido de la declaración de aplicabilidad (SOA en inglés), sin afectar al proceso de certificación. En consecuencia no se podrá acreditar en base a la ISO27001:2013 la existencia de medidas jurídicas sobre legislación en materia de protección de datos.

Lo mismo podría ocurrir con las medidas organizativas y técnicas pese a que toda exclusión, de cualquiera de los 114 controles posibles en la declaración de aplicabilidad que exige la Norma, debe estar plenamente justificada.

NOTA DEL EDITOR: La evaluación del cumplimiento en materia de protección de datos personales en entornos de Cloud Computing no es baladí. Se requieren sólidos conocimientos jurídicos en la materia, conocimiento de la legislación aplicable en cada caso, dominio como leader auditor de la Norma ISO 27001 de gestión de la seguridad de la información y ahora también como auditor del esquema de certificación STAR de seguridad en proveedores de Cloud. En otras palabras, o se es un profesional de amplio espectro o se requiere un conjuntado equipo multidisciplinar.

En el reciente y muy completo Informe CNS-57/2013 [1] de la Autoritat Catalana de Protecció de Dades (APDCAT) sobre prestadores de “Cloud Storage” y despachos de abogados [puede accederse a la traducción en el apartado de bibliografía], se admite que esos 114 controles podrían en cierta manera concordar con diferentes preceptos del RLOPD relativos a las medidas de seguridad (Artículos 89 a 104), facilitando la normativa de protección de datos en este sentido.

No obstante, también apunta a que no existe una relación directa entre éstas medidas establecidas por la Norma y las medidas previstas en el RLOPD. En otras palabras, el Informe de la APDCAT concluye que “la Norma ISO 27001:2013 no garantiza la existencia de un documento de seguridad con los contenidos mínimos previstos en la legislación española de protección de datos, (…), de un registro de acceso a los datos o de un registro de incidencias que cumpla con todos los requisitos previstos en la normativa vigente”.

Hemos de pensar que este temor de la APDCAT debe circunscribirse especialmente dentro del caso que nos ocupa, que no es otro que el tratamiento de datos especialmente protegidos.

Muy recientemente, para las empresas de Cloud Computing, dentro del OCF (Esquema abierto de certificaciones), de la mano de British Standards Institution (BSI) y de la Cloud Security Alliance (CSA), existe la denominada certificación STAR. Se trata de un esquema de certificación basado en tres niveles y adecuado al prestador de servicios de Cloud Computing. La certificación STAR de nivel 2 comprende una auditoría independiente “de tercera parte” sobre la base de la CCM (Cloud Control Matrix) – Matriz de Controles de Cloud – que complementan a los definidos en el anexo A de la ISO 27001.

Los 136 controles que componen el CCM V3.0 están agrupados en 16 dominios. Antiguamente, en el CCM V1.x existía el dominio Legal (LG). Actualmente en el CCM V3.0 los controles correspondientes a la parte legal han quedado repartidos entre dos dominios diferentes: Human Resources Security (HRS) y Supply chain management, transparency & accountability (STA).

8. LEGISLACIÓN APLICABLE

8.1. Introducción

Determinar cuál es el Derecho aplicable al tratamiento de datos personales tiene suma importancia en entornos de Cloud Computing, donde no siempre es trivial la localización de los ficheros de datos.

Una percepción clara del Derecho aplicable sobre protección de datos, tanto en el EEE como en un contexto internacional más amplio, contribuirá a garantizar la seguridad jurídica a los responsables del tratamiento, a sus clientes y demás partes interesadas.

Como se dispone en el dictamen 8/2010 del GT29, sobre el Derecho aplicable, [7] la determinación del Derecho aplicable está estrechamente vinculada a la identificación del responsable del tratamiento y de su(s) establecimiento(s): la principal consecuencia de esta vinculación es la reafirmación de las responsabilidades del responsable del tratamiento, y de su representante si aquel está establecido en un tercer país.

8.2. Legislación europea

En el referido dictamen se indica:

“II.2.b) Ámbito del Derecho de la UE dentro de la UE/del EEE. Los principales criterios a la hora de determinar el Derecho aplicable son la ubicación del establecimiento del responsable del tratamiento y la ubicación de los medios o del equipo que se esté utilizando cuando el responsable del tratamiento esté establecido fuera del EEE. Esto significa que ni la nacionalidad o el lugar de residencia habitual de los interesados, ni la ubicación física de los datos personales son decisivos a tal efecto”.

Evidentemente el Dictamen concuerda con el artículo 4 “Derecho aplicable” de la Directiva 95/46/CE.

En consecuencia, y para el estudio que nos ocupa suponemos que el responsable del tratamiento, que es la empresa que contrata los servicios a un proveedor de Cloud, está en España (dentro de la UE) por lo que el Derecho aplicable debería ser el español.

9. BIBLIOGRAFÍA CONSULTADA

[1] APDCAT. CNS-57/2013. “Informe en relación con una consulta de un colegio de abogados sobre los riesgos que comporta el uso de servicios de “Cloud Storage” en el ámbito profesional de las relaciones entre abogado y cliente”. 28 de marzo de 2014.

Informe APDCAT
[2] AEPD. Informe 0157/2012. “Determinadas cuestiones relacionadas con Transferencias Internacionales de Datos”.
Informe 0157/2012

[3] GRUPO DE PROTECCIÓN DE DATOS DEL ARTÍCULO 29. “Dictamen 05/2012 sobre la computación en nube”. 1 de Julio de 2012. WP196. 01037/12/ES. Dirección General de Justicia de la Comisión Europea.

WP 196

[4] ARTICLE 29 – DATA PROTECTION WORKING PARTY. “Working Document: Transfers of personal data to third countries: Applying Article 26(2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers”. Adopted on 3 June 2003. 11639/02/EN.WP 74.

Working Document

[5] Decisión 2010/87/UE de la Comisión. “Relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países”. De conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo. 5 de febrero de 2010.

Decisión 2010/87/UE

[6] Decisión 2000/520/CE de la Comisión. “sobre la adecuación conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América. 26 de julio de 2000.

Decisión 2000/520/CE

[7] GRUPO DE PROTECCION DE DATOS DEL ARTICULO 29. “Dictamen 8/2010 sobre el Derecho aplicable”. 16 de diciembre de 2010. WP 179.

Dictamen 8/2010

Google da sus primeros pasos para hacer efectivo el derecho al olvido

google_olvido

Por Daniel A. López Carballo

Hace poco conocíamos la Sentencia del Tribunal de Justicia de la Unión Europea, sobre el famoso caso Google y derecho al olvido, un caso de gran relevancia al resuelve la cuestión prejudicial planteada en marzo de 2012 por la Audiencia Nacional española sobre la interpretación de la Directiva 95/46/CE en relación con la actividad de los motores de búsqueda de Internet. La decisión afecta a más de 220 recursos interpuestos por Google contra resoluciones de la Agencia Española de Protección de Datos, actualmente pendientes ante el citado organismo judicial español.

En ella se respalda el concepto de derecho al olvido, a la posibilidad de que un ciudadano pueda solicitar el borrado de su datos y el rastro de los mismos en Internet, de forma efectiva; clarificando definitivamente el régimen de responsabilidades de los buscadores de Internet en relación con la protección de los datos personales y pone término a la situación de desprotección de los afectados generada por la negativa de la compañía Google a someterse a la normativa española y europea reguladora de la materia.

Dos semanas después Google presenta una herramienta para que los motores de búsqueda eliminen resultados de consultas que incluyan su nombre si esos resultados se consideran “inadecuados, no pertinentes o ya no pertinentes, o excesivos desde el punto de vista de los fines para los que fueron tratados“.

Según informa la propia compañía “Google evaluará cada solicitud de forma individual e intentará buscar un equilibrio entre los derechos de privacidad de los usuarios y el derecho del público a conocer y distribuir información. Al evaluar tu solicitud, Google examinará si los resultados incluyen información obsoleta sobre ti, así como si existe interés público por esa información (por ejemplo, información sobre estafas financieras, negligencia profesional, condenas penales o comportamiento público de funcionarios del gobierno)”.

Para ello Google ha elaborado un formulario que el usuario debe cumplimentar sus datos y los enlaces que desea retirar. En caso de no ser el propio interesado deberá tener autoridad legal para actuar en su nombre. Según se recoge en el mismo, se necesitará una copia de un documento de identificación con foto válido para completar este formulario.

Para evaluar la idoneidad de la solictud, Google evaluará cada caso por lo que solicita que se:

a) Indique la URL de cada enlace que aparece en una búsqueda de Google de su nombre y que solicita que se retire. (La URL se puede encontrar en la barra del navegador después de hacer clic en el resultado de búsqueda en cuestión).

b) Explique, si no están claros, los motivos por los que la página enlazada se refiere a usted (o, si envía este formulario en nombre de otra persona, a la persona indicada anteriormente).

c) Explique por qué esta URL de los resultados de búsqueda resulta irrelevante, obsoleta o inadecuada de cualquier otro modo.

Entre las diferentes problemáticas que se suscitar, se encuentra la resolución de dicha solicitud conforme a los plazos legales establecidos en las diferentes legislaciones, más aun si se establece un periodo de evaluación según detalla Google, así como la carencia del deber de información en cuanto a la recogida de datos, se da la paradoja de que el usuario solicita que se eliminen sus datos, dándole nuevos datos a Google, que pasara a procesarlos e incluirlos en sus ficheros, en cierta medida, incrementando la información que la compañía tiene sobre el mismo.

Por último, pese a que el formulario se realiza en base a la legislación europea, si echamos de menos que está práctica sea extensible a otras nacionalidades y países, donde el ciudadano pueda solicitar la retirada de contenidos, en este sentido se debe recordar que el derecho a la protección de datos, se encuentra ligado al derecho a la privacidad, la intimidad y el honor, en definitiva a la propia imagen, debiendo ser considerado como tal, un derecho erga omnes, con independencia de el país de residencia de las personas, más aún teniendo en cuenta la velocidad a la que la información traspasa fronteras en Internet.

Enlace al formulario de Google.

Justicia y redes sociales: una propuesta de regulación

privacidad_redes_sociales

Por Aristeo García González

“Piensa antes de publicar en Internet y las redes sociales, mientras no olviden, nuestra vida privada, estará en manos de lo público”[1]

Consideraciones previas.

El uso de las redes sociales en nuestra sociedad va en aumento, a través de sus servicios podemos interactuar en base a perfiles elaborados por nosotros mismos en tiempo real y sin limitación alguna.

Esta nueva forma de relacionarnos se ha convertido en un medio a través del cual podemos desahogarnos, expresar nuestro sentir respecto alguna situación o en relación con algún personaje de la vida pública, sobre todo, al tratarse de espacios abiertos y con amplia visibilidad.

No cabe duda, estamos dejando de ser simples consumidores para convertirnos en productores de contenidos, lo cual desde hace relativamente poco, ha comenzado a poner en aprietos a la justicia a la hora de aplicar las normas vigentes.

Justicia versus productores de contenidos.

Uno de los temas que ha acaparado la atención en los últimos años, es sin duda el uso de las nuevas tecnologías, así como las llamadas redes sociales en Internet. Las cuales se han convertido en un “foro público” en donde cualquier persona puede opinar y acceder a una gama muy variada, amplia y plural de puntos de vista[2].

Si bien es cierto, las redes sociales han contribuido positivamente al incremento de la libertad de expresión en la sociedad, también es verdad que expresarse pública y libremente por medio de una red social tiene sus consecuencias.

Quien no recuerda el papel que jugaron las redes sociales en la llamada primavera Árabe, el movimiento de los indignados en Europa o de Wall Street en New York, la caída de los gobiernos de Túnez, Libia, Egipto, entre otros. Lo anterior, son recordatorios de que en la actualidad y cada vez más resulta imposible dividir el mundo real y material del virtual. Esto, a consecuencia de la nueva forma en que estamos interactuando. Lo cual, sin duda, está teniendo grandes implicaciones tanto en la vida política, social y económica de un país, incluso, más allá de sus fronteras.

Incluso, ha llevado a algunos órganos judiciales hacer frente a esta nueva realidad, derivada de la creciente publificación[3] que realizamos diariamente en el entorno virtual, es decir, por la nueva forma en que compartimos información, pensamientos, acciones, o bien, al reunir un grupo de personas para compartir ideas, causas o necesidades”[4].

Haciendo un poco de historia, un asunto que cobro relevancia en Estados Unidos fue el movimiento denominado Occupy Wall Street en New York en el año 2011. Durante el cual un activista llamado Malcolm Harris se mostró muy activo y público varios “tuits” a la vez que en su blog personal hizo varias publicaciones relacionados con dicho movimiento. Este tipo de conducta, lo llevo ante el Tribunal Penal de New York, donde el juez que conoció del caso lo acuso de promover el desorden público.

 Entre otras cosas, el juez que conoció del caso denominado People v. Harris[5], manifestó que “Twitter en ningún momento garantizaba privacidad absoluta de los datos de los usuarios, sino todo lo contrario, en sus términos y políticas de la red, se señala que puedes compartir o revelar la información cuando sea conveniente”[6]. En otras palabras, el juez estableció: “si posteas un tuit, al igual que si gritas por la ventana, no puedes esperar ningún tipo de privacidad. No puedes esperar mantener la propiedad de unos tuits que tú mismo has dado al mundo”[7].

Dicho asunto, arrojo dos resultado, por un lado, se obligó a Twitter a entregar todos los “tuits” publicados por Harris, algo que no había acontecido al inicio del asunto; y, del otro, el delito de desorden público por el que se condenó a Harris, no fue considerado grave, se le condenó a 15 días de cárcel o al pago de 500 dólares de multa[8].

Lo interesante del asunto People v. Harris, y que bien vale tener en cuenta es que a partir de los razonamiento del juez, los ciudadanos debemos reflexionar antes de compartir o hacer público nuestro sentir respecto a un asunto con relevancia pública.

Sin embargo, tal parece que todavía a muchos no les importa compartir sus puntos de vistas respecto a una situación en concreto. Lo cual ha llevado a un diario español a escribir lo siguiente:

Las mofas, burlas, comentarios denigrantes sobre un fallecido o actitudes verbales violentas en las redes sociales o en internet no son exclusivas de España. Tampoco lo son las medidas legislativas por parte de los Gobiernos aunque con matices y diferencias atendiendo a sus tradición jurídica”[9].

Sabía verdad, sobre todo si revisamos los contenidos y los comentarios que a diario se publican tanto en Internet como en las redes sociales en relación con los temas de actualidad y que, pueden cobrar relevancia en el entorno público de la sociedad.

Tal como aconteció en España con el asesinato de la presidenta de la Diputación de León, Isabel Carrasco[10], situación que originó el abuso y desmesura en las redes sociales, desatando una serie de comentarios insultantes y opiniones denigrantes por parte de los usuarios de las redes sociales en torno al mismo, al grado de llevar la violencia en las redes contra otros políticos.

Es el caso de un joven valenciano, quien fue detenido por publicar en una red social su conformidad con el asesinato de Isabel Carrasco, incluso, por pedir que se hicieran lo mismos con los integrantes de un partido político, lo que llevo a la Guardia Civil acusarlo por apología de violencia y asesinato. En su defensa, el inculpado argumentó que con sus comentarios no quería ofender a nadie, “sólo pretendía realizar un protesta social, reclamaba un cambio social”.

Contrario a lo acontecido en el caso People v. Harris, el inconforme más que desatar una desorden social con sus comentarios, su reclamo social lo llevó al extremo, al grado de incitar al odio, la violencia y al asesinato de personajes políticos de la vida pública española.

Motivo por el cual, el juez le imputo el delito de “provocación, conspiración y la proposición para cometer asesinatos”, mismo que se encuentra recogido en el artículo 141 del Código Penal, cuya pena es uno o dos grados inferior a la mínima por el delito de asesinato, por lo que acusado podría ser condenado a entre 7 y 15 años de prisión. A pesar de ello, el juez que conoció del asunto le decretó la libertad con cargos.

Otro caso, suscitado también en España, es el de un hombre al que un juez condeno a pagar veinte días de multa con una cuota diaria de seis euros y una indemnización de 450 euros a un periodista quién denunció que estaba siendo objeto de injurias en su perfil social, tales como “tienes problemas mentales”, estás obsesionada con el sexo”, entre otros[11].

En sus argumentos, el juez reconoce que la periodista tiene un perfil público por su trabajo en televisión  pero que eso no justifica que se le dirijan expresiones hirientes y pone en valor además el efecto multiplicador de Twitter, los mensajes que se “retuitean” y aumenta su difusión para erosionar si honor[12].

De igual manera, manifestó que “los comentarios vertidos en una la red social que se han transcrito en los hechos probados lesionan objetivamente la honra, el crédito o el aprecio” de la periodista. Añadió, “son expresiones objetivamente aptas para menoscabar tanto la fama como el autoestima y superan el alcance tolerable que puede tener la ironía para llegar a herir o vejar a la denunciante”.

Algo similar a lo resuelto por el juez español, es el decir, el aumento de su difusión en las redes sociales y su afectación en la vida de una persona, ha sido recogido al otro lado del continente, en donde la Suprema Corte de Justicia de la Nación (SCJN) en México, en relación con el uso de Internet ha señalado lo siguiente:

“…es un medio polifacético… en el ámbito de la vida contemporánea, el cual permite establecer que la información y los datos que son ingresados ahí tiene la particularidad de contar con una difusión y circulación mucho más dinámica que la que proporcionan los tradicionales medios de comunicación masiva… Por consiguiente, las conductas relacionadas con la mencionada difusión de información en la red, en tanto hechos o actos ocurridos en una realidad física o virtual, puede derivar en conductas lícitas o ilícitas, cuyas consecuencias resultan inmediatas continuas, permanentes, continuadas, incluso, en algunos casos, combinaciones de varias que pueden lesionar a algún individuo…”[13]. 

Hoy, no cabe duda, ese cúmulo de información originada por nosotros mismos y que colgamos en Internet o que publicamos en alguna red social, su impacto puede ser inmediato, al grado de convertirse en un acto ilícito que puede causar un daño moral o puede significar una afectación en el honor y la reputación de una persona, tal como aconteció con el caso de la periodista en mención y el asesinato de Carrasco, aún después de fallecida.

Y así, en Internet podemos encontrar cada vez más, un gran número de casos en los cuales se muestran la afectación en la honra, la reputación, la propia imagen e intimidad de las personas, originada por los comentarios u opiniones vertidas en las redes sociales.

En definitiva, las redes sociales se han convertido en el medio donde podemos expresarnos libremente. Sin embargo, no deben ser tratadas como medio de comunicación y expresión diferente a los tradicionales, si bien es cierto, su alcance es mayor y sus efectos pueden multiplicarse, el comportamiento que tengamos en las mismas puede ser sancionado en base a alguna de las figuras penales vigentes, con independencia de la tradición jurídica de que se trate.

Conclusiones

Primera. Desde hace algunos años, la sociedad ha sufrido notables cambios, particularmente, en el ámbito de las Tecnologías de la Información y Comunicación (TIC´s). Es por ello que, ante esta nueva realidad, las instituciones y el propio legislador, deben reaccionar de forma ágil y flexible al entorno cambiante y en constante evolución, a fin de tutelar y proteger los derechos fundamentales de los ciudadanos y nunca legislar en base a los escándalos.

Segundo. Es una realidad, las redes tienen un impacto para bien o para mal. De ahí la necesidad de establecer un conjunto de principios básicos y obligaciones que de alguna manera rijan y sean respetados por los usuarios, sobre todo a la hora de publicar contenidos.

[1] Mi frase, a propósito de la sentencia dictada por el Tribunal de Justicia de la Unión Europea (TJUE) en el asunto C-131/12 Google vs Agencia Española de Protección de Datos (AEPD), de 13 de mayo de 2014.

[2] Cfr. Sunstein Cass, R., Republica.com. Internet, democracia y libertad, Barcelona, Paidós, 2003, pp. 39-41.

[3] Término recogido por Jeff Jarvis, en su obra titulada PublicParts, Nueva York, Simon&Schuster, 2011 [Traducido al español por Padín, Adela, Partes Públicas. Por qué compartir en la era digital mejora la forma en que trabajamos y vivimos, Barcelona, Grupo Planeta, 2012].

[4]Ibídem, p. 19-25.

[5]Vid. Case People v. Harris. Decisión and order. Criminal Court of the city of New York Country of New York, 30.06.2012.

[6] Ibídem, p. 3-5.

[7] Ibídem, p. 5.

[8] El asunto completo puede verse en el siguiente link:
http://law.justia.com/cases/new-york/other-courts/2012/2012-ny-slip-op-22109.html

[9] “El acoso en las redes sociales, en auge en el mundo”, Diario ABC, de 15 de mayo de 2014.  [http://www.abc.es/espana/20140515/abci-acoso-redes-sociales-mundo-201405142215.html]

[10] “Muere a tiros en plena calle la presidenta de la Diputación de León, Isabel Carrasco”, en Diario el País, 13 de mayo 2014.

[11] La nota completa puede verse en el siguiente link:
http://www.cadenaser.com/espana/articulo/condenado-injurias-reiteradas-periodista-traves-twitter/csrcsrpor/20131115csrcsrnac_43/Tes

[12] Las itálicas son mías

[13] “Información a través de Internet. Difusión de hechos y conductas lesivas en las variantes de ejecución” en en Seminario Judicial de la Federación y su Gaceta, Libro XX, mayo de 2013, tomo3, p. 1833. [www.sjf.scjn.gob.mx]

O Marco Civil da Internet no Brasil e a proteção de dados pessoais

inernet_btrasil

Por Cláudio Roberto Santos

O Marco Civil da Internet no Brasil, como ficou conhecida a Lei 12.965 de 23 de abril de 2014, de maneira geral regula a utilização da internet no Brasil, estabelecendo princípios, garantias, direitos e deveres. Fruto de um projeto do Ministério da Justiça brasileiro em parceria com a Escola de Direito da Fundação Getúlio Vargas do Rio de Janeiro, a mesma inovou desde sua elaboração, pois se utilizou de ferramentas de web 2.0 para colher a participação da população na elaboração daquele que seria um projeto de lei a ser apresentado ao Congresso Nacional pela Presidenta Dilma Rousseff.

O projeto foi aprovado pelo Congresso brasileiro em duas etapas, primeiro pela Câmara dos Deputados em 25 de março, e logo em seguida pelo Senado Federal em 22 de abril, tendo sido sancionado pela Presidenta no dia seguinte.

A um mês da entrada em vigor da Lei 12.965/14 alguns pontos ainda precisam ser regulamentados, bem como geram dúvidas aos usuários de internet no país, principais destinatários do texto ali contido. Um destes pontos é o que a lei em comento estabelece como princípio para a disciplina do uso da internet no Brasil: a proteção de dados pessoais, que ainda depende de regulamentação específica no país.

Apesar da necessidade de regulamentação da proteção de dados pessoais, o Marco Civil já prevê alguns direitos dos usuários em seu artigo 7º que merecem destaque.

Art. 7o O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:

VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;

VIII – informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:

a) justifiquem sua coleta;

b) não sejam vedadas pela legislação; e

c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;

IX – consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;

X – exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei;

A previsão dos direitos acima descritos levanta algumas questões importantes acerca da elaboração dos Termos de Uso e Serviços, bem como das Políticas de Privacidade, de Provedores de Serviço e/ou Conteúdo na internet.

A primeira questão a ser levantada é que a lei vincula o tratamento de dados pessoais à autorização expressa do usuário neste sentido. Daí se faz algumas perguntas:

1)     Quem é o usuário que lê por inteiro os termos de uso e serviço e a política de privacidade dos sites que utiliza? Por mais que os provedores atualizem suas políticas de uso e privacidade, poucos serão os usuários que perceberão que estão permitindo o tratamento de seus dados pessoais e sua cessão à terceiros. Tal observação é válida mesmo com a previsão de destaque na cláusula de consentimento que o Marco Civil exige no inciso IX, do artigo supra citado, pois se o usuário não ler os termos e políticas como verá a cláusula em destaque? Teríamos que partir da boa vontade dos sites de destacarem isso em sua página principal, ou talvez no momento em que o usuário se cadastra. Digo boa vontade porque a lei não especificou que tipo de destaque deve ser dado.

2)     Mesmo lendo os termos e políticas, terá o usuário opção de não permitir o tratamento e ainda assim ter acesso ao serviço ofertado? A resposta à esta pergunta é negativa já que os grandes captadores de dados pessoais, como Google e Facebook, sobrevivem justamente desta coleta e tratamento. Os termos de uso e serviço, bem como as políticas de privacidade, nada mais são do que parte de um grande contrato de adesão onde os usuários não terão oportunidade de questionar suas cláusulas. Sua autonomia se concentrará em apenas dizer “sim” ou “não” para a coleta, uso, armazenamento e tratamento de seus dados pessoais, que consequentemente lhe permitirá o acesso ou não ao serviço.

Outra questão importante atinge em cheio os termos de serviço do Facebook. A previsão como direito, da exclusão definitiva de dados pessoais que tenha fornecido vai de encontro ao previsto naqueles termos, já que ao encerrar seu perfil no Facebook os dados do usuário permanecem armazenados nos servidores do mesmo à sua disposição. Em seus documentos o Facebook informa que os dados do usuário não estão mais disponíveis para outros usuários, mas nada informa sobre a utilização destes dados por ele mesmo.

A partir de agora o usuário que terminar sua relação com o Facebook e outras redes sociais poderá exigir dos mesmos que seus dados sejam deletados definitivamente, quem nem mesmo o próprio usuário ou o Facebook poderão recuperá-los.

A aprovação do Marco Civil da Internet no Brasil representa, apesar de todas as críticas que se possa fazer, um verdadeiro avanço na proteção dos direitos dos usuários de internet brasileiros e coloca o Brasil como uma referência para outros países que também se movimento neste sentido.