La digitalización previa en redes P2P

He leído un artículo que publica el Auto dictado por un Juzgado de lo Mercantil que desestima la adopción de medidas cautelares solicitadas por la SGAE contra una página que ofrecía enlaces a plataformas P2P, y desde las que se podían realizar descargas de obras protegidas por los derechos de propiedad intelectual.
Sin perjuicio de que, sin conocer los detalles y pruebas aportados al procedimiento, puedo compartir la valoración que efectúa el citado Auto respecto a si se considera o no infracción la actividad que se realiza desde las páginas que ofrecen simplemente enlaces y no descargas directas de obras almacenadas en la propia página, discrepo de la interpretación que efectúa el Juzgador respecto a qué actividades que constituyen una infracción del derecho de reproducción.
El Auto analizado, hace suyos los argumentos de la Sentencia dictada por la Audiencia Provincial de Barcelona, sección 15ª, que establece que cuando se digitaliza una obra y se fija en un medio que permite su comunicación y la obtención de copias, se está ejecutando un acto de reproducción, concretamente con la carga y almacenamiento de material digitalizado en la memoria del ordenador (o de otro sistema que lo retenga de modo estable).
Partiendo de dicho análisis, sin embargo, el Juzgador entiende que “la descarga de la obra en la red P2P que supone bajada y subida de datos o archivos previamente digitalizados, previamente fijados en el soporte que permite el intercambio, no encaja en este precepto. Introducir una obra fonográfica o videográfica en el programa Emule que ha sido previamente convertida a un archivo informático, compatible con dicho programa, no constituye un acto de reproducción. En la mayoría de los casos la conversión se ha realizado previamente para permitir su divulgación a través de Internet, mediante actos que han sido objeto de autorización lucrativa por sus titulares. Resultaría una investigación técnica realmente compleja averiguar qué archivos fueron reproducidos, digitalizados por un usuario de la red P2P y cuales lo fueron por los titulares de los derechos de explotación”
Y es aquí donde discrepo pues el Juzgador establece como requisito para que tal acto pueda ser considerado como reproducción que se haya producido previamente la digitalización de la obra.
Dicha exigencia, no viene recogida en  el art 18 TRLPI que indica que  “la fijación directa o indirecta, provisional o permanente, por cualquier medio y en cualquier forma, de toda la obra o de parte de ella, que permita su comunicación o la obtención de copias”.
Por lo tanto,  no es un requisito para que se produzca la reproducción que la obra haya sido previamente digitalizada, o el que autor de la infracción intervenga en esa digitalización, sino que el mero acto de realización de la copia, ya sea mediante su fijación en otro soporte, ya sea mediante su almacenamiento en el disco duro de un ordenador,  mediante su conversión a obra digital, o mediante la “subida” de la obra a una red P2P constituye reproducción.
Constituye igualmente a mi entender, una errónea interpretación del derecho de reproducción,  descartar la existencia de una infracción del derecho de reproducción cuando la digitalización de la obra ha sido efectuada por el propio titular de los derechos de explotación. 
Así, se estaría tolerando la descarga sin autorización de cualquier tipo de obra, si ésta ha sido publicada por el titular de derechos de explotación en soporte digital, a pesar de que se haya puesto a disposición de terceros en plataformas de distribución P2P sin su consentimiento.

He olvidado mi contraseña !!

En el procedimiento de creación y alta de una cuenta de correo electrónico el proveedor de correo establece un mecanismo para que el usuario pueda recuperar su contraseña en caso de olvido. No obstante el citado mecanismo es más vulnerable que la contraseña en si misma.

 

Tras un análisis de los principales proveedores de cuentas de correo electrónico, observamos que en el proceso de registro de una cuenta de correo,  lo más habitual es que tras cumplimentar los campos relativos a identificación del usuario y nombre de la cuenta,  el proveedor pide como “pregunta de seguridad” para la recuperación de contraseñas, la elección de una de las preguntas que aparecen listadas (lugar de nacimiento de la madre, profesor favorito, mejor amigo de la infancia, nombre de la primera mascota, etc.) respecto de la cual deberá introducirse la respuesta correspondiente, sin opción a formular una pregunta distinta a la ofrecida por el proveedor.

 

Una vez concluido el proceso de registro y activada la cuenta, tan sólo mediante la introducción correcta respuesta a la pregunta seleccionada, podrá recuperarse la contraseña en caso de haberse olvidado la misma.

 

Al tratarse de preguntas poco sofisticadas y previamente listadas cualquier tercero que tenga una cierta proximidad y conocimiento de las circunstancias personales y/o familiares del titular de la cuenta le resultará sumamente fácil contestar a la pregunta preestablecida, pues sin duda conocerá o podrá conocer sin dificultad la solución a cuestiones tan obvias como, lugar de nacimiento de la madre, profesor favorito, mejor amigo de la infancia, nombre de la primera mascota, etc.

 

Cuando el titular de la cuenta es un personaje público, como sucedió con Sarah Pallin, ni siquiera será necesario ser de su entorno o círculo de amigos, pues las respuestas a las preguntas previamente listadas pudieron hallarse consultando en Wikipedia y en foros y artículos publicados en Internet.

 

Frente a la fragilidad del sistema habitual descrito pocos son los proveedores, permiten la posibilidad de redactar una pregunta propia, no dependiendo del listado ya existente lo cual, obviamente, dificulta el acceso no autorizado de terceros, puesto que además de conocer la respuesta, en este caso deberá también acertar la pregunta con la consecuente complicación dadas las infinitas posibilidades existentes.

Responsabilidad por contenidos

Esta semana se juzgaba en Italia a los responsables de Google por la publicación de un video en el que unos jóvenes  de Turín maltrataban a un muchacho con síndrome de Down. Los hechos que se les imputan son los de presuntos autores de los delitos de difamación y violación de la intimidad.

Dicha noticia nos obliga a analizar cuál es el papel de Google en la inserción y publicación de contenidos, y, en su caso, su responsabilidad. Respecto a la inserción, son los propios usuarios los que realizan la inserción de los contenidos, que se publican y son visibles seguidamente en Google mediante los sistemas de búsqueda y recopilación de datos o enlaces a otros sitios de Internet.

De acuerdo con la Directiva Europea de Comercio Electrónico, y la Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información  y de Comercio Electrónico (LSSICE), en España los prestadores de servicios de la sociedad de la información, no son responsables de la información almacenada a petición del interesado, siempre que:

a) No tengan conocimiento efectivo de que la actividad o la información a la que remiten o recomiendan es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o

b) Si lo tienen, actúen con diligencia para suprimir o inutilizar  el enlace correspondiente.

Y añade que el prestador adquiere conocimiento efectivo cuando un órgano competente haya declarado la ilicitud de los datos, y hubiera ordenado, en ejercicio de las competencias que ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución, sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse.

Resulta por tanto excesivo a mi entender, que sin que existan pruebas que acrediten que Google conocía la existencia de esa grabación, así como pruebas de la inobservancia de los requerimientos que le hubiesen sido efectuados, se le considere responsable de la publicación de los mismos, máxime cuando si parece acreditado que en cuanto tuvo noticia de la existencia de los mismos los eliminó de su página y herramientas de búsqueda.

El uso judicial de Facebook

Facebook ya no sólo sirve para localizar viejos conocidos o mantener comunicaciones con tu red de amigos. Recientemente  un tribunal de Australia aprobó el uso de Facebook, para  realizar una notificación judicial a un particular  tras incurrir éste en el impago de la hipoteca.

Trasladándolo al sistema judicial español, cabría plantearse su efectividad atendiendo  a lo previsto en nuestra la Ley deEnjuiciamiento Civil, que en su art. 162 permite la posibilidad de realizar comunicaciones judiciales a través de medios electrónicos, informáticos y similares, siempre que:

• Los Juzgados y Tribunales y las partes dispusieren de dichos medios o semejantes, que permitan el envío y la recepción de escritos y documentos,

• Que tales medios garanticen la autenticidad de la comunicación y de su contenido

• Que quede constancia fehaciente de la remisión y recepción íntegras

• Que se disponga de acuse de recibo

• Que las partes y los profesionales que intervengan en el proceso hayan comunicado al Tribunal que disponen de esos medios y su dirección electrónica de envío.

Por ello, para que Facebook se considerase una dirección efectiva para la realización de comunicaciones, previamente el particular, debería haber comunicado al Juzgado la posibilidad de utilizar ese medio electrónico como forma de comunicación con el mismo.

Además debería garantizarse la autenticidad de las comunicaciones a través de Facebook, autentificación de las partes intervinientes, integridad del mensaje y time stamping.

Menos problemas plantearía acusar recibo de la entrega pues cuando se envia un mensaje a través de Facebook a una persona no agregada, el destinatario recibe un mensaje de @facebookmail.com de forma que dispondríamos de una forma para acreditar que  el mensaje ha sido entregado a su destinatario, que debería ser completada con la declaración testifical de Facebook y del ISP del destinatario.

 

El DNI del responsable del fichero

La Ley Orgánica de Protección de Datos de carácter personal considera el DNI/NIF de una persona física como dato de carácter personal. Por otro lado, en la información suministrada en el Catálogo de ficheros inscritos en el Registro General de Protección de Datos accesible a través de su página web, con el objeto de difundir y dar publicidad a la existencia de ficheros de datos de carácter personal inscritos en el Registro General de Protección de Datos, se puede consultar el DNI de una persona, en su condición de responsable del fichero inscrito. Cuando el responsable del fichero es una persona física, la inclusión de su DNI permite que se le identifique como responsable del fichero en el ejercicio de su actividad profesional y, además, como persona física. Esta situación se ha modificado, y desde hoy, cuando el responsable del fichero actúe como persona física, no se publicará el dato relativo a su NIF

Distribucion ilícita en P2P

En septiembre de 2004 se presentó una denuncia por infracción de derechos de propiedad intelectual,  contra una persona que había colgado en distintas plataformas de distribución un programa que permitía desproteger los sistemas anti copia introducidos por el fabricante, SOFT, S.A. del programa Presto. Tras las investigaciones pertinentes se pudo localizar al autor de la infracción, y recientente el  Juzgado de lo Penal número 3 de Pontevedra ha condenado al autor a seis meses de prisión más una indemnización a Soft, S.A. de 5.000 euros, más el pago de las costas procesales.

El ahora condenado, se dedicó durante años a desproteger el programa Presto,   desarrollado por Soft y muy popular para realizar presupuestos entre los profesionales de proyectos y las empresas de la construcción, de forma que pudiera ser utilizado sin adquirir una licencia legal. Para que fuera accesible públicamente con toda facilidad, situaba la versión ya manipulada en plataformas de intercambios masivos de archivos P2P, como las populares emule y edonkey.

Esta sentencia, que aplica el tercer párrafo del artículo 270 del Código Penal por la fabricación, y puesta en circulación de una herramienta de desprotección o crack en una plataforma P2P supone un hito importante en la persecución de las infracciones de derechos que se cometen en estas plataformas de distribución.

La sentencia es firme, y contra ella no cabe recurso alguno.

EEUU juzgará al hacker que accedió al Pentágono

La justicia americana será competente para juzgar al británico acusado de acceder en el año 2002 a los sistemas informáticos militares de Estados Unidos y en los de la NASA.

El acusado, conocido como el “pirata del Pentágono” había solicitado que el procedimiento se tramitase ante los tribunales británicos, pero la semana pasada su recurso fue desestimado. No es de extrañar dicha resolución, ya que a pesar de que el acceso pudo haberse realizado desde otro país, lo cierto es que los sistemas vulnerados eran sistemas informáticos americanos, que se encontraban ubicados en los Estados Unidos, así como que los efectos del presunto delito se produjeron igualmente en dicho país.

Del mismo modo, nuestros tribunales entendieron en el año 2003, que era competente la jurisdicción española para enjuiciar un delito contra la propiedad intelectual que se realizaba desde España y por ciudadanos españoles, consistente en el suministro de programas de ordenador y herramientas de desprotección (conocidas como cracks) desde una página web que se encontraba alojada en un servidor ubicado en EEUU, puesto que los efectos del delito se producían en España.

(Auto dictado por el Juzgado de lo Penal 18 de Barcelona de 5 de mayo de 2003 que declaró la competencia Jurisdiccional de los Tribunales Españoles y la competencia territorial de los de Barcelona)

Inscripción o modificación de ficheros

Si atendemos al criterio apuntado por algunas expertos, hoy finalizaría el plazo para que los ficheros existentes puedan beneficiarse de la moratoria en la aplicación de las medidas de seguridad de los mismos establecida en el Reglamento 1720/2007 de Desarrollo de la LOPD (RLOPD), que entrará en vigor el 19 de abril próximo.

Esto es así, ya que la declaración de un fichero ante la AEPD debe hacerse de forma previa a la creación del mismo, tal y como establece la LOPD, y por lo tanto, se considerará que un fichero existe, y que por lo tanto, le es aplicable la moratoria del RLOPD, cuando esté declarado ante la AEPD a la entrada en vigor del RLOPD.

Tras la presentación de la solicitud de inscripción sin que la AEPD hubiera resuelto sobre la misma se entenderá inscrito el fichero, motivo por el que si queremos que a la entrada en vigor el fichero sea declarado existente, hoy debería enviarse la solicitud inscripción del fichero automatizado, no automatizado o mixto.

Whois Privacy Service

Cada vez aparecen más nombres de dominio registrados a nombre de compañías cuya finalidad es la de ocultar la identidad del verdadero titular del nombre.

Estas compañías actúan como alias para aquellas personas que no desean que se conozca ni su identidad ni su dirección de correo electrónico o correo postal. En un principio parece que el servicio se utiliza para impedir el uso no deseado de la dirección de correo electrónico del titular y accesible en cualquier base de datos de registro de nombre de dominios, pero a su vez, este servicio es utilizado para impedir que se pueda analizar la legitimidad sobre el uso del nombre de dominio.

A los efectos de un posible registro desleal del nombre de dominio o de vulneración de derechos de propiedad industrial de terceros, al utilizar el demandado el servicio de protección impide que incluso el árbitro que debe resolver la controversia pueda ver su identidad y, por tanto, analizar su legitimación sobre su uso del nombre de dominio.

En muchas resoluciones esta situación ha sido considerada como un elemento de mala fe, pues efectivamente el titular del nombre de dominio ha buscado de forma expresa ese anonimato garantizado por la compañía que ofrece servicios de privacidad.

Reglamento de desarrollo de la LOPD

Ya se ha publicado el nuevo Reglamento de Desarrollo de la LOPD que comprende tanto el tratamiento de los datos de carácter personal automatizado, y el no automatizado, al establecer que su ámbito de aplicación se extiende a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento.

Entre las principales cuestiones que aborda el Reglamento, cabe citar las ss:

ü      Aclara qué se entiende por ficheros y tratamientos relaciones con actividades personales o domésticas

ü      Incluye un conjunto de definiciones

ü      Regulación del consentimiento en la captación de los datos, especialmente en lo relativo a datos de menores

ü      Regulación de los derechos de acceso, rectificación, cancelación y oposición

ü      Aplicación de criterios específicos a los ficheros de solvencia patrimonial y crédito

ü      Criterios y procedimientos para la realización de las transferencias internacionales de datos

ü      Regulación del Código Tipo

ü      Atribución de los niveles de seguridad exigidos

ü      Obligaciones vinculadas al mantenimiento del documento de seguridad

ü       Tramitación de los procedimiento ante la Agencia de Protección de Datos

Su entrada en vigor es a los tres meses de su publicación, es decir, entrará en vigor el 19 de abril de 2008.

El Reglamento establece plazos para la implantación de las medidas a los ficheros automatizados que existan a la fecha de entrada en vigor, que van desde el año desde su entrada en vigor del RD hasta los dieciocho meses, según el tipo de fichero y el nivel de seguridad exigido.

Respecto a los ficheros no automatizados que existan a la fecha de entrada en vigor, los plazos de implantación de las medidas van desde el año para las medidas de seguridad de nivel básico  hasta los dos años para las de nivel alto.