Recomendaciones para el uso de cookies

La Agencia Española de Protección de Datos junto con las asociaciones Adigital, Autocontrol y la IAB, presentó el pasado día 29 de abril, la nueva guía sobre el uso de las cookies. La guía presenta diversas
opciones para cumplir con las obligaciones impuestas por la modificación del artículo 22 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad dela Información y de Comercio Electrónico (LSSI).

Acompaño un resumen de la guía o normas de uso de cookies:

Alcance de las normas de uso

La guía recoge lo establecido en el art 22 de la LSSI y  se refiere a la instalación de cookies y tecnologías similares ( tales como local shared objects o flash cookies, etc ) utilizadas para almacenar y recuperar datos del equipo terminal de una persona física o jurídica que utiliza, sea por motivos profesionales o no, un servicio de la sociedad de la información.

Cuando la instalación de cookies conlleve el tratamiento de datos personales, los responsables del tratamiento deberán informar al usuario y obtener su consentimiento.

Quedan exceptuadas del cumplimiento del art. 22.2 las cookies utilizadas para las siguientes finalidades:

• Permitir únicamente la comunicación entre el equipo
  del usuario y la red.

• Estrictamente prestar un servicio expresamente solicitado
  por el usuario.

En esa línea, según la interpretación del Dictamen 4/2012 del Grupo de Trabajo del Artículo 29, quedarían exceptuadas del alcance de la normativa las siguientes cookies que tienen por finalidad:

- Cookies de entrada del usuario.

- Cookies de autenticación o identificación de
usuario.

- Cookies de seguridad del usuario.

- Cookies de sesión de reproductor multimedia.

- Cookies de sesión para equilibrar la carga.

- Cookies de personalización de la interfaz de
usuario.

- Cookies de complemento (plug-in) para intercambiar
contenidos sociales.

El citado Dictamen también indica que para que una cookie pueda estar exenta del deber de consentimiento informado, su caducidad debe estar relacionada con su finalidad. Debido a ello es mucho más probable que se consideren como exceptuadas las cookies de sesión que las persisten

Definición de cookie y tipologías

La LSSI define cookie como cualquier tipo de archivo o dispositivo que se descarga en el equipo terminal de un usuario con la finalidad de almacenar datos que podrán ser actualizados y recuperados por la entidad responsable de su instalación.

Las cookies pueden clasificarse en una serie de tipologías según:

La entidad que las gestione

-         Cookies propias.

-         Cookies de tercero.

El plazo que permanecen activadas

-         Cookies de sesión.

-         Cookies persistentes.

Su finalidad:

        -         Cookies técnicas.

-         Cookies de personalización.

-         Cookies de análisis.

-         Cookies publicitarias.

-         Cookies de publicidad comportamental

Obligaciones de las partes

Se imponen  dos obligaciones: el deber de información y la obtención de consentimiento.

Se recomienda un estudio previo para conocer qué cookies se utilizan, si son propias o de terceros,
de sesión o permanentes y su finalidad.

1)    Deber de información

1.a) Información que debe proporcionarse:

Según lo establecido en el artículo 22.2 de la LSSI,debe facilitarse:

-         Información clara y completa.

-         Información sobre los fines del tratamiento de los datos.

-         Información sobre cómo revocar el consentimiento y eliminar las cookies, a disposición del usuario de forma accesible y permanente

1.b) Información de calidad, accesible y visible

Se recomienda tener en cuente el tipo de usuario al que se dirige la página web, pero considerando que en el momento actual el nivel de conocimiento de los usuarios sobre las cookies y su gestión es muy reducido. Asimismo, con el fin  de garantizar que la información que se está proporcionando es adecuada, debe tenerse en cuenta la accesibilidad y visibilidad de la citada información. Por este motivo, se entenderá que se ha informado correctamente al usuario cuando se utilicen uno
de las siguientes formas:

-         Formato enlace: Incrementando su tamaño, con fuente
diferente al del resto de los enlaces.

-         Posicionamiento del enlace: Ubicar el enlace en
zonas que capten la atención de los usuarios.

-         Denominación descriptiva e intuitiva para el enlace:
Ejemplo, “Política de cookies”, utilización de una imagen o icono descriptivo o
intuitivo.

-         Encuadrar o subrayar el enlace.

1.c) Sistemas para proporcionar la información

Los métodos más comunes para facilitar la información necesaria son:

-         Barra de encabezamiento o pie de página de forma
suficientemente visible.

-         Al solicitar el alta en un servicio o antes de descargare un servicio o una aplicación, junto a la política de privacidad o condicionesde uso, de forma destacada y separada del resto de información.  Si es necesario obtener el consentimiento para la instalación de cookies por parte de usuarios ya registrados, habrá que informar sobre los cambios realizados en  el tratamiento de cookies.

-         Información en dos capas: En cada una de las capasse incluiría la siguiente información:

Primera capa:

• Advertencia del uso de las cookies no exceptuadas.
• Identificación de las finalidades de las cookies que
  se instalan.
• Advertencia de que si se realiza una determinada
  acción, se entenderá que el usuario acepta el uso de las cookies.
• Enlace a la segunda capa informativa donde se
  incluye información más detallada.

 Segunda capa:

• Definición y función de las cookies.
• Cuadro o listado sobre el tipo de cookies que
  utiliza la página web y su finalidad.
• Forma de desactivar o eliminar las cookies.
• Información sobre la identificación de quién utiliza
  las cookies.

2)    Obtención del consentimiento

Para la instalación y utilización de las cookies no exceptuadas será necesario en todo caso obtener el consentimiento del usuario.
Este consentimiento podrá obtenerse mediante los siguientes métodos

-  Al solicitar alta en un servicio junto aceptando la
política de privacidad o condiciones de uso de la página web.

-  Durante el proceso de configuración del
funcionamiento de la página web o aplicación.

-  En el momento en el que se solicite una nueva
función ofrecida en la página web o aplicación.

-  Antes del momento en que se vaya a descargar un servicio o aplicación ofrecido en la página web.

-   A través del formato de información por capas.

-   A través de la configuración del navegador.

3)    Cuando pueden instalarse las cookies

Cuando el usuario disponga de la información preceptiva y la forma de obtención del consentimiento y el mismo se preste de acuerdo con los procedimientos indicados.

Como regla general, una vez obtenido el consentimiento de forma válida no es necesario obtenerlo cada vez que un usuario visite de nuevo la misma página web. Si las características o los fines de uso de las cookies cambian después de haber obtenido el consentimiento, será necesario informar a
los usuarios acerca de estos cambios y permitirles tomar una nueva decisión acerca de tales actividades.

4)    Retirada del consentimiento

Debe ofrecerse información sobre las consecuencias derivadas de la retirada de dicho consentimiento en la navegación web.

En algunos supuestos la no aceptación de las cookies puede impedir la utilización total o parcial del servicio, siempre que se informe adecuadamente y no impida el ejercicio de una derecho legalmente
reconocido al usuario.

 

 

 

Código de uso de las redes sociales

El uso en las compañías de las redes sociales como herramienta de comunicación y promoción de sus servicios y productos está muy extendido y muchas son las entidades que incentivan a sus empleados a que hagan uso de ellas, ya sea mediante la creación de puestos específicos en los departamentos de marketing y comunicación,  ya sea fomentando un uso personal con fines profesionales.

Los propósitos son diversos, como decíamos puede servir de plataforma para la promoción de servicios, o lanzamiento de campañas publicitarias, pero también puede utilizarse una red social para la selección de personal, para difundir iniciativas empresariales o comunicar cambios en la organización,
resultados económicos, tendencias, etc. Todo ello, sin olvidar el uso que a nivel personal puede hacer cualquier empleado en las páginas que las corporaciones tienen en redes privadas como en las distintas redes sociales públicas, ya sea utilizando los medios que la empresa pone a disposición de los empleados, ya sea a través de sus smartphones o tabletas particulares  y que el uso se haga dentro o fuera del horario laboral. 

Sin embargo son pocas las compañías que han redactado un código de uso acerca de qué información es susceptible de ser comunicada, cómo debe decirse y quién es el responsable de los comentarios vertidos. Menos aun son las compañías que en dichos códigos contemplen un apartado relativo al uso
que puede hacerse en su esfera personal sobre la información corporativa o respecto a comentarios sobre sus compañeros de trabajo y entorno laboral.

Cuando hacemos un comentario personal en una red social vinculado a un asunto laboral, en función del perfil con el que se actúe puede dar lugar a confusión acerca de la condición con la que actúa el emisor del contenido, la autenticidad del contenido y el valor qué debe darse al mismo.

El contenido mínimo de un código de uso de las redes sociales debe regular aspectos tales como la autenticidad del emisor,  confidencialidad del la información, respeto y aportación de valor.

Algunos ejemplos de contenido mínimo pueden ser:

• Participación a título personal, salvo en los casos en los que actúe por cuenta de la empresa
• Criterios para configurar un perfil
• Identificación del cargo
• Relación de los activos intangibles protegidos (marca,propiedad intelectual, reputación, etc.)
• Respeto a los datos de carácter personal
• Respeto a los contenidos de terceros ( fotografías, publicaciones, datos de clientes, etc.)
• Confidencialidad de la información
• Responsabilidad de los contenidos
• Evitar la difusión de rumores

Control empresarial de los recursos informáticos

El pasado 22 de enero se publicó en el BOE una sentencia dictada por el STC que resolvía un recuso de amparo sobre una supuesta vulneración de los derechos a la intimidad y al secreto de las comunicaciones: intervención empresarial de comunicaciones informáticas resultante de un hallazgo casual y que se efectúa sobre un programa introducido en un soporte de uso común por los trabajadores.

La  STC rechaza el recurso de amparo interpuesto por una de las trabajadoras reconociendo la facultad de vigilancia y control del empresario, siempre que existan unas normas, protocolos o condiciones de uso de los recursos informáticos que la empresa pone a disposición de los empleados y que el control se realice con pleno respeto a los derechos fundamentales y con criterios de proporcionalidad. Por lo tanto, a mi entender no cambia el criterio ya establecido en anteriores resoluciones del TC y del TS.

En el caso concreto analizado en la STC, se trataba de la instalación de un programa de mensajería instantánea en un ordenador de uso común sin clave o contraseña alguna. Dicha instalación estaba expresamente prohibida por la compañía en las normas de uso sobre los recursos informáticos que eran conocidas por los empleados. El hallazgo fue casual al tratarse de un ordenador al que podía acceder cualquier empleado. Posteriormente cuando la dirección de la compaña tuvo conocimiento de dicha infracción, se  procedió en presencia de las trabajadoras a la lectura de las conversaciones en las que se vertían contenidos críticos, despectivos o insultantes en relación con compañeros, superiores o clientes. Las trabajadoras no habían establecido ningún tipo de cautela o medida para evitar el acceso a dichas conversaciones, y no olvidemos que se trataba de un ordenador de acceso abierto a todos los empleados.

No comparto el análisis que de la citada STC se ha publicado en distintos foros, anunciando un retroceso en la protección de los derechos fundamentales y/o la necesidad de actualizar las normas de uso de los recursos TIC, puesto que no se abandona la protección a esos derechos sino que se realiza un análisis pormenorizado de los distintos requisitos establecidos jurisprudencialmente, concluyendo en este caso, que no se había producido una violación a la intimidad ni al secreto de las comunicaciones, y en parte debido a la propia actuación de las trabajadoras que no le dieron a esas comunicaciones el carácter de secreto o perteneciente a su esfera íntima.

 

Big Data

El estudio sobre el universo digital de IDC (International Data Corporation) publicado este mes, mide el volumen de datos digitales que se generan diariamente, se replican y consumen en un año. Este universo está compuesto por imágenes y videos realizados con smartphones y subidos a redes sociales, películas digitales que el público comparte, artículos, posts, tweets, datos bancarios, información de seguridad, perfiles de consumo, voz IP o mensajería instantánea que circulan en la red.

Este universo digital vive cada vez más en la nube, superando límites geográficos y grandes centros de datos y dispositivos.

En este contexto las principales conclusiones del referido informe de IDC son:


• De 2005 a 2020, el universo digital crecerá de 130 exabytes a 40.000 exabytes, o 40 billones de gigabytes. Es decir, a partir de ahora hasta el año 2020, el universo digital se duplicará aproximadamente cada dos años.

• La inversión en el gasto en hardware, software, servicios, telecomunicaciones y profesionales del sector crecerá un 40% entre 2012 y 2020. Como consecuencia
de ello, la inversión por gigabyte durante ese mismo período se reducirá de $ 2,00 a $ 0,20, no obstante, la inversión en áreas específicas como la gestión de almacenamiento, seguridad, big data, y cloud computing crecerá considerablemente más rápido mucho más rápido.

• Entre 2012 y 2020, la participación de los mercados emergentes del universo digital en
expansión aumentará del 36% al 62%.

• La mayoría de la información que circula en el universo digital, que actualmente es del 68%, se genera y se consume por los usuarios (ver la televisión digital, la interactuar en las redes sociales, enviar imágenes y videos de dispositivo a dispositivo y en la red , etc), sin embargo, son las empresas las que tienen la responsabilidad de casi el 80% de la información en el universo digital y deben lidiar con las cuestiones relativas a derechos de autor, privacidad
y cumplimiento normativo, a pesar de que los datos que circulen por sus redes y servidores hayan sido creados y consumidos por los usuarios.

• La proporción de datos en el universo digital que requiere protección está creciendo más
rápido que el universo digital en sí, de menos de un tercio en 2010 a más del 40% en 2020.

• La cantidad de contenidos e información generada por los propios usuarios (documentos,
fotografías, música, videos, etc), es mucho menor que la cantidad de información que se está
creando sobre ellos en el universo digital.

La mayor parte de la información del universo digital se almacena de forma temporal en
routers, en dispositivos de vigilancia, la cantidad de información no usada se
multiplicará por 8 en el 2020.

Es necesaria una mayor concienciación a los usuarios acerca del uso de la información y de los contenidos que se publican y comparten en la red, y las empresas deben velar por el respeto de los derechos de propiedad intelectual e industrial y el tratamiento y explotación lícito de los datos de los usuarios.

Ya es posible registrar como dominio .nombredesuempresa o .sumarca

Si hasta ahora los nombres de dominio se configuraban como marca o denominación .com/.net/.org/.es /.eu, etc., desde el pasado 12 de enero de 2012, las empresas, gobiernos, y resto de entidades podrán optar por solicitar un dominio de primer nivel o gTLD (Generic Top Level Domain Name), consistente en su propia marca o denominación, nombre geográfico, nombre basado en una comunidad o asociación, en cualquier alfabeto, y con un mínimo de 3 y un máximo de 63 caracteres.

De este modo, las compañías, entes territoriales y organizaciones o corporaciones, con o sin ánimo de lucro, podrán disponer de su propio dominio coincidente con su marca o denominación, producto o servicio como por ejemplo .sumarca, .denominacionsocial, .producto lo que, a buen seguro, potenciará la presencia y localización en la red de la entidad, proporcionando al mismo tiempo nuevas oportunidades o modelos de negocio, nuevas líneas de servicio, un incremento del impacto, reputación y valor de la marca y la más fácil interacción con los usuarios.

Una vez obtenido el dominio, la compañía se convierte en registrador, asumiendo las responsabilidades correspondientes desde el momento en que el operador de un nuevo nombre de dominio de primer nivel ejecuta una pieza de la infraestructura visible de Internet.

Entre las distintas posibilidades está la de conceder, gestionar y administrar tanto su propio nombre de dominio como los de segundo nivel que pueda otorgar a terceros, esto es, a accionistas, filiales, red de colaboradores o distribuidores, franquicias, delegaciones, empresas del grupo, líneas de servicio, etc. pudiendo establecer el mismo el importe de la cesión, gestión del mismo y su mantenimiento.

En otras ocasiones, puede servir para identificar la pertenencia a un grupo, ser consumidor de un determinado servicio, estar adherido a unas condiciones determinadas, acreditativo de que goza de un sello de calidad, connotaciones de exclusividad, al conceder a sus clientes, distribuidores o usuarios, espacios personalizados que les distinga bajo un nombre de dominio de segundo nivel, o direcciones electrónicas tales como nombre@grupo.sumarca 

A su vez, este nuevo sistema cambiará la forma en la que los usuarios busquen información en Internet, va a ser más fácil recordar las direcciones, y distinta la forma en que las empresas  se presentan en la red, generando mucha más confianza en el usuario acerca de quién es el titular de la página.

Menor o nulo riesgo de cybersquatting, registros especulativos, misspelling, phishing, etc. debido al elevado coste, y criterios de evaluación, lo que además impide o disminuye la dilución del renombre de la marca. Superación de las limitaciones territoriales y de clase de las marcas tradicionales. El titular se convierte en el titular único de la denominación de que se trate de forma absoluta.

A sensu contrario, ante marcas idénticas o similares el que obtenga el dominio posicionará mucho más su marca desplazando claramente la del tercero.

Las empresas interesadas en el registro del dominio de máximo nivel deberán solicitarlo antes del 12 de abril de 2012, pero deben estar previamente registradas como usuario en la plataforma en línea de tramitación de la solicitud.

El plazo para registrarse como usuario finaliza el 29 de marzo de 2012. Ningún solicitante podrá tramitar una solicitud si previamente no ha sido registrado como usuario.

La presentación de la candidatura ante ICANN supondrá un desembolso de 185.000 dólares por solicitud, con independencia de que una misma empresa solicite más de una cadena de caracteres Cada solicitud se considera de forma individual y tiene el coste de 185.000 dólares.

 A su vez existe un coste de mantenimiento anual de 25.000 dólares, con un mínimo de 10 años.

Assumpta Zorraquino

La seguridad de los datos

En las últimas semanas han sido numerosas las noticias aparecidas en los medios de comunicación respecto a capturas de datos y contraseñas, debido a posibles debilidades  en las medidas de seguridad de los sistemas de información de las compañías tenedoras de esos datos, así como de supuestos en los que el tratamiento que se da a los datos obedece a finalidades distintas a las manifestadas por el usuario en el momento de la recogida. Situaciones todas ellas que generan desconfianza sobre la seguridad y privacidad de los datos y el uso de la red Internet. Hoy mismo aparece de nuevo en los medios de comunicación la vulnerabilidad de otro sistema que permitiría el acceso a datos de usuarios y el cruce de información.

En muchas ocasiones, la finalidad del ciberdelincuente no es la de capturar los datos de los usuarios para su uso o posterior comercialización, sino la de poner en evidencia la debilidad del sistema con la consecuente daño en la imagen de la compañía.

Desde el punto de vista penal, y tras la reforma operada con la aprobación de la Ley 5/2010, el simple acceso al sistema,  o el mero hecho de permanecer en el mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, aunque no se realice una captura de información se considera delito. Pero con independencia de la responsabilidad penal  que puede llevar aparejada la conducta ilícita del infractor, lo cierto es que la compañía titular de los sistemas de información violados y encargada de velar por la seguridad de los datos que recoge y/o almacena, es responsable frente a los usuarios de esa exposición al riesgo.

Estas debilidades obligan a que se exija a las empresas el establecimiento de las correctas  medidas de  seguridad y protección de los datos de los usuarios que utilizan para evitar que se produzcan accesos no autorizados a los sistemas informáticos, y a su vez, garantizar que éstos no se utilizan para finalidades distintas a las consentidas por el usuario en el momento de recogida de los datos.  

Estas obligaciones están ya previstas en la Ley de Protección de Datos y su Reglamento de desarrollo que exigen a las compañías el establecimiento de medidas de seguridad que garanticen la correcta custodia y conservación de los datos, en la Ley de Infraestructuras críticas que obliga a garantizar la seguridad de los datos,  y recientemente en el   Proyecto de Ley por la que se modifica la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones  establece en su artículo 34, respecto a la protección de los datos de carácter personal, que los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público deberán garantizar, en el ejercicio de su actividad, la protección de los datos de carácter personal conforme a la legislación vigente. El Proyecto, en términos de garantizar la aplicación efectiva  de una política de seguridad con respecto al tratamiento de datos personales obliga al operador a:

1. Informar a los abonados en el caso de que exista un riesgo particular de violación de la seguridad de la red pública o del servicio de comunicaciones electrónicas y sobre las medidas a adoptar

2.  Notificar de forma inmediata a la Agencia Española de Protección de Datos en caso de violación de los datos personales. Si la violación de los datos pudiera afectar negativamente a la intimidad o a los datos personales de un abonado o particular, el operador notificará también la violación al abonado o particular sin dilaciones indebidas.

Desde el punto de vista de la compañía víctima del ataque, el perjuicio es doble, puesto que no sólo debe invertir en mejorar y reforzar sus sistemas y medidas de seguridad, sino que deberá también invertir en mejorar su imagen que habrá quedado sensiblemente dañada fruto de la vulnerabilidad puesta en evidencia, por lo que ahora más que nunca las empresas deben optar por revisar y adecuar sus políticas y protocolos de seguridad de la información.

Ataque de denegación de servicio

 

A raíz del ataque de denegación de servicio sufrido por la SGAE, y por ende, sobre que dicha conducta sea reprochable por la vía penal, he leído varios blogs en los que se indica que hasta la entrada en vigor de la reforma del Código Penal este tipo de conductas no constituyen delito.

La denegación de servicio es un ataque en el cual un usuario o una organización se ven privados de un recurso que normalmente podrían usar, como por ejemplo el acceso a la página web, el correo electrónico, o la pérdida temporal de toda la conectividad y todos los servicios de la red, que normalmente es realizado de forma intencionada y maliciosa, y si bien no suele conllevar robo de información, sí alteración o inutilización temporal, además de tiempo y recursos de la persona o entidad afectada.

En definitiva, se trata de un ataque consistente en el envío masivo de solicitudes de acceso a la página web, con el objetivo neto de paralizar el servicio por saturación de líneas y colapsar el servidor.

La ampliación de supuestos en el nuevo redactado del artículo 264 sin duda ayuda a interpretar qué conductas y resultados entrarían dentro de esta figura, y viene a solucionar un debate existente desde hace años entre los especialistas,  pero en mi opinión dos elementos son importantes para determinar la existencia del reproche penal con la actual redacción.

Por un lado el consabido dolo, es decir la existencia de una voluntad de causar un daño, y que en este caso, parece evidente tras la convocatoria lanzada y el anuncio de interrumpir el acceso a las páginas web de las entidades afectadas.

 Por otro lado el resultado conseguido, la inutilización del acceso a la página web.

Lo que se ha producido en este caso es la imposiblidad de utilizar y servir la información contenida en el página web, por lo que a mi entender, salvo mejor criterio del Juzgador, sí sería punible con la actual redacción del art. 264 del Código Penal que condena la destrucción, alteración o  inutilización de datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos.

 

La responsabilidad penal de las personas jurídicas

La reciente reforma del Código Penal (BOE 23 de junio de 2010, Ley Orgánica 5/2010 y cuya entrada en vigor es el 23 de diciembre de este año), ha incorporado por primera vez al ordenamiento jurídico español, la responsabilidad penal de las personas jurídicas de los delitos cometidos en nombre o por cuenta de las mismas, y en su provecho, por sus representantes legales y administradores de hecho o de derecho.

Pero además, las personas jurídicas pueden ser también declaradas responsables de los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en provecho de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas (sus representantes legales y administradores de hecho o de derecho) han podido realizar los hechos porque no se ha ejercido sobre ellos el debido control.

Operan como circunstancias atenuantes de la responsabilidad penal de las personas jurídicas, entre otras, haber establecido, antes del comienzo medias eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica.

Así por ejemplo, si analizamos el segundo supuesto de responsabilidad penal de la persona jurídica, frente a la posible comisión por parte de un empleado de un delito de los previstos en el artículo 197 que regula el descubrimiento o apoderamiento de mensajes de correo electrónico, interceptación de telecomunicaciones o las conductas de acceso inconsentido a los sistemas informáticos de un tercero conocidas como “Hacking”; la existencia de unas adecuadas Normas de Uso de los recursos informáticos que regulen qué actos están permitidos y cuáles están prohibidos, qué medidas de control se establecen para detectar la comisión de una infracción o un abuso, en qué supuesto puede realizarse una monitorización del uso de los recursos, qué medidas de seguridad se aplican a los ficheros que contienen datos de carácter personal, etc., puede ayudar a atenuar y suavizar la responsabilidad penal de la compañía.

Este sistema de prevención es aplicable a los restantes 22 delitos que la citada reforma prevé la aplicación de la responsabilidad penal de la persona jurídica, si se dan las circunstancias específicas previstas en cada tipo penal.

Por ello es aconsejable que las compañías se doten de sistemas de prevención, medidas de vigilancia y control que permitan de forma periódica evitar o detectar la posible comisión de ilícitos penales.

 Las penas aplicables a las personas jurídicas son:

• Multa por cuotas o proporcional
• Disolución de la persona jurídica
• Suspensión de sus actividades por un plazo que no podrá exceder de 5 años
• Clausura de sus locales
• Prohibición de realizar en el futuro las actividades en cuyo ejercicio se haya cometido, favorecido o encubierto el delito
• Inhabilitación para obtener subvenciones y ayudas públicas, para contratar con el sector público y para gozar de beneficios e incentivos fiscales o de la Seguridad Social
• Intervención judicial para salvaguardar los derechos de los trabajadores.

 

 Assumpta Zorraquino

 

El favorecimiento de las infracciones de derechos de propiedad intelectual no es delito

Nuestro Código Penal no tipifica como delito las actividades de favorecimiento de infracción de derechos de propiedad intelectual. Así lo recoge la Sentencia dictada por la Audiencia Provincial de Cantabria el pasado día 8 de junio.

Los hechos denunciados habían sido sobreseídos por el Juzgado de Instrucción y ahora la Audiencia Provincial, al resolver el recurso de apelación, ha confirmado la decisión.

Como en otros casos que hemos visto en este Blog, la página web denunciada no ofrecía directamente el visionado o las descargas de las obras cinematográficas, sino distintos enlaces externos a otras páginas web donde, en su caso, residían las obras.

Mientras que la recurrente sostiene que estamos ante un acto de comunicación  pública mediante el cual una pluralidad de personas puede tener acceso a la obra sin previa distribución de ejemplares a cada una de ellas, la resolución basa la desestimación del recurso en que la mera facilitación de enlaces externos para acceder a contenidos protegidos por la ley de propiedad intelectual no esta tipificado de forma expresa como delito en el artículo 270.

No obstante, la Sentencia establece razonamientos muy interesantes sobre la conducta realizada, y que ya han sido recogidos en otras resoluciones de nuestros Tribunales, entendiendo que las razones que llevan a no condenar son la falta de acogida en el Código Penal de la responsabilidad penal de los prestadores de servicios que establece la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico LSSCI (34/2002).

Así, es importante destacar que la propia resolución establece:

·         Que con dicha conducta consistente en facilitar a los usuarios de Internet el acceso a páginas web que alojan contenidos supuestamente protegidos por la Ley de Propiedad Intelectual el denunciado obtiene un beneficio económico derivado de los ingresos por publicidad.

·         Que el hecho de que la propia denominación de la página que incluya el término gratis en su nombre de dominio, la convierte en un reclamo para los usuarios.

·         Que dicho acceso al visionado de forma gratuita a películas cinematográficas vulnera la legislación sobre propiedad intelectual.

·         Que el artículo 270 del Código Penal no tipifica como infracción de los derechos de autor el favorecimiento a sitios web o enlaces que ofrecen obras protegidas, pero dicha conducta atípica podría ser analizada bajo los preceptos de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico de 11 de julio de 2002 que prevé la posibilidad de exigir responsabilidad penal a los prestadores de servicios de alojamiento o almacenamiento de datos, pero “tal mandato de criminalización no ha sido atendido por el legislador penal”.

 

Assumpta Zorraquino

Más información mercantil en la página web corporativa

 

El anteproyecto de Ley de Economía Sostenible, prevé en la Disposición Final Vigésimosegunda la modificación del RD Legislativo 1564/1989 de 22 de diciembre, por el que se aprueba el Texto Refundido de la Ley de Sociedades Anónimas, determinadas obligaciones que las compañías deberán cumplir a través de su publicación en la página web corporativa.

 

Por ejemplo:

 

a) El cambio de denominación, el de domicilio, la sustitución o cualquier modificación del objeto social se publicarán en la página web de la sociedad. En el caso de que la sociedad no disponga de página web, entonces el anuncio podrá hacerse dos periódicos de gran circulación en la provincia o provincias respectivas. Sin esta publicidad no podrán inscribirse las modificaciones en el Registro Mercantil.

 

De esta forma se está potenciando el uso de la página web corporativa para la comunicación de estos cambios de forma prioritaria a la publicación en los tradicionales medidos de comunicación escrita, a la vez que supondrá un menor coste.

 

b) Respecto al acuerdo de reducción de capital además de su publicación en el BORME, la sociedad podrá escoger entre publicarlo en su página web o en un periódico de gran circulación

 

c) Igualmente, el acuerdo de disolución tras su inscripción en el Registro Mercantil y publicación BORME, deberá ser publicado en la página web de la sociedad. En el caso de que la sociedad no disponga de página web, el acuerdo deberá publicarse en uno de los diarios de mayor circulación del lugar del domicilio social:

 

d) La sociedad también podrá optar entre publicar el balance final de liquidación en la página web de la sociedad o en uno de los periódicos de mayor circulación en el lugar del domicilio social.

 

 

Asimismo la Disposición Final Vigésimotercera modifica la Ley 2/1995 de 23 de marzo de Sociedades Limitadas y permite elegir a las sociedades convocar la Junta General, además de en el BORME, a través de su página web, así como a realizar la notificación de reducción de capital prevista en el 81.2 por este medio,

 

 

Todas estas obligaciones y/o alternativas de publicación que se prevén en la Ley de Economía Sostenible, obligará a las compañías a hacer más uso de su página web corporativa, y a su vez, a preocuparse más de la imagen e información que transmiten en Internet, lo que comportará que éstas sean más observadas en la red.