La seguridad de los datos

En las últimas semanas han sido numerosas las noticias aparecidas en los medios de comunicación respecto a capturas de datos y contraseñas, debido a posibles debilidades  en las medidas de seguridad de los sistemas de información de las compañías tenedoras de esos datos, así como de supuestos en los que el tratamiento que se da a los datos obedece a finalidades distintas a las manifestadas por el usuario en el momento de la recogida. Situaciones todas ellas que generan desconfianza sobre la seguridad y privacidad de los datos y el uso de la red Internet. Hoy mismo aparece de nuevo en los medios de comunicación la vulnerabilidad de otro sistema que permitiría el acceso a datos de usuarios y el cruce de información.

En muchas ocasiones, la finalidad del ciberdelincuente no es la de capturar los datos de los usuarios para su uso o posterior comercialización, sino la de poner en evidencia la debilidad del sistema con la consecuente daño en la imagen de la compañía.

Desde el punto de vista penal, y tras la reforma operada con la aprobación de la Ley 5/2010, el simple acceso al sistema,  o el mero hecho de permanecer en el mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, aunque no se realice una captura de información se considera delito. Pero con independencia de la responsabilidad penal  que puede llevar aparejada la conducta ilícita del infractor, lo cierto es que la compañía titular de los sistemas de información violados y encargada de velar por la seguridad de los datos que recoge y/o almacena, es responsable frente a los usuarios de esa exposición al riesgo.

Estas debilidades obligan a que se exija a las empresas el establecimiento de las correctas  medidas de  seguridad y protección de los datos de los usuarios que utilizan para evitar que se produzcan accesos no autorizados a los sistemas informáticos, y a su vez, garantizar que éstos no se utilizan para finalidades distintas a las consentidas por el usuario en el momento de recogida de los datos.  

Estas obligaciones están ya previstas en la Ley de Protección de Datos y su Reglamento de desarrollo que exigen a las compañías el establecimiento de medidas de seguridad que garanticen la correcta custodia y conservación de los datos, en la Ley de Infraestructuras críticas que obliga a garantizar la seguridad de los datos,  y recientemente en el   Proyecto de Ley por la que se modifica la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones  establece en su artículo 34, respecto a la protección de los datos de carácter personal, que los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público deberán garantizar, en el ejercicio de su actividad, la protección de los datos de carácter personal conforme a la legislación vigente. El Proyecto, en términos de garantizar la aplicación efectiva  de una política de seguridad con respecto al tratamiento de datos personales obliga al operador a:

1. Informar a los abonados en el caso de que exista un riesgo particular de violación de la seguridad de la red pública o del servicio de comunicaciones electrónicas y sobre las medidas a adoptar

2.  Notificar de forma inmediata a la Agencia Española de Protección de Datos en caso de violación de los datos personales. Si la violación de los datos pudiera afectar negativamente a la intimidad o a los datos personales de un abonado o particular, el operador notificará también la violación al abonado o particular sin dilaciones indebidas.

Desde el punto de vista de la compañía víctima del ataque, el perjuicio es doble, puesto que no sólo debe invertir en mejorar y reforzar sus sistemas y medidas de seguridad, sino que deberá también invertir en mejorar su imagen que habrá quedado sensiblemente dañada fruto de la vulnerabilidad puesta en evidencia, por lo que ahora más que nunca las empresas deben optar por revisar y adecuar sus políticas y protocolos de seguridad de la información.

Ataque de denegación de servicio

 

A raíz del ataque de denegación de servicio sufrido por la SGAE, y por ende, sobre que dicha conducta sea reprochable por la vía penal, he leído varios blogs en los que se indica que hasta la entrada en vigor de la reforma del Código Penal este tipo de conductas no constituyen delito.

La denegación de servicio es un ataque en el cual un usuario o una organización se ven privados de un recurso que normalmente podrían usar, como por ejemplo el acceso a la página web, el correo electrónico, o la pérdida temporal de toda la conectividad y todos los servicios de la red, que normalmente es realizado de forma intencionada y maliciosa, y si bien no suele conllevar robo de información, sí alteración o inutilización temporal, además de tiempo y recursos de la persona o entidad afectada.

En definitiva, se trata de un ataque consistente en el envío masivo de solicitudes de acceso a la página web, con el objetivo neto de paralizar el servicio por saturación de líneas y colapsar el servidor.

La ampliación de supuestos en el nuevo redactado del artículo 264 sin duda ayuda a interpretar qué conductas y resultados entrarían dentro de esta figura, y viene a solucionar un debate existente desde hace años entre los especialistas,  pero en mi opinión dos elementos son importantes para determinar la existencia del reproche penal con la actual redacción.

Por un lado el consabido dolo, es decir la existencia de una voluntad de causar un daño, y que en este caso, parece evidente tras la convocatoria lanzada y el anuncio de interrumpir el acceso a las páginas web de las entidades afectadas.

 Por otro lado el resultado conseguido, la inutilización del acceso a la página web.

Lo que se ha producido en este caso es la imposiblidad de utilizar y servir la información contenida en el página web, por lo que a mi entender, salvo mejor criterio del Juzgador, sí sería punible con la actual redacción del art. 264 del Código Penal que condena la destrucción, alteración o  inutilización de datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos.

 

La responsabilidad penal de las personas jurídicas

La reciente reforma del Código Penal (BOE 23 de junio de 2010, Ley Orgánica 5/2010 y cuya entrada en vigor es el 23 de diciembre de este año), ha incorporado por primera vez al ordenamiento jurídico español, la responsabilidad penal de las personas jurídicas de los delitos cometidos en nombre o por cuenta de las mismas, y en su provecho, por sus representantes legales y administradores de hecho o de derecho.

Pero además, las personas jurídicas pueden ser también declaradas responsables de los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en provecho de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas (sus representantes legales y administradores de hecho o de derecho) han podido realizar los hechos porque no se ha ejercido sobre ellos el debido control.

Operan como circunstancias atenuantes de la responsabilidad penal de las personas jurídicas, entre otras, haber establecido, antes del comienzo medias eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica.

Así por ejemplo, si analizamos el segundo supuesto de responsabilidad penal de la persona jurídica, frente a la posible comisión por parte de un empleado de un delito de los previstos en el artículo 197 que regula el descubrimiento o apoderamiento de mensajes de correo electrónico, interceptación de telecomunicaciones o las conductas de acceso inconsentido a los sistemas informáticos de un tercero conocidas como “Hacking”; la existencia de unas adecuadas Normas de Uso de los recursos informáticos que regulen qué actos están permitidos y cuáles están prohibidos, qué medidas de control se establecen para detectar la comisión de una infracción o un abuso, en qué supuesto puede realizarse una monitorización del uso de los recursos, qué medidas de seguridad se aplican a los ficheros que contienen datos de carácter personal, etc., puede ayudar a atenuar y suavizar la responsabilidad penal de la compañía.

Este sistema de prevención es aplicable a los restantes 22 delitos que la citada reforma prevé la aplicación de la responsabilidad penal de la persona jurídica, si se dan las circunstancias específicas previstas en cada tipo penal.

Por ello es aconsejable que las compañías se doten de sistemas de prevención, medidas de vigilancia y control que permitan de forma periódica evitar o detectar la posible comisión de ilícitos penales.

 Las penas aplicables a las personas jurídicas son:

• Multa por cuotas o proporcional
• Disolución de la persona jurídica
• Suspensión de sus actividades por un plazo que no podrá exceder de 5 años
• Clausura de sus locales
• Prohibición de realizar en el futuro las actividades en cuyo ejercicio se haya cometido, favorecido o encubierto el delito
• Inhabilitación para obtener subvenciones y ayudas públicas, para contratar con el sector público y para gozar de beneficios e incentivos fiscales o de la Seguridad Social
• Intervención judicial para salvaguardar los derechos de los trabajadores.

 

 Assumpta Zorraquino

 

El favorecimiento de las infracciones de derechos de propiedad intelectual no es delito

Nuestro Código Penal no tipifica como delito las actividades de favorecimiento de infracción de derechos de propiedad intelectual. Así lo recoge la Sentencia dictada por la Audiencia Provincial de Cantabria el pasado día 8 de junio.

Los hechos denunciados habían sido sobreseídos por el Juzgado de Instrucción y ahora la Audiencia Provincial, al resolver el recurso de apelación, ha confirmado la decisión.

Como en otros casos que hemos visto en este Blog, la página web denunciada no ofrecía directamente el visionado o las descargas de las obras cinematográficas, sino distintos enlaces externos a otras páginas web donde, en su caso, residían las obras.

Mientras que la recurrente sostiene que estamos ante un acto de comunicación  pública mediante el cual una pluralidad de personas puede tener acceso a la obra sin previa distribución de ejemplares a cada una de ellas, la resolución basa la desestimación del recurso en que la mera facilitación de enlaces externos para acceder a contenidos protegidos por la ley de propiedad intelectual no esta tipificado de forma expresa como delito en el artículo 270.

No obstante, la Sentencia establece razonamientos muy interesantes sobre la conducta realizada, y que ya han sido recogidos en otras resoluciones de nuestros Tribunales, entendiendo que las razones que llevan a no condenar son la falta de acogida en el Código Penal de la responsabilidad penal de los prestadores de servicios que establece la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico LSSCI (34/2002).

Así, es importante destacar que la propia resolución establece:

·         Que con dicha conducta consistente en facilitar a los usuarios de Internet el acceso a páginas web que alojan contenidos supuestamente protegidos por la Ley de Propiedad Intelectual el denunciado obtiene un beneficio económico derivado de los ingresos por publicidad.

·         Que el hecho de que la propia denominación de la página que incluya el término gratis en su nombre de dominio, la convierte en un reclamo para los usuarios.

·         Que dicho acceso al visionado de forma gratuita a películas cinematográficas vulnera la legislación sobre propiedad intelectual.

·         Que el artículo 270 del Código Penal no tipifica como infracción de los derechos de autor el favorecimiento a sitios web o enlaces que ofrecen obras protegidas, pero dicha conducta atípica podría ser analizada bajo los preceptos de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico de 11 de julio de 2002 que prevé la posibilidad de exigir responsabilidad penal a los prestadores de servicios de alojamiento o almacenamiento de datos, pero “tal mandato de criminalización no ha sido atendido por el legislador penal”.

 

Assumpta Zorraquino

Más información mercantil en la página web corporativa

 

El anteproyecto de Ley de Economía Sostenible, prevé en la Disposición Final Vigésimosegunda la modificación del RD Legislativo 1564/1989 de 22 de diciembre, por el que se aprueba el Texto Refundido de la Ley de Sociedades Anónimas, determinadas obligaciones que las compañías deberán cumplir a través de su publicación en la página web corporativa.

 

Por ejemplo:

 

a) El cambio de denominación, el de domicilio, la sustitución o cualquier modificación del objeto social se publicarán en la página web de la sociedad. En el caso de que la sociedad no disponga de página web, entonces el anuncio podrá hacerse dos periódicos de gran circulación en la provincia o provincias respectivas. Sin esta publicidad no podrán inscribirse las modificaciones en el Registro Mercantil.

 

De esta forma se está potenciando el uso de la página web corporativa para la comunicación de estos cambios de forma prioritaria a la publicación en los tradicionales medidos de comunicación escrita, a la vez que supondrá un menor coste.

 

b) Respecto al acuerdo de reducción de capital además de su publicación en el BORME, la sociedad podrá escoger entre publicarlo en su página web o en un periódico de gran circulación

 

c) Igualmente, el acuerdo de disolución tras su inscripción en el Registro Mercantil y publicación BORME, deberá ser publicado en la página web de la sociedad. En el caso de que la sociedad no disponga de página web, el acuerdo deberá publicarse en uno de los diarios de mayor circulación del lugar del domicilio social:

 

d) La sociedad también podrá optar entre publicar el balance final de liquidación en la página web de la sociedad o en uno de los periódicos de mayor circulación en el lugar del domicilio social.

 

 

Asimismo la Disposición Final Vigésimotercera modifica la Ley 2/1995 de 23 de marzo de Sociedades Limitadas y permite elegir a las sociedades convocar la Junta General, además de en el BORME, a través de su página web, así como a realizar la notificación de reducción de capital prevista en el 81.2 por este medio,

 

 

Todas estas obligaciones y/o alternativas de publicación que se prevén en la Ley de Economía Sostenible, obligará a las compañías a hacer más uso de su página web corporativa, y a su vez, a preocuparse más de la imagen e información que transmiten en Internet, lo que comportará que éstas sean más observadas en la red.

Comunicación de datos laborales: TC2 y Nóminas

El Gabinete Jurídico de la Agencia Española de Protección de Datos, en su Informe 412/2009,  da respuesta a una consulta acerca de si la comunicación de datos laborales, como el TC2 y las nóminas de salarios de los trabajadores empleados en una subcontrata a la empresa principal, cumple con lo establecido en la LOPD.

 

El Informe establece respecto a la cesión de los datos contenidos en el TC2 que:

 

 "dado que el Estatuto de los Trabajadores impone un deber al empresario principal, la comunicación de ciertos datos tales como el TC2, resulta conforme con la Ley Orgánica 15/1999, y el Reglamento de desarrollo, pues se haya expresamente prevista en una norma con rango de Ley. Además el propio Código Civil exige atender íntegramente las obligaciones solidarias por lo que es preciso conocer el contenido de la misma.

 

En consecuencia, la cesión de los TC2 estaría amparada en el artículo 7.3 de la Ley Orgánica 15/1999, en relación con el artículo 42.2 del Estatuto de los Trabajadores y por el alcance que el Código Civil impone a las obligaciones solidarias."

 

En relación a la cesión de las nóminas y los problemas que podría suscitar el hecho de que en éstas se contengan datos relativos a la afiliación sindical de los trabajadores, el citado Informe prevé lo siguiente:

 

"Dado que la finalidad de dicho tratamiento va ligada al pago de la nómina y que en virtud de la obligación solidaria que impone el artículo 42.2 del Estatuto de los Trabajadores, al contratista principal, para el pago de las deudas salariales correspondientes, podemos concluir que el tratamiento de dicha información es para un fin idéntico del que justifica el tratamiento efectuado por el subcontratista.

 

Por ello, siendo los fines idénticos, podemos entender que la comunicación de dichos datos es conforme al artículo 7.2 en conexión con el artículo 4.2 de la Ley Orgánica 15/1999 y la obligación impuesta por el artículo 42.2 del Estatuto de los Trabajadores."

 

Sin embargo, persiste la obligación de la empresa subcontratista de informar a sus trabajadores acerca de los destinatarios de las cesiones de datos que se hubieran producido.

 

Assumpta Zorraquino

La digitalización previa en redes P2P

He leído un artículo que publica el Auto dictado por un Juzgado de lo Mercantil que desestima la adopción de medidas cautelares solicitadas por la SGAE contra una página que ofrecía enlaces a plataformas P2P, y desde las que se podían realizar descargas de obras protegidas por los derechos de propiedad intelectual.
Sin perjuicio de que, sin conocer los detalles y pruebas aportados al procedimiento, puedo compartir la valoración que efectúa el citado Auto respecto a si se considera o no infracción la actividad que se realiza desde las páginas que ofrecen simplemente enlaces y no descargas directas de obras almacenadas en la propia página, discrepo de la interpretación que efectúa el Juzgador respecto a qué actividades que constituyen una infracción del derecho de reproducción.
El Auto analizado, hace suyos los argumentos de la Sentencia dictada por la Audiencia Provincial de Barcelona, sección 15ª, que establece que cuando se digitaliza una obra y se fija en un medio que permite su comunicación y la obtención de copias, se está ejecutando un acto de reproducción, concretamente con la carga y almacenamiento de material digitalizado en la memoria del ordenador (o de otro sistema que lo retenga de modo estable).
Partiendo de dicho análisis, sin embargo, el Juzgador entiende que “la descarga de la obra en la red P2P que supone bajada y subida de datos o archivos previamente digitalizados, previamente fijados en el soporte que permite el intercambio, no encaja en este precepto. Introducir una obra fonográfica o videográfica en el programa Emule que ha sido previamente convertida a un archivo informático, compatible con dicho programa, no constituye un acto de reproducción. En la mayoría de los casos la conversión se ha realizado previamente para permitir su divulgación a través de Internet, mediante actos que han sido objeto de autorización lucrativa por sus titulares. Resultaría una investigación técnica realmente compleja averiguar qué archivos fueron reproducidos, digitalizados por un usuario de la red P2P y cuales lo fueron por los titulares de los derechos de explotación”
Y es aquí donde discrepo pues el Juzgador establece como requisito para que tal acto pueda ser considerado como reproducción que se haya producido previamente la digitalización de la obra.
Dicha exigencia, no viene recogida en  el art 18 TRLPI que indica que  “la fijación directa o indirecta, provisional o permanente, por cualquier medio y en cualquier forma, de toda la obra o de parte de ella, que permita su comunicación o la obtención de copias”.
Por lo tanto,  no es un requisito para que se produzca la reproducción que la obra haya sido previamente digitalizada, o el que autor de la infracción intervenga en esa digitalización, sino que el mero acto de realización de la copia, ya sea mediante su fijación en otro soporte, ya sea mediante su almacenamiento en el disco duro de un ordenador,  mediante su conversión a obra digital, o mediante la “subida” de la obra a una red P2P constituye reproducción.
Constituye igualmente a mi entender, una errónea interpretación del derecho de reproducción,  descartar la existencia de una infracción del derecho de reproducción cuando la digitalización de la obra ha sido efectuada por el propio titular de los derechos de explotación. 
Así, se estaría tolerando la descarga sin autorización de cualquier tipo de obra, si ésta ha sido publicada por el titular de derechos de explotación en soporte digital, a pesar de que se haya puesto a disposición de terceros en plataformas de distribución P2P sin su consentimiento.

He olvidado mi contraseña !!

En el procedimiento de creación y alta de una cuenta de correo electrónico el proveedor de correo establece un mecanismo para que el usuario pueda recuperar su contraseña en caso de olvido. No obstante el citado mecanismo es más vulnerable que la contraseña en si misma.

 

Tras un análisis de los principales proveedores de cuentas de correo electrónico, observamos que en el proceso de registro de una cuenta de correo,  lo más habitual es que tras cumplimentar los campos relativos a identificación del usuario y nombre de la cuenta,  el proveedor pide como “pregunta de seguridad” para la recuperación de contraseñas, la elección de una de las preguntas que aparecen listadas (lugar de nacimiento de la madre, profesor favorito, mejor amigo de la infancia, nombre de la primera mascota, etc.) respecto de la cual deberá introducirse la respuesta correspondiente, sin opción a formular una pregunta distinta a la ofrecida por el proveedor.

 

Una vez concluido el proceso de registro y activada la cuenta, tan sólo mediante la introducción correcta respuesta a la pregunta seleccionada, podrá recuperarse la contraseña en caso de haberse olvidado la misma.

 

Al tratarse de preguntas poco sofisticadas y previamente listadas cualquier tercero que tenga una cierta proximidad y conocimiento de las circunstancias personales y/o familiares del titular de la cuenta le resultará sumamente fácil contestar a la pregunta preestablecida, pues sin duda conocerá o podrá conocer sin dificultad la solución a cuestiones tan obvias como, lugar de nacimiento de la madre, profesor favorito, mejor amigo de la infancia, nombre de la primera mascota, etc.

 

Cuando el titular de la cuenta es un personaje público, como sucedió con Sarah Pallin, ni siquiera será necesario ser de su entorno o círculo de amigos, pues las respuestas a las preguntas previamente listadas pudieron hallarse consultando en Wikipedia y en foros y artículos publicados en Internet.

 

Frente a la fragilidad del sistema habitual descrito pocos son los proveedores, permiten la posibilidad de redactar una pregunta propia, no dependiendo del listado ya existente lo cual, obviamente, dificulta el acceso no autorizado de terceros, puesto que además de conocer la respuesta, en este caso deberá también acertar la pregunta con la consecuente complicación dadas las infinitas posibilidades existentes.

Responsabilidad por contenidos

Esta semana se juzgaba en Italia a los responsables de Google por la publicación de un video en el que unos jóvenes  de Turín maltrataban a un muchacho con síndrome de Down. Los hechos que se les imputan son los de presuntos autores de los delitos de difamación y violación de la intimidad.

Dicha noticia nos obliga a analizar cuál es el papel de Google en la inserción y publicación de contenidos, y, en su caso, su responsabilidad. Respecto a la inserción, son los propios usuarios los que realizan la inserción de los contenidos, que se publican y son visibles seguidamente en Google mediante los sistemas de búsqueda y recopilación de datos o enlaces a otros sitios de Internet.

De acuerdo con la Directiva Europea de Comercio Electrónico, y la Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información  y de Comercio Electrónico (LSSICE), en España los prestadores de servicios de la sociedad de la información, no son responsables de la información almacenada a petición del interesado, siempre que:

a) No tengan conocimiento efectivo de que la actividad o la información a la que remiten o recomiendan es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o

b) Si lo tienen, actúen con diligencia para suprimir o inutilizar  el enlace correspondiente.

Y añade que el prestador adquiere conocimiento efectivo cuando un órgano competente haya declarado la ilicitud de los datos, y hubiera ordenado, en ejercicio de las competencias que ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución, sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse.

Resulta por tanto excesivo a mi entender, que sin que existan pruebas que acrediten que Google conocía la existencia de esa grabación, así como pruebas de la inobservancia de los requerimientos que le hubiesen sido efectuados, se le considere responsable de la publicación de los mismos, máxime cuando si parece acreditado que en cuanto tuvo noticia de la existencia de los mismos los eliminó de su página y herramientas de búsqueda.

El uso judicial de Facebook

Facebook ya no sólo sirve para localizar viejos conocidos o mantener comunicaciones con tu red de amigos. Recientemente  un tribunal de Australia aprobó el uso de Facebook, para  realizar una notificación judicial a un particular  tras incurrir éste en el impago de la hipoteca.

Trasladándolo al sistema judicial español, cabría plantearse su efectividad atendiendo  a lo previsto en nuestra la Ley deEnjuiciamiento Civil, que en su art. 162 permite la posibilidad de realizar comunicaciones judiciales a través de medios electrónicos, informáticos y similares, siempre que:

• Los Juzgados y Tribunales y las partes dispusieren de dichos medios o semejantes, que permitan el envío y la recepción de escritos y documentos,

• Que tales medios garanticen la autenticidad de la comunicación y de su contenido

• Que quede constancia fehaciente de la remisión y recepción íntegras

• Que se disponga de acuse de recibo

• Que las partes y los profesionales que intervengan en el proceso hayan comunicado al Tribunal que disponen de esos medios y su dirección electrónica de envío.

Por ello, para que Facebook se considerase una dirección efectiva para la realización de comunicaciones, previamente el particular, debería haber comunicado al Juzgado la posibilidad de utilizar ese medio electrónico como forma de comunicación con el mismo.

Además debería garantizarse la autenticidad de las comunicaciones a través de Facebook, autentificación de las partes intervinientes, integridad del mensaje y time stamping.

Menos problemas plantearía acusar recibo de la entrega pues cuando se envia un mensaje a través de Facebook a una persona no agregada, el destinatario recibe un mensaje de @facebookmail.com de forma que dispondríamos de una forma para acreditar que  el mensaje ha sido entregado a su destinatario, que debería ser completada con la declaración testifical de Facebook y del ISP del destinatario.