El Margen de la Ley :: El Blog de Audens

Privacy by Design: valor preventivo

Database plan, por tec_estromberg (via flickr)Hace diez días que celebramos, un año más, el Día Europeo de Protección de Datos. Esta vez, con los ojos puestos en las novedades legislativas que se nos acercan. Y créanme, no son pocas y son inminentes. La aprobación del Reglamento General de Protección de Datos de la U.E. (infografía) va a poner de patas arriba algunas cosas en lo que a protección de datos se refiere.

Este reglamento nace con la intención y voluntad de unificar y armonizar la normativa de protección de datos en la Unión, para garantizar el respeto por los derechos fundamentales de las personas en el territorio europeo sin que desmerezca al tráfico económico que los datos personales suponen para la economía, especialmente en lo que se refiere al eje atlántico EE.UU.-U.E. Un ámbito, precisamente, en el que los últimos meses han sido convulsos por la caída del Safe Harbour, los avisos de la AEPD y el acuerdo alcanzado la pasada semana, el llamado Privacy Shield. Aunque tendremos que esperar a conocer el texto definitivo para poder comentarlo, ¡de momento es una buena señal para los negocios!

El Reglamento trae muchas novedades. No las puedo tratar todas en este corto espacio, pues cada una requeriría un artículo (o dos) como este. Baste citar algunas para comprender el alcance de la norma que ya se cierne sobre nosotros y que nos dará un vacatio legis de dos años desde su publicación. Por ejemplo, veremos novedades en cuanto a la protección de menores de edad y las edades de éstos, la nueva obligación de notificar las brechas de seguridad, algún matiz en cuanto al consentimiento, el establecimiento de un data privacy officer en algunas empresas, la accountability, los estudios de impacto en privacidad, o incluso el deber de información sobre el tratamiento de datos.

Sin embargo, deseo detenerme en el Privacy by Design. Algo que, pese a tratarse de una novedad legislativa, por estar plasmado en una norma, no supone, por lo menos para muchos de los profesionales que venimos tratando de aplicarlo en nuestro país, el reto de enfrentarnos a algo desconocido. Ni en cuanto al conocimiento del concepto ni en su implementación.

Una adecuada consultoría en protección de datos pasa por conocer el ciclo vital de los datos: desde que se recaban, su tratamiento y custodia, hasta su cesión y cancelación. Cada fase de esa vida tiene unas implicaciones legales, organizativas o técnicas más o menos fáciles de ver y bastante más complejas de ajustar a un equilibrio legal y de negocio, en especial cuando el asesoramiento se realiza sobre un datosistema existente. Sin embargo, esas dificultades aparentemente insalvables se convierten en problemas resolubles gracias a la adopción de un planteamiento adecuado desde los inicios, desde el momento de diseñar de esa aplicación móvil, desarrollo cloud, plataforma de venta o proceso empresarial. Y es que, como dice el infinito refranero española, siempre ha sido mejor prevenir que curar.

Cuando esa previsión se hace desde la fase embrionaria de un proyecto, cuando se implican todos los roles que puedan estar afectados de una u otra forma a lo largo de la vida de éste (técnicos, desarrolladores, marketing, compras / ventas, jurídico, privacidad…), y cuando entre todos logramos una posición común, estaremos logrando el desarrollado de una herramienta óptima desde el punto de vista de la protección de datos y la privacidad, y seguro que también desde las otras áreas.

La incorporación de esta buena práctica a la normativa, no hace sino reforzar un planteamiento que, al fin y al cabo, es de lo más lógico: con el establecimiento de “medidas y procedimientos técnicos y organizativos apropiados a la actividad desarrollada y a sus fines”, “tanto en el momento de la determinación de los medios de tratamiento como en el del tratamiento propiamente dicho” (Art. 23 RGPD, en su versión de diciembre de 2015), se puede proteger los derechos de los usuarios, cumplir con la normativa, evitar sanciones y además, ofrecer productos y servicios de valor añadido, con una serie de garantías de protección y seguridad de la privacidad que cada vez son más valoradas por los usuarios. Unos usuarios que, aunque no siempre sepan definir qué es la protección de datos, perciben muy bien su ausencia cuando ésta se ve afectada.

El Reglamento General de Protección de Datos pretende ser el germen de una nueva cultura, más allá de las novedades legislativas y su régimen sancionador. Una forma de hacer las cosas más preventiva y responsable que reactiva, una cultura que bien implementada generará muchas más ventajas y oportunidades para el desarrollo global de cualquier negocio. ¡Aprovechémosla!

Día de la Protección de Datos

Con motivo del Día Europeo de la Protección de Datos, hemos sido invitados a colaborar en varios medios de comunicación y plataformas jurídicas, a los que agradecemos que hayan contado nuevamente con nosotros. Os dejamos enlaces a los artículos que hemos publicado:

A las puertas del Reglamento Europeo de Protección de Datos

Artículo de Marcos Judel en LawyerPress.

A las puertas del Reglamento Europeo de Protección de Datos

Lea el artículo completo [+]

¿Tengo derecho a la privacidad en el trabajo?

Artículo de Leandro Núñez en Law&Trends.

¿Tengo derecho a la privacidad en el trabajo?

Lea el artículo completo [+]

Consentimiento… ¿explícito?

Artículo de Leandro Núñez en APEP.

Consentimiento... ¿explícito?

Lea el artículo completo [+]

No son tiempos para crackear

Holding a tool, por Leonore Edman (via Twitter)Hace ya dos semanas publicamos un post acerca de la Circular 8/2015, de 21 de diciembre, de la Fiscalía General del Estado y, en particular, acerca de su análisis de la reforma del artículo 270 del Código Penal en lo que a delitos contra la propiedad intelectual se refiere. En esta ocasión, seremos nosotros quienes analicemos la reforma, específicamente en lo que se refiere a actividades de elusión o modificación de las medidas tecnológicas que cualquier titular de derechos de propiedad intelectual puede aplicar para la protección de su obra.

Lo que los titulares tratan con estas medidas es, en muchas ocasiones, que se respeten los límites de uso o copia que establecen en las licencias de sus obras, es decir, que a partir de un cd vendido (o descargado) el usuario no lo copie y distribuya a otros que no hayan pagado por ello  (he aquí un ejemplo de una polémica muy sonada); pero también son utilizadas para limitar el modo en que se puede disfrutar de una obra o tecnología (por ejemplo, cuando Apple no permitía reproducir canciones adquiridas en iTunes en reproductores de terceros). Estas últimas reciben habitualmente el nombre de tecnologías “digital rights management”, o DRM.

¿Cómo estaba regulado hasta ahora? La Ley de Propiedad Intelectual, en sus artículos 160 y siguientes (y en el 102 respecto de los programas de ordenador), ya preveía la posibilidad de dirigirse, en la vía civil, contra quienes eludieran medidas tecnológicas consideradas eficaces. Por su parte, el Código Penal consideraba delito la fabricación, importación, puesta en circulación o posesión de medios específicamente destinados a neutralizar o facilitar la supresión de medidas tecnológicas buscando el beneficio económico y en perjuicio de tercero (art.270). De las diferencias entre el tratamiento de ambas realidades en una u otra jurisdicción habló hace unos años nuestro compañero Andy Ramos, desde su blog Interiuris, por lo que no nos entretendremos más.

Tras la reforma, el Código Penal se mantiene en lo básico, ceñido a quienes fabriquen, importen, pongan en circulación o posean con una finalidad comercial, con ánimo de obtener un beneficio económico y en perjuicio de terceros, este tipo de dispositivos, aunque con algunos cambios que parecen acercar posturas entre ambas normas (al menos con el 160 de la Ley de Propiedad Intelectual):

  • La Ley de Propiedad Intelectual reprocha la elusión de medidas tecnológicas eficaces por medios principalmente destinados a ello (salvo en lo referente a programas de ordenador,  donde se exige que su “único fin” sea suprimir o neutralizar estas medidas, en una referencia a los famosos “cracks”).
  • Por su parte, el Código Penal exigía que los medios utilizados estuvieran específicamente destinados a eludir los dispositivos de protección. Ello suponía que fuese relativamente sencillo esquivar el ilícito penal, y así lo recogía la prensa hace unos años. “Específicamente” es una palabra demasiado específica para lo etéreos (léxicamente hablando) que podemos ser los juristas… y lo espabilados que pueden ser los que se dedican a diseñar cracks.
  • Actualmente, el Código Penal ha incorporado la expresión “principalmente concebido, producido, adaptado o realizado”, con lo que se carga de un plumazo el rigor del “específicamente”  y ahora es delito, entre otras cosas, siempre y cuando el principal uso de una herramienta o dispositivo sea eludir una medida tecnológica, independientemente de que esté o no específicamente destinado a ello. En resumen, ahora “más cosas” son delito.

Además se han tipificado dos nuevos delitos que no tienen que ver con la fabricación o puesta en circulación del dispositivo, sino con la actividad de eludir o modificar una medida tecnológica. Son las letras c) y d) del párrafo 5 del artículo 270, y que tienen como consecuencia que:

  • El apartado c indica que es delito la supresión o modificación de una medida tecnológica con la finalidad de favorecer o facilitar la comisión de un delito contra la propiedad intelectual, de entre los recogidos en los apartados 1 y 2 del mismo artículo.
  • También será un hecho delictivo (apartado d)  tanto la supresión como el favorecemiento de la elusión, buscando el beneficio económico directo o indirecto, de una medida tecnológica a fin de permitir el acceso ilícito a una obra.

Al respecto de esto último, entre las conclusiones que la Fiscalía General ofrece en su Circular, a mi juicio la más curiosa es la explicación del apartado c), que parece tipificar de forma autónoma la colaboración en la comisión del delito contra la propiedad intelectual. Sin embargo, según la Fiscalía, lo que el legislador ha buscado es que, aún no habiéndose perfeccionado el delito contra la propiedad intelectual, se pueda incriminar la mera supresión o modificación de medidas tecnológicas con esa finalidad. De ahí que no sea exigible el beneficio económico en este caso, y sí en el caso del apartado d).

La Fiscalía también ha concluido, en relación con lo que cabe esperar de la aplicación de estos artículos, que, probablemente, el apartado c) resultará aplicable a la misma persona que comete el delito contra la propiedad intelectual, ya que exige la intención de favorecer que ese delito sea cometido (y pone como ejemplo los administradores de un sitio web desde el que se accede a contenidos ilegales, que en ese caso sí estarán cometiendo delito) y que, en cambio, el d) se aplique a persona distinta de quien, conforme al Código Penal, explote sin autorización una obra.

En la práctica, aplicar todos estos artículos va a suponer que se se entrecruzarán en muchos asuntos; a veces, incluso, con lo previsto en los artículos 270.1 y 270.2 del Código Penal. Habremos de estar muy pendientes, por tanto, de cómo nuestros tribunales aplican estas normas en adelante.

Parece que al legislador eso de los “cracks” le suena bastante a romper, y ha optado por una fórmula que, en esencia, ya habíamos visto en carteles de cualquier tienda de regalos: “el que rompe, paga”… así que “el que crackea paga”.

Página 1 de 2112345...1020...Última »