En el anterior
post comentábamos la sentencia del caso 275/06 del TJCE y adelántabamos el contenido de este nuevo post.
Como constata el TJCE
no existe en España norma alguna que obligue a los operadores a comunicar los datos personales de sus clientes en el marco de un proceso civil de cualquier tipo ni en concreto con la finalidad de la protección de los derechos de autor. O al menos
de momento, pues aunque sea por la inercia tomada en otros Estados europeos incluso puede que también vayamos más allá de una regulación que obligue a los ISPs a ceder los datos personales de sus clientes usuarios de redes P2P como ya está sucediendo en algunos Estados europeos.
En Francia se ha optado por un
modelo voluntario de colaboración de los ISPs con las sociedades de gestión de derechos de autor, a la espera de que llegue la ley que regule esta invasión de los derechos a la intimidad, al secreto de las comunicaciones y a la protección de datos, además de a las libertades de expresión y de información. El objeto de estos acuerdos es el filtrado de la navegación de los usuarios de Internet para el bloqueo del acceso a las redes P2P. Este filtrado ha sido puesto por los ISPs en manos de terceros, cuya actividad parece ser está y seguirá estando celosamente supervisada por la
CNIL, en especial en lo que atañe a la obligación de que las direcciones IP se hagan anónimas inmediatamente durante el filtrado. De las dos inspecciones realizadas hasta la fecha en una de ellas ya se ha encontrado al encargado del filtrado registrando las direcciones IP para una sociedad de gestión de derechos de autor.
Ante el fracaso de las negociaciones entre las sociedades de gestión de derechos de autor y los ISPs británico para establecer un sistema similar al ya existente en Francia, parece que la semana que viene se presentará en el Reino Unido una
nueva ley que obligará a los ISPs a trazar las comunicaciones de sus clientes, de modo que en caso de que se detecte se está haciendo uso a redes P2P habrán de remitir por dos veces una advertencia de cese que en caso de no ser atendidas implicará la interrupción del servicio de acceso a Internet. Los datos identificativos y otros datos personales de los usuarios infractores podrán ser cedidos a los tribunales. Es preciso recordar que en el Reino Unido no se halla establecida la limitación de copia privada, siendo el uso de redes P2P en todo caso una infracción civil.
No obstante, en el Reino Unido la obligación de ceder los datos para procesos civiles ya existe gracias al
Common Law puesto que ya se dio una resolución de la
High Court que obliga a los
ISPs a trazar las comunicaciones de aquellos de sus clientes -"
uploaders" masivos- como consecuencia de la
Regulation of Investigatory Powers Act (RIPA).
En Estados Unidos el Common Law nos ha ofrecido una resolución que establece exactamente
lo contrario, si bien indicando como responsable para este tipo de autorizaciones al Congreso, razón por la que es previsible que puedan darse los mismos pasos que en Europa.
En cualquier caso, al respecto de estas futuras leyes francesa y británica, quisiera recordar la existencia de las exenciones de responsabilidad de los prestadores de servicios de intermediación establecidas en los artículos 12 a 14 de la Directiva 200/31/CE, así como que el artículo 15 de esta Directiva
prohibe expresamente a los Estados miembros imponer una "
obligación general de supervisar los datos que transmitan o almacenen, ni una obligación general de realizar búsquedas activas de hechos o circunstancias que indiquen actividades ilícitas" a los prestadores de servicios de transmisión de datos por redes, servicios de acceso a redes, servicios de almacenamiento automático, provisional y transitorio de datos para su transmisión ("
caching") y servicios de almacenamiento de datos. En cualquier caso los prestadores de servicios de intermediación podrán ser requeridos conforme a Derecho por los órganos judiciales y administrativos competentes a poner fin o impedir infracciones y tendrán el deber de colaborar en la interrupción del servicio o la retirada de contenidos ilícitos. Este régimen de responsabilidad fue transpuesto al Derecho español por el Capítulo II del del Título II de la
LSSI.
Debates aparte sobre la ilicitud civil y la tipicidad del uso por particulares de redes P2P, lo que sí quisiéramos precisar es que en el caso de la
descarga por personas jurídicas tanto de
programas de ordenador como de
bases de datos o de
cualquier otro tipo de obras sí que estamos ante una
infracción civil y un
acto de competencia desleal, aparte de que por lo general se podría estar incurriendo en la comisión de un
delito contra la propiedad intelectual al acceder ilegítimamente a informaciones, programas de ordenador o bases de datos que puede que puedan ser empleados en los procesos productivos de la organización por las personas que trabajan para ella (por tanto, con fines comerciales). Aparte las redes P2P consituyen un importante vector para posibles
infecciones por códigos maliciosos,
fugas de información culposas o
por error o la comisión de
delitos de posesión o distribución de pornografía infantil, así como para la
infracción de la buena fe o el abuso de confianza por parte de los trabajadores de la empresa. Por ello nos gustaría recomendar que las organizaciones privadas o públicas incluyan en sus políticas de gestión de la seguridad de la información la
prohibición de uso de aplicaciones P2P en sus redes corporativas y que se establezcan los
procedimientos para detectarlas, bloquearlas y eliminarlas en caso de que estuvieran siendo empleadas.
¡Ah, por cierto!
Aquí estamos para asesorar técnica, operativa y jurídicamente sobre cómo definir, implantar, revisar y auditar políticas y procedimientos de gestión de seguridad de la información, integrando en ellos como no la prohibición de uso de redes P2P con los medios corporativos. Y todo ello de conformidad con estándares internacionales de seguridad de la información, la legislación vigente y
jurisprudencia relevante al caso.
Álvaro Del Hoyo
Departamento de Consultoría
Dejamos un plazo de dos semanas para el envío de la solución ( 16 de marzo), y el que envíe la solución más completa/detallada/amena/interesante se llevará una copia del libro Hacking Exposed Wireless, para cambiar un poco la temática ;)
Dejamos un plazo de dos semanas para el envío de la solución ( 16 de marzo), y el que envíe la solución más completa/detallada/amena/interesante se llevará una copia del libro Hacking Exposed Wireless, para cambiar un poco la temática ;)
