La Agencia Española de Protección de Datos publica una guía sobre el uso de las “cookies”

La Agencia Española de Protección de Datos (“AEPD”) publicó a finales del pasado mes de abril una guía sobre el uso de “dispositivos de almacenamiento y recuperación de datos en equipos terminales” –coloquialmente conocidos como cookies–, con el fin de facilitar el cumplimiento de las últimas novedades legislativas en la materia. Estas tuvieron lugar tras la aprobación de la Directiva 2009/136/CE, incorporada a nuestro ordenamiento a través del Real Decreto-Ley 13/2012 que modificaba, a su vez, el artículo 22 de la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (“LSSICE”), dejándolo del siguiente modo:

22.2: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.

Es decir, para el uso de cookies como norma general se requerirá en todo caso que su responsable informe al usuario en cuyo dispositivo van a instalarse con anterioridad a dicha instalación. Pero, ¿qué es exactamente una cookie? Podrían definirse de manera sencilla como herramientas informáticas utilizadas por los responsables de servicios de la sociedad de la información (“editores”), que se descargan en el dispositivo de un usuario con el objetivo de almacenar datos que podrán ser actualizados y recuperados por dichos editores con diversos fines. Entre los más comunes se encuentran:

(i) la validación y diferenciación de los usuarios –que permite, por ejemplo, que una sesión se mantenga abierta o que una cesta de la compra virtual guarde los artículos seleccionados aunque el usuario cambie de página o la cierre–;

(ii) la conservación de elementos de la página web para reducir el tiempo de cargas futuras; o;

(iii) el seguimiento de la actividad del usuario en internet, con el fin de ofrecer la conocida como publicidad comportacional, esto es, anuncios basados en los hábitos de navegación de su receptor.

monstruo de las galletas

Fuente: Fernandez (Gegen Den Strich).

Algunos de estos usos conllevan evidentes peligros desde el punto de vista de la privacidad, ya que los editores reciben un flujo constante de datos acerca de nuestras características personales, gustos, hábitos de consumo, etc. Por otro lado, no son pocos los usuarios que prefieren que la publicidad que se les dirija a través de la red esté relacionada con sus aficiones e intereses. En este contexto, la guía de la AEPD pretende mostrar algunas de las vías a través de las que se puede alcanzar el equilibrio entre el derecho a la privacidad y el desarrollo del negocio publicitario en internet, siempre dentro de la legalidad vigente. Para ello describe con detalle algunas de las formas a través de las que garantizar que el usuario recibe la información adecuada sobre el uso de las cookies, primero, y que el consentimiento posterior de éste ha sido otorgado, después.

En efecto, el editor ha de proporcionar al usuario información visible, clara y completa sobre las cookies que se instalarán al hacer uso de su servicio, los datos que serán recogidos por éstas y la posibilidad de negarse a su instalación. Algunos de los procedimientos más habituales respaldados por la AEPD son los siguientes:

  • El suministro de la información a través de una barra de encabezamiento o pie de página, de forma suficientemente visible.
  • La inclusión de la información junto con la política de privacidad, o en los términos y condiciones de uso del servicio, en aquellos casos en que el usuario solicite el alta en dicho servicio o vaya a descargar un servicio o una aplicación.
  • El empleo de un sistema de información por capas, consistente en mostrar una primera capa con la información esencial y un enlace a la segunda capa, que contiene información mucho más completa y detallada.

La información esencial estaría comprendida por la advertencia sobre el uso de cookies, su finalidad, si se trata de cookies propias o de terceros, y el aviso de que si el usuario ejecuta una determinada acción, se entiende que acepta su uso. En la segunda capa se expondría al detalle la función de las cookies, la posibilidad de desactivarlas o eliminarlas, la forma de revocar el consentimiento prestado o la identificación de las entidades que tratan la información recogida por las cookies, entre otros.

La guía detalla a continuación algunas de las formas más habituales por las que el usuario puede otorgar su consentimiento –ahora sí– debidamente informado: (i) al aceptar los Términos y Condiciones o la Política de Privacidad cuando solicita el alta en un servicio; (ii) al configurar el funcionamiento de la página web o aplicación, o en el momento en que se solicite para la ejecución de una nueva función ofrecida por estas; (iii) al descargar un servicio o aplicación; (iv) a través del mencionado sistema de información por capas, o (v) a través de cualquier otra acción que manifieste por sí misma y de manera inequívoca su consentimiento.

Dentro de esta última opción se encuentran los supuestos en los que el consentimiento del usuario puede inferirse a partir de las acciones llevadas a cabo por éste, asunción que responde a una necesidad práctica provocada por dos factores. En primer lugar, las advertencias sobre el uso de cookies son generalmente contempladas como una molesta interrupción de la navegación. Por otro lado, no son pocos los usuarios que, ante la incomodidad que provoca el tener que aceptar una ventana tras otra antes de poder acceder al contenido de la página web, abandonan el site en busca de alternativas menos burocráticas.

Así, se entiende que si el usuario, una vez advertido de la presencia de las cookies y de la posibilidad de negarse a su instalación, hace caso omiso y continúa con su navegación, podrá entenderse que acepta su instalación y uso. Debe tenerse en cuenta, sin embargo, que la mera inactividad del usuario no implica, por sí misma, la prestación del consentimiento. Será necesaria alguna acción concreta adicional –utilizar la barra de desplazamiento, clicar sobre cualquier enlace contenido en la página, etc.– para poder asumir con las garantías suficientes que dicho consentimiento ha sido prestado.

Este informe de la AEPD también hace referencia a aquellas cookies para cuya instalación y uso excepcionalmente no se requiere el consentimiento del usuario: aquellas destinadas únicamente a permitir la comunicación entre el equipo del usuario y la red, y las estrictamente necesarias para la prestación de un servicio expresamente solicitado por el usuario –identificación de sesión, acceso a partes de acceso restringido, conservación de los elementos que integran un pedido de comercio electrónico, entre otros–. La exención, sin embargo, es muy restrictiva: cualquier cookie que se instale con estas finalidades, pero no únicamente con ellas, necesitará igualmente el consentimiento informado y previo del usuario receptor de la misma.

Asimismo, aunque la guía no contiene obligaciones legales, resulta muy esclarecedora en cuanto a las personas que la AEPD considerará responsables de una eventual infracción del art. 22.2 LSSICE. Según la literalidad del texto, el precepto será infringido al utilizar cookies sin haber recabado previamente el consentimiento del usuario. Podría entenderse que este concepto de utilización abarca únicamente a las cookies propias del editor, es decir, a las instaladas desde su servidor y cuyos datos recogidos son tratados por él. Sin embargo, la AEPD considera al editor responsable también de la instalación no consentida de cookies de terceros, esto es, instaladas al visitar su página web pero desde un dominio no gestionado por él y sin que en ningún momento tenga control o trate los datos por ellas recogidos. Y ello porque, aunque el editor no aloja estas cookies en su servidor, la AEPD entiende que dispone de cierta capacidad a la hora de limitar su uso. Además, el usuario perjudicado tenderá a dirigirse al editor por ser éste el proveedor de servicios de la sociedad de la información más identificable, aunque no sea quien realmente se beneficia del uso de estas cookies.

Este editor, por tanto, deberá auditar la totalidad de las cookies que se instalan a través de su página web –ya sean propias o de terceros–, a fin de poder informar debidamente al usuario acerca de su naturaleza y funciones.

Si bien al poco de la entrada en vigor del nuevo art. 22 LSSICE raro era el editor que cumplía al pie de la letra con el precepto, a lo largo de los meses cada vez más páginas web se han ido adecuando a estas nuevas exigencias legales. El incumplimiento de la normativa, sin embargo, aún puede calificarse como generalizado. Las sanciones económicas aplicables, previstas en el art. 39 LSSICE, pueden ascender hasta unos máximos de 30.000 € –leves–, 150.000 € –graves– y 600.000 € –muy graves–, aunque a día de hoy no consta que la AEPD haya iniciado ningún expediente sancionador por este motivo.

Texto original inicialmente publicado en el cuarto número del Boletín de Propiedad Intelectual, Industrial y Nuevas Tecnologías de CMS Albiñana y Suárez de Lezo.

Anuncios

El Tribunal Supremo confirma que la dirección IP no identifica por sí sola al responsable de un delito

A finales del año pasado el Tribunal Supremo (“TS”) publicó una sentencia por la que se absolvía a dos particulares de un delito de estafa informática. El primero de ellos presuntamente habría conseguido de manera fraudulenta las claves bancarias de un tercero y transferido electrónicamente cerca de 3.000 € a la cuenta del segundo de los acusados. Posteriormente, éste último habría enviado la mayor parte del botín a un destino desconocido a través de un servicio de envío postal, reteniendo el resto en concepto de comisión. Limitando el análisis al primero de los acusados, la particularidad del caso radica en que la prueba más sólida en su contra era la certeza de que la transferencia se había realizado desde una dirección IP (“IP”) asignada a la línea telefónica de la que éste era titular.

Como ya hemos comentado anteriormente, la IP es, a grandes rasgos, la etiqueta numérica que identifica, de manera lógica y jerárquica, a un dispositivo –un ordenador, un smartphone, etc.– dentro de una red que utilice el protocolo IP –Internet Protocol, o protocolo de internet–. Podría decirse que es una matrícula que identifica al dispositivo mientras circula por la red.

Fuente: Informática IES La Nía

Fuente: Informática IES La Nía

En la inmensa mayoría de las conexiones domésticas a través de un router éste tiene asignada una única IP que después reparte internamente entre todos los dispositivos que, a través de él, se conectan a internet. También es frecuente que las IPs sean dinámicas, esto es, que cambien cada vez que el router se reinicia o transcurre un determinado intervalo temporal. Por ello, para determinar con exactitud quién ejecutó una orden informática concreta no bastará con conocer la IP, sino que también serán necesarias la fecha y hora en que dicha orden se llevó a cabo. Con estos datos y la colaboración de los proveedores de servicios de internet (“ISPs”) –Movistar, Jazztel, ONO, etc. – se podrá averiguar a través de qué línea se cometió el delito y quién es su titular.

Dicho esto, ¿puede considerarse que la dirección IP, por sí sola, es prueba suficiente para afirmar que alguien realizó una determinada conducta? ¿Se debe hacer al titular de la línea responsable de todos los daños causados a través de ella?

Nuestra jurisprudencia menor viene considerando, en lo que a la solidez de la prueba respecta, que en ningún caso deberá considerarse una prueba directa o de cargo, sino como un indicio. Cabe recordar que nuestro ordenamiento jurídico admite pronunciamientos condenatorios basados en pruebas indiciarias, siempre y cuando se cumplan los requisitos exigidos por la jurisprudencia del Tribunal Constitucional (“TC”) con el fin de evitar la conculcación del derecho a la presunción de inocencia. A saber:

(i) El hecho o los hechos bases (o indicios) han de estar plenamente probados, no basta con meras sospechas.

(ii) Los hechos constitutivos del delito deben deducirse precisamente de estos hechos base completamente probados.

(iii) Se debe poder controlar la razonabilidad de la inferencia, esto es, que el razonamiento lógico por el que se imputan los hechos constitutivos de delito a los indicios se asiente en las reglas del criterio humano o de la experiencia común.

En el presente caso, se consideró completamente probado que la estafa en su modalidad de manipulación informática tuvo lugar y que fue llevada a cabo desde la dirección IP de uno de los acusados. Restaba, por tanto, determinar si resultaba razonable asumir que el causante del daño era, en todo caso, la misma persona que constaba como titular de la línea a través de la que se cometió el delito. El TS acabó confirmando, como ya habían hecho nuestra doctrina y jurisprudencia menor, que la respuesta a esta cuestión ha de ser negativa. Y ello porque existen escenarios alternativos razonables en los que el delito podría haber sido cometido por un tercero ajeno acusado sin la intervención de este último.

Home Wireless Network Diagram

Fuente: firstpointit.com

En este sentido, no hay más que observar nuestros hábitos de navegación para comprobar que conectarse a través de una IP de la que no somos titulares es más frecuente de lo que en principio pueda parecer. La práctica totalidad de las viviendas cuenta con una sola línea telefónica y, consecuentemente, con un único titular. Sin embargo, como hemos visto, cada conexión constará realizada bajo la misma IP, con independencia de los miembros –y de sus correspondientes ordenadores, smartphones, tabletas, etc.– que conformen el núcleo familiar.

A esto hay que añadir la posibilidad de que un tercero tome el control de un equipo mediante un virus o se conecte en nuestra red inalámbrica tras averiguar su contraseña. La seguridad de los routers domésticos no es inviolable, y mucho menos si no se modifica su configuración por defecto antes de empezar a utilizarlos. De hecho, ni siquiera hace falta poseer conocimientos avanzados en informática: unos minutos de búsqueda en Google bastan para conseguir programas capaces de averiguar las contraseñas de fábrica de los principales ISPs. Piénsese también en todos los hoteles, cafeterías, aeropuertos, centros cívicos, universidades, parques, bibliotecas o incluso particulares que, por filosofía o desconocimiento, ponen su red WiFi a disposición de cualquier transeúnte que se encuentre dentro del radio de alcance.

En definitiva, resulta imposible determinar con el grado de certeza requerido por nuestro Derecho penal quién es el responsable de un delito si se cuenta únicamente con la dirección IP desde la que éste fue cometido. Pero, ¿se puede afirmar lo mismo en lo que a la responsabilidad civil respecta? Si bien los Juzgados y Tribunales españoles aún no se han pronunciado en este sentido, tanto nuestra doctrina como la jurisprudencia extranjera así lo entienden.

Por ejemplo, un Juez de Nueva York desestimó en mayo de 2012 la petición de K-Beech, Inc. –una productora de cine para adultos– por la que se requería la identificación de más de 250 titulares a través de cuyas líneas telefónicas se habían descargado ilícitamente algunas de las películas de la productora. Para el Juez, la presunción de que el titular de la línea era efectivamente el responsable de la descarga “es endeble, y se ha ido debilitando aún más con el paso del tiempo (…)”. En opinión del Magistrado, “que el usuario de una dirección IP haya llevado a cabo una acción informática particular (…) no es más probable que el hecho de que el que paga la factura del teléfono haya realizado efectivamente una llamada específica”.

En otro caso sobre descargas ilícitas, esta vez en Finlandia, la Corte determinó que la parte demandante había sido incapaz de probar que la titular de la conexión era efectivamente la persona que había compartido ilícitamente los archivos. Al parecer, durante un evento en casa de la demandada al que acudieron un centenar de personas, alguien descargó materiales protegidos por derechos de propiedad intelectual desde el acceso a internet de la anfitriona aprovechando que la red inalámbrica estaba abierta al público.

Lo hasta ahora expuesto no significa que el titular de la línea sea virtualmente indemne frente a las reclamaciones por infracción de derechos de propiedad intelectual, o de cualquier otro –derecho al honor, a la intimidad, a la propia imagen¬– que pudiera vulnerarse a través de la red, sino que cualquier pronunciamiento condenatorio deberá estar basado no sólo en su condición de titular de la línea, sino también en pruebas o indicios adicionales.

Un buen ejemplo de ello es la sentencia de la Audiencia Provincial de A Coruña que en el año 2010 condenó por una falta de injurias a un particular basándose en un conjunto de pruebas. En este caso, el condenado publicó a través de una dirección IP asignada a la línea de la que era titular un falso anuncio en una sección de contactos, incluyendo además una descripción física del injuriado –su antiguo jefe– y un número de teléfono móvil que era conocido por muy poca gente dada su reciente adquisición. La suma de todos estos indicios, esta vez sí, permitió inferir de manera razonable que el acusado era efectivamente el autor del delito, razón por la que fue finalmente condenado.

Es cierto que, a pesar de la falsa sensación de anonimato que en ocasiones pueda invadirnos, toda conducta realizada a través de internet deja un rastro que se puede seguir. Ahora bien, esto no significa que la identidad que se revela al final del camino –el titular de la línea– sea culpable del hecho dañoso en todo caso. Para una correcta atribución de la responsabilidad debe exigirse además la concurrencia de otras circunstancias que, en cada caso concreto, disipen las dudas razonables que la mera titularidad de la línea deja tras de sí.

También han comentado esta sentencia Verónica Alarcón y David Maeztu, entre otros.

Texto original inicialmente publicado en el Boletín de Propiedad Intelectual de CMS Albiñana y Suárez de Lezo.

Jurisprudencia extranjera sobre la responsabilidad del titular de la línea.

Viggo Mortensen hablando por teléfono

“¡Aragorn, hijo de Arathorn, heredero de Isildur! ¿Es usted el titular de la línea?” Fuente: Scurvesahead

Hace unos meses publiqué una entrada en la que sostenía que la mera dirección IP no era nexo causal suficiente para hacer del titular de la línea responsable de las descargas de archivos protegidos por derecho de autor. Desde entonces más de una resolución judicial ha confirmado esta conclusión. A mí me constan al menos dos: una en Estados Unidos y otra en Finlandia.

La primera es del Juez Gary R. Brown (Nueva York), publicada el 1 de mayo de 2012. Vino propiciada porque los titulares de derechos de unas películas pornográficas acudieron a los Tribunales con 19 de demandas en todo el distrito, dirigidas contra cerca de 250 desconocidos que habían utilizado un programa P2P basado en el protocolo BitTorrent.

El objetivo de los demandantes era que los jueces ordenasen la identificación de las personas que había detrás de las direcciones IP desde las que se habían descargado los archivos, para después demandarlas por infracción del copyright.

El Juez Brown, sin embargo, desestimó la petición. Según su criterio, la presunción de que el titular de la línea sea efectivamente el que ha realizado la descarga es bastante débil. Podéis encontrar el texto completo (en inglés) aquí. Estos son algunos de los fragmentos más interesantes (la traducción es libre):

La presunción de que la persona que paga por el acceso a internet en un lugar determinado es la misma persona que presuntamente ha descargado una película pornográfica es endeble, y se ha ido debilitando aún más con el paso del tiempo”.

“Por lo tanto, que el usuario de una dirección IP haya llevado a cabo una acción informática particular (…) no es más probable que el hecho de que el que paga la factura del teléfono haya realizado efectivamente una llamada específica.”

“Salvo que el router inalámbrico haya sido debidamente protegido (y en algunos casos, incluso si ha sido protegido), un vecino o transeúnte podría acceder a Internet empleando la dirección IP asignada a un cliente particular y descargar la película del demandante.”

Algunas de estas direcciones IP podrían pertenecer a negocios o entidades que proporcionan acceso a sus empleados, clientes y, en ocasiones (como es usual en bibliotecas o cafeterías), el público general.”

[citando una sentencia anterior] Este riesgo de falsos positivos da lugar a la posibilidad de obligar a demandados inocentes a llegar a acuerdos injustos para evitar la vergüenza de ver sus nombres públicamente asociados a la descarga ilícita de ‘My Little Panties #2’.”

logo del movimiento fon

La comunidad “Fon” ofrece parte de su conexión a cualquiera que esté dentro del alcance del router.

El segundo caso tuvo lugar a este lado del charco. El proceso fue iniciado por el  Centro Finlandés Antipiratería, que solicitaba a una mujer una indemnización de 6.000 €. Al parecer alguien descargó material protegido por derecho de autor desde el acceso a internet de la demandada, durante una representación en casa de ésta a la que acudieron alrededor de cien personas. La red inalámbrica estaba abierta al público.

La Corte determinó que la parte demandante había sido incapaz de probar que la titular de la conexión era efectivamente la persona que había compartido los archivos. A continuación, se examinó si el mero hecho de proporcionar WiFi abierta al público constituía un acto de infracción del copyright, ya que la demandante había solicitado también medidas para evitar que la demandada cometiese actos similares en el futuro. De haber sido concedidas, la situación legal de numerosos proveedores de WiFi gratuito (cafeterías, bibliotecas, ayuntamientos…) se hubiera vuelto extremadamente difícil.

A este respecto, según el criterio de la Electronic Frontier Foundation, los operadores de una red WiFi abierta son un mero conductor para las comunicaciones de otros, y a menudo gozan de inmunidades estatutarias. Bajo la Digital Millenium Copyright Act, hay un puerto seguro para los proveedores de servicios que ofrezcan “la transmisión, enrutamiento o proporción de conexiones para comunicaciones digitales en línea, entre puntos especificados por un usuario, de material escogido por dicho usuario, sin que se modifique el contenido de dicho material durante su emisión o recepción” (traducción libre).

Por tanto, un administrador de red WiFi abierta podría pedir la protección de este puerto seguro del art. 512(a) para evitar la responsabilidad por infracciones de copyright cometidas a través de su infraestructura. Evidentemente hay otros requisitos previos para acogerse a este régimen, pero no son difíciles de cumplimentar.

Fuentes: TorrentFreak y Ars Technica.

La compensación equitativa por copia privada a cargo de los Presupuestos Generales del Estado es algo “transitorio”.

Carlos Guervós

Fuente: Nacionred

A mediados de mes tuvo lugar en Madrid el II Congreso Internacional de Propiedad Intelectual. Una de las intervenciones más esperadas fue la de Carlos  Guervós, Subdirector de Propiedad Intelectual del Ministerio de Educación, Cultura y Deporte.

Guervós fue el encargado de explicar desde el punto de vista del Ministerio el profundo cambio que ha sufrido en España la configuración de la compensación equitativa por copia privada (en adelante, e indistintamente, “canon”). Comento a continuación las principales ideas de la ponencia.

El Ministerio lleva “analizando y reflexionando” sobre el canon desde que se conoció la sentencia del caso Padawan, a finales de octubre de 2010. En opinión del MECD, dicha sentencia exige una armonización urgente de la regulación al respecto. Año y medio de reflexión para llegar a la conclusión de que es mejor que nos lo den todo regulado desde Europa; en fin…

Se sustituye “transitoriamente” el sistema antiguo por uno similar al que hay en Noruega desde 2005. El procedimiento de pago se establecerá por Real Decreto, en función del perjuicio efectivamente causado. El nuevo sistema, por tanto:

  • “Mantiene la legalidad”: sólo faltaba; no se puede eliminar el canon y mantener la excepción por copia privada…
  • “Debería conllevar una disminución de los precios” de los dispositivos y soportes de copia. Yo, sin embargo, no veo que los precios hayan bajado mucho…
  • “Elimina los gastos de recaudación”: puestos a buscar ventajas, esta es una que siempre suena bien (y más en tiempos de crisis económica).
  •  Tan sólo aumenta las cantidades a pagar por las Administraciones Públicas, que “ya abonaban una parte de esa recaudación”. Desgraciadamente, desde el Ministerio parecen olvidar que el 99,99% de lo que venían abonando, lo hacían de manera no conforme con la Directiva 2001/29. Los dispositivos y soportes “no se han puesto a disposición de usuarios privados”, y “están manifiestamente reservados a usos distintos a la realización de copias privadas”.

Con este nuevo sistema se espera que se deje de cuestionar el sistema anterior de compensación equitativa por copia privada, tanto por los ciudadanos como por parte de los Tribunales. Sí, yo también creí que lo había oído mal, pero por lo visto el que los Jueces apliquen la ley con independencia y cuestionen la legislación que emana del Gobierno, es un problema a resolver…

Guervós concluyó diciendo que se busca un control administrativo eficaz, transparencia máxima, y que “se está trabajando” en la cuestión. Tras su intervención se dio paso al turno de preguntas y debate. Resumo a continuación las más relevantes:

¿Cuándo se va a tener la primera versión del nuevo Real Decreto? ¿Quién va a pagar este impuesto? ¿Los productores de equipos y dispositivos, el público general…?

Aún habrá que esperar un poco, los tiempos de elaboración de las normas son los que son. No se trata de un nuevo impuesto, es un pago que saldrá de los Presupuestos Generales del Estado. El nuevo sistema mantiene el límite y la obligación de compensar, pero hace que el Estado sustituya a los antiguos deudores de la obligación (fabricantes e importadores).

¿Qué va a pasar con las cantidades relativas a las copias realizadas durante estos meses, teniendo en cuenta que a fecha de hoy los titulares de derechos no están cobrando?

Tras la entrada en vigor del Real Decreto–Ley no se han dejado de efectuar copias privadas, y ese daño causado a los titulares se va a compensar.

 Se pretende que este nuevo sistema sea transitorio, pero ¿cómo de transitorio? ¿Cuánto se estima que va a durar?

Lo más deseable sería una solución armonizada. También es posible que este sistema transitorio no sea tan malo… Estamos mirando a Bruselas, y mientras los Estados miembros sólo podemos poner parches.

La supresión de la copia privada, ¿suprime el art. 25 LPI al completo, o sólo el sistema de determinación de la compensación?

El Real Decreto-ley 20/2011 no suprime el art. 25 LPI, que sólo queda derogado en la medida en que sea contrario al mismo.

 ¿Qué significa que para calcular la compensación se tomará como base el daño causado, cuando la primera debería ser equivalente al segundo?

Significa no compensar daños mínimos, que la compensación sea adecuada, distinguir entre copia analógica y digital, tener en cuenta las eventuales medidas tecnológicas de protección…

¿Se han realizado ya estudios para estimar el perjuicio efectivamente causado? ¿Hay datos sobre la bajada efectiva de precios de los soportes?

Se está esperando a ver cuál es el tamaño exacto de la hucha para calcular el perjuicio [vamos, que el perjuicio efectivamente causado no depende de la cantidad de copias privadas, sino de cuánto dinero hay disponible]. En cuanto al precio final de los dispositivos y soportes, desde el Ministerio se entiende que han de bajar, pero no se ha comprobado expresamente.

Conclusiones:

Este sistema a la noruega es un mal parche que intenta arreglar la tremenda chapuza que se hizo en su día. Se vio en el canon una oportunidad para compensar las pérdidas por piratería y se gravaron los dispositivos y soportes de manera indiscriminada. Tal y como nos confirmó el TJUE, eso es algo contrario a la Directiva 2001/29.

Bucky el Tejón Universidad de WisconsinEstablecer el canon a cargo de los Presupuestos Generales del Estado desnaturaliza una obligación esencialmente civil, acercándola peligrosamente al ámbito de las obligaciones tributarias.

En los próximos meses se realizará un estudio para determinar el perjuicio efectivamente causado a los titulares de derechos, pero no antes de saber de cuánto dinero se dispone. Desde aquí sugiero que se lo encarguen a la Universidad de Wisconsin, que cuenta con una amplia experiencia en esta clase de investigaciones serias y rigurosas.

Finalmente, tengo curiosidad por saber qué pasaría si se vuelve a plantear una cuestión prejudicial ante el TJUE. De momento los titulares recibirán menos dinero, los fabricantes e importadores aún están intranquilos, y la doctrina es tremendamente crítica (con razón). Se trata, en definitiva, de un cambio que ni despeja las principales dudas ni ha dejado a nadie contento.

Crónica del II Congreso Internacional de Propiedad Intelectual

El pasado viernes 18 de mayo tuvo lugar en el Ministerio de Educación, Cultura y Deporte el II Congreso Internacional de Propiedad Intelectual. El evento está organizado conjuntamente por dicho Ministerio y por el Master en Propiedad Intelectual de la Universidad Autónoma de Madrid, y tuvo como tema “La compensación equitativa por copia privada en España y en la Unión Europea. Nueva regulación y perspectivas de armonización”.

Fuente: MAPI

Fuente: MAPI

El congreso fue inaugurado por el Secretario General Técnico del Ministerio de Educación, Cultura y Deporte, José Canal Muñoz, que centró su exposición en la nueva configuración de la compensación equitativa por copia privada (en adelante “canon”).

Se trata de un sistema inspirado en el Noruego, que persigue compensar a los titulares de derechos en función del perjuicio efectivamente causado por los usuarios (un carácter equitativo que, a ojos del TJUE, no podía afirmarse del antiguo sistema de compensación). La principal novedad es que dicho canon se abonará a los titulares de derechos con cargo a los presupuestos generales del Estado, lo que no deja de plantear nuevas dudas sobre el carácter efectivamente equitativo de la compensación.

Fuente: UAM

Fuente: UAM

A continuación tomó la palabra Fernándo Molina Fernández (decano de la Facultad de Derecho de la UAM), para augurar una futura homogeneización de los sistemas de compensación equitativa por copia privada.

En su opinión, el acercamiento entre las distintas legislaciones es una cuestión de tiempo, de forma análoga a lo sucedido en las últimas décadas respecto del Derecho penal (su especialidad): hoy en día los tipos delictivos, las penas asociadas, las circunstancias eximentes y agravantes… son muy parecidos en la mayoría de países de nuestro entorno.

Pilar Cámara Águila (Universidad Autónoma de Madrid)  expuso con claridad cómo la primera regulación de la compensación equitativa por copia privada ha sido dinamitada por la Sentencia del Tribunal de Justicia de 21 de octubre de 2010, que resolvía la cuestión prejudicial planteada en el caso Padawan (SAP Barcelona 89/2011). Terminó su exposición criticando tanto el cariz tributario que cobra el canon  tras el Real Decreto-ley 20/2011 de medidas urgentes en materia presupuestaria, tributaria y financiera para la corrección del déficit público, como la utilización precisamente de un procedimiento de urgencia en principio reservado para una serie de casos excepcionales.

De izda. a dcha.: Pilar Cámara, Rodrigo Bercovitz y Carlos Guervós. Fuente: MAPI.

De izda. a dcha.: Pilar Cámara, Rodrigo Bercovitz y Carlos Guervós. Fuente: MAPI.

Carlos  Guervós (Subdirector de Propiedad Intelectual del Ministerio de Educación, Cultura y Deporte), expuso con un mayor grado de detalle el nuevo régimen del canon mediante previsión en los presupuestos generales del Estado. Las ventajas y consecuencias del nuevo sistema ocuparon la ponencia que más interés generó, como más tarde se demostraría en el turno de preguntas. No era para menos, teniendo en cuenta las cantidades que se han estado manejado en dicho concepto los últimos años. La intención del Gobierno, sin embargo, es que esta actual configuración “a la noruega” sea algo transitorio, a la espera de una eventual armonización y de la nueva Ley de Propiedad Intelectual (actualmente en fase de preparación).

Antoine Latreille (Universidad Paris-Sud 11) explicó el régimen de compensación por copia privada en Francia. Allí la consideración de una copia como privada requiere, además de ser destinada al uso privado del copista, que la fuente sea lícita (a diferencia del “acceso legal” que exige nuestro art. 31.2 LPI). El canon es configurado por una comisión especial que establece la cuantía, quién debe pagarla (los fabricantes de dispositivos y soportes de copia, que luego la repercuten al consumidor) y realiza una encuesta para calcularla. Dicha comisión tiene la particularidad de representar no sólo a los titulares de derechos, sino también a los fabricantes de equipos y dispositivos de copia, y a los consumidores. Una participación de todos los sectores involucrados que en España ha brillado tradicionalmente por su ausencia.

Silke von Lewinski (Instituto Max Planck) habló de la compensación equitativa por copia privada en Alemania. La legislación alemana tiene en cuenta que muchos dispositivos y soportes tienen usos distintos a la copia, y por ello la cuantía se calcula en función de la capacidad de copia de los mismos. También tuvo tiempo para comentar las repercusiones del caso Padawan en su ordenamiento jurídico.

De izda. a dcha.: Silke von Lewinski, Antoine Latreille, Ignacio Garrote y Paul Torremans. Fuente: MAPI.

De izda. a dcha.: Silke von Lewinski, Antoine Latreille, Ignacio Garrote y Paul Torremans. Fuente: MAPI.

Paul Torremans (Universidad de Nottingham) describió la excepción por copia privada que se está gestando en el Reino Unido. Al ser un ordenamiento basado en el common law, no posee el sistema de excepciones propio del Derecho continental. Al parecer se pretende aprobar una nueva “excepción” para dotar de licitud a la reproducción privada que tiene lugar, por ejemplo, cuando el usuario compra y digitaliza un CD para escucharlo en su reproductor mp3.

Estirando un poco los conceptos, la correspondiente compensación exigida por el Convenio de Berna se pagaría de forma indirecta incluyéndolo en el P.V.P. Sin embargo, en opinión de Torremans, la exigencia de que cada usuario haya comprado previamente el CD dejaría fuera del ámbito de la excepción a la mayoría de las reproducciones que tienen lugar en el ámbito doméstico (y que, por tanto, continuarían siendo ilícitas). La modificación legislativa, por tanto, tendrá un ámbito objetivo de aplicación considerablemente reducido.

Antoon Quaedvlieg (Universidad de Nimega) analizó la jurisprudencia del Tribunal de Justicia en materia de compensación equitativa por copia privada. Intentó determinar qué ha de entenderse por daño, y si ha de incluirse en él las copias realizadas desde fuentes ilícitas.

María Martín Prat. Fuente: MAPI

María Martín Prat. Fuente: MAPI

María Martín Prat (Unidad de Derecho de Autor de la Dirección de Mercado Interior de la Comisión Europea), se remontó a los años 90 para explicar las dificultades presentes a la hora de armonizar los distintos ordenamientos. En su opinión, la aparición de los formatos digitales, las plataformas de distribución de contenidos en streaming y el almacenamiento en la nube, dota de un nuevo contenido al derecho de copia más cercano al derecho de acceso.

Por último, Frank Gotzen (Universidad de Lovaina) explicó algunas de las posibles alternativas al sistema de compensación equitativa en el entorno digital.  En la misma línea anteriormente mantenida por el profesor Molina, Gotzen incidió en la necesidad de una mayor armonización entre los ordenamientos de los Estados miembros que contemplan en sus respectivas legislaciones la excepción por copia privada.

El Profesor Ignacio Garrote (Universidad Autónoma de Madrid), como Director del Congreso, fue el encargado de exponer las conclusiones, emplazando a los asistentes a la próxima edición.

Bercovitz Camara Latreille Gotzen Garrote Torremans von Lewinsky Quaedvlieg

De izda. a dcha.: Bercovitz, Cámara, Latreille, Gotzen, Garrote, Torremans, von Lewinsky y Quaedvlieg. Fuente: MAPI.

Cuesta resumir en alrededor de mil palabras todo lo acaecido en un evento de estas características (próximamente dedicaré una entrada enteramente a la ponencia y preguntas de Carlos Guervós). Es un privilegio poder escuchar a tantos expertos de tan reconocido prestigio, algo que no habría sido posible sin el enorme trabajo llevado a cabo por la Dirección del Master en Propiedad Intelectual, Industrial y Nuevas Tecnologías de la Universidad Autónoma de Madrid (encontraréis más fotografías del evento en su página oficial de Facebook). En principio, la III edición tendrá lugar a finales del curso académico 2012/2013. Si podéis asistir, no dejéis escapar la ocasión.

Fuentes: MAPI y blog Derecho y Cultura.

¿Sueñan los androides de gestión con aularios virtuales eléctricos?

Oficinas CEDRO Calle de Miguel Ángel

Oficinas de CEDRO, en la Calle Miguel Ángel (Madrid).

Actualización [11-04-2012]: Según informa ABC en su edición digital, CEDRO ha demandado también a la Universidad Autónoma de Barcelona. Según la entidad de gestión, la UAB sólo tendría que dedicar el 0,5% de su presupuesto a la adquisición de la licencia necesaria para el campus virtual.

Recientemente hemos sabido que CEDRO (el Centro Español de Derechos Reprográficos) ha demandado a la Universidad Carlos III de Madrid. El motivo de la demanda parece ser la comunicación pública por parte de dicha universidad de obras protegidas por derecho de autor a través del campus virtual.

CEDRO es la entidad de gestión de derechos de autor del sector de los libros (“la SGAE de las fotocopias”, vamos). Tiene encomendada la gestión de los derechos sobre las obras de sus miembros (concesión de licencias, etc.) y, por imperativo legal, se encarga del reparto del dinero recaudado en concepto de compensación por copia privada (el famoso “canon”).

Al parecer los profesores de la Universidad Carlos III han colgado en el campus virtual artículos, libros… protegidos por derecho de autor sin contar con la licencia necesaria. Las universidades llevan años pagando licencias por las fotocopias, en función de las máquinas a disposición de los alumnos y del número de estos. Sin embargo, según CEDRO sólo tres de los setenta y cinco centros españoles cuentan con licencia para comunicar públicamente obras a través de sus respectivos portales web: IE Universidad, la Universidad Internacional de la Rioja y la Universitat Católica de Valencia San Vicente Mártir.

Hace varios años (desde 2005 si no recuerdo mal) que CEDRO intenta sin éxito llegar a un acuerdo con la CRUE (Conferencia de Rectores de las Universidades Españolas), y esa es la verdadera razón que hay tras la demanda: “La cuestión no es tanto económica como llamar la atención y conseguir que se sienten a negociar”. En mi opinión, a la entidad de gestión no le quedaba otra salida por varios motivos.

Facultad de Derecho de la Universidad Carlos III de Madrid

Facultad de Ciencias Sociales y Jurídicas de la Universidad Carlos III (Getafe). Foto por Miguel303xm.

En primer lugar, los aularios virtuales son un sistema comodísimo tanto para los profesores como para los alumnos: los primeros no tienen que ocuparse de hacer mandar al becario que haga fotocopias, y los segundos pueden acceder al material en cualquier momento y lugar. Además, gracias a las excesivas cantidades de dinero caídas de los cielos de las 17 consejerías de Educación para “fomentar el uso de las nuevas tecnologías en las universidades”, raro es el centro que no ofrece un servicio de esta clase. El resultado no es otro que una pronunciada reducción del número de fotocopias realizadas, y de la consiguiente  recaudación de CEDRO por este concepto.

CEDRO considera que la mejor solución es otra “tarifa plana”, como la que se emplea para las fotocopias. En este caso, las universidades deberían pagar 5 € por alumno y curso, a cambio de que sus estudiantes puedan utilizar sin límites contenidos protegidos en el campus virtual. La recaudación total ascendería a la módica cantidad de 8 millones de euros por curso académico.

En segundo lugar, los profesores universitarios cuelgan sin ninguna clase de reparo no ya fragmentos, sino obras enteras escaneadas. Ojo, no estoy diciendo que lo hagan con voluntad de causar un perjuicio económico: muchas veces las obras han sido escritas por colegas de profesión, cuando no por ellos mismos. Pero sí hay mucho desconocimiento, y la falsa creencia de que puede hacerse “porque no hay ánimo de lucro”, “porque el fin es educativo”, “porque a la intranet sólo pueden acceder los alumnos matriculados”… Y no es así.

En tercer lugar, peligra seriamente la mayoría del dinero que CEDRO venía recaudando en concepto de compensación por copia privada. La STJCE en el caso Padawan anula la aplicación indiscriminada del “canon” a empresas y profesionales. Considera el Tribunal que un sistema de compensación equitativa por copia privada sólo es compatible con la normativa comunitaria:

en caso de que los equipos, aparatos y soportes de reproducción en cuestión puedan utilizarse para realizar copias privadas y, por lo tanto, puedan causar un perjuicio a los autores de obras protegidas.

(…) Por consiguiente, la aplicación indiscriminada del canon en relación con todo tipo de equipos, aparatos y soportes de reproducción digital, incluido el supuesto de que éstos sean adquiridos por personas distintas de las personas físicas para fines manifiestamente ajenos a la copia privada, no resulta conforme con la directiva“.

Fotocopias Universidad

Servicio de reprografía de una universidad cualquiera. Foto por J2daM.

El sistema que se implementó en España gravaba en función directamente proporcional a la capacidad de copia de la máquina. ¿Quién creéis que compra máquinas con mayor número de copias por minuto, los particulares o las empresas y profesionales? De momento parece que están salvando los muebles tras la última reforma aberración jurídica que carga la compensación por copia privada a los presupuestos generales del Estado. Hablaremos más a fondo sobre este despropósito en futuras entradas, al tratar el concepto de copia privada.

Por desgracia para CEDRO, la jugada no sólo era la única que le quedaba, sino que tiene sus riesgos. Es más que probable que se cuestione la justificación que hay tras las pretensiones recaudatorias de la entidad de gestión. En palabras de Javier de la Cueva, el abogado que ha asesorado a la CRUE estos meses, las universidades “ya desembolsan cada año 130 millones de euros en concepto de suministros de documentación (…) y ahí entran los derechos de autor”.

CEDRO, al ser la única entidad de gestión de su sector, es la única competente para recaudar el “canon” generado por las copias privadas (es un derecho meramente remuneratorio de gestión colectiva obligatoria). El repertorio que controla a este fin se extiende a la práctica totalidad de las obras impresas (art. 4 de los estatutos de CEDRO). Sin embargo, según de la Cueva, las universidades “cuentan con 100.000 autores [los profesores universitarios] que no perciben dinero por sus publicaciones académicas, mientras que Cedro solo tiene 18.000 autores. (…) No se conoce el caso de un solo autor que haya cobrado de las reproducciones de artículos universitarios que se pagan a Cedro”.

Aunque CEDRO defienda que en las universidades se copian libros de todo tipo en la misma proporción, no puedo estar de acuerdo. Tanto de mi experiencia personal, como de la de los docentes con los que he hablado, extraigo que la mayoría de las obras reproducidas en las universidades son artículos y manuales escritos, precisamente, por profesores de universidad.

Por último, CEDRO podría llegar a tener otro motivo de preocupación. Los criterios de reparto de lo recaudado por copia privada los fija la propia CEDRO, en función de un estudio estadístico también elaborado por ella. No sería la primera vez que una entidad de gestión recauda según sus propios criterios, proclama sin cesar su transparencia, supera las auditorías de cuentas solicitadas por el Ministerio de Cultura (art. 159 LPI), y luego pasa lo que pasa

Condenado por acceder y manipular la cuenta de Tuenti de una amiga

Logo de TuentiA finales del mes pasado, un joven fue condenado por el Juzgado de lo Penal número 2 de Pamplona a una pena de 6 meses de prisión y a pagar una multa de 1.080 euros como autor de un delito de revelación de secretos. El sujeto en cuestión accedió sin consentimiento a las cuentas de Tuenti y de correo electrónico de una conocida. No contento con ello, cambió la configuración de privacidad (de “sólo amigos” a “todo Tuenti”), colgó fotos de mujeres desnudas y cambió las claves de acceso para que la titular no pudiese entrar.

La pena solicitada por el Ministerio Fiscal era de 18 meses de cárcel más 6.000 € de multa, quedando rebajada por conformidad a la señalada en el párrafo anterior. La conformidad está regulada en el art. 801 LECrim., y permite al acusado reducir su condena a cambio de admitir los hechos imputados, aceptar la pena más grave solicitada por el Ministerio Fiscal o la acusación particular, y asumir las eventuales responsabilidades civiles. Si se trata de su primera condena, al ser esta menor a 2 años de cárcel no ingresará en prisión.

El delito de revelación de secretos está contemplado en los arts. 197 y siguientes del Código Penal:

1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.

2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

Este delito deriva del derecho a la intimidad personal y familiar recogido en el art. 18 de la Constitución. Para generar responsabilidad penal basta con el hecho de descubrir los secretos de otra persona, o de interceptar sus comunicaciones, ambos sin consentimiento. No es necesario, por tanto, que la información se haga pública para que haya delito. El delito se agrava cuando el infractor tuvo relación con el secreto como consecuencia de su profesión u oficio (médicos, abogados, sacerdotes…).

No sé cómo consiguió este chico la contraseña, pero en general es algo más fácil de lo que parece. Averiguar una clave depende de dos factores: la habilidad del “cazador” y el descuido de la “presa”. Cuanto mayor sea el primero, menos necesario será el segundo, y viceversa. Personalmente, por lo que veo a mi alrededor tengo la impresión de que la gente es excesivamente descuidada con sus claves, hasta que ya es demasiado tarde. Yo tengo un truco infalible: uso siempre la palabra “incorrecta”. Así no tengo que acordarme más que de una palabra y, si la olvido o me equivoco, la propia página me ayuda diciendo: “su contraseña es incorrecta”. Bromas aparte, no podemos evitar que haya ataques contra nuestras cuentas, pero sí podemos tomar precauciones para que sean mucho más seguras:

  • Crea una contraseña larga: ocho caracteres como mínimo. Asimismo emplea todo tipo de caracteres (mayúsculas, minúsculas, números y símbolos), y acuérdate de cambiarla con un mínimo de frecuencia (por lo menos, dos veces al año).
  • No uses palabras completas ni otras combinaciones “evidentes”: nada de nombres de la página, de usuario, tu nombre real o el de tu mascota. También hay que evitar cumpleaños, aniversarios, números de teléfono, DNI…
  • Nunca utilices la misma contraseña para más de un sitio web: no todas las páginas guardan las contraseñas con el mismo celo, y te expones a que caigan todas tus cuentas en cuanto alguien averigüe la de una.
  • Si ves que se te acumulan las claves, puedes usar un gestor de contraseñas. Hay varios programas y servicios que almacenan los nombres de usuario y claves de los distintos sitios web, y tú sólo tienes que recordar la clave maestra del gestor.
  • Desconfía de los mensajes y correos que te pidan la contraseña. Aunque parezcan legítimos, ni Hacienda, ni tu banco, ni nadie con un mínimo de seguridad va a pedirte la clave por correo electrónico.
  • Toma precauciones en lugares y ordenadores públicos: procura que nadie te mire por encima del hombro, y acuérdate de cerrar sesión cuando uses un ordenador ajeno; en este último caso, si además de no cerrar sesión le das a “guardar contraseña” en el navegador, el que venga después tiene mi beneplácito para entrar y causar los estragos que estime oportunos.
  • No reveles jamás tu contraseña a nadie; ni a tu familia, ni a tu pareja ni a tus amigos, por muy buenos que sean. Que otra persona conozca tus claves no es una demostración de confianza, es una estupidez. Si por cualquier motivo necesitas que alguien acceda a alguna de tus cuentas, cambia la contraseña en cuanto puedas. En caso contrario te expones a que la revelen por accidente, a que entren por curiosidad o a que se hagan con ella si por os enemistáis en el futuro.
Concierto de David Bisbal en Almería (2009)

David Bisbal en concierto. Foto de J. A. Blaya

Llegados a este punto, más de uno pensaréis: “Sí, suena bastante razonable; supongo que debería hacerlo, pero me da mucha pereza. Después de todo, y aunque me conozcan, ¿quién va a ser capaz de averiguar mi contraseña si no se la digo?”. David Bisbal, por poner un ejemplo, ya tiene su respuesta.

En mi modesta opinión, es mejor tomarse estas ligeras molestias a tener que lamentar la pérdida de todo lo que conserváis en el correo electrónico, Tuenti, Facebook, Twitter… y eso en el mejor de los casos. Por último, os recomiendo que echéis un vistazo al ranking de las 25 peores contraseñas de internet en 2011. Aunque las palabras sean inglesas, creo que se capta la idea.