jueves, 7 de agosto de 2014

Las comunicaciones del trabajador son secretas, salvo resolución judicial

En la relación laboral la jurisprudencia había venido entendiendo, en particular la de los juzgados de lo social, que el trabajador tenía un espacio de cierta privacidad, o expectativa razonable de privacidad, en el uso de equipos informáticos y que era requisito imprescindible para poder romper esa expectativa el que se informase adecuadamente de que el uso del equipo podía ser monitorizado.

Esa monitorización (incluso por videovigilancia y lo que "sorprende" al profesor Alfaro) suele incluir todo lo que pasa por el ordenador, las páginas que se visitan, logs de conversaciones, etc.

Todo esto había sido avalado en todas las instancias y hasta por el Tribunal Constitucional, por lo que puede decirse que la situación es "pacífica".

Sin embargo, ahora el Tribunal Supremo, en una sentencia del orden penal, viene a añadir un elemento de importancia que puede modificar como por parte de las empresas se lidia con esa situación. Se trata de la sentencia de 16 de junio de 2014 (pdf) por la que se resuelve un recurso por la condena a un trabajador por  varios delitos.

Uno de los argumentos del recurso era que se había accedido a la información contenida en el ordenador sin intervención judicial. Sin embargo, según la sentencia de la Audiencia Provincial:
"No consta que se haya examinado ningún tipo de programa de correo
electrónico privado, y tampoco consta que se haya examinado ningún tipo de programa o archivos temporales que supusiera injerir, intervenir o desvelar algún tipo de comunicación privada y confidencial de don (sic) Rodolfo"
Por lo tanto, no procedía analizar ese motivo. Sin embargo, parece que el Tribunal Supremo tenía ganas de entrar en esta materia, lo hizo también la Audiencia Provincial, para "dejar" su marca en esta cuestión del acceso a ordenadores de los trabajadores y analiza, con el ánimo de "fijar una clara doctrina en materia de tanta trascendencia" en relación a la falta de confidencialidad o secreto del ordenador.

Así, tras enumerar el tratamiento de la cuestión en el orden social dice:
"Criterios contenidos en esas Resoluciones y que no desconocemos que han sido posteriormente avalados por el propio Tribunal Constitucional, en Sentencias como las de 17 de Diciembre de 2012 y 7 de Octubre de 2013, que, a nuestro juicio, han de quedar restringidos al ámbito de la Jurisdicción laboral, ante el que obviamente nuestra actitud no puede ser otra más que la de un absoluto respeto, máxime cuando cuentan con la confirmación constitucional a la que acabamos de referirnos, pero que, en modo alguno, procede que se extiendan al enjuiciamiento penal, por mucho que en éste la gravedad de los hechos que son su objeto, delitos que en ocasiones incluso constituyen infracciones de una importante relevancia, supere la de las infracciones laborales a partir de las que, ante su posible existencia, se justifica la injerencia en el derecho al secreto delas comunicaciones del sospechoso de cometerlas"
Es decir, que una cosa es el orden social y otra el penal.

La base del fundamento es que lo que el artículo 18.3 de la Constitución dice es que:
"Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial."
Y a ese final de "salvo resolución judicial" es al que se acoge para declarar que no se prevé ningún supuesto adicional ni ninguna tácita renuncia al derecho al secreto de las comunicaciones.

Concluye el Tribunal Supremo declarando que:
"[...] en el ámbito del procedimiento penal, el que a nosotros compete, para que pueda otorgarse valor y eficacia probatoria al resultado de la prueba consistente en la intervención de las comunicaciones protegidas por el derecho consagrado en el artículo 18.3 de la Constitución , resultará siempre necesaria la autorización e intervención judicial, en los términos y con los requisitos y contenidos que tan ampliamente se han venido elaborando en multitud de Resoluciones por esta Sala, a partir del importante Auto de 18 de Junio de 1992 (caso "Naseiro"), cualquiera que fueren las circunstancias o personas, funcionarios policiales, empresarios, etc., que tales injerencias lleven a cabo"

Y finaliza recordando, y es parte esencial en este materia, que dicha exigencia sólo opera en relación a las comunicaciones, pero no respecto de los "datos de tráfico", registro de páginas web o de los mensajes que una vez abiertos forman parte ya de la comunicación.

La lógica es que, al igual que una carta, cuando la abrimos deja de ser comunicación y se convierte en documento. Interpretación esta con la que no termino de estar del todo de acuerdo, pero que es como se viene aplicando uniformemente por los tribunales.

Mis cuestiones vienen por casos como ¿qué sucede con la copia local que yo envío? Es decir, en comunicaciones electrónicas no es como en las postales, de las que deriva esta doctrina, en la que la carta sólo es una y no tiene copias. En este caso, el mensaje que yo envío puede dejar en un log copia de lo enviado, con lo que ¿cuando sabemos que deja de ser comunicación porque ha llegado al receptor?. Puede ser imposible, y puede que en ese mensaje esté la clave para acusar al trabajador puesto que es un mensaje que sale de la empresa.


En resumen, que sigue siendo aplicable lo mismo que se venía haciendo en relación a las normas de control y uso del ordenador en el trabajo, el problema es que muchas veces al revisar el contenido de un ordenador no podemos saber si un correo electrónico ha sido visto o no, o si un log ha llegado al destinatario o no, con lo que todavía estaría en proceso la comunicación y se estaría vulnerando el derecho al secreto de las comunicaciones.

Lo que si quedaría totalmente prohibido para la empresa es la monitorización en tiempo real de los programas de comunicación o aplicaciones de mensajería instantánea, aunque queda en término dudoso la situación de los logs de las mismas.

Si se revisan, porque están en el disco duro, ya sabemos si se han abierto o no (pensemos en un log de un chat en el que hay una conversación con respuestas, sabemos de la lectura que se han leído por las partes) por lo que antes de decidir si se afecta al secreto de las comunicaciones ya lo hemos vulnerado si se hace sin autorización judicial.

Como se ve son muchos los problemas que se pueden plantear con las revisiones de los ordenadores y equipos informáticos que se plantean y que esta sentencia viene a recordar, aunque tampoco se esté llegando a profundizar en todos los aspectos que pueden técnicamente darse.

martes, 5 de agosto de 2014

Google en la encrucijada: ser o no ser (neutral)

Fuente: https://www.flickr.com/photos/evanwondrasek/5112612737
Autor: Ewan Wondrasek
Licencia: CC BY-ND



La noticia de que Google ha denunciado a un usuario por el contenido de varios archivos con pornografía infantil en su correo electrónico, puede tener consecuencias muy importantes y varias repercusiones que afectan a la forma en que la empresa se enfrenta a las obligaciones legales que imponen los estados.

Dejando al margen lo despreciable del delito por el que se detiene el criminal, y que en España ya ha justificado acciones tan cuestionables como que un ordenador se registre por la policía sin orden judicial y los juzgados lo acepten, lo cierto es que la decisión de Google abre muchas vías a nuevas obligaciones.

Aunque se desconoce la tecnología empleada para identificar las imágenes, parece razonable pensar en la existencia de un filtro de imágenes que dé algún tipo de alarma cuando se cumpla cierto patrón.

No creo que haya una persona revisando todos los correos enviados por gmail, pero sí es posible que se revisen ante alarmas que respondan a ciertos parámetros definidos.

También es verdad que al usar los servicios de Google "aceptamos" en sus condiciones que el correo será rastreado por sus algoritmos para la inserción de publicidad.

De hecho, en las políticas específicas de Gmail, ya indican que:

Child Safety

"Google has a zero-tolerance policy against child sexual abuse imagery. If we become aware of such content, we will report it to the appropriate authorities and may take disciplinary action, including termination, against the Google Accounts of those involved."
Es decir, que ya avisan de que si detectan ese tipo de imágenes denunciarán a las autoridades.

En España, las comunicaciones por correo electrónico encajan en las definiciones de la Ley General de Telecomunicaciones, que obliga en su artículo 39 a que los operadores que presten servicios de comunicaciones electrónicas disponibles al público garanticen el secreto de las mismas, debiendo adoptar las medidas técnicas necesarias.

Por lo tanto, estaríamos ante una interceptación de las comunicaciones que, aunque teóricamente consentida por el usuario al aceptar los Términos de Servicio, puede resultar contraria a la ley. Y no olvidemos que los contratos de condiciones generales son de adhesión y los efectos que ello puede tener sobre el alcance del consentimiento prestado.
 
Además de lo anterior, y de las dudas de legalidad en un procedimiento en España en un supuesto similar, esta decisión de Google altera su posición de instrumento neutral que permite exonerarle de responsabilidad en otras cuestiones.

El legislador, consciente de la posición intermedia que ocupan los prestadores de servicios de la sociedad de la información, declara (tanto en la Directiva como en la LSSI) que a menos que se cumplan una serie de requisitos que implican cierto conocimiento de la ilicitud de un acto, los prestadores no pueden ser responsabilizados.

Pero si los prestadores no son neutrales y revisan de alguna manera la información que transmiten estamos ante un supuesto que altera esa regla, abriendo la vía a que se les imponga una obligación mayor de supervisión.

¿Qué impediría que para otros delitos o vulneraciones de derechos se imponga similar obligación? ¿Tiene la empresa derecho a decidir qué delitos persigue y denuncia?

Por lo tanto, Google estaría poniéndose, voluntariamente, en una posición en la que sería exigible que se el impongan mayores obligaciones de vigilancia y control, precisamente contra el que viene siendo su criterio en defensa de otras cuestiones, como la cancelación de enlaces por protección de datos.

Este tipo de acciones ponen a la empresa, precisamente, en la necesidad de elegir si quieren ser o no, neutrales. Y parece que está optando...

miércoles, 23 de julio de 2014

Ahora sí, la reforma de la LPI permite ir a por los usuarios que compartan

Comenté hace más de un año la modificación de la Ley de Enjuiciamiento Civil aprovechando la reforma de la Ley de Propiedad Intelectual para posibilitar el acceso a ciertos datos de identificación de prestadores de servicios que tuviesen relación con infractores.

Aquel era el anteproyecto que se sometió a consulta pública y está en la web del Ministerio (pdf).

En aquel texto sólo se añadía una Diligencia Preliminar al artículo 256 de la LEC, el apartado 10º, dirigida a identificar a prestadores de servicios de la sociedad de la información. Es decir, a que se aportasen los datos de otros prestadores.

En su momento critiqué que eso se hiciese así, puesto que el Ministerio de Industria tiene competencias para sancionar en el caso de que prestadores no se identifiquen y reflexionaba:
¿Qué sentido tiene, por lo tanto, esta modificación que como he dicho ni le sirve a la Sección Segunda ni aporta nada que no se pueda hacer?



Pues a mi juicio sólo hay dos opciones, que sea fruto de una mala técnica legislativa o que sea como meter el pie en la puerta para posteriormente suprimir la referencia a los PSSI y poder incluir a los usuarios, como demandan desde la industria (los casos Promusicae y Hustler son un ejemplo).

En ese texto, vemos dos medidas de Diligencias Preliminares que se añaden, la 10ª y la 11ª. Si bien la primera sigue centrándose en los prestadores de servicios (con menciones expresas a la Ley 25/2007) en la segunda tenemos una redacción expresamente pensada en los meros usuarios:
"11.º Mediante la solicitud, formulada por el titular de un derecho de propiedad intelectual que pretenda ejercitar una acción por infracción del mismo, de que un prestador de servicios de la sociedad de la información aporte los datos necesarios para llevar a cabo la identificación de un usuario de sus servicios, con el que mantengan o hayan mantenido en los últimos doce meses relaciones de prestación de un servicio, sobre el que concurran indicios razonables de que está poniendo a disposición o difundiendo a gran escala, considerando, entre otros, el volumen de obras y prestaciones protegidas no autorizadas, mediante actos que no puedan considerarse realizados por meros consumidores finales de buena fe y sin ánimo de obtención de beneficios económicos o comerciales, de forma directa o indirecta, contenidos, obras o prestaciones objeto de tal derecho sin que se cumplan los requisitos establecidos por la legislación de propiedad intelectual."
Y aquí sí tenemos la evidencia de que se pretende poder ir a por los usuarios, tal y como sospechaba. Es curioso que en el caso anterior se cite como límite los datos protegidos por la Ley de Conservación de Datos (IP, identidad, etc) y en este caso no se diga absolutamente nada sobre este extremo.

"11.º Mediante la solicitud, formulada por el titular de un derecho de propiedad intelectual que pretenda ejercitar una acción por infracción del mismo, de que un prestador de servicios de la sociedad de la información aporte los datos necesarios para llevar a cabo la identificación de un usuario de sus servicios, con el que mantengan o hayan mantenido en los últimos doce meses relaciones de prestación de un servicio, sobre el que concurran indicios razonables de que está poniendo a disposición o difundiendo de forma directa o indirecta, contenidos, obras o prestaciones objeto de tal derecho sin que se cumplan los requisitos establecidos por la legislación de propiedad intelectual, y mediante actos que no puedan considerarse realizados por meros consumidores finales de buena fe y sin ánimo de obtención de beneficios económicos o comerciales, teniendo en cuenta el volumen apreciable de obras y prestaciones protegidas no autorizadas puestas a disposición o difundidas."
Es decir, se cambia el concepto "gran escala" por "teniendo en cuenta el volumen". La razón que el Grupo Parlamentario Socialista alegaba para este cambio era que "gran escala" era un concepto indeterminado, y además:
"Que un Juez determine si un acto se realiza a "gran escala" o no es un juicio propio de un proceso plenario y declarativo, no de un incidente que tiene la única finalidad de obtener hechos, documentos o declaraciones que permitan preparar la demanda."
Razones que son precisamente las mismas que desaconsejan la redacción inicial y que en cualquier caso amplían los supuestos en los que se pretende habilitar que el juzgado obtenga la identidad de usuarios finales. Porque igualmente el juez debe hacer un análisis probatorio de la conducta del usuario antes de adoptar la medida.

Además se plantea la paradoja de que, reuniendo la conducta del usuario los requisitos exigidos, estaríamos ante un delito del artículo 270 del Código Penal, por lo que tendría preferencia esa vía.

En cualquier caso, esta Diligencia puede entrar en un serio conflicto con la Sentencia del 8 de abril de 2014 que anuló la Directiva de Conservación de Datos, en la medida en que la intromisión que supone sólo puede aceptarse para supuestos delictivos graves, no siendo este el caso.

El problema es que esa sería una pelea posterior en los tribunales.

Podría darse la paradoja de que un juzgado de lo penal no admita la identificación del usuario que comparte, por no ser un delito grave y que el titular de derechos consiga la identificación en un proceso civil.

Estamos muy entretenidos con las consecuencias del #canonaede, pero lo cierto es que esto definitivamente abre la puerta a la persecución directa de usuarios. 

martes, 15 de julio de 2014

Sanciones del Ministerio de Industria por no poner toda la información en el aviso legal

Todas las empresas que tienen una página web están obligadas a disponer de cierta información en su aviso legal o similar.

La mayoría de las veces este aviso se elabora por los propios diseñadores web sin contar con asesoramiento especializado. Cuando no directamente se copia de otros sitios. Ya hace años alertaba de ello Javier Prenafeta.

En cualquier caso, hay unas obligaciones mínimas de información que debe contener toda web que sea considerada prestador de servicios de la sociedad de la información y sin las cuales te pueden sancionar.

Así, entre otras, según el artículo 10 de la LSSICE hay que poner:
  • Su nombre o denominación social; su residencia o domicilio o, en su defecto, la dirección de uno de sus establecimientos permanentes en España; su dirección de correo electrónico y cualquier otro dato que permita establecer con él una comunicación directa y efectiva.
  • Los datos de su inscripción en el Registro Mercantil en el que, en su caso, se encuentren inscritos o de aquel otro registro público en el que lo estuvieran para la adquisición de personalidad jurídica o a los solos efectos de publicidad.
  • El número de identificación fiscal que le corresponda.
La falta de la información, como digo es sancionable. Y, de hecho, el Ministerio de Industria está sancionando por ello.

Conocí hace años una sanción porque una empresa sólo ponía como forma de contacto el correo electrónico pero no tenía "otro dato que permita establecer con él una comunicación directa y efectiva". Es decir, que no ponía teléfono o fax ya que el artículo 10 exige "su dirección de correo electrónico y cualquier otro dato" y al no darse ese otro dato, pues se sancionó con 600 euros.

Ahora el caso es que una empresa indica que está inscrita en el Registro Mercantil de La Rioja (por ejemplo) y el Ministerio dice que eso no es suficiente e impone una sanción de 180 euros por:
"no ofrecer información general de forma permanente, fácil, directa y gratuita sobre los datos de su inscripción en el registro correspondiente [...]"
Aunque la resolución (pdf) parece dejar dudas sobre la información proporcionada, en el aviso legal sí que se informaba del registro territorial en que estaba inscrita la empresa, pero no se pusieron los datos de tomo, libro, folio y hoja. 


Es decir, no basta con indicar el registro en el que se inscribe la empresa, hay que señalar los datos concretos de esa inscripción.

En este caso el procedimiento es extraño desde el principio, puesto que no se origina por una denuncia o por orden de un superior, sino por inspección de un funcionario en el mes de agosto. Es decir, que al parecer hay gente en el Ministerio de Industria dedicado a inspeccionar los avisos legales de páginas web  (esta web no es generalista ni su nombre es una palabra del diccionario) para ver si cumplen con los requisitos del artículo 10 de la LSSICE.

Como digo, la infracción consiste en "No informar en la forma prescrita por el artículo 10.1 [...]" y este, como se ha visto, dice los datos de su inscripción en el Registro Mercantil.

La interpretación estricta que se hace para sancionar me parece desproporcionada, puesto que sabiendo la localidad del registro mercantil y el NIF es sencillo acceder al resto de datos. Además de que ningún perjuicio puede ocasionar no conocer el folio en el que consta la inscripción de una empresa.


Es decir, puedo entender que faltando toda referencia al registro mercantil o el CIF, se sancione, ya que sí que son elementos para obtener información de la empresa titular del sitio web, pero ¿el tomo y folio de la inscripción?

Además, la resolución mutila el escrito de alegaciones presentado y falsea el acta puesto que sí se indicaba la localidad del Registro Mercantil correspondiente.

Así que ya sabes, si quieres evitar riesgos de sanciones, evita copiar y pegar los avisos legales de otros e incluye toda la información posible, el Ministerio de Industria ahora investiga, y sanciona, este tipo de cosas.

jueves, 29 de mayo de 2014

¿Redactó Telefónica el régimen sancionador de la Ley de Conservación de Datos?

Con ocasión de la nueva Ley General de Telecomunicaciones se ha "devuelto" a la Ley 25/2007 de Conservación de Datos las conductas que son sancionables administrativamente.

Los cambios producidos son basicamente 3:
  • Aclarar el tiempo en que se debe cumplir el requerimiento. Expresamente 7 días, frente a la referencia anterior de 72 horas en caso de que la orden judicial no dijese nada.
  • Se clarifica que únicamente es sancionable la no conservación o la no disposición de las medidas de seguridad previstas
  • Se elimina el elemento subjetivo de la sanción, al no ser requisito ya "el incumplimiento deliberado" respecto de la conservación como requisito. Ahora la responsabilidad es objetiva. Sí se mantiene para las medidas de seguridad.
Entre las conductas sancionables no figura, ni figuraba, la negativa a entregar los datos al juzgado. Sobre esto había dudas y, de hecho, hay procedimientos sancionadores pendientes ante el Ministerio a día de hoy.

Personalmente me parece acertado que se establezca de esta manera el régimen sancionador. Que cada ley sea completa en sí misma lo máximo posible, sin tener que ir de una a otra para entenderla siempre es positivo.

Al margen de esto, se da en este caso una peculiar situación.

Sucede que parece que quienes han hecho la reforma de la Ley son los que hicieron las alegaciones en un determinado procedimiento sancionador.

En 2011 Telefónica fue sancionada con 100.000 euros por no entregar los datos asociados a un IMEI a un juzgado de Ponteaereas que estaba investigando un delito de robo con fuerza en la cosas (delito menos grave!!).

Al no cumplir el mandamiento, la Dirección General de la Policía y de la Guardia Civil formuló denuncia ante la SETSI el 28 de junio.

Telefónica acabó contestando pero una vez que ya se había iniciado el expediente sancionador, en enero del 2011.

El, ya derogado, artículo 53.o de la antigua LGTel establecía como infracción:
"[...] el incumplimiento deliberado de las obligaciones de conservación de los datos establecidas en la Ley de Conservación de Datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones."
La Policía y la SETSI entendían que la referencia en plural a "obligaciones" incluía la no entrega de los datos, no sólo el no haberlos retenido y por eso esta última sancionó con 100.000 euros.

El recurso de Telefónica, como puede verse en la Sentencia de 17 de marzo de 2014 de la Audiencia Nacional (pdf), contra la sanción se basaba en varios puntos:

- Exigencia de dolo en la conducta, la exigencia de la intencionalidad. Lo que ha desaparecido de que la conducta en la no conservación sea deliberada.

- Que el mandamiento del juzgado no incluía un plazo para ser cumplido y que la tardanza de 8 meses en contestar se debió a que procesan un elevado volumen de mandamientos judiciales. Según aportaron al juzgado 40.243 órdenes de cesión de datos y 18.080 requerimientos de interceptación sólo en 2010.

- Que la conducta consistente en no entregar los datos al juzgado no es sancionable administrativamente.

- Que los datos pedidos tampoco se debían dar pues no se trataba de la persecución de un delito grave. (Sobre esto último parece que la sentencia quiere entrar, pero al final no dice nada claro...)

La Audiencia Nacional resuelve dando la razón a Telefónica y anulando la sanción impuesta por la SETSI, porque reconoce que sí es necesario el elemento subjetivo:
"Se ha de rechazar, por ser claramente contrario a derecho, el criterio expuesto en la resolución de 16 de diciembre de 2011, de que el tipo infractor se integra por el elemento objetivo, no siendo necesaria la concurrencia del elemento subjetivo, pues no solamente ha de concurrir el elemento culpabilístico en cualquier infracción administrativa, sino que en este caso tal elemento se establece en el tipo a título de dolo, ya que no cabe interpretar de otro modo el término "deliberado"
Además, destaca que no es sancionable por la administración la entrega de datos, ya que la conservación y la entrega son dos obligaciones diferentes:
"Es claro que la Ley 25/2007 regula como obligaciones distintas la de conservar determinados datos (los recogidos en el artículo 3 ) y la obligación de ceder dichos datos. Se trata de dos obligaciones de distinto contenido y con regulación específica cada una de ellas, por lo que no puede aceptarse el argumento de la Administración de que el término "conservación" al que hace referencia el artículo 53.o) de la Ley 32/2003 es extensivo a todas las obligaciones establecidas en la Ley 25/2007, concretamente a la de cesión de datos."
Y, por lo tanto, concluye que:
"De todo lo expuesto cabe inferir que, tal como se razona en el escrito de demanda y reitera en el de conclusiones, los hechos que se imputan a la entidad recurrente no tienen encuadre legal en el tipo del artículo 53.o) LGtel. Pues el incumplimiento de lo dispuesto en los artículos 6 y 7 de la Ley 25/2007, arriba citados, no es una conducta tipificada en aquel artículo, siendo de carácter penal las responsabilidades que pueden derivarse de tal conducta."
Pues bien, si apreciamos el texto de la primera versión de la tramitación parlamentaria, de septiembre de 2013,  ya tenemos el texto que luego ha sido definitivo y como es faćil apreciar, las modificaciones se corresponden esencialmente con lo alegado por Telefónica en este procedimiento. ¿Casualidad?

Es cierto que las modificaciones introducidas, como decía, me parecen razonables y lógicas, pero no sé hasta que punto son fruto del análisis de lo que se quiere hacer o simplemente de la acción de una compañía determinada.

Hay que tener en cuenta, además, que el texto de la reforma no ha sufrido modificaciones en el trámite parlamentario, por lo que tuvo que partir del propio Ministerio, que después ha estado instruyendo procedimientos por hechos similares.

Es decir, es una reforma técnica que viene del Ministerio, pero no de los técnicos del Ministerio, porque de lo contrario no tratarían de sancionar por lo mismo con posterioridad, como están haciendo.

Por eso me pregunto, ¿es esta modificación una enmienda "Telefónica"?