Biometria

Articulo publicado en Computing sobre Biometria y protección de datos.


Artículo

Conferencia en ESADE Madrid sobre riesgos jurídicos 2.0

La creación de perfiles no autorizados, entre los principales riesgos jurídicos 2.0, según BDO Abogados

REDES SOCIALES: ESTRATEGIAS DE NEGOCIO Y RIESGOS JURÍDICOS

Conferencia en ESADECREAPOLIS sobre estrategias de negocio y riesgos jurídicos en las redes sociales

MODIFICACIÓN DE LA LSSI: COMUNICACIONES COMERCIALES Y COOKIES

Ayer entró en vigor la modificación de la LSSI (Ley 34/2002 de 11 de julio de servicios de la sociedad de la información y de comercio electrónico) concretamente los artículos 20, 21 y 22  con la finalidad de trasponer la denominada Directiva e-Privacy (Directiva 2009/136/CE).

Al igual que España, un gran número de países ha incumplido el plazo impuesto por la Directiva para ser incorporada a las normativas nacionales, y que finalizaba el mes de mayo de 2011. La principal novedad es la exigencia del consentimiento del usuario para la instalación de cookies en sus dispositivos. Su aplicación en la práctica está  resultando de lo más difícil y en países como el Reino Unido se han otorgado plazos generosos para que los responsables de los sitios web puedan adaptarse.

Desde el punto de vista del regulador europeo el mensaje es claro, el consentimiento previo es un requisito fundamental, y así lo ha dejado claro en varias ocasiones a través del grupo de trabajo del art. 29.  Algunos intentos de suavizar esta exigencia a través de mecanismos que informen al usuario con posterioridad a la instalación, no han sido de su agrado, y así, casos como el código de buenas prácticas presentado por el European Advertising Standards Alliance (EASA) y la IAB para el behavioural advertising o publicidad basada en el comportamiento, no han contado con su aprobación.

En realidad, esta regulación supone un choque frontal con todos aquellos modelos de negocio en internet basados en la publicidad online, es decir prácticamente toda la industria. Sus detractores critican, por ejemplo, que impedirá el desarrollo del comercio electrónico en Europa a diferencia de EEUU y también que afectará la usabilidad de los sitios web. Por el contrario, para el usuario supondrá la oportunidad de conocer quien está monitorizando su navegación y en su caso aceptarlo. Garantizar la privacidad y el control del usuario de sus datos frente a unas prácticas cada vez más invasivas en la privacidad, son los objetivos de esta Directiva así como el del nuevo marco regulador de la protección de datos presentado en marzo por la Comisión Europea. Si a esto añadimos, el revuelo que está causado en Europa la modificación de las políticas de privacidad de Google o la auditoria de protección de datos a la que se ha visto sometida Facebook en Irlanda, parece llevar a la conclusión que el tema va en serio y que la protección a la privacidad tendrá que ser un elemento estratégico para cualquier empresa. 

Entrando en la valoración de las modificaciones sufridas en la LSSI podemos destacar lo siguiente:

En cuanto a las comunicaciones comerciales:

-       En el envío de comunicaciones comerciales no se podrá disimular y/ocultar  la identidad del anunciante.

-       Tampoco se podrán incitar a los destinatarios a visitar páginas de internet sin identificar la comunicación como publicidad e identificar la persona física jurídica que la realiza.

-       También se añade la exigencia de incluir una dirección electrónica valida donde se pueda ejercitar el derecho a no recibir comunicaciones comerciales.

-       El destinatario puede revocar el consentimiento a recibir comunicaciones electrónicas con la simple notificación de su voluntad al remitente.

-       Si las comunicaciones se hacen por correo electrónico, deberá incluirse  una dirección electrónica válida donde pueda ejercitarse este derecho.

-       Quedará prohibido el envío de comunicaciones si no se incluye está dirección.

-       Deberá incluirse información accesible  sobre estos procedimientos.

En cuanto a las cookies:

-        En cuanto a la instalación de dispositivos de almacenamiento y recuperación de datos en equipos terminales de los usuarios, se podrá realizar a condición de que se haya dado el consentimiento después de que les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos podrá, con arreglo a la LOPD.

-        Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquel deberá proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

-        Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al sólo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas en la medida que resulte estrictamente necesario para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

A priori, podemos concluir que es una regulación ambiciosa, decididamente en defensa de los intereses de los internautas pero que puede acabar en nada si no se establecen controles para garantizar su cumplimiento sobre todo a los grandes de la industria. De nada servirá si finalmente se acaba traduciendo en un párrafo más en la política de privacidad de una web. No es la lectura que parece extraerse de lo previsto en la Directiva y en la modificación de la LSSI pero deberá pasar cierto tiempo para ver realmente las consecuencias.

En cualquier caso, la recomendación sería realizar una revisión de los sitios web identificando las cookies utilizadas y ver que opciones pueden adoptarse para cumplir con la Ley.

Marcas, nombres de dominio y Facebook

La usurpación de nombres de dominio ha sido desde los comienzos de Internet una materia de gran preocupación para las empresas y grandes marcas que veían como, de una forma fácil, cualquiera podía adquirir dominios idénticos o similares a los suyos. El problema posterior no era sólo las sumas de dinero que tenían que pagar para poder recupéralos, sino también el coste en imagen que ello les suponía por cuanto muchos de estos dominios contenían páginas Web pornográficas y de otro tipo de contenidos que poco o nada tenían que ver con su actividad. De igual forma, no solo las empresas se han visto privadas de sus dominios, también celebridades y personajes públicos han tenido que ver como sus nombres eran “ciber ocupados”.

En la actualidad se está produciendo una nueva modalidad de usurpación o utilización no autorizada de nombres de personajes y marcas a través de las redes sociales mediante la creación de páginas, por ejemplo en Facebook, dedicadas a un personaje o marca en concreto.

Actualmente la mayoría de los  conflictos entre nombres de dominio genéricos (.com, net,), se resuelven a través del sistema de resolución de conflictos de la Organización Mundial de la  Propiedad Intelectual (OMPI) regulado en la Política Uniforme para la Resolución de Controversias en materia de nombres de dominio aprobado por el organismo encargado de la asignación de los nombres de dominio  (ICANN).  Respecto a los dominios: “.es”, también es posible recurrir al sistema de la OMPI, si bien también existen otros proveedores autorizados para la resolución de conflictos como el Consejo Superior de Cámaras de Comercio. El procedimiento, para los dominios .es, está regulado en el Reglamento de resolución extrajudicial de conflictos, aprobado el 7 de noviembre de 2005.

En ambos  supuestos, el procedimiento es rápido, relativamente poco costoso y básicamente, consiste en acreditar que:

1.        En primer lugar, el nombre de domino ha de ser idéntico o similar hasta el punto de crear confusión con respecto a una marca de productos o de servicios sobre la que el demandante tiene derechos.

2.        El demandado no ha de tener derechos o intereses legítimos respecto del nombre o de los nombres de dominio.

3.        El nombre o los nombres de dominio han sido registrados y se utilizan de mala fe.

Un panel de expertos se encarga de decidir en base a las pruebas presentadas por el demandante si procede no reasignar el nombre de dominio, siendo fundamental acreditar los tres puntos indicados anteriormente.

Atención especial merece el primero de los requisitos ya que es importante disponer de una marca o nombre comercial registrado previamente. En caso contrario deberá acreditarse la notoriedad de la marca en el mercado. En el supuesto de personajes famosos, deportistas profesionales, actores etc, deberá coincidir además,  el nombre de dominio con el nombre utilizado en el ámbito profesional en el cual sean conocidos. Casos como los de la actriz Julia Roberts o el futbolista Ronaldinho, son claros ejemplos de celebridades que han tenido que recurrir a la mediación de la OMPI  para recuperar su dominio. La notoriedad de ambos en sus respectivos ámbitos era suficiente para acreditar los derechos previos. En los casos en los que se aplique la normativa española, además de la normativa de marcas, la Ley Orgánica de Derecho al Honor, Intimidad, y Propia imagen otorga a los nombres de personas protección frente a la usurpación de la identidad en Internet.

Por otra parte, este riesgo de usurpación se está trasladando asimismo a las redes sociales convirtiéndose en una fuente de conflicto y de riesgo para las empresas, motivada por la facilidad con la que pueden crearse páginas, por ejemplo en Facebook, con el nombre de una marca, empresa o personaje famoso. Esta situación puede producir un perjuicio grave en la imagen y reputación por cuanto los contenidos generados, opiniones quedan directamente asociados a la marca y escapan al control “editorial” de la empresa. Por otra parte genera confusión entre los internautas e implica el desvío de usuarios a páginas no oficiales en Facebook que en su caso se pudiesen crear.

Internamente  Facebook dispone de mecanismos de denuncia que permite a quien se considere perjudicado en sus derechos de propiedad industrial e intelectual iniciar un procedimiento para eliminar la página en cuestión.

En sentido contrario, en ocasiones, estas páginas albergan verdaderas comunidades de usuarios, activas y bien administradas que pueden constituir una oportunidad para las empresas como “laboratorios” de opinión de sus productos o servicios. Llegar a acuerdos de colaboración con sus administradores puede constituir también una solución beneficiosa para las empresas.

Sin embargo la facilidad y rapidez con la que estas proliferan está obligando a las empresas a ampliar sus servicios de vigilancia de marcas tradicionales para que detecten y defiendan sus intereses en las redes sociales y en general en Internet.

Cambios en la normativa europea de protección de datos

El pasado 25 de enero la Comisión Europea presentó una propuesta de regulación de la protección de datos personales que modificará sustancialmente el panorama normativo sobre esta materia.

El aumento en el uso de Internet, la obsolencia de la Directiva actual, la fragmentación normativa existente en Europa, la necesidad de reforzar la protección del ciudadano, así como la reducción de las cargas administrativas que suponen para empresas y organizaciones la aplicación de la normativa son las principales causas que han motivado este profundo cambio.

El objetivo por tanto se centra en la aprobación de una normativa que resulte directamente aplicable a todos los países miembros, sin tener que pasar por una trasposición como en el caso de las Directivas, tal y como se produce en la situación actual, y que ha dado lugar a la existencia de 27 normas nacionales de protección de datos. Normativas diferentes en muchos casos en su desarrollo, complejas y de muy difícil aplicación en tratamientos realizados por grupos de empresa con presencia en diferentes países de la Unión.

Las cargas administrativas derivadas de las obligaciones de notificación de ficheros, la autorización para transferencias internacionales de datos, sin olvidar, la odisea administrativa que supone la aprobación de las denominadas “binding corporate rules” que en su origen pretendía facilitar la transferencia de datos entre grupos de empresa multinacionales, se eliminan o bien se limitan para determinados casos especiales.

Los derechos de los ciudadanos, y en particular su reforzamiento frente al desarrollo tecnológico, constituye también un elemento importante en el nuevo marco regulatorio.  Esta aspiración se traduce en la incorporación de nuevos principios como el de transparencia, “privacy by design”, “derecho al olvido” o “portabilidad”. Principios muy ligados a contrarrestar el poder de la tecnología y negocios relacionados con internet: buscadores, redes sociales, redes de publicidad, etc cuyo modelo de negocio está basado en la explotación de información personal. Una muestra de esta preocupación ya se vió plasmada en la modificación de la denominada Directiva Cookie, que obliga a obtener el consentimiento previo del usuario antes de introducir cookies en su equipo. Directiva no transpuesta en la mayoría de los países miembros de la UE y cuya aplicación está resultando más que conflictiva.

Ambicioso y de muy difícil aplicación resulta el principio del derecho al olvido sobre todo en información publicada en Internet, cuyo control por parte del responsable una vez colgado en la red resulta del todo imposible. Si gigantes como Google o Facebook no cumplen en la actualidad con la Directiva Europea, que son los que indexan y comparten la información, las empresas poco podrán hacer en este sentido.

El consentimiento, piedra angular del derecho a la protección de datos, también queda retocado añadiendo, por ejemplo, el carácter explícito a los requisitos que ha de reunir para otorgarle validez, eliminado otras opciones como el consentimiento tácito. Queda reconocido asimismo en la propuesta el carácter  especial del consentimiento otorgado en el entorno laboral otorgándole una legitimación limitada para determinados tratamientos de datos.

Las empresas y entidades que traten datos personales deberán por su parte adoptar medidas para asegurar y demostrar el cumplimiento de la normativa, estableciendo las políticas, controles y formación necesarias, haciendo accesibles a los sujetos las políticas de protección de datos. También deberán implantar medidas de seguridad adecuadas a la tipología de datos tratados. Respecto a ¿cómo? y ¿qué medidas?, y esto es una tónica en el redactado de la propuesta, se prevé un desarrollo separado para determinar el alcance de las mismas. Algunos términos como; estado de la técnica o coste económico van a permitir adaptar las medidas a la estructura de las empresas. Destacable además la obligación de notificar las violaciones de seguridad (Data Breach) a las agencias supervisoras en menos de 24 h y la posibilidad de comunicarlo también a los sujetos afectados.

Se crea asimismo la figura del “Data Privacy Officer”, de implantación obligatoria en el sector público y en empresas de más de 250 trabajadores. Deberá  ser experto en derecho de protección de datos y sus funciones detalladas quedan concretadas en la supervisión y cumplimiento de la regulación. Tendrá que comunicarse su identidad a la autoridad supervisora.

El sistema sancionador previsto intenta evitar que a las grandes compañías les compense  incumplir con la normativa y por ello se establecen multas en función del porcentaje del volumen de negocio, hasta el 5% en algunos casos.  Poco afortunado, en mi opinión, resulta el derecho que se reconoce a los sujetos a recibir una compensación por la entidad responsable en caso de infracción, si ya con la normativa actual se utiliza habitualmente como instrumento de amenaza, generar una expectativa económica supone abrir una puerta peligrosa.

En el supuesto de grupos de empresa con presencia en varios países miembros, la autoridad supervisora competente, será aquella donde se ubique el establecimiento principal. Con esta medida se prentende designar un único interlocutor. Las demás autoridades supervisoras deberán cooperar con aquella en las acciones que realice de control del cumplimiento de la regulación.

En definitiva nos encontramos ante una reforma ambiciosa en su alcance, con cambios importantes que afectaran a la forma no ya de cumplir sino de gestionar el cumplimiento de la normativa de protección de datos. Prueba del alcance y la importancia de la reforma es, como ha dicho la propia Comisaria Vivianne Reding la presión absolutamente feroz que han ejercido por parte de lobbies durante diseño de la misma.

ROBO DE IDENTIDAD 2.0

¿Qué es el robo de identidad?

El robo de identidad o suplantación de identidad ocurre básicamente cuando una persona obtiene, transfiere, posee o utiliza información personal de un individuo de forma no autorizada generalmente con la intención de cometer un fraude, conductas ofensivas o cualquier otro delito. (Concepto definido por la OCDE en “Scoping Paper on Online Identity Theft”, 2008)

¿En qué áreas ocurre más?

En la actualidad el robo de identidad es uno de los ilícitos de más rápido crecimiento, particularmente ahora con el desarrollo de las nuevas tecnologías y el posicionamiento de las redes sociales como herramienta de comunicación.

Este tipo de actuaciones  tienen una finalidad económica y por tanto la mayoría de las actuaciones tienen relación con la obtención fraudulenta de datos de cuentas bancarias, tarjetas de crédito, etc.

El phising es uno de los sistemas que se utilizan para cometer este tipo de acciones:  un usuario recibe un mensaje de correo electrónico que supuestamente proviene de una fuente de confianza; por ejemplo: como un banco, una compañía de tarjeta de crédito o la empresa a la que se encuentra afiliado el usuario/consumidor.  En el mensaje de correo electrónico usualmente se pone un link que redirecciona al afectado a un sitio web fraudulento, donde se les pide que faciliten sus datos personales, desde nombre, apellidos, números de cuenta, contraseñas, etc.

Las Redes Sociales también están facilitando la aparición de nuevas casuísticas,   el individuo que por motivos varios quiere perjudicar la reputación de una persona y crea un perfil en cualquier red social haciéndose pasar por esa persona.

¿Se tipifica el robo de identidad como delito en España?

En España no existe una regulación específica concretamente referida a suplantación o robo de identidad. No obstante, este tipo de prácticas se circunscriben en la jurisdicción penal como delito de usurpación del estado civil del artículo 401 del Código Penal Español (Ley Orgánica 10/1995, de 23 de noviembre).

La conducta típica consiste pues en "usurpar", siendo el objeto de usurpación el estado civil de otro. El concepto de usurpación lo define claramente el Tribunal Supremo en su sentencia STS 15.12.1982 debiendo entenderse como “el acto de quitar a uno lo suyo, arrogarse la dignidad, empleo u oficio de otro, esto es, fingir su personalidad para usar de los derechos que le pertenecen". Por estado civil debe entenderse el conjunto de condiciones que configuran la personalidad de un individuo. Por lo tanto, la usurpación vinculado al estado civil consiste en fingir ser una determinada persona para hacer uso de sus derechos, su filiación, su paternidad, sus derechos conyugales o cualquier otra condición de su estado civil con el ánimo de sustituirla, siendo, en definitiva, la falsedad aplicada a la persona (STS 23-5-1986 ). En el caso concreto del ilícito de usurpación del estado civil es necesario considerar que no resulta suficiente para la existencia del delito el mero hecho de atribuirse una personalidad ajena con el nombre de otro para realizar un acto concreto, sino que es preciso que la suplantación se efectúe con el propósito de hacer uso de los derechos y acciones de la personalidad suplantada o sustituida.

Por otro lado, resulta relevante destacar que dependiendo de las características particulares en que se haya desarrollado la conducta, los hechos podrían derivar en otros actos constitutivos de delito bajo la legislación española. Tal es el caso de los delitos contra el honor: la calumnia (art. 206 Código Penal) consistente en la imputación de un delito a otro con conocimiento de su falsedad y la injuria (art. 208 Código Penal) definida como acciones o expresiones que lesionan la dignidad de otra persona. Asimismo, dentro de la regulación específica del Libro III de nuestro Código Penal relativo a las Faltas contra las Personas, encontramos que dependiendo de las acciones que estructuren la conducta el supuesto podría considerarse como faltas por injurias, vejaciones o insultos de carácter leve  siempre que, que bajo el citado Código, no sean constitutivas de delito. (art. 620 Código Penal)

Asimismo, La Agencia Española de Protección de Datos (AEPD) ha tenido también injerencia en estos temas y ha  dictado resoluciones por la que se acuerda imponer a usuarios de redes sociales multas por suplantar la identidad de terceros también usuarios de una red social, sobre la base de que quien realiza el acto de suplantación efectúa un tratamiento de datos de carácter personal sin el consentimiento del tercero afectado (art. 5 y 6 LOPD)

¿En qué ocasiones se considera robo de identidad y en cuales no?

Para dejar claro este punto, he de referirme en primer lugar al alcance del delito de usurpación del estado civil.  Es preciso tener en cuenta que al no contar con una regulación concreta en materia de robo de identidad ni del contexto en que se puede llevar a cabo, no existe un criterio uniforme sobre cuándo se puede considerar robo de identidad y cuando no de tal manera que pueda ser sancionable.

No obstante, existen varias sentencias de Tribunal Supremo en cuanto a la interpretación del tipo de usurpación del estado civil.  En este sentido, el Tribunal Supremo establece que no basta un uso continuado y prolongado del nombre ajeno para integrar el delito de usurpación de estado civil y, mucho menos, un uso para un acto concreto. Para que se configure el delito de usurpación es necesario la permanencia, consistente en que la usurpación alcance a la totalidad de las facetas que integran la identidad humana, de modo que el suplantador se haga pasar por el suplantado a todos los efectos, como si de tal persona se tratara. En consecuencia, no se dará el delito de usurpación cuando una persona asume la identidad ajena solo para la realización de una serie de actos concretos y determinados. Es determinante que la suplantación de la identidad sea total y absoluta para todos los efectos que integran dicha identidad o estado civil, de forma que actúe el sujeto activo del delito como si de esta persona se tratare.

Por otro lado, tenemos que en el escenario de las redes sociales suelen darse casos de registros de perfiles falsos que no implican el uso de datos o fotografías de terceros; perfiles ficticios o de parodia. Estos casos no quedarían encuadrados dentro del tipo penal de usurpación del estado civil, pero si que podrían tratarse de otras acciones tipificadas en el código penal: injurias, calumnias, falsedad, infracciones relativas al honor, imagen, etc.

Recomendaciones para evitar el robo de identidad.

Hemos de partir de  dos premisas:  (i) la seguridad absoluta no existe y  (ii) los “malos” van siempre delante de los “buenos”.

Por consiguiente desde el punto de vista de los actores que operan en internet y con las nuevas tecnologías, no queda otra que apostar cada vez más por la seguridad.  Ya no solo las entidades financieras, sino también las redes sociales,  tiendas on line, etc.

Por otra parte, el usuario es el que tiene que  aumentar su nivel de diligencia para evitar las consecuencias nefastas que supone la suplantación de la identidad.  Conexiones a web seguras,  utilizar contraseñas seguras,  ser prudentes en la información que se publica en las redes sociales,  aplicar medidas de seguridad básicas a nuestros equipos: antivirus, contraseñas, etc.