2011 12-01 - tu blog cumple la ley - chatosyblogs
TRANSCRIPT
¿TU BLOG CUMPLE LA LEY?
(Charla para el @chatosyblogs 01/12/2011)
Cuando me propusieron hablar sobre “Leyes en la Red”, pensé para mí que eso
sería peor que el “Ulises” de James Joyce. No acabaría nunca. Así que, puesto que esto
es el “Chatos y Blogs” (@chatosyblogs), y aunque sea una parte muy pequeñita de lo
que se conoce como Derecho TIC, me ha parecido mucho más apropiado y provechoso
hablar de ciertas cuestiones legales sobre los blogs.
El Derecho siempre va por detrás de los avances de la sociedad, en cualquier
ámbito, pero en tecnología mucho más. El Derecho TIC se está desarrollando
continuamente, enfrentándose a los retos que para el ordenamiento jurídico supone la
explosión de la web 2.0 y 3.0. De modo que existen infinidad de criterios diferentes,
por parte de la jurisprudencia y doctrina sobre el mejor modo de afrontar legalmente
las situaciones que la tecnología nos plantea (todos los días surgen apasionantes
debates por parte de los escasos compañeros que se dedican a esta materia).
Los blogs no son una excepción, y probablemente donde más problemas se nos
plantea a los profesionales del Derecho, o al menos a mí, es en cuanto a la aplicación
de la normativa sobre protección de datos de carácter personal.
Como un pequeño ejemplo comentar que recientemente la AEPD ha multado a
una mujer (por protección de datos) por crear un perfil falso sobre otra en la red social
Badoo, por incluir, lógicamente, para ello algunos de sus datos personales.
Pero vayamos por partes. He creído conveniente centrarme en tres puntos
básicos para conseguir tener un blog que cumpla con la ley:
1.- Creaciones de terceros
2.- Límites a los contenidos
3.- Protección de datos de carácter personal
1.- CREACIONES DE TERCEROS
Con más frecuencia de la deseada vemos cómo nuestros posts o fotografías son
copiados en su integridad en otros blogs, a veces sin ni siquiera indicar el nombre del
autor. Pues bien, salvo que hayamos concedido licencia al efecto, nuestros textos son
nuestros y sólo nosotros podemos autorizar su uso por terceras personas y el modo en
que se lleve a cabo ese uso.
No es necesario registrar este tipo de creaciones y obtener un copyright sobre
las mismas. Somos los autores y con eso basta para tener todos los derechos sobre las
mismas. Si nada decimos se entiende que no concedemos ninguna licencia de uso.
Pero estamos en la web 2.0 donde uno de los principios básicos consiste en
compartir y a muchos nos gusta que se nos de difusión. Para ello podemos conceder
licencias de uso, que pueden ser muy variadas (te dejo copiar pero tienes que
mencionarme como el autor, o te dejo que uses mi foto pero me mencionas y además
no puedes hacer uso comercial de la misma, o puedes modificarla, etc…). Un buen
sistema son las licencias tipo creative commons, o safe creative, que facilitan la labor,
pero también podéis simplemente redactarlo vosotros mismos en vuestro blog, o a
final de cada post (tipo: “si esta entrada te ha gustado, puedes copiarla, sólo te pido
que no te olvides de mencionarme como su autor”, etc).
El autor de un texto, una fotografía o un dibujo tiene “per se” todos los
derechos sobre dicha obra y es el único que puede autorizar su uso por parte de
otro/s, incluidas por tanto la divulgación o reproducción en un blog.
Por lo tanto, por regla general, debemos contar con el consentimiento previo
del autor para poder incluir en nuestro blog imágenes, textos o vídeos de otros. Es un
error pensar que el hecho de citar al autor y/o la fuente de donde se ha obtenido un
texto o una fotografía nos ampara para incluir tal texto o fotografía en nuestro blog.
Siempre es necesario el consentimiento del autor.
Pero también siempre toda regla general tiene sus excepciones:
1.- Dominio público (Art. 41 LPI): Las obras de dominio público son aquellas que
han sido cedidas por el autor al dominio público o aquellas respecto de las cuales se
han extinguido los derechos de explotación (por regla general por el transcurso de 70
años tras el fallecimiento de su autor, 25 años desde la realización de la fotografía
cuando ésta es considerada mera fotografía y no obra).
Ahora bien, siempre hay que respetar su autoría (indicar el nombre del autor) y
su integridad (no pueden ser objeto de modificación que suponga perjuicio a sus
legítimos intereses o menoscabo a su reputación).
2.- La cita e ilustración de la enseñanza (Art. 32 LPI): Incluir un fragmento de
una obra ajena que, para que sea lícito, requiere:
.- Que la obra original ya haya sido divulgada (publicada por primera vez).
.- Su inclusión se realice a título de cita o para su análisis, comentario o juicio
crítico
.- Se indique la fuente y nombre del autor.
.- Que se haga con fines docentes o de investigación. Este último requisito
limita bastante el derecho de cita y es el que hace que muchas citas que vemos, no ya
solo en Internet, realmente no sean lícitas.
Así que recordad: LA CITA LÍ-CITA
3.- Trabajos sobre temas de actualidad (Art. 33 LPI): Excepción que únicamente
se aplica a los medios de comunicación (trabajos sobre temas de actualidad difundidos
por medios de comunicación, que podrán ser reproducidos, distribuidos y
comunicados públicamente por cualquier otro medio de comunicación citando la
fuente y autor, y con otros ciertos condicionantes –no haya habido reserva de
derechos, remuneración acordada o equitativa-).
Consejos:
a.- Incluir textos, fotografías u otras creaciones que sean originales y en caso de
que incorporéis el de una tercera persona comprobad si ésta ha dado permiso para
ello y en qué condiciones, o, en caso de ser ello posible, solicitádselo.
b.- En cuanto a las imágenes para adornar nuestros posts, acudid a cualquiera
de los bancos de imágenes que hay en Internet (como por ejemplo www.sxc.hu o
www.photoexpress.com) donde sus autores conceden permisos para su utilización,
respetando los requisitos de esos permisos (citar autor, avisarle del uso de su
fotografía, sólo uso no comercial, pago de una mínima cantidad, etc.).
2.- LÍMITES A LOS CONTENIDOS.
¿Podemos incluir cualquier cosa en nuestros blogs? Obviamente no. SIEMPRE
vamos a tener un límite que respetar: En primer lugar el Código Penal, obviamente, es
decir nada de amenazas ni insultos. Pero además debemos respetar el derecho de
terceros a su honor, su intimidad personal y su propia imagen.
Este derecho choca con el derecho a la información y la libertad de expresión, y
ciertamente en ocasiones es difícil saber hasta dónde podemos llegar.
Ha de considerarse siempre escrupulosamente que publicar en nuestro blog
cuestiones relativas a terceras personas que puedan afectar a su derecho al honor a la
intimidad personal y a la propia imagen, debe estar justificado en atención al interés
informativo que pueda tener y a la gratuidad del dato. En caso de duda es conveniente
abstenerse de publicar este tipo de datos.
Dónde está la línea que separa lo uno de lo otro muchas veces es difícil de
determinar. Y aunque existen determinados criterios para valorarlo, tanto el Tribunal
Supremo como el Tribunal Constitucional han reiterado que no se pueden fijar a priori
los límites o fronteras entre el derecho al honor, intimidad personal y propia imagen y
los derechos fundamentales a la libertad de expresión e información. Dichos límites
han de verificarse “a posteriori” en cada caso concreto sometido a enjuiciamiento.
Pero ¡ojo!: no sólo debemos tener cuidado con lo que nosotros escribamos o
incorporemos a nuestros blogs, sino también con los comentarios que hagan terceras
personas o publicaciones que efectúen usuarios autorizados. La ley no nos impone
una obligación de supervisión pero sí cierto deber de diligencia, de modo que, si
concurren determinadas circunstancias, nos pueden llegar a considerar responsables
de tales comentarios.
A grandes rasgos seremos responsables si, considerándosenos prestador de
servicios de alojamiento o almacenamiento de datos, tenemos conocimiento efectivo
de que esos datos incorporados por terceros son ilícitos y no hacemos nada por
retirarlos o bloquearlos.
El Tribunal Supremo, a través de las Sentencias dictadas en tres casos
(“putasgae”, “quejasonline” y “alasbarricadas”) ha venido perfilando el régimen de
responsabilidad de estos prestadores de servicios.
CASO PUTASGAE:
La Asociación de Internautas prestaba a terceros alojamiento de datos a través
de las direcciones www.putasgae.org y www.antisgae.internautas.org y en dichos
foros terceras personas habían dejado numerosos comentarios insultando a la SGAE,
expresiones que atentaban contra el honor de los demandantes.
Pues bien, la Asociación de Internautas negaba su responsabilidad sobre dichos
comentarios alegando que no había tenido “conocimiento efectivo” de los mismos
según la redacción del Art. 16 de la LSSI:
El Art. 16 dice así. “…Se entenderá que el prestador de servicios tiene el
conocimiento efectivo (…) cuando un órgano competente haya declarado la ilicitud de
los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se
hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente
resolución,…”
Hasta aquí la Asociación de Internautas podría tener razón en su argumento,
pero este artículo continúa: “…, sin perjuicio de los procedimientos de detección y
retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y
de otros medios de conocimiento efectivo que pudieran establecerse.”
El TS interpretando de forma conjunta este artículo y la Directiva 2000/31/CE
(que dio lugar a la LSSI) entiende que el “conocimiento efectivo” no es sólo aquel que
se obtenga como consecuencia de una resolución de órgano competente declarando
los datos ilícitos o lesivos, sino también aquel que pueda obtenerse por cualquier otro
medio que conduzca al PSSI a una efectiva aprehensión de la realidad de la que se
trate, es decir a saber que existen esos datos en su sitio y que los mismos son ilícitos.
CASO “QUEJASONLINE”:
Se trata de un foro donde la gente puede dejar sus quejas sobre distintas
empresas. En junio de dos mil cuatro, apareció en esa página, bajo el nombre de un
abogado que trabajaba para la Mutua Madrileña, el siguiente comentario: " Soy
abogado de la Mutua Madrileña y estoy cansado de engañar a la gente, pues la Mutua
me hace retrasar los expedientes con el fin de no pagar, tiene pinta de irse al garete”.
Al parecer alguien se había hecho pasar por tal abogado y había colgado en su
nombre dicho comentario en “quejasonline”. El abogado requirió a la empresa
propietaria del sitio web para que retirara el comentario y además le facilitara los
datos que tuviera del usuario que lo había hecho.
La empresa dueña de “quejasonline” procedió a retirar inmediatamente el
comentario pero le contestó que los datos no se los podía facilitar porque vulneraría la
normativa vigente sobre protección de datos de carácter personal.
El abogado demandó a la propietaria de “quejasonline” y ganó el caso tanto en
primera instancia como en apelación. “Quejasonline” recurrió al Tribunal Supremo y
éste consideró que el titular del foro no pudo saber que el autor del comentario se
estaba haciendo pasar por otra persona, es decir que no tuvo conocimiento efectivo
del hecho ilícito, hasta que el abogado le requirió y que una vez recibido el
requerimiento había actuado con la debida diligencia retirando el comentario. Por lo
tanto le exime de responsabilidad.
CASO “ALASBARRICADAS”:
En el año 2006 se publica en la página www.alasbarricadas.org , en el apartado,
"El Rey del Pollo Frito. Zapatones", ciertas expresiones que atentaban contra el
derecho al honor de Ramoncín, así como una fotografía manipulada (en la que
aparecía con la cabeza cortada).
Ramoncín quiso requerir al titular de la web para que retirara dichos
comentarios y fotografía, pero en toda la web no aparecía ningún dato que identificara
al titular, ni que hiciera posible su localización (salvo un correo electrónico), así que
contrató a unos detectives y éstos le facilitaron el nombre del propietario de la web y
un par de domicilios. Se le enviaron sendos requerimientos a esas direcciones, pero
volvieron devueltas, así que finalmente Ramoncín presentó una demanda contra el
titular de “alasbarricadas.org”.
El dueño de la web alegó que no pudo tener conocimiento efectivo de la ilicitud
de los comentarios hasta que no le fue notificada la demanda, pues nunca antes había
recibido ninguna comunicación informándole de tal cuestión.
Sin embargo el TS, interpretando de forma conjunta los artículos 16 y 10 de la
LSSI, entiende que es responsable porque él mismo imposibilitó los medios para
obtener el “conocimiento efectivo” al no facilitar en su web los datos de identidad y
contacto a que venía obligado de conformidad con el art. 10 LSSI. (Sólo facilitaba una
cuenta de correo electrónico, pero según indica el TS en la sentencia, al acreditarse la
existencia de una intromisión al derecho al honor, la carga de la prueba se invierte y
debió ser el propietario de “alasbarricadas.org” quien demostrara la existencia de
dicho correo y la posibilidad de su uso efectivo).
En resumen, nuestro TS entiende que hay responsabilidad por parte del
prestador de servicios de alojamiento o almacenamiento de datos por los datos
incorporados por terceros, cuando:
.- Dichos datos son ilícitos.
.- Se tiene conocimiento efectivo de los mismos, bien por una resolución de
órgano competente, bien por cualquier otro medio, o bien cuando se imposibilitan los
medios para obtener dicho conocimiento al no facilitar en la web los datos de
identidad y contacto.
.- Y, una vez producido el conocimiento efectivo, no se actúa de forma diligente
retirando dichos datos o bloqueando el acceso a los mismos.
En consecuencia, ante una situación así debemos:
1.- Ponderar, dentro de lo que a una persona lega en Derecho se le puede
exigir, si el comentario o dato introducido por tercera persona en nuestro blog es ilícito
en función del choque entre el derecho al honor, a la intimidad personal y a la propia
imagen y los derechos de información y libertad de expresión.
2.- Actuar diligentemente a).- retirando los datos o bloqueando el acceso a los
mismos si llegamos a la conclusión de que efectivamente son lesivos y por tanto
ilícitos, b).- contestando al afectado requirente (en caso de haberlo) explicando las
razones por las que entendemos que los datos no deben ser retirados en el caso de
que lleguemos a la conclusión contraria.
3.- PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Había una vez una buena señora, la Sra. Lindqvist, que era una humilde
empleada de una parroquia en Suecia, que lo que menos se imaginó en su vida es que
sería análisis de estudio por parte de todos los profesionales relacionados con la
protección de datos de carácter personal.
Esta mujer se apuntó a un curso de informática y como ejercicio del mismo
debía crear una página web. Hizo varias, no una, con información para los feligreses de
la parroquia que se preparaban para la confirmación. Pero en ellas introdujo también
datos de sus 18 compañeros de parroquia: nombres y en algunos casos teléfonos y
también situación familiar (incluso de una compañera señaló que se había lesionado
un pie y se encontraba en situación de baja por enfermedad).
Todo esto lo hizo sin informar previamente a sus compañeros, ni solicitar su
permiso ni por supuesto comunicar dicho tratamiento de datos al organismo sueco
equivalente a nuestra AEPD. Eso sí, en cuanto supo que algunos de sus compañeros no
estaban conformes con ello, lo corrigió.
Pero aun así fue llevada a los tribunales y condenada en primera instancia al
pago de una multa. La Sra. Lindqvist recurrió la sentencia y el Tribunal que debía
conocer del recurso, ante las dudas que le planteaba la interpretación y aplicación a
este supuesto de la Directiva 95/46 sobre protección de datos personales, elevó
consulta al TJUE para saber, entre otras cosas y a los efectos que aquí nos interesan:
1.- Si en estos hechos (incluir ciertos datos de compañeros en una web) hay
tratamiento de datos de carácter personal.
2.- Si, en ese caso, dicho tratamiento está o no exento de que se le aplique la
normativa de protección de datos (en este caso por uso doméstico).
El TJUE respondió:
1. Que sí constituye tratamiento automatizado de datos de carácter personal
(no es necesario que exista fichero o que éste se encuentre estructurado, a
diferencia de los ficheros no automatizados).
2. Que no cabe aplicar la exención de uso doméstico porque tal exención sólo
puede apreciarse a las actividades que se inscriben en el marco de la vida
privada o familiar de los particulares, y este caso excedía de dicho ámbito.
¿Qué os quiero decir con esto? Pues que, siguiendo estos criterios del TJUE
muchos blogs de particulares puede no considerarse como de “uso doméstico”, y por
lo tanto deben cumplir con la normativa sobre protección de datos de carácter
personal.
Por supuesto en este caso, salvo que esté justificado por el derecho de
información y/o libertad de expresión, o hayamos obtenido el consentimiento previo
del titular, y además en los términos que exige la Ley de Protección de Datos, debemos
abstenernos de publicar datos de terceras personas (nombres, teléfonos, correos
electrónicos, imágenes donde resulten identificables, etc.). DATO DE CARÁCTER
PERSONAL: CUALQUIER INFORMACIÓN POR LA QUE UNA PERSONA RESULTE
IDENTIFICADA O IDENTIFICABLE.
Pero además hay una segunda parte, muy controvertida y en la que en absoluto
hay unanimidad entre colegas, sino más bien todo lo contrario, si bien intentaré
explicar (con la mayor claridad que me es posible) el que creo que es el criterio de la
Agencia Española de Protección de Datos.
Si nuestro blog admite suscripciones y comentarios, nos encontramos con un
tratamiento de datos de carácter personal, y ello nos impone el cumplimiento de las
obligaciones que la LOPD exige a los responsables del fichero de datos o cuanto menos
al responsable del tratamiento de tales datos:
A.- Si para nuestro blog utilizamos una de las varias plataformas que existen
que facilitan la infraestructura técnica para ello, como por ejemplo blogger o
wordpress, estas plataformas son considerados los responsables del fichero y
nosotros, blogueros, los responsables del tratamiento de los datos. Como tal
deberemos cumplir con los siguientes deberes:
1.- Información previa: de que sus datos van a ser tratados de forma
automatizada, de la finalidad para la que se recogen los datos, de los destinatarios de
la información, del carácter obligatorio o no de su suministro, y de la identidad y
dirección donde poder ejercitar los derechos de acceso, rectificación, cancelación y
oposición.
2.- Obtener el consentimiento del titular de los datos: que se entiende que se
produce automáticamente puesto que es él mismo quien los facilita.
3.- Calidad de los datos: Han de ser datos exactos y puestos al día, y serán
tratados de forma leal y lícita, sólo para la finalidad para la que han sido recabados
(finalidad sobre la que se ha informado). NO DEBEN SER DATOS EXCESIVOS, de modo
que si para seguir el hilo de los comentarios generados a raíz de una entrada en el blog
sólo se precisa el correo electrónico, no podremos exigir, por ejemplo, la fecha de
nacimiento de quien se suscribe a esa entrada.
4.- Deber de secreto.
5.- Garantizar los denominados derechos ARCO (acceso, rectificación,
cancelación y oposición).
B.- Si además la estructura, la web, de nuestro blog la hemos construido
nosotros, también seremos responsables del fichero, y como tal, además de las
obligaciones anteriores, también deberemos cumplir con:
6.- Dar de alta el fichero en la AEPD, antes de empezar a recabar datos (es
decir, antes de ponerlo en funcionamiento o accesible a terceros),
7.- Adoptar las medidas de seguridad, de índole técnica y organizativa
necesarias que garanticen la seguridad de los datos de carácter personal y eviten su
alteración, pérdida, tratamiento o acceso no autorizado, y que variarán en función del
tipo de datos que se vayan a tratar, pero que, para un blog lo normal es que sean del
tipo básico (crear el documento de seguridad, tener una contraseña que garantice que
no accederán a los datos personas no autorizadas, y crear copias de seguridad- mínimo
1 a la semana-).
Autor: Ruth Benito Martín (Abogada)
Twitter: @ruthbenitoabog