La sentencia dictada el jueves pasado por el Tribunal de Justicia de la UE declara inaplicables el artículo 6.2 de la LOPD y el artículo 10.2.b del Reglamento de la LOPD, en relación a la exigencia de que, para tratar o ceder datos personales sin el consentimiento del interesado, se cumpla el requisito adicional de que dichos datos figuren en fuentes accesibles al público.
Consecuencias inmediatas
Los efectos de esta sentencia en los tratamientos de datos personales que se realicen a partir de ahora son, a mi modo de ver, los siguientes:
- La relación restrictiva de fuentes accesibles al público pierde relevancia.
- Los datos personales podrán ser tratados sin consentimiento del interesado aunque no provengan de fuentes accesibles al público.
- Los únicos requisitos que deberán cumplirse serán: 1) el interés legítimo del responsable del fichero y 2) que no se vulneren los derechos y libertades fundamentales del interesado.
- Ello significa que cualquiera que sea el origen de los datos, incluido Internet, éstos podrán ser objeto de tratamiento y cesión, siempre que se cumplan los dos requisitos comentados y exista un equilibrio entre el interés legítimo y los derechos fundamentales del interesado. Las comunicaciones electrónicas comerciales seguirán precisando el consentimiento expreso del destinatario de las mismas, salvo en el caso de clientes.
- Vuelven a estar dentro de la ley muchos tratamientos que resultan inocuos para la intimidad del interesado y que hasta ahora estaban vedados a las empresas.
- Es recomendable seguir el protocolo que hasta ahora venía aplicándose para asegurar el cumplimiento del deber de información y la no vulneración del derecho a la intimidad, de manera que se pondere el equilibrio entre interés legítimo y derechos fundamentales.
- Se incluirá en este protocolo, entre otras medidas, el filtro de las listas Robinson, el filtro de las cancelaciones recibidas, la ponderación del justo equilibrio de intereses y la información sobre los derechos ARCO en las comunicaciones y en los plazos establecidos para ello.
El Tribunal declara el efecto directo del artículo 7.f en España, debido a una incorrecta trasposición de la misma, por lo que, en mi opinión, no es necesario esperar al pronunciamiento del Tribunal Supremo, que fue el que planteó las dos cuestiones prejudiciales. Por ello, no estoy de acuerdo con el contenido de la nota informativa de la AEPD y pienso que la sentencia puede abrir la posibilidad de que las empresas soliciten la devolución de las sanciones pagadas por determinadas infracciones relacionadas con la falta de consentimiento en las que había equilibrio entre interés legítimo y derechos fundamentales.
Sentencia del Tribunal de Justicia de la UE
El servicio de distribución de agua de Illinois puede haber sido la primera infraestructura crítica norteamericana en sufrir un ciberataque desde el extranjero.
Los atacantes, que presumiblemente habrían utilizado un servidor ubicado en Rusia para acceder al sistema, utilizaron las claves de acceso que previamente habían obtenido de un proveedor relacionado con el sistema de control industrial que permite la automatización y la gestión remota de este tipo de infraestructuras.
El resultado del ataque fue la desactivación de una bomba del servicio de distribución de agua.
El proceso seguido para el ataque se aprovechó, supuestamente, de los eslabones más débiles de la cadena de seguridad siguiendo un plan que podría ser probablemente el siguiente:
1. Identificación de los proveedores que tienen acceso al sistema de control industrial (SCADA) o prestan servicios que exigen tener dicho acceso. A través de cualquier buscador se pueden localizar las páginas web de los proveedores que ofrecen estos servicios o productos.
2. Selección de los proveedores que pueden ser más vulnerables a un acceso no autorizado o a una estrategia de ingeniería social. Algunos indicadores externos pueden ser el haber realizado recientemente un ajuste de plantilla o haber aplicado un severo plan de austeridad presupuestaria (aunque ello no debería afectar teóricamente a la seguridad de sus sistemas).
3. Obtención de las claves de acceso mediante un ataque al sistema del proveedor o un engaño a sus empleados.
4. Selección de un servicio público como vía de acceso al sistema de control industrial por considerar que, al depender del sector público, estará afectado por restricciones presupuestarias y los sistemas de seguridad no estarán actualizados.
5. Acceso al sistema de la infraestructura crítica y obtención de los privilegios necesarios para actuar sobre los controles que permiten gestionar local y remotamente la infraestructura.
De confirmarse las características del ataque, el método utilizado y las vulnerabilidades explotadas por los atacantes, las conclusiones son obvias, y las recomendaciones a los operadores de infraestructuras, también:
1. La seguridad debe estar al margen de cualquier restricción presupuestaria, pública o privada.
2. El control en materia de seguridad debe extenderse a los proveedores, aplicando un estricto sistema de homologación y auditoría continuada.
3. El sistema de control SCADA debe ser objeto de una profunda revisión y actualización continuada en materia de seguridad, si se confirman sus posibles vulnerabilidades en relación al protocolo TCP/IP.
4. Debe acelerarse el desarrollo y la aplicación de los planes de protección de infraestructuras críticas.
5. Los operadores de infraestructuras críticas y sus proveedores deben aplicar normas internas y ampliar la formación de sus empleados en materia de seguridad e ingeniería social
Normas relacionadas
Resolución de la Secretaría de Estado de Seguridad por la que se acuerda la apertura del trámite de información pública respecto a las guías de contenidos mínimos del Plan de Seguridad del Operador y del Plan de Protección Específico como instrumentos de planificación del Sistema de Protección de Infraestructuras Críticas
Habíamos quedado a las 14:00 horas en la sede central de la empresa con el Director Financiero y el Consejero Delegado y mientras nos saludábamos, aparecieron sus secretarias y tres consejeros. A los dos minutos, todo el departamento de informática y el departamento jurídico al completo. Cuando pensábamos que ya estábamos todos, vimos como se acercaba muy despacio un señor de unos 80 años al que todos identificaron como el Presidente y fundador de la compañía, el Sr. García.
Al llegar, el Sr. García, que sigue liderando de forma honorífica la compañía a sus 86 años, nos dijo lo importante que había sido la firmeza de la sentencia para ellos. Por eso había convocado a la comida a las 16 personas afectadas directamente por el proyecto fallido.
La mesa estaba montada como si fuese una comida de Navidad. Inmediatamente nos sirvieron cava y brindamos por el éxito de la sentencia. Entonces empezaron las intervenciones.
El Consejero Delegado, hijo mayor del Presidente, dijo que la inversión realizada en el desarrollo del ERP y la duración de un proyecto tecnológico de tanta importancia había llegado a amenazar la continuidad de la compañía. “Cuando recibí los pagarés con la cantidad establecida en la sentencia fue como el fin de una larga pesadilla". La secretaria del Director Financiero dijo: "A mi este proyecto informático me afectó la salud. Me desesperaba ver la lentitud del sistema. El proceso de facturación duraba días. Por la noche soñaba que no podíamos atender los pedidos y perdíamos a los clientes." “Además, nuestro negocio es el pescado y el marisco fresco que transportamos desde Galicia a toda España, y un ERP defectuoso puede provocar enseguida la pérdida de un producto tan efímero”.
Entonces llegaron las ostras. El hijo menor del Presidente era el experto. Nos explicó que se trataba de unas ostras muy apreciadas, que reservaban para grandes ocasiones. Nos pidió que diésemos la vuelta a la concha. El número de capas indicaba la edad de la ostra. Estas tenían siete años. Y había doce por persona. "Queremos mostrar nuestro agradecimiento en forma de comida. Dudo que volváis a comer un marisco tan fresco y de tanta calidad como el hoy" dijo el Sr. García, que se expresaba con una lucidez y un sentido del humor envidiables. No exageraba, cada ostra era como una bocanada de aire marino y un sorbo del Atlántico en nuestra boca.
Al acabar las ostras, sirvieron unas bandejas con los percebes más grandes y sabrosos que he visto en mi vida. "La tecnología no ha llegado todavía a la recolección del percebe. Los que lo cogen bajan a las rocas con unas cuerdas durante la marea baja. Los de arriba cuentan las olas y avisan cuando llega la ola grande. A veces no da tiempo a escapar. Por eso los percebes son tan caros", dijo el hijo menor.
Cuando llegaron las almejas, el clima de confianza era tal que el Sr. García, entre chiste y chiste, fue contando la historia de la compañía. Desde que le llamaban "el rápido" cuando era estibador en los muelles del puerto de Barcelona hasta ser una de las primeras empresas españolas en utilizar barcos frigoríficos. Su hijo mayor le interrumpía sólo para aclarar algún error en las fechas, pero lo hacía con sumo respeto y después lo abrazaba y le cogía la mano. El hijo menor aprovechaba entonces para explicar algún detalle sobre lo que estábamos comiendo. "Esto son almejas babosas gallegas. Se diferencian de las del Carril en que las del Carril duran mucho más fuera del mar, te da tiempo a transportarlas lejos de la costa y a servirlas vivas. La almeja babosa, por el contrario, no aguanta, y hay que comerla cocida el mismo día en que se pesca." Por eso el tiempo era crucial en su negocio, y el diseño del ERP no contemplaba las necesidades del negocio. El proveedor no había dedicado tiempo suficiente para conocer las prioridades de la empresa.
Los centollos iban rodeados de nécoras. Tal vez por la asociación de ideas que produjo verlos juntos, el Director Financiero comentó que lo que más le había impresionado de la preparación del juicio fue el trabajo codo con codo, de todo un equipo cohesionado. La fase de preparación de los testigos, el análisis de los informes periciales. “Era un asunto muy complejo y trabajar juntos nos permitió hacerlo sencillo". "Juan, apura el carro del centollo", dijo el Sr. García.
"Estas angulas son de Aguinaga. En esta época están muy tiernas. Su sabor tiene unos matices que exigen un tenedor de madera para no alterarlos y poderlos apreciar plenamente", comentó el hijo menor. El Director Financiero siguió hablando: "Imagínate tener que demostrar quién es el responsable del fracaso de un proyecto informático tan complejo como éste. ¿Cómo puedes dedicarte al comercio mayorista de pescado fresco y marisco de primera calidad si tu sistema informático no te permite controlar de forma fiable las fechas de entrada y salida, ni el origen y el destino de cada partida?". “Todavía recuerdo el latinajo: aliud pro alio. Nuestro proveedor informático nos entregó algo totalmente diferente a lo que habíamos pedido”.
Las bandejas siguieron llegando y continuaron las intervenciones en clave de humor del Sr. García. En la mesa había tres generaciones que representaban tres formas distintas de ver la empresa. Para nosotros era un ir y venir en el tiempo. El Sr. García nos llevaba a los años cincuenta, a las neveras de hielo y a las cajas de madera. Sus hijos nos traían a la actualidad, y nos hablaban de geolocalización de flotas, de optimización de rutas y de tracking a través de Internet. Fue una comida muy entrañable, que empezó con un apretón de manos y acabó con un abrazo. No creo que olvide nunca el clima de confianza y hermandad que se generó aquel día.
A las siete de la tarde, después de cinco horas de comida, y no sé cuantos platos, el Sr. García, con la frescura de sus 86 años, se puso un poco más de sacarina en el café. "Me gusta el café dulce, pero los médicos me recomiendan que me porte bien". Su hijo mayor comentó que cada sábado a las 10 de la mañana el Sr. García se juntaba con cuatro amigos de su edad y se zampaban un desayuno de cinco platos. "¿Mañana harás lo mismo, papá?". "¿Tú que crees?" respondió el Sr. García.
A las puertas de una nueva campaña del Gobierno para estimular la utilización del DNI electrónico, convendría realizar un análisis profundo y objetivo de los obstáculos que impiden su utilización por parte de los 25 millones de usuarios de este sistema de identificación. El coste de la nueva campaña de divulgación va a ser de 3 millones de euros, que se sumarán a los 113 millones invertidos hasta la fecha en el DNI electrónico, por lo que podría resultar temerario incentivar a secas el uso de esta herramienta sin intentar eliminar previamente los obstáculos que impiden su uso.
OBSTÁCULOS IDENTIFICADOS
1. Los comercios online no apuestan por el uso transaccional del DNIe porque ralentiza la venta y disuade al comprador espontáneo.
2. Por ello, y debido a que es una obligación legal, muchos comercios online y entidades financieras se limitan a explotar la función de autenticación del DNIe.
3. La mayor parte de los usuarios no dispone de lectores de DNIe.
4. El uso del DNIe en dispositivos móviles como smartphones y tablets es inexistente por su complejidad.
5. Los terminales públicos en locutorios, hoteles, aeropuertos y grandes superficies no disponen de los lectores adecuados.
6. Algunas versiones de navegadores y sistemas operativos dan problemas.
7. La mayoría de los usuarios no conserva ni recuerda el pin del DNIe.
8. Una buena parte de los certificados de los DNIe han caducado y no han sido renovados.
9. Muchos usuarios desconocen que el DNIe caduca a los dos años.
10. En la declaración de la renta, el DNIe compite con el certificado de la FNMT, mucho más popular, que no necesita lectores.
11. La formación media de los usuarios es insuficiente para instalar el lector, configurar el sistema y utilizarlo.
12. Ello refuerza la resistencia al cambio en segmentos de población con hábitos de compra sin DNIe muy arraigados.
13. Aunque no parece que el problema sea generacional, ya que los nativos digitales tampoco usan el DNIe.
14. Muchos usuarios siguen sin asociar el DNIe con funciones y usos que resulten realmente útiles para ellos.
15. La oferta de servicios y comercios con DNIe para funciones transaccionales es mínima y no compensa el esfuerzo.
16. En algunos casos la transacción no puede consumarse debido a la aparición de errores en el proceso.
17. Algunas plataformas exigen un número de confirmaciones superior al de las compras sin DNIe.
La mayoría de estas críticas han sido obtenidas de foros de Internet en los que los usuarios expresan los motivos por los que no utilizan el DNIe. Todos estos usuarios han iniciado una conversación. Sería ideal que los responsables del DNIe en la Administración participasen en ella.
Versión completa del artículo publicado en Expansión el 11/10/11 (página 36) bajo el título: "Cómo se protegen los candidatos en Facebook"
¿Existe un juego de búsqueda y ocultación entre investigadores e investigados en los procesos de selección de personal que utilizan las redes sociales para obtener información adicional de los candidatos?
Sí, pero dada la escasa trayectoria de las redes sociales, es difícil saber quién está ganando la carrera, aunque sí pueden apreciarse los intereses en juego. Mientras la empresa que realiza la selección de personal desea tener la máxima información sobre sus candidatos, éstos quieren establecer una clara separación entre lo laboral y lo privado.
A pesar de que entre los usuarios de Facebook o Tuenti predomina el afán por contar aspectos de su vida privada, especialmente en el caso de los nativos digitales, persiste una percepción selectiva de la privacidad que excluye naturalmente a la empresa en la que trabajan o en la que quieren trabajar.
Facebook varía la configuración por defecto de la privacidad, y ello puede desorientar a los usuarios poco avezados en separar su vida laboral de su vida privada. Algunos usuarios incluso hablan de su empresa en su muro, y ello ha obligado a crear manuales corporativos orientados a encauzar la actividad de los trabajadores en las redes sociales.
Pero si hablamos de manuales, desde la realidad cotidiana hasta la leyenda urbana, podemos encontrar compendios de instrucciones para las dos partes implicadas en un proceso de selección.
Primero encontraremos las recomendaciones esenciales para que un departamento de RRHH pueda complementar los datos obtenidos con los currículums, las pruebas psicotécnicas, las entrevistas con los candidatos y las referencias, con información extraída de la red. En algunos sectores, un aspecto clave de la personalidad o la actividad de un usuario en Facebook puede ser útil para recomendar o no su contratación.
Para determinar si la captura de estos datos y su posterior tratamiento exige el consentimiento del candidato deberían analizarse las condiciones generales aceptadas por el usuario en el momento de abrir una cuenta en Facebook, el alcance del acto de publicar voluntariamente la información como prueba del consentimiento, la finalidad y los destinatarios de esa información, la configuración dada por el usuario a su cuenta en materia de privacidad y la consideración o no de Facebook como un medio de comunicación social, entre otros factores.
Como mecanismo de defensa basado en la voluntad del candidato de dejar que lo investiguen, ya que quiere el puesto de trabajo, pero también en el deseo de limitar el alcance de dicha investigación, podemos encontrar recomendaciones para hacer que la parte visible de la cuenta del candidato en Facebook represente un perfil altamente confiable.
El juego de búsqueda y ocultación podría finalizar aquí, pero los investigadores expertos tal vez no se conformen con un muro impecable y consigan, con cualquier estrategia de ingeniería social, que el candidato los agregue a su círculo de amigos.
La contramedida del candidato a este acceso a la zona privada de su cuenta sería, si no desea enemistarse con el investigador expulsándolo de ella, haber aplicado desde el inicio una política de limpieza similar a la aplicada a la zona pública.
En caso de no conseguir que el candidato lo agregue, un investigador persistente podría lograr que lo hiciesen uno o varios amigos del candidato. Ello permitiría al investigador acceder a información compartida y explotar la utilidad del “dime con quién andas y te diré quién eres”.
Como en un fractal de Mandelbrot, este juego de búsqueda y ocultación podría seguir hasta el infinito, y llegar hasta las máximas cotas de la paranoia: “Por favor, no publiques esta foto en Facebook”, “Por favor, no cuentes esto en Facebook”, “Estoy buscando trabajo, cuidad lo que contáis de mi en Facebook, por favor.”
La sanción de 60.000 euros impuesta por la AEPD a unos grandes almacenes, confirmada por la Audiencia Nacional, obliga a recordar las condiciones en las que las empresas pueden hacer uso de videocámaras para realizar funciones de vigilancia y seguridad.
Para comprobar si una cámara o un sistema de videovigilancia cumple los requisitos legales y los criterios jurisprudenciales establecidos para esta actividad, deben realizarse las siguientes comprobaciones:
- IDONEIDAD: ¿Se consigue con la cámara el objetivo propuesto en materia de seguridad?
- NECESIDAD: ¿Existe otra medida más moderada para conseguir el objetivo propuesto con la misma eficacia?
- PROPORCIONALIDAD: ¿Existe un equilibrio entre el objetivo propuesto y los derechos de los afectados?
- INFORMACIÓN 1: ¿Se ha colocado en la zona un distintivo informativo con el contenido exigido por la ley?
- INFORMACIÓN 2: ¿Dispone la empresa de impresos informativos para los interesados que lo soliciten?
- CONTROL: ¿Dispone la empresa de un plano en el que se indique la situación de cada una de las cámaras?
- SITUACIÓN: ¿Está situada la cámara en la vía pública?
- RANGO 1: ¿Es adecuado el rango de acción de la cámara? (Un rango de 360 grados puede ser excesivo)
- RANGO 2: ¿La cámara obtiene imágenes de la vía pública?
- RANGO 3: En caso afirmativo, ¿es ello imprescindible para la finalidad propuesta?
- RANGO 4: En caso afirmativo, ¿resulta imposible evitarlo?
- RANGO 5: En caso afirmativo, ¿qué porcentaje ocupa la vía pública en el encuadre?
- ZOOM: ¿Dispone la cámara de zoom? (En algunos casos puede ser excesivo para la finalidad prevista)
- FICHERO: ¿La empresa ha inscrito el fichero de videovigilancia en el Registro General de la AEPD?
- TRATAMIENTO 1: ¿La empresa ha contratado a una empresa de seguridad para tratar o visualizar los datos?
- TRATAMIENTO 2: En caso afirmativo, ¿ha firmado un contrato de encargado del tratamiento?
- SEGURIDAD: ¿Se han aplicado medidas de seguridad en relación al fichero de videovigilancia?
- SECRETO: ¿Están identificadas y han suscrito un pacto de confidencialidad las personas con acceso a los datos?
- ACCESO: ¿Dispone la empresa de un procedimiento que facilite el derecho de acceso de los interesados?
- CANCELACIÓN: ¿Los datos son cancelados en el plazo máximo de un mes después de su captación?
- PRUEBA: ¿Dispone la empresa de las correspondientes evidencias de cumplimiento en materia de videovigilancia?
Esta aplicación predictiva desarrollada por IBM me ha obligado a actualizar la reflexión deliberadamente ingenua que hice en junio de 2006 al hablar de las "wiki leyes" y el análisis un poco más profundo que hice en enero de 2009, al plantear la posibilidad de que el caos derivado de las distintas aportaciones, enfoques e intereses dirigidos a la elaboración de una "wiki ley " acabase encontrando una vía para ordenarse a sí mismo, gracias al efecto comunidad.
La aplicación de IBM parte de un planteamiento mucho menos ingenuo. Su función es predecir el efecto de las políticas municipales, identificando consecuencias imprevistas, valorando el impacto en los ciudadanos y analizando todo tipo de escenarios hipotéticos, con una proyección de hasta 25 años.
Entre los ejemplos de políticas municipales en las que la aplicación de IBM puede ser utilizada como ayuda a la toma de decisiones, destacan las siguientes:
- Tarifas del transporte público
- Tasas de matriculación en las escuelas
- Índices de obesidad y emisiones de CO2
- Impuestos recaudados y consumo de electricidad
- Densidad de población y el bienestar de los ciudadanos
- Datos relacionados con la salud y el atractivo de la ciudad para los negocios
El complemento ideal de esta aplicación sería un foro en el que los ciudadanos pudiesen realizar sus aportaciones, a través de preguntas concretas con opciones cerradas o abiertas. El modelo productivo actual se nutre con las variables del elemento humano a través de reuniones de trabajo en las que se recaba la opinión de expertos relacionados con cada uno de los temas planteados en las políticas a desarrollar. Tal vez lo ideal sería contar con un mayor número de aportaciones a través de consultas en foros específicos o incluso en redes sociales. Desgraciadamente, estas consultas son fáciles de manipular, ya que, al permitir la participación anónima, se puede automatizar la votación con múltiples identidades ficticias.
Existen ejemplos de participación ciudadana en la elaboración de políticas y normas. Uno de los pioneros fue el de ParticipatioNZ, creado por el gobierno neozelandés para fomentar la participación ciudadana en la toma de decisiones. La iniciativa neozelandesa tuvo su máxima expresión en la creación de un wiki (ya finalizado) destinado a la discusión de una norma específica.
Obviamente, estas iniciativas exigen un nivel de madurez adecuado en los participantes, en los partidos políticos y en los grupos de presión, ya que son un blanco fácil para ataques y manipulaciones. Si una empresa que quiera cuidar su reputación online está obligada a vigilar cualquier posible alteración maliciosa de su entrada en Wikipedia, un gobierno que quiera dotar de fiabilidad a una plataforma de consulta ciudadana deberá establecer mecanismos de defensa que garanticen su utilidad y eviten que caigan en desuso.
La duda que vuelve a surgir es, si en una cuestión tan radical como la creación de una ley, la capacidad de autorregulación de una comunidad permitirá excluir a los manipuladores. Sería interesante analizar a fondo ejemplos de selección colectiva de noticias como Digg o Menéame, para comprobar el comportamiento de las mayorías, las minorías y los "francotiradores", así como la reacción de la comunidad ante manipulaciones, noticias falsas, voto mimético de los indecisos, excesos de poder de las mayorías o de los moderadores, ataques de trolls, éxito basado exclusivamente en el morbo de la noticia, publicidad encubierta y conflictos entre los participantes.
No es nada nuevo reconocer que la protección de nuestros datos personales es algo que los ciudadanos de un país reclamamos cuando todas las necesidades que ocupan un lugar inferior en la pirámide han sido satisfechas. Ya lo dijo un cliente al ver las cargas que suponía la aplicación de la LOPD en su empresa: “¡Cómo se nota que estamos en el primer mundo!”.
Los periódicos de esta semana auguran un escenario de recesión, con un posible modelo de doble bache. Si ello se confirmase, ¿podríamos llegar a ver algunos cambios en posición que ocupamos los ciudadanos del primer mundo en la pirámide de Maslow?.
Algunas preguntas que surgen ante esa posibilidad:
1. ¿Puede una situación de crisis continuada generar la necesidad en las empresas de recurrir a fórmulas de márketing directo que les obliguen a asumir mayores riesgos en materia de cumplimiento normativo?
2. ¿Cuál debería ser la reacción de los destinatarios de esas campañas de marketing que nos devolverían al escenario que teníamos en los 80, antes de la aprobación de la LORTAD? ¿Deberíamos responder a las campañas con denuncias o con solidaridad, aplicando un sentimiento casi “patriótico”, similar al de los anglosajones, para eliminar cualquier obstáculo a la recuperación económica de nuestro país?
3. ¿Cuál debería ser el papel de la AEPD? ¿Debería centrarse en los casos más graves y dejar los leves para tiempos mejores? ¿O por el contrario debería convertirse en un instrumento recaudatorio dirigido a la reducir el déficit en los Presupuestos Generales del Estado?
1. Sentencia de referencia
Sentencia del Tribunal de Justicia de la Unión Europea de 12 de julio de 2011 en relación a la petición de cuestión prejudicial presentada en el marco de un litigio entre, por un lado, L’Oréal SA y sus filiales Lancôme parfums et beauté & Cie SNC, Laboratoire Garnier & Cie y L’Oréal (UK) Ltd (en lo sucesivo, conjuntamente, «L’Oréal») y, por otro lado, tres filiales de eBay Inc. [eBay International AG, eBay Europe SARL y eBay (UK) Ltd (en lo sucesivo, conjuntamente, «eBay»)], en relación con la comercialización, sin el consentimiento de L’Oréal, de productos de ésta a través del mercado electrónico gestionado por eBay.
2. Conclusiones
2.1 Productos situados en un tercer Estado
En el caso de que productos situados en un tercer Estado, designados con una marca registrada en un Estado miembro de la Unión o con una marca comunitaria y no comercializados anteriormente en el Espacio Económico Europeo o, tratándose de una marca comunitaria, no comercializados anteriormente en la Unión, sean vendidos por un agente económico a través de un mercado electrónico y sin el consentimiento del titular de esta marca a un consumidor que se encuentra en el territorio cubierto por dicha marca o sean objeto de una oferta de venta o de un anuncio en tal mercado destinados a consumidores situados en dicho territorio, el titular de la marca puede oponerse a esa venta, a esa oferta de venta o ese anuncio en virtud de las normas establecidas en el artículo 5 de la Directiva 89/104/CEE del Consejo, de 21 de diciembre de 1988, Primera Directiva relativa a la aproximación de las legislaciones de los Estados miembros en materia de marcas, en su versión modificada por el Acuerdo sobre el Espacio Económico Europeo, de 2 de mayo de 1992, o en el artículo 9 del Reglamento (CE) nº 40/94 del Consejo, de 20 de diciembre de 1993, sobre la marca comunitaria. Corresponde a los órganos jurisdiccionales nacionales apreciar en cada caso si existen indicios relevantes que permitan concluir que una oferta de venta o una publicidad presentada en un mercado electrónico al que se puede acceder desde dicho territorio está destinada a consumidores situados en este territorio.
2.2 Muestras gratuitas
El hecho de que el titular de una marca entregue a sus distribuidores autorizados productos designados por dicha marca, destinados a que los consumidores los prueben en los puntos de venta autorizados así como frascos de muestra, designados igualmente con esa marca, de los que pueden tomarse pequeñas cantidades para distribuir a los consumidores como muestra gratuita no constituye, a falta de elementos de prueba en sentido contrario, una comercialización en el sentido de la Directiva 89/104 o del Reglamento nº 40/94.
2.3 Productos a los que se ha retirado en embalaje
Los artículos 5 de la Directiva 89/104 y 9 del Reglamento nº 40/94 deben interpretarse en el sentido de que el titular de una marca puede, en virtud del derecho exclusivo conferido por ésta, oponerse a la reventa de productos como aquellos sobre los que versa el litigio principal por haber retirado el revendedor el embalaje externo de estos productos cuando esta retirada del embalaje tenga como consecuencia que no figuren informaciones esenciales, como las relativas a la identificación del fabricante o del responsable de la comercialización del producto cosmético. En el supuesto de que la retirada del embalaje externo no implique que se omitan tales menciones, el titular de la marca puede, no obstante, oponerse a que se revenda sin embalaje un perfume o un producto cosmético designado con la marca de la que es titular si demuestra que la retirada del embalaje menoscaba la imagen de dicho producto y, en consecuencia, la reputación de la marca.
2.4 Palabras clave que coinciden con marcas
Los artículos 5, apartado 1, letra a), de la Directiva 89/104 y 9, apartado 1, letra a), del Reglamento nº 40/94 deben interpretarse en el sentido de que el titular de una marca está facultado para prohibir al operador de un mercado electrónico hacer publicidad, a partir de una palabra clave idéntica a esa marca y que ha sido seleccionada por ese operador en el contexto de un servicio de referenciación en Internet, de productos de tal marca que se ponen a la venta en ese mercado electrónico cuando dicha publicidad no permite o apenas permite al internauta normalmente informado y razonablemente atento determinar si tales productos proceden del titular de la marca o de una empresa económicamente vinculada a éste o si, por el contrario, proceden de un tercero.
2.5 Símbolos idénticos o similares a marcas
El operador de un mercado electrónico no hace un «uso», en el sentido de los artículos 5 de la Directiva 89/104 y 9 del Reglamento nº 40/94, de signos idénticos o similares a marcas que aparecen en ofertas de venta presentadas en su sitio web.
2.6 Responsabilidad del operador de un mercado electrónico
El artículo 14, apartado 1, de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico), debe interpretarse en el sentido de que se aplica al operador de un mercado electrónico cuando éste no desempeñe un papel activo que le permita adquirir conocimiento o control de los datos almacenados. Este operador desempeña tal papel cuando presta una asistencia consistente, en particular, en optimizar la presentación de las ofertas de venta en cuestión o en promover tales ofertas. En el supuesto de que el operador del mercado electrónico no haya desempeñado un papel activo en el sentido descrito en el anterior párrafo y, en consecuencia, a su prestación del servicio le resulte de aplicación lo dispuesto en el artículo 14, apartado 1, de la Directiva 2000/31, ese operador no podrá, no obstante, en un asunto que puede concluir con una condena al pago de una indemnización por daños y perjuicios, acogerse a la exención de responsabilidad prevista en esa disposición cuando haya tenido conocimiento de hechos o circunstancias a partir de los cuales un operador económico diligente hubiera debido constatar el carácter ilícito de las ofertas de venta en cuestión y, en caso de adquirir tal conocimiento, no haya actuado con prontitud de conformidad con lo establecido en el apartado 1, letra b), de dicho artículo 14.
2.7 Actuación preventiva de los Estados miembros
El artículo 11, tercera frase, de la Directiva 2004/48/CE del Parlamento Europeo y del Consejo, de 29 de abril de 2004, relativa al respeto de los derechos de propiedad intelectual, debe interpretarse en el sentido de que exige a los Estados miembros velar por que los órganos jurisdiccionales nacionales competentes en materia de protección de derechos de propiedad intelectual puedan requerir al operador de un mercado electrónico la adopción de medidas que permitan no sólo poner término a las lesiones causadas a tales derechos por usuarios de dicho mercado electrónico sino también evitar que se produzcan nuevas lesiones de este tipo. Estos requerimientos deben ser efectivos, proporcionados, disuasorios y no deben crear obstáculos al comercio legítimo.
La reforma del Código Penal y las obligaciones de control previo al delito que se establecen en el artículo 31 bis para evitar la responsabilidad penal de la empresa están obligando a replantear el alcance de la monitorización de los recursos TIC corporativos.
A ello hay que añadir el modelo de seguridad Zero Trust propuesto por Forrester que consiste en tratar a los usuarios internos con confianza cero, es decir, como si fuesen usuarios externos. Este modelo se centra en la necesidad de monitorizar y analizar todo el tráfico de la red corporativa y la actividad de los usuarios mediante herramientas específicas para ello.
Además, la actual crisis económica ha enrarecido el clima laboral en las empresas, incrementando el riesgo de ataques desde el interior y de fuga de datos. Además de los casos de entrega de información confidencial a competidores, la alta valoración de la cartera de un comercial o un directivo fichado por otra empresa del sector puede provocar una explotación ilícita de datos de CRM de la empresa anterior.
El problema es que una medida preventiva, como la simple publicación de las normas de uso de los recursos TIC de la empresa, puede resultar insuficiente para acreditar el debido control. Hasta ahora se ha buscado un equilibrio entre disuasión, prevención, detección y prueba. Pero el nuevo escenario exige un mayor compromiso, ya que en muchos casos se llega tarde y es imposible obtener pruebas del delito. Por ejemplo, las empresas aplican un protocolo de seguridad informática en el momento del despido que no puede prevenir las fugas de información previas a una baja voluntaria.
Ello nos lleva a la aplicación de esquemas de forensic readiness que permitan capturar y almacenar de forma segura las pruebas electrónicas que puedan ser necesarias en el futuro para acreditar la comisión de un delito, así como la existencia de controles para evitarlo o, al menos, detectarlo.
Para cumplir esa función surgen herramientas de monitorización capaces de cumplir a la vez una función disuasoria, preventiva, detectiva y probatoria. Tras aplicar el protocolo exigido legalmente para su instalación, este software realiza varios controles de forma rutinaria. Uno de ellos consiste en capturar las pantallas de cada ordenador con la frecuencia que cada empresa estime necesaria. En frecuencias inferiores al minuto la información capturada ocupa 4GB al año por cada ordenador. Es decir, 4T al año para una empresa con 1.000 ordenadores.
Este sistema actúa como una auténtica caja negra, que va registrando toda la actividad de los usuarios sin necesidad de intervención humana. Aunque pueden configurarse diversos tipos de alertas, lo normal es que sólo se acuda a la información almacenada en el caso de que exista una sospecha razonable de la existencia de un delito. Se trataría de un acceso similar al que se produce con las cajas negras de los aviones en el caso de un accidente aéreo, aunque, en el caso de las pruebas informáticas, se aplicará un protocolo que garantice la proporcionalidad, idoneidad y necesidad del acceso a la información. También puede contratarse un servidor de almacenamiento controlado por un tercero para dotar al sistema de mayores garantías.
En este sentido, cabe recordar la sentencia del Tribunal Supremo de 27/09/07 a la que dediqué un slidecast. En ella se establece que la empresa, de acuerdo con las exigencias de buena fe, debe establecer previamente las reglas de uso de los recursos TIC corporativos (con aplicación de prohibiciones absolutas o parciales) e informar a los trabajadores de que va existir control y de los medios que se aplicarán papa comprobar la corrección del uso de dichos recursos por los trabajadores.
De esta manera, si los recursos TIC se utilizan para usos privados, en contra de estas prohibiciones y con conocimiento de los controles y medidas aplicables, no podrá entenderse que, al realizarse el control, se ha vulnerado una expectativa razonable de intimidad. Lo mismo cabe decir respecto al secreto de las comunicaciones.
De acuerdo con estos antecedentes, mi opinión se resume en las siguientes conclusiones: