Venta a distancia de medicamentos de uso humano no sujetos a prescripción médica

Ha llovido ya desde que se aprobara el Real Decreto 870/2013, de 8 de noviembre, por el que se regula la venta a distancia al público, a través de sitios web, de medicamentos de uso humano no sujetos a prescripción médica. Sin embargo, sólo unos pocos profesionales farmacéuticos se han lanzado a la venta a través de Internet. Pero para aquellos que se animen a hacerlo, le comentamos los requisitos necesarios para hacerlo.

 

Para empezar, es necesario la comunicación a la autoridad competente al menos 15 días antes inicio aportando los siguientes datos:

  • Nombre farmacéutico
  • Dirección farmacia
  • Fecha comienzo
  • Dirección web
  • Información del procedimiento de envío, así como tiempos de entregas.
  • Información sobre no disponibilidad del servicio (en caso de vacaciones y periodo de cierre de la oficina de farmacia).

 

Toda esta información debe constar de forma estática en la página web de la farmacia y siempre “a mano” del comprador.

 

Por otro lado, se deben recabar los siguientes datos del comprador:

  • Nombre y apellidos
  • Teléfono
  • Email
  • Dirección postal

 

El profesional farmacéutico que dispense, si lo considera oportuno, puede ponerse en contacto con el comprador para facilitarle la forma de administración más correcta.

 

Uno de los puntos más complicado de la venta online es el correspondiente al transporte, pues el mismo debe garantizar que en el trayecto se ha conservado con todas las garantías. Cada vez es más frecuente ver a empresas de transportes especializadas en este sector, garantizando que el medicamento no sufre ningún tipo de alteración en cuanto a su calidad, por lo que parece que se va soslayando el problema, si bien la responsabilidad, en todo caso, será del profesional sanitario.

 

Una vez realizada la compra no es posible hacer devolución de los medicamentos adquiridos vía online, salvo, claro está, que no se corresponda que lo solicitado, esté defectuoso o se haya roto la cadena en el transporte.

 

Por último, en el mismo sitio web no se puede vender otros productos que no sean medicamentos de uso humano no sujetos a prescripción médica, a no ser que distingamos ambas actividades.

 

 

La problemática de la videovigilancia

Videovigilancia

Videovigilancia

Hoy venimos a hablar de algo que interesa y mucho en la sociedad actual: la videovigilancia y su problemática.

 

Todo el mundo sabe valorar su propia imagen, menos aquellos que les gusta más una cámara que a un niño una golosina, y por salir en la caja tonta hacen cualquier cosa. Pero aun éstos, saben que su imagen es importante, para tal o cual fin, pero importante al fin y al cabo.

 

De hecho es un derecho fundamental protegido, y si no que se lo digan a la Agencia Española de Protección de Datos personales. Sin embargo, en cualquier ciudad de España, ya sea en sitio público o privado, nos encontramos con cámaras que graban cada minuto de nuestras vidas como si de una película se tratase. Y lo cierto es que cada vez más se instalan cámaras en establecimientos, por motivos de seguridad, si bien tomar la decisión de ponerlas puede acarrear bastantes dolores de cabeza.

 

¿Y por qué? Imaginemos un supuesto práctico. Quiero ejercer mi derecho de acceso ante el responsable del fichero de videovigilancia de unos almacenes, y accedo sin problemas, pero seguro que se ha vulnerado la LOPD por cesión de datos. Me explico. Como en toda película, hay actores principales y otros secundarios, amén de los extras. Pues bien, raro es que en cualquier captación por medio de videocámaras, aunque sea la de un establecimiento pequeño, salgamos solo nosotros, el sujeto concreto que está ejerciendo su derecho de acceso, pues como en cualquier película, si no hay secundarios, seguro que hay extras. Y en ese momento, nos estarían cediendo datos personales sin el consentimiento de esas otras personas que salen en la imagen.

 

Como todo fichero de datos, el de videovigilancia tiene las obligaciones formales no solo de su notificación y puesta en conocimiento de todos los afectados, sino también la de hacer copia de respaldo y cumplir con las medidas de seguridad adecuadas. Esto es importante, pero no problemático como lo anterior explicado. Pero es que hay autores que opinan que las imágenes deben guardarse por un tiempo superior al indicado en la LOPD. Así, si las videocámaras fueran testigos mudo de un delito, se puede dar el caso que dichas imágenes tuvieran que conservarse por un plazo de hasta 20 años, que es el de prescripción de los delitos mayores. Borrar una prueba de tanto calado puede traer consecuencias, y al final, como siempre, resulta más caro el remedio que la enfermedad.

 

¿Cumples la normativa? 

Los datos de los campos marcados con * son necesarios.

Este es un formulario guiado que no le llevará más de 10 minutos rellenar. En él se cubrirá información referente a la actividad económica, imagen corporativa, estrategia comunicativa y datos web mediante los cuales obtendremos una visión general de la situación en la que su empresa se encuentra en relación a los servicios que requiera para darle la mejor atención posible.

Como ser YouTuber y no morir en el intento

Youtube

Youtube

Las redes sociales padecen las modas. Hoy se lleva ésta y mañana estará de moda otra.

 

Lo cierto es que cada vez escribimos y leemos menos. Nos gusta la inmediatez, y claro, YouTube cumple todas esas premisas. Que queremos saber cómo se hacen unos huevos fritos, pues en lugar de leer grandes e ilustrativas recetas, mejor ponemos un tutorial en YouTube que, cuanto más breve, mejor.

 

Y así nacen los Youtubers, que a base de seguidores terminan haciéndose profesionales y ganan dinero subiendo videos.

 

Pero como todo en la vida, no están exentos de asumir la ley, por mucho que siga pareciendo a la fecha en la que estamos que Internet sea un mundo sin ley. Que no señores, que hay que cumplir la ley aquí y en Pekín.

 

Así, es primordial para aquellos youtubers españoles cumplir con la normativa de los servicios de la sociedad de la información, recogido en la Ley 34/2002, ya conocida por todos como LSSI.

 

De este modo, los youtubers deben identificarse a fin de que los usuarios puedan comunicarse con ellos. Si el youtuber cuenta con una web (lo que ocurrirá en los casos de youtubers profesionales), con la remisión a dicha web donde conste los datos, es más que suficiente.

 

Si no es así, deberá mostrar los datos en algún momento del video, a modo de título de crédito, que animo a meter algo de creatividad al estilo de las mejores películas de cine, que todo suma a la hora de conseguir followers.

 

Si el youtuber es ya un profesional y tiene web propia, además de lo anterior deberá tener una política de privacidad, adecuar su actividad a la normativa sobre protección de datos personales, y una política de cookies.

 

En Internet se debe tener respeto por el contenido de terceros. Tendemos a creer que todo lo que está en Internet es de libre acceso y puedo disponer de ello como me plazca. Flaco error amigo. Hay que obtener el permiso de sus autores para poder disponer del contenido, a no ser que expresamente digan lo contrario.

 

A algunos les gusta que les copie, a otros no tanto. Y a estos últimos los juzgados les da la razón, y no sin motivos.

 

Otras de las normas que se debe cumplir es la Ley General de Publicidad, es decir, que no sea engañosa, ilícita, etc. Es precisamente en la publicidad donde los youtubers sacan tajada a su trabajo, al recomendar marcas y productos y recibir por ello una contraprestación, ya sea en efectivo o en especie.

 

Y cuidado con desprestigiar a la competencia de la marca o producto que anunciamos, ya que las personas jurídicas también tienen honor, pues bien caro le habrá costado tener una buena reputación en el mercado para que un influencer venga a calumniarla. Y eso se cuantifica, y bien caro.

 

El youtuber, al estar realizando una actividad económica, debe darse de alta como autónomo en la Seguridad Social y, lógicamente, en Hacienda, donde como mínimo va a tener la obligación de llevanza de los libros contables y la declaración trimestral de, al menos, el IVA.

 

Y si te animas a ser un youtuber de éxito, aquí tienes un video explicativo de cómo hacerlo:

 

 

Menores ciberacosadores: el caso del profesor hostigado

Ciberbullying

Ciberbullying

 

 

Se habla mucho del cyberbullying y del bullying en la escuela, entre compañeros de clase, con las nefastas consecuencias que ello acarrea para el acosado, que por sus especiales circunstancias se ve totalmente indefenso, y por desgracia con resultados espantosos en algunos casos.

 

En este campo no escapa nadie, ni los profesores.

 

Hace ya muchos años, cuando aun no existían las redes sociales, defendía a profesores que eran acosados por alumnos e, incluso, los padres de éstos. Ahora, con el acceso de los menores a las redes sociales, unido a que cada vez es más temprana la edad a la que se le facilita un Smartphone, se añade el acoso de los profesores en las redes sociales.

 

El supuesto es el siguiente: menor toma foto de profesor y la sube a una red social (Facebook, Instagram, etc).

 

En el mejor de los casos podemos estar ante una infracción administrativa, por cuanto que la imagen es un dato personal, y la publicación de datos de carácter personal en Internet constituye una cesión de datos, y toda cesión de datos debe contar previamente con el consentimiento del interesado, quien debe ser suficientemente informado de la finalidad a la que se destinen los datos.

 

La Ley Orgánica 1/1982, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, concreta la protección jurídica dada por la Constitución Española, teniendo la consideración de intromisiones ilegítimas:

 

“La captación, reproducción o publicación por fotografía, filme o cualquier otro procedimiento, de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos”.

 

Este es el mejor de los panoramas, puesto que podemos encontrarnos con un delito contra la intimidad y la propia imagen, contemplado en el artículo 197 del Código Penal, a los que se les aplicaría la Ley del Menor, con las medidas contempladas en ellas para reeducar al infractor, y la reparación del daño vía indemnización (responsabilidad civil ex delito).

 

En el caso de un menor de 14 años, éste no tiene responsabilidad penal, pero sí que responderían sus padres o tutores respecto a la indemnización civil ex artículo 1903 del Código Civil, que señala que los padres o tutores son responsables de los daños causados por los hijos que se encuentren bajo su guarda.

 

La Ley del Menor traslada esa responsabilidad a los padres, tutores, acogedores y guardadores legales o de hecho, en ese orden. Por tanto, ¿qué ocurre si el acoso (ciber o no) en la red se produce en el colegio?

 

Pues que la responsabilidad civil puede ir de la mano, esto es, solidaria tanto para padres como para el colegio.

 

Ello es así por la obligación que tiene el centro de intervenir cuando de alumnos propios se trata. Si no lo hiciera, habría un delito por omisión, y en el caso de bullying en todas sus modalidades, podría acarrear consecuencias penales para los profesionales de la enseñanza.

 

Me comentaba un profesor amigo que la problemática actual es mayor de lo que se ve en los medios. La cuestión no pasa por prohibir el uso de teléfonos, en parte por miedo a echarse encima la AMPA, sino por fomentar el buen uso de los mismos.

 

Los dispositivos tecnológicos han venido para quedarse: enseñemos a usarlos bien.

 

 

El peligro de usar WhatsApp con los clientes

whatsappHace un año escribía sobre Whatsapp como prueba en juicio, dado su fácil uso para injuriar, calumniar, y un sinfín de problemáticas jurídicas, que hace cada vez más frecuente su aportación en el proceso judicial.

 

Ya comenté entonces que, al igual que el correo electrónico, no es suficiente con la aportación de las conversaciones impresas o mero pantallazo, que también, si tienes la suerte de que no te lo impugnen. Pero lo aconsejable es que garantizar la cadena de custodia, así como su integridad y no modificación, labor propia de perito informático. Y como recordatorio, debemos tener en cuenta que la impugnación afectará en costas a quien la realiza, amén de que debe ser motivada para desplazar la carga de la prueba.

 

Este medio de  mensajería instantánea está sumamente extendido, y lo que empezó como una forma de comunicarse con la familia y amigos, está hoy por hoy muy integrado en el mundo laboral y profesional, si bien en las condiciones legales de uso WhatsApp prohíbe su utilización comercial, limitándolo solo a uso personal, declinando toda responsabilidad. Claro que… ¿Quién lee las condiciones legales? Por mucho que la Agencia Española de Protección de Datos lo recomiende, nadie lo hace.

 

Son muchos los compañeros abogados que lo usan para sus relaciones con los clientes, cuando evidentemente no es el mejor de los medios para hacerlo, no ya por la molestia de la disponibilidad 24h, entre otras, sino porque entiendo infringe la normativa sobre protección de datos, por los motivos que vamos a ver.

 

En las referidas condiciones de uso, WhatsApp te deja muy claro que consientes en que trate no solo tu número de teléfono, sino toda tu agenda. Claro que diréis que hace ya años la Audiencia Nacional dijo que el número de teléfono no es dato personal (y sin embargo la IP si, sigo sin entenderlo). Pero WhatsApp dice “y los demás contactos que tienes en la libreta de direcciones. Y claro, en la libreta, al menos yo, identifico al contacto, con nombre y a veces apellidos. A su vez, WhatsApp accederá a los datos de nuestros contactos cuando estos se den de alta a su vez en la aplicación, accediendo a su información personal, por lo que ya lo tenemos identificado.

 

Si a todo esto le sumas que esos datos viajan a Estados Unidos, donde tiene su sede WhatsApp, el desaguisado es tremendo, amén de que ninguno de nosotros tenemos firmado un contrato de encargado del tratamiento con la aplicación, pues van a pasar de nosotros, ni en su defecto solicitamos autorización al Director de la AEPD para la transferencia internacional de datos, que veo difícil nos dé. Y como todos sabemos, Estados Unidos eso de cumplir con la protección de datos, pues como que es algo muy de los europeos y sus trabas para el comercio.

 

Y aunque WhatsApp ha introducido como mejora de seguridad el cifrado de extremo a extremo, lo cierto es que la seguridad 100% es imposible. Además, los smartphones tienen por costumbre guardar los archivos que llegan por las distintas aplicaciones, muchos de ellos, sobre todo las imágenes, que si tenemos cuenda en Google u otro proveedor, se sincronizará con las aplicaciones de dicha compañía subiendo los archivos a la nube, infringiendo con ello nuevamente la normativa sobre protección de datos por cuanto las medidas de seguridad y el propio cumplimiento por parte del prestador de servicios de cloud son más que dudosos.

 

Lo aplicable para abogados lo es para cualquier profesional, sea de la rama que sea.

 

Deber de información al paciente menor de edad y su consentimiento a efectos de la normativa sobre protección de datos

PrivacidadLa gran mayoría del personal sanitario se pregunta cómo debe informar a sus pacientes sobre la recogida de datos personales, en qué casos no es factible hacerlo, y cómo cumplir con la normativa sobre protección de datos.

 

Este es un tema que se puede regular por dos tipos de normas: de un lado, por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su Reglamento y, de otro, por la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. No obstante, dada la especialidad, habrá que estar, preferentemente a lo dispuesto en esta segunda ley, que dispone, concretamente, lo siguiente:

 

1º.- Casos en que el consentimiento se ha de prestar por los representantes legales:

 

  1. Cuando el paciente no sea capaz de tomar decisiones, a criterio del médico responsable de la asistencia, o su estado físico o psíquico no le permita hacerse cargo de su situación. Si el paciente carece de representante legal, el consentimiento lo prestarán las personas vinculadas a él por razones familiares o de hecho.
  2. Cuando el paciente tenga la capacidad modificada judicialmente y así conste en la sentencia.
  3. Cuando el paciente menor de edad no sea capaz intelectual ni emocionalmente de comprender el alcance de la intervención. En este caso, el consentimiento lo dará el representante legal del menor, después de haber escuchado su opinión, conforme a lo dispuesto en el artículo 9 de la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor.

 

2º.- Casos en que el menor podrá prestar por si su consentimiento:

 

  1. Cuando se trate de menores emancipados o mayores de 16 años que no se encuentren en los supuestos b) y c) del apartado anterior, no cabe prestar el consentimiento por representación.
  2. No obstante lo dispuesto en el párrafo anterior, cuando se trate de una actuación de grave riesgo para la vida o salud del menor, según el criterio del facultativo, el consentimiento lo prestará el representante legal del menor, una vez oída y tenida en cuenta la opinión del mismo.

 

Por tanto, como professional sanitario, deberás decidir, en primer lugar, acerca de la aplicación de alguno de los casos previstos en los epígrafes anteriores y, una vez ello, deberás informar de los siguientes extremos:

 

  1. De que dichos datos (de nivel alto) se incorporarán en el fichero que debes tener inscrito en el Registro de la AEPD.
  2. La finalidad para la que se van a recoger que, en este caso, no será otra que la de prestar un servicio sanitario.
  3. Si dichos datos se van a ceder o no y en qué condiciones.
  4. La forma en que las personas que prestan el consentimiento podrán ejercer sus derechos ARCO, esto es, de acceso, rectificación, cancelación y oposición previstos en la LOPD.

Protección de datos: solicitudes de datos efectuadas por la policía judicial sin mandamiento judicial o requerimiento previo del ministerio fiscal

Aun son muchos clientes los que nos preguntan si deben responder a un requerimiento efectuado por la policía sin la intervención de instancias judiciales, es decir, sin una orden judicial (el cine deforma voluntades). Evidentemente siempre hay que cooperar con las autoridades judiciales, esa es nuestra respuesta. Pero los que no se quedan satisfechos o bien, en cierto modo, tienen recelos porque puedan perjudicar a un tercero con el que tienen relación comercial, suelen ir más allá y quieren una respuesta jurídica, que daremos a continuación. No obstante, veamos los datos que suelen solicitar a nuestros clientes, entre los que podemos ver con más frecuencia los siguientes:

  • Datos de identificación sobre las personas que han contratado un servicio, por ejemplo los datos de la persona, física o jurídica, que ha contratado un número SMS Premium o un número de tarificación adicional, o los datos del que ha contratado el TPV relacionado con una URL
  • Identificación de los servicios contratados con el titular de los números Premium y, si se conoce, el fin para el que son usados.
  • Datos de facturación relativos a dichos contratos desde el inicio de la actividad contractual.
  • Identificación de los métodos de pago.

Pues bien, esta petición de datos es plenamente legal y no vulnera la Ley Orgánica de Protección de Datos, que si bien el artículo 11 de la misma indica con carácter general que la comunicación de datos entre cedente y cesionario para el cumplimiento funciones legítimas de ambos, sólo puede llevarse a cabo previo consentimiento del interesado, también expone las excepciones a esta regla general, aunque será en el artículo 22 donde tengamos que buscar la excepción específica para que las Fuerzas y Cuerpos de Seguridad puedan requerir de esos datos, expresamente en su apartado 2, que dice:

La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad.”

 Lógicamente, el requerimiento debe razonar el motivo del mismo, esto es, la investigación del delito que sea, y el precepto penal infringido. En la mayoría de los casos se preceptúa un delito que no corresponde con el luego instruido en sede judicial, si bien entendemos que la finalidad no está desvirtuada. Como es lógico, los datos obtenidos deben ser cancelados por la Unidad policial una vez ya no sean necesarios.

En conclusión, no es necesario el consentimiento previo de la persona interesada cuando la petición es realizada por las Fuerzas y Cuerpos de Seguridad del Estado, y dicha petición es específica, motivada y se garantice la cancelación de los datos solicitados una vez se haya concluido la investigación y no sean necesarios.

 

Safe Harbor ha muerto, viva Privacy Shield

Como en los mejores guiones cinematográficos Hollywood o en los partidos más emocionantes de fútbol, así ha sucedido con el tan traído tema de las transferencias internacionales de datos: en el último minuto y de penalti, las autoridades de la UE y EEUU han alcanzado un acuerdo, bautizado ya como Privacy Shield, que sustituirá al ya defenestrado Safe Habor.

ADIOS SAFE HARBOR

Como ya vimos en anteriores posts, el Tribunal de Justicia de la Unión Europea anuló el llamado Tratado de Puerto Seguro dejando un vacío normativo importante que hacía muy difícil para las empresas europeas el poder seguir trabajando con sus proveedores de servicios del otro lado del charco.

El motivo no era otro que la falta de garantías que ofrecía ese tratado para la adecuada aplicación del derecho de protección de datos de los ciudadanos europeos.

SITUACIÓN DE INCERTIDUMBRE

Ante dicha situación de incertidumbre, las empresas europeas adoptaron varias posiciones: desde aquellas que directamente cambiaron de proveedor de servicios para evitar cualquier problema, a aquéllas otras que intentaron obtener, sin mucho éxito eso sí (clientes de Mailchimp), la autorización de la Agencia Española de Protección de Datos, pasando por aquellas que ni se inmutaron en la confianza de que la situación se arreglaría a tiempo.

Y va a ser que han sido éstas las que han acertado de pleno al parecer con el nuevo acuerdo alcanzado entre la EU y los EEUU.

BIENVENIDO PRIVACY SHIELD

A día de hoy, 2 de febrero de 2016, la Comisión Europea ha emitido un informe de prensa en el que se anuncia que, tras las correspondientes negociaciones, la UE y los EEUU han alcanzado un acuerdo, ya bautizado como Privacy Shield, que vendrá a sustituir al Safe Harbour.

QUÉ HAY DE NUEVO EN EL PRIVACY SHIELD

A pesar de que aún no conocemos el contenido del acuerdo alcanzado, parece ser que dicho Privacy Shield subsana y corrige las deficiencias detectadas en el Safe Harbour:

1.- Se incrementan las obligaciones de las empresas norteamericanas.-

Los proveedores estadounidenses que traten datos personales provenientes de Europa se comprometerán a cumplir con obligaciones más sólidas en el tratamiento de los datos personales así como garantizar los derechos individuales de protección de datos de los ciudadanos.

2.- Mayor control por parte de las autoridades norteamericanas.-

Las autoridades estadounidenses controlarán que los proveedores publiquen sus compromisos, haciendo exigible la aplicación de las medidas contenidas en los mismos.

3.- Cumplimiento de las decisiones de las autoridades de control europeas.

De forma paralela a lo anterior, cualquier proveedor norteamericano que trate datos personales provenientes de Europa tiene que comprometerse a cumplir con las decisiones de las autoridades de control europeas.

4.- Obligaciones de transparencia en el acceso del gobierno de EEUU:

Por primera vez, los EEUU han ofrecido, por escrito, garantías a la UE en los que se descarta la vigilancia masiva e indiscriminada de los datos personales transferidos a los EEUU en el marco del nuevo acuerdo.

De este modo, el acceso por las autoridades públicas de EEUU a los datos de los europeos se sujetará a limitaciones, garantías y mecanismos claros y objeto de supervisión que se revisarán periódicamente.

5.- Protección efectiva de los derechos ciudadanos de la UE.-

Cualquier ciudadano europeo que considere que sus datos han sido mal utilizados bajo el nuevo acuerdo tendrá varias posibilidades de recurso, fijándose plazos de respuesta obligadas para los proveedores. Además, la resolución alternativa de conflictos será gratuita.

Igualmente, las autoridades de control europeas podrán remitir quejas al Departamento de Comercio y la Comisión Federal de Comercio.

Finalmente, para quejas sobre el posible el acceso de las autoridades de inteligencia de EEUU, se creará un nuevo Defensor.

PROXIMOS PASOS

Una vez alcanzado el acuerdo político, por el lado de la UE, se elaborará un proyecto de que se presentará en las próximas semanas, que deberá ser aprobado por la Comisión después de obtener el asesoramiento del Grupo del artículo 29 y previa consulta a un comité compuesto por representantes de los Estados miembros.

Mientras tanto, la parte estadounidense hará los preparativos necesarios para poner en marcha el nuevo marco, los mecanismos de supervisión y la figura del nuevo Defensor.

Posibilidades de investigación de la identidad de usuarios de internet

A todos los que nos dedicamos al derecho relacionado con las nuevas tecnologías y a muchos usuarios se nos ha planteado alguna vez la misma cuestión: ¿en qué medida es posible la investigación de la identidad de una persona que, abusando del supuesto anonimato que proporciona internet, comete delitos empleando la red?, ¿es posible su identificación en todo caso?, ¿cómo se persigue a este tipo de delincuentes?

Punto de partida

El punto del que partimos es el de aquel sujeto que, amparándose en el supuesto anonimato que proporciona la red, emplea la misma para cometer un delito.

Su intención no es otra que la entorpecer, en la medida de lo posible, su identificación y, con ello, su responsabilidad penal y civil.

¿Qué medios tenemos para averiguar su identidad?

Partiendo de que hay servicios que no requieren registro previo de usuario y de que hay otros que, si bien lo exigen, no pueden corroborar la veracidad de los datos ofrecidos por el usuario en el procedimiento de alta, el dato más idóneo de que disponemos es el de la dirección I.P. que emplea el delincuente para conectarse al servicio en el que comete el delito.

Es, precisamente, este dato de la dirección I.P. el que puede vincular al delincuente con una persona de carne y hueso a la que poder llevar ante los tribunales.

¿Cómo conseguimos la identidad que hay tras una dirección I.P.?

La vinculación identidad – dirección I.P. que pretendemos la podemos conseguir de los operadores de servicios de telecomunicaciones, ya que los encargados de proveer tales direcciones a los sujetos usuarios de las redes.

Es algo tan fácil como ir a una compañía de telecomunicaciones tipo Movistar, Vodafone y Orange y dar de alta una línea de datos que te permita conectarte a internet. Dicha conexión se efectúa por medio de una dirección I.P.

¿Dónde se regula la forma de proveer la información del titular de una dirección I.P.?

1.- Ley 25/2007, de 18 de octubre de 2007, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones

Esta primera norma, según su artículo 1º, tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación (excluyendo el contenido de las mismas) y la de cederlos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves.

Por tanto, parece que esta norma sólo parece autorizar la realización de actuaciones de investigación para la averiguación de la identidad de aquellos usuarios que actúen con seudónimo a través de redes de comunicaciones en caso de comisión de delitos graves.

2.- Ley 9/2014, de 9 de mayo, General de Telecomunicaciones

Esta segunda normal señala que los operadores están obligados a realizar las interceptaciones que se autoricen de acuerdo con lo dispuesto en la Ley de Enjuiciamiento Criminal y añade que los sujetos obligados han de facilitar los datos indicados en la orden de interceptación legal, especificando que la identidad o identidades del sujeto objeto de la medida de interceptación sería uno de esos datos a facilitar, así como la identidad o identidades de otras personas involucradas en la comunicación electrónica.

No obstante, esta norma no hace referencia alguna a la gravedad del delito que se investiga, limitándose a remitirse a lo dispuesto en la Ley de Enjuiciamiento Criminal.

¿Qué nos dice la jurisprudencia?

A la vista de este panorama normativo, han venido dictándose pronunciamientos jurisprudenciales totalmente contradictorios:

1.- Jurisprudencia restrictiva

En unos casos se han basado, exclusivamente, en lo dispuesto en la Ley 25/2007 y, dentro del mismo, en considerar como delitos graves aquellos que, exclusivamente, tengan una pena superior a 5 años.

2.- Jurisprudencia más abierta

En otros casos, también ha existido jurisprudencia de nuestros tribunales que, amparándose en la actual normativa y en la jurisprudencia del Tribunal Constitucional acerca de la posibilidad de limitar derechos fundamentales con la finalidad de esclarecer conductas delictivas, ha venido estimando la realización de actuaciones de investigación para la averiguación de la identidad de aquellos usuarios que actúen con seudónimo a través de redes de comunicaciones.

Razones de política criminal para mantener una postura amplia en la averiguación de la identidad de usuarios de internet en caso de comisión de delitos

La no atención a las medidas de investigación como las que se proponen en el presente post, impediría la investigación tecnológica de delitos que, frecuentemente, utilizan las redes de comunicación para su comisión, pero que no tienen la consideración de graves al tener asociada una pena abstracta inferior a 5 años, (por ejemplo, el delito de posesión, producción, venta o difusión de material pornográfico en que se hayan utilizado menores de edad o el delito de favorecimiento de la prostitución de menores de edad.

Del mismo modo, se mandaría un mensaje claro a la ciudadanía: barra libre en internet para delinquir cuando la pena asociada al delito, en abstracto, sea inferior a 5 años, con el consiguiente fracaso de los fines preventivos que su tipificación penal persigue.

Argumentos legales y jurisprudenciales a favor de la investigación de la identidad de usuarios de internet en caso de comisión de delitos

Es cierto que la Ley 25/2007, como vimos anteriormente, hace una referencia expresa a la persecución de delitos graves, pero no es menos cierto que dicha norma no ha establecido que la determinación de los delitos graves lo deba ser sobre la base, en exclusiva, de la gravedad de las penas que, en abstracto, lleven aparejadas dichos delitos.

De hecho, tal limitación sería la única de nuestra legislación que utiliza dicho parámetro de valoración como elemento inamovible del juicio de proporcionalidad en la limitación de derechos fundamentales.

Por tanto, corresponde a la jurisprudencia realizar tal determinación atendiendo a las pautas usuales de interpretación normativa.

En coherencia con ello, la Jurisprudencia constitucional, a la hora de valorar la procedencia de adoptar medidas restrictivas del derecho fundamental al secreto de las comunicaciones, ha venido desarrollando un juicio de proporcionalidad que ha de llevarse a cabo antes de acordar la limitación del derecho, atendiendo a criterios tales como:

– la importancia y relevancia social del bien jurídico protegido.
– la trascendencia social de los efectos que el delito genera.
– el hecho de que el delito a investigar sea cometido por organizaciones criminales.
– la dificultad o imposibilidad de su persecución a través de otras medidas menos gravosas para los derechos fundamentales en litigio.
– el beneficio obtenido mediante la medida, que ha de ser mayor que el coste que el sacrificio comporta.

En apoyo de dicha valoración jurisprudencial, hay que resaltar que la propia Ley 25/2007 excluye de su ámbito el núcleo esencial del derecho al secreto de las comunicaciones, esto es, el “contenido” de las comunicaciones electrónicas, para cuya interceptación no se establece expresa limitación legal en función de la gravedad penológica del delito, como resulta del artículo 39 de la Ley 9/2014 y de lo dispuesto en el artículo 579 de la LeCrim.

Conclusiones

En base a todo lo anterior, podemos concluir que no existe base suficiente para entender que la Ley 25/2007 haya fijado la gravedad del delito tomando como exclusivo parámetro la pena legalmente prevista para el mismo y que, en consecuencia, establezca una prohibición de utilizar la investigación tecnológica para todo delito cuya pena no supere en su previsión abstracta los cinco años de prisión, cualesquiera que sean el resto de circunstancias concurrentes.

Por tanto, han de incluirse otros delitos castigados con pena inferior y que, por tanto, tienen la calificación legal de “delitos menos graves”, pero que merecen la consideración de graves en atención a parámetros tales como la importancia del bien jurídico protegido, la trascendencia social de los efectos que el delito genera o la inexistencia de medios alternativos, menos gravosos, que permitan su investigación y esclarecimiento.

La AEPD rechaza las soluciones ofrecidas por Mailchimp

La Agencia Española de Protección de Datos (AEPD) nos da una nueva entrega de este culebrón que se ha desencadenado con la anulación, por parte de la justicia europea, del ya famoso Tratado o Convenio de Puerto de Seguro o Safe Harbor.

 

La anulación del Safe Harbor y las transferencias internacionales de datos

En posts anteriores (Te explicamos el Safe Harbor y ¿Qué consecuencias tiene para tu empresa la anulación del Safe Harbor)), ya os contamos, de forma detallada y accesible, qué había pasado con este tema de las transferencias internacionales de datos (TID) que, a la gran mayoría, le sonaba a chino mandarín hasta ese momento.

No obstante, con la citada anulación hemos podido comprobar que muchos de los servicios que empleábamos para mil cosas en la red y que hacíamos con plataformas online norteamericanas (Twitter, Amazon, Facebook o Google, por poner sólo los casos más sonados) ya no podemos hacerlas si somos empresas o profesionales que emplean datos personales para el desarrollo de sus actividades.

 

El Caso de Mailchimp

Uno de los casos que menos repercusión está teniendo para el usuario particular medio, pero que mayor importancia puede tener para las empresas y profesionales dedicados al marketing online es el referido a Mailchimp.

Para quien no lo sepa, Mailchimp es una plataforma, perteneciente a una entidad con nombre The Rocket Science Group, LLC y sede en el estado de Georgia, en concreto, en la ciudad de Atlanta (EE.UU.).

Mailchimp provee a sus usuarios de una plataforma que permite la creación de listas de correo, la elaboración de plantillas de correo y la realización de campañas publicitarias y promocionales a través del envío de mailings.

 

El uso de Mailchimp antes y después de la anulación de Safe Harbor

Hasta el momento de la anulación del Safe Harbor, los usuarios consideraban a Mailchimp como el servicio líder de correo electrónico profesional, por lo que su uso en el sector del mail marketing era generalizado.

No obstante, las dudas en sus usuarios comenzaron a surgir a razón de la ya famosa sentencia que anuló el Convenio de Puerto Seguro y de muchos y variados (además de catastrofistas) comentarios a lo largo y ancho de la red.

 

La solución ofrecida por Mailchimp

Ante las dudas generadas, Mailchimp pareció zanjar el tema poniendo a disposición de sus usuarios un documento contractual en el que ofrecía unas garantías similares a las exigidas por la normativa de protección de datos de los países de la U.E.

Parecía que con dicho documento debidamente firmado por los usuarios obligados al cumplimiento de la LOPD y su Reglamento, unido a la solicitud de autorización, la AEPD iba a dar el trámite por bueno e iba a permitir las TID efectuadas por las empresas y profesionales usuarios a Mailchimp.

 

La AEPD rechaza la solución ofrecida por Mailchimp

En concreto, esta misma semana nos han comentado desde la AEPD que están rechazando sistemáticamente las solicitudes de usuarios de servicios de Mailchimp por las siguientes consideraciones:

1º.- Los contratos a que hace referencia Mailchimp están redactados en inglés, de modo que ello podría afectar a la validez del consentimiento de los usuarios que no tengan un debido conocimiento de dicho idioma.

Adicionalmente a ello, la legislación española requiere que cualquier tipo de documento a entregar ante un órgano de la administración haya de venir debidamente traducido, circunstancia que tampoco tiene lugar.

2º.- Además de lo anterior, en ningún momento se acredita la firma, por ningún medio fehaciente, de la contraparte, esto es, de Mailchimp.

Todo ello sin olvidar que no se aportan las identidades y los poderes de los representantes legales de esta empresa.

 

¿Qué hacer a día de día de hoy?

Teniendo en cuenta todo lo anterior, o mucho cambian las cosas por parte de Mailchimp (está claro que desconocen el funcionamiento de unas autoridades y una legislación como la española tan diferente a la anglosajona) para poder salvar estos obstáculos o mucho nos tememos que los usuarios de esta plataforma han de ir preparando la migración a servicios europeos que ofrezcan las mismas o similares ventajas.

No obstante, os mantendremos convenientemente informados de las novedades que puedan sucederse.