INSERTAR UN VÍDEO NO VIOLA LOS DERECHOS DE AUTOR

El Tribunal de Justicia de la Unión Europea ha fijado su criterio:

“Insertar, o embeber, un vídeo en un sitio web no puede considerarse como comunicación pública y, por lo tanto, no viola los derechos de autor del dueño de dicho vídeo”.

En la sentencia, conocida esta semana, se dice que incrustar o embeber material de terceros en un sitio web -realizar una trasclusión, es decir, insertar un vídeo o documento de otro sitio en una página web mediante la inclusión del código correspondiente- no necesita la autorización del titular de los derechos del mismo, siempre y cuando el vídeo esté previamente a disposición del público; el acto de incrustar un vídeo en otro sitio web no sería descrito como “comunicación pública” en el sentido del artículo 3, apartado 1, de la Directiva 2001/29, “en la medida en que la obra en cuestión no se transfiere a un público nuevo o divulgada en un modo de técnica específica diferente de la comunicación original“. Por lo tanto, cualquiera puede incrustar en su sitio web un vídeo que previamente esté disponible en la Red de forma libre y abierta, para todo el mundo, sin necesidad de pedir permiso al titular de los derechos de autor de dicho material (aunque, eso sí, siempre que la opción de incrustar dicho vídeo esté disponible, una acción no siempre posible).

¿Qué ocurrirá ahora con el conocido como “Canon Google” (el canon de la  AEDE), si la sentencia considera que el incrustar en un sitio ajeno una obra completa ya publicada no es comunicación pública?.

LA AEPD PRESENTA LA “GUÍA PARA UNA EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS”

“GUÍA PARA UNA EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS”

–          Una Evaluación de Impacto en la Protección de Datos es un proceso que permite a las organizaciones identificar los riesgos que un producto o servicio puede implicar para la protección de datos antes de que se materialicen.

–          Esta herramienta, poco conocida en España pero plenamente consolidada en países anglosajones, aporta grandes beneficios tanto para los ciudadanos como para las entidades que la incorporen a sus políticas.

–          La Guía indica situaciones en las que sería necesario realizar este análisis, identifica posibles riesgos y propone las medidas que se deberían adoptar.

–          La Agencia quiere promover el compromiso responsable de las entidades que tratan datos facilitando un marco de referencia flexible que va un paso más allá del mero cumplimiento normativo.

–          La versión final de este documento, que incluye plantillas y anexos útiles, se presenta después de que la AEPD sometiera a consulta pública un borrador del texto.

–          El acto de presentación de la Guía ha contado con la presencia de destacados representantes tanto del sector público como privado.

Nota de prensa de la Agencia Española de Protección de Datos:

Madrid, 29 de octubre de 2014. La Agencia Española de Protección de Datos (AEPD) ha presentado hoy su Guía para una Evaluación de Impacto en la Protección de Datos Personales, un documento con el que pretende promover que las organizaciones, sobre todo aquellas que hacen un uso más intensivo de los datos personales, no sólo cumplan la ley sino que apliquen a sus políticas de privacidad nuevos enfoques proactivos.

Una Evaluación de Impacto en la Protección de Datos (EIPD) es un ejercicio de análisis de los riesgos que un sistema, producto o servicio puede implicar para la protección de datos y, tras haber realizado ese análisis, afrontar y gestionar esos peligros antes de que se produzcan. Las evaluaciones de impacto, una herramienta poco conocida en España pero plenamente asentada en países anglosajones, forman parte de nuevos enfoques como el de la Privacidad desde el Diseño, que propugna que las cuestiones de privacidad y protección de datos se tomen en consideración desde la fase inicial del nuevo producto o servicio y se mantengan a lo largo de todo su ciclo de vida.

El objetivo es, por un lado, conseguir una protección más activa del derecho fundamental a la protección de datos y, por otro, potenciar las políticas preventivas entre las organizaciones para evitar tanto costosos rediseños de los sistemas una vez han sido desarrollados como posibles daños a la reputación y la imagen por un tratamiento inadecuado de los datos personales.

La publicación de la Guía, que puede utilizarse como marco de referencia flexible para un tratamiento responsable de los datos personales, tiene lugar después de que la Agencia sometiera a consulta pública durante seis semanas una versión preliminar del texto. Los comentarios y sugerencias recibidas se han tenido en cuenta para la redacción de esta versión final, que proporciona un sistema estructurado en el que apoyarse para realizar una EIPD, incluyendo documentos, plantillas y anexos útiles.

La Guía para una Evaluación de Impacto en la Protección de Datos Personales indica algunas de las situaciones en las que sería recomendable llevar a cabo este análisis: cuando se vayan a utilizar tecnologías que se consideran especialmente invasivas con la privacidad, como la videovigilancia a gran escala, minería de datos, biometría, técnicas genéticas, geolocalización, o cuando se traten grandes volúmenes de datos a través de sistemas como el big data o la internet de las cosas, entre otros ejemplos.

La Guía también señala cómo pueden gestionarse los riesgos, facilitando un listado de medidas que podrían ser tomadas por la organización para evitarlos o mitigarlos. Un ejemplo de esos riesgos podría ser la utilización de los datos recogidos para finalidades no especificadas y que podrían permitir monitorizar el comportamiento, realizar perfiles o tomar decisiones económicas o sociales sobre las personas en función de la información recopilada.

La Agencia apuesta porque las organizaciones suministren información transparente y clara sobre los fines para los que tratarán la información, en particular, a través de una política de privacidad visible y accesible.

La Guía, que se ha presentado en un acto en el que han participado destacados representantes tanto del sector público como privado, supone una apuesta firme por parte de la Agencia para que las organizaciones protejan de forma más eficaz los derechos de los ciudadanos, fomentando una cultura de protección de datos más allá del mero cumplimiento normativo. La Agencia considera que, para garantizar ese cumplimiento se hace cada vez más necesario un compromiso responsable por parte de las organizaciones para evitar o minimizar los riesgos antes de que se produzcan.

La profunda transformación que se está produciendo en el tratamiento de la información personal, que adquiere cada vez un mayor valor económico, sumada a la continua irrupción de nuevas tecnologías en un entorno marcado por la globalización, requiere complementar los planteamientos tradicionales en cuanto a protección de datos con nuevas herramientas.

En este sentido, la realización de evaluaciones de impacto en las organizaciones, aunque no podrá ser considerada como un criterio de exención ante eventuales responsabilidades en caso de vulneración de la normativa de protección de datos, sí será tenida en cuenta por la AEPD como un elemento relevante para valorar si se ha adoptado la debida diligencia en la implementación de medidas para cumplir con las exigencias legales.

En España no existe por el momento una obligación legal de realizar Evaluaciones de Impacto de esta naturaleza, aunque podrá existir en el futuro cuando se apruebe la Propuesta de Reglamento General de Protección de Datos para la Unión Europea.

En cualquier caso, con independencia de la exigencia normativa, se trata de una metodología que ha alcanzado ya un grado de desarrollo suficiente como para considerarla plenamente incorporable a nuestro país. La Agencia considera que la aplicación de estas políticas proactivas de protección de datos puede suponer una ventaja competitiva entre las organizaciones que las apliquen, además de ser un excelente ejercicio de transparencia.

APROBADA LA NUEVA “ L.P.I. “

El pleno del Congreso de los Diputados ha aprobado hoy jueves día 30 de noviembre, definitivamente, la reforma de la Ley de Propiedad Intelectual tras incorporar las enmiendas del Senado. Entrará en vigor el próximo 1 de Enero de 2015.

Entre otras singularidades cabe destacar:

–          La denominada “tasa Google”, que ya se ha comentado anteriormente.

–          Mantiene, de forma transitoria, el pago de la compensación por copia privada, que sustituyó al antiguo canon digital.

–          Amplía el plazo de protección de los derechos de los artistas, intérpretes o ejecutantes y de los productores de fonogramas, de 50 a 70 años.

–          Establece multas de hasta 600.000 euros para las web que tengan como principal actividad facilitar de manera específica y masiva la localización de contenidos ofrecidos ilícitamente de forma notoria e incumplan los requerimientos de retirada de los contenidos declarados infractores.

–          Permite la utilización gratuita de pequeños fragmentos de obras u obras aisladas de carácter plástico o fotográfico para ilustrar la enseñanza reglada (universitaria y no universitaria) y la investigación.

–          Se regula un cuadro de infracciones y sanciones ante responsabilidades administrativas de las entidades de gestión por incumplimiento de sus obligaciones legales.

–          Se establece para las entidades de gestión un sistema de recaudación de ventanilla única como medio de facturación y pago.

EL TRIBUNAL SUPREMO RECHAZA QUE LAS DISCOGRÁFICAS PUEDAN RASTREAR A LOS USUARIOS DE REDES “P2P”.

En 2009, Promusicae (la patronal de las discográficas) contrató los servicios de una empresa que tenía un programa que permitía infiltrarse en las redes P2P y detectar los ordenadores que estaban compartiendo archivos sujetos a derechos de autor. Objetivo: conseguir la dirección IP, el número único que identifica a cada máquina que se conecta a Internet, y con él ir a los tribunales para que obligaran a las operadoras a cortar el acceso al usuario que compartiera archivos de forma masiva. Pero siendo un dato personal, las discográficas necesitaban que la Agencia Española de Protección de Datos (AEPD) les eximiera del deber de informar a los afectados de que iban a tratar sus datos. Pero ya en una resolución de julio de 2009 (http://goo.gl/NI8OC5), la AEPD les negó la dispensa, por lo que Promusicae recurrió ante la Audiencia Nacional (que corroboró el criterio de la Agencia).

Próxima estación: el Tribunal Supremo.

Pero el Supremo le ha vuelto a decir que no a Promusicae, básicamente porque estima que las direcciones IP son datos personales; y, si lo son, están bajo la protección de la LOPD que, en su artículo 5 impone la obligación de informar al afectado “de forma expresa, precisa e inequívoca, por el responsable del fichero”, en este caso Promusicae; el hecho de que los usuarios de una red P2P sepan que su dirección IP es visible (y que, por tanto, puede ser conocida) no significa que acepte de forma inequívoca su uso y tratamiento por terceros, ni que consienta de forma específica el tratamiento de sus datos, como pretendía hacer Promusicae.

Y todo y que la protección de los derechos de propiedad intelectual -defendida por Promusicae- merece todo el respeto de la Sala, dice que ésta no puede hacerse sobre la base de violar derechos, que también merecen protección, como son los derivados de la protección de datos: ningún derecho fundamental es absoluto. En este caso concreto el Tribunal ha entendido que el de la protección de datos está por encima del de la protección de la propiedad intelectual.

“INTERNET DE LAS COSAS” (IOT): ARTÍCULO DE IRENE LÓPEZ EN A.C.E.D.E.

Nuestra Socia-Directora, Irene López, ha publicado este artículo en el blog de ACEDE sobre  “INTERNET DE LAS COSAS”  y su repercusión en la privacidad de los datos.

 

Internet de las cosas (IOT – Internet of things o cosas inteligentes) lo componen aquellos objetos cotidianos que con sensores se identifican, se comunican entre ellos y se conectan en Internet, y que permiten registrar, guardar y transferir datos que normalmente hacen referencia a personas físicas identificables. Actualmente, disponemos de smartphones, tablets, ordenadores conectados en Internet, etc., pero el IOT va más allá, hablamos de electrodomésticos que pueden controlarse con el smartphone, el frigorífico que detecta los alimentos caducados, los que faltan y hace el pedido al supermercado, coches que sugieren la conducción en función del tráfico, pulseras que nos dan información de nuestras constantes vitales cuando hagamos deporte, etc.

En IOT es evidente que estamos ante un tratamiento de datos de carácter personal, dado que el usuario de estos objetos puede ser identificado con los datos que origina en el objeto, por ejemplo, podemos obtener información sobre el patrón de vida a partir de datos de iluminación, calefacción, ventilación y aire acondicionado.

Identificamos en la Internet de las cosas a Responsables del tratamiento de los datos de los usuarios y que están sujetos al cumplimiento de las obligaciones derivadas de la normativa de protección de datos personales. Estos Responsables del tratamiento son: fabricantes de dispositivos (recogen y tratan datos que generan los dispositivos que fabrican por finalidades determinadas), plataformas sociales (los usuarios de dispositivos tienden a compartir los datos con otros usuarios a través de las redes sociales, y éstas utilizan los datos para otra finalidad como, por ejemplo, mostrar anuncios relacionados), desarrolladores de aplicaciones de terceros (muchos dispositivos disponen de Apps para facilitar el desarrollo de aplicaciones que permiten acceder a datos como puede ser una aplicación de una compañía de seguros que recompensa el usuario que tiene vida saludable), plataformas de datos IOT (los fabricantes desarrollan estas plataformas donde los datos son recogidos a través de diferentes dispositivos, simplificando y centralizando su gestión).

Las Autoridades de Protección de Datos Europeos han aprobado un dictamen conjunto sobre la Internet de las cosas (GT29 – septiembre 2014) con el fin de detectar los riesgos derivados de su desarrollo y proponer recomendaciones para el cumplimiento del marco jurídico europeo. El dictamen se ha hecho en base al análisis de tres tipos de dispositivos inteligentes que están directamente interconectados con el usuario y que corresponden a servicios y dispositivos que están en uso actualmente. Estos son:

Wearable computing (tecnología llevable) que hace referencia a objetos y ropa de uso cotidiano que incluyen sensores, cámaras, micros, etc., que permiten ampliar sus funcionalidades y tratar datos, y que permiten enlazarlas con aplicaciones de terceros que también tienen acceso a estas como, por ejemplo, relojes, gafas, etc.

Autocuantificados, que son cosas que permiten grabar información sobre los propios hábitos y estilos de vida de las personas que los llevan. Por ejemplo, los rastreadores del sueño, que permiten conocer su calidad; aparatos que siguen el movimiento de las personas y que permiten conocer las calorías quemadas. Este tipo de cosas tratan datos de salud, información sensible, accesible por el usuario, el fabricante y el proveedor de servicios.

Domótica. También encontramos dispositivos inteligentes en nuestro domicilio y en el trabajo: la luz, los termostatos, lavadoras, frigorífico que pueden ser controlados desde Internet. En este contexto se plantea el análisis de los patrones de uso que trasladan información de los habitantes o de sus costumbres, incluso, su geolocalización.

Se detectan unos riesgos en la utilización de los dispositivos inteligentes:

El uso de este tipo de dispositivos y la interacción del individuo supone un tráfico de datos que puede no estar controlada por el individuo, dándose una auto-exposición excesiva. Este riesgo se produce porque los sensores del dispositivo se pueden activar automáticamente y sin que el usuario sea consciente.

En ocasiones, el usuario no conoce el tratamiento de los datos que hacen este tipo de dispositivos, pues no se le informa correctamente ni se prevén los mecanismos para obtener su consentimiento por el tratamiento de la información.

Además, los dispositivos inteligentes generan datos que el usuario utiliza para un fin concreto, pero que aplicando técnicas de análisis se pueden obtener otros datos que pueden ser utilizadas para finalidades diferentes, por ejemplo, los datos del acelerómetro de un teléfono que permite obtener información sobre la conducción de un vehículo.

El conjunto de datos que generan individualmente este tipo de dispositivos, si se ponen en común, permiten obtener información sobre hábitos, preferencias y comportamiento del individuo.

El objeto cotidiano inteligente se puede convertir en un objetivo potencial de seguridad y privacidad de la información. Los dispositivos menos seguros pueden ser atacados y obtener sus datos. Por lo tanto, no sólo los dispositivos tienen que ser seguros, también las plataformas de intercambio de datos y almacenamiento en las infraestructuras de proveedores de servicios. Vemos que la mayor parte de sensores que hay al mercado no son capaces de cifrar las comunicaciones, pues incide en un dispositivo limitado por baterías de baja potencia.

Ante estos riesgos, y en cumplimiento del marco jurídico europeo, se derivan una serie de obligaciones para los Responsables del tratamiento:

– El fabricante del dispositivo y aquellos que quieren tener acceso a los datos almacenados en el terminal o cosa, tienen que obtener el consentimiento previo del usuario.

– Los responsables del tratamiento tienen que hacer un tratamiento legítimo de los datos y bajo los principios de calidad de los datos; no se pueden tratar ni recoger sin que el usuario sea consciente de ello. El usuario tiene que saber cómo y con qué finalidad se tratan sus datos y decidir si confía en el responsable del tratamiento. Sólo se tienen que recoger los datos para la finalidad determinada explícita y legítima; no se tienen que recoger datos por si acaso…

– Los datos no se pueden mantener por un periodo superior al necesario.

– En el tratamiento de datos sensibles se tiene que requerir el consentimiento expreso del usuario.

– Los responsables tienen que informar de su identidad, de la finalidad del tratamiento, de los destinatarios de la información, de la existencia de los derechos de acceso, rectificación y cancelación y del derecho de oposición (cómo desconectar el objeto-reloj, gafas para evitar el tratamiento de datos) información que se puede facilitar a través del objeto en sí mediante un código QR o un flashmode insertado en las cosas que llevan sensor que informa del tipo de sensor, la información que captura y los efectos.

– El Responsable del tratamiento tiene que implementar las medidas técnicas adecuadas para proteger los datos y también obtener garantías en el caso de subcontratación; por lo tanto, tiene que llevar a cabo evaluaciones de seguridad en el conjunto de los sistemas, certificaciones de dispositivos y cumplimiento de estándares de seguridad. Los dispositivos que están diseñados para acceder a través de Internet no siempre están configurados por el usuario, y es por esto que se tiene que aplicar la privacidad en el diseño y establecer protecciones de privacidad desde el primer momento.

Por lo tanto, teniendo en cuenta que la evolución del número de cosas conectadas a Internet en 2008 superó el número de habitantes del planeta y que se estima que en el 2020 habrá 50.000 millones de dispositivos conectados, no se tiene que perder de vista por parte de la industria y usuarios las implicaciones en protección de datos personales de los objetos inteligentes.

Irene López

http://assessorsacede.wordpress.com/2014/10/27/la-internet-de-les-coses-i-la-privacitat/#more-334

ALERTA DE SEGURIDAD DE APPLE PARA SU iCLOUD.

Las informaciones de ciberataques para interceptar datos personales de usuarios de Apple en China, han llevado a la compañía estadounidense a emitir una alerta de seguridad (aconsejamos su lectura: http://support.apple.com/kb/HT6550). A algunos usuarios de Apple en China se les derivó a una falsa página de inicio de iCloud (almacenamiento de datos “en la nube”) con lo que se permite copiar su nombre de usuario y contraseña al ser introducidas.

LOS “AVISOS LEGALES” DE LAS APP

Esos que, generalmente, casi nadie se lee antes de clicar “Acepto” en las condiciones que nos proponen para descargar la App.

Una lectura, si no a conciencia, sí cuanto menos “en diagonal”, nos permitirá ver y comprobar el nivel de “posible explotación futura de nuestros datos”. Y no, generalmente la App no actúa fraudulentamente, ni con subterfugios: nos lo dice -quizá demasiado extensamente, eso sí- y somos nosotros quienes le autorizamos el posible uso futuro que haga de nuestros datos con nuestro “clic a la ligera” ya que, por lo general, “nada es totalmente gratis”: pregúntate si, posiblemente, lo que esté en venta no seas tú mismo, tus datos.

Leer los “avisos legales”, una mucho más que recomendable recomendación.

(esta recomendación, evidentemente, es válida para cualquier tipo de “aviso legal” en cuestionarios, formularios, sitios web…)

¿ HACIA LA “UNIÓN DIGITAL EUROPEA” ?

Tras la Unión Económica, el tanteo de la Unión Bancaria y el ensayo de lo que sería una Unión Fiscal y, más adelante, una Unión Política europea, según Ángela Merkel la prioridad en la agenda debe ser en este momento la Unión Digital:

-“Europa debe ser un espacio común digital”,sugiriendo la urgencia de abordar a nivel europeo la neutralidad de la red y la protección de datos.

Otros expertos también opinan que es “extraordinariamente importante” lograr una regulación europea de protección de datos en Internet que posibilite el comercio digital seguro y la oferta de productos en el espacio europeo a los potenciales 500 millones de clientes en condiciones de garantía y seguridad, en el que el papel de la Comisaría europea jugará un papel crucial en esta legislatura. El concepto de Europa digital no se limita a proporcionar una banda ancha o Wi-Fi mejores, sino que es algo mucho más profundo, una transformación de la economía al completo.

La era digital está en condiciones de impulsar el nuevo sistema económico hacia una realidad nueva enmarcada en el “común colaborativo” (collaborative commons). Se trata del primer cambio de paradigma económico que se produce desde el capitalismo y el socialismo a principios del siglo XIX. Es la “tercera revolución industrial” y se basa en la digitalización de todas las facetas de la vida. Se hace un llamamiento a la Unión Europea para convertir en realidad para los europeos el collaborative commons y se insiste en que la digitalización de la UE en el contexto de un verdadero mercado único dará trabajo a todos sus habitantes. La transformación de las redes de comunicaciones, transporte y energía “mantendrá ocupada a la industria durante cuarenta años“.

APROBADA LA REFORMA DE LA L.P.I.

El Pleno del Senado ha aprobado el texto de la reforma de la Ley de Propiedad Intelectual, que además adelanta su entrada en vigor al 1 de Enero de 2015.
Entre otros aspectos (“tasa Google” aparte) el texto endurece sustancialmente las sanciones contra los intercambios no autorizados de material protegido en la Red. Las sanciones administrativas que se prevén contra quienes desobedezcan las resoluciones de la Sección Segunda de la Comisión de la Propiedad Intelectual se pretenden convertir en un “elemento disuasorio“, al duplicarse las multas máximas, de 300.000 euros hasta los 600.000 para los sitios de enlaces que incumplan los requerimientos de retirada de contenidos declarados infractores. Además, las multas mínimas también crecen y pasan de los 30.000 hasta los 150.001 euros.
Alberto Casero, vice-portavoz del PP en la Comisión de Cultura, reconoció que “el contenido de esta ley tiene un profundo contenido económico, por lo que uno de los objetivos fundamentales es la compensación por copia privada, una de las fuentes principales de financiación de las industrias culturales“.