1

1

30/11/06

J O R N A D A

"Legislación y tecnologías de la información en la empresa"

Organiza: Araba Enpresa Digitala

Colaboran

2

30/11/06

RESUMEN:

La legislación española es una de las más restrictivas en el tratamiento de datos. Con las leyes aprobadas en los últimos años las empresas están sujetas a un mayor número de medidas de obligado cumplimiento. En esta jornada se dará un repaso a las diferentes leyes que afectan a los sistemas de información de la empresa desde un punto de vista práctico.

FECHA: jueves 30/11/2006

DURACIÓN: 16:00 - 19:00 (3 h)

LUGAR: parque tecnológico de Miñano

DIRIGIDO A: responsables de sistemas de información, recursos humanos y gerencia

2

3

30/11/06

PONENTES

D. Roberto Carazo Hermana (INTER IUS) www.inter-ius.com

- Consultor Jurídico en Derecho de las Nuevas Tecnologías

D. Aitor Aguirre Fernández (NESYS) www.nesys-st.com

- Consultor de seguridad y tecnologías de la información

4

30/11/06AGENDA

16:00 - Roberto Carazo. Consultor Jurídico en Derecho de las NNTT. INTERIUS

- LOPD (Ley Orgánica de Protección de Datos): Repaso general y novedades que aporta el nuevo reglamento que entrará en vigor en el 2007 - LSSICE (Ley de los Servicios de la Sociedad de la Información y el Comercio Electrónico): Aspectos generales

17:00 Pausa-café

17:20 - Aitor Aguirre. Consultor de seguridad y TI. NESYS

- LPI (Ley de Protección Intelectual): Implicaciones de los diferentes tipos de licencias y protección de contenidos. - Repercusiones sobre otras normativas: Referencias en las normas ISO 27001, UNE 71501, BS 17799 - Ejemplos de aplicación y cumplimiento

18:50 Ruegos y preguntas

3

5

30/11/06

16:00 - D. Roberto Carazo. Consultor Jurídico en Derecho de las NNTT. Interius

- LOPD (Ley Orgánica de Protección de Datos): Repaso general y novedades que aporta el nuevo reglamento que entrará en vigor en el 2007

- LSSICE (Ley de los Servicios de la Sociedad de la Información y el Comercio Electrónico): Aspectos generales

6

30/11/06

INDICE• LA LEY: ANTECEDENTES Y SITUACIÓN ACTUAL• ¿POR QUÉ EXISTE LA LOPD?• LA EMPRESA Y LA LOPD• ¿QUÉ SON DCP?• ¿QUÉ DATOS SE PUEDEN OBTENER?• ¿CÓMO OBTENERLOS?• ¿CÓMO LOS TRATO?• ¿CÓMO SE DEBEN TRATAR?• CESIÓN DE DATOS• SANCIONES• REGLAMENTO DE MEDIDAS DE SEGURIDAD• CONTENIDO MÍNIMO• MEDIDAS DE NIVEL MEDIO• MEDIDAS DE NIVEL ALTO• EL NUEVO REGLAMENTO• EL NUEVO REGLAMENTO: MEDIDAS DE SEGURIDAD• EL NUEVO REGLAMENTO: MEDIDAS NO AUTOMATIZADOS• EL NUEVO REGLAMENTO: OTRAS NOVEDADES

4

7

30/11/06

“La ley limitará el uso de la informática para

garantizar el honor y la intimidad personal y

familiar de los ciudadanos y el pleno ejercicio

de sus derechos.”

1968 – Resolución 509 del Consejo de Europa

1981 – Convenio 108 del Consejo de Europa

1978 – Constitución Española

1982 – Ley Orgánica 1/1982

1992 – LORTAD

1995 – Directiva 95/46/CE

1999 – LOPD y RMS

Cap. II Art. 18.4 - De los derechos fundamentales y de las libertades públicas

Constitución española

2004– Ley Vasca

2005 – Decreto AVPD

2006 – Nuevo RMS

Legislación

La Ley: antecedentes y situación actual

8

30/11/06

¿Por qué existe la LOPD?

Facilidad de acceso y tratamiento de datos

+Bajo coste

=Intromisión en la vida

privada

La situación actual responde al pricipio de causa, efecto

Consecuencia

Necesidad de

normativa reguladora

5

9

30/11/06

La empresa y la LOPDSituación actual:

"Más del 90% de las empresas no cumple

la LOPD"

Desconocimiento total.Desconocimiento total.

Mero cumplimiento de notificación de ficheros.Mero cumplimiento de notificación de ficheros.

Documento de Seguridad testimonialDocumento de Seguridad testimonial

Compromiso firmeCompromiso firme

Integración total en la gestión

Integración total en la gestión

10

30/11/06

¿ Otra carga más para las PYMES ?

La empresa y la LOPD

6

11

30/11/06

La empresa y la LOPD

•Atender a las numerosas exigencias de gestión, registros, documentos, requisitos...

•Controlar la pluralidad de empleados que acceden a datos personales en la empresa

ALGUNAS RAZONES POR LAS CUALES ES ALGUNAS RAZONES POR LAS CUALES ES INTERESANTE CONTAR CON UN SISTEMA DE INTERESANTE CONTAR CON UN SISTEMA DE

PROTECCIPROTECCIÓÓN DE DATOSN DE DATOS

•Respeto a la legalidad, evitar inspecciones

• Aumentar la seguridad informática de la empresa

12

30/11/06

Principios de la Ley Orgánica de Protección de Datos de Carácter

Personal

7

13

30/11/06

¿Qué entendemos por DCP?

Cualquier información sobre personas físicas

– Identificadas– Identificables

14

30/11/06

¿Qué datos se pueden obtener?

Principio de calidad:- Adecuados- Pertinentes- No excesivos

8

15

30/11/06

¿Cómo obtenerlos?• Información al recoger los datos– Existencia de un fichero de datos– Finalidad de la recogida de los datos– Destinatarios de la información– Responsable del tratamiento– Derechos ARCO

• Excepciones– Fuentes accesibles al público– Previsión otras leyes

16

30/11/06

¿Cómo los trato?• Consentimiento del interesado ¿Expreso o tácito?

• Expreso– Origen racial– Salud– Vida sexual

• Expreso y por escrito– Ideología– Afiliación sindical– Religión– Creencias

9

17

30/11/06

ExcepcionesExcepciones

- Funciones propias de las Administraciones Públicas

- Contrato o relación negocial

- Interés vital

- Fuentes accesibles al público

18

30/11/06

¿Cómo se deben tratar?

• Finalidad: Sólo pueden utilizarse para lo que se obtuvieron

• Tienen que estar actualizados

• Deber de secreto

• Medidas de seguridad

10

19

30/11/06

Cesión de datos

• Necesario el consentimiento del interesado• Excepciones– Autorización de una ley– Datos de fuentes accesibles al público– Cumplimiento de contrato que necesite conexión

con ficheros de terceros

20

30/11/06

Art. 12 El encargado del tratamiento

• ¿Qué es?• Obligación de contrato:– Tratamiento conforme a las instrucciones del responsable del

fichero– No utilizarlos con fin distinto al que figure en el contrato– No comunicarlos a otras personas– Implantación de medidas de seguridad acordes a los datos– Devolución o destrucción de los datos al finalizar la relación

contractual

11

21

30/11/06

• 1. LEVES– Multa entre 601 y 60.101 euros

• 2. GRAVES– Multa entre 60.101 y 300.506 euros

• 3. MUY GRAVES– Multa entre 300.506 y 601.012 euros

SANCIONES

22

30/11/06

Reglamento de medidas de seguridad (Ficheros automatizados)

• Elaborar un Documento con medidas técnicas y organizativas para garantizar la seguridad

• Niveles de protección– Básico– Medio– Alto

12

23

30/11/06

Contenido mínimoDocumento de seguridad

• Ámbito de aplicación

• Estructura de los ficheros y descripción de los sistemas que los tratan

• Medidas de seguridad– Identificación y autenticación de usuarios– Gestión de soportes– Funciones y obligaciones del personal– Gestión de incidencias– Copias de seguridad

24

30/11/06

Medidas de nivel medio

• Las de nivel básico reforzadas más– Responsable de seguridad– Auditoría

13

25

30/11/06

Medidas de nivel alto

• Las de nivel medio reforzadas más– Cifrado de los datos– Registro de accesos– Informe mensual

26

30/11/06

EL NUEVO REGLAMENTO

14

27

30/11/06

El nuevo Reglamento• Pendiente de aprobación

• Objetivos– El desarrollo de aspectos contemplados de forma

abstracta como principios generales en la LOPD tales como el deber de información, la obtención del consentimiento, las cesiones de datos, el encargo de tratamiento, etc.

– La delimitación de los procedimientos organizativos y medidas técnicas a implantar tanto en ficheros automatizados, como en ficheros no automatizados

28

30/11/06

• Los datos actualmente catalogados de nivel alto cuando se traten únicamente con la finalidad de efectuar la gestión de obligaciones por el retenedor, o para la transferencia dineraria a las entidades se podrán tratar con las medidas de seguridad de nivel básico

El nuevo Reglamento

Ej: Nóminas

15

29

30/11/06

• En el nivel medio se añade ahora el de los datos de menores de 14 años y el de las víctimas de violencia de género (excepto si aparecen datos de salud)

• Nivel alto: añaden los datos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público, o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico o localización.

• Se considera también de nivel alto aquellos datos y claves necesarios para emitir certificados digitales que permitan realizar firma electrónica, excepto aquellos que por su propia naturaleza deban ser públicos

El nuevo Reglamento

30

30/11/06

El nuevo Reglamento: Medidas de seguridad

-Cualquier documento o soporte con datos de carácter personal a desechar, deberá ser destruido o borrado.

-Como medida de nivel básico será necesario efectuar copias de respaldocon carácter semestral para la comprobación y verificación de la correcta definición, pruebas de funcionamiento...

- Se incluye como una medida de nivel medio de seguridad la de llevar a cabo el cifrado de dispositivos portátiles que contengan datos personales cuando salgan de la entidad

- Se extiende la necesidad de tener un registro de los accesos a ficheros de nivel medio, medida esta que sólo era exigible para los ficheros de nivel alto.

16

31

30/11/06

El nuevo Reglamento: Medidas de seguridad

-Se mantiene la obligación de realizar una auditoría al menos cada dos años, no obstante, se añade la obligación de notificar a la AEPD la fecha de Auditoría, así como la indicación de si se ha realizado interna o externamente.

32

30/11/06

• Inventariado de ficheros, almacenamiento controlado, criterios de archivo para la conservación, localización y consulta, y posibilitar el ejercicio de los derechos.

• Dotación de seguridad en los locales como dispositivos ignífugos y equipamiento contra incendios, control de acceso a armarios y archivadores ubicados en áreas de acceso restringido o bajo vigilancia de personal autorizado, y mecanismos que impidan el libre acceso a los mismos por personas no autorizadas, limitar la posibilidad de copiar documentos y acceder a las copias y realizar un control para evi tar accesos no autorizados.

• Registro de accesos (solicitud de acceso, registro del mismo, conservación de estos registros durante dos años, etc.), almacenamiento de la información en armarios y archivadores con llave o similar, custodia de lainformación durante su proceso de tramitación antes de ser archivada en el fichero, medidas para impedir la manipulación de documentación cuando se traslade y controles que permitan detectar si se ha producido algún acceso no autorizado, etc.

El nuevo Reglamento: Soportes no automatizados

17

33

30/11/06

• Simplificación del procedimiento de notificación de ficheros en el RGPD• Creación de un fichero de Contactos (tratamiento de los datos personales de

las personas de contacto incluso cuando tales directorios no sean de uso común o compartido)

• Definición de conceptos ambiguos (definición de “tercero”, “identificable”, “datos de salud”, etcétera).

• La insistencia de determinar que la carga de la prueba de haber informado debidamente con todos los requisitos y haber obtenido el debido consentimiento de un usuario para tratar sus datos, recae en el responsable del fichero.

• Nuevos requisitos para llevar a cabo el deber de información correctamente, especificaciones para la obtención del consentimiento (para el tratamiento, para cesiones, en datos especialmente sensibles, etc.), cómo obtener de forma válida un consentimiento tácito, etc.

• Con respecto al consentimiento tácito, cuando no sea obligatorio el consentimiento expreso, habrá que dar un plazo de 30 días para que el afectado pueda negarse, derecho de revocación en un plazo de 10 días hábiles desde la recepción de la solicitud. El responsable podrá iniciar el tratamiento o proceder a la cesión de los datos a partir de los 45 días, desde el envío de la solicitud de consentimiento al afectado.

El nuevo Reglamento: Otras Novedades

34

30/11/06

• Con respecto a los contratos de acceso a datos por cuenta de terceros las novedades son las siguientes:

? De forma expresa las medidas de seguridad a aplicar por el encargado del tratamiento han de detallarse en el Contrato

? El encargado de tratamiento podrá establecer subcontrataciones bajodeterminados requisitos. Entre otros:

§ obligaciones de conservación de datos,§ contenido de su documento de seguridad,§ remisión de las peticiones de acceso, rectificación, cancelación

y oposición al responsable del fichero, etc.

? También va a ser posible que el encargado del tratamiento puedaconservar los datos para hacer frente a posibles responsabilidades de la prestación de su servicios (en la actualidad se fija o bien la devolución de los datos o bien la destrucción de los mismos).

El nuevo Reglamento: Otras Novedades

18

35

30/11/06

• La obligación de ofrecer a un cliente en un proceso de contratación la posibilidad de negarse a que se utilicen sus datos para finalidades que no sean estrictamente el cumplimiento del objeto contractual. El criterio actual es que en el marco de estos contratos (generalmente de adhesión) se prevea una obtención del consentimiento autónoma y diferenciada para las finalidades que no sean las estrictamente del contrato.

• Las diversas formas de atender los derechos de acceso, rectificación y cancelación, delimitación de los plazos legales para contestar, necesidades de concienciación y difusión del procedimiento en la compañía, la regulación del contenido del derecho de oposición, no delimitado previamente en el texto de la LOPD, etc.

El nuevo Reglamento: Otras Novedades

36

30/11/06

LA LEY 34/2002 DE 11 DE JULIO SOBRE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y COMERCIO

ELECTRÓNICO

LSSICE

19

37

30/11/06

INDICE• INTRODUCCION• EVOLUCION TEMPORAL• OBJETO y OJETIVOS• AMBITO DE APLICACIÓN• OBLIGACIONES• SOLUCION DE CONFLICTOS• SOLUCION DE CONFLICTOS• REGIMEN SANCIONADOR• VENTAJAS • OBJECCIONES• RESUMEN DE OBLIGACIONES

38

30/11/06

INTRODUCCIÓN

20

39

30/11/06

IntroducciIntroduccióónn

Sociedad Sociedad IndustrialIndustrial

Se tiene acceso alos bienes producidos

por otros

Sociedad Sociedad PostindustrialPostindustrial

Se tiene acceso alos servicios prestados

por otros

SociedadSociedadde la de la

InformaciInformacióónnSe tiene acceso a

la información generadapor otros

1800 1900 1950 2000 2050

La optimización de los procesos industriales , es reemplazado porel procesamiento y manejo de la información.

1960

40

30/11/06

•La Fase de desarrollo social , caracterizada por la capacidad de sus miembros (ciudadanos, empresas, Adm. Pública) para obtener y

compartir cualquier información , instantáneamente desde cualquier lugar y en la forma en la que se desee.

IntroducciIntroduccióónn

21

41

30/11/06

EVOLUCIÓN TEMPORAL

42

30/11/06

1980 Convención de la ONUsobre los Contratos de Compraventa Internacional de Mercaderías

1998 Ley 7/1998 sobre Condiciones Generales de la Contratación

1997 Directiva 1997/7/CE, sobre protección de los consumidores en contratos celebrados a distancia

1998 Directiva 98/27/CE relativa a las acciones de cesación en materia de protección de los intereses de los consumidores.

1999 Resolución sobre la dimensión relativa a los consumidores en la Sociedad de la Información

1999 Recomendaciones de la AEPD, al sector del Comercio Electrónico, para la adecuación de su funcionamiento a la LOPD

2000 Directiva 2000/31/CE relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior

2002 LEY 34/2002DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y DEL COMERCIO ELECTRÓNICO.

2002 Ley 39/2002de Protección de los Intereses de los Consumidores y Usuarios

2003 Ley 32/2003General de Telecomunicaciones. Ley 59/2003 de firma electr ónica

Legislación

Evolución temporal

22

43

30/11/06

OBJETO

44

30/11/06

ObjetoINTERNET y NNTT

INCORPORACIÓN

VIDA ECONÓMICA Y SOCIAL

INCERTIDUMBRE JURIDICA

INTERNET y NNTT

LSSI

CONFIANZASEGURIDAD

JURIDICA

VIDA ECONÓMICA Y SOCIAL

23

45

30/11/06

OBJETIVOS

46

30/11/06

Objetivos

LSSI

- ARMONIZAR LA LEGISLACIÓN DE LOS ESTADOS DE LA UE

- PROTEGER AL CONSUMIDOR

- DAR CONFIANZA Y SEGURIDAD JURÍDICA EN INTERNET Y EN EL COMERCIO ELECTRÓNICO

24

47

30/11/06

ÁMBITO DE APLICACIÓN

48

30/11/06

Ámbito de Aplicación

LSSI APLICABLE A

Prestadores de Servicios de la Sociedad de

la Información

Servicios prestados por ellos

25

49

30/11/06

<<La Ley se aplica al comercio electrónico y a otros servicios de Internet cuando sean parte de una

actividad econactividad econóómicamica.>>

50

30/11/06

¿A quién afecta?

«Prestador de servicios»Persona física o jur ídica que proporciona un servicio de la SI.

- Establecidos en España y a los servicios prestados por ellos.

- Establecidos en otro Estado miembro de la Unión Europea o del Espacio Económico Europeo

- Establecidos en un Estado no perteneciente a la Unión Europea o al Espacio EconómicoEuropeo cuando el destinatario de los servicios radique en España.

26

51

30/11/06

Definición

«Servicios de la S.I.»Todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario.

También no remunerados, si constituyen una actividad económica para el prestador.

Entre otros:

- La contratación de bienes o servicios por vía electrónica.

- El envío de comunicaciones comerciales.

- El suministro de información por vía telemática.

COMERCIO ELECTRÓNICO PÁGINAS WEBe-MAIL

52

30/11/06

Estos Servicios de la S.I. son ofrecidos por...

Los operadores de telecomunicaciones

Los proveedores de acceso a Internet

Los portales

Los motores de búsqueda

Cualquier otro sujeto que disponga de un sitio en Internet

Normalmente no desempeñan una sola de estas actividades, sino varias, incluido el comercio electrónico.

Euskaltel, Telefónica....

Euskaltel, Telefónica....

Google

Hostings

Página Web Personal

27

53

30/11/06

Modo de prestar los ServiciosLa prestación de servicios de la sociedad de la información.

- No estará sujeta a autorización previa.

- No necesario inscripción en ningún registro

- Se realizará en régimen de libre prestación de servicios

CUALQUIERA PUEDE SER PRESTADOR DE SERVICIOS DE LA SI

54

30/11/06

OBLIGACIONES

28

55

30/11/06

Obligaciones

<<La Ley impone una serie de obligaciones a los Prestadores de Servicios de la S.I.para proteger

los intereses de los destinatarios de servicios, de forma que éstos puedan gozar de garantías

suficientes a la hora de contratar un servicio o bien por Internet.>>

56

30/11/06

• OBLIGACIONES– REGISTRO NOMBRE DOMINIO– INFORMACIÓN– En la CONTRATACIÓN– PUBLICIDAD

29

57

30/11/06

Registro nombre de dominio

www.nombre-empresa.com

Inscripción en el Registro Mercantil

PLAZO:1 MES

58

30/11/06

...para las empresas que realizan comercio electrónico...

30

59

30/11/06

Obligación de InformaciónMostrar en su página web, de forma permanente, fácil, directa y gratuita:

“AVISO LEGAL”

àDenominación social, NIF, domicilio y dirección de e-mailàCódigos de conducta a que estén adheridas.àPrecios de los productos o servicios que ofrecen.àDatos de su inscripción en el Registro, del nombre de DominioàAutorización administrativa previa a la que se sujeten los servicios àSi ejerce profesi ón regulada, Colegio profesional, nº colegiadoàPrecio del producto o servicio, indicando impuestos, gastos de envío.

60

30/11/06

En la Contratación

...y si además realiza contratos contratos onon--lineline deberá añadir la siguiente información:

Trámites que deben seguirse para contratar on-line.

Condiciones generales a que, en su caso, se sujete el contrato.

...y confirmar la celebración del contrato por vía electrónica, mediante el envío de un acuse de recibo del pedido realizado.

*Posible IntervenciónTerceros de Confianza

31

61

30/11/06

...y si hacen publicidad por vía electrónica...

62

30/11/06

PublicidadProhibido el envío de comunicaciones publicitarias o promocionales por correo electrónico o medio equivalente...

– Previamente NO solicitadasNO solicitadas o – Expresamente NO autorizadasNO autorizadas.

EXCEPTO

-Relación contractual previa -Comunicaciones comerciales referentes a productos o servicios de su propia empresa

similares a los inicialmente contratados.

SPAMSPAM

32

63

30/11/06

Publicidad

El anunciante debe identificarse claramente.El carácter publicitario del mensaje debe resultar inequívoco. Si se realizan ofertas, concursos o juegospromocionales, además debe...àIdentificarlas como talesàExpresar de forma clara e inequívoca las

condiciones de participación.

“PUBLICIDAD”

“Oferta Promocional”

64

30/11/06

Cuando se envíen por correo electrónico, mensajes SMS...

Obtener con carácter previo, el consentimiento del destinatario.

Identificar el mensaje publicitario con la palabra «publicidad»

Establecer procedimientos sencillos para facilitar la revocación del consentimiento por el usuario.

33

65

30/11/06

...Y Para los Servicios de tarificación adicional...

Proporcionar la siguiente información:

Características del servicio

Funciones que efectuarán los programas informáticos que se descarguen, y número telefónico que se marcará.

Procedimiento para dar fin a la conexión

Procedimiento necesario para restablecer el número de conexión previo a la conexión de tarificación adicional

904..903..

906..

66

30/11/06

...Para las empresas que prestan otros Servicios de la Sociedad de la Información...

34

67

30/11/06

Quienes son

àLos operadores de telecomunicaciones;

àLos proveedores de acceso a Internet (ISPs);

àLos prestadores de servicios de alojamiento de datos y...

àlos buscadores.

Euskaltel, Telefónica....

Sarenet, Hostalia....

Google, Altavista....

68

30/11/06

Obligaciones

Colaborar con los órganos públicos para la ejecución de resoluciones que no puedancumplirse sin su ayuda.

Retener los datos de tráfico relativos a lascomunicaciones electrónicas, de acuerdo con lo que establezca el Reglamento de desarrollo de la Ley.

35

69

30/11/06

Responsabilidad

à No son responsables de los contenidos quetransmiten o alojan o a los que facilitan acceso,si no participan en su elaboración.

à Son responsables si conocen su ilicitud y no actúan rápidamente para retirarlos o imposibilitar el acceso a ellos.

70

30/11/06

...para los usuarios de Internet...

36

71

30/11/06

Titulares de Páginas Personales

Solamente si incluyen publicidad por la que perciban ingresos están sujetas a la Ley.

-Deben ofrecer información básica (nombre, residencia, dirección de correo electrónico y NIF)

-Respetar las normas sobre publicidad incluidasen la Ley:

El anunciante debe identificarse claramente.El carácter publicitario de la información deberesultar inequívoco.

72

30/11/06

SOLUCIÓN DE CONFLICTOS

37

73

30/11/06

Solución de Conflictos

-JUDICIALà

-EXTRAJUDICIALà

Acción de Cesación

Posibilidad deMedidas Cautelares

Códigos de Conducta

Autorregulación

Arbitraje

74

30/11/06

RÉGIMEN SANCIONADOR

38

75

30/11/06

Infracciones:• Muy Graves:No suspender la transmisión, alojamientoetc...cuando lo establezca la Adm.Incumplimiento de la obligación de Retenerel tráfico generado según el Art12 y el uso ilegitimo de estos..Incumplimiento de las ordenes Adm.• Graves: Incumplimiento de los Requisitosde información general Art.10.1, no proporcionar al usuario las CGC,incumplimiento de la confirmaciónde la aceptación. Envió masivo de spam.• Leves: Falta de comunicación a losregistros de los nombres de dominio,Falta de comunicación de conductasilícitas,comunicaciones comerciales nopermitidas.

Sanciones:• Para las Muy graves multa de:15.000 a 60.000 €La reiteración en tres años da lugar a la prohibición de actuación en Esp.•Para las Graves multa de:30.000 a 150.000 €•Para las Leves multa de :hasta 30.000 €

La Graduación dependerá de: la existenciade intencionalidad, la reincidencia, la naturaleza de los perjuicios causados, y los beneficios obtenidos.

*Posibilidad de: - Medidas Cautelares-Multa Coercitiva

MCYT

SETSI

RRéégimen Sancionadorgimen Sancionador

AGPD

76

30/11/06

VENTAJAS

39

77

30/11/06

Ventajas YA NO VALE TODO

SEGURIDAD JURÍDICA

MAS INFORMACIÓN Usuarios y Consumidores

RAPIDEZ, AGILIDAD y COMODIDAD AL CONTRATAR

SEGURIDAD EN LA CONTRATACIÓN

USUARIO PRESENTE EN PROCEDIMIENTO Y EVITA GASTOS DESPLAZAMIENTO

MAS CLARIDAD

CREA UN CLIMA DE CONFIANZA A LOS USUARIOS

78

30/11/06

Para los USUARIOS...

àInformación sobre los prestadores de servicios y precios.

àConocer identidad del anunciante, no recibir SPAM/ Derecho de oposición.

àConocer pasos para contratar por Internet, acceder a las CGCantes de realizar pedido y obtener acuse de recibo.

àConsumidor a través de Internet, se beneficia del régimen de la Ley de ordenación del comercio minorista para todas las ventas a distancia.

40

79

30/11/06

OBJECIONES

80

30/11/06

àPROBLEM ÁTICA DEL SPAM

à¿FRENO AL COMERCIO ELECTRÓNICO?

àEXCESIVOS REQUERIMIENTOS TÉCNICOS, ADMINISTRATIVOS Y OBLIGACIONALES

àDESMESURADO RÉGIMEN SANCIONADOR

àPOTENCIALIDAD DE CENSURA DE LOS CONTENIDOS LIBRES DE INTERNET

àELIMINACIÓN DEL ANONIMATO, DISCREPANCIA Y LIBERTAD DE EXPRESIÓN.

Objeciones

41

81

30/11/06

RESUMEN DE OBLIGACIONES

82

30/11/06

Resumen de ObligacionesResumen de Obligaciones

ObligacionesObligaciones de una empresa que de una empresa que disponga de una Web propia a travdisponga de una Web propia a travéés de s de la que la que comercializa sus productoscomercializa sus productos

OBLIGACIONES DE INFORMACIÓN:-Denominación social, NIF,dirección deCorreo electrónico y datos de inscripción RM.Información precios de productos,servicios,Gastos de envío, determinar si incluye o no Impuestos.-Códigos de conducta a los que se adhiere.-Si se trata de profesión regulada, los datos básicos que acrediten su Dº a ejercerla.

-Si la actividad esta sujeta a autorizaciónAdministrativa, los datos de la misma.

OBLIGACIONES EN LACONTRATACIÓN ON-LINE•Tramites para celebrar el contrato.•Información sobre si se va a archivar Electrónicamente.•Forma de identificación y correcciónde errores en la introducción de datos.•Lengua/as en las que se pueda Formalizar el contrato.• Si las hay, condiciones Generales delContrato•Enviada la aceptación habrá que remitir la confirmación, formalización

42

83

30/11/06

17:00 - Pausa-café

84

30/11/06

17:20 - D. Aitor Aguirre. Consultor de seguridad y TI. NESYS

- LPI (Ley de Protección Intelectual): Implicaciones de los diferentes tipos de licencias y protección de contenidos.

- Repercusiones sobre otras normativas: Referencias en las normas ISO 27001, UNE 71501, BS 17799

- Ejemplos de aplicación y cumplimiento

43

85

30/11/06

ÍNDICE

• Principios de la LPI• Novedades de la reforma del 29/07/06• Tipos de licencias más utilizados• Normativas y códigos de buenas prácticas• Casos prácticos y ejemplos

86

30/11/06

Principios de la LPI¿Qué son los derechos de propiedad intelectual?

La Organización Mundial de la Propiedad Intelectual clasifica las distintas facetas de la propiedad intelectual en dos ramas principales: por un lado existen los derechos ligados a la propiedad industrial (patentes, marcas, diseño industrial, y denominaciones de origen), y por otro está el Derecho de autor y los derechos conexos.

En la Propiedad Industrial, se generan derechos solamente mediante registro expreso y concreto. Esto no ocurre con la propiedad intelectual ya que se generan desde la creación de la obra esté registrada o no.

Aún así en ambas formas de propiedad: si el autor no registra no tiene muchas garant ías para demostrar que es precisamente el autor.

44

87

30/11/06

El derecho de autor se define como el conjunto de derechos legítimos de una persona natural o persona jurídica sobre su obra de naturaleza literaria, artística o científica.

La legislación establece que el autor pueda obtener unos beneficios por su trabajo intelectual y su aportación a la cultura en general, durante un tiempo limitado.

El autor es la persona capaz de plasmar sus ideas de carácter literario, artístico o científico en una obra concreta sobre un soporte tangible o intangible.

La autoría de una obra puede ser completamente individual, pero también puede ser plural, se entiende cuando la obra ha sido elaborada por más de una persona.

88

30/11/06

Marcas y patentesUna patente es un conjunto de derechos exclusivos garantizados por un gobierno o autoridad al inventor de un nuevo producto (material o inmaterial) susceptible de ser explotado industrialmente para el bien del solicitante de dicha invención (como representante por ejemplo) por un espacio limitado de tiempo (generalmente 20 años desde la fecha de solicitud).

Luego una patente garantiza un monopolio de explotación de la idea o de una maquinaria durante un cierto tiempo

Una marca es todo signo o medio material de cualquier clase o forma, que sirva para señalar y distinguir de otros productos y servicios similares.

45

89

30/11/06

Principios de la LPILa ley establece distintas figuras legales de acuerdo con las posibles responsabilidades de autoría de una obra:

Obras en colaboración: los autores tienen el mismo nivel de responsabilidad sobre la obra, y por tanto disfrutan de los mismos derechos.

Obras colectivas: la Ley establece que los derechos de una obra colectiva correspondan a quien actúe con responsabilidad sobre toda la obra.

Obras compuestas: son obras que incorporan una obra preexistente, sin la colaboración del autor de dicha obra. La ley establece que el segundo autor debe obtener la autorización para dicho uso.

Obras independientes: Son obras autónomas que se publican junto con otras. Los derechos corresponden a cada autor por separado.

90

30/11/06

La obraLa ley describe la tipología de obras y cuáles deben ser sus características para ser objeto de protección:

Obras y títulos originales (art. 10)•Libros, folletos, impresos, epistolarios, escritos, discursos y alocuciones, informes forenses, explicaciones de c átedra y cualesquiera otras obras de la misma naturaleza. •Las composiciones musicales con o sin letra •Obras dramáticas y dramático-musicales, coreograf ías, pantomimas, y en general las obras teatrales •Obras cinematográficas y cualesquiera otras obras audiovisuales •Esculturas y obras de pintura, dibujo, grabado, litograf ía y las historietas gráficas, tebeos o cómics, así como sus ensayos o bocetos y las demás obras plásticas, sean o no aplicadas. •Proyectos, planos, maquetas y diseños de obras arquitectónicas y de ingeniería •Gráficos, mapas y diseños relativos a la topograf ía, la geograf ía y, en general, a la ciencia. •Las obras fotográficas y las expresadas por procedimiento análogo a la fotograf ía. •Programas de ordenador

El título de la obra cuando sea original, quedará protegido como parte de ella.

Principios de la LPI

46

91

30/11/06

Obras derivadas y colecciones (art. 11-12)Son protegibles también las obras derivadas, tales como: traducciones y adaptaciones, revisiones, actualizaciones y anotaciones; compendios, resúmenes y extractos; arreglos musicales; Cualquier transformación de una obra literaria, art ística o científica. Sin perjuicio de los derechos que correspondan al autor de la primera obra.Son objeto de protección también las colecciones de obras ajenas, tales como las antologías, y otras de la misma índole, sin perjuicio de los derechos de los titulares.

Exclusiones: Textos legales (art. 13)No son objeto de propiedad intelectual los textos legales, tales como disposiciones, proyectos, resoluciones de órdenes jurisdiccionales, actos, acuerdos, dictámenes de los organismos públicos, así como sus traducciones.

Principios de la LPI

92

30/11/06

Principios de la LPIEl criterio de originalidadLas obras de la naturaleza descrita en los artículos 10-12 deben ser originales para poder ser objeto de propiedad intelectual, es decir que nosean copias. Originalidad no significa novedad, como es el caso de las patentes.

La ley prevé también el disfrute de derechos para las personas que participan en otro nivel de responsabilidad, se trata de los derechos conexos que contemplan:

Ejecuciones de los artistas, intérpretes o ejecutantes, producciones de fonogramas, grabaciones audiovisuales, mera fotografía, producciones radiofónicas, y determinadas producciones editoriales.

47

93

30/11/06

¿Qué son los derechos de autor o copyrights?Los derechos de autor comprenden las facultades morales sobre su obra, por ejemplo decidir si la obra debe ser divulgada y en qué forma, el nombre bajo el cual quiere ser conocido, por ej.. Los derechos económicos o de explotación sobre la obra son transmisibles y de carácter temporal: duran toda la vida del autor y prescriben 70 años después de la muerte del autor.

Los derechos moralesLa propiedad intelectual es un conjunto de derechos muy vinculados a la persona, pues la obra no deja de ser un reflejo de su sensibilidad e inteligencia, por ello, este derecho tiene las siguientes características:

Es un derecho de la persona, perpetuo, irrenunciable, inalienable, imprescriptible e inembargable.

Principios de la LPI

94

30/11/06

Los autores tienen las siguientes facultades:

•Derecho de divulgación (decidir si quiere o no divulgar la obra y en que forma) •Derecho al nombre y a la paternidad (decidir bajo qué nombre se divulga la obra, y su reconocimiento) •Derecho a la integridad de la obra (el autor puede oponerse a todo acto que signifique la mutilación de su obra) •Derecho de modificación (el autor puede cambiar de parecer y por ello puede modificar su obra en posteriores ediciones o versiones) •Derecho de retracto (en caso de decidir la retirada de la obra del mercado, puede ejercerse este derecho previa indemnización de terceros) •Derecho al ejemplar único (caso de obras con un significado especial, el autor puede decidir que quiere recuperarlas, sin embargo, igual que en el caso anterior cabe indemnizar a terceros).

Principios de la LPI

48

95

30/11/06

Los derechos económicos

Son de carácter exclusivo, pero pueden ser cedidos. Son hereditarios y temporales, es decir, caducan.

•Derecho de reproducción Ej.:fotocopias, microfilms, fotografías, reproducciones sonoras o audiovisuales, electrónicas...

•Derecho de distribución Ej: alquiler en videoclubs, préstamo en bibliotecas distribución de ejemplares impresos...

•Derecho de comunicación públicaEj.: representaciones escénicas, recitaciones, disertaciones y

ejecuciones públicas de obras a través de cualquier medio, emisión, transmisión, retransmisión, radiodifusión por cualquier medio, acceso público a bases de datos

Principios de la LPI

96

30/11/06

•Derecho de transformación Ej.: traducciones, adaptaciones, collages...

•Derecho a la remuneración compensatoriaEj.: fotocopias, copias musicales, copias audiovisuales

•Droit de suite Ej.: reventas de obras

Principios de la LPI

49

97

30/11/06

El caso de los autores asalariados (trabajadores)

Sus derechos están ligados al contrato laboral que tenga con la empresa. En caso de no existir ningún pacto por escrito se entiende que los derechos corresponden a la empresa.

Principios de la LPI

98

30/11/06

Procedimientos legales de protección y transmisión de derechos

El autor para ejercer sus derechos debe utilizar las figuras legales previstas en la ley.

Registro de la propiedad intelectual: la ley establece que la obra queda protegida desde el momento de su creación sin ser necesaria otra formalidad. Sin embargo existen mecanismos para inscribir la obra en un registro público. Formalizar el Registro de la Propiedad Intelectual es de carácter voluntario. En el Registro se inscriben todas las obras que pertenezcan a la categoría establecida en el art. 10-12 de la Ley y que cumplan el requisito de originalidad. Contratos y licencias: el autor ejerce sus derechos a través de un contrato con su representante o intermediario donde se especifican los acuerdos, los plazos y los pactos económicos. Los contratos recogen los derechos que se ceden y en quécondiciones. Los acuerdos entre privados nunca pueden ser contrarios a la ley, salvo el caso de las licencias que la ley no especifica. Una vez aceptado el contrato o la licencia no se puede hacer nada que no esté permitido. En caso de incumplimiento por alguna de las partes se resuelve el contrato y entonces, si no hay acuerdo, es el Juez quien determinará.

Principios de la LPI

50

99

30/11/06

Medidas sancionadoras: El ordenamiento legislativo prevé una serie de medidas contra los delitos de propiedad intelectual.

Por delito se entiende toda acción que perjudique a una persona o personas en el ámbito de sus derechos, puede ser a nivel moral, económico, o ambos a la vez. Los delitos contra la propiedad intelectual están tipificados en el Código Penal (art. 270-272). Los más comunes son: plagio, falsificación, reproducción y/o distribución de copias ilícitas, y la comunicación pública sin autorización. Los delitos son objeto de juicio y como factores agravantes se considera el grado de intencionalidad y las ganancias económicas que haya obtenido el causante del delito.

Principios de la LPI

100

30/11/06

Las entidades de gestión colectiva

El autor puede gestionarse sus derechos o puede encargar esa tarea a un entidad de gestión colectiva.La gestión colectiva de los derechos de autor a través de las entidades de gestión permite administrar los derechos económicos que los autores hayan autorizado; esto implica controlar el uso de las obras, otorgar autorizaciones, recaudar dinero en concepto de derechos de autor y pagar a los autores según el uso de sus obras. Las entidades de gestión agilizan los trámites cuando se requiere autorización de los titulares de los derechos, en el caso que estén inscritos. Las entidades de gestión colectiva deben ser autorizadas por el Ministerio de Educación y Cultura para su creación. Son entidades sin finalidad de lucro y en caso de obtenerlo deben destinarlo a fomentar la creación intelectual.La Ley establece cuáles deben ser sus fines y sus obligaciones.

Principios de la LPI

51

101

30/11/06

En España existen actualmente ocho entidades de gestión:

SGAE (Sociedad General de Autores y Editores) VEGAP (Visual Entidad de Gestión de Artistas Plásticos) CEDRO (Centro Español de Derechos Reprográficos) AGEDI (Asociación de Gestión de Derechos Intelectuales) AIE (Artistas, Intérpretes y Ejecutantes) AISGE (Actores, Int érpretes Sociedad de Gestión de España) EGEDA (Entidad de Gestión de Derechos Audiovisuales) DAMA (Derechos de Autor Medios Audiovisuales)

La entidad más antigua en España es la SGAE.

Principios de la LPI

102

30/11/06

La gestión de los derechos se lleva a cabo de forma distinta en cada país, hay estados con mucha competencia entre entidades que tratan las mismas categorías de creaciones, y hay estados donde sólo existe una sola entidad de gestión para todos los autores.

A nivel internacional existen la CISAC (Confederación Internacional de Sociedades de Autores y Compositores), la IFRRO, entre otras.

Independientemente de las entidades de gestión los autores pueden decidir asociarse entre ellos, encargar la gestión de su obra a un gabinete especializado o pueden fundar un sindicato o asociación. No es obligatorio, pues asociarse a una entidad de gestión.

Principios de la LPI

52

103

30/11/06

Los límites legales

El derecho de autor no es absoluto. Existen unos límites previstos por la Ley, de carácter temporal. Otros límites son de carácter social para garantizar los derechos fundamentales relacionados con el derecho a la educación, a la cultura y la investigación, el derecho a la información y el derecho de libertad de expresión. Estos límites no pueden aplicarse de manera perjudicial para los autores.

Límites temporales¿Cómo saber cuando una obra entra en dominio público? Esta cuestión puede ser difícil en determinados casos de autores no inscritos en ninguna entidad de gestión y en paradero desconocido.

Principios de la LPI

104

30/11/06

La ley vigente establece los siguientes plazos de protección:

•Obra de autor: toda la vida del autor + 70 años para los herederos •Co-autoría: a computar a partir de la fecha de muerte del último coautor •Obra colectiva: 70 años desde fecha de publicación o divulgación. Si se publica en partes, se calcula cada parte por separado. •Obra anónima/pseudónimo: 70 años desde fecha de publicación. Si el pseudónimo se revela = mismos derechos que obra de autor. •Derechos conexos: 50 años desde publicación/divulgación •Editores de obras no publicadas previamente: 25 años. •Hay leyes diversas en España y hay que aplicar los cómputos según cada ley.

En general cualquier obra del siglo XX requiere comprobación.

Principios de la LPI

53

105

30/11/06

Los límites establecidos por la ley (art. 31-40, 56...)Los límites de las obras ya divulgadas están recogidas principalmente en los artículos 31-40, y 56. De acuerdo con la Ley no es necesaria la autorización de los titulares para determinados usos:

Reproducción sin autorización (art. 31):"Las obras ya divulgadas podrán reproducirse sin autorización del autor en los siguientes casos:•Como consecuencia o para constancia de un proceso judicial o administrativo •Para uso privado del copista, sin perjuicio de lo dispuesto en los artículos 25 y 99a) de esta ley, siempre que la copia no sea objeto de utilización colectiva ni lucrativa. •Para uso privado de invidentes, siempre que la reproducción se efectúe mediante el sistema Braille u otro procedimiento específico, y las copias no sean objeto de utilización lucrativa."

Principios de la LPI

106

30/11/06

Citas y rese ñas (art. 32):

"Es lícita la inclusión en una obra propia de fragmentos de obras ajenas de naturaleza escrita, sonora, audiovisual, así como la de obras aisladas de carácter plástico, fotográfico, figurativo o análogo, siempre que se trate de obras ya divulgadas y su inclusión se realice a título de cita o para su análisis, comentario o juicio crítico. Tal utilización sólo podrárealizarse con fines docentes o de investigación, en la medida justificada por el fin de esa incorporación e indicando la fuente y el nombre del autor de la obra utilizada. "

"Las recopilaciones periódicas efectuadas en forma de reseñas o revistas de prensa tendrán la consideración de citas."

En la era de la web 2.0 este artículo ha dejado margen a la libre interpretación.

Principios de la LPI

54

107

30/11/06

Libre reproducción y préstamo en determinadas instituciones (art. 37)

Los titulares de los derechos de autor no podrán oponerse a las reproducciones de las obras, cuando aquéllas se realicen sin finalidad lucrativa por los museos, bibliotecas, fonotecas, filmotecas, hemerotecas o archivos, de titularidad pública o integradas en instituciones de carácter cultural o científico, y la reproducción se realice exclusivamente para fines de investigación."

Asimismo, los museos, archivos, bibliotecas, hemerotecas,fonotecas o filmotecas de titularidad pública o que pertenezcan a entidades de interés general de carácter cultural, científico o educativo sin ánimo de lucro, o a instituciones docentes integradas en el sistema educativo español, no precisarán autorización de los titulares de los derechos ni les satisfarán remuneración por los préstamos realizados."

Esta excepción no detalla ni tipo de obra ni soporte, por tanto ahora mismo el préstamo está autorizado , y se puede hacer de los soportes que la institución establezca.

Principios de la LPI

108

30/11/06

Novedades en la reforma de la LPI

El pasado sábado 8 de Julio de 2006 se publicó en el BOE la ley 23/2006, de 7 de julio, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual (LPI), aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril.

La nueva norma, que entró en vigor el 29 de julio de 2006, ha querido adaptar las directivas europeas a la

legislación española sobre derechos de autor.

55

109

30/11/06

Reforma de la LPILa Ley ha trasladado el modelo tradicional de canon analógico al mundo digital. Esta decisión ha sido la que más polémica ha suscitado entre los diferentes colectivos.

El canon es una cantidad fija que las entidades de gestión de derechos de autor cobran como compensación por las copias privadas que el consumidor realice de materiales sujetos la propiedad intelectual.

110

30/11/06

El artículo 25 (uno de los más largos del repertorio legal español) define el canon como un derecho "irrenunciable" para los autores. Consagra el canon para los soportes digitales 'idóneos', algo que puede abarcar no sólo los CD y DVD vírgenes, sino reproductores MP3, teléfonos móviles multimedia, escáneres, impresoras o lápices de memoria. Aunque la cuantía del canon deberá ser pactada entre la industria y las entidades de gestión, ha de tener el visto bueno del Gobierno.

Lo anterior supone un encarecimiento del precio de dichos productos ya que, pese a que las entidades de gestión insistan en que los deudores son los distribuidores, el hecho es que se traslada al precio final.

Se desestiman como soporte idóneo los discos duros y "el ADSL"

56

111

30/11/06

La Ley también restringe el concepto de copia privada al ámbito doméstico y regula la instalación de medidas tecnológicas anticopia. La normativa crea, además, una Comisión de Propiedad Intelectual (antigua Comisión Mediadora de la Propiedad Intelectual) como órgano arbitral que se encargará de resolver conflictos entre las entidades y actuar contra la vulneración de los derechos en esta materia. La Comisión, que depende del Gobierno, podrá decidir las tarifas sobre los derechos exclusivos.

Reforma de la LPI

112

30/11/06

DEFINICIONES

La Copia Privada es un límite al derecho exclusivo de los autores que permite a una persona realizar la copia de una obra para uso privado sin ánimo de lucro. No se debe confundir la "copia privada" con copia de seguridad que se aplica solamente a programas informáticos ni tampoco tiene relación alguna con la piratería.

Se denomina ánimo de lucro, en Derecho, a la intención de una persona de incrementar su patrimonio mediante un acto jurídico legal o ilegal

57

113

30/11/06

El límite de la copia privada está establecido en la LPI en el artículo 31.2; en ésta se llama "copia privada" al límite del derecho exclusivo de los autores, que permite a una persona realizar una copia de una obra, sin que sea necesario obtener autorización expresa por parte del autor y demás titulares de derechos de propiedad intelectual.

Para poder efectuarla se exige que la copia sea de una obra ya divulgada, realizada por una persona física para su uso privado, que se haya accedido legalmente a la obra, y que la copia no tenga fines ni colectivos ni lucrativos.

114

30/11/06

Redes P2P y Copia Privada

Sentencias judiciales, abogados especializados y asociaciones deconsumidores afirman que descargarse archivos audiovisuales, aunque estén protegidos por copyright, es legal, amparándose en el derecho de copia privada y siempre que no haya ánimo de lucro.

Sin embargo, la mayoría de la doctrina especializada en materia de propiedad intelectual no solo española, sino también europea afirma que la LPI no establece en ningún momento la existencia de un Derecho a la Copia Privada, sino que lo que establece es un límite al derecho exclusivo de los autores.

[Ver entrevista realizada a David Bravo]

58

115

30/11/06

De esta forma, y en base al art ículo 31.2, la doctrina entendería que las copias realizadas a partir de redes P2P no podrían considerarse lícitas porque la ley prohíbe que de las mismas se haga una utilización colectiva, fin que se cumple cuando un usuario pone a disposición de millones de personas las copias que previamente se ha descargado de otro usuario (una colectividad de personas se benefician de la copia de un particular).

En este punto, la modificación de la LPI que ha introducido la Ley 23/2006 obliga ya a que las copias privadas sean realizadas a partir de obras a las que se haya accedido lícitamente, regulando al mismo tiempo el derecho de puesta a disposición que se recogía en la Directiva 2001/29/CE.

116

30/11/06

ficheros en el PC del usuario de red P2P

Red P2P

subida y bajada

comunidad de usuarios P2P

Depende de la aplicación utilizada al bajar contenido también se comparte la obra.

Ej. emule, torrent, kazaa...

...aunque se pueden cerrar puertos y limitar las subidas

copia privadapuesta a

disposición

€Delito

Ílicito civilLPI

59

117

30/11/06

De esta forma y según la nueva ley, subir un archivo a través de una red P2P constituiría un acto de puesta a disposición, mientras que descargarlo conllevaría una reproducción.

Además, es importante distinguir el ilícito civil del penal; compatir una obra por una red P2P puede no constituir un delito según el artículo 270 del Código Penal por no reunir los elementos del tipo, lo que no quiere decir que no pueda ser considerado un ilícito civil, según lo establecido en la Ley de Propiedad Intelectual.

118

30/11/06

Por otro lado...

En la constitución española...

Artículo 331. Se reconoce el derecho a la propiedad privada y a la herencia.2. La función social de estos derechos delimitará su contenido, de acuerdo con las leyes.3. Nadie podrá ser privado de sus bienes y derechos sino por causa justificada de utilidad

pública o interés social, mediante la correspondiente indemnización y de conformidad con lo dispuesto por las leyes.

Artículo 20

1. Libertad de expresión (comentario y parodia)2. Libertad de información (citas)3. Libertad de acceso a la cultura (copia privada)

La Ley 11/1998, de 24 de Abril, General de Telecomunicaciones

1. Derecho a la intimidad y deber de secreto de las comunicaciones

60

119

30/11/06

LicenciasUna licencia es la autorización o permiso concedido por el titular del derecho de autor, en cualquier forma contractual, al usuario de un programa informático, para utilizar éste en una forma determinada y de conformidad con unas condiciones convenidas.

La licencia, que puede ser gratuita u onerosa, precisa los derechos (de uso, modificación o redistribución) concedidos a la persona autorizada y sus límites. Además, puede señalar el plazo de duración, el territorio de aplicación y todas las demás cláusulas que el titular del derecho de autor establezca.

120

30/11/06

TIPOS DE LICENCIAS

A. Según los derechos que cada autor se reserva sobre su obra

1. Licencia de software libre sin protección heredadaSe puede crear una obra derivada sin que esta tenga obligación de protección alguna. Muchas licencias pertenecen a esta clase, entre otras:

Academic Free License v.1.2. Apache Software License v.1.1. Artistic. Attribution Assurance license. BSD License. MIT License. University of Illinois/NCSA Open Source License; W3C Software Notice and License.

61

121

30/11/06

TIPOS DE LICENCIAS

2. Licencia de software libre con protección heredadaAlgunas restricciones no se aplican a las obras derivadas. Entre las licencias de esta categoría están:

Artistic License. Common Public License v.1.0. GNU General Public License v.2.0. GNU Lesser General Public License v.2.1. Mozilla Public License.

3. Licencia de software semilibreSe permite uso, copia, modificación o redistribución permitida sin fines de lucro. Ej. Creative Commons

4. Licencia de software no libreSe protege contra uso, copia y/o distribución.

122

30/11/06

TIPOS DE LICENCIAS

A. Según su destinatario

1. Licencia de Usuario FinalEn inglés EULA o end user license agreement , es una licencia en que se permite sólo el uso del mismo.En este tipo de contrato el dueño de los derechos de un producto insta al usuario final de este a que reconozca tener conocimiento de las restricciones de derechos de autor (copyright), patentes, etc. y acepte un contrato general de uso del mismo para poder hacer uso del mismo.Las compañías utilizan este tipo de contratos para tener un mayor control del uso de sus productos y como un documento único de aceptación cuando los componentes del producto estén regulados por más de un contrato o licencia.

62

123

30/11/06

TIPOS DE LICENCIAS

A pesar de que este tipo de contratos se encuentran regulados en la mayor parte de las veces al menos por la legislación del país de origen del producto y a veces también por las legislaciones locales, este tipo de contratos han sido muy atacados por diversas razones entre las que destacan:

El conocimiento del contenido de los contratos es difícil antes de la compra del producto ya que las cajas de los productos raramente contienen una copia completa del mismo, dándose que el comprador en la mayor parte de las ocasiones conoce su contenido después de la compra.

124

30/11/06

TIPOS DE LICENCIASEn ocasiones se exige al usuario renunciar a realizar reclamos odemandas legales por diversos motivos tales como posibles daños producidos por el producto (o fallos en el) o aceptar la restitución de estos en la forma y monto que la compañía decida.

Este tipo de acuerdo expresa que tipos de usos se pueden dar y cuales no al producto ya que quien lo compra no es legalmente en ninguna forma dueño del producto sino de una licencia para su uso

Este tipo de acuerdos son unilaterales pues el usuario no tiene más opción que aceptar o rechazar el contenido del mismo (en algunos países existen organizaciones de protección al consumidor que previamente los autorizan).

2. Licencias de distribuidor, partner, colaborador, beta-tester…

63

125

30/11/06

Normativas y códigos de buenas prácticas

126

30/11/06

Serie

ISO 27000

Evolución de las normativas y los códigos de buenas prácticas

64

127

30/11/06

Las normativas ISO internacionales implican un obligado cumplimiento de la legislación local vigente (LPI, LOPD, LSSICE…) no entran en detalles, uno de sus puntos dice claramente que toda empresa certificada deberá acatar la normativa legal local como requisito necesario para estar certificada.

…aunque aquí también hay margen para distintas interpretaciones por parte del "auditor" de la norma ISO

128

30/11/06

Ej. empresa S.L.

- Normativas sectoriales- Riesgos laborales- Medio ambiente- Modelo EFQM de gestión- 5 S- Higiene- Derechos del empresario y de los trabajadores…

- Cumplimiento de la normativa- Procesos de mejora continua- Documentación dependiendo de cada caso: modelos, procedimientos, documentos…- Auditor íasperiódicas- Estándares internacionales

- Licencias- Redes y s w P2P- Derechos de autor- Registro de la propiedad, marcas y patentes- Gestión de la propiedad intelectual y el know-how de la empresa- Contratos y cláusulas-DRMs en software y hardware-Canon

- Deber de información de productos, servicios-Códigos de conducta a los que se adhiere- Datos de la empresa: CIF, inscripción en el registro Mercantil, dominios- registros- Procesos de compra online- Contratación online

- Registro de ficheros- Documentos de seguridad - Medidas técnicas según niveles-Dchos. de usuarios: acceso, rectificación, cancelación- Registros- Auditor ías periódicas- Tratamiento de datos y backups

otrasISOsLPILSSICELOPD

65

129

30/11/06

Casos prácticos y ejemplos• Caso de cuentas de correo de empresa• Caso de correos de pseudo-spam• Caso de correos con CVs a empresas• Caso de usuario de P2P con Sentencia absolutoria• Caso del artista trabajando por cuenta ajena• Caso de Hosting web en el extranjero• Caso blogs personales con publicidad • Caso "press clipping" y el derecho de cita

130

30/11/06

Noticias relacionadas

66

131

30/11/06

Sancionan al hospital Carlos Haya por tirar a la basura datos de pacientes

La Agencia Española de Protección de Datos ha sancionado al hospital Carlos Haya por no proteger debidamente datos de sus pacientes, en concreto cientos de partes médicos de niños asistidos en ese centro hospitalario, que aparecieron esparcidos en el polígono Guadalhorce en diciembre de 2004. Según ha informado la asociación Defensor del Paciente, autora de una denuncia interpuesta aquel mismo año, el hospital ha infringido el artículo 10 («deber de secreto») de la Ley Orgánica de protección de datos. Esta infracción estátipificada como «muy grave», y conlleva sanciones de entre 300.000 y 600.000 euros.

La Agencia de Protección de Datos ha requerido al citado hospital para que adopte las medidas de orden interno que impidan que hechos de este tipo se puedan volver a repetir. La asociación Defensor del Paciente recordó ayer que el hospital contestó que los hechos se habían producido por un error en el circuito de destrucción de documentos, y que en lugar de seguir el que siguen los papeles que se van a destruir siguieron el de los papeles que se van a reciclar.

Fuente: Sur Digital Fecha: 09/05/2006

132

30/11/06

Multa de 60.000 euros a UNI 2 por registrar como moroso a un cliente

La APD ha sancionado con 60.000 euros a la empresa telef ónica UNI 2 Telecomunicaciones por haber incluido en un fichero de morosos a un consumidor que ya había saldado su deuda. La Asociación de Consumidores Irache, que denunció a UNI 2, indicó ayer que registrar los datos del cliente 26 días después del pago de la deuda «vulneró la normativa de protección de datos».

La Asociación de Consumidores de Navarra Irache presentó la denuncia contra UNI 2 en febrero. En ella explicaba que uno de sus socios había recibido una comunicación de la empresa telef ónica en la que se le instaba al pago de 34,10 euros que, «según entendía UNI 2 Telecomunicaciones, continuaba pendiente».El consumidor procedió al pago de los 34,10 euros. «El problema surgió después del pago de esta cantidad, ya que nuestro asociado recibió una carta remitida por el fichero de morosos Asnef Equiafax en la que le informaba de que sus datos habían sido incluidos en dicho registro a instancias de UNI 2 Telecomunicaciones».

«no es la primera ocasión que la Agencia de Protección de Datos sanciona a esta misma empresa» por una denuncia suya, la asociación explicó que en ocasiones la inscripción en esos ficheros se realiza «por cantidades mínimas en facturas telef ónicas, en otras sin ni siquiera tener relación contractual con esas empresas» y en otras cuando se han saldado todas las deudas, como ha ocurrido ahora.

Fuente: Diario de Navarra Fecha: 10/06/2006

67

133

30/11/06

AGPD investiga la legalidad de la web de consulta de puntos de TráficoLa DGT bloquea la página donde se obtenía el saldo con sólo introducir el DNI y la fecha de expedición

Garrafal fallo de seguridad en la web de la Dirección General de Tráfico -www.dgt.es-, donde podía consultarse el saldo de puntos de millones de permisos de conduc ir. La página de la DGT podría vulnerar la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). Fuentes de la Agencia Española de Protección de Datos (APD) aseguraron que sus servicios de inspección han abierto una investigación para determinar hasta qué punto podría «no estar adaptada a la LOPD» la citada web.La Ley estipula que «todo dato privado» ofrecido en internet, como los relativos a las infracciones cometidas durante la conducción, debe estar «protegido por claves» o «passwords» que impidan su consulta por personas no autorizadas.El caso es que la web de Tráfico no pedía clave o número secreto para acceder a los datos. Bastaba con conocer el número de carné (el mismo que el del DNI) y la fecha de expedición

La cuestión es saber ahora cómo y quién va a controlar al sector asegurador para que no acceda a estosdatos y los use de forma no autorizada.Las aseguradoras no pueden por ley acceder a la información que tan fácilmente ofrec ía Tráfico. De hecho, si como resultado de la aplicación de la consulta de sus datos un conductor resultara perjudicado en la prima de su seguro y se demostrara que lo hacen en base a este dato obtenido indirectamente, la empresa se enfrentaría a una sanción de la APD. Sin embargo, la web de la Dirección General de Tráfico no ofrece ningún sistema de seguridad, ni tan siquiera advierte de que sólo el titular del permiso consultado tiene derecho a acceder a sus datos, tal y como establece la mencionada LOPD y reconoce la propia APD

Fuente: La RazónFecha: 17/07/2006

134

30/11/06

UN ERROR EN LA SUSCRIPCIÓN DE UN PERIÓDICO: MULTA DE 60.101 EUROSUn error en el programa informático de un diario puede ser el motivo de una denuncia ante la AGPD y la acción ser sancionada por falta grave, con una multa de 60.101,21€.

Una persona denunció en la AGPD, suscriptor de un periódico digital durante una promoción, para darse de baja un año después por correo electrónico, dicho periódico, recibió esta cancelación; los datos, incluidos los bancarios del suscriptor se guardaron en el sistema de la empresa como datos auto-renovables, es decir se quedaron activos.

Un año después de esta cancelación, se produjo una incidencia en el programa informático de la empresa, as í que el sistema repitió unos procesos con datos archivados y la suscripción del denunciante se reactiv ó y se realizó el cobro de su cuenta otra vez. Este error en el sistema ocurrió tres veces durante dos años y resultó que se cobraron en dos de tres ocasiones; una suscripción errónea de la cuenta del denunciante.

Después de la denuncia de este suscriptor, a la empresa se le ha abierto un expediente sancionador por falta grave, con una multa de 60.101,21€ por la AGPD. La empresa, defiende y argumenta sus fallos por un error involuntario de su sistema informático. Esta denuncia se está tramitando por parte de la AGPD porque la empresa denunciada vulneró el principio de calidad de datos personales e infringió el artículo 4.3 de la LOPD 15/1999 por mantener datos personales inexactos y no actualizados.

El empresario se enfrenta con dos problemas: 1º el programa informático que no funciona bien y es el motivo de un mal desarrollo del trabajo. 2º, es el sistema informático de la empresa, que no estádiseñado para cumplir con la Protección de Datos Personales, y que es la causa de estar sancionado por la Agencia de Protección de Datos por vulnerar la Ley.

Fuente: Trans Press Fecha: 29/05/2006

68

135

30/11/06

La AEPD multa a Auna por vulnerar la Ley de Protección de DatosLa operadora Auna Telecomunicaciones, ahora integrada en el grupo ONO, ha recibido dos sanciones por un importe total de más de 63.000 euros por vulnerar la Ley de Protección de Datos, informaron ayer responsables de la asociación Ausbanc Consumo. La Agencia Española de Protección de Datos (AEPD) impuso a la compañía una multa de 60.101,21 euros por inscribir a un usuario en el registro de morosos sin el requerimiento previo de pago. Ausbancexplica que Auna dio de alta a un usuario en un servicio telef ónico que no había contratado. Después de facturar el servicio durante varios meses, Auna Telecomunicaciones atendió la solicitud del usuario de dar de baja el servicio y devolver las cantidades cobradas.

No obstante, la operadora procedió dos meses más tarde a la inscripción del usuario en el registro de morosos de Asnef por un saldo pendiente de 33,59 euros. La infracción tipificada como "grave" se deriva de la inscripción del usuario en el registro de morosos sin requerir previamente el pago de la deuda ni haber acreditado la existencia de la misma, originada por el impago de varias facturas que incluyen cargos por servicios no prestados.

Además, la Audiencia Provincial de Baleares ha dictado una sentencia que condena a Auna a abonar 3.000 euros a una usuaria que fue inscrita por la compañía en el registro de morosos, lo que le impidióacceder a un préstamo para la compra de un vehículo.

Ausbanc apunta que, en este otro caso, Auna tampoco pudo acreditar que la usuaria hubiera iniciado una relación contractual. El presidente de Ausbanc Consumo, Luis Pineda, aseguró que la asociación ha constatado que Auna incurre en un "incumplimiento continuo" del procedimiento legal para dar de alta a los usuarios, y animó a los afectados por estas prácticas a que lo denuncien.

Fuente: Europa Sur Fecha: 03/08/2006

136

30/11/06

CONCLUSIONES

Las tecnologías de la información siempre han ido varios pasos por delante de la legislación.

Con el tiempo los gobiernos van tratando de adecuar estas leyes, a veces de forma acertada y otras no tan acertada, al entorno sociotecnológico en el que nos movemos.

La globalización y el uso de las tecnologías de la información hacen que aspectos tan importantes como la libertad de expresión, el derecho a la intimidad y el acceso a la cultura sean regulados de forma muy diferente en distintas partes del mundo ocasionando vacíos legales.

En España la combinación que ofrecen la LOPD, LSSICE y LPI hacen que contemos con una de las normativas más restrictivas en la sociedad de la información

69

137

30/11/06

Muchas gracias por su atención

dudas@inter-ius.com

info@nesys-st.com

DUDAS Y PREGUNTAS

138

30/11/06

• Agencia de protección de datoshttps://www.agpd.es/

• Ministerio de culturahttp://www.mcu.es/jsp/plantilla_wai.jsp?id=2&area=propint

• Wikipediahttp://es.wikipedia.org/

• Seguridad Digital http://www.seguridaddigital.info/

• Inter Ius Consultinghttp://www.inter-ius.com

• NESYS, Seguridad y Tecnologías de la informaciónhttp://www.nesys-st.com

REFERENCIAS

70

139

30/11/06

Noticias relacionadas

http://www.20minutos.es/noticia/107998/0/intercambio/archivos/descargas/

http://www.20minutos.es/noticia/107973/0/descargas/pirateria/sgae/

http://www.20minutos.es/noticia/152323/0/p2p/emule/edonkey/

http://www.20minutos.es/noticia/151889/0/edonkey/p2p/cierre/

http://www.20minutos.es/noticia/137342/0/propiedad/intelectual/francia/

http://www.20minutos.es/noticia/134275/0/canon/digital/sgae/

140

30/11/06

L I C E N C I A