Mes: enero 2008

bookmark_borderJornada en el Instituto de Empresa

Posted on by Félix J. Haro

CRSIEsta mañana he estado en la Jornada Final de la Primera Edición de la Cátedra de Riesgos en Sistemas de Información del Instituto de Empresa. Han sido presentados los resultados de los estudios que se han realizado por su Director, Fernando Aparicio, y también han intervenido el Director de la AEPD, Artemi Rallo; Pablo Pérez, Gerente del Observatorio de Seguridad de la Información (INTECO), y cómo no, D. Jesús Rubí Navarrete, Adjunto al Director, y María José Blanco, Subdirectora Gral. del Registro de la AEPD.

El Director de la AEPD ha expuesto sucintamente los objetivos del nuevo reglamento, haciendo hincapié en que “no crea nada nuevo” y que tiene algunas novedades relevantes (consentimiento de los menores, medidas de seguridad de los ficheros no automatizados… etc.). Muy interesante su afirmación de que “a un autónomo o a una Pyme, adaptarse a la LOPD no debiera costarle ni un euro”(sic), ya que con la información que ofrece la página web de la Agencia… pues bueno, es suficiente. Si se hubiera quedado al turno final de preguntas de casi dos horas seguro que cambiaría de opinión. Hace un año, con ocasión de esta Jornada, afirmé que la mayoría de las cuestiones de los asistentes no hicieron más que demostrar la ignorancia en la que se mueven las empresas españolas, e incluso supuestos expertos que se dedican a asesorar en la materia. Y lo sigo manteniendo.

Fernando Aparicio ha resumido los resultados de un estudio realizado entre más de mil empresas. De entre las conclusiones, destacó el escaso interés por parte de las direcciones generales de las empresas en cuanto a la seguridad de la información, y las prioridades que tienen las empresas, que son fundamentalmente el cumplimiento legal y la implantación de medidas técnicas de seguridad. La falta de organización y una clara definición de responsabilidades internas también destacaba como problema, así como la no realización de las auditorías pertinentes y el desconocimiento de las diferentes metodologías, herramientas y aplicaciones prácticas de la seguridad de la información.

Pablo Pérez mostró el estado real de las Pymes españolas, que realmente es desolador. Aquí sí que bajamos a la más absoluta despreocupación en la materia. Y teniendo en cuenta que suponen más del 98% del tejido empresarial, y que son el motor de la economía…

El turno de preguntas no merece mayor comentario: más de lo mismo. Jesús Rubí y Mª José Blanco dando clases de fundamentos de protección de datos.

Las presentaciones estarán disponibles en la página de la Cátedra en breve.

bookmark_borderAsunto PROMUSICAE vs Telefónica. Identificación de usuarios P2P

Posted on by Félix J. Haro

balanzaHoy se pronuncia el Tribunal de Primera Instancia Comunidades Europeas sobre la petición de decisión judicial planteada por el Juzgado de lo Mercantil nº 5 de Madrid que comenté en junio del año pasado:PROMUSICAE solicitaba a Telefónica los datos de clientes que compartían música en redes P2P, y de los que había recopilado su dirección IP. Telefónica se negó alegando que sólo debía facilitar estos datos en el marco de una investigación criminal o para la salvaguardia de la seguridad pública y de la defensa nacional, y nunca en el curso de un proceso civil.La declaración final del Tribunal dice lo siguiente:

Las Directivas 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico), 2001/29/CE del Parlamento Europeo y del Consejo, de 22 de mayo de 2001, relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información, 2004/48/CE del Parlamento Europeo y del Consejo, de 29 de abril de 2004, relativa al respeto de los derechos de propiedad intelectual, y 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), no obligan a los Estados miembros a imponer, en una situación como la del asunto principal, el deber de comunicar datos personales con objeto de garantizar la protección efectiva de los derechos de autor en el marco de un procedimiento civil. Sin embargo, el Derecho comunitario exige que dichos Estados miembros, a la hora de adaptar su ordenamiento jurídico interno a estas Directivas, procuren basarse en una interpretación de éstas que garantice un justo equilibrio entre los distintos derechos fundamentales protegidos por el ordenamiento jurídico comunitario. A continuación, en el momento de aplicar las medidas de adaptación del ordenamiento jurídico interno a dichas Directivas, corresponde a las autoridades y a los órganos jurisdiccionales de los Estados miembros no sólo interpretar su Derecho nacional de conformidad con estas mismas Directivas, sino también no basarse en una interpretación de éstas que entre en conflicto con dichos derechos fundamentales o con los demás principios generales del Derecho comunitario, como el principio de proporcionalidad.

Esta decisión deja las puertas abiertas a una modificación de la legislación civil para permitir el acceso de las entidades de gestión de derechos de autor a la identificación de los usuarios de programas P2P a través de su IP, que debería ser facilitada por los operadores de telecomunicaciones.¿Cuánto tiempo tardará en actuar la SGAE para presionar y obtener un cambio en la legislación civil que les sea favorable? En cuanto pasen las elecciones lo veremos.(Decisión disponible aquí)