La seguridad en las redes
sociales: aspectos legales
Francisco Pérez Bes
Abogado
@pacoperezbes
La seguridad en redes sociales
La seguridad en redes sociales se compone de:
- La protección de los activos materiales: software, hardware, sistemas…
- La protección de los activos intangibles: derechos patrimoniales (cuentas de usuario, imagen personal, marcas, nombres de dominio, derechos de autor, reputación online…)
La seguridad en redes sociales
La gestión de la seguridad en redes sociales incluye:
- Aspectos relacionados con la diligencia del responsable:
- Política robusta de contraseñas y custodia de documentación
- Auditorías de seguridad y restricciones de accesos externos
- Reacciones ante un ataque a la seguridad:
- Herramientas internas y de las propias plataformas
- Organismos y Autoridades
Normativa aplicable en materia de seguridad
Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información (LSSI).
Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y su Real Decreto 1720/2007, de 21 de diciembre, Reglamento de la LOPD.
Normativa General: Ley General de Telecomunicaciones, Ley de Propiedad Intelectual, Ley de Marcas, Ley de Competencia Desleal, Ley General de Publicidad, Ley de protección del Derecho al Honor, Código Penal, etc…
Organismos con competencias en materia de seguridad en Internet: AEPD, Fuerzas y Cuerpos de Seguridad del Estado, INTECO, Tribunales de Justicia.
La privacidad en redes sociales
Los peligros del anonimato:
- La aparición de “trolls”.
- Las cuentas “fake”.
- Supuestos de suplantación de identidad en Internet.
El anonimato en Internet
¿Cuándo aplica la Ley española?
El forum delicti comisi
Lugar de establecimiento del
prestador:
En España
En la UE
Fuera de la UE
La extraterritorialidad de las leyes
- Residencia o domicilio social en territorio español, siempre que coincidan
con el lugar en que esté efectivamente centralizada la gestión administrativa
y la dirección de sus negocios. (y establecimiento permanente)
- De no ser así, lugar en que se realice dicha gestión o dirección.
Control en origen: La LSSI se aplica a los prestadores de servicios de la sociedad de la información establecidos en España y a los servicios prestados por ellos. (art. 2).
Ámbito de aplicación de la LSSI
Prestadores de servicios establecidos en la UE o en el EEE:
Art. 3.1 LSSI : “esta Ley se aplicará a los prestadores de servicios de la sociedad de la información establecidos en otro Estado miembro de la Unión Europea o del Espacio Económico Europeo cuando el destinatario de los servicios radique en España y los servicios afecten a las materias siguientes:
a) Derechos de Propiedad intelectual e industrial
d) Obligaciones nacidas de los contratos celebrados por personas físicas que tengan la condición de consumidores.
f) licitud de las comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente no solicitadas”.
Ámbito de aplicación de la LSSI
Prestadores de servicios establecidos fuera de la UE o EEE:
Art. 4 LSSI : “A los prestadores establecidos en países que no sean miembros de la Unión Europea o del Espacio Económico Europeo, les será de aplicación lo dispuesto en los artículos 7.2 y 11.2 (libre prestación de servicios y limitaciones de acceso).
Los prestadores que dirijan sus servicios específicamente al territorio español quedarán sujetos, además, a las obligaciones previstas en esta Ley, siempre que ello no contravenga lo establecido en tratados o convenios internacionales que sean aplicables”.
Ámbito de aplicación de la LSSI
1. En caso de que un determinado servicio de la sociedad de la información atente o pueda
atentar contra los principios que se expresan a continuación, los órganos competentes
para su protección, en ejercicio de las funciones que tengan legalmente atribuidas,
podrán adoptar las medidas necesarias para que se interrumpa su prestación o para
retirar los datos que los vulneran. Los principios a que alude este apartado son los
siguientes:
a) La salvaguarda del orden público, la investigación penal, la seguridad pública y la defensa nacional.
b) La protección de la salud pública o de las personas físicas o jurídicas que tengan la condición de consumidores o usuarios, incluso cuando actúen como inversores.
c) El respeto a la dignidad de la persona y al principio de no discriminación por motivos de raza, sexo, religión, opinión, nacionalidad, discapacidad o cualquier otra circunstancia personal o social, y
d) La protección de la juventud y de la infancia.
e) La salvaguarda de los derechos de Propiedad Intelectual
Interrupción del servicio y retirada de datos: Art. 8
Art. 13 y ss. LSSI: Responsabilidad civil, penal y administrativa de los PSSI
Art. 16: Exención de responsabilidad de prestadores de housing y hosting
siempre que no tengan “conocimiento efectivo” de que la actividad o
información es ilícita o lesiona bienes o derechos de terceros.
Art. 17: Exención de responsabilidad de prestadores de linking o buscador
salvo “conocimiento efectivo”.
Responsabilidad de los intermediarios (LSSI)
“Conocimiento efectivo”:
“cuando un órgano competente haya declarado la ilicitud de los datos,
ordenado su retirada o que se imposibilite su acceso a los mismos, o se
hubiera declarado la existencia de la lesión, y el prestador conociera la
correspondiente resolución, sin perjuicio de los procedimientos de detección
y retirada de contenidos que los prestadores apliquen en virtud de acuerdos
voluntarios y de otros medios de conocimiento efectivo que pudieran
establecerse”.
Excepciones a la doctrina del “conocimiento efectivo”.
Responsabilidad de los intermediarios (LSSI)
Instalación de cookies
Art. 22.2 LSSI (y 31 del Código de Confianza Online).
Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales, informarán a los destinatarios de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito.
Lo anterior no impedirá el posible almacenamiento o acceso a datos con el fin de efectuar o facilitar técnicamente la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.
Instalación de cookies
El futuro de las cookies
- Transposición de la e-Directiva: modificación del artículo 22.2 LSSI
- Autorregulación de las tracking cookies: el do not track y OBA
- El problema: las flash cookies, übercookies, etc.
La protección de la identidad de la empresa
Ejemplo de uso de metatags / adwords
- Infracción derecho marca del competidor:
Art. 34.3.b) Ley de Marcas: el titular de una marca registrada puede prohibir
el uso del signo distintivo registrado en redes de comunicación telemática y
como nombre de dominio. (pe. Jazz País 30 y Europa 15 / nocilla.com).
Art. 8 Código Confianza Online: se prohíbe “la introducción en el código fuente
de nombres ocultos (metanames) que coincidan con marcas, rótulos o
denominaciones de empresas o servicios sobre los que no se ostente la
titularidad o autorización de uso”.
Uso de palabras clave coincidentes con marcas
Medidas de protección frente a ataques a los bienes intangibles de la empresa:
- El registro de la marca en la OEPM
- El registro del nombre de dominio: casos de typosquatting
Ejemplo de uso de marcas ajenas en redes sociales
- Utilización en Facebook de la marca Tuenti sin el oportuno consentimiento en el tráfico económico y para la promoción de un programa de control parental. Soluciones: - Protocolos internos de la propia red social. - Requerimientos al infractor. - Resolución judicial o extrajudicial de conflictos
Los derechos patrimoniales (art. 17 y ss):
Corresponde al autor el ejercicio exclusivo de los derechos de explotación de su obra en cualquier forma y, en especial, los derechos de reproducción, distribución, comunicación pública y transformación, que no podrán ser realizadas sin su autorización, salvo en los casos previstos en la presente Ley.
Derechos de autor: TRLPI 1/1996
Ejemplo de protección de activos
Los derechos de propiedad intelectual
Vías de protección:
- El copyright, el Registro de la Propiedad Intelectual, el depósito notarial…
- Desarrollo de licencias Creative Commons.
http://es.creativecommons.org/licencia/
- La Ley Sinde y la Sección Segunda de la Comisión de Propiedad Intelectual.
Derecho al honor
Art. 7.7 LO 1/1982: Es intromisión ilegítima en el derecho al honor de una persona: La imputación de hechos o la manifestación de juicios de valor a través de acciones o expresiones que de cualquier modo lesionen la dignidad de otra persona, menoscabando su fama o atentando contra su propia estimación.
Denigración
Ley 3/1991, de Competencia Desleal Artículo 9.- Actos de denigración. Se considera desleal la realización o difusión de manifestaciones sobre la actividad, las prestaciones, el establecimiento o las relaciones mercantiles de un tercero que sean aptas para menoscabar su crédito en el mercado, a no ser que sean exactas, verdaderas y pertinentes. En particular, no se estiman pertinentes las manifestaciones que tengan por objeto la nacionalidad, las creencias o ideología, la vida privada o cualesquiera otras circunstancias estrictamente personales del afectado.
Injurias
Artículo 208 del Código Penal.
Es injuria la acción o expresión que lesionan la dignidad de otra persona, menoscabando su fama o atentando contra su propia estimación.
Solamente serán constitutivas de delito las injurias que, por su naturaleza, efectos y circunstancias, sean tenidas en el concepto público por graves.
Las injurias que consistan en la imputación de hechos no se considerarán graves, salvo cuando se hayan llevado a cabo con conocimiento de su falsedad o temerario desprecio hacia la verdad.
Artículo 209 del Código Penal.
Las injurias graves hechas con publicidad se castigarán con la pena de multa de seis a catorce meses y, en otro caso, con la de tres a siete meses.