Legislación: LOPD, AEPD, LSSI, LPI, Pedofilia, Pornografía Infantil

 

 

 



Legislación Nacional General y Sectorial

Resumen básico de la Legislación General y Sectorial vigente en España:

Norma General

Normas Sectoriales

Otras:


Ley de Protección de Datos: LOPD
La LOPD regula, entre otras muchas cosas, el uso que se hace de los datos personales, imágenes,  o videos de terceros, y estipula fuertes multas en el caso de que se atente contra la intimidad y privacidad de las personas.

Todas las empresas y/o profesionales manejan y conservan en su trabajo diario datos de carácter personal (de empleados, nóminas, clientes, proveedores…) y como consecuencia tienen obligación de adaptarse a la LOPD y su normativa de desarrollo. El incumplimiento de dichas obligaciones lleva aparejado unas sanciones cuyo importe dependerá de la gravedad de las infracciones cometidas. El incumplimiento de la LOPD puede acarrear sanciones que van desde los 600€ hasta… 600.000€. Las sanciones leves se castigan con multas entre los 600 y los 60.000€.

Cada organización es diferente y cada tratamiento de datos de carácter personal también lo es por lo que las acciones a emprender van a depender, entre otras cosas, del origen de los datos, del tipo de datos, de las características del tratamiento y del tipo de instalaciones y soportes en los que se encuentren almacenados dichos datos. Sin embargo, a titulo meramente orientativo, podemos decir que, de manera general, para cumplir con la Ley Orgánica de Protección de Datos (Lopd) el empresario debe tener en cuenta al menos los siguientes aspectos: la inscripción de los ficheros, la calidad de los datos, el deber de información, el consentimiento del afectado, los datos especialmente protegidos, la seguridad de los datos, el deber de secreto, la comunicación de datos, el acceso a los datos por cuenta de terceros, el ejercicio de los derechos arco y la transferencia internacional de datos.

Si la empresa recoge datos personales, la LOPD obliga a:

* Informar a tus usuarios de qué datos personales estás recogiendo, cómo vas a utilizarlos y obtener su consentimiento para hacerlo. Una vez más, para el 99% de las webs -las que sólo recogen los datos más básicos, como el nombre y el correo electrónico- con un consentimiento tácito es suficiente (Ej. “El registro en esta web implica la aceptación de su Política de Privacidad“). Además, debes proporcionar un método para que dichos usuarios puedan consultar, modificar o dar de baja sus datos.

* Implementar medidas de seguridad oportunas para proteger los datos. El nivel básico de seguridad, nos obliga a:

— Garantizar que no dejaremos que cualquiera acceda a los datos, mediante una contraseña
— Hacer una copia de seguridad de los datos con carácter semanal 
— Cambiar la contraseña de acceso al menos una vez al año 
— Escribir un documento que explique nuestra “política de seguridad” (quién tiene permisos de acceso, qué base de datos se utiliza, etc…)

* Registrar el fichero de datos en la AEPD , Agencia Española de Protección de Datos. Donde podéis identificar el “fichero“ como el conjunto de tablas de base de datos, ficheros de texto, Excel, libro de registro. Podemos registrar online el “fichero“. Eso sí, sólo en caso de que dispongamos de certificado digital y utilizando la tecnología de la AEPD : el sistema NOTA, que no es ni más ni menos que… un formulario PDF interactivo. Tu fichero tardará alrededor de un mes en aparecer en su web.

Para cumplir la normativa y evitar así la interposición de sanción alguna, debes adaptar tu empresa y cumplir las obligaciones establecidas al respecto. Dicha adaptación debe ser llevada a cabo en varias fases:

Fase 1. Análisis y diagnóstico de seguridad: 
Conviene en primer lugar efectuar un análisis de situación y conocer qué tipo de datos maneja su empresa. Dicha información es fundamental ya que en función al resultado de la misma, se tendrán que adaptar unas medidas de protección u otras y cumplir más o menos obligaciones.

Fase 2. Alta y Registro de ficheros: 
Una vez que se hayan analizado dichos datos y se clasifiquen los ficheros en función de su contenido y finalidad, éstos deberán ser dados de ata en el Registro de la Agencia Española de Protección de Datos.

Fase 3. Elaboración de la normativa de seguridad de mi empresa: 
Inscritos los ficheros y en función del nivel de seguridad de los mismos habrá que redactar toda la normativa de seguridad de la empresa: el documento de seguridad, los documentos de encargo de tratamientos, cláusulas legales, confidencialidad…es decir, elaborar la normativa que haya de regir el sistema de seguridad de los datos de mi empresa.

Fase 4. Actualización y auditoría: 
Completadas las fases anteriores es preciso mantener nuestra empresa actualizada e informar a nuestro asesor en la materia de cuanta modificación se produzca, ya que puede ser necesario modificar la inscripción de los ficheros o inscribir otros nuevos, modificar el documento de seguridad… Así tendremos también garantías de que toda nuestra normativa de seguridad está siendo debidamente cumplida.

De forma adicional, en caso de que tengamos datos de nivel de seguridad medio o alto, con carácter bianual es preciso efectuar una auditoría de seguridad que puede ser interna (en caso de datos de nivel de seguridad medio) o externa (en caso de datos de nivel de seguridad alto).

¿Qué es el documento de seguridad?

A tenor de lo establecido en el artículo 9.1 de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), “el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural”.

En su normativa de desarrollo, Reglamento de desarrollo de la LOPD (RLOPD), aprobado por el Real Decreto 1720/2007, de 21 de diciembre, y, en concreto, en su Título VIII, se desarrollan las medidas de seguridad a adoptar en el tratamiento de datos de carácter personal, estableciendo las medidas de índole técnica y organizativa necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos de carácter personal.

Entre estas medidas, se encuentra la elaboración e implantación de la normativa de seguridad mediante un DOCUMENTO de obligado cumplimiento para el personal con acceso a los datos de carácter personal.

El denominado documento de seguridad, es por lo tanto, un documento interno de la organización, que debe mantenerse siempre actualizado y que recoge toda la normativa de seguridad de una determinada organización. Disponer del documento de seguridad es una obligación para todos los responsables de ficheros y, en su caso, para los encargados del tratamiento, con independencia del nivel de seguridad que sea necesario aplicar.

Como mínimo el contenido del documento de seguridad ha de ser el siguiente:

– Ámbito de aplicación.
– Especificación detallada de los recursos protegidos. 
– Medidas, normas, procedimientos, reglas y estándares de seguridad. 
– Funciones y obligaciones del personal. 
– Estructura y descripción de los ficheros y sistemas de información. 
– Procedimiento de notificación, gestión y respuesta ante incidencias 
– Procedimiento de copias de respaldo y recuperación de datos 
– Medidas adoptadas en el transporte, destrucción y/o reutilización de soportes y documentos.

Si además existen datos de nivel de seguridad medio y/o alto, de forma adicional a lo anteriormente manifestado habrá de incluirse:

– Identificación del responsable de seguridad. 
– Control periódico del cumplimiento del documento.

En caso de haber contratado la prestación de servicios por terceros para determinados ficheros, dicha circunstancia debe hacerse constar en el documento de seguridad, haciendo referencia al contrato suscrito y su vigencia, y mención expresa a los ficheros afectados por esta circunstancia. Es recomendable, incluso, que dicho contrato quede adjunto como anexo al documento de seguridad.

En resumen, dicho documento es el protocolo que, en materia de seguridad y tratamiento de datos de carácter personal, deberá seguirse en nuestra empresa. Es muy importante que dicho documento sea personalizado y se adapte perfectamente a nuestro trabajo, es decir, que es fundamental que el redactor del mismo (sobre todo en caso de ser un asesor externo) sea perfectamente conocedor de la situación de nuestra empresa y del tratamiento que se da a los datos, de manera corrija en caso de ser necesario nuestras maneras de actuar o, en caso contrario, sea capaz de plasmar en el documento de seguridad la integridad de las medidas, normas, reglas, obligaciones…que rigen nuestro trabajo en esta materia, asegurándose además que, las mismas, se adaptan a las exigencias legales. Pudiendo, por qué no, incluso mejorarlas.

Del mismo modo en dicho documento deberán quedar perfectamente plasmadas no sólo las medidas y los procedimientos estándares de seguridad sino también las funciones y obligaciones del personal que vaya a tratar los datos, debiéndonos por lo tanto asegurar de que dicho personal sea conocedor de sus funciones y obligaciones en dicha materia. Asimismo se recogerán las posibles incidencias surgidas de manera que las mismas puedan ser controladas, solucionadas y evitadas en el futuro.

Por todo ello es además muy importante, mantener informado a nuestro asesor en la materia, de cualquier incidencia o variación que pueda producirse en este aspecto, ya que de una correcta información dependerá, en gran medida, que su resultado final sea el adecuado, no sólo a las necesidades de nuestra empresa, sino también a la legislación vigente.

La conclusión es que, el 90% de las webs españolas no cumplen la LOPD y que, al 99,999% de los usuarios no les importa. La Ley es confusa y su cumplimiento y seguimiento difícil. Sin embargo la prevención en su cumplimiento puede ahorrar muchos disgustos, sobre todo económicos, si a alguien se le ocurre denunciar o la AGPD actúa de oficio.

Inscripción de ficheros 
Todos y cada uno de los ficheros existentes en una empresa deben estar inscritos en el Registro General de Protección de Datos para que sean públicos y estén accesibles para su consulta por cualquier interesado. Para ello, el empresario debe notificar la existencia de los ficheros a la Agencia Española de Protección de datos utilizando del formulario de notificaciones telemáticas a la AEPD (NOTA). Una vez que la Agencia ha comprobado que la notificación cumple con todos los requisitos resolverá positivamente su inscripción en el Registro y remitirá al empresario el correspondiente código de inscripción.

Calidad de los datos 
En cumplimiento del principio de “calidad de los datos” regulado en el artículo 4 de la Lopd el empresario debe tratar los datos de carácter personal aplicando las siguientes reglas:

•  Solamente podrá recoger los datos de carácter personal utilizando medios que no sean fraudulentos desleales o ilícitos. 
•  Deberá recoger únicamente aquellos datos personales que sean adecuados, pertinentes y no excesivos en relación a la finalidad que persiga con su tratamiento. 
•  Solamente utilizará los datos para finalidades compatibles con la finalidad que originó su recogida. 
•  Deberá mantener los datos exactos y actualizados de forma que respondan con veracidad a la situación actual del titular. 
•  Deberá cancelar los datos cuando hayan dejado de ser necesarios para la finalidad que originó su recogida. 
•  Por ultimo, el empresario debe almacenar los datos personales de manera que el titular de los datos pueda ejercer su derecho de acceso cuando lo considere oportuno

Para cumplir con este principio, el empresario debe diseñar un procedimiento de recogida, tratamiento y almacenamiento de los datos que le permita dar cumplimiento a todas y cada una de las reglas que componen la “calidad de los datos”.

Deber de información 
En cumplimiento del principio denominado “derecho de información en la recogida de los datos”, el empresario tiene el deber de informar al titular de los datos de modo expreso, preciso e inequívoco de todos los extremos regulados en el artículo 5 de la Lopd. El deber de información surge desde el mismo momento en que se recogen los datos, pero se cumple de diferente manera en función de si los datos se obtienen directamente de su titular o si provienen de otras fuentes.

Para cumplir con este principio, el empresario debe elaborar las cláusulas informativas y diseñar los procedimientos que sean necesarios para informar debidamente al ciudadano y demostrar posteriormente que ha cumplido con su obligación.

Consentimiento del afectado 
En cumplimiento del principio denominado “consentimiento del afectado” regulado en el artículo 6 de la Lopd , el empresario solo podrá tratar los datos de carácter personal si dispone del consentimiento del titular de los datos salvo que el tratamiento este fundamentado en una de las excepciones legalmente previstas. Para cumplir con este principio, el empresario debe tener muy claro cuando necesita el consentimiento del afectado y cuando no lo necesita, y, en caso de necesitarlo deberá obtenerlo legalmente teniendo en cuenta que, para que sea valido el consentimiento, debe tratarse de una manifestación de voluntad libre, inequívoca, específica e informada.

En los casos en los que sea necesario el consentimiento del afectado, el empresario debe diseñar las cláusulas y los procedimientos que sean necesarios para obtener el consentimiento válido del titular de los datos y demostrar posteriormente que ha cumplido con dicha obligación.

Datos especialmente protegidos 
Si el empresario utiliza datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias o datos que hagan referencia al origen racial, a la salud y a la vida sexual debe tener en cuenta que se trata de datos especialmente protegidos que deben ser tratados con la máxima cautela. En relación al tratamiento de este tipo de datos, y teniendo en cuenta lo previsto en el artículo 7 de la Lopd , el empresario debe tener en cuenta los siguientes aspectos:

* El empresario no puede obligar al ciudadano a declarar sobre su ideología, religión o creencias y en caso de pedirle el consentimiento para tratar este tipo de datos debe advertirle acerca de su derecho a no prestarlo. 
* El empresario solo podrá utilizar datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias si dispone del consentimiento expreso y por escrito del interesado. 
* El empresario solo podrá utilizar datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual si dispone del consentimiento expreso.

Los ficheros en los que se encuentren almacenados los datos de carácter personal deben estar protegidos con las medidas de seguridad correspondientes al nivel alto.

Para tratar correctamente los datos especialmente protegidos, además de adoptar las medidas de seguridad de nivel alto, el empresario debe diseñar las cláusulas y los procedimientos que sean necesarios para obtener el consentimiento válido del titular de los datos y demostrar posteriormente que ha cumplido con dicha obligación.

Seguridad de los datos 
En cumplimiento del principio de “seguridad de los datos” regulado en el artículo 9 de la Lopd , el empresario debe adoptar en su organización las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural.

Para cumplir con este principio, el empresario debe aplicar lo dispuesto en el Titulo VIII del Reglamento que desarrolla la Lopd (Real Decreto 1720/2007) , elaborando el denominado “Documento de seguridad” e implantando las medidas que sean necesarias en función del nivel de seguridad que necesiten cada uno de sus ficheros (básico, medio o alto). A la hora de implantar las medidas de seguridad, el empresario debe tener en cuenta que debe proteger tanto los ficheros automatizados (gestionados a través de archivos y aplicaciones informáticas) como los ficheros no automatizados (documentos en formato papel gestionados manualmente), aplicando las medidas previstas en el Real Decreto 1720/2007 para cada tipo de ficheros.

Deber de secreto 
En cumplimiento del principio denominado “deber de secreto”, regulado en el articulo 10 de la Lopd , el empresario está obligado a guardar secreto profesional sobre los datos tratados y a mantener la confidencialidad de los mismos dentro de su organización, debiendo tener en cuenta que la ley extiende el deber de secreto a cualquier persona o entidad que intervenga en cualquiera de las fases del tratamiento aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Para cumplir con este principio, el empresario debe elaborar los contratos, cláusulas y procedimientos que le permitan dar a conocer a todos sus empleados y colaboradores su deber de secreto y las consecuencias de su incumplimiento.

Comunicación de datos 
Cuando el empresario pretenda entregar los datos de carácter personal almacenados en sus fichero a otra persona, empresa o entidad para que los trate por su cuenta y bajo su propia responsabilidad debe hacerlo aplicando lo dispuesto en el artículo 11 de la Lopd , teniendo en cuenta que, de manera general, “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”, salvo que la comunicación este fundamentada en alguna de las excepciones previstas en el artículo 11.2.

Para cumplir con este principio el empresario deberá aplicar las siguientes reglas:

* Solamente cederá los datos para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario.
* Informará al titular de los datos de una manera expresa, precisa e inequívoca de la identidad y el tipo de actividad que desarrolla el destinatario de los datos así como de la finalidad a que destinarán los datos. 
* En los casos en que sea necesario el consentimiento del afectado, el empresario debe diseñar las cláusulas y los procedimientos que sean necesarios para obtener un consentimiento válido (manifestación de voluntad libre, inequívoca, específica e informada) y demostrar posteriormente que se ha cumplido con esta obligación.

Acceso a los datos por cuenta de terceros 
Cuando el empresario contrate a otra persona, empresa o entidad para que le preste algún tipo de servicio utilizando los datos de carácter personal almacenados en sus ficheros (servicios de contabilidad, elaboración de nóminas, envió de publicidad etc.) se produce una relación jurídica denominada “acceso a los datos por cuenta de terceros” en la que quien presta el servicio adquiere la condición de “encargado del tratamiento” y se limita a tratar los datos por cuenta del responsable del fichero, siguiendo estrictamente sus instrucciones y devolviendo o destruyendo los datos una vez haya finalizado el servicio contratado.

Para cumplir con este principio regulado en el artículo 12 de la Lopd , el empresario debe formalizar la prestación del servicio en un contrato cuyo contenido y características son las siguientes:

* Forma del contrato. Para que el contrato sea válido, deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido 
* Tratamiento de los datos. El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento. 
* Finalidad del tratamiento. En el contrato quedará reflejada la finalidad con la que se deben tratar los datos, y el encargado del tratamiento obligará a no utilizar los datos con otros fines. 
* Comunicación de datos. El encargado del tratamiento no comunicará los datos, ni siquiera para su conservación, a otras personas. 
* Medidas de seguridad. En el contrato se estipularán, asimismo, las medidas de seguridad que el encargado del tratamiento está obligado a implementar. 
* Finalización del servicio. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. 
* Consecuencias del incumplimiento del contrato. Si el encargado del tratamiento destina los datos a otra finalidad, los comunica o los utiliza incumpliendo las estipulaciones del contrato, será también considerado responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

Ejercicio de los derechos Arco 
El empresario debe facilitar a los ciudadanos el ejercicio de los denominados derechos Arco (acceso, rectificación, cancelación y oposición). Para ello, el empresario debe diseñar e implantar los procedimientos y formularios adecuados que por un lado faciliten al ciudadano solicitar el ejercicio de sus derechos y por otro lado, permitan al propio empresario contestar las solicitudes en los plazos legalmente establecidos. Además, el empresario debe formar a su personal para que sea capaz de atender al ciudadano y prestarle la información necesaria sobre los pasos a seguir para el ejercicio de sus derechos.

Transferencia Internacional de Datos 
Cuando el empresario tenga la intención de transmitir los datos de carácter personal a países que no formen parte del Espacio Económico Europeo (actualmente formado por los países de la Unión Europea , Islandia, Liechtenstein y Noruega) debe realizar dicha transferencia aplicando todas las garantías previstas en la normativa sobre protección de datos. Para determinar cuales son las obligaciones del empresario a la hora de realizar una transferencia internacional de datos es necesario analizar el caso de que se trata, sin embargo, de manera general y a titulo orientativo, se deben tener en cuenta, al menos, los siguientes aspectos:

Notificación. Las transferencias Internacionales de datos deben ser notificadas a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos.

* Autorización previa. La transmisión de datos fuera del Espacio Económico Europeo requiere de autorización previa del Director de la Agencia Española de Protección de Datos que sólo podrá otorgarla si se obtienen las garantías adecuadas. No será necesaria dicha autorización si la transferencia se realiza bajo alguna de las excepciones previstas en el artículo 34 de la Ley Orgánica de Protección de Datos.

* Requisitos específicos para la comunicación o cesión de datos. Cuando la transferencia internacional de datos se realice con el objeto de entregar los datos a un tercero para que este los trate por su cuenta, además de los requisitos generales de notificación y autorización previa, será necesario aplicar las garantías previstas legalmente para la “cesión o comunicación de datos”.

* Requisitos específicos para el acceso a los datos por cuenta de terceros. Cuando la transferencia internacional de datos se realice para que un tercero preste un servicio al responsable del fichero (servicios de contabilidad, gestión de nóminas, atención al cliente, telemarketing etc.), además de los requisitos generales de notificación y autorización previa, será necesario aplicar lo legalmente previsto para el “acceso a los datos por cuenta de terceros”.

 

PREGUNTAS Y RESPUESTAS SOBRE LA LOPD

¿Se aplica la LOPD a los empresarios individuales o autónomos? ¿Y a las personas jurídicas? ¿Y a los datos de personas ya fallecidas?

Con carácter general, el objeto de la Ley está regulado en los artículos 1 y 2.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que expresamente establecen:

Artículo 1. Objeto: La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

Artículo 2. Ámbito de aplicación: La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Por ello, no le es de aplicación la Ley Orgánica 15/1999:

  • A los datos de personas jurídicas
  • A los datos de las personas fallecidas

Por el contrario, sí le es de aplicación:

* A los datos de los empresarios individuales – personas físicas (por ejemplo, autónomos). 
* A la grabación de datos de voz e imágenes, siempre que las mismas permitan la identificación de las personas que aparecen en dichas voces o imágenes y se hallen incorporadas a ficheros informáticos. 
* A los ficheros de empresas que tengan una relación de personas físicas de contacto, como Administradores, Gerentes, Directores Generales, Comerciales, etc.

¿Qué puede suceder si mi empresa no cumple con la LOPD ? ¿Hay sanciones? 
La LOPD prevé la posibilidad de aplicar sanciones, que pueden variar desde los 600€ hasta los 600.000€, a quienes no cumplan con la Ley. Estas sanciones se dividen en tres categorías dependiendo del tipo de falta cometida.

¿Qué es un fichero de datos de carácter personal? 
El concepto de fichero está descrito en el artículo 3.b) de la Ley Orgánica 15/1999, de 13 de diciembre, según el cual, se define el fichero como ‘todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso’.

En consecuencia, Vd. debe inscribir en el Registro General de Protección de Datos todos los ficheros que contengan datos de carácter personal (por ejemplo: fichero pacientes, fichero informes, fichero nóminas, fichero clientes, etc.), aunque contengan solamente el nombre y apellidos de la persona de contacto, el administrador o gerente de la empresa.

¿Debo obligatoriamente inscribir los ficheros manuales o en papel (listados, fichas, etc…)? 
El soporte papel (como son los listados o las fichas) entra dentro de la definición de soportes físicos en general.

Los ficheros manuales (no automatizados), creados con posterioridad a la fecha de entrada en vigor de la LOPD (14 de enero de 2000), deberán ser notificados para su inscripción en el RGPD. Sin embargo, los ficheros manuales que ya existieran antes de la entrada en vigor de la LOPD , no será obligatoria la notificación para su inscripción hasta octubre de 2007, de conformidad con lo establecido en el último párrafo de la Disposición Adicional Primera.

¿Se considera dentro del ámbito de aplicación de la LOPD revelar datos de carácter personal en una página web? 
De acuerdo con la definición de tratamiento de datos prevista en el artículo 3 c) de la LOPD , hacer referencia en una página web a una persona e identificarla por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un tratamiento de datos de carácter personal, siendo necesario cumplir las previsiones establecidas en la Ley.

 

LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

La Agencia Española de Protección de Datos es la autoridad de control independiente que vela por el cumplimiento de la normativa sobre protección de datos y garantiza y tutela el derecho fundamental a la protección de datos de carácter personal.

”Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan y este derecho le atribuye la facultad de controlar sus datos”

¿Cuáles son mis obligaciones si trato datos de carácter personal? Al constituirse una empresa y tratar datos de carácter personal de los clientes, proveedores y/o empleados, esta empresa será el responsable de los ficheros a los efectos previstos en la Ley Orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal (LOPD) Por tanto, la empresa está obligada por ley, entre otras cosas a:

Informar a los afectados : Cualquier persona tiene derecho a saber si sus datos personales van a ser incluidos en un fichero, y los tratamientos que se realizan con esos datos. Los responsables tienen obligación de informar al ciudadano cuando recojan datos personales que le afecten. Debe ser informado de la recogida de sus datos y de su utilización. Este derecho de información es esencial porque condiciona el ejercicio de otros derechos tales como el derecho de acceso, rectificación, cancelación y oposición .

Pedir su consentimiento : Como regla general, la inclusión de datos de carácter personal en un fichero supondrá un tratamiento de datos de carácter personal, que requerirá, en principio, el consentimiento del afectado, excepto en los casos que establece la Ley Orgánica 15/1999.

Calidad y proporcionalidad de los datos : La Ley Orgánica 15/1999 contiene entre sus principios generales, el principio de calidad de los datos, que, ligado al principio de proporcionalidad de los datos, exige que los mismos sean adecuados a la finalidad que motiva su recogida.

Atención a los derechos de los ciudadanos : Es competencia de la Agencia Española de Protección de Datos la tutela de estos derechos. Así, ante una denegación del ejercicio de éstos, queda abierta la posibilidad de que el titular de los datos recabe dicha tutela formulando la correspondiente reclamación. Derechos de acceso, rectificación y cancelación, oposición.

Deber de guardar secreto : El artículo 10 de la Ley Orgánica 15/1999, exige a quienes intervengan en cualquier fase del tratamiento de los datos a guardar secreto profesional sobre los datos, subsistiendo la obligación aún después de finalizar su relación con el responsable del fichero.

Adopción de medidas de seguridad : El Reglamento viene a establecer tres niveles de seguridad atendiendo a la naturaleza de la información tratada en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la misma, con independencia de la finalidad en virtud de la cual se haya procedido al tratamiento de los datos personales. (Nivel alto: para ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los recabados para fines policiales sin consentimiento de las personas afectadas; Nivel medio: para ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y los que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia y crédito) ; Nivel básico: para ficheros que contengan datos de carácter personal.

Notificación de ficheros con datos de carácter personal : Los datos de carácter personal se organizan en ficheros y la creación de éstos se debe notificar y solicitar su inscripción en el Registro General de Protección de Datos El Registro General de Protección de Datos es el órgano al que corresponde velar por la publicidad de la existencia de los ficheros de datos de carácter personal, con miras a hacer posible el ejercicio de los derechos de acceso, rectificación, oposición y cancelación, regulados en los artículos 14 a 16 de la LOPD. Por ello es el encargado de la gestión de las inscripciones.

SANCIONES

La LOPD prevé la posibilidad de aplicar sanciones, que pueden variar desde los 600€ hasta los 600.000€, a quienes no cumplan con la Ley. Estas sanciones se dividen en tres categorías dependiendo del tipo de falta cometida. Algunos ejemplos de sanciones son los siguientes:

Infracciones leves – Sanciones desde 601,01€ hasta 60.101,21€

  • No solicitar la inscripción del fichero en la Agencia Española de Protección de Datos (AEPD)
  • Recopilar datos personales sin informar previamente
  • No atender a las solicitudes de rectificación o cancelación
  • No atender las consultas por parte de la AGPD
  • Infracciones graves – Sanciones desde 60.101,21€ hasta 300.506,25€
  • No inscribir los ficheros en la AEPD.
  • Utilizar los ficheros con distinta finalidad con la se crearon
  • No tener el consentimiento del interesado para recabar sus datos personales
  • Tratar datos especialmente protegidos sin la autorización del afectado
  • No remitir a la AEPD las notificaciones previstas en la LOPD
  • Mantener los ficheros sin las debidas condiciones de seguridad

Infracciones muy graves – Sanciones desde 300.506,25€ hasta 601.012,1€

  • Crear ficheros para almacenar datos que revelen datos especialmente protegidos
  • Recogida de datos de manera engañosa o fraudulenta
  • Recabar datos especialmente protegidos sin la autorización del afectado
  • Vulnerar el secreto sobre datos especialmente protegidos
  • La comunicación o cesión de datos cuando ésta no esté permitida
  • No atender de forma sistemática los requerimientos de la AEPD
  • La transferencia temporal o definitiva de datos de carácter personal con destino a países sin nivel de protección equiparable o sin autorización

La cuantía de las sanciones se calculará teniendo en consideración factores como la naturaleza de los derechos personales afectados, el grado de intencionalidad, los beneficios obtenidos, los daños y perjuicios causados a las personas interesadas y a terceras personas, así como otras circunstancias que se consideren relevantes en cada caso.

 

Ley de Propiedad Intelectual: LPI

La Ley de Propiedad Intelectual indica que los programas de ordenador (aplicaciones y juegos) pirateados son delito y prevé multas por ello. El software pirateado son aquellos programas -excluyendo los gratuitos y libres- que se utilizan sin haber pagado previamente su licencia de uso. La publicación de los contenidos se realiza bajo responsabilidad propia, asegúrate del cumplimiento legal. 

Legislación Nacional En materia de seguridad informática existen siete normativas legales relevantes:

  1. La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal ( LOPD ). [ Documento disponible en pdf ( BOE 298 de 14-12-1999) ] y [ HTML ( BOE 298 de 14-12-1999) ]
  2. El Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999 , de 13 de diciembre, de protección de datos de carácter personal. [ Documento disponible en pdf ( BOE 298 de 19-01-2008) ] y [ HTML ( BOE 298 de 19-01-2008) ].
  3. La Ley 34/2002 , de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico ( LSSI-CE ). [ Documento disponible en pdf ( BOE 166 de 12-07-2002) ] y [ HTML ( BOE 166 de 12-07-2002) ].
  4. La Ley 59/2003 , de 19 de diciembre, de Firma Electrónica [ Documento disponible en pdf ( BOE 304 de 20-12-2003) ] y [ HTML ( BOE 304 de 20-12-2003) ].
  5. Real Decreto Legislativo 1/1996 , de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual ( LPI ), regularizando, aclarando y armonizando las disposiciones vigentes en la materia. [ Documento disponible en HTML ( BOE 97 de 22-04-1996) ]
  6. Real Decreto 3/2010 , de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica .[Documento disponible en HTML ( BOE 25 de 29-01-2010 páginas 8089 a 8138) ].
  7. Real Decreto 4/2010 , de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica. .[Documento disponible en HTML ( BOE 25 de 29-01-2010 páginas 8139 a 8156) ].

En esta sección se proponen unas breves guías que describen la normativa vigente y su ámbito de aplicación. Las primeras dos normativas abordan laproblemática y legislación aplicable de los datos de carácter personal . Además es recomendable la visita a la página web de la Agencia Española de Protección de Datos , para más información de la protección de datos de carácter personal . La Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, regula el régimen jurídico de los servicios de la sociedad de información y comercio electrónico , y todos los aspectos que hay que tener en cuenta a la hora de realizar transacciones electrónicas . En el siguiente tríptico se puede encontrar una indicación de los aspectos básicos de dicha ley. Para una información más detallada, es recomendable consultar la página web de información general de la LSSl . La cuarta normativa regula todos los aspectos referentes al régimen jurídico de la Firma Electrónica y todos aquellos requisitos que son necesarios para que a la hora de realizar comunicaciones exista identidad y seguridad. La quinta normativa de Propiedad Intelectual describe y regula el conjunto de derechos que pertenecen a los autores y otros titulares respecto de las obras. La sexta y séptima normativa regulan la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos y los criterios y recomendaciones de seguridad, normalización y conservación de la información, de los formatos y de las aplicaciones que deberán ser tenidos en cuenta por las Administraciones Públicas. Se recomienda también visitar la sección de buenas prácticas para profundizar en cómo implantar medidas que faciliten el cumplimiento de las disposiciones legales . Legislación Europea En materia de seguridad informática existen dos normativas legales relevantes:

  1. Directiva 2009/136/CE/ del Parlamento Europeo y del Consejo, de 25 de noviembre.[ Documento disponible en PDF (Directiva 2009/136/CE/) ].
  2. Directiva 2009/140/CE del Parlamento Europeo y del Consejo, de 25 de noviembre.[ Documento disponible en PDF (Directiva 2009/140/CE) ].

La Directiva 2009/136/CE modifica la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) nº 2006/2004 sobre la cooperación en materia de protección de los consumidores. La Directiva 2009/140/CE modifica la Directiva 2002/21/CE relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/19/CE relativa al acceso a las redes de comunicaciones electrónicas y recursos asociados, y a su interconexión, y la Directiva 2002/20/CE relativa a la autorización de redes y servicios de comunicaciones electrónicas. Si desea consultar más información o tiene alguna duda puede dirigirse al área jurídica de la seguridad y las TIC del portal, donde puede encontrar más documentación, guías, modelos y dudas frecuentes referentes a legislación. También puede realizar una consulta a nuestros asesores legales desde la sección Asesoría Legal del portal.

 

Legislación Extranjera

Legislación Europea:
En materia de seguridad informática existen dos normativas legales relevantes:

  1. Directiva 2009/136/CE/ del Parlamento Europeo y del Consejo, de 25 de noviembre. [ Documento disponible en PDF (Directiva 2009/136/CE/) ]. 
  2. Directiva 2009/140/CE del Parlamento Europeo y del Consejo, de 25 de noviembre. [ Documento disponible en PDF (Directiva 2009/140/CE) ].

La Directiva 2009/136/CE modifica la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) nº 2006/2004 sobre la cooperación en materia de protección de los consumidores.

La Directiva 2009/140/CE modifica la Directiva 2002/21/CE relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/19/CE relativa al acceso a las redes de comunicaciones electrónicas y recursos asociados, y a su interconexión, y la Directiva 2002/20/CE relativa a la autorización de redes y servicios de comunicaciones electrónicas.

Legislación extranjera COPPA (Children’s Online Privacy Protection Act,1998), protección de Privacidad de los Niños en Línea. Promueve la participación de los padres, proteger a los menores en sitios tales como chat rooms, blogs, carteleras públicas, etc., mantener seguridad de la información recolectada de ellos e impedir recolección de datos sin el consentimiento paterno, entre otras.

Legislación extranjera CIPA (Children’s Internet Protection Act), Protección de los Niños en el Internet obliga a las bibliotecas en los EEUU que deseen obtener descuentos en el acceso a internet a colocar filtros part a proteger a los menores contra contenido obsceno o dañino.

Legislación extranjera FERPA (Family Educational Rights and Privacy Act). También llamada Ley Buckley. Garantiza los derechos específicos al estudiante sobre ver e inspeccionar la información que una institución universitaria mantiene en el expediente del estudiante, a exigir que se enmiende alguna información en dicho expediente, a consentir en dar permiso o autorización para divulgar información de dicho expediente y a reclamar o presentar una querella a las Oficinas de FERPA en Washington por haberse realizado algún tipo de violación a la ley.

 

 

SPAM: Regulación legal

El envío de mensajes comerciales sin el consentimiento previo está prohibido por la legislación española, tanto por la Ley 34/2002 de Servicios de la Sociedad de la Información ( LSSI ) como por la Ley Orgánica 15/1999 de Protección de Datos ( LOPD ). La Agencia Española de protección de Datos ( AEPD ) es la entidad encargada de la tutela de los derechos y las garantías de los abonados (persona física o jurídica que tiene un contrato con un operador) y usuarios (personas que utilizan unos servicios sin haberlos contratado).

La LSSI , en el artículo 21.1 prohíbe de forma expresa el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. Es decir, se desautorizan las comunicaciones dirigidas a la promoción directa o indirecta de los bienes y servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional, si bien existe una excepción en el caso de que exista una relación contractual previa y se refiera a productos similares.

“Los usuarios están amparados por la ley para evitar el spam”

La vulneración de la LSSI podría considerarse como una infracción grave y puede multarse con hasta 150.000 euros. Además, la práctica del spam puede vulnerar el derecho a la intimidad, que está protegida por la LOPD y la vulneración de esta ley supondría una infracción muy grave que está castigada con hasta 600.000 euros de multa.

La principal dificultad con la que se choca la persecución legal del spam es que, en la gran mayoría de los casos, este proviene de países de fuera de España, lo que dificulta su erradicación aunque no impide que se pueda denunciar en la AEPD .

 


Delitos Informáticos ¿Cuáles son? ¿cómo denunciarlos?

¿A qué se denomina delito informático? Por todos es conocido el término delito informático pero, ¿desde hace cuánto tiempo tiene acogida el mismo en nuestra legislación? ¿Existen distintos tipos de delitos informáticos? ¿Cómo pueden denunciarse y ante qué entidad?

Con el término delito informático aglutinamos los hechos que, basándose en técnicas o mecanismos informáticos, pudieren ser tipificados como delito en el Código Penal, tales como: delito de estafa, delito contra la propiedad intelectual e industrial, etc. Debido a los avances tecnológicos y a los nuevos mecanismos para delinquir se ha hecho necesario introducir y modificar determinados artículos que permitan aglutinar éstos.

A través de este artículo se va a dar respuesta a estas y otras preguntas, incluyendo algunos ejemplos de los delitos más sonados en estos últimos años, así como ciertas referencias legales y organismos gubernamentales.

Las estafas con anterioridad al vigente Código Penal de 1995.

Con anterioridad a la redacción del actual Código Penal de 1995, el delito de estafa se encontraba, según el texto legal de 1975, recogido en el artículo 528 y 529 bajo la siguiente redacción “Art. 528. El que defraudare a otro en la sustancia, cantidad o calidad de las cosas que le entregare en virtud de un delito obligatorio será castigado […]. Art. 529. El que defraudare a otro usando nombre fingido, atribuyéndose poder, influencia o cualidades supuestas, aparentando bienes, crédito saldo en cuenta corriente, comisión, empresa o negociaciones imaginarias o valiéndose de cualquier otro engaño semejante […].Cometen estafa los que con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndole a realizar un acto a disposición en perjuicio propio o ajeno. También se consideran reos de estafa los que, con ánimo de lucro y valiéndose de alguna manipulación […]”. Esta situación provocó que muchas de las estafas cometidas a través de medios informáticos no pudieran tener cabida bajo este precepto teniendo que ser declaradas por los tribunales y asentado bajo jurisprudencia como apropiación indebida, como así sucedió con un empleado de un banco que tras manipular las cuentas corrientes de varios clientes de la entidad bancaria en la que trabajaba, embolsándose una cantidad superior a 3 millones de las antiguas pesetas, no pudo declararse dicho acto como estafa, sino como apropiación indebida ya que las estafas informáticas no estaban contempladas en el por aquel entonces vigente Código Penal, si bien el texto desde 1975 había sido modificado, en ningún caso incluyó la manipulación informática.

 


Situación del actual Código Penal

Con la aprobación del actual Código Penal, el 23 de noviembre de 1995 se realizan importantes cambios entre los que destacan ampliaciones en las definiciones de ciertos articulados, siendo de especial importancia el nuevo apartado incluido en la definición de estafa “Artículo 248. También se consideran reos de estafa los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero. La misma pena se aplicará a los que fabriquen, introdujeren, poseyeren o facilitaren programas de ordenador específicamente destinados a la comisión de estafas previstas en este artículo”. Si bien, cabe destacar que no existe un apartado específico donde se incluyan los denominados delitos informáticos e incluso no todos se encuentran debidamente especificados, entre los que cabe destacar la apología al terrorismo a través de páginas web, si bien pueden entenderse como delito informático por tanto en cuanto tiene cabida en la acepción amplia de delito informático -que tienen en los datos o sistemas informáticos el objeto o el instrumento de su delito-.

Tipos de delitos informáticos recogidos en el Código Penal

Partiendo de la base que no hay ningún apartado específico de delitos informáticos en el Código Penal, atenderemos a la clasificación de los mismos, siempre y cuando, los datos o sistemas informáticos formen parte de la comisión del delito, a saber:

Las amenazas
Los delitos de exhibicionismo y provocación sexual
Los delitos relativos a la prostitución y corrupción de menores
Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad de domicilio: El descubrimiento y revelación de secretos, p.e. La interceptación de correo vendría asimilada a la violación de correspondencia, siempre que no exista consentimiento y haya intención de desvelar secretos o vulnerar la intimidad de un tercero. También sería un delito contra la intimidad la usurpación y cesión de datos reservados de carácter personal. 
Delitos contra el honor: Calumnias e injurias, habiéndose especial mención cuando estas se realizaren con publicidad -se propaguen-.
Las estafas. 
Las defraudaciones de fluido eléctrico. Incluye de forma expresa la defraudación en telecomunicaciones siempre y cuando se utilice un mecanismo para la realización de la misma, o alterando maliciosamente las indicaciones o empleando medios clandestinos.

Los daños. Destaca de la ampliación de la definición existente con anterioridad, incluyendo un apartado específico para los daños inmateriales “La misma pena se impondrá al que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos”.

Los delitos relativos a la propiedad intelectual (Cómo proteger las creaciones y proyectos que se desarrollan en mi empresa).

Los delitos relativos a la propiedad industrial (Test de propiedad industrial).

Los delitos relativos al mercado y a los consumidores. Aquí se encontraría incluida la publicidad engañosa que se publique o difunda por Internet, siempre y cuando se hagan alegaciones falsas o manifiesten características inciertas sobre los mismos, de modo que puedan causar un perjuicio grave y manifiesto a los consumidores. (¿Son mis invenciones patentables?)

 


Denunciar un delito

(Para información sobre denuncias consulte el apartado Denuncias)

Este tipo de delitos, tipificados en el Código Penal, pueden denunciarse bien a través del propio interesado o por el Ministerio Fiscal, si bien hay que destacar la gran relevancia que están tomando el cuerpo especial de la Guardia Civil de Delitos Telemáticos, los cuales desde su comienzo -1996- han esclarecido e investigado, bien a instancia de parte, bien de oficio, entre otros los siguientes casos que en su día han tenido gran relevancia social:

Operación RONNIE, que permitió esclarecer el mayor ataque documentado de Denegación de Servicios Distribuidos (DDoS) a distintos servidores de Internet, que afectó a más del 30% de los internautas españoles y a varios de los proveedores de Internet más importantes de España.

Operación PUNTO DE ENCUENTRO, mediante la cual y en colaboración con policías de diecinueve países se logró la completa desarticulación de una red internacional dedicada a la distribución de pornografía infantil a través de Internet.

Operación POLICARBONATO, dirigida hacia la identificación de todos los escalones que componen el mercado pirata de CD´s de música, desde la fabricación de los CD´s destinados a las copias ilegales, las copias masivas llevadas a cabo en domicilios o empresas y la venta directa en mercados y calles.

Cabe destacar, la presentación de dichas denuncias ante el Cuerpo Especial de Delitos Telemáticos de la Guardia Civil es gratuito y debe presentarse en soporte papel, aunque se facilita un modelo de denuncia a través de su Portal.

Delitos en la legislación complementaria

Pero, ¿qué sucede con aquellos hechos por todos conocidos como el spam, el scaneo de puertos, comercio electrónico, etc. que no tienen cabida en el Código Penal? Pues bien, para aquellos casos en los que el hecho previsiblemente infractor no fuere perseguible vía penal, habría que acudir a la legislación propia que regula la sociedad de la información donde sí se encuentran y cada vez mejor tipificados éstas infracciones: en materia de protección de datos personales (Ley Orgánica de Protección de Datos Personales); en cuestiones de la sociedad de la información y envío de correos electrónicos (Ley de Servicios de la Sociedad de la Información y Comercio Electrónico).

Con respecto a la presentación de denuncias cuando no se encuentra recogido el delito o falta dentro del Código Penal, habrá que atenerse a la legislación específica. Así, en materia de protección de datos la denuncia podrá ser instada de oficio o por parte del afectado o su representante legal ante la Agencia Española de Protección de Datos. Estas denuncias tienen de característico que son totalmente gratuitas, es la Agencia la que finalmente corre a cargo de todos los gastos del procedimiento pasando a examinar el mismo expertos en la materia. Así mismo, desde hace ya dos años que la Agencia puede conocer también en materia de comunicaciones comerciales. Con respecto a aquellos actos que infrinjan las obligaciones así reguladas por la Ley de Servicios de la Sociedad de la Información, a excepción del envío de correos comerciales, el órgano al que se deben presentar las denuncias oportunas es a la Secretaría de Estado de Telecomunicaciones y Sociedad de la Información, adscrita al Ministerio de Industria, Turismo y Comercio.

Actualidad

La compra en Internet suplantando la identidad del titular de una tarjeta no es estafa. El pasado mes de febrero el juzgado de Málaga hizo público su fallo en el que consideraba que no constituye estafa la compra en Internet facilitando los datos de una tarjeta tercera. Los hechos fueros los que a continuación se detallan. Dos sujetos adquirieron por Internet un DVD facilitando los datos identificativos de una tarjeta, cuya titularidad pertenecía a otro sujeto diferente. La Sentencia señala que no es posible calificar el hecho como estafa, puesto que no producen los requisitos necesarios contenidos en el artículo 248 CP: manipulación de un programa y; la alteración, supresión u ocultación de datos en el sistema manipulado. Así mismo, el comerciante no realizó las comprobaciones necesarias para identificar al titular. (¿Cómo vender más y mejor por Internet? Aspectos legales básicos a tener en cuenta.)

Que tu novio se vengue……si tiene precio -35.000 €- Las venganzas personales están a la vuelta de la esquina y, sino sorpréndanse con la sanción que ha impuesto el Tribunal Regional de Marburgo a un ciudadano por publicar videos caseros de su ex novia manteniendo relaciones sexuales con él. En efecto, este ciudadano alemán de 40 años se sintió tan afligido por el término de su relación con su “amada” -el ego masculino- que decidió publicar un video casero a través de la Red, incluyendo los datos reales de contacto de ella, además de las imágenes donde aparecían ambos manteniendo relaciones sexuales. La mujer empezó a sospechar, cuando varios desconocidos comenzaron a ponerse en contacto con ella -caso parecido al del vecino que por venganza incluyó los datos de su vecina en un portal de contactos-. Finalmente y, como no podía haber sido menos, los jueces han dictado sentencia a favor de la mujer, declarándole a él culpable de injuria, difusión pornográfica y violación de derechos de imagen, además de tener que pagar una indemnización económica de 35.000 €.

 


¿Es un delito el grooming?

La Convención sobre la Protección de los Niños contra la Explotación Sexual y el Abuso Sexual de 2007 fue el primer documento internacional en señalar como delitos penales las distintas formas de abuso sexual de menores, incluyendo el grooming y el turismo sexual.

En algunas legislaciones ya en marcha en algunos países se considera el grooming como un delito preparatorio para otro de carácter sexual más grave. Por establecer una analogía, sería como el delito de conspiración para cometer atentados terroristas.

•  En Alemania se pena con privación de libertad de 3 meses a 5 años al que ejerza influencia sobre el menor por medio de la exhibición de ilustraciones o representaciones pornográficas o por dispositivos sonoros de contenido pornográfico o por conversaciones en el mismo sentido.

•  Australia también pena con 15 años de prisión el uso de Internet para buscar actividades sexuales con personas menores de 16 años de edad.

•  En Escocia penan con hasta 10 años de cárcel la reunión con un menor de 16 años después de algunos contactos preliminares a través del chat.

•  En Estados Unidos se prohibe trasmitir datos personales de menores de 16 años con el fin de cometer delitos de carácter sexual. En Florida aprobaron en 2007 la Ley de Cibercrímenes contra Menores , que sanciona a quienes contacten con menores por Internet y luego se encuentren con ellos con el fin de abusar sexualmente.

En España está en marcha una reforma del Código Penal que donde la pederastia y la pornografía infantil verán agravadas las penas (que serán, en todo caso, de prisión). También tipificará como delito la captación de menores con fines sexuales a través de Internet así como considerar agresión sexual (aunque no haya violencia ni intimidación) aquellos actos que atenten contra la libertad e indemnidad sexual , cuando la víctima sea menor de edad.

 


¿Es lo mismo un pederasta que un pedófilo?

No: existe un matiz importante, que muchas veces marca la línea entre lo que es delito y lo que no. La mayoría de los pederastas son pedófilos, pero un pedófilo no siempre es también un pederasta. Según la mayoría de diccionarios, el pedófilo (o paidófilo) se siente atraído erótica o sexualmente por niños (y/o niñas), e incluso puede mantener relaciones con ellos, con o sin abuso. Cuando abusa es cuando se le llama pederasta.

Podríamos resumir las definiciones (según la RAE) en esta tabla:

 

Atracción, deseo

Práctica sexual

Abuso

Objeto

Pedófilo/a

Sí o no

Sí o no

Niños, niñas y/o adolescentes

Pederasta

Sí o no

Niños y/o niñas

¿Cuándo una relación sexual con un/a menor es un abuso o ilícita?

Cuando media la fuerza o la coacción en dicha relación está fuera de duda que existe abuso, sea cual sea la edad y el entorno legal. Pero cuando existe algún tipo de consentimiento es cuando empiezan las diferencias según nuestro ámbito legislativo y según la edad. Entonces toma relevancia el concepto de edad mínima de consentimiento . Si el/la menor ha consentido la relación y tiene una edad igual o superior a la mínima de consentimiento, se considera lícita la relación. Si ha dado su consentimiento, pero tiene menos años, entonces se considerará ilícita.

En el caso español la ley indica lo siguiente: Se considera estupro el acceso carnal con persona mayor de 12 años y menor de 16, conseguido con engaño o valiéndose de cualquier tipo de superioridad. La mayoría de edad sexual (edad de consentimiento) en el Código Penal vigente en España queda establecida a partir de 12 años, siempre y cuando no intervenga engaño. En laWikipedia existe un listado de la edad de consentimiento por países .

Los casos de grooming son tratados de manera algo diferente, ya que en muchas ocasiones se limitan a un chantaje y una explotación sexual forzada del/a menor mediante la obtención de imágenes, con lo cual se entra dentro más de la producción de pornografía infantil que en el abuso sexual o el estupro.

 

¿Qué se considera pornografía infantil?

Aquí también existen diferencias según el país. En España en la actualidad de considera a efectos legales como tal (art. 189 del Código Penal):

1. Será castigado con la pena de prisión de uno a tres años: a) El que utilizare a menores de edad o a incapaces con fines o en espectáculos exhibicionistas o pornográficos, tanto públicos como privados, o para elaborar cualquier clase de material pornográfico, o financiare cualquiera de estas actividades.

a) El que produjere, vendiere, distribuyere, exhibiere o facilitare la producción, venta, difusión o exhibición por cualquier medio de material pornográfico en cuya elaboración hayan sido utilizados menores de edad o incapaces, aunque el material tuviere su origen en el extranjero o fuere desconocido. 

b) A quien poseyera dicho material para la realización de cualquiera de estas conductas se le impondrá la pena en su mitad inferior.

2. Se impondrá la pena superior en grado cuando el culpable perteneciere a una organización o asociación, incluso de carácter transitorio, que se dedicare a la realización de tales actividades. 

3. El que haga participar a un menor o incapaz en un comportamiento de naturaleza sexual que perjudique la evolución o desarrollo de la personalidad de éste, será castigado con la pena de prisión de seis meses a un año o multa de seis a doce meses.

También especifica el Código Penal español el delito de posesión de material pornográfico infantil penado con hasta 1 año de prisión a quien posee material pornográfico en cuya elaboración haya sido utilizado a un menor de 18 años (fotografías, vídeos, imágenes reales digitalizadas, archivos electrónicos, etc). También se penaliza la producción, venta y difusión de pseudo-pornografía , es decir del material pornográfico donde no se haya utilizado directamente a un/a menor pero que emplee su imagen ( morphing ) o voz modificada. Esta práctica consistente en aplicarle filtros o efectos a una imagen real para crear un montaje nuevo. Por ejemplo, se toman partes de imágenes (rostros y genitales de niños) y se mezclan en una especie de collage impidiendo la identificación de la posible víctima. 

Sin embargo no se especifica si los dibujos pornográficos que representan a niños ficticios (algo común en ciertos subgéneros del manga hentai japonés) son delito. También existen programas de generación de imágenes 3D que permiten crear este tipo de imágenes mediante infografía. 

Las penas van hasta los cuatro años de prisión para la producción, venta o difusión de pornografía (real) en cuya elaboración haya sido utilizado a un/a menor de 18 años, y hasta ocho años de prisión si es menor de 13 años.

No obstante, siempre existe una línea difusa entre lo que es una imagen pornográfico y lo que no lo es. No basta con que sea una imagen de un menor desnudo para que lo sea, o incluso no estándolo podría considerarse pornográfica la imagen o el vídeo según los actos que realice.

Según la Wikipedia la pornografía infantil se define como: toda representación de menores de edad de cualquier sexo en conductas sexualmente explícitas. Puede tratarse de representaciones visuales, descriptivas (por ejemplo en ficción) o incluso sonoras. (…) Tradicionalmente, se consideran como pornografía infantil a aquellas representaciones fotográficas o fílmicas en formatos digital o analógico de menores de edad de cualquier sexo en conductas sexualmente explícitas ya sea solos o interactuando con otros menores de edad o con adultos. . Es decir, una imagen de webcam de nuestra hija tomada por un groomerque la obliga mediante chantaje a realizarse tocamientos entraría claramente dentro de esta categoría.

¿Hasta qué punto estamos ante un fenómeno nuevo?

Decir que la Red ha aumentado la práctica del acoso sexual a menores podría resultar exagerado. ¿Qué es realmente lo nuevo?

•  La Red es rápida, barata y ubicua. Contenidos audiovisuales, como son los pornográficos, circulan con plena fluidez.

•  Cada vez más se extiende el uso de la cámara web, elemento presente en la inmensa mayoría de los problemas de grooming . Además, si no se contara con cámara web, el recurso a la cámara digital o al móvil capaz de grabar imágenes y vídeos es inmediato. Ya tenemos al menor plenamente equipado para proporcionar lo que busca el groomer .

•  Los equipos portátiles dificultan la supervisión parental porque se pueden mover de lugar en la casa e incluso sacar a otros lugares, a cielo abierto o no, dotados con redes WiFi.

•  El pederasta antes podía sentir su perversión como algo irrefrenable, pero quizás también como nociva o inmoral. Ahora cuenta en la Red con miles de personas en todo el mundo con las que compartir su afición , datos, trucos, experiencias, material. Ya no hay razón para sentirse mal con uno mismo, pueden pensar ahora.

•  Hay algunos estudios que insinúan que la exposición continuada a la pornografía (algo al alcance de la mano en la Red) puede en ciertos casos acabar creando permisividad hacia el consumo de pornografía infantil e incluso inducir a su necesidad.

•  Los propios menores lo tienen ahora muy fácil para consumir y crear su propio material de una manera más o menos inconsciente o imprudente.

•  Ahora los pederastas no tienen que esperar a los recreos o a las horas de salida del colegio. Millones de niños están conectados en cada instante y cuando unos duermen, otros están despiertos al otro lado del océano e incluso hablan el mismo idioma. El coto está abierto 24 horas todos los días del año, y es fácil y barato.

•  A este contexto, se pueden añadir los clásicos problemas anejos a los ciberdelitos como son las dificultades de persecución, las legislaciones diferentes (una imagen ilegal en un país puede ser legal en otro), los medios de investigación precisos o los largos procedimientos burocráticos.

¿Siempre obtienen las imágenes mediante chantaje?

No siempre, hay maneras sutiles de engañarlos/las. Y también se han dado casos de menores que producían este material voluntariamente o incluso comercialmente. Existen incluso en ciertos países productoras comerciales que se mueven en el límite de lo erótico-artístico con modelos menores de edad, que cuentan con permiso de sus padres o tutores y que obtienen un beneficio económico por su posado .

En algunas redes sociales donde los menores pueden colgar sus obras artísticas, es relativamente fácil encontrar por ejemplo niñas de 15 años que publican sus propias fotos (semi)desnudas o en actitudes eróticas, presumiblemente sin conocimiento de sus padres, y ofreciendo vías sencillas para contactar con ellas por e-mail o mensajería instantánea.

Qué fases sigue habitualmente el grooming? 
Las 4 etapas típicas son:

Constuir lazos de amistad con un/a menor fingiendo ser otro niño o niña.

Obtener información y datos personales del/a menor.

Mediante diferentes tácticas, adaptadas a la personalidad de la víctima (seducción, provocación, comparación con otros menores o mostrando imágenes de contenido progresivamente más pornográfico) conseguir que el/la menor frente a la webcam del pc se desvista, se haga tocaciones, se masturbe o realice otro tipo de expresiones de connotación sexual. En ocasiones hay una fase previa en la que se obtienen fotos comprometidas con las que realiza el chantaje para obtener más fotos o trasmisión de tocamientos en directo .

Si no se ha iniciado el chantaje en la fase anterior, en esta se inicia el ciberacoso, extorsionando a la víctima, con el objeto de obtener más material pornográfico o bien de lograr el encuentro físico con el/la menor para abusar sexualmente de él/ella.

¿El grooming siempre lleva al abuso físico? 
No necesariamente. Aunque muchas veces es la fase previa con la que un abusador sexual prepara el terreno y engatusa a su víctima, otras veces se limita a ser una fuente de material pornográfico o erótico con el que satisfacer las propias pulsiones masturbatorias del groomer .

¿Cuánto tiempo dura el proceso de grooming? 
Existen diversas duraciones del proceso en sus sucesivas etapas, y será más rápido o más lento dependiendo de diversas circunstancias (personalidad del acosador, del/a menor, frecuencia de la conexión, circunstancias que puedan mantener a uno de los 2 desconectado durante un tiempo…).

Lo habitual es que el proceso lleve entre unas pocas semanas y varios meses, durante los cuales el groomer se va ganando la confianza del menor antes de comenzar a introducirse en la temática sexual de una manera más evidente. Cuanto más dure el proceso normalmente el peligro es mayor ya que el/la menor habrá bajado ya en buena medida sus defensa y lo considerará un amigo (o amiga) más. Por eso es importante educarlos para quenunca confíen en los amigos que sólo conocen a través de Internet, por más tiempo que lleven en contacto con ellos, y que nunca deben proporcionarles datos personales que permitan su localización física ni confiarles secretos comprometidos que los expongan a un posterior chantaje.

Utilización de bonificaciones para LOPD 
La Fundación Tripartita para la Formación en el Empleo advierte a empresas y consultores, a todos los gestores de formación para el empleo del sistema de bonificaciones de ámbito estatal, sobre la existencia de entidades que de manera gratuita ofrecen servicios de implantación, auditoría y asesoría jurídica en materia de protección de datos de carácter personal, que en la práctica financian estos servicios con cargo al crédito asignado para la formación, un hecho que puede llegar a ser constitutivo de fraude .

El Real Decreto 395/2007 y la Orden Ministerial 2307/2007 establecen que este crédito está destinado exclusivamente a la realización de acciones formativas y permisos individuales de formación de los trabajadores.

La Fundación Tripartita ha iniciado un proceso de comprobación de los hechos y puesto en marcha los mecanismos de control oportunos, para constatar las bonificaciones practicadas y evitar en el futuro que las empresas beneficiarias que se bonifican por formación se vean implicadas en una cadena de errores, teniendo que devolver las cuantías bonificadas.

Las empresas que se bonifiquen por la contratación de servicios de implantación, auditoría y asesoría jurídica en materia de LOPD, deberán devolver los importes correspondientes y atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social.

La Fundación Tripartita hace un llamamiento a todos los usuarios para que en caso de recibir alguna oferta de este tipo de servicios u otros de similares características, contacten con el servicio al cliente de la Fundación en la siguiente dirección email: servicioalcliente@fundaciontripartita.org.

Sanción de 50.000 euros a Orange por emitir cargos a la libreta de ahorro de un menor 
La intervención de la Agencia Española de Protección de Datos (AEPD) se debió a la denuncia presentada por la madre del menor tras percatarse de varios cargos a favor de Orange en la cuenta de ahorro infantil de su hijo. La AEPD afirma que la compañía no ha acreditado que comprobara la edad del menor, y tampoco dispone de ningún documento (por ejemplo copia del DNI) que lo acredite. La compañía debería haber realizado las acciones necesarias para evitar que, como en este caso, los datos personales de un niño causaran alta en su sistema.

El Reglamento de desarrollo de la L.O .P.D. establece que en el caso de menores de catorce años se requerirá el consentimiento de sus padres o tutores para proceder al tratamiento de los datos personales. Tratar los datos personales sin el consentimiento de las personas afectadas, cuando éste sea necesario, es una infracción considerada grave por la legislación de protección de datos.

 

Tienes a tu disposición más contenidos descargables en gitsinformatica.com

Imagen

Acerca de Ciberseguridad GITS Informática

Asesoría para Padres y Adolescentes, Educadores, Empresarios y Trabajadores, Administraciones Públicas y Privadas, Asesoría, Seminarios, Docencia y Divulgación en materia de Ciberseguridad, Delitos Informáticos y Privacidad del Internauta.
Esta entrada fue publicada en Uncategorized y etiquetada , , , , , , , , , , , . Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s