Entradas guardadas para base de datos

Comunicaciones de datos no autorizadas

La Sala de lo Contencioso-Administrativo del Tribunal Supremo falló en 2004, hace la friolera de cinco años, este caso relativo a las comunicaciones de datos no autorizadas y el tipo de fuentes públicas admitidas en el ordenamiento jurídico. Un caso de extremo interés un día como hoy en el que salta a la prensa la infomación acerca de la falta de inscripción de ficheros ante la AEPD del 84% de las empresas patrias. Una muestra más de lo mucho que nos queda por andar en la senda de la protección de datos en este país.

Pongámonos en antecedentes: en el caso referido, la entidad infractora, de acuerdo con la AEPD, habría cometido una falta muy grave de acuerdo con la ya extinta LORTAD (LO 5/92) al haber comunicado datos sin la autorización del usuario. La entidad impugna la decisión y el TSJ de Cataluña entiende que la sanción impuesta por la AEPD ha de ser entendida solamente como ‘grave’ de acuerdo con el art. 43 de la citada LORTAD. Pese a la aminoración de la sanción, la entidad sancionada decide llevar el tema a casación ante el Tribunal Supremo aduciendo inversión de la carga de la prueba y haber desatendido a la presunción de inocencia. El abogado del estado, por su parte, solicita al Supremo que se restituya la sanción originalmente impuesta por el Director de la AEPD.

De acuerdo con los hechos relatados, la entidad sancionada habría utilizado los datos del censo electoral para elaborar su base de datos. Así habría recogido datos que excederían la simple finalidad comercial que tenían sus comunicaciones. Para mayor escarnio, la entidad sancionada opta por comunicar dichos datos a otra empresa sin el consentimiento del usuario. En definitiva, la entidad usa de los datos censales como base para crear un fichero con el que enviar comunicaciones de carácter comercial, fichero que posteriormente comunica a otras entidades.

El caso surge a partir de la recepción por parte de un usuario en su correo de diversas comunicaciones no solicitadas por parte de diversas empresas mediante los datos tratados por la entidad sancionada. Para su defensa, la entidad recurrente sostenía que el art. 39.3 de la Ley del Comercio Minorista permitía que la empresa utilizase fuentes de acceso público para realizar dichas comunicaciones comerciales. El Tribunal Supremo, por su parte, entiende que es necesario el consentimiento del usuario para poder utilizar dichos datos, ya que el art. 7 de la Directiva 95/46 de protección de datos, no prevée ningún tipo de legitimación basado en los intereses propios de la empresa.

Otra vía de defensa por parte de la entidad recurrente, basada en el carácter derivado de dichos datos personales, es desmantelada por el tribunal. Como señala la sentencia el “…carácter no originario de los datos del fichero en nada afecta a la calificación de los hechos realizada por el acto administrativo recurrido que sancionó la cesión o comunicación de datos…”

La única duda que surge a este respecto es acerca de si los datos cedidos sin consentimiento del usuario fueron recopilados directamente del censo electoral, tal y como parece dar a entender el error acerca del segundo apellido del usuario presente en la base de datos de la entidad demandada. Aún así, el censo electoral no es una fuente público en sentido estricto ya que su uso, a diferencia del ‘censo promocional’, requiere el consentimiento del afectado:

“…si al cumplimentar dicho documento de empadronamiento, que constituye la base para la formación del censo electoral, el ciudadano manifiesta su oposición a aparecer en el censo promocional, su nombre, apellidos y domicilio, aunque figuren en el censo electoral, no podrán incluirse en el “censo promocional”, único del que pueden servirse para sus lícitas actividades las empresas dedicadas a la recopilación de direcciones…” Sentencia de 18 de octubre de 2000 (RJ 2000, 9107)

Así pues, el Tribunal condena a la entidad infractora. Por un lado, hay un tratamiento de datos que no son públicos sin el consentimiento de los afectados. Por otro, hay una comunicación no autorizada por el usuario por parte de terceras partes fundada en este tratamiento de datos ilegítimo.

A este respecto, me parece interesante resaltar la precisión del concepto utilizado por el legislador: ‘comunicación‘, que es justamente interpretado por el Tribunal Supremo como cualquier acceso que tenga otra entidad a los datos tratados por la entidad comunicante, independientemente de la titularidad de éstos.

Esto conlleva una consecuencia práctica que considero importante: no importa en qué momento de la cadena de comunicaciones uno se encuentre, desde que comunique un fichero en su propiedad, independientemente de su origen o procedencia, el responsable del tratamiento es el único sancionable por cualquier transferencia o comunicación de datos.

Sentencia Tribunal Supremo 15-12-2004

Ryanair v Atrápalo

Una sentencia reciente y novedosa en muchos de los aspectos analizados es la recaída en el litigio entre la empresa de vuelos low-cost Ryanair y el portal de Atrápalo, resuelto por el Juzgado Mercantil 2 de Barcelona.

Básicamente Ryanair sostiene en su demanda el aprovechamiento ilegítimo y sin autorización por parte de Atrápalo de su contenido web mediante la técnica de screen scraping, una forma de obtención de datos de webs ajenas nada inusual en servicios de agregación de contenidos e intermediación.

A partir de estos presupuestos el tribunal analiza cada una de las acciones propuestas por Ryanair desmantelando uno a uno sus fundamentos. Los argumentos esgrimidos por parte de Ryanair cabe agruparlos bajos tres rúbricas: en función de los términos del propio sitio web, de acuerdo con la Ley de Propiedad Intelectual (LPI) y según la Ley de Competencia Desleal (LCD). Examinamos cada uno de los tres aspectos por separado.

A) En base a las condiciones de uso del sitio de Ryanair

Las condiciones de uso del sitio de Ryanair impiden explícitamente el uso no autorizado de cualquier “sistema automatizado o software para extraer datos de este sitio web para mostrarlos en otro sitio web (screen scraping)”. En efecto, si Atrápalo hubiese hecho un tal uso se entendería como ‘usuario ilegítimo’ al haber incumplido con las condiciones contractuales existentes entre las partes. No obstante, según el tribunal, Atrápalo es un mero intermediario con respecto al usuario final que utiliza sus servicios para contratar con Ryanair y, por tanto, no queda sujeto como usuario final a las condiciones del sitio web. Esto parece suponer que el ‘agregador o intermediario’ no es un usuario propiamente dicho del sitio web, una afirmación que probablemente habrá que modular en futuros casos ya que supone una carta blanca a todo servicio de intermediación.

Es más, señala el tribunal, y esto es harto interesante para los que nos dedicamos al mundo de internet, el hecho de tener un página web de acceso público implica ciertas restricciones al propietario de dicha web.

Esto es, si RAYANAIR, para vender sus productos, ha optado por aprovecharse de las ventajas de internet mediante un sistema de acceso libre y gratuito, también debe soportar sus inconvenientes, como puede serlo una cierta perdida de control de los canales de comercialización. RYANAIR no puede discriminar según quien sea el usuario o según cual sea la finalidad perseguida por quien accede a su sitio web.

Es decir, se desprende que el hecho de tener un sitio web público no admite que se impida el uso a los denominados intermediarios de servicios. El propietario pierde el control directo sobre el origen de sus usuarios y de los posible intermediarios entre éstos. Termina su apreciación sobre un posible quebrantamiento de la relación contractual, vaciando éste de todo contenido: “En definitiva, el uso que la demandada realiza de la pagina web de RYANAIR sólo sera ilegítimo en la medida que infrinja preceptos concretos de Leyes Especiales…” A más ahondamiento, sobre la existencia de un usuario ilegítimo señalará “…siendo la pagina web de RYANAIR gratuita y de libre acceso, no cabe hablar, en principio, de “usuario ilegitimo””.

Al no causar perjuicio económico la actividad de Atrápalo sobre Ryanair ya que, a lo máximo, sirve de canal de clientes, y la comisión obtenida es repercutida directamente sobre el usuario, que libremente acepta las condiciones de Atrápalo, nada cabe aducir contra el portal web. Así señala, Ryanair “no puede imponer ese modelo, que pasa por impedir otros modelos de negocio…” Es decir, el modelo de agencia de viaje como intermediario no puede ser impedido por el modelo preferido por Ryanair, lo que fundamenta su demanda: la venta directa de billetes.

B) Específicas según la Ley de Propiedad Intelectual

El tribunal analiza los artículos 12 y 133 de la LPI para ver en qué caso encaja la base de datos de Ryanair y qué tipo de protección requiere. Al faltar el requisito de originalidad dentro del concepto de ‘creación intelectual’ del artículo 12, esta protección queda excluida.

Con respecto al art. 133 LPI, éste protege la inversión realizada por el fabricante a la hora de recopilar datos. Como señala el tribunal, esta inversión ha de gozar de un carácter autónomo, “independiente de los recursos uti1izados para la creación de los datos en cuestión”. No se da el caso, ya que lo que se recoge son los datos necesarios para el funcionamiento de la propia aerolínea (horarios de vuelos, precios, números de vuelos, destinos…).

No hay, pues, ni una recopilación valiosa de información, ni una verificación de datos que requieran una protección especial. Es decir, las bases de datos ‘primarias’ o referentes a la propia actividad del negocio no poseen protección por parte de la LPI. Esto en cuanto a la actividad por parte de Ryanair. Pero el otro criterio exigido por el art. 133 LPI tampoco se cumpliría. La extracción o reutilización de datos ha de ser sustancial y en el caso que nos atañe, la mera utilización de los concretísimos datos requeridos por parte de un usuario para adquirir un vuelo no cumplen con esta exigencia.

Ryanair también intenta buscar protección en el uso por parte de Atrápalo de su ’software’ pero esta posibilidad queda rápidamente excluida ya que Atrápalo utiliza su propio interfaz y aplicación web.

C) Recogidas en la Ley de Competencia Desleal

Finalmente, el tribunal examina la posibilidad de que Atrápalo incurriese en competencia desleal al beneficiarse del esfuerzo ajeno y/o imitase las prestaciones de la demandante pero, como se ha señalado en la jurisprudencia, ello requeriría la auténtica existencia de “meras copias sin esfuerzo intermedio” (Sentencia AP Barcelona 25 marzo 1998). Atrápalo ejerce una actividad diversa, de intermediación, y no cabe confusión de sus servicios.

Por último el ocultamiento de la compañía con la que el usuario final contrata, con la finalidad de que el usuario no se dirija directamente a la aerolínea frustrando los fines de intermediación de Atrápalo, no cabe afirmar que produce error con respecto de con quién el usuario contrata.

La incardinación del antijurídico mercantil en uno de los artículos de la Ley de Competencia Desleal precluye la utilización de la cláusula general del art. 5 que ha de servir como cláusula que permita la absorción de futuras acciones no previstas por el legislador y en base a un principio de especialidad de la norma (specialis derogat generalis). Al haber basado su demanda en la confusión que se puede crear en el consumidor y haber rechazado el tribunal dicha posibilidad queda excluida la posibilidad de buscar amparo en el art. 5 LCD.

Resumiendo, los aspectos a resaltar de esta sentencia son la libertad de los intermediarios en la utilización de información pública de un sitio web y la imposibilidad por parte del propietario de un sitio web de discriminar cierto tipo de usuarios. Por otro lado, la necesidad de un valor agregado en la base de datos par poder obtener la protección del art. 133 LPI y la ausencia de una protección de las bases de datos ‘primarias’ con meros datos para el funcionamiento del negocio. Por último, el artículo 5 de la Ley de Competencia Desleal es una cláusula genérica que sólo puede ser invocada si la acción no se ha subsumido bajo uno de los presupuestos recogidos en el artículo 6 y ss. Es decir, o bien se opta por una acción concreta o por una que habrá que decidir en cada caso pero ambas son mutuamente excluyentes.

Sentència Ryanair

carbon neutral local offers with kaufDA.de