Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

20 septiembre 2015

La propiedad intelectual de las bases de datos



El Texto Refundido de la Ley de Propiedad Intelectual (TRLPI) establece un doble sistema de protección legal para las bases de datos:
Por una parte, se protege (en el Libro I) el derecho de autor de la base de datos como una creación consistente en colección de datos. Es decir: la estructura en la que se almacenan los mismos. Esta protección no abarca el contenido de la misma (aunque éste pueda estar a su vez protegido, como veremos después). Esto queda claramente reflejado en el art. 12, que otorga a “las bases de datos que por la selección o disposición de sus contenidos constituyan creaciones intelectuales” una protección que “se refiere únicamente a su estructura en cuanto a forma de expresión de la selección o disposición de sus contenidos, no siendo extensiva a éstos”.

Por otra parte, el Libro II, en su Título VIII, explica cómo aplica el derecho “sui generisa las bases de datos. El art. 133, en su punto 1, dice que este derecho “protege la inversión sustancial, evaluada cualitativa o cuantitativamente, que realiza su fabricante ya sea de medios financieros, empleo de tiempo, esfuerzo, energía u otros de similar naturaleza, para la obtención, verificación o presentación de su contenido”. Así, en este caso, lo que se protege es la inversión (del tipo que sea) que haya hecho aquel que ha dotado de contenido a la base de datos. Este derecho comprende la falcultad de «prohibir la extracción y/o reutilización de la totalidad o de una parte sustancial del contenido de ésta», siempre que ello represente «una inversión sustancial». El fabricante es, según el punto 3.a, «la persona natural o jurídica que toma la iniciativa y asume el riesgo de efectuar las inversiones sustanciales orientadas a la obtención, verificación o presentación de su contenido». Es decir: que corresponde al fabricante la facultad de extraer los datos a otro soporte. Y dicho derecho se aplicará con independencia de que la propia base de datos esté protegida por el derecho de autor (art. 133.4).


Pongamos un ejemplo para entenderlo mejor:

Una discográfica contrata a una empresa de software para que diseñe una base de datos documental en la que poder almacenar información sobre los distintos discos que ha ido publicando, sus autores, etc.
En ese caso, el titular del derecho de autor sobre la base de datos en sí sería la empresa de software que la ha diseñado. Pero el titular del derecho «sui generis» es la discográfica, puesto que es la que ha invertido recursos para dotarla de contenido. Y, por lo tanto, es esta última la que, como fabricante, tiene el derecho de llevarse lo datos a otra base de datos, si así lo desea. Y, además, este derecho la protege frente a terceros que quieran copiar su contenido, siempre que una parte sustancial del mismo esté implicada.

De todos modos, es un tema un poco complejo y aconsejo acudir a la fuente legislativa y consultar con un abogado en caso de duda.





14 septiembre 2015

Correos electrónicos y privacidad

He aquí algunas cosas que no se pueden hacer con los correos electrónicos por ir contra la ley, al violar la privacidad de un sujeto.

Ejemplo nº 1: Espiar los correos de tu pareja (aunque creas que te está engañando o que su cuenta haya aparecido en el dump de Ashley Madison). Es un delito contra la intimidad, según el artículo 197 del Código Penal («descubrimiento y revelación de secretos»), que en su apartado  1 dice «el que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento […] intercepte sus telecomunicaciones […] será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses».


Los requisitos para que haya delito son que se haga sin el consentimiento del otro y que sea para vulnerar su intimidad. Las penas se aplican en su mitad superior si existen los agravantes de:

- Difundirlos a terceros (apartado 4): por ejemplo, si se los pasas a un detective para que lo investigue.
- Afectar a la vida sexual de la otra persona (apartado 5).
- Tratarse del cónyuge (apartado 7).



Ejemplo nº 2: Instalar un píxel de rastreo en los correos publicitarios para saber si el destinatario lo ha leído. Independientemente de si es legítimo mandarle el correo (si previamente manifestó por escrito su conformidad sobre el envío de publicidad). Este elemento de rastreo se considera una cookie afectada por el artículo 22.2 de la Ley de Servicios de la Sociedad de la Información (LSSI) de la que ya hablamos en otro post.

Tampoco valdría un sistema opt-out consistente en enviarle un correo antes, informándole de que los correos que se le vayan enviando a continuación van a ser rastreados. La razón es que el afectado no ha dado su consentimiento inequívoco para ello, como marca el citado artículo. Para ello se requeriría un sistema opt-in, en el que se mandara un correo preguntándole si le importa ser rastreado y, solo en caso de que responda afirmativamente, hacerlo. Además, habría que informarle el medio para revocar dicho consentimiento, en armonía con el art. 51 del RDLOPD.