El software y la protección de datos en España

El destino último de buena parte de los programas de gestión utilizados en cualquier empresa (contabilidad, CRM, mailing, etc.) es el tratamiento de datos de carácter personal. En este sentido, software y protección de datos aparecen como dos conceptos indisolublemente unidos y sobre esta unidad hemos querido reflexionar en este artículo.

Esta indisoluble conexión entre el software y la protección de datos se pone de manifiesto en el propio Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos (LOPD), aprobado por Real Decreto 1720/2007, de 21 de diciembre, que prevé, en su Disposición Adicional Única, que: los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII de este reglamento.

En buena lógica lo que hace el texto legal es trasladar la obligación de la adecuación técnica a la LOPD al creador del software. Pensemos en un profesional de la salud que, entre otras, tiene la obligación de mantener un registro de acceso a los datos de salud: si adquiere un software para gestionar su base de datos de clientes ¿cómo podría llevar ese registro si no es a través de una aplicación incluida en el producto?

Pero este precepto también tiene otras lecturas:

  • Si el software que empleamos en nuestra empresa no es legal, sino que usamos copias ilegales, perdemos la garantía que nos ofrece el fabricante de que el producto adquirido se adapta al nivel de protección que requiere nuestra empresa a efectos de cumplir las obligaciones que le impone la LOPD
  • O, si desconocemos el tipo de software que tenemos instalado, no podemos saber si se ajusta o no a dicho nivel de protección

Los riesgos de usar software ilegal

Mucho hemos leído sobre los riesgos que comporta la no adaptación a la normativa sobre protección de datos y sobre la importancia y la cuantía de las sanciones que prevé la LOPD para los incumplidores. Pero ¿ha pensado alguna vez que todos los esfuerzos realizados para adaptarse a la LOPD pueden irse al traste por usar un software ilegal?

Se suele decir que la LOPD no es una Ley de resultados sino una Ley de medios. Es decir, que nos obliga a demostrar la utilización de todos los medios disponibles para evitar un mal uso de los datos personales de los que somos responsables. Pues bien, imaginemos que en uno de los casos de divulgación de datos de salud que han aparecido en diversas ocasiones en los medios de comunicación, se comprobase que los programas utilizados en el tratamiento de los datos o los destinados a restringir el acceso a los mismos son una copia ilegal. La credibilidad de la empresa en la defensa de su actuación quedaría automáticamente en entredicho.

El artículo 45.4 de la LOPD establece que la cuantía de las sanciones se graduará atendiendo al grado de intencionalidad y a cualquier otra circunstancia que sea relevante para determinar el grado de culpabilidad de la empresa infractora. Si se aprecia una cualificada disminución de la culpabilidad, el órgano sancionador debe establecer la cuantía de la sanción aplicando la escala inferior.

Sin embargo, si en el curso de una inspección se comprueba que la empresa ha utilizado software ilegal para el tratamiento de los datos personales del denunciante, será difícil para la empresa inspeccionada demostrar que ha actuado diligentemente. El uso de software ilegal supone un incumplimiento de las obligaciones de seguridad que el responsable del fichero debe cumplir.

Necesidad de auditar el software

A pesar de que una empresa sea respetuosa con la propiedad intelectual y sólo utilice software legal, es posible que los usuarios de sus sistemas informáticos instalen copias no autorizadas. La empresa sería en ese caso responsable de los actos de sus empleados y debería responder de dichas infracciones.

Por ello, la mejor forma de impedir que ello suceda es realizando inventarios periódicos de software y verificando que todos los programas instalados están amparados por su correspondiente licencia.

De este modo volvemos a lo dicho al principio respecto a la íntima conexión entre software y protección de datos, dado que la implantación de un sistema de protección de datos comporta, como primer paso, la necesidad de inventariar el software y detallarlo en el documento de seguridad.

En este sentido el artículo 88 del citado Reglamento de Desarrollo de la LOPD establece que el documento de seguridad deberá contener una descripción de su ámbito de aplicación, con especificación detallada de los recursos protegidos, entendiendo por recursos, cualquier parte componente de un sistema de información y, por lo tanto, los programas.

Por ello, la adaptación a la LOPD puede servir también para auditar el tipo de software implantado en el sistema y para ver el grado de legalidad del mismo, comprobando si todo programa instalado cuenta con la correspondiente licencia.

Conclusión

En virtud a la normativa sobre protección legal del software en España, el uso, reproducción, distribución, exportación y almacenamiento de programas de ordenador sin contar con la respectiva autorización del titular, genera responsabilidades civiles y penales, que pueden recaer tanto para las empresas, como personas jurídicas, como para sus administradores o representantes como personas individuales -penal y civilmente responsables-.

El Código Penal de 1995, tipifica los delitos contra la propiedad intelectual en los artículos 270 y siguientes, estableciendo penas de privación de libertad de hasta cuatro años, hasta cinco años de inhabilitación para el ejercicio de la profesión, así como multas de hasta 288.000 euros.

Además, la normativa penal establece que la extensión de la responsabilidad civil derivada de los delitos contra la Propiedad Intelectual se rige por las disposiciones de la Ley de Propiedad Intelectual relativas al cese de la actividad ilícita y a la indemnización de daños y perjuicios. En el supuesto de sentencia condenatoria, el Juez o Tribunal podrá decretar la publicación de ésta, a costa del infractor, en un periódico oficial.

El marco normativo se completa con los tipos de acciones judiciales que la normativa procesal pone a disposición de los fabricantes de programas de ordenador, con el fin de perseguir las infracciones cometidas contra sus derechos.

En el ámbito civil, la Ley 1/2000, de Enjuiciamiento Civil, en su artículo 732 establece la posibilidad de realizar diligencias de comprobación de las posibles infracciones sin audiencia previa del demandado. Este tipo de acción, además, se completa con las demás medidas cautelares y de protección establecidas en el Real Decreto Legislativo 1/1996.

En el ámbito penal, la persecución de los delitos contra la propiedad intelectual tipificados en sus artículos 270 y siguientes se faculta a través del Procedimiento Abreviado, y en particular con la posibilidad de ejercitar registros domiciliarios sin previa audiencia del denunciado, a través del mandamiento de entrada y registro regulada por sus artículos 546 y 785, que según la Ley 38/2002, de Reforma Parcial de la Ley de Enjuiciamiento Criminal, se introduce la posibilidad de que los mandamientos de entrada y registro antes indicados puedan ser llevados a cabo sin necesidad de denuncia previa de los titulares de derechos, cuestión que facilita y agiliza la persecución de las infracciones contra los derechos de propiedad intelectual en sede penal.

Debido que los programas de ordenador, por su naturaleza, permiten una fácil eliminación de registros y evidencias digitales, la normativa procesal dispone mecanismos que permiten realizar diligencias de comprobación de las posibles infracciones sin audiencia previa del demandado, lo que permite una mayor posibilidad de obtención de condenas penales y civiles por la comisión de este tipo de delitos.

A todo ello habría que añadir las dificultades que el uso de software ilegal comporta para adaptarse a la LOPD y para poder cumplir bien y diligentemente sus preceptos.

Este artículo no constituye asesoramiento jurídico

Jesús Sánchez

Licenciado en Derecho Jurídico Empresarial por la Universidad San Pablo CEU, Jesús Sánchez está especializado en seguridad de la información. Idiomas de trabajo: español e inglés. Si desea información adicional Contacte con Jesús Sánchez