APUNTES SOBRE BASES
DE DATOS
Las bases de datos se encuentran reguladas por el Real decreto
legislativo 1/1996 de 12 de Abril, por el que se aprueba el texto
refundido de la Ley de Propiedad Intelectual, regularizando, aclarando
y armonizando las disposiciones legales vigentes sobre la materia,
constituyendo la piedra angular en esta materia. Dicho Real Decreto
transpone al Ordenamiento Jurídico Español la Directiva
96/9/Ce del Parlamento Europeo y del Consejo, de 11 de marzo de
1996, sobre la protección jurídica de las bases
de datos que afectan a la materia de propiedad intelectual, así
como la modificación realizada por la Ley 1/2000 de 7 de
enero de Enjuiciamiento civil.
Intentaré hacer un estudio jurídico en base al
plagio de una base de datos online. Veremos qué acciones
civiles y/o penales, además de procesales pueden llevarse
a cabo. Además, hablaré de varios apuntes técnicos.
Por último, hablaré de los elementos de prueba (muescas
notariales) y de la problemática sobre si una digitalización
de una base de datos es o no susceptible de protección
por un derecho "sui géneris".
Partimos de la consideración de una base de datos como
un depósito común de documentación, útil
para diferentes usuarios y distintas aplicaciones, que permite
la recuperación e la información adecuada, para
la resolución de un problema planteado en una consulta.
Todas las bases de datos deben partir de un fondo documental seleccionado,
al que se somete a un proceso con objeto de que se pueda recuperar
la información orientada a la solución de un determinado
problema. Así consideramos la base de datos como un almacenamiento
de documentación, organizada y estructurada de forma que
permita recuperarla como información. Esto es, que de respuesta
a una consulta, a un problema.
Consideramos a las bases de datos como colecciones de obras, datos
u otros elementos independientes accesibles por medios telemáticos.
La LPI protege las bases de datos en cuanto a la forma de expresar
la disposición: el orden de los elementos que lo integran.
Pero se exige el cumplimiento del requisito de la originalidad.
En ese sentido, decir que en el caso "Aranzadi" Vs "El
derecho" -estudiado mas adelante- se consideró a la
base de datos de Aranzadi (compuesta por mecanismos de búsqueda
por disposición, texto libre, marginal, etc) como "original".
Es decir, podemos decir que se hace una interpretación
amplia de lo que es originalidad.
Sin embargo, este requisito no quiere decir que en los casos en
que la forma de disposición de los contenidos no sea original
no haya protección legal. Para estos supuestos, la ley
establece el llamado derecho sui generis, que protege la inversión
que realiza el fabricante de la base para la obtención,
verificación o presentación del contenido.
Se pretende evitar el copiado ilícito del contenido de
las bases de datos, cuando su elaboración haya supuesto
para el titular una inversión sustancial, ya sea a nivel
económico, de tiempo o esfuerzo. Este derecho sui generis
es independiente del derecho de autor sobre la base de datos que
se ha comentado anteriormente, y por ello en determinados casos
la base de datos se podrá beneficiar de una doble protección
legal.
Así, tenemos:
-Una originalidad en la base de datos
-Un derecho sui generis, protegiendo la inversión realizada.
El derecho sui generis protegerá la inversión sustancial,
evaluada de forma cualitativa o cuantitativa, que realice el fabricante
de la base de datos, ya sea de medios financieros, empleo de tiempo,
esfuerzo, u otros de similar naturaleza, para la obtención,
verificación o presentación de su contenido. Es
por tanto un derecho claramente diferenciado del derecho de autor,
que protegerá la forma de estructura el contenido de una
base de datos, y no el propio contenido. Este derecho se plasma
en la, posibilidad que tiene el fabricante para prohibir la extracción
y/o reutilización de la totalidad o de un parte sustancial
del contenido de la base de datos, siempre medida desde un punto
de vista cualitativo o cuantitativo. Este derecho es transmisible
en todas las formas previstas para transmisiones inter vivos o
mortis causa.
El párrafo 2 del art. 134 de la LPI (texto refundido de
la Ley de Propiedad intelectual vigente) establece unas limitaciones
a los actos que un usuario autorizado de una base de datos puede
realizar y que rebatirían el planteamiento anterior. Entre
ellas destacamos la prohibición de realizar actos que sean
contrarios a una explotación normal de dicha base o lesionen
injustificadamente los intereses legítimos del fabricante
de la base.
El art. 133 de la vigente LPI define el contenido del derecho
"sui generis": " El derecho "sui generis"
sobre una base de datos protege la inversión sustancial,
evaluada cualitativa o cuantitativamente, que realiza su fabricante
ya sea de medios financieros, empleo de tiempo, esfuerzo, energía
u otros de similar naturaleza, para la obtención, verificación,
o presentación de su contenido".
Procesalmente, decir que la infracción de los derechos
que otorga la ley de propiedad intelectual puede ser castigada
mediante el ejercicio de acciones civiles y penales.
Respecto a las civiles señalar que:
-El Procedimiento ordinario es el competente en este caso.
-Se puede instar el cese de las actividades que atenten contra
los derechos del legítimo titular, con la indemnización
de daños y perjuicios (económicos y morales).
-También puede solicitar con carácter previo al
inicio de las actuaciones judiciales, la adopción de las
llamadas medidas cautelares destinadas a proteger sus derechos
con carácter urgente.
-Podemos pedir el cese, suspensión, prohibición
de la acción, retirada del comercio de ejemplares ilícitos
y sucesiva destrucción, precinto de aparatos utilizados...
-La acción para reclamar los daños y perjuicios
prescribe a los cinco años desde que el interesado pudo
ejercitarla.
-Igualmente, podemos pedir la adopción de medidas cautelares.
En particular, la intervención de los ingresos, suspensión
de la actividad de reproducción, distribución y
comunicación pública, el secuestro de los ejemplares
producidos o utilizados y el del material empleado exclusivamente
para la reproducción o comunicación pública,
el embargo de los equipos, aparatos y materiales utilizados, etc...
-Penalmente, el tipo penal habla de que, la persona que, con
la intención de beneficiarse y en perjuicio de un tercero,
reproduzca, plagie, distribuya o comunique públicamente,
en todo o en parte, una obra literaria, artística o científica,
su transformación, interpretación o ejecución
artística fijada en cualquier tipo de soporte o comunicada
a través de cualquier medio, sin la autorización
de los titulares de los correspondientes derechos de propiedad
intelectual o de sus cesionarios puede ser castigada por cometer
un delito contra la propiedad intelectual sancionado con pena
de prisión de 6 meses a 2 años o de multa de 6 a
24 meses.
Una vez explicados los derechos de autor y sui generis que tienen
las bases de datos, hay que reseñar que estos derechos
no son absolutos.
Serán considerados nulos de pleno derecho aquellos actos
de disposición contrarios a los derechos de los usuarios
legítimos.
Los legítimos usuarios podrán extraer y reutilizar
una parte sustancial del contenido de la base de datos en algunos
casos, en especial si la extracción tiene fines educativos
o de investigación científica en la medida en que
esté justificada por el objetivo perseguido (además,
se debe de citar la fuente). Por supuesto, si existe interés
en salvaguardar la "seguridad pública" también
puede extraerse una parte sustancial. El fabricante no podrá
prohibir al legítimo usuario, la extracción y o
reutilización de partes no sustanciales del contenido de
la base de datos con independencia del fin a que se destine. El
problema en muchos casos es determinar si la extracción
ha sido sustancial o no lo ha sido. Pero en cualquier caso, un
legítimo usuario no podrá realizar actos contarios
a una "explotación normal" de una base de datos
o, por supuesto, realizar actos que perjudiquen al titular de
los derechos de autor.
En una utilización ilegítima de una base de datos
en internet, los logs de acceso nos dirán las direcciones
ip de las máquinas que han extraído el contenido,
y sabiendo su origen, la mejor reclamación que podemos
realizar es ante el servidor-isp al que pertenezcan dichas ips.
Es fácilmente averiguable en la base de datos de Whois
(online) o utilizando comandos especiales desde la línea
de comando, como tracert, que "traza" el rastreo de
la ip hasta dar con el lugar donde está ubicada dicha ip
(y posteriormente ver cuál es su isp). Una simple llamada
de teléfono, indicando al proveedor que la ip ha cometido
acciones ilegales y que han infringido derechos de la base de
datos, para posteriormente darnos los datos personales de los
individuos debería de bastar para que los accesos a la
base de datos concluyeran. De hecho es lo que suele ocurrir en
la mayoría de los casos: los isps no se hacen responsables
de los actos fraudulentos de sus usuarios, pero si colaboran -en
ocasiones "demasiado"- con una investigación
policial o judicial. El principal motivo que esgrimiríamos
ante el isp de turno sería la utilización de la
conexión para fines delictivos, algo que no puede amparar
el proveedor de servicios, mas aún con la nueva LSSICE
en ciernes. Además, podemos proceder a que el isp nos de
los datos personales del titular de dicho acceso a internet, aunque,
paradójicamente, el isp no debería dárnoslo:
podría vulnerar la intimidad, ya que estamos instando una
petición de información sin el oportuno requerimiento
judicial. Nos enfrentamos a que, como dicha prueba ha sido obtenida
vulnerando la intimidad del infractor, ésta sea considerada
nula, e incluso, al inicio de una posible reconvención
por la violación de los derechos de honor, intimidad y
propia imagen (ley 1/82). Además, hay que reseñar
que esto admite prueba en contrario: en el fondo, tenemos una
ip que es una máquina, no una persona. Tenemos como mucho
un titular de dicha dirección ip. Una máquina que,
aunque en el isp esté registrada a un determinado nombre,
puede ser usada por una pluralidad de personas. Esto además,
no es exactamente así, ya que existen dos tipos de ips:
las direcciones ip fijas y dinámicas. Las primeras no cambian,
como su propio nombre indica. Las segundas, te las asigna el servidor
cada vez que te conectas a la red con el isp de turno. En cualquier
caso, un servidor debe de llevar el registro de las direcciones
de todos sus clientes en un momento dado, por lo que no debería
de haber problema al comprobar que la dirección ip X.X.X.X
perteneciente a tal isp pertenecía al usuario tal, el día
y hora que los hechos ocurrieron.
Por otra parte, los "hackers" utilizan una dirección
ip ajena a su propia máquina para ocultar su identidad,
mediante un virus troyano que infecta la máquina que será
la pasarela para cometer fechorías como esta. En otras
ocasiones, utilizan un software como "wingate", programas
"proxies" que ocultan su verdadera identidad. Es decir,
puede que nuestras investigaciones nos lleven a una persona inocente,
infectada con un virus, que simplemente ha sufrido el ataque de
un hacker. A esta persona se le conoce como "bouncer".
Ponerse en contacto con el bouncer para que le pase a la máquina
Ip (a la que pertenece el log de acceso) un antivirus actualizado
y un programa antitroyano (especializado en este tipo de archivos
maliciosos) nos dará una idea de su autoría o no.
Si está infectado, casi con toda seguridad el no era consciente
de lo que ocurría, y una posible responsabilidad por negligencia,
dada la frecuencia de los virus en internet, sería dificilmente
esgrimible. Si no lo está, la autoría pertenece
a dicha máquina. Al tener las fechas-horas de acceso, esto
facilita mucho la situación.
Respecto de los logs de acceso:
-Si son accesos parametrizados, buscarse testigos que, a una
determinada hora, sean conscientes de los accesos a dicha web.
El hecho de que estos sean automáticos puede provocar la
facilidad de la obtención de pruebas testificales por esta
vía.
-Y de la misma forma, levantar un acta notarial que de fe pública
sobre la intrusión y la extracción. Esto es, que
el notario sea testigo del caso en su totalidad, testigo no solo
de la dirección ip, sino también de la "automatización"
de los accesos -es decir, que estos se producen cada cierto tiempo-.
Por estas dos vías, podemos acompañar una posible
demanda civil y/o penal con una prueba testifical y pericial basándonos
en la existencia de estos archivos. Presentar los "logs de
acceso" sin nada mas podría suponer la impugnación
de la prueba y su no inclusión en el caso. En cualquier
caso, como siempre, todo dependería de la importancia que
le diera el juzgador.
Un informe pericial resulta altamente aconsejable: es necesario
un informe en un lenguaje comprensible al juzgador para que se
determine la gravedad e ilegalidad de lo producido. En este caso,
a diferencia del anterior donde el tipo objetivo que exige el
Código penal para penar la conducta está perfectamente
acreditado -me refiero al ánimo de lucro- creo que no cabe
una acción penal. Es decir, si nos centramos en la sola
extracción de los contenidos de las bases de datos, sin
saber si se están revendiendo los contenidos de dicha base
de datos o lo están usando para meros fines personales,
el tipo penal del 270 exige dicho ánimo. El simple acceso
a una base de datos sin saber que se hace con los datos a los
que se ha accedido no contiene los suficientes elementos del tipo
penal de dicho artículo, ya que no sabemos el destino de
los datos a los que se ha accedido. Por el contrario, si sabemos
que se están utilizando con fines lucrativos, uan demanda
penal si que parece obvia. El derecho penal no debería
entrar en unas conductas de las que no tenemos pruebas sobre su
posible tipicidad: la doctrina es unánime al afirmar que
el derecho penal ha de ser la última herramienta del estado
para sancionar una conducta. Sobre esto, cabe reseñar la
Sentencia de la Audiencia Provincial de Barcelona, Sección
10ª, con fecha 10-6-1995:
"(...) no toda vulneración o desconocimiento de los
derechos derivados de la propiedad intelectual suponen sin más
la realización de una conducta típica, y por ello,
que no es suficiente con la realidad constatada de que el acusado
con su conducta haya infringido lo dispuesto en el artículo
99.2 de la Ley de Pro piedad Intelectual, en relación con
la autorización del titular del derecho de explotación;
porque no debe perderse de vista que el derecho de propiedad en
cualquiera de sus manifestaciones goza de una protección
tanto civil como penal, y esta última, por su naturaleza
y circunstancias, debe actuar sólo con relación
a los supuestos más graves de vulneración o desconocimiento
del derecho. (...) El acusado tenía en su poder un número
considerable de copias ilegales de programas, pero no hay constancia
probatoria alguna de que hubiera realizado cualquier acto de tráfico
o enajenación de los mismos ... de modo que lo único
que le es imputable es la posesión que, aun cuando pueda
vulnerar lo dispuesto en el artículo 99.2 de la Ley de
Propiedad Intelectual, no entraña el tipo penal por el
que se pretende la condena, que debe reservarse para supuestos
más graves de vulneración y perjuicio de la propiedad
intelectual, según antes se ha razonado."
Por tanto, la reclamación ante el Isp es la vía
mas recomendable, ya que el hecho delictivo está siendo
provocado por el usuario final de un proveedor situado en territorio
español. Existen otras vías de reclamación,
la Secretaría de Estado de Telecomunicaciones, el arbitraje
de consumo, o asociaciones de usuarios (por ejemplo, la AUI, asociación
de usuarios de internet), pero dado que es una reclamación
por el mal uso de una conexión de un usuario, esto es,
no es un mal comportamiento del Isp u operador, la vía
mas efectiva es la reclamación ante el propio Isp.
Muescas notariales
Las muescas notariales en el código de la base de datos
es la principal vía para probar la autoría. Un acta
notarial que de fe publica, previamente, de posibles errores ortográficos,
o de reseñas que forman parte del código fuente,
para posteriormente, comprobar que la base de datos contiene dichas
muescas, es un elemento muy eficaz a la hora de probar dicha autoría.
En el caso "El derecho" VS "Aranzadi" resultó
condenado El derecho por haber copiado de la base de datos de
la histórica editorial jurídica Aranzadi. Las sentencias
del Tribunal Supremo se refiere a un total de 12 años,
del 82 al 93. Y la principal prueba que determinó la victoria
de la segunda sobre la primera fueron los errores ortográficos
-muescas- hechas con vistas a que esto pudiera ocurrir. Entre
los centenares de errores que coinciden en las dos bases de datos
se encuentran estos: en una sentencia del Tribunal Supremo figura
la frase "lo dispuesto..." y en los dos CD-Rom consta
"los dispuestos..."; "exigirse indemnización"
pasa a ser "exigirse la indemnización; "Lloma-rit"
está escrito con guión en la sentencia porque va
al final de una línea y se transcribe con ese guión
por Aranzadi y después por El Derecho pese a no ser un
fin de línea; la palabra "tardanza" se convierte
en "tardanaza". En este caso, el juez estimó
que aunque las sentencias no tienen derechos de autor, si está
protegido por el llamado "derecho sui generis", explicado
mas arriba. Y para demostrar el plagio, se determinó que
los errores ortográficos eran prueba suficiente para determinar
la autoría de una determinada base de datos.
-Digitalización y derecho "sui géneris"
El derecho sui géneris protege el desembolso, esfuerzo,
etc que alguien, persona física o jurídica, realiza
a la hora de construir una determinada base de datos. En ese sentido,
tenemos el supuesto por el que alguien realiza una base de datos
informática -esto es, digital- convirtiendo al formato
de ceros y unos una obra que se encuentra en soporte "analógico",
por ejemplo, en formato "papel". ¿Hasta qué
punto el "esfuerzo digitalizador" puede verse protegido
por este derecho? ¿Merece la pena hablar de derecho sui
generis en esta ocasión?
En este sentido, los editores de los boletines oficiales publicados
en Internet en principio gozan del derecho "sui generis"
sobre los archivos que publican sus páginas. No es relevante
para el presente caso, el hecho de que se traten de textos legales,
ya que el derecho "sui generis" protege la inversión
en la publicación digital y el mantenimiento que están
realizando los editores de los boletines oficiales o las empresas
subcontratadas que se encargan de la publicación en Internet.
El esfuerzo es cuantificable económicamente al observar
que para la publicación de los archivos en Internet es
necesario un equipo informático, conexiones telemáticas,
documentalistas contratados, programas de tratamiento de texto
y de publicación en Internet, un espacio físico
para el desarrollo de la actividad y unos costes fijos de mantenimiento
de las instalaciones.
El artículo 133 de la LPI habla en términos de inversión
de una base de datos, por tanto, el digitalizar -por ejemplo-
un listín telefónico conlleva, sin lugar a dudas,
una inversión protegible por la vía de este artículo.
En ese sentido, creo que no hay dudas que es protegible y perfectamente
esgrimible ante cualquier tribunal.
Es posible demostrar que la inversión ha sido sustancial,
justificándola en cuestiones de distinta naturaleza, como
por ejemplo:
-Los costes económicos soportados en las distintas fases
de producción de la base de datos, aportando facturas de
proveedores que hayan participado en el proyecto y los documentos
contables que demuestren la inversión económica
realizada.
-El tiempo dedicado por el autor, sus empleados o proveedores.
Es conveniente realizar depósitos notariales durante las
diversas fases del proyecto con el fin de demostrar la evolución
de la base de datos y la duración del trabajo realizado.
-El esfuerzo invertido en las labores de obtención, corrección,
verificación, análisis, interrelación y presentación
de la información contenida en la base de datos.
Sin embargo, pueden existir opiniones encontradas en este aspecto:
en efecto, ese "esfuerzo digitalizador" pudiera no ser
suficiente. El artículo 133 habla de inversión sustancial,
y ya sea ésta cualitativa o cuantitativa. Nos encontramos
ante un concepto jurídico indeterminado, pues hasta dónde
una inversión es sustancia y hasta dónde no lo es?
En este caso, habría que preguntarse cuánto tiempo
se ha empleado en digitalizar el fabricante de la base de datos,
en preparar u organizar su contenido y preparación, etc,
etc. En definitiva: sólo un juez podrá decirnos
si efectívamente estamos ante una inversión sustancial.
ALFONSO VILLAHERMOSA IGLESIAS
Alfonsovillahermosa@abogado.zzn.com
Especialista en Economía y Derecho de la Tecnología
Digital
Master en Derecho de las Telecomunicaciones y Tecnologías
de la información por la Universidad Carlos III
