• Inicio
• Lista de Correo
• Acerca de...

Revista Informática Jurídica

• Legislación
• Jurisprudencia
• Seminarios
• Máster y Post-Grado
• Trabajos
• Directorios Jurídicos
• Bibliografía
• Autores
• Colaboradores

Enlaces

• Alfa-Redi
• Derecho Informático
• Toda la Ley
• Grupo Web de Abogados
• Diego Sánchez Montenegro
• Derecho
• DerechoNet
• Rincón Legal
• Abogado Peru
• Dünedain
• MasQueAbogados
• Audea

Trabajos

Apuntes sobre bases de datos

Las bases de datos se encuentran reguladas por el Real decreto legislativo 1/1996 de 12 de Abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia, constituyendo la piedra angular en esta materia. Dicho Real Decreto transpone al Ordenamiento Jurídico Español la Directiva 96/9/Ce del Parlamento Europeo y del Consejo, de 11 de marzo de 1996, sobre la protección jurídica de las bases de datos que afectan a la materia de propiedad intelectual, así como la modificación realizada por la Ley 1/2000 de 7 de enero de Enjuiciamiento civil.

Intentaré hacer un estudio jurídico en base al plagio de una base de datos online. Veremos qué acciones civiles y/o penales, además de procesales pueden llevarse a cabo. Además, hablaré de varios apuntes técnicos. Por último, hablaré de los elementos de prueba (muescas notariales) y de la problemática sobre si una digitalización de una base de datos es o no susceptible de protección por un derecho "sui géneris".

Partimos de la consideración de una base de datos como un depósito común de documentación, útil para diferentes usuarios y distintas aplicaciones, que permite la recuperación e la información adecuada, para la resolución de un problema planteado en una consulta.

Todas las bases de datos deben partir de un fondo documental seleccionado, al que se somete a un proceso con objeto de que se pueda recuperar la información orientada a la solución de un determinado problema. Así consideramos la base de datos como un almacenamiento de documentación, organizada y estructurada de forma que permita recuperarla como información. Esto es, que de respuesta a una consulta, a un problema.

Consideramos a las bases de datos como colecciones de obras, datos u otros elementos independientes accesibles por medios telemáticos. La LPI protege las bases de datos en cuanto a la forma de expresar la disposición: el orden de los elementos que lo integran. Pero se exige el cumplimiento del requisito de la originalidad. En ese sentido, decir que en el caso "Aranzadi" Vs "El derecho" -estudiado mas adelante- se consideró a la base de datos de Aranzadi (compuesta por mecanismos de búsqueda por disposición, texto libre, marginal, etc) como "original". Es decir, podemos decir que se hace una interpretación amplia de lo que es originalidad.
Sin embargo, este requisito no quiere decir que en los casos en que la forma de disposición de los contenidos no sea original no haya protección legal. Para estos supuestos, la ley establece el llamado derecho sui generis, que protege la inversión que realiza el fabricante de la base para la obtención, verificación o presentación del contenido.
Se pretende evitar el copiado ilícito del contenido de las bases de datos, cuando su elaboración haya supuesto para el titular una inversión sustancial, ya sea a nivel económico, de tiempo o esfuerzo. Este derecho sui generis es independiente del derecho de autor sobre la base de datos que se ha comentado anteriormente, y por ello en determinados casos la base de datos se podrá beneficiar de una doble protección legal.

Así, tenemos:

-Una originalidad en la base de datos

-Un derecho sui generis, protegiendo la inversión realizada.

El derecho sui generis protegerá la inversión sustancial, evaluada de forma cualitativa o cuantitativa, que realice el fabricante de la base de datos, ya sea de medios financieros, empleo de tiempo, esfuerzo, u otros de similar naturaleza, para la obtención, verificación o presentación de su contenido. Es por tanto un derecho claramente diferenciado del derecho de autor, que protegerá la forma de estructura el contenido de una base de datos, y no el propio contenido. Este derecho se plasma en la, posibilidad que tiene el fabricante para prohibir la extracción y/o reutilización de la totalidad o de un parte sustancial del contenido de la base de datos, siempre medida desde un punto de vista cualitativo o cuantitativo. Este derecho es transmisible en todas las formas previstas para transmisiones inter vivos o mortis causa.

El párrafo 2 del art. 134 de la LPI (texto refundido de la Ley de Propiedad intelectual vigente) establece unas limitaciones a los actos que un usuario autorizado de una base de datos puede realizar y que rebatirían el planteamiento anterior. Entre ellas destacamos la prohibición de realizar actos que sean contrarios a una explotación normal de dicha base o lesionen injustificadamente los intereses legítimos del fabricante de la base.

El art. 133 de la vigente LPI define el contenido del derecho "sui generis": " El derecho "sui generis" sobre una base de datos protege la inversión sustancial, evaluada cualitativa o cuantitativamente, que realiza su fabricante ya sea de medios financieros, empleo de tiempo, esfuerzo, energía u otros de similar naturaleza, para la obtención, verificación, o presentación de su contenido".
Procesalmente, decir que la infracción de los derechos que otorga la ley de propiedad intelectual puede ser castigada mediante el ejercicio de acciones civiles y penales.
Respecto a las civiles señalar que:
-El Procedimiento ordinario es el competente en este caso.
-Se puede instar el cese de las actividades que atenten contra los derechos del legítimo titular, con la indemnización de daños y perjuicios (económicos y morales).
-También puede solicitar con carácter previo al inicio de las actuaciones judiciales, la adopción de las llamadas medidas cautelares destinadas a proteger sus derechos con carácter urgente.
-Podemos pedir el cese, suspensión, prohibición de la acción, retirada del comercio de ejemplares ilícitos y sucesiva destrucción, precinto de aparatos utilizados...
-La acción para reclamar los daños y perjuicios prescribe a los cinco años desde que el interesado pudo ejercitarla.
-Igualmente, podemos pedir la adopción de medidas cautelares. En particular, la intervención de los ingresos, suspensión de la actividad de reproducción, distribución y comunicación pública, el secuestro de los ejemplares producidos o utilizados y el del material empleado exclusivamente para la reproducción o comunicación pública, el embargo de los equipos, aparatos y materiales utilizados, etc...

-Penalmente, el tipo penal habla de que, la persona que, con la intención de beneficiarse y en perjuicio de un tercero, reproduzca, plagie, distribuya o comunique públicamente, en todo o en parte, una obra literaria, artística o científica, su transformación, interpretación o ejecución artística fijada en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus cesionarios puede ser castigada por cometer un delito contra la propiedad intelectual sancionado con pena de prisión de 6 meses a 2 años o de multa de 6 a 24 meses.
Una vez explicados los derechos de autor y sui generis que tienen las bases de datos, hay que reseñar que estos derechos no son absolutos.
Serán considerados nulos de pleno derecho aquellos actos de disposición contrarios a los derechos de los usuarios legítimos.
Los legítimos usuarios podrán extraer y reutilizar una parte sustancial del contenido de la base de datos en algunos casos, en especial si la extracción tiene fines educativos o de investigación científica en la medida en que esté justificada por el objetivo perseguido (además, se debe de citar la fuente). Por supuesto, si existe interés en salvaguardar la "seguridad pública" también puede extraerse una parte sustancial. El fabricante no podrá prohibir al legítimo usuario, la extracción y o reutilización de partes no sustanciales del contenido de la base de datos con independencia del fin a que se destine. El problema en muchos casos es determinar si la extracción ha sido sustancial o no lo ha sido. Pero en cualquier caso, un legítimo usuario no podrá realizar actos contarios a una "explotación normal" de una base de datos o, por supuesto, realizar actos que perjudiquen al titular de los derechos de autor.

En una utilización ilegítima de una base de datos en internet, los logs de acceso nos dirán las direcciones ip de las máquinas que han extraído el contenido, y sabiendo su origen, la mejor reclamación que podemos realizar es ante el servidor-isp al que pertenezcan dichas ips. Es fácilmente averiguable en la base de datos de Whois (online) o utilizando comandos especiales desde la línea de comando, como tracert, que "traza" el rastreo de la ip hasta dar con el lugar donde está ubicada dicha ip (y posteriormente ver cuál es su isp). Una simple llamada de teléfono, indicando al proveedor que la ip ha cometido acciones ilegales y que han infringido derechos de la base de datos, para posteriormente darnos los datos personales de los individuos debería de bastar para que los accesos a la base de datos concluyeran. De hecho es lo que suele ocurrir en la mayoría de los casos: los isps no se hacen responsables de los actos fraudulentos de sus usuarios, pero si colaboran -en ocasiones "demasiado"- con una investigación policial o judicial. El principal motivo que esgrimiríamos ante el isp de turno sería la utilización de la conexión para fines delictivos, algo que no puede amparar el proveedor de servicios, mas aún con la nueva LSSICE en ciernes. Además, podemos proceder a que el isp nos de los datos personales del titular de dicho acceso a internet, aunque, paradójicamente, el isp no debería dárnoslo: podría vulnerar la intimidad, ya que estamos instando una petición de información sin el oportuno requerimiento judicial. Nos enfrentamos a que, como dicha prueba ha sido obtenida vulnerando la intimidad del infractor, ésta sea considerada nula, e incluso, al inicio de una posible reconvención por la violación de los derechos de honor, intimidad y propia imagen (ley 1/82). Además, hay que reseñar que esto admite prueba en contrario: en el fondo, tenemos una ip que es una máquina, no una persona. Tenemos como mucho un titular de dicha dirección ip. Una máquina que, aunque en el isp esté registrada a un determinado nombre, puede ser usada por una pluralidad de personas. Esto además, no es exactamente así, ya que existen dos tipos de ips: las direcciones ip fijas y dinámicas. Las primeras no cambian, como su propio nombre indica. Las segundas, te las asigna el servidor cada vez que te conectas a la red con el isp de turno. En cualquier caso, un servidor debe de llevar el registro de las direcciones de todos sus clientes en un momento dado, por lo que no debería de haber problema al comprobar que la dirección ip X.X.X.X perteneciente a tal isp pertenecía al usuario tal, el día y hora que los hechos ocurrieron.

Por otra parte, los "hackers" utilizan una dirección ip ajena a su propia máquina para ocultar su identidad, mediante un virus troyano que infecta la máquina que será la pasarela para cometer fechorías como esta. En otras ocasiones, utilizan un software como "wingate", programas "proxies" que ocultan su verdadera identidad. Es decir, puede que nuestras investigaciones nos lleven a una persona inocente, infectada con un virus, que simplemente ha sufrido el ataque de un hacker. A esta persona se le conoce como "bouncer". Ponerse en contacto con el bouncer para que le pase a la máquina Ip (a la que pertenece el log de acceso) un antivirus actualizado y un programa antitroyano (especializado en este tipo de archivos maliciosos) nos dará una idea de su autoría o no. Si está infectado, casi con toda seguridad el no era consciente de lo que ocurría, y una posible responsabilidad por negligencia, dada la frecuencia de los virus en internet, sería dificilmente esgrimible. Si no lo está, la autoría pertenece a dicha máquina. Al tener las fechas-horas de acceso, esto facilita mucho la situación.

Respecto de los logs de acceso:

-Si son accesos parametrizados, buscarse testigos que, a una determinada hora, sean conscientes de los accesos a dicha web. El hecho de que estos sean automáticos puede provocar la facilidad de la obtención de pruebas testificales por esta vía.

-Y de la misma forma, levantar un acta notarial que de fe pública sobre la intrusión y la extracción. Esto es, que el notario sea testigo del caso en su totalidad, testigo no solo de la dirección ip, sino también de la "automatización" de los accesos -es decir, que estos se producen cada cierto tiempo-.

Por estas dos vías, podemos acompañar una posible demanda civil y/o penal con una prueba testifical y pericial basándonos en la existencia de estos archivos. Presentar los "logs de acceso" sin nada mas podría suponer la impugnación de la prueba y su no inclusión en el caso. En cualquier caso, como siempre, todo dependería de la importancia que le diera el juzgador.

Un informe pericial resulta altamente aconsejable: es necesario un informe en un lenguaje comprensible al juzgador para que se determine la gravedad e ilegalidad de lo producido. En este caso, a diferencia del anterior donde el tipo objetivo que exige el Código penal para penar la conducta está perfectamente acreditado -me refiero al ánimo de lucro- creo que no cabe una acción penal. Es decir, si nos centramos en la sola extracción de los contenidos de las bases de datos, sin saber si se están revendiendo los contenidos de dicha base de datos o lo están usando para meros fines personales, el tipo penal del 270 exige dicho ánimo. El simple acceso a una base de datos sin saber que se hace con los datos a los que se ha accedido no contiene los suficientes elementos del tipo penal de dicho artículo, ya que no sabemos el destino de los datos a los que se ha accedido. Por el contrario, si sabemos que se están utilizando con fines lucrativos, uan demanda penal si que parece obvia. El derecho penal no debería entrar en unas conductas de las que no tenemos pruebas sobre su posible tipicidad: la doctrina es unánime al afirmar que el derecho penal ha de ser la última herramienta del estado para sancionar una conducta. Sobre esto, cabe reseñar la Sentencia de la Audiencia Provincial de Barcelona, Sección 10ª, con fecha 10-6-1995:

"(...) no toda vulneración o desconocimiento de los derechos derivados de la propiedad intelectual suponen sin más la realización de una conducta típica, y por ello, que no es suficiente con la realidad constatada de que el acusado con su conducta haya infringido lo dispuesto en el artículo 99.2 de la Ley de Pro piedad Intelectual, en relación con la autorización del titular del derecho de explotación; porque no debe perderse de vista que el derecho de propiedad en cualquiera de sus manifestaciones goza de una protección tanto civil como penal, y esta última, por su naturaleza y circunstancias, debe actuar sólo con relación a los supuestos más graves de vulneración o desconocimiento del derecho. (...) El acusado tenía en su poder un número considerable de copias ilegales de programas, pero no hay constancia probatoria alguna de que hubiera realizado cualquier acto de tráfico o enajenación de los mismos ... de modo que lo único que le es imputable es la posesión que, aun cuando pueda vulnerar lo dispuesto en el artículo 99.2 de la Ley de Propiedad Intelectual, no entraña el tipo penal por el que se pretende la condena, que debe reservarse para supuestos más graves de vulneración y perjuicio de la propiedad intelectual, según antes se ha razonado."

Por tanto, la reclamación ante el Isp es la vía mas recomendable, ya que el hecho delictivo está siendo provocado por el usuario final de un proveedor situado en territorio español. Existen otras vías de reclamación, la Secretaría de Estado de Telecomunicaciones, el arbitraje de consumo, o asociaciones de usuarios (por ejemplo, la AUI, asociación de usuarios de internet), pero dado que es una reclamación por el mal uso de una conexión de un usuario, esto es, no es un mal comportamiento del Isp u operador, la vía mas efectiva es la reclamación ante el propio Isp.

Muescas notariales

Las muescas notariales en el código de la base de datos es la principal vía para probar la autoría. Un acta notarial que de fe publica, previamente, de posibles errores ortográficos, o de reseñas que forman parte del código fuente, para posteriormente, comprobar que la base de datos contiene dichas muescas, es un elemento muy eficaz a la hora de probar dicha autoría.

En el caso "El derecho" VS "Aranzadi" resultó condenado El derecho por haber copiado de la base de datos de la histórica editorial jurídica Aranzadi. Las sentencias del Tribunal Supremo se refiere a un total de 12 años, del 82 al 93. Y la principal prueba que determinó la victoria de la segunda sobre la primera fueron los errores ortográficos -muescas- hechas con vistas a que esto pudiera ocurrir. Entre los centenares de errores que coinciden en las dos bases de datos se encuentran estos: en una sentencia del Tribunal Supremo figura la frase "lo dispuesto..." y en los dos CD-Rom consta "los dispuestos..."; "exigirse indemnización" pasa a ser "exigirse la indemnización; "Lloma-rit" está escrito con guión en la sentencia porque va al final de una línea y se transcribe con ese guión por Aranzadi y después por El Derecho pese a no ser un fin de línea; la palabra "tardanza" se convierte en "tardanaza". En este caso, el juez estimó que aunque las sentencias no tienen derechos de autor, si está protegido por el llamado "derecho sui generis", explicado mas arriba. Y para demostrar el plagio, se determinó que los errores ortográficos eran prueba suficiente para determinar la autoría de una determinada base de datos.
-Digitalización y derecho "sui géneris"

El derecho sui géneris protege el desembolso, esfuerzo, etc que alguien, persona física o jurídica, realiza a la hora de construir una determinada base de datos. En ese sentido, tenemos el supuesto por el que alguien realiza una base de datos informática -esto es, digital- convirtiendo al formato de ceros y unos una obra que se encuentra en soporte "analógico", por ejemplo, en formato "papel". ¿Hasta qué punto el "esfuerzo digitalizador" puede verse protegido por este derecho? ¿Merece la pena hablar de derecho sui generis en esta ocasión?
En este sentido, los editores de los boletines oficiales publicados en Internet en principio gozan del derecho "sui generis" sobre los archivos que publican sus páginas. No es relevante para el presente caso, el hecho de que se traten de textos legales, ya que el derecho "sui generis" protege la inversión en la publicación digital y el mantenimiento que están realizando los editores de los boletines oficiales o las empresas subcontratadas que se encargan de la publicación en Internet. El esfuerzo es cuantificable económicamente al observar que para la publicación de los archivos en Internet es necesario un equipo informático, conexiones telemáticas, documentalistas contratados, programas de tratamiento de texto y de publicación en Internet, un espacio físico para el desarrollo de la actividad y unos costes fijos de mantenimiento de las instalaciones.
El artículo 133 de la LPI habla en términos de inversión de una base de datos, por tanto, el digitalizar -por ejemplo- un listín telefónico conlleva, sin lugar a dudas, una inversión protegible por la vía de este artículo. En ese sentido, creo que no hay dudas que es protegible y perfectamente esgrimible ante cualquier tribunal.
Es posible demostrar que la inversión ha sido sustancial, justificándola en cuestiones de distinta naturaleza, como por ejemplo:
-Los costes económicos soportados en las distintas fases de producción de la base de datos, aportando facturas de proveedores que hayan participado en el proyecto y los documentos contables que demuestren la inversión económica realizada.
-El tiempo dedicado por el autor, sus empleados o proveedores. Es conveniente realizar depósitos notariales durante las diversas fases del proyecto con el fin de demostrar la evolución de la base de datos y la duración del trabajo realizado.
-El esfuerzo invertido en las labores de obtención, corrección, verificación, análisis, interrelación y presentación de la información contenida en la base de datos.
Sin embargo, pueden existir opiniones encontradas en este aspecto: en efecto, ese "esfuerzo digitalizador" pudiera no ser suficiente. El artículo 133 habla de inversión sustancial, y ya sea ésta cualitativa o cuantitativa. Nos encontramos ante un concepto jurídico indeterminado, pues hasta dónde una inversión es sustancia y hasta dónde no lo es?
En este caso, habría que preguntarse cuánto tiempo se ha empleado en digitalizar el fabricante de la base de datos, en preparar u organizar su contenido y preparación, etc, etc. En definitiva: sólo un juez podrá decirnos si efectívamente estamos ante una inversión sustancial.

ALFONSO VILLAHERMOSA IGLESIAS
Alfonsovillahermosa@abogado.zzn.com
Especialista en Economía y Derecho de la Tecnología Digital
Master en Derecho de las Telecomunicaciones y Tecnologías de la información por la Universidad Carlos III