From the SelectedWorks of Rodolfo C. Rivas Spring May 1, 2014 Estrategias de protección de la Propiedad Intelectual en el espacio virtual Rodolfo C Rivas Rea Serah Mutheu Mati Available at: http://works.bepress.com/rivas_rodolfo/19/ PRÁCTICA CORPORATIVA Estrategias de protección de la Propiedad Intelectual en el espacio virtual El objetivo de las estrategias que se comentan en este artículo es el lograr la eficiente administración de nuestros derechos de propiedad intelectual en la red. Es una realidad que los nombres de dominio siguen y probablemente seguirán formando una parte importante del valor de un negocio. La importancia de ellos es tal, que por ejemplo, el gobierno de los Estados Unidos de América (EUA) incluye cláusulas relativas a la solución de controversias tipo UDRP (Uniform Domain-Name DisputeResolution Policy - Política de Resolución de Disputas de Nombres de Dominio Uniformes) en la mayoría de sus acuerdos comerciales internacionales Autor: Rodolfo Rivas, es Licenciado en Derecho por la Universidad Panamericana, Magister Lvcentinvs por la Universidad de Alicante y LL.M. por la Universidad de Stanford. Árbitro y panelista de nombres de dominio; ha trabajado como abogado en la OMC, OMPI y actualmente se desempeña en temas de comercio internacional y propiedad intelectual ante la OMC en Ginebra, Suiza Autora: Serah Mutheu Mati, es abogada in-house especialista en temas corporativos, propiedad intelectual y arbitraje. Cuenta con grados de LL.B. y LL.M., ambos por la Universidad de Londres y está admitida por la Barra de Abogados de Kenia. Trabajó en la OMPI desde el 2007 hasta el 2014 y actualmente se desempeña como abogada en la Organización Internacional de Normalización (ISO) en Ginebra, Suiza Mayo - Junio 2014 69 Estrategias de protección de la Propiedad Intelectual en el espacio virtual INTRODUCCIÓN ROBO/FRAUDE DE UN NOMBRE DE DOMINIO n un artículo anterior (“Lo que siempre quiso saber sobre... Nombres de Dominio pero nunca se atrevió a preguntar”, Nov.-Dic. 2013) describimos brevemente el sistema de nombres de dominio bajo los gTLDs y los ccTLDs. También discutimos los nuevos gTLDs, algunos de los cuales ya han sido lanzados para su uso público. Finalmente, nos referimos a los recursos de solución de disputas existentes cuando se está frente a un caso de ciberocupación1 (o cybersquatting). En el presente artículo2 abordaremos algunas estrategias de protección de derechos de propiedad intelectual en el espacio virtual; las cuales en opinión de los autores, son esenciales para la eficiente administración de nuestros derechos de propiedad intelectual en la red. Debe recordarse que los nombres de dominio son activos importantes para muchas instituciones, sin importar su tamaño. En muchas ocasiones la identidad corporativa de una empresa es dictada por el nombre de dominio,3 aunque en la mayoría de los casos la identidad corporativa es la que dicta el nombre de dominio. Más aún, el nombre de dominio es el principal punto de referencia de una institución en la red, utilizándose en el comercio electrónico, así como en todo tipo de comunicaciones a través de la red con clientes, proveedores, medios de comunicación y empleados.4 Aunque en la mayoría de los casos cuando hay un problema con los nombres de dominio estaremos frente a una ciberocupación, lo cierto es que habrá también situaciones en las cuales enfrentaremos un posible robo de nombres de dominio, una violación contractual o una violación flagrante de propiedad intelectual. También es posible que en ciertos casos estemos hablando de situaciones en las que se refiere a un crimen o incluso un atentado a la seguridad nacional.5 Las estrategias para cada una de estas situaciones son distintas y es importante conocerlas. El robo6 de un nombre de dominio ocurre cuando un tercero se apodera de éste, sin derecho y sin consentimiento del titular. En muchas ocasiones, el delito se asemeja más al fraude,7 pues se utilizan medios para engañar o aprovecharse del error en que se halla un titular de un dominio, con la finalidad de obtener ilícitamente un nombre de dominio o alcanzar un lucro indebido. El robo puede ocurrir cuando un atacante obtiene acceso a una cuenta ajena para administrar los dominios. Esto lo puede lograr al burlar la contraseña y con esto obtener acceso al servicio de administración. Una vez dentro del sistema, el atacante puede cambiar las credenciales y convertirse en el administrador de la cuenta o puede transferir ilícitamente el dominio a una tercera cuenta. El fraude puede ocurrir cuando se utilizan medios como el phishing8 (o suplantación de identidad). Sea cual sea el mecanismo utilizado o la forma en la cual se haya hecho, lo relevante para nosotros es que se pierde el control sobre el nombre de dominio. Cuando esto sucede, debe determinarse el valor del nombre de dominio, pues esto determinará la estrategia. Si el dominio se considera suficientemente valioso, se recomienda acudir directamente con las autoridades e iniciar un procedimiento penal. De manera paralela, se puede continuar con otras estrategias y, en ese caso, quizás sea recomendable utilizar el procedimiento existente bajo la UDRP.9 Es importante tener en cuenta que los objetivos de cualquier solución deberán tener en cuenta, tanto la rapidez, el costo y la eficacia jurídica, así como crear estrategias de prevención para futuros casos. A continuación se presenta una secuencia de las posibles medidas que pueden utilizarse. Dependiendo de la situación, puede que no sea necesario recurrir a todos los pasos enumerados. Como primer paso es necesario comunicarse con el registrar (proveedor de servicios de registro y administración E 1 La competencia de la UDRP es exclusiva para temas de ciberocupación. En casos de interpretación contractual, como lo es una licencia, las decisiones de los expertos han repetidamente desestimado las demandas, argumentando que la disputa está fuera de la competencia del proceso contemplado bajo la UDRP. Un ejemplo reciente de éste puede verse en la decisión FA1209001462781 del National Arbitration Forum en relación a los nombres de dominio <grief.net> y <grief-recovery.com> (véase: http://domains.adrforum.com/domains/decisions/1462781.htm) 2 Las opiniones y comentarios expresados en el presente artículo son de los autores y no reflejan las de la Organización Internacional de Normalización (ISO) 3 La start-up <art.sy> creó su imagen corporativa alrededor de su peculiar nombre de dominio, el cual tuvo que cambiar a <artsy.net> después de que los EUA impusieran sanciones económicas a Siria. El ccTLD <.sy> fue asignado a Siria 4 Facebook adquirió el nombre de dominio <fb.com> por USD $8.5 millones en 2010. La intención detrás de dicha transacción fue para utilizar el dominio <fb.com> como el nombre de dominio corporativo de Facebook, y así, diferenciarlo del dominio <facebook.com>, el cual puede ser utilizado por los usuarios de la red social 5 Silk Road (o Ruta de la seda: http://silkroad6ownowfk.onion) era un mercado negro en línea desde un sitio de Internet operado como uno de los servicios ocultos de la red Tor, conocido en términos informáticos como Internet profunda. El pasado 2 de octubre de 2013 fue cerrado por el Federal Bureau of Investigation (FBI), y su fundador, conocido por su alias “Dread Pirate Roberts”, fue identificado como Ross William Ulbricht 6 Artículo 367 del Código Penal Federal 7 Artículo 386 del Código Penal Federal 8 Un tipo de abuso informático que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta 9 Debido a que la ciberocupación y el robo/fraude tienen mucho en común, la UDRP puede ofrecer una solución viable. Ver: Caso OMPI No. D2013-1144 relacionado con el nombre de dominio <thompsonisland.org>, en donde el experto Richard G. Lyon resolvió transferir el nombre de dominio robado al demandante 70 Mayo - Junio 2014 Estrategias de protección de la Propiedad Intelectual en el espacio virtual de dominios) tan pronto como sea posible, con la finalidad de determinar con exactitud lo sucedido, y ver si existe alguna forma de solucionar ese problema. Cabe mencionar que algunos registrars tienen procedimientos internos para solucionar este tipo de casos. Sin embargo, si el dominio ha sido transferido a otro registrar, las posibilidades de solución que puede ofrecer el proveedor de servicios original se reducen considerablemente. Como estrategia preventiva será necesario utilizar un registrar que ofrezca métodos de seguridad avanzados. Dentro de los servicios que se deben buscar, están: atención técnica las 24 horas del día; notificaciones de transferencia pendiente (los registrars no están obligados a hacerlo y hay muchos que no lo hacen); notificaciones paralelas (no sólo por medio de correos electrónicos) de cambios al registro, así como métodos adicionales de autenticación y autorización para levantar el “candado” a las transferencias.10 No obstante lo anterior, la protección recae principalmente en el titular de los dominios. Para esto será necesario incorporar la protección de los nombres de dominio a nuestro plan y políticas de seguridad. Asimismo, se necesita realizar un estudio de riesgos e identificar los posibles incidentes y los planes de acción para responder a ellos. A su vez, en caso de requerirse, se puede contratar un seguro empresarial para cubrir las pérdidas en caso de interrupción a la operación del negocio. De igual manera, es necesario contar con datos de registro y de contacto actualizados, y guardarlos de una forma segura, permitiendo el acceso sólo a las personas autorizadas. Finalmente, el nombre de dominio siempre deberá estar bajo un “candado” que impida la fácil transferencia.11 Como segundo paso será necesario investigar y comprobar la identidad del atacante, dado que esto será información muy valiosa para cualquier eventual procedimiento. En caso de que el atacante tenga antecedentes previos en este tipo de conductas o de ciberocupación, esto podrá facilitar un proceso penal o un proceso bajo la UDRP. Una vez identificado el atacante, el siguiente paso será notificarle por medio de una carta de “cese y desista”, informando al atacante del carácter ilícito de su conducta y las consecuencias legales que ésta puede acarrear. En ese documento se debe hacer referencia a todas las legislaciones aplicables, tanto nacionales como extranjeras. En muchos casos, el problema se resuelve en esta etapa. También es recomendable considerar en esta etapa una solución amistosa. Llegar a un acuerdo con un atacante puede resultar más barato que un largo proceso judicial o un relativamente costoso procedimiento administrativo. En caso de optar por la solución amistosa, es necesario tomar las medidas pertinentes para no “invitar” a la repetición de este tipo de conductas, a manera de “extorsión”. Como un tercer paso, se puede considerar hacer uso de un procedimiento administrativo bajo la UDRP o la política de solución de disputas aplicable. Será importante elegir al proveedor de servicios de solución de disputas adecuado para lo que se busca obtener.12 Una vez iniciado el procedimiento, existe la posibilidad de encontrar una solución amistosa que puede ser más rápida y económica que obtener una eventual resolución. En ciertos casos, cuando existe una violación de ciertos contenidos pro- tegidos bajo derechos de autor en un sitio web, es posible invocar la Ley de Derechos de Autor Digitales del Milenio (Digital Millennium Copyright Act - DMCA, por sus siglas en inglés), con la finalidad de remover los contenidos violatorios de la página web. El último recurso consiste en la posibilidad de iniciar una acción judicial por daños y perjuicios, así como un procedimiento penal en los casos en los que haya habido un delito. Cabe señalar que estas últimas opciones pueden acarrear un proceso complejo, largo y costoso. ESTRATEGIAS GENERALES DE REGISTRO Y GESTIÓN DE NOMBRES DE DOMINIO Una estrategia exitosa debe estar bien informada, para obtener la máxima protección de la propiedad intelectual disponible, balanceando los riesgos legales y el costo. Cuando un negocio tiene una cartera considerable de nombres de dominio se recomienda el reducir al máximo el número de registrars. Esto facilita el control de la cartera, además de reducir los costos por manejo de volumen. También, se debe establecer una base de datos para monitorear los registros de nombres de dominio, misma que, de preferencia, debe crear notificaciones para dar seguimiento a los registros. Por otra parte, existe un gran número de herramientas en línea para monitorear la actividad de los nombres de dominio y consultar su historial. Algunas de éstas son gratis y proporcionan grandes beneficios. También existen servicios de monitoreo para proteger las marcas en la red. Estos servicios usualmente requieren de una suscripción, pero proporcionan información detallada de la actividad en línea, dando la oportunidad al cliente 10 Algunos de estos servicios han sido recomendados en el reporte de 2005 del Comité Asesor de Seguridad y Estabilidad de ICANN (Internet Corporation for Assigned Names and Numbers) (http://archive.icann.org/en/announcements/hijacking-report-12jul05.pdf) 11 Algunas de estas estrategias fueron recomendadas por el reporte de 2010 del Comité Asesor de Seguridad y Establidad de ICANN (http://www.icann.org/ en/groups/ssac/documents/sac-044-en.pdf) 12 Hasta la fecha existen cinco proveedores de servicios bajo la UDRP, localizados en diferentes regiones del mundo, quienes ofrecen una gran variedad de servicios con diferentes precios Mayo - Junio 2014 71 Estrategias de protección de la Propiedad Intelectual en el espacio virtual de determinar qué tipo de acciones se desean tomar, cuando existe un registro abusivo. Otra recomendación es que los registros y las renovaciones deben ser pactados por los periodos máximos posibles, en lugar de un periodo anual. Existe también la posibilidad de establecer la renovación automática, con la finalidad de evitar la expiración de los mismos y el eventual registro por terceros, quienes utilizan servicios automatizados para aprovecharse de este tipo de situaciones. Con el lanzamiento de nuevos gTLDs es posible beneficiarse de periodos de registro avanzados (sunrise periods), los cuales permiten registrar los dominios relevantes antes de su lanzamiento público. De la misma forma se pueden registrar las marcas con la Trademark Clearinghouse,13 para beneficiarse de una proteccion extendida con el lanzamiento de los nuevos gTLDs. Finalmente, cuando se permite el uso de ciertos nombres de dominio a un tercero por medio de una licencia, es imperante regular su uso a través de directrices claras. Determinar qué se puede hacer y cómo se puede hacer puede evitar muchos dolores de cabeza.14 CONCLUSIÓN Los nombres de dominio siguen y probablemente seguirán formando una parte importante del valor de un negocio. La importancia de ellos es tal, que el gobierno de los EUA incluye cláusulas relativas a la solución de controversias tipo “UDRP”, en la mayoría de sus acuerdos comerciales internacionales, siendo el Acuerdo Estratégico Trans-Pacífico de Asociación Económica (Trans-Pacific Partnership, TPP) uno de los más recientes ejemplos de ello. Sin embargo, el marco de regulación actual de los mismos se encuentra en una etapa de transición. Esto es evi- dente a partir de la reciente decisión por parte del Departamento Comercial de la Administración Nacional de la Información y las Telecomunicaciones de los EUA, que hace poco anunció que no renovará el contrato, después de su vencimiento en 2015, con ICANN (Internet Corporation for Assigned Names and Numbers), el órgano que administra el sistema internacional de los nombres de dominio. Se espera que el nuevo órgano que se encargará de la administración del sistema internacional de los nombres de dominio tenga una composición global, e incluya la participación del sector privado y no exclusivamente el sector público. Esto, sin duda, ofrecerá una oportunidad para las empresas de tener una injerencia directa en el sistema. Así, una entidad con una política que sepa implementar estrategias exitosas para la protección de su Propiedad Intelectual en Internet tendrá una gran ventaja. Rodolfo Rivas es Árbitro y panelista Labora en la OMC en Ginebra, Suiza [email protected] Serah Mutheu Mati es abogada in-house. Labora en la ISO en Ginebra, Suiza [email protected] 13 http://newgtlds.icann.org/en/about/trademark-clearinghouse 14 Aunque no está directamente relacionado con esto, es importante señalar un error común que se comete cuando se contratan los servicios de un diseñador de páginas web. Usualmente, los diseñadores registran los nombres de dominio como titulares, y nunca transmiten el registro a sus clientes 72 Mayo - Junio 2014