Contacto

Para consultas jurídicas "david @ abanlex.com"

jueves, 24 de noviembre de 2011

El TJUE contra la vigilancia indiscriminada del P2P y por la neutralidad de la red

Mientras esperamos la aprobación en funciones del Reglamento de la Ley Sinde, previsto para mañana, se conoce la importante sentencia (asunto 70/2010) del Tribunal de Justicia de la UE contra los sistemas de monitorización del tráfico que circula por las redes con la finalidad de identificar infracciones de derechos de propiedad intelectual y a favor de la neutralidad de la red.

El asunto venía de un procedimiento en el que el juzgado de Bélgica obligó a un ISP (Scarlet) de ese país, a petición de la entidad de gestión SABAM, a implementar un sistema de monitorización de los datos que circulaban por la red recibidos o enviados por sus usuarios mediante sistemas P2P.

El ISP alegó que implementar esas medidas era practicamente imposible, y el Tribunal decidió consultar si antes de imponer esas medidas al ISP estas cumplían con los requisitos del derecho de la UE. Por ello se plantearon dos cuestiones prejudiciales:
La primera, si las Directivas 2001/29 y 2004/48, en relación con las Directivas 95/46, 2000/31 y 2002/58, interpretadas en particular a la luz de los artículos 8 y 10 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, ¿permiten a los Estados miembros autorizar a un juez nacional que conoce de un procedimiento sobre el fondo, con arreglo a una sola disposición legal que establece que “asimismo, [el juez nacional] podrá dictar un requerimiento judicial de cese contra los intermediarios cuyos servicios sean utilizados por un tercero para vulnerar derechos de autor o derechos afines”, para que ordene a un [PAI] que establezca, con respecto a toda su clientela, de manera abstracta y con carácter preventivo, exclusivamente a expensas de dicho PAI y sin limitación en el tiempo, un sistema de filtrado de todas las comunicaciones electrónicas, tanto entrantes como salientes, que circulen a través de sus servicios, en particular mediante la utilización de programas “peer-to-peer”, con el fin de identificar en su red la circulación de archivos electrónicos que contengan una obra musical, cinematográfica o audiovisual sobre la que el solicitante de la medida alegue ser titular de derechos, y que a continuación bloquee la transmisión de dichos archivos, bien en el momento en que se pida un archivo o bien con ocasión del envío de éste?

Y si, en caso de respuesta afirmativa a la primera cuestión, ¿obligan dichas Directivas a un juez nacional, que conoce de una solicitud de requerimiento judicial de cese frente a un intermediario cuyos servicios son utilizados por un tercero para vulnerar derechos de autor, a aplicar el principio de proporcionalidad al pronunciarse sobre la efectividad y el efecto disuasorio de la medida solicitada?»
Pues bien, la respuesta a la que se llega sólo respecto de la primera conducta y si bien no impide que se establezcan mecanismos de filtrado de los paquetes, en la práctica, con las condiciones y requisitos que señala el TJUE, todo este tipo de solicitudes o propuestas queda en entredicho de manera contundente.

Así el TJUE dice que:
"[...] a la luz de los requisitos derivados de la protección de los derechos fundamentales aplicables, deben interpretarse en el sentido de que se oponen a un requerimiento judicial por el que se ordena a un proveedor de acceso a Internet establecer un sistema de filtrado

– de todas las comunicaciones electrónicas que circulen a través de sus servicios, en particular mediante la utilización de programas «peer-to‑peer»;

– que se aplique indistintamente con respecto a toda su clientela;

– con carácter preventivo;

– exclusivamente a sus expensas y

– sin limitación en el tiempo,

capaz de identificar en la red de dicho proveedor la circulación de archivos electrónicos que contengan una obra musical, cinematográfica o audiovisual sobre la que el solicitante del requerimiento alegue ser titular de derechos de propiedad intelectual, con el fin de bloquear la transmisión de archivos cuyo intercambio vulnere los derechos de autor."
Como decía no es que el TJUE impida que se rastree el tráfico, y aquí andamos con el tema de la neutralidad de la red y la necesidad de una ley específica o no, habida cuenta de que la protección de la misma la podemos encontrar ya en las normas sobre derechos humanos.

Pero para que una medida de un sistema de filtrado, identificación de paquetes y bloqueo de tráfico sea aceptable por los tribunales europeos sólo será posible mediante requerimiento judicial, de ciertas comunicaciones (no de todas), respecto de un cliente concreto, con posterioridad a una infracción acreditada, con caución por el solicitante y por tiempo limitado en relación a vulneraciones de la propiedad intelectual.

Así, en la práctica, se blinda la adopción de medidas de este tipo y, en mi opinión, deja muy tocado los sistemas tipo Hadopi de rastreo masivo.


Y por supuesto, deviene esteril gran parte del debate sobre la neutralidad o no de la red, habida cuenta de que fija que las legislaciones nacionales:
"[...]deben respetar, en particular, el artículo 15, apartado 1, de la Directiva 2000/31, que prohíbe a las autoridades nacionales adoptar medidas que obliguen a un PAI a proceder a una supervisión general de los datos que transmita en su red."
Por lo tanto, no necesitamos ley de neutralidad, la neutralidad forma parte de la Directiva 2000/31 (de la que deriva nuestra LSSI).

Gran noticia para hoy, veremos que nos trae mañana...

viernes, 18 de noviembre de 2011

El TC avala el registro del ordenador sin mandato judicial

Polémica, a mi juicio, Sentencia del Tribunal Constitucional que avala el registro de un ordenador personal por parte de la Policía sin mediar autorización judicial y también valida la denuncia efectuada por el técnico informático que encontró los archivos al efectuar una reparación.

Esta sentencia, que viene a romper lo que se consideraba un criterio evidente de protección del derecho a la intimidad, consagrado en el artículo 18 de la CE, tiene también un voto particular que resulta especialmente interesante.

Y no sólo es polémica por ese cambio de criterio, sino que, en mi opinión, valida una construcción del procedimiento inversa. Es decir, en cualquier juicio lo normal es que se haga el examen de los medios de prueba y se llegue a un veredicto de culpable o inocente. Sin embargo en este caso parece que el proceso que se ha seguido es el inverso, a partir de que sabemos que es culpable ordenamos todo para conseguir ese resultado.

Los hechos, resumidos, consisten en que una persona llevó a un técnico informático su ordenador portatil para reparar la  unidad de grabación de DVD.

El técnico preguntó al usuario si el ordenador tenía contraseña y este respondió que no y tampoco le dió instrucciones para que no accediese a su disco duro.

Al terminar de instalar el hardware, procedió a utilizar archivos del disco duro del ordenador para verificar el correcto funcionamiento del mismo, encontrándo en la carpeta /mis documentos/mis imágenes fotos y videos de pornografía infantil, lo que motivó que el técnico denunciase los hechos a la Policía, que se personó en la tienda, se incautó del ordenador y procedió a analizar el contenido del disco duro, encontrando en la carpeta /emule/incoming más archivos con pornografía infantil.

Esta actuación fue impugnada por la defensa, llegándo finalmente al Constitucional, sobre la base de que tanto el acceso por el técnico como el acceso por la Policia se hicieron en contra del derecho a la intimidad, ya que no medió autorización judicial para tal intervención.

Respecto del técnico la Audiencia Provincial estableció que dado que el ordenador no tenía contraseña ni el cliente le indicó limitación alguna al uso del ordenador y acceso a los ficheros y
En consecuencia, pese a conocer que el técnico accedería al disco duro del ordenador (pues para ello le solicitó la contraseña), el acusado consintió en ello sin objetar nada ni realizar ninguna otra prevención o reserva que permita concluir que pretendía mantener al margen del conocimiento ajeno determinada información, datos o archivos.
Y que como en la otra carpeta, la del emule que encontró la Policía, estaba en la de compartir, no tenía "[...] voluntad de preservar para su esfera íntima, exclusiva y personal ninguno de los ficheros que conservaba en su ordenador [...]" pues no puede invocarse el derecho a la intimidad.

Y lo mismo dijo tanto el Tribunal Supremo como ahora el Constitucional.
Pero los jueces obvian que para llegar a esa conclusión, primero han tenido que abrir el ordenador y analizar las carpetas. Se obtiene la prueba y luego se justifica su obtención. Esta línea de pensamiento es gravísima por las vías que abre para todo tipo de intervenciones (en esta línea también se manifiesta el Fiscal).

Además de que, como se señala en el voto particular, puede discutirse sobre el consentimiento dado al técnico, pero esté en ningún caso debió alcanzar a la carpeta del emule.
Parecen obviar los tribunales que la pregunta de la existencia de una contraseña de acceso deriva no del acceso al usuario individual sino a los efectos de poder instalar los "drivers" necesarios de la grabadora, no de que por no tener contraseña se quiere que cualquiera pueda acceder.

El técnico tiene acceso al ordenador para arreglar el equipo, no para ver el contenido de la carpeta "mis imágenes". Perfectamente el técnico para probar una grabadora puede usar un usb con archivos específicos a tal efecto sin tener que obtenerlos del usuario, o sacarlos de la carpeta "/windows"

Tampoco tiene sentido que sea el usuario el que imponga limitaciones (opt-out) al técnico. La presunción cuando dejas un ordenador a reparar es que el técnico no mire el contenido de los archivos personales.

Como decía, al final da la impresión de que se ha querido legalizar el resultado porque el detenido se consideraba que era culpable, aplicando el proceso penal a la inversa.

Y respecto de la intervención de la Policía, registrando el ordenador sin mandamiento judicial, se viene a validar, argumentando que la necesidad de averiguar un delito actúa como elemento limitador del derecho a la intimidad pero que por regla general exige la autorización judicial. Sin embargo, esta autorización judicial no es necesaria cuando existen razones para la intervención policial inmediata.
"[...] han de acreditarse razones de urgencia y necesidad que hagan imprescindible la intervención inmediata y respetarse estrictamente los principios de proporcionalidad y razonabilidad”
En este caso la Policía se apoderó del ordenador, examinó su contenido y luego detuvo al propietario.

El TC avala la actuación judicial sin esperar al mandato judicial porque entre sus funciones está la de asegurar las pruebas incriminatorias

"[...] por lo que tampoco aparece como irrazonable intentar evitar la eventualidad de que mediante una conexión a distancia desde otra ubicación se procediese al borrado de los ficheros ilícitos de ese ordenador o que pudiera tener en la “nube” de Internet."
Realmente increible que se use este argumento, un ordenador que fisicamente está en poder de la Policía, si no se le conecta a ninguna red, dificilmente podrán borrarse datos a distancia.

Es decir, se justifica que la Policía pueda abrir el ordenador y ver su contenido por si el usuario, que se lo ha dejado a un técnico para que lo arregle, lo borra a distancia (cuando daño está haciendo tanto ruido sobre la "nube"). En fin. Sobran las palabras. O como se dice en el voto particular:
"Siendo esencialmente cierta la anterior afirmación no alcanzo a entender por qué, estando el ordenador físicamente en poder de la Policía, las diligencias de investigación no podían esperar a que su realización contara con autorización judicial."
"Pero es que, además, el acceso a archivos de Internet (como los que incriminaban al recurrente) sólo puede realizarse si el terminal en cuestión está conectado a la red, por lo que en nada se hubiera puesto en riesgo la labor investigadora de la Policía si, estando dicho terminal en su poder, se mantiene apagado hasta lograr la preceptiva autorización judicial."
Como decía, tengo la sensación de que todo esto es una construcción para alcanzar un resultado, o eso, o que en el Constitucional sólo hay una magistrada que entienda minimamente como funciona un ordenador, quien firma el voto particular...

miércoles, 2 de noviembre de 2011

Cuidado, lo que subes a ICloud desaparece si mueres

Revisando por otras cuestiones los términos y condiciones de Icloud me ha llamado la atención una cláusula por la que si falleces la cuenta, con todos sus contenidos, desaparece.
Ausencia de derecho de sucesión
Ud. reconoce y acepta que su Cuenta es intransferible y que los derechos sobre su ID de Apple o el Contenido almacenado en su Cuenta quedarán revocados cuando Ud. fallezca. A la recepción de una copia del certificado de defunción, Apple podrá cerrar su Cuenta y eliminar todo el Contenido almacenado en la misma. Póngase en contacto con el servicio de soporte entrando en www.apple.com/support/icloud para obtener más asistencia.
Es decir que en el momento en el que el usuario fallezca Apple cerrará la cuenta (aunque realmente dice podrá) perdiéndose todo el contenido.

Las condiciones de Servicio de Itunes no preven nada similar, así que debemos entender que el material allí adquirido sí podría heredarse

Esta cláusula podría dar lugar a interesantes problemas en el caso de fallecimientos en los que un dispositivo, como un Ipad o un Iphone queden destruídos y la única copia de una obra literaria, por ejemplo, se encuentre en Icloud.

Según nuestro Código Civil son objeto de la herencia todos los bienes y derechos, así como las cargas, del titular.

Además en el caso de las obras objeto de propiedad intelectual los derechos sobre estas nacen desde el mismo momento de su creación, por lo que en Icloud podría existir una obra sobre la que los herederos tienen derechos. La destrucción de la obra por parte de Apple no parece jusitificada y sí contraria a principios elementales, como el del derecho a la herencia.
Entiendo, y me parece correcto, que Apple establezca la cuenta como intransferible, es decir que sólo el usuario registrado acceda a ella, pero lo que no parece razonable es que previa recepción del certificado de defunción pueda eliminar el contenido, cuando lo procedente sería dar acceso por un tiempo a los herederos o hacerles entrega del contenido y despues sí, borrar la cuenta o el contenido.

Lo dicho, cuidado con lo que se sube a la nube que puede que luego no caiga... ;)

Y proximamente: "los parlamentarios, los Iphones y la protección de datos..."