lunes, 4 de junio de 2012

IPV6, la intimidad y la obtención de datos de ciudadanos


Una de las ventajas que se ofrecen para la adopción de este protocolo es el hecho de que cada usuario, en cada dispositivo podrá tener su dirección única e invariable, ya que tendremos direcciones para todos.

Hasta ahora, por ser escasas, las direcciones IP se han asignado a los usuarios particulares de manera dinámica, esto es, dejando una cuando un usuario se desconecta y asignándosela a otro usuario. También se ofrecen direcciones IP estáticas, pero su uso es menos frecuente para usuarios particulares.

Hay que contemplar, desde el punto de vista legal, algunos cambios que se antojan necesarios en el caso de que se quiera mantener el estándar de protección de la intimidad del que ahora disfrutamos.

¿Llega IPV6 demasiado pronto para nuestra legislación? A mi juicio creo que sí.

Veamos.

En principio conocer quien está detrás de un acto en internet (un comentario, una conexión a un servidor, etc.) requiere dos cosas, conocer la IP origen de la comunicación y saber a quien se asignó dicha dirección.

Recopilar direcciones IP asignadas a una determinada acción ha sido declarado legal por nuestros tribunales; si alguien entra en nuestro servidor podemos conocer desde que IP llegó, al igual que podemos observar y recopilar las direcciones IP que están compartiendo un archivo en una red P2P.

Es el siguiente paso, averiguar a que usuario corresponde esa IP, el verdadero problema. (Y por supuesto que la IP no identifica a la persona sino al usuario que contrató la linea)

Actualmente si alguien quiere saber a qué usuario se asignó una dirección IP tiene que acudir al ISP (si es dinámica habrá más posibilidades de conocer quien la tiene asignada) pero éste sólo está obligado a dar esa información previo mandato judicial en supuestos tasados y por un tiempo limitado.

Esto se debe a que esa disponibilidad se encuentra en colisión con dos aspectos importantes, por un lado el coste del almacenamiento y, más importante, por otro la intromisión que supone el registrar absolutamente todos los movimientos que realizamos en internet.

La solución que tenemos en Europa se recoge en la Directiva 2006/24/CE de Conservación de Datos y en las respectivas legislaciones nacionales, algunas de ellas que han sido declaradas inconstitucionales y otras tienen grandes problemas para salir adelante.

En España se reguló en la Ley 25/2007 de Conservación de Datos (LCD)

En lo que aquí interesa, la LCD indica que se retienen todos los datos de la comunicación por internet (expresamente se excluye el contenido de la comunicación), la IP asignada, la hora de asignación, el destino de la comunicación, etc.

Como digo, hasta ahora estos datos sólo los tiene el ISP y, en principio, sólo este y bajo mandamiento judicial en determinados casos puede indicar a quién pertenece una IP.

Imaginemos ahora que ya está implantado IPV6 y todas nuestras comunicaciones siguen ese protocolo.

El ISP efectivamente nos dará una dirección a nuestro teléfono, otra a nuestro ADSL de casa, etc. Hasta que nos comuniquemos con alguien, esos datos sólo los podrá relacionar el proveedor.

Ahora bien, dado que es posible recopilar direcciones IP será posible buscar datos asociados a la misma.

Un caso hipotético pero que podría darse: Compramos una consola de juegos que para acceder a todas sus funciones exige darse de alta en un servicio on-line. Además la consola se conecta periódicamente al los servidores. Para que el registro sea correcto tenemos que dar nuestros datos reales e incluso una tarjeta de crédito.

Las posibilidades de identificación para la empresa son cercanas al 100%.

Ahora esa empresa rastrea las redes P2P y encuentra que esa misma IP está compartiendo un archivo sin autorización de sus titulares.

Ya no necesita acudir al ISP para, al menos inicialmente, tener indicios razonables de quien puede ser un infractor (el punto donde han fallado todas las demandas). Ahora la propia empresa tiene datos fiables que pueden relacionar a la persona con el hecho.

Podría interponer una demanda o bien una solicitud de diligencias preliminares contra el usuario con base en la información que ha recopilado.

Otro ejemplo: Todos tenemos el derecho, y algunos la obligación, de relacionarnos con la administración por medios electrónicos, incluida la Policía o los juzgados.

Al efectuar esa comunicación en sus sedes electrónicas o por email, podría quedar registrada la dirección de origen de la comunicación asignada junto con la identidad del comunicante.

Bastaría luego con cruzar esa dirección con aquella que se relacione con un delito, por ejemplo unas injurias contra el alcalde del municipio, para tener unos sólidos indicios de quien es el responsable o al menos para poder investigar alrededor de esa persona. 

Algo que ahora mismo no sería posible si el delito no es grave.



Muchos otros ejemplos podrían plantearse, pero es evidente que este cambio resulta importante para la privacidad y la actividad que puede desplegarse en internet de manera anónima.

Si bien en este casos se podría argumentar que la Ley Orgánica 15/1999, de Protección de Datos (LOPD) en virtud del principio de calidad de los datos (artículo 4) impide estos cruces, pero siempre podrían incluirse cláusulas que lo salven en los contratos de servicio o alegarse un interés legítimo para el tratamiento en relación al derecho a la tutela judicial efectiva (artículo 24 C.E.)

Como dije, una dirección IP no identifica a una persona, pero IPV6 permite disponer de más indicios para procurar una identificación que ahora mismo no es tan sencilla y está sometida al criterio de proporcionalidad y la vigilancia judicial.

El problema es que la LCD, y la Directiva, se preocupan de la cesión de datos y los límites a la misma, seguramente porque los redactores no preveían las circunstancias actuales, en lugar de limitar el uso que se hace de los datos obtenidos y prohibir la generación y almacenamiento de bases de datos de direcciones IP.

Hay que tener en cuenta que en principio la IP asignada puede perdurar indefinidamente, con lo cual podría relacionarse una acción con una persona muchos años después de haber recopilado la misma.

A pesar de las quejas del FBI parece que estamos en una situación peor para la intimidad ( y también la impunidad en internet).

3 comentarios:

  1. En IPv6 existe DHCPv6, que permite precisamente asignar direcciones dinámicas a los usuarios igual que se hacía en IPv4.

    Además, las comunicaciones con IPv4 no tenían la obligación de estar cifradas, pero sí con IPv6, lo que nos proporcionaría cierta protección frente al ISP.

    Me ha parecido un artículo muy interesante, y las implicaciones jurídicas de las direcciones estáticas tienen pinta de ser importantes.

    Sin embargo no tiene por qué ser así, aún es posible que estos problemas no ocurran si se aprovecha debidamente las características de privacidad que la tecnología IPv6 posee.

    ResponderEliminar
  2. Hola Elrohir:

    Sí, pero la idea es precisamente que cada dispositivo tenga la suya propia. En una red local puedes tener eso, pero creo que el interés para los ISP (y gobiernos) será que cada uno de nosotros tengamos la dirección propia de cada dispositivo.

    No me preocupa el tema del cifrado de las comunicaciones, me refería a cuando tú haces público el contenido, en ese punto si son importantes las implicaciones descritas.

    Veremos.

    Un saludo

    ResponderEliminar
  3. La solución estará seguramente en el uso de proxies y redes como Tor (www.torproject.org/), en una Internet que cada vez está más vigilada y controlada.

    ResponderEliminar