En junio de este año se divulgó un borrador de nuevo Código Procesal Penal
(pdf) que tuvo mucha repercusión en lo que a la informática se refiere
por la posibilidad de que la Policía, en el marco de una investigación
criminal, instalara "troyanos" en los ordenadores que usasen los
sospechosos.
Pero hay otra medida, al margen de esa posibilidad de examen remoto, que puede ser determinante para que quien se plantee ofrecer desde España servicios seguros de comunicaciones o alojamiento de datos seguros se olvide de ello.
El artículo 350 del CPP establece que:
"El Tribunal de Garantías podrá autorizar, a petición razonada del Ministerio Fiscal, la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático"
Es
decir, que la Policía podrá tener acceso a las contraseñas e
identificaciones de usuario con el fin de, por ejemplo, analizar el
contenido de un servidor. Imaginen lo que puede suponer esto para un
servicio de hosting radicado en España.
Estos
datos para el acceso, se pueden obtener de muchas vías, por ejemplo
porque el usuario los tenga anotados en un post-it pegado a la pantalla,
pero también porque el CPP establece una obligación de colaboración.
Así, el artículo 351 regula el deber de colaboración y dice:
1.- Los proveedores de acceso o servicios telemáticos y los titulares o responsables del sistema informático o base de datos objeto del registro están obligado a facilitar a los agentes investigadores la colaboración precisa para la práctica de la medida y el acceso al sistema.
Asimismo, están obligados a facilitar la asistencia necesaria para que los datos e información recogidos puedan ser objeto de examen y visualización.
2.- Las autoridades y los agentes encargados de la investigación podrán ordenar a cualquier persona que conozca el funcionamiento del sistema informático o las medidas aplicadas para proteger los datos informáticos contenidos en el mismo que facilite la información que resulte necesaria para el buen fin de la diligencia.
Es decir, por mucho que yo quiera ofrecer un servicio de almacenamiento de datos cifrado tengo obligación de proporcionar contraseñas y usuarios para el acceso.
Con independencia de que un sistema sea, o no, cien por cien seguro, lo cierto es que esta obligación debería plantear problemas incluso con el propio diseño del servicio, imposibilitando sistemas que almacenen las contraseñas de tal manera que no se puedan acceder por el prestador.
Cambiar la contraseña no sería suficiente porque el usuario investigado podría darse cuenta y el secreto es una de las claves.
Así, quien proporcione el servicio tiene que estar en disposición de proporcionar acceso a la Policía para la investigación de delitos de "especial gravedad".
Por ejemplo, servicios como el que prestaba Lavabit, en España difícilmente serían sostenibles.
No hay comentarios:
Publicar un comentario