Contacto

Para consultas jurídicas "david @ 451.legal"

miércoles, 21 de diciembre de 2016

La Conservación de Datos, tal y como se hace, anulada por el Tribunal de Justicia de la UE

Hace ya casi una década que empecé a preocuparme por una norma que presentaba varios aspectos que me despertaban sensaciones raras. 

La Directiva de Retención de Datos, que finalmente se anuló, produjo una transposición en una Ley nacional, la 25/2007 que si bien no era exactamente como la Directiva (es lo que tienen las normas de transposición) tampoco, a mi juicio, completaba o determinaba bien todos los aspectos necesarios.

Es cierto que el principal foco inicial fue la consideración o no de delitos graves "tal y como se definen en las normas penales" y que en España se ha venido interpretando como que:
 "todo lo que pasa en internet es grave
y
 "eso es así porque usamos una sentencia anterior a la Ley que leemos sólo en aquellos párrafos que nos da la gana"
Los argumentos que he venido exponiendo a lo largo de los años, no sólo aquí públicamente (y que al parecer me deslegitiman para defender con el secreto suficiente a mis clientes) sino fundamentalmente en los juzgados, han sido, con el tiempo, confirmados por el Tribunal de Justicia de la UE.

También es verdad que algunas Audiencias, fundamentalmente la de Barcelona, sí han entendido bien que si la ley está mal lo que hay que hacer es arreglarla, no interpretarla de mala manera por los tribunales para que al final estemos en una situación mucho peor.

Pues bien, la última puntilla (y queda otra más grande que se dará con la cuestión prejudicial planteada por la AP de Tarragona) la ha puesto el Tribunal Europeo en la Sentencia del caso Tele2 Sverige.

El Tribunal, que analiza varios asuntos acumulados, entre ellos las normas británicas de Conservación, resuelve que el Carta de Derechos Fundamentales de la Unión Europea se opone a que una normativa nacional establezca una:
"[...] conservación generalizada e indiferenciada de todos los datos de tráfico y de localización de todos los abonados y usuarios registrados en relación con todos los medios de comunicación electrónica"
Y también que:
"[...] se opone a una normativa nacional que regula la protección y la seguridad de los datos de tráfico y de localización, en particular el acceso de las autoridades nacionales competentes a los datos conservados, sin limitar dicho acceso, en el marco de la lucha contra la delincuencia, a los casos de delincuencia grave, sin supeditar dicho acceso a un control previo por un órgano jurisdiccional o una autoridad administrativa independiente, y sin exigir que los datos de que se trata se conserven en el territorio de la Unión"

sábado, 10 de diciembre de 2016

¿Puedo atacar a quien me ataca? Legítima defensa y autodefensa frente ataques informáticos

La noticia de que un coche con sistema de conexión con el fabricante ha bloqueado los sistemas de apertura de puertas, de manera remota, permitiendo que el ladrón quedase atrapado pone en evidencia las posibilidades de reaccionar con la tecnología a quien nos ataca, en este caso en el mundo físico.


En el caso del coche, la existencia de sistemas de control del vehículo permitió determinar que estaba parado y con el motor en marcha, pero que pasa si se encierra el vehículo y quien está dentro tiene que poder salir del mismo por una urgencia o lo ha robado porque no existía otra forma de llegar a un servicio médico de urgencias (en el caso descrito el coche estaba abierto y con las llaves), etc.

Parece, a priori, razonable que como respuesta a un ataque a nuestra propiedad esta se pueda "auto-defender" (chiste malo) pero plantea muchos problemas en relación a los criterios que sirven de parámetro para justificar tal actuación. Por ejemplo, si se detecta la ruptura del cristal que el coche, con conducción autónoma, pueda arrancar y alejarse del lugar incluso atropellando al atacante, ¿sería admisible?. O, ¿sería correcto que si no pagamos una cuota del renting el vehículo se vaya de nuestro lado y vuelva al garaje de la empresa propietaria?.

Podemos considerar ambas conductas como ataques a la propiedad, en diferente intensidad y consideración, pero estas posibilidades permiten plantear nuevos retos a las figuras clásicas de posesión, propiedad, etc.

Pero en relación a los ciberataques como el que sufrió recientemente una empresa de servicios sobre DNS es frecuente que se plantee si cabe como respuesta no sólo la adopción de medidas de bloqueo de las peticiones (blacklisting de IP's), de empleo de balanceadores de carga o de otros sistemas de defensa, sino de poder actuar contra la fuente del ataque empleando medios similares, como por ejemplo un ataque de denegación de servicio contra el origen o de infectar con un virus si se detecta una intrusión en un sistema o devolviendo la "visita".

Es decir, hay muchas cosas que se pueden hacer una vez localizada la fuente de un ataque, ahora bien, ¿podemos contraatacar? ¿cabe la legítima defensa digital?.

martes, 6 de diciembre de 2016

Sobre la legalidad de la difusión de los datos robados a un despacho de abogados: el caso Futbolleaks

Un nuevo caso de filtraciones de información sobre personajes públicos, en este caso futbolistas, aparece en la prensa y se suscitan muy y variados debates sobre la "integridad" fiscal del fútbol, de la sociedad y de otras tantas cosas.
 


Recientemente tuvimos el caso de las filtraciones de las autorizaciones de uso terapéutico de la Agencia Mundial contra el dopaje, o las filtraciones de contratos de deportistas igualmente, y lo mismo pasó con los papeles de Panamá o con los papeles de Wikileaks.

Vivimos en una sociedad en que la información está digitalizada (nóminas, informes médicos, etc.) y almacenada en soportes informáticos que son susceptibles de una apropiación masiva y prácticamente indetectable.

Las filtraciones han resultado, en general, una fuente de información valiosa que los medios de comunicación nos han mostrado para denunciar actividades ilegales o ilícitas de personas y gobiernos y generar, al mismo tiempo, un debate social sobre esas personas o figuras y sus conductas.

Ahora bien, en este caso de los futbolistas tenemos un interesante conflicto de derechos entre la libertad de información, la obligación de contribuir, el derecho de defensa y la autoridad judicial.

En principio, según nuestro código penal es delito el acceso a la información personal contenida en soportes informáticos, según describe el artículo 197:
"1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.
2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero."
Es decir, el mero acceso a los datos es delito, por lo que parece evidente que en el caso de una intrusión informática en un sistema del que se extraiga la información fiscal o financiera de una persona podría incardinarse en el tipo. Esto no se discute en este caso, si como denuncia un despacho de abogados sus sistemas han sido vulnerados, la persona responsable de la intrusión es responsable de este delito.