Contacto

Para consultas jurídicas "david @ abanlex.com"

domingo, 10 de diciembre de 2017

Bitcoin: valor y precio; ¿Es el bitcoin una burbuja?

Por el trabajo en el despacho, llevamos todo este 2017 en particular asesorando sobre las obligaciones fiscales a personas que han comprado bitcoins y otras criptomonedas de manera continuada, lo que me ha permitido escuchar mucha información sobre qué motivaciones tienen quienes compran este tipo de activos y sus opiniones sobre este nuevo sector y su impacto económico.

Para hacernos una idea, el precio del bitcoin ha pasado de empezar sobre los 1000 dólares a estar, como se ve en la imagen, por encima de los 17500 dólares en los últimos días.
Una apreciación en 11 meses de un 1750%, sobre todo con subidas en pocos días de un 50% hace que mucha gente se plantee si estamos ante una burbuja o cuales son las razones de ese precio con esas subidas y bajadas tan disparatadas.

jueves, 5 de octubre de 2017

Función hash, datos de carácter personal y delitos

Esta mañana, el informático Sergio López analizaba y explicaba una serie de aspectos del censo universal que había sido empleado para la votación del pseudo-referendum de Cataluña del pasado día 1 de octubre.
En la descripción del interesante hilo explica como si bien los responsables del censo habían intentado que el mismo no se considerase cedido a terceros empleando las huellas o funciones hash de los datos de los votantes, era posible realizar el camino inverso y obtener los datos personales correspondientes a esos hash.

De hecho el autor del hilo ha publicado su propia prueba de concepto en un repositorio de github para que cualquiera pueda verificar la existencia del fallo (de concepto? mejor que de seguridad?)

El resumen es que dado que para evitar que con una única acción judicial se bloquease todo el proceso de votación, se clonaron las webs que daban el soporte a las mesas, lo que ha permitido la existencia de muchas copias de esas webs, incluyendo las bases de datos de los votantes.

Realmente la base de datos  lo que alberga es la huella (o hash) que esos datos arrojan al aplicarse 1714 iteraciones de SHA256 sobre los los 5 últimos dígitos del DNI, la letra correspondiente, la fecha de nacimiento y el código postal, para cada ciudadano incluido en el censo de cada ciudadano.

Es decir, si lo leemos como humanos, la función sería algo del tipo: a3c7c26545bcce509730d8a5d230a83e11614b94aa96966484ea5ab742a2f3b7 (esa es la huella sha256 de mi nombre y apellido) por lo que sin más elementos no podríamos saber a quien pertenece.

Y aquí viene la cuestión, para mi, interesante, ¿es una huella hash un dato de carácter personal?

La Ley 15/1999 de Protección de Datos define como dato de carácter personal
  • a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.
 El Real Decreto 1720/2007 de desarrollo concretó un poco más:
f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
Y ya, el nuevo Reglamento General de Protección de Datos concreta aún más:
«datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
El problema siempre ha sido cuando estamos ante datos que hacen identificables a las personas físicas a las que hacen referencia.

Pero además, el DNI, por sí mismo, tiene la consideración de dato de carácter personal, así en un  informe (0476/2008) de la propia Agencia (pdf) se concluye, con base en el artículo 1 del Real Decreto 1553/2005 que:
"2. Documento tiene suficiente valor, por sí solo, para acreditar la identidad y los datos personales de su titular que en él se consignen, así como la nacionalidad española del mismo.
3. A cada Documento Nacional de Identidad, se le asignará un número personal que tendrá la consideración de identificador numérico personal de carácter general.
La naturaleza de dato personal del DNI resulta clara atendiendo a lo anteriormente expuesto."
Si el DNI por si mismo, es un dato de carácter personal y de la función hash podemos extraer los 5 últimos números mas la letra, eso permite combinaciones para obtener el DNI completo, por lo que, de esa manera, ya tendremos ese dato personal.

En general, el criterio de la Agencia Española ha sido el de vincularlo con el esfuerzo necesario para, a partir de un identificador concreto, poder averiguar a quien pertenece.

Es decir, si no hay que hacer un esfuerzo desproporcionado será un dato de carácter personal, como recuerda la Agencia (informes 0427/2010 pdf o 0182/2008 pdf)
"Este criterio ha sido ratificado por la Audiencia Nacional en sentencia de 8 de marzo de 2002. Según se cita en la misma, “para que exista un dato de carácter personal (en contraposición con dato disociado) no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados” y “para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona”.
Por lo tanto, a la luz de lo expuesto en el contenido del censo y la forma en que se ha pretendido "ofuscar" lo cierto es que se ha producido una comunicación de datos de carácter personal a terceros por parte del responsable.

¿Y todo esto que implica?

Pues que al margen de las infracciones que por el incumplimiento de la LOPD pudieran establecerse, sería posible abrir la vía penal contra los responsables de la generación de este censo y su divulgación, en la medida en que el artículo 198 del Código Penal establece que:
"La autoridad o funcionario público que, fuera de los casos permitidos por la Ley, sin mediar causa legal por delito, y prevaliéndose de su cargo, realizare cualquiera de las conductas descritas en el artículo anterior, será castigado con las penas respectivamente previstas en el mismo, en su mitad superior y, además, con la de inhabilitación absoluta por tiempo de seis a doce años."
Las conductas en las que encajaría serían las del artículo 197:
"2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.

Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.

4. Los hechos descritos en los apartados 1 y 2 de este artículo serán castigados con una pena de prisión de tres a cinco años cuando:

a) Se cometan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros; o

b) se lleven a cabo mediante la utilización no autorizada de datos personales de la víctima.

Si los datos reservados se hubieran difundido, cedido o revelado a terceros, se impondrán las penas en su mitad superior."
Y ojo, porque el 197 CP permitiría ir incluso contra quienes clonaron la base de datos para mantener que la misma siguiese activa.

Responsabilidades penales como estas al margen (que seguro que a los responsables llegados a este punto son las que menos les preocupan) lo cierto es que es un ejemplo perfecto para visibilizar que un hash puede llegar a considerarse un dato de carácter personal, en función de la información a la que haga referencia.

Esto que puede parecer irrelevante, es interesante ya que, en ocasiones, se ha planteado remitir sólo el hash como forma de evitar transferencias internacionales de datos, por ejemplo, u otros muchos supuestos de tratamiento al margen de la norma aprovechando el que sólo se remita a terceros el hash.

domingo, 9 de julio de 2017

Qué está mal con Lexnet y la separación de poderes

Antes de nada, esto que contaré ni es nuevo ni soy el primero que lo plantea, pero es que parece necesario insistir en ello de manera continuada.

Empecemos con un ejemplo.

El Juzgado de lo contencioso administrativo nº 1 de una capital de provincia, cuyas competencias en Justicia dependen de esa comunidad autónoma, necesita para su magistrado un ordenador para que pueda escribir las sentencias.

Las Comunidades Autónomas con competencias en materia de justicia de lo que se encargan es, precisamente, de suministrar los medios para que el juez pueda desarrollar su trabajo. Esas son sus competencias básicas. Por lo tanto, desde la Consejería correspondiente, tienen que comprar un ordenador y entregárselo al Juzgado para que su señoría pueda utilizarlo.

Como es un juzgado que ve de manera continua los procedimientos contra la administración, puede que alguien en un momento decida entregar ese ordenador con un sistema que remita todas las teclas que se pulsen en el teclado a un equipo fuera del Juzgado o, simplemente, el nombre de todos los archivos que se abren, o las horas de inicio y cierre del equipo, tiempos de actividad de sesión, estadísticas de uso de aplicaciones, etc.

Es decir, que alguien en una consejería reciba toda la información que puede ir desde el contenido total de lo que se teclea hasta únicamente "metadatos" relativos al funcionamiento del equipo.

Con eso podrían no sólo realizarse estadísticas sobre uso del equipo sino también tener una idea aproximada de tiempos de resolución de asuntos, de momentos en que se analiza tal asunto o tal otro, etc., etc.

Igual solamente con un juzgado no tenemos información relevante, pero sumemos toda la información de todos los juzgados, apliquemos análisis de datos y podemos tener qué juez tarda más en dictar una sentencia, por ejemplo, por lo que puede saber el tiempo medio de resolución de un asunto, saber si le han demandado antes de ser emplazado, por ejemplo, y mucha otra información que puede ser muy interesante.

Aunque prescindamos de medidas tan "exageradas" como tener un keylogger, los meros metadatos asociados a los documentos o a las informaciones consultadas pueden suponer una diferencia importante.

¿Es compatible una situación como esta con un estado de derecho?

viernes, 12 de mayo de 2017

Tipificación penal del ransomware

No sólo hoy, llevamos unos años sufriendo en España diferentes variantes de virus informáticos que tienen como efecto no la destrucción de los documentos si no simplemente la imposibilidad de acceder a los sistemas si no es mediante el pago de una cantidad.

Es lo que se conoce como ransomware.

La operativa es conocida, mediante una fichero, se ejecuta un programa de cifrado que cifra ciertos archivos, o todos, del equipo, y de las unidades conectadas al mismo en las que el usuario tenga permisos de escritura.

Sin la contraseña de descifrado los archivos son inaccesibles.

A continuación aparece un mensaje en pantalla indicando la forma de pago, el precio y las instrucciones para poder continuar usando el ordenador en caso de pago.

Este tipo de programas suelen ser creados y distribuidos por personas, aparentemente, en países como Rusia, China o cualquier otro lugar, por lo que atrapar o identificar plenamente a los responsables del delito suele ser muy complicado.

Ello explica, entre otras cosas, que los delitos de estafas informáticas sean con mucha diferencia los más denunciados pero muy pocos asuntos no se archiven por falta de autor conocido.

En España hay dos sentencias de la Audiencia Nacional, relacionadas con el ransomware conocido como virus de la policía, de 3 de marzo (pdf) y de 4 de julio de 2016 (pdf) en la que los responsables acuerdan una pena en conformidad.

martes, 18 de abril de 2017

Las faenas taurinas no son obras objeto de propiedad intelectual

Uno de los conceptos más complejos y que se suele entender en términos expansivos es el de obra objeto de propiedad intelectual. La LPI, en su artículo 10 marca que:
1. Son objeto de propiedad intelectual todas las creaciones originales literarias, artísticas o científicas expresadas por cualquier medio o soporte, tangible o intangible, actualmente conocido o que se invente en el futuro [...]"
Ya marca el artículo la necesidad de que sean creaciones y que además sean originales.

En el análisis de esta cuestión es interesante la sentencia del juzgado de lo mercantil de Badajoz (pdf) en relación a la posibilidad de inscribir en el Registro de la Propiedad Intelectual una faena taurina como obra.

Todo comienza con la solicitud de un torero de que se inscribiese en el registro de la propiedad intelectual de Extremadura de una faena taurina por él realizada. La solicitud ante el registro se presentó el 30 de julio de 2014, por una faena del día 22. El Registrador solicita después aclaración sobre lo que se quería registrar. Recibidas las aclaraciones, se emite en enero de 2015 resolución denegatoria ya que no se trataría de una creación original.

Frente a esta resolución, se interpone demanda para que el juez valore si la "faena" sobre la que se ha denegado la inscripción es una creación original del intelecto humano, como requisito esencial para que algo pueda ser protegido como obra.

Fuente: https://pixabay.com/en/bull-arenas-beaucaire-bullfight-1957810/
Autor: Caropat
Hay que tener en cuenta que lo que se pretende registrar (y que se reconozca su carácter de obra objeto de propiedad intelectual) no es la grabación de la lidia, ni la descripción escrita de la misma contenida en la memoria, puesto que el cauce para las mismas explicitado en la ley. Se pretendía reconocer como obra los movimientos del torero con el toro, como expresión artística.

lunes, 6 de marzo de 2017

Sentencias anonimizadas, infantas y perspectiva histórica


Dicen que la hermana del Rey Felipe VI, (quien sólo por el hecho de haber nacido ya tiene su espacio en los libros de historia) anda reflexionando sobre si discutir (apelar) la sentencia por la que se condena a su marido y se le hace responsable de la devolución de unas cantidades que disfrutó pero no debió hacerlo.

La cuestión es que hoy, a los pocos días de conocerse la resolución judicial de la AP de Palma, se ha publicado la sentencia (pdf) en el medio que es habitual, el CENDOJ.

Lo habitual, y lo legal, es que las sentencias se publiquen con sus nombres modificados, además con cierta gracia pues se suelen utilizar nombres poco frecuentes.

El hecho de que las sentencias se publiquen en internet, en el canal oficial del poder judicial, sin los datos personales de los afectados tiene que ver con la protección de la intimidad ya que el conocimiento de las resoluciones judiciales no ampara el conocer a las personas amparadas por los fallos. Es decir, puede ser relevante conocer que una cláusula es abusiva en un contrato bancario, así como los fundamentos de esa resolución, pero no es necesario conocer al cliente afectado. Por eso se publican las sentencias y por eso se hace así.

Y tiene todo el sentido del mundo.

lunes, 20 de febrero de 2017

Actas notariales de sitios web, el criterio del abogado.

A finales del año pasado pude asistir a las jornadas Notartic que sirvieron para que la comunidad del notariado pusiese de manifiesto lo inmersos que se encuentran en la transformación digital de su función y acercar experiencias con otros operadores jurídicos que, en ocasiones, estamos en otras áreas de práctica.

Uno de los máximos exponentes de lo avanzado que están los notarios en materia de uso y comprensión de las tecnologías y como esos procesos afectan al trabajo jurídico es Javier Gonzalez, notario de Formentera y responsable del blog recomendable tallerdederechos.com.

En su intervención en las jornadas expuso algunas cuestiones sobre las actas notariales de contenidos en internet con la promesa de incluir lo expuesto en un post. Pues bien, finalmente tenemos el post tal y como lo explicó ese día en Sevilla, publicado en la web del proyecto notaríaabierta.

También ha publicado su visión del tema Francisco Rosales, notario de Alcalá de Guadaira y gran conocedor de los vericuetos de las tecnologías y la función notarial.

Básicamente ambos notarios consideran, de alguna manera, la necesidad de incorporar datos técnicos de la comunicación al acta, ya sea mediante la toma de datos por el notario, ya sea mediante la colaboración con un perito informático o similar.

Para profundizar en sus razones recomiendo leer ambos artículos, que para eso están.

Ahora bien, discrepo enormemente de su metodología para realizar un acta de una página web, cuando hablamos de un asunto habitual en un despacho de abogados.

¿Para qué usamos las actas web de los notarios los abogados?

domingo, 1 de enero de 2017

¿Entran el 1 de enero las obras en Dominio Público en España?

Es habitual todos los años que se señale el 1 de enero como día del Dominio Público, de hecho es celebrado por la importancia histórica o cultural que esto tiene para las sociedades a las que beneficia.

El Dominio Público es la situación a la que pasan las obras objeto de propiedad intelectual cuando transcurre el plazo de protección que la ley les otorga. La entrada en Dominio Público implica que se puede hacer un uso de cualquier tipo, comercial o no, de las obras en cualquiera de las modalidades de explotación.

Este plazo de protección, en general se establece de dos maneras, o bien un número de años desde que se creó o divulgó la obra o bien un número de años desde que falleció el autor de la misma.

El ejemplo de los programas de ordenador de nuestro artículo 98 muestra ambas posibilidades:
1. Cuando el autor sea una persona natural la duración de los derechos de explotación de un programa de ordenador será, según los distintos supuestos que pueden plantearse, la prevista en el capítulo I del Título III de este Libro.

2. Cuando el autor sea una persona jurídica la duración de los derechos a que se refiere el párrafo anterior será de setenta años, computados desde el día 1 de enero del año siguiente al de la divulgación lícita del programa o al de su creación si no se hubiera divulgado.
Si el programa lo crea una persona física serán las reglas generales, básicamente 70 años tras la muerte del autor, en el caso de la persona jurídica sí que se hace coincidir con el día uno de enero del año siguiente al de la divulgación.

La fórmula del 1 de enero tiene sentido porque se parte de la base de que es (era) mucho más complicado en su momento conocer cuando se creó o divulgó por primera vez algo que la muerte de una persona que, en principio, consta en un registro público.

Pues bien, la razón de que se señale el día 1 de enero como el día del Dominio Público viene por que en Estados Unidos, antes una reforma de la legislación de propiedad intelectual de 1976, que entró en vigor en 1978, el sistema de plazos se computaban por tiempo desde la divulgación (28 años más otros 28 años ampliables) por lo que se tomaba como referencia el 1 de enero del año siguiente para la entrada en Dominio Público.

Es, por lo tanto, una tradición derivada del derecho americano lo del 1 de enero como día del Dominio Público, puesto que en Europa la mayoría de las obras se computan desde la fecha de defunción.

En España, las reglas de la Ley de 1879, bajo la cual entran en Dominio Público la mayoría de las obras actualmente, se establece el plazo del artículo 6:
Art. 6º. La propiedad in­telectual corresponde á los autores durante su vida, y se transmite á sus herederos tes­tamentarios ó legatarios por el término de ochenta años. Tam­bién es transmisible por actos entre vivos, y corresponderá á los adquirentes durante la vida del autor y ochenta años después del fallecimiento de éste si no deja herederos forzosos. Más si los hubiere, el derecho de los adquirentes terminará veinticin­co años después de la muerte del autor, y pasará la propiedad á los referidos herederos forzosos por tiempo de cincuenta y cin­co años.
Es decir, que no se tiene en cuenta otro criterio que el de la muerte del autor, puesto que es ese momento el que define cuando se transmiten los derechos a los herederos y legatarios. Eso explica que, por ejemplo, Lorca lleve varios meses en Dominio Público, o Ramiro de Maeztu o tantos y tantos otros autores que por unas u otras causas fallecieron en 1936.

Es una época muy importante para el Dominio Público en España puesto que la Guerra Civil acabó con la vida de muchos de los referentes intelectuales del primer tercio del Siglo XX (sin duda una de las mejores épocas intelectualmente hablando), por lo que sus obras irán entrando en el Dominio Público en los próximos años.

El único de nuestros autores más renombrados cuyas obras entran en Dominio Público es Miguel de Unamuno, pero ello se debe única y exclusivamente a que falleció el 31 de diciembre de 1936.

Es bueno recordar y celebrar el Dominio Público, al igual que reivindicar lo excesivo de los plazos de protección, pero que ello no nos impida ver que las obras en Dominio Público se pueden usar desde el día siguiente a la muerte del autor, sin que haya que esperar al inicio del año siguiente.