Contacto

Para consultas jurídicas "david @ abanlex.com"

jueves, 5 de octubre de 2017

Función hash, datos de carácter personal y delitos

Esta mañana, el informático Sergio López analizaba y explicaba una serie de aspectos del censo universal que había sido empleado para la votación del pseudo-referendum de Cataluña del pasado día 1 de octubre.
En la descripción del interesante hilo explica como si bien los responsables del censo habían intentado que el mismo no se considerase cedido a terceros empleando las huellas o funciones hash de los datos de los votantes, era posible realizar el camino inverso y obtener los datos personales correspondientes a esos hash.

De hecho el autor del hilo ha publicado su propia prueba de concepto en un repositorio de github para que cualquiera pueda verificar la existencia del fallo (de concepto? mejor que de seguridad?)

El resumen es que dado que para evitar que con una única acción judicial se bloquease todo el proceso de votación, se clonaron las webs que daban el soporte a las mesas, lo que ha permitido la existencia de muchas copias de esas webs, incluyendo las bases de datos de los votantes.

Realmente la base de datos  lo que alberga es la huella (o hash) que esos datos arrojan al aplicarse 1714 iteraciones de SHA256 sobre los los 5 últimos dígitos del DNI, la letra correspondiente, la fecha de nacimiento y el código postal, para cada ciudadano incluido en el censo de cada ciudadano.

Es decir, si lo leemos como humanos, la función sería algo del tipo: a3c7c26545bcce509730d8a5d230a83e11614b94aa96966484ea5ab742a2f3b7 (esa es la huella sha256 de mi nombre y apellido) por lo que sin más elementos no podríamos saber a quien pertenece.

Y aquí viene la cuestión, para mi, interesante, ¿es una huella hash un dato de carácter personal?

La Ley 15/1999 de Protección de Datos define como dato de carácter personal
  • a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.
 El Real Decreto 1720/2007 de desarrollo concretó un poco más:
f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
Y ya, el nuevo Reglamento General de Protección de Datos concreta aún más:
«datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
El problema siempre ha sido cuando estamos ante datos que hacen identificables a las personas físicas a las que hacen referencia.

Pero además, el DNI, por sí mismo, tiene la consideración de dato de carácter personal, así en un  informe (0476/2008) de la propia Agencia (pdf) se concluye, con base en el artículo 1 del Real Decreto 1553/2005 que:
"2. Documento tiene suficiente valor, por sí solo, para acreditar la identidad y los datos personales de su titular que en él se consignen, así como la nacionalidad española del mismo.
3. A cada Documento Nacional de Identidad, se le asignará un número personal que tendrá la consideración de identificador numérico personal de carácter general.
La naturaleza de dato personal del DNI resulta clara atendiendo a lo anteriormente expuesto."
Si el DNI por si mismo, es un dato de carácter personal y de la función hash podemos extraer los 5 últimos números mas la letra, eso permite combinaciones para obtener el DNI completo, por lo que, de esa manera, ya tendremos ese dato personal.

En general, el criterio de la Agencia Española ha sido el de vincularlo con el esfuerzo necesario para, a partir de un identificador concreto, poder averiguar a quien pertenece.

Es decir, si no hay que hacer un esfuerzo desproporcionado será un dato de carácter personal, como recuerda la Agencia (informes 0427/2010 pdf o 0182/2008 pdf)
"Este criterio ha sido ratificado por la Audiencia Nacional en sentencia de 8 de marzo de 2002. Según se cita en la misma, “para que exista un dato de carácter personal (en contraposición con dato disociado) no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados” y “para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona”.
Por lo tanto, a la luz de lo expuesto en el contenido del censo y la forma en que se ha pretendido "ofuscar" lo cierto es que se ha producido una comunicación de datos de carácter personal a terceros por parte del responsable.

¿Y todo esto que implica?

Pues que al margen de las infracciones que por el incumplimiento de la LOPD pudieran establecerse, sería posible abrir la vía penal contra los responsables de la generación de este censo y su divulgación, en la medida en que el artículo 198 del Código Penal establece que:
"La autoridad o funcionario público que, fuera de los casos permitidos por la Ley, sin mediar causa legal por delito, y prevaliéndose de su cargo, realizare cualquiera de las conductas descritas en el artículo anterior, será castigado con las penas respectivamente previstas en el mismo, en su mitad superior y, además, con la de inhabilitación absoluta por tiempo de seis a doce años."
Las conductas en las que encajaría serían las del artículo 197:
"2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.

Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.

4. Los hechos descritos en los apartados 1 y 2 de este artículo serán castigados con una pena de prisión de tres a cinco años cuando:

a) Se cometan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros; o

b) se lleven a cabo mediante la utilización no autorizada de datos personales de la víctima.

Si los datos reservados se hubieran difundido, cedido o revelado a terceros, se impondrán las penas en su mitad superior."
Y ojo, porque el 197 CP permitiría ir incluso contra quienes clonaron la base de datos para mantener que la misma siguiese activa.

Responsabilidades penales como estas al margen (que seguro que a los responsables llegados a este punto son las que menos les preocupan) lo cierto es que es un ejemplo perfecto para visibilizar que un hash puede llegar a considerarse un dato de carácter personal, en función de la información a la que haga referencia.

Esto que puede parecer irrelevante, es interesante ya que, en ocasiones, se ha planteado remitir sólo el hash como forma de evitar transferencias internacionales de datos, por ejemplo, u otros muchos supuestos de tratamiento al margen de la norma aprovechando el que sólo se remita a terceros el hash.