Contacto

Para consultas jurídicas "david @ 451.legal"

miércoles, 3 de octubre de 2018

El Tribunal de Justicia y la conservación de datos, sentencia "Ministerio Fiscal".

Por fin tenemos respuesta a la cuestión prejudicial planteada por la Audiencia Provincial de Tarragona en relación a la  modificación de la Ley de Enjuiciamiento Criminal y la situación del acceso a los datos de tráfico de comunicaciones electrónicas para la investigación de delitosde todo tipo.


El caso que se analizaba era muy similar al que comenté en este post sobre el acceso a los datos de un IMEI en relación a una SIM tras un robo de un teléfono móvil. Como ya vimos, lo que planteaba la Audiencia Provincial era:
«1)      ¿La suficiente gravedad de los delitos como criterio que justifica la injerencia en los derechos fundamentales reconocidos en los artículos 7 y 8 de la Carta puede identificarse únicamente en atención a la pena que pueda imponerse al delito que se investiga o es necesario, además, identificar en la conducta delictiva particulares niveles de lesividad para bienes jurídicos individuales y/o colectivos?
2)      En su caso, si se ajustara a los principios constitucionales de la Unión, utilizados por el [Tribunal de Justicia] en su sentencia de 8 de abril de 2014 [Digital Rights Ireland y otros, C‑293/12 y C‑594/12, EU:C:2014:238] como estándares de control estricto de la Directiva, la determinación de la gravedad del delito atendiendo solo a la pena imponible ¿cuál debería ser ese umbral mínimo? ¿Sería compatible con una previsión general de límite en tres años de prisión?»
Y como ya se expuso, debemos tener en consideración dos resoluciones anteriores que nos dan el contexto para entender las cuestiones ahora planteadas. Por un lado la sentencia que anuló la Directiva que específicamente regulaba el acceso a esos datos concretos y por otro la sentencia del Caso Tele2 Sverige. 

Ambas iban en una línea marcada por la consideración de que la propia conservación de datos representaba una injerencia grave en los derechos reconocidos en la Carta y que, por lo tanto, su regulación debía hacerse teniendo eso en consideración y los límites adecuados para ello.

martes, 18 de septiembre de 2018

Impugnación y valor probatorio del Whatsapp en el proceso penal

Es conocida la sentencia del Tribunal Supremo, de 19 de mayo de 2015 (pdf) (STS 300/2015) en relación la valor probatorio de los mensajes electrónicos aportados en un proceso penal, ya que vino a explicitar la necesidad de contar con un dictamen pericial que, de alguna forma, avalase la realidad de las conversaciones que pretendían hacerse valer, que estas no habían sido manipuladas.

"El Supremo fija los criterios para aceptar los mensajes de las redes sociales como prueba en los juicios"
Lo que dice la propia sentencia es que:
Respecto a la queja sobre la falta de autenticidad del diálogo mantenido por Ana María con Constancio a través del Tuenti, la Sala quiere puntualizar una idea básica. Y es que la prueba de una comunicación bidireccional mediante cualquiera de los múltiples sistemas de mensajería instantánea debe ser abordada con todas las cautelas. La posibilidad de una manipulación de los archivos digitales mediante los que se materializa ese intercambio de ideas, forma parte de la realidad de las cosas. El anonimato que autorizan tales sistemas y la libre creación de cuentas con una identidad fingida, hacen perfectamente posible aparentar una comunicación en la que un único usuario se relaciona consigo mismo. De ahí que la impugnación de la autenticidad de cualquiera de esas conversaciones, cuando son aportadas a la causa mediante archivos de impresión, desplaza la carga de la prueba hacia quien pretende aprovechar su idoneidad probatoria. Será indispensable en tal caso la práctica de una prueba pericial que identifique el verdadero origen de esa comunicación, la identidad de los interlocutores y, en fin, la integridad de su contenido.
La cuestión es el alcance que a este párrafo se ha venido dando en los juzgados, dado que se ha venido entendiendo en ocasiones como una necesidad de que toda prueba aportada de esta manera (documento electrónico impreso en papel) sea acompañado de un dictamen pericial sobre su autenticidad.

Ahora, el Tribunal Supremo, en una sentencia de 19 de julio de 2018 (pdf), no es que introduzca una enmienda, es que precisa que eso será así ante la existencia de algún elemento adicional que permita dudar de la autenticidad de lo aportado, en el caso de duda, pero no siempre:
"[...] sino que, en el caso de una impugnación (no meramente retórica y en términos generales) de su autenticidad -por la existencia de sospechas o indicios de manipulación- se debe realizar tal pericia acerca del verdadero emisor de los mensajes y su contenido. Ahora bien, tal pericia no será precisa cuando no exista duda al respecto mediante la valoración de otros elementos de la causa o la práctica de otros medios de prueba."
Hay que destacar el hecho de que, en el caso de querer impugnar una prueba así aportada, debemos determinar alguna razón concreta para dudar de la admisibilidad de la prueba.

El Tribunal Supremo dice que no es necesario cuando mediante la existencia de otros elementos permita despejar la duda sobre la prueba. En el caso que se resuelve, el Tribunal Supremo dice que no había dudas pues la víctima entregó el móvil para que el Letrado de la Administración de Justicia copiara la mensajes, el número del que proceden, etc. Concluyendo que:
"Con todo ello, se garantiza, en primer lugar, que si las conversaciones hubieran llegado a ser cuestionadas en cuanto a su origen y/o contenido se hubiera podido asegurar su autenticidad mediante el correspondiente informe pericial; y, en segundo lugar, la forma y modo en que los mensajes se obtuvieron despeja cualquier duda sobre tales extremos, que no surgen por el mero hecho de que el recurrente indique que pudieron haber sido objeto de manipulación o que existen serias dudas sobre la cadena de custodia de los mensajes, ya que se trata de argumentos puramente retóricos y no sustentados en un indicio mínimamente objetivo sobre que ello hubiera sucedido así."
Y aquí es donde no se puede estar de acuerdo en que el hecho de poner a disposición del Juzgado para que copie los mensajes o revise el teléfono de la víctima elimina las dudas posibles que puedan darse, ya que, como es conocido, se pueden manipular mensajes de whatsapp y hacer que parezcan remitidos por quien se quiere.

Es evidente que el Tribunal Supremo desconoce estas posibilidades, pues de lo contrario no debería de afirmar que la disponibilidad del teléfono de la víctima elimina las dudas sobre la realidad de las conversaciones.

El Letrado de la Administración de Justicia, en la práctica habitual es cierto, se limita a observar los mensajes del teléfono que una de las partes le muestra y los pasa a papel. Pero no debemos olvidar que la naturaleza electrónica del documento obligaría a la incorporación de este en ese formato.

Afirmar que como los mensajes los miró del teléfono el Letrada de la Administración de Justicia ya eso despeja las dudas, es, como digo, un error del funcionamiento técnico y de las posibilidades de la tecnología.

En cualquier caso, otra sentencia mas para mejorar la forma en que aportamos los documentos a los procesos judiciales.

miércoles, 8 de agosto de 2018

A vueltas con la comunicación pública y el público nuevo por parte del TJUE (caso Córdoba)


Para la intervención se me propuso hablar de la evolución del concepto de comunicación pública según la jurisprudencia del Tribunal de Justicia de la Unión Europea desde la sentencia Svensson, allá por febrero de 2014. En el blog me he ido ocupando de algunas de las que le siguieron (Bestwater, GS Media) y que han ido perfilando un galimatías ciertamente complejo de entender a cada paso más que se daba. Así que mas o menos tenía reciente la evolución del concepto.

Además, justo en abril el día de la intervención se publicaron las conclusiones del abogado general para otro asunto que implicaba la comunicación pública, en este caso de una fotografía de la ciudad de Córdoba, en España.

Pues bien,  finalmente ayer se dictó la sentencia correspondiente al asunto C-161/17, que además contradice las conclusiones del Abogado General (esto sirve para cuando decimos que las conclusiones concuerdan con el TJUE un % determinado de veces y no siempre).

El caso era el de un fotógrafo alemán hizo una fotografía de la ciudad de Córdoba que luego licenció a una agencia de viajes para su página web. Posteriormente, una alumna de español de un instituto de de Waltrop utilizó esa imagen que encontró en internet para un trabajo escolar.

Es decir, la agencia de viajes subió a sus servidores de internet la imagen con autorización del fotógrafo, y luego la alumna la usó en un trabajo para clase que el centro escolar puso en internet.

domingo, 10 de diciembre de 2017

Bitcoin: valor y precio; ¿Es el bitcoin una burbuja?

Por el trabajo en el despacho, llevamos todo este 2017 en particular asesorando sobre las obligaciones fiscales a personas que han comprado bitcoins y otras criptomonedas de manera continuada, lo que me ha permitido escuchar mucha información sobre qué motivaciones tienen quienes compran este tipo de activos y sus opiniones sobre este nuevo sector y su impacto económico.

Para hacernos una idea, el precio del bitcoin ha pasado de empezar sobre los 1000 dólares a estar, como se ve en la imagen, por encima de los 17500 dólares en los últimos días.
Una apreciación en 11 meses de un 1750%, sobre todo con subidas en pocos días de un 50% hace que mucha gente se plantee si estamos ante una burbuja o cuales son las razones de ese precio con esas subidas y bajadas tan disparatadas.

jueves, 5 de octubre de 2017

Función hash, datos de carácter personal y delitos

Esta mañana, el informático Sergio López analizaba y explicaba una serie de aspectos del censo universal que había sido empleado para la votación del pseudo-referendum de Cataluña del pasado día 1 de octubre.
En la descripción del interesante hilo explica como si bien los responsables del censo habían intentado que el mismo no se considerase cedido a terceros empleando las huellas o funciones hash de los datos de los votantes, era posible realizar el camino inverso y obtener los datos personales correspondientes a esos hash.

De hecho el autor del hilo ha publicado su propia prueba de concepto en un repositorio de github para que cualquiera pueda verificar la existencia del fallo (de concepto? mejor que de seguridad?)

El resumen es que dado que para evitar que con una única acción judicial se bloquease todo el proceso de votación, se clonaron las webs que daban el soporte a las mesas, lo que ha permitido la existencia de muchas copias de esas webs, incluyendo las bases de datos de los votantes.

Realmente la base de datos  lo que alberga es la huella (o hash) que esos datos arrojan al aplicarse 1714 iteraciones de SHA256 sobre los los 5 últimos dígitos del DNI, la letra correspondiente, la fecha de nacimiento y el código postal, para cada ciudadano incluido en el censo de cada ciudadano.

Es decir, si lo leemos como humanos, la función sería algo del tipo: a3c7c26545bcce509730d8a5d230a83e11614b94aa96966484ea5ab742a2f3b7 (esa es la huella sha256 de mi nombre y apellido) por lo que sin más elementos no podríamos saber a quien pertenece.

Y aquí viene la cuestión, para mi, interesante, ¿es una huella hash un dato de carácter personal?

La Ley 15/1999 de Protección de Datos define como dato de carácter personal
  • a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.
 El Real Decreto 1720/2007 de desarrollo concretó un poco más:
f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
Y ya, el nuevo Reglamento General de Protección de Datos concreta aún más:
«datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
El problema siempre ha sido cuando estamos ante datos que hacen identificables a las personas físicas a las que hacen referencia.

Pero además, el DNI, por sí mismo, tiene la consideración de dato de carácter personal, así en un  informe (0476/2008) de la propia Agencia (pdf) se concluye, con base en el artículo 1 del Real Decreto 1553/2005 que:
"2. Documento tiene suficiente valor, por sí solo, para acreditar la identidad y los datos personales de su titular que en él se consignen, así como la nacionalidad española del mismo.
3. A cada Documento Nacional de Identidad, se le asignará un número personal que tendrá la consideración de identificador numérico personal de carácter general.
La naturaleza de dato personal del DNI resulta clara atendiendo a lo anteriormente expuesto."
Si el DNI por si mismo, es un dato de carácter personal y de la función hash podemos extraer los 5 últimos números mas la letra, eso permite combinaciones para obtener el DNI completo, por lo que, de esa manera, ya tendremos ese dato personal.

En general, el criterio de la Agencia Española ha sido el de vincularlo con el esfuerzo necesario para, a partir de un identificador concreto, poder averiguar a quien pertenece.

Es decir, si no hay que hacer un esfuerzo desproporcionado será un dato de carácter personal, como recuerda la Agencia (informes 0427/2010 pdf o 0182/2008 pdf)
"Este criterio ha sido ratificado por la Audiencia Nacional en sentencia de 8 de marzo de 2002. Según se cita en la misma, “para que exista un dato de carácter personal (en contraposición con dato disociado) no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados” y “para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona”.
Por lo tanto, a la luz de lo expuesto en el contenido del censo y la forma en que se ha pretendido "ofuscar" lo cierto es que se ha producido una comunicación de datos de carácter personal a terceros por parte del responsable.

¿Y todo esto que implica?

Pues que al margen de las infracciones que por el incumplimiento de la LOPD pudieran establecerse, sería posible abrir la vía penal contra los responsables de la generación de este censo y su divulgación, en la medida en que el artículo 198 del Código Penal establece que:
"La autoridad o funcionario público que, fuera de los casos permitidos por la Ley, sin mediar causa legal por delito, y prevaliéndose de su cargo, realizare cualquiera de las conductas descritas en el artículo anterior, será castigado con las penas respectivamente previstas en el mismo, en su mitad superior y, además, con la de inhabilitación absoluta por tiempo de seis a doce años."
Las conductas en las que encajaría serían las del artículo 197:
"2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.

Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.

4. Los hechos descritos en los apartados 1 y 2 de este artículo serán castigados con una pena de prisión de tres a cinco años cuando:

a) Se cometan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros; o

b) se lleven a cabo mediante la utilización no autorizada de datos personales de la víctima.

Si los datos reservados se hubieran difundido, cedido o revelado a terceros, se impondrán las penas en su mitad superior."
Y ojo, porque el 197 CP permitiría ir incluso contra quienes clonaron la base de datos para mantener que la misma siguiese activa.

Responsabilidades penales como estas al margen (que seguro que a los responsables llegados a este punto son las que menos les preocupan) lo cierto es que es un ejemplo perfecto para visibilizar que un hash puede llegar a considerarse un dato de carácter personal, en función de la información a la que haga referencia.

Esto que puede parecer irrelevante, es interesante ya que, en ocasiones, se ha planteado remitir sólo el hash como forma de evitar transferencias internacionales de datos, por ejemplo, u otros muchos supuestos de tratamiento al margen de la norma aprovechando el que sólo se remita a terceros el hash.