Hace unos días se hizo público un fallo en el que se indicaba que el Tribunal Supremo validaba los rastreos policiales de los usuarios de las redes P2P sin orden judicial previa.
El caso versaba sobre varios cientos de imágenes y ficheros de video conteniendo pornografía infantil, que circulan en una red P2P.
Lo primero que me llama la atención, como reconoce la propia sentencia es que:
Así el Tribunal estima que:
a) los rastreos que realiza el equipo de delitos telemáticos de la Guardia Civil en Internet tienen por objeto desenmascarar la identidad críptica de los IPS (Internet protocols) que habían accedido a los "hash" que contenían pornografía infantil. El acceso a dicha información, calificada de ilegítima o irregular, puede efectuarla cualquier usuario. No se precisa de autorización judicial para conseguir lo que es público y el propio usuario de la red es quien lo ha introducido en la misma. La huella de la entrada -como puntualiza con razón el Mº Fiscal- queda registrada siempre y ello lo sabe el usuario.
En mi opinión yerra en este punto el Tribunal. La dirección IP no ha sido introducida en la red por el usuario, es algo necesario e impuesto para el tráfico de los paquetes por la red, para que cada paquete con información encuentre su destino, pero no es algo que los usuarios sepan o de lo que sean conscientes, o que quede a su elección. Es algo inevitable, por lo que desaparece esa nota de voluntariedad que el Tribuanl parece apreciar.
¿Cómo se ha verificado que el contenido de los "hash" era ilícito? ¿Con que garantías? Recordenmos que son ficheros elegidos por la policia y por ella rastreados sin ninguna intervención del juzgado u otra autoridad judicial.
b) entender que conforme a la legalidad antes citada (unas normas vigentes en el momento de los hechos y otras posteriores) se hacía preciso acudir a la autorización del juez instructor para desvelar la identidad de la terminal, teléfono o titular del contrato de un determinado IP, en salvaguarda del derecho a la intimidad personal (habeas data). La policía judicial a través de un oficio de 6 de noviembre de 2005, completado por un informe de 24 de octubre del mismo año del Grupo de delitos telemáticos de la Guardia Civil interesa la preceptiva autorización que obtuvo con el libramiento de mandamiento judicial dirigido a los operadores de Internet para identificar ciertas direcciones IP del ordenador al objeto de proseguir la investigación.
"Consecuentemente quien utiliza un programa P2P, en nuestro caso EMULE, asume que muchos de los datos se convierten en públicos para los usuarios de Internet, circunstancia que conocen o deben conocer los internautas, y tales datos conocidos por la policía, datos públicos en internet, no se hallaban protegidos por el art. 18-1º ni por el 18-3 C.E."
El usuario no asume que los datos, en particular la IP, se conviertan en públicos para el resto de usuarios de internet. En ocasiones el usuario desconoce lo suficiente de la tecnología como para llegar a este punto. No todos los usuarios saben como funcional el protocolo, es más mucha gente que conozco no sabe qué es eso de una IP y sin embargo utiliza internet sin ningún tipo de problemas.
En mi opinión quien erró aquí es la Guardia Civil, que si tiene conocimiento de 1000 archivos ilegales (estos sí) debería dirigirse al juzgado más cercano y señalarselos al juez competente para que sea este quien decrete la vigilancia y rastreo de los mismos.
Permitir la circulación de 1000 archivos durante varios días en una de estas redes, sin notificárselo al juzgado también merece ser estudiado, puesto que identificar uno sólo de estos archivos ya supone que alguien está cometiendo un hecho delictivo, por lo que debería procederse inmediatamente para que el juzgado, con el auxilio de las fuerzas y cuerpos de seguridad del estado, tome las disposiciones oportunas para identificar al responsable.
Una pregunta que no tengo yo tan clara de cómo puedo saber quien se descarga cual archivo.
Sin tener los archivos en mi equipo, ¿puedo saber quienes (desde qué IP) se están descargando o se han descargado ese archivo?
Esto es importante, porque si la información de quienes han descargado la obra se encuentra en el ordenador de quien aloja el archivo, una de dos o la Guardía Civil los tenía en sus servidores o ¿cómo han accedido al log del fichero con las direcciones IP de quienes se han descargado el mismo?
Queda por ver, además, si esta sentencia modifica los criterios de la Agencia Española de Protección de Datos respecto de la dirección IP, considerada como dato personal, en lo que se refiere a la obtención del consentimiento y al principio de información para su tratamiento, habida cuenta que según el TS el usuario consiente en hacer pública la misma, no sólo en el emule.
El caso versaba sobre varios cientos de imágenes y ficheros de video conteniendo pornografía infantil, que circulan en una red P2P.
Lo primero que me llama la atención, como reconoce la propia sentencia es que:
Con fecha 25 de octubre de 2005 tuvo entrada en el Juzgado de Instrucción número 7 de Sevilla comunicación escrita del Grupo de Delitos Telemáticos de la Policía Judicial de la Guardia Civil en la que se exponía que aprovechando la celebración en Sevilla del IV Foro Iberoamericano de Ciberpolicías, dicho grupo policial había iniciado el día 22 de octubre de 2005 y tenía previsto realizar hasta el dia 28 de ese mismo mes, búsquedas en Internet rastreando las redes de intercambio de archivos (Peer to Peer), para averiguar aquellos usuarios que descargasen o compartiesen entre dichas fechas archivos conteniendo fotografías o vídeos con contenido de pornografía infantil que previamente habían identificado e incluído en sus bases de datos.
Ese grupo policial había creado una base de datos formada por 1. 000 archivos de fotografías y vídeos con contenidos de pornografía infantil identificados de forma electrónica mediante su número "hash" con independencia del nombre que pueda asignarle en cada momento el usuario que es enteramente mudable."
Es decir que la propia policia recopiló ese material, los identificadores de los archivos en la red, aprovechando que se celebraba un congreso. Me imagino el diálogo.
-- Oye, que tenemos un congreso de Ciberpolicias.
-- Y, ¿que hacemos?
-- Pues estaría chulo rastrear unos ficheros con pronografía infantil en el emule, aprovechando el evento.
-- Pues venga, dale al aparato.
Esta nota de "humor" viene porque lo esperable es que la investigación de la policia se produzca de continuo, siempre que se cometa un delito y no porque quieran hacer "experimentos" de cara a un foro, congreso o reunión. Se supone que estos delitos, especificamente se buscaba a personas compartiendo imágenes y videos de menores en actitudes sexuales, tienen la entidad y producen suficiente rechazo social como para ser perseguidos de continuo.
Pero en fín, España es así.
Siguiendo con la sentencia, la Audiencia Provincial de Tarragona estableció que los rastreos de las Ip's que accedieron a los archivos identificados por su propio "hash" y que permitieron identificar a una persona que había accedido a los mismos, se habían realizado en vulneración del secreto de las comunicaciones y sin que existiese material de cargo adicional suficiente, siendo procedíente, por lo tanto, absolver a la acusada del delito de facilitación de la difusión de la pornografía infantil del artículo 186 CP.
La vulneración al secreto de las comunicaciones derivaba de que ningún juez autorizó el rastreo y obtención de las direcciones IP que accedieron a los ficheros.
Frente a la sentencia se alzó el Ministerio Fiscal y promovió el recurso que ahora resuelve el Tribunal Supremo.
Las razones esgrimidas por el Minsiterio Fiscal se sistematizan como sigue:
- No hay secreto sobre datos que el usuario aporta voluntariamente a la red de redes, por lo tanto no puede ser calificado de confidenciales, ni preservados del conocimiento público y general.
- La información obtenida por la Guardia Civil era únicamente que IP's accedían a determinados "hash", información a la que cualquiera en la red puede acceder. La IP queda registrada y el usuario lo sabe.
- No es lo mismo una llamada telefónica que una comunicación por internet, por lo que la doctrina sobre el secreto de las comunicaciones de las llamadas telefónicas debe revisarse para el caso de la transmisión de datos por internet.
- Las IP no concretan el usuario, sino sólo el ordenador asociado a una línea de acceso a internet, lo que hace necesaria la intervención judicial para conocer al titular del contrato.
- Así los rastreos sólo afectan a datos públicos de Internet no protegidos por el artículo 18.1 o el 18.3 de la Constitución.
El Tribunal Supremo, utilizando otras sentencias previas, propias y del Tribunal Europeo de Derechos Humanos, viene a decir que la policía puede conocer un número de teléfono del que luego tratará de identificar al titular para solicitar un "pinchazo" judicial, de varias maneras y que no por ello se vulnera el secreto de las comunicaciones.
Para el TS, los datos identificativos del titular de la comunicación se encuadran en el artículo 18.1 CE, dentro de la protección al derecho a la intimidad, con mención expresa a la LOPD, al RD 1720/2007 que la desarrolla, a la Ley de Conservación de Datos y a las precisiones sobre telecomunicaciones, y no relacionados con el derecho al secreto de las comunicaciones.
En las normas precitadas, según el TS, "parece desprenderse que sin el consentimiento del titular de unos datos reservados, contenidos en archivos informáticos, no pueden facilitarse a nadie, salvo los casos especiales que autorizan sus propias normas, entre las que se halla la autorización judicial, que lógicamente estaría justificada en un proceso de investigación penal."
Es decir que la propia policia recopiló ese material, los identificadores de los archivos en la red, aprovechando que se celebraba un congreso. Me imagino el diálogo.
-- Oye, que tenemos un congreso de Ciberpolicias.
-- Y, ¿que hacemos?
-- Pues estaría chulo rastrear unos ficheros con pronografía infantil en el emule, aprovechando el evento.
-- Pues venga, dale al aparato.
Esta nota de "humor" viene porque lo esperable es que la investigación de la policia se produzca de continuo, siempre que se cometa un delito y no porque quieran hacer "experimentos" de cara a un foro, congreso o reunión. Se supone que estos delitos, especificamente se buscaba a personas compartiendo imágenes y videos de menores en actitudes sexuales, tienen la entidad y producen suficiente rechazo social como para ser perseguidos de continuo.
Pero en fín, España es así.
Siguiendo con la sentencia, la Audiencia Provincial de Tarragona estableció que los rastreos de las Ip's que accedieron a los archivos identificados por su propio "hash" y que permitieron identificar a una persona que había accedido a los mismos, se habían realizado en vulneración del secreto de las comunicaciones y sin que existiese material de cargo adicional suficiente, siendo procedíente, por lo tanto, absolver a la acusada del delito de facilitación de la difusión de la pornografía infantil del artículo 186 CP.
La vulneración al secreto de las comunicaciones derivaba de que ningún juez autorizó el rastreo y obtención de las direcciones IP que accedieron a los ficheros.
Frente a la sentencia se alzó el Ministerio Fiscal y promovió el recurso que ahora resuelve el Tribunal Supremo.
Las razones esgrimidas por el Minsiterio Fiscal se sistematizan como sigue:
- No hay secreto sobre datos que el usuario aporta voluntariamente a la red de redes, por lo tanto no puede ser calificado de confidenciales, ni preservados del conocimiento público y general.
- La información obtenida por la Guardia Civil era únicamente que IP's accedían a determinados "hash", información a la que cualquiera en la red puede acceder. La IP queda registrada y el usuario lo sabe.
- No es lo mismo una llamada telefónica que una comunicación por internet, por lo que la doctrina sobre el secreto de las comunicaciones de las llamadas telefónicas debe revisarse para el caso de la transmisión de datos por internet.
- Las IP no concretan el usuario, sino sólo el ordenador asociado a una línea de acceso a internet, lo que hace necesaria la intervención judicial para conocer al titular del contrato.
- Así los rastreos sólo afectan a datos públicos de Internet no protegidos por el artículo 18.1 o el 18.3 de la Constitución.
El Tribunal Supremo, utilizando otras sentencias previas, propias y del Tribunal Europeo de Derechos Humanos, viene a decir que la policía puede conocer un número de teléfono del que luego tratará de identificar al titular para solicitar un "pinchazo" judicial, de varias maneras y que no por ello se vulnera el secreto de las comunicaciones.
Para el TS, los datos identificativos del titular de la comunicación se encuadran en el artículo 18.1 CE, dentro de la protección al derecho a la intimidad, con mención expresa a la LOPD, al RD 1720/2007 que la desarrolla, a la Ley de Conservación de Datos y a las precisiones sobre telecomunicaciones, y no relacionados con el derecho al secreto de las comunicaciones.
En las normas precitadas, según el TS, "parece desprenderse que sin el consentimiento del titular de unos datos reservados, contenidos en archivos informáticos, no pueden facilitarse a nadie, salvo los casos especiales que autorizan sus propias normas, entre las que se halla la autorización judicial, que lógicamente estaría justificada en un proceso de investigación penal."
Así el Tribunal estima que:
a) los rastreos que realiza el equipo de delitos telemáticos de la Guardia Civil en Internet tienen por objeto desenmascarar la identidad críptica de los IPS (Internet protocols) que habían accedido a los "hash" que contenían pornografía infantil. El acceso a dicha información, calificada de ilegítima o irregular, puede efectuarla cualquier usuario. No se precisa de autorización judicial para conseguir lo que es público y el propio usuario de la red es quien lo ha introducido en la misma. La huella de la entrada -como puntualiza con razón el Mº Fiscal- queda registrada siempre y ello lo sabe el usuario.
En mi opinión yerra en este punto el Tribunal. La dirección IP no ha sido introducida en la red por el usuario, es algo necesario e impuesto para el tráfico de los paquetes por la red, para que cada paquete con información encuentre su destino, pero no es algo que los usuarios sepan o de lo que sean conscientes, o que quede a su elección. Es algo inevitable, por lo que desaparece esa nota de voluntariedad que el Tribuanl parece apreciar.
¿Cómo se ha verificado que el contenido de los "hash" era ilícito? ¿Con que garantías? Recordenmos que son ficheros elegidos por la policia y por ella rastreados sin ninguna intervención del juzgado u otra autoridad judicial.
b) entender que conforme a la legalidad antes citada (unas normas vigentes en el momento de los hechos y otras posteriores) se hacía preciso acudir a la autorización del juez instructor para desvelar la identidad de la terminal, teléfono o titular del contrato de un determinado IP, en salvaguarda del derecho a la intimidad personal (habeas data). La policía judicial a través de un oficio de 6 de noviembre de 2005, completado por un informe de 24 de octubre del mismo año del Grupo de delitos telemáticos de la Guardia Civil interesa la preceptiva autorización que obtuvo con el libramiento de mandamiento judicial dirigido a los operadores de Internet para identificar ciertas direcciones IP del ordenador al objeto de proseguir la investigación.
"Consecuentemente quien utiliza un programa P2P, en nuestro caso EMULE, asume que muchos de los datos se convierten en públicos para los usuarios de Internet, circunstancia que conocen o deben conocer los internautas, y tales datos conocidos por la policía, datos públicos en internet, no se hallaban protegidos por el art. 18-1º ni por el 18-3 C.E."
El usuario no asume que los datos, en particular la IP, se conviertan en públicos para el resto de usuarios de internet. En ocasiones el usuario desconoce lo suficiente de la tecnología como para llegar a este punto. No todos los usuarios saben como funcional el protocolo, es más mucha gente que conozco no sabe qué es eso de una IP y sin embargo utiliza internet sin ningún tipo de problemas.
En mi opinión quien erró aquí es la Guardia Civil, que si tiene conocimiento de 1000 archivos ilegales (estos sí) debería dirigirse al juzgado más cercano y señalarselos al juez competente para que sea este quien decrete la vigilancia y rastreo de los mismos.
Permitir la circulación de 1000 archivos durante varios días en una de estas redes, sin notificárselo al juzgado también merece ser estudiado, puesto que identificar uno sólo de estos archivos ya supone que alguien está cometiendo un hecho delictivo, por lo que debería procederse inmediatamente para que el juzgado, con el auxilio de las fuerzas y cuerpos de seguridad del estado, tome las disposiciones oportunas para identificar al responsable.
Una pregunta que no tengo yo tan clara de cómo puedo saber quien se descarga cual archivo.
Sin tener los archivos en mi equipo, ¿puedo saber quienes (desde qué IP) se están descargando o se han descargado ese archivo?
Esto es importante, porque si la información de quienes han descargado la obra se encuentra en el ordenador de quien aloja el archivo, una de dos o la Guardía Civil los tenía en sus servidores o ¿cómo han accedido al log del fichero con las direcciones IP de quienes se han descargado el mismo?
Queda por ver, además, si esta sentencia modifica los criterios de la Agencia Española de Protección de Datos respecto de la dirección IP, considerada como dato personal, en lo que se refiere a la obtención del consentimiento y al principio de información para su tratamiento, habida cuenta que según el TS el usuario consiente en hacer pública la misma, no sólo en el emule.
Sin tener mucha idea de derecho, me llama la atención que esta interpretación difiere bastante de la hecha por Sergio Carrasco en su propio post sobre el tema. ¿Donde radica la diferencia de interpretacion?
ResponderEliminarEn esta ocasión, David, tengo que discrepar contigo en varios puntos:
ResponderEliminar1. La dirección IP sólo es un dato personal desde el momento en que se asocia a una persona determinada. La recolección de datos que hizo la Guardia Civil no apunta a nadie, son números en abstracto, mientras no se asocien a la titularidad de un contrato de conexión a Internet. Es el hecho de asociarlos a un abonado, a una persona física (o jurídica), lo que los transforma en dato personal. Y para hacer esa operación, sí que se pidió autorización judicial.
2. Es irrelevante la voluntariedad en aportar el dato IP o que sea el sistema el que lo ofrece. Si tu llamas por teléfono, tu número aparece reflejado en los aparatos que tengan identificador de llamada. Está claro que tu no lo autorizas, sino que es el protocolo de comunicaciones telefónicas el que lo impone. La analogía sigue siendo válida.
3. La Guardia Civil, a diferencia de la Policía Nacional, no comparte nada en eMule, porque no usa un cliente ordinario de esas redes, sino una herramienta específicamente diseñada para requerir al servidor los datos de conexión relativos a un hash, sin compartir ese material. Esa herramienta se llama Hispalis, nombre que adoptó porque se presentó oficialmente en ese congreso en Sevilla. No es que las cosas se hagan "asín", sino que fue su presentación en sociedad.
4. El Grupo de Delitos Telemáticos tiene poquísimos agentes, y desempeñan una labor ingente. Opera en toda España, pese a que de forma local se estén creando Equipos de Investigación Tecnológica (EDITE). Me encanta el mundo ideal que pintas, en el que la policía acude presta y rauda, con ulular de sirenas, a denunciar todo lo malo que ve en el mundo, pero con unos medios personales tan raquíticos como los que hay, se ven obligados a filtrar y escoger a qué dedican sus esfuerzos, porque no pueden llegar a todo.
En serio, vale que se saque punta a todo lo que afecte a las libertades individuales, pero sin limitaciones como las que plantea esta sentencia, sería im-po-si-ble perseguir ciertos delitos.
¿Cómo se verifica la ilictud de los ficheros? Porque un médico forente mira las imágenes y dictamina la edad de las personas. Aquí te puedes encontrar de todo, porque hay un margen de subjetividad imporante.
ResponderEliminarEl servidor al que te conectas por medio de eMule almacena las fuentes de cada fichero, al menos temporalmente, por lo que de ahí se puede saber quién comparte o compartía en un momento determinado. No hace falta mirar en el equipo del usuario.
Ya sé, ¿qué garantías tiene eso? Todas las que quieras darle a un fichero de logs sin cifrar ni firmar.
Hola David,
ResponderEliminarTal y como te han mencionado por arriba, se utilizó Hispalis para saber qué personas se habían descargado el archivo (sin participar en esa transmisión). La BBDD de archivos estaba formado por contenidos de los cuales ya estaban seguros de su contenido pedófilo (pensemos que habian sido recolectados durante sus funciones, no son archivos que hayan introducido ni al azar).
Otro tema sería hablar de los casos en que el hash confundiese con un caso de colisión no delictual, o como en la Sentencia de descargas por error, aunque la Sentencia únicamente habla de la no nulidad de la investigación, permitiendo que posteriormente en la nueva Sentencia se siga dictando que se absuelve a ésta.
Un saludo
Se me ha adelantado Sergio.
ResponderEliminarEn cuanto he leído lo de la ligereza de la policía he querido salir en su defensa como hizo Sergio.
Como ya había localizado algo de información que en su día leí y analicé aquí va:
http://www.elmundo.es/navegante/2005/10/27/esociedad/1130411336.html
La verdad, para poder opinar con fundamento creo que es preciso observar cosas tales como la LGTel y el Real Decreto 424/2005 en lo relativo a secreto de las comunicaciones y protección de datos personales junto con la Ley 25/2007 de conservación de datos de tráfico y localización, así como la excepción del artículo 2.2.c LOPD junto con el artículo 189 Código Penal, el artículo 22 LOPD y retomar la definición de datos de carácter personal (personas identificables) y de persona identificable del RLOPD.
Los datos de tráfico y localización siguen estando protegidos tanto por el secreto de las comunicaciones como por el derecho a la protección de datos, otra cosa es cómo operan las excepciones a las injerencias ilegítimas en estos derechos sea por mediar consentimiento o previsión legal.
Creo que en los post y comentarios que he leído de varios de vosotros se obvian algunas cuestiones fundamentales.
Pensad también no sólo en clave de consentimiento (tanto por secreto de las comunicaciones como de protección de datos), sino también de deber de información, pero teniendo en cuenta el hecho de que la LOPD no es aplicable a este fichero generado por la policía, pero sí a instituciones privadas, y no señalo a nadie ;-p, que pretendan hacer o hayan hecho ya algo similar en las redes P2P.
En este sentido, aunque aún no he leído aún la sentencia, me quedo con esto del extracto que hace Jaiver en su blog:
"Consecuentemente quien utiliza un programa P2P, en nuestro caso EMULE, asume que muchos de los datos se convierten en públicos para los usuarios de Internet, circunstancia que conocen o deben conocer los internautas, y tales datos conocidos por la policía, datos públicos en internet, no se hallaban protegidos por el art. 18-1º ni por el 18-3º C.E.", a lo que añado "pero sí por el art. 18.4 CE" para que se tenga en cuenta por quienes quieran generar bases de datos procedentes de redes P2P.
Habrá que tomar en consideración para la resolución de esta ecuación derivadas tales como la integridad de la asociación usuario-dirección IP-fichero de los servidores P2P ya apuntada, pero también la existencia de los "fakes" o ficheros con nombre que induzcan a error sobre su contenido, el posible compromiso del equipo informático del investigado, la disponibilidad de conexiones Wi-Fi aibiertas o protegidas con WEB (fácilmente crackeable), el compromiso del router de acceso a Internet (por ejemplo por mantener configuraciones, usuarios y contraseñas de administración por defecto),...
Vamos, que la policía lo tiene fácil para acceder a la información, pero no para cruzar hecho delictivo con persona responsable.
En fin... Como Joseba bien sabe es preciso mejorar y mucho la cultura en seguridad de la información, ya no sólo de la policía si no de todos nosotros para evitarnos problemas de que nos asocien con actos delictivos como para facilitar la labor a la policía en la medida de lo posible.
Un saludo
Hola Álvaro,
ResponderEliminarLa LOPD sigue siendo aplicable (otro tema es que haya una excepción en cuanto a la recogida de datos y cesión posterior a jueces y tribunales, y otras excepciones puntuales), con lo cual si hablamos de policía y de investigaciones no criminales tal vez la respuesta sea diferente (y entidades privadas nanay! solo faltaría que pudiesen ;) Incluso en USA hay problemas por el tema de investigadores no autorizados recogiendo datos).
La Sentencia que fue recurrida habla precisamente de un caso en que las descargas se hicieron "por error", realizando búsquedas que no incluían "sexo" entre los términos y que dieron esos resultados por el tema de cambio de nombres etc... Cada caso debe ser analizado en concreto, y en ese caso se declaró inocente (aunque al mismo tiempo declarando la nulidad de las pruebas, que es lo que trajo cola en el TS). Otro tema es que la nueva Sentencia continúe diciendo lo mismo en cuanto a la inocencia de la mujer.
Un saludo
Sergio,
ResponderEliminarInsisto en que la LOPD no aplica en este caso, por tratarse de un fichero establecido para la investigación del terrorismo y de formas graves de delincuencia organizada, sin perjuicio del hecho de que sí deba haber sido comunicada previamente a la AEPD la existencia del mismo, sus características generales y su finalidad (art. 2.2.c). Léelo en conjunto con el artículo 189.3.e Código Penal.
Tal excepción del art. 2.2.c LOPD tiene como base el principio de la trazabilidad del origen de las comunicaciones, en estrecha relación con la posibilidad del anonimato en la navegación por Internet, ya sea en aras a la protección de la libertad de expresión y la privacidad o como reflejo de estos derechos. Lo del anonimato está bien, pero no debe ser una carta blanca para la distribución de contenidos ilíticos y la comisión de delitos. En ello tienen especial relevancia los principios de idoneidad/adecuación, necesidad y proporcionalidad y la intermediación de fin legítimo como es el caso de la protección de la integridad moral de los menores para la conformidad de las injerencias en los derechos fundamentales y libertades públicas.
Piensa que en otro caso, excepcionados el deber de obtención de consentimiento para el tratamiento (vía art. 22 LOPD) y su cesión (como bien apuntas, vía art. 11.2.d LOPD, aunque aplicable en atención a otros sujetos casos como por ejemplo la cesión de los datos de la tal Ángela por su operador de acceso a Internet), todavía quedaría pendiente cumplir el deber de información :-o
Si no se cumple con el deber de información me temo que se habría vulnerado el derecho a la protección de datos envenenando de nulidad las pruebas obtenidas en las mencionadas condiciones (art. 11.1 LOPD). Pero, ¿tiene sentido que la policía informe que está escaneando el eMule con el Hispalis? Entrando en juego el art. 2.2.c LOPD se salva el escollo que en la investigación de otros delitos que no revistan tal carácter especial puede operar, de no adecuarse estrictamente la investigación al juicio de proporcionalidad.
Puede que errónea o conscientemente, por ello el TS no haga referencia al artículo 18.4 CE y sí al 18.1 CE en el extracto reproducido por Javier y copiado en mi anterior comentario. Me inclino a pensar que lo hace erróneamente, jugando de nuevo a la confusión entre derechos autónomos aunque íntimamente relacionados intimidad-privacidad (curioso este uso de íntimamente aquí ;-p), jugando de nuevo al despiste, después de lo que ya se dijera en las sentencias 290/2000 y 292/2000 del TC. Aparte de que no atina con la fecha de entrada en vigor del RLOPD, pienso que no mencionar ni el art. 2.2.c LOPD ni el principio de trazabilidad del origen de las comunicaciones deja abierto que dudemos de la calidad de la sentencia. Estoy de acuerdo en el fonDo, pero los fundamentos de derecho creo que podían haber sido mejor seleccionados y explicados. La verdad los he visto forzados, y no se recurre a dotrinas del TS en las que ya se han argumetado sobrada y correctamente estas cuestiones.
Un saludo
Álvaro,
ResponderEliminarLa aplicación del 2.2.c no resulta demasiado adecuada. Pensemos en que al final podríamos tener problemas en encontrar una "delincuencia organizada" en el simple compartir los archivos (no hay asociación real entre los miembros que hayan descargado para realizar los delitos, más allá de usar todos P2P, demasiado forzado para prosperar), con lo cual deberíamos analizar cada caso antes de poder estar seguros de que la ejecución por parte de los cuerpos de defensa y seguridad es la correcta (y ya no hablemos de terrorismo, claro). En este caso sí que seguramente habría problemas.
La razón de aplicar el Art. 22 es precisamente la excepción del derecho a la información en la recogida de datos (pensemos en lo absurdo que fuera de no ser así!) que viene desarrollado para estos supuestos en el Art. 24 LOPD en particular referencia al derecho de información.
En cuanto al tema de identificación inequívoca a partir de una IP que ha descargado un cierto contenido, aquí deberían entrar los peritajes de expertos. Cada caso es un mundo y, como ya dije, en la propia Sentencia se habla de ello en referencia a la mujer que se absolvió en la Sentencia recurrida. Descargas por error, wifis abiertas etc... se tendrán en cuenta, pero si en el disco duro aparecen 700 películas, ya me dirás ;)
ResponderEliminarSergio,
ResponderEliminarCierto es lo del art. 24 LOPD. Lo había olvidado por completo.
Sin embargo, creo que no es forzado pensar en la existencia de una organización por el simple hecho de usar el P2P con tal propósito, dado que desde la simple posesión ya se estaría dentro del tipo y participar en la difusión de este tipo de contenidos en el eMule, dadas las características de éste como red P2P, éstas pueden ser suficientes para entender que existe asociación mediata para delinquir dado que son conocidas por sus usuarios. Piensa en lo grave de la cuestión y en el efecto multiplicador del daño por la extensa difusión conseguida por uso del medio en particular.
Descargarse una foto o un vídeo, incluso aunque no sea por error podría no ser entendido como participar en la asociación (aunque sí delito por mera posesión), pero no así la descarga y difusión continua y prolongada de este tipo de contenidos (por ejemplo de 700 películas ;-p).
Evidentemente si se encuentra el contenido en el disco duro del ordenador del investigado no habrá demasiadas excusas, pero imagina que no se encuentra tal contenido pero se tienen los datos de tráfico apuntando al teléfono/domicilio de esa persona por el vecino que usa la wi-fi abierta o crackeada de la persona investigada.
Aparte de que en estos casos además los implicados suelen participar en foros en los que se ponen en contacto para comentar nuevos contenidos, dónde encontrarlos,... sea en el mismo eMule o fuera de él. Sin olvidar el uso que puedan hacer del mismo chat del eMule con idéntico propósito.
Piensa que la Guardia Civil al sondear las redes P2P, no siendo necesaria autorización judicial para ello, se hallaría en la tesitura de decidir si se encuentra ante la excepción art. 2.2.c LOPD o no.
En cualquier caso, tampoco hay demasiadas diferencias cuando entran en juego o bien el art. 2.2.c LOPD o el conjunto de los artículos 22 a 24 LOPD, pues en ambos casos quedan excepcionados los principios de información, consentimiento y cesión (Jueces y Tribunales) y el ejercicio de derechos, debiendo ser respetados en ambos casos la calidad de los datos y el deber de seguridad (sea por efecto de la LOPD o no, dada la imposibilidad de la policía de sobrepasar los límites del juicio de proporcionalidad y la necesidad de proteger la integridad de las pruebas procediendo mediante una adecuada custodia, mediando para ello seguramente apropiadas medidas de seguridad, seguramente yendo más allá del desarrollo reglamentario de la LOPD en materia de seguridad).
Sin embargo, la entrada en juego del art. 2.2.c facilita las cosas de cara a investigaciones internacionales que requieran transferencias internacionales de datos en las que quizás los tratados internacionales puedan no estar siendo la solución ideal para que entre en juego la excepción del art.34.a LOPD.
Un saludo
DISCLAIMER: Las opiniones vertidas en estos comentarios son opiniones personales, para nada son reflejo de opiniones de S21sec. Incluía el link al blog de S21sec como mera referencia.
Hola:
ResponderEliminarMuchas gracias por vuestras aportaciones, en especial por las discrepantes.
Lo que yo no alcanzo a entender es que siendo la mera puesta a disposición de ese material un delito, la GC no lo comunique al juzgado y este se encargue del "pinchazo" y de autorizar todo el rastreo de los ficheros, de esa forma se salva mucho mejor todo el problema de la intimidad o privacidad.
¿Porqué este procedimiento? Como digo, ¿no es mejor solicitar al juzgado el rastreo de los ficheros y con eso hacer lo que sea?
No entiendo porque sólo se debe ir al juzgado al final de la historia, cuando estuvieron tres días viendo quien pasaba por esos ficheros... ¿porqué tres días y no dos? Esas son las cuestiones que quería plantear.
Si lo miramos a fondo, la verdad es que pueden surgir problemas importantes, por no hablar, como decía sergio de problemas de colisiones de hash...
Un saludo y gracias.
Javier, también está el dato indiciario de que muchas de las fuentes se comparten con nombres de archivo que contienen indicadores para los pedófilos, como "12YO", o sea, doce años de edad, "PTHC", es decir "Pre-Teen Hard Core", etc. Vale, el margen de subjetividad subsiste, pero es que en la práctica de los tribunales penales, rara vez se dan las cosas claras como un cristal.
ResponderEliminarDavid, la defensa de la mayoría de imputados siempre es la misma: la descarga accidental. El tiempo que el fichero estuvo compartido es indicativo de la voluntariedad. Por otro lado, ¿a que juzgado se acude? La "Operación Santiago" se inició en Pontevedra, porque allí se produjo la primera denuncia, pero finalmente no hubo ni un sólo imputado de esa localidad. Sin embargo, la causa se fragmentó desde Guipúzcoa hasta Barcelona, pasando por Granada y Vigo. La competencia territorial idónea sería de la Audiencia Nacional, pero carece de competencia material, así que a fastidiarse...
David,
ResponderEliminarCoincido contigo en que realmente sería mejor acudir directamente al tribunal y juzgado en estos casos. Ahora bien, basta ver el gran número de casos que detectó Hispalis (que iban variando de forma rápida a lo largo del día) para ver que debería crearse algún sistema que permitiese una mayor sincronización con los órganos judiciales a los efectos de comunicar cada una de estas vulneraciones. Si no, estamos en las mismas. Qué sucede con el que comparte un día después? Tiramos sus datos o esperamos a acumular de nuevo para voler al juzgado?
Y como ya dije, el tema de hash, etc.. es tema de peritajes informáticos que, espero, serán realizados por expertos en el tema (no como en algún caso que personalmente conozco que se hizo "de aquella manera").
Un saludo
Hola!
ResponderEliminarCreo que existe un error de base en todos los procedimientos basados en la red P2P.
Tanto el Híspalis, como cualquier otro cliente P2P usado como rastreador por los agentes, lo que obtienen son simples metadatos (datos que apuntan hacia otros datos).
Muchos internautas son denunciados en base a estos metadatos (indicios), cuando la auténtica prueba sería que se iniciara la transferencia desde su IP hacia los investigadores (que al parecer nunca se comprueba)
En algunos casos, estas operaciones están basadas en supuesta tenencia de un único archivo en la red P2P.
En el caso del eMule, es una red P2P híbrida, es decir se utilizan servidores eMule, que hacen de páginas amarillas, no como una centralita, es decir, simplemente informa de dónde puede estar la fuente. La comunicación es punto a punto entre la fuente y el destino, sin que intervenga el servidor en el fluido de datos.
Las únicas pruebas que presentan los investigadores, son los metadatos que están en esos servidores. Estos metadatos pueden estar actualizados o no, pero además pueden estar alterados.
Como no soy experto en leyes, les presento una analogía.
Un agente pregunta a mi vecino si en mi casa se vende algún tipo de droga. Mi vecino, le responde al agente que si, que en mi casa se vende cocaína. El agente, de motu propio presenta una denuncia contra mi persona, argumentando al juez que mi vecino le dijo que en mi casa se vende cocaína. El juez acepta este único indicio, y ordena registro de mi domicilio. En el registro de mi casa, en lugar de coca, encuentran algo de color blanco parecido a la coca. Un policía y una forense a simple vista, sin un análisis profundo, afirman que es cocaína.
Finalmente resultó que esa sustancia blanca era azúcar!
La analogía con las operaciones P2P sería que mi vecino era un FALSO INFORMANTE. Era un SERVIDOR FAKE. Un servidor encargado de meter basura en la red P2P. Existe una lista oficial de FAKE SERVERS (buscar en google o en la web oficial de eMule)
Pero más allá de todo este asunto, me surgen muchas preguntas:
·¿quiénes son los propietarios de los fake servers?
· ¿quién introduce pornografía infantil en la red p2p? ¿los pederastas?
· ¿quiénes quieren acabar con la red P2P?
Para finalizar decir, que técnicamente nuestra IP en internet es un dato público al alcance de todos. El dato privado sería averiguar el titular de un IP.
Perdón por le anonimato.
Indignado
Perdón. No domino mucho la tecnología y quizás les interese mi caso: la Agencia Española de Protección de Datos cuando quiere saber quien es el titular de una I.P oficia a telefónica, amparándose, supuestamente, en el art.40 de la LOPD. Pero me pregunto si eso no contraviene la reciente ley de conservación de datos de tráfico, pues en la misma no se incluye a la AGPD entre los agentes autorizados para obtener los datos identificativos de la IP.
ResponderEliminarHola, en relación a la IP.
ResponderEliminarPor ejemplo, si uno se conecta a una página de tipo enviar amigo o la misma de enviar comentario o de recordar contraseña, sin que haya Captcha, y con un programa accede indefinidamente a esa página, la IPquedaría guardada y se podría identificar a esa persona que se conecta.
Pero la cuestión es si esa situación es legal o no? Es decir, conectarse a una página indefinidamente, mediante programa automático, y enviar a un amigo o escribir comentarios. No hay ánimo de lucro, pero se considera spam ? de quién ??
se considera ataque al servidor web eso si la página es pública, está en internet accesible a todos ? si de forma manual estoy 24 horas dando F5 sobre la misma página se consideraría ataque ??
Muchas gracias y saludos.
Carlos.
Buf.. cuánto sabéis tod@s para una sencilla e incomoda situación:
ResponderEliminarAyer me bajé un video de nuestra actriz Isabel Pintor.Bien.. no era ella, era un video pedófilo. Nada más verlo, lo borré... La pregunta es: La policia puede averiguar si me he bajado ese video, si ya no lo tengo en el pc y habiendo borrado todos los compartidos del emule. etc..?.
Gracias a todos. Estoy muy preocupado, ya que mandé un mail a Delitos Telemáticos y me contestaron que les diera el Elink... al haberlo borrado solo les envié el nombre del video... ¿Saldría yo también en la lista de compartidos?... Soy muy novato en ésto.. ahora si... no uso más el emule... que le den....
Hola, no soy un experto en estos temas tan profundos de informatica, pero hay uno en concreto que me da vueltas y me preocupa.
ResponderEliminarHace unos dias entré en un foro ciudad y expuse unos comentarios personales sobre unos temas en concreto, pero no accedi como usuario registrado , sino como invitado. Mi sorpresa fue que , alguien respondió a mi opinión vertiendo un hecho mio personal y muy concreto , dificil de saber , a no ser que, previamente me hayan rastreado la IP . y luego a través de eso , hayan dado con los datos del contratante de la Linea de telefono y empresa contratada.
Se que esto , si se ha hace es un delito, y que , solo a través de orden Judicial puede realizarse ; ahora bien lo que me preocupa y ahi va mi pregunta ¿ puede otro usuario rastrear mi IP hasta el punto de saber quien soy realmente?... ¿ deja rastro en mi ordenador ese hecho? y la tercera ¿ Como puedo confirmarlo para denunciarlo ante el Juzgado pertinente ? porque si puedo confirmar mi sospecha, se hubuera estado produciendo un delito de revelación de secreto informatico.
Gracias
Anómimo, el caso que cuentas es muy interesante y digno de ser denunciado ante la Agencia Española de Protección de Datos. Que los inspectores lo investiguen a ver que encuentran.
ResponderEliminarPit.-
Esta sentencia es francamente preocupante. Decir que no se aplica a internet el secreto de las comunicaciones es una auténtica barbaridad. Lo único que cambia es el medio a través del cual se realiza la comunicación (carta o teléfono por internet) pero en esencia es exactamente lo mismo. Abrir esta vía conduce a la más absoluta indefensión y a que desaparezca este derecho fundamental. No se trata de que no se puedan perseguir delitos en la red, sino que se haga conforme a Derecho, es decir, pidiendo las correspondientes autorizaciones judiciales que, si las cosas se justifican y apoyan debidamente, se la van a dar, sin duda. Lo otro es abrir la puerta a un sin fin de abusos por parte de la FCSE. Nuevamente asistimos a una sentencia sonrrojante fruto de la más absoluta ignorancia por parte de los Tribunales en materia de nuevas tecnologías. Y lo del fiscal, ya para qué hablar. ¿O sea que la IP es un dato que aporta voluntariamente el usuario? ¿El número de teléfono asociado a esa IP también? A la fiscalía le ocurre exactamente igual que a los tribunales, que de nuevas tecnologías, nada de nada. Vamos es que ni les suena el tema. Se creen que las TIC funcionan como la lavadora, más o menos. En fin, penoso. Esperemos que no vuelva a haber una sentencia como esta porque sería para echarse a llorar. En cuanto a la no aplicabilidad de la LOPD en base al art. 2.2 LOPD ni en broma. Eso se refiere específicamente a la creación y tenencia de ficheros de esa naturaleza, el fichero mismo, no respecto a lo que se pueda hacer con él. Véase art. 22 LOPD.De lo que si estan exentos es de informar conforme al art.5 LOPD cuando se trata de la persecución de infracciones penales como es el caso. Y en cuaanto a delincuencia "organizada", sin comentarios. En un P2P no hay organización alguna delictiva, ninguna. Se trata de simples usuarios aislados que eventualmente comparten ficheros, estando totalmente ausente de la nota de "organización" delincuencial que exige unos determinados requisitos perfectamente definidos por la jurisprudencia y que en estos casos no concurren ni en broma. En fin, malos tiempos para los derechos fundamentales, entre otros, la intimidad, la inviolabilidad de las comunicaciones, la LOPD y un largo etc. Malos tiempos. Saludos
ResponderEliminarÁlvaro la excepción del deber de información en el caso de persecución de infracciones penales no esta en el art. 2.2 LOPD, que insisto, se refiere exclusivamente, a los ficheros de esta naturaleza, es decir, a Hispalis, en este caso, y a nada más. La excepción al deber de información esta en el art. 24.1 LOPD (por cierto que parte de este art. y todo el inciso 2 fué declarado insconstucional y anulado por la STC 292/2000). El hecho de que a Hispalis no le sea aplicable la LOPD no tiene nada que ver con que a la hora de recabar una cierta información que afecta a la intimidad y al secreto de las comunicaciones se tenga que pedir un auto judicial que autorice esas intromisiones en los citados derechos. Porque por ese mismo sistema, por el hecho de que estes en una base de datos policial (Rita, etc.) ya se podría entrar en tu domicilio libremente, sin autorización judicial o tu consentimiento, no? Pues eso, que no hay que mezclar las cosas que nada tienen que ver, nada. Saludos
ResponderEliminarhOLA
ResponderEliminar