Como expuse en el anterior artículo de esta serie sobre Tor, la actividad desarrollada por el usuario no comporta obligaciones jurídicas (es más, sería un derecho) y la actividad del nodo puede enmarcarse en lo que define la Ley General de Comunicaciones, por lo que le son aplicables las obligaciones allí recogidas.
¿Y cuáles son estas obligaciones?
1-:
Interceptación de comunicaciones:
Entre las obligaciones a las que como
operadores les somete la LGT más relevantes a los efectos de la
privacidad de los usuarios y de la investigación de los delitos e
ilícitos, deben considerarse las del artículo 33.
No sólo tienen el
deber de garantizar el secreto de las comunicaciones que enrutan
(artículo 33.1 LGT), una cuestión coherente con el servicio prestado, si
no que más problemas se plantean con la obligación de interceptar las
comunicaciones que se autoricen según el artículo 33.2 LGT, como por
ejemplo las previstas en el artículo 579 LECrim:
"3. De igual forma, el Juez podrá acordar, en resolución motivada, por un plazo de hasta tres meses, prorrogable por iguales períodos, la observación de las comunicaciones postales, telegráficas o telefónicas de las personas sobre las que existan indicios de responsabilidad criminal, así como de las comunicaciones de las que se sirvan para la realización de sus fines delictivos."
Esta obligación de interceptación alcanza al OR ya que el
paŕrafo 3º del artículo 33 incluye
“el terminal específico que se determine a partir de la orden de interceptación legal, incluso aunque esté destinada a dispositivo de almacenamiento o procesamiento de la información”.
Aunque en la práctica resultaría poco operativo la
interceptación de comunicaciones en el nodo, puesto que siempre será
mínima la información que puede proporcionar e incluso la ley
prevé en sus artículos que se deberá entregar “salvo que por las
características del servicio no esté a su disposición”.
Por lo tanto
poca o ninguna información tendrá disponible el nodo, en el caso de
estar en un punto intermedio.
Distinta es la posición del “exit node” ya
que debe tenerse en cuenta que sí puede interceptar la comunicación,
puesto que, de no ir cifrada la información, sí tendría acceso al
contenido.
En el caso de una investigación sería el primer elemento que
podría ofrecer información sobre los hechos investigados, puesto que el rastreo de la comunicación en destino llevaría a este punto.
2. Protección de Datos:
Desde el punto de vista de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) no puede considerarse al nodo como un responsable del
tratamiento, en el sentido de que no decide sobre la finalidad,
contenido y uso de los datos tratados ya que se limita al reenvío de
los paquetes, por lo que es difícil predicar su sujeción a la norma más
allá de las obligaciones de seguridad expuestas.
Si se admite la
interpretación extensiva de considerar la dirección IP como un dato de
carácter personal, aun y cuando la misma no permita identificar a una
persona de manera directa o sencilla (el OR no sabe quien le envía la
información sólo desde qué IP se dirige) y se encuentre aislado de
cualquier otra información personal, el enfoque debería ser el
contrario, motivando el pleno sometimiento a las obligaciones de la LOPD
y de su normativa de desarrollo.
Al margen del posible sometimiento a
la LOPD, la LGT, artículo 34.2, obliga, como mínimo, a los operadores
que presten servicios de comunicaciones electrónicas disponibles al
público a:
a) La garantía de que sólo el personal autorizado tenga acceso a los datos personales para fines autorizados por la ley.b) La protección de los datos personales almacenados o transmitidos de la destrucción accidental o ilícita, la pérdida o alteración accidentales o el almacenamiento, tratamiento, acceso o revelación no autorizados o ilícitos.c) La garantía de la aplicación efectiva de una política de seguridad con respecto al tratamiento de datos personales.
Además, el artículo 36
bis LGT, dispone la obligación de gestionar los riesgos de seguridad que
puedan afectar a sus redes.
Esto, a mi juicio, supone un mínimo
compromiso a mantener el servicio en condiciones de seguridad mínimas,
básicamente la aplicación de actualizaciones y parches de seguridad.Pero
estas obligaciones, serán especialmente relevantes para un “exit node”
puesto que él si podrá tratar los datos que circulen o al menos sus
deberes de diligencia y seguridad se verán aumentados por ser el punto
más susceptible de afectar a la información tratada.
3. Conservación de Datos
Hay que analizar si la Ley 25/2007 de Conservación de Datos afecta de alguna
manera al OR.
Esta norma regula ciertas obligaciones de los operadores
que presten servicios de comunicaciones electrónicas disponibles al
público o exploten redes públicas de comunicaciones, en los términos
establecidos en la LGT.
Por lo tanto, habiendo resuelto que el OR es un
operador de servicios de telecomunicaciones electrónicas es evidente
que, en principio, estaría afectado por las disposiciones de la LCD.
Ahora bien, como se dispone en su artículo 1, deben conservar los datos tratados o generados en el marco de su prestación de servicios, ¿qué
datos son obtenidos y deben ser objeto de conservación?
El artículo 3 LCD recopila la información que debe recogerse, si bien ninguno de los
datos son tratados por el OR, por lo que debe entenderse que no le
alcanzan las disposiciones contenidas.
Además, como se ha expuesto y se señala en el propio proyecto:
“The Tor Project and Tor node operators have no records of the traffic that passes over the network, but we do maintain current and historical records of which IP addresses are part of the Tor network.”
Lógicamente esa información forma parte del
directorio para completar el circuito de la comunicación y es necesaria
para la prestación del servicio, pero el sistema no está preparado para
recopilar la información de origen, además la misma sólo identificaría a
otros OR, cuya dirección IP está disponible en la red. En este caso sí
que la situación sería la misma para el “exit node” que para el resto de
ORs.
4. Responsabilidad por el contenido transmitido.
Este aspecto
es esencial, sobre todo teniendo en cuenta que estamos ante una
herramienta diseñada y promocionada para ayudar a la libertad de
información en países en los que esta está amenazada y la publicación de
información puede ser considerada un delito.
En España, desde el punto de vista de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE) la
labor del OR puede considerarse como un servicio de intermediación,
definido en su Anexo como:
“servicio de la sociedad de la información por el que se facilita la prestación o utilización de otros servicios de la sociedad de la información o el acceso a la información.”
Son servicios de intermediación
"la provisión de servicios de acceso a Internet, la transmisión de datos por redes de telecomunicaciones, la realización de copia temporal de las páginas de Internet solicitadas por los usuarios, el alojamiento en los propios servidores de datos, aplicaciones o servicios suministrados por otros y la provisión de instrumentos de búsqueda, acceso y recopilación de datos o de enlaces a otros sitios de Internet.”
Los servicios de intermediación no serán responsables por la información
que transmiten “salvo que ellos mismos hayan originado la transmisión,
modificado los datos o seleccionado éstos o a los destinatarios de
dichos datos”
Pero esa exención de responsabilidad se refiere únicamente a los
operadores de redes de telecomunicaciones y proveedores de acceso, sin
que el OR pueda considerarse uno de ellos, ya que el servicio que presta
se posiciona sobre la red accedida.
De todas formas, si no realizan ninguna acción sobre la información no
parece razonable exigirles mayor responsabilidad.
Además existe otro problema que tiene que ver con el concepto de
prestador de servicio, ya que la LSSICE define a éste como aquel que se
realiza como una actividad económica, algo que no se da en el caso del
OR, por lo que difícilmente entraría en el ámbito de aplicación
subjetiva de la norma, artículo 1 LSSICE:
“Es objeto de la presente Ley la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica[...]”
Y como decía, servicio de la sociedad de la
información es, Anexo LSSICE:
“todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario. El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios.”
Si no hay actividad económica no hay servicio de la sociedad
de la información, y por lo tanto ¿no hay exenciones de
responsabilidad?.
Parece lógico pensar que si existen para quienes hacen negocio lo mismo
deban existir para quienes aportan utilidades lícitas a las redes de
comunicaciones, pero nos encontramos sin duda ante una importante laguna
de nuestro ordenamiento que debería ser revisada con el fin de hacer
extensible como mínimo, o incluso ampliar, las exenciones de
responsabilidad a los servicios prestados gratuitamente.
Conclusiones:
El usuario no tiene problemas en cifrar su tráfico usando los servicios de Tor.
La persona que administra un nodo (OP) puede verse sometida a ciertas obligaciones gravosas desde un punto de vista formal, pero de alcance limitado por la propia configuración del servicio que presta.
El "exit node" es el punto más afectado, de hecho las dos intervenciones policiales que se conocen han sido sobre nodos de salida por ser a ellos a donde envía la IP en el destino. La propia EFF en sus legal faqs contiene instrucciones específicas para quienes operan en esta posición.
Los mecanismos de cifrado, enmascaramiento de las rutas y de conexión segura deberían reforzarse legalmente, cumpliendo una labor coherente con la protección de la intimidad ante los cada vez mayores ataques a la privacidad y a la intimidad por parte no sólo de gobiernos o agencias gubernamentales, si no también de empresas que hacen negocio con los datos de los usuarios.
La consideración de este tipo de herramientas como algo neutral debería ser un paso esencial puesto que es simplemente eso, una herramienta, y el hecho de que haya personas que la utilicen como medio para facilitar su impunidad en la comisión de ilícitos no debería hacer que se adopten medidas que restrinjan legalmente las posibilidades de uso.
Y por último, y no sólo en relación a la provisión de servicios de cifrado, falta una regulación que dote de seguridad jurídica a todos aquellos que colaboran con su capacidad de cálculo y desinteresadamente, a los efectos de que gocen de las mismas o mayores exenciones de responsabilidad que aquellos que prestan los mismos servicios como parte de su actividad económica.
No hay comentarios:
Publicar un comentario