Contacto

Para consultas jurídicas "david @ 451.legal"

viernes, 7 de junio de 2013

Troyanos e Investigación remota de equipos informáticos, cuestiones constitucionales

La posibilidad de instalar en los ordenadores y equipos informáticos de los investigados prevista en el Anteproyecto de Código Procesal Penal (CPP) ha generado mucho revuelo.

A pesar de que creo que el aspecto más importante, en lo que a los delitos por internet se refiere, es el de la "derogación" de la Ley de Conservación de Datos, como comenté, es cierto que esta medida que tanta atención mediática ha despertado tiene algunos aspectos que merecen ser comentados, en particular por el encaje constitucional que la misma puede tener.

Lo que es indiscutible es que la medida, el poder acceder al contenido íntegro de un ordenador (o equipo informático o de un instrumento de almacenamiento de datos, etc.) de un sospechoso, supone una intromisión en la intimidad de la persona, y por lo tanto los derechos reconocidos en el artículo 18 de la Constitución, básicamente, se ven afectados.

Ahora bien, los derechos, aunque sean fundamentales, no son absolutos y pueden ceder cuando colisionen con otros que deban prevalecer en atención a razones de interés público.

Así, no se discute la intervención en un domicilio en el marco de la investigación de un delito, por ejemplo. De hecho es en la propia constitución donde se consagra este derecho y las condiciones para su limitación:
"2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito."
Se trata de realizar un juicio de proporcionalidad en el que se valore si la medida lesiva de los derechos de la persona presenta un conflicto y en qué medida, proporcional al fin perseguido, se puede admitir.

Así en este caso, el artículo 350 del CPP indica que esta medida se podrá autorizar tras petición razonada del Ministerio Fiscal para investigar un delito de especial gravedad y sea idónea y necesaria para esclarecer el hecho investigado, al autor o el paradero de este.

Como se ve esta medida no se debe admitir para cualquier delito (y no como se está diciendo para delitos a partir de 3 años), sino que se prevé sólo para los delitos "especialmente graves". El problema es que este concepto no está perfectamente definido en nuestra legislación penal.

Los tipos de delitos, según el Código Penal, artículo 13 son:
"1. Son delitos graves las infracciones que la Ley castiga con pena grave.

2. Son delitos menos graves las infracciones que la Ley castiga con pena menos grave.

3. Son faltas las infracciones que la Ley castiga con pena leve."
Y son penas graves las que tienen como castigo, entre otras cosas, la pena de prisión superior a 5 años (art. 33 CP).

Por lo tanto, el hecho de que se definan como especialmente graves nos debe situar, siempre y en todo caso por encima de esos 5 años como pena del delito aplicable.

A mi juicio, esta gravedad especial que exige el texto del proyecto debería concretarse con el fin de no tener un espacio de indeterminación, ya sea indicando los delitos concretos en los que la medida es admisible o bien fijando la pena en abstracto del tipo a partir de la cual se podría adoptar.

Si bien la medida considerada como "inspeccionar remotamente un equipo informático" puede ser constitucional (también se admiten las grabaciones, instalación de micrófonos, etc.) siempre que haya autorización y control judicial no puede llevarse a cabo de cualquier manera ni usando cualesquiera medios.

Así, según la redacción, a mi juicio no sería aceptable la instalación de cualquier spyware, como un keylogger o un programa que esté continuamente instalado puesto que el objeto de la medida es:
"[...] el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos [...]"
Es decir que la misma estaría limitada temporalmente a obtener una copia de los archivos, de hecho el 350.2 al regular los requisitos que debe especificar la resolución de autorización de la medida señala:
"El alcance de la misma, la forma en la que se procederá al acceso y aprehensión de los datos o archivos informáticos relevantes para la causa y el software mediante el que se ejecutará el control de la información"
Una instalación permanente de un software que recopile datos y archivos durante un periodo de tiempo no sería legítimo. Entiendo que la medida debería ser "similar/equiparable" a la entrada y registro domiciliario con el fin de obtener documentos, no someter a un escaneo constante la actividad del investigado.

Mucho menos instalar un keylogger que remita a la policía las pulsaciones del teclado o movimientos del ratón del usuario.

De no hacerse así difícilmente se salvaría el que la medida pudiera llegar a ser considerada como una limitación individual del derecho al secreto de las comunicaciones del artículo 18.2 CE, limitación que está prohibida por la Constitución en el artículo 55.2.

Este artículo 55 obliga a que si se limita este derecho, al igual que la inviolabilidad domiciliaria, se haga mediante Ley Orgánica con intervención judicial y control parlamentario, pero además sólo "en relación con investigaciones correspondientes a la actuación de bandas armadas o elementos terroristas."

Esta mención a ciertos delitos también debería dar una idea de cuando procede la adopción de la medida.

Además mantener el software más tiempo del necesario para hacer una mera copia podría afectar a los derechos de terceros usuarios de ese equipo que no sean objeto de investigación o no tengan ninguna relación con los hechos, por lo que se produciría una extralimitación de la autorización.

Por lo tanto, a mi juicio, la medida puede ser constitucional, pero siempre que se aplique con las limitaciones expuestas, y que para que no haya dudas deberían recogerse en el texto con todo detalle.

Otro de los problemas que se plantea es con el almacenamiento sincronizado en servidores remotos, ya que el CPP señala que cuando los datos estén en servidores en el extranjero se debe hacer "instando medidas de cooperación internacional". ¿Como afectaría esto a servicios "en la nube"?

Vistas las noticias, se ve que al menos con los servicios radicados en Estados Unidos, no hay ningún problema, tienen acceso total...

3 comentarios:

  1. Hola David. Comparto tus opiniones.
    A mi juicio, se precisa de una Ley Orgánica como necesaria para permitir la limitación de tan fundamental derecho constitucional. Al tiempo, sería preciso definir o concretar mas ese aspectos de "delitos especialmente graves".
    Hay algunas sentencias del TS sobre la utilización de SITEL en las que jurisprudencialmente se viene a decir que dentro de estos delitos "especialmente graves" se incardinan el terrorismo, el tráfico de drogas y el crimen organizado".

    ResponderEliminar
  2. La verdad es que este tema de los troyanos es de lo menos preocupante del proyecto de nueva LECrim-Código Procesal Penal. Sería fácilmente quemable, y de difícil aplicación práctica. La policía debería diseñarlo desde cero, y los expertos consideran que a lo más sería cuestión de días que hackers o empresas antivirus lo detectaran y desarrollaran su bloqueo. La policía no tiene los medios materiales y personales para desarrollar troyanos ad infinitum. Además, las principales empresas antivirus radican en USA, Rusia y Eslovaquia, y por regla general se someten a sus legislaciones, con lo cual, creo que lo tendría complicado el Gobierno.

    Por otro lado, el software, como dice, es para obtener datos del equipo del sospechoso que sean de utilidad para la investigación, no para un escaneo y espionaje constante, algo muy cuestionable constitucionalmente. Si el ordenador se halla en territorio nacional, obtenerse los datos puede hacerse a través de una entrada y registro. Si se halla en Europa, a mí parecer se trata de un aseguramiento de pruebas y hay que hacerlo por la Ley 18/2006 a través de los órganos judiciales del país donde se halle el equipo. Y conforme al Art 7 debe ejecutarse conforme a las normas del país ejecutante, ¿y si en tales países no pueden utilizarse troyanos? Sólo Alemania tiene algo similar y con conflicto constitucional. Si el país es extranjero, se complica mucho más todo.

    Sobre la intervención del cloud computing, no concibo la intervención sin la orden judicial a la empresa, y todas ellas radicadas en el extranjero. ¿Va la policía a hackear los servicios de Google, Apple, Dropbox? ¿Son capaces? ¿Sin orden judicial, comisión rogatoria, lo que sea? ¿Van a permitirlo estos gigantes? Porque una cosa es la NSA y el Gobierno americano, y todas radicadas en USA, y otra cosa es el Gobierno español.

    No sé, lo veo muy difícil todo. ¿No cree?

    ResponderEliminar
  3. En esta Tedtalk, creo que se da una respuesta bastante aceptable a este conflicto con el troyano alemán Scuinst. Mikko Hypponen considera que no se puede discutir el conflicto privacidad vs seguridad, porque la privacidad es innegociable. Se trata de un conflicto entre control vs libertad. Si restringimos nuestra libertad, considera, la restringimos para siempre. Y el que ahora confiemos en nuestra "democracia" y en un posible Tribunal de Garantías, no significa que esa forma de estado y esa garantía pueda estar siempre. ¿Podemos asegurar que en un futuro esa herramienta no se utilice de forma injusta?

    Y añado, hay quien compara nuestra época actual con la de la Restauración, ¿podemos asegurar que no acabará como ya acabó? A mí me ha convencido.

    http://www.ted.com/talks/mikko_hypponen_three_types_of_online_attack.html

    ResponderEliminar