Contacto

Para consultas jurídicas "david @ 451.legal"

miércoles, 17 de febrero de 2016

Apple y el desbloqueo de dispositivos cifrados, ¿qué pasaría en España?

La información que transportamos en nuestros móviles es cada día más importante y abundante.

Además, cada vez es más sensible, por lo que el cifrado de los dispositivos de almacenamiento de información es, cada vez, más habitual. Y ello incluye teléfonos móviles, nuestros nuevos "ordenadores" portátiles.

Pues bien, uno de los presuntos autores de los asesinatos de San Bernardino tenía un Iphone con los datos cifrados. Es decir, no son accesibles si no se introduce la contraseña concreta que permita su lectura.

Evidentemente, el responsable, no va a facilitar una contraseña que desbloquee la información y permita a los investigadores obtener más pruebas en su contra. Es decir, hace lo que cualquiera en su situación haría.

Pues bien, la noticia es que el juez que estudia el caso, previo requerimiento del FBI, ha ordenado a Apple que proporcione "asistencia técnica razonable" para que los investigadores puedan desbloquear esos datos.

Apple ha publicado una carta abierta en la que se niega indicando que:

"Compromising the security of our personal information can ultimately put our personal safety at risk. That is why encryption has become so important to all of us."
Apple, además, arguye que el FBI se basa en una norma de 1879 en lugar de proponer las modificaciones legislativas pertinentes. 

Hay muchas razones para entender la postura de Apple, fundamentalmente que el desarrollo de este tipo de sistemas abren la vía a vulnerabilidades posteriores que afecten a todos e incluso que le afecte en su posición de negocio.

Desconozco los extremos de la regulación estadounidense al respecto, pero si es interesante plantearse qué pasaría en España con una situación similar, en la que investigadores quieran acceder al contenido de un teléfono cifrado.

Ya opiné en su día que el cifrado de comunicaciones es un derecho fundamental, que forma parte del contenido esencial del artículo 18.3 de la Constitución (lo que provocaría la nulidad de la Ley General de Telecomunicaciones, la necesidad de desarrollo por Ley Orgánica de la Ley de Conservación, etc, etc., pero son cosas que a poca gente importan)

Hay que recordar, además, que ese derecho al secreto de las comunicaciones puede ser limitado por orden judicial, si las circunstancias lo aconsejan.
"Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial. "
Ahora, bien, que los datos estén en un teléfono no quiere decir que formen parte de un proceso de comunicación, por lo que no les alcanza esa protección. La interpretación, que no termino de compartir, es que una vez recibido el mensaje por el destinatario, el contenido de la comunicación es un "papel" que puede ser leído por cualquiera, sin esa limitación o protección del secreto de la comunicación.

Es decir, en principio, mediante resolución judicial un juez podría ordenar que se acceda a una información cifrada.

Ahora bien, ¿hasta donde llega ese mandato del juez? ¿cual sería la obligación de colaboración para una empresa española en esa colaboración?

En definitiva, ¿si Apple fuese una empresa española tendría que hacer accesible algún elemento para que los investigadores accediesen a la información?

La última reforma de la Ley de Enjuiciamiento Criminal, con una reforma específica para los delitos en los que se emplean medios tecnológicos tiene una respuesta.

Uno de los apartados incorporados se refiere específicamente al registro de dispositivos de almacenamiento masivo de información, el artículo 588 sexies (no confundir con sexiest)
1. Cuando con ocasión de la práctica de un registro domiciliario sea previsible la aprehensión de ordenadores, instrumentos de comunicación telefónica o telemática o dispositivos de almacenamiento masivo de información digital o el acceso a repositorios telemáticos de datos, la resolución del juez de instrucción habrá de extender su razonamiento a la justificación, en su caso, de las razones que legitiman el acceso de los agentes facultados a la información contenida en tales dispositivos.
2. La simple incautación de cualquiera de los dispositivos a los que se refiere el apartado anterior, practicada durante el transcurso de la diligencia de registro domiciliario, no legitima el acceso a su contenido, sin perjuicio de que dicho acceso pueda ser autorizado ulteriormente por el juez competente
Es decir, el supuesto planteado en el caso de Apple, es bastante similar a loque describe nuestra reforma.

Esta, además, prevé qué pasa en el caso de que sea necesaria la colaboración de terceros para el acceso a los datos en el apartado 5º:
5. Las autoridades y agentes encargados de la investigación podrán ordenar a cualquier persona que conozca el funcionamiento del sistema informático o las medidas aplicadas para proteger los datos informáticos contenidos en el mismo que facilite la información que resulte necesaria, siempre que de ello no derive una carga desproporcionada para el afectado, bajo apercibimiento de incurrir en delito de desobediencia.
Esta disposición no será aplicable al investigado o encausado, a las personas que están dispensadas de la obligación de declarar por razón de parentesco y a aquellas que, de conformidad con el artículo 416.2, no pueden declarar en virtud del secreto profesional.
 Esa es la posición en la que estaría Apple, o cualquier empresa española que pueda custodiar datos cifrados o proporcione instrumentos de cifrado.

Es decir, bajo apercibimiento de incurrir en un delito de desobediencia, castigado con una pena de entre 3 meses y un año de prisión o multa de 6 a 18 meses, artículo 556 del Código Penal, deberán colaborar o demostrar la existencia de una carga desproporcionada.

Esto de la carga desproporcionada es un concepto jurídico indeterminado, es decir, que debe valorarse por el juez. 

En parte, los argumentos de Apple van por ahí, por la desproporción entre lo que supondría dotar a los equipos que vende con estos sistemas y la importancia en este delito concreto de acceder o no a los datos.

Pero, con esta configuración, es la empresa la que debe acreditar y convencer al juez de la existencia o no de las razones que le excluyen de esa colaboración. Pero si no le convence, tendría que colaborar o enfrentarse a una pena por desobediencia.

Como vemos, el cifrado protege, pero, como los derechos, puede no ser absoluto.

Actualización: Resultado de encuesta en twitter

2 comentarios:

  1. Sí se usan estándares públicos de encriptado, la empresa no puede sino decir cuál es, pero no puede dar la contraseña o información ya en claro, no creo que esté obligada a usar su poderío de computación para romper el cifrado.

    Otra cuestión es que la empresa tenga alguna puerta trasera para poder descifrar... ahí sí estaría obligada (no le supone esfuerzo).

    Pero claro ¿quién quiere cuando se sepa, un cifrado de mentirijilla

    ResponderEliminar
  2. En el caso americano, parece que la presión no se tanto por desencriptar sino por crear una puerta trasera o llave maestra para uso del FBI.

    Es decir para tener datos futuros, no por una investigación concreta.

    ResponderEliminar