Cartas que reclaman por descargar mediante sistemas P2P. ¿Qué hago? Razones para no pagar.

Como ya he venido contando, la posibilidad de identificar a los usuarios que comparten archivos en una red P2P que introdujo la reforma de la Ley de Propiedad Intelectual ha llevado a varios procedimientos judiciales en España, contra varios operadores de telefonía para obtener los datos de los usuarios que, supuestamente, habrían compartido unas películas o series mediante sistemas P2P, en particular BitTorrent.

El problema ha alcanzado una nueva magnitud al sumarse a los juzgados de Bizkaia un juzgado de lo mercantil de Madrid, que en unas Diligencias dirigidas a Movistar ha aceptado la identificación de las direcciones IP aportadas por los demandantes.

Esto implica que los usuarios afectados no serán únicamente los clientes de Euskaltel en el País Vasco sino que ya constan cartas reclamando por toda España, lo que hará que se pueda llegar a juicios por todo el país.

Hay que indicar que esta solicitud ha sido presentada por la productora Crystalis Entertaiment UG que ya presentó una solicitud similar contra Euskaltel. Sucede que en el caso de Euskaltel, al tramitarse antes por el juzgado la solicitud, pues ya sabemos que esta productora, de momento, no ha demandado a nadie por la descarga de la serie "Ash vs Evil Dead", simplemente han mandado cartas pidiendo entre 400 y 1500 euros, al igual que están haciendo ahora con los clientes de Movistar (y es posible que en breve se sumarán de otras operadoras).

Pese a que hay personas que han recibido la carta y no han pagado, de momento, insisto, no han sido demandados, por lo que la misma no ha tenido ninguna consecuencia.

Esta es una de las razones por las que recomiendo ni atender la carta, que generalmente no es un burofax u otra forma de comunicación que justifique el contenido de la reclamación, ni tan siquiera responder, para no acreditar haberla recibido. Por supuesto, tampoco recomiendo pagar ninguna cantidad.

Las otras razones para ni pagar ni atender la carta son jurídicas.

El Tribunal de Justicia y la conservación de datos, sentencia "Ministerio Fiscal".

Por fin tenemos respuesta a la cuestión prejudicial planteada por la Audiencia Provincial de Tarragona en relación a la  modificación de la Ley de Enjuiciamiento Criminal y la situación del acceso a los datos de tráfico de comunicaciones electrónicas para la investigación de delitosde todo tipo.

Es la sentencia de 2 de octubre, caso "Ministerio Fiscal"

El caso que se analizaba era muy similar al que comenté en este post sobre el acceso a los datos de un IMEI en relación a una SIM tras un robo de un teléfono móvil. Como ya vimos, lo que planteaba la Audiencia Provincial era:

«1)      ¿La suficiente gravedad de los delitos como criterio que justifica la injerencia en los derechos fundamentales reconocidos en los artículos 7 y 8 de la Carta puede identificarse únicamente en atención a la pena que pueda imponerse al delito que se investiga o es necesario, además, identificar en la conducta delictiva particulares niveles de lesividad para bienes jurídicos individuales y/o colectivos?

2)      En su caso, si se ajustara a los principios constitucionales de la Unión, utilizados por el [Tribunal de Justicia] en su sentencia de 8 de abril de 2014 [Digital Rights Ireland y otros, C‑293/12 y C‑594/12, EU:C:2014:238] como estándares de control estricto de la Directiva, la determinación de la gravedad del delito atendiendo solo a la pena imponible ¿cuál debería ser ese umbral mínimo? ¿Sería compatible con una previsión general de límite en tres años de prisión?»

Y como ya se expuso, debemos tener en consideración dos resoluciones anteriores que nos dan el contexto para entender las cuestiones ahora planteadas. Por un lado la sentencia que anuló la Directiva que específicamente regulaba el acceso a esos datos concretos y por otro la sentencia del Caso Tele2 Sverige. 

Ambas iban en una línea marcada por la consideración de que la propia conservación de datos representaba una injerencia grave en los derechos reconocidos en la Carta y que, por lo tanto, su regulación debía hacerse teniendo eso en consideración y los límites adecuados para ello.

Función hash, datos de carácter personal y delitos

Esta mañana, el informático Sergio López analizaba y explicaba una serie de aspectos del censo universal que había sido empleado para la votación del pseudo-referendum de Cataluña del pasado día 1 de octubre.

Han pasado ya unos cuantos días desde el #1Oct, así que creo que urge el contar esta historia.

— Sergio Lopez (@slp1605) 4 de octubre de 2017

En la descripción del interesante hilo explica como si bien los responsables del censo habían intentado que el mismo no se considerase cedido a terceros empleando las huellas o funciones hash de los datos de los votantes, era posible realizar el camino inverso y obtener los datos personales correspondientes a esos hash.

Lo he comprobado por mí mismo. En un ataque por la fuerza bruta a C.P. y año concreto, los resultados empiezan a saltar en pocos minutos.

— Sergio Lopez (@slp1605) 4 de octubre de 2017

De hecho el autor del hilo ha publicado su propia prueba de concepto en un repositorio de github para que cualquiera pueda verificar la existencia del fallo (de concepto? mejor que de seguridad?)

El resumen es que dado que para evitar que con una única acción judicial se bloquease todo el proceso de votación, se clonaron las webs que daban el soporte a las mesas, lo que ha permitido la existencia de muchas copias de esas webs, incluyendo las bases de datos de los votantes.

Realmente la base de datos  lo que alberga es la huella (o hash) que esos datos arrojan al aplicarse 1714 iteraciones de SHA256 sobre los los 5 últimos dígitos del DNI, la letra correspondiente, la fecha de nacimiento y el código postal, para cada ciudadano incluido en el censo de cada ciudadano.

Es decir, si lo leemos como humanos, la función sería algo del tipo: a3c7c26545bcce509730d8a5d230a83e11614b94aa96966484ea5ab742a2f3b7 (esa es la huella sha256 de mi nombre y apellido) por lo que sin más elementos no podríamos saber a quien pertenece.

Y aquí viene la cuestión, para mi, interesante, ¿es una huella hash un dato de carácter personal?

La Ley 15/1999 de Protección de Datos define como dato de carácter personal

• a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.

 El Real Decreto 1720/2007 de desarrollo concretó un poco más:

f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

Y ya, el nuevo Reglamento General de Protección de Datos concreta aún más:

«datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

El problema siempre ha sido cuando estamos ante datos que hacen identificables a las personas físicas a las que hacen referencia.

Pero además, el DNI, por sí mismo, tiene la consideración de dato de carácter personal, así en un  informe (0476/2008) de la propia Agencia (pdf) se concluye, con base en el artículo 1 del Real Decreto 1553/2005 que:

"2. Documento tiene suficiente valor, por sí solo, para acreditar la identidad y los datos personales de su titular que en él se consignen, así como la nacionalidad española del mismo.

3. A cada Documento Nacional de Identidad, se le asignará un número personal que tendrá la consideración de identificador numérico personal de carácter general.

La naturaleza de dato personal del DNI resulta clara atendiendo a lo anteriormente expuesto."

Si el DNI por si mismo, es un dato de carácter personal y de la función hash podemos extraer los 5 últimos números mas la letra, eso permite combinaciones para obtener el DNI completo, por lo que, de esa manera, ya tendremos ese dato personal.

En general, el criterio de la Agencia Española ha sido el de vincularlo con el esfuerzo necesario para, a partir de un identificador concreto, poder averiguar a quien pertenece.

Es decir, si no hay que hacer un esfuerzo desproporcionado será un dato de carácter personal, como recuerda la Agencia (informes 0427/2010 pdf o 0182/2008 pdf)

"Este criterio ha sido ratificado por la Audiencia Nacional en sentencia de 8 de marzo de 2002. Según se cita en la misma, “para que exista un dato de carácter personal (en contraposición con dato disociado) no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados” y “para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona”.

Por lo tanto, a la luz de lo expuesto en el contenido del censo y la forma en que se ha pretendido "ofuscar" lo cierto es que se ha producido una comunicación de datos de carácter personal a terceros por parte del responsable.

¿Y todo esto que implica?

Pues que al margen de las infracciones que por el incumplimiento de la LOPD pudieran establecerse, sería posible abrir la vía penal contra los responsables de la generación de este censo y su divulgación, en la medida en que el artículo 198 del Código Penal establece que:

"La autoridad o funcionario público que, fuera de los casos permitidos por la Ley, sin mediar causa legal por delito, y prevaliéndose de su cargo, realizare cualquiera de las conductas descritas en el artículo anterior, será castigado con las penas respectivamente previstas en el mismo, en su mitad superior y, además, con la de inhabilitación absoluta por tiempo de seis a doce años."

Las conductas en las que encajaría serían las del artículo 197:

"2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.

Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.

4. Los hechos descritos en los apartados 1 y 2 de este artículo serán castigados con una pena de prisión de tres a cinco años cuando:

a) Se cometan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros; o

b) se lleven a cabo mediante la utilización no autorizada de datos personales de la víctima.

Si los datos reservados se hubieran difundido, cedido o revelado a terceros, se impondrán las penas en su mitad superior."

Y ojo, porque el 197 CP permitiría ir incluso contra quienes clonaron la base de datos para mantener que la misma siguiese activa.

Responsabilidades penales como estas al margen (que seguro que a los responsables llegados a este punto son las que menos les preocupan) lo cierto es que es un ejemplo perfecto para visibilizar que un hash puede llegar a considerarse un dato de carácter personal, en función de la información a la que haga referencia.

Esto que puede parecer irrelevante, es interesante ya que, en ocasiones, se ha planteado remitir sólo el hash como forma de evitar transferencias internacionales de datos, por ejemplo, u otros muchos supuestos de tratamiento al margen de la norma aprovechando el que sólo se remita a terceros el hash.

Tipificación penal del ransomware

No sólo hoy, llevamos unos años sufriendo en España diferentes variantes de virus informáticos que tienen como efecto no la destrucción de los documentos si no simplemente la imposibilidad de acceder a los sistemas si no es mediante el pago de una cantidad.

Es lo que se conoce como ransomware.

La operativa es conocida, mediante una fichero, se ejecuta un programa de cifrado que cifra ciertos archivos, o todos, del equipo, y de las unidades conectadas al mismo en las que el usuario tenga permisos de escritura.

Sin la contraseña de descifrado los archivos son inaccesibles.

A continuación aparece un mensaje en pantalla indicando la forma de pago, el precio y las instrucciones para poder continuar usando el ordenador en caso de pago.

Este tipo de programas suelen ser creados y distribuidos por personas, aparentemente, en países como Rusia, China o cualquier otro lugar, por lo que atrapar o identificar plenamente a los responsables del delito suele ser muy complicado.

Ello explica, entre otras cosas, que los delitos de estafas informáticas sean con mucha diferencia los más denunciados pero muy pocos asuntos no se archiven por falta de autor conocido.

En España hay dos sentencias de la Audiencia Nacional, relacionadas con el ransomware conocido como virus de la policía, de 3 de marzo (pdf) y de 4 de julio de 2016 (pdf) en la que los responsables acuerdan una pena en conformidad.

La Conservación de Datos, tal y como se hace, anulada por el Tribunal de Justicia de la UE

Hace ya casi una década que empecé a preocuparme por una norma que presentaba varios aspectos que me despertaban sensaciones raras. 

La Directiva de Retención de Datos, que finalmente se anuló, produjo una transposición en una Ley nacional, la 25/2007 que si bien no era exactamente como la Directiva (es lo que tienen las normas de transposición) tampoco, a mi juicio, completaba o determinaba bien todos los aspectos necesarios.

Es cierto que el principal foco inicial fue la consideración o no de delitos graves "tal y como se definen en las normas penales" y que en España se ha venido interpretando como que:

 "todo lo que pasa en internet es grave" 

y

 "eso es así porque usamos una sentencia anterior a la Ley que leemos sólo en aquellos párrafos que nos da la gana"

Los argumentos que he venido exponiendo a lo largo de los años, no sólo aquí públicamente (y que al parecer me deslegitiman para defender con el secreto suficiente a mis clientes) sino fundamentalmente en los juzgados, han sido, con el tiempo, confirmados por el Tribunal de Justicia de la UE.

También es verdad que algunas Audiencias, fundamentalmente la de Barcelona, sí han entendido bien que si la ley está mal lo que hay que hacer es arreglarla, no interpretarla de mala manera por los tribunales para que al final estemos en una situación mucho peor.

Pues bien, la última puntilla (y queda otra más grande que se dará con la cuestión prejudicial planteada por la AP de Tarragona) la ha puesto el Tribunal Europeo en la Sentencia del caso Tele2 Sverige.

El Tribunal, que analiza varios asuntos acumulados, entre ellos las normas británicas de Conservación, resuelve que el Carta de Derechos Fundamentales de la Unión Europea se opone a que una normativa nacional establezca una:

"[...] conservación generalizada e indiferenciada de todos los datos de tráfico y de localización de todos los abonados y usuarios registrados en relación con todos los medios de comunicación electrónica"

Y también que:

"[...] se opone a una normativa nacional que regula la protección y la seguridad de los datos de tráfico y de localización, en particular el acceso de las autoridades nacionales competentes a los datos conservados, sin limitar dicho acceso, en el marco de la lucha contra la delincuencia, a los casos de delincuencia grave, sin supeditar dicho acceso a un control previo por un órgano jurisdiccional o una autoridad administrativa independiente, y sin exigir que los datos de que se trata se conserven en el territorio de la Unión"

¿Puedo atacar a quien me ataca? Legítima defensa y autodefensa frente ataques informáticos

La noticia de que un coche con sistema de conexión con el fabricante ha bloqueado los sistemas de apertura de puertas, de manera remota, permitiendo que el ladrón quedase atrapado pone en evidencia las posibilidades de reaccionar con la tecnología a quien nos ataca, en este caso en el mundo físico.

En el caso del coche, la existencia de sistemas de control del vehículo permitió determinar que estaba parado y con el motor en marcha, pero que pasa si se encierra el vehículo y quien está dentro tiene que poder salir del mismo por una urgencia o lo ha robado porque no existía otra forma de llegar a un servicio médico de urgencias (en el caso descrito el coche estaba abierto y con las llaves), etc.

Parece, a priori, razonable que como respuesta a un ataque a nuestra propiedad esta se pueda "auto-defender" (chiste malo) pero plantea muchos problemas en relación a los criterios que sirven de parámetro para justificar tal actuación. Por ejemplo, si se detecta la ruptura del cristal que el coche, con conducción autónoma, pueda arrancar y alejarse del lugar incluso atropellando al atacante, ¿sería admisible?. O, ¿sería correcto que si no pagamos una cuota del renting el vehículo se vaya de nuestro lado y vuelva al garaje de la empresa propietaria?.

Podemos considerar ambas conductas como ataques a la propiedad, en diferente intensidad y consideración, pero estas posibilidades permiten plantear nuevos retos a las figuras clásicas de posesión, propiedad, etc.

Pero en relación a los ciberataques como el que sufrió recientemente una empresa de servicios sobre DNS es frecuente que se plantee si cabe como respuesta no sólo la adopción de medidas de bloqueo de las peticiones (blacklisting de IP's), de empleo de balanceadores de carga o de otros sistemas de defensa, sino de poder actuar contra la fuente del ataque empleando medios similares, como por ejemplo un ataque de denegación de servicio contra el origen o de infectar con un virus si se detecta una intrusión en un sistema o devolviendo la "visita".

Es decir, hay muchas cosas que se pueden hacer una vez localizada la fuente de un ataque, ahora bien, ¿podemos contraatacar? ¿cabe la legítima defensa digital?.

Sobre la legalidad de la difusión de los datos robados a un despacho de abogados: el caso Futbolleaks

Un nuevo caso de filtraciones de información sobre personajes públicos, en este caso futbolistas, aparece en la prensa y se suscitan muy y variados debates sobre la "integridad" fiscal del fútbol, de la sociedad y de otras tantas cosas.

 

Recientemente tuvimos el caso de las filtraciones de las autorizaciones de uso terapéutico de la Agencia Mundial contra el dopaje, o las filtraciones de contratos de deportistas igualmente, y lo mismo pasó con los papeles de Panamá o con los papeles de Wikileaks.

Vivimos en una sociedad en que la información está digitalizada (nóminas, informes médicos, etc.) y almacenada en soportes informáticos que son susceptibles de una apropiación masiva y prácticamente indetectable.

Las filtraciones han resultado, en general, una fuente de información valiosa que los medios de comunicación nos han mostrado para denunciar actividades ilegales o ilícitas de personas y gobiernos y generar, al mismo tiempo, un debate social sobre esas personas o figuras y sus conductas.

Ahora bien, en este caso de los futbolistas tenemos un interesante conflicto de derechos entre la libertad de información, la obligación de contribuir, el derecho de defensa y la autoridad judicial.

En principio, según nuestro código penal es delito el acceso a la información personal contenida en soportes informáticos, según describe el artículo 197:

"1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.
2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero."

Es decir, el mero acceso a los datos es delito, por lo que parece evidente que en el caso de una intrusión informática en un sistema del que se extraiga la información fiscal o financiera de una persona podría incardinarse en el tipo. Esto no se discute en este caso, si como denuncia un despacho de abogados sus sistemas han sido vulnerados, la persona responsable de la intrusión es responsable de este delito.

Memes y reformas legales que encierran un debate sobre el modelo legislativo

Anda la tuiterada revuelta con la proposición no de ley del Partido Popular presentada en el Congreso de los Diputados (pdf) con el fin declarado en la propia proposición de:

"El Congreso de los Diputados manifiesta la necesidad de valorar una posible modificación de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen con objeto de adaptarla a la realidad social y al desarrollo tecnológico producido desde su promulgación."

Es decir, el fin, en principio parece lógico y sería compartido para el 99% de las leyes. Me explico, adaptar una ley a los desarrollos tecnológicos y a la realidad social parece algo que justifica el trabajo de los diputados.

El problema parece estar en que uno de los ejemplos que figuran en la exposición del texto, que dice:

"Un ejemplo de ello es la frecuente vulneración del derecho a la intimidad personal y a la propia imagen que se articula con la subida de imágenes por terceros sin el consentimiento de sus titulares."

 Y que algunos han interpretado, de manera ciertamente alocada, como:

Por supuesto, no es una reforma del Código Penal, que es donde irían los delitos, de hecho, un meme (entendiendo por tal el uso de una imagen de una persona para insertar un mensaje) ya puede ser considerado delito, basta con que esa la idea expresada con el meme sea una injuria o una calumnia, por ejemplo.

Tu teléfono es un micrófono y puede ser utilizado en tu contra (STS de 3 de mayo de 2016)

La reciente sentencia del Tribunal Supremo de 3 de mayo de 2016 (pdf)nos pone ante circunstancias que son interesantes desde el punto de vista de la intimidad y la potencialidad de los teléfonos móviles para ser usados como medios de investigación de delitos.

El caso era que ante una investigación de delitos contra la salud pública (tráfico de drogas) se autoriza la intervención de comunicaciones telefónicas, por lo que se permite a los agentes autorizados a acceder a las comunicaciones que se producen entre esos teléfonos.

Ya era algo consolidado que la grabación de las comunicaciones telefónicas incluye aquellos sonidos de fondo que son captados por el micrófono y no sólo la voz del interviniente. 

Ello parece lógico, pues si uno está hablando por teléfono hay ruidos de fondo que inevitablemente van a mezclarse con la propia voz.

Sin embargo, lo que se desvela en esta sentencia del Tribunal Supremo, porque así lo denuncian los recurrentes, es que en la intervención de comunicaciones se puede oír también incluso antes del momento en que se ha establecido la comunicación entre interlocutores.

Es decir, que desde el momento en que se llama el micrófono del teléfono de destino permite registrar al sistema sonidos del lugar donde se encuentra el destinatario de la llamada.

Como reconoce la Sentencia:

"[...] únicamente cuando la llamada ha sido establecida y el móvil la recibe, antes de aceptarla el destinatario, el sistema comienza a grabar; es decir, la llamada, para la que existía acuerdo judicial de intervención y grabación, ya se había producido, con independencia de que si el destinatario no la acepta, no genere coste para quien la realiza"

Esto es, que si llamamos a alguien, desde el momento en que el teléfono de destino identifica que está recibiendo una llamada, se empiezan a registrar los sonidos ambiente mediante el micrófono del terminal.

¿Más cerca el fin de las legislaciones nacionales de conservación de datos (tal y como están redactadas)?

En abril de 2014, el Tribunal de Justicia de la Unión anuló la Directiva de Retención de Datos dado que su redacción era contraria a los principios del artículo 8 de la Carta de Derechos Fundamentales

Ya expuse los fundamentos, y los aspectos prácticos, de tal decisión, que resultaba ciertamente importante y que ponía en cuestión todo el entramado de normas nacionales de Retención o Conservación de Datos.

Recupero las nueve razones de la anulación para poner mas contexto a la historia

1- es demasiado amplia, incluye a todas las personas, incluso aquellas de las que no hay una evidencia mínima que sugiera su relación con un delito grave. De hecho, la Directiva no da ningún supuesto de exención, lo que incluye a personas que están sujetos a secreto profesional, como abogados y periodistas, por ejemplo.

2- no requiere relación entre los datos que son objeto de retención y una amenaza concreta para la seguridad.

3- no contiene criterios objetivos para determinar los límites de acceso de las autoridades nacionales competentes, y el subsiguiente uso de los mismos para los fines propuestos. De hecho hay una mera referencia a delitos graves según lo defina cada estado miembro.

4- tampoco hay en la Directiva condiciones de acceso y uso de los datos por las autoridades nacionales, indicando que debería decirse que el uso de los datos accedidos debe restringirse a la prevención y detección de delitos precisamente definidos.

5- no hay limitación respecto del uso de los datos a lo estrictamente necesario a la luz del objetivo perseguido.

6- el periodo de retención, de como mínimo 6 meses, no hace distinción entre tipos de datos o categoría de los mismos.

7- igualmente, respecto del periodo establecido, entre 6 y 24 meses, no está fijado por criterios objetivos en orden a conseguir lo necesario con la mínima injerencia.

8- no se fijan reglas claras, por lo que la injerencia no esta circunscrita con precisión a lo estrictamente necesario.

9- no se dan garantías de que los datos retenidos no van a ser malutilizados o de cómo se pretende garantizar su integridad y confidencialidad. De hecho ni tan siquiera hay órdenes para que los estados miembros, destinatarios de la norma, lo hagan. Además, los propios operadores, que son quienes guardan los datos, no tienen que adoptar niveles elevados de seguridad para proteger los mismos.

Tras esa sentencia, la opinión de la fiscalía, de los juzgados y audiencias provinciales ha sido de total autocomplacencia, de que nuestra ley suplía los defectos de la Directiva y que por lo tanto no le afectaban los vicios de aquella, lo que la ponía a salvo de cualquier cuestión de constitucionalidad o de conflicto con la Carta de Derechos de la UE.

¿Puede Whatsapp (u otro prestador de servicios de comunicaciones) acreditar el contenido de una comunicación?

Este post se enmarca dentro del denominado Reto Juristas con Futuro, lanzado para debatir sobre el valor probatorio de los documentos electrónicos, y una serie de aspectos relacionados con este particular.

Como sobre el valor probatorio de documentos electrónicos ya he publicado varios post a lo largo de los años, y que nada ha cambiado en lo esencial, podemos concluir que nuestro sistema procesal no presenta ningún problema para aportar documentos electrónicos en su formato correspondiente.

El régimen general que tenemos en nuestro ordenamiento jurídico es el de que siempre que la prueba haya sido obtenida con respeto a los derechos fundamentales, las partes pueden disponer de ella como consideren.

Por lo tanto, aunque todas las semanas leamos en prensa artículos sobre si se puede o no aportar un whatsapp en un juzgado, la respuesta no cambia, supongo que los periodistas lo buscan constantemente aunque sea una cuestión más que superada.

Así, si las partes no presentan una impugnación cualquier medio o soporte es válido para acreditar hechos o circunstancias, ya sea un whatsapp, ya sea un papel o ya sea un petroglifo, un vídeo o unas grabaciones.

Resuelta la cuestión principal, sin que haya mucha polémica sobre ello (en ocasiones se cuestiona si es documento electrónico o nuevo medio de prueba, pero nada relevante sobre su validez o no) creo interesante analizar otro aspecto que en ocasiones se cita como un mecanismo de verificación del contenido de una conversación, la intervención de la plataforma de mensajes como tercero que certifique el contenido de la conversación.

Se trataría de que en caso de impugnación de un mensaje de whatsapp (o un correo o un sms) la parte solicite del juzgado que se libre un requerimiento al prestador de servicios de comunicaciones electrónicas para que indique cual fue el contenido del mensaje que se intercambiaron las partes.

En un procedimiento judicial, la parte que ve impugnada la prueba que ha aportado puede proponer que se practique otro medio de prueba sobre la autenticidad de lo aportado, artículo 326 de la LEC:

2. Cuando se impugnare la autenticidad de un documento privado, el que lo haya presentado podrá pedir el cotejo pericial de letras o proponer cualquier otro medio de prueba que resulte útil y pertinente al efecto.

Si del cotejo o de otro medio de prueba se desprendiere la autenticidad del documento, se procederá conforme a lo previsto en el apartado tercero del artículo 320. Cuando no se pudiere deducir su autenticidad o no se hubiere propuesto prueba alguna, el tribunal lo valorará conforme a las reglas de la sana crítica.

3. Cuando la parte a quien interese la eficacia de un documento electrónico lo pida o se impugne su autenticidad, se procederá con arreglo a lo establecido en el artículo 3 de la Ley de Firma Electrónica.

Pero como ya expliqué, frente a esa proposición también la otra parte puede solicitar prueba que demuestre la imposibilidad de acreditar la autenticidad del mensaje, por lo que en materia de prueba electrónica en la que ambas partes tienen acceso a los mensajes, esta tiene muy poco valor.

En ausencia de otras pruebas, el impulso es buscar en los servidores del servicio los mensajes para que el prestador aporte copia de las comunicaciones mantenidas entre las partes.

Pero, ¿pueden estos prestadores proporcionar acceso al contenido de las comunicaciones?

El artículo 39 de la Ley General de Telecomunicaciones establece que:

1. Los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público deberán garantizar el secreto de las comunicaciones de conformidad con los artículos 18.3 y 55.2 de la Constitución, debiendo adoptar las medidas técnicas necesarias.

Este artículo debe conjugarse con lo dispuesto en la Ley 25/2007 de Conservación de Datos, en relación a su ámbito de aplicación, que en su artículo 1 establece que:

3. Se excluye del ámbito de aplicación de esta Ley el contenido de las comunicaciones electrónicas, incluida la información consultada utilizando una red de comunicaciones electrónicas.

A ello debemos sumar lo que dispone el artículo 18.3 de la Constitución Española, que garantiza el secreto de las comunicaciones de la siguiente manera:

3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.

La conclusión, de una lectura integradora de todos estos preceptos, es que quienes prestan servicios de comunicaciones no pueden acceder al contenido de las comunicaciones que establecen las partes.

Es por eso que ningún operador de telefonía nos proporcionará el contenido de un sms intercambiado con la contraparte. Y en el caso de que se proporcionase se podría denunciar la obtención del mismo, tal y como dispone el artículo 287 de la LEC:

1. Cuando alguna de las partes entendiera que en la obtención u origen de alguna prueba admitida se han vulnerado derechos fundamentales habrá de alegarlo de inmediato, con traslado, en su caso, a las demás partes.

Sobre esta cuestión, que también podrá ser suscitada de oficio por el tribunal, se resolverá en el acto del juicio o, si se tratase de juicios verbales, al comienzo de la vista, antes de que dé comienzo la práctica de la prueba. A tal efecto, se oirá a las partes y, en su caso, se practicarán las pruebas pertinentes y útiles que se propongan en el acto sobre el concreto extremo de la referida ilicitud.

2. Contra la resolución a que se refiere el apartado anterior sólo cabrá recurso de reposición, que se interpondrá, sustanciará y resolverá en el mismo acto del juicio o vista, quedando a salvo el derecho de las partes a reproducir la impugnación de la prueba ilícita en la apelación contra la sentencia definitiva.

Sin embargo, siendo esto indiscutible para los operadores de telefonía tradicionales, parece existir cierta laxitud sobre cuando el caso afecta a operadores de servicios de comunicaciones sobre internet. Así no parece importar indicar que se puede solicitar a estos operadores acceder al contenido de los mensajes intercambiados.

Para ello se alega que los mismos no son operadores en el sentido definido por la Ley General de Telecomunicaciones, pero el artículo 39, como he indicado, se refiere a operadores "que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público"

Debemos acudir a las definiciones de la propia ley para ver quienes son aquellos a los que se dirige.

Así, el operador es:

persona física o jurídica que explota redes públicas de comunicaciones electrónicas o presta servicios de comunicaciones electrónicas disponibles al público y ha notificado al Ministerio de Industria, Energía y Turismo el inicio de su actividad o está inscrita en el Registro de operadores.

Red pública de comunicaciones se define como:

los sistemas de transmisión y, cuando proceda, los equipos de conmutación o encaminamiento y demás recursos, incluidos los elementos que no son activos que permitan el transporte de señales mediante cables, ondas hertzianas, medios ópticos u otros medios electromagnéticos con inclusión de las redes de satélites, redes terrestres fijas (de conmutación de circuitos y de paquetes, incluida Internet) y móviles, sistemas de tendido eléctrico, en la medida en que se utilicen para la transmisión de señales, redes utilizadas para la radiodifusión sonora y televisiva y redes de televisión por cable, con independencia del tipo de información transportada.

Y servicio de comunicaciones electrónicas

el prestado por lo general a cambio de una remuneración que consiste, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas, con inclusión de los servicios de telecomunicaciones y servicios de transmisión en las redes utilizadas para la radiodifusión, pero no de los servicios que suministren contenidos transmitidos mediante redes y servicios de comunicaciones electrónicas o de las actividades que consistan en el ejercicio del control editorial sobre dichos contenidos; quedan excluidos, asimismo, los servicios de la sociedad de la información definidos en el artículo 1 de la Directiva 98/34/CE que no consistan, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas.

Las exclusiones que prevé el artículo son de transmisión de contenidos (como televisión por cable, etc.) y servicios como el hosting o alojamiento de contenidos. Por lo tanto, no puede decirse que las empresas, como Whatsapp, no debieran estar sujetas a esta norma.

Pero incluso, aunque no lo estuviera, la lectura del artículo 18.3 de la Constitución no podría resultar en una situación de menor respeto al secreto a las comunicaciones en función del método empleado.

Podría argumentarse que el mensaje al que se accede por el destinatario del mismo, en el momento de la lectura deja de verse afectado por el secreto de las comunicaciones y es considerado como un documento, sujeto al derecho a la intimidad. Pero la copia que se almacenaría lo hace antes de ser leído, lo que se generaría de manera ilícita.

En conclusión, no debería ser admisible que los proveedores de servicios de comunicaciones electrónicas, o como se consideren este tipo de servicios, accedan o puedan acceder al contenido de los mensajes intercambiados por una persona, al menos si una de las partes no ha hecho participe de la comunicación a terceras personas, que en un momento determinado puedan acreditar ese contenido.

Esa sería la labor de terceros de confianza o prestadores de servicios de certificación, que realizan el envío de la comunicación por cuenta de una de las partes o bien figuran como destinatarios del mensaje, de tal manera que ante una impugnación actúen como testigos de la parte proponente.

Apple y el desbloqueo de dispositivos cifrados, ¿qué pasaría en España?

La información que transportamos en nuestros móviles es cada día más importante y abundante.

Además, cada vez es más sensible, por lo que el cifrado de los dispositivos de almacenamiento de información es, cada vez, más habitual. Y ello incluye teléfonos móviles, nuestros nuevos "ordenadores" portátiles.

Pues bien, uno de los presuntos autores de los asesinatos de San Bernardino tenía un Iphone con los datos cifrados. Es decir, no son accesibles si no se introduce la contraseña concreta que permita su lectura.

Evidentemente, el responsable, no va a facilitar una contraseña que desbloquee la información y permita a los investigadores obtener más pruebas en su contra. Es decir, hace lo que cualquiera en su situación haría.

Pues bien, la noticia es que el juez que estudia el caso, previo requerimiento del FBI, ha ordenado a Apple que proporcione "asistencia técnica razonable" para que los investigadores puedan desbloquear esos datos.

Apple ha publicado una carta abierta en la que se niega indicando que:

"Compromising the security of our personal information can ultimately put our personal safety at risk. That is why encryption has become so important to all of us."

Apple, además, arguye que el FBI se basa en una norma de 1879 en lugar de proponer las modificaciones legislativas pertinentes. 

Hay muchas razones para entender la postura de Apple, fundamentalmente que el desarrollo de este tipo de sistemas abren la vía a vulnerabilidades posteriores que afecten a todos e incluso que le afecte en su posición de negocio.

Desconozco los extremos de la regulación estadounidense al respecto, pero si es interesante plantearse qué pasaría en España con una situación similar, en la que investigadores quieran acceder al contenido de un teléfono cifrado.

Régimen legal de encuestas electorales en twitter

Hace unos años hice un post sobre los blogs y la posición de estos antes de las elecciones, analizando varios elementos que son regulados por la Ley Orgánica de Régimen Electoral General.

Pues bien, en 2007, fecha de ese texto, pocas redes sociales estaban tan implantadas como las actuales y básicamente las herramientas de elaboración y difusión de contenidos eran los blogs. Así que no está demás analizar algún aspecto de las redes sociales.

De hecho, la última herramienta de encuestas introducida por Twitter resulta especialmente útil para poder realizar sondeos de opinión entre los seguidores, lo que facilita difundir y divulgar encuestas (por dudosa que sea la metodología empleada) sobre el resultado electoral:

Ejemplo de encuesta en twitter que podría hacerse estos días

Añadamos a eso una legislación electoral todavía anterior, aún con parches, y tendremos ciertas normas y reglas que, en un sociedad de la información como la actual, resultan un poco anacrónicas.

Ahora, bien, ello no obsta para que la ley deba ser cumplida y la Ley es clara en un aspecto:

"7. Durante los cinco días anteriores al de la votación queda prohibida la publicación y difusión o reproducción de sondeos electorales por cualquier medio de comunicación."

Es decir, desde el martes 15 de diciembre no está permitida la publicación pero tampoco la difusión de sondeos electorales. Por lo tanto, podría hacerse la encuesta pero no puede publicarse, lo que tiene su lógica si ello conlleva un coste que se prevé amortizar con la publicación, pero si la encuesta no tiene coste...

Este artículo fue uno de los modificados en el año 2011 (para añadir la conducta consistente en la reproducción) cuando ya las redes sociales formaban parte de la realidad cotidiana de muchos ciudadanos y de las campañas electorales, por lo que pensar que porque la ley es de 1985 y en ese momento no había redes sociales y por eso no se aplica no tendría ningún sentido.

Sí que se debería analizar si Twitter, o Facebook, o cualquier otra red social, pueden ser considerados como ese "cualquier medio de comunicación".

Este es un tema complejo, que analicé en relación a los blogs en su momento, y que no ofrece una respuesta clara. La única instrucción de la Junta Electoral Central sobre el tema (pdf), del año 2007, que básicamente vino a señalar que las previsiones se aplicarán igual que a los medios no electrónicos:

"El vertiginoso desarrollo que las tecnologías de la información y de la comunicación han tenido desde la aprobación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, es un hecho bien contrastado.
En algunos recientes procesos electorales se han producido distintos incidentes por la utilización de este tipo de instrumentos que las Juntas Electorales han resuelto en función de las circunstancias concurrentes. No obstante, resulta conveniente recordar con carácter general que las limitaciones establecidas por la legislación electoral son también aplicables al uso de este tipo de medios electrónicos"

Es decir, tenemos un marco legislativo que parece querer alcanzar también a las redes sociales, si tenemos en cuenta lo expuesto.

Además, como he señalado, la limitación alcanza a la difusión por lo que quien difunde, aunque no haya elaborado la encuesta, puede ser considerado responsable.

Por lo tanto, podemos decir que va contra la ley electoral el hacer o difundir encuestas electorales en twitter. Esto incluye hacer retuits de encuestas de otras personas o publicadas en medios extranjeros (práctica habitual la de las encuestas de medios andorranos).

La consecuencia de ello no es baladí, puesto que incumplir esto constituye un delito electoral, penado según el artículo 145 de la LOREG:

"Quienes infrinjan la normativa vigente en materia de encuestas electorales serán castigados con la pena de prisión de tres meses a un año, multa de doce a veinticuatro meses e inhabilitación especial para profesión, oficio, industria o comercio por tiempo de uno a tres años."

La LOREG también se ocupa de la forma en que deben divulgarse las encuestas 

1. Los realizadores de todo sondeo o encuesta deben, bajo su responsabilidad, acompañarla de las siguientes especificaciones, que asimismo deben incluir toda publicación de las mismas:

a) Denominación y domicilio del organismo o entidad, pública o privada o de la persona física que haya realizado el sondeo, así como de la que haya encargado su realización.
b) Características técnicas del sondeo, que incluyan necesariamente los siguientes extremos: sistema de muestreo, tamaño de la muestra, margen de error de la misma, nivel de representatividad, procedimiento de selección de los encuestados y fecha de realización del trabajo de campo.
c) Texto íntegro de las cuestiones planteadas y número de personas que no han contestado a cada una de ellas.

Y de hecho, la Junta Electoral pueda solicitar aclaraciones, modificaciones y correcciones a quienes realicen la encuesta.

Como vemos, a pesar de que no parece casar muy bien con la realidad, las reglas son las que son y las consecuencias pueden llegar a ser importantes.

Así que ya sabéis, olvidaros de encuestas y sondeos por una semana, que bastantes hemos tenido ya.

La historia del artículo 18.4 de la Constitución.

"La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos."

Así reza uno de los artículos más importantes y más interesantes de la Constitución Española y que es sin duda mi favorito de todos ellos, por lo revolucionario que supone encontrar en 1978 una mención tan clara y tan útil para el Siglo XXI desde un punto de vista legal.

Este párrafo, tiene su antecedente directo tanto en las normas nacionales aprobadas en toda Europa, como en el artículo 35 de la Constitución Portuguesa que ya hablaba de la utilización de la informática, fundamentalmente en relación al tratamiento de datos personales.

Es interesante repasar los trabajos parlamentarios para ver como el lesgislador constitucional llegó a la conclusión de que la informática debía estar presente, en sentido negativo, en la Constitución.

Dado que los primeros trabajos constitucionales fueron reservados, sólo quedan las actas de la comisión, publicadas en 1984, pero no las intervenciones de los grupos, es difícil conocer posiciones más concretas o el punto exacto en el que se decidió introducir la informática.

En la sesión del 8 de septiembre de 1977 se habla del contenido del artículo 21 y de la conveniencia o no de incluir la informática como técnica, duda que se presentará en todo el trámite de aprobación de la Constitución.

Artículo 21 según las actas de la Ponencia Constitucional

Queda pendiente la redacción, indicando el representante del grupo Vasco-Catalán que aportaría una redacción en relación con este asunto, que finalmente llegó al primer borrador de texto constitucional, en enero de 1978 (pdf)

"4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos"

Como se ve no hay mucha diferencia con el texto finalmente aprobado, si bien durante el debate pasó por un cambio de numeración, llegando a integrarse en el artículo 17 en el informe de la ponencia de 17 de abril de 1978(pdf) y una leve variación sobre su redacción:

«La ley limitará el uso de la informática de manera que quede a salvo el respeto a la intimidad personal y familiar y al honor de los ciudadanos»

Algunas notas críticas sobre la legalización de libros mercantiles

Programa Legalia para la legalización de libros

Una de las novedades de este año en relación a las obligaciones de asesores y empresas es la de proceder a la legalización de los libros mercantiles (libro de actas, libros contables, etc.) de manera telemática.

Antes lo que se hacía con estos libros era llevarlos al registro mercantil correspondiente y allí se les hacía un troquelado o sellado, de tal manera que se impedía modificar con posterioridad su contenido. Es decir, lo que se pretende es evitar alteraciones posteriores. Explica muy bien como se hacía el notario Luis Prados:

Más sobre el proceso de legalización en el Registro Mercantil de Madrid.

Pues bien, ahora esto se hará de manera telemáticamente y ello en base al artículo 18 de la ley de emprendedores y a una Instrucción de la Dirección General de los Registros y el Notariado de febrero de este mismo año.

Criterios para eliminar resultados de Google tras la Sentencia de la Audiencia Nacional

Tras la Sentencia del Tribunal de Justicia, que resolvía lo consultado por la Audiencia Nacional, esta ha dictado las primeras sentencias (pdf) en aplicación de lo señalado por la conocida como sentencia del "derecho al olvido".

A lo largo de sus 44 páginas hace un recorrido por los argumentos y decisiones recaídas en el procedimiento desde que se instase a la eliminación de los resultados del buscador.

La Audiencia Nacional comenzará hacer públicas durante los próximos días varias sentencias más en aplicación de los criterios del Tribunal de Justicia y fijando aquellos que resultan aplicables al concreto caso español.

Hay que fijar, en primer lugar, que no hay ninguna duda de que Google o cualquier otra empresa, mediante su buscador, realiza un tratamiento de datos personales, eso ya lo dijo la propia STJUE.

"La resolución recurrida considera que los buscadores en el ejercicio de su actividad, efectúan un tratamiento de datos de carácter personal por lo que están obligados a hacer efectivo el derecho de cancelación y/oposición del interesado que se opone a que se indexe y sea puesta a disposición de los internautas determinada información a él referente que se encuentra en páginas de tercero y permiten relacionarles con la misma, y a cumplir con los requerimientos que les dirija la AEPD en la tutela de esos derechos." 

El robo de móviles no permite ceder los datos de quien usó después el terminal (SAP Girona)

Los robos de terminales, en ocasiones meros hurtos, son uno de los delitos cada vez más habituales. Cuando a una persona le roban un terminal, en particular los conocidos como "smartphones" tienen un valor superior a 400 euros, por lo que estamos ante un delito.

En el caso de robo del móvil, la práctica habitual es que se denuncie en la comisaría de Policía, que esa denuncia pase al juzgado de instrucción que corresponda y que se acompañe con la solicitud de la Policía para que libre oficio a los operadores para que con el IMEI del terminal identifiquen si alguna tarjeta SIM, y a quien corresponde esta, se ha usado en ese teléfono.

La Audiencia Provincial de Girona, en su sentencia de 13 de junio de 2014 (pdf), confirmó la resolución del Juzgado de de Instrucción nº 1 de Girona, por la que se denegaba a la Policía mandamiento para obtener de oficio dirigido a compañías telefónicas "solicitando si alguna tarjeta SIM empleó el terminal telefónico sustraído a la denunciante, en las fechas inmediatamente posteriores
al delito de robo con violencia denunciado".

  

La Fiscalía recurrió la negativa a dar los datos, argumentando, como es habitual, que:

"la limitación de derechos fundamentales es mínima, ya que solo se trata de averiguar los datos que pide la policía en su escrito y en ningún caso de conocer el contenido de conversaciones privadas."

Argumento clásico en todos los escritos de quienes pretenden acceder a los datos retenidos pero que ya fue desechado por el Tribunal de Justicia de la UE cuando anuló la Directiva.

No se entiende que lo relevante no es el acceso concreto a los datos, sino que la injerencia se produce desde el momento de la recopilación de los mismos.

La Audiencia Provincial de Girona, resuelve el recurso respaldando al Juzgado y desestima el recurso con  argumentos bastante contundentes.

Recuerda que:

"[...] la Ley 25/2007 tuvo, como objetivo principal, la transposición de la Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15 de marzo, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones; y que la precitada Directiva se refiere, expresamente, a que
los datos conservados deberán estar disponibles a los fines de detección o investigación por delitos graves,definidos éstos de acuerdo con la legislación interna de cada Estado miembro."

Tras analizar las diferentes posibles maneras de interpretar el concepto de "delitos graves" (penal, teleológica o persecución de delitos de crimen organizado) y señalar que no procede su aplicación al caso, recuerda la anulación de la Directiva de Retención de Datos, sí claramente indica que:

"[...] lo más relevante de misma [STJUE de 8 de abril] es que realiza una interpretación restrictiva de los supuestos en los que la conservación y posterior cesión de los datos conservados es acorde con la normativa comunitaria y con el Convenio Europeo de Derechos Humanos.
Conforme a la mencionada sentencia, dicha conservación y cesión deben circunscribirse, exclusivamente, a los delitos graves, pues sólo en esos casos estaría justificada la injerencia que dichas medidas suponen (así se declara en los parágrafos 34, 35 y 36 de la STJUE)."

Concluyendo que:

"Es por ello que esta Sala debe concluir que únicamente procederá hacer uso de las facultades de petición de datos que otorga la ley 25/2007  en los casos que se investiguen delitos graves, entendido este último término en el sentido legal estricto previsto en nuestra legislación penal ( art. 33.2 CP )"

Y sobre todo, señalando que

"el legislador nacional puede sin duda realizar una modificación legislativa que, respetando la mencionada STJUE, regule la materia de una manera más eficaz para la lucha contra la delincuencia y permita adoptar estas medidas en otros tipos de delitos; pero mientras ello no ocurra no debe el Poder Judicial subsanar la inacción, o la falta de diligencia, del Poder Legislativo, realizando una interpretación de las normas existentes en contra de la jurisprudencia comunitaria y de los tratados internacionales suscritos por España, singularmente el Convenio Europeo de Derechos Humanos"

Esto, sin duda, debe tenerse en cuenta, en particular con una reforma que habilita la cesión de datos en supuestos civiles para proteger la Propiedad Intelectual y que podría ser anulada por los tribunales europeos.

La reforma de la Ley de Enjuiciamiento Criminal ya prevé ampliar los supuestos de cesiones, pero estas reformas igualmente deberán, como recuerda la Audiencia, cumplir con los criterios de los tratados de derechos humanos.

De momento, en Girona, si te roban un móvil, difícil saber quien ha puesto una SIM en ese terminal.

Tribler, intercambio anónimo archivos y el peligro de los "falso positivos"

Una de las aplicaciones para el intercambio de archivos basados en el protocolo Bittorrent, Tribler, ha presentado su versión mejorada que asegura una navegación más anónima o más difícil de rastrear.

Tribler, cliente Bittorrent sobre TOR

Según cuentan en la página del proyecto, desarrollan su propia red TOR cifrada con el fin de que no sea sencillo localizar a quien comparte y a quien descarga. Incluso se da la opción de funcionamiento anónimo para los "seeders" o semillas, lo que haría casi imposible rastrear el origen de un archivo compartido.

Me he acordado de Tribler, porque otra de las características que tiene este cliente Bittorrent es que no necesita de páginas de enlaces para localizar los archivos ".torrent" ya que son localizables directamente desde su propio buscador.

 

Cómo hacer un buscador de archivos ".torrent" sin necesidad de web es una cosa que Tribler resuelve descargando varios miles de esos torrent en los ordenadores que instalan el programa, de manera  se depositan en la carpeta “collected_torrent_files” hasta 50.000 torrent.

 

Carpeta con Torrents descargados
automáticamente por la aplicación

Se genera así una base de datos distribuida entre todos los usuarios de la aplicación de tal manera que el usuario no tiene que dirigirse a ninguna web para realizar su búsqueda y puede localizar los contenidos desde la propia aplicación.

Esta característica es aprovechada por la Policía para investigar la difusión de pornografía infantil, por ejemplo. Ya que con ese buscador no es necesario acceder a foros donde se publiquen los ".torrent", pueden coger los ".torrent" de esa carpeta y directamente cargarlos en sus aplicaciones de rastreo y ver quien está compartiendo los archivos investigados. 

Sumado a ello la figura del "agente encubierto" informático que se pretende crear da unas grandes posibilidades de investigación.

 

Pero también puede convertirse en un problema, puesto que los ".torrent" que se descargan en el ordenador son de todo tipo. Es decir, no hay un filtro, así que pueden aparecer torrents identificativos de archivos con pornografía infantil, por ejemplo.

Por supuesto ello no quiere decir que el usuario haya compartido o se haya descargado el archivo, pero sí se ha dado el caso de usuarios que han instalado la aplicación y en revisiones posteriores por peritos han sido señalados por tener "rastros" en su ordenador de este tipo de archivos, con acusaciones muy graves de delitos.

Esto, que da lugar a un "falso positivo" puede provocar situaciones incómodas e incluso acusaciones que luego hay que andar explicando en los juzgados.

Es necesario, por lo tanto, conocer estos instrumentos para evitar este tipo de "falsos positivos" ahora que además las opciones de cifrado complicarán el rastreo del origen de la comunicación, puesto que podría parecer en un momento dado que se apunta a una persona y ser ella simplemente un nodo más en la red TOR que Tribler genera para la comunicación entre clientes.

10 preguntas, y muchas dudas, sobre el uso de troyanos en la nueva Ley de Enjuiciamiento Criminal

Una de las medidas más llamativas, y que si no se cambia generará muchos problemas en la práctica, del proyecto de reforma de la Ley de Enjuiciamiento Criminal es la posibilidad de que se use software espía (o troyanos) para revisar el contenido de equipos o dispositivos informáticos de personas investigadas.

Como a veces se habla de troyanos y otro sistemas de monitorización, veamos exactamente en qué consiste la propuesta y alguno de los problemas que se plantean.

1- ¿Qué puede hacerse?

En realidad son dos las cosas que se podrán hacer. 

Por un lado instalar un software espía que permita "el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos",

Y por otro, solicitar a los administradores de sistemas que proporcionen las contraseñas y nombres de usuarios para acceder a servidores o sistemas de alojamiento que pudieran ser de un investigado.

Por lo tanto, no es sólo instalar un software. Esto abre la posibilidad de acudir a un prestador de servicios de alojamiento y obtener la contraseña de acceso de nuestro servidor, para que se pueda analizar todo el contenido allí alojado.

2- ¿En qué consiste?

Hay que destacar que el objeto de la medida es sólo "el examen a distancia del contenido" no puede utilizarse software que intervenga comunicaciones. Las comunicaciones deben quedar al margen de esto, puesto que el artículo habla sólo del examen del contenido.

De hecho la medida se "titula" como "Registros remotos". Un registro en la práctica habitual era entrar en una casa o local o revisar una mochila, pero si durante un registro se encontraba una carta sin abrir no podría abrirse, porque el derecho afectado era el secreto de las comunicaciones. Aquí se afectaría la intimidad.

La instalación de un keylogger u otro sistema que pueda monitorizar todo lo que pasa en tiempo real en un sistema puede afectar a las comunicaciones y por lo tanto, no será objeto de esta medida.

El registro de un sistema no es la intervención de las comunicaciones, los derechos fundamentales afectados son diferentes.

3- ¿Cuáles son los casos en los que se aplicaría?

En principio se citan los delitos de "especial gravedad" o alguno del listado:

a) Delitos cometidos en el seno de organizaciones criminales.b) Delitos de terrorismo.c) Delitos cometidos contra menores o personas con capacidad modificada judicialmente.d) Delitos contra la Constitución, de traición y relativos a la defensa nacional.

Como ya tenemos experiencia en conceptos que se quieren sean indeterminados, lo de especial gravedad, puede ser cualquiera que tenga un componente informático, con independencia de la pena. Aunque esto es una indeterminación que puede abrir la puerta a muchos problemas.

No, no hay diferente tratamiento en el orden penal y social sobre las comunicaciones de los trabajadores

El pasado mes de junio, el Tribunal Supremo, en su Sala de lo Penal abordó la cuestión del secreto de las comunicaciones del ordenador empleado por el trabajador, si bien no era ese un objeto central de la discusión jurídica aplicable al supuesto analizado.

El Supremo en este caso, señalaba la doctrina de la sala de lo Social en el sentido de las facultades de control y verificación de los usos de los medios informáticos por el trabajador en la empresa, si bien manifestando que eso era un cuestión del otro ámbito, el del derecho del trabajo:

"Criterios contenidos en esas Resoluciones y que no desconocemos que han sido posteriormente avalados por el propio Tribunal Constitucional, en Sentencias como las de 17 de Diciembre de 2012 y 7 de Octubre de 2013, que, a nuestro juicio, han de quedar restringidos al ámbito de la Jurisdicción laboral, ante el que obviamente nuestra actitud no puede ser otra más que la de un absoluto respeto, máxime cuando cuentan con la confirmación constitucional a la que acabamos de referirnos, pero que, en modo alguno, procede que se extiendan al enjuiciamiento penal, por mucho que en éste la gravedad de los hechos que son su objeto, delitos que en ocasiones incluso constituyen infracciones de una importante relevancia, supere la de las infracciones laborales a partir de las que, ante su posible existencia, se justifica la injerencia en el derecho al secreto de las comunicaciones del sospechoso de cometerlas"

Daba la impresión de que optaba por una solución diferente en función del ámbito judicial en que estuviésemos.

Algunos interpretaron que esa declaración de restricción de ámbitos implicaba que el fallo no era aplicable a la jurisdicción social y que el secreto de las comunicaciones era revisable por el empresario o empleador.

Pues bien, para ilustrar como los juzgados sociales no lo ven así, y que realmente no hay enfoque diferenciado, podemos ver como ejemplo la Sentencia del Tribunal Superior de Justicia de La Rioja de 11 de julio de 2014 (pdf), precisamente, que confirma la del juzgado de lo Social que limita el control empresarial de los equipos informáticos:

Así dice que:

"Por otro lado, desde un punto de vista objetivo, el control empresarial estaría vedado en aquellos ámbitos protegidos por los derechos fundamentales en presencia, es decir, los relativos a la intimidad personal y al secreto de las comunicaciones. Esto significa que quedan indiscutiblemente al margen del control empresarial, tanto los archivos personales (protegidos por el primero), como las comunicaciones telefónicas o el correo electrónico (amparados por el segundo)."

Es decir, no hay un ámbito separado, la comunicaciones del trabajador son secretas e inviolables, con independencia de las cláusulas expuestas por la empresa.

En este caso se pretendió usar la figura del hallazgo casual para justificar el acceso al correo electrónico ya que compañeras de trabajo del despedido accedieron a su ordenador (no era compartido) y vieron abierta la carpeta de Gmail. Pero eso fue usando la contraseña del compañero para desbloquear el acceso.

Es importante, por lo tanto, tener claro que no es una cuestión sólo del ámbito penal, sino que en la jurisdicción laboral un despido basado únicamente como prueba en correos electrónicos del trabajador puede tener muy poco recorrido.