¿Puedo atacar a quien me ataca? Legítima defensa y autodefensa frente ataques informáticos

La noticia de que un coche con sistema de conexión con el fabricante ha bloqueado los sistemas de apertura de puertas, de manera remota, permitiendo que el ladrón quedase atrapado pone en evidencia las posibilidades de reaccionar con la tecnología a quien nos ataca, en este caso en el mundo físico.

En el caso del coche, la existencia de sistemas de control del vehículo permitió determinar que estaba parado y con el motor en marcha, pero que pasa si se encierra el vehículo y quien está dentro tiene que poder salir del mismo por una urgencia o lo ha robado porque no existía otra forma de llegar a un servicio médico de urgencias (en el caso descrito el coche estaba abierto y con las llaves), etc.

Parece, a priori, razonable que como respuesta a un ataque a nuestra propiedad esta se pueda "auto-defender" (chiste malo) pero plantea muchos problemas en relación a los criterios que sirven de parámetro para justificar tal actuación. Por ejemplo, si se detecta la ruptura del cristal que el coche, con conducción autónoma, pueda arrancar y alejarse del lugar incluso atropellando al atacante, ¿sería admisible?. O, ¿sería correcto que si no pagamos una cuota del renting el vehículo se vaya de nuestro lado y vuelva al garaje de la empresa propietaria?.

Podemos considerar ambas conductas como ataques a la propiedad, en diferente intensidad y consideración, pero estas posibilidades permiten plantear nuevos retos a las figuras clásicas de posesión, propiedad, etc.

Pero en relación a los ciberataques como el que sufrió recientemente una empresa de servicios sobre DNS es frecuente que se plantee si cabe como respuesta no sólo la adopción de medidas de bloqueo de las peticiones (blacklisting de IP's), de empleo de balanceadores de carga o de otros sistemas de defensa, sino de poder actuar contra la fuente del ataque empleando medios similares, como por ejemplo un ataque de denegación de servicio contra el origen o de infectar con un virus si se detecta una intrusión en un sistema o devolviendo la "visita".

Es decir, hay muchas cosas que se pueden hacer una vez localizada la fuente de un ataque, ahora bien, ¿podemos contraatacar? ¿cabe la legítima defensa digital?.

Reforma del Código Penal, delitos informáticos y contra la propiedad intelectual

Hoy se publica en el Boletín Oficial del Estado la reforma del Código Penal, mediante la Ley Orgánica 5/2010, de 22 de junio, que entrará en vigor el 23 de diciembre de este mismo año.

• Delitos contra la propiedad intelectual

En relación con la Propiedad Intelectual la principal novedad del texto radica en la decisión de rebajar las penas para las infracciones a pequeña escala de la misma, como por ejemplo el conocido "top manta" para lo que se ha modificado el artículo 270 añadiéndole un nuevo párrafo y dejándolo como sigue:

«No obstante, en los casos de distribución al por menor, atendidas las características del culpable y la reducida cuantía del beneficio económico, siempre que no concurra ninguna de las circunstancias del artículo siguiente, el Juez podrá imponer la pena de multa de tres a seis meses o trabajos en beneficio de la comunidad de treinta y uno a sesenta días. En los mismos supuestos, cuando el beneficio no exceda de 400 euros, se castigará el hecho como falta del artículo 623.5.»

Así la nefasta reforma del año 2003 que agravó la pena al sustituir la conjunción "y" por "o" y dejar la sanción en "prisión y multa" y que provocó que el juez no dispusiese de capacidad para modular la condena en términos razonables a la infracción cometida ahora es revocada, si bien con una redacción francamente mejorable.

 

En mi opinión sigue siendo mejor la redacción anterior a 2003 y es a donde se debería haber vuelto. Esta redacción actual genera el problema de la acreditación del beneficio económico, que incluso determina que no sea delito sino falta.

El problema es que en los delitos contra la propiedad intelectual se realiza la conducta típica incluso sin previa distribución de ejemplares, con la mera oferta de los mismos, por ejemplo, por lo que queda por determinar como se calcula el beneficio, con los problemas que eso puede generar.

La solución podría ser por la suma de lo que se obtiene como ganancia del total de los bienes incautados, por ejemplo, por lo que dificilmente a un mantero se le cogerá en la comisión de un delito. Hay que considerar que si vende un CD a 2 €uros y 1€ es beneficio, dificilmente llevará 400 CD encima. De todas formas se adaptarán para que en las mantas no se ponga más de 400 €uros en material y así no entrar nunca en el ámbito del delito y que todo quede como una falta.

En ese caso, la falta se castiga con localización permanente de cuatro a 12 días o multa de uno a dos meses.

 

Lo mismo se prevé para las infracciones de propiedad industrial y con la misma problemática. Y en el caso de estos delitos también se aclara el problema respecto de las importaciones y las compras lícitas dentro de la Unión Europea.

• Delitos informáticos

Además de estos cambios respecto de la protección penal de la propiedad intelectual, otro aspecto con importante presencia en la reforma tiene que ver con lo que la propia reforma denomina "Delitos informáticos".

"En el marco de los denominados delitos informáticos, para cumplimentar la Decisión Marco 2005/222/JAI, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información, se ha resuelto incardinar las conductas punibles en dos apartados diferentes, al tratarse de bienes jurídicos diversos. El primero, relativo a los daños, donde quedarían incluidas las consistentes en dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos o programas informáticos ajenos, así como obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno. El segundo apartado se refiere al descubrimiento y revelación de secretos, donde estaría comprendido el acceso sin autorización vulnerando las medidas de seguridad a datos o programas informáticos contenidos en un sistema o en parte del mismo."

• Delitos Informáticos: Acceso a sistemas

Así se introduce un nuevo artículo 197.3 que establece:

"El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años. 

Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en este artículo, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33"

Se tipifica por lo tanto la intromisión en sistemas ajenos de manera clara y expresa completando lo que ya se preveía para el apoderamiento de documentación del 197.2, lo que sucede es que aquí se castiga la mera entrada en el sistema, se produzcan o no daños o lesiones a los derechos del propietario del sistema.

El problema radica en qué se entiende por acceder a datos o programas informáticos contenidos en un sistema, ya que si por ejemplo realizo una petición de ftp para ver el contenido de una carpeta en un servidor, ¿estaré accediendo a los datos y programas aunque no los lea o descargue?

Lo cierto es que de esta forma las conductas que modifican páginas web aprovechándose de vulnerabilidades conocidas entran en el ámbito de este artículo.

Queda por ver si esta medida mejora o no la seguridad informática, dado que una forma habitual de comprobar vulnerabilidades es precisamente someter a pruebas a los sistemas. Falta en mi opinión en la redacción un referencia a la autorización o permiso para la entrada saltándose las medidas de seguridad, como con las empresas de auditoría, ya que el tipo penal, en principio y en una lectura estricta, no distingue cuando el acceso al sistema se realiza con o sin permiso del propietario.

Esta referencia al permiso se contiene sólo para el caso de que quien accede se mantenga dentro del sistema, pero en mi opinión es insuficiente.

• Delitos informáticos: Defraudaciones

También se añade al Código Penal un apartado en el artículo 248.2:

"1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.

2. También se consideran reos de estafa:

a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.

b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo."

Este añadido penaliza la programación de aplicaciones que permitan la comisión de las estafas, así como su difusión e incluso su mera tenencia, aun cuando la aplicación no haya sido utilizada. Eso si, los programas deben reunir el requisito de estar especificamente destinados a tal fin, en la medida en que sirvan para otros fines o usos, la conducta no será punible, al igual que sucede con los chips de las consolas, por ejemplo.

• Delitos Informáticos: Daños

Se modifica el artículo 264 para recoger los daños provocados en los sistemas informáticos:

1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años.

2. El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años.

Este delito castiga tanto la destrucción de información como los ataques que impiden que un sistema pueda funcionar correctamente, tipo DoS.

Sí que era evidente la necesidad de que estos delitos se recogiese de alguna manera ya que los daños por ataues de este tipo si pueden ser muy importantes. La única cuestión radica en cuando se estará ante un resultado grave, ya que la prueba de ello puede ser dificil y al quedar unicamente a criterio del juez sin mayores referencias que la prueba que pueda practicar la parte y sus alegaciones puede hacer que no siempre el resultado sea adecuado.

Sin duda este redactado ayudará a perseguir asuntos como el ataque a Genbeta y meneame.net por ejemplo, que sufrió un "errático deambular" judicial.

En resumen, una reforma que afecta de manera importante a la tecnología informática y en la que hay soluciones que deberían haberse planteado en otros términos, pero en definitiva un intento de adaptar nuestro Código Penal a las nuevas formas de delincuencia que se cometen con nuevos medios.

El procesamiento a Garzón, Dura Lex Sed Lex

Curioso que un 14 de abril estemos hablando de esto, ironías del destino...

El asunto del proceso seguido contra el juez de la Audiencia Nacional Baltasar Garzón por el auto en el que se atribuía la competencia para la investigación de determinados delitos cometidos durante la Guerra Civil y el franquismo, se está convirtiendo en una cuestión de opinión de la que no siempre se ofrecen o utilizan los instrumentos jurídicos para mostrar un marco claro y poder llegar a conclusiones razonables y razonadas.

En su momento ya comenté mi opinión sobre ese auto de procesamiento que ha dado lugar a todo este embrollado, y del que recomiendo nuevamente su lectura por su interés en el estudio de la cuestión a nivel de protección de los derechos humanos y por la voluntad del juez en hacer justicia.

El problema es confundir la justicia con la ley, cuando ambos valores no coinciden exactamente se produce un conflicto que nos hace chirriar los argumentos del sentido común.

En mi opinión, como ya dije en su momento, Garzón ejecutó un importante "hack" del sistema y expuso un argumentario bien construido para lograr un fin francamente loable desde el punto de vista de la justicia de las víctimas.

Ahora bien, juridicamente su posición me pareció dificilmente defendible, y de hecho la propia fiscalía recurrió su auto y finalmente fue revocado.

Con posterioridad se presentó la querella por prevaricación contra el juez (tiene otras dos por cuestiones diferentes, pero eso son otros temas) por parte de Manos Limpias y Falange Española por atribuirse la competencia para la investigación de determinados delitos cometidos durante el franquismo.

Ahora este juez se encuentra en situación procesal de imputado por un delito de prevaricación, lo que no quiere decir ni que esté condenado ni que vaya a serlo. Hace poco escribí sobre el delito de prevaricación y los requisitos para la estimación del delito y en particular es interesante la doctrina sobre cuando se da la arbitrariedad por la adopción de la resolución:

Son  "arbitrarias" (como sintetiza la Sentencia de la Audiencia Provincial de Burgos de 16 de noviembre de 2009) las resoluciones y los actos contrarios a la justicia, la razón y las leyes, dictados sólo por la voluntad o el capricho. Esta ausencia de fundamentación jurídica razonable distinta de la voluntad de su autor, y la manifiesta contradicción con la justicia, son los elementos que caracterizan al acto arbitrario (sentencias 61/1998, de 27 de enero, 487/1998, de 6 de abril o 674/1998 de 9 de junio). 

"La injusticia o arbitrariedad a que se refiere la resolución puede verse concretada en la absoluta falta de competencia del acusado, en la inobservancia de las mas elementales normas del procedimiento o en el propio contenido sustancial de la resolución, de modo que ésta implique un torcimiento del derecho, o una contradicción con el Ordenamiento jurídico, de tal manera patente, que pueda ser apreciada por cualquiera, no bastando la mera ilegalidad que puede ser producto de una interpretación errónea, equivocada o discutible, como tantas veces ocurre en el mundo del Derecho (sentencias Sala 2ª Tribunal Supremo de 20 de abril de 1995, o 1 de abril de 1996, entre otras)."

Pero no basta con que la resolución sea contraria a derecho para que pueda reputarse un delito, la injusticia que permite el reproche penal de la conducta sólo se da cuando sea evidente, patente, flagrante y clamorosa.

Así se señala que:

"[...] el Código Penal vigente  ha puesto el acento en el dato, más objetivo y de fondo, del "ejercicio arbitrario del poder" proscrito por el art. 9.3 CE. Se ejerce arbitrariamente el poder cuando el funcionario dicta una resolución que no es efecto de la aplicación de la Constitución y del resto del ordenamiento jurídico - a los que están sujetos tanto los poderes públicos como los ciudadanos según el art. 9.1 CE - sino, pura y simplemente, de su capricho, de su voluntad convertida irrazonablemente en aparente fuente de normatividad. Cuando se actúa así y el resultado es una injusticia, es decir, una lesión del mejor derecho - si la resolución ha de reconocerlo a uno u otro ciudadano - o del interés colectivo - si es éste el que está en juego - se "pone" el elemento objetivo de la prevaricación."

En este asunto nos estamos rasgando las vestiduras o poniendo la venda antes de la herida, queda mucho camino para que Garzón sea condenado, si es que lo es (personalmente creo que no, aunque ha estado cerca), pero la realidad es que no me molesta que se investigue incluso al juez que mejor reputación pública tenga, por muy buenas cosas que haya hecho en el pasado, si ha hecho una cosa aparentemente incorrecta.

No pasa nada, normalidad, es lo mejor para un estado de derecho. Yo puedo estar toda mi vida comportándome bien, pero si un día hago una cosa mal todo el mundo espera que sufra las consecuencias, es la lógica de la vida en sociedad, ¿porqué no iba a suceder lo mismo con un juez?

Y no importa quienes sean los denunciantes o su ideología, si la legislación les atribuye capacidad de obrar (otra cosa es que en mi opinión algunno debería ser ilegalizado con el mismo ímpetu que otras organizaciones) y capacidad para ser parte en un proceso deben ser atendidas sus reclamaciones.

Por eso creo que se está crispando irresponsablemente la opinión, pública este tema debería analizarse con instrumentos jurídicos y ver que no existe una razón para todo lo que está sucediendo.

También es verdad que sigo pensando que quienes deberían estar en el banquillo por prevaricación son los jueces, fiscales y cargos públicos que a sabiendas de donde hay muertos en las cunetas no han hecho nada por identificar esos cadáveres, averiguar la causa de la muerte y, sobre todo, entregárselos,a las familias que tragicamente los perdieron.

Esa es la gran vergüenza de este país.

Garzón, hacking jurídico al sistema

Tema polémico sobre el que no voy a entrar en profundidad, pero si que quiero dar más datos para que cada uno pueda sacar sus propias conclusiones a la vista de que informarse por los medios tradicionales es una cosa cada vez más complicada, puesto que se mezcla opinión con información y al final no se entiende nada. Al menos a mi me ha sido imposible y al Teniente tampoco le ha sido fácil, no se subleve usted (parece un chiste...)

Así, por un lado tenemos un Auto de un juez de Instrucción de la Audiencia Nacional (pdf) que se declara competente para conocer de las denuncias presentadas por varias personas en diferentes lugares de España por la desaparición de familiares y amigos.

Y por el otro lado tenemos una parte de la opinión pública y política (y jurídica) contraria a que el juez investigue que ha sucedido con esas personas.

El auto del juez, de 68 folios, es un documento interesante a los efectos de estudiar la historia jurídica de la proteccion internacional de los derechos humanos y enlaza de manera bastante coherente los ámbitos de responsabilidad.

Sin embargo los delitos que quiere investigar el magistrado son:

"[...] delitos permanentes de detención ilegal, sin dar razón del paradero, en el contexto de crímenes contra la Humanidad."

Es decir no se está buscando a los responsables individuales de un asesinato o de un crimen concreto cometido al alba sino que se pretende encausar a quienes ordenaron y organizaron un sistema de desaparecidos, es por ello que se piden los datos e informes de los responsable militares y políticos de la época. (De risa lo del certificado de defunción de Franco (pdf) que nació en Ferrol del Caudillo 40 años antes de que se llamase así...)

Garzón ha querido investigar este asunto, en mi opinión ante el evidente olvido de jueces y fiscales durante 30 años y ha tenido que recurrir a hackear la norma para poder hacerlo.

¿Por qué?

El delito de detención ilegal no habría prescrito y estaría enmarcado dentro de los crímenes contra la humanidad siendo, en ese caso, la Audiencia Nacional el órgano competente para el conocimiento del mismo. Técnicamente no hay otra alternativa para que él pueda investigar este asunto, y de hecho, creo que o lo hace él o no lo hará nadie.

Así recurre a una imaginativa solución para poder arrogarse la competencia. En mi opinión todo un "hack".

Sin embargo no puedo estar de acuerdo, porque son conocidos los asesinatos y enterramientos en muchos lugares de gran parte de los detenidos ilegalmente, por lo que el delito de detención ilegal entraría en concurso medial (es decir la detención sería un medio para la comisión de un delito posterior) con el de asesinato.

Quiero decir que si yo sé que una persona ha sido retenida, trasladada a un lugar y posteriormente asesinada y conozco además el lugar donde está su cuerpo enterrado, el delito más grave será el de asesinato y por lo tanto ese el que debe ser enjuciado. Esto también lo señala la fiscalia en su recurso (doc).

En ese caso los competentes serían los jueces del lugar en el que se descubran los enterramientos, algo que no ha sucedido hasta la fecha con el rigor exigible a los funcionarios públicos.

¿Se imaginan que aparecen unos restos humanos en una cuneta, con un herida de bala en la cabeza y nadie investiga que ha sucedido? Pues eso ha estado pasando en España, algo que no tiene ningún sentido.

Lo lógico, a mi entender, es que si aparecen restos humanos en un terreno se informe al juez del lugar para que se inicie una investigación sobre las causas de la muerte y los responsables de la misma, si es que los hubiera.

¿Porqué no van a investigarse las causas que han motivado la muerte de una persona? ¿Porqué no va a tratar de conocer la identidad y los hechos que han provocado la muerte de la misma?

Si aparece un cadaver que presenta signos de violencia existe, al menos, un indicio de que puede haberse cometido un delito y por lo tanto surge la obligación de investigar. Si además existen indicios razonables de que las personas enterradas en un determinado lugar lo han sido por haber sido asesinadas, es evidente que no debería haber excusa para no actuar.

Fruto de esa investigación, se podrán dilucidar el resto de cuestiones sobre los hechos y sus responsables. Así es posible que aparezcan personas que hayan fallecido por muerte natural (un infarto, una enfermedad) y por lo tanto nadie sería, en principio, penalmente responsable.

Pero también es posible que se pueda establecer que la muerte fue provocada por otro tipo de causas, como una bala o un navajazo, lo que en principio invita a pensar en algún tipo de responsabilidad penal.

Posteriormente habría que reunir pruebas que indiquen quien es el responsable y en qué momento se produjeron los hechos, por si hubieran prescrito o les fuese aplicable alguna norma sobre amnistía.

Por lo tanto es muy posible que finalmente no haya ningún responsable penalmente, pero es inconcebible en un estado de derecho que existan enterramientos en las cunetas o barrancos, conocidos por los responsables institucionales y que no sean investigadas las causas de la muerte de las personas allí sepultadas.

Garzón ha tratado, en mi opinión, con buena voluntad pero mala fortuna hacer algo ante el ostracismo y la dejadez institucional de una realidad que no se puede negar.

Hay que olvidarse de bandos y aplicar la normalidad y el sentido común, ante un hecho con apariencia delictiva se investiga y se decide, pero lo que no puede hacerse con tanta alegría es invocar una ley de amnistía, porque ¿y si hay asesinatos que no pueden acogerse a la misma?

Como ven es un tema muy politizado que si se llevase con cierta naturalidad no daría tantos problemas.

Garzón ha intentado hackear el sistema por una buena causa, pero creo que le han pillado.

Hackeando la ley (I) Salir (temporalmente) de la CIRBE

Inicio el año con un truco (un hack o como quieran llamarlo), seguirán otros sobre otras materias, para aquellos que se ven en problemas por alguna deuda y dado el tratamiento que se hace de los datos por los bancos tienen problemas para obtener financiación con posterioridad.

La razón de contarlo es a raíz de un comentario de Iñaki en este mismo sitio, en un interesantísimo debate que ha surgido en los comentarios al pie del anterior artículo sobre la LISI.

El debate que versa sobre el tiempo de conservación de los datos en diferentes circunstancias ha puesto de manifiesto una cuestión y un problema con la Central de Información y Riesgos del Banco de España.

Iñaki decía en su comentario:

"Lo que resulta sumamente curioso a mi juicio es que, como decía antes, el plazo máximo de permanencia en un fichero de solvencia patrimonial y crédito (aun subsistiendo la deuda) sea de 6 años y que el mismo apunte deudor no sea eliminado JAMÁS de la Central de Información de Riesgos del Banco de España hasta que la Entidad acreedora no de la baja a ese riesgo (por ejemplo por una cesión sin recurso)."

Para quien no lo sepa, la Central de Información y Riesgos del Banco de España es la mayor base de datos de información sobre la situación crediticia de una persona. En ella se registran los préstamos, avales, créditos, así como todo tipo de riesgos asumidos por una persona en lo que a las relaciones con entidades financieras se refiere.

Según su propia web:

"La Central de Información de Riesgos (CIR) es un servicio público que gestiona una base de datos en la que constan, prácticamente, todos los préstamos, créditos, avales, y riesgos en general que las entidades financieras tienen con sus clientes. La Central de Información de Riesgos (CIR) es un reflejo de lo que tienen sobre usted las entidades en sus bases de datos.

Para cada uno de esos riesgos, las entidades que los declaran facilitan la información más relevante, incluyendo la identificación del cliente. Por ejemplo, si usted es titular de un préstamo hipotecario, su nombre y su número de identificación fiscal estarán registrados en la Central de Información de Riesgos (CIR), junto al importe que sume su deuda (en miles de euros redondeados) a final de cada mes.

La información de la Central de Información de Riesgos (CIR) está protegida por importantes medidas que garantizan su calidad, seguridad y confidencialidad. Esto es así por obligación legal. Además, el Banco de España ha considerado siempre esos objetivos como propios."

Pues bien las entidades financieras cuando uno va a solicitar un nuevo crédito consultan esa base de datos a los efectos de valorar el riesgo que supone prestarle el dinero a esa persona.

Lo normal es que la información que aparece en la CIRBE no impida la consecución del préstamo. Sin embargo si usted aparece como deudor en varias hipotecas o con reclamaciones de otros bancos es muy probable que su solicitud no tenga éxito.

También puede suceder otra cosa, que usted no reconozca la existencia de una deuda pero el banco sí, a pesar de lo cual tampoco le reclame el pago de la misma, porque por ejemplo la deuda ha prescrito. Por extraño que parezca los bancos también se equivocan con el dinero y esto sucede a veces.

Pues bien, nos encontramos con que la entidad "X", a la que pedimos el prestamo no nos lo concede y nos dice además que la razón de la negativa viene motivada por una entrada en el CIRBE y el ordenador de la entidad no deja continuar con la operación.

Por lo tanto nuestro objetivo principal se convierte en eliminar esa entrada de la famosa CIRBE para que el ordenador permita al banco procesar la solicitud.

La respuesta fácil sería acudir al derecho de cancelación de los datos del artículo 16 de la Ley Orgánica 15/1999 de Protección de Datos.

"2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos."

El problema es que si los datos son exactos y el tratamiento se ajusta a lo dispuesto en la LOPD nos van a denegar la cancelación de los mismos y no obtendremos el fin propuesto. Por eso la LOPD no es suficiente.

Pero existe otra salida para conseguir que temporalmente desaparezca el riesgo de la CIRBE y durante ese periodo temporal realizar la tramitación en el banco y obtener el préstamo, pues lo que se consigue es que la información desaparezca del registro y se desbloquee el ordenador del banco.

LA CIRBE se regula en la Ley 44/2002, de de 22 de noviembre, de Medidas de Reforma del Sistema Financiero, en sus artículos 59 y siguientes.

A los efectos de este hack, nos interesan los artículos 65 y 66.

"Segundo. Sin perjuicio de los derechos que asistan a las personas físicas, de acuerdo con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y en sus normas de desarrollo, respecto a los datos de carácter personal incluidos en los ficheros de las entidades declarantes, todo titular de datos declarados a la CIR que considere que éstos son inexactos o incompletos podrá solicitar al Banco de España que tramite la rectificación o cancelación de los mismos ante las entidades declarantes, mediante escrito en el que se indiquen las razones y alcance de su petición. El Banco de España dará traslado inmediato de la solicitud recibida a la entidad o entidades declarantes de los datos supuestamente inexactos o incompletos.

Las solicitudes remitidas por el Banco de España deberán ser contestadas y comunicadas por las entidades declarantes al afectado y a la CIR, en el plazo máximo de quince días hábiles a contar desde su recepción en cualquiera de sus oficinas. La decisión será motivada en el supuesto de que considere que no procede acceder a lo solicitado."

Es decir se incia un procedimiento de tramitación de los datos ante el banco o entidad financiera declarante, pero lo importante para que los datos se borren es lo que dice el artículo 66:

"Primero. En tanto las entidades declarantes dan respuesta a la solicitud de rectificación o cancelación presentada a través del Banco de España conforme a lo previsto en el apartado segundo del artículo precedente, el Banco de España suspenderá toda cesión a terceros de los datos sobre los que verse la solicitud, así como de los congruentes con ellos que hayan sido registrados en la CIR con motivo de declaraciones anteriores y posteriores.

La suspensión procederá igualmente, y con idéntica extensión, en el supuesto de que se hubiere acreditado ante el Banco de España la admisión a trámite de cualquier acción judicial que se dirija a declarar la inexactitud de los datos declarados, o se hubiere recibido de la Agencia de Protección de Datos la comunicación a que se refiere el apartado cuarto del artículo anterior. En el mismo supuesto, el Banco de España comunicará la suspensión a los terceros a los que, durante los seis meses anteriores a la fecha de la misma, se hubieren cedido los datos afectados y los congruentes con éstos.

Segundo. La suspensión cesará a partir de que la CIR reciba de la entidad declarante la comunicación a que se refiere el segundo párrafo del apartado segundo del artículo anterior, salvo que se trate de contestaciones desestimatorias, en cuyo caso el Banco de España prorrogará por dos meses más la suspensión citada, ello sin perjuicio de la aplicación de lo previsto en el segundo párrafo del apartado anterior.

También cesará la suspensión cuando el Banco de España tenga constancia de la sentencia firme o la resolución acordada al respecto por la Agencia de Protección de Datos, una vez rectificados o cancelados, en su caso, los datos, según se establece en el apartado siguiente."

Es decir, que durante el tiempo en que se tramita nuestra reclamación contra la deuda, los datos no se comunicarán a otras entidades financieras por lo que se habrá conseguido desbloquear durante ese periodo de tiempo el acceso al nuevo préstamo en una entidad financiera diferente.

Puede que a alguien no le parezca más que la lectura de la ley, y efectivamente lo es, pero a más de una persona que conozco le ha permitido puentear el sistema del ordenador del banco y obtener un crédito que de otra forma le resultaría imposible. Así que lo considero una especie de hacking, buscar los resquicios de la norma y descubrir como "molestar", aunque sea un poquito, a quienes tanto nos molestan a nosotros, para hacer lo contrario de lo que a ellos les interesa.

Como digo, esta solución funciona primero durante el tiempo de tramitación del Banco de España y la entidad que dice tener una deuda con nosotros, y segundo sólo se puede utilizar una vez por el interesado sin tener que aportar ninguna documentación adicional.

A continuación y siguiendo el modelo de proyecto de mi admirado Javier de la Cueva, pongo un modelo de formulario para que cualquiera pueda solicitar este trámite ante la CIRBE:

----------------------

Petición de cancelación de datos personales objeto de tratamiento incluido en un fichero

-A la Central de Información y Riesgos del Banco de España-

DATOS DEL SOLICITANTE

D. [nombrey apellidos] ,mayor de edad, con domicilio en la C/ [dirección, localidad, provincia y Comunidad Autónoma], C.P. [Código Postal] con D.N.I. [Número de DNI], del que acompaña fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho de cancelación, de conformidad con el artículo 16 de la Ley Orgánica 15/1999, y los artículos 15 y 16 del Real Decreto 1332/94, así como del artículo 65 de la Ley 44/2002 de Medidas de Reforma del Sistema Financiero de 22 de Noviembre.

SOLICITA.-

1. Que en virtud del artículo 65 de la ley 44/2002, “todo titular de datos declarados a la CIR que considere que éstos son inexactos o incompletos podrá solicitar al Banco de España que tramite la rectificación o cancelación de los mismos ante las entidades declarantes, mediante escrito en el que se indiquen las razones y alcance de su petición. El Banco de España dará traslado inmediato de la solicitud recibida a la entidad o entidades declarantes de los datos supuestamente inexactos o incompletos”, por todo ello pide que el Banco de España proceda a la tramitación de la cancelación de los datos que figuran en el fichero de la Central de Información y Riesgos del Banco de España, facilitados por el Banco Popular, dada la inexactitud de los mismos.
2. Que dicha apreciación de inexactitud se fundamenta en el hecho de que no se ha recibido por esta parte comunicación alguna o requerimiento al pago de la deuda referida, ni se ha interpuesto procedimiento alguno para proceder a su cobro, ni se tiene constancia por esta parte de que la deuda sea tal. El Banco Popular no se ha puesto en contacto con esta parte para comunicar la existencia de la deuda, ni para reclamar el pago, ni ha realizado ningún otro acto que hubiese permitido a esta parte alegar en contra de la calificación de ese crédito.
3. Que, por lo anterior, nos encontramos en una situación de indefensión puesto que no conocemos el motivo de la inclusión en el citado fichero del Banco de España.
4. Que, en el caso de que el responsable del fichero considere que dicha cancelación no procede, lo comunique igualmente, de forma motivada y dentro del plazo legal señalado, a fin de poder interponer la reclamación prevista en el artículo 18 de la Ley Orgánica de Protección de Datos.
   

En [Ciudad] a [día] de [mes] de [año]

Firmado: [Titular de los datos]

----------------------

Espero que nunca se tengan un problema de este tipo con la CIRBE, pero si lo tienen espero que les sea de utilidad, como digo, yo lo he empleado en varias ocasiones y siempre ha funcionado. Generalmente la entidad responde rápido aportando la documentación de la deuda, pero mientras tanto hemos solucionado nuestro problema.