Función hash, datos de carácter personal y delitos

Esta mañana, el informático Sergio López analizaba y explicaba una serie de aspectos del censo universal que había sido empleado para la votación del pseudo-referendum de Cataluña del pasado día 1 de octubre.

Han pasado ya unos cuantos días desde el #1Oct, así que creo que urge el contar esta historia.

— Sergio Lopez (@slp1605) 4 de octubre de 2017

En la descripción del interesante hilo explica como si bien los responsables del censo habían intentado que el mismo no se considerase cedido a terceros empleando las huellas o funciones hash de los datos de los votantes, era posible realizar el camino inverso y obtener los datos personales correspondientes a esos hash.

Lo he comprobado por mí mismo. En un ataque por la fuerza bruta a C.P. y año concreto, los resultados empiezan a saltar en pocos minutos.

— Sergio Lopez (@slp1605) 4 de octubre de 2017

De hecho el autor del hilo ha publicado su propia prueba de concepto en un repositorio de github para que cualquiera pueda verificar la existencia del fallo (de concepto? mejor que de seguridad?)

El resumen es que dado que para evitar que con una única acción judicial se bloquease todo el proceso de votación, se clonaron las webs que daban el soporte a las mesas, lo que ha permitido la existencia de muchas copias de esas webs, incluyendo las bases de datos de los votantes.

Realmente la base de datos  lo que alberga es la huella (o hash) que esos datos arrojan al aplicarse 1714 iteraciones de SHA256 sobre los los 5 últimos dígitos del DNI, la letra correspondiente, la fecha de nacimiento y el código postal, para cada ciudadano incluido en el censo de cada ciudadano.

Es decir, si lo leemos como humanos, la función sería algo del tipo: a3c7c26545bcce509730d8a5d230a83e11614b94aa96966484ea5ab742a2f3b7 (esa es la huella sha256 de mi nombre y apellido) por lo que sin más elementos no podríamos saber a quien pertenece.

Y aquí viene la cuestión, para mi, interesante, ¿es una huella hash un dato de carácter personal?

La Ley 15/1999 de Protección de Datos define como dato de carácter personal

• a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.

 El Real Decreto 1720/2007 de desarrollo concretó un poco más:

f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

Y ya, el nuevo Reglamento General de Protección de Datos concreta aún más:

«datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

El problema siempre ha sido cuando estamos ante datos que hacen identificables a las personas físicas a las que hacen referencia.

Pero además, el DNI, por sí mismo, tiene la consideración de dato de carácter personal, así en un  informe (0476/2008) de la propia Agencia (pdf) se concluye, con base en el artículo 1 del Real Decreto 1553/2005 que:

"2. Documento tiene suficiente valor, por sí solo, para acreditar la identidad y los datos personales de su titular que en él se consignen, así como la nacionalidad española del mismo.

3. A cada Documento Nacional de Identidad, se le asignará un número personal que tendrá la consideración de identificador numérico personal de carácter general.

La naturaleza de dato personal del DNI resulta clara atendiendo a lo anteriormente expuesto."

Si el DNI por si mismo, es un dato de carácter personal y de la función hash podemos extraer los 5 últimos números mas la letra, eso permite combinaciones para obtener el DNI completo, por lo que, de esa manera, ya tendremos ese dato personal.

En general, el criterio de la Agencia Española ha sido el de vincularlo con el esfuerzo necesario para, a partir de un identificador concreto, poder averiguar a quien pertenece.

Es decir, si no hay que hacer un esfuerzo desproporcionado será un dato de carácter personal, como recuerda la Agencia (informes 0427/2010 pdf o 0182/2008 pdf)

"Este criterio ha sido ratificado por la Audiencia Nacional en sentencia de 8 de marzo de 2002. Según se cita en la misma, “para que exista un dato de carácter personal (en contraposición con dato disociado) no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados” y “para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona”.

Por lo tanto, a la luz de lo expuesto en el contenido del censo y la forma en que se ha pretendido "ofuscar" lo cierto es que se ha producido una comunicación de datos de carácter personal a terceros por parte del responsable.

¿Y todo esto que implica?

Pues que al margen de las infracciones que por el incumplimiento de la LOPD pudieran establecerse, sería posible abrir la vía penal contra los responsables de la generación de este censo y su divulgación, en la medida en que el artículo 198 del Código Penal establece que:

"La autoridad o funcionario público que, fuera de los casos permitidos por la Ley, sin mediar causa legal por delito, y prevaliéndose de su cargo, realizare cualquiera de las conductas descritas en el artículo anterior, será castigado con las penas respectivamente previstas en el mismo, en su mitad superior y, además, con la de inhabilitación absoluta por tiempo de seis a doce años."

Las conductas en las que encajaría serían las del artículo 197:

"2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.

Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.

4. Los hechos descritos en los apartados 1 y 2 de este artículo serán castigados con una pena de prisión de tres a cinco años cuando:

a) Se cometan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros; o

b) se lleven a cabo mediante la utilización no autorizada de datos personales de la víctima.

Si los datos reservados se hubieran difundido, cedido o revelado a terceros, se impondrán las penas en su mitad superior."

Y ojo, porque el 197 CP permitiría ir incluso contra quienes clonaron la base de datos para mantener que la misma siguiese activa.

Responsabilidades penales como estas al margen (que seguro que a los responsables llegados a este punto son las que menos les preocupan) lo cierto es que es un ejemplo perfecto para visibilizar que un hash puede llegar a considerarse un dato de carácter personal, en función de la información a la que haga referencia.

Esto que puede parecer irrelevante, es interesante ya que, en ocasiones, se ha planteado remitir sólo el hash como forma de evitar transferencias internacionales de datos, por ejemplo, u otros muchos supuestos de tratamiento al margen de la norma aprovechando el que sólo se remita a terceros el hash.

Obligaciones Jurídicas de los Blogs (y V): Conclusiones

En los artículos anteriores de esta serie (I, II, III y IV) se han repasado las principales obligaciones para un blogger desde el momento en que decide poner publicidad en su bitácora, o tratar de rentabilizarla de alguna manera.

Como ya anuncié, y creo haber demostrado, la decisión de incluir publicidad u otros formas de retribución tiene consecuencias de una notable trascendencia y cambian por completo el panorama al que se enfrenta el blogger.

A veces las mismas pueden parecer desproporcionadas, pero realmente la única obligación gravosa para el blogger es la relacionada con la Seguridad Social y, en determinados supuestos, las derivadas del cumplimiento de la LOPD. Desde el punto de vista tributario sólo se paga en función de lo que se ingresa y las obligaciones de la LSSICE son de sencillo cumplimiento.

En cualquier caso, lo recomendable es meditar serenamente acerca de nuestra capacidad para generar ingresos mediante la publicidad de nuestro blog. Existen herramientas de analisis de tráfico que sin duda nos ayudarán a ello de una manera correcta. Lo que no parece muy probable es que con 100 visitas al mes vayamos a obtener una retribución importante.

Es como poner un despacho de abogados en un pueblo de 5 habitantes...

Si una vez valorados todos los aspectos y dispuestos a tratar de conseguir un dinero extra mediante nuestro blog, mi consejo es que consulten con un buen asesor... ;)

Obligaciones jurídicas de los blogs (II): Obligaciones de Seguridad Social

El segundo de los post acerca de las obligaciones jurídicas del blogger toca uno de los temas más complejos y con más leyendas urbanas de la red.

Y como se verá, muchas de ellas son "parcialmente ciertas".

• Obligaciones Sociales
  

Lo bueno de las obligaciones tributarias es que son proporcionales al nivel de ingresos. Es decir, si no se tienen ingresos, no es necesario pagar cantidad alguna. Sin embargo las obligaciones con la Seguridad Social pueden no presentar esta característica y suponer un problema si se alcanza cierto nivel de ingresos.

Por regla general, el "blogger" será un trabajador autónomo si atendemos a lo que dispone el Decreto 2530/1970, artículo 2:

"se entenderá como trabajador por cuenta propia o autónomo aquel que realiza de forma habitual, personal y directa una actividad económica a título lucrativo, sin sujeción por ella a contrato de trabajo y aunque utilice el servicio remunerado de otras personas."

El artículo 5 del mismo Decreto determina además que sólo estarán exlcuidos del RETA:

"los trabajadores por cuenta propia o autónomos cuya actividad como tales dé lugar a su inclusión en otros regímenes de la Seguridad Social."

Por lo tanto, y en principio no ha lugar a la exclusión de este régimen para los "bloggers" que pongan publicidad en sus bitácoras.

Sin embargo hay una amplía controversia jurisprudencial en el tema, con numerosos procedimientos del Tribunal Supremo para la unificación de doctrina.

El concepto que mayor problemática presenta es el requisito de la habitualidad en el desarrollo de la actividad. Cómo en ocasiones es muy complicado demostrar el tiempo que una persona dedica a la actividad que genera los ingresos, por ejemplo en lo agentes, se ha acudido a criterios indiciarios a efectos de comprobar esa habitualidad. Criterios tales como el alcanzar un determinado nivel de renta por la actividad superando el SMI. (Ss TS 07-05-04)

Así por ejemplo, una persona puede obtener ingresos de un blog por acertados artículos, que siguen generando tráfico a lo largo de un amplio periodo de tiempo, aunque no escriban habitualmente. En ese caso la habitualidad podría ligarse a la obtención de una cantidad superior al SMI, es decir, que el "blogger" no "cuelgue" artículos habitualmente en su bitácora, pero que a pesar de ello reciba una cantidad anual total que supere el SMI. Y por lo tanto verse sujeto a la obligación de darse de alta en el RETA.

Si por el contrario, escribe artículos con cierta frecuencia, diariamente o semanalmente, puede pensarse que la habitualidad se ve plasmada en esos actos concretos, que además son comprobables por la fecha de publicación de los artículos. En ese caso, el nivel de ingresos obtenidos por la publicidad del blog puede considerarse un dato ajeno a la determinación de la habitualidad, y por lo tanto verse el "blogger" sujeto a la obligación de darse de alta en el RETA.

El criterio seguido por la Tesorería General de la Seguridad Social es el de que no hay un nivel mínimo de ingresos para la inclusión de un trabajador en el RETA. (Criterio 98/2000 de 29-03-2000)

El problema es que se ha ligado la obtención de determinadas cantidades económicas a la obligación de darse de alta, cuando esto se utiliza simplemente como un indicio del requisito de la habitualidad, que puede demostrarse, como se ha dicho por otros hechos.

También hay tribunales que han entendido que será obligatoria la inclusión en el RETA cuando los ingresos obtenidos por la actividad son fundamentales para atender las necesidades de la persona que las recibe, ligándola a que constituya un medio de vida, (S TSJ C. León 27-05-97) y por lo tanto será voluntaria cuando se trate de una actividad marginal, (S TSJ C. La Mancha 19-06-00). Pero dichas sentencias deben tomarse con cautela.

Lo cierto es que el requisito de la habitualidad concurre en el blog si la suscripción a Ad-Sense se prolonga a lo largo del año natural, sin producirse altas o bajas, circunstancia común, con independencia del momento del pago de los cheques por parte de Google. Aunque estos se aglutinen en un momento del año, (un pago anual, por ejemplo) lo cierto es que la actividad se realiza a lo largo de todo el año, y por lo tanto no será posible alegar la excepcionalidad o no habitualidad en la generación de los ingresos.

La obligación de darse de alta en el RETA, supone un importante desembolso económico pero esto tendrá ventajas posteriormente en las coberturas prestadas por la Seguridad Social, aunque no todas las personas ontendrán ingresos por publicidad suficientes de su blog para cubrir ese gasto.