miércoles, 16 de abril de 2014

Heartbleed y la responsabilidad de los administradores web por fallos de software

El fallo de seguridad conocido como Heartbleed ha tenido en vilo durante unos días a la internet mundial.

Por algunas noticias parecía que era como el fin de la seguridad en internet y que toda la web estaba comprometida. Como suele suceder, a medida que se conocen los detalles y la gente que sabe empieza a cuestionar lo que se publica el fallo resulta ser un poco menor.


Detalles técnicos al margen, lo cierto es que es un tema recurrente el de la responsabilidad de quien administra una web si hay un fallo de seguridad que resulta en un daño.

El fallo concreto de Heartbleed compromete la comunicación segura mediante el protocolo SSL, permitiendo en última instancia acceder a nombres y contraseñas de usuarios, entre otros datos.

En casos como este, es evidente que tenemos un problema relacionado con la protección de los datos de carácter personal del sistema.

El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
Resalto especialemente la cuestión del estado de la tecnología, puesto que, como sabemos la informática no es algo exacto y son habituales los errores que resultan en un margen de inseguridad que la ley no pretende obviar.

Por lo tanto, el diligente administrador debe comprobar si su sitio tiene este defecto o no y en su caso aplicar el parche o remedio correspondiente.

En caso de no hacerlo y sufrir una denuncia por un robo de datos, la Agencia podría iniciar un procedimiento de inspección.

El problema es que se considera una infracción grave, artículo 44.3:
h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
Así que, en apariencia, no solucionar los problemas de seguridad puede constituir una infracción grave de la normativa de protección de datos

Al margen de la normativa de protección de datos, otro factor es el de los daños que se puedan producir al usuario por el acceso por terceros a contraseñas o identificadores, como por ejemplo en un caso de phising.

Podría nacer una responsabilidad contractual contra el administrador, a pesar de que en el aviso legal sea política habitual excluir la responsabilidad por fallos del software, ya que parece evidente que una vez conocido y difundido el fallo, así como las herramientas para su corrección, el administrador del sitio debe actuar con diligencia para proteger a los usuarios del servicio.

Así que si tienes una web afectada por Heartbleed, deberías estar parcheando OpenSSL para evitar el riesgo de multa por la Agencia de Protección de Datos o una reclamación por daños de tus clientes.

miércoles, 9 de abril de 2014

Efectos prácticos de la anulación de la Directiva de Retención de Datos

En un anterior post ya expuse cuales son los fundamentos que han llevado al TJUE a declarar contraria a derecho de la unión la Directiva 2006/24

Esta Directiva es muy importante para la investigación de delitos cometidos usando Internet o las telecomunicaciones ya que los datos objeto de tratamiento permiten ligar un hecho con su responsable o autor. Por eso procede analizar las consecuencias prácticas de tal decisión y lo que suponen.

Lo primero que hay que dejar claro es que la retención de datos no es ilegal, lo que es contrario a la Carta de Derechos Fundamentales es que la norma que habilita una intromisión en la intimidad no cumpla los requisitos que legitiman tal intromisión. Es decir, que la Unión Europea podrá dictar otra norma siguiendo las exigencias del artículo 51 de la Carta y del TJUE.

La legislación nacional, como nuestra Ley 25/2007, no se ve anulada directamente. Este pronunciamiento es una cuestión prejudicial planteada por Tribunales de dos estados, Austria e Irlanda, que deberán ahora emitir sentencia con esta base. Hay que tener en cuenta que la Carta es aplicable a las instituciones de la Unión Europea y a los estados miembros cuando aplican la legislación comunitaria.

También hay que señalar que la Directiva, por su propia naturaleza, es una norma para la armonización de la legislación de los países miembros. Es decir, que cada uno de los países tiene sus normas para esta cuestión y la Unión Europea pone criterios comunes y homogéneos.

Esto no cambia, la legislación nacional sigue vigente y cada Estado tiene capacidad para regular e imponer obligaciones de conservación.

Ahora bien, ello no obsta para que en cualquier procedimiento judicial en España se empiece a cuestionar si nuestra Ley de Conservación de Datos es compatible con la Carta de Derechos Fundamentales, en la medida en que la retención de estos datos se hace con una norma que tiene los mismos defectos que la propia Directiva y por lo tanto no pasaría el test del artículo 52 de la Carta y cuya redacción, además, deriva de la normativa comunitaria ahora anulada.

Es decir, las empresas operadoras y obligados a la conservación de los datos de las comunicaciones siguen estándolo en las mismas condiciones que se hace hasta la fecha. Pero en cualquier procedimiento judicial en el que se acuerde un acceso a esos datos debe plantearse la legalidad de la misma.

Es decir, a nivel práctico, de manera inmediata, no hay mayores consecuencias directas. 

Sí que deberemos esperar a lo que jueces y tribunales puedan decir en los incidentes de nulidad de actuaciones que sin duda se plantearán desde este momento en procedimientos judiciales abiertos, ya que sí existiría vía incluso para la cuestión prejudicial. En estos procedimientos, si la investigación se inició por el acceso a esos datos y no hay confesión posterior, podrá ponerse en cuestión todo el procedimiento.

En procedimientos terminados, donde haya recaído condena por hechos que han sido investigados invocando la LCD, sería más complicada una revisión si no ha sido previamente alegada, pero sería planteable, si se da el plazo, el recurso ante el Tribunal Europeo de Derechos Humamos.

El más inmediato impacto directo de esta sentencia, sin embargo, se debe ver en los proyectos de reforma de la Ley de Propiedad Intelectual y del Código Penal, en la medida en que las disposiciones para ampliar el acceso a los datos de tráfico para delitos menos graves o ilícitos civiles queda muy cuestionado.

Las constantes menciones de la Sentencia del TJUE a la compatibilidad de la retención de datos con el respeto a la intimidad y la vida privada sólo con la persecución de delitos graves (como terrorismo y narcotráfico) evidencian que será difícil justificar la habilitación del acceso para otros supuestos y mucho menos para casos civiles.

Mantener una reforma de la LPI con un criterio que excede de manera evidente la Carta de Derechos Fundamentales de la Unión no parece una medida inteligente o con mucho futuro.

Otro efecto es la necesidad del legislador europeo de reformar la normativa para adecuarla a lo dispuesto por el Tribunal así como que los estados miembros procedan igualmente a la revisión de sus leyes para adecuarlas a los principios aplicables.

En conclusión, la sentencia reconoce el derecho a la intimidad y la vida privada, reconoce que este derecho puede ceder para la persecución de ciertos intereses vitales para los estados, pero que esta cesión ha de hacerse de una manera concreta y correcta en respeto de los derechos fundamentales. Y que parece razonable que los estados que regulan esta materia lo hagan con respeto a los principios señalados por la sentencia, no como hasta ahora.

Esperemos que esta resolución sirva para abrir un debate real sobre nuestra intimidad y derechos en el ámbito digital, sobre los numerosos riesgos y la necesidad de protección que tenemos, así como cuales son los límites a la hora de garantizar la seguridad y responsabilidad.

martes, 8 de abril de 2014

Bases de la anulación de la Directiva de Conservación de Datos por el TJUE

El Tribunal de Justicia de la Unión Europea ha dado a conocer su sentencia (pdf) (inglés) por la que considera que la Directiva 2006/24/CE, de Retención de Datos (pdf), es contraria a derecho de la Unión y por lo tanto, no válida.

Ya comenté en su momento las conclusiones del Abogado General y el enfoque que daba a la cuestión, en línea muy similar a la sentencia, y a lo que la intuición indicaba desde que tuve conocimiento de la cuestión planteada por Austria.

La Conservación o Retención de Datos supone que todas las comunicaciones electrónicas que tenemos, incluso cuando no se producen efectivamente (una llamada perdida, etc.) son obligatoriamente recogidas por los operadores.

Todos estos datos, número de teléfono, hora, ubicación, etc., se almacenan para ser puestos a disposición de los jueces y tribunales para la investigación de delitos.

Pues bien, el TJUE no dice que no sea lícito recopilar esos datos de nuestras comunicaciones. Recordemos también que el contenido de las comunicaciones no es accedido (o no debería).

Efectivamente la recopilación de tal cantidad de datos supone, sin ninguna duda, una injerencia de muy alta intensidad en la intimidad de las personas, protegida por el artículo 7 de la Carta de Derechos Fundamentales de la Unión Europea.
"Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de sus comunicaciones."
Igualmente respecto del artículo 8 de la propia Carta, que regula el derecho a la protección de los datos personales.

Es tan amplia injerencia en la intimidad de esta medida que incluso podría generar en los usuarios la sensación de vigilancia constante, un auténtico Gran Hermano orwelliano.

Pero lo relevante, la base de esta anulación está en el artículo 52 de la propia Carta, que sólo admite la injerencia en los derechos reconocidos cuando se dan una serie de requisitos, siendo eso lo que falta en este caso:
"Cualquier limitación del ejercicio de los derechos y libertades reconocidos por la presente Carta deberá ser establecida por la ley y respetar el contenido esencial de dichos derechos y libertades.
Dentro del respeto del principio de proporcionalidad, sólo podrán introducirse limitaciones cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás"
Es decir, no es tanto un problema de que no se pueda regular la retención de datos como de que la técnica empleada reúna los requisitos que legitiman esa intromisión en la intimidad de las personas. De hecho el TJUE recuerda que la libertad de que goza el legislador comunitario para legislar se ve reducida en relación a los derechos garantizados por la Carta, la naturaleza y seriedad de la injerencia y el objetivo a conseguir con la misma.

El TJUE analiza los requisitos subrayados y concluye que, en relación a lo apropiado o no de la medida, habida cuenta de que se usa para la persecución de delitos graves (serious crimes), es una herramienta valiosa para las investigaciones criminales. En ese sentido, como decía, la retención es adecuada.

Pero la retención es criticada por que:

1- es demasiado amplia, incluye a todas las personas, incluso aquellas de las que no hay una evidencia mínima que sugiera su relación con un delito grave. De hecho, la Directiva no da ningún supuesto de exención, lo que incluye a personas que están sujetos a secreto profesional, como abogados y periodistas, por ejemplo.

2- no requiere relación entre los datos que son objeto de retención y una amenaza concreta para la seguridad.

3- no contiene criterios objetivos para determinar los límites de acceso de las autoridades nacionales competentes, y el subsiguiente uso de los mismos para los fines propuestos. De hecho hay una mera referencia a delitos graves según lo defina cada estado miembro.

4- tampoco hay en la Directiva condiciones de acceso y uso de los datos por las autoridades nacionales, indicando que debería decirse que el uso de los datos accedidos debe restringirse a la prevención y detección de delitos precisamente definidos.

5- no hay limitación respecto del uso de los datos a lo estrictamente necesario a la luz del objetivo perseguido.

6- el periodo de retención, de como mínimo 6 meses, no hace distinción entre tipos de datos o categoría de los mismos.

7- igualmente, respecto del periodo establecido, entre 6 y 24 meses, no está fijado por criterios objetivos en orden a conseguir lo necesario con la mínima injerencia.

8- no se fijan reglas claras, por lo que la injerencia no esta circunscrita con precisión a lo estrictamente necesario.

9- no se dan garantías de que los datos retenidos no van a ser malutilizados o de cómo se pretende garantizar su integridad y confidencialidad. De hecho ni tan siquiera hay órdenes para que los estados miembros, destinatarios de la norma, lo hagan. Además, los propios operadores, que son quienes guardan los datos, no tienen que adoptar niveles elevados de seguridad para proteger los mismos.

Por todo lo anterior, concluye el TJUE que el legislador comunitario ha excedido los límites impuestos por el citado artículo 52, por lo que declara contraria a ese artículo la Directiva.

Como decía, no es una cuestión de que la recopilación de los datos no sea legítima y compatible con el derecho de la Unión, lo que no es compatible es la redacción de una norma, la Directiva 2006/24, que no tiene los elementos que justifican una injerencia de tal naturaleza.

[Nota] Estos son los fundamentos básicos del porqué se produce esta decisión, dejo para otro post las consecuencias prácticas de la misma.

viernes, 4 de abril de 2014

Notas de la comparecencia en la Subcomisión de Redes Sociales

Como ya comenté, tuve la oportunidad de acudir a exponer a varios diputados integrantes de la Comisión de Estudio de las Redes Sociales algunas apreciaciones sobre las redes sociales y su regulación.
Debo decir que la experiencia fue interesante, que noté mucho interés por parte de los Diputados en las cuestiones que planteamos todos los asistentes, Jorge Flores Fernández de pantallas amigas, Ramón Miralles y José Manuel Tourné de la FAP, y que en general las intervenciones tuvieron muchos puntos en común.

Básicamente mi intervención, de 5 minutos aunque con respuesta posterior a las interpelaciones formuladas, se dividió en los siguientes puntos:

1 - En relación a los derechos y protección de los consumidores y usuarios de las redes sociales.

Hablé sobre la necesidad de mecanismos que impidan el abuso de las empresas que gestionan las redes y que pueden eliminar un perfil sin justificación y con pocos medios de defensa para el usuario.

También sobre el abuso en los términos y condiciones, con datos y mención expresa al proyecto de Jorge Morell, indicando que en 2014 más del 60% de aproximadamente 1000 servicios en internet han hecho cambios sin informar al usuario. Y de las 10 principales redes sociales sólo entre el 35 o 40% de los cambios son informados.

Mi recomendación en este aspecto iba por sujetar a derecho español estos servicios o imponer la sumisión a arbitraje de consumo a servicios masivos o casi monopolísticos dirigidos al público español.

Un más claro ámbito de aplicación de las normas para que los derechos de los ciudadanos se vean protegidos y además se potencien los desarrollos locales.

2- En relación a la situación de la regulación de los prestadores de servicios en España

Expuse la situación de riesgo creada por la jurisprudencia, que convierte en juez de lo que terceros publiquen en un blog al titular, debiendo valorar muchas circunstancias para quitar o no un comentario o contenido, no estando siempre en disposición de hacerlo y el impacto que ello puede tener en la libertad de expresión en internet.

Aproveché para criticar la reforma de la LPI por su indefinición, entre otras cosas, del concepto agregador de contenidos, a los servicios de publicidad, etc.

Mejorar los conceptos jurídicos y definiciones aplicables, la clarificación del régimen legal aplicable a blogueros o usuarios en relación a su consideración como medios de comunicación social o no, la aplicación de ese régimen a actividades sin actividad económica o no, etc, fueron otros aspectos que destaqué.

3- Tipificación de la suplantación de identidad en redes sociales

Estando en tramitación una reforma del Código Penal aproveché para recomendar la inclusión de un tipo específico de suplantación de identidad, por los problemas prácticos que se plantean al no encajar la conducta en los tipos existentes, como el de suplantación de estado civil o la falsedad en documento mercantil, que es la vía que se intenta actualmente.

Por supuesto, indicando que debe hacerse con extremo respeto al derecho de parodia y a la libertad de expresión.

4- Aprobación urgente del Código Procesal Penal

De nada sirve tener delitos cometidos en internet o redes sociales, si no tenemos legislación procedimental adecuada, sobre todo desde el punto de vista probatorio o de la recogida de evidencias.

No tiene sentido que una instrucción de muchos años se termine con una absolución por un problema de prueba estrictamente procedimental, porque la Ley de Enjuiciamiento Criminal no contempla un supuesto y hay lesión de derechos del investigado (correos electrónicos, etc.)

Por ello les rogué que diesen traslado de esta petición a todos los grupos para prestar el máximo interés a esta urgente necesidad.

5- Reflexión sobre la Conservación de Datos

Aprovechando lo anterior, incidí en la reforma de la LPI para señalar lo absurdo de que se permita el acceso a los datos generados por las comunicaciones en ilícitos contra la propiedad intelectual pero no en casos de delitos.

Por lo tanto, se impone reflexionar sobre la intromisión en la intimidad que supone la Ley 25/2007 y los supuestos habilitantes para su aplicación. Máxime cuando, como les indiqué a sus señorías, está en cuestión esta retención en el Tribunal de Justicia de la UE y que es posible que quede sin contenido, incluso para delitos graves.

6- Conclusión

Mis conclusiones, al margen de aspectos concretos como los expuestos, fueron las siguientes:

A- Cambia como hacemos las cosas, pero cambian muy poco las cosas que hacemos

El 28 de julio de 1914, hace casi 100 años, el Ministro de Asuntos Exteriores de Austria envió un telegrama declarando la guerra a Serbia. Era la primera vez que una declaración de guerra se hacía por ese medio.

Con esto quiero expresar que puede cambiar la forma en que hacemos las cosas, pero que cambian muy poco las cosas que hacemos. Que la guerra es la guerra se declare por telegrama o por Twitter.

Parece que la tecnología nos obliga a vivir a una velocidad mayor, pero sólo cambian los medios empleados para hacer las mismas acciones: relacionarnos, enfadarnos, amarnos, etc.

B- La respuesta está en los principios
La respuesta para la mayoría de los problemas está en los principios. No debemos despreciar lo bueno de las redes sociales y la informática en general, pero que estas ventajas no nos hagan renunciar a nuestros derechos, que la Ley y los principios inspiren y obliguen a quienes disponen de nuestra intimidad.

Sin temor alguno a la aplicación de las normas en provecho de todos.

C- El legislador tiene un mandato de indicar el camino al programador

Terminé con una exhortación a que revisitasen el artículo 18.4 de nuestra Constitución, un artículo revolucionario tanto por los términos en los que se redactó como por el momento en que se hizo:
“La ley limitará la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.”
El legislador indicando el camino al programador...

En el turno posterior salieron otros muchos temas y me quedé con ganas de hacer llegar más inquietudes, pero a pesar de lo ágil del formato y de la disponibilidad de todos no hubo tiempo para mucho más.

Espero haber trasladado aspectos relevantes para todos con el fin de proponer una internet mejor para todos.

viernes, 28 de marzo de 2014

Tus ideas para una comparecencia en el Congreso sobre redes sociales

El próximo día 2 de abril he sido invitado a exponer ante los miembros de la Subcomisión de Estudio sobre las Redes Sociales.

Según la convocatoria, se me requiere para tratar materias como:
"ciberseguridad en la red, en las transacciones comerciales electrónicas, protección de las personas más vulnerables y protección en el ejercicio de derechos fundamentales que pudieran verse afectados"
Por supuesto tengo muchas ideas que me gustaría transmitir a sus señorías, en particular sobre la investigación de delitos en internet, propiedad intelectual, derecho a la intimidad, etc., siendo, además, materias ellas afectadas de reformas legislativas en curso.

Otros compañeros como Jorge Campanillas, Alejandro Touriño o Pablo Burgueño comparecieron también recientemente y sus aportaciones sobre diferentes aspectos han sido muy interesantes.

Por eso me planteo llevar cuestiones que ellos no hayan tratado, no porque no las considere acertadas, sino con el fin de no reiterar y mostrar un más amplio muestrario de problemas que el legislador debería abordar para una red más segura y mejor para todos.

Así que pienso en aspectos relacionados con la naturaleza de los blogs, el diferente tratamiento entre los medios de comunicación y los blogs que, en ocasiones se da jurisprudencialmente, el régimen de responsabilidad, el incompleto desarrollo del artículo 18.4 de la Constitución, los problemas para los administradores de sitios web por las obligaciones de control y vigilancia, etc.

Y en este sentido, me gustaría, además, poder incluir algún tema que seguro que algún lector de este sitio le interesa o considera que sería positivo hacer llegar directamente a los Diputados.

Así que dejo abiertos los comentarios para que, si alguien lo desea, proponga temas que pueda tratar o aportar a sus señorías en esa próxima comparecencia.

Sé que lo hago con poco tiempo, pero por la muerte del Presidente Suarez la confirmación de la celebración de las sesiones no ha sido hasta muy recientemente, al alterarse el calendario de la cámara.