Según publica una de las webs de referencia en la materia "Kriptópolis" un juez de Estados Unidos ha considerado inadmisible obligar a un sospechoso a revelar su contraseña de cifrado.
El asunto es muy interesante y los hechos son los que siguen según consta en la resolución del propio juez, (pdf) y que relato según traducción mía no literal.
El Sr. Boucher viajaba junto a su padre de Canadá a Estados Unidos. En la frontera un agente le ordena detener el vehículo y encuentra un ordenador portátil en el asiento trasero del vehículo. El oficial encargado del registro abrió el portátil y accedió a su contenido sin necesidad de introducir ninguna clave o contraseña.
Durante este registro se localizaron unas 40.000 imágenes y vídeos, y dado el volumen de los mismos el oficial responsable preguntó al Sr. Boucher si entre las imágenes había pornografía infantil, respondiendo el Sr. Boucher que no lo sabía con certeza, lo que lógicamente hizo que se personase un nuevo agente para realizar una búsqueda más intensiva localizando un archivo cuyo nombre era "2yo getting raped during diaper change" (Demasiado "heavy" como para traducirlo).
El agente no pudo visualizar el contenido del archivo y tras leer sus derechos al Sr. Boucher le preguntó acerca del mismo, a lo que este contestó que se descargaba porno de Internet y que en ocasiones accidentalmente se descargaba archivos que contenían escenas de sexo con menores pero que una vez identificados como tales procedía a borrar.
El agente le pidió que le enseñase donde almacenaba las imágenes que descargaba y éste accedió a la unidad Z: del ordenador, donde había abundante material pornográfico, así como un vídeo titulado "preteen bondage" que si pudo ser visualizado. Una vez detenido el agente continuó examinando el disco Z: y localizó más imágenes con pornografía infantil.
Pasado un tiempo y preparando el correspondiente proceso penal, un funcionario realizó una copia de seguridad y trató de volver a acceder a los archivos, pero le fue imposible ya que los mismos estaban protegidos mediante "PGP"
Otro agente, en este caso del servicio secreto, manifestó al juzgado que ese software de cifrado no tiene puertas traseras y que la ruptura de la clave podría llevar años según otros casos similares estudiados por el gobierno.
Para conseguir acceso a los archivos, y por lo tanto a las pruebas incriminatorias, no había otro medio que obtener la clave que permitiese el descifrado. Por lo que el juzgado conminó al Sr. Boucher a que las entregase.
Este se negó alegando que eso violaba la quinta enmienda de la Constitución americana en la que se protege el derecho de todo persona a no declararse culpable.
Como alternativa para evitar la aplicación de la Quinta Enmineda al caso se propuso que el Sr. Boucher introdujese la contraseña sin que nadie le mirase, ni el juez ni el gran jurado, o le grabasen. Además renunciando a emplear ese acto en su propia contra.
Y sobre este último punto es sobre el que resuelve el Tribunal, de manera favorable al detenido.
La doctrina que invoca el juzgado para considerar que el revelado de la clave puede suponer una lesión al derecho a no declararse culpable viene motivada porque el Gobierno ya tiene información sobre el contenido de algunos archivos de modo que si el interesado revelase la clave el Gobierno, el Ministerio Fiscal en nuestro caso, tendría acceso no sólo a los archivos que conoce en virtud de la actuación de los agentes, sino que además podría conocer el resto del contenido de la unidad Z: del ordenador del Sr. Boucher, lo que podría suponer un incremento en la eventual condena para este.
También se tiene en cuenta en la resolución que una contraseña está lejos de ser un objeto físico que el gobierno pueda apropiarse o utilizar, sino que se encuentra en la mente del acusado y el obligarle a revelarla provocaría un efecto similar a la declaración de culpabilidad. Se cita un caso similar en el que lo que se obligó a entregar fueron documentos y precisamente esa diferencia entre una información solo existente en la mente de una persona y el contenido de unos documentos es lo que motiva que no se pueda exigir la entrega de la contraseña y mucho menos su escritura en el ordenador.
Lo anterior no quiere decir que no se pueda encausar ni condenar al Sr. Boucher, pero para lograr la eventual condena deberán utilizarse únicamente las declaraciones de los agentes, los nombres de los ficheros, así como cualesquiera otras que puedan argüirse. O incluso el contenido del ordenador si se consigue averiguar la clave. No es un supuesto de impunidad.
Lógicamente será muy complicado sancionar a este señor sobre unas pruebas que en principio parecen meramente indiciarias, aunque de la prueba de conjunto es posible que se alcance un veredicto estimatorio de la culpabilidad.
En mi opinión la sentencia es muy interesante para un problema que sin duda puede darse en el futuro en nuestro país. Sobre todo dado que cada vez son más quienes utilizan estas herramientas de cifrado.
Por un lado, y el juez así lo reconoce, nada impide a los agentes reventar o producir su propia contraseña para acceder al contenido en el marco de una investigación y con intervención judicial, pero dado que esas medidas son ineficaces tampoco se puede obligar a nadie a que diga cual es su contraseña.
En el ejemplo de la caja fuerte, la policía puede reventar la caja mediante el empleo de los medios necesarios, pero no me puede obligar a decir la contraseña.
El artículo 24.2 de la Constitución es muy claro en este sentido:
"2. Asimismo, todos tienen derecho al Juez ordinario predeterminado por la Ley, a la defensa y a la asistencia de letrado, a ser informados de la acusación formulada contra ellos, a un proceso público sin dilaciones indebidas y con todas las garantías, a utilizar los medios de prueba pertinentes para su defensa, a no declarar contra sí mismos, a no confesarse culpables y a la presunción de inocencia."
Lo mismo debería suceder en España en un supuesto similar, en principio.
Sin embargo hay un peligrosísimo artículo en la Ley General de Telecomunicaciones en este mismo sentido y que sin duda colisiona con el contenido del artículo 24.2 de la Constitución, es el artículo 36:
"1. Cualquier tipo de información que se transmita por redes de comunicaciones electrónicas podrá ser protegida mediante procedimientos de cifrado.
2. El cifrado es un instrumento de seguridad de la información. Entre sus condiciones de uso, cuando se utilice para proteger la confidencialidad de la información, se podrá imponer la obligación de facilitar a un órgano de la Administración General del Estado o a un organismo público, los algoritmos o cualquier procedimiento de cifrado utilizado, así como la obligación de facilitar sin coste alguno los aparatos de cifra a efectos de su control de acuerdo con la normativa vigente."
Aunque el supuesto aplicable sería el de la transmisión de información en una red de comunicaciones, debe entenderse que también se permite el cifrado de archivos en unidades de almacenamiento.
Esta ley permite que el Gobierno decida que para que se admisible el uso de cifrado, a cambio se proporcionen las contraseñas necesarias a la propia Administración, o las herramientas de cifrado empleadas.
El problema de este artículo es que no se especifica si sus destinatarios son los proveedores de servicios de telecomunicaciones o todos aquellos que cifren sus conexiones.
En el caso que he expuesto del viajero que cruza la frontera, ¿se imaginan que el estado conoce nuestras claves de cifrado de los mensajes que enviamos a terceros? ¿Nuestra clave pública y privada?
¿Dónde quedaría nuestro derecho a la intimidad e inviolabilidad de las comunicaciones? ¿Y nuestro derecho a no declararnos culpables?
Es claro que no nos pedirían las claves como le ha sucedido al Sr. Boucher, porque ya se las habríamos entregado a la Administración y se podría comprobar integramente el contenido de los ficheros.
De momento no se ha producido tal desarrollo legal, pero debería expresamente excluirse esa posibilidad o al menos hacerla optativa para el titular de la clave, sin que se puedan imponer por parte de la administración una obligación de entrega de una clave bajo la amenaza de una sanción.
El asunto es muy interesante y los hechos son los que siguen según consta en la resolución del propio juez, (pdf) y que relato según traducción mía no literal.
El Sr. Boucher viajaba junto a su padre de Canadá a Estados Unidos. En la frontera un agente le ordena detener el vehículo y encuentra un ordenador portátil en el asiento trasero del vehículo. El oficial encargado del registro abrió el portátil y accedió a su contenido sin necesidad de introducir ninguna clave o contraseña.
Durante este registro se localizaron unas 40.000 imágenes y vídeos, y dado el volumen de los mismos el oficial responsable preguntó al Sr. Boucher si entre las imágenes había pornografía infantil, respondiendo el Sr. Boucher que no lo sabía con certeza, lo que lógicamente hizo que se personase un nuevo agente para realizar una búsqueda más intensiva localizando un archivo cuyo nombre era "2yo getting raped during diaper change" (Demasiado "heavy" como para traducirlo).
El agente no pudo visualizar el contenido del archivo y tras leer sus derechos al Sr. Boucher le preguntó acerca del mismo, a lo que este contestó que se descargaba porno de Internet y que en ocasiones accidentalmente se descargaba archivos que contenían escenas de sexo con menores pero que una vez identificados como tales procedía a borrar.
El agente le pidió que le enseñase donde almacenaba las imágenes que descargaba y éste accedió a la unidad Z: del ordenador, donde había abundante material pornográfico, así como un vídeo titulado "preteen bondage" que si pudo ser visualizado. Una vez detenido el agente continuó examinando el disco Z: y localizó más imágenes con pornografía infantil.
Pasado un tiempo y preparando el correspondiente proceso penal, un funcionario realizó una copia de seguridad y trató de volver a acceder a los archivos, pero le fue imposible ya que los mismos estaban protegidos mediante "PGP"
Otro agente, en este caso del servicio secreto, manifestó al juzgado que ese software de cifrado no tiene puertas traseras y que la ruptura de la clave podría llevar años según otros casos similares estudiados por el gobierno.
Para conseguir acceso a los archivos, y por lo tanto a las pruebas incriminatorias, no había otro medio que obtener la clave que permitiese el descifrado. Por lo que el juzgado conminó al Sr. Boucher a que las entregase.
Este se negó alegando que eso violaba la quinta enmienda de la Constitución americana en la que se protege el derecho de todo persona a no declararse culpable.
Como alternativa para evitar la aplicación de la Quinta Enmineda al caso se propuso que el Sr. Boucher introdujese la contraseña sin que nadie le mirase, ni el juez ni el gran jurado, o le grabasen. Además renunciando a emplear ese acto en su propia contra.
Y sobre este último punto es sobre el que resuelve el Tribunal, de manera favorable al detenido.
La doctrina que invoca el juzgado para considerar que el revelado de la clave puede suponer una lesión al derecho a no declararse culpable viene motivada porque el Gobierno ya tiene información sobre el contenido de algunos archivos de modo que si el interesado revelase la clave el Gobierno, el Ministerio Fiscal en nuestro caso, tendría acceso no sólo a los archivos que conoce en virtud de la actuación de los agentes, sino que además podría conocer el resto del contenido de la unidad Z: del ordenador del Sr. Boucher, lo que podría suponer un incremento en la eventual condena para este.
También se tiene en cuenta en la resolución que una contraseña está lejos de ser un objeto físico que el gobierno pueda apropiarse o utilizar, sino que se encuentra en la mente del acusado y el obligarle a revelarla provocaría un efecto similar a la declaración de culpabilidad. Se cita un caso similar en el que lo que se obligó a entregar fueron documentos y precisamente esa diferencia entre una información solo existente en la mente de una persona y el contenido de unos documentos es lo que motiva que no se pueda exigir la entrega de la contraseña y mucho menos su escritura en el ordenador.
Lo anterior no quiere decir que no se pueda encausar ni condenar al Sr. Boucher, pero para lograr la eventual condena deberán utilizarse únicamente las declaraciones de los agentes, los nombres de los ficheros, así como cualesquiera otras que puedan argüirse. O incluso el contenido del ordenador si se consigue averiguar la clave. No es un supuesto de impunidad.
Lógicamente será muy complicado sancionar a este señor sobre unas pruebas que en principio parecen meramente indiciarias, aunque de la prueba de conjunto es posible que se alcance un veredicto estimatorio de la culpabilidad.
En mi opinión la sentencia es muy interesante para un problema que sin duda puede darse en el futuro en nuestro país. Sobre todo dado que cada vez son más quienes utilizan estas herramientas de cifrado.
Por un lado, y el juez así lo reconoce, nada impide a los agentes reventar o producir su propia contraseña para acceder al contenido en el marco de una investigación y con intervención judicial, pero dado que esas medidas son ineficaces tampoco se puede obligar a nadie a que diga cual es su contraseña.
En el ejemplo de la caja fuerte, la policía puede reventar la caja mediante el empleo de los medios necesarios, pero no me puede obligar a decir la contraseña.
El artículo 24.2 de la Constitución es muy claro en este sentido:
"2. Asimismo, todos tienen derecho al Juez ordinario predeterminado por la Ley, a la defensa y a la asistencia de letrado, a ser informados de la acusación formulada contra ellos, a un proceso público sin dilaciones indebidas y con todas las garantías, a utilizar los medios de prueba pertinentes para su defensa, a no declarar contra sí mismos, a no confesarse culpables y a la presunción de inocencia."
Lo mismo debería suceder en España en un supuesto similar, en principio.
Sin embargo hay un peligrosísimo artículo en la Ley General de Telecomunicaciones en este mismo sentido y que sin duda colisiona con el contenido del artículo 24.2 de la Constitución, es el artículo 36:
"1. Cualquier tipo de información que se transmita por redes de comunicaciones electrónicas podrá ser protegida mediante procedimientos de cifrado.
2. El cifrado es un instrumento de seguridad de la información. Entre sus condiciones de uso, cuando se utilice para proteger la confidencialidad de la información, se podrá imponer la obligación de facilitar a un órgano de la Administración General del Estado o a un organismo público, los algoritmos o cualquier procedimiento de cifrado utilizado, así como la obligación de facilitar sin coste alguno los aparatos de cifra a efectos de su control de acuerdo con la normativa vigente."
Aunque el supuesto aplicable sería el de la transmisión de información en una red de comunicaciones, debe entenderse que también se permite el cifrado de archivos en unidades de almacenamiento.
Esta ley permite que el Gobierno decida que para que se admisible el uso de cifrado, a cambio se proporcionen las contraseñas necesarias a la propia Administración, o las herramientas de cifrado empleadas.
El problema de este artículo es que no se especifica si sus destinatarios son los proveedores de servicios de telecomunicaciones o todos aquellos que cifren sus conexiones.
En el caso que he expuesto del viajero que cruza la frontera, ¿se imaginan que el estado conoce nuestras claves de cifrado de los mensajes que enviamos a terceros? ¿Nuestra clave pública y privada?
¿Dónde quedaría nuestro derecho a la intimidad e inviolabilidad de las comunicaciones? ¿Y nuestro derecho a no declararnos culpables?
Es claro que no nos pedirían las claves como le ha sucedido al Sr. Boucher, porque ya se las habríamos entregado a la Administración y se podría comprobar integramente el contenido de los ficheros.
De momento no se ha producido tal desarrollo legal, pero debería expresamente excluirse esa posibilidad o al menos hacerla optativa para el titular de la clave, sin que se puedan imponer por parte de la administración una obligación de entrega de una clave bajo la amenaza de una sanción.
Hola, David.
ResponderEliminarLa verdad es que, en España, esa posibilidad ni se ha dado, por cuestiones puramente prácticas.
La confesión del acusado sólo tiene relevancia en delitos castigados con pena de hasta seis años de prisión. Por ello, en los casos de terroristas de ETA que cifran sus archivos con PGP, les da exactamente igual no colaborar con la Justicia entregando su clave, por cuanto que los delitos cometidos suman décadas de cárcel. No obstante, va a resultar sumamente interesante el supuesto en los casos de pornografía infantil, que quedan dentro de ese abanico de penas.
El "plea bargaining" va a dar mucho juego.
Buenas noches Davis. Cada día me parecen más interesante tus artículos y el blog, en mi opinión, tiene un nivel difícil de encontrar por ahí. Sin entrar en los aspectos relacionados con la encriptación en cuanto a la LGT, creo que lo más interesante es la diatriba autoinculpación - consecuencias de la negativa. Salvo mejores criterios, en España siempre se ha inclinado la solución hacia el componente DESOBEDIENCIA y ahora de nuevo (con la reforma del Código Penal y las nuevas penas para la conducción bajo los efectos del alcohol) se ha vuelto a plantear la cuestión de si la obligatoriedad de someterse a las pruebas no atenta contra el 24 de la C.E.
ResponderEliminarLa solución la conocéis, pero con pena de prisión no sería de extrañar encontrarnos con algun caso similar que sea "corregido" en vía de recurso.
Respecto al nuevo Reglamento que desarrolle la LOPD, lo cierto es que todos y cada uno de los borradores que han caido en mis manos me ha dejado insatisfecho ya que, en mi opinión, no cubre muchas de las lagunas que presenta la Ley como por ejemplo encuanto a las Diligencias de Investigación (Solicitudes de Información) previas al PS que se están convirtiendo últimamente en un auténtico "coladero" alargándolas sin sentido para evitar abrir el PS y que éste prescriba.
Espero poder haber aportado algo.
Un saludo y reitero mis felicitaciones.
Hola:
ResponderEliminarGracias por tan interesantes comentarios, de un gran nivel.
Deincognito, estoy de acuerdo con gran parte de lo que dices, creo que la interpretación extensiva que hago puede ser errónea en algún aspecto. Pero una mejor redacción del 36 despejaría ciertas dudas.
Y coincido plenamente con la necesidad de "armonizar" varias normas que generan un conflicto en ese ámbito.
Muchas gracias.
Un saludo.