jueves, 21 de marzo de 2013

Tor, responsabilidad legal por su uso (y II)

Como expuse en el anterior artículo de esta serie sobre Tor, la actividad desarrollada por el usuario no comporta obligaciones jurídicas (es más, sería un derecho) y la actividad del nodo puede enmarcarse en lo que define la Ley General de Comunicaciones, por lo que le son aplicables las obligaciones allí recogidas.

¿Y cuáles son estas obligaciones?

1-: Interceptación de comunicaciones:

Entre las obligaciones a las que como operadores les somete la LGT más relevantes a los efectos de la privacidad de los usuarios y de la investigación de los delitos e ilícitos, deben considerarse las del artículo 33.
No sólo tienen el deber de garantizar el secreto de las comunicaciones que enrutan (artículo 33.1 LGT), una cuestión coherente con el servicio prestado, si no que más problemas se plantean con la obligación de interceptar las comunicaciones que se autoricen según el artículo 33.2 LGT, como por ejemplo las previstas en el artículo 579 LECrim:
"3. De igual forma, el Juez podrá acordar, en resolución motivada, por un plazo de hasta tres meses, prorrogable por iguales períodos, la observación de las comunicaciones postales, telegráficas o telefónicas de las personas sobre las que existan indicios de responsabilidad criminal, así como de las comunicaciones de las que se sirvan para la realización de sus fines delictivos."
Esta obligación de interceptación alcanza al OR ya que el paŕrafo 3º del artículo 33 incluye 
“el terminal específico que se determine a partir de la orden de interceptación legal, incluso aunque esté destinada a dispositivo de almacenamiento o procesamiento de la información”. 
Aunque en la práctica resultaría poco operativo la interceptación de comunicaciones en el nodo, puesto que siempre será mínima la información que  puede proporcionar e incluso la ley prevé en sus artículos que se deberá entregar “salvo que por las características del servicio no esté a su disposición”.
Por lo tanto poca o ninguna información tendrá disponible el nodo, en el caso de estar en un punto intermedio. 
Distinta es la posición del “exit node” ya que debe tenerse en cuenta que sí puede interceptar la comunicación, puesto que, de no ir cifrada la información, sí tendría acceso al contenido. 
En el caso de una investigación sería el primer elemento que podría ofrecer información sobre los hechos investigados, puesto que el rastreo de la comunicación en destino llevaría a este punto.
2. Protección de Datos:

Desde el punto de vista de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) no puede considerarse al nodo como un responsable del tratamiento, en el sentido de que no decide sobre la finalidad, contenido y uso de los datos tratados ya que se limita al reenvío de los paquetes, por lo que es difícil predicar su sujeción a la norma más allá de las obligaciones de seguridad expuestas. 
Si se admite la interpretación extensiva de considerar la dirección IP como un dato de carácter personal, aun y cuando la misma no permita identificar a una persona de manera directa o sencilla (el OR no sabe quien le envía la información sólo desde qué IP se dirige) y se encuentre aislado de cualquier otra información personal, el enfoque debería ser el contrario, motivando el pleno sometimiento a las obligaciones de la LOPD y de su normativa de desarrollo.
Al margen del posible sometimiento a la LOPD, la LGT, artículo 34.2, obliga, como mínimo, a los operadores que presten servicios de comunicaciones electrónicas disponibles al público a: 
a) La garantía de que sólo el personal autorizado tenga acceso a los datos personales para fines autorizados por la ley. 
b) La protección de los datos personales almacenados o transmitidos de la destrucción accidental o ilícita, la pérdida o alteración accidentales o el almacenamiento, tratamiento, acceso o revelación no autorizados o ilícitos. 
c) La garantía de la aplicación efectiva de una política de seguridad con respecto al tratamiento de datos personales. 
Además, el artículo 36 bis LGT, dispone la obligación de gestionar los riesgos de seguridad que puedan afectar a sus redes.
Esto, a mi juicio, supone un mínimo compromiso a mantener el servicio en condiciones de seguridad mínimas, básicamente la aplicación de actualizaciones y parches de seguridad.Pero estas obligaciones, serán especialmente relevantes para un “exit node” puesto que él si podrá tratar los datos que circulen o al menos sus deberes de diligencia y seguridad se verán aumentados por ser el punto más susceptible de afectar a la información tratada. 
3. Conservación de Datos
Hay que analizar si la Ley 25/2007 de Conservación de Datos afecta de alguna manera al OR.
Esta norma regula ciertas obligaciones de los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones, en los términos establecidos en la LGT.
Por lo tanto, habiendo resuelto que el OR es un operador de servicios de telecomunicaciones electrónicas es evidente que, en principio, estaría afectado por las disposiciones de la LCD.
El artículo 3 LCD recopila la información que debe recogerse, si bien ninguno de los datos son tratados por el OR, por lo que debe entenderse que no le alcanzan las disposiciones contenidas.
Además, como se ha expuesto y se señala en el propio proyecto
“The Tor Project and Tor node operators have no records of the traffic that passes over the network, but we do maintain current and historical records of which IP addresses are part of the Tor network.” 
Lógicamente esa información forma parte del directorio para completar el circuito de la comunicación y es necesaria para la prestación del servicio, pero el sistema no está preparado para recopilar la información de origen, además la misma sólo identificaría a otros OR, cuya dirección IP está disponible en la red. En este caso sí que la situación sería la misma para el “exit node” que para el resto de ORs.
4. Responsabilidad por el contenido transmitido.
Este aspecto es esencial, sobre todo teniendo en cuenta que estamos ante una herramienta diseñada y promocionada para ayudar a la libertad de información en países en los que esta está amenazada y la publicación de información puede ser considerada un delito.
En España, desde el punto de vista de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE) la labor del OR puede considerarse como un servicio de intermediación, definido en su Anexo como: 
“servicio de la sociedad de la información por el que se facilita la prestación o utilización de otros servicios de la sociedad de la información o el acceso a la información.” 
Son servicios de intermediación
"la provisión de servicios de acceso a Internet, la transmisión de datos por redes de telecomunicaciones, la realización de copia temporal de las páginas de Internet solicitadas por los usuarios, el alojamiento en los propios servidores de datos, aplicaciones o servicios suministrados por otros y la provisión de instrumentos de búsqueda, acceso y recopilación de datos o de enlaces a otros sitios de Internet.” 
Los servicios de intermediación no serán responsables por la información que transmiten “salvo que ellos mismos hayan originado la transmisión, modificado los datos o seleccionado éstos o a los destinatarios de dichos datos”
Pero esa exención de responsabilidad se refiere únicamente a los operadores de redes de telecomunicaciones y proveedores de acceso, sin que el OR pueda considerarse uno de ellos, ya que el servicio que presta se posiciona sobre la red accedida. De todas formas, si no realizan ninguna acción sobre la información no parece razonable exigirles mayor responsabilidad.
Además existe otro problema que tiene que ver con el concepto de prestador de servicio, ya que la LSSICE define a éste como aquel que se realiza como una actividad económica, algo que no se da en el caso del OR, por lo que difícilmente entraría en el ámbito de aplicación subjetiva de la norma, artículo 1 LSSICE
“Es objeto de la presente Ley la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica[...]” 
Y como decía, servicio de la sociedad de la información es, Anexo LSSICE:
“todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario. El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios.” 
Si no hay actividad económica no hay servicio de la sociedad de la información, y por lo tanto ¿no hay exenciones de responsabilidad?.
Parece lógico pensar que si existen para quienes hacen negocio lo mismo deban existir para quienes aportan utilidades lícitas a las redes de comunicaciones, pero nos encontramos sin duda ante una importante laguna de nuestro ordenamiento que debería ser revisada con el fin de hacer extensible como mínimo, o incluso ampliar, las exenciones de responsabilidad a los servicios prestados gratuitamente.
Conclusiones:

El usuario no tiene problemas en cifrar su tráfico usando los servicios de Tor.
La persona que administra un nodo (OP) puede verse sometida a ciertas obligaciones gravosas desde un punto de vista formal, pero de alcance limitado por la propia configuración del servicio que presta.
El "exit node" es el punto más afectado, de hecho las dos intervenciones policiales que se conocen han sido sobre nodos de salida por ser a ellos a donde envía la IP en el destino. La propia EFF en sus legal faqs contiene instrucciones específicas para quienes operan en esta posición.

Los mecanismos de cifrado, enmascaramiento de las rutas y de conexión segura deberían reforzarse legalmente, cumpliendo una labor coherente con la protección de la intimidad ante los cada vez mayores ataques a la privacidad y a la intimidad por parte no sólo de gobiernos o agencias gubernamentales, si no también de empresas que hacen negocio con los datos de los usuarios.

La consideración de este tipo de herramientas como algo neutral debería ser un paso esencial puesto que es simplemente eso, una herramienta, y el hecho de que haya personas que la utilicen como medio para facilitar su impunidad en la comisión de ilícitos no debería hacer que se adopten medidas que restrinjan legalmente las posibilidades de uso.

Y por último, y no sólo en relación a la provisión de servicios de cifrado, falta una regulación que dote de seguridad jurídica a todos aquellos que colaboran con su capacidad de cálculo y desinteresadamente, a los efectos de que gocen de las mismas o mayores exenciones de responsabilidad que aquellos que prestan los mismos servicios como parte de su actividad económica.