Contacto

Para consultas jurídicas "david @ 451.legal"

jueves, 28 de marzo de 2013

Como aportar correos electrónicos en un procedimiento judicial

A raíz de los últimos asuntos mediáticos centrados en la existencia o no de correos electrónicos y su debida aportación en sede judicial, creo que es interesante contar la problemática de la aportación de esos documentos en procedimientos judiciales.
Lo primero que hay que tener claro es, siempre, lo que no hay que hacer. Aportar los emails impresos en papel exclusivamente.

Un correo electrónico no está en formato papel en su medio original, por lo que no tiene sentido imprimirlo para aportarlo en el juzgado.

Del archivo digital original al imprimirlo se pueden producir todo tipo de alteraciones y modificaciones, por lo que si a la parte contraria no le interesa que sea tenido en cuenta bastará que se oponga para que su valor probatorio sea prácticamente nulo.

-Naturaleza jurídica-

Para poder saber como aportar los correos electrónicos, lo primero es determinar cual es su naturaleza jurídica a efectos probatorios.

La Ley 59/2003 de Firma Electrónica (LFE), en su art. 3.5 establece que:
"Se considera documento electrónico la información de cualquier naturaleza en forma electrónica, archivada en un soporte electrónico según un formato determinado y susceptible de identificación y tratamiento diferenciado."
Esta definición amplia y ambigua hace que todo lo que esté en formato digital pueda ser considerado un documento electrónico, lo que puede provocar problemas de consideración de la prueba a la hora de su tratamiento en la Ley de Enjuiciamiento Civil (LEC) con los denominados nuevos medios de prueba (arts. 382 y siguientes).

Como sea, puede concluirse que los emails son documentos electrónicos y por lo tanto debemos conocer las reglas para su aportación al procedimiento judicial.

De hecho la propia LFE establece que los documentos electrónicos serán considerados como documentos privados (art. 3.6.c) y que su valor será el que les corresponda por la legislación que les resulte aplicable (art. 3.7)

Estas reglas, aplicables a los emails, se contienen en la LEC.

Veremos como se regulan los aspectos de su aportación.

-Momento de la aportación-

Al igual que el resto de documentos deben presentarse junto con la demanda o la contestación a la misma (art. 265 LEC), estando muy limitadas las posibilidades de aportación posterior a ese momento (artículos 269 y siguientes).

Si no se aporta en ese momento es muy complicado aportarlo después. La aportación en papel puede ser contraria a lo que establece el artículo 267 LEC que obliga a que :
"Los documentos privados que hayan de aportarse se presentarán en original o mediante copia autenticada por el fedatario público competente y se unirán a los autos o se dejará testimonio de ellos, con devolución de los originales o copias fehacientes presentadas, si así lo solicitan los interesados. Estos documentos podrán ser también presentados mediante imágenes digitalizadas, incorporadas a anexos firmados electrónicamente."
Aunque este requisito de que sean los originales está bastante relajado en la práctica, podemos sufrir una impugnación por la parte contraria que rechace los emails presentados en papel y luego no se nos permita aportar los documentos electrónicos, aun y cuando la parte contraria no los impugne en la Audiencia Previa.

Es decir, que puede que se tengan por no presentados (artículo 269 LEC):
"Cuando con la demanda, la contestación [...], no se presentara alguno de los documentos, medios, instrumentos, dictámenes e informes que [...] han de aportarse en esos momentos [...] no podrá ya la parte presentar el documento posteriormente, [...] excepto en los casos previstos en el artículo siguiente."
Por lo tanto podemos empezar el juicio sin prueba documental, y si es la única de la que disponemos...

-Formato-

Uno de los aspectos esenciales es el formato en que deben presentarse. Como he comentado, y por razones evidentes no tiene sentido presentarlo impreso en papel unicamente.

La LEC, art. 268, admite la presentación mediante imágenes digitalizadas firmadas electrónicamente, pero no tiene sentido imprimir un email para luego escanearlo y firmarlo digitalmente. Es una de las cosas "extrañas" de nuestra legislación sobre medios de prueba digitales (supongo que se liaron con la factura electrónica).

Un correo electrónico lo normal es darlo en formato electrónico, para ello si usamos un gestor de correo como thuderbird es tan sencillo como ir a "archivo/guardar como/" y elegir el destino y el nombre del archivo.

Por supuesto que esta copia digital también puede ser susceptible de manipulaciones y no puede entenderse como original en el literal del artículo 267 LEC, por ello además habrá que señalar el servidor o el equipo informático en el que se encuentre el correo y poniéndolo a disposición del juzgado para su análisis en caso de impugnación de la prueba.

La mención a señalar el lugar donde se encuentra el archivo "original", con lo que esto tiene de extraño hablando de bits, sería coherente con lo dispuesto en el 265.2 LEC:
"2. Sólo cuando las partes, al presentar su demanda o contestación, no puedan disponer de los documentos, medios e instrumentos a que se refieren los tres primeros números del apartado anterior, podrán designar el archivo, protocolo o lugar en que se encuentren, o el registro, libro registro, actuaciones o expediente del que se pretenda obtener una certificación."
Aunque es cierto que no se cumple el requisito de que no se disponga del documento, pero de alguna manera debemos integrar esta laguna jurídica respecto del original.
Por lo tanto junto con la demanda deberá entregarse un soporte digital con los correos y nada impide que, además, se presente su transcripción en papel, pero como eso, no como el único medio de prueba, si no para facilitar al juez su lectura y valoración.

De hecho la transcripción se admite para los medios de prueba de reproducción de la imagen y el sonido, artículo 382 LEC, por lo que analogicamente no debería haber problema.

- Impugnación- 

Todo lo comentado tiene su relevancia si la parte contraria impugna los emails y su contenido, es decir, no los reconoce.

Si la parte contraria los admite, realmente da igual si se presentan en papel o no, el juez los valorará.

El riesgo al presentar la demanda, o la contestación, sólo en papel lo debemos juzgar antes de hacerlo pero es muy importante saber que si hay impugnación podemos vernos sin nada.

Si la parte impugna los correos aportados como documento electrónico, la LEC (art.326.3) remite a lo dispuesto en la LFE, pero esta última sólo contiene disposiciones sobre la impugnación de documentos firmados electronicamente y en lo que respecta a la firma, por lo que sobre el contenido quedarán a las pruebas perciales que puedan efectuarse sobre su integridad, pero al menos podrá disponerse de un medio de refuerzo de la prueba.

Al final la LEC, artículo 326.2, reserva al juez la potestad de valorar conforme a las reglas de la sana crítica, pero esta previsión parace hacerse al margen del documento electrónico pero no parece razonable quitar al juez esta posibilidad.

-Aplicación a todos los procedimientos-

A falta de otra regulación la Ley de Enjuiciamiento Civil es la norma de derecho supletorio (artículo 4 LEC), por lo que en los procedimientos penales, administrativos y laborales las reglas para la consideración de los documentos electrónicos serán las mismas que para el proceso civil.

Por lo tanto las reglas sobre aportación de los correos electrónicos serán las mismas ya estemos en la jurisdicción penal, contencioso administrativa o laboral.

En conclusión, nunca aportarlos sólo en papel, utilizar en el envío firmado digitalmente,  indicar siempre el ordenador o servidor de correo donde se han recibido y  poner medios para evitar su destrucción por si hubieran de practicarse pruebas para demostrar su autenticidad.

viernes, 22 de marzo de 2013

La identificación por la IP y la reforma de la LPI

Conocida la propuesta de reforma de la Ley de Propiedad Intelectual (pdf), son muchas los aspectos que merecerían comentario y que, sin duda, tendrán en este y en muchos de los blogs de referencia en el mundo jurídico.

Por lo que interesa en este momento a este blog, quiero explicar la modificación de la Ley de Enjuiciamiento Civil que se incluye con esta reforma (no sólo se toca la Ley de Propiedad Intelectual) para que se pueda poner a disposición de los titulares de derechos la dirección IP, entre otros datos.

El problema para acceder a las direcciones IP, como he reiterado en varias ocasiones, es que actualmente la única ley que regula la entrega de estos datos es la Ley 25/2007 de Conservación de Datos (LCD) que sólo permite la entrega de los mismos en casos de delitos graves (aquellos que acarrean una pena de prisión de más de 5 años)

Así, la gran mayoría de delitos en internet no permiten que se solicite la identificación de la IP a la compañía telefónica o ISP's, aunque a los tribunales les esté costando reconocerlo.

He aquí que el gobierno propone que mediante la figura de las Diligencias Preliminares pueda pedirse que:
"[...] se identifique, con una dirección IP, nombre de dominio, dirección de Internet o dato similar de identificación, al prestador de un servicio de la sociedad de la información sobre el que concurran indicios razonables de que está poniendo a disposición o difundiendo a gran escala, de forma directa o indirecta, contenidos objeto de tal derecho sin que se cumplan los requisitos establecidos por la legislación de propiedad industrial o de propiedad intelectual. La solicitud de identificación podrá dirigirse a los prestadores de servicios de la sociedad de la información, de pagos electrónicos y de publicidad, que mantengan o hayan mantenido en los últimos doce meses relaciones de carácter económico con el prestador de servicios de la sociedad de la información que se desee identificar.”
Es decir que además de los supuestos de delitos graves de la LCD, ahora se puede pedir la identificación de la IP en el caso de infracciones de propiedad intelectual.

Observará el lector que los delitos que tienen pena de menos de 5 años siguen igual, pero las infracciones contra la propiedad intelectual son  más importantes.

Además se añade en apartado 4º al artículo 259 que dice:
"La información obtenida mediante las diligencias de los números 7, 8 y 10 del apartado 1 del artículo 256 se utilizará exclusivamente para la tutela jurisdiccional de los derechos de propiedad industrial o de propiedad intelectual del solicitante de las medidas, con prohibición de divulgarla o comunicarla a terceros. A instancia de cualquier interesado, el tribunal podrá atribuir carácter reservado a las actuaciones, para garantizar la protección de los datos e información que tuvieran carácter confidencial.”
Es decir, en principio esta identificación de la IP sólo puede ser utilizada ante el juez, no ante la Sección Segunda en el procedimiento administrativo, por lo que su inclusión no responde a una necesidad del procedimiento de salvaguarda de derechos, sino que está pensada para identificar en un procedimiento civil y exigir indemnizaciones.

Esta modificación serviría para casos como el planteado por Promusicae ante el TJUE o el que planteó Hustler (pdf) hace algún tiempo.

En el caso Promusicae, el TJUE dijo que nada impedía que un estado estableciese otros supuestos de cesión de datos, y no sólo el de los delitos graves, por lo que, aparentemente, esta medida es compatible con el derecho comunitario.

Pero la medida no tiene mucho sentido ya que se refiere a la identificación de la IP de prestadores de servicios de la sociedad de la información, esto es cualquiera que desarrolle una actividad económica en internet. Pero estos, los PSSI, ya están obligados a identificarse por la LSSICE, art. 9 y siguientes (y pueden ser sancionados por el Ministerio de Industria si no lo hacen) por lo que esta posibilidad resultaría innecesaria.

¿Qué sentido tiene, por lo tanto, esta modificación que como he dicho ni le sirve a la Sección Segunda ni aporta nada que no se pueda hacer?

Pues a mi juicio sólo hay dos opciones, que sea fruto de una mala técnica legislativa o que sea como meter el pie en la puerta para posteriormente suprimir la referencia a los PSSI y poder incluir a los usuarios, como demandan desde la industria (los casos Promusicae y Hustler son un ejemplo).

Además, dada la función de derecho supletorio de la LEC (artículo 4) esta identificación servirá también para la persecución de delitos contra la propiedad intelectual y en la jurisdicción contencioso administrativa, que es la que se encarga de la revisión de las resoluciones de la Sección Segunda.

Así que queda marcado este como uno de los temas a vigilar estrechamente de esta reforma, no vaya a ser que al final, sí se acabe empleando para ir contra los usuarios.

jueves, 21 de marzo de 2013

Tor, responsabilidad legal por su uso (y II)

Como expuse en el anterior artículo de esta serie sobre Tor, la actividad desarrollada por el usuario no comporta obligaciones jurídicas (es más, sería un derecho) y la actividad del nodo puede enmarcarse en lo que define la Ley General de Comunicaciones, por lo que le son aplicables las obligaciones allí recogidas.

¿Y cuáles son estas obligaciones?

1-: Interceptación de comunicaciones:

Entre las obligaciones a las que como operadores les somete la LGT más relevantes a los efectos de la privacidad de los usuarios y de la investigación de los delitos e ilícitos, deben considerarse las del artículo 33.
No sólo tienen el deber de garantizar el secreto de las comunicaciones que enrutan (artículo 33.1 LGT), una cuestión coherente con el servicio prestado, si no que más problemas se plantean con la obligación de interceptar las comunicaciones que se autoricen según el artículo 33.2 LGT, como por ejemplo las previstas en el artículo 579 LECrim:
"3. De igual forma, el Juez podrá acordar, en resolución motivada, por un plazo de hasta tres meses, prorrogable por iguales períodos, la observación de las comunicaciones postales, telegráficas o telefónicas de las personas sobre las que existan indicios de responsabilidad criminal, así como de las comunicaciones de las que se sirvan para la realización de sus fines delictivos."
Esta obligación de interceptación alcanza al OR ya que el paŕrafo 3º del artículo 33 incluye 
“el terminal específico que se determine a partir de la orden de interceptación legal, incluso aunque esté destinada a dispositivo de almacenamiento o procesamiento de la información”. 
Aunque en la práctica resultaría poco operativo la interceptación de comunicaciones en el nodo, puesto que siempre será mínima la información que  puede proporcionar e incluso la ley prevé en sus artículos que se deberá entregar “salvo que por las características del servicio no esté a su disposición”.
Por lo tanto poca o ninguna información tendrá disponible el nodo, en el caso de estar en un punto intermedio. 
Distinta es la posición del “exit node” ya que debe tenerse en cuenta que sí puede interceptar la comunicación, puesto que, de no ir cifrada la información, sí tendría acceso al contenido. 
En el caso de una investigación sería el primer elemento que podría ofrecer información sobre los hechos investigados, puesto que el rastreo de la comunicación en destino llevaría a este punto.
2. Protección de Datos:

Desde el punto de vista de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) no puede considerarse al nodo como un responsable del tratamiento, en el sentido de que no decide sobre la finalidad, contenido y uso de los datos tratados ya que se limita al reenvío de los paquetes, por lo que es difícil predicar su sujeción a la norma más allá de las obligaciones de seguridad expuestas. 
Si se admite la interpretación extensiva de considerar la dirección IP como un dato de carácter personal, aun y cuando la misma no permita identificar a una persona de manera directa o sencilla (el OR no sabe quien le envía la información sólo desde qué IP se dirige) y se encuentre aislado de cualquier otra información personal, el enfoque debería ser el contrario, motivando el pleno sometimiento a las obligaciones de la LOPD y de su normativa de desarrollo.
Al margen del posible sometimiento a la LOPD, la LGT, artículo 34.2, obliga, como mínimo, a los operadores que presten servicios de comunicaciones electrónicas disponibles al público a: 
a) La garantía de que sólo el personal autorizado tenga acceso a los datos personales para fines autorizados por la ley. 
b) La protección de los datos personales almacenados o transmitidos de la destrucción accidental o ilícita, la pérdida o alteración accidentales o el almacenamiento, tratamiento, acceso o revelación no autorizados o ilícitos. 
c) La garantía de la aplicación efectiva de una política de seguridad con respecto al tratamiento de datos personales. 
Además, el artículo 36 bis LGT, dispone la obligación de gestionar los riesgos de seguridad que puedan afectar a sus redes.
Esto, a mi juicio, supone un mínimo compromiso a mantener el servicio en condiciones de seguridad mínimas, básicamente la aplicación de actualizaciones y parches de seguridad.Pero estas obligaciones, serán especialmente relevantes para un “exit node” puesto que él si podrá tratar los datos que circulen o al menos sus deberes de diligencia y seguridad se verán aumentados por ser el punto más susceptible de afectar a la información tratada. 
3. Conservación de Datos
Hay que analizar si la Ley 25/2007 de Conservación de Datos afecta de alguna manera al OR.
Esta norma regula ciertas obligaciones de los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones, en los términos establecidos en la LGT.
Por lo tanto, habiendo resuelto que el OR es un operador de servicios de telecomunicaciones electrónicas es evidente que, en principio, estaría afectado por las disposiciones de la LCD.
El artículo 3 LCD recopila la información que debe recogerse, si bien ninguno de los datos son tratados por el OR, por lo que debe entenderse que no le alcanzan las disposiciones contenidas.
Además, como se ha expuesto y se señala en el propio proyecto
“The Tor Project and Tor node operators have no records of the traffic that passes over the network, but we do maintain current and historical records of which IP addresses are part of the Tor network.” 
Lógicamente esa información forma parte del directorio para completar el circuito de la comunicación y es necesaria para la prestación del servicio, pero el sistema no está preparado para recopilar la información de origen, además la misma sólo identificaría a otros OR, cuya dirección IP está disponible en la red. En este caso sí que la situación sería la misma para el “exit node” que para el resto de ORs.
4. Responsabilidad por el contenido transmitido.
Este aspecto es esencial, sobre todo teniendo en cuenta que estamos ante una herramienta diseñada y promocionada para ayudar a la libertad de información en países en los que esta está amenazada y la publicación de información puede ser considerada un delito.
En España, desde el punto de vista de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE) la labor del OR puede considerarse como un servicio de intermediación, definido en su Anexo como: 
“servicio de la sociedad de la información por el que se facilita la prestación o utilización de otros servicios de la sociedad de la información o el acceso a la información.” 
Son servicios de intermediación
"la provisión de servicios de acceso a Internet, la transmisión de datos por redes de telecomunicaciones, la realización de copia temporal de las páginas de Internet solicitadas por los usuarios, el alojamiento en los propios servidores de datos, aplicaciones o servicios suministrados por otros y la provisión de instrumentos de búsqueda, acceso y recopilación de datos o de enlaces a otros sitios de Internet.” 
Los servicios de intermediación no serán responsables por la información que transmiten “salvo que ellos mismos hayan originado la transmisión, modificado los datos o seleccionado éstos o a los destinatarios de dichos datos”
Pero esa exención de responsabilidad se refiere únicamente a los operadores de redes de telecomunicaciones y proveedores de acceso, sin que el OR pueda considerarse uno de ellos, ya que el servicio que presta se posiciona sobre la red accedida. De todas formas, si no realizan ninguna acción sobre la información no parece razonable exigirles mayor responsabilidad.
Además existe otro problema que tiene que ver con el concepto de prestador de servicio, ya que la LSSICE define a éste como aquel que se realiza como una actividad económica, algo que no se da en el caso del OR, por lo que difícilmente entraría en el ámbito de aplicación subjetiva de la norma, artículo 1 LSSICE
“Es objeto de la presente Ley la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica[...]” 
Y como decía, servicio de la sociedad de la información es, Anexo LSSICE:
“todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario. El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios.” 
Si no hay actividad económica no hay servicio de la sociedad de la información, y por lo tanto ¿no hay exenciones de responsabilidad?.
Parece lógico pensar que si existen para quienes hacen negocio lo mismo deban existir para quienes aportan utilidades lícitas a las redes de comunicaciones, pero nos encontramos sin duda ante una importante laguna de nuestro ordenamiento que debería ser revisada con el fin de hacer extensible como mínimo, o incluso ampliar, las exenciones de responsabilidad a los servicios prestados gratuitamente.
Conclusiones:

El usuario no tiene problemas en cifrar su tráfico usando los servicios de Tor.
La persona que administra un nodo (OP) puede verse sometida a ciertas obligaciones gravosas desde un punto de vista formal, pero de alcance limitado por la propia configuración del servicio que presta.
El "exit node" es el punto más afectado, de hecho las dos intervenciones policiales que se conocen han sido sobre nodos de salida por ser a ellos a donde envía la IP en el destino. La propia EFF en sus legal faqs contiene instrucciones específicas para quienes operan en esta posición.

Los mecanismos de cifrado, enmascaramiento de las rutas y de conexión segura deberían reforzarse legalmente, cumpliendo una labor coherente con la protección de la intimidad ante los cada vez mayores ataques a la privacidad y a la intimidad por parte no sólo de gobiernos o agencias gubernamentales, si no también de empresas que hacen negocio con los datos de los usuarios.

La consideración de este tipo de herramientas como algo neutral debería ser un paso esencial puesto que es simplemente eso, una herramienta, y el hecho de que haya personas que la utilicen como medio para facilitar su impunidad en la comisión de ilícitos no debería hacer que se adopten medidas que restrinjan legalmente las posibilidades de uso.

Y por último, y no sólo en relación a la provisión de servicios de cifrado, falta una regulación que dote de seguridad jurídica a todos aquellos que colaboran con su capacidad de cálculo y desinteresadamente, a los efectos de que gocen de las mismas o mayores exenciones de responsabilidad que aquellos que prestan los mismos servicios como parte de su actividad económica.

miércoles, 20 de marzo de 2013

Tor, responsabilidad legal por su uso (I)

Con las nuevas legislaciones cada vez más centradas en controlar lo que sucede en internet, y sobre todo en poder rastrear a las personas que publican o comparten contenidos (ya sea por la propiedad intelectual, ya sea por las protestas ciudadanas, etc.) es habitual que más y más personas se preocupen por la seguridad, la confidencialidad y el no rastreo de sus comunicaciones electrónicas.

Con ese fin son cada vez más utilizados sistemas como el proyecto Tor.

Tor emplea la técnica del enrutamiento por capas (o de cebolla) para cifrar el mensaje en el origen con las firmas de los nodos (o enrutadores) por los que va a circular la información de tal forma que todo el paso intermedio va cifrado y el mensaje sólo es legible en el destino (o entre el nodo de salida y el destino si la propia comunicación no va cifrada con https, por ejemplo).
 

Además, sobre esta capa de cifrado, los nodos Tor ejecutan ciertos servicios de ocultación (o Hidden Services).

Y la instalación y configuración de todos estos servicios es muy sencilla con varias aplicaciones para navegar sobre Tor o incluso administrar un nodo.

Cabe preguntarse, por lo tanto, ¿qué responsabilidad legal puede haber por el uso de estas herramientas en nuestras comunicaciones?.

Como ya expuse, a nivel usuario, tenemos la libertad de cifrar nuestras comunicaciones como deseemos, por lo que no hay ningún problema en usar estos servicios.

Las complicaciones legales podrían venir por instalar y administrar un nodo Tor.

Es importante diferenciar entre un OR y un "exit node". El OR es el Onion Router, un nodo más en la red y el "exit node" es el que negocia la última conexión con el servicio que desea el cliente, es por donde salen las comunicaciones y por lo tanto está más expuesto. Más adelante veremos como afecta esto.

Debe plantearse, en primer lugar, qué es, desde un punto de vista jurídico un nodo OR en función de la actividad que desarrolla.

La Ley General de Telecomunicaciones contiene en su Anexo II las definiciones aplicables al supuesto estudiado.

Así, para esta norma y también para el Real Decreto 899/2009 (artículo 1.2.c) un Operador es:
“persona física o jurídica que explota redes públicas de comunicaciones electrónicas o presta servicios de comunicaciones electrónicas disponibles al público y ha notificado a la Comisión del Mercado de las Telecomunicaciones el inicio de su actividad.”
Dado que el propio texto legal lo incluye, no es necesario hablar de empresas, la propia persona física que tiene su ordenador encendido y enrutando tráfico puede entrar en la categoría de operador.

 Ahora bien, para que le sea aplicable esta categoría debe prestar servicios de comunicaciones electrónicas disponibles al público, y esto se define en el mismo anexo como el servicio:
“prestado por lo general a cambio de una remuneración que consiste, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas, con inclusión de los servicios de telecomunicaciones y servicios de transmisión en las redes utilizadas para la radiodifusión, pero no de los servicios que suministren contenidos transmitidos mediante redes y servicios de comunicaciones electrónicas o de las actividades que consistan en el ejercicio del control editorial sobre dichos contenidos; quedan excluidos, asimismo, los servicios de la sociedad de la información definidos en el artículo 1 de la Directiva 98/34/CE que no consistan, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas.” 
 Como acota Javier Prenafeta:
“Esto es, todo lo que implique el transporte con su enrutado o conmutación, de señales, excluyendo las redes e infraestructura técnica así como los servicios o contenidos que se presten sobre dichas comunicaciones”

El OR no cifra la información, simplemente aporta su firma al OP (Onion Proxy) con el fin de que éste la aplique sobre la información a transmitir y que posteriormente sepa cual es el siguiente nodo en el tránsito del paquete, por lo tanto no puede hablarse de acciones sobre los contenidos, sino que constituye una operación puramente de enrutador de los paquetes, aplicándoles una serie de acciones, pero que en nada cambian su naturaleza.

Podemos preguntarnos sobre el alcance de la necesidad de que el servicio sea remunerado, cuando precisamente la actuación de las personas que prestan el servicio está basada en la voluntariedad, pero la definición admite que no siempre sea así.

Por lo tanto, puede decirse que la persona que pone a disposición del público un OR es un operador a los efectos de la LGT y le son predicables las obligaciones previstas en principio, aún y considerando lo difícil de su cumplimiento por la propia forma en como el servicio es ofrecido y prestado.

Si bien ello no altera su naturaleza jurídica.
[Continuará]

martes, 19 de marzo de 2013

¿Es legal cifrar nuestras comunicaciones?


Paradójicamente compartimos más información en redes sociales pero al mismo tiempo nos preocupamos más de la posible interceptación de las comunicaciones y del secreto y privacidad de las mismas.

Pero, ¿existe alguna limitación o imposibilidad legal para usar mecanismos de cifrado en nuestras comunicaciones? 

En principio no, de hecho, una norma que prohibiera el empleo de mecanismos de cifrado y ocultación de las comunicaciones podría resultar contraria a la propia constitución española que establece en su artículo 18.3 que:
"Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial. "

La coletilla final de “salvo resolución judicial” debe entenderse en el sentido de que sólo mediante autorización del juzgado puede desvelarse o intervenirse el contenido de la comunicación pero ello sería respecto de la posición del tercero que escucha, no que a uno se le pueda prohibir cifrar sus comunicaciones.

Esto es, que aunque legalmente es admisible acceder al equipo informático o que el juez autorice una interceptación de comunicaciones en el marco de una investigación, resultaría de difícil acomodo constitucional una norma que “ex-ante” impidiese usar un determinado instrumento técnico de cifrado.

Cualquier limitación en los medios de cifrado impuesta a uno mismo (una prohibición de hacer) sería absurda y además podría entrar en conflicto con el derecho a declarar contra uno mismo, artículo 24.2 CE:
“Asimismo, todos tienen derecho al Juez ordinario predeterminado por la Ley, a la defensa y a la asistencia de letrado, a ser informados de la acusación formulada contra ellos, a un proceso público sin dilaciones indebidas y con todas las garantías, a utilizar los medios de prueba pertinentes para su defensa, a no declarar contra sí mismos, a no confesarse culpables y a la presunción de inocencia.”
Como ha señalado la Circular 1/2013 de la Fiscalía General del Estado “Sobre pautas en relación con la diligencia de intervención de las comunicaciones telefónicas” en relación al artículo 18.3 CE:
“Debe tenerse especialmente presente que el derecho analizado es un derecho de carácter formal, pues no se dispensa el secreto en virtud del contenido de la comunicación ni tiene nada que ver la protección del secreto con el hecho de que lo comunicado entre o no en el ámbito de la privacidad (SSTC nº 70/2002, de 3 de abril; 114/1984, de 29 de noviembre). Por ello, la protección que la Constitución otorga a la comunicación telefónica subsiste aun cuando el objeto de la comunicación no entre en la esfera de la intimidad de la persona.”
Al margen del marco constitucional tenemos el Real Decreto 899/2009, de 22 de mayo por el que se aprueba la carta de derechos del usuario de los servicios de comunicaciones electrónicas.

Si bien esta norma se preocupa de la regulación de las relaciones entre los prestadores de servicios de acceso a redes de telecomunicaciones (no sólo internet) y no tanto del uso que los usuarios pueden o no hacer de las mismas, es cierto que se abre la vía a que contractualmente, en la relación usuario-prestador del servicio, se incluyan cláusulas que impidan o penalicen el uso de determinados servicios, como las redes P2P.


Pero ciertamente, una limitación del tráfico del usuario por razones del cifrado empleado en sus comunicaciones resultaría excesiva, ya que en los supuestos más comunes (P2P y Voz IP) las justificaciones son de tipo técnico por carga en los sistemas.

Limitar el uso de comunicaciones cifradas iría en contra de la efectividad del contenido del artículo 18.3 de la Constitución, en el sentido de que las herramientas que ayuden al fin perseguido por el texto constitucional deberían ser igualmente protegidas, si no quiere dejarse éste carente de virtualidad. 

Por contra, sí se recoge expresamente la posibilidad de emplear en la navegación medios de cifrado.

Así el artículo 36.1 de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (LGT) indica que:
“Cualquier tipo de información que se transmita por redes de comunicaciones electrónicas podrá ser protegida mediante procedimientos de cifrado.” 
Aunque el apartado 2 del mismo artículo admite que el prestador de servicio pueda poner a disposición de la Administración del Estado u organismo público los algoritmos o cualquier procedimiento de cifrado, su propio literal remite al servicio prestado por el operador de la red, no al cifrado empleado por el propio usuario, por lo que debe entenderse que esta obligación sólo opera para éste cuando ofrezca la posibilidad al usuario del servicio, como por ejemplo en los servicios de telefonía móvil.


La interpretación de ese apartado primero debe ser amplia, en coherencia con el artículo 18.3 CE, y por lo tanto no debe considerarse la existencia de una obligación de revelar los medios de cifrado empleados para el usuario.

Y mucho menos una clave privada con la que cifremos documentos, ya que puede ser empleada para el cifrado de las comunicaciones.

En conclusión, se reconoce el derecho a cifrar las comunicaciones para el usuario y no cabe prohibir esta práctica ni legal ni contractualmente. 

Sí es importante saber que si quienes aportan los medios de cifrado son los operadores, existe la posibilidad para la Administración Pública de acceder a los medios y sistemas de cifrado obligando a los prestadores de servicios de comunicaciones, por lo que el cifrado deberá ser en origen y sobre la capa de infraestructura que aporten los operadores si queremos comunicaciones al margen de intervenciones externas.

viernes, 1 de marzo de 2013

Limite al derecho moral a la integridad de la obra: La rotonda de Amorebieta

Los derechos morales en propiedad intelectual son irrenunciables e inalienables y gozan del mayor de los respetos, siendo incluso algunos de ellos intransmisibles, por eso, los asuntos que alcanzan a tener un recorrido judicial son especialmente interesantes, o a mi me lo parecen, porque marcan y definen límites a cuestiones que parecen ser claras.

Los derechos morales sobre las obras se establecen en nuestra Ley de Propiedad Intelectual (LPI) en el artículo 14:
"Corresponden al autor los siguientes derechos irrenunciables e inalienables:
  1. Decidir si su obra ha de ser divulgada y en qué forma.
  2. Determinar si tal divulgación ha de hacerse con su nombre, bajo seudónimo o signo, o anónimamente.
  3. Exigir el reconocimiento de su condición de autor de la obra.
  4. Exigir el respeto a la integridad de la obra e impedir cualquier deformación, modificación, alteración o atentado contra ella que suponga perjuicio a sus legítimos intereses o menoscabo a su reputación.
  5. Modificar la obra respetando los derechos adquiridos por terceros y las exigencias de protección de bienes de interés cultural.
  6. Retirar la obra del comercio, por cambio de sus convicciones intelectuales o morales, previa indemnización de daños y perjuicios a los titulares de derechos de explotación.
  7. Acceder al ejemplar único o raro de la obra, cuando se halle en poder de otro, a fin de ejercitar el derecho de divulgación o cualquier otro que le corresponda"
Uno  de los más interesantes desde el punto de vista de su alcance es el contenido en el punto 4º, el que reconoce el respeto a la integridad de la obra.

Fundamento de este derecho fue la reclamación, y posterior sentencia estimatoria, en el caso del puente de Calatrava en Bilbao, y fundamento de uno de los asuntos más peculiares de la jurisprudencia en materia de propiedad intelectual que ha dado el Tribunal Supremo.
"La Patata" de Amorebieta Fuente: viajeros.com

El problema era la colocación de una escultura en una rotonda de Amorebieta y el intento posterior de reurbanizar la zona por parte del ayuntamiento que contrató la misma. Esa reurbanización incluía la modificación de su ubicación definitiva.

Ante esa pretensión municipal, el autor reaccionó exigiendo el reconocimiento a que su obra no fuese movida, porque ello afectaba a su derecho a la integridad de la obra.

Es muy relevante destacar, como hace la sentencia, que el encargo se hace para ese espacio concreto, no es que el ayuntamiento compre una escultura cualquiera, sino que en la propia concepción de la obra se tiene muy en cuenta el entorno en el que debía integrarse.

El tribunal de Instancia reconoció que el Ayuntamiento y autor habían pactado la colocación donde se encontrada, pero la modificación no supondría una vulneración de sus derechos morales. Fallo que fue confirmado por la Audiencia Provincial, explicando que la vulneración de la propiedad intelectual se produciría en función de la nueva ubicación dada a la escultura, el entorno, etc., pero en ese momento no se había producido.

Finalmente el asunto llega al Tribunal Supremo, que ha resuelto mediante sentencia de 18 de enero de 2013 (doc), sobre la única cuestión planteada en el mismo por el autor:
"que se declare que el derecho moral de autor de don Andrés Nagel a la integridad de su obra, comprende que no se altere la ubicación actual de su obra escultórica."
Por lo que el TS limita la cuestión al análisis del alcance del derecho moral a la integridad de la obra:
"[...] el núcleo del recurso queda centrado en decidir si la pretensión de que se declare que el derecho moral de don Andrés Nagel Tejada a la integridad, comprende que no se altere la ubicación de su obra escultórica y si tal derecho tiene carácter tan absoluto que, en caso de conflicto, prevalece sobre cualquier otro derecho o interés legítimo[...]"
El Tribunal reconoce, como es razonable, que en el caso de las obras concebidas especificamente para un espacio concreto la alteración de la ubicación modifica el código de comunicación en que la obra se integra. Pero, por ello mismo, cuando la alteración que se pueda producir en el entorno no modifica el "discurso" que el autor pretende establecer con su obra, no puede hablarse de un atentado contra la misma.

Estaremos en un problema de valoración de contexto.

Y se habla de contexto puesto que la obra, al estar pactada para ese lugar:
"[...] el derecho del recurrente a la integridad de la obra, previsto en el artículo 14.4 TRLPI, se extiende a la tutela de la ubicación de la obra en el emplazamiento para el que fue específicamente creada, como derecho distinto del consistente en que la exposición de la obra se realice en condiciones que no perjudiquen su honor o reputación profesional regulado en el artículo 56.2 TRLPI"
Pero este derecho moral, con ser importante, tampoco debe verse como absoluto o ilimitado, y en este caso debe tenerse en cuenta que el hecho de que vaya a ser expuesto en la vía pública no puede impedir que se realicen actuaciones por las que la Administración deba velar o que respondan a un fin público superior. Y el autor, sabiendo que su obra va a estar en un lugar público, tampoco puede pretender que nunca se perturbe la obra (si bien en esos casos podría caber una  indemnización).

Imaginemos que hay un cambio de mayoría municipal, tampoco el autor puede oponerse a ciertos cambios, porque iría contra la realidad social. Otra cosa es el derecho a ser indemnizado, pero una pretensión de impedir que un objeto se cambie de ubicación es irreal.

Así el TS establece algo con mucho sentido común:
"El derecho del autor, al igual que el del propietario del soporte material, debe ejercitarse de buena fe, de forma no abusiva ni anómala y debe coordinarse con los del propietario del soporte material y los de la comunidad."
Y aplicándolo al caso concreto, como no hay datos sobre un posible cambio de emplazamiento y, lógicamente, en como este puede interferir con la obra no puede admitirse declarar lo pretendido por el autor, confirmando la Sentencia de la Audiencia Provincial.