Contacto

Para consultas jurídicas "david @ 451.legal"

viernes, 28 de junio de 2013

Hay delito en retuitear la conversación del Camargagate

Ya comenté en su momento que, efectivamente, podría haber delito en retuitear el mensaje enviado por otro usuario.

A raíz de la filtración de una conversación grabada en un restaurante entre Alicia Sánchez Camacho y otra persona, se discute si la publicidad que se da a la grabación por medio de la difusión, tanto de partes del mensaje como del lugar en el que puede escucharse la misma (en youtube mismamente), mediante tuits pudiera ser constitutiva de delito.

Como dije en su momento, no todos los delitos tienen como conducta típica (es decir la acción descrita en la norma penal) la difusión o propagación del hecho, por lo que darle difusión a una información o a un contenido no puede considerarse como delito.

La premisa siempre es que uno no es el autor del contenido ilegal o de la puesta a disposición en internet y que se limita a retuitear el mensaje, de lo contrario el delito no sería por el retuit sino por la conducta propiamente dicha.
La revelación de secretos, regulada en el artículo 197 tiene elementos donde podría encajarse la situación producida por la filtración de las conversaciones que dan origen a este escándalo.

Lo primero es que en el artículo 197.4 se establece que:
"Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores."
"Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior."
  Y los números anteriores son:
Art. 197.1: "El que, para descubrir los secretos o vulnerar la intimidad de otro [...] utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses."
Art. 197.2: "Las mismas penas [...] al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados  [...]"
Art 197.3 "El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos[...]"
La cuestión relevante es qué debemos entender por difundir en este contexto y si alcanza a la primera difusión de la grabación original o  también al mayor alcance que se le da por el retuiteo.

Tal y como dije, puesto en relación con el artículo 30 del CP, se incluiría el retuit.

Con todo esto podemos apreciar que el retuiteo entraría en la categoría del párrafo segundo del artículo 197.4, teniendo en cuenta que la conducta tiene como condición que quien difunde no es quien ha participado en la escucha o apoderamiento de los datos. Además es requisito que quien retuitea conozca el origen ilícito del contenido.

En el caso de las escuchas existen elementos del artículo 197.1 (si realmente alguien ajeno a la conversación ha grabado la misma) estando el problema en el conocimiento del origen ilícito para poder imputar un delito a quien retuitee.

Si bien es conocido que la Señora Sánchez Camacho obtuvo un pronunciamiento judicial para evitar, precisamente, que se divulgasen las conversaciones siendo esto publicado por varios medios de comunicación.

Por lo tanto, creo  que pueden darse los requisitos para hablar de la existencia de un delito por darle difusión a la revelación mediante un retuit









martes, 25 de junio de 2013

Sobre las conclusiones del Abogado General en el caso contra Google

Hoy se han conocido las conclusiones del Abogado General del TJUE en el caso de la cuestión prejudicial planteada por la Audiencia Nacional contra Google y la Agencia Española de Protección de Datos.

Aunque son las conclusiones del Abogado General y hay que esperar al pronunciamiento definitivo del TJUE que es quien realmente resolverá, es interesante resumir someramente las conclusiones, que previsiblemente irán en la misma línea que las de la sentencia definitiva.

Tres son, a mi juicio, los pronunciamientos esenciales, empezando por el que me gusta menos, siguiendo por uno que me gusta y por úlitmo el que me encanta:

1- Google, se llame Google Inc. o Google Spain, trata datos de carácter personal si tiene una oficina de ventas para la publicidad de su buscador. Esta oficina, aunque esté a nombre de una tercera empresa supone un establecimiento. Expresamente dice que:

Se lleva a cabo tratamiento de datos personales en el marco de las actividades de un «establecimiento» del responsable del tratamiento, en el sentido del artículo 4, apartado 1, letra a), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, cuando la empresa que provee el motor de búsqueda establece en un Estado miembro, con el fin de promover y vender espacios publicitarios en su motor de búsqueda, una oficina o una filial que orienta su actividad hacia los habitantes de dicho Estado.
Por lo tanto, lo que he dicho sobre el ámbito de aplicación de la LOPD parece que queda descartado y Google deberá cumplir con la legislación española para tratar datos de españoles.

Lo que es una buena noticia, aunque no comparto el como se llega a ella, puesto que considero que el problema es la Directiva y lo mal establecido que está el ámbito de aplicación territorial.

Esto también choca con pronunciamientos de Tribunales civiles ordinarios españoles que han dicho, por ejemplo en el caso Alfaques, que había falta de legitimación pasiva al demandar a Google Spain por el buscador. Por contra, ahora no se hace diferencia, lo que no me parece del todo coherente.

2- Si al indexar y tratar información de una web de terceros hay datos personales, eso es un tratamiento en los términos de la Directiva. Pero Google no es responsable de ese tratamiento (no es quien decide sobre el uso y finalidad del mismo).

Así los expresa el Abogado General:
"Un proveedor de servicios de motor de búsqueda en Internet cuyo motor de búsqueda localiza información publicada o incluida en Internet por terceros, la indexa automáticamente, la almacena con carácter temporal y, por último, la pone a disposición de los usuarios de Internet, «trata» datos personales, en el sentido del artículo 2, letra b), de la Directiva 95/46 cuando esta información contiene datos personales.

Sin embargo, no se puede considerar al proveedor de servicios «responsable del tratamiento» de tales datos personales, en el sentido del artículo 2, letra d), de la Directiva 95/46, a excepción de los contenidos del índice de su motor de búsqueda, siempre que el proveedor del servicio no indexe o archive datos personales en contra de las instrucciones o las peticiones del editor de la página web."

Es decir, Google actuaría más bien como un encargado del tratamiento, que me parece lo razonable. Cuando permites que los buscadores rastreen tu web estás encargándoles una labor de difusión y por lo tanto ese debería ser el marco jurídico.

y 3- Posiblemente el pronunciamiento más relevante. No existe un derecho al olvido y el borrado de información de buscadores, e incluso de cualquier web, cuando la información publicada es legítima y lícita es un acto que no es aceptable.

Las razones para el ejercicio de los derechos de cancelación u oposición previstos en la normativa de Protección de Datos no deben entenderse de una manera que impida el indexado por buscadores, pero leyendo las conclusiones creo que hay poco margen incluso para pedir la retirada de la fuente de la publicación adicional, basándose en que eso se quiere olvidar o hacerlo inaccesible.

Es muy interesante esto y que puede afectar a lo que se está discutiendo sobre las futuras reformas en la UE en materia de Protección de Datos.

Lo que dice el Abogado General es:
"Los derechos de cancelación y bloqueo de datos, establecidos en el artículo 12, letra b), y el derecho de oposición, establecido en el artículo 14, letra a), de la Directiva 95/46, no confieren al interesado el derecho a dirigirse a un proveedor de servicios de motor de búsqueda para impedir que se indexe información que le afecta personalmente, publicada legalmente en páginas web de terceros, invocando su deseo de que los usuarios de Internet no conozcan tal información si considera que le es perjudicial o desea que se condene al olvido."
Lo que está en juego cuando se habla de olvido nunca debería ser la protección de datos, si no la protección del derecho al honor y a la intimidad, regulado en la Ley Orgánica 1/1982 y por esa vía es por la que entiendo que deben abordarse estos problemas.

La cancelación y oposición al tratamiento de los datos tienen unos requisitos determinados, que la mera voluntad del titular y la visión extremista del derecho a la autodeterminación informativa, no pueden saltarse con el fin de configurar una historia digital a medida, so pena, como dice el Abogado General, de una forma de "censura del contenido publicado por un particular."

Aunque pueda parecer que las conclusiones satisfacen a Google al no declararle responsable de los tratamientos de datos que se realizan por la indexación que de las páginas web de terceros hace, lo cierto es que tampoco es una victoria total por que establece que si tiene una oficina en España, aunque sea de una persona jurídica diferente.

Esperaremos la resolución del TJUE...

jueves, 13 de junio de 2013

La hipocresía en la importancia de la Protección de Datos

Al hilo del asunto de #PRISM, cada vez más turbio y vergonzante para todos los estados implicados, leía un tweet de Jorge Campanillas que me recordaba una cosa a la que llevo tiempo dándole vueltas.

Es la hipocresía que se da alrededor de la protección de datos y el derecho a la intimidad de las personas.

No hace falta recordar que el Tribunal Constitucional señaló en su celebre sentencia 292/2000 la protección de Datos como un derecho fundamental y autónomo.

En cientos de ocasiones las resoluciones sancionadoras de la Agencia Española de Protección de Datos han destacado ese carácter de derecho fundamental como base para justificar la imposición de sanciones derivadas del incumplimiento del contenido de la Ley Orgánica 15/1999 de Protección de Datos.

Por supuesto que, no seré yo quien lo niegue, el derecho a gestionar nuestros datos de manera adecuada, sin intromisiones excesivas y sin que se perturbe nuestro derecho a disponer de ellos como queramos, es importante

Y estoy de acuerdo en que, dentro o de manera independiente al derecho a la intimidad, se exija su respeto.

Lo que me parece hipócrita es una regulación cuyo único fin no es tanto la preocupación por el respeto a un derecho fundamental como otros intereses.

Es hipócrita la regulación, en primer lugar, y como se ha dicho en ocasiones, por que establece el centro de la protección de datos en función del lugar de tratamiento y no de la nacionalidad de los interesados, de las personas cuyos derechos fundamentales se ven afectados.

Si tan importante es el derecho a la protección de datos personales lo lógico es que obliguen a las empresas que tratan mis datos a que cumplan la ley, traten los datos donde los traten.

Además esto no sólo es contradictorio con esa visión de derecho fundamental, sino que ha fomentado el desarrollo de empresas cuyo negocio es el tratamiento de datos lejos de países de la UE, generando un problema de competitividad evidente.
 
Y en segundo lugar porque el legislador, que no es tonto, establece sanciones por el incumplimiento de la norma, pero ojo, no para las administraciones públicas, no, sólo para los ficheros mantenidos por el sector privado (lo que insólitamente incluye a ciudadanos particulares en ciertos actos).

Es decir, que si usted tiene una clínica privada y pierde unos expedientes, pagará una cuantiosa multa. Ahora bien, si es usted un hospital público y pierde los mismos expediente... pues un apercibimiento y poco más.

Es lógico que pensemos que no tiene sentido que las administraciones públicas se paguen sanciones a sí mismas, al final el dinero es de todos. Y tiene cierto sentido el argumento.

Pero lo que no tiene sentido es que, si estamos ante un derecho tan importante, tan protegible y tan reconocido, la administración no actúe de alguna manera. Porque cuando una administración es apercibida tras un procedimiento de la Agencia Española de Protección de Datos tampoco hace nada.

Si se comunican los datos médicos de un hospital público, por ejemplo, parece claro que se vulnera el derecho a la intimidad de los pacientes. ¿Y qué puede hacer la administración?

Pues es tan sencillo como iniciar un procedimiento de responsabilidad patrimonial, así se establece en el artículo 139 de la Ley 30/1992:
"1. Los particulares tendrán derecho a ser indemnizados por las Administraciones Públicas correspondientes, de toda lesión que sufran en cualquiera de sus bienes y derechos, salvo en los casos de fuerza mayor, siempre que la lesión sea consecuencia del funcionamiento normal o anormal de los servicios públicos."
Es decir, que la administración que pierde un número de expedientes está en condiciones de saber qué expedientes se han perdido y a qué ciudadanos se ha afectado. Y si se ha lesionado un derecho fundamental, pues lo lógico es que se reconozca.

Generalmente, cuando suceden este tipo de supuestos no se hace pública la identidad de los afectados, estos no se enteran, no reclaman y la administración sale indemne.

Si observamos la normativa, veremos que es posible el inicio de actuaciones de responsabilidad patrimonial de oficio. Así el artículo 5 del Real Decreto 494/1993 establece que:
"1. Cuando el órgano competente para iniciar el procedimiento de responsabilidad patrimonial entienda que se han producido lesiones en los bienes y derechos de los particulares en los términos previstos en el artículo 2 de este Reglamento iniciará el procedimiento regulado en este capítulo.
2. La iniciación de oficio del procedimiento se efectuará siempre por acuerdo del órgano competente, adoptado bien por propia iniciativa, bien como consecuencia de orden superior, petición razonada de otros órganos o por denuncia.
La petición razonada de otros órganos para la iniciación de oficio del procedimiento deberá individualizar la lesión producida en una persona o grupo de personas, su relación de causalidad con el funcionamiento del servicio público, su evaluación económica si fuera posible, y el momento en que la lesión efectivamente se produjo.
3. El acuerdo de iniciación del procedimiento se notificará a los particulares presuntamente lesionados, concediéndoles un plazo de siete días para que aporten cuantas alegaciones, documentos o información estimen conveniente a su derecho y propongan cuantas pruebas sean pertinentes para el reconocimiento del mismo.
El procedimiento iniciado se instruirá aunque los particulares presuntamente lesionados no se personen en el plazo establecido."
Observen lo destacado del artículo 5, no sólo la administración afectada (y apercibida por la Agencia de Protección de Datos) puede hacer algo para resarcir la lesión del interesado, la propia Agencia puede instar la iniciación del procedimiento de forma que el daño que hayan sufrido los ciudadanos sea compensado. Y eso también es hipócrita.

Pero claro, administraciones denunciando a administraciones para que indemnicen a ciudadanos sería "poco serio". De hecho si buscan en la web de la Agencia de Protección de Datos no hay ningún resultado que lleve a una mención al Real Decreto 429/1993 (usando google tampoco).

Por ejemplo, si buscamos resoluciones destacadas de Administraciones Públicas en la web de la Agencia, veremos ejemplos de todo tipo en los que se declara que la administración X ha incumplido los artículos A y B de la LOPD, constituyendo una infracción grave, pero sin más.
 
¿No sería más coherente con esa visión de derecho fundamental que, aunque sea de vez en cuando, se instase por parte de la Administración afectada o de la propia Agencia un expediente de responsabilidad patrimonial?


Al menos algunos, ante ciertas sanciones al sector privado pensaríamos que hay un verdadero interés por lo que se hace con nuestros datos y no algo de afán recaudatorio.

viernes, 7 de junio de 2013

Troyanos e Investigación remota de equipos informáticos, cuestiones constitucionales

La posibilidad de instalar en los ordenadores y equipos informáticos de los investigados prevista en el Anteproyecto de Código Procesal Penal (CPP) ha generado mucho revuelo.

A pesar de que creo que el aspecto más importante, en lo que a los delitos por internet se refiere, es el de la "derogación" de la Ley de Conservación de Datos, como comenté, es cierto que esta medida que tanta atención mediática ha despertado tiene algunos aspectos que merecen ser comentados, en particular por el encaje constitucional que la misma puede tener.

Lo que es indiscutible es que la medida, el poder acceder al contenido íntegro de un ordenador (o equipo informático o de un instrumento de almacenamiento de datos, etc.) de un sospechoso, supone una intromisión en la intimidad de la persona, y por lo tanto los derechos reconocidos en el artículo 18 de la Constitución, básicamente, se ven afectados.

Ahora bien, los derechos, aunque sean fundamentales, no son absolutos y pueden ceder cuando colisionen con otros que deban prevalecer en atención a razones de interés público.

Así, no se discute la intervención en un domicilio en el marco de la investigación de un delito, por ejemplo. De hecho es en la propia constitución donde se consagra este derecho y las condiciones para su limitación:
"2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito."
Se trata de realizar un juicio de proporcionalidad en el que se valore si la medida lesiva de los derechos de la persona presenta un conflicto y en qué medida, proporcional al fin perseguido, se puede admitir.

Así en este caso, el artículo 350 del CPP indica que esta medida se podrá autorizar tras petición razonada del Ministerio Fiscal para investigar un delito de especial gravedad y sea idónea y necesaria para esclarecer el hecho investigado, al autor o el paradero de este.

Como se ve esta medida no se debe admitir para cualquier delito (y no como se está diciendo para delitos a partir de 3 años), sino que se prevé sólo para los delitos "especialmente graves". El problema es que este concepto no está perfectamente definido en nuestra legislación penal.

Los tipos de delitos, según el Código Penal, artículo 13 son:
"1. Son delitos graves las infracciones que la Ley castiga con pena grave.

2. Son delitos menos graves las infracciones que la Ley castiga con pena menos grave.

3. Son faltas las infracciones que la Ley castiga con pena leve."
Y son penas graves las que tienen como castigo, entre otras cosas, la pena de prisión superior a 5 años (art. 33 CP).

Por lo tanto, el hecho de que se definan como especialmente graves nos debe situar, siempre y en todo caso por encima de esos 5 años como pena del delito aplicable.

A mi juicio, esta gravedad especial que exige el texto del proyecto debería concretarse con el fin de no tener un espacio de indeterminación, ya sea indicando los delitos concretos en los que la medida es admisible o bien fijando la pena en abstracto del tipo a partir de la cual se podría adoptar.

Si bien la medida considerada como "inspeccionar remotamente un equipo informático" puede ser constitucional (también se admiten las grabaciones, instalación de micrófonos, etc.) siempre que haya autorización y control judicial no puede llevarse a cabo de cualquier manera ni usando cualesquiera medios.

Así, según la redacción, a mi juicio no sería aceptable la instalación de cualquier spyware, como un keylogger o un programa que esté continuamente instalado puesto que el objeto de la medida es:
"[...] el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos [...]"
Es decir que la misma estaría limitada temporalmente a obtener una copia de los archivos, de hecho el 350.2 al regular los requisitos que debe especificar la resolución de autorización de la medida señala:
"El alcance de la misma, la forma en la que se procederá al acceso y aprehensión de los datos o archivos informáticos relevantes para la causa y el software mediante el que se ejecutará el control de la información"
Una instalación permanente de un software que recopile datos y archivos durante un periodo de tiempo no sería legítimo. Entiendo que la medida debería ser "similar/equiparable" a la entrada y registro domiciliario con el fin de obtener documentos, no someter a un escaneo constante la actividad del investigado.

Mucho menos instalar un keylogger que remita a la policía las pulsaciones del teclado o movimientos del ratón del usuario.

De no hacerse así difícilmente se salvaría el que la medida pudiera llegar a ser considerada como una limitación individual del derecho al secreto de las comunicaciones del artículo 18.2 CE, limitación que está prohibida por la Constitución en el artículo 55.2.

Este artículo 55 obliga a que si se limita este derecho, al igual que la inviolabilidad domiciliaria, se haga mediante Ley Orgánica con intervención judicial y control parlamentario, pero además sólo "en relación con investigaciones correspondientes a la actuación de bandas armadas o elementos terroristas."

Esta mención a ciertos delitos también debería dar una idea de cuando procede la adopción de la medida.

Además mantener el software más tiempo del necesario para hacer una mera copia podría afectar a los derechos de terceros usuarios de ese equipo que no sean objeto de investigación o no tengan ninguna relación con los hechos, por lo que se produciría una extralimitación de la autorización.

Por lo tanto, a mi juicio, la medida puede ser constitucional, pero siempre que se aplique con las limitaciones expuestas, y que para que no haya dudas deberían recogerse en el texto con todo detalle.

Otro de los problemas que se plantea es con el almacenamiento sincronizado en servidores remotos, ya que el CPP señala que cuando los datos estén en servidores en el extranjero se debe hacer "instando medidas de cooperación internacional". ¿Como afectaría esto a servicios "en la nube"?

Vistas las noticias, se ve que al menos con los servicios radicados en Estados Unidos, no hay ningún problema, tienen acceso total...

martes, 4 de junio de 2013

El Código Procesal Penal: Todo lo que haces en internet se registra y puede ser usado en tu contra

Se ha dado a conocer una nueva versión del Código Procesal Penal (CPP) (pdf), que sustituirá a la Ley de Enjuiciamiento Criminal, y entre otras medidas establece un régimen para la entrega de los datos que identifican a una dirección IP.

Como ya he comentado en varias ocasiones, hasta este momento este aspecto se regula por el contenido de la Ley 25/2007 de Conservación de Datos, que establece que se deben recoger los datos generados por las comunicaciones electrónicas (entre ellos la identificación de la IP) y sólo se pueden ceder, previa autorización judicial, en los casos de delitos graves, es decir aquellos en los que la pena es superior a 5 años.

Pero ello dejaba fuera delitos como las injurias, amenazas, etc. cuya pena en abstracto, lo máximo que señala el tipo, es menor a esos 5 años.

Ahora, la propuesta de CPP señala que:
Artículo 311 Identificación mediante número IP
1. - Cuando en el ejercicio de las funciones de prevención y descubrimiento de los delitos cometidos en internet, los agentes de Policía tuvieran acceso a una dirección IP correspondiente a un terminal que estuviera siendo utilizado para la comisión de alguno de los delitos a que se refiere el artículo 295 y no constara la localización del equipo ni los datos de identificación personal del usuario, lo pondrán en conocimiento del Fiscal.

2.- A la vista de la naturaleza de los hechos y siempre que resultare procedente, el Fiscal solicitará del Tribunal de Garantías que requiera de la operadora la cesión de los datos que permitan la localización del terminal y la identificación del sospechoso.
Los supuestos a los que se refiere en el artículo 295 son todos los que se pueden cometer mediante un servicio de la sociedad de la información, pues no sólo se incluyen alquellos con pena de 3 años, sino que expresamente se indica:
"3- delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la telecomunicación."
Es decir, todos los delitos informáticos y cometidos en internet, tengan la pena que tengan asociada.

Hay que recordar que se están recabando los datos por el mero hecho de la comunicación, sin necesidad de indicio de ningún tipo, razón por la que las leyes de conservación de datos y la propia Directiva están siendo objeto de impugnaciones por toda Europa, salvo en España, donde con esta norma vamos mucho más allá de lo que se hace en nuestro entorno.

Tiene gracia que en la exposición de motivos, a este respecto, se diga que:
"La jurisprudencia del Tribunal Supremo ya consolidada sobre esta materia inspira las soluciones que ofrece el texto legal."

Por lo tanto, de seguir así con esta redacción estaremos ante la derogación de la Ley de Conservación de Datos y el fin del ámbito de impunidad que existía para los delitos en internet, pero eso sí, a costa de sacrificar otros derechos fundamentales.

A esto hay que añadir que la Ley Lassalle incluye para procesos civiles en el caso de propiedad intelectual (pero que se ampliará con el tiempo) las mismas previsiones sobre entregar la IP.

Por lo tanto, ya sabes que todo lo que haces en internet se registra y puede ser usado en tu contra.

Primero defendieron la retención y conservación de todos los datos generados, pero para que eso fuese aceptable aseguraron que sólo se haría para supuestos específicos y muy graves (terrorismo, crimen organizado, etc.). Pasado ese momento, cuando ya nadie presta atención se hace para cualquier supuesto y así llegamos a 1984, pero no el año, sino la novela de Orwell.