lunes, 16 de mayo de 2016

Cuestión prejudicial española sobre el acceso a los datos de comunicaciones electrónicas

El pasado 6 de abril, la Audiencia Provincial de Tarragona, acordó remitir una cuestión prejudicial al Tribunal de Justicia de la Unión Europea, en relación al acceso a los datos de traáfico de los teléfonos móviles para la investigación de delitos.

El asunto era que una persona había sido asaltada por la espalda el 16 de febrero de 2015, golpeada en el suelo y su móvil sustraído, mientras le pedían tambien la cartera y el dinero. A consecuencia del ataque, sufrió la rotura de 4 costillas y un corte que requirió de cuatro puntos de sutura.

Tras la denuncia, la policia, solicitó del juzgado que se librase mandamiento a las operadoras para que dijeran quien había activado una tarjeta SIM con el IMEI de ese teléfono.

El Juzgado de Instrucción dijo que no era posible acceder a lo solicitado
 "porque la Ley 25/2007 limita la cesión de los datos conservados por las operadoras [...] cuando se está investigando un delitos grave y [...] por tanto [...] sólo pueden entenderse como tales aquellos que se castigan con pena superior a cinco años [...]"
Es decir, el juzgado de instrucción interpreta, a mi juicio correctamente, la literalidad de la norma, sin interpretaciones extralegem como hemos visto en otras ocasiones.

Esa resolución del juzgado es recurrida por la fiscalía, considerando que por la naturaleza de los hechos debió haberse accedido a los datos conservados, como el Tribunal Supremo en un asunto similar decretó en sentencia de 26 de julio de 2010 (La sentencia trata de intervención de comunicaciones, realmente, como puede leerse aquí (pdf) pero lo de las interpretaciones de la fiscalía da para otro post)

martes, 12 de abril de 2016

¿Más cerca el fin de las legislaciones nacionales de conservación de datos (tal y como están redactadas)?

En abril de 2014, el Tribunal de Justicia de la Unión anuló la Directiva de Retención de Datos dado que su redacción era contraria a los principios del artículo 8 de la Carta de Derechos Fundamentales

Ya expuse los fundamentos, y los aspectos prácticos, de tal decisión, que resultaba ciertamente importante y que ponía en cuestión todo el entramado de normas nacionales de Retención o Conservación de Datos.

Recupero las nueve razones de la anulación para poner mas contexto a la historia
1- es demasiado amplia, incluye a todas las personas, incluso aquellas de las que no hay una evidencia mínima que sugiera su relación con un delito grave. De hecho, la Directiva no da ningún supuesto de exención, lo que incluye a personas que están sujetos a secreto profesional, como abogados y periodistas, por ejemplo.

2- no requiere relación entre los datos que son objeto de retención y una amenaza concreta para la seguridad.

3- no contiene criterios objetivos para determinar los límites de acceso de las autoridades nacionales competentes, y el subsiguiente uso de los mismos para los fines propuestos. De hecho hay una mera referencia a delitos graves según lo defina cada estado miembro.

4- tampoco hay en la Directiva condiciones de acceso y uso de los datos por las autoridades nacionales, indicando que debería decirse que el uso de los datos accedidos debe restringirse a la prevención y detección de delitos precisamente definidos.

5- no hay limitación respecto del uso de los datos a lo estrictamente necesario a la luz del objetivo perseguido.

6- el periodo de retención, de como mínimo 6 meses, no hace distinción entre tipos de datos o categoría de los mismos.

7- igualmente, respecto del periodo establecido, entre 6 y 24 meses, no está fijado por criterios objetivos en orden a conseguir lo necesario con la mínima injerencia.

8- no se fijan reglas claras, por lo que la injerencia no esta circunscrita con precisión a lo estrictamente necesario.

9- no se dan garantías de que los datos retenidos no van a ser malutilizados o de cómo se pretende garantizar su integridad y confidencialidad. De hecho ni tan siquiera hay órdenes para que los estados miembros, destinatarios de la norma, lo hagan. Además, los propios operadores, que son quienes guardan los datos, no tienen que adoptar niveles elevados de seguridad para proteger los mismos.
Tras esa sentencia, la opinión de la fiscalía, de los juzgados y audiencias provinciales ha sido de total autocomplacencia, de que nuestra ley suplía los defectos de la Directiva y que por lo tanto no le afectaban los vicios de aquella, lo que la ponía a salvo de cualquier cuestión de constitucionalidad o de conflicto con la Carta de Derechos de la UE.

lunes, 11 de abril de 2016

¿Puede Whatsapp (u otro prestador de servicios de comunicaciones) acreditar el contenido de una comunicación?

Este post se enmarca dentro del denominado Reto Juristas con Futuro, lanzado para debatir sobre el valor probatorio de los documentos electrónicos, y una serie de aspectos relacionados con este particular.

Como sobre el valor probatorio de documentos electrónicos ya he publicado varios post a lo largo de los años, y que nada ha cambiado en lo esencial, podemos concluir que nuestro sistema procesal no presenta ningún problema para aportar documentos electrónicos en su formato correspondiente.

El régimen general que tenemos en nuestro ordenamiento jurídico es el de que siempre que la prueba haya sido obtenida con respeto a los derechos fundamentales, las partes pueden disponer de ella como consideren.

Por lo tanto, aunque todas las semanas leamos en prensa artículos sobre si se puede o no aportar un whatsapp en un juzgado, la respuesta no cambia, supongo que los periodistas lo buscan constantemente aunque sea una cuestión más que superada.

Así, si las partes no presentan una impugnación cualquier medio o soporte es válido para acreditar hechos o circunstancias, ya sea un whatsapp, ya sea un papel o ya sea un petroglifo, un vídeo o unas grabaciones.

Resuelta la cuestión principal, sin que haya mucha polémica sobre ello (en ocasiones se cuestiona si es documento electrónico o nuevo medio de prueba, pero nada relevante sobre su validez o no) creo interesante analizar otro aspecto que en ocasiones se cita como un mecanismo de verificación del contenido de una conversación, la intervención de la plataforma de mensajes como tercero que certifique el contenido de la conversación.

Se trataría de que en caso de impugnación de un mensaje de whatsapp (o un correo o un sms) la parte solicite del juzgado que se libre un requerimiento al prestador de servicios de comunicaciones electrónicas para que indique cual fue el contenido del mensaje que se intercambiaron las partes.

En un procedimiento judicial, la parte que ve impugnada la prueba que ha aportado puede proponer que se practique otro medio de prueba sobre la autenticidad de lo aportado, artículo 326 de la LEC:

2. Cuando se impugnare la autenticidad de un documento privado, el que lo haya presentado podrá pedir el cotejo pericial de letras o proponer cualquier otro medio de prueba que resulte útil y pertinente al efecto.
Si del cotejo o de otro medio de prueba se desprendiere la autenticidad del documento, se procederá conforme a lo previsto en el apartado tercero del artículo 320. Cuando no se pudiere deducir su autenticidad o no se hubiere propuesto prueba alguna, el tribunal lo valorará conforme a las reglas de la sana crítica.
3. Cuando la parte a quien interese la eficacia de un documento electrónico lo pida o se impugne su autenticidad, se procederá con arreglo a lo establecido en el artículo 3 de la Ley de Firma Electrónica.
Pero como ya expliqué, frente a esa proposición también la otra parte puede solicitar prueba que demuestre la imposibilidad de acreditar la autenticidad del mensaje, por lo que en materia de prueba electrónica en la que ambas partes tienen acceso a los mensajes, esta tiene muy poco valor.

En ausencia de otras pruebas, el impulso es buscar en los servidores del servicio los mensajes para que el prestador aporte copia de las comunicaciones mantenidas entre las partes.

Pero, ¿pueden estos prestadores proporcionar acceso al contenido de las comunicaciones?

1. Los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público deberán garantizar el secreto de las comunicaciones de conformidad con los artículos 18.3 y 55.2 de la Constitución, debiendo adoptar las medidas técnicas necesarias.


Este artículo debe conjugarse con lo dispuesto en la Ley 25/2007 de Conservación de Datos, en relación a su ámbito de aplicación, que en su artículo 1 establece que:



3. Se excluye del ámbito de aplicación de esta Ley el contenido de las comunicaciones electrónicas, incluida la información consultada utilizando una red de comunicaciones electrónicas.
A ello debemos sumar lo que dispone el artículo 18.3 de la Constitución Española, que garantiza el secreto de las comunicaciones de la siguiente manera:
3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.
La conclusión, de una lectura integradora de todos estos preceptos, es que quienes prestan servicios de comunicaciones no pueden acceder al contenido de las comunicaciones que establecen las partes.

Es por eso que ningún operador de telefonía nos proporcionará el contenido de un sms intercambiado con la contraparte. Y en el caso de que se proporcionase se podría denunciar la obtención del mismo, tal y como dispone el artículo 287 de la LEC:
1. Cuando alguna de las partes entendiera que en la obtención u origen de alguna prueba admitida se han vulnerado derechos fundamentales habrá de alegarlo de inmediato, con traslado, en su caso, a las demás partes.
Sobre esta cuestión, que también podrá ser suscitada de oficio por el tribunal, se resolverá en el acto del juicio o, si se tratase de juicios verbales, al comienzo de la vista, antes de que dé comienzo la práctica de la prueba. A tal efecto, se oirá a las partes y, en su caso, se practicarán las pruebas pertinentes y útiles que se propongan en el acto sobre el concreto extremo de la referida ilicitud.
2. Contra la resolución a que se refiere el apartado anterior sólo cabrá recurso de reposición, que se interpondrá, sustanciará y resolverá en el mismo acto del juicio o vista, quedando a salvo el derecho de las partes a reproducir la impugnación de la prueba ilícita en la apelación contra la sentencia definitiva.
Sin embargo, siendo esto indiscutible para los operadores de telefonía tradicionales, parece existir cierta laxitud sobre cuando el caso afecta a operadores de servicios de comunicaciones sobre internet. Así no parece importar indicar que se puede solicitar a estos operadores acceder al contenido de los mensajes intercambiados.

Para ello se alega que los mismos no son operadores en el sentido definido por la Ley General de Telecomunicaciones, pero el artículo 39, como he indicado, se refiere a operadores "que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público"

Debemos acudir a las definiciones de la propia ley para ver quienes son aquellos a los que se dirige.

Así, el operador es:
persona física o jurídica que explota redes públicas de comunicaciones electrónicas o presta servicios de comunicaciones electrónicas disponibles al público y ha notificado al Ministerio de Industria, Energía y Turismo el inicio de su actividad o está inscrita en el Registro de operadores.
Red pública de comunicaciones se define como:
los sistemas de transmisión y, cuando proceda, los equipos de conmutación o encaminamiento y demás recursos, incluidos los elementos que no son activos que permitan el transporte de señales mediante cables, ondas hertzianas, medios ópticos u otros medios electromagnéticos con inclusión de las redes de satélites, redes terrestres fijas (de conmutación de circuitos y de paquetes, incluida Internet) y móviles, sistemas de tendido eléctrico, en la medida en que se utilicen para la transmisión de señales, redes utilizadas para la radiodifusión sonora y televisiva y redes de televisión por cable, con independencia del tipo de información transportada.
Y servicio de comunicaciones electrónicas
el prestado por lo general a cambio de una remuneración que consiste, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas, con inclusión de los servicios de telecomunicaciones y servicios de transmisión en las redes utilizadas para la radiodifusión, pero no de los servicios que suministren contenidos transmitidos mediante redes y servicios de comunicaciones electrónicas o de las actividades que consistan en el ejercicio del control editorial sobre dichos contenidos; quedan excluidos, asimismo, los servicios de la sociedad de la información definidos en el artículo 1 de la Directiva 98/34/CE que no consistan, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas.
Las exclusiones que prevé el artículo son de transmisión de contenidos (como televisión por cable, etc.) y servicios como el hosting o alojamiento de contenidos. Por lo tanto, no puede decirse que las empresas, como Whatsapp, no debieran estar sujetas a esta norma.

Pero incluso, aunque no lo estuviera, la lectura del artículo 18.3 de la Constitución no podría resultar en una situación de menor respeto al secreto a las comunicaciones en función del método empleado.

Podría argumentarse que el mensaje al que se accede por el destinatario del mismo, en el momento de la lectura deja de verse afectado por el secreto de las comunicaciones y es considerado como un documento, sujeto al derecho a la intimidad. Pero la copia que se almacenaría lo hace antes de ser leído, lo que se generaría de manera ilícita.

En conclusión, no debería ser admisible que los proveedores de servicios de comunicaciones electrónicas, o como se consideren este tipo de servicios, accedan o puedan acceder al contenido de los mensajes intercambiados por una persona, al menos si una de las partes no ha hecho participe de la comunicación a terceras personas, que en un momento determinado puedan acreditar ese contenido.

Esa sería la labor de terceros de confianza o prestadores de servicios de certificación, que realizan el envío de la comunicación por cuenta de una de las partes o bien figuran como destinatarios del mensaje, de tal manera que ante una impugnación actúen como testigos de la parte proponente.

jueves, 10 de marzo de 2016

La ilegalidad de usar los datos del móvil para completar el censo

Según se publica en "hoja de router" el Instituto Nacional de Estadística ha decidido desarrollar una prueba para incorporar al Censo información extraída de las antenas de telefonía móvil.

Todos los teléfonos móviles remiten constantemente información de conexión a las antenas que les rodean para poder indicar la ruta que una comunicación debe seguir para poder hablar.

Esto es lógico y es un requisito técnico necesario, por lo tanto, en todo momento las antenas "saben" qué teléfonos están en su radio de acción, lo que permite una localización bastante aproximada de donde se encuentra el portador de ese terminal (sea o no el titular de la línea).

Como digo, esto es algo que sucede todo el tiempo que el móvil está encendido, por lo que es fácil rastrear todos los movimientos de una persona.  

Si cualquiera pudiera hacer uso de toda esa información, es fácil imaginar el control que podría desplegar sobre los ciudadanos y sus movimientos.

La Ley 25/2007 se dictó en desarrollo de una Directiva Europea, que además está anulada desde 2014, para garantizar que los datos que se producían por esos requisitos técnicos no fuesen usados indiscriminadamente y que, dada su potencialidad para resultar en una grave intromisión en la intimidad de las personas, sólo se usasen en supuestos en que estuviese plenamente justificado.

Originariamente, se trataba de delitos graves. Así lo entendió la mayoría de los jueces en Europa, pero en España eso de los delitos graves "según se defina en las leyes penales" se interpretó en muchos juzgados como hago lo que me da la gana.

Es decir, que de sólo poder usarse para investigar delitos graves, en España pasó a usarse para todos los delitos e incluso, milagros de nuestro legislador, para ilícitos civiles contra la propiedad intelectual. Una vergüenza, pero que a la sociedad, en general, le da un poco igual.

"1. Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.
2. Esta Ley se aplicará a los datos de tráfico y de localización sobre personas físicas y jurídicas y a los datos relacionados necesarios para identificar al abonado o usuario registrado."
Es importante el subrayado del párrafo segundo, puesto que da igual que los datos que pida el censo no incluyan datos personales, los datos de tráfico son autónomos de los datos de identificación del titular, por eso se separan ambos supuestos.

Además hay que destacar que no es un problema de protección de datos (la LOPD sólo se aplica a los datos de personas físicas) por el que pueda darse un procedimiento de disociación. La LCD hace referencia incluso a los datos de personas jurídicas, evidenciando la importancia que toda la información recabada tiene y lo protegida que debería estar.

La LCD es clara respecto de las cesiones:
"1. Los datos conservados de conformidad con lo dispuesto en esta Ley sólo podrán ser cedidos de acuerdo con lo dispuesto en ella para los fines que se determinan y previa autorización judicial."
Es decir, que sólo pueden cederse los datos para los fines indicados de investigación de delito, en teoría, graves.

Así que esa cesión de datos, anonimizados o no, de tráfico cedidos al INE no cumple con los requisitos que marca la Ley. 

¿Podría darse una modificación legislativa?

En principio no veo compatible con la regulación europea, en particular el Convenio Europeo de Derechos Humanos, una modificación legal que habilite la cesión de ciertos datos para su uso estadístico, ya que la sensibilidad que ha demostrado el Tribunal de Justicia de la Unión Europea con la potencialidad lesiva de los mismos.

El TJUE es muy claro en el sentido de que se admite que se recopilen esos datos para unas finalidades muy concretas, pero un uso extensivo de los mismos iría contra las reglas del Convenio, lo que daría lugar a la anulación por contraría a derecho comunitario de cualquier modificación.

En definitiva, asistimos una vez más al lento pero sólido intento de establecer una sociedad en la que se haga todo lo que la tecnología permita, incluyendo el control total sobre el ciudadano.

Como digo, con el tema de los datos generados por las comunicaciones vamos viendo como se ha pasado de sólo para delitos graves a ahora pretender elaborar el censo con los datos obtenidos.

El problema es que falta consciencia política y social para abordar estos temas desde una perspectiva amplia de respeto a los derechos y libertades de los ciudadanos.

Y así seguiremos, inexorablemente hasta alcanzar "un mundo feliz" de "1984".

jueves, 3 de marzo de 2016

Incautación y decomiso de bitcoins en procedimientos penales

Una de las características que mas se difunde acerca de los bitcoins es la dificultad para el rastreo de la identidad tras los movimientos de una cartera o wallet. Con independencia de que esto sea mas o menos exacto, lo cierto es que cada vez es más habitual que los criminales se planteen derivar el fruto de su delito hacia bitcoins o cualquiera otro activo virtual.

Por eso, cada vez será mas frecuente que cuando la Policía detenga a una persona o realice una entrada y registro en un domicilio o una empresa, detecte algún tipo de activo virtual como bitcoins.

Hay que empezar diciendo que los bienes que se encuentren a una persona quedan afectos al pago de la responsabilidad civil derivada del delito (indemnizaciones a víctimas, etc.), así como al pago de multas o costas.

Lógicamente esa responsabilidad sólo se aplica una vez que sea firme la sentencia, con lo que pueden pasar años. O bien, la persona es declarada inocente y en ese caso debe poder seguir disfrutando de sus bienes.

Expuesto lo anterior, la pregunta evidente es, ¿qué hacer con esos bitcoins? ¿cómo debe actuar la Policía y el Juzgado?

Según se contó en esta noticia de EL Mundo, la primera vez que la Policía española se incautó de un monedero, con sus contraseñas, de bitcoins, lo que hizo fue convertir en un mercado aquellos bitcoins por euros para, después, transferirlos a la correspondiente cuenta de consignaciones del juzgado.

Así se incautaron bitcoins y se consignaron euros. Esto podría parecer algo lógico, pero como expondré es, jurídicamente, incorrecto a la luz de la regulación vigente.

Pero para que los bienes persistan al momento de la condena, el propio Código Penal contempla que:
"1. A fin de garantizar la efectividad del decomiso, los bienes, medios, instrumentos y ganancias podrán ser aprehendidos o embargados y puestos en depósito por la autoridad judicial desde el momento de las primeras diligencias.
2. Corresponderá al juez o tribunal resolver, conforme a lo dispuesto en la Ley de Enjuiciamiento Criminal, sobre la realización anticipada o utilización provisional de los bienes y efectos intervenidos.
3. Los bienes, instrumentos y ganancias decomisados por resolución firme, salvo que deban ser destinados al pago de indemnizaciones a las víctimas, serán adjudicados al Estado, que les dará el destino que se disponga legal o reglamentariamente."
Como se ve, el artículo remite a la Ley de Enjuiciamiento Criminal para determinar qué puede hacerse con los bienes intervenidos. En este caso, el artículo 367 quater permite que los bienes sean "realizados", es decir, transformados en otra cosa, sin esperar a la sentencia, pero sólo en ciertos supuestos.

a) Cuando sean perecederos.
b) Cuando su propietario haga expreso abandono de ellos.
c) Cuando los gastos de conservación y depósito sean superiores al valor del objeto en sí.
d) Cuando su conservación pueda resultar peligrosa para la salud o seguridad pública, o pueda dar lugar a una disminución importante de su valor, o pueda afectar gravemente a su uso y funcionamiento habituales.
e) Cuando se trate de efectos que, sin sufrir deterioro material, se deprecien sustancialmente por el transcurso del tiempo.
f) Cuando, debidamente requerido el propietario sobre el destino del efecto judicial, no haga manifestación alguna.
Si observamos, no se da ninguna de las circunstancias que posibiliten la "realización" anticipada de los bitcoins, por lo que la venta de los mismos, como en el supuesto de la noticia, sería un acto contrario a la norma.
 
El juzgado no puede, sin requerir previamente al propietario, transformar los bitcoins en euros o dólares, debiendo conservarlos según se encuentren.
 
Sería procedente que el Ministerio de Justicia pusiese a disposición de los juzgados un monedero de bitcoins en el que pudiesen hacer las consignaciones de los efectos intervenidos, dejando constancia de la cantidad aprehendida y que, en función del resultado del procedimiento sean finalmente destinados  a cubrir responsabilidades o devueltos a su propietario.