Hace unos días un titular se abrió paso en la Red: El Supremo deja los datos de redes P2P sin la protección del secreto de las comunicaciones. Rápidamente los usuarios han dado sus opiniones en multitud de páginas web, con opiniones que expresaban la preocupación al respecto (principalmente al respecto de la razón que justificaba una investigación sin protección alguna, así al menos lo interpretaron algunos).
Los diarios fueron haciéndose eco de esta noticia (con algunos casos como 20minutos en que aparece el derecho a la intimidad como principal y no el del secreto de las comunicaciones), y la noticia fue expandiéndose más y más.
Esta rápida proliferación tiene sus consecuencias. La Sentencia aún no estaba al alcance de muchos, razón por la cual muchas personas opinaban sin conocer el alcance real de la Sentencia del Supremo. He podido leer de todo al respecto. Bastaba con que una persona dijese «el juez no autorizó nada, pero la policía lo hizo igualmente» para que la gente lo diera por verdadero y comenzaran gritos y actitudes poco civilizadas, basadas en la preocupación de un estado de emergencia donde no hubiera ninguna protección para los usuarios P2P.
Tenía ganas de poder conocer en profundidad la Sentencia, y finalmente he podido acceder a ella. Está la preocupación de los usuarios P2P justificada?
Toda esta problemática proviene de la interpretación del concepto de secreto de las comunicaciones al que hace referencia el Art. 18.3 de la Constitución Española
Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.
A primera vista, podría parecer que efectivamente la investigación que realizó la policía podría llegar a vulnerar esta garantía que ofrece nuestra Constitución, pero una interpretación en estos extremos podría no resultar plenamente acorde a la realidad. En primer lugar, ya conocemos que los derechos que aparecen como Derechos Fundamentales en este texto difícilmente pueden tener la consideración de plenamente absolutos. Si continuamos con el Art. 33 de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, podemos continuar encontrando estos requisitos
Los operadores están obligados a realizar las interceptaciones que se autoricen de acuerdo con lo establecido en el artículo 579 de la Ley de Enjuiciamiento Criminal, en la Ley Orgánica 2/2002, de 6 de mayo, Reguladora del Control Judicial Previo del Centro Nacional de Inteligencia y en otras normas con rango de Ley Orgánica.
Ahora bien, la Sentencia enfocó el caso desde el punto de vista del Art. 18.1 de la Constitución, referente a la intimidad personal, dado que la búsqueda de los datos del titular de una determinada IP corresponden más al ámbito de protección de este derecho.
Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.
Este enfoque nos plantea una serie de factores a tener en cuenta. Tal y como ha establecido el Tribunal constitucional, mientras que la intervención de las comunicaciones requiere resolución judicial previa, éste no es el caso del derecho a la intimidad personal. Por esta razón, en este último supuesto se ha admitido de forma excepcional que la policia judicial realice determinadas prácticas que constituyan una injerencia leve en la intimidad de las personas (siempre contando con suficiente y precisa habilitación legal) tal y como podemos ver en las SSTC 37/1989, de 15 de febrero, FJ 7; 207/1996, de 16 de diciembre, FJ 3; y 70/2002, de 3 de abril, FJ 10. A estos principios debemos añadir la obligación de que se hayan respetado las exigencias dimanantes del principio de proporcionalidad (STC 70/2002, de 3 de abril, FJ 10).
Una vez conocemos la base, debemos tener en cuenta qué actuaciones llevó a cabo exactamente el equipo de delitos telemáticos de la Guardia Civil.
-
En primer lugar, se creó una base de datos formada por 1.000 archivos de fotografías y vídeos con contenidos de pornografía infantil identificados de forma electrónica mediante su número «hash» con independencia del nombre que pueda asignarle en cada momento el usuario que es enteramente mudable
-
A través de esta Base de Datos obtuvo una serie de IPs que tuvieron acceso a estos archivos
-
Dicho listado se presentó con posterioridad en el Juzgado de Instrucción número 7 de Sevilla, solicitando emisión de mandamiento judicial dirigido a los diferentes proveedores de servicios de internet existentes en España para que identificasen al titular, domicilio, número de teléfono y forma de pago correspondiente a cada uno de los «IPs»
Este último apartado resulta de gran importancia, dado que finalmente la obtención de las identidades de las personas a través de su IP se hizo efectivamente mediante mandamiento judicial (pese a no haber sido aplicada en este caso dada la fecha de su entrada en vigor, puede que os resulte también interesante el post que realicé sobre la Ley de Conservación de Datos a este respecto). Por lo tanto la duda recae en si la obtención de las IP en sí constituye una actuación necesaria de mandamiento judicial previo (de forma similar a la que puede ser la obtención de los números telefónicos en determinados procesos).
Para poder establecer la nulidad en la obtención de estas pruebas, deberíamos encontrarnos ante datos «preservados del conocimiento público y general». En primer lugar, respecto a la naturaleza del dato objeto de análisis y de acuerdo con la Agencia de Protección de Datos en su Informe 327/2003
Así pues, aunque no siempre sea posible para todos los agentes de Internet identificar a un usuario a partir de datos tratados en la Red, desde esta Agencia de Protección de Datos se parte de la idea de que la posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos.
Una vez establecido el carácter de dato personal de las IP, debemos acudir a la LOPD, donde un dato personal como es la IP cuenta con una serie de requisitos para ser primero recogida. En nuestro caso particular, se ha obviado la información de la existencia y finalidad de la recogida de estos datos al titular. Ahora bien, la misma LOPD establece un régimen específico para los Ficheros de las Fuerzas y Cuerpos de Seguridad que posibilita esto en el Artículo 22, del cual nos interesa particularmente sus apartados 2 y 3
2. La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas esten limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones Beylagan penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad.
3. La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos, a que hacen referencia los apartados 2 y 3 del artículo 7, podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales.
En este caso, la materia objeto de investigación trata de la tenencia (y tráfico al formar parte de uan red P2P) de material de contenido sexual en el que aparecen menores, un delito tipificado en el Art. 189 del Código Penal (y no un simple ilícito civil). Este acto de recogida de IPs estaba englobado dentro de una investigación específica, con lo cual la recogida de las IP por parte de la brigada de delitos telemáticos se adecúa a lo establecido en este apartado de la LOPD. De esta forma, nos encontramos con un límite para la aplicación de este régimen específico, donde se nos habla de represión de infracciones penales, y no de la investigación de cualquier tipo de infracción (con las consecuencias que un análisis pormenorizado de otro caso puede llegar a tener en el caso de no constituir delito).
En cuando a la cesión de los datos capturados, debemos estar a los requisitos establecidos en el Art. 11 (en el mismo sentido podemos encontrar el Art. 10 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal), entre los que cabe mencionar
2. El consentimiento exigido en el apartado anterior no será preciso:
a. Cuando la cesión está autorizada en una ley.
b. Cuando se trate de datos recogidos de fuentes accesibles al público.
d. Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Saltillo Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
Nos encontramos en el transcurso de una investigación criminal, y de unos datos que son cedidos a un Tribunal, no utilizados para usos ajenos a esta investigación (lo cual comporta que no podamos entender que se encuentra protegido por este Derecho). Además, en la propia Sentencia se establece que la IP obtenida difícilmente puede entenderse como oculta al público en general
no hay secreto sobre datos que el partícipe en la comunicación informática voluntariamente aporta a la red de redes.
No se precisa de autorización judicial para conseguir lo que es público y el propio usuario de la red es quien lo ha introducido en la misma. La huella de la entrada -como puntualiza con razón el Mº Fiscal- queda registrada siempre y ello lo sabe el usuario
De esta forma, lo que se nos indica en la Sentencia es que la participación de forma activa en las redes P2P implica que una serie de datos son aportados a sus usuarios en general, entre los cuales podemos destacar la IP y los archivos compartidos. Estos datos tienen la consideración de públicos (dado que los usuarios los facilitan voluntariamente ante las actuaciones de la Guardia Civil, como puede ser la realización de una búsqueda a través del programa P2P) y por tanto no están protegidos ni por el 18.1 ni por el 18.3 de la Constitución.
No obstante todo lo anterior, debemos tener en cuenta de nuevo que, en este caso al menos, no se pudo obtener la identidad real de los usuarios basándose simplemente en actuaciones permitidas por la interpretación que ha realizado el Tribunal Constitucional de la protección de estos datos, y que en el caso de un ilícito civil volveríamos a entrar en la problemática de siempre (y que recordemos que un proceso civil no se encuentra regido por las mismas posibilidades).
En este caso se ha llegado a identificar a sus usuarios, gracias a la cesión de los datos con que contaban los ISP a causa del mandamiento judicial que ostentaban las fuerzas y cuerpos de seguridad. En el caso de la Propiedad Intelectual, que parece que en ocasiones es considerada el patito feo de la Justicia, esto resultaría complicado. Ahora bien, de momento hay que tener en cuenta que las protecciones que ofrecen los artículos mencionados en esta Constitución no es aplicable a los usuarios P2P en referencia a estos datos accesibles para cualquier usuario con conocimientos básicos, con lo cual no podrán ser aducidas en un eventual proceso judicial.
Excelente post Sergio, enhorabuena.
A los no juristas nos cuesta relacionar leyes. Como informático, me gustaría comentarle esta situación para su valoración:
Las «pruebas» que obtienen los agentes proceden de aplicaciones como el Híspalis, o bien clientes P2P de código libre usados como rastreadores.
La información que reciben estos clientes P2P usados como rastreadores proviene de servidores eMules.
Su papel es similar al de las páginas amarillas, no confundir con una central telefónica. Los archivos no pasan a través del servidor, sólo el metadatos que indica si hay una fuente disponible. Este metadatos puede ser cierto, puede no estar actualizado, y además también podría ser alterado.
Los servidores P2P en una red híbrida como la que
usa el eMule, pueden ser falsos informantes. Ver lista oficial de FAKE SERVERS (buscar en google)
Los agentes, en muchas ocasiones, no inician la descarga desde la fuente indicada en sus rastreadores. Simplemente la mera aparición como fuente (indicio) es tomada como un hecho cierto (prueba). Y esto es un serio error!
Por otro lado, son varias las operaciones se que originan gracias a la denuncia de un internauta, que culminan con la detención de otros tantos internautas que quizás están en la misma situación que el denunciante.
· ¿quién introduce esos archivos en la red P2P?
· ¿los pederastas?
· ¿Existen intereses para acabar con la red P2P?
· ¿Está la justicia técnicamente preparada para juzgar estos asuntos?
Gracias
Indignado
Hola indignado,
Tal y como dices, algunos servidores envían metadatos bastante dudosos, con lo cual puede llevar a descargas accidentales. Ahora bien, precisamente en esta Sentencia (y en la sentencia original recurrida) se contempla esta posibilidad. Cada caso deberá ser analizado por expertos informáticos, dado que no es lo mismo la descarga de un par de películas de contenido dudoso por error, que tener 300 películas en el disco duro p.ej. Estas pruebas no son absolutas, y admiten prueba en contra (solo faltaría)
Estos archivos son introducidos de muchas maneras, desde voluntariamente por parte de pederastas, por error al almacenar las obras en carpetas compartidas por P2P etc…
Las redes P2P tienen una base muy interesante, y varias instituciones públicas están investigando al respecto por ello. El problema no es la tecnología (que es neutra) sino el uso que se haga de ella.
Y respecto a la preparación técnica, de todo hay. Puedo asegurarte que hay muy buenos profesionales en el ámbito jurídico y judicial, bien preparados (pero también los hay que no, igual que hay ingenieros que no saben hacer la O con un canuto por ejemplo).
Un saludo
Hola, en relación a la IP.
Por ejemplo, si uno se conecta a una página de tipo enviar amigo o la misma de enviar comentario, y con un programa accede indefinidamente a esa página, la IPquedaría guardada y se podría identificar a esa persona que se conecta.
Pero la cuestión es si esa situación es legal o no? Es decir, conectarse a una página indefinidamente, mediante programa automático, y enviar a un amigo o escribir comentarios.
Muchas gracias y saludos.
Hola Sergio!! He dado contigo gracias a Google, y en el día de hoy tengo una consulta que hacerte.
Soy muy aficionado a todo lo que sea Software Libre, si bien utilizo Windows Xp también , aparte del Ubuntu.
Hoy, ya 8 de julio, veo con preocupación que bastantes, vamos a pagar por el pecado de muchos, la descarga de archivos protegidos por Copyright …
Si el p2p resulta que ahora va a ser ilegal, ¿será tambien ilegal la descarga a traves de Emule o Bittorrent de contenido bajo CC o Copyleft ?¿En que puede afectar al SL ?¿Hay mecanismos que puedan diferenciar la descarga de contenidos supuestamente ilegales de la descarga de Distros o música bajo licencias libres ?¿Puede ser declarado ilegal el Software Libre y su descarga y distribución mediante p2p(p.ej.Bittorrent)?.
Yo tambien descargue en su día contenidos protegidos bajo Copyright, solo que en vez de usar P2P usé Usenet con un programa alemán de pago, me descargué a autores extranjeros, te puedo garantizar que la mayor parte de contenidos están bajo protección de la RIAA no de la SGAE.
Pero, y esa es mi preocupación ,P2P es una tecnología más que abarca esencialmente la transferencia de archivos en redes de pares, sea cuales sean. por lo tanto habría que prohibir también los ftp y los Usenet ,lo cuál transformarían internet en una parodia de la tele avanzada , se puede mirar los contenidos que se quieren publicar, pero no se puede descargar ni transferir absolutamente nada.La verdad es que imaginarme el tener que pagar por una Ubuntu o una Debian lo mismo que pago ahora por un Windows me pareceria bastante triste,¿Es este el fin de Linux y GNU?
Hola Lumeltix,
la tecnología P2P es, como muchas tecnologías, neutra en su base. El problema no es usar P2P (que es un sistema distribuído bastante majo), sino utilizarlo para compartir contenido sin permiso del autor (o peor aún, contenidos bastante dudosos como puede ser el de naturaleza pedofílica. Difícilmente se puede decir que resulta ilegal utilizar P2P para descargar obras cuyos autores permiten este tipo de usos.
Al igual que tú, uso en ocasiones el P2P para descargarme software que no está a disposición de descarga directa para ahorrarse la carga que esto supone para los servidores, y creo que el atacar el P2P como si fuera ese el problema puede ser contraproducente. Precisamente estoy preparando un artículo sobre el método que han encontrado para detectar transmisiones P2P sobre túneles SSH, y la utilidad real que esto tiene para los defensores de la PI.
En definitiva, y en mi opinión, una prohibición absoluta de la tecnología P2P es más un paso atrás que una ventaja, pero también he visto cosas mucho peores viniendo de algunas entidades gestoras (y a veces te preguntas como puede suceder esto, cuando tienen entre sus filas a letrados preparados, pienso que será que no se les escucha).
Un saludo
Hola!
He vuelto a leer el artículo y me gustaría aclarar algunos detalles técnicos:
1) Una IP pública ES un dato público.
2) Una IP pública NO INDENTIFICA a un usuario P2P, en todo caso identifica al titular de una conexión.
3) Detrás de una IP pública pueden existir uno o más usuarios P2P.
4) El identificador único de un usuario dentro de las redes P2P es el HASH DE USUARIO.
5) La identificación única de un archivo dentro de la red P2P es su HASH DE ARCHIVO, que en el caso de la red eDonkey es un MD4. Un cifrado declarado obsoleto académicamente desde hace años.
6) Por tanto, NO es posible determinar la AUTENTICIDAD del contenido del archivo por la simple aparición en un metadato de una fuente.
7) Una Ip pública en un metadato no descarta la ACCIDENTALIDAD ni la FALSEDAD (FAKE) de un archivo. El artículo 189 penaliza el tipo subjetivo (DOLO o INTENCIONALIDAD).
Dicho esto, si nos fijamos, los agentes en sus «rastreos» no interceptan ninguna comunicación. Simplemente se limitan a LEER METADATOS.
Con una IP pública en un metadato de pornografía infantil, los agentes justifican a un juez directamente los REGISTROS DOMICILIARIOS. Desde el «rastreo» no existe ningún tipo de seguimiento posterior de los hábitos de esas IP públicas.
Al internauta se le retira antes los artículos de la Constitución Española 18.1 derecho al honor y 18.2 inviolavilidad del domicilio antes que el 18.3 Secreto de las comunicaciones. Podría decir que el 18.3 Secreto de las Comunicaciones se te vulnera cuando te incautan tu equipo informático y tu vida privada documental queda a merced de los agentes.
Algunos detalles sobre el artículo arriba mencionado:
– La internauta que originó la sensacionalista noticia que se comenta en el artículo, fue condenada finalmente a 4 años de cárcel.
– El rastreador HISPALIS está fuera de servicio. Desconozco que ha sucedido con este rastreador pero intuyo que los resultados no fueron los esperados.
– La operación originada en el Congreso de Ciberpolicías de Sevilla al menos ha causado 3 recursos de internautas al Tribunal Supremo: Cendoj: 28079120012008100213, 28079120012009100051, 28079120012008100213
– En España se producen más de 100 tropiezos diarios con pornografía infantil en las redes P2P.
Referente a la internauta de Tarragona que originó esta noticia:
http://indignado7777.wordpress.com/2009/06/17/el-supremo-nunca-avalo-los-rastreos-policiales-en-las-redes-p2p/
Hola indignado,
en este post no he entrado a analizar la utilidad de contar con la simple dirección IP (respecto a la cual ya he repetido en muchas ocasiones que no puede constituir la única prueba de carga en un caso) sino simplemente la legalidad respecto a la obtención de la dirección en sí. Dadas las múltiples posibilidades (descargas accidentales, utilizaciones de conexiones no autorizadas, y miles más) lo cierto es que los informes periciales realizados deberían tener en cuenta todos estos hechos con tal que el Juez conociera verdaderamente la realidad y el alcance de esta prueba.
La declaración de obsoleto se basa en las posibilidades de colisión que, efectivamente, pueden darse (aunque últimamente pocos acaban quedando a salvo). Dicho esto, dado que el sistema se sustenta precisamente en dicha identificación mediante hash, ese fue el sistema utilizado.
Y, por supuesto, la realidad es que en España muchas veces se utiliza la dirección como fundamento, debiendo acabar el usuario demostrando (de forma muy complicada en la mayoría de los casos) que no fue el realmente quien llevó a cabo dicha actuación.
Un saludo!
Ha pasado el tiempo y vemos cómo los Fiscales especializados en delitos tecnológicos tienen un profundo desconocimiento sobre aspectos técnicos básicos.
http://www.lne.es/gijon/2009/10/07/fiscalia-denuncia-aumento-pornografia-infantil-internet/817620.html
La IP pública clase A no es la matrícula, ni el DNI de un usuario P2P. La IP clase A apunta hacia un titular de una línea de conexión a internet.
Detrás de una IP pública clase A pueden existir uno o varios ordenadores con una IP Privada, uno o varios usuarios, uno o varios eMules con sus propios HASH de usuario, wifi abierta, troyanos, etc.
La Ip pública por tanto es un dato insuficiente como para solicitar directamente un registro domiciliario del titular de la línea (18.2 CE).
En todo caso, esa IP pública podría servir como indicio para solicitar a un Juez la «escucha» del tráfico de esa conexión. Es decir, la retirada del amparo al 18.3 del Secreto de las Comunicaciones.
En España han detenido a más de 3000 internautas usuarios de las redes P2P desde el año 2000, sin haberles realizado ninguna «escucha» de su tráfico. No existe un SITEL P2P. Los agentes se han basado en conjeturas técnicas – simples lecturas de metadatos en las redes P2P.
El rastro remoto es tomado como cierto pese a que los archivos no sean hallados. Si localizan algún archivo de pornografía (no infantil) ya es indicio suficiente para demostrar el dolo.
Indignado
Buenas noches Sergio:
Impresionante lo que he leído, no obstante la problemática de los programas p2p me parece inmensa.
Por lo que he podido entender, si me descargo música desde un programa p2p y la escucho a solas, no es delito, pero si me descargo música de un programa p2p, por ejemplo el tan famoso Emule y la escucho en la oficina con los compañeros si lo es?, este “delito “ en qué lugar o apartado estaría reflejado en la LOPD?
De antemano te doy las Gracias por tu respuesta.