ISP’s, IP’s e Intimidad

Cae en mis manos una Sentencia de la Corte Suprema del Estado de New Jersey (lo que aquí vendría a ser una Sentencia de un Tribunal Superior de Justicia de una Comunidad Autónoma), del pasado 21 de abril de 2008 que me ha recordado el asunto de TELEFÓNICA y PROMUSICAE que resolvió el Tribunal Superior de Justicia de la UE y que comenté hace algún tiempo en este blog. La Sentencia que os comento la podéis descargarla AQUÍ.

Los americanos que para estas cosas son muy suyos no dejan de sorprendernos y viene a dictaminar que la información de acceso a Internet de una persona es privada, por lo cual, la policía o la autoridades no pueden requerir a los ISP’s para que se proporcionen tales datos sin autorización judicial ¿os suena de algo?

La citada resolución establece que “The court holds that citizens have a reasonable expectation of privacy in the subscriber information they provide to internet service providers” (“Este Tribunal entiende que los cuidadanos tienen una expectativa razonable en la privacidad que les proporcionan los proveedores de acceso a Internet”), “Law enforcement officials can obtain subscriber information by serving a grand jury subpoena on an Internet service provider without notice to the subscriber” (por lo cual sólo se puede obtener tal información a través de un mandamiento judicial sino media autorización del afectado).

Razona tal cuestión en que “Individuals need an ISP address in order to access the internet“(…) “However, when users surf the web from the privacy of their homes, they have reason to expect that their actions are confidential. Many are unaware that a numerical IP address can be captured by the websites they visit. More sophisticated users understand that that unique string of numbers, standing alone, reveals little if anything to the outside world. Only an internet service provider can translate an IP address into a user’s name.” (Se requiere una dirección IP para poder acceder a Internet (…) Cuando los usuarios particulares navegan por la Red, éstos tienen razones para creer que esa navegación es confidencial (…) Muchos usuarios incluso desconocen que los sitios que visitan recogen datos de la conexión y otros, incluso, que existen sofisticados sistemas de recopilación de datos de las visitas. Sin embargo, todo lo anterior es inútil sin que el ISP asocie esa IP con el nombre y apellidos del usuario).

Por ello, parece razonable que el acceso a tales datos sea autorizado por una resolución/mandamiento judicial, una vez que la policía haya mostrado al Juzgado indicios razonables de que necesita esos datos para evitar un delito o para atrapar al culpable de uno. La conclusión de tal razonamiento es que las pruebas obtenidas o los datos recibidos de un ISP sin la previa y correspondiente resolución judicial serán “ilegales” o nulas y, por lo tanto, no podrán servir como prueba de cargo contra el presunto delincuente.

El razonamiento de la Sentencia resulta muy interesante e instructivo, pues amén de efectuar un repaso de las resoluciones dictadas por ese Tribunal en asuntos similares, se refirie igualmente a la protección que puede otorgar la Cuarta Enmienda de la Constitución americana en este momento de explosión de Internet.

En tal sentido, se distingue nítidamente en el discurso las referencias a la “privacy” (recordemos que la “privacy” anglosajona no es la intimidad española, sino más parecido al derecho fundamental a la protección de datos a que se refiere nuestro Tribunal Constitucional en su Sentencia nº 292/2000) y a su contenido, de especial importancia para saber qué está protegido frente a intromisiones arbitrarias y cuáles no. Así, distingue dos cuestiones diferentes:

a)  la denominada “Informational privacy” que comprende los datos o información que identifican a una persona en concreto, e incluye cualquier información relacionada con ésta, tal como el nombre, dirección, número de la seguridad social, así como la información generada o surgida a partir de ésta, como pudiera ser datos de tarjetas de crédito, archivos médicos, registros telefónicos, etc. (“any information that is indentifiable to an individual. This includes both assigned information, such a name, address, or social security number, and generated information, such as financial o credit card records, medical records, and phone logs,..”.).

b) Y la “personal informational” que es cualquier información, no importa lo trivial o nimia que pueda ser que pueda servir para identificar a una persona en concreto (“any information, no matter how trivial, that can be traced or linked to an identifiable individual”). 

La “informational privacy” se constituye como derecho amparado por la 4ª Enmienda de la Constitución americana (derecho de las personas a la seguridad -inviolabilidad diríamos aquí-frente a medidas arbitrarias) que requieren para su obtención un mandamiento judicial. 

Dice la Sentencia que”Modern technology has raised a number of questions that are intertwined in this case: to what extent can private individuals ’surf’ the ‘Web’ anonymously? Do internet subscribers have a reasonable expectation of privacy in their identity while accessing internet websites? And under what circumstances may the State learn the actual identity of internet users?“.

Mientras todo eso se determina, no está de más establecer cautelas sobre las formas de acceder a tales informaciones y, nada mejor para ello, que exigir la intervención judicial en este tipo de procedimientos para garantizar la protección de la privacidad de las personas.

Están locos estos americanos…

 

En ocasiones, veo datos…

Existe cierto revuelo en la comunidad blogolítica a raiz de la publicación en el magnífico blog de Samuel Parra de unos comentarios sobre una Resolución de la Agencia Española de Protección de Datos en la que se indicaba que el DNI podía no ser considerado como dato de carácter persona, en contraposición de otra Resolución de la misma APD en la que se decía que la IP podía ser considerado como tal.

Y creo, perdóneseme la intromisión, que se parte de un error de base a la hora de derivar de tales documentos más efectos que los que propiamente tienen. Para aclarar el embrollo, nada mejor que intentar definir qué sea “dato de carácter personal” y cuál no lo sea, sin olvidarnos de un tipo de dato que, siendo de gran importancia, pasa por el olvido en numerosas ocasiones pero que, por el contrario, puede ayudarnos a superar alguna que otra crisis ante la APD: el dato disociado.

Y la respuesta a la primera cuestión nos tenemos que dirigir inexcusablemente al artículo 3º de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) considera datos de carácter personal a cualquier información concerniente a personas físicas identificadas o identificables, El subrayado anterior es nuestro y volveremos más adelante sobre esta cuestión, al tratar del dato disociado.

El concepto de “dato” que recoge la LOPD no puede ser más amplio, y permite incluir prácticamente cualquier “cosa”. Tal es así que el artículo 1.4 del Real Decreto 1332/1994 de 20 de junio (en el mismo sentido que el recientemente aprobado Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal) considera como tal a toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo susceptible de ser recogida, registro, tratamiento o transmisión.

En el mismo sentido extensivo, y como necesaria referencia, el artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, considera identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.

Ahora bien, en los párrafos anteriores nos hemos referido al concepto de “dato” sin apellidos. Esto es, dato por sí mismo, algo que objetivamente se considera como tal. La cuestión fundamental es saber cuándo ese dato se convierte en “dato de carácter personal” y, por lo tanto, le sea de aplicación la LOPD. Esto se producirá en los supuestos en que el dato sea susceptible de identificar a una persona o, mediante la utilización de un procedimiento no excesivamente oneroso, la haga identificable (“oneroso” en el sentido de no requerir esfuerzos excesivos). Si no fuera así, no será de aplicación la normativa sobre protección de datos de carácter personal, porque no habrá tales datos en juego. Y, claro, sin olvidar que la identificación la debe realizar un tercero, no el titular del dato.

Por lo tanto, ése es el “quid” de toda la cuestión, la determinación de si, mediante un procedimiento simple, un dato identifica o permite identificar a una persona. En tal sentido, la determinación de cuándo un dato tiene ese carácter o no tendrá que ser estudiada caso a caso, para poder alcanzar la conclusión correspondiente. No parece adecuado sacar conclusiones apriorísticas en muchas ocasiones, sin haber estudiado los antecedentes y circunstancias concurrentes en cada supuesto sometido a nuestra consideración o estudio. Por eso la APD dice que “en principio (…) el número del DNI, por si solo, no constituye un dato de carácter personal, si lo será en cuanto resulte adscrito al concreto titular del mismo. En el supuesto concreto que se plantea, no parece probable que los destinatarios del listado dentro del ámbito en que se publica tengan posibilidad de asociar el número del DNI a un determinado alumno, de forma tal, que permita su identificación inequívoca, sin que ello suponga efectuar esfuerzos desproporcionados”, aunque luego termina manifestando que se debe evitar “la difusión de este tipo de listados o, en su caso, habilite otros métodos de informar al alumno de sus calificaciones que garanticen al completo los derechos amparados por la LOPD” (Expediente Nº: E/00561/2004).

 En cuanto al Informe de la APD nº 327/2003, relativo a la consideración o no de la IP como dato de carácter personal, la propia APD parte del mismo planteamiento anterior, esto es, que la adjetivación como “de carácter personal” de un dato vendrá determinado por las circunstancias concurrentes en cada caso.

En el concreto supuesto del Informe de la APD sobre las IP’s, se trata de una consulta que efectúa un operador de telecomunicaciones y, por lo tanto, las conclusiones que se obtienen deben ponerse en relación con tal circunstancia. Refiere el Informe de la APD lo evidente, esto es, que los proveedores de acceso a Internet (y también los administradores de redes locales) pueden identificar por medios razonables a los usuarios de Internet a los que han asignado direcciones IP, habitualmente, asociándolo con el fichero histórico de la dirección IP asignada, el número de identificación del suscriptor, la fecha la hora y la duración de la asignación de dirección. Más que nada, porque tiene que facturarle mensualmente por tal servicio. De la misma manera que si el acceso a Internet se realiza desde una red pública de telecomunicaciones, con un teléfono móvil o fijo, la compañía telefónica registrará el número marcado, junto con la fecha, la hora y la duración, para la posterior facturación. Evidente.

“En estos casos, ello significa que, con la asistencia de terceras partes responsables de la asignación, se puede identificar a un usuario de Internet, es decir, obtener su identidad civil (nombre dirección, número de teléfono, etc), por medios razonables, con lo que no cabe duda de que se puede hablar de datos de carácter personal en el sentido de la letra a) del artículo 3 de la Ley 15/1999”.

En el mismo Informe se afirma, igualmente, que se puede dar el caso de que cualquiera pueda llegar a averiguar la dirección IP dinámica de un determinado usuario pero no ser capaz de relacionarla con otros datos que le permitan identificarlo.

“(…) Sin embargo, en muchos casos existe la posibilidad de relacionar la dirección IP del usuario con otros datos de carácter personal, de acceso público o no, que permitan identificarlo, especialmente si se utilizan medios invisibles de tratamiento para recoger información adicional sobre el usuario, tales como cookies con un identificador único o sistemas modernos de minería de datos unidos a bases de datos con información sobre usuarios de Internet que permite su identificación”.

Aunque bien es cierto que la conclusión final es, al menos, discutible, al afirme que “aunque no siempre sea posible para todos los agentes de Internet identificar a un usuario a partir de datos tratados en la Red, desde esta Agencia de Protección de Datos se parte de la idea de que la posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos”.

En definitiva, no todo dato lo es de carácter personal y para determinar si lo es o no, habrá que estudiar el caso concreto. Pero, ¿todo dato de carácter personal está sujeto a la LOPD?

Veamos cómo, en contraposición al “dato de carácter personal” tenemos el denominado “dato disociado” (que no se define en la LOPD aunque sí en el RD 1720/2007 como “aquél que no permite la identificación de un afectado o interesado) que, en buena lógica, es el resultado de un procedimiento de disociación que, a su vez, se define como todo tratamiento de datos personales realizado de tal manera que la información que se obtenga no pueda asociarse a persona identificada o identificable (en el RD 1720/2007 se define el procedimiento de disociación como “aquél que permite obtener datos disociados”). En definitiva un procedimiento de disociación debe eliminar la conexión entre el dato y la persona, de manera que se impida la identificación. Y si no hay datos de carácter personal no es necesario aplicar la LOPD. Los llamados “datos disociados” no se encuentran dentro del ámbito de aplicación de ésta.

Hay que ser muy cuidadosos en esta cuestión puesto que, para que exista dato de carácter personal (en contraposición con dato disociado) no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados, tal y como se desprende del mencionado artículo 3 de la Ley, en sus apartados a) y f) y también del Considerando 26 de la invocada Directiva 95/46/CE que expresamente señala que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona; que los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado.

Por lo tanto, si podemos conseguir que el dato se “procese” (para contraponerlo al concepto de “tratamiento”) de tal manera que el resultado impida la identificación de la persona, aun utilizando medios técnicos no excesivos o muy gravosos, habremos conseguido un “dato disociado” que podremos utilizar de la manera que mejor convenga. Es fundamental tener muy en cuenta y no olvidar en ningún momento, a los efectos pretendidos que, para que exista disociación, no es necesario que la identificación se haya producido, sino que basta con que se permita o sea posible.

La utilización de este procedimiento, con carácter previo al acceso y tratamiento de los datos, podría permitir la exención del cumplimiento de las obligaciones que establece la LOPD, por ejemplo de requerir el consentimiento del interesado para poder utilizar esos datos en el tratamiento previsto.

Resumiendo, en el caso de datos disociados se parte de un dato de carácter personal que se procesa para que deje de ser tal.

Lo que os digo, en ocasiones veo …  datos.

Network Neutrality (o la Neutralidad en Internet)

 

Hablar tanto de datos de carácter personal no puede ser bueno así que voy a cambiar radicalmente de asunto y me propongo aburriros un pelín refiriéndome a este asunto de la Neutralidad de la Red.

 

La wikyedia ofrece la siguiente definición de la Network Neutrality“: (equivalently “net neutrality“, “Internet neutrality” or “NN“)“Refers to a principle that is applied to residential broadband networks, and potentially to all networks. Precise definitions vary, but a broadband network free of restrictions on the kinds of equipment that may be attached, on the modes of communication allowed, that does not restrict content, sites, or platforms and where communication is not unreasonably degraded by other communication streams would be considered neutral by most observers”.

 

Se puede decir, en un primer acercamiento, que la neutralidad de la Red implica una garantía de que los operadores de telecomunicaciones deben aplicar respecto a sus usuarios el principio de “bits are bits”, esto es, que se deben limitar tan solo a proveer dicho acceso, en las condiciones pactadas y con el ancho de banda y calidad del servicio que se haya contratado, sin que los operadores puedan determinar qué contenidos deben ser accesibles, o más aún para permitir o denegar el acceso a según qué contenidos, servicios o aplicaciones que los usuarios deseen utilizar. De esta manera se considera que los ISPs no deben convertirse en gatekeepers de Internet ó policías de los contenidos y de ningún modo monitorizar los usos de los usuarios.

 

Aunque en España estas cuestiones no gozan de tanta popularidad como la Wii, tienen una importancia decisiva para el desarrollo de la Red y para el reparto de roles de los participantes (de cualquier modo que sea) en la misma. De hecho el concepto de NN está íntimamente ligado al propio concepto de qué sea (o qué deba ser) Internet, pues se afirma que a la hora de determinar cuál sería la estructura de Internet se optó por la descentralización, siendo precisamente la clave del éxito de Internet su carácter abierto y neutral.

Y ahora pensaréis, bueno a este muchacho (o sea yo) se le ha ido la cabeza, porque ¿en qué me afecta eso de la neutralidad? En realidad, nos afecta mucho y a todos.

Basta con recordar que, en estos días, hemos asistido atónitos a las noticias procedentes de Francia y Gran Bretaña relativas a la intención de sus legisladores de permitir/obligar a los operadores de telecomunicaciones a vigilar los usos de sus usuarios, de manera que pudieran requerir a éstos o impedirles el acceso a Internet si observaran que el tráfico generado desde estas cuentas se trataba de descargas de contenidos ilícitos. En una de las anteriores entradas de este blog, en concreto, la relativa a la Sentencia del TJCE en el asunto PROMUSICAE vs TELEFONICA veíamos cómo se trataba de un asunto relacionado. En España se ha pretendido identificar a ONO con uno de estos perversos operadores que se dedican a limitar el ancho de banda a los usuarios “piratillas” . Y luego están las operadoras que reconocen abiertamente que monitorizan las navegaciones de sus usuarios.

Decíamos antes que la formulación inicial del concepto de net neutrality era el descrito. Sin embargo, la cosa va más allá y lo podemos comprobar con ejemplos: en el año 2006, la operadora American Online (AOL) bloqueó el acceso a sus usuarios a una página web denominada que se creó para quejarse del servicio que daba la propia AOL. Asimismo varias operadoras europeas de telefonía móvil han estudiado (e incluso incluido en sus clausulados generales de servicio) la posibilidad de bloquear a sus usuarios el acceso a Internet desde medios móviles, cuando éstos pretendan utilizar servicios de mensajería instantánea o de Voip de otros proveedores que no sean éstas, a través de aplicaciones instaladas en sus teléfonos móviles.

Aunque éstos son solo unos pocos, podemos poner decenas de ejemplos. ¿Está legitimado un ISP para, autónomamente, bloquear o cerrar una página web que atente contra determinadas creencias? ¿Puede el titular de un servicio como Blogger, sin orden judicial, ceder los datos de un usuario porque su blog atente supuestamente contra la dignidad de una persona? ¿puede un ISP cobrar un canon adicional a los usuarios que utilicen programas P2P? Todos estos asuntos están relacionados con la cuestión de la neutralidad de la Red.

 

En España tenemos nuestra vilipendiada LSSI y CE que fija que cuando un determinado servicio de la sociedad de la información atente o pueda atentar contra determinados principios (orden público, seguridad, infancia, etc.), los órganos competentes para su protección, en ejercicio de las funciones que tengan legalmente atribuidas, podrán adoptar las medidas necesarias para que se interrumpa su prestación o para retirar los datos que los vulneran, no siendo responsables los proveedores de tales contenidos o transmisiones de datos “salvo que ellos mismos hayan originado la transmisión, modificado los datos o seleccionado éstos o a los destinatarios de dichos datos” (artículo 14).

Además, el artículo 12 de la misma norma, que regula el deber de retención de datos de tráfico relativos a las comunicaciones electrónicas establece que la retención se efectuará por un período máximo de 12 meses y debe limitarse a lo necesario para facilitar la localización del equipo terminal empleado por el usuario para la transmisión de la información (datos de conexión y tráfico).

En esas estábamos cuando he tenido noticia de una iniciativa legislativa presentado en el Congreso de los USA, de la que he tenido noticia a través del imprescindible Enrique Dans.

Esta iniciativa legislativa denominada ‘‘Internet Freedom Preservation Act of 2008” pretende modificar la norma norteamericana sobre telecomunicaciones, añadiendo una nueva sección relativa a Internet, tiene por objeto “to maintain the freedom to use for lawful purposes broadband telecommunications networks, including the Internet, without unreasonable interference from or discrimination by network operators as has been the policy and history of the Internet and the basis of user expectations since its inception”, así como “to preserve and promote the open and interconnected nature of broadband networks that enable consumers to reach, and service providers to offer, lawful content, applications, and services of their choosing, using their selection of devices, as long as such devices do not harm the network; and to safeguard the open marketplace of ideas on the Internet by adopting and enforcing baseline protections to guard against unreasonable discriminatory favoritism for, or degradation of, content by network operators based upon its source, ownership or destination on the Internet”.

 

En definitiva, una modificación legislativa que pretende mantener el principio de neutralidad en la Red y fijar una conducta de mínima injerencia por parte de los operadores en las navegaciones y usos que los internautas adopten, todo ello siempre que se trate de un uso no ilegal de aquélla. Será ahí, en la determinación de qué es legal o ilegal  y en la definición de una red abierta e intercomunicada que permita múltiples elecciones para los usuarios donde se centrará el debate. Debate que, en cualquier caso, deberán resolver los tribunales y no los operadores.