Cuestiones sobre la Sentencia del Tribunal Supremo de 9 de mayo de 2008

Al hilo de la Sentencia del Tribunal Supremo, Sala de lo Penal, nº 236/2008, de 9 de mayo: algunos aspectos polémicos.

 

Sirva este breve post para lanzar una serie de pensamientos sobre la Sentencia a que hace referencia el título: ya sabéis que esta Sentencia es la que ha dictaminado que el acceso a la información de las IPs de conexión, archivos que se bajan y se suben, horas y fechas de conexión/desconexión, etc. de los usuarios que utilizan programas P2P  “puede efectuarla cualquier usuario” por lo tanto, “no se precisa de autorización judicial para conseguir lo que es público y el propio usuario de la red es quien lo ha introducido en la misma“. Por todo ello, debe quedar patente que “al verificar los rastreos la policía judicial estaba cumpliendo con su función de perseguir delitos y detener a los delincuentes que los cometen, siendo legítimos y regulares los rastreos efectuados“.

 

Así las cosas y sin entrar a valorar otras cuestiones de carácter penal puro, planteo las siguientes consideraciones al respecto de tal Sentencia:

 

1ª.- Esa información, que el Tribunal Supremo, considera como ”ilegítima o irregular” ¿quién determina que lo sea? Quiero decir, ¿cómo se llega a la conclusión de que esa información o esos archivos que uno se baja es ilegítima o irregular?

 

2ª.- Qué debemos considerar nosotros mismos por información “ilegítima o irregular”. Desde luego, ilegítima no quiere decir delictiva. Si así fuera se habría dicho. Y si no es delictiva, ¿porqué no es necesaria la autorización judicial para acceder a las mismas? Que yo vaya caminando por la calle (lugar público) no significa que cualquiera puede abordarme y requerirme mi DNI o registrarme los bolsillos. Supongo que sólo podrá exigirme la identificación algún miembro de las Policías (dicho sea en amplio término y referido a cualquiera de ellas) y siempre que esté cometiendo un delito, no?

 

3ª.- ¿Se puede establecer a priori cuándo una información, un archivo, un dato, etc. es “ilegítimo, irregular” o delictivo? Si es así, nada que objetar. Si no es así, la construcción se viene abajo: para saber si se puede aplicar unos de esos adjetivos habrá que acceder a tal archivo y para ello habrá que solicitar la autorización judicial ¿o no?

 

4ª.- Me parece observar una preocupante y presunta falta de conocimientos técnico-informáticos en la Resolución a que hemos tenido acceso.

 

5ª.- Qué valor se le puede/debe atribuir, desde un punto de visto procesal, a los resultados de los escaneos/rastreos que la Policía efectúa a través de su programa “Hispalis”.

 

6ª.- A juicio del Tribunal Supremo, el mero hecho de navegar por Internet o utilizar programas de intercambio de archivos presupone un conocimiento de lo que se hace. ¿podemos considerar esa afirmación correcta? Creo que no y, en termas relacionados con la informática en general y, con Internet en particular, menos aún.

 

Creo que es todo por el momento.

 

 

Controles de acceso biométricos

Ha pasado casi desapercibido un conflicto y su resolución sobre la cuestión enunciada en el título de la entrada. Por primera vez ha llegado hasta nuestro Tribunal Supremo un asunto que tiene que ver, no tanto con la protección de datos de carácter personal, sino con la viabilidad de que una empresa establezca un control de acceso a la misma, para sus trabajadores, basado no en sistemas de accesos lógicos o técnicos, sino biométricos.

La trascendencia de la cuestión se deriva no sólo de esa posibilidad en cuanto a los controles de acceso o presencia en un determinado lugar, sino de la creciente y continua generalización de ese sistema, que a día de hoy podemos observar en numerosos ordenadores que posibilitan la autenticación del usuario a través de la comparación de su huella dactilar. Como sabéis, aunque introducido de “rondón”, en numerosas organizaciones ya se ha implantado ese sistema para “logearse” en el sistema y acceder a la red corportativa.

 

El conflicto que se ha resuelto ahora parte de la decisión de una organización de implantar un sistema de acceso a un edificio de carácter biométrico. En concreto, mediante la comparación de la huella dactilar de la persona que pretende acceder con la base de datos de huellas dactilares del sistema.

 

Desde un punto de vista más técnico (que me perdonen los “idems” por la intromisión) los controles de acceso y controles de presencia en que necesita identificar el usuario a través de sistemas de este tipo se usa un lector controlado por el hardware correspondiente. Este hardware consiste básicamente en un terminal que usa un lector (sea óptico, biométrico o de otro tipo) para identificar al usuario, a través de rayos infrarrojos, principalmente. Un buen uso de la biometría permite identificar a partir de algunos de los rasgos biológicos únicos a una persona de manera plena y unívoca, existiendo pocas posibilidades de suplantación de identidad, sino es a través de complejos sistemas.

En función del grado de conocimiento de la tecnología (y de la inversión que la organización puede o quiere efectuar), se suelen utilizar para llevar a cabo esa identificación sistemas biométricos basados en el reconocimiento por huella dactilar. En estos casos, la huella digital del usuario es capturada usando un escáner óptico o biométrico, cuyo resultado es comparado con una base de datos de los usuarios registrados creada con anterioridad. En el caso de coincidencia quedarán registrados en el sistema la fecha, hora y lugar por el que el usuario accede o sale del sistema.

Como en todas las cuestiones tecnológicas, no todos los sistemas de autenticación biométrica son iguales de “fuertes”. Como ha quedado dicho, en función de la inversión a efectuar, podemos señalar que mientras que algunos detectan solamente la forma de la huella, otros comprueban pulso y temperatura para confirmar que se trata de un dedo real, etc.. No olvidemos en todo caso, como señalaba Sergio Hernando (por cierto, blog fundamental) hace tiempo, que todos los sistemas pueden burlarse.

 

El sistema técnico que se viene a implantar es el que se describe a continuación: la lectura biométrica de la mano se efectúa mediante un escáner a través de rayos infrarrojos. Esta lectura por infrarrojos implica, a su vez, la transformación de la imagen tridimensional en un algoritmo plasmado, a su vez, en “bytes”, en lo que se denomina “template”, palabra inglesa que significa plantilla y que en acepción reciente expresa un modelo de concepción de programas o de presentación de datos. Ese “template”, incorporado a una base de datos creada previamente (cuya creación y existencia ha sido notificada y registrada en la Agencia de Protección de Datos), permite su asociación con la identidad de los empleados/usuarios, haciendo posible efectuar el control horario de acceso y salida de los edificios en los que se implementa tal sistema. Es importante reseñar a los efectos pertinentes que la información convertida en esos bytes no comporta huellas, ni fotografías y, por sí sola, no es idónea para identificar a las personas (recordemos el concepto de “datos disociados” a que hemos hecho referencia en otra entrada anterior). Por otra parte, el mecanismo se presenta como inocuo desde el punto de vista de la salud, habiéndose presentado certificados de conformidad de los aparatos instalados e informes médico-sanitarios que abundan en tal sentido.

 

Así las cosas, nuestros tribunales han señalado que la implantación de ese sistema de control no infringe derecho fundamental alguno tal como los ha definido el Tribunal Constitucional. En efecto, entendió que no supone una restricción desproporcionada de los mismos, ni lesiona el derecho a la intimidad, ni el derecho a la protección de datos de carácter personal regulado por la LOPD, ni el derecho a la llamada intimidad corporal. Tampoco aprecia que el sistema de control horario discutido comporte daños para la salud por los efectos biológicos de las radiaciones que pueda emitir el escáner, semejantes a las de un mando a distancia de televisión.

 

Se afirma que la justificación para la implantación del sistema existe y no hay norma que prohíba el recurso a la tecnología escogida para realizar el control del cumplimiento del horario de trabajo. Su novedad o complejidad no la convierten en lesiva de los derechos fundamentales invocados. Y el posible desequilibrio que pudiera existir entre el uso de la biometría y ese control no es cuestión a dirimir jurisdiccionalmente en un proceso de estas características.

ISP’s, IP’s e Intimidad

Cae en mis manos una Sentencia de la Corte Suprema del Estado de New Jersey (lo que aquí vendría a ser una Sentencia de un Tribunal Superior de Justicia de una Comunidad Autónoma), del pasado 21 de abril de 2008 que me ha recordado el asunto de TELEFÓNICA y PROMUSICAE que resolvió el Tribunal Superior de Justicia de la UE y que comenté hace algún tiempo en este blog. La Sentencia que os comento la podéis descargarla AQUÍ.

Los americanos que para estas cosas son muy suyos no dejan de sorprendernos y viene a dictaminar que la información de acceso a Internet de una persona es privada, por lo cual, la policía o la autoridades no pueden requerir a los ISP’s para que se proporcionen tales datos sin autorización judicial ¿os suena de algo?

La citada resolución establece que “The court holds that citizens have a reasonable expectation of privacy in the subscriber information they provide to internet service providers” (“Este Tribunal entiende que los cuidadanos tienen una expectativa razonable en la privacidad que les proporcionan los proveedores de acceso a Internet”), “Law enforcement officials can obtain subscriber information by serving a grand jury subpoena on an Internet service provider without notice to the subscriber” (por lo cual sólo se puede obtener tal información a través de un mandamiento judicial sino media autorización del afectado).

Razona tal cuestión en que “Individuals need an ISP address in order to access the internet“(…) “However, when users surf the web from the privacy of their homes, they have reason to expect that their actions are confidential. Many are unaware that a numerical IP address can be captured by the websites they visit. More sophisticated users understand that that unique string of numbers, standing alone, reveals little if anything to the outside world. Only an internet service provider can translate an IP address into a user’s name.” (Se requiere una dirección IP para poder acceder a Internet (…) Cuando los usuarios particulares navegan por la Red, éstos tienen razones para creer que esa navegación es confidencial (…) Muchos usuarios incluso desconocen que los sitios que visitan recogen datos de la conexión y otros, incluso, que existen sofisticados sistemas de recopilación de datos de las visitas. Sin embargo, todo lo anterior es inútil sin que el ISP asocie esa IP con el nombre y apellidos del usuario).

Por ello, parece razonable que el acceso a tales datos sea autorizado por una resolución/mandamiento judicial, una vez que la policía haya mostrado al Juzgado indicios razonables de que necesita esos datos para evitar un delito o para atrapar al culpable de uno. La conclusión de tal razonamiento es que las pruebas obtenidas o los datos recibidos de un ISP sin la previa y correspondiente resolución judicial serán “ilegales” o nulas y, por lo tanto, no podrán servir como prueba de cargo contra el presunto delincuente.

El razonamiento de la Sentencia resulta muy interesante e instructivo, pues amén de efectuar un repaso de las resoluciones dictadas por ese Tribunal en asuntos similares, se refirie igualmente a la protección que puede otorgar la Cuarta Enmienda de la Constitución americana en este momento de explosión de Internet.

En tal sentido, se distingue nítidamente en el discurso las referencias a la “privacy” (recordemos que la “privacy” anglosajona no es la intimidad española, sino más parecido al derecho fundamental a la protección de datos a que se refiere nuestro Tribunal Constitucional en su Sentencia nº 292/2000) y a su contenido, de especial importancia para saber qué está protegido frente a intromisiones arbitrarias y cuáles no. Así, distingue dos cuestiones diferentes:

a)  la denominada “Informational privacy” que comprende los datos o información que identifican a una persona en concreto, e incluye cualquier información relacionada con ésta, tal como el nombre, dirección, número de la seguridad social, así como la información generada o surgida a partir de ésta, como pudiera ser datos de tarjetas de crédito, archivos médicos, registros telefónicos, etc. (“any information that is indentifiable to an individual. This includes both assigned information, such a name, address, or social security number, and generated information, such as financial o credit card records, medical records, and phone logs,..”.).

b) Y la “personal informational” que es cualquier información, no importa lo trivial o nimia que pueda ser que pueda servir para identificar a una persona en concreto (“any information, no matter how trivial, that can be traced or linked to an identifiable individual”). 

La “informational privacy” se constituye como derecho amparado por la 4ª Enmienda de la Constitución americana (derecho de las personas a la seguridad -inviolabilidad diríamos aquí-frente a medidas arbitrarias) que requieren para su obtención un mandamiento judicial. 

Dice la Sentencia que”Modern technology has raised a number of questions that are intertwined in this case: to what extent can private individuals ’surf’ the ‘Web’ anonymously? Do internet subscribers have a reasonable expectation of privacy in their identity while accessing internet websites? And under what circumstances may the State learn the actual identity of internet users?“.

Mientras todo eso se determina, no está de más establecer cautelas sobre las formas de acceder a tales informaciones y, nada mejor para ello, que exigir la intervención judicial en este tipo de procedimientos para garantizar la protección de la privacidad de las personas.

Están locos estos americanos…