Hace unos días un titular se abrió paso en la Red: El Supremo deja los datos de redes P2P sin la protección del secreto de las comunicaciones. Rápidamente los usuarios han dado sus opiniones en multitud de páginas web, con opiniones que expresaban la preocupación al respecto (principalmente al respecto de la razón que justificaba una investigación sin protección alguna, así al menos lo interpretaron algunos).
Los diarios fueron haciéndose eco de esta noticia (con algunos casos como 20minutos en que aparece el derecho a la intimidad como principal y no el del secreto de las comunicaciones), y la noticia fue expandiéndose más y más.
Esta rápida proliferación tiene sus consecuencias. La Sentencia aún no estaba al alcance de muchos, razón por la cual muchas personas opinaban sin conocer el alcance real de la Sentencia del Supremo. He podido leer de todo al respecto. Bastaba con que una persona dijese «el juez no autorizó nada, pero la policía lo hizo igualmente» para que la gente lo diera por verdadero y comenzaran gritos y actitudes poco civilizadas, basadas en la preocupación de un estado de emergencia donde no hubiera ninguna protección para los usuarios P2P.
Tenía ganas de poder conocer en profundidad la Sentencia, y finalmente he podido acceder a ella. Está la preocupación de los usuarios P2P justificada?
Toda esta problemática proviene de la interpretación del concepto de secreto de las comunicaciones al que hace referencia el Art. 18.3 de la Constitución Española
Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.
A primera vista, podría parecer que efectivamente la investigación que realizó la policía podría llegar a vulnerar esta garantía que ofrece nuestra Constitución, pero una interpretación en estos extremos podría no resultar plenamente acorde a la realidad. En primer lugar, ya conocemos que los derechos que aparecen como Derechos Fundamentales en este texto difícilmente pueden tener la consideración de plenamente absolutos. Si continuamos con el Art. 33 de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, podemos continuar encontrando estos requisitos
Los operadores están obligados a realizar las interceptaciones que se autoricen de acuerdo con lo establecido en el artículo 579 de la Ley de Enjuiciamiento Criminal, en la Ley Orgánica 2/2002, de 6 de mayo, Reguladora del Control Judicial Previo del Centro Nacional de Inteligencia y en otras normas con rango de Ley Orgánica.
Ahora bien, la Sentencia enfocó el caso desde el punto de vista del Art. 18.1 de la Constitución, referente a la intimidad personal, dado que la búsqueda de los datos del titular de una determinada IP corresponden más al ámbito de protección de este derecho.
Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.
Este enfoque nos plantea una serie de factores a tener en cuenta. Tal y como ha establecido el Tribunal constitucional, mientras que la intervención de las comunicaciones requiere resolución judicial previa, éste no es el caso del derecho a la intimidad personal. Por esta razón, en este último supuesto se ha admitido de forma excepcional que la policia judicial realice determinadas prácticas que constituyan una injerencia leve en la intimidad de las personas (siempre contando con suficiente y precisa habilitación legal) tal y como podemos ver en las SSTC 37/1989, de 15 de febrero, FJ 7; 207/1996, de 16 de diciembre, FJ 3; y 70/2002, de 3 de abril, FJ 10. A estos principios debemos añadir la obligación de que se hayan respetado las exigencias dimanantes del principio de proporcionalidad (STC 70/2002, de 3 de abril, FJ 10).
Una vez conocemos la base, debemos tener en cuenta qué actuaciones llevó a cabo exactamente el equipo de delitos telemáticos de la Guardia Civil.
-
En primer lugar, se creó una base de datos formada por 1.000 archivos de fotografías y vídeos con contenidos de pornografía infantil identificados de forma electrónica mediante su número «hash» con independencia del nombre que pueda asignarle en cada momento el usuario que es enteramente mudable
-
A través de esta Base de Datos obtuvo una serie de IPs que tuvieron acceso a estos archivos
-
Dicho listado se presentó con posterioridad en el Juzgado de Instrucción número 7 de Sevilla, solicitando emisión de mandamiento judicial dirigido a los diferentes proveedores de servicios de internet existentes en España para que identificasen al titular, domicilio, número de teléfono y forma de pago correspondiente a cada uno de los «IPs»
Este último apartado resulta de gran importancia, dado que finalmente la obtención de las identidades de las personas a través de su IP se hizo efectivamente mediante mandamiento judicial (pese a no haber sido aplicada en este caso dada la fecha de su entrada en vigor, puede que os resulte también interesante el post que realicé sobre la Ley de Conservación de Datos a este respecto). Por lo tanto la duda recae en si la obtención de las IP en sí constituye una actuación necesaria de mandamiento judicial previo (de forma similar a la que puede ser la obtención de los números telefónicos en determinados procesos).
Para poder establecer la nulidad en la obtención de estas pruebas, deberíamos encontrarnos ante datos «preservados del conocimiento público y general». En primer lugar, respecto a la naturaleza del dato objeto de análisis y de acuerdo con la Agencia de Protección de Datos en su Informe 327/2003
Así pues, aunque no siempre sea posible para todos los agentes de Internet identificar a un usuario a partir de datos tratados en la Red, desde esta Agencia de Protección de Datos se parte de la idea de que la posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos.
Una vez establecido el carácter de dato personal de las IP, debemos acudir a la LOPD, donde un dato personal como es la IP cuenta con una serie de requisitos para ser primero recogida. En nuestro caso particular, se ha obviado la información de la existencia y finalidad de la recogida de estos datos al titular. Ahora bien, la misma LOPD establece un régimen específico para los Ficheros de las Fuerzas y Cuerpos de Seguridad que posibilita esto en el Artículo 22, del cual nos interesa particularmente sus apartados 2 y 3
2. La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas esten limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad.
3. La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos, a que hacen referencia los apartados 2 y 3 del artículo 7, podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales.
En este caso, la materia objeto de investigación trata de la tenencia (y tráfico al formar parte de uan red P2P) de material de contenido sexual en el que aparecen menores, un delito tipificado en el Art. 189 del Código Penal (y no un simple ilícito civil). Este acto de recogida de IPs estaba englobado dentro de una investigación específica, con lo cual la recogida de las IP por parte de la brigada de delitos telemáticos se adecúa a lo establecido en este apartado de la LOPD. De esta forma, nos encontramos con un límite para la aplicación de este régimen específico, donde se nos habla de represión de infracciones penales, y no de la investigación de cualquier tipo de infracción (con las consecuencias que un análisis pormenorizado de otro caso puede llegar a tener en el caso de no constituir delito).
En cuando a la cesión de los datos capturados, debemos estar a los requisitos establecidos en el Art. 11 (en el mismo sentido podemos encontrar el Art. 10 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal), entre los que cabe mencionar
2. El consentimiento exigido en el apartado anterior no será preciso:
a. Cuando la cesión está autorizada en una ley.
b. Cuando se trate de datos recogidos de fuentes accesibles al público.
d. Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
Nos encontramos en el transcurso de una investigación criminal, y de unos datos que son cedidos a un Tribunal, no utilizados para usos ajenos a esta investigación (lo cual comporta que no podamos entender que se encuentra protegido por este Derecho). Además, en la propia Sentencia se establece que la IP obtenida difícilmente puede entenderse como oculta al público en general
no hay secreto sobre datos que el partícipe en la comunicación informática voluntariamente aporta a la red de redes.
No se precisa de autorización judicial para conseguir lo que es público y el propio usuario de la red es quien lo ha introducido en la misma. La huella de la entrada -como puntualiza con razón el Mº Fiscal- queda registrada siempre y ello lo sabe el usuario
De esta forma, lo que se nos indica en la Sentencia es que la participación de forma activa en las redes P2P implica que una serie de datos son aportados a sus usuarios en general, entre los cuales podemos destacar la IP y los archivos compartidos. Estos datos tienen la consideración de públicos (dado que los usuarios los facilitan voluntariamente ante las actuaciones de la Guardia Civil, como puede ser la realización de una búsqueda a través del programa P2P) y por tanto no están protegidos ni por el 18.1 ni por el 18.3 de la Constitución.
No obstante todo lo anterior, debemos tener en cuenta de nuevo que, en este caso al menos, no se pudo obtener la identidad real de los usuarios basándose simplemente en actuaciones permitidas por la interpretación que ha realizado el Tribunal Constitucional de la protección de estos datos, y que en el caso de un ilícito civil volveríamos a entrar en la problemática de siempre (y que recordemos que un proceso civil no se encuentra regido por las mismas posibilidades).
En este caso se ha llegado a identificar a sus usuarios, gracias a la cesión de los datos con que contaban los ISP a causa del mandamiento judicial que ostentaban las fuerzas y cuerpos de seguridad. En el caso de la Propiedad Intelectual, que parece que en ocasiones es considerada el patito feo de la Justicia, esto resultaría complicado. Ahora bien, de momento hay que tener en cuenta que las protecciones que ofrecen los artículos mencionados en esta Constitución no es aplicable a los usuarios P2P en referencia a estos datos accesibles para cualquier usuario con conocimientos básicos, con lo cual no podrán ser aducidas en un eventual proceso judicial.
