Por fin puedo leer la sentencia del Tribunal Supremo del pasado 9 de mayo, por la que supuestamente se declara que los datos que circulan por las redes P2P no están protegidos por la normativa sobre protección de datos de carácter personal ni por el secreto de las comunicaciones (El Mundo, Público).
Lo que plantea el caso es si para la obtención de una dirección IP directamente de eMule se exige autorización judicial, cuando este dato lo hace público el usuario por el mero uso del programa. No obstante, hay algo más, no sólo se trata de la dirección IP, sino también de su vinculación con un identificador de fichero (hash) como fuente del mismo. En este asunto se trataba de imputar un delito de facilitación de difusión de pornografía infantil, pues la acusada compartió material de este tipo mientras se lo descargaba en su equipo. Aún cuando se eliminen dichos ficheros, el identificador del usuario de eMule y la IP de su equipo quedan asociados a los mismos, al menos durante un tiempo en el servidor. Se le puede seguir la pista, lo que no significa necesariamente que exista un acceso o intromisión en el ordenador de dicha persona para recabar esta información.
Por un lado, podría discutirse la validez en juicio de la información que proporciona el servidor de eMule en cuanto a las fuentes de los ficheros y sus direcciones IP (cuestión que también pregunta David Maeztu), así como si, al identificar la IP a un equipo informático, realmente el titular de la conexión a Internet es el responsable de los actos que se hagan con el mismo. El primer punto me parece más interesante, pero lo último no se suele discutir, aceptándose que el uso del equipo se realiza bajo la responsabilidad de dicha persona.
El Tribunal Supremo cita la doctrina del caso Malone del Tribunal Europeo de Derechos Humanos de 1984, reconocida también por el Tribunal Constitucional en una sentencia de 20 de mayo de 2002, según la cual los números de abonado en las comunicaciones telefónicas también están protegidos por el secreto de las comunicaciones. Aún cuando no se entrara en el contenido de las comunicaciones, la obtención de la información relativa a la existencia y momento de la comunicación telefónica requeriría autorización judicial. Se argumenta conforme a dicha doctrina en el sentido de que en realidad haría falta, para que se considerara una injerencia ilegítima, que se llegara a averiguar la identidad de las personas en concreto, no simplemente el número de teléfono. La actuación policial en este supuesto no es, por tanto, contraria a lo anterior, ya que en el momento en que se quiso averiguar la identidad de los titulares de la conexión a Intenet sí se solicitó autorización judicial.
La exclusión de la dirección IP del secreto de las comunicaciones quedaba clara con el artículo 12 de la LSSI en su redacción anterior a la vigente y, posteriormente, por la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones (ésta no aplicable al momento de los hechos), así que entiendo que la sentencia es conforme con el marco legal en este punto. La autorización a la que se refiere la Ley 25/2007 habría que exigirla cuando los datos estén en poder de los prestadores de servicios de la sociedad de la información, y parece absurdo solicitarla cuando el usuario los hace accesibles y no se requiere ninguna injerencia para su obtención.
Se señala en su Fundamento Segundo:
Visto el panorama jurisprudencial y legislativo y trasponiéndolo al caso que nos ocupa se puede concluir lo siguiente: […]
b) entender que conforme a la legalidad antes citada (unas normas vigentes en el momento de los hechos y otras posteriores) se hacía preciso acudir a la autorización del juez instructor para desvelar la identidad de la terminal, teléfono o titular del contrato de un determinado IP, en salvaguarda del derecho a la intimidad personal (habeas data). La policía judicial a través de un oficio de 6 de noviembre de 2005, completado por un informe de 24 de octubre del mismo año del Grupo de delitos telemáticos de la Guardia Civil interesa la preceptiva autorización que obtuvo con el libramiento de mandamiento judicial dirigido a los operadores de Internet para identificar ciertas direcciones IP del ordenador al objeto de proseguir la investigación.
Consecuentemente quien utiliza un programa P2P, en nuestro caso EMULE, asume que muchos de los datos se convierten en públicos para los usuarios de Internet, circunstancia que conocen o deben conocer los internautas, y tales datos conocidos por la policía, datos públicos en internet, no se hallaban protegidos por el art. 18-1º ni por el 18-3º C.E.
En cualquier caso, la postura oficial de la Agencia y el Supervisor Europeo de Protección de Datos es considerar que las direcciones IP son un dato personal, quedando protegidas por dicha regulación. Voy a pensar que la sentencia tiene incoherencias y que realmente también lo cree.
Lo que no puedo compartir es que el hecho de que el usuario haga público ese dato permita o justifique su captación y cualquier uso posterior, lo que parece deducirse del texto, por las peligrosas consecuencias que podría tener. De todos modos, como bien señala Sergio Carrasco, deben aplicarse a este caso las previsiones del artículo 22 de la LOPD para la recogida y tratamiento de datos para fines policiales por las Fuerzas y Cuerpos de Seguridad del Estado, que evitan solicitar el consentimiento de los afectados.
En conclusión, comparto la fundamentación de la sentencia en su mayor parte, con la advertencia de que la justificación del procedimiento seguido no puede extrapolarse a otros supuestos en los que se trate de investigar la comisión de otros ilícitos a partir de una dirección IP.
ACTUALIZACIÓN (11-06-2008): La sentencia del Supremo ya está disponible para todos los públicos en la web del CGPJ.
Hola Javier,
En cuanto a la validez de las direcciones y archivos compartidos, podríamos hablar de las ventajas que nos comporta a este respecto el uso de TCP, así como la implementación actual de los servidores P2P para buscar los datos que necesita Hispalis para hallar a los infractores.
El tema de la identificación inequívoca de la IP es el problema de siempre. Y si se tiene contraseña pero se mantiene aún la que tiene por defecto y alguna persona la ha obtenido? Con la facilidad que hay para obtener determinadas contraseñas en conexiones wifi (existiendo distribuciones de linux dedicadas únicamente a ésto, poner y listo), es un tema importante a la hora de entrar en un eventual juicio (más aún cuando hablamos de la comisión de un delito).
Un saludo
Estoy contigo en cuanto al acceso a la conexión, pero entiendo que cierto grado de diligencia hay que tener, así que a menos que se demuestre que ha sido objeto de un ataque o que la contraseña está comprometida por causas ajenas al imputado, creo que es razonable pensar de principio que el titular es el responsable de lo que se haga con su conexión.
En cualquier caso, esto admitiría prueba en contrario.
me gustaria saber que se puede hacer cuando una persona si ninguna otra motivacion que el hecho de querer facilitar a traves de su posicion (presidente del tribunal superior de justicia de una comunidad autonoma) informacion intrascendente a otra persona (una trabajadora de su entorno) de alguien sin pedir autorizacion, entrando hasta en las paginas web que se visitan, numeros de tel al que se llama…. y encima dando informacion sin contrastar con la realidad…. concretamente el caso es que yo trabajaba para un medio de comunicacion y logicamente tenia que navegar en ciertas paginas para recabar informacion, y esta persona se inventa una vida personal totalmente falsa… en base a sus propias conclusiones personales.
Hola Javier,
Me gustaría preguntarte si el desvelar un número de telefono a través de una dirección IP para descubrir un particular es legal o no. Actualmente yo participo en un foro de una pagina web de un municipio y los usuarios no estan obligados a desvelar su identidad a la hora de dejar sus comentarios. Visto las duras críticas que en ella se depositan personas sin ningun consentimiento judicial investigan mediante hackers de donde procede cada direccion IP hasta desvelar la identidad y ponerla en publico.
Pienso que esta acción supone vulnerar el derecho a la intimidad. Quería saber donde se recoge este tipo de hecho y donde puedo recurrir para que se haga justicia.