martes, 19 de abril de 2016

¿Qué se puede hacer, cuando hay un problema real y necesitamos utilizar una conversación de whatsapp o cualquier otro tipo de prueba que solo existe en formato digital?

En primer lugar deberemos tener en cuenta que su uso no sea contrario a nuestra legislación en concreto al artículo 18 CE:
3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.
4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
El uso de este tipo de pruebas se está extendiendo y proliferando como el uso de la propia tecnología y no siempre es fácil demostrar la fiabilidad y validez de dichas pruebas.
La incidencia más obvia es que este tipo de pruebas pueden ser manipuladas. Cualquier usuario de aplicaciones de mensajería instantánea del tipo WhatsApp, puede borrar un determinado mensaje y posteriormente sacar una captura de pantalla, ocultando así partes que podrían ser determinantes y modificando el contexto de la conversación.
Hay que tener en cuenta que en multitud de procedimientos judiciales estas pruebas han sido rechazas por entenderse que los contenidos no han sido reconocidos por el acusado ni se han practicado sobre los mismos prueba pericial informática que acredite su autenticidad y envío. Luego la única alternativa para hacer valer dicha prueba si la otra parte no reconoce su existencia, es a través de un perito informático.
La intervención de este perito debe ser lo más rápida posible ya que pueden existir ya que se corre el riesgo de que determinados elementos puedan desaparecer al ser borrados por su autor original.
Una vez que el perito ha elaborado el informe, se debe de acudir al notario para que de fe del contenido o bien utilizar alguna herramienta de tercero de confianza, acompañando en ambos casos el peritaje informático.

¿El prestador de servicios no puede “ayudar” en este trámite?

El problema es que la aplicación no conserva la conversación en un servidor externo perteneciente al administrador y sólo se conserva en el dispositivo de quienes se comunican, tal y como manifiesta Whatsapp a través del reciente encriptado de sus mensajes.
La aplicación no tendrá acceso a los mismos, tampoco si se lo piden las autoridades y en su nota oficial afirman que no mantienen registro de los mensajes en sus propios servidores y que el fin del cifrado de extremo a extremo se busca protegerlo “manos indebidas". Una decisión en línea con la actual polémica con Apple y el FBI respecto al móvil que se han negado a desencriptar.
De hecho en la nota especial para los usuarios de otros países, WhatsApp dice que el servicio está en EEUU y va dirigido a los usuarios de este país y que si eres un usuario que accedes desde la Unión Europea, Asia , o cualquier otra región con una regulación en materia de protección de datos diferente de la estadunidense (en este caso por la ley de California)  la aceptación de los términos del servicio implica  la transferencia de esos datos personales y el consentimiento expreso para que rijan las leyes californianas.
Además recordemos que Whatasapp pertenece a Facebook pero que desde un inicio han querido mantenerse como empresas diferentes y con términos y condiciones independendientes.
Para que el cifrado se considere "end-to-end", tal y como dice Ruth Benito Martín, "implica que ni siquiera el prestador del servicio puede acceder al contenido cifrado. Por lo tanto, aunque a través de una comisión rogatoria (que ya es complicado) consiguiéramos requerir a Whatsapp que nos facilitara el contenido de una conversación entre usuarios suyos, esta compañía, a día de hoy, debería respondernos que no le es posible". La única opción en palabras de  Héctor Guzmán seríaacceder (como en el caso de Apple) a el/los dispositivos o buscar el usuario colaborador que permita el acceso a la conversación.
Y en cuanto a la solicitud a Whataspp tal y como dice Rubén Vazquez “Deberemos ir viendo caso a caso como va a afectar este cifrado “end to end”, pero si algo es cierto, es que los requerimientos de información a Whatsapp con respecto al contenido de las comunicaciones va a acabar, al menos, mientras la CNMC no lo considere un prestador de servicios de comunicaciones electrónicas y que por tanto, tenga el deber de colaboración que afecta a las mismas”.
En todo caso, habrá que tener en cuenta también la tipología del posible delito cometido, ya que si nos referimos al ámbito penal, nuestra Ley de Enjuiciamiento Criminal no contempla especialmente estos medios de prueba y sin embargo si lo hace la Ley de Enjuiciamiento Civil.
Su art. 299.1 regula los medios de prueba clásicos de los que pueden valerse las partes y se admitiría este supuesto de conversación de WhatsApp como prueba pericial, a través del reconocimiento judicial o inspección personal del juez o a través de la prueba de instrumentos tecnológicos del art. 299.2.
Además, el art. 299.3, establece que “cuando por cualquier otro medio no expresamente previsto en los apartados anteriores de este artículo pudiera obtenerse certeza sobre hechos relevantes, el tribunal, a instancia de parte, lo admitirá como prueba adoptando las medidas que en cada caso resulten necesarias”.
Por todo ello, y tal y como especificó la  Sentencia de la Sala II del Tribunal Supremo número 300/2015, de 19 de mayo, “la prueba de una comunicación bidireccional mediante cualquiera de los múltiples sistemas de mensajería instantánea debe ser abordada con todas las cautelas. La posibilidad de una manipulación de los archivos digitales mediante los que se materializa ese intercambio de ideas, forma parte de la realidad de las cosas. El anonimato que autorizan tales sistemas y la libre creación de cuentas con una identidad fingida, hacen perfectamente posible aparentar una comunicación en la que un único usuario se relaciona consigo mismo. De ahí que la impugnación de la autenticidad de cualquiera de esas conversaciones, cuando son aportadas a la causa mediante archivos de impresión, desplaza la carga de la prueba hacia quien pretende aprovechar su idoneidad probatoria. Será indispensable en tal caso la práctica de una prueba pericial que identifique el verdadero origen de esa comunicación, la identidad de los interlocutores y, en fin, la integridad de su contenido”.
Parece que está claro, y bajo nuestra opinión es así, que debe haber una valoración conjunta del material probatorio, es decir que se tengan en cuenta, además de los propios mensajes, el resto de pruebas prácticas como la declaración de las partes o incluso la constatación pericial de que no ha habido una manipulación y se pueda acreditar su contenido, lo cual no resulta sencillo.

martes, 23 de febrero de 2016

¿Por qué me puede multar la Agencia Española de Protección de Datos?

Una vez que la Agencia Española de protección de datos (en adelante AEPD), inicia una inspección bien por denuncia bien de oficio, es habitual que le solicite al denunciado una serie de documentación para recabar información sobre, en primer lugar, si esa empresa, autónomo, etc. cumple con la Ley Orgánica de protección de datos (en adelante LOPD).
Corroborará en su registro, si el denunciado tiene inscritos los correspondientes ficheros, adecuados a la actividad que realiza: fichero de clientes, si es un comercio, fichero de pacientes si se trata de un profesional sanitario, fichero de libros oficiales si se trata de un establecimiento farmacéutico… Y además, solicitará documentación incluida en el documento de seguridadnormativas de seguridad firmadas por los empleados, compromisos de confidencialidad de los posibles colaboradores o proveedores de la empresa, registro de incidencias, registro de personas con acceso a los datos

PERO ¿QUÉ ERROR PODEMOS COMETER PARA QUE ALGUIEN NOS DENUNCIE Y LA AEPD NOS HAGA UNA INSPECCIÓN?

Por ejemplo, un hecho tan cotidiano como remitir un correo electrónico puede ser causa de una denuncia. Cuando se envía un correo a varios destinatarios, las direcciones deben incluirse en el campo “con copia oculta”, ya que si los correos electrónicos aparecen a la vista, constituye una cesión de datos. La cesión debe sujetarse al régimen general de comunicación de datos de carácter personal que según dispone el artículo 11.1 de la citada Ley Orgánica, “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. El consentimiento deberá ser otorgado con carácter previo a la cesión y suficientemente informado de la finalidad a la que se destinen los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quién se pretende comunicar (artículo 11.3), y que debe recabar el cedente como responsable del fichero que contiene los datos que se pretenden ceder.
Por todo ello, cuando se ha remitido un correo de este tipo, se puede establecer que se ha producido una cesión no consentida de los datos, produciéndose según el artículo 44.3.k de la LOPD* lo que se considera una infracción grave: \”La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave\”.
Igualmente, podemos incurrir en infracciones por utilizar la dirección de correo si ésta fue recabada para un fin distinto para el efectivamente lo vamos a utilizar. Es decir, si hemos recabado la dirección de correo para remitir a un paciente un informe, no podemos remitir publicidad si no hemos recabado previamente el consentimiento. En cuanto a las obligaciones del responsable del fichero relativas a la recogida de los datos personales y el principio de calidad, cualquiera que fuese la vía utilizada para recabar los datos personales utilizados, el paciente debe ser informado de conformidad con el artículo 5 de la Ley Orgánica de Protección de Datos y autorizar el tratamiento de sus datos con estos fines. De no ser así, esto supone una infracción por parte del denunciado.
Además de la LOPD y su normativa de desarrollo que será de aplicación en todo caso, en especial, en lo que se refiere a la obtención de datos personales, la información a los interesados y la creación y mantenimiento de ficheros de datos personales, en estas infracciones por el uso de medios electrónicos interviene también la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, (LSSICE) en la cual se establece en su art.21.1: Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.”
Por todo ellos resulta imprescindible estar adecuados correctamente a la LOPD y a la LSSICE,siempre adaptado a las necesidades del cliente particular, analizando los datos que se recaban e implementando las medidas necesarias para cumplir con la legislación de la manera más sencilla pero correcta, para que no se incurran en infracciones de este tipo.
Enlaces relacionados:
Artículo 44.3.k de la LOPD

jueves, 7 de enero de 2016

La memoria defuncti y el derecho al honor post mortem On line

Quería empezar agradeciendo a Juristas con Futuro y en especial a Sonsoles Valero por invitarnos a participar en el #RetoJCF  sobre #testamentodigital, con este post fruto de la colaboración con mi amiga Marta Sánchez Valdeón y con el que exponemos nuestra opinión.
Horacio decía “non omnis moriar” y eso es incuestionable sobre todo a día de hoy en el que cuando una persona fallece, ya no sólo hay que preocuparse de las repercusiones directas en la vida real, sino también decidir sobre las repercusiones en la red.
Internet y las redes sociales se ha convertido en una herramienta de comunicación casi imprescindible para millones de personas. Pero esa fácil accesibilidad es precisamente la que provoca que el problema surja cuando no se trata de introducir datos, sino de borrarlos, como por ejemplo, en el caso de fallecimiento de una persona.
Las redes sociales, han buscado soluciones a un problema que las afecta directamente, pues según la consultoría americana Entrusted, “Facebook” perdió en 2011 alrededor de 1,7 millones de usuarios por fallecimiento.
La muerte de estas personas abre a sus familiares dos posibilidades: eliminar el perfil en la red social o permitir que se realice un homenaje en el mismo. Pero ¿están preparados los familiares para superar, no solo la muerte de una persona querida, sino también para borrar su huella?
No cabe duda que es difícil tomar cualquiera de las dos decisiones, pues en la primera te enfrentas a la repercusión que todos más tememos respecto a la muerte, el olvido, y en la segunda te enfrentas al recuerdo permanente de quien se ha ido.
Las redes sociales han previsto “el homenaje” permitiendo a los familiares directos, conservar el perfil del fallecido, con el fin de que no se produzca esa disminución masiva de usuarios de la que hablábamos al principio.
Y el mismo derecho a conservarlo, tenemos de eliminarlo: basta con que comprobemos la política de privacidad de la red y la familia solicite la cancelación de datos de la referida persona.
Y en el caso de personas sin familia, ¿qué ocurre con ellos? En este caso, el Ministerio Fiscal está legitimado para pedir la supresión del perfil.
Por supuesto, si no efectúan el borrado, contamos con una de las legislaciones más restrictivas del mundo en cuanto a protección de datos (España es uno de los países en que “más o mejor” se protege la intimidad de las personas), y con un organismo (la Agencia Española de Protección de Datos) que vela para que nuestros derechos se hagan efectivos.
El problema no se produce cuando un usuario le pide al titular de una red social que cancele toda su información, sino cuando esa información ha pasado de una red a otra, y ha traspasado muchas fronteras tecnológicas y geográficas. Es entonces cuando nuestro derecho de cancelación de datos se convierte en una ingente tarea de búsqueda desesperada, dando lugar en la mayoría de los casos a la imposibilidad práctica de eliminar de manera permanente nuestra huella en Internet.
Establecer mecanismos de “inmortalidad digital” ejercitando así el denominado “Derecho al recuerdo” de Eneko Delgado, permite que  Facebook con la opción “conmemorativa” muestre el contenido que hayamos compartido (fotos, publicaciones, etc.) y está visible para el público con el que se compartió.
Pero, ¿qué pasaría con el consentimiento posterior y el derecho al honor inherente a nuestra reputación online?. Dentro de la configuración de estas cuentas “homenaje” está la opción de que los amigos pueden compartir recuerdos en la biografía conmemorativa posteriormente. ¿Si el administrador de esa cuenta es el contacto del legado  será él el responsable de protección de su honor y derecho a la propia imagen?.
Estos derechos anteriormente citados (el honor y el derecho a la imagen recogidos como fundamentales en el artículo 18) son personalísimos y esto implica que con la muerte se extinguirían, y que por tanto aparece la problemática jurídica, de extender esta protección más allá del fallecimiento de quien fuera titular de estos derechos de la personalidad.
De esta forma surge el concepto de “memoria defuncti” como una prolongación de la personalidad que deber ser respetada y por tanto protegida jurídicamente también a nivel online. Lo que lleva a afirmar que estamos ante una protección post mortem de lo que en vida de la persona fueron sus derecho al honor, a la intimidad y a la imagen.
Ya en la Exposición de Motivos de la LO 1/1982, de 5 de mayo se recogía que “Aunque la muerte del sujeto de derecho extingue los derechos de la personalidad, la memoria de aquél constituye una prolongación de esta última que debe también ser tutelada por el Derecho”.
Como conclusión el derecho al recuerdo y la memoria defuncti deben tenerse en cuenta en el mundo online y los herederos o parientes actúan, se dice, como gestores de la buena memoria del difunto: no como derechos propios [1]. Ciertamente a los muertos ya nadie puede hacerles daño, pero sucede que las personas que nos precedieron han dejado en nosotros una memoria, un recuerdo o imagen, de modo que el guardián de la memoria del causante actúa como un fiduciario que no puede reclamar en interés propio [2].
En nuestra opinión dejar un testamento digital que recoja todos los posibles escenarios facilitaría las cosas en este mundo digital en el que los supuestos se adelantan a la legislación vigente.
[1] J.L. LACRUZ, Elementos, I, vol. 2º. Personas, cit., p. 31.
[2] P. SALVADOR, ¿Qué es difamar?…, cit., pp. 36-37.