Hace unos días se hizo público un fallo en el que se indicaba que el Tribunal Supremo validaba los rastreos policiales de los usuarios de las redes P2P sin orden judicial previa.

El caso versaba sobre varios cientos de imágenes y ficheros de video conteniendo pornografía infantil, que circulan en una red P2P.

Lo primero que me llama la atención, como reconoce la propia sentencia es que:

Con fecha 25 de octubre de 2005 tuvo entrada en el Juzgado de Instrucción número 7 de Sevilla comunicación escrita del Grupo de Delitos Telemáticos de la Policía Judicial de la Guardia Civil en la que se exponía que aprovechando la celebración en Sevilla del IV Foro Iberoamericano de Ciberpolicías, dicho grupo policial había iniciado el día 22 de octubre de 2005 y tenía previsto realizar hasta el dia 28 de ese mismo mes, búsquedas en Internet rastreando las redes de intercambio de archivos (Peer to Peer), para averiguar aquellos usuarios que descargasen o compartiesen entre dichas fechas archivos conteniendo fotografías o vídeos con contenido de pornografía infantil que previamente habían identificado e incluído en sus bases de datos.

Ese grupo policial había creado una base de datos formada por 1. 000 archivos de fotografías y vídeos con contenidos de pornografía infantil identificados de forma electrónica mediante su número “hash” con independencia del nombre que pueda asignarle en cada momento el usuario que es enteramente mudable.”

Es decir que la propia policia recopiló ese material, los identificadores de los archivos en la red, aprovechando que se celebraba un congreso. Me imagino el diálogo.

– Oye, que tenemos un congreso de Ciberpolicias.

– Y, ¿que hacemos?

– Pues estaría chulo rastrear unos ficheros con pronografía infantil en el emule, aprovechando el evento.

– Pues venga, dale al aparato.

Esta nota de “humor” viene porque lo esperable es que la investigación de la policia se produzca de continuo, siempre que se cometa un delito y no porque quieran hacer “experimentos” de cara a un foro, congreso o reunión. Se supone que estos delitos, especificamente se buscaba a personas compartiendo imágenes y videos de menores en actitudes sexuales, tienen la entidad y producen suficiente rechazo social como para ser perseguidos de continuo.

Pero en fín, España es así.

Siguiendo con la sentencia, la Audiencia Provincial de Tarragona estableció que los rastreos de las Ip’s que accedieron a los archivos identificados por su propio “hash” y que permitieron identificar a una persona que había accedido a los mismos, se habían realizado en vulneración del secreto de las comunicaciones y sin que existiese material de cargo adicional suficiente, siendo procedíente, por lo tanto, absolver a la acusada del delito de facilitación de la difusión de la pornografía infantil del artículo 186 CP.

La vulneración al secreto de las comunicaciones derivaba de que ningún juez autorizó el rastreo y obtención de las direcciones IP que accedieron a los ficheros.

Frente a la sentencia se alzó el Ministerio Fiscal y promovió el recurso que ahora resuelve el Tribunal Supremo.

Las razones esgrimidas por el Minsiterio Fiscal se sistematizan como sigue:

- No hay secreto sobre datos que el usuario aporta voluntariamente a la red de redes, por lo tanto no puede ser calificado de confidenciales, ni preservados del conocimiento público y general.

- La información obtenida por la Guardia Civil era únicamente que IP’s accedían a determinados “hash”, información a la que cualquiera en la red puede acceder. La IP queda registrada y el usuario lo sabe.

- No es lo mismo una llamada telefónica que una comunicación por internet, por lo que la doctrina sobre el secreto de las comunicaciones de las llamadas telefónicas debe revisarse para el caso de la transmisión de datos por internet.

- Las IP no concretan el usuario, sino sólo el ordenador asociado a una línea de acceso a internet, lo que hace necesaria la intervención judicial para conocer al titular del contrato.

- Así los rastreos sólo afectan a datos públicos de Internet no protegidos por el artículo 18.1 o el 18.3 de la Constitución.

El Tribunal Supremo, utilizando otras sentencias previas, propias y del Tribunal Europeo de Derechos Humanos, viene a decir que la policía puede conocer un número de teléfono del que luego tratará de identificar al titular para solicitar un “pinchazo” judicial, de varias maneras y que no por ello se vulnera el secreto de las comunicaciones.

Para el TS, los datos identificativos del titular de la comunicación se encuadran en el artículo 18.1 CE, dentro de la protección al derecho a la intimidad, con mención expresa a la LOPD, al RD 1720/2007 que la desarrolla, a la Ley de Conservación de Datos y a las precisiones sobre telecomunicaciones, y no relacionados con el derecho al secreto de las comunicaciones.

En las normas precitadas, según el TS, “parece desprenderse que sin el consentimiento del titular de unos datos reservados, contenidos en archivos informáticos, no pueden facilitarse a nadie, salvo los casos especiales que autorizan sus propias normas, entre las que se halla la autorización judicial, que lógicamente estaría justificada en un proceso de investigación penal.”

Así el Tribunal estima que:

a) los rastreos que realiza el equipo de delitos telemáticos de la Guardia Civil en Internet tienen por objeto desenmascarar la identidad críptica de los IPS (Internet protocols) que habían accedido a los “hash” que contenían pornografía infantil. El acceso a dicha información, calificada de ilegítima o irregular, puede efectuarla cualquier usuario. No se precisa de autorización judicial para conseguir lo que es público y el propio usuario de la red es quien lo ha introducido en la misma. La huella de la entrada -como puntualiza con razón el Mº Fiscal- queda registrada siempre y ello lo sabe el usuario.

En mi opinión yerra en este punto el Tribunal. La dirección IP no ha sido introducida en la red por el usuario, es algo necesario e impuesto para el tráfico de los paquetes por la red, para que cada paquete con información encuentre su destino, pero no es algo que los usuarios sepan o de lo que sean conscientes, o que quede a su elección. Es algo inevitable, por lo que desaparece esa nota de voluntariedad que el Tribuanl parece apreciar.

¿Cómo se ha verificado que el contenido de los “hash” era ilícito? ¿Con que garantías? Recordenmos que son ficheros elegidos por la policia y por ella rastreados sin ninguna intervención del juzgado u otra autoridad judicial.

b) entender que conforme a la legalidad antes citada (unas normas vigentes en el momento de los hechos y otras posteriores) se hacía preciso acudir a la autorización del juez instructor para desvelar la identidad de la terminal, teléfono o titular del contrato de un determinado IP, en salvaguarda del derecho a la intimidad personal (habeas data). La policía judicial a través de un oficio de 6 de noviembre de 2005, completado por un informe de 24 de octubre del mismo año del Grupo de delitos telemáticos de la Guardia Civil interesa la preceptiva autorización que obtuvo con el libramiento de mandamiento judicial dirigido a los operadores de Internet para identificar ciertas direcciones IP del ordenador al objeto de proseguir la investigación.

“Consecuentemente quien utiliza un programa P2P, en nuestro caso EMULE, asume que muchos de los datos se convierten en públicos para los usuarios de Internet, circunstancia que conocen o deben conocer los internautas, y tales datos conocidos por la policía, datos públicos en internet, no se hallaban protegidos por el art. 18-1º ni por el 18-3 C.E.”

El usuario no asume que los datos, en particular la IP, se conviertan en públicos para el resto de usuarios de internet. En ocasiones el usuario desconoce lo suficiente de la tecnología como para llegar a este punto. No todos los usuarios saben como funcional el protocolo, es más mucha gente que conozco no sabe qué es eso de una IP y sin embargo utiliza internet sin ningún tipo de problemas.

En mi opinión quien erró aquí es la Guardia Civil, que si tiene conocimiento de 1000 archivos ilegales (estos sí) debería dirigirse al juzgado más cercano y señalarselos al juez competente para que sea este quien decrete la vigilancia y rastreo de los mismos.

Permitir la circulación de 1000 archivos durante varios días en una de estas redes, sin notificárselo al juzgado también merece ser estudiado, puesto que identificar uno sólo de estos archivos ya supone que alguien está cometiendo un hecho delictivo, por lo que debería procederse inmediatamente para que el juzgado, con el auxilio de las fuerzas y cuerpos de seguridad del estado, tome las disposiciones oportunas para identificar al responsable.

Una pregunta que no tengo yo tan clara de cómo puedo saber quien se descarga cual archivo.

Sin tener los archivos en mi equipo, ¿puedo saber quienes (desde qué IP) se están descargando o se han descargado ese archivo?

Esto es importante, porque si la información de quienes han descargado la obra se encuentra en el ordenador de quien aloja el archivo, una de dos o la Guardía Civil los tenía en sus servidores o ¿cómo han accedido al log del fichero con las direcciones IP de quienes se han descargado el mismo?

Queda por ver, además, si esta sentencia modifica los criterios de la Agencia Española de Protección de Datos respecto de la dirección IP, considerada como dato personal, en lo que se refiere a la obtención del consentimiento y al principio de información para su tratamiento, habida cuenta que según el TS el usuario consiente en hacer pública la misma, no sólo en el emule

rastreo

El rastreo de usuarios en internet por la policia. Sentencia del TS 236/2008