Español | English
rss facebook linkedin Twitter

Redes P2P, datos personales, ilícitos civiles, delitos y seguridad de la información

En relación con la ya larga polémica sobre si el uso de las redes P2P es un delito o un ilícito civil o ambas cosas a la vez, recientemente recibíamos la noticia de que según el Tribunal de Justicia de las Comunidades Europeas (TJCE) los proveedores de acceso a Internet no tienen la obligación de comunicar los datos personales de sus clientes que les hubieran sido solicitados en sede civil por haber sido identificados como usuarios de redes P2P, y al propósito final de que pudieran serles interpuestas demandas civiles por la infracción de derechos de autor.

Este asunto ha sido tratado en profundidad en el blog de David Maeztu, y es especialmente interesante el debate que se ha generado en sus comentarios. En este documento adjunto hago un análisis de la sentencia y doy mi punto de vista a varias de las cuestiones surgidas en este debate, además de aportar el análisis sobre otros aspectos relevantes al caso como la consideración de las direcciones IP como dato de carácter personal, o sobre la ilicitud y tipicidad del uso de redes P2P.

Esta resolución del TJCE surge de la cuestión prejudicial planteada por el Juzgado de lo Mercantil Nº 5 de Madrid que depuraba el caso que enfrentaba a Promusicae (antes AFYVE) con Telefónica al haberse negado ésta a entregar los datos identificativos de determinados clientes, de los que Promusicae conocía la dirección IP y que compartían música de obras cuyos derechos patrimoniales de autor corresponden a discográficas españolas.

Es evidente que Promusicae hizo en la red KaZaA uso de alguna tecnología para registrar las direcciones IP, de si no todos, al menos algunos de sus usuarios, así como para enviarles mensajes de advertencia a los usuarios españoles de este Red y finalmente para solicitar judicialmente a Telefónica la identificación de aquellos de sus clientes que tienen asignadas direcciones IP dentro del rango del operador y que han sido encontradas haciendo uso de la conocida red P2P.

En este vídeo puede verse cómo de fácil es realizar un escaneo de los usuarios de las redes P2P:



En la sentencia al caso-275/06 el TJCE concluye que "las Directivas 2000/31/CE, 2001/29/CE, 2004/48/CE y 2002/58/CE no obligan a los Estados miembros a imponer, en una situación como la del asunto principal, el deber de comunicar datos personales con objeto de garantizar la protección efectiva de los derechos de autor en el marco de un procedimiento civil". Afirma ello el TJCE sin perjuicio de que también concluya que "la Directiva 2002/58 no excluye la posibilidad de que los Estados miembros impongan el deber de divulgar datos personales en un procedimiento civil" y que "sin embargo, el tenor del artículo 15, apartado 1, de esta Directiva no puede interpretarse en el sentido de que obliga a los Estados miembros a imponer tal deber en las situaciones que enumera".

En la continuación de este post comentaremos las iniciativas legislativas existentes en Francia y Reino Unido en este sentido y sus antecedetes.

Álvaro Del Hoyo
Departamento de Consultoría

2 comentarios:

Anónimo dijo...

Existen dos graves errores de interpretación técnica que están incluso fuera del alcance la LOPD.

Si analizamos la estructura de un metadato P2P, básicamente está compuesto por: 1) DIRECCIÓN IP, 2) HASH de archivo, 3) HASH de usuario y 4) nombre del archivo compartido.

1) Una dirección IP clase A identifica una conexión. Detrás de una IP pública generalmente existe un router, y pueden existir uno o varios dispositivos, uno o varios usuarios, uno o varios clientes P2P, un troyano compartiendo fraudulentamente o un vecino robando la Wifi. LA IP PÚBLICA NO DETERMINA AL INFRACTOR.

2) En estas redes, el HASH de archivo se obtiene de la aplicación de un ALGORITMO DE RESUMEN de contenido a un archivo. Supongamos la red eMule, en la que se utiliza el obsoleto MD4, un altoritmo vulnerable que permite la generación de archivos que produzca un mismo hash y tengan distinto contenido (clones). La principal función de un hash de archivo es verificar que una vez recibido, éste genera el mismo HASH que el publicado por el archivo remoto. Por tanto su principal función no es identificativa (y menos remotamente), sino certificadora del contenido recibido. Insisto, en el caso de la red eMule, incluso ni eso (MD4).

3) El hash de usuario en una instalación eMule (hablo de ella por se la más popular), se genera en el momento de la instalación. Pero sería suficiente copiar la carpeta CONFIG de esa instalación a otro equipo para tener el mismo hash de usuario en dos ordenadores.

4) El nombre del archivo es completamente mudable. Un archivo puede indicar ser caperucita roja y contener el lobo feroz (fake).

En la actualidad, los agentes encargados de las redadas P2P por pornografía infantil en España, utilizan como única prueba para consolidar un indicio racional esa estructura de metadatos, obtenidas con un programa no homologado y sin control judicial.

Con esos indicios técnicos se justifica judicialmente la identificación del titular de la IP (el que paga la factura) y sin mediar ningún tipo de investigación adicional (análisis de las comunicaciones o revisión de wifis abiertas), se justifica judicialmente la orden de entrada y registro.

Indignado
Detenido P2P por la BIT en 2006, ABSUELTO!.

Álvaro Del Hoyo dijo...

Estimado Anónimo o Indignado,

Conozco y he seguido tu caso a través de tu blog del que he podido aprender bastante.

Desgraciadamente no he recibido un mail en el momento en el que hiciste el comentario.

El hecho de que se haya de entender o no que una dirección IP es un dato de carácter personal es un debate, y que la asociación entre una dirección IP y los rastros de actos investigados en un proceso judicial hagan SIEMPRE prueba de la autoría de los mismos es otro debate muy distinto.

El primer debate tiene que ver con la LOPD, efectivamente, y más en concreto en dilucidar si una dirección IP ha de ser considerada o no dato de carácter personal en la medida en que convierta al usuario de un dispositivo informático en identificable o no. Es una interpretación que es necesaria para los responsables de ficheros, encargados de tratamiento que hacen uso de estos tipos de datos, que necesitan conocer si la LOPD es aplicable o no a estos datos. Por cierto, no es el caso de la policía investigando delitos graves por vía de lo que establece el art. 2.2.c LOPD, tomando en cuenta la consideración jurisprudencial extendida del concepto de delito graves, siendo que la pornografía infantil entiendo tiene especial relevancia en la sociedad.

En el debate sobre la asociación de una dirección IP con unos actos investigados en el marco de un proceso penal lo que, gracias a tu caso y otros similares a nivel internacional, ya ha quedado claro que no se trata de un axioma, de una regla matemática, de modo que para probar la autoría de unos actos en Internet o sobre servidores y equipos dentro de una misma red de comunicaciones que pudieran constituir delitos hacen faltan indicios adicionales, otras evidencias que terminen por hacer prueba.

Así se consideró en tu caso y creo ha servido para que se tome buena nota por parte de quienes llevan a cabo investigaciones criminales.

Gracias por tu comentario

Un saludo


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login