Dirección IP y prueba electrónica

En relación con el valor probatorio que pueda tener  una dirección IP, presenta gran interés lo que ha dicho el Tribunal Supremo en su sentencia nº 987/2012, de 3 de diciembre (Recurso de Casación nº 2429/2011; Ponente: Luciano Valero Castro).

El caso resuelto trae causa de un  Procedimiento Abreviado, el  nº 103/2010 del Juzgado de Instrucción nº 4 de San Sebastián, por un delito continuado de estafa en su modalidad de manipulación informática y un delito de receptación, en su modalidad de blanqueo de capitales.

Los hechos que se consideraron probados en su momento son, en resumen, éstos:

Una persona X se conecta a internet desde su casa, con la dirección IP “01”, y accede a la banca online de Y, tras haber conseguido sus claves de forma fraudulenta. Realiza una transferencia de la cuenta de Y a otra cuenta propia (de X) de Banesto por importe de 3.363,43 euros.

La Audiencia Provincial acabó condenando a X por delito de estafa informática.

Recurre X la Sentencia, argumentando que la prueba pericial por la que se identificó su IP y se “rastreó “ su actividad, no es suficiente para desvirtuar la presunción de inocencia que le ampara. Exactamente dice que la prueba fue poco concluyente y equívoca.

Como es obvio, la Audiencia Provincial se basó en el informe pericial sobre la cuestión de la IP, entendiendo que en dicho informe se acredita que  la orden telemática dirigida a la entidad bancaria se emitió utilizando una IP que había sido adjudicada a un equipo terminal que usaba una línea telefónica de la que era titular X.

No obstante, la cuestión es que la mera asignación de IP a un equipo, no es suficiente para acreditar la autoría del hecho y se plantea de la posibilidad de que el equipo de X hubiera sido objeto de una “invasión” por un tercero.

En vista de la falta de otras pruebas concluyentes, el Tribunal Supremo decide casar la sentencia y declara que:

Se acepta la declaración de hechos probados de la recurrida con la salvedad de no constar acreditado que el acusado D. Arcadio (llamado aquí por mí X) fuera la persona que operó desde su PC para la emisión de las órdenes de transferencia, ni siquiera que el mismo había sido utilizado a tal efecto.

Y en consecuencia, el Tribunal Supremo absuelve del delito de estafa informática.

Sentencia, por tanto, muy interesante a tener en cuenta a la hora de obtener pruebas electrónicas y emitir informes periciales sobre las mismas.

Y sobre todo, que te quede claro que la dirección IP sin más, no es prueba de la autoría de un hecho, ni siquiera cuando se asocia claramente a un equipo informático.

Transferencias internacionales de datos

Para la normativa sobre protección de datos, se ha de entender como transferencia internacional el Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.

Así lo define el artículo 5.1.s) RD 1720/2007, de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 5/1999, de 13 de diciembre, de Protección de datos de carácter personal.

El uso cada vez más extendido de la “nube” por parte de las empresas para almacenar datos de carácter personal relativos a sus negocios (clientes, trabajadores, facturación, etc…) hace que sea muy frecuente esta transferencia internacional de datos, porque los servidores donde se almacena la información se encuentran ubicados físicamente en otros países.

No hay mayor complicación si la transferencia se produce entre Estados del Espacio Económico Europeo y Unión Europea. Pero si nos vamos a países como China, Estados Unidos, países sudamericanos, etc… la cuestión empieza a cambiar.

El artículo 33 LOPD sienta una norma general, que establece que no se podrán hacer transferencias de datos personales hacia países que no proporcionen un nivel de protección equiparable al que ofrece la LOPD, salvo que se obtenga autorización previa del Director de la Agencia Española de Protección de Datos. Por tanto, la Agencia estudiará cada supuesto y valorará las garantías que el país ofrece y resolverá otorgar o no la autorización.

Obviamente esto significa iniciar un proceso dirigido a la AEPD, tener que esperar la resolución de la misma y arriesgarse a recibir una negativa, lo que puede suponer un gran problema para algunas empresas.

En este punto, es importante, tener en cuenta que esta norma general del artículo 33 LOPD está excepcionada por un largo listado de supuestos que se recogen en el artículo 34, por lo que antes de iniciar un proceso de solicitud de autorización procede examinarlos y analizar si nos encontramos dentro de alguno de ellos.

En mi opinión, especial atención merecen los apartados  e), f) y g) del referido artículo 34, por ser supuestos muy habituales en la práctica, y que establecen que el artículo 33 no será aplicable en estos casos:

e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.

g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

Habrá muchas veces en que la transferencia sea necesaria para cumplir obligaciones contractuales (supuesto de la letra f), y muchas más en las que sencillamente se pueda recabar un consentimiento del afectado para la transferencia.

De este modo, no sería necesario pedir autorización a la AEPD.

Camaras de videovigilancia falsas

No dejan de sorprenderme algunas de las resoluciones de la Agencia Española de Protección de Datos.

Por ejemplo, la nº 2155 del año 2012, dictada en el procedimiento sancionador nº 139 también del año 2012.

En ella, se ha impuesto una multa de 1.500 euros a un particular por tener cámaras de videovigilancia ficticias en su vivienda, dirigidas hacia la vía pública Es decir: cámaras que no estaban en funcionamiento, ni por tanto grababan imágenes ni recogían ningún tipo de dato de carácter personal.

¿Cómo puede la AEPD entrar a sancionar un hecho en el que no se ha producido tratamiento de datos personales en ninguna de sus modalidades?

Un disparate jurídico, en mi opinión.

Con anterioridad al procedimiento sancionador referido, hubo otro de apercibimiento (nº 136/2011), donde la misma persona fue requerida para que retirara las cámaras, cosa que no hizo y razón por la que finamente es multado.

Pero la cuestión es que a lo largo de los dos procedimientos citados, quedó probado que las cámaras eran ficticias y ni siquiera se hizo ningún tipo de comprobación in situ por parte de la AEPD para corroborar esta realidad.

Parece olvidar la AEPD que el artículo 2.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal  establece que:

La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Puedes leer la resolución sancionadora y la del expediente de apercibimiento previo aquí:

http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2012/common/pdfs/PS-00139-2012_Resolucion-de-fecha-10-10-2012_Art-ii-culo-6.1-LOPD.pdf

http://www.agpd.es/portalwebAGPD/resoluciones/procedimiento_apercibimiento/procedimiento_apercibimiento_2011/common/pdfs/A-00136-2011_Resolucion-de-fecha-17-05-2011_Art-ii-culo-6-LOPD.pdf