La información hackeada no sirve en un tribunal español
Los ataques informáticos efectuados por hackers aparentemente bienintencionados y con propósitos justicieros, o las fugas de datos provocadas por personas que no llegan a este nivel de excelencia en habilidades informáticas, han ido ocupando progresivamente más espacio en los medios de comunicación. Desde Anonymous a los papeles de Panamá, pasando por Snowden y LuxLeaks.
En el hackeo de información tenemos a grandes rasgos dos tipos: quienes lo hacen para obtener un lucro personal o dañar a una persona o colectivo concreto, y quienes pretenden dar a conocer una información cuyos datos pueden servir para sacar a la luz prácticas poco o nada éticas cuando no directamente ilegales.
Esta distinción parece estar bastante marcada en una parte de la jurisprudencia canadiense, según lo relatado por Ruth Promislow y Lauren Shneer en su artículo para JDSupra. Citando algunas referencias de bibliografía especializada en las notas, afirman que un vistazo a la jurisprudencia de este país “sugiere que los tribunales permitirán un uso [de la información hackeada] una vez se haya probado que fue una tercera parte quien provocó esa brecha de datos, y no por una de las partes litigantes”.
Esto, especifican más abajo en su artículo, solo sería aplicable a las causas civiles, pero no a las penales. “Todas las prohibiciones generales de usar o desclasificar datos ‘robados’ surgen en el contexto penal en relación con los datos obtenidos de forma inapropiada por la policía y la protección de la Carta [Canadiense] de Derechos [y Libertades]”.
Ciñéndose a las causas civiles, exponen el siguiente caso: “Un empleado hackeó el servidor de su empleador y robó más de 2.000 archivos en un afán por protegerse a sí mismo de represalias al haber rechazado ser partícipe de una conducta éticamente censurable de dicho empleador. Este empleado entregó los archivos a los demandantes en un pleito civil que se siguió contra el mencionado empleador. El tribunal autorizó a los demandantes usar los archivos robados al establecer que ‘una prueba ilegalmente obtenida no es per se inadmisible en un pleito civil”. Esta no es tampoco, como apuntan las autoras del artículo y se encarga de confirmar el abogado canadiense David Canton en su blog, una tendencia generalizada en la jurisprudencia del país norteamericano.
No es país para ‘robin hoods’ cibernéticos
La pregunta entonces es obligada. ¿La información obtenida mediante hackeo puede tener algún valor probatorio ante un tribunal español? Carlos Sánchez Almeida, de Bufet Almeida, es claro al respecto en su respuesta a eldiario.es: “Salvo que el hackeo haya sido autorizado por un juez, no. Y si ha sido autorizado por un juez, habría mucho que discutir jurídicamente sobre la proporcionalidad de la medida. Es muy posible que se considerase la prueba nula por vulneración de derechos constitucionales”.
El artículo 11 de la Ley Orgánica del Poder Judicial establece en su primer punto que: “En todo tipo de procedimiento se respetarán las reglas de la buena fe. No surtirán efecto las pruebas obtenidas, directa o indirectamente, violentando los derechos o libertades fundamentales”. Por lo que todas las evidencias recogidas y presentadas sin atender a este criterio quedarán invalidadas, es lo que se conoce como la doctrina del fruto del árbol envenenado.
Un funcionario policial con una autorización judicial muy concreta sería por tanto el único que, por decirlo de alguna manera, podría actuar puntualmente como hacker. Así lo establece el artículo 588 septies a Presupuestos, incluido en la reforma de la Ley de Enjuiciamiento Criminal (LECRIM).
Dicho artículo dice en su primer punto: “El juez competente podrá autorizar la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos”.
Claro que esta medida está circunscrita a cuatro supuestos muy específicos: delitos “cometidos en el seno de organizaciones criminales”, “de terrorismo”, aquellos “cometidos contra menores o personas con capacidad modificada jurídicamente”, y “contra la Constitución, de traición y relativos a la defensa nacional”.
Qué recursos le quedan por tanto a alguien que dispone de información obtenida mediante hackeo, donde se puede demostrar ya no la existencia de malas prácticas, sino directamente de actuaciones delictivas. Según Sánchez Almeida, si al hacker se le ocurriera personarse con esos datos en una comisaría “con toda probabilidad sería detenido y puesto a disposición judicial”.
Por tanto, “la única forma segura de proceder es transmitir la información a profesionales que deban guardar secreto profesional, como abogados y periodistas, para que estos estudien la forma de conseguir dicha información por medios lícitos”, y termina respondiendo este abogado que “desgraciadamente no” existen circunstancias atenuantes y mucho menos eximentes para ese hacker que da a conocer información de interés general sobre malas prácticas o actividades ilícitas por parte de una empresa privada u organismo público, ya sea dicho informante miembro de o ajeno a esas entidades que sufren el ataque informático.
“El hackeo está mal en sí mismo, no hay un escenario para Robin Hood aquí”, expone a eldiario.es el jurista especializado en protección de datos Diego Fanjul, de TGF abogados, Y continúa, “siempre que hablamos de un hackeo estamos hablando de algo que implica la violación de una serie de medidas de seguridad y el acceso a una información” que uno no debería tener “independientemente de lo que haya ahí, y de mis intenciones”.
Consecuencias para la entidad cuyos datos se han filtrado
Citando otro caso conocido fuera de nuestras fronteras, en el artículo de JDSupra mencionado un poco más arriba, se manifiesta que en el caso Ashley Madison quienes demandaron a la empresa pretendieron utilizar ante un tribunal los datos obtenidos tras producirse la fuga masiva ya conocida. La empresa demandada, propietaria y gestora de la página, elevó un escrito de petición para que no se tomaran en consideración en el pleito datos obtenidos mediante lo que concebían como un robo. El juez dio la razón a la empresa en contra de quienes la demandaron.
¿Se pueden pedir responsabilidades a la empresa que ha sufrido el ataque informático? Fanjul explica que “hay una serie de medidas específicas que tienen que implantar todas las empresas que tienen datos de carácter personal. Si hay un hackeo, la empresa podría incurrir en responsabilidad por infracción del artículo nueve”.
Se refiere al artículo 9 de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) que en el punto uno reza así: “El responsable del fichero y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los medios a los que están expuestos, ya provengan de la acción humana o del medio físico o natural”.
Fanjul desgrana este texto aclarando que la compañía afectada sí tendría que responder “si se demuestra que el hackeo fue súper sencillo porque no había contraseñas, porque resulta que robaron unas copias de seguridad que estaban guardadas en un sitio donde no se tenían que guardar”. Y al margen de las sanciones por la infracción de este artículo de la LOPD, luego habría que medir “qué consecuencias tiene esa fuga de datos para los usuarios, porque sus derechos no solo consisten en tener acceso a sus datos personales, sino que puede haber una vulneración del derecho a la intimidad, al honor, a la propia imagen, incluso puede haber ilícitos penales”. Y aludiendo a este último aspecto cita precisamente el caso Ashley Madison, “donde hubo gente que hasta se suicidó”.
El autor de la columna que se publica en eldiario.es. Teniente Kaffee, despejaba cualquier duda acerca de si la información de los Papeles de Panamá podría utilizarse como prueba judicial en España si finalmente se había obtenido por el ataque de un hacker desde el exterior: no se podría.
Alguna ligera posibilidad habría si, como aseguró en su día Marcos García Rey del Consorcio Internacional de Periodistas de Investigación, se tratara de una filtración y no de un ataque informático, y además esta filtración viniera desde la propia empresa. Teniente Kaffee da a entender que sería ligera porque mientras el confidente que lo filtró podría alegar su deber de informar en caso de que se estuviera cometiendo un presunto delito de blanqueo de capitales en algún caso, Mosack Fonseca siempre podría reclamar por un delito de violación de secretos empresariales.
Ahora bien, el bufete panameño podría tener que afrontar también consecuencias legales, ya que “si yo soy uno de los afectados puedo denunciar al despacho, puedo echarle encima a la Agencia de Protección de Datos por vulneración del artículo nueve y diez [de la LOPD] que es el de revelación de secretos. Y luego si además se me ha causado un perjuicio que puedo cuantificar económicamente, incluso podría reclamarles”, ejemplifica Fanjul.
Finalmente, hay que destacar que todas estas precauciones y regulaciones de las empresas privadas en materia de protección de datos ante un posible hackeo no son aplicables a la Administración pública, el abogado Fanjul es rotundo al respecto: “No existe un régimen sancionador para las administraciones. Hay una amonestación, se les dice lo que tienen que hacer bien, pero no se multa. […] Yo no sé si tiene sentido multar a una administración pública, pero el caso es que esto es así”.
