5 sept. 2013

De terminales y Derechos

Hace tiempo que tenía en mente una entrada sobre esta cuestión, por ello, quiero hacer especial mención a Gontzal Gallo, ya que era una entrada que se quería plantear desde dos puntos de vista, el suyo y el mío.

No obstante, por mi parte, aquí lanzo mis conclusiones, sobre el uso de programas o aplicaciones para "Smart Phone" desde un punto de vista de protección y control de nuestro dispositivo. Estas aplicaciones, actúan como un "troyano, El término troyano proviene de la historia del caballo de Troya mencionado en la Odisea de Homero. En el entorno informático, un troyano es en principio, un tipo de software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo pero al ejecutarlo le brinda a un atacante acceso remoto al equipo infectado. Es en este último punto donde podemos nosotros mismos desde nuestro PC controlar nuestro dispositivo, dependiendo de la aplicación instalada, podremos enviar distintas ordenes a ejecutar por parte de nuestro dispositivo, tales como sacar fotografías, grabar vídeos, localización exacta vía GPS, realizar copias de seguridad, eliminar archivos etc. Este tipo de aplicaciones, resultan de gran utilidad en el caso de sustracción o perdida del dispositivo. En mi caso en concreto, hace tiempo que aposté por Cerberus para Android, pero existen muchas aplicaciones de este tipo y además muchas de ellas gratuitas.

En este sentido, quisiera destacar un tipo de conflicto de derechos que pudieran generarse en el uso de las citadas aplicaciones de seguridad, también denominadas como aplicaciones espía que a los efectos actúan como ya he comentado anteriormente como los conocidos Troyanos. En la actualidad incluso se plantea el posible uso de este tipo de herramientas por parte de las fuerzas de seguridad del Estado con el objetivo de investigar a sospechosos, por medio de este tipo de herramientas, para la obtención de pruebas de cara a una posterior imputación, no obstante a día de hoy se encuentra en debate parlamentario por lo que la utilización de este tipo de herramientas sin autorización judicial en principio es ilegal. Dejando a un lado este supuesto hipotético del cual realizaremos una entrada en mayor profundidad, la cuestión que nos ocupa, es si es lícito o no el uso de aplicaciones móviles por ejemplo en el dispositivo que es propiedad del propio usuario y por tanto en principio es el legitimo tenedor de la cosa mueble, a la cual podrá dotar de cuantos accesorios quiera siempre que no se límite por Ley.

Como decía anteriormente, este supuesto planteado, sobre este tipo de aplicación espía, serviría para en caso de extravío del Terminal, por medio de la activación del GPS (sistema de posicionamiento global) del Terminal desde un ordenador por medio a su vez de la ejecución de determinados comandos vía remoto, la ubicación del terminal en todo momento y con bastante precisión. En este sentido, la licitud o ilicitud sobre este tipo de aplicaciones radica en si se pudieran vulnerar derechos de terceros como por ejemplo al activar capturas de vídeo o de audio para conocer al poseedor del Terminal sustraído o extraviado, ya que ello pudiera vulnerar su derecho a la intimidad, dado que no debemos olvidar que el derecho a la intimidad y a la protección de datos de carácter personal se trata de un derecho fundamental el cual en este supuesto, se encontraría en ponderación con el derecho a la propiedad privada y su uso y disfrute regulado en el Código Civil Español.

Dicho lo cual y dado que actualmente no se ha producido ninguna reclamación ni proceso judicial en esta materia, en mi opinión se debería de algún modo informar previamente al usuario no propietario de la posible captura de material audio-visual y demás información desde el propio dispositivo. Otra posible interpretación es que en el caso de determinadas herramientas Cloud, las cuales no son herramientas propiamente de seguridad, ni aplicaciones espía o troyanos, tales como pueden ser Google Drive, Dropbox, Sky Drive o Ubuntu one, y que pudieran encontrase activas y vinculadas a cuentas en la nube del propietario del terminal, las cuales enviarían el material capturado por el propio presunto poseedor ilegítimo del terminal a las cuentas titularidad del legítimo propietario del terminal, facilitando la posible recuperación del mismo por su legítimo propietario. Supuesto en el que en mi opinión sin ningún genero de dudas no habría conflicto de derecho alguno y sería plenamente legal, no así en el anterior supuesto, ya que a día de hoy no se ha regulado ni existen al menos a mi entender y conocimiento una resolución o informe en contrario.

Por otro lado, ante la generalización del empleo de aplicaciones en dispositivos móviles, que implican el tratamiento no sólo de una gran cantidad de datos personales sino también de gran cantidad de información desde el punto de vista de las entidades. Dispone de gran relevancia,  el llamado Grupo de trabajo europeo sobre protección de datos del artículo 29, Article 29 Data Protection Working Party (órgano asesor independiente formado básicamente por las autoridades nacionales en la materia, el cual a su vez está siendo el encargado del futuro Reglamento de protección de Datos de la UE) de su Dictamen 2/2013, titulado en su versión en inglés (la única de momento disponible) “Opinion 02/2013 on apps on smart devices”. 

El documento proporciona un valioso análisis de los elevados riesgos en materia de protección de datos, dada la cantidad de creadores de aplicaciones (con gran frecuencia particulares o entidades de reducido tamaño carentes de conocimientos acerca de la legislación en materia de protección de datos), los fabricantes de los dispositivos móviles y sus sistemas operativos, las tiendas que comercializan aplicaciones (App Store, Google Play) y ciertos terceros, como las redes publicitarias.

Así mismo, se abordan en el dictamen, cuestiones como aquellos referentes a la ley aplicable, en concreto, en lo que al ámbito de la legislación europea se refiere. Para ello hace mención de la vigente Directiva 95/46/CE y a nivel nacional a su artículo 4 (Art. 2 LOPD 15/1999).

Para más información respecto al dictamen, del denominado GRUPO 29, recomiendo la lectura del mismo, “Opinion 02/2013 on apps on smart devices” o en su defecto el completísimo análisis realizado por parte de Pedro A. de Miguel Asensio, Catedrático de Derecho internacional privado de la Universidad Complutense de Madrid en su blog.

Actualización1: Gracias a Eduard Blasi (@eduardblasi), he sabido vía Twitter que el dictamen se encuentra ya en castellano, "Dictamen 02/2013 sobre las aplicaciones de los dispositivos inteligentes".

 Actualización2: Zapa Zaparl ha escrito en su blog el siguiente artículo que creo que es una buena combinación de este que escribí yo hace algún tiempo, por lo que me ha parecido buena idea vincularlo :) "Cómo recuperar tu Móvil robado con Cerberus" (basado en un caso real)