Valor probatorio de la IP

Carácter de dato personal y valor probatorio de la IP

Tribuna Madrid

Alejandra T. N. trabajaba en el Dpto. de Comunicación de la empresa X y fue despedida el pasado viernes. Días después, el domingo, a media mañana se publica en el Facebook de la empresa unos insultos y comentarios vejatorios gravísimos contra algunos directivos de la empresa, entre ellos el responsable del Dpto. de Comunicación. Ese contenido viene con la firma Alejandra T. N.

Debido a la gravedad de las ofensas publicadas la empresa decide emprender acciones legales contra Alejandra T. N. si bien Alejandra se pronuncia manifestando que ella no tiene nada que ver y que a pesar de lo injusto del despido, jamás obraría así a pesar del mal ambiente que existía entre los compañeros del Dpto. y del resto de la empresa. El abogado defensor de Alejandra decide contratar los servicios de un perito informático para demostrar la inocencia de su defendida.

¿Cómo debe proceder Alejandra?

Alejandra debería incorporar a su equipo de defensa, desde el primer momento, la figura de un perito informático. El perito le ayudará a defenderse de la mejor forma posible, dado que en un caso como este, la mayoría de las pruebas tendrán una importante componente informática, y será de suma importancia que dichas pruebas sean analizadas de forma conveniente por un profesional titulado. El perito informático analizará las pruebas existentes y colaborará con el abogado para la solicitud de nuevas actuaciones que ayuden a probar la inocencia de Alejandra en este caso.

Finalmente, si fuera necesario, el perito informático redactará un informe pericial y será citado para el juicio, en el que ratificará su informe y será sometido a las preguntas de las partes.

¿Qué debe hacer el perito tecnológico para esclarecer el caso?

Para resolver este caso, el perito informático se encuentra con 2 opciones: La primera sería demostrar que fue otra persona quién hizo dichas publicaciones. Si esto no fuera posible, la segunda opción sería demostrar que existe la posibilidad de que no fuera Alejandra quién hiciera estas publicaciones, para generar así una duda razonable.

Entrando en el fondo de este asunto, dado que las publicaciones en Facebook se han realizado en la página de la empresa, muy probablemente la única prueba que la empresa tenga inicialmente en contra de Alejandra es que los mensajes aparecen firmados con su nombre (junto con la coincidencia temporal del despido de Alejandra).

Ante esta situación, el perito planteará inicialmente las siguientes preguntas: ¿Alejandra tenía las claves de acceso al Facebook de la empresa? ¿Hay más personas que tuvieran esas claves? Para este caso práctico, supongamos que la respuesta a ambas preguntas es que SI.

¿Qué relación y cuál es el procedimiento o protocolo de actuación con el que debe proceder el perito en relación con el abogado que lleva la defensa de Alejandra?

El perito no tiene la capacidad de solicitar al juzgado la realización de actuaciones por sí mismo. Por eso es tan importante la colaboración perito-abogado desde el primer momento, porque el abogado sí que podrá solicitar dichas actuaciones.

En el caso de Alejandra, sabemos que hay varias personas que tenían acceso a las claves del Facebook, por lo que el siguiente paso sería solicitar al juzgado que libere un oficio a Facebook para que se identifique la dirección IP y la cuenta de usuario de Facebook desde la que se hicieron las publicaciones objeto de la denuncia.

La vinculación o no de Alejandra con la dirección IP desde la que se realizaron las publicaciones resultará un elemento clave para este procedimiento.

El perito informático ayudará al abogado a realizar esta solicitud dada la relevancia de esta prueba para el caso.

¿Si se demuestra que para la publicación de los comentarios vía Facebook el autor o autora se sirvió de la wifi pública y abierta de un famoso centro comercial de la ciudad, cómo debe proceder el perito?

Si no ha pasado demasiado tiempo desde la respuesta de Facebook identificando la IP del centro comercial, sería posible solicitar al centro comercial que envíe los registros del router wifi de la fecha y hora de la publicación, con el objetivo de identificar la dirección MAC del dispositivo desde el que se realizaron las publicaciones.

Pero en la mayoría de los casos esto no es posible, por tanto el perito deberá centrarse en averiguar si es posible situar a Alejandra (o a alguna de las otras personas con acceso a la página de Facebook de la empresa) en ese centro comercial a la fecha y hora de la publicación.

Esto podría acreditarse mediante algún testigo pero a día de hoy, los dispositivos tecnológicos que todos llevamos encima (móviles, relojes inteligentes, etc…), también podrían ser analizados por el perito, para encontrar evidencias de dónde se encontraba Alejandra en ese momento.

Y cuando ella además alega que durante toda la mañana del domingo estuvo haciendo ciclismo abierto fuera de la ciudad llevando su smartphone para registrar la ruta en la aplicación GPS que habitualmente utiliza cuando hace deporte, ¿cómo puede hacer valer el perito esta coartada?

De ser así, el perito podrá analizar el smartphone de Alejandra extrayendo la información almacenada en el mismo, centrándose en las coordenadas GPS almacenadas en el teléfono a la fecha y hora de la publicación de los mensajes de Facebook.

El perito deberá realizar un informe explicando la metodología de extracción de la información y de análisis de la información, para llegar finalmente a la conclusión de que Alejandra no estaba en el centro comercial desde el que se realizó la publicación en el Facebook de la empresa a la fecha y hora exactas de dicha publicación, por lo que sería imposible que Alejandra fuera quién realizó esta publicación.

Adicionalmente, el perito puede recomendar al abogado que solicite al juzgado que la compañía telefónica de Alejandra aporte información sobre la ubicación de este teléfono a través las antenas de telefonía, que deberían corroborar la información extraída del GPS del Smartphone de Alejandra.

¿Qué es una IP y cuál es el valor o reconocimiento legal que tiene?

La dirección IP es un número que identifica de manera lógica y jerárquica la interfaz de red de cada dispositivo conectado a internet.

Cuando nos conectamos a internet, ya sea desde un ordenador, tableta o smartphone, tenemos asignada una dirección IP. Por eso resulta un dato muy importante en cualquier investigación sobre delitos informáticos averiguar cuál es la dirección IP desde la que se pudo cometer el hecho delictivo.

Sin embargo, la dirección IP, por si sola, no es suficiente técnicamente para identificar a la persona que supuestamente ha cometido el delito, porque la IP identifica un dispositivo (no a una persona concreta). Será necesario demostrar quién era la persona que usaba dicho dispositivo.

Además, en muchos casos una misma IP puede ser utilizada por varias personas. Por ejemplo, si nos conectamos desde una red wifi pública, como en el caso de Alejandra, todos los dispositivos conectados comparten la misma IP, por lo que no se puede determinar qué persona fue la que cometió el delito y serán necesarias pruebas adicionales.

¿Existe jurisprudencia que reconozca la IP como dato personal?

Si bien, como hemos comentado anteriormente, la dirección IP, sin medios adicionales que nos permitan vincularla con una persona física, no nos sirve como prueba de cargo para la comisión de un delito (y así es reconocido en múltiples sentencias), las autoridades españolas y europeas consideran la dirección IP como un dato personal, lo cual no deja de suponer una contradicción técnico-jurídica.

En España, el pronunciamiento más cualificado en torno a esta cuestión lo ha realizado la Sala de lo Contencioso del Tribunal Supremo quién, en su Sentencia de 3 de octubre de 2014 (FJ 4) establece, sin dejar lugar a dudas, que la IP debe ser considerada como dato personal.

Su criterio se basa en la “posibilidad” de la identificación de la persona que está detrás de la dirección IP, ya sea por medios directos o indirectos. Y si bien es cierto que en algunos casos es “posible”, no lo es en todos los casos, y esto es algo que debemos siempre tener presente.

¿En qué situación queda la IP con el RGPD?

La Agencia Española de Protección de Datos, en su Informe 327/2003 ya se pronunció hace tiempo a favor de que la IP sea considerada dato personal. De nuevo el criterio aplicado es que la persona es “identificable” mediante la utilización de medios razonables.

Por tanto, desde el punto de vista de la AGPD la IP debe considerarse como un dato personal, y por tanto, debe estar sujeto a la protección debida, ampliada recientemente desde la entrada en vigor del RGPD.

Trascendencia jurídica de la IP como dato personal y su carácter probatorio

El caso de Alejandra nos plantea dos cuestiones distintas y diferenciadas en relación a la dirección IP.

En primer lugar, toda la jurisprudencia existente nos indica que la dirección IP debe ser considerada como un dato personal, dado que a partir de la dirección IP, existe la posibilidad “con medios razonables” de poder identificar a la persona que estaba detrás de dicha dirección IP en un determinado instante.

En el caso de que seamos una empresa o autónomo, estamos sujetos a cumplir el RGPD en lo que a la protección de los datos personales se refiere, y la dirección IP (junto con el nombre, dirección, etc…) formará parte de los datos que debemos proteger.

La dirección IP es habitualmente almacenada por prestadores de servicios online, tanto por grandes empresas, que cuentan con plataformas o aplicaciones web complejas, como sería el caso de Facebook, como por pequeñas empresas que simplemente cuentan con una página web, pero que cuentan con algún tipo de sistema de estadísticas (Google Analytics sería el más conocido) que registra la IP del visitante de la web.

No es objeto de este caso práctico entrar a detallar todas las medidas requeridas por el RGPD, pero quede como conclusión que debe tenerse en cuenta que cualquier sistema que almacene direcciones IP, debe estar recogido y protegido por las medidas de cumplimiento del RGPD aplicadas por el proveedor del servicio.

En segundo lugar, este caso nos plantea el valor probatorio de la dirección IP, como prueba que permite identificar a la persona que está detrás de la comisión de un delito realizado a través de internet.

Como ya hemos comentado anteriormente, la persona que está detrás de una dirección IP podría ser identificada a partir de la misma, pero esto no es así en todos los casos.

Como casos extremos, por un lado tenemos el caso que se nos plantea en el supuesto, en el que el delito fue cometido desde una dirección IP asociada a una conexión wifi pública, a la que tienen acceso los cientos o miles de personas que podían estar en ese mismo instante en el citado centro comercial. Lógicamente, todas estas personas no tienen las claves del Facebook en el que se publicaron los insultos y vejaciones, pero se abre la posibilidad de que alguna persona distinta de Alejandra (y con acceso al Facebook) fuera la que realizó la citada publicación.

En el lado contrario tendríamos el caso en el que la dirección IP desde la que se cometió el delito resultara estar asociada a un smartphone, o a un domicilio particular en el que vive una única persona. En estos casos, los indicios apuntarían claramente a que el delito fue cometido por el dueño del smartphone o por la persona que vive en el citado domicilio. En algunos casos, la investigación de las fuerzas y cuerpos de seguridad del estado concluye con un registro del domicilio (con la incautación de los dispositivos existentes en el mismo) o con una incautación del smarphone del sospechoso. Estos dispositivos, una vez analizados, pueden contener pruebas “de cargo” contra el sospechoso.

Conclusión

Las cuestiones informáticas son complejas, y no hay pautas generales aplicables en todos los casos. La dirección IP, aun siendo considerada como dato personal, no siempre sirve para identificar a la persona que está detrás de ella.

En el caso de Alejandra, el perito informático pudo demostrar con el análisis de su smartphone que ella no se encontraba en el centro comercial desde el que se realizó la publicación a la fecha y hora de realización de la misma, lo cual resultó una coartada suficiente para considerarla “no culpable” de la publicación de los insultos y vejaciones.

Pero esto no hubiera sido posible si Alejandra y su abogado no hubieran contado desde el primer momento con el asesoramiento del perito informático, que les ayudó a la hora de solicitar al juzgado aquellas actuaciones necesarias para probar su inocencia, y que igualmente les ayudó a interpretar las pruebas existentes en su contra.

La conclusión principal de este caso sería que en muchas ocasiones, el contar con un perito informático que colabore con los abogados en casos con una importante componente técnica, puede suponer la diferencia entre poder demostrar o no la inocencia o culpabilidad del acusado.