29 de Gener de 2017
Absolució d'un empleat d'un delicte continuat de descobriment i revelació de secrets a causa de mesures de seguretat deficients...
Sentencia Jutjat Penal de Barcelona de 30 juny 2016
La sentència 232/2016 de 30 de juny, del Jutjat penal nº 6 de Barcelona, jutja els següents fets:
Es reenviar un e-mail amb dades laborals i salarials de la plantilla de Corporació Catalana de Mitjans Audiovisuals (CCMA), a 80 bústies de correu de Outlook de la llista global d'adreces dels treballadors de la CCMA, en la qual l'acusat treballava com a informàtic. El correu electrònic reenviat contenia tres fulles Excel i havia estat remès per Recursos Humans al President del Consell de Govern de la CCMA. El correu contenia les dades de nom, DNI, salari, categoria i indemnització que rebria en cas de possible ERE i sou retallat.
Aquesta reexpedició es va realitzar usant la xarxa TOR (no identifica la IP) i la Web Proxy anònimes (ofereixen serveis de navegació anònima al no quedar registrada la IP real en el servidor del servei de destinació.
També va quedar provat l'accés il·lícit per persona desconeguda a quatre bústies de correu (President del Consell de Govern de la CCMA, Cap del departament d'explotació, CEI-Unitats Mòbils, Director de Tv3 i el corresponent a l'acusat) a través de la xarxa TOR i des de la Web Proxy estrangers. L'accés des de TOR es va realitzar des de fora de les instal·lacions de la CCMA i l'accés des de l'interior de les instal·lacions es va realitzar utilitzant Web Proxy estrangers. Simplement es va accedir a les esmentades bústies i no es van realitzar un altre tipus d'accions com esborrar, reexpedir o respondre, excepte la reexpedició comentada anteriorment.
Després de la pràctica de la prova realitzada tant en els equips de CCMA com all domicili de l'acusat es constata que:
• Encara que l'acusat tingui en un ordinador personal trobat en el registre del seu domicili instal·lat TOR, no queda acreditat que estigués instal·lat en les dates en les quals es van cometre els fets. La pericial de la defensa introdueix dubtes no aclarits per les pericials de les acusacions. En concret es va afirmar que el programari oposat en l'equip del domicili de l'acusat no va poder utilitzar-se per obtenir les contrasenyes dels comptes d'usuari vulnerades i que no posseeix el sistema operatiu del que parteixen les connexions TOR.
• Els fets es van desenvolupar en el departament de Post Producció. L'accés al mateix es produïa mitjançant targeta. El primer que arribava obria i a partir d'aquest moment l'accés era lliure. En aquestes dates treballaven 8-9 persones en torns.
• En la data dels fets no existien en els ordinadors controls per instal·lar programes informàtics en els ordinadors. Els informàtics no havien de demanar permís per fer-ho. Després dels fets es van prendre mesures i es van canviar passwords.
• En la data dels fets, al contrari que la resta d'equips corporatius, l'accés a equips del departament de Post Producció no requeria la introducció d'usuari i contrasenya. L'acusat va declarar que es deixaven oberts per poder treballar en ells a qualsevol moment i les contrasenyes eren compartides i tots tenien coneixement de les mateixes.
• En els ordinadors corporatius encara que l'accés requeria usuari i contrasenya, era relativament fàcil usar-los sense necessitat d'introduir les claus, ja que el temps establert per al bloqueig de sessió per inactivitat era elevat.
• Des dels ordinadors de Post Producció no pot accedir-se sense contrasenya als equips corporatius, però sí que pot accedir-se mitjançant Internet als comptes de correu electrònic corporatiu introduint la contrasenya.
• Un dels testimonis va declarar que recentment s'havia detectat que es podia accedir a contrasenyes no encriptades.
• La recerca dels Mossos d´Esquadra relaciona a l'acusat amb els fets mitjançant indicis. No van veure continguts sinó l'activitat realitzada. Van comprovar que les màquines estaven connectades a postproducció i que els registres de l'equip informàtic coincidien amb les hores i dates en les quals treballava l'acusat, i a més no coincidien amb les d'un altre treballador. També van fundar les seves sospites en el fet que tingués instal·lat TOR en un equip personal trobat al seu domicili.
Tenint en compte com afirma la sentència, que el delicte de descobriment i revelació de secrets és un delicte de naturalesa tendencial, que requereix l'existència d'una acció dolosa tendent a conèixer els secrets o vulnerar la intimitat d'un altre:
“Aquest delicte es configura sobre l'acció d'adquirir de forma il·lícita una informació reservada amb la finalitat de perjudicar al seu titular. Aquesta informació ha de ser aconseguida al marge de lleres lícites, casuals o derivats d'una relació o situació normal ( STS de 10 de desembre de 2010 ), en perjudici del seu titular ( STS de 30 de desembre de 2009 ), sense autorització o de forma aliena a vies normals o socialment acceptades ( STS de 27 de maig de 2008 ), aconseguida en ús d'un dol específic finalista de descobrir i vulnerar l'esfera d'intimitat o comunament acceptada com reservada del coneixement comú ( STS de 21 de març de 2007 ) i a través del trencament d'un sistema de custòdia o comunicació l'ocupació de la qual estigui directament connectat amb aquest àmbit de privadesa ( STS de 19 de juny de 2006 )”.
I unit a l'anterior, que l'acusació es base en prova indiciària, i perquè la mateixa pugui ser tinguda en compte per condemnar a un acusat, ha de complir amb uns requisits regulats, entre altres, en la sentència de la Sala 2ª del Tribunal Suprem de data 28/9/2010, ROJ 4840/2010:
“a) Els indicis es basin en fets plenament provats i no en meres sospites, rumors o conjectures.
b) Que els fets constitutius del delicte o la participació de l'acusat en el mateix, es dedueixin dels indicis a través d'un procés mental raonat i d'acord amb les regles del criteri humà, detallat en la sentència condemnatòria”.
Porten al jutjador a absoldre a l'acusat.
Arribats a aquest punt hem d'indicar que l'existència de mesures de seguretat deficients no només va ocasionar que l'acusat fos absolt o que s'hagués pogut descobrir qui era el responsable real dels fets, sinó que a més podia haver ocasionat greus perjudicis a la CCMA, des del punt de vista de la normativa vigent de protecció de dades, al no tenir implantades algunes de les mesures de seguretat regulades en el Títol VIII del Reial decret 1720/2007 de 21 de desembre, pel qual s'aprova del Reglament de desenvolupament de la Llei Orgànica 15/1999 de 13 de desembre, de protecció de dades de caràcter personal.
En concret, aquests serien els preceptes vulnerats:
- Art 85: (possibilitat d'accedir al correu via Internet) Les mesures de seguretat exigibles en els accessos a dades a través de xarxes de comunicacions han de ser idèntiques a les implantades per a treballar en manera local. Aquesta mesura no consta en els fets provats.
- Art 86: (possibilitat d'accedir al correu via Internet) el tractament de dades fora dels locals del responsable del fitxer o la sortida de portàtils requereix autorització prèvia d'aquest, prèvia implantació de les mesures de seguretat exigibles. Aquesta mesura no consta en els fets provats.
- Art 87: (en relació amb l'Excel), els fitxers temporals o còpies de treball de documents hauran de complir amb les mesures de seguretat exigibles. Aquesta mesura no consta en els fets provats.
- Art 89: (en relació amb els privilegis dels informàtics), les obligacions i funcions de cada usuari en relació amb l'accés a dades personals i a sistemes d'informació han d'estar clarament definides i documentades. S'han d'adoptar mesures per assegurar-se que aquestes funcions i obligacions de seguretat són conegudes. És més, és molt habitual utilitzar aquests documents per regular l'ús de mitjos TIC, establint els oportuns permisos, advertiments o prohibicions en relació, entre uns altres, a l'ús personal del correu electrònic, a tenor de les sentències del Tribunal Suprem de 26 de setembre de 2007 i de 6 d'octubre de 2011. En el present procediment queda provat que no s'havia regulat ni prohibit l'ús personal del correu electrònic.
- Art 90: (en relació amb l'accés des de l'exterior), no consta en el procediment l'existència d'un registre d'incidències de dades personals en el qual consti tipus d'incidència, moment en què s'ha produït o detectat, persona que realitza la notificació, a qui se li comunica, efectes que es deriven de la mateixa i mesures correctores aplicades.
- Art 91: (en relació amb els privilegis dels informàtics), els usuaris únicament poden tenir accés a aquells recursos que precisin per al desenvolupament de les seves funcions i s'establiran mecanismes per evitar que un usuari pugui accedir a recursos amb drets diferents dels autoritzats.
- Art 93: (en relació amb l'accés als equips de postproducció), s'han d'adoptar mesures que garanteixin la correcta identificació i autenticació dels usuaris de forma inequívoca i personalitzada. Queda provat que l'accés a aquests equips és lliure i que en els ordinadors corporatius el bloqueig de sessió per inactivitat era molt elevat.
- Art 93: (en relació amb les contrasenyes d'accés vigents). Ha d'existir un procediment d'assignació, distribució i emmagatzematge que garanteixi la seva confidencialitat i integritat, s'han de canviar periòdicament, almenys una vegada a l'any i si s'emmagatzemen les vigents, haurà de fer-se de manera inintel·ligible. En aquest apartat hem de recordar que en el procediment no consta el canvi periòdic i s'esmenta l'accés a contrasenyes no encriptades.
Per la seva banda, el Reglament 2016/679 general de protecció de dades (RGPDUE), en vigor des del 25 de maig de 2016 i que entrarà en aplicació el 25 de maig de 2018, introdueix un enfocament basat en el risc.
La seguretat també queda inclosa en aquest enfocament, tal com es desprèn de l'article 32: “tenint en compte l'estat de la tècnica, els costos d'aplicació, i la naturalesa, l'abast, el context i les finalitats del tractament, així com riscos de probabilitat i gravetat variables per als drets i llibertats de les persones físiques, el responsable i l'encarregat del tractament aplicaran mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc…”. És per això que no sent aplicables les mesures de seguretat de nivell bàsic, que és el que aplica a l'Excel reenviat, esmentarem algunes mesures de seguretat del RD 1720/2007 que en aquest cas, d'haver estat implantades, haurien minimitzat o eliminat els riscos:
- Art 98: (en relació amb l'accés a les bústies de correu electrònic), obligació d'implantar mecanismes que limitin la possibilitat d'intentar reiteradament l'accés no autoritzat.
- Art 99: (en relació amb l'accés al departament de postproducció) solament el personal autoritzat pot accedir als locals on es troben situats els equips que manegen la informació.
- Art 103: (en relació amb l'accés a les contrasenyes vigents de correu electrònic), registrar cada intent d'accés guardant com a mínim durant dos anys la identificació de l'usuari, la data i hora en què es va realitzar, el fitxer accedit, el tipus d'accés i si ha estat autoritzat o denegat.
- Art 104: (en relació amb l'Excel reenviat), àdhuc tractant-se d'un correu de caràcter intern, la previsió de xifrat en les transmissions de dades en xarxes públiques, sens dubte hagués impossibilitat l'accés al contingut de l'Excel.
Finalment després de la reforma del Codi Penal de 2015, a causa del caràcter públic de la CCMA, en el cas que per la seva naturalesa jurídica no li fos aplicable l'excepció de no responsabilitat penal de l'article 31 quinquies, apartat primer, i si fos aplicable a totes o cadascuna de les entitats que formen la CCMA, l'apartat segon d'aquest mateix article, tenint en compte que el delicte de descobriment i revelació de secret regulat en l'article 197 de de el Codi Penal és un dels delictes que poden generar responsabilitat penal de la persona jurídica per delictes comesos per representants legals, directius i empleats en el seu nom i amb benefici directe o indirecte per a la persona jurídica, i que com va quedar demostrat en els fets provats, la CCMA disposava de mesures de seguretat deficients, de no haver-se produït els fets en el 2012 sinó amb posterioritat a l'any 2015, la CCMA podria haver estat condemnada de donar-se aquests requisits i no comptar amb models d'organització i gestió que incloguessin mesurades de vigilància i control idònies per prevenir delictes o per reduir el risc de comissió de forma significativa.
D'aquí la importància que les entitats tinguin implantats programes de compliment normatiu o “Corporate compliace program”.
