Mucho se ha hablado respecto a los discos duros que el Partido Popular ha aportado al Juez Pablo Ruz, y en particular respecto a las obligaciones de custodia de los discos duros de los mismos, así como de la destrucción de uno de ellos y la reutilización de otro en base a la Ley Orgánica de Protección de Datos.
El problema en este caso es la dificultad de realizar un análisis estrictamente técnico-jurídico en determinados medios, dada la especial relevancia del caso, y los intereses que se encuentran en juego. Por esta razón, desde aquí haré lo posible por realizar una interpretación del caso en base a fundamentos jurídicos, sin perjuicio de otras interpretaciones conformes a Derecho.
Para poder empezar a entender las dudas que se nos pueden plantear, podemos acudir al Acta de clonado
Varios datos importantes podemos extraer de la misma
- Nos encontramos con dos portátiles: Un Toshiba Libretto 100CT y un MacBook Pro
- El Toshiba Libretto entregado no tenía disco duro alguno en su interior
- No existen garantías de que el disco duro del MacBook sea el mismo que el que fue utilizado por Bárcenas
El escrito aportado por el PP aporta diversas alegaciones respecto a dichos equipos y su estado, además de permitirnos conocer el Procedimiento de Borrado Seguro que se lleva a cabo en la entidad
Dicho lo anterior, podemos pasar a las siguientes cuestiones
¿Obliga la LOPD a formatear y destruir los discos duros?
Podría plantearse la duda de si realmente resultaba de aplicación la Ley Orgánica de Protección de Datos a los soportes que se encontraban instalados en los portátiles. De un tiempo a esta parte, podemos encontrarnos con una multitud de supuestos en los que se utiliza esta Ley para justificar multitud de actuaciones, principalmente para negar aportación de información y documentación o justificar la destrucción de soportes. Lo cierto es que delimitar si nos encontramos efectivamente ante una aplicación adecuada de la LOPD requeriría un análisis en profundidad y conocimiento de datos a los que no resulta sencillo tener acceso. Por lo anterior, plantearemos el análisis bajo el supuesto de que sí resulta aplicable.
Dicho lo anterior, se ha podido observar como en algunos artículos se menciona la obligación que la LOPD impone para la destrucción de los datos y soportes en el caso de que vayan a utilizarse por nuevos usuarios, siendo un ejemplo este artículo en El País. Respecto a este artículo podemos observar en primer lugar como se hace referencia al artículo 92.4 de la Ley Orgánica de Protección de Datos. Dicha norma no resulta lo suficientemente extensa, aunque por el contenido a que se hace referencia podemos entender que la norma a la que quería hacerse realmente referencia era el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Efectivamente, el art. 92 se encarga de desarrollar los preceptos incluídos en la LOPD referidos a la gestión de soportes y documentos, conteniendo el apartado 4 la siguiente redacción:
Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.
Las medidas y procedimiento a través de las cuales se cumplirá con las obligaciones reguladas en este apartado se incluirán dentro del documento de seguridad, en virtud del art. 88.3 del mismo Real Decreto
El documento deberá contener, como mínimo, los siguientes aspectos
g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.
Parece así que el Procedimiento de Borrado Seguro que aporta el Partido Popular, que se encarga de delimitar en qué supuestos se contempla el procedimiento de desechar el soporte de almacenamiento de datos y cómo será llevado a cabo, forma parte del documento de seguridad. De acuerdo con el mismo, la elección entre la destrucción física del soporte o la mera destrucción lógica de los datos almacenados en el mismo se hará de la siguiente manera.
1. El primer paso debe pasar por establecer el nivel de criticidad de la información en base al usuario y el valor estratégico de los datos a manejar. En este caso nos encontramos ante los datos manejados por el Tesorero de una entidad, respecto de los cuales podemos inferir fácilmente un valor estratégico medio/alto.
2. Una vez calificados los datos incluidos en el soporte, el documento del Partido Popular regula para este supuesto que, una vez realizado un borrado seguro a traves de 35 pasadas con herramientas de escritura en bajo nivel, se procederá a la destrucción física para impedir posteriroes lecturas del mismo.
3. En el apartado referido a destrucción y reciclado, y pese a lo que parece ser un error de redacción en cuanto a los casos en que corresponde uno u otro, se contempla la reutilización del soporte únicamente para casos de criticidad bajos.
Lo anterior plantea una cierta problemática, en cuanto al diferente tratamiento que han tenido los soportes de almacenamiento de los dos portátiles aportados. Recordemos que
- El disco duro del Toshiba Libretto ha sido destruido, habiéndose aportado el portátil sin dispositivo de almacenamiento alguno.
- El MacBook se ha entregado con un dispositivo de almacenamiento instalado que, según el abogado del PP, es el que instaló Bárcenas en el mes de octubre de 2012, que había sido destruido para ser puesto a disposición de otra persona.
De lo anterior debemos concluir que se atribuyó una criticidad baja a los datos incluídos en el Macbook, dado que no se procedió a su destrucción física. Esto resulta llamativo cuando la persona que utilizaba era la misma en ambos supuestos, pudiendo existir información del mismo nivel de importancia estratégica en ambos casos, y no realizando el abogado alegación adicional alguna respecto al trato diferenciado de ambos soportes más allá de que las actuaciones han sido realizadas de acuerdo con el protocolo señalado.
Por otro lado, debería analizarse quién ha llevado a cabo dicha destrucción física y en qué fechas, requiriendo a tales efectos a quien corresponda.
¿Qué se ha dicho respecto al puerto USB de uno de los portátiles?
El Toshiba Libretto 100CT es un portátil que, por su antigüedad, no cuenta de base con puertos USB. Ahora bien, en primer lugar podrían haberse instalado a través de una tarjeta PCMCIA para poder contar con un acceso rápido a soportes de almacenado tan comunes como son las memorias USB. Además de lo anterior, nada impide que los archivos se encontraran inicialmente en dicho ordenador y fueran extraidos a través de cualquier otro soporte (o, incluso, almacenados en la nube) para acabar finalmente almacenados en una memoria USB. Si se contara con los archivos del disco duro destruido, estos podrían ser comparados con los aportados por Bárcenas lo cual ahora no resulta posible.
¿Y qué sucede con los datos que el Partido Popular debía mantener almacenados durante un cierto período de tiempo?
Otra de las cuestiones que se han planteado en este caso es qué sucede con aquellos datos en los que el ordenamiento vigente impone su conservación. Uno de los ejemplos que está siendo el más utilizado es el de datos fiscales, dado que recordemos que la Ley 58/2003, de 17 de diciembre, General Tributaria establece como obligación formal en su art. 29.2.d
La obligación de llevar y conservar libros de contabilidad y registros, así como los programas, ficheros y archivos informáticos que les sirvan de soporte y los sistemas de codificación utilizados que permitan la interpretación de los datos cuando la obligación se cumpla con utilización de sistemas informáticos. Se deberá facilitar la conversión de dichos datos a formato legible cuando la lectura o interpretación de los mismos no fuera posible por estar encriptados o codificados.
Ahora bien, en este punto creo que se está produciendo una confusión entre lo que es la destrucción de un soporte concreto y/o de los datos en el almacenado y la desaparición absoluta de los mismos.
La destrucción de los datos para la posterior reutilización de un determinado disco duro se realiza para impedir el acceso a los datos del antiguo poseedor del mismo por parte de aquellos que no cuenten con autorización a tales efectos. La destrucción del soporte físico busca la misma finalidad, aunque las medidas tomadas se refuerzan en base al peligro potencial mayor que supone el acceso no autorizado a dichos datos. No obstante lo anterior, difícilmente podemos entender que el cambio en un puesto de responsabilidad técnico-económica pueda suponer la desaparición por completo de todo fichero con información financiera relevante de la entidad, dado que
- En una organización como la presente no resulta eficiente trabajar exclusivamente de forma local con dicha información., así que pese a que se destruyan los datos de uno de los terminales, la información con la que se ha trabajado y que tiene especial relevancia sigue existiendo en el servidor central (pudiendo tener acceso a la misma el nuevo personal que ostente competencias al respecto)
- La pérdida de dicha información, y la necesidad de que el nuevo asignado al puesto deba comenzar de cero, supone una carga superior en muchos casos a los riesgos inherentes a un acceso no autorizado a los datos destruidos.
Pero además de todo lo anterior, debemos recordar que el art. 94 del RD 1720/2007 regula la obligación de copias de respaldo para el caso de medidas de seguridad de nivel bajo
1. Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.
2. Asimismo, se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.
En el caso de medidas de seguridad de nivel alto, se añaden nuevos requisitos a estas copias de seguridad
Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas en este título, o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación.
Es por ello que, a mi juicio, nada de lo alegado hasta el momento da a entender que los datos importantes con los que se trabajó desde los portátiles que se han entregado al Juez Pablo Ruz han sido completamente destruidos, sino que simplemente se ha dado cumplimiento al contenido estricto de la orden del juez: la entrega de dos portátiles concretos.
El problema por supuesto sigue existiendo, dado que al tratarse de información sensible resulta posible que de la misma no se guarden copias de seguridad en las mismas condiciones que el resto de contabilidad. Dicho esto, y dadas las posibilidades de error en la administración de los datos, la siguiente actuación debería pasar por un aseguramiento de la prueba que incluyera el análisis y recolección de todos los discos duros en los que pudiera existir dicha información, todo ello sin dar tiempo suficiente para su destrucción o desaparición.
En conclusión, que debemos partir de diferenciar la desaparición absoluta de los datos de la destrucción de una instancia concreta de los mismos.
¿Podría hablarse de un daño informático del art. 264.2 del Código Penal?
Otra de las discusiones pasa por la posible aplicación a este caso del art. 264.2 del CP
El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años.
En mi opinión, la aplicación de este precepto no es adecuada. Nos encontramos con portátiles cuya propiedad corresponde a la misma entidad que procede a realizar la destrucción de datos (o al menos así es alegado por el abogado del Partido Popular). A este supuesto podemos aplicar una interpretación similar a la realizada por la Audiencia Provincial de Pontevedra, en Sentencia de 17de marzo de 2000, en que desestima la apelación interpuesta por la denunciante contra la Sentencia absolutoria dictada en procedimiento por daños y coacciones en relación con un programa informático. Los hechos se concretan en el socio de una empresa que introduce una rutina de protección, para evitar el pirateo del programa del que se cree autor, provocando fallos de funcionamiento en las copias del programa que se facilitan a los clientes, haciendo que dicho programa devenga inservible, siendo necesario ofertar los servicios del mencionado socio para solventar los problemas que la bomba lógica causaba en los programas, captando, de esta manera, clientes para su nueva empresa. Esta Sentencia enjuicia por daños del derogado Código Penal , aunque el Tribunal realiza una disertación en relación con el precepto que nos resulta de interés en este caso. Se destaca que en el vigente Código se contempla una previsión expresa respecto de los daños en programas ajenos y que «(…) aun admitiendo que, con arreglo al Código Penal anterior, se valorase como daño la alteración introducida en programa informático dirigido a frustrar fines o utilidades, no puede confundirse la acción consistente en dañar cosa –en este caso un programa informático– ajena, con la conducta del creador y dueño del programa que genera él mismo una alteración dañina y vende o distribuye –como buenas– copias ya dañadas. (…) Vender a otro una cosa dañada o deteriorada por el mismo dueño que transmite, a sabiendas del daño que se oculta, no corresponde en modo alguno a la dinámica del delito de daños».
De forma similar, soy de la opinión que no debe confundirse el borrado en un sistema informático ajeno (que sería el propio de la conducta típica) de aquel llevado a cabo en un sistema informático propio, cuya posesión había vuelto asimismo a la entidad en virtud de la finalización de la relación laboral con el anterior usuario. Debemos asimismo tener en cuenta que al encontrarnos en el ámbito del Código Penal, debemos realizar una interpretación no extensiva de los preceptos.
Este artículo regula las consecuencias del delito basadas no tanto en el daño al dato cuanto a su valor contextual, funcional si se quiere, dentro del sistema o para la información que representa. Por lo tanto, la destrucción de los mismos por parte de la misma entidad para la cual representan dicha funcionalidad no puede entrar dentro del tipo penal, al haber optado el sujeto que es quien podría resultar afectado de forma voluntaria por la no posibilidad de usarlos en su contexto. La destrucción de los mismos difícilmente representa el daño castigado por el art. 264 para Bárcenas, sin perjuicio de la aplicación de otros preceptos que pudieran impedir su destrucción en base a otras obligaciones legales y, en particular, la posible obstrucción a la justicia que dicha destrucción puede suponer.