(#Formación) La dirección IP ¿prueba de delito?

En los últimos años, muchas han sido las dudas sobre si la dirección IP es un dato personal o no. Hoy por hoy, si bien resulta claro que la AEPD lo considera inequívocamente un dato personal, se plantea la duda sobre si ese dato puede relacionarse de manera fiable con su titular o si, por el contrario, dicha identificación sólo puede presumirse a efectos penales probatorios.


Bola del mundo, teclado, números binarios
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en su artículo 3. a) nos define el dato personal como: "cualquier información concerniente a personas físicas identificadas o identificables".

En base a esta definición, y dado que es evidente que la IP no es un dato que identifique de primeras a una persona física, surgió la duda sobre si podría encajar dentro de la definición como "identificable".

En su Informe 327/2003, la respuesta de la AEPD fue clara, afirmando que, dado que cada una de las redes TCP/IP contienen una dirección IP numérica única para el ordenador del emisor y otra para el del destinatario, al enlazarlas con el nombre de dominio asignado a cada ordenador se puede conocer el nombre de la empresa o particular titular de la IP.

Si bien, la AEPD, para fundamentar aún más su postura, en su Informe analizó los servicios prestados por los proveedores de acceso a Internet y los administradores de redes, los cuales están más que preparados para identificar, por medios razonables, a los usuarios de Internet a los que han asignado direcciones IP (fija o dinámica), puesto que no sólo cuentan con este dato, sino que también almacenan el número de identificación del suscriptor, la fecha la hora y la duración de la asignación de dirección, inclusive cuando el usuario utiliza una red pública de telecomunicaciones con un teléfono móvil o fijo. La conclusión de la AEPD fue que: "las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal".

Desde entonces, la AEPD ha reiterado su opinión, como es el caso del Informe Jurídico 0216/2008 o el Informe de 25 de enero de 2005 donde se añade: "La consideración de la dirección IP en líneas generales como de un dato de carácter personal, no viene vinculada sólo al hecho de que se asocie con una  persona física identificada o identificable, sino además, al supuesto de que exista la posibilidad de relacionar la dirección IP del usuario con otros datos de carácter personal".

Asimismo, el criterio de la AEPD ha sido ratificado por el Grupo de Trabajo del Art. 29, en su documento de 4 de abril de 2008 sobre cuestiones de protección de datos relacionadas con motores de búsqueda (WP148), así como en su documento de 20 de junio de 2007 sobre el concepto de dato de carácter personal (WP138).

Ahora bien, tras todo lo mencionado en los anteriores párrafos de este post, tendríamos que tener la casi total seguridad que "Dirección IP = dato personal", pero ¿Qué ocurre si nos encontramos con una dirección IP como única prueba de un delito de estafa informática?, ¿hay garantías suficientes de identificación del acusado para condenarle?

Recientemente, el Tribunal Supremo (Sala de lo Penal, Sección 1 de Madrid) dictó Sentencia de 3 de diciembre de 2012, absolviendo a los condenados por la Audiencia Provincial de Guipúzcoa por un delito de estafa informática (art. 248.2 Código Penal), cuya única prueba indiciaria era la titularidad de la dirección IP por parte de los condenados, desde la cual se cometió el delito de estafa.

Resulta más que relevante conocer el caso con detalle, puesto que la Sentencia de la Audiencia Provincial construye el comportamiento de uno de los condenados, tipificado como estafa, conforme a las siguientes premisas:

           "a) El acusado obtuvo las claves que permiten dirigir una orden por vía telemática a la entidad bancaria en la que el perjudicado tenía abierta una cuenta.

           b) Utilizando una IP asignada por el proveedor al equipo del acusado, se envió aquella orden a la entidad bancaria.

           c) Consecuencia de tal orden la entidad bancaria traspasó fondos a la cuenta de que era titular el coacusado."

Para justificar tales conclusiones la sentencia parte del informe policial, que acredita que la orden telemática dirigida a la entidad bancaria, de la cual se sustrajo dinero de manera fraudulenta, se emitió utilizando una IP de la que era titular uno de los condenados. La sentencia enfatiza la validez de la indagación policial y concluye que el acusado era el usuario del ordenador utilizado en dicha comunicación. Y, a partir de tal dato básico, infiere que él fue el que impartió la orden, sin más pruebas concluyentes.

Los condenados por la Sentencia de la Audiencia Provincial y recurrentes ante el Tribunal Supremo, argumentaron en su escrito que en el informe pericial constaba que el perito y la policía "en ningún momento examinaron el ordenador del acusado".

En efecto, según argumentan los condenados, el informe se reduce a poner en evidencia que la inferencia que vincula ser usuario de un ordenador y línea telefónica no lleva necesariamente a la conclusión de que ese usuario sea el autor de toda utilización telemática de esa infraestructura informática, puesto que los puertos que estaban disponibles en el PC pudieron ser utilizados y manipulados por un atacante malicioso, quedando su uso registrado como si fuera el auténtico titular el que utiliza la IP, sin más condición que la de que el equipo del titular verdadero se encuentre encendido. Y ello sin que el verdadero titular de la IP pueda ni siquiera percatarse de ese uso malicioso y ajeno de su equipo.

La propia sentencia de la Audiencia Provincial recurrida, admite que ese informe pericial acredita la "posibilidad" de que le ocurra tal ataque a un titular inocente. Lo que hace que el Tribunal Supremo aprecie que la imputación no resulta justificada y la decisión de condena vulnere la garantía constitucional de presunción de inocencia del recurrente.

En resumen, el Tribunal Supremo dicta en su Sentencia que al no constar acreditado que los condenados operasen desde su PC para la emisión de las órdenes de transferencia bancaria, y que ni siquiera dicho ordenador había sido utilizado para la comisión del delito, absuelve a los condenados por el delito de estafa informática con el que habían sido relacionados.

Queda claro, por lo tanto, que para el Tribunal Supremo es muy difícil encajar la conducta de los condenados en el delito de estafa, complicando la persecución final de las personas responsables del "phising", por lo que a raíz de esta sentencia se hace necesario o acreditar perfectamente el elemento subjetivo (muy complicado) o bien intentar la imputación con base en otros delitos.

Como conclusión de este post, podemos decir que la IP es un dato personal cuya utilización fraudulenta puede considerarse como un elemento probatorio a efectos de las sanciones administrativas de la AEPD, si bien, el tratamiento no puede ser el mismo cuando se trata de aplicar el Derecho penal, pues éste se somete al principio de intervención mínima, y el empleo fraudulento de un dato personal, como la IP, incluso para fines delictivos de gran alarma social (como los robos bancarios por Internet), no puede ser tenido en cuenta como único elemento de convicción que mueva a condenar a un acusado, sino que se requerirá su concurso con otros elementos de prueba, pues la autoría del delito no queda suficientemente probada per se...
Fuente: [Tienes que estar registrado y conectado para ver este vínculo]