El programa PRISM

¿Espionaje en internet?

El programa PRISM está de plena actualidad por la acusación del Gobierno de Estados Unidos a Edward Snowden, ex técnico de la Agencia de Seguridad Nacional (NSA), de espionaje, entre otros cargos, por filtrar a la prensa varios programas secretos de vigilancia masiva de la Administración norteamericana. En concreto, diarios americanos y británicos informaron de que la NSA y el FBI podrían haber tenido acceso a comunicaciones efectuadas en  internet a través de Google, Microsoft, Apple, Yahoo o Facebook.

El programa secreto de vigilancia se denomina PRISM y fue aprobado por una ley de 2007 y renovado en 2012. Las compañías afectadas negaron su implicación en los hechos, pero internet ya se había hecho eco de algunos detalles sobre este programa. Según informaron el pasado 6 de junio el rotativo británico The Guardian y el estadounidense The Washington Post, este programa funcionaba a pleno rendimiento y se referían a él como el más utilizado dentro de la NSA para la obtención de datos.

La Unión Europea pidió explicaciones a EEUU por este supuesto espionaje masivo a través de internet, mientras que la Organización Americana de Defensa de las Libertades Individuales presentó una demanda contra la Administración norteamericana. Por su parte, la NSA se defendía subrayando la legalidad de sus programas de vigilancia. Y, al mismo tiempo, Snowden indicaba desde Hong Kong que EEUU espía “cientos de miles de ordenadores” en todo el mundo. En ese momento se inició la caza de Snowden por espionaje, robo y utilización ilegal de bienes gubernamentales.

En cualquier caso, la información de la discordia por el que comenzó todo este caso, las diapositivas que mostraban a grandes rasgos el funcionamiento de PRISM y que publicaron The Guardian y The Washington Post, se propagaron rápidamente por la red. En primer lugar, mostraban que muchas de las telecomunicaciones a nivel mundial pasan por Estados Unidos. A continuación, se detallaban los proveedores participantes (Microsoft, Google, Facebook, etc) y los datos que estos ofrecen a las autoridades, como correos electrónicos, vídeos, chats o transferencias de archivos, entre otros.

¿Qué explicaciones da el gobierno?

De las diapositivas se podía deducir que la NSA y el FBI tenían acceso directo a los servidores, lo que se combinaba con el acceso a información obtenida de pinchazos telefónicos y de otras comunicaciones. Sin embargo, como señalábamos anteriormente, las compañías proveedoras de servicios en internet negaron, a través de sus máximos responsables, cualquier implicación. Hasta el presidente de EEUU, Barack Obama, aclaró que el Congreso de su país está al tanto de estos programas de vigilancia, aprobados por mayoría, subrayó que son constitucionales y que existen órganos que velan porque no se abuse de ellos.

Asimismo, el presidente norteamericano defendió estas actuaciones por la seguridad que proporcionan. “No puedes tener un 100% de seguridad y también un 100% de privacidad y 0 inconvenientes”, afirmó. Por su parte, James R. Clapper, Director de Inteligencia Nacional, aclaró que PRISM no es un programa de obtención masiva de datos. “Es un sistema informático interno del Gobierno que permite la recolección autorizada de información extranjera de inteligencia a partir de proveedores de servicios de comunicaciones bajo supervisión judicial”.

A pesar de todos los datos existentes, de las numerosas declaraciones e informaciones periodísticas, aún no está claro cuál es el funcionamiento de PRISM. Por una parte, están los que hablan de este programa como una herramienta para acceder sin autorización a datos de los usuarios, en algunos casos con acceso directo a los servidores. Por la otra, las autoridades niegan esto y señalan al PRISM como un programa legal de recolección de datos y que se limita a facilitar este proceso, pero que no es secreto. Sin embargo, los ciudadanos de EEUU quedan fuera de esta supuesta vigilancia legal, lo que siembra de dudas todas estas aclaraciones.

¿Se podría dar una situación similar en España?

Hemos consultado a los asesores expertos de Conversia, especialistas en LOPD y  protección de datos de carácter personal, quienes han analizado si en nuestro país podría darse una situación similar a la de este caso de EEUU.

En España, la intervención de una dirección de email se establece como un acto de intromisión en la correspondencia privada y, por tanto, es necesario observar lo establecido en los artículos 579 a 588 de la LECrim (Ley de Enjuiciamiento Criminal).

Por lo que se refiere a la conservación y cesión de datos por parte de los operadores de Internet, éstos estarán obligados a ello siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales (vid. art. 1.1 Ley 25/2007 de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones).

Por tanto, conforme a la legislación que ampara esta situación, estaríamos hablando de una investigación policial judicializada y, en todo caso, como parte de ésta, la Policía debería presentar oficio al juez de guardia o instructor de las diligencias, en caso que se hallaran ya abiertas, con la finalidad de que, si de la motivación se justifica esta medida, el juez dicte interlocutoria de investigación judicial en la dirección de email de las personas sobre las que se lleva a cabo la investigación.

Dado que nos encontramos ante una injerencia en el derecho fundamental que supone recibir libremente comunicaciones vía email (STC 299/2000 de 11 de diciembre), para poder apreciar la proporcionalidad de la medida es necesario examinar la gravedad de la infracción punible y de la pena prevista. En este sentido, es necesario recordar que el delito tipificado en el artículo 197 CP, se trata de un delito contra la intimidad, por esta razón, la intercepción del correo electrónico se asimila a la violación de la correspondencia. Además, este hecho supone, en relación con el artículo 198 CP, que al margen de los casos permitidos por la Ley, sin la intervención de causa legal por delito, las autoridades o funcionarios públicos no podrán realizar esta intervención, bajo pena de ser imputados por la conducta descrita en el artículo 197 CP, castigada con pena agraviada e inhabilitación absoluta.

Por su parte, el Gobierno de España es consciente de la importancia que supone  organizar los diferentes servicios que tienen que ver con la ciberseguridad. Por esta razón, ha configurado un nuevo Consejo de Seguridad Nacional que está trabajando en una Estrategia Nacional de Ciberseguridad, cuya presentación está prevista para finales de año. El objetivo de este programa de seguridad es identificar de forma adecuada las amenazas, definir una organización en la que haya unos centros nacionales de referencia, así como establecer una mayor coordinación entre todas las empresas y las Administraciones, a la vez que con terceros países.