Seguridad biométrica o cómo resolver un crimen sin saltarse la ley

2 agosto, 2016

«Seguridad biométrica o cómo resolver un crimen sin saltarse la ley», post de Javier Fernández Resúa, abogado de ECIJA, para The Law Clinic.

Las impresoras 3D se han popularizado en los últimos años y con ellas se han creado todo tipo de objetos, en ocasiones sorprendentes o peligrosos, como piezas de repuesto para aparatos, órganos humanos, armas de fuego, objetos de decoración, etc.

Hace unos días, las fuerzas de seguridad de Estados Unidos le encontraban a estas herramientas una nueva utilidad: imprimir réplicas en 3D de los dedos de una víctima mortal de asesinato para desbloquear su propio smartphone.

Se trata de una cuestión sin precedentes en el ámbito de la investigación policial y que demuestra que el debate sobre la privacidad de los datos contenidos en los smartphones no está cerrado. El profesor Anil Jain, experto en seguridad biométrica, y su equipo del laboratorio de la Michigan State University, se encargan de la compleja parte técnica, por encargo de la policía de Michigan, que en plena investigación policial sobre un asesinato cree que el teléfono móvil de la víctima podría contener datos cruciales para localizar al asesino. Sin embargo, el terminal estaba bloqueado y era necesario introducir un código o bien utilizar la huella para acceder a la información. Gracias a estos investigadores, la policía ha evitado encararse con el fabricante del móvil, como ocurrió entre el FBI y Apple en el conocido caso del IPhone del terrorista de San Bernardino (California).

Por el momento, los expertos han creado réplicas de los 10 dedos de la víctima –no saben cuál se usó para bloquear el terminal- a partir de las huellas digitalizadas y se han enfrentado a dificultades técnicas, como la falta de conductividad del plástico utilizado en la impresión 3D, que sí tiene la piel humana. Están cerca de conseguir su objetivo y de provocar que nos replanteemos la idoneidad de los sistemas de acceso biométrico para salvaguardar nuestra privacidad, que son cada vez más populares en portátiles, smartphones o en el control de acceso a edificios.

Los aspectos legales de este asunto no están exentos de complejidad. Los investigadores confían en que hacen lo correcto, colaborando con las autoridades para resolver un crimen. Además, podría sostenerse que la Quinta Enmienda de la Constitución de EEUU, que recoge el derecho a no incriminarse a uno mismo, no sería de aplicación al caso porque el citado terminal no es propiedad del sospechoso de cometer el crimen, sino de la víctima. Según la jurisprudencia estadounidense se puede diferenciar entre una clave numérica memorizada, protegida por este derecho, y la huella dactilar, no protegida por el mismo por tratarse de una prueba tangible como la sangre o el ADN. En definitiva, si nos encontráramos ante el teléfono móvil de una persona viva resultaría clara la obligación de contar con una orden judicial para desbloquearlo, pero en el caso de la persona fallecida, la policía y los investigadores parecen resguardarse en un vacío legal por un buen fin.

Pero, ¿Qué pasaría en España si se diera un caso similar?

Conviene diferenciar entre el desbloqueo del teléfono móvil de una persona viva o el de una fallecida:

  • En el primer caso, en virtud de los derechos de intimidad personal y familiar, protección de datos personales y del secreto de las comunicaciones, que están protegidos por nuestra Constitución, sería necesaria una orden judicial para acceder al teléfono móvil, salvo casos excepcionales, siempre que no haya consentimiento del afectado, y respetándose en todo caso el principio de proporcionalidad, la Constitución y lo estipulado en la Ley de Enjuiciamiento Criminal.
  • En el caso de tratarse de una persona fallecida, se complican las cosas. Debe tenerse presente que los tratamientos de datos de personas fallecidas no están comprendidos dentro del ámbito de aplicación de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (en adelante, LOPD), cuestión que el propio reglamento de desarrollo de la ley menciona en su art. 2.4 y que es doctrina repetida de la AEPD. Y ello es obvio porque la personalidad civil se extingue con la muerte de las personas, como indica el art. 32 de nuestro Código Civil, lo cual significa que tras la muerte se extinguen los derechos de la personalidad, como la protección de datos personales, el honor o la intimidad. El nuevo Reglamento (UE) 2016/679 sobre protección de datos, que será aplicable en 2018, también reconoce en los Considerandos que su contenido no alcanza al tratamiento de datos de personas fallecidas, si bien deja margen a los Estados para que establezcan normas sobre dicho tratamiento.

Sin perjuicio de lo anterior, no ocurre lo mismo con el derecho que tienen determinadas personas para ejercitar acciones en nombre de los fallecidos. Como ejemplos se pueden citar la Ley Orgánica 1/1982, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, que permite a herederos y otras personas ejercer acciones en defensa del honor o la intimidad de los fallecidos. O el reglamento de desarrollo de la LOPD, que establece el supuesto donde los familiares se pueden dirigir a los responsables de los ficheros con la finalidad de notificarles que la persona ha fallecido, con acreditación suficiente y solicitando la cancelación de los datos, en el caso de que proceda, conciliándose así el carácter personalísimo de los derechos ARCO con la posibilidad de que el responsable del fichero cumpla con el principio de calidad a través de la cancelación del fichero por conocer la noticia de la defunción.

¿Esto significa que la policía podría acceder a nuestro smartphone sin autorización judicial cuando hayamos fallecido?

Como hemos comentado, el fallecido no tiene derecho a la privacidad, existiendo un vacío normativo relativo a este asunto.

No obstante, hay que tener presente que en los smartphones suelen almacenarse conversaciones de WhatsApp, SMS, emails, fotografías y otros contenidos, de tal forma que el acceso a los mismos si puede vulnerar derechos fundamentales de terceras personas no fallecidas, como derechos de imagen, privacidad o secreto de las comunicaciones. Por tanto, el acceso de las fuerzas de seguridad al smartphone de un fallecido sin una orden judicial parece poco respetuoso con los derechos constitucionalmente protegidos, cuestión que por otro lado no estaría exenta de una posible ponderación por parte del Tribunal Constitucional, que pusiera de un lado la importancia de las pesquisas policiales y la seguridad ciudadana y de otro la privacidad o secreto de las comunicaciones de un número limitado de personas.

En definitiva, en numerosas cuestiones como la privacidad de las personas fallecidas, las redes sociales o las impresoras 3D no existe normativa específica, por lo que debemos hacer un esfuerzo  interpretativo y acudir a las leyes sobre propiedad intelectual, propiedad industrial, derechos de imagen o el Código Penal, entre otras.

En otros ámbitos se han solucionado estas lagunas legales por la vía contractual entre el prestador del servicio y el usuario, a través de las condiciones de contratación. Sería el caso de las redes sociales, como Facebook o LinkedIn, y de servicios de mensajería como Gmail, que definen con claridad que el usuario es el único legitimado para acceder a la cuenta y que han incorporado en los últimos años funciones que le permiten decidir qué pasará con sus datos tras su muerte, incluyendo opciones como el borrado de la cuenta o la posibilidad de designar un representante que gestione algunas cuestiones bastante delimitadas.

No obstante, nuestra vida digital es hoy mucho más amplia. Tenemos cuentas en PayPal, Dropbox, iTunes, Instagram, WhatsApp, blogs, y un largo etc. Si queremos decidir qué pasará con todos nuestros activos digitales y privacidad más allá de la vida sería recomendable pedir ayuda a un abogado experto en la materia y preparar un testamento digital o legado virtual que complemente el testamento tradicional.