El Congreso no aclara el depósito del cifrado en la ley de telecomunicaciones
El Congreso ha aprobado la nueva Ley General de Telecomunicaciones, ante el estupor de la comunidad criptológica española. El Ministerio de Ciencia y Tecnología (MCyT) había asegurado, en abril, que eliminaría un artículo donde se obligaba a entregar las claves de cifrado a la Administración. Al final, el texto sólo ha sido modificado eliminando la referencia a las claves pero conservando la ambigüedad que se le reprocha. La ley pasará al Senado, donde no se esperan cambios.
El artículo en liza era el 36, que obligaba a los usuarios de comunicaciones cifradas a entregar sus claves a la Administración, sin autorización judicial de por medio. Ante las quejas de las asociaciones de internautas, el MCyT prometió eliminarlo, mediante una enmienda que nunca se hizo realidad.
Los grupos parlamentarios vasco, catalán, socialista y mixto sí exigieron en el Congreso su supresión, pero el Partido Popular rechazó todas las propuestas y optó por dejar el texto tal como estaba en la antigua Ley de Telecomunicaciones, aprobada en 1998, que ya provocó una amplia campaña de protesta.
Ambigüedad total
Así, el nuevo artículo 36 queda más o menos igual que el viejo, el 52, que obligaba a notificar los algoritmos usados, pero sin referencia a las claves: "Se podrá imponer la obligación de facilitar a un órgano de la Administración General del Estado o a un organismo público los algoritmos o cualquier procedimiento de cifrado utilizado, así como la obligación de facilitar sin coste alguno los aparatos de cifrado, a efectos de su control de acuerdo con la normativa vigente".
Según Arturo Quirantes, del grupo de ciberderechos CPSR-Spain, "aunque la cosa ya no es tan mala como al principio, sigue quedando cierta indefensión debido a la ambigüedad de sus términos: ¿Qué es el "algoritmo o procedimiento de cifrado"? ¿Cuál es la "normativa vigente" sobre control?".
Otros temas que quedan en el aire son la indefinición sobre qué Administración y en qué condiciones podrá pedir los algoritmos, los posibles ataques que esto implique al derecho constitucional del secreto de las comunicaciones y que no se especifique la necesidad de autorización judicial para estas actuaciones, algo que exigen la mayoría de países del mundo, menos Corea del Sur y, ahora, España.
