Para suplantar la identidad de sus víctimas, los criminales consiguen información de diversas maneras:

-    Revisando la basura de edificios o conjuntos residenciales en busca de facturas, cuentas u otros documentos.

-    Oyendo las conversaciones que una víctima sostiene a través de su celular, en sitios públicos, en las que pueda revelar su número de tarjeta de crédito o viendo sobre su hombro cuando ingresa esa información en su computador.

-    Copiando las tarjetas débito o crédito en cajeros o en sitios abiertos al público (como tiendas o restaurantes) usando los viejos skimmers.

-    Usando técnicas de phishing para que sus víctimas voluntariamente entreguen su propia información.

-    Modificando la dirección de correspondencia de las víctimas.

-    Mediante el robo de carteras que puedan contener documentos con información de identificación de víctimas.

-    Consiguiendo información de las víctimas a través de los bancos o instituciones del sector financiero.

-    Usando documentación desechada relativa a créditos preaprobados, que no haya sido destruida.

En 1998 fue promulgada en Estados Unidos la Ley de Disuasión de la Asunción y el Robo de Identidad (Identity Theft and Assumption Deterrence Act), que, en términos colombianos, tipificó la conducta de “con conocimiento, transferir o utilizar en una forma no autorizada por la ley, un medio de identificación de otra persona con la intención de cometer, o ayudar o auxiliar en, cualquier actividad ilegal que constituya una violación de la ley federal o un delito según la ley de un estado o una ley local”. Definió como sanción una pena privativa de la libertad de 15 años, multa y confiscación de todos los bienes usados para cometer el delito.

Las violaciones de esta ley son investigadas por agencias federales de investigación como el U.S. Secret Service, el FBI y el U.S. Postal Inspection Service; son procesadas judicialmente por el Departamento de Justicia.

Adicionalmente, existe toda una estructura legal, de los órdenes federal y estatal, que está directamente relacionada con este delito. A nivel federal están:

-    En cuanto al historial de crédito de las personas: el Fair Credit Reporting Act define procedimientos para corregir errores en el historial de crédito y obliga a que el mismo solamente sea entregado cuando quien lo solicite tenga fines legítimos de negocios.

-    En cuanto al uso de tarjetas de crédito: el Fair Credit Billing Act, que define procedimientos para corregir errores de facturación en las cuentas de las tarjetas de crédito. Limita, también, la responsabilidad de los usuarios por deudas correspondientes a usos fraudulentos de sus tarjetas.

-    El Fair Debt Collection Practices Act: prohibe a los acreedores usar técnicas de cobro que sean injustas o engañosas, cuando envían las deudas a su favor a las oficinas de cobro de cartera vencida.

-    El Electronic Fund Transfer Act: protege a los consumidores en todas las transacciones en las que usen tarjetas de crédito o débito. Limita la responsabilidad de los consumidores frente a transferencias de fondos no autorizadas.

-    El Driver’s Protection Act y el Family Educational Rights and Privacy Act que ponen límites a la divulgación de información personal contenida en registros de departamentos estatales de vehículos y de instituciones y registros educativos guardados por agencias que reciban fondos federales, respectivamente.

-    El Gramm-Leach-Bliley Act y el Health Information Portability and Accountability Act, que protegen la información personal de los consumidores que es guardada por instituciones financieras y por algunas entidades de salud que realizan determinadas clases de transacciones financieras y administrativas en línea.

A nivel estatal, se encuentra el siguiente panorama:

-    47 estados han promulgado leyes que obligan a las centrales de reporte de crédito a implementar la medida conocida como credit freeze, que consiste en que nadie puede acceder al historial de crédito de quien haya solicitado la protección; el consumidor que goce de ella podrá levantarla temporalmente mediante el uso de una clave para así poder adelantar sus negocios de manera legítima.

-    Algunos estados han promulgado leyes que obligan a las centrales de reporte de crédito a, ante la solicitud de un consumidor, bloquear información inexacta del reporte de crédito que sea resultado de robo de identidad, generalmente 30 días después de su recepción de toda la documentación correspondiente.

-    También existen regulaciones estatales que prohíben la revelación del número de Social Security de las personas, por ejemplo mediante su publicación o impresión en carnets educativos o identificaciones de empleado.

El robo de identidad se presenta frecuentemente en concurso con otros delitos, como el fraude en la identificación, el fraude con tarjeta de crédito, el fraude mediante el uso de un computador, el fraude relacionado con el correo, el fraude electrónico o el fraude a institución financiera.

Las víctimas de robo o fraude de identidad deben denunciar la ocurrencia del hecho que los ha afectado ante la Federal Trade Comission, que es la entidad que defiende a los consumidores, o ante el FBI o el U.S. Secret Service. También, si la víctima cree que su dirección de correspondencia ha sido modificada, debe comunicarse con su oficina local del Postal Inspection Service; si la víctima cree que su número de Social Security está siendo usado fraudulentamente, debe contactar a la Social Security Administration; y, debe contactar al IRS, si cree que están usando su identificación para cometer violaciones de impuestos. Y, obviamente, la víctima debe contactar a las centrales de crédito americanas (Equifax, Experian y Trans Union), para reportar el fraude, pedir copia del reporte de crédito, controvertir la información incluida en él o para excluirse de listas de consumidores con créditos preaprobados.

Con información de: Federal Trade Commision, Department of Justice, Social Security Administration y Identity Theft Resource Center.

Por: Carlos Alvarez

Enfoque Seguro

En el caso Atlantic v. Howell, la RIAA logró que el juez decidiera que los demandados, Jeffrey y Pamela Howell, acusados de haber descargado ilegalmente música a través de Kazaa, habían eliminado intencionalmente evidencia que sería aportada al proceso, luego de tener conocimiento de la existencia de la demanda en su contra. Lo que los esposos hicieron fue desinstalar Kazaa y reformatear el disco duro de su computador, después de que tuvieron noticia de la existencia del proceso en su contra.

En su momento muchos criticaron esa decisión judicial, alegando que al mantener en el computador la evidencia del delito la pareja se habría autoincriminado – en contra de la protección constitucional que evita que sean obligados a hacerlo (en un proceso penal, nadie está obligado a acusarse a sí mismo); también alegaban que muchas veces es necesario reformatear discos duros, por razones simplemente técnicas, por lo que ellos no habrían cometido ninguna falta al hacerlo en su computador, a pesar del proceso judicial ya iniciado en su contra.

Traer a colación este caso vale la pena porque sirve para hacer una aclaración respecto de la preservación de evidencia electrónica en un escenario prejudicial o judicial: ni en los procesos civiles (en los que básicamente se persigue el pago de indemnizaciones) ni en los penales (en los que se busca determinar la comisión de un delito y sancionar, si corresponde) se escapa del deber de preservación. Cuando ya se ha iniciado un proceso judicial o la parte sabe o sospecha que hay al menos un riesgo de que se inicie un proceso judicial en su contra, inmediatamente debe suspenderse la política de retención documental en todo lo que tenga que ver con el objeto del litigio.

Es decir, debe evitarse que los documentos, sean físicos o electrónicos (facturas, correos electrónicos, planes de ventas, planos, cintas de backup, etc.), sean modificados o eliminados; y se evita que esto ocurra a través de un simple “litigation hold”, que no es nada distinto a una orden, usualmente dada por el abogado o el Departamento Legal de la compañía, que tiene que necesariamente ser acatada por todos los empleados e, incluso, por los clientes y proveedores que puedan aplicar, de detener en forma inmediata la política de retención y destrucción de documentos en relación con tal o cual asunto.

Además de las diferencias evidentes entre el sistema legal americano y los sistemas de origen continental, que empiezan por la misma existencia de reglas claras relativas a la recaudación, a la guarda y la presentación de evidencia digital en procesos civiles y penales, hay una que llama mi atención en particular: de manera frecuente los abogados envían “preservation letters” a quienes van a demandar, indicándoles que, por cuanto serán demandados por ellos en relación con un asunto en particular, deben evitar de manera inmediata la destrucción o modificación de todos los documentos relacionados. Si la parte a ser demandada ignora la “preservation letter” enviada por el abogado de su contraparte, o si aprovecha esa carta para desaparecer evidencia en forma intencional, las cortes americanas pueden imponer multas muy grandes, junto con la obligación de pagar los honorarios del abogado de la contraparte e, incluso, dar permiso al jurado para inferir por defecto que la parte que no cumplió su obligación de preservar la evidencia, lo hizo buscando causar un daño.

Y, por cuanto la guarda de documentos físicos o electrónicos puede resultar excesivamente costosa, si el abogado no tiene experiencia y conocimiento en temas de eDiscovery, seguramente generará en su cliente costos que pueden llegar a ser simplemente intolerables o, por desconocimiento, permitirle la eliminación o modificación de documentos relevantes que debían haber sido guardados, con la consecuente imposición de las sanciones respectivas.

Por otro lado, lo que suele ocurrir en los países latinos, por no hablar específicamente de la Región Andina, es que los abogados litigantes son informados informal y anticipadamente por sus amigos secretarios de juzgado o, en algunos casos, por los mismos jueces, acerca de la existencia de demandas en contra de sus clientes, o de procedimientos judiciales de índole probatorio en contra de ellos. Y así, esos grandes litigantes consiguen enviar, no las “preservation letters” de los demandantes en Estados Unidos, sino “órdenes de destrucción” para que sus clientes se deshagan de absolutamente todas las pruebas que tengan y que puedan comprometer su responsabilidad.

Y lo hacen con éxito, lamentablemente; porque no hay reglas de eDiscovery en Latino América, porque no hay conocimiento en las ramas judiciales acerca de estos temas, porque para muchos jueces aún un fax es igual a una fotocopiadora telefónica y, un computador, a la vieja Remington comprada en primer semestre.

Nos falta mucho, mucho…

* Este artículo esta escrito desde la perspectiva de la legislación americana.

En lugar de archivadores o cajas hoy están los discos duros de los computadores de escritorio, de los portátiles, de los servidores corporativos de documentos, de los servidores de email, cintas de backup, otras formas de backup guardadas incluso fuera de las instalaciones, blackberries, computadores de terceros o proveedores de servicios, el buffer memory de las impresoras y de los faxes, en fin.

De acuerdo con la Conference of Chief Justices (1), esto implica serias diferencias en cuanto al grado, al tipo y a los costos:

Diferencias en cuanto al grado:

Veamos estas equivalencias (2):

• Un diskette, de 1.44 megabytes de memoria, equivale a 720 páginas escritas a máquina.
• Un CD-ROM, de 650 megabytes, equivale a 325,000 páginas escritas a máquina.
• Un gigabyte es el equivalente de 500,000 páginas escritas a máquina.
• Respecto de las grandes redes corporativas que almacenan información medida en terabytes (1’000,000 de megabytes); cada terabyte equivale a 500 millones de páginas escritas a máquina.
• Un documento compartido entre empleados de una misma empresa, que realicen comentarios sobre el mismo, puede resultar en unas mil copias o versiones diferentes de ese documento. Cada copia puede parecer idéntica al original.
• Una empresa de 100 empleados genera alrededor de 625,000 mensajes de correo electrónico al año.

Diferencias en cuanto al tipo:

Una diferencia importante en el digital discovery y el tradicional discovery de documentos en papel (no existe una traducción exacta del término discovery, que puede ser entendido como la obtención de la prueba) radica en que las transacciones digitales suelen no resultar en la creación de un documento digital cuya existencia permanezca. Solamente existen bases de datos correlacionadas: al imprimir un pasaje electrónico y cambiar la pantalla, el e-ticket desaparece.

Adicionalmente, los documentos electrónicos contienen información que no existe cuando éstos están en soporte físico (hard copy); me refiero a la “metadata”, a la “system data” y a la “deleted data”. Los metadatos son información sobre el archivo que los contiene; es decir, fecha y hora de creación del archivo, qué usuario lo creo, historia del archivo, etc.; la “system data” está compuesta por archivos relativos al uso de la máquina, como registros de acceso o salida (logins o logouts) o los documentos que fueron impresos; y la “deleted data”, que, contrario a su nombre no ha sido borrada, sino simplemente se ha dado permiso a la máquina para que escriba en el espacio físico que ocupa esa información en la unidad de memoria.

Diferencias en cuanto al costo:

En un caso de cierta importancia, el costo de recuperar la información contenida en 93 backup tapes alcanzó 6.2 millones de dólares, sin incluir los honorarios de abogado correspondientes a la revisión para determinar la importancia de cada uno de los archivos encontrados u objeciones a la obligación de aportarlos como prueba dentro del proceso.

_______________

Estas diferencias implican necesariamente la existencia de nuevos principios, nuevas reglas, nuevos estándares, nuevas obligaciones y nuevos derechos, que deben ser conocidos por los demandantes y la defensa y, ojalá, también por los jueces. Aunque la práctica judicial en Colombia está bastante más atrás, y aún deben resolverse necesidades básicas de los juzgados, vale la pena plantear el tema para ir generando, si no discusión, al menos inquietudes.

En la próxima entrega me referiré a la responsabilidad de los abogados, frente a sus clientes, en este nuevo escenario en el que la producción de evidencia digital puede ser excesivamente costosa.

Carlos S. Álvarez

carlosalvarezc@gmail.com

(1) Guidelines for State Trial Courts Regarding Discovery of Electronically-Stored Information.

(2) Committee on Rules of Practice and Procedures of the Judicial Conference of the United States, Report of the Civil Rules Advisory Committee, p.3 (Washington, DC: August 3, 2004). También: Presentation on Electronic Discovery by Ken Withers, former Senior Judicial Education Attorney at the Federal Judicial Center, to the National Workshop for United States Magistrate Judges on June 12, 2002.