¿Son realmente ilegales los cracks? Reflexión sobre la protección jurídica de los DRMs | Monday 6 July 2009

Hace unos días, una amiga desarrolladora de software libre me preguntó sobre la legalidad de los programas que permiten eludir medidas tecnológicas de protección (MTP) o sistemas para la gestión de derechos (DRMs), así que sirva este post para resolver las dudas que tenía y para poner de manifiesto las incoherencias que tiene la legislación española en la materia.

Es de sobra conocido que la DMCA americana prohíbe distribuir o eludir una MTP, pero lo que muchos desconocen es que la legislación española también prohíbe determinados actos en relación a estas tecnologías, y su protección es tanto penal como civil, con diferentes resultados en cada caso. Estos artículos son aplicables a cracks, keygen y, en general, a cualquier instrumento que pudiera ser utilizado para eludir una medida tecnológica de protección, con una implicación desigual dependiendo del funcionamiento técnico de dicho dispositivo.

La protección ante este tipo de instrumentos se recogió por vez primera en nuestro país a través del Código Penal (en su redacción de 1995, aunque la modificación introducida por la LO 15/2003 amplió la protección, para incluir a obras diferentes a las informáticas), cuyo artículo 270.3 establece:

Será castigado también con la misma pena [pena de prisión de seis meses a dos años y multa de 12 a 24 meses] quien fabrique, importe, ponga en circulación o tenga cualquier medio específicamente destinado a facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador o cualquiera de las otras obras, interpretaciones o ejecuciones en los términos previstos en el apartado 1 de este artículo.

Este apartado del artículo 270 no hace mención expresa a la necesidad de existencia de ánimo de lucro y perjuicio de tercero, pero la remisión que hace in fine al primer apartado del mismo hace pensar que es necesario ambos elementos para encontrarnos dentro de este tipo penal, interpretación que también aparece en la famosa Circular 1/2006 de la Fiscalía General del Estado (página 26).

La palabra más polémica de este apartado es, quizá, la que he resaltado; es decir, el tipo penal exige que el dispositivo neutralizador esté específicamente diseñado o destinado a facilitar la supresión de tal MTP, existiendo resoluciones judiciales desiguales que aplican este artículo que varían en su resultado por la interpretación que hacen de esta palabra. En este sentido, hay sentencias de la Audiencia Provincial de Barcelona que consideran que, en relación a los modchips de la PS2, tales dispositivos tienen el fin específico de eludir una medida tecnológica, mientras que otras de las Audiencias Provinciales de Valencia y Palma de Mallorca aprecian que la finalidad de los mismos es principalmente disfrutar de juegos de zonas diferentes a la europea (función que también suelen cumplir estos chips) y, accesoriamente, neutralizar dicha medida tecnológica.

Como vemos, la especificidad ha sido interpretada de forma desigual por los tribunales, algo completamente indeseable para cualquier sistema jurídico, por lo que sería recomendable -casi imperativo- que el Tribunal Supremo unificase doctrina estableciendo si tales dispositivos que poseen diferentes funciones, entre ellas neutralizar una MTP, son penalmente perseguibles o no. Desde mi punto de vista, y teniendo en cuenta el actual estado de la técnica y la redacción del 270.3 CP, creo que si es técnicamente posible -como lo es- desarrollar un chip cuya finalidad única sea permitir la lectura de juegos de otros sistemas diferentes al europeo, la incorporación de la función elusiva de una MTP debería ser tomada en cuenta por los tribunales a la hora de analizar la especificidad de la medida, así como el uso que principalmente se le da a los modchips, que es indudablemente la de permitir la reproducción de copias ilegítimas de videojuegos.

Hasta aquí la protección penal de este tipo de MTP.

Por otro lado está la protección civil de este tipo de medidas, que se encuentra recogida en la Ley de Propiedad Intelectual, en sus artículo 102.c (programas informáticos) y 160.1 (resto de obras y prestaciones), con un resultado bastante desigual ya que mientras que este último artículo fue introducido con la reforma de 2006 (trasposición de la Directiva 2001/29/CE), el anterior tiene su origen en la Directiva de 91/250/CE, y como os podéis imaginar, mucho ha llovido desde entonces.

El artículo 102 LPI, de aplicación únicamente para programas informáticos,  establece:

A efectos del presente Título y sin perjuicio de lo establecido en el artículo 100 tendrán la consideración de infractores de los derechos de autor quienes, sin autorización del titular de los mismos, realicen los actos previstos en el artículo 99 y en particular:

c. Quienes pongan en circulación o tengan con fines comerciales cualquier instrumento cuyo único uso sea facilitar la supresión o neutralización no autorizadas de cualquier dispositivo técnico utilizado para proteger un programa de ordenador.

Vemos que pasamos de la especificidad del Código Penal, a la exclusividad de la finalidad de estos instrumentos para neutralizar MTP de programas informáticos, siendo por lo tanto (e incomprensiblemente) más restrictiva la aplicación de la LPI que del Código Penal. Además, mientras que el Código Penal penaba la fabricación, importación, etc. de este tipo de medidas, el art. 102.c LPI se limita a la puesta en circulación y tenencia con fines comerciales, dejando fuera otros actos como la fabricación o desarrollo de este tipo de medidas o incluso la tenencia y utilización sin fines comerciales. Esto puede llevar a la conclusión de que desproteger para uso privado un programa informático no supone un acto ilegal (del art. 102.c) ya que no implica ni una tenencia ni una distribución con finalidad comercial de un dispositivo técnico neutralizador de una MTP (aunque hay un sector doctrinal que opina que podría ser un acto de reproducción inconsentido).

Esta incoherente restricción del orden civil ha llevado a los titulares de derechos sobre programas informáticos (generalmente videojuegos) a buscar la protección de sus obra a través de la vía penal, sobre todo porque el artículo 160.4 LPI excluye al software de la protección de los artículos 160 y siguientes LPI, más coherente que la específica del art. 102.c. Como hemos visto anteriormente, los desarrolladores de software tampoco han encontrado en el orden penal la vía idónea para reivindicar sus derechos.

Sobre el resto de obras y prestaciones diferentes al software, su protección por vía civil se introdujo en nuestro ordenamiento en 2006, con una transposición casi ad pedem literae de la Directiva 2001/29/CE; de esta forma, el artículo 160 LPI establece:

1. Los titulares de derechos de propiedad intelectual reconocidos en esta Ley podrán ejercitar las acciones previstas en el título I de su libro III contra quienes, a sabiendas o teniendo motivos razonables para saberlo, eludan cualquier medida tecnológica eficaz.

2. Las mismas acciones podrán ejercitarse contra quienes fabriquen, importen, distribuyan, vendan, alquilen, publiciten para la venta o el alquiler o posean con fines comerciales cualquier dispositivo, producto o componente, así como contra quienes presten algún servicio que, respecto de cualquier medida tecnológica eficaz:

  1. Sea objeto de promoción, publicidad o comercialización con la finalidad de eludir la protección, o
  2. Sólo tenga una finalidad o uso comercial limitado al margen de la elusión de la protección, o
  3. Esté principalmente concebido, producido, adaptado o realizado con la finalidad de permitir o facilitar la elusión de la protección.

De esta forma, la LPI protege a los titulares de derechos frente a actos preparatorios (fabricación, distribución, etc.) y frente a actos elusivos (los que propiamente eluden tales medidas), siempre y cuando dicha técnica, dispositivo o componente sea eficaz, para lo cual también se ofrece una definición un tanto redundante:

3. Se entiende por medida tecnológica toda técnica, dispositivo o componente que, en su funcionamiento normal, esté destinado a impedir o restringir actos, referidos a obras o prestaciones protegidas, que no cuenten con la autorización de los titulares de los correspondientes derechos de propiedad intelectual.

Las medidas tecnológicas se consideran eficaces cuando el uso de la obra o de la prestación protegida esté controlado por los titulares de los derechos mediante la aplicación de un control de acceso o un procedimiento de protección como por ejemplo, codificación, aleatorización u otra transformación de la obra o prestación o un mecanismo de control de copiado que logre este objetivo de protección.

Introduce, por tanto, la legislación civil nuevos condicionantes que habría que estudiar para comprobar si es legal, por ejemplo, una aplicación que elimine el DRM de una película adquirida en Internet o el sistema de protección de los DVDs. Estos requisitos son, a modo enunciativo:
1. Que los titulares de derechos puedan controlar el uso de la obra o prestación
2. Que se apliquen controles de acceso, de protección o de control de copiado
3. Que logre el objetivo para el cual fue creado, es decir, proteger la obra o prestación

Mientras que el Código Penal hablaba de especificidad, el 102.c LPI de exclusividad, ahora el 160.2.c dice que el principal uso de dicho dispositivo sea eludir una medida tecnológica eficaz, debiendo ser igualmente necesario analizar técnicamente el dispositivo elusivo para comprobar si entraría dentro de este artículo o si, una vez más, escaparía del mismo.

Un ejemplo (para que entendáis la cuestión) es el software que generalmente uso como librería musical, el Sony SonicStage (o, igualmente, Apple iTunes), que permite importar CDs incluso cuando estos cuentan con una medida tecnológica. La finalidad principal de este software no es eludir una MTP (como sí lo sería el DeCSS), sino de servir de gestor discográfico, aunque accidentalmente permite importar discos compactos protegidos con una MTP, y lo hace ya sea por la potencia del programa o por la debilidad de la MTP (me inclino a pensar que es por este segundo motivo). El resultado es que la LPI sólo protege a las MTP que realmente cumplan el objetivo para el cual fueron desarrolladas y no sean eludidas accidentalmente (algo que es también posible con DRMs como los usados por iTunes o Microsoft, que al permitir grabar una canción en un CD, eliminan la MTP que llevaba incorporado el archivo comprado en Internet).

El resultado de todo ello es un sistema jurídico que protege de forma desigual a una obra dependiendo de su naturaleza jurídica (en claro perjuicio para los desarrolladores de software), y cuya protección dependerá directamente de la eficacia de la medida tecnológica aunque, sobre todo, de las finalidades del instrumento elusivo ( con especificidad, exclusividad o principalidad, según el caso). Además, las resoluciones judiciales no han hecho más que complicar este irregular sistema, que debería ser revisado para saber con exactitud qué es legal y qué podría conllevar sanciones civiles o incluso penales.

El sistema es mucho más complejo de lo desarrollado aquí, y espero dar cuenta de ello dentro de muy poco.

18 comentarios

  1. Jomra | permalink | 7.7.2009 a las 11:11:

    Salud

    No deja de ser irónico que el Software en este apartado quede menos protegido (cosas de tener una redacción más antigua) que el resto de obras cuando inicialmente se intentó limitar al máximo posible las copias del Software mientras que las del resto de obras no suponían una “amenaza” (y se pasó al sistema de permisividad con la copia privada y el pago compensatorio, algo que no tiene el Software, que seguramente, en CD y DVD, ocupe más estanterías de discos copiados que la propia música o películas, al menos en las casas de los jugones).

    Sobre las MTP, la verdad es que producen más problemas que beneficios, al menos para el usuario final del bien o producto, y hay algunas que son técnicamente inexplicables (la protección por zonas del Blu-ray, la de los videojuegos, etc.) y son la excusa perfecta para chips y similares (y esto lo entiendo perfectamente, como debe entenderlo todo el que se mueva en distintas “zonas de protección”). Y hay algunas protecciones excesivamente intrusivas, que merecen ser retiradas pero YA por el usuario (pienso en algunos DRM que incluían rootkits, como el de Sony que levantó tanta polémica)…

    Hasta luego ;)

    PD: Hablando de MTP molestos, ODIO (en mayúsculas) los PDF que no permiten imprimir, sobre todo cuando son partes de una obra y no la obra completa, resulta ABSURDO que pongan ese tipo de protección (que es, además, fácilmente saltable).

  2. Elohe | permalink | 7.7.2009 a las 13:09:

    Esta realmente bien y deja bien claro lo retorcido del asunto, pero a mi que quedan interrogantes de casos en colisión con las MTP.

    MTP vs “Copia privada”

    -La cuestión mas polémica.

    MTP vs “Disfrute del original”

    -A pasado mas de una vez que para poder disfrutar de un CD o de un DVD en determinados dispositivos que cumplían con el estándar del formato era necesario saltarse las protecciones y hacer una copia sin ellas. O de no poder disfrutar de un juego viejo sin tener que crackearlo por que la protección no funcionaba por poseer un sistema operativo mas moderno que para el que fue diseñado, o que simplemente no iba como debía la protección.

    MTP vs “Copia de seguridad”

    -Ya prácticamente erradicado en casi todo aquello que no sean juegos, pero la copia de seguridad es algo realmente útil para evitar perder los datos/programas.

  3. ¿Son realmente ilegales los cracks? Reflexión sobre la protección jurídica de los DRMs | permalink | 7.7.2009 a las 13:12:

    [...] ¿Son realmente ilegales los cracks? Reflexión sobre la protección jurídica de los DRMswww.interiuris.com/blog/?p=616 por Tanatos hace pocos segundos [...]

  4. phenom | permalink | 7.7.2009 a las 13:23:

    Aunque no vaya directamente con el tema me gustaría saber que parte de la actual legislación abarca la creación, distribución y publicación con o sin anime de lucro de los denominados “exploits” o pequeñas aplicaciones creadas para sacar provecho funcional de un agujero de seguridad que un sistema de software pudiese tener.

    He indagado algo por internet y en paises como Alemania es ilegal y perseguido por la ley. Pero sobre el ámbito legal español no he encontrado nada, podrias aportar algo de luz al asunto o aportar alguna referencia valida?

    Muchas gracias y enhorabuena por el articulo.

  5. RFOG | permalink | 7.7.2009 a las 15:55:

    Una duda que me corroe las entrañas. Supongamos que compro un libro en formato electrónico con DRM que solo se puede leer en un aparato o una familia de aparatos.

    Supongamos ahora que yo quito el DRM a ese libro mediante una herramienta genérica para quitar DRM porque:
    -La tienda donde lo he comprado ha cerrado y yo quiero leerlo en otro aparato.
    -Se me ha roto el aparato original y me he comprado otro que no soporta ese DRM.

    El equivalente en ambos casos es mudarme de casa y/o cambiar de estantería, y se supone que si hago eso no tengo que volver a comprarme todos los libros.

    Más: Supongamos que tengo tres aparatos diferentes y el DRM original sólo me permite DOS y el uso de cualquiera de esos tres aparatos no es simultáneo con otro.

    ¿Es un delito aplicar y tener dicho contenido sin DRM?

    Esas situaciones se pueden dar muy fácilmente, y de hecho ya se ha dado alguna vez en el caso de la música. ¿Es iliegal tener y/o publicar dichas herramientas destinadas a dicho uso?

    Gracias.

  6. Javier Prenafeta | permalink | 7.7.2009 a las 20:10:

    Sobre la parte penal, en mi opinión también habría que tener en cuenta el uso que se haga del dispositivo. Su fabricación, puesta a disposición, tenencia… será legal depende para qué se vaya a usar, pero hay que tener en cuenta la intencionalidad del sujeto, que no queda clara en el tipo.

    Así que la especificidad podría no entenderse al dispositivo en si, sino al uso concreto que se le de, y eso abre muchas más posibilidades, aunque desdeluego en muchos casos sea difícil de demostrar.

  7. Bernabé García | permalink | 8.7.2009 a las 18:28:

    A alguien se le ocurre que estas medidas buscan proteger el antojo y los caprichos de empresas privaadas que se niegan a modificar su modelo comercial? Yo tenía entendido que el objetivo de las legislaciones debían ser proteger a la sociedad, no a grupos de poder privados específicos. Por qué nadie protegió a los pbres vendedores de hielo, cuando aparecieron esas horrendas heladeras? O a los dueños de carruajes, cuando aparecieron esa porquería de automóviles.

    Sólo me resta una reflexión: http://xkcd.com/488/

  8. Juan Carlos | permalink | 8.7.2009 a las 18:58:

    ¿Y que pasa cuando quiero pasarme mis películas en VHS a DVD y no puedo porque tienen protección? ¿Debo pasar otra vez por caja?

  9. Alex | permalink | 9.7.2009 a las 16:39:

    ¿Sería ilegal un programa que genera las contraseñas por defecto de los routers wireless ADSL que las compañías telefónicas instalan en nuestra casa? ¿Qué pena le afectaría?

    En mi web he colgado alguna herramienta que utilizo para impartir mi asignatura de seguridad en redes. Dicha herramienta genera contraseñas por defecto que se pueden utilizar para entrar en la wireless de, por ejemplo, el vecino, y aprovechar su salida a Internet.

  10. Hola PO! » The Internet is a Series of Blogs! (V) | permalink | 11.7.2009 a las 18:02:

    [...] Andy Ramos, autor del blog Interiuris, habló de propiedad intelectual y la protección jurídica de los DRM’s planteando una excepcional reflexión: ¿son realmente ilegales los cracks? [...]

  11. The Internet is a Series of Blogs! (V) : Blogografia | permalink | 11.7.2009 a las 18:20:

    [...] Andy Ramos, autor del blog Interiuris, habló de propiedad intelectual y la protección jurídica de los DRM’s planteando una excepcional reflexión: ¿son realmente ilegales los cracks? [...]

  12. Moova! News on the Move » The Internet is a Series of Blogs! (V) | permalink | 11.7.2009 a las 18:30:

    [...] Andy Ramos, autor del blog Interiuris, habló de propiedad intelectual y la protección jurídica de los DRM’s planteando una excepcional reflexión: ¿son realmente ilegales los cracks? [...]

  13. Stranno | permalink | 11.7.2009 a las 18:39:

    Ubisoft utilizó en el parche 1.03 de Rainbow Six : Vegas 2 de PC un crack no-CD de el grupo pArAdOx para quitar su propia basura de protección

    Y nadie les ha llevado a juicio por auto-crackearse

    La ingeniería inversa, que doy por hecho que es como se hacen los cracks, es legal en casi todos los países del mundo

  14. Andy Ramos | permalink | 12.7.2009 a las 21:04:

    Ante todo, daros las gracias a todos por comentar y pedir disculpas por no haber podido responder vuestros comentarios hasta ahora, pero llevo unos días trabajando a destajo, fines de semana incluidos.

    Voy respondiendo a quienes realizaron preguntas por orden cronológico (con el resto, sabéis lo crítico que he sido siempre con este tipo de medidas tecnológicas, así que reiterar de nuevo mi postura):

    – Elohe, como te has dado cuenta, las MTP colisionan con otros puntos críticos de la propiedad intelectual, y no siempre se ha resuelto bien por nuestro legislador:

    MTP vs “Copia privada”

    Como la copia privada no es un derecho de los ciudadanos, sino un límite al derecho exclusivo de los autores, esta exceción no se puede reivindicar en todo caso, sino únicamente frente a obras o prestaciones adquiridas en el mundo offline (no se puede exigir en películas o música comprada en iTunes, Pixbox, etc. por muy injusto que nos parezca, por imposición de la Directiva 2001/29/CE) y se tiene que reivindicar acudiendo a la jurisdicción civil ordinaria, es decir, a los tribunales (lo cual es un auténtico disparate si analizamos la proporcionalidad de la medida que se pretende obtener ante unos tribunales saturados de trabajo). Puedes ver el artículo 161 de la Ley de Propiedad Intelectual si quieres más información.

    Lo que está claro es que no puedes “saltarte” una MTP en tu casa por tu cuenta alegando el límite de copia privada, sino que deberás acudir, cuando la ley lo permita, a los tribunales para que estos dicten tal medida.

    MTP vs “Disfrute del original”

    La LPI no establece la posibilidad de saltarse una medida para poder disfrutar del original, y lo que sí exigen otras legislaciones (como Francia y Alemania) es que se especifique correctamente en qué tipo de dispositivos se va a poder reproducir un determinado soporte para informar convenientemente al consumidor. En España, yo creo que ese tipo de soportes se podrían considerar defectuosos, y por lo tanto exigir el reintegro de la cantidad abonada.

    MTP vs “Copia de seguridad”

    En este caso, la LPI no establece posibilidad alguna de saltarse una medida tecnológica para poder realizar una copia de seguridad de un software, pero considerando lo limitado que está hoy en día este concepto desde un punto de vista legal, entiendo que no se podría exigir.

    – Phenom, sobre la legalidad de explotar esos agujeros de seguridad de determinados programas informáticos, habría que analizar qué tipo de aprovechamiento se quiere realizar y ver si éste podría tener fines maliciosos o que pudiera causar un daño a un tercero. Como siempre digo, un software de por sí no es legal ilegal (a no ser que sea la copia de otro), sino que hay que analizar qué funcionalidad tiene ese software.

    – Rfog, el caso que explicas es el ejemplo arquetípico de los aspectos negativos de los DRMs, que imposibilitan al usuario disfrutar de una determinada obra en formato digital de forma razonable, por ejemplo en un determinado aparato. En los casos que comentas, la respuesta es siempre que no podrás levantar la medida tecnológica que lleve incorporada, ya que ese libro electrónico lo habrás comprado a través de Internet, y los DRMs sobre este tipo de obras no se pueden eludir en ningún momento. Por lo tanto, no estarías comentiendo un delito (penal), pero sí podrías estar incurriendo en un ilícito civil (sin penal de cárcel, pero sí de indemnización).

    – Juan Carlos, si quieres pasarte tus películas de VHS a DVD, y para ello quieres eludir una medida tecnológica como Macrovision, deberás acudir a un juez para que él obligue al distribuidor de la película a levantar dicha medida. Es así de desproporcionada e irracional nuestra Ley.

    – Alex, ten en cuenta que lo que detallaba en el post eran dispositivos que eludían una medida tecnológica, y lo que tú comentas con programas que generan claves, no para acceder a una obra, sino para acceder a una red, lo cual es jurídicamente diferente.

    Sobre el tema que preguntas, hace un par de años escribí un post que explicaba un caso parecido: http://www.interiuris.com/blog/?p=334

    Habría que comprobar si entra dentro del tipo penal tu software y la actividad que se hace con él.

    Lo dicho, pediros disculpas a todos y gracias por comentar.

  15. P2P y DRMs en España « Borrador B | permalink | 13.7.2009 a las 22:37:

    [...] segundo lugar, este análisis realizado por Andy Ramos acerca de la protección jurídica de los DRMs [Vía | [...]

  16. Victor | permalink | 14.7.2009 a las 18:57:

    La mejor forma de crackear los DRM es absteniéndose de comprar equipos y contenidos que usen DRM.

  17. The Internet is a Series of Blogs! (V) | Ricón de Ocio | permalink | 21.7.2009 a las 0:02:

    [...] Andy Ramos, autor del blog Interiuris, habló de propiedad intelectual y la protección jurídica de los DRM’s planteando una excepcional reflexión: ¿son realmente ilegales los cracks? [...]

  18. La Propiedad Intelectual en la era Digital « Quintus Innova | permalink | 21.7.2009 a las 8:50:

    [...] Es un trabajo de investigación jurídica muy necesario y que arroja luz sobre un asunto de plena actualidad como es la Propiedad Intelectual en la Sociedad Red, y que lleva tiempo sumido en una absoluta confusión jurídica. [...]

Dejar un comentario