Archivado en Noticias, Privacidad

La obligatoria retención de datos: ¿es hoy un asunto sin discusión para Europa?


Los atentados terroristas de Londres propiciaron el pasado año que en Europa, algunos Estados insistieran en la conveniencia de que las compañías de telefonía que operaban en el territorio de la Unión pudieran almacenar distintos elementos de las comunicaciones. Hoy, esto se ha traducido en una propuesta firme de Directiva, aprobada por el Parlamento Europeo el pasado día 14 de Diciembre, que exige a las operadoras retener esos datos durante un plazo de 6 a 24 meses. Los datos en cuestión serán, desde el lugar de realización y recepción de la llamada, hasta la duración de la conexión e identificación de números y usuarios. También serán objeto de retención los datos referidos a la fecha y momento de activación de una tarjeta prepago y el registro de las llamadas perdidas. La retención de datos se utilizará en principio para "detección, investigación y persecución" de delitos graves, los relativos al terrorismo y al crimen organizado.




Hasta llegar a estas conclusiones, el debate en Europa ha sido arduo, y a su vez, fuertemente argumentado por quienes se oponían a ello, pero parece ser que el desenlace es ya es un asunto sin discusión. Parece que cada llamada o conexión se acabará convirtiendo en una excusa para la custodia y manipulación oficial de datos personales por los gobiernos.

La inquietud por lo que se avecina surgió desde el primer momento en que se planteó esta posibilidad para los Estados miembros. En 1999 el Grupo de Trabajo creado por el Artículo 29 de la Directiva Europea 95/46/CE de protección de las personas frente al tratamiento de sus datos personales y de la libre circulación de estos datos, emitía una opinión [1] sobre este tipo de actuaciones, y definía "interceptar" como el acto de un tercero para conocer el contenido y/o los datos relativos a las comunicaciones entre dos o más receptores, y en particular de los datos de tráfico concernientes al uso de los servicios de las Telecomunicaciones. Se decía que cada interceptación era una intromisión en la vida privada de las personas [2], y que en su caso requeriría de tres bases fundamentales: la base legal, ser una medida necesaria en una sociedad democrática y ser conforme con alguno de los criterios legitimadores de la Convención Europea de Derechos Humanos[3]. Como se puede observar de los conceptos, ya se intuían dos posibles momentos: un primero para la interceptación de las comunicaciones y un segundo para la retención o custodia de sus datos.

Como se sabe, el debate existente en Europa sobre estos temas se fue intensificando gradualmente tras cada uno de los más graves atentados terroristas ocurridos en el panorama internacional de occidente en los 5 últimos años (11-S, 11-M y 7-J). Llegados en un principio desde Estados Unidos, los argumentos que más se hacían oír eran aquellos que pretendían (y pretenden aún hoy) acabar con el crimen organizado sobre la base de la "eterna sospecha" de todo y todos, y las noticias que aparecían en los periódicos no eran muy alentadoras en este sentido. Muestra del rumbo que se estaba tomando fue la noticia sobre el hecho de que el Ministerio británico del Interior planeaba introducir nuevas medidas de control ciudadano para prevenir futuros atentados, como más chequeos fronterizos y el acceso de la Policía a llamadas telefónicas y correos Hasta llegar a estas conclusiones, el debate en Europa ha sido arduo, y a su vez, fuertemente argumentado por quienes se oponían a ello, pero parece ser que el desenlace es ya es un asunto sin discusión. Parece que cada llamada o conexión se acabará convirtiendo en una excusa para la custodia y manipulación oficial de datos personales por los gobiernos.

La inquietud por lo que se avecina surgió desde el primer momento en que se planteó esta posibilidad para los Estados miembros. En 1999 el Grupo de Trabajo creado por el Artículo 29 de la Directiva Europea 95/46/CE de protección de las personas frente al tratamiento de sus datos personales y de la libre circulación de estos datos, emitía una opinión [1] sobre este tipo de actuaciones, y definía "interceptar" como el acto de un tercero para conocer el contenido y/o los datos relativos a las comunicaciones entre dos o más receptores, y en particular de los datos de tráfico concernientes al uso de los servicios de las Telecomunicaciones. Se decía que cada interceptación era una intromisión en la vida privada de las personas [2], y que en su caso requeriría de tres bases fundamentales: la base legal, ser una medida necesaria en una sociedad democrática y ser conforme con alguno de los criterios legitimadores de la Convención Europea de Derechos Humanos[3]. Como se puede observar de los conceptos, ya se intuían dos posibles momentos: un primero para la interceptación de las comunicaciones y un segundo para la retención o custodia de sus datos.

Como se sabe, el debate existente en Europa sobre estos temas se fue intensificando gradualmente tras cada uno de los más graves atentados terroristas ocurridos en el panorama internacional de occidente en los 5 últimos años (11-S, 11-M y 7-J). Llegados en un principio desde Estados Unidos, los argumentos que más se hacían oír eran aquellos que pretendían (y pretenden aún hoy) acabar con el crimen organizado sobre la base de la "eterna sospecha" de todo y todos, y las noticias que aparecían en los periódicos no eran muy alentadoras en este sentido. Muestra del rumbo que se estaba tomando fue la noticia sobre el hecho de que el Ministerio británico del Interior planeaba introducir nuevas medidas de control ciudadano para prevenir futuros atentados, como más chequeos fronterizos y el acceso de la Policía a llamadas telefónicas y correos electrónicos, aparecida el año pasado, el día 10 de Julio. Todo parecía indicar que los límites al control de la privacidad de las comunicaciones y al control de la información personal de los ciudadanos estaban desarticulándose. A pesar de que las declaraciones iniciales decían que no se referiría al contenido de las llamadas, sino al hecho de que se hiciera la llamada en cuestión, el que el Sr. Clarke "aclarara" después que el Gobierno además continuaría utilizando las llamadas "órdenes de control", que le autorizan a mantener bajo arresto domiciliario a individuos sospechosos de terrorismo que no pueden ser procesados por falta de pruebas, mostró al buen entendedor que la intención final no era precisamente dejar margen libre al "usuario presuntamente culpable" (insistiendo en que ello será a pesar de que sobre el contenido de las llamadas, si se quiere respetar el marco normativo de los derechos fundamentales en al UE).

En España la cosa no pintaba mejor, incluso antes de lo ocurrido el 7-J, ya se especulaba con tomar medidas de este tipo para combatir otro tipo actividades delictivas. El Defensor del Pueblo, siguiendo lo recogido por el artículo 12 de la LSSI (aún hoy sin vigor) pedía al Gobierno en Marzo de 2005, que las compañías de Internet guardasen datos durante un año para combatir la pedofilia, a lo que se sumaban en Noviembre autores, artistas, productores y editores pidiendo incluso que se cambie la LSSI para combatir la piratería, las discográficas quieren usar datos de teléfonos e Internet para combatir la piratería en la UE. La legitimidad de unas y otras peticiones es parte integrante del título y pregunta para esta exposición .

De lo expuesto hasta ahora se puede deducir que, lo que se suponía un terreno consolidado respecto a los derechos y libertades fundamentales en el territorio de la UE, en concreto sobre los derechos a la privacidad y a la protección de datos de carácter personal [4], hoy se han ido tornando en peligrosos deslindes de los límites del Estado a favor de la Seguridad, todo ello, ignorando deliberadamente posibles alternativas existentes, lícitas y eficaces, para obtener similares resultados en las investigaciones sin arriesgar peligrosamente la seguridad del individuo frente a accesos y manipulaciones no autorizados ("torticeros" e "ilegales") a la información almacenada.

En un intento de imponer la cordura, hubo bastantes voces en contra de quienes parecían no querer encontrar límites a sus reivindicaciones, y así, el Parlamento Europeo rechazó en distintas ocasiones las iniciativas de varios Estados miembros (Reino Unido, Francia, Suecia e Irlanda) sobre la conservación de datos de conversaciones electrónicas, siendo Alemania y Finlandia los más firmes opositores al recorte desmedido de las libertades. En concreto, los vetos se producían respecto del marco normativo que se quería utilizar (una decisión marco) para una futura regulación, y sobre el concepto de proporcionalidad de la medida para una sociedad democrática. Este último, el más controvertido, es el que hace referencia al tiempo considerado para la retención y a la finalidad perseguida con esta medida (retener datos que las empresas no necesitan para sus propios objetivos comerciales, supone una quiebra importante del principio de finalidad).

Por su parte, el Supervisor Europeo de Protección de Datos, Peter Hustinx declaraba en Noviembre de 2005 que es 'esencial' que la propuesta respete los derechos fundamentales ya que, en caso contrario, sería 'no sólo inaceptable, sino ilegal'. Lo que era traducido sencillamente a:

- medidas de seguridad adecuadas para restringir el acceso y el uso de las informaciones. Asegurarse de que las personas afectadas puedan ejercitar sus derechos.

- que los datos se borren de forma eficiente una vez concluya el periodo de retención.

- la UE no tiene competencias para controlar el acceso de los servicios de Inteligencia de los Estados miembros a los datos retenidos, y por ello reclama a los Gobiernos que tomen las medidas necesarias para regular la utilización que pueden hacer estos servicios de la información que conserven las compañías de telecomunicaciones. Armonización de normativas.

En esta línea se pronunciaron también los Comisarios y Directores de las Instituciones para la Protección de Datos de los Estados miembros (en España AEPD). En su opinión, cualquier restricción que afecte el derecho fundamental de protección de datos y, en particular, a la confidencialidad de la comunicaciones personales, 'es una medida de carácter excepcional y no de aplicación general' por lo que proponen que la directiva tenga una vigencia máximo de tres años y que posteriormente se evalúe su utilidad. Recomiendan la previsión de la intervención judicial para el acceso a la información derivada de la retención y que haya controles de acceso. La Agencia Española de Protección de Datos considera que 'hay garantizar el derecho fundamental a la protección de datos buscando un equilibrio entre éste y el derecho a la protección y seguridad frente al terrorismo. Continúan por tanto lo dictaminado desde el principio por el Grupo de Trabajo del artículo 29, que la proporcionalidad de una medida de retención de datos sólo puede residir sobre la base de la prevención, investigación, detención y persecución de crímenes (prevention, investigation, detection and prosecution of criminal offences) y la necesidad social[5]. Este grupo señaló además que el Tribunal de Derechos Humanos entendía el límite al secreto de las comunicaciones en casos excepcionales y bajo condiciones específicas, aplicar estas medidas sobre toda persona, y no sobre determinados individuos y en aplicación de determinadas normas, sería desproporcionado. Los Estados no pueden, en nombre de la lucha contra el espionaje y el terrorismo, adoptar cualesquiera medidas ellos consideran apropiado[6].

A pesar de la existencia contrastada de estas firmes advertencias y argumentos legales sobre los peligros de adoptar este tipo de medidas, la propuesta de directiva de la Unión Europea sobre retención de datos telefónicos y de comunicaciones electrónicas, fue aprobada por el Parlamento Europeo el pasado 14 de diciembre.

En España, la situación hoy es la de un artículo de la LSSI sobre el deber de retención de datos de tráfico relativos a las comunicaciones electrónicas sin vigor, en espera de su regulación por Reglamento[7], y que habla expresamente de que en ningún caso, la obligación de retención de datos afectará al secreto de las comunicaciones, y del que se deduce que esta previsión no alcanza al hecho de realizar la propia llamada (si te comunicas o no con una persona, no es por lo visto parte de la comunicación ni de la esfera privada y decisoria de la persona) lo que muestra que estamos además ante un importante problema de definición de conceptos y su alcance. Tal y como se decía al iniciar esta exposición, hay que distinguir en este análisis entre un primer momento para la interceptación de las comunicaciones, y un segundo, para la retención o custodia de sus datos. Éste, que ha sido el más comentado hasta el momento, debe entenderse en un contexto en el que lógicamente no podría existir hasta que no fuese correctamente delimitado el primero, la interceptación.

El Capítulo II del Título V del Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios, aprobado el pasado día 15 de abril, que regula "la interceptación legal de las comunicaciones", y la define como: medida establecida por Ley y adoptada por una autoridad judicial que acuerda o autoriza el acceso o la transmisión de las comunicaciones electrónicas de una persona, y la información relativa a la interceptación, a los agentes facultados, sin perjuicio de lo establecido en el artículo 579.4 de la Ley de Enjuiciamiento Criminal. Y continúa regulando cuestiones como el acceso a las comunicaciones electrónicas o la información relativa a la interceptación.

Este es el primer paso que se ha dado en nuestro Estado hacia el control de las comunicaciones, y sus efectos ya se están notando, hay una firme oposición por la Sociedad Civil a la falta de garantías. Esta norma ha sido impugnada por la Asociación de Internautas ante la Sala Tercera del Tribunal Supremo, que ha admitido a trámite el recurso contencioso - administrativo por providencia dictada el 17 de Julio. Las razones que alega dicha asociación y que se están analizando por el Alto Tribunal son:

1. que el Gobierno no respeta el límite de la autorización concedida por el artículo 33 de la Ley General de Telecomunicaciones, que no le faculta para establecer el procedimiento legal relativo a la interceptación de las comunicaciones acordadas por la Autoridad judicial, dicho procedimiento debió hacerse por ley tal y como dispone el artículo 81 de la Constitución (materia reservada a Ley orgánica por tratarse de la limitación de un derecho fundamental) y refuerza el 18.4, cuando establece que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

2. que no se respeta la necesidad de una regulación exhaustiva del procedimiento que se deberá seguir entre las operadoras y la Administración para el tratamiento de la información interceptada.

3. que posibilita (en contra de la LOPJ) que la interceptación de las comunicaciones sean llevadas a cabo por las fuerzas y cuerpos de seguridad del Estado creando la figura del "agente facultado". Se pretende que las operadoras y prestadores de servicios faciliten a los agentes "habilitados" toda aquella información de la interceptación que estimen necesaria, no sólo del sujeto a la interceptación (solicitados o no por la Autoridad judicial), sino de cualquiera de las partes que puedan intervenir en las comunicaciones que sean clientes del operador o prestador de servicios, sin perjuicio, además, "de otros datos que puedan ser establecidos mediante real decreto", estén o no relacionados con la investigación que se esté llevando a cabo.

Después de esto, y sin querer hacer más cometarios que perturben la reflexión pretendida, para centrarla se concluye:

En primer lugar, en Europa se acaba de aprobar una propuesta de Directiva contraria en su espíritu a los principios aprobados en su momento por la Convención Europea de Derechos Humanos y reiterados por numerosos expertos en la materia. En segundo lugar, los Estados Miembros carecen de los instrumentos legales necesarios para la armonización de sus normativas y también para su efectiva implantación estatal, y se intuye carecen de las medidas técnicas no sólo para hacerlo realidad, sino también para dotarlos de las imprescindibles e inherentes medidas y garantías de seguridad. A nivel nacional, en España, tenemos una previsión legal sobre la retención de datos sin vigor aún (art.12 LSSI), que necesitaría apoyarse sobre un primer paso, la regulación de la interceptación de las comunicaciones. Y esta primera pieza, que no olvidemos es la imposición de un límite a derechos fundamentales (empezando por el derecho al secreto de las comunicaciones), se quiere plasmar entre las fuentes del derecho a través de un mero Reglamento .

Cabe pues preguntarse: si en cuestiones de derechos fundamentales, lo prioritario es aprobar "brillantes" ideas sobre cómo cercenarlos y lo subsidiario (e incluso prescindible) es cómo implantar y/o mantener las garantías básicas que los hacen posibles. ¿Dónde quedan los derechos? ¿ES HOY UN ASUNTO SIN DISCUSIÓN PARA EUROPA?

--------------------------------------------------------------------------------

[1] Recomendación 2/99 sobre el respeto a la privacidad en el contexto de las telecomunicaciones, a la que siguieron otras como la "Recommendation 3/99 on the preservation of traffic data by Internet Service Providers for law enforcement purposes" o la "Opinion 4/2001 on the Council of Europe's Draft Convention on Cyber-crime"

[2] a violation of individuals right to privacy and of the confidentiality of correspondence."

[3] a legal basis, the need for the measure in a democratic society and conformity with one of the legitimate aims listed in the Convention."

[4] No puede olvidarse aquí mencionar los daños colaterales que se podrían provocar si se hace sin las debidas garantías respecto de otros derechos la libertad de comunicación, información, expresión, movimiento, etc.

[5] Opinion 9/2004 on a draft Framework Decision on the storage of data processed and retained for the purpose of providing electronic public communications services or data available in public communications networks with a view to the prevention, investigation, detection an prosecution of criminal acts, including terrorism. [Proposal presented by France, Ireland, Sweden and Great Britain (Document of the Council 8958/04 of 28 April 2004)] Adopted on 9th November 2004 .

[6] Pressing social need" (e.g. the judgement in Klass v. Federal Republic of Germany of 18 November 1977 European Court of Human Rights, Series A No 28 - confirms that the Contracting States may not, in the name of the struggle against espionage and terrorism, adopt whatever measures they deem appropriate Klass, p.3).

[7] Art. 12. 4. LSSI. Reglamentariamente, se determinarán las categorías de datos que deberán conservarse según el tipo de servicio prestado, el plazo durante el que deberán retenerse en cada supuesto dentro del máximo previsto en este artículo, las condiciones en que deberán almacenarse, tratarse y custodiarse y la forma en que, en su caso, deberán entregarse a los órganos autorizados para su solicitud y destruirse, transcurrido el plazo de retención que proceda, salvo que fueran necesarios para estos u otros fines previstos en la Ley.

Artículo de Ofelia Tejerina Rodriguez Coordinadora del Servicio Jurídico de la CLI en: Dossier Tecnológic .

pdfprintpmail