página personal > blog
Menú principal
DERECHO Y NUEVAS TECNOLOGÍAS... CON UN PUNTO INFORMAL


lunes, 29 de noviembre de 2010

Identifíquese

Top Secret - Malakh Kelevra (via Flickr)En octubre de 2007 las Cortes aprobaron la Ley 25/2007, de conservación de datos de telecomunicaciones. Básicamente, esta norma regula la obligación de las teleco de retener determinados datos de tráfico, como la dirección IP y el horario de conexión de un usuario, para permitir que sean empleados por las autoridades para la detección o investigación por delitos graves.

Dejando a un lado el concepto de "delito grave", que no está nada claro en nuestra legislación, uno de los mayores problemas derivados de esta norma es, precisamente, que no está pensada para cubrir otro tipo de infracciones. Y esto ha causado multitud de problemas interpretativos, hasta el punto que la Sala Segunda del Tribunal Supremo acordó, el 23 de febrero pasado, que:

"Es necesaria la autorización judicial para que los operadores que prestan servicios de comunicaciones electrónicas o de redes públicas de comunicación cedan los datos (...) conservados que se especifican en el art. 3 de la Ley 25/2007, de 18 de octubre"
Teniendo esto en cuenta, surge una pregunta: ¿puede la fiscalía pedir a una compañía de telecomunicaciones que le diga quién está detrás de una IP a una hora determinada, en caso de que cometa un delito "menos grave"? ¿Y la Administración? La pregunta tiene su miga, pues sin conocer la identidad del infractor no se pueden sancionar conductas como el envío de spam, por poner un ejemplo.

Si el tratamiento de datos tráfico estuviese regulado únicamente por la Ley de Conservación, la respuesta sería evidente. Sin embargo, el Derecho español aborda el tratamiento de los datos de tráfico en dos supuestos:
Para acceder a los datos tratados en el marco de la 25/2007, sólo están habilitados los agentes facultados por la propia ley, que son únicamente (art. 6.2):
  1. Los miembros de las Fuerzas y Cuerpos de Seguridad, cuando desempeñen funciones de policía judicial, de acuerdo con lo previsto en el artículo 547 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial.
  2. Los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, en el desarrollo de sus competencias como policía judicial, de acuerdo con el apartado 1 del artículo 283 de la Ley de Enjuiciamiento Criminal.
  3. El personal del Centro Nacional de Inteligencia en el curso de las investigaciones de seguridad sobre personas o entidades, de acuerdo con lo previsto en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, y en la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia.
Es decir, ni siquiera la fiscalía, y mucho menos un órgano administrativo. Y los datos sólo pueden ser utilizados "con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales", y por medio de "la correspondiente autorización judicial".

Por otra parte, el art. 65.5 del RD 424/2005 reza que (la negrita es mía):

"5. El tratamiento de los datos de tráfico, de conformidad con los apartados anteriores, sólo podrá realizarse por las personas que actúen bajo la autoridad del operador prestador del servicio o explotador de la red que se ocupen de la facturación o de la gestión del tráfico, de las solicitudes de información de los clientes, de la detección de fraudes, de la promoción comercial de los servicios de comunicaciones electrónicas, de la prestación de un servicio con valor añadido o de suministrar la información requerida por los jueces y tribunales, por el Ministerio Fiscal o por los órganos o entidades que pudieran reclamarla en virtud de las competencias atribuidas por la Ley 32/2003, de 3 de noviembre.
En todo caso, dicho tratamiento deberá limitarse a lo necesario para realizar tales actividades"

Visto lo anterior, y desde un punto de vista exclusivo de protección de datos, entiendo que hablamos de dos tratamientos diferentes, habilitados por dos cuerpos normativos distintos:

Ley 25/2007Art. 65 RD 424/2005
Finalidad: garantizar que las compañías almacenen una serie de datos, a efectos de poder utilizarlos para investigar y perseguir delitos graves. Finalidad: permitir que las "teleco" almacenen ciertos datos de tráfico a efectos de facturar, y de marketing si media el consentimiento de usuario
Datos a conservar: tasados y obligatorios. Datos a conservar: "los necesarios" y con carácter voluntario.
¿Quién puede acceder?: Sólo los "agentes facultados", y sólo con orden judicial. Ni siquiera pueden acceder las teleco, con carácter general. ¿Quién puede acceder?: Las telecos, la fiscalía, los juzgados y las autoridades competentes conforme a la LGTel, en el ejercicio de sus competencias. Según los casos, no será precisa orden judicial de ningún tipo.

Y es, precisamente, la vía del RD 424/2005 la que creo que puede ser utilizada por otras autoridades para acceder a datos de tráfico. Tengan en cuenta que, de esta forma, pueden acceder a muchos menos datos que los que obliga a conservar la Ley 25/2007, y que deben solicitarlos de forma mucho más ágil, porque el plazo de conservación es también menor. Pero la vía para acceder, en mi opinión, existe.

La Ley 25/2007 fue creada con un objetivo: garantizar que cierta información "extra" estuvise disponible para las autoridades, y durante más tiempo, para investigar y perseguir delitos graves. No para evitar que otras investigaciones puedan ser llevadas a cabo. Pensar lo contrario, en mi opinión, es abogar por la impunidad de multitud de conductas en la red, y creo firmemente que carece de sentido.

13 comentarios:

David Maeztu dijo...

Hola:

Comentarios unicamente respecto de la IP, el resto de datos de facturación es otra historia.

La IP y los datos identificativos de la misma sólo la tienen los ISP, de acuerdo.

Comparto la cuestión de que la impunidad no es buena, y que lo justo es que quien haga algo lo pague.

Pero ello no quita para que se pueda sustituir el criterio de una Directiva Europea en base a una norma anterior, incluso con su Real Decreto, puesto que la regulación de la información de telecomunicaciones debe derivar del esa Directiva y de la Ley 25/2007, y en este sentido se expresa la Sentencia del Tribunal Supremo de marzo de este año.

Habrá datos que la administración podrá obtener, pero la comunicación de datos de los ISP en los que se identifique al titular de la IP sólo se ven sometidos a la 25/2007, por aquello de que estamos ante una ley posterior y especial.

Un saludo.

Leandro Núñez dijo...

Gracias por tu comentario, David.

Entiendo tu punto de vista, pero no lo comparto. Los ISP, en el fondo, realizan dos tipos de tratamiento con los datos de tráfico (incluida la IP): aquellos a los que les obliga la Ley 25/2007, y aquellos otros a los que les autoriza la LGTel. Por hacerlo más gráfico, podemos hablar de dos bases de datos distintas que comparten ciertos registros.

Es evidente que si un órgano quiere acceder a los datos almacenados en el fichero creado conforme a la Ley 25/2007, tiene que cumplir con los requisitos marcardos por ésta. Pero distinto es el caso del acceso a los datos tratados para facturación, por ejemplo. Yo creo que ahí puede acceder toda autoridad competente conforme a la LGTel... ¡y son unas cuantas más!

Por otra parte, no veo contrario a la Directiva 2006/24/CE el mantener que el art. 38 de la LGTel sigue siendo aplicable. Mira su considerando 25: "La presente Directiva se entiende sin perjuicio de la facultad de los Estados miembros para adoptar medidas legislativas relativas al derecho de acceso y de utilización de los datos por parte de las autoridades nacionales tal como determinen los mismos (...)". Con reservas, evidentemente: esta habilitación no puede convertirse en una "barra libre". Pero creo que su aplicación, en definitiva, es posible.

Un saludo.

David Maeztu dijo...

Hola:

Creo que para entender lo que se pretende con la Directiva es necesario repasar los debates previos a su aprobación, y es en ese contexto donde tiene sentido.

Repito, hablamos unicamente de la IP, no hablo de otros datos, como email o los formularios de registro en un servicio concreto.

A ver si con un ejemplo nos entendemos, al menos en el presupuesto básico.

Un juzgado de instrucción, que investiga un delito con pena de hasta 3 años de cárcel, pide a blogger (google) que identifique la dirección IP desde la que se han producido conexiones a la administración de un blog. Esa entrega entiendo que se puede hacer por no estar sometido a la LCD.

Con la IP se dirige a Telefónica (por ejemplo) que es quien administraba la IP para que identifique a quien asignó esa IP.

Según entiendo defiendes, y yo comparto, que esa comunicación de datos no es posible porque no es un delito grave y entra en el ámbito de aplicación de la LCD.

Por el contrario, si yo mando un mail incumpliendo, por ejemplo, la LOPD, entonces según tu interpretación, la AGPD puede pedir al ISP que diga a quien tenía asignada la IP en la fecha de envío del mensaje.

¿Es correcto lo que interpreto?

Es que no veo esa duplicidad de "ficheros" o de datos y como sortear a la LCD.

Si lo que se pretendió evitar con la Directiva puede cumplirse con una ley anterior no tendría sentido la LCD.

Además, repito, es una ley posterior y por lo tanto las obtenciones de identificación de la IP una vez entrada en vigor la ley se deben regular por la misma, y si existe un conflicto entre la LGT y la LCD, la segunda por posterior y especial debe prevalecer sobre la primera.

Un saludo.

Leandro Núñez dijo...

Gracias de nuevo, David.

En la práctica, y ya que citas a la AEPD, la Agencia lo está haciendo. Todos los procedimientos por spam pasan por la comprobación de la identidad del abonado que está detrás de la dirección IP. Observa:

PS/00665/2009: "Telefónica de España S.A.U informó que la IP ######## estuvo asignada el día 22 de mayo de 2009, entre las 8:00 las 13:00 horas de dicho día, a la línea *+*+*+*+ contratada por D. A.A.A.. (Folios 14, 23 y 24)"

PS/00082/2010: "La dirección IP de origen era #######, que es una de las direcciones que la sociedad OVH Hispano asigna a sus clientes. Entre las 16.30 h y las 17.30 h estuvo asignada al cliente S.& L. Subasta Internacionales S.A."

PS/00279/2010: "Acens Technologies, S.L manifestó que La dirección IP #######1 fue utilizada en la fecha y hora del envío del correo electrónico, por ENDESA ENERGIA, S.A.U."

Imagino que la AEPD no se estará saltando la normativa, y que tendrán un anclaje sólido para solicitar estos datos... y no se me ocurre otro que la LGTel, unida en este caso al art. 40 LOPD.

En todo caso, y como diría mi catedrático de Administrativo, "la cuestión dista mucho de ser pacífica" ;)

Un saludo.

David Maeztu dijo...

Hola:

Ya sé que la Agencia hace eso, por eso puse ese ejemplo, pero sabiendo como resuelve la Agencia algunas cosas, no estoy muy conforme.

Yo uso la LCD en temas penales, ahora mismo tengo un asunto por un blog, así que en breve tendré de noticias de la respuesta de la fiscalía y del juzgado...

Un saludo.

Leandro Núñez dijo...

¡Pues ya me contarás en qué queda! :)

Álvaro Del Hoyo dijo...

Buenas a los dos,

El asunto es que la ley posterior viene a estar jurídicamente mejor armada en su concepción que la anterior, dado que mejor era que fuera así por el calado de la injerencia por vía legal que se estaba instaurando.

Mucho me temo que la conclusión a la que llegas Leo es errónea, pues a mi modo de ver en la LGTel/RD no se respetan los requisitos establecidos para la injerencia en el secreto de las comunicaciones. El modelo a seguir, y aún siendo todavía mejorable, es el de la LCD.

Con la legislación y jurisprudencia en la mano no sería posible solicitar datos de tráfico en expedientes administrativos ni en casos de vía mercantil, civil, social,..., sino que sólo en vía penal y siempre que estemos ante delitos graves.

El concepto de delito grave está claro en nuestro Código Penal, lo difícil es interpretar para encajar un delito en la pena mínima exigible.

El problema es que muchos delitos quedan fuera y entonces la justicia material nos puede parecer que se quede coja en casos que al hombre medio nos pudiera parecer que la imposibilidad de acceder a los datos facilite la impunidad, que entiendo es a lo que va Leo, y comparto con él.

Hay opiniones en la doctrina que entienden que el concepto de gravedad del delito puede estar no sólo marcado por el alcance de la pena, sino también por la relevancia social de los hechos.

Fijaos en qué delitos quedan fuera del concepto de delitos graves y seguro que estaréis de acuerdo. En algunos otros igual discrepábamos como por ejemplo delitos contra la propiedad intelectual ;-p

El problema es que puede ser que esta línea interpretativa no encaje del todo bien con el principio de interpretación restrictiva del Código Penal y entonces tenemos montado el Belén.

(sigue)

Álvaro Del Hoyo dijo...

(sigo)

Hay una sentencia del TJE en proceso al respecto de la LCD irlandesa, otro en relación a la consideración de dato personal de la dirección IP promovido desde Suecia, y al mismo tiempo que un proceso de revisión de la Directiva de la LCD, sobre el que ya ha opinado el Grupo del Art. 29, Peter Hustinx, EDRI,... y que además de otros asuntos revisará la indeterminación de qué supuestos se han de considerar delitos graves.

La jurisprudencia del TJE es quién ha marcado los límites a la injerencia en el secreto de las comunicaciones, que es el principalmente afectado en este caso.

El derecho a la protección de datos es la consecuencia, primero de que se tengan que tratar los datos de tráfico para prestar servicios de comunicaciones, segundo de que se tengan que guardar estas trazas con fines necesarios (facturación, fraude, marketing,... con diferentes reglas de juego) o investigación y enjuiciamiento de delitos graves.

Mucho que temo que, en un mundo de tarifas planas, no es muy necesario mantener el registro de las direcciones ip no es muy necesario a efectos de facturación.

Bastaría con tener evidencias de que se producen subidas y bajadas de datos para acreditar que el usuario está en uso del servicio, debiendo las direcciones ip y demás datos de tráfico hacerse anónimos.

Además, como un procedimiento sancionador LSSI o LOPD no son asuntos penales mucho me temo que las evidencias obtenidas de las telcos puedan estar envenenadas de nulidad, opinión hacia la que apunta David. Al menos mientras no cambien la doctrina jurisprudencial, ampliamente desarrollado así debería ser.

La AEPD creo que ha de considerarse está en el mismo caso que Promusicae con respecto a Telefónica (solicitud de datos de tráfico para demanda en vía civil). En la sentencia del TJE en este caso se apunta no obstante afirmar que Telefónica no está obligada a entregar los datos, a que nada impide que los EEMM legislen para abrir la obligación a supuestos no penales.

Ya en otro orden de cuestiones, ¿si tiene que haber orden judicial penal cómo es posible que la LCD declare como fin de la conservación de datos la "detección"?

Leo, ¿seguro que ni los operadores pueden acceder a los datos retenidos? Art. 4.1 in fine LCD

"En ningún caso, los sujetos obligados podrán aprovechar o utilizar los registros generados, fuera de los supuestos de autorización fijados en el artículo 38 de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones." Vamos, qué por ejemplo la telco puede usar el sistema de retención de datos para hacer auditorías de calidad de facturación.

Si ya tiene los datos en otros sistemas y por plazos que como mínimo pueden ser de 5 años (prescripción acciones reclamar), por qué la seguridad en el sistema de retención ha de ser mayor

En otra sentencia el TS ya vino a quejarse que está ley no tiene en cuenta el necesario control judicial, haciéndose la entrega de datos a los agentes facultados sin intermediación del órgano judicial habilitante de la entrega. Esto además ha quedado reflejado en las normas ETSI que definen cómo se debe hacer la cesión a los agentes autorizados por los operadores(aún no convertidas en norma reglamentaria en España, como sí ha sucedido ya con las normas ETSI para la entrega de las interceptaciones).

Se está cociendo a fuego lento, un interesantísimo debate, que veremos qué solución se le da próximamente. La batalla se espera, de nuevo, dura

Álvaro Del Hoyo dijo...

Por si os fuera de interés

http://www.s21sec.com/descargas/Bitacora-Data%20Retention-System.pdf

http://www.s21sec.com/descargas/Caso%20estudio%20Euskaltel%20Bitacora.pdf

Álvaro Del Hoyo dijo...

http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/10/723

Leandro Núñez dijo...

Siento haber tardado tanto en responderte... ¡pero tus comentarios siempre me hacen trabajar de lo lindo para darte una respuesta! Entro en materia:

1. Sobre el Secreto de las Telecomunicaciones, coincido en que el tema no está suficientemente tratado en la LGTel. Ahora bien, la doctrina constitucional reconoce el secreto frente a terceros ajenos a la comunicación. Si una de las partes decide desvelar detalles de su contenido, por ejemplo solicitando mediante denuncia la intervención de un ente administrativo como la AEPD, el secreto se levanta. STC 56/2003, para más señas.

2. Evidentemente, si no media denuncia de uno de los participantes en la conversación, habría que solicitar autorización judicial. En el caso de la AEPD, entiendo que a la sala de lo Contencioso-Administrativo de la Audiencia Nacional.

3. Tanto el art. 38 LGTel como el RD 424/2005 están en vigor, con un ámbito de aplicación material diferente al de la LCD. No veo la colisión entre las normas, sinceramente. La ley aplicable dependerá de la materia a la que afecte la conducta.

4. Y por lo demás, (y en esto coincidimos) la inconsistencia de ciertos aspectos de la LCD es notoria... y, personalmente, creo que el artículo 4.1 es un buen ejemplo.

Un abrazo, ¡y gracias por tus comentarios!

Álvaro Del Hoyo dijo...

Buenas, Leo

Siento hacerte trabajar ;-p

La LGTel trata suficientemente el secreto de las comunicaciones, ya sea en lo relativo a interceptaciones de contenido y datos de tráfico y localización como al tratamiento de los datos. El problema son las garantías que deberían haberse respetado: ley ordinaria vs ley orgánica, efectivo control judicial,...

Efectivamente el consentimiento de una de las partes de la comunicación es suficiente para que no haya vulneración del secreto de las comunicaciones, pero terminada la comunicación es el derecho a la protección de datos lo que se puede ver afectado, que entiendo es lo que sucede cuando la AEPD pretende acceder a las direcciones IP.

El problema es que, NO SIENDO NECESARIOS LOS DATOS DE TRÁFICO NECESARIOS PARA LA FACTURACIÓN DEL ACCESO A INTERNET O EL CORREO ELECTRÓNICO, la LGTel / RD 424/2005 no sirven de argumento, pues la traza de las direcciones ip NO DEBIERA ESTAR DISPONIBLE, pues los datos debieran hacerse anónimos nada más terminar la comunicación.

Otra cosa pudiera ser el caso del ejemplo que ponías sobre el SPAM, pues los operadores pudieran mantener las direcciones IP si consideramos que el RD 424/2005 habilita su registro como lucha contra el fraude.

En el caso de los correos electrónicos las direcciones ip estarán en las cabeceras de los correos electrónicos, por lo que para poder obtenerlos debería mediar orden judicial pues sería necesario acceder al buzón del cliente del operador, no estando los datos disponibles en su red. Dependiendo de si el correo ha sido o no previamente accedido y leido por el usuario se verá afectado o no el secreto de las comunicaciones, y en todo caso el derecho a la protección de datos.

Por otra parte, esa anonimización o destrucción inmediata técnicamente puede ser bastante difícil de conseguir, pero aún estando disponibles los datos el operador creo no debiera entregarlos.

Al no tratarse de delitos graves la Ley 25/2007 tampoco puede ser una vía para la AEPD. Aunque el usuario denunciante siempre podría ejercer su derecho de acceso a los datos registrados en el sistema de retención de datos del operador y aportarlos al expediente con la denuncia o posteriormente.

Efectivamente, se distinguen dos ámbitos materiales en lo que al tratamiento de datos de tráfico y localización se refiere. No siéndole accesible a la AEPD los datos retenidos vía Ley 25/2007, de no ser que se aporten tras acceso por orden judicial o por ejercicio de acceso del propio afectado ante el operador.

El artículo 4.1 de la Ley 25/2007 es una concesión, entiendo compensatoria, se les hace a los operadores, dado que tienen que soportar el coste de esta ley sin recibir nada a cambio del Estado. En la Directiva de Retención de Datos se limita el acceso a los datos a la investigación y persecución de delitos graves. Sinceramente, yo lo veo problemático tan sólo en la medida en que los datos retenidos no se encuentren ya disponibles para el operador en base a finalidades legítimas, cosa entiendo no pasa en el caso de las direcciones IP al no ser necesarias para facturación aunque en algunos casos pudiera entenderse es posible mantenerlas para la lucha contra el fraude.

Quizás haya que volver al argumento de que estando disponible el dato requerido, ya sea en los sistemas de red o de negocio o hasta de retención de datos, el operador tenga que entregarlo en base a los artículos 259 y 262 LECr, pero lo veo problemática por la falta de garantías

Arkanoid dijo...

Buenas,

Si se considera el dato de la ip como identificativo y no de tráfico, la AEPD puede acceder en virtud de su potestad de inspección que le otorga la LOPD.

Es un pequeño matiz, pero suficiente para realizar el acceso a dicho dato en el marco de una inspección.

Un saludo.

Publicar un comentario

 
José Leandro Núñez García 2005-2011 - Bajo licencia Creative Commons BY-SA
Curriculum Blog Contacto