tag:blogger.com,1999:blog-12119639.post5430367728615433419..comments2023-10-16T16:04:23.980+02:00Comments on :: José Leandro NÚÑEZ GARCÍA :: Blog ::: IdentifíqueseUnknownnoreply@blogger.comBlogger13125tag:blogger.com,1999:blog-12119639.post-67763166488702701322012-01-30T20:50:36.926+01:002012-01-30T20:50:36.926+01:00Buenas,
Si se considera el dato de la ip como ide...Buenas,<br /><br />Si se considera el dato de la ip como identificativo y no de tráfico, la AEPD puede acceder en virtud de su potestad de inspección que le otorga la LOPD.<br /><br />Es un pequeño matiz, pero suficiente para realizar el acceso a dicho dato en el marco de una inspección.<br /><br />Un saludo.Arkanoidnoreply@blogger.comtag:blogger.com,1999:blog-12119639.post-39828413492223031682011-01-17T01:51:34.800+01:002011-01-17T01:51:34.800+01:00Buenas, Leo
Siento hacerte trabajar ;-p
La LGTel...Buenas, Leo<br /><br />Siento hacerte trabajar ;-p<br /><br />La LGTel trata suficientemente el secreto de las comunicaciones, ya sea en lo relativo a interceptaciones de contenido y datos de tráfico y localización como al tratamiento de los datos. El problema son las garantías que deberían haberse respetado: ley ordinaria vs ley orgánica, efectivo control judicial,...<br /><br />Efectivamente el consentimiento de una de las partes de la comunicación es suficiente para que no haya vulneración del secreto de las comunicaciones, pero terminada la comunicación es el derecho a la protección de datos lo que se puede ver afectado, que entiendo es lo que sucede cuando la AEPD pretende acceder a las direcciones IP.<br /><br />El problema es que, NO SIENDO NECESARIOS LOS DATOS DE TRÁFICO NECESARIOS PARA LA FACTURACIÓN DEL ACCESO A INTERNET O EL CORREO ELECTRÓNICO, la LGTel / RD 424/2005 no sirven de argumento, pues la traza de las direcciones ip NO DEBIERA ESTAR DISPONIBLE, pues los datos debieran hacerse anónimos nada más terminar la comunicación.<br /><br />Otra cosa pudiera ser el caso del ejemplo que ponías sobre el SPAM, pues los operadores pudieran mantener las direcciones IP si consideramos que el RD 424/2005 habilita su registro como lucha contra el fraude.<br /><br />En el caso de los correos electrónicos las direcciones ip estarán en las cabeceras de los correos electrónicos, por lo que para poder obtenerlos debería mediar orden judicial pues sería necesario acceder al buzón del cliente del operador, no estando los datos disponibles en su red. Dependiendo de si el correo ha sido o no previamente accedido y leido por el usuario se verá afectado o no el secreto de las comunicaciones, y en todo caso el derecho a la protección de datos.<br /><br />Por otra parte, esa anonimización o destrucción inmediata técnicamente puede ser bastante difícil de conseguir, pero aún estando disponibles los datos el operador creo no debiera entregarlos.<br /><br />Al no tratarse de delitos graves la Ley 25/2007 tampoco puede ser una vía para la AEPD. Aunque el usuario denunciante siempre podría ejercer su derecho de acceso a los datos registrados en el sistema de retención de datos del operador y aportarlos al expediente con la denuncia o posteriormente. <br /><br />Efectivamente, se distinguen dos ámbitos materiales en lo que al tratamiento de datos de tráfico y localización se refiere. No siéndole accesible a la AEPD los datos retenidos vía Ley 25/2007, de no ser que se aporten tras acceso por orden judicial o por ejercicio de acceso del propio afectado ante el operador.<br /><br />El artículo 4.1 de la Ley 25/2007 es una concesión, entiendo compensatoria, se les hace a los operadores, dado que tienen que soportar el coste de esta ley sin recibir nada a cambio del Estado. En la Directiva de Retención de Datos se limita el acceso a los datos a la investigación y persecución de delitos graves. Sinceramente, yo lo veo problemático tan sólo en la medida en que los datos retenidos no se encuentren ya disponibles para el operador en base a finalidades legítimas, cosa entiendo no pasa en el caso de las direcciones IP al no ser necesarias para facturación aunque en algunos casos pudiera entenderse es posible mantenerlas para la lucha contra el fraude.<br /><br />Quizás haya que volver al argumento de que estando disponible el dato requerido, ya sea en los sistemas de red o de negocio o hasta de retención de datos, el operador tenga que entregarlo en base a los artículos 259 y 262 LECr, pero lo veo problemática por la falta de garantíasÁlvaro Del Hoyohttps://www.blogger.com/profile/01953024271095733531noreply@blogger.comtag:blogger.com,1999:blog-12119639.post-35619318644090339462010-12-21T11:59:02.981+01:002010-12-21T11:59:02.981+01:00Siento haber tardado tanto en responderte... ¡pero...Siento haber tardado tanto en responderte... ¡pero tus comentarios siempre me hacen trabajar de lo lindo para darte una respuesta! Entro en materia:<br /><br />1. Sobre el Secreto de las Telecomunicaciones, coincido en que el tema no está suficientemente tratado en la LGTel. Ahora bien, la doctrina constitucional reconoce el secreto frente a terceros ajenos a la comunicación. Si una de las partes decide desvelar detalles de su contenido, por ejemplo solicitando mediante denuncia la intervención de un ente administrativo como la AEPD, el secreto se levanta. STC 56/2003, para más señas.<br /><br />2. Evidentemente, si no media denuncia de uno de los participantes en la conversación, habría que solicitar autorización judicial. En el caso de la AEPD, entiendo que a la sala de lo Contencioso-Administrativo de la Audiencia Nacional.<br /><br />3. Tanto el art. 38 LGTel como el RD 424/2005 están en vigor, con un ámbito de aplicación material diferente al de la LCD. No veo la colisión entre las normas, sinceramente. La ley aplicable dependerá de la materia a la que afecte la conducta.<br /><br />4. Y por lo demás, (y en esto coincidimos) la inconsistencia de ciertos aspectos de la LCD es notoria... y, personalmente, creo que el artículo 4.1 es un buen ejemplo.<br /><br />Un abrazo, ¡y gracias por tus comentarios!Leandro Núñezhttps://www.blogger.com/profile/07116125221425992999noreply@blogger.comtag:blogger.com,1999:blog-12119639.post-71182339579766374002010-12-16T11:52:56.047+01:002010-12-16T11:52:56.047+01:00http://europa.eu/rapid/pressReleasesAction.do?refe...http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/10/723Álvaro Del Hoyohttps://www.blogger.com/profile/01953024271095733531noreply@blogger.comtag:blogger.com,1999:blog-12119639.post-48981137945714967022010-12-16T11:43:42.179+01:002010-12-16T11:43:42.179+01:00Por si os fuera de interés
http://www.s21sec.com/...Por si os fuera de interés<br /><br />http://www.s21sec.com/descargas/Bitacora-Data%20Retention-System.pdf<br /><br />http://www.s21sec.com/descargas/Caso%20estudio%20Euskaltel%20Bitacora.pdfÁlvaro Del Hoyohttps://www.blogger.com/profile/01953024271095733531noreply@blogger.comtag:blogger.com,1999:blog-12119639.post-58711073361732355352010-12-16T11:39:14.407+01:002010-12-16T11:39:14.407+01:00(sigo)
Hay una sentencia del TJE en proceso al re...(sigo)<br /><br />Hay una sentencia del TJE en proceso al respecto de la LCD irlandesa, otro en relación a la consideración de dato personal de la dirección IP promovido desde Suecia, y al mismo tiempo que un proceso de revisión de la Directiva de la LCD, sobre el que ya ha opinado el Grupo del Art. 29, Peter Hustinx, EDRI,... y que además de otros asuntos revisará la indeterminación de qué supuestos se han de considerar delitos graves.<br /><br />La jurisprudencia del TJE es quién ha marcado los límites a la injerencia en el secreto de las comunicaciones, que es el principalmente afectado en este caso. <br /><br />El derecho a la protección de datos es la consecuencia, primero de que se tengan que tratar los datos de tráfico para prestar servicios de comunicaciones, segundo de que se tengan que guardar estas trazas con fines necesarios (facturación, fraude, marketing,... con diferentes reglas de juego) o investigación y enjuiciamiento de delitos graves.<br /><br />Mucho que temo que, en un mundo de tarifas planas, no es muy necesario mantener el registro de las direcciones ip no es muy necesario a efectos de facturación. <br /><br />Bastaría con tener evidencias de que se producen subidas y bajadas de datos para acreditar que el usuario está en uso del servicio, debiendo las direcciones ip y demás datos de tráfico hacerse anónimos.<br /><br />Además, como un procedimiento sancionador LSSI o LOPD no son asuntos penales mucho me temo que las evidencias obtenidas de las telcos puedan estar envenenadas de nulidad, opinión hacia la que apunta David. Al menos mientras no cambien la doctrina jurisprudencial, ampliamente desarrollado así debería ser.<br /><br />La AEPD creo que ha de considerarse está en el mismo caso que Promusicae con respecto a Telefónica (solicitud de datos de tráfico para demanda en vía civil). En la sentencia del TJE en este caso se apunta no obstante afirmar que Telefónica no está obligada a entregar los datos, a que nada impide que los EEMM legislen para abrir la obligación a supuestos no penales. <br /><br />Ya en otro orden de cuestiones, ¿si tiene que haber orden judicial penal cómo es posible que la LCD declare como fin de la conservación de datos la "detección"?<br /><br />Leo, ¿seguro que ni los operadores pueden acceder a los datos retenidos? Art. 4.1 in fine LCD<br /><br />"En ningún caso, los sujetos obligados podrán aprovechar o utilizar los registros generados, fuera de los supuestos de autorización fijados en el artículo 38 de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones." Vamos, qué por ejemplo la telco puede usar el sistema de retención de datos para hacer auditorías de calidad de facturación.<br /><br />Si ya tiene los datos en otros sistemas y por plazos que como mínimo pueden ser de 5 años (prescripción acciones reclamar), por qué la seguridad en el sistema de retención ha de ser mayor<br /><br />En otra sentencia el TS ya vino a quejarse que está ley no tiene en cuenta el necesario control judicial, haciéndose la entrega de datos a los agentes facultados sin intermediación del órgano judicial habilitante de la entrega. Esto además ha quedado reflejado en las normas ETSI que definen cómo se debe hacer la cesión a los agentes autorizados por los operadores(aún no convertidas en norma reglamentaria en España, como sí ha sucedido ya con las normas ETSI para la entrega de las interceptaciones).<br /><br />Se está cociendo a fuego lento, un interesantísimo debate, que veremos qué solución se le da próximamente. La batalla se espera, de nuevo, duraÁlvaro Del Hoyohttps://www.blogger.com/profile/01953024271095733531noreply@blogger.comtag:blogger.com,1999:blog-12119639.post-38766031314590656922010-12-16T11:37:51.062+01:002010-12-16T11:37:51.062+01:00Buenas a los dos,
El asunto es que la ley posteri...Buenas a los dos,<br /><br />El asunto es que la ley posterior viene a estar jurídicamente mejor armada en su concepción que la anterior, dado que mejor era que fuera así por el calado de la injerencia por vía legal que se estaba instaurando.<br /><br />Mucho me temo que la conclusión a la que llegas Leo es errónea, pues a mi modo de ver en la LGTel/RD no se respetan los requisitos establecidos para la injerencia en el secreto de las comunicaciones. El modelo a seguir, y aún siendo todavía mejorable, es el de la LCD.<br /><br />Con la legislación y jurisprudencia en la mano no sería posible solicitar datos de tráfico en expedientes administrativos ni en casos de vía mercantil, civil, social,..., sino que sólo en vía penal y siempre que estemos ante delitos graves.<br /><br />El concepto de delito grave está claro en nuestro Código Penal, lo difícil es interpretar para encajar un delito en la pena mínima exigible. <br /><br />El problema es que muchos delitos quedan fuera y entonces la justicia material nos puede parecer que se quede coja en casos que al hombre medio nos pudiera parecer que la imposibilidad de acceder a los datos facilite la impunidad, que entiendo es a lo que va Leo, y comparto con él.<br /><br />Hay opiniones en la doctrina que entienden que el concepto de gravedad del delito puede estar no sólo marcado por el alcance de la pena, sino también por la relevancia social de los hechos.<br /><br />Fijaos en qué delitos quedan fuera del concepto de delitos graves y seguro que estaréis de acuerdo. En algunos otros igual discrepábamos como por ejemplo delitos contra la propiedad intelectual ;-p<br /><br />El problema es que puede ser que esta línea interpretativa no encaje del todo bien con el principio de interpretación restrictiva del Código Penal y entonces tenemos montado el Belén.<br /><br />(sigue)Álvaro Del Hoyohttps://www.blogger.com/profile/01953024271095733531noreply@blogger.comtag:blogger.com,1999:blog-12119639.post-3162526615452369372010-11-30T11:25:49.817+01:002010-11-30T11:25:49.817+01:00¡Pues ya me contarás en qué queda! :)¡Pues ya me contarás en qué queda! :)Leandro Núñezhttps://www.blogger.com/profile/07116125221425992999noreply@blogger.comtag:blogger.com,1999:blog-12119639.post-77277805224947391232010-11-30T09:36:44.791+01:002010-11-30T09:36:44.791+01:00Hola:
Ya sé que la Agencia hace eso, por eso puse...Hola:<br /><br />Ya sé que la Agencia hace eso, por eso puse ese ejemplo, pero sabiendo como resuelve la Agencia algunas cosas, no estoy muy conforme.<br /><br />Yo uso la LCD en temas penales, ahora mismo tengo un asunto por un blog, así que en breve tendré de noticias de la respuesta de la fiscalía y del juzgado...<br /><br />Un saludo.David Maeztuhttps://www.blogger.com/profile/08078960561016359141noreply@blogger.comtag:blogger.com,1999:blog-12119639.post-32888963942030373552010-11-29T17:42:42.155+01:002010-11-29T17:42:42.155+01:00Gracias de nuevo, David.
En la práctica, y ya que...Gracias de nuevo, David.<br /><br />En la práctica, y ya que citas a la AEPD, la Agencia lo está haciendo. Todos los procedimientos por spam pasan por la comprobación de la identidad del abonado que está detrás de la dirección IP. Observa:<br /><br />PS/00665/2009: "Telefónica de España S.A.U informó que la IP ######## estuvo asignada el día 22 de mayo de 2009, entre las 8:00 las 13:00 horas de dicho día, a la línea *+*+*+*+ contratada por D. A.A.A.. (Folios 14, 23 y 24)"<br /><br />PS/00082/2010: "La dirección IP de origen era #######, que es una de las direcciones que la sociedad OVH Hispano asigna a sus clientes. Entre las 16.30 h y las 17.30 h estuvo asignada al cliente S.& L. Subasta Internacionales S.A."<br /><br />PS/00279/2010: "Acens Technologies, S.L manifestó que La dirección IP #######1 fue utilizada en la fecha y hora del envío del correo electrónico, por ENDESA ENERGIA, S.A.U."<br /><br />Imagino que la AEPD no se estará saltando la normativa, y que tendrán un anclaje sólido para solicitar estos datos... y no se me ocurre otro que la LGTel, unida en este caso al art. 40 LOPD.<br /><br />En todo caso, y como diría mi catedrático de Administrativo, "la cuestión dista mucho de ser pacífica" ;)<br /><br />Un saludo.Leandro Núñezhttps://www.blogger.com/profile/07116125221425992999noreply@blogger.comtag:blogger.com,1999:blog-12119639.post-32518287111192043852010-11-29T16:35:36.540+01:002010-11-29T16:35:36.540+01:00Hola:
Creo que para entender lo que se pretende c...Hola:<br /><br />Creo que para entender lo que se pretende con la Directiva es necesario repasar los debates previos a su aprobación, y es en ese contexto donde tiene sentido.<br /><br />Repito, hablamos unicamente de la IP, no hablo de otros datos, como email o los formularios de registro en un servicio concreto.<br /><br />A ver si con un ejemplo nos entendemos, al menos en el presupuesto básico.<br /><br />Un juzgado de instrucción, que investiga un delito con pena de hasta 3 años de cárcel, pide a blogger (google) que identifique la dirección IP desde la que se han producido conexiones a la administración de un blog. Esa entrega entiendo que se puede hacer por no estar sometido a la LCD.<br /><br />Con la IP se dirige a Telefónica (por ejemplo) que es quien administraba la IP para que identifique a quien asignó esa IP.<br /><br />Según entiendo defiendes, y yo comparto, que esa comunicación de datos no es posible porque no es un delito grave y entra en el ámbito de aplicación de la LCD.<br /><br />Por el contrario, si yo mando un mail incumpliendo, por ejemplo, la LOPD, entonces según tu interpretación, la AGPD puede pedir al ISP que diga a quien tenía asignada la IP en la fecha de envío del mensaje.<br /><br />¿Es correcto lo que interpreto?<br /><br />Es que no veo esa duplicidad de "ficheros" o de datos y como sortear a la LCD.<br /><br />Si lo que se pretendió evitar con la Directiva puede cumplirse con una ley anterior no tendría sentido la LCD.<br /><br />Además, repito, es una ley posterior y por lo tanto las obtenciones de identificación de la IP una vez entrada en vigor la ley se deben regular por la misma, y si existe un conflicto entre la LGT y la LCD, la segunda por posterior y especial debe prevalecer sobre la primera.<br /><br />Un saludo.David Maeztuhttps://www.blogger.com/profile/08078960561016359141noreply@blogger.comtag:blogger.com,1999:blog-12119639.post-42770965333337330662010-11-29T13:15:07.896+01:002010-11-29T13:15:07.896+01:00Gracias por tu comentario, David.
Entiendo tu pun...Gracias por tu comentario, David.<br /><br />Entiendo tu punto de vista, pero no lo comparto. Los ISP, en el fondo, realizan dos tipos de tratamiento con los datos de tráfico (incluida la IP): aquellos a los que les obliga la Ley 25/2007, y aquellos otros a los que les autoriza la LGTel. Por hacerlo más gráfico, podemos hablar de dos bases de datos distintas que comparten ciertos registros.<br /><br />Es evidente que si un órgano quiere acceder a los datos almacenados en el fichero creado conforme a la Ley 25/2007, tiene que cumplir con los requisitos marcardos por ésta. Pero distinto es el caso del acceso a los datos tratados para facturación, por ejemplo. Yo creo que ahí puede acceder toda autoridad competente conforme a la LGTel... ¡y son unas cuantas más!<br /><br />Por otra parte, no veo contrario a la Directiva 2006/24/CE el mantener que el art. 38 de la LGTel sigue siendo aplicable. Mira su considerando 25: "La presente Directiva se entiende sin perjuicio de la facultad de los Estados miembros para adoptar medidas legislativas relativas al derecho de acceso y de utilización de los datos por parte de las autoridades nacionales tal como determinen los mismos (...)". Con reservas, evidentemente: esta habilitación no puede convertirse en una "barra libre". Pero creo que su aplicación, en definitiva, es posible.<br /><br />Un saludo.Leandro Núñezhttps://www.blogger.com/profile/07116125221425992999noreply@blogger.comtag:blogger.com,1999:blog-12119639.post-76793529829009493552010-11-29T12:50:38.781+01:002010-11-29T12:50:38.781+01:00Hola:
Comentarios unicamente respecto de la IP, e...Hola:<br /><br />Comentarios unicamente respecto de la IP, el resto de datos de facturación es otra historia.<br /><br />La IP y los datos identificativos de la misma sólo la tienen los ISP, de acuerdo.<br /><br />Comparto la cuestión de que la impunidad no es buena, y que lo justo es que quien haga algo lo pague.<br /><br />Pero ello no quita para que se pueda sustituir el criterio de una Directiva Europea en base a una norma anterior, incluso con su Real Decreto, puesto que la regulación de la información de telecomunicaciones debe derivar del esa Directiva y de la Ley 25/2007, y en este sentido se expresa la Sentencia del Tribunal Supremo de marzo de este año.<br /><br />Habrá datos que la administración podrá obtener, pero la comunicación de datos de los ISP en los que se identifique al titular de la IP sólo se ven sometidos a la 25/2007, por aquello de que estamos ante una ley posterior y especial.<br /><br />Un saludo.David Maeztuhttps://www.blogger.com/profile/08078960561016359141noreply@blogger.com