Hace aproximadamente un año, defendía en este mismo blog una cuestión polémica: opinaba entonces que la Ley de conservación de datos de telecomunicaciones no se opone a que, para la investigación de conductas no constitutivas de delito "grave", se utilicen los datos de tráfico del presunto infractor a efectos de facilitar su identificación. Decía entonces que:
"La Ley 25/2007 fue creada con un objetivo: garantizar que cierta información "extra" estuvise disponible para las autoridades, y durante más tiempo, para investigar y perseguir delitos graves. No para evitar que otras investigaciones puedan ser llevadas a cabo. Pensar lo contrario, en mi opinión, es abogar por la impunidad de multitud de conductas en la red, y creo firmemente que carece de sentido".
Hoy he visto las conclusiones de Niilo Jääskinen, abogado general del Tribunal de Justicia de la Unión Europea, ante una cuestión prejudicial planteada desde Suecia en materia de propiedad intelectual. Puede que el supuesto de hecho les suene, porque se parece mucho al asunto Promusicae: un operador de telecomunicaciones se niega a atender un requerimiento judicial de revelación de información, planteado con la finalidad de identificar a un presunto "pirata".
Su argumentación jurídica incluye algunos párrafos realmente interesantes, que me permito extractar:
Sobre la falibilidad de la dirección IP a la hora de determinar la identidad de
un usuario de Internet: "hay que recordar que la identidad de la persona que pudo haber infringido derechos de propiedad intelectual no puede determinarse basándose únicamente en una dirección IP, dado que diversas personas pueden acceder a la red con la misma dirección IP. Así sucede, por ejemplo, con las redes inalámbricas carentes de una protección eficaz, el desvío de ordenadores conectados a Internet y las situaciones en que varias personas pueden utilizar el mismo ordenador". (§ 47)
Sobre la conservación de datos de tráfico para identificar a usuarios de Internet en el marco de un procedimiento civil: "procede señalar que la actual legislación de la Unión no establece las modalidades necesarias para la conservación y transmisión de datos personales generados en comunicaciones electrónicas con objeto de transmitirlos en caso de una infracción de derechos de propiedad intelectual invocada por particulares". (§ 56)
Sobre el necesario equilibrio entre protección de datos y protección de la propiedad intelectual: "hay que subrayar que los derechos fundamentales en materia de protección de datos personales y de la vida privada, por una parte, así como en materia de protección de la propiedad intelectual, por otra parte, deben disfrutar de una protección equivalente. Por tanto, no procede privilegiar a los titulares de derechos de propiedad intelectual permitiéndoles el uso de datos personales legalmente recogidos o conservados para fines ajenos a la protección de sus derechos. La recopilación y utilización de dichos datos para tales fines respetando el Derecho comunitario en materia de protección de datos personales requeriría la previa adopción por el legislador nacional de disposiciones detalladas, conforme al artículo 15 de la Directiva 2002/58" (§ 62)
Pero, si me lo permiten, me quedo con la conclusión (la negrita es mía):
La Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE, no se aplica al tratamiento de datos personales para fines distintos de los previstos en el artículo 1, apartado 1, de dicha Directiva. Por consiguiente, dicha Directiva no se opone a la aplicación de una disposición de Derecho nacional que permite que, a efectos de identificación de un abonado, el juez requiera, en un procedimiento civil, a un proveedor de acceso a Internet para que facilite al titular de un derecho de autor o a su representante información relativa a la identidad del abonado al que ese operador asignó una dirección IP, supuestamente utilizada para infringir dicho derecho. No obstante, dicha información deberá haber sido conservada para poder ser comunicada y utilizada con esta finalidad conforme a disposiciones legislativas nacionales detalladas, adoptadas respetando el Derecho de la Unión en materia de protección de datos personales.
En resumen: si existen normas nacionales que lo permitan, se pueden emplear datos de tráfico para identificar usuarios en casos distintos a los tasados en la normativa de conservación de datos, siempre que se empleen para ello bases de datos independientes a las creadas por dicha normativa. Algo que en España no se contempla en materia de propiedad intelectual, pero (en mi opinión) sí en materia de Telecomunicaciones, como les explicaba en mi post anterior y en la discusión que se abrió posteriormente en sus comentarios (les recomiendo encarecidamente que lean las magníficas aportaciones de David Maeztu y Álvaro del Hoyo).
Una cosa más... para los no juristas que lean el blog, lo recozco: ¡me ha salido un post demasiado técnico!
Actualización: 02/05/2012
Ya tenemos sentencia, en una línea muy similar a la defendida por el abogado general.
 En octubre de 2007 las Cortes aprobaron la Ley 25/2007, de conservación de datos de telecomunicaciones. Básicamente, esta norma regula la obligación de las teleco de retener determinados datos de tráfico, como la dirección IP y el horario de conexión de un usuario, para permitir que sean empleados por las autoridades para la detección o investigación por delitos graves.
Dejando a un lado el concepto de "delito grave", que no está nada claro en nuestra legislación, uno de los mayores problemas derivados de esta norma es, precisamente, que no está pensada para cubrir otro tipo de infracciones. Y esto ha causado multitud de problemas interpretativos, hasta el punto que la Sala Segunda del Tribunal Supremo acordó, el 23 de febrero pasado, que:
"Es necesaria la autorización judicial para que los operadores que prestan servicios de comunicaciones electrónicas o de redes públicas de comunicación cedan los datos (...) conservados que se especifican en el art. 3 de la Ley 25/2007, de 18 de octubre" Teniendo esto en cuenta, surge una pregunta: ¿puede la fiscalía pedir a una compañía de telecomunicaciones que le diga quién está detrás de una IP a una hora determinada, en caso de que cometa un delito "menos grave"? ¿Y la Administración? La pregunta tiene su miga, pues sin conocer la identidad del infractor no se pueden sancionar conductas como el envío de spam, por poner un ejemplo.
Si el tratamiento de datos tráfico estuviese regulado únicamente por la Ley de Conservación, la respuesta sería evidente. Sin embargo, el Derecho español aborda el tratamiento de los datos de tráfico en dos supuestos:
Para acceder a los datos tratados en el marco de la 25/2007, sólo están habilitados los agentes facultados por la propia ley, que son únicamente (art. 6.2):
- Los miembros de las Fuerzas y Cuerpos de Seguridad, cuando desempeñen funciones de policía judicial, de acuerdo con lo previsto en el artículo 547 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial.
- Los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, en el desarrollo de sus competencias como policía judicial, de acuerdo con el apartado 1 del artículo 283 de la Ley de Enjuiciamiento Criminal.
- El personal del Centro Nacional de Inteligencia en el curso de las investigaciones de seguridad sobre personas o entidades, de acuerdo con lo previsto en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, y en la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia.
Es decir, ni siquiera la fiscalía, y mucho menos un órgano administrativo. Y los datos sólo pueden ser utilizados "con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales", y por medio de "la correspondiente autorización judicial".
Por otra parte, el art. 65.5 del RD 424/2005 reza que (la negrita es mía):
"5. El tratamiento de los datos de tráfico, de conformidad con los apartados anteriores, sólo podrá realizarse por las personas que actúen bajo la autoridad del operador prestador del servicio o explotador de la red que se ocupen de la facturación o de la gestión del tráfico, de las solicitudes de información de los clientes, de la detección de fraudes, de la promoción comercial de los servicios de comunicaciones electrónicas, de la prestación de un servicio con valor añadido o de suministrar la información requerida por los jueces y tribunales, por el Ministerio Fiscal o por los órganos o entidades que pudieran reclamarla en virtud de las competencias atribuidas por la Ley 32/2003, de 3 de noviembre. En todo caso, dicho tratamiento deberá limitarse a lo necesario para realizar tales actividades"
Visto lo anterior, y desde un punto de vista exclusivo de protección de datos, entiendo que hablamos de dos tratamientos diferentes, habilitados por dos cuerpos normativos distintos:
| Ley 25/2007 | Art. 65 RD 424/2005
| | Finalidad: garantizar que las compañías almacenen una serie de datos, a efectos de poder utilizarlos para investigar y perseguir delitos graves. | Finalidad: permitir que las "teleco" almacenen ciertos datos de tráfico a efectos de facturar, y de marketing si media el consentimiento de usuario | | Datos a conservar: tasados y obligatorios. | Datos a conservar: "los necesarios" y con carácter voluntario. | | ¿Quién puede acceder?: Sólo los "agentes facultados", y sólo con orden judicial. Ni siquiera pueden acceder las teleco, con carácter general. | ¿Quién puede acceder?: Las telecos, la fiscalía, los juzgados y las autoridades competentes conforme a la LGTel, en el ejercicio de sus competencias. Según los casos, no será precisa orden judicial de ningún tipo. |
Y es, precisamente, la vía del RD 424/2005 la que creo que puede ser utilizada por otras autoridades para acceder a datos de tráfico. Tengan en cuenta que, de esta forma, pueden acceder a muchos menos datos que los que obliga a conservar la Ley 25/2007, y que deben solicitarlos de forma mucho más ágil, porque el plazo de conservación es también menor. Pero la vía para acceder, en mi opinión, existe.
La Ley 25/2007 fue creada con un objetivo: garantizar que cierta información "extra" estuvise disponible para las autoridades, y durante más tiempo, para investigar y perseguir delitos graves. No para evitar que otras investigaciones puedan ser llevadas a cabo. Pensar lo contrario, en mi opinión, es abogar por la impunidad de multitud de conductas en la red, y creo firmemente que carece de sentido.
|
|
